共用方式為


威脅總管中的威脅搜捕和 適用於 Office 365 的 Microsoft Defender 中的即時偵測

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。

Microsoft訂用帳戶中包含 適用於 Office 365 的 Microsoft Defender 或以附加元件方式購買的 365 組織,其總管 (也稱為威脅總管) 或即時偵測。 這些功能是強大的近乎即時工具,可協助安全性作業 (SecOps) 小組調查和回應威脅。 如需詳細資訊,請參閱關於威脅總管和 適用於 Office 365 的 Microsoft Defender 中的即時偵測

威脅總管或即時偵測可讓您採取下列動作:

  • 查看 Microsoft 365 安全性功能偵測到的惡意程式碼。
  • 檢視網路釣魚 URL,然後按兩下決策數據。
  • 僅) (威脅總管啟動自動化調查和響應程式。
  • 調查惡意電子郵件。
  • 以及其他功能。

觀看這段短片,瞭解如何使用 適用於 Office 365 的 Defender 來搜捕和調查電子郵件和共同作業型威脅。

提示

Microsoft Defender 全面偵測回應 中的進階搜捕支援不使用 Kusto 查詢語言 (KQL) 的易用查詢產生器。 如需詳細資訊,請參閱 使用引導模式建置查詢

本文提供下列資訊:

提示

如需使用威脅總管和即時偵測的電子郵件案例,請參閱下列文章:

如果您要根據內嵌在 QR 代碼中的惡意 URL 來搜捕攻擊,則 [威脅總管] 或 [即時偵測] 中 [所有電子郵件]、[惡意代碼] 和 [網络釣魚] 檢視中的 URL 來源篩選值 QR 代碼,可讓您使用從 QR 代碼擷取的 URL 來搜尋電子郵件訊息。

開始之前有哪些須知?

威脅總管和即時偵測逐步解說

威脅總管或即時偵測位於 Microsoft Defender 入口網站的 Email &https://security.microsoft.com共同作業一節中:

威脅總管包含與即時偵測相同的資訊和功能,但具有下列其他功能:

  • 更多檢視。
  • 更多屬性篩選選項,包括儲存查詢的選項。
  • 威脅搜捕和補救動作。

如需 適用於 Office 365 的 Defender 方案 1 和方案 2 之間差異的詳細資訊,請參閱 適用於 Office 365 的 Defender 方案 1 與計劃 2 小秘技

使用頁面頂端 (檢視) 索引卷標來開始調查。

下表說明威脅總管中的可用檢視和即時偵測:

檢視 威脅
總管
即時
檢測
描述
所有電子郵件 威脅總管的預設檢視。 外部使用者傳送至組織的所有電子郵件訊息,或組織內部用戶之間傳送電子郵件的相關信息。
惡意程式碼 即時偵測的預設檢視。 包含惡意代碼的電子郵件訊息相關信息。
網路釣魚 包含網路釣魚威脅的電子郵件訊息相關信息。
活動 適用於 Office 365 的 Defender 方案 2 識別為協調網路釣魚或惡意代碼營銷活動的一部分之惡意電子郵件的相關信息。
內容惡意代碼 下列功能所偵測到惡意檔案的相關信息:
URL 點選 用戶在電子郵件訊息、Teams 訊息、SharePoint 檔案和 OneDrive 檔案中按兩下 URL 的相關信息。

使用檢視中的日期/時間篩選和可用的篩選屬性來精簡結果:

提示

請記得在建立或更新篩選之後選取 [ 重新 整理]。 篩選會影響圖表中的資訊和檢視的詳細數據區域。

您可以將威脅總管或即時偵測中的焦點精簡為圖層,讓您更輕鬆地撤銷步驟:

  • 第一層是您正在使用的檢視。
  • 第二個版本是您在該檢視中使用的篩選條件。

例如,您可以藉由記錄如下所示的決策來撤銷尋找威脅所採取的步驟:若要在 [威脅總管] 中找出問題,我使用了 [惡意代碼] 檢視 並使用 [收件者 ] 篩選焦點。

此外,請務必測試您的顯示選項。 例如,不同物件 (管理) 可能會對相同數據的不同簡報做出更好或更壞的反應。

例如,在 [威脅總管] 的 [所有電子郵件] 檢視中,頁面底部的詳細數據區域) (索引卷標 Email 來源和營銷活動檢視:

