Share via

Email biztonság a Threat Explorerrel és a valós idejű észlelésekkel a Office 365-höz készült Microsoft Defender

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Azok a Microsoft 365-szervezetek, amelyek Office 365-höz készült Microsoft Defender szerepelnek az előfizetésükben, vagy bővítményként vásároltak Explorerrel (más néven Fenyegetéskezelővel) vagy valós idejű észlelésekkel rendelkeznek. Ezek a funkciók hatékony, közel valós idejű eszközök, amelyek segítenek a biztonsági üzemeltetési (SecOps) csapatoknak a fenyegetések kivizsgálásában és elhárításában. További információ: About Threat Explorer and Real-time detections in Office 365-höz készült Microsoft Defender (Tudnivalók a Veszélyforrás-felderítőről és a valós idejű észlelésekről Office 365-höz készült Microsoft Defender).

Ez a cikk bemutatja, hogyan tekintheti meg és vizsgálhatja meg az észlelt kártevőket és adathalász kísérleteket az e-mailekben a Fenyegetéskezelő vagy a valós idejű észlelések használatával.

Tipp

A Threat Explorert és a valós idejű észleléseket használó egyéb e-mail-forgatókönyvekért tekintse meg a következő cikkeket:

Mit kell tudnia a kezdés előtt?

Megszemélyesített felhasználóknak és tartományoknak küldött adathalász e-mailek megtekintése

A felhasználói és tartományi megszemélyesítés elleni védelemről az Office 365-höz készült Defender adathalászat elleni házirendjeiben a Megszemélyesítési beállítások az adathalászat elleni szabályzatokban a Office 365-höz készült Microsoft Defender-ben című témakörben talál további információt.

Az alapértelmezett vagy egyéni adathalászat elleni házirendekben meg kell adnia a megszemélyesítés elleni védelemhez szükséges felhasználókat és tartományokat, beleértve a tulajdonában lévő tartományokat (elfogadott tartományok). A Standard vagy a Szigorú előre beállított biztonsági házirendekben a tulajdonában lévő tartományok automatikusan megszemélyesítés elleni védelmet kapnak, de meg kell adnia minden felhasználót vagy egyéni tartományt a megszemélyesítés elleni védelemhez. Útmutatásért tekintse meg a következő cikkeket:

Az alábbi lépésekkel áttekintheti az adathalász üzeneteket, és megkeresheti a megszemélyesített felhasználókat vagy tartományokat.

  1. Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:

  2. Az Explorer vagy a Valós idejű észlelések lapon válassza az Adathalász nézetet. Az Adathalász nézetről további információt az Adathalász nézet a Fenyegetéskezelőben és a valós idejű észlelések című témakörben talál.

  3. Válassza ki a dátum-/időtartományt. Az alapértelmezett érték a tegnap és a mai nap.

  4. Hajtsa végre az alábbi lépések egyikét:

    • Keresse meg a felhasználó vagy tartomány megszemélyesítési kísérleteit:

      • Válassza a Feladó címe (tulajdonság) mezőt, majd a legördülő lista Alapszintű szakaszában válassza az Észlelési technológia lehetőséget.
      • A szűrőoperátorként az Egyenlő érték van kiválasztva.
      • A tulajdonságérték mezőben válassza a Megszemélyesítési tartomány és a Megszemélyesítés felhasználója lehetőséget

    • Konkrét megszemélyesített felhasználói kísérletek keresése:

      • Válassza a Feladó címe (tulajdonság) mezőt, majd a legördülő lista Alapszintű szakaszában válassza a Megszemélyesített felhasználó lehetőséget.
      • A szűrőoperátorként az Egyenlő érték van kiválasztva.
      • A tulajdonságérték mezőbe írja be a címzett teljes e-mail-címét. Több címzett értékét vesszővel válassza el egymástól.

    • Konkrét megszemélyesített tartománykísérletek keresése:

      • Válassza a Feladó címe (tulajdonság) mezőt, majd a legördülő lista Alapszintű szakaszában válassza a Megszemélyesített tartomány lehetőséget.
      • A szűrőoperátorként az Egyenlő érték van kiválasztva.
      • A tulajdonságérték mezőbe írja be a tartományt (például contoso.com). Több tartományérték vesszővel elválasztva.

  5. Szükség szerint adjon meg további feltételeket más szűrhető tulajdonságok használatával. Útmutatásért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések.

  6. Ha végzett a szűrési feltételek létrehozásával, válassza a Frissítés lehetőséget.

  7. A diagram alatti részletek területen ellenőrizze, hogy a Email lap (nézet) van-e kiválasztva.

    Rendezheti a bejegyzéseket, és további oszlopokat jeleníthet meg a Fenyegetéskezelő adathalász nézetének részletek területének Email nézetében és a valós idejű észlelésekben leírtak szerint.

URL-cím exportálása kattintási adatokra

Az URL kattintási adatok CSV-fájlba való exportálásával megtekintheti a hálózati üzenet azonosítóját és a Click verdict értékeket, amelyek segítenek elmagyarázni, hogy honnan származik az URL-kattintási forgalom.

  1. Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:

  2. Az Explorer vagy a Valós idejű észlelések lapon válassza az Adathalász nézetet. Az Adathalász nézetről további információt az Adathalász nézet a Fenyegetéskezelőben és a valós idejű észlelések című témakörben talál.

  3. Válassza ki a dátum-/időtartományt, majd válassza a Frissítés lehetőséget. Az alapértelmezett érték a tegnap és a mai nap.

