Prozkoumat škodlivý e-mail, který se doručil v Microsoft 365

Poznámka

Chcete si Microsoft 365 Defender prožít? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotní Microsoft 365 Defender.

Platí pro:

• Microsoft Defender pro Office 365 plán 1 a plán 2
• Microsoft 365 Defender

Microsoft Defender pro Office 365 umožňuje prošetřit aktivity, které lidi ve vaší organizaci otřásly, a přijmout opatření k ochraně vaší organizace. Pokud jste například součástí týmu zabezpečení vaší organizace, můžete najít a prozkoumat podezřelé e-mailové zprávy, které jste doručili. Můžete to udělat pomocí Průzkumníka hrozeb (nebo zjišťování v reálném čase)..

Poznámka

Tady se můžete dostat k článku o nápravě.

Než začnete

Ujistěte se, že jsou splněny následující požadavky:

• Vaše organizace má Microsoft Defender pro Office 365 a licence jsou přiřazeny uživatelům.

• Protokolování auditování je ve vaší organizaci zapnuté.

• Vaše organizace má definované zásady pro ochranu proti spamu, malwaru, phishingu atd. Viz Ochrana před hrozbami v Office 365.

• Jste globální správce nebo máte přiřazenou roli Správce zabezpečení nebo Hledání a vymazání na Microsoft 365 Defender portálu. Další informace najdete v článku Oprávnění na Microsoft 365 Defender portálu. U některých akcí musíte mít přiřazenou taky roli Náhled.

Náhled oprávnění rolí

Pokud chcete provést určité akce, jako je zobrazení záhlaví zpráv nebo stahování obsahu e-mailových zpráv, musíte mít roli Náhled přidanou do jiné vhodné skupiny rolí. Následující tabulka vysvětluje povinné role a oprávnění.

Activity	Skupina rolí	Je potřeba zobrazit náhled role?
Analýza hrozeb pomocí Průzkumníka hrozeb (a zjišťování v reálném čase)	Globální správce Správce zabezpečení Čtečka zabezpečení	Ne
Použití Průzkumníka hrozeb (a zjišťování v reálném čase) k zobrazení záhlaví e-mailových zpráv a k zobrazení náhledu a stažení e-mailových zpráv v karanténě	Globální správce Správce zabezpečení Čtečka zabezpečení	Ne
Použití Průzkumníka hrozeb k zobrazení záhlaví, zobrazení náhledu e-mailu (jenom na stránce e-mailové entity) a stažení e-mailových zpráv doručených do poštovních schránek	Globální správce Správce zabezpečení Čtečka zabezpečení Náhled	Ano

Poznámka

Náhled je role, ne skupina rolí. Role Náhled musí být přidána do existující skupiny rolí nebo nové skupiny rolí na Microsoft 365 Defender portálu. Další informace najdete v článku Oprávnění na Microsoft 365 Defender portálu.

Roli globálního správce se přiřadí Centrum pro správu Microsoftu 365 na .https://admin.microsoft.com Role Správce zabezpečení a Čtečka zabezpečení se přiřadí na Microsoft 365 Defender portálu.

Chápeme, že zobrazení náhledu a stahování e-mailů jsou citlivé aktivity, takže auditování je pro tyto aktivity povolené. Jakmile správce tyto aktivity provede v e-mailu, vygenerují se protokoly auditování pro stejné položky a zobrazí se na portálu Microsoft 365 Defender na kartě Hledání > auditování a https://security.microsoft.com vyfiltrují se podle názvu správce v poli Uživatelé. Ve filtrovaných výsledcích se zobrazí aktivita AdminMailAccess. Výběrem řádku zobrazíte podrobnosti v části Další informace o náhledu nebo stažených e-mailech.

Vyhledání podezřelého e-mailu, který jste doručili

Průzkumník hrozeb je výkonná sestava, která může sloužit k několika účelům, jako je hledání a odstraňování zpráv, identifikace IP adresy škodlivého odesílatele e-mailu nebo zahájení incidentu k dalšímu vyšetřování. Následující postup se zaměřuje na používání Průzkumníka k vyhledání a odstranění škodlivých e-mailů z poštovních schránek příjemce.

Poznámka

Výchozí hledání v Průzkumníkovi v současné době nezahrnují doručené položky, které byly z cloudové poštovní schránky odebrány automatickým vymazáním (ZAP) s nulovou hodinou. Toto omezení platí pro všechna zobrazení (například zobrazení e-mailový > malware nebo e-mailový > phish). Pokud chcete zahrnout položky odebrané společností ZAP, musíte přidat sadu akcí Doručení , aby zahrnovala možnost Odebrané zap. Pokud zahrnete všechny možnosti, zobrazí se všechny výsledky akcí doručení, včetně položek odebraných společností ZAP.

1. Na portálu Microsoft 365 Defender na webu https://security.microsoft.compřejděte na Průzkumníka e-mailu & spolupráci > . Pokud chcete přejít přímo na stránku Průzkumníka , použijte https://security.microsoft.com/threatexplorer.

   Na stránce Průzkumník zobrazuje sloupec Další akce správci výsledek zpracování e-mailu. Sloupec Další akce je přístupný na stejném místě jako akce Doručení a Umístění doručení. Na konci časové osy e-mailu Průzkumníka hrozeb se můžou aktualizovat speciální akce, což je nová funkce zaměřená na zlepšení prostředí pro lovení pro správce.

2. V nabídce Zobrazení vyberte v rozevíracím seznamu možnost > E-mail všem e-mailům.

   

   Zobrazení Malwaru je momentálně výchozí a zachycuje e-maily, ve kterých je zjištěna hrozba malwaru. Zobrazení Phish funguje stejně, jako u Phish.

   Všechny e-mailové zobrazení ale uvádí všechny e-maily přijaté organizací bez ohledu na to, jestli byly zjištěny hrozby nebo ne. Jak si můžete představit, je to spousta dat, proto se v tomto zobrazení zobrazuje zástupný symbol, který žádá o použití filtru. (Toto zobrazení je dostupné jenom pro zákazníky Defender pro Office 365 P2.)

   Zobrazení Odeslání zobrazuje všechny e-maily odeslané správcem nebo uživatelem, které byly oznámeny Microsoftu.

3. Hledání a filtrování v Průzkumníkovi hrozeb: Filtry se zobrazují v horní části stránky na panelu hledání, aby pomohly správcům při jejich vyšetřování. Všimněte si, že je možné použít více filtrů najednou a více hodnot oddělených čárkami přidaných do filtru, aby se hledání zúžilo. Pamatujte si:

   • Filtry dělají přesnou shodu ve většině podmínek filtru.
   • Filtr předmětu používá dotaz CONTAINS.
   • Filtry adres URL fungují s protokoly nebo bez nich (např. https).
   • Filtry domény, adresy URL a domény a cesty url nevyžadují k filtrování protokol.
   • Při každé změně hodnot filtru musíte kliknout na ikonu Aktualizovat, abyste měli relevantní výsledky.

4. Rozšířené filtry: Pomocí těchto filtrů můžete vytvářet složité dotazy a filtrovat sadu dat. Kliknutím na Upřesnit filtry se otevře plovoucí nabídka s možnostmi.

   Rozšířené filtrování je skvělý doplněk k možnostem vyhledávání. Logická hodnota NOT ve filtrech domény Příjemce, Odesílatel a Odesílatel umožňuje správcům prošetřit vyloučením hodnot. Tato možnost je rovná se žádný z výběru. Tato možnost umožňuje správcům vyloučit nežádoucí poštovní schránky z vyšetřování (například poštovní schránky s upozorněním a výchozí poštovní schránky odpovědí) a je užitečná pro případy, kdy správci vyhledá konkrétní předmět (například Pozornost), kde příjemce může být nastavený na Rovná se žádné z těchto defaultMail@contoso.com. Toto je hledání přesnou hodnotou.

   

   Přidáním časového filtru k počátečnímu datu a koncovému datu pomůžete týmu zabezpečení rychle přejít k podrobnostem. Nejkratší povolená doba trvání je 30 minut. Pokud podezřelou akci můžete zúžit podle časového rámce (například před třemi hodinami), omezí se tím kontext a pomůžete určit problém.

   

5. Pole v Průzkumníkovi hrozeb: Průzkumník hrozeb poskytuje mnohem více informací souvisejících se zabezpečením pošty, jako je akce doručení, umístění doručení, zvláštní akce, směronost, přepsání a hrozba adresy URL. Umožňuje také bezpečnostnímu týmu vaší organizace s vyšší jistotou prošetřit.

   Akce doručení je akce přijatá u e-mailu kvůli existujícím zásadám nebo zjišťováním. Tady jsou možné akce, které může e-mail udělat:

   • Doručeno – e-mail se doručil do složky Doručená pošta nebo složky uživatele a uživatel k ní má přímý přístup.
   • Nevyžádaná pošta (Doručeno do nevyžádané pošty) – e-mail byl odeslán do složky nevyžádané pošty nebo odstraněné složky uživatele a uživatel má přístup k e-mailovým zprávám ve složce Nevyžádaná pošta nebo Odstraněná pošta.
   • Blokované – všechny e-mailové zprávy, které jsou v karanténě, které selhaly nebo byly vynechány.
   • Nahrazeno – všechny e-maily, ve kterých jsou škodlivé přílohy nahrazeny .txt, ve kterých je příloha škodlivá

   Umístění doručení: Filtr Umístění doručení je k dispozici, aby správci lépe pochopili, kde skončila podezřelá zákeřná pošta a jaké akce na ní byly přijaty. Výsledná data je možné exportovat do tabulky. Možná místa doručení jsou:

   • Doručená pošta nebo složka – E-mail je ve složce Doručená pošta nebo v určité složce podle pravidel e-mailu.
   • Místní nebo externí – poštovní schránka v cloudu neexistuje, ale je místně.
   • Složka Nevyžádaná pošta – E-mail je ve složce Nevyžádaná pošta uživatele.
   • Složka Odstraněná pošta – e-mail je ve složce Odstraněná pošta uživatele.
   • Karanténa – E-mail v karanténě a ne v poštovní schránce uživatele.
   • Selhalo – e-mail se nepodařilo dostat do poštovní schránky.
   • Zahozeno – e-mail se ztratil někde v toku pošty.

   Směr: Tato možnost umožňuje, aby váš operační tým zabezpečení vyfiltruje podle směru, ze které pošta pochází nebo se chystá. Hodnoty směrnosti jsou Příchozí*, Odchozí* a Intra-org (odpovídající e-mailu přicházející do vaší organizace zvenčí, posílání z vaší organizace nebo posílání interně do vaší organizace). Tyto informace můžou týmům bezpečnostních operací pomoct zjistit falšování a zosobnění, protože neshoda mezi hodnotou Directionality (např. Příchozí) a doména odesílatele (která se zdá být interní doménou) bude zřejmá! Hodnota Directionality (Směrnost) je samostatná a může se lišit od funkce Sledování zpráv. Výsledky je možné exportovat do tabulky.

   Přepíše: Tento filtr přebírá informace, které se zobrazí na kartě s podrobnostmi o poště, a používá je k tomu, aby vystavoval místo přepsání zásad organizace nebo uživatelů pro povolování a blokování e-mailů. Nejdůležitější na tomto filtru je, že pomáhá bezpečnostnímu týmu vaší organizace vidět, kolik podezřelých e-mailů bylo doručeno kvůli konfiguraci. Díky tomu mají možnost podle potřeby upravovat oprávnění a bloky. Tuto sadu výsledků filtru můžete exportovat do tabulky.

   Přepsání Průzkumníka hrozeb	Co znamenají
   Povolené v zásadách organizace	Pošta byla povolena do poštovní schránky podle pokynů zásad organizace.
   Zásady blokované organizačními skupinami	Pošta byla zablokována v doručení do poštovní schránky podle pokynů zásad organizace.
   Přípona souboru blokovaná zásadou organizace	Soubor byl zablokován v doručení do poštovní schránky podle pokynů zásad organizace.
   Povolené uživatelskými zásadami	Pošta byla povolena do poštovní schránky podle pokynů zásad uživatele.
   Blokováno uživatelskými zásadami	Pošta byla zablokována v doručení do poštovní schránky podle pokynů zásad uživatele.

   Hrozba adresy URL: Pole s hrozbou url je zahrnuté na kartě podrobností e-mailu, které označuje hrozbu, kterou představuje adresa URL. Mezi hrozby, které představuje adresa URL, může zahrnovat malware, phish nebo spam a adresa URL bez hrozby v části hrozby nebude obsahovat žádné.

6. Zobrazení časové osy e-mailu: Váš operační tým zabezpečení možná bude muset podrobně prozkoumat podrobnosti e-mailu. Časová osa e-mailu umožňuje správcům zobrazit akce u e-mailu od doručení po doručení. Pokud chcete zobrazit časovou osu e-mailu, klikněte na předmět e-mailové zprávy a potom klikněte na Časová osa e-mailu. (Zobrazuje se mezi jinými nadpisy na panelu, jako je Souhrn nebo Podrobnosti.) Tyto výsledky je možné exportovat do tabulky.

   Časová osa e-mailu se otevře u tabulky, která zobrazuje všechny události doručení a po doručení e-mailu. Pokud v e-mailu nejsou žádné další akce, měla by se zobrazit jedna událost pro původní doručení, která uvádí výsledek, například Blokováno , s vynesením rozhodnutí, jako je Phish. Správci mohou exportovat celou časovou osu e-mailu, včetně všech podrobností na kartě a e-mailu (například Předmět, Odesílatel, Příjemce, Síť a ID zprávy). Časová osa e-mailu se zkřížila při randomizaci, protože je méně času stráveného kontrolou různých míst, abyste se pokusili porozumět událostem, ke které došlo od okamžiku, kdy e-mail přišel. Když se v e-mailu nebo poblíž e-mailu stane více událostí, zobrazí se tyto události v zobrazení časové osy.

7. Náhled / stažení: Průzkumník hrozeb poskytne vašemu týmu bezpečnostních operací podrobnosti, které potřebují k prozkoumání podezřelých e-mailů. Váš operační tým zabezpečení může:

   • Zkontrolujte akci a místo doručení.

   • Zobrazte časovou osu e-mailu.

Kontrola akce a místa doručení

V Průzkumníkovi hrozeb (a zjišťováních v reálném čase) teď máte místo bývalého sloupce Stav doručení sloupce Akce doručení a Umístění doručení. Výsledkem je úplnější obrázek o tom, kde vaše e-mailové zprávy přistane. Součástí této změny je usnadnit vyšetřování týmům bezpečnostních operací, ale čistým výsledkem je znalost umístění problémových e-mailových zpráv na první pohled.

Stav doručení je teď rozdělený na dva sloupce:

• Akce doručení – Jaký je stav tohoto e-mailu?
• Umístění doručení – kam se tento e-mail směroval?

Akce doručení je akce přijatá u e-mailu kvůli existujícím zásadám nebo zjišťováním. Tady jsou možné akce, které může e-mail udělat:

• Doručeno – e-mail se doručil do složky Doručená pošta nebo složky uživatele a uživatel k ní má přímý přístup.
• Nevyžádaná pošta – e-mail byl odeslán do složky nevyžádané pošty nebo odstraněné složky uživatele a uživatel má přístup k e-mailovým zprávám ve složce Nevyžádaná pošta nebo Odstraněná pošta.
• Blokované – všechny e-mailové zprávy, které jsou v karanténě, které selhaly nebo byly vynechány.
• Nahrazeno – všechny e-maily, ve kterých jsou škodlivé přílohy nahrazeny .txt soubory, ve kterých se příloha nachází, byly škodlivé.

Umístění doručení zobrazuje výsledky zásad a zjišťování, které se spustí po doručení. Je propojený s akcí doručení. Toto pole bylo přidáno, aby bylo možné získat přehled o akcích provedených při nalezené problémové poště. Tady jsou možné hodnoty místa doručení:

• Doručená pošta nebo složka – E-mail je ve složce Doručená pošta nebo ve složce (podle pravidel e-mailu).
• Místní nebo externí – poštovní schránka neexistuje v cloudu, ale je místně.
• Složka Nevyžádaná pošta – E-mail je ve složce Nevyžádaná pošta uživatele.
• Složka Odstraněná pošta – e-mail je ve složce Odstraněná pošta uživatele.
• Karanténa – E-mail v karanténě a ne v poštovní schránce uživatele.
• Selhalo – e-mail se nepodařilo dostat do poštovní schránky.
• Zahozeno – E-mail se ztratí někde v toku pošty.

Zobrazení časové osy e-mailu

Časová osa e-mailu je pole v Průzkumníkovi hrozeb, které usnadňuje hledání pro váš operační tým zabezpečení. Když se v e-mailu stane více událostí nebo se jim současně blíží, zobrazí se tyto události v zobrazení časové osy. Některé události, které se dějí po doručení e-mailu, jsou zachycené ve sloupci Zvláštní akce. Kombinování informací z časové osy e-mailové zprávy s jakýmikoli zvláštními akcemi, které byly provedeny po doručení, poskytuje správcům přehled o zásadách a zpracování hrozeb (například o tom, kde byla pošta směrována, a v některých případech i o konečném posouzení).

Důležité

Tady přejdete na téma nápravy.

Související témata

Náprava škodlivých e-mailů doručených v Office 365

Microsoft Defender pro Office 365

Ochrana před hrozbami v Office 365

Zobrazení sestav pro Defender pro Office 365