  • 對於某些物件而言,[Email 原始來源] 索引標籤中的世界地圖在顯示偵測到的威脅有多普遍方面可能會有更好的表現。

    [威脅總管] 中 [所有電子郵件] 檢視詳細數據區域中 Email 源檢視中世界地圖的螢幕快照。

  • 其他人可能會在 [ 活動 ] 索引標籤的表格中找到詳細資訊,以便傳達資訊。

    [威脅總管] 中 [所有電子郵件] 檢視中 [營銷活動] 索引標籤中詳細數據表的螢幕快照。

您可以將此資訊用於下列結果:

  • 顯示安全性和保護的需求。
  • 稍後示範任何動作的有效性。

Email 調查

在 [威脅總管] 或 [即時偵測] 的 [所有電子郵件惡意代碼網络釣魚] 檢視中,電子郵件訊息結果會顯示在圖表下方詳細數據區域 (檢視) Email 索引標籤的表格中。

當您看到可疑的電子郵件訊息時,請按兩下資料表中專案的 [ 旨] 值。 開啟的詳細數據飛出視窗包含飛出視窗頂端的 [開啟電子郵件] 實體

在 [所有電子郵件] 檢視的 [詳細數據] 區域的 [Email] 索引標籤中選取 [主旨] 值之後,電子郵件詳細數據飛出視窗中可用動作的螢幕快照。

Email 實體頁面會將您需要知道的訊息及其內容的所有內容一起提取,以便您判斷訊息是否為威脅。 如需詳細資訊,請參閱 Email 實體頁面概觀

Email 補救

在您判斷電子郵件訊息為威脅之後,下一個步驟是補救威脅。 您可以使用 [採取動作] 在威脅總管或即時偵測中補救威脅。

您可以在 [威脅總管] 的 [所有電子郵件]、[惡意代碼] 或 [網络釣魚] 檢視或 [Email] 索引卷標中的 [即時偵測] 檢視中 (檢視圖表下方詳細數據區域的) :

  • 選取第一個數據行旁邊的複選框,以選取數據表中的一或多個專案。 您可以直接在索引標籤中使用 [採取動作]。

    Email 檢視 (索引標籤) 的螢幕快照,其中已選取訊息並主動採取動作。

    提示

    [採取動作 ] 會取代 [ 訊息動作 ] 下拉式清單。

    如果您選取 100 個或更少的專案,您可以對 [ 採取動作 精靈] 中的訊息採取多個動作。

    如果您選取 101 到 200,000 個專案,[ 採取動作 精靈] 中只會提供下列動作:

    • 威脅總管[移動或刪除 ] 和 [建議補救 ] 可供使用,但兩者互斥 (您可以選取其中一個或另一個) 。
    • 即時偵測:僅可在 [租用戶允許/封鎖] 清單中 提交至Microsoft以供檢閱 及建立對應的允許/封鎖專案。
  • 按兩下資料表中專案的 [ 旨] 值。 開啟的詳細數據飛出視窗包含飛出視窗頂端的 [採取動作]。

    選取 [所有電子郵件] 檢視中詳細數據區域之 [Email] 索引標籤中的 [主旨] 值之後,[詳細數據] 索引卷標中可用的動作。

採取動作精靈

選取 [ 採取動作] 會在飛出視窗中開啟 [採取動作 精靈]。 下表列出 [適用於 Office 365 的 Defender 方案 2] 和 [適用於 Office 365 的 Defender 方案 1] 中 [採取動作精靈] 中可用的動作:

動作 適用於的Defender
Office 365 方案 2
適用於的Defender
Office 365方案 1
移動或刪除 ✔¹
  釋放隔離的郵件給部分或所有原始收件者²
提交至Microsoft以供檢閱
   允許或封鎖租用戶允許/封鎖清單中的專案³
起始自動化調查
建議補救

¹ 此動作需要 Email & 共同作業許可權中的搜尋和清除角色。 根據預設,此角色只會指派給 數據 處理者和 組織管理 角色群組。 您可以將使用者新增至這些角色群組,也可以建立已指派搜尋和清除角色的新角色群組,並將使用者新增至自定義角色群組。

² 當您選取 [收 件匣 ] 作為移動位置時,此選項適用於隔離的郵件。

³ [ 提交至Microsoft] 下提供此動作以供檢閱

下列清單說明 [採取動作 精靈]:

  1. 在 [ 選擇回應動作] 頁面上,有下列選項可供使用:

    • 顯示所有回應動作:此選項僅適用於威脅總管。

      根據預設,根據訊息 的最新傳遞位置 值,某些動作無法使用/呈現灰色。 若要顯示所有可用的回應動作,請將切換開關滑動為 [開啟]

    • 移動或移除:選取其中一個顯示的可用值:

      • 垃圾郵件:將訊息移至 [垃圾郵件 Email] 資料夾。

      • 收件匣:將訊息移至 [收件匣]。 選取此值也可能會顯示下列選項:

        • 移回 [傳送郵件] 資料夾:如果郵件是由內部發件者傳送,且郵件已虛刪除 (移至 [可復原的專案\刪除] 資料夾) ,選取此選項會嘗試將郵件移回 [已傳送的專案] 資料夾。 如果您先前已選取 [移動或刪除>虛刪除的專案 ],而且也選取了 [刪除 郵件上的發件者復本 ],則此選項為復原動作。

        • 針對值為 [最新遞送位置] 屬性之 [隔離] 的郵件,選取 [收件匣] 可從隔離區釋放郵件,因此也可以使用下列選項:

          • 釋放至電子郵件的一或多個原始收件者:如果您選取此值,就會出現一個方塊,您可以在其中選取或取消選取隔離郵件的原始收件者。
          • 發行給所有收件者
      • 已刪除的專案:將訊息移至 [已刪除的專案] 資料夾。

      • 虛刪除的專案:將訊息移至 [可復原的專案\刪除] 資料夾,這相當於從 [刪除的專案] 資料夾中刪除訊息。 用戶和系統管理員可以復原訊息。

        刪除寄件人的復本:如果郵件是由內部寄件者傳送,也請嘗試從寄件者的 [傳送專案] 資料夾中虛刪除郵件。

      • 已刪除的硬式專案:清除已刪除的訊息。 系統管理員可以使用單一項目復原來復原已刪除的硬式專案。 如需硬式刪除和虛刪除項目的詳細資訊,請參閱 虛刪除和硬刪除專案

    • 提交至Microsoft以供檢閱:選取其中一個顯示的可用值:

      • 我已確認它是乾淨的:如果您確定訊息是乾淨的,請選取此值。 下列選項隨即出現:

        • 允許如下所示的訊息:如果您選取此值,允許專案會新增至發件者以及訊息中任何相關 URL 或附件的租使用者 允許/封鎖清單 。 下列選項也會出現:
          • 拿掉項目之後:預設值為 1天,但您也可以選取 7天30天或小於30天的 特定日期
          • 允許輸入附註:輸入包含其他資訊的選擇性附註。
      • 顯示為乾淨看起來可疑:如果您不確定且想要從Microsoft做出決策,請選取其中一個值。

      • 我已確認這是威脅:如果您確定專案是惡意專案,請選取此值,然後在 [選擇類別] 區段中選取下列其中 一個 值:

        • 網路釣魚
        • 惡意程式碼
        • 垃圾郵件

        選取其中一個值之後,[ 選取要封鎖的實體 ] 飛出視窗隨即開啟,您可以在其中選取一或多個與訊息相關聯的實體, (發件者位址、寄件者網域、URL 或檔案附件) 將作為封鎖專案新增至租用戶允許/封鎖清單。

        選取要封鎖的項目之後,請選取 [ 新增以封鎖] 規則 ,以關閉 [選取實體以封鎖 ] 飛出視窗。 或者,不選取任何項目,然後選取 [取消]

        回到 [ 選擇回應動作] 頁面,選取區塊專案的到期選項:

        • 到期日:選取區塊專案的到期日期。
        • 永不過期

        封鎖的實體數目會顯示 (例如,要封鎖的 4/4 實體) 。 選取 [編輯 ] 以重新開啟 [新增至封鎖] 規則 並進行變更。

    • 起始自動化調查:僅限威脅總管。 選取下列其中一個出現的值:

      • 調查電子郵件
      • 調查收件者
      • 調查寄件者:此值僅適用於您組織中的寄件者。
      • 連絡收件者
    • 建議補救:選取下列其中一個出現的值:

      • 建立新的:此值會觸發需要由控制中心系統管理員核准的虛刪除電子郵件擱置動作。 此結果也稱為 雙步驟核准

      • 新增至現有:使用此值可將動作從現有的補救套用到此電子郵件訊息。 在 [ 將電子郵件提交至下列補救 ] 方塊中,選取現有的補救措施。

        提示

        沒有足夠許可權的 SecOps 人員可以使用此選項來建立補救,但具有許可權的人員需要在控制中心核准動作。

    當您在 [ 選擇回應動作 ] 頁面上完成時,請選取 [ 下一步]

  2. 在 [ 選擇目標實體] 頁面上,設定下列選項:

    • 名稱描述:輸入唯一的描述性名稱和選擇性描述,以追蹤和識別選取的動作。

    頁面的其餘部分是列出受影響資產的數據表。 資料表是由下列數據行組織:

    • 受影響的資產:上一頁中受影響的資產。 例如:
      • 收件者電子郵件地址
      • 整個租使用者
    • 動作:從上一頁選取的資產動作。 例如:
      • Submit 到 Microsoft 以供檢閱的值:
        • 報表為清除
        • Report
        • 回報為惡意代碼回報為垃圾郵件回報為網路釣魚
        • 封鎖寄件者
        • 封鎖寄件者網域
        • 封鎖 URL
        • 封鎖附件
      • 始自動化調查的值
        • 調查電子郵件
        • 調查收件者
        • 調查寄件者
        • 連絡收件者
      • 建議補救的值
        • 建立新的補救
        • 新增至現有的補救
    • 目標實體:例如:
      • 電子郵件 訊息的網路訊息識別碼值
      • 封鎖的寄件者電子郵件位址。
      • 封鎖的寄件者網域。
      • 封鎖的URL。
      • 封鎖的附件。
    • 到期日:只有租使用者/允許區塊清單中的允許或封鎖專案才有值。 例如:
      • 區塊項目永遠不會過期
      • 允許或封鎖專案的到期日。
    • 範圍:通常會 MDO 此值。

    在這個階段,您也可以復原一些動作。 例如,如果您只想要在租用戶允許/封鎖清單中建立區塊專案,而不需將實體提交給Microsoft,您可以在這裡執行此動作。

    當您在 [ 選擇目標實體 ] 頁面上完成時,請選取 [ 下一步]

  3. 在 [ 檢閱並提交] 頁面上,檢閱您先前的選取專案。

    選取 [導 出] 將受影響的資產導出至 CSV 檔案。 根據預設,檔名是 [ 受影響 assets.csv 位於 [下載] 資料夾中。

    取 [上一步 ] 傳回並變更您的選取專案。

    當您在 [ 檢閱並提交 ] 頁面上完成時,請選取 [ 提交]

提示

這些動作可能需要一些時間才會出現在相關的頁面上,但補救的速度不會受到影響。

使用威脅總管和即時偵測的威脅搜捕體驗

威脅總管或即時偵測可協助您的安全性作業小組有效率地調查和回應威脅。 下列小節說明威脅總管和即時偵測如何協助您尋找威脅。

來自警示的威脅搜捕

[ 警示] 頁面可在 Defender 入口網站的 [ 事件 & 警示警示>],或直接在 https://security.microsoft.com/alerts取得。

許多具有偵測來源值的警示 MDO 在警示詳細數據飛出視窗頂端可使用 [在總管中檢視訊息] 動作。

當您按兩下第一個資料行旁複選框以外的任何警示時,警示詳細資料飛出視窗隨即開啟。 例如:

  • 偵測到潛在的惡意 URL 點擊
  • 提交結果已完成 管理員
  • Email 傳遞後移除包含惡意 URL 的訊息
  • 傳送後即移除的電子郵件訊息
  • 包含傳遞後未移除惡意實體的訊息
  • 網路釣魚未被點選,因為 ZAP 已停用

警示的警示詳細數據飛出視窗中可用動作的螢幕快照,其中 [偵測來源] 值 MDO 來自 Defender 入口網站中的 [警示] 頁面。

取 [在總管中檢視訊息] 會在 [ 所有電子郵件 ] 檢視中開啟 [威脅總管],並針對警示選取屬性篩選 [ 警示標識 符]。 警示標識符值是警示 (的唯一 GUID 值,例如 89e00cdc-4312-7774-6000-08dc33a24419) 。

警示識別 碼是威脅總管和即時偵測中下列檢視中的可篩選屬性:

在這些檢視中, 警示標識 碼可作為下列索引卷標中圖表下方詳細數據區中可選取的數據行, (檢視) :

在您從其中一個項目按兩下 [主旨] 值時開啟的電子郵件詳細數據飛出視窗中,[警示標識符] 連結可在飛出視窗的 [Email 詳細數據] 區段中取得。 選取 [ 警示標識 符] 連結會在 開啟 [ 檢視警示 ] 頁面 https://security.microsoft.com/viewalertsv2 ,其中已選取警示,並開啟警示的詳細數據飛出視窗。

從 [威脅總管] 或 [即時偵測] 中 [所有電子郵件、惡意代碼或網络釣魚] 檢視的 [Email] 索引卷標中,從 [電子郵件詳細數據] 飛出視窗中選取 [警示標識符] 后,[檢視警示] 頁面上的警示詳細數據飛出視窗螢幕快照。

威脅總管中的標籤

在 適用於 Office 365 的 Defender 方案 2 中,如果您使用使用者標記來標示高價值目標帳戶 (例如,優先順序帳戶標籤標記來標示高價值目標帳戶 (例如,優先順序帳戶標籤) 您可以使用這些標籤作為篩選條件。 此方法會顯示在特定期間內,針對高價值目標帳戶的網路釣魚嘗試。 如需使用者標籤的詳細資訊,請參閱 使用者標籤

威脅總管中的下列位置提供用戶標籤:

電子郵件訊息的威脅資訊

不論影響郵件的不同傳遞後事件為何,電子郵件訊息的傳遞前和傳遞後動作都會合併成單一記錄。 例如:

[所有電子郵件]、[惡意代碼] 或 [網络釣魚] 檢視中的 [Email] 索引標籤 (檢視) 的電子郵件詳細數據飛出視窗會顯示相關聯的威脅,以及與電子郵件訊息相關聯的對應偵測技術。 訊息可能會有零個、一個或多個威脅。

  • 在 [ 傳遞詳細數據 ] 區段中, [偵測技術 ] 屬性會顯示識別威脅的偵測技術。 偵測技術 也可作為詳細數據表中的圖表樞紐或數據行,以供威脅總管和即時偵測中的許多檢視使用。

  • [ URL] 區 段會顯示訊息中任何 URL 的特定 威脅 資訊。 例如, 惡意代碼網路釣魚、**垃圾郵件或

提示

決策分析不一定會系結至實體。 篩選條件會先評估電子郵件訊息的內容和其他詳細數據,再指派決策。 例如,電子郵件訊息可能會分類為網路釣魚或垃圾郵件,但訊息中沒有任何URL會加上網路釣魚或垃圾郵件決策的戳記。

選取飛出視窗頂端的 [開啟電子郵件實體],以查看有關電子郵件訊息的完整詳細數據。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的 Email 實體頁面

在 [所有電子郵件] 檢視中詳細數據區域的 [Email] 索引標籤中選取 [主旨] 值之後,電子郵件詳細數據飛出視窗的螢幕快照。

威脅總管中的擴充功能

下列小節說明威脅總管獨佔的篩選條件。

exchange 郵件流程規則 (傳輸規則)

若要尋找受 Exchange 郵件流程規則影響的郵件 (也稱為傳輸規則) ,您可以在威脅總管中 的所有電子郵件惡意代碼網路 釣魚檢視中找到下列選項, (不在即時偵測) :

  • Exchange 傳輸規則主要覆寫來源覆寫來源和原則 類型 可篩選屬性的可選取值。
  • Exchange 傳輸規則 是可篩選的屬性。 您會輸入規則名稱的部分文字值。

如需詳細資訊,請參閱下列連結:

Email 索引標籤 (檢視) 威脅總管中 [所有電子郵件]、[惡意代碼] 和 [網路釣魚] 檢視的詳細數據區域,也會將 Exchange 傳輸規則作為預設未選取的可用數據行。 此資料列會顯示傳輸規則的名稱。 如需詳細資訊,請參閱下列連結:

提示

如需在威脅總管中依名稱搜尋郵件流程規則所需的許可權,請參閱威脅總管 和即時偵測的許可權和授權。 若要查看電子郵件詳細數據飛出視窗、詳細數據表和匯出結果中的規則名稱,不需要任何特殊許可權。

輸入連接器

輸入連接器會針對 Microsoft 365 指定電子郵件來源的特定設定。 如需詳細資訊,請參閱 使用 Exchange Online 中的連接器設定郵件流程

若要尋找受輸入連接器影響的訊息,您可以使用 Connector 可篩選屬性,在威脅總管的 [ 所有電子郵件]、[ 惡意代碼] 和 [網络 釣魚] 檢視中依名稱搜尋連接器, (不在即時偵測) 中。 您會輸入連接器名稱的部分文字值。 如需詳細資訊,請參閱下列連結:

[威脅總管] 中 [所有電子郵件]、[惡意代碼] 和 [網络釣魚] 檢視之詳細數據區域的 [Email] 索引卷標 (檢視) ,也會將 [連接器] 作為預設未選取的可用數據行。 此資料列會顯示連接器的名稱。 如需詳細資訊,請參閱下列連結:

Email 威脅總管和即時偵測中的安全性案例

如需特定案例,請參閱下列文章:

使用威脅總管和即時偵測的更多方式

除了本文中概述的案例之外,您在 Explorer 或即時偵測中還有更多選項。 如需詳細資訊,請參閱下列文章: