Detekce Průzkumníka hrozeb a v reálném čase

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v programu Microsoft 365 Defender for Office 365 Plan 2? Využijte 90denní zkušební verzi programu Defender for Office 365 v centru zkušebních verzí portálu Microsoft 365 Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Platí pro

Pokud má vaše organizace Microsoft Defender pro Office 365 a máte potřebná oprávnění, máte detekce v Průzkumníku nebo v reálném čase (dříve sestavy v reálném časepodívejte se, co je nového!). V Centru zabezpečení & dodržování předpisů přejděte do správy hrozeb a pak zvolte Detekce v Průzkumníkovi nebo V reálném čase.

S plánem Microsoft Defender pro Office 365 Plan 2 vidíte: S plánem Microsoft Defender pro Office 365 Plan 1 vidíte:
Průzkumník hrozeb. Detekce v reálném čase

Detekce v Průzkumníku nebo v reálném čase pomáhají vašemu provoznímu týmu zabezpečení efektivně prozkoumat hrozby a reagovat na ně. Sestava vypadá podobně jako na následujícím obrázku:

Položka nabídky Průzkumník na portálu zabezpečení & dodržování předpisů

Pomocí této sestavy můžete:

Vylepšení prostředí proaktivního vyhledávání hrozeb

Úvod k ID upozornění pro Defender pro Office 365 výstrahy v Průzkumníkovi /detekce v reálném čase

Když v současné době přejdete z výstrahy do Průzkumníka hrozeb, otevře se filtrované zobrazení v Průzkumníkovi s zobrazením filtrovaným podle ID zásad upozornění (ID zásady je jedinečný identifikátor pro zásadu upozornění). Tuto integraci zpřístupňujeme zavedením ID výstrahy (viz příklad ID výstrahy níže) v Průzkumníku hrozeb a detekcí v reálném čase, abyste viděli zprávy, které jsou relevantní pro konkrétní výstrahu, a také počet e-mailů. Budete také moct zjistit, jestli byla zpráva součástí výstrahy, a přejít z této zprávy na konkrétní výstrahu.

ID výstrahy je k dispozici v adrese URL, když si prohlížíte jednotlivou výstrahu. příkladem je https://protection.office.com/viewalerts?id=372c9b5b-a6c3-5847-fa00-08d8abb04ef1.

Rozšíření limitu uchovávání dat v Průzkumníku (a zjišťování v reálném čase) a limitu vyhledávání pro zkušební tenanty ze 7 na 30 dnů

V rámci této změny budete moct hledat a filtrovat e-mailová data za 30 dnů (zvýšení oproti předchozím 7 dnům) v Průzkumníku hrozeb nebo detekce v reálném čase pro tenanty zkušební verze Defenderu pro Office P1 i P2. To nemá vliv na žádné produkční tenanty pro zákazníky P1 i P2/E5, kteří už mají 30denní možnosti uchovávání dat a vyhledávání.

Aktualizace limitů pro export záznamů pro Průzkumníka hrozeb

V rámci této aktualizace se počet řádků pro e-mailové záznamy, které je možné exportovat z Průzkumníka hrozeb, zvýší z 9990 na 200 000 záznamů. Sada sloupců, které lze nyní exportovat, zůstane stejná, ale počet řádků se zvýší z aktuálního limitu.

Značky v Průzkumníku hrozeb

Poznámka

Funkce značek uživatelů je ve verzi Preview, není dostupná pro všechny a může se změnit. Informace o plánu vydávání verzí najdete v plánu Microsoft 365.

Značky uživatelů identifikují konkrétní skupiny uživatelů v Microsoft Defender pro Office 365. Další informace o značkách, včetně licencování a konfigurace, najdete v tématu Uživatelské značky.

V Průzkumníku hrozeb můžete zobrazit informace o značkách uživatelů v následujících prostředích.

Zobrazení e-mailové mřížky

Sloupec Značky v e-mailové mřížce obsahuje všechny značky použité u poštovních schránek odesílatele nebo příjemce. Ve výchozím nastavení se jako první zobrazují systémové značky, jako jsou účty s prioritou.

Filtrování

Značky můžete použít jako filtr. Proaktivní vyhledávání napříč účty s prioritou nebo konkrétními scénáři značek uživatelů. Můžete také vyloučit výsledky, které mají určité značky. Zkombinujte tuto funkci s dalšími filtry, abyste zúžili rozsah šetření.

Značky filtru

Informační rámeček s podrobnostmi e-mailu

Pokud chcete zobrazit jednotlivé značky odesílatele a příjemce, výběrem předmětu otevřete informační rámeček s podrobnostmi zprávy. Na kartě Souhrn se značky odesílatele a příjemce zobrazují samostatně, pokud jsou přítomné pro e-mail. Informace o jednotlivých značkách pro odesílatele a příjemce se také rozšiřují na exportovaná data CSV, kde tyto podrobnosti uvidíte ve dvou samostatných sloupcích.

Informace o značkách se zobrazují také v informačním rámečku Kliknutí na adresu URL. Pokud ho chcete zobrazit, přejděte do zobrazení Phish nebo Všechny e-maily a pak na kartu Adresy URL nebo Kliknutí na adresu URL . Výběrem samostatného informačního rámečku adresy URL zobrazíte další podrobnosti o kliknutích pro tuto adresu URL, včetně značek přidružených k tomuto kliknutí.

Aktualizované zobrazení časové osy

Další informace získáte v tomto videu.

Vylepšení prostředí proaktivního vyhledávání hrozeb (nadcházející)

Aktualizované informace o hrozbě pro e-maily

Zaměřili jsme se na vylepšení platformy a kvality dat, abychom zvýšili přesnost a konzistenci dat u e-mailových záznamů. Vylepšení zahrnují konsolidaci informací před doručením a po doručení, například akcí prováděných v e-mailu v rámci procesu ZAP, do jednoho záznamu. K dispozici jsou také další podrobnosti, jako je spam, hrozby na úrovni entity (například která adresa URL byla škodlivá) a nejnovější umístění doručení.

Po těchto aktualizacích se pro každou zprávu zobrazí jedna položka bez ohledu na různé události po doručení, které zprávu ovlivňují. Akce můžou zahrnovat zap, ruční nápravu (což znamená akci správce), dynamické doručování atd.

Kromě zobrazování malwarových a phishingových hrozeb se zobrazí i rozhodnutí o spamu přidruženém k e-mailu. V e-mailu uvidíte všechny hrozby související s e-mailem spolu s odpovídajícími detekčními technologiemi. E-mail může obsahovat nulovou, jednu nebo více hrozeb. Aktuální hrozby uvidíte v části Podrobnosti v informačním rámečku e-mailu. U více hrozeb (například malwaru a phishingu) zobrazuje technické pole detekce mapování detekce hrozeb, což je detekční technologie, která hrozbu identifikovala.

Sada detekčních technologií teď zahrnuje nové metody detekce a také technologie pro detekci spamu. Stejnou sadu technologií detekce můžete použít k filtrování výsledků v různých e-mailových zobrazeních (Malware, Phish, Všechny e-maily).

Poznámka

Analýza rozsudku nemusí být nutně svázaná s entitami. Například e-mail může být klasifikovaný jako phish nebo spam, ale neexistují žádné adresy URL, které jsou označené fish/spamem. Důvodem je to, že filtry také před přiřazením rozhodnutí vyhodnocují obsah a další podrobnosti e-mailu.

Hrozby v adresách URL

Konkrétní hrozbu pro adresu URL teď můžete zobrazit na kartě Podrobnosti informačního rámečku e-mailu. Hrozbou může být malware, phish, spam nebo žádný.)

Aktualizované zobrazení časové osy (nadcházející)

Zobrazení časové osy identifikuje všechny události doručení a po doručení. Obsahuje informace o hrozbě zjištěné v daném okamžiku pro podmnožinu těchto událostí. Zobrazení časové osy také obsahuje informace o všech dalších provedených akcích (jako je zap nebo ruční náprava) spolu s výsledkem této akce. Mezi informace o zobrazení časové osy patří:

  • Zdroj: Zdroj události Může to být správce, systém nebo uživatel.
  • Událost: Zahrnuje události nejvyšší úrovně, jako je původní doručení, ruční náprava, zap, odeslání a dynamické doručování.
  • Akce: Konkrétní akce, která byla provedena v rámci zap nebo akce správce (například obnovitelné odstranění).
  • Hrozby: Řeší hrozby (malware, phish, spam) zjištěné v daném okamžiku.
  • Výsledek/podrobnosti: Další informace o výsledku akce, například o tom, jestli byla provedena v rámci akce ZAP/admin.

Původní a nejnovější místo doručení

V současné době zobrazíme místo doručení v informačním rámečku e-mailové mřížky a e-mailu. Pole Umístění doručení se přejmenuje na Původní umístění doručení. A představujeme další pole , _Poslední místo doručení.

Původní místo doručení poskytne další informace o tom, kam se e-mail původně doručil. V nejnovějším umístění doručení se zobrazí, kde se e-mail přenesl po systémových akcích, jako je zap nebo akce správce, jako je přesun na odstraněné položky. Nejnovější umístění doručení má správcům sdělit poslední známou polohu po doručení zprávy nebo jakékoli akce systému/správce. Nezahrnuje žádné akce koncového uživatele v e-mailu. Pokud například uživatel odstranil zprávu nebo přesunul zprávu do archivu nebo souboru PST, umístění pro doručení zprávy se neaktualizuje. Pokud ale systémová akce aktualizovala umístění (například zap, což vedlo k přesunutí e-mailu do karantény), nejnovější umístění doručení by se zobrazilo jako "karanténa".

Poznámka

Existuje několik případů, kdy se umístění doručení a akce doručení můžou zobrazovat jako neznámé:

  • Pokud byla zpráva doručena, může se místo do složky Doručená pošta nebo Nevyžádaná pošta zobrazit umístění doručení jako doručené a umístění doručení jako neznámé, ale pravidlo doručené pošty zprávu přesunulo do výchozí složky (například Koncept nebo Archiv).

  • Nejnovější umístění doručení může být neznámé, pokud došlo k pokusu o akci správce nebo systému (například ZAP), ale zpráva nebyla nalezena. K akci obvykle dochází po přesunutí nebo odstranění zprávy uživatelem. V takových případech ověřte sloupec Výsledek/Podrobnosti v zobrazení časové osy. Vyhledejte příkaz "Message moved or deleted by the user" (Zpráva byla přesunuta nebo odstraněna uživatelem).

Další akce

Po doručení e-mailu byly použity další akce. Můžou zahrnovat zap, ruční nápravu (akci prováděnou Správa, jako je obnovitelné odstranění), dynamické doručování a opětovné zpracování (pro e-mail, který byl zpětně zjištěn jako dobrý).

Poznámka

V rámci čekajících změn se hodnota Odebralo zap, která se aktuálně zobrazuje ve filtru Akce doručení, zmizí. Budete mít způsob, jak vyhledat všechny e-maily pomocí pokusu o zap prostřednictvím dalších akcí.

Přepsání systému

Systémová přepsání umožňují vytvářet výjimky z určeného místa doručení zprávy. Umístění doručení poskytované systémem přepíšete na základě hrozeb a dalších detekcí identifikovaných zásobníkem filtrování. Přepsání systému je možné nastavit prostřednictvím zásad tenanta nebo uživatele, aby se zpráva doručovala podle návrhu zásad. Přepsání můžou identifikovat neúmyslné doručování škodlivých zpráv kvůli mezerám v konfiguraci, jako je příliš široká Sejf zásada odesílatele nastavená uživatelem. Tyto hodnoty přepsání mohou být:

  • Povolené zásadami uživatele: Uživatel vytvoří zásady na úrovni poštovní schránky, aby povolil domény nebo odesílatele.

  • Blokováno zásadami uživatele: Uživatel vytvoří zásady na úrovni poštovní schránky pro blokování domén nebo odesílatelů.

  • Povolené zásadami organizace: Týmy zabezpečení organizace nastavují zásady nebo Exchange pravidla toku pošty (označované také jako pravidla přenosu), aby uživatelům v organizaci povolovaly odesílatele a domény. Může se jednat o sadu uživatelů nebo celou organizaci.

  • Blokováno zásadami organizace: Bezpečnostní týmy organizace nastavují zásady nebo pravidla toku pošty, aby blokovaly odesílatele, domény, jazyky zpráv nebo zdrojové IP adresy uživatelů ve své organizaci. To se dá použít pro sadu uživatelů nebo pro celou organizaci.

  • Přípona souboru blokovaná zásadami organizace: Bezpečnostní tým organizace blokuje příponu názvu souboru prostřednictvím nastavení zásad ochrany proti malwaru. Tyto hodnoty se teď zobrazí v podrobnostech e-mailu, které vám pomůžou s vyšetřováním. Týmy Secops můžou také použít funkci bohatého filtrování k filtrování blokovaných přípon souborů.

Přepsání systému v Průzkumníkovi

Vylepšení prostředí pro adresu URL a kliknutí

Mezi tato vylepšení patří:

  • Zobrazte úplnou adresu URL (včetně parametrů dotazu, které jsou součástí adresy URL) v části Kliknutí v informačním rámečku Adresy URL. V záhlaví se v současné době zobrazí doména adresy URL a cesta. Rozšiřujeme informace o zobrazení úplné adresy URL.

  • Opravy napříč filtry adres URL (adresa URL versus doména url versus doména a cesta URL): Aktualizace ovlivňují vyhledávání zpráv, které obsahují adresu URL nebo kliknutí na rozhodnutí. Povolili jsme podporu prohledávání nezávislých na protokolech, takže můžete hledat adresu URL bez použití http. Ve výchozím nastavení se hledání adresy URL mapuje na http, pokud není explicitně zadána jiná hodnota. Příklad:

    • Hledejte předponu http:// v polích url, URL Domain a URL Domain a Path . Hledání by měla zobrazovat stejné výsledky.
    • Vyhledejte předponu https:// v adrese URL. Pokud není zadána žádná hodnota, předpokládá se http:// předpona.
    • / se ignoruje na začátku a konci cesty URL, domény url, domény adresy URL a polí cesty . / na konci pole adresy URL se ignoruje.

Úroveň spolehlivosti phish

Úroveň spolehlivosti Phish pomáhá identifikovat stupeň spolehlivosti, s jakou byl e-mail zařazen do kategorie "phish". Dvě možné hodnoty jsou Vysoká a Normální. V počátečních fázích bude tento filtr dostupný jenom v zobrazení Phish Průzkumníka hrozeb.

Úroveň spolehlivosti Phish v Průzkumníkovi.

Signál adresy URL zap

Signál ADRESY URL ZAP se obvykle používá pro scénáře upozornění ZAP Phish, kdy byl e-mail identifikován jako Phish a po doručení odebrán. Tento signál připojí výstrahu k odpovídajícím výsledkům v Průzkumníkovi. Je to jedna z vstupně-výstupních operací pro upozornění.

Abychom zlepšili proces proaktivního vyhledávání, aktualizovali jsme Průzkumník hrozeb a detekce v reálném čase, aby bylo prostředí proaktivního vyhledávání konzistentnější. Změny jsou popsané tady:

Filtrování podle značek uživatelů

Teď můžete řadit a filtrovat systémové nebo vlastní uživatelské značky, abyste rychle pochopili rozsah hrozeb. Další informace najdete v tématu Uživatelské značky.

Důležité

Filtrování a řazení podle značek uživatelů je aktuálně ve verzi Public Preview. Tato funkce může být před komerčním vydáním podstatně změněna. Společnost Microsoft neposkytuje žádné záruky, ať už výslovné nebo předpokládané, s ohledem na informace o něm poskytnuté.

Vylepšení časového pásma

Zobrazí se časové pásmo pro e-mailové záznamy na portálu i pro exportovaná data. Bude viditelná napříč prostředími, jako je e-mailová mřížka, informační rámeček Podrobnosti, časová osa e-mailu a podobné e-maily, takže časové pásmo sady výsledků je jasné.

Aktualizace v procesu aktualizace

Někteří uživatelé okomentovali nejasnosti s automatickou aktualizací (například po změně data, aktualizace stránky) a ruční aktualizaci (pro další filtry). Podobně odebrání filtrů vede k automatické aktualizaci. Změna filtrů při úpravě dotazu může způsobit nekonzistentní vyhledávání. Abychom tyto problémy vyřešili, přecházíme na mechanismus ručního filtrování.

Z hlediska prostředí může uživatel použít a odebrat různé rozsahy filtrů (ze sady filtrů a data) a výběrem tlačítka aktualizace filtrovat výsledky po definování dotazu. Tlačítko Aktualizovat je teď také zvýrazněné na obrazovce. Aktualizovali jsme také související popisy a dokumentaci k produktu.

Přechod k podrobnostem grafu pro přidání do filtrů

Teď můžete hodnoty legendy grafu přidat jako filtry. Výběrem tlačítka Aktualizovat vyfiltrujte výsledky.

Aktualizace informací v produktu

V rámci produktu jsou teď k dispozici další podrobnosti, například celkový počet výsledků hledání v mřížce (viz níže). Vylepšili jsme popisky, chybové zprávy a popisy, které poskytují další informace o filtrech, prostředí vyhledávání a sadě výsledků dotazu.

Rozšířené možnosti v Průzkumníku hrozeb

Nejcílnější uživatelé

V současné době zveřejňujeme seznam hlavních cílových uživatelů v zobrazení Malwaru pro e-maily v části Rodiny s nejvyšším malwarem . Toto zobrazení rozšíříme také v zobrazeních Phish a Všechny e-maily. Uvidíte pět hlavních cílových uživatelů a počet pokusů o odpovídající zobrazení pro každého uživatele. Například v zobrazení Phish uvidíte počet pokusů o phish.

Budete moct exportovat seznam cílových uživatelů až do limitu 3 000 společně s počtem pokusů o offline analýzu pro každé zobrazení e-mailu. Výběrem počtu pokusů (například 13 pokusů na obrázku níže) se navíc otevře filtrované zobrazení v Průzkumníku hrozeb, abyste pro tohoto uživatele viděli další podrobnosti o e-mailech a hrozbách.

pravidla přenosu Exchange

V rámci rozšiřování dat uvidíte všechna různá pravidla přenosu Exchange (ETR), která se na zprávu použila. Tyto informace budou k dispozici v zobrazení e-mailové mřížky. Pokud ho chcete zobrazit, vyberte v mřížce možnosti Sloupce a pak z možností sloupce přidejte Exchange přenosové pravidlo. Zobrazí se také v informačním rámečku Podrobnosti v e-mailu.

Uvidíte identifikátor GUID i název pravidel přenosu, která se na zprávu použila. Zprávy budete moct vyhledat pomocí názvu pravidla přenosu. Jedná se o hledání "Obsahuje", což znamená, že můžete provádět i částečná hledání.

Důležité

Dostupnost hledání a názvu ETR závisí na konkrétní roli, která je vám přiřazená. Abyste mohli zobrazit názvy a vyhledávání ETR, musíte mít jednu z následujících rolí nebo oprávnění. Pokud nemáte přiřazenou žádnou z těchto rolí, nemůžete zobrazit názvy pravidel přenosu ani vyhledávat zprávy pomocí názvů ETR. V podrobnostech e-mailu ale můžete vidět popisek ETR a informace GUID. Ostatní prostředí pro prohlížení záznamů v e-mailových mřížkách, kontextových seznamech e-mailu, filtrech a exportu nejsou ovlivněná.

  • Pouze EXO – ochrana před únikem informací: Vše
  • Pouze EXO – O365SupportViewConfig: Vše
  • Microsoft Azure Active Directory nebo EXO – Správa zabezpečení: Vše
  • AAD nebo EXO – Čtenář zabezpečení: Vše
  • Pouze EXO – Pravidla přenosu: Vše
  • Pouze EXO – konfigurace View-Only: Vše

V e-mailové mřížce, informačním rámečku Podrobnosti a exportovaném souboru CSV se zprávě ETR zobrazí název nebo identifikátor GUID, jak je znázorněno níže.