  4. A részletek területen válassza a Felső URL-címek vagy a Felső kattintások lapot (nézet).

  5. A Felső URL-címek vagy a Felső kattintások nézetben jelöljön ki egy vagy több bejegyzést a táblázatból az első oszlop melletti jelölőnégyzet bejelölésével, majd válassza az Exportálás lehetőséget. Explorer>Phish>Kattintás>Top URLls or URL Top Clicks> select any record to open the URL flyout.

A Hálózati üzenetazonosító érték használatával konkrét üzeneteket kereshet a Threat Explorerben, valós idejű észleléseket vagy külső eszközöket. Ezek a keresések azonosítják a kattintás eredményéhez társított e-mail-üzenetet. A korrelált hálózati üzenetazonosító gyorsabb és hatékonyabb elemzést tesz lehetővé.

Az e-mailben észlelt kártevők megtekintése

A Fenyegetéskezelőben vagy a valós idejű észlelésekben kövesse az alábbi lépéseket a Microsoft 365 által e-mailben észlelt kártevők megtekintéséhez.

  1. Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:

  2. Az Explorer vagy a Valós idejű észlelések lapon válassza a Kártevő nézetet. Az adathalász nézetről további információt a Kártevők nézet a Fenyegetéskezelőben és a valós idejű észlelések című témakörben talál.

  3. Válassza ki a dátum-/időtartományt. Az alapértelmezett érték a tegnap és a mai nap.

  4. Válassza a Feladó címe (tulajdonság) mezőt, majd a legördülő lista Alapszintű szakaszában válassza az Észlelési technológia lehetőséget.

    • A szűrőoperátorként az Egyenlő érték van kiválasztva.
    • A tulajdonságérték mezőben válasszon ki egy vagy több értéket az alábbi értékek közül:
      • Kártevők elleni védelem
      • Fájl detonációja
      • Fájlmegsüllyedés híre
      • Fájlnév
      • Ujjlenyomat-egyeztetés

  5. Szükség szerint adjon meg további feltételeket más szűrhető tulajdonságok használatával. Útmutatásért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések.

  6. Ha végzett a szűrési feltételek létrehozásával, válassza a Frissítés lehetőséget.

A jelentés azokat az eredményeket jeleníti meg, amelyeket a kártevők e-mailben észleltek a kiválasztott technológiai beállítások használatával. Innen további elemzéseket végezhet.

Üzenetek jelentése tisztaként

A Defender portál https://security.microsoft.com/reportsubmissionBeküldések lapjának használatával tisztaként (hamis pozitívként) jelentheti az üzeneteket a Microsoftnak. Az Explorerből és a valós idejű észlelésekből azonban tiszta üzeneteket is küldhet a Microsoftnak.

Útmutatásért lásd: Veszélyforrás-keresés: Email szervizelés.

Összegzés:

  • Válassza a Művelet végrehajtása az alábbi módszerek egyikével lehetőséget:

    • Jelöljön ki egy vagy több üzenetet a Email lap (nézet) Minden e-mail, Kártevő vagy Adathalász nézet részletek táblázatából a bejegyzésekhez tartozó jelölőnégyzetek bejelölésével.

    Vagy

    • Miután kiválasztott egy üzenetet a részletek táblázatából, a Minden e-mail, Kártevő vagy Adathalász nézet Email lapján (nézetében) kattintson a Tárgy értékre.

  • A Művelet végrehajtása varázslóban válassza a Küldés a Microsoftnak lehetőséget az ellenőrzéshez>, amelyről meggyőződtem, hogy tiszta.

Adathalász URL-cím megtekintése, majd a döntési adatokra kattintva

A Biztonságos hivatkozások elleni védelem nyomon követi az engedélyezett, letiltott és felül bírált URL-címeket. A Biztonságos hivatkozások védelem alapértelmezés szerint be van kapcsolva az előre beállított biztonsági szabályzatok beépített védelmének köszönhetően. A Biztonságos hivatkozások védelme a Standard és a Szigorú előre beállított biztonsági szabályzatokban van bekapcsolva. A Biztonságos hivatkozások védelmet egyéni Biztonságos hivatkozások házirendekben is létrehozhatja és konfigurálhatja. A Biztonságos hivatkozások házirend-beállításokkal kapcsolatos további információkért lásd: Biztonságos hivatkozások házirend-beállításai.

Az alábbi lépésekkel megtekintheti az adathalászati kísérleteket url-címekkel az e-mailekben.

  1. Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:

  2. Az Explorer vagy a Valós idejű észlelések lapon válassza az Adathalász nézetet. Az Adathalász nézetről további információt az Adathalász nézet a Fenyegetéskezelőben és a valós idejű észlelések című témakörben talál.

  3. Válassza ki a dátum-/időtartományt. Az alapértelmezett érték a tegnap és a mai nap.

  4. Jelölje ki a Feladó címe (tulajdonság) mezőt, majd válassza a Legördülő lista URL-címek szakaszában az Ítéletre kattintva lehetőséget.

    • A szűrőoperátorként az Egyenlő érték van kiválasztva.
    • A tulajdonságérték mezőben válasszon ki egy vagy több értéket az alábbi értékek közül:
      • Blokkolt
      • Felül van bírálva a letiltva

    A Click verdict értékek magyarázatáért lásd: Kattintson az ítéletrea Szűrhető tulajdonságok területen a Veszélyforrás-kezelő Minden e-mail nézetében.

  5. Szükség szerint adjon meg további feltételeket más szűrhető tulajdonságok használatával. Útmutatásért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések.

  6. Ha végzett a szűrési feltételek létrehozásával, válassza a Frissítés lehetőséget.

A diagram alatti részletek területén a Felső URL-címek lap (nézet) a letiltott üzenetek, a levélszemétