Email analýza při vyšetřování Microsoft Defender pro Office 365

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Během automatizovaného vyšetřování výstrah Microsoft Defender pro Office 365 analyzuje původní e-maily z hlediska hrozeb a identifikuje další e-mailové zprávy, které souvisejí s původním e-mailem a potenciálně jsou součástí útoku. Tato analýza je důležitá, protože e-mailové útoky se zřídka skládají z jednoho e-mailu.

Analýza e-mailu automatizovaného vyšetřování identifikuje e-mailové clustery pomocí atributů z původního e-mailu a dotazuje se na e-maily odeslané a přijaté vaší organizací. Tato analýza je podobná tomu, jak by analytik operací zabezpečení vyhledával související e-maily v Průzkumníkovi nebo rozšířeném proaktivním vyhledávání. K identifikaci odpovídajících e-mailových zpráv se používá několik dotazů, protože útočníci obvykle mění parametry e-mailu, aby se vyhnuli detekci zabezpečení. Analýza clusteringu provádí tyto kontroly, aby určila, jak zpracovat e-maily, které jsou součástí šetření:

  • Analýza e-mailu vytvoří dotazy (clustery) e-mailů pomocí atributů z původního e-mailu: hodnoty odesílatele (IP adresa, doména odesílatele) a obsah (předmět, ID clusteru), aby bylo možné najít e-maily, které by mohly souviset.
  • Pokud analýza adres URL a souborů původního e-mailu zjistí, že některé z nich jsou škodlivé (to znamená malware nebo phishing), vytvoří se také dotazy nebo shluky e-mailů obsahujících škodlivou adresu URL nebo soubor.
  • Email analýza clusteringu spočítá hrozby spojené s podobným e-mailem v clusteru a určí, jestli je e-mail škodlivý, podezřelý nebo jestli neobsahuje žádné jasné hrozby. Pokud má cluster e-mailů odpovídajících dotazu dostatečné množství spamu, normálních útoků phishing, vysoce důvěryhodných útoků phishing nebo malwarových hrozeb, e-mailový cluster na něj použije tento typ hrozby.
  • Analýza clusteringu e-mailů také kontroluje nejnovější umístění pro doručování původního e-mailu a zpráv v e-mailových clusterech, aby pomohla identifikovat zprávy, které by mohly být potřeba odebrat nebo které už byly opraveny nebo kterým se zabránilo. Tato analýza je důležitá, protože útočníci mění škodlivý obsah a zásady zabezpečení a ochranu se můžou u jednotlivých poštovních schránek lišit. Tato funkce vede k situacím, kdy může škodlivý obsah stále sedět v poštovních schránkách, i když některé škodlivé e-mailové zprávy byly znemožněno nebo zjištěny a odebrány automatickým vyprázdněním (ZAP) nulou.
  • Email clustery, které jsou považovány za škodlivé z důvodu malwaru, vysoce důvěryhodných útoků phishing, škodlivých souborů nebo škodlivých adres URL, získají čekající akci na obnovitelné odstranění zpráv, které jsou stále v cloudové poštovní schránce (doručená pošta nebo nevyžádaná pošta Email složek). Pokud jsou škodlivé e-mailové nebo e-mailové clustery "Není v poštovní schránce" (blokované, v karanténě, selhání, obnovitelné odstranění atd.) nebo "Místní/externí" a v cloudové poštovní schránce není žádná čekající akce, která by je odebrala.
  • Pokud je u některého e-mailového clusteru zjištěno, že je škodlivý, pak se hrozba identifikovaná clusterem použije zpět na původní e-mail zapojený do vyšetřování. Toto chování je podobné jako analytik operací zabezpečení, který používá výsledky vyhledávání e-mailů k určení verdiktu původního e-mailu na základě podobných e-mailů. Tento výsledek zajistí, že bez ohledu na to, jestli jsou zjištěny adresy URL, soubory nebo indikátory zdrojového e-mailu původního e-mailu, může systém identifikovat škodlivé e-mailové zprávy, které se potenciálně vyhýbají detekci prostřednictvím přizpůsobení, morfingu, úniku nebo jiných technik útočníka.
  • Při vyšetřování ohrožení zabezpečení uživatele se vytvoří další e-mailové clustery, které identifikují potenciální e-mailové problémy vytvořené poštovní schránkou. Tento proces zahrnuje čistý e-mailový cluster (dobrý e-mail od uživatele, potenciální exfiltrace dat a potenciální příkaz/řídicí e-mail), podezřelé e-mailové clustery (e-maily obsahující spam nebo běžné phishing) a škodlivé e-mailové clustery (e-maily obsahující malware nebo vysoce důvěryhodný phishing). Tyto e-mailové clustery poskytují analytikům operací zabezpečení data k určení dalších problémů, které by bylo potřeba vyřešit v důsledku ohrožení zabezpečení, a přehled o tom, které zprávy mohly aktivovat původní upozornění (například phishing nebo spam, které aktivovaly omezení odesílání uživatelů).

Email analýzy clusteringu prostřednictvím podobnosti a škodlivých dotazů na entity zajišťuje, že se problémy s e-mailem plně identifikují a vyčistí, i když se z útoku zjistí jenom jeden e-mail. Pomocí odkazů ze zobrazení bočního panelu podrobností o e-mailovém clusteru můžete otevřít dotazy v Průzkumníkovi nebo rozšířeném proaktivním vyhledávání a provést hlubší analýzu a v případě potřeby dotazy změnit. Tato funkce umožňuje ruční zpřesnění a nápravu, pokud zjistíte, že dotazy e-mailového clusteru jsou příliš úzké nebo příliš široké (včetně nesouvisejících e-mailů).

Tady jsou další vylepšení analýzy e-mailů při vyšetřování.

Vyšetřování air ignoruje pokročilé položky doručení (poštovní schránky SecOps a zprávy simulace phishingu).

Během analýzy clusteringu e-mailu všechny dotazy clusteringu ignorují poštovní schránky SecOps a adresy URL simulace útoků phishing, které jsou identifikovány jako rozšířené zásady doručování. Poštovní schránky SecOps a adresy URL simulace útoků phishing se v dotazu nezobrazují, aby byly atributy clusteringu jednoduché a snadno čitelné. Tato vyloučení zajišťují, že zprávy odeslané do poštovních schránek SecOps a zpráv, které obsahují adresy URL simulace útoku phishing, se během analýzy hrozeb ignorují a během nápravy se neodeberou.

Poznámka

Při otevření e-mailového clusteru, který chcete zobrazit v Průzkumníkovi z podrobností o e-mailovém clusteru, se v Průzkumníku použijí filtry poštovní schránky útoku phishing a SecOps, ale nezobrazují se. Pokud změníte filtry Průzkumníka, data nebo aktualizujete dotaz na stránce, odeberou se vyloučení filtru simulace útoku phishing nebo SecOps a znovu se zobrazí odpovídající e-mailové zprávy. Pokud aktualizujete stránku Průzkumníka pomocí funkce aktualizace prohlížeče, znovu se načtou původní filtry dotazů, včetně filtrů simulace útoku phishing nebo SecOps, ale odeberou se všechny následné změny, které jste udělali.

Stav čekajících e-mailových akcí aktualizací AIR

Analýza e-mailu vyšetřování vypočítá e-mailové hrozby a umístění v době vyšetřování a vytvoří důkazy a akce šetření. Tato data můžou být zastaralá a zastaralá, když akce mimo šetření ovlivní e-mail zapojený do šetření. Například ruční proaktivní vyhledávání a nápravy operací zabezpečení může vyčistit e-maily zahrnuté do vyšetřování. Podobně e-maily mohly odebrat akce odstranění schválené v paralelních šetřeních nebo akce zap automatické karantény. Zpožděné detekce hrozeb po doručení e-mailu navíc můžou změnit počet hrozeb zahrnutých v e-mailových dotazech nebo clusterech vyšetřování.

Aby se zajistilo, že jsou akce šetření aktuální, šetření, která obsahují čekající akce, pravidelně znovu spouští dotazy analýzy e-mailů a aktualizují umístění e-mailů a hrozby.

  • Když se data e-mailového clusteru změní, aktualizují se počty hrozeb a nejnovějších míst doručení.
  • Pokud e-mailový cluster s čekajícími akcemi už v poštovní schránce nejsou, čekající akce se zruší a škodlivý e-mail nebo cluster se považuje za napravený.
  • Jakmile jsou všechny hrozby vyšetřování napraveny nebo zrušeny, jak bylo popsáno výše, přejde šetření do napraveného stavu a původní výstraha se vyřeší.

Zobrazení důkazů incidentu pro e-mailové a e-mailové clustery

Email důkazy na kartě Důkazy a odpovědi pro incident teď zobrazují následující informace.

Informace o analýze e-mailu v části Evidence a odpovědi

Z očíslovaných bublinových popisků na obrázku:

  1. Kromě Centra akcí můžete provádět nápravné akce.

  2. U e-mailových clusterů se škodlivým verdiktem (ale ne podezřelým) můžete provést nápravnou akci.

  3. U rozsudku o spamu e-mailu je phishing rozdělený na vysokou spolehlivost a normální phishing.

    V případě škodlivého verdiktu jsou kategoriemi hrozeb malware, vysoce důvěryhodný phishing, škodlivá adresa URL a škodlivý soubor.

    V případě podezřelého verdiktu jsou kategoriemi hrozeb spam a normální phishing.

  4. Počet e-mailů podle je založený na nejnovějším umístění doručení a zahrnuje čítače e-mailů v poštovních schránkách, ne v poštovních schránkách a v místním prostředí.

  5. Zahrnuje datum a čas dotazu, který se může aktualizovat pro nejnovější data.

V případě e-mailových nebo e-mailových clusterů na kartě Entity při vyšetřování znamená, že v poštovní schránce pro tuto položku (pošta nebo cluster) nebyl žádný škodlivý e-mail. Tady je příklad.

Znemožněný e-mail.

V tomto příkladu je e-mail škodlivý, ale není v poštovní schránce.

Další kroky