Příchozí konektory

Konektory jsou kolekce pokynů, které přizpůsobují toky e-mailů do a z vaší Microsoft 365 nebo Office 365 organizace. Umožňují použít všechna bezpečnostní omezení nebo ovládací prvky. V Průzkumníku hrozeb teď můžete zobrazit konektory, které souvisejí s e-mailem, a vyhledávat e-maily pomocí názvů konektorů.

Hledání konektorů je ve své podstatě "obsahuje", což znamená, že by také měla fungovat částečná hledání klíčových slov. V zobrazení hlavní mřížky, v informačním rámečku Podrobnosti a exportovaném souboru CSV se konektory zobrazují ve formátu název/identifikátor GUID, jak je znázorněno tady:

Nové funkce v Průzkumníku hrozeb a detekce v reálném čase

Zobrazení phishingových e-mailů odesílaných zosobněným uživatelům a doménám

Aby bylo možné identifikovat pokusy o útoky phishing vůči uživatelům a doménám, které jsou zosobněnými uživateli, musí být přidány do seznamu uživatelů, aby bylo možné je chránit. V případě domén musí správci buď povolit domény organizace, nebo přidat název domény k ochraně domén. Domény, které chcete chránit, najdete na stránce zásad ochrany proti útokům Phishing v části Zosobnění .

Pokud chcete zkontrolovat zprávy phish a vyhledat zosobněné uživatele nebo domény, použijte zobrazení E-mail > Phish v Průzkumníkovi.

V tomto příkladu se používá Průzkumník hrozeb.

  1. V Centru dodržování předpisů & zabezpečení (https://protection.office.com)zvolte Správa hrozeb > Průzkumníka (nebo detekce v reálném čase).

  2. V nabídce Zobrazit zvolte E-mail > Phish.

    Tady můžete zvolit zosobněnou doménu nebo zosobněného uživatele.

  3. BUĎ vyberte zosobněnou doménu a do textového pole zadejte chráněnou doménu.

    Můžete například hledat chráněné názvy domén, jako jsou contoso, contoso.com nebo contoso.com.au.

  4. Výběrem předmětu jakékoli zprávy na kartě E-mail > kartě Podrobnosti zobrazíte další informace o zosobnění, jako je zosobněná doména nebo zjištěné umístění.

    NEBO

    Vyberte zosobněného uživatele a do textového pole zadejte e-mailovou adresu chráněného uživatele.

    Tip

    Nejlepších výsledků dosáhnete, když k vyhledávání chráněných uživatelů použijete úplné e-mailové adresy . Chráněného uživatele najdete rychleji a úspěšněji, pokud hledáte firstname.lastname@contoso.com, například při zkoumání zosobnění uživatele. Při hledání chráněné domény hledání převezme kořenovou doménu (například contoso.com) a název domény (contoso). Při hledání contoso.com kořenové domény se vrátí zosobnění contoso.com i název domény contoso.

  5. Výběrem předmětu jakékoli zprávy na kartě > E-mailDetails zobrazíte další informace o zosobnění uživatele nebo domény a zjištěné umístění.

    Podokno podrobností Průzkumníka hrozeb pro chráněného uživatele zobrazující umístění detekce a zjištěnou hrozbu (tady phish impersonation of a user)

Poznámka

Pokud v kroku 3 nebo 5 zvolíte technologii detekce a vyberete možnost Doména zosobnění nebo Uživatel zosobnění, informace na kartě E-mailDetails > o uživateli nebo doméně a zjištěné umístění se zobrazí pouze ve zprávách, které souvisejí s uživatelem nebo doménou uvedenou na stránce zásad ochrany proti útokům phishing.

Náhled záhlaví e-mailu a stažení textu e-mailu

Teď si můžete zobrazit náhled záhlaví e-mailu a stáhnout text e-mailu v Průzkumníku hrozeb. Správci můžou analyzovat stažené hlavičky nebo e-mailové zprávy na hrozby. Vzhledem k tomu, že stahování e-mailových zpráv může ohrozit zveřejnění informací, je tento proces řízen řízením přístupu na základě role (RBAC). K tomu, aby bylo možné stahovat e-maily v zobrazení všech e-mailových zpráv, je potřeba nová role Preview. Zobrazení záhlaví e-mailu ale nevyžaduje žádnou další roli (kromě toho, co je potřeba k zobrazení zpráv v Průzkumníku hrozeb). Vytvoření nové skupiny rolí s rolí Preview:

  1. Vyberte předdefinovanou skupinu rolí, která má pouze roli Preview, například Data Investigator nebo eDiscovery Manager.
  2. Vyberte Kopírovat skupinu rolí.
  3. Zvolte název a popis nové skupiny rolí a vyberte Další.
  4. Upravte role tak, že podle potřeby přidáte a odeberete role, ale ponecháte roli Preview.
  5. Přidejte členy a pak vyberte Vytvořit skupinu rolí.

Detekce v Průzkumníkovi a v reálném čase také získají nová pole, která poskytují úplnější přehled o tom, kam vaše e-mailové zprávy přichystány. Tyto změny usnadňují proaktivní vyhledávání operací zabezpečení. Hlavním výsledkem ale je, že na první pohled poznáte umístění problémových e-mailových zpráv.

Jak se to dělá? Stav doručení je teď rozdělený do dvou sloupců:

  • Akce doručení – stav e-mailu
  • Místo doručení – kam byl e-mail směrován.

Akce doručení je akce provedená v e-mailu kvůli existujícím zásadám nebo detekci. Tady jsou možné akce pro e-mail:

Dodané Nevyžádaná pošta Blokován Nahrazen
E-mail se doručil do doručené pošty nebo složky uživatele a uživatel k nim má přístup. E-mail byl odeslán do složky Nevyžádaná pošta nebo Odstraněná pošta uživatele a uživatel k nim má přístup. E-maily, které jsou v karanténě, které selhaly nebo byly vyřazeny. Tyto e-maily jsou pro uživatele nepřístupné. E-maily obsahovaly škodlivé přílohy nahrazené .txt soubory, které uvádějí, že příloha byla škodlivá.

Tady je to, co uživatel uvidí a neuvidí:

Přístupné koncovým uživatelům Nepřístupné pro koncové uživatele
Dodané Blokován
Nevyžádaná pošta Nahrazen

Umístění doručení zobrazuje výsledky zásad a detekcí, které se spouštějí po doručení. Je propojená s akcí Doručení. Toto jsou možné hodnoty:

  • Doručená pošta nebo složka: E-mail je ve složce doručené pošty nebo složce (podle vašich pravidel e-mailu).
  • Místní nebo externí: Poštovní schránka neexistuje v cloudu, ale je místní.
  • Nevyžádaná pošta: E-mail je ve složce Nevyžádaná pošta uživatele.
  • Složka Odstraněná pošta: E-mail ve složce Odstraněná pošta uživatele.
  • Karanténa: E-mail je v karanténě a není v poštovní schránce uživatele.
  • Nezdařilo se: E-mail se nepodařilo připojit k poštovní schránce.
  • Zrušeno: E-mail se ztratil někde v toku pošty.

Časová osa e-mailu

Časová osa e-mailu je nová funkce Průzkumníka, která vylepšuje prostředí proaktivního vyhledávání pro správce. Zkracuje dobu strávenou kontrolou různých umístění, aby se pokusila událost pochopit. Když při doručení e-mailu nebo v jeho blízkosti dojde k více událostem, zobrazí se tyto události v zobrazení časové osy. Některé události, ke kterým dochází po doručení e-mailu, se zaznamenávají ve sloupci Zvláštní akce . Správci můžou zkombinovat informace z časové osy se speciální akcí po doručení e-mailu, aby získali přehled o tom, jak jejich zásady fungují, kam se pošta nakonec přesměrovala a v některých případech jaké bylo konečné hodnocení.

Další informace najdete v tématu Zkoumání a náprava škodlivých e-mailů doručených v Office 365.

Export dat kliknutí na adresu URL

Nyní můžete exportovat sestavy pro kliknutí na adresu URL a Microsoft Excel zobrazit JEJICH ID síťové zprávy a kliknout na verdikt, což pomáhá vysvětlit, odkud pochází provoz kliknutí na adresu URL. Jak to funguje: Ve správě hrozeb na panelu snadného spuštění Office 365 postupujte podle tohoto řetězce:

Explorer > Zobrazit Phish > Kliknutí > Horní adresy URL nebo první kliknutí na > adresu URL vyberte libovolný záznam a otevřete tak informační rámeček adresy URL.

Když v seznamu vyberete adresu URL, zobrazí se na informačním panelu nové tlačítko Exportovat . Pomocí tohoto tlačítka můžete přesunout data do tabulky Excel pro snadnější vytváření sestav.

Pokud se chcete dostat do stejného umístění v sestavě detekce v reálném čase, postupujte takto:

Explorer > Detekce v > reálném čase Zobrazit Phish > Adresy url > Horní adresy URL nebo kliknutí nahoře > Vyberte libovolný záznam a otevřete tak kontextové > okno adresy URL, přejděte na kartu Kliknutí .

Tip

ID síťové zprávy mapuje kliknutí zpět na konkrétní e-maily při hledání ID prostřednictvím Průzkumníka nebo přidružených nástrojů třetích stran. Tato hledání identifikují e-mail přidružený k výsledku kliknutí. Id korelované síťové zprávy umožňuje rychlejší a výkonnější analýzu.

Zobrazení malwaru zjištěného v e-mailu technologií

Předpokládejme, že chcete vidět malware zjištěný v e-mailech seřazených podle Microsoft 365 technologie. Uděláte to tak, že použijete zobrazení e-mailu > malware v Průzkumníkovi (nebo detekce v reálném čase).

  1. V Centru dodržování předpisů & zabezpečení (https://protection.office.com) zvolte Průzkumníka správy > hrozeb (nebo detekce v reálném čase). (V tomto příkladu se používá Průzkumník.)

  2. V nabídce Zobrazit zvolte Malware e-mailu > .

  3. Klikněte na Odesílatele a pak zvolte Základní > detekční technologie.

    Vaše detekční technologie jsou teď dostupné jako filtry pro sestavu.

  4. Zvolte některou možnost. Pak výběrem tlačítka Aktualizovat tento filtr použijte.

Sestava se aktualizuje, aby zobrazovala výsledky zjištěné malwarem v e-mailu pomocí vybrané technologie. Tady můžete provést další analýzu.

Zobrazit adresu URL útoku phishing a kliknout na data o rozhodnutí

Předpokládejme, že chcete zobrazit pokusy o útok phishing prostřednictvím adres URL v e-mailu, včetně seznamu povolených, blokovaných a přepisovaných adres URL. Pokud chcete identifikovat adresy URL, na které jste klikli, musí být nakonfigurované Sejf odkazy. Ujistěte se, že jste nastavili zásady Sejf Odkazy pro ochranu při kliknutí na čas a protokolování rozhodnutí o kliknutí podle Sejf Odkazů.

Pokud chcete zkontrolovat phish ADRESY URL ve zprávách a kliknout na adresy URL ve zprávách phish, použijte zobrazení EmailPhish > Průzkumníka nebo detekce v reálném čase.

  1. V Centru dodržování předpisů & zabezpečení (https://protection.office.com) zvolte Průzkumníka správy > hrozeb (nebo detekce v reálném čase). (V tomto příkladu se používá Průzkumník.)

  2. V nabídce Zobrazení zvolte E-mail > Phish.

  3. Klikněte na Odesílatele a pak zvolte Adresy URL > . Klikněte na rozhodnutí.

  4. Vyberte jednu nebo více možností, například Blokováno a Blokovat přepsáno, a pak vyberte tlačítko Aktualizovat na stejném řádku jako možnosti pro použití tohoto filtru. (Neaktualizujte okno prohlížeče.)

    Sestava se aktualizuje a zobrazí dvě různé tabulky adres URL na kartě Adresa URL v sestavě:

    • Hlavní adresy URL jsou adresy URL ve zprávách, na které jste vyfiltrovali, a počty akcí doručení e-mailu pro každou adresu URL. V zobrazení e-mailu Phish obvykle tento seznam obsahuje legitimní adresy URL. Útočníci do svých zpráv zahrnou kombinaci dobrých a špatných adres URL, aby se je pokusili doručit, ale škodlivé odkazy vypadají zajímavěji. Tabulka adres URL je seřazená podle celkového počtu e-mailů, ale tento sloupec je skrytý, aby se zjednodušilo zobrazení.

    • První kliknutí jsou Sejf adresy URL zabalené odkazy, na které jste klikli, seřazené podle celkového počtu kliknutí. Tento sloupec se také nezobrazuje, aby se zjednodušilo zobrazení. Celkový počet podle sloupce indikuje, Sejf odkazy u každé kliknutí na adresu URL kliknou na počet položek. V zobrazení e-mailu Phish jsou to obvykle podezřelé nebo škodlivé adresy URL. Zobrazení ale může obsahovat adresy URL, které nejsou hrozbami, ale jsou ve zprávách phish. Kliknutí na nebalené odkazy na adresu URL se tady nezobrazují.

    Dvě tabulky adres URL zobrazují nejvyšší adresy URL v phishingových e-mailových zprávách podle akce doručení a umístění. V tabulkách se zobrazují kliknutí na adresu URL, která byla zablokována nebo navštívena navzdory upozornění, takže můžete vidět, jaké potenciální chybné odkazy se uživatelům zobrazily a na které uživatel klikl. Tady můžete provést další analýzu. Pod grafem můžete například vidět horní adresy URL v e-mailových zprávách, které byly blokovány v prostředí vaší organizace.

    Pokud chcete zobrazit podrobnější informace, vyberte adresu URL.

    Poznámka

    V dialogovém okně s kontextovou adresou URL se odebere filtrování e-mailových zpráv, aby se zobrazilo úplné zobrazení expozice adresy URL ve vašem prostředí. To vám umožní filtrovat e-mailové zprávy, které vás zajímají v Průzkumníkovi, najít konkrétní adresy URL, které jsou potenciálními hrozbami, a pak rozšířit znalosti o vystavení adres URL ve vašem prostředí (prostřednictvím dialogového okna s podrobnostmi adresy URL), aniž byste museli do samotného zobrazení Průzkumníka přidávat filtry adres URL.

Interpretace rozhodnutí o kliknutí

V kontextových seznamech e-mailu nebo adresy URL, při kliknutí na první místo a v rámci našich možností filtrování se zobrazí různé hodnoty pro kliknutí:

  • Žádný: Nelze zachytit rozhodnutí pro adresu URL. Uživatel možná klikl na adresu URL.
  • Povoleno: Uživateli bylo povoleno přejít na adresu URL.
  • Blokován: Uživateli se zablokoval přechod na adresu URL.
  • Nevyřízený rozsudek: Uživateli se zobrazí stránka čekající na vybuczení.
  • Blokované přepsání: Uživateli se zablokoval přechod přímo na adresu URL. Uživatel ale přešel do bloku, aby přešel na adresu URL.
  • Nevyřízený rozsudek se obešel: Uživateli se zobrazí stránka detonace. Uživatel ale zprávu přepište, aby se k adrese URL dostali.
  • Chyba: Uživateli se zobrazila chybová stránka nebo došlo k chybě při zachytávání rozsudku.
  • Selhání: Při zachytávání rozsudku došlo k neznámé výjimce. Uživatel možná klikl na adresu URL.

Kontrola e-mailových zpráv hlášených uživateli

Předpokládejme, že chcete zobrazit e-mailové zprávy, které uživatelé ve vaší organizaci nahlásili jako Nevyžádaná pošta, Nevyžádaná pošta nebo Phishing prostřednictvím doplňku Zpráva sestavy nebo v doplňku Zpráva o útoku phishing. Pokud je chcete zobrazit, použijte zobrazení EmailSubmissions > v Průzkumníkovi (nebo detekce v reálném čase).

  1. V Centru dodržování předpisů & zabezpečení (https://protection.office.com) zvolte Průzkumníka správy > hrozeb (nebo detekce v reálném čase). (V tomto příkladu se používá Průzkumník.)

  2. V nabídce Zobrazit zvolte Odeslání e-mailu>.

  3. Klikněte na Odesílatele a pak zvolte Základní > typ sestavy.

  4. Vyberte možnost, například Phish, a pak vyberte tlačítko Aktualizovat .

Sestava se aktualizuje a zobrazí data o e-mailových zprávách, které lidé ve vaší organizaci nahlásili jako pokus o útok phishing. Tyto informace můžete použít k provedení další analýzy a v případě potřeby k úpravě zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365.

Zahájení automatizovaného šetření a reakce

Poznámka

Možnosti automatizovaného šetření a reakce jsou k dispozici v Microsoft Defender pro Office 365 Plánu 2 a Office 365 E5.

Automatizované vyšetřování a reakce můžou týmu bezpečnostních operací ušetřit čas a úsilí vynaložené na vyšetřování a zmírnění kybernetických útoků. Kromě konfigurace výstrah, které můžou aktivovat playbook zabezpečení, můžete spustit automatizované šetření a proces reakce ze zobrazení v Průzkumníkovi. Podrobnosti najdete v příkladu : Správce zabezpečení aktivuje šetření z Průzkumníka.

Další způsoby použití detekce v Průzkumníkovi a v reálném čase

Kromě scénářů popsaných v tomto článku máte v Průzkumníkovi k dispozici mnoho dalších možností vytváření sestav (nebo detekce v reálném čase). Projděte si následující články:

Požadované licence a oprávnění

Abyste mohli používat průzkumníka nebo zjišťování v reálném čase, musíte mít Microsoft Defender pro Office 365.

  • Průzkumník je součástí Defender pro Office 365 Plánu 2.
  • Sestava detekce v reálném čase je součástí Defender pro Office 365 plánu 1.
  • Naplánujte přiřazení licencí všem uživatelům, kteří by měli být chráněni Defender pro Office 365. Detekce v Průzkumníku a v reálném čase zobrazují data detekce pro licencované uživatele.

Pokud chcete zobrazit a používat zjišťování v Průzkumníkovi nebo v reálném čase, musíte mít příslušná oprávnění, například oprávnění udělená správci zabezpečení nebo čtenáři zabezpečení.

  • Pro Centrum dodržování předpisů & zabezpečení musíte mít přiřazenou jednu z následujících rolí:

    • Správa organizace
    • Správce zabezpečení (dá se přiřadit v centru pro správu Azure Active Directory (https://aad.portal.azure.com)
    • Čtenář zabezpečení
  • Pro Exchange Online musíte mít přiřazenou jednu z následujících rolí v Centru pro správu Exchange (EAC) nebo Exchange Online PowerShellu:

    • Správa organizace
    • Správa View-Only organizace
    • příjemci View-Only
    • Správa dodržování předpisů

Další informace o rolích a oprávněních najdete v následujících zdrojích informací:

Rozdíly mezi Průzkumníkem hrozeb a detekcemi v reálném čase

  • Sestava detekce v reálném čase je k dispozici v Defender pro Office 365 Plánu 1. Průzkumník hrozeb je k dispozici v Defender pro Office 365 Plánu 2.
  • Sestava detekce v reálném čase umožňuje zobrazit detekce v reálném čase. Průzkumník hrozeb to dělá také, ale poskytuje také další podrobnosti o daném útoku.
  • Zobrazení Všechny e-maily je dostupné v Průzkumníku hrozeb, ale ne v sestavě detekce v reálném čase.
  • Průzkumník hrozeb obsahuje další možnosti filtrování a dostupné akce. Další informace najdete v tématu popis služby Microsoft Defender pro Office 365: Dostupnost funkcí napříč plány Defender pro Office 365.

Zkoumání e-mailů pomocí stránky e-mailové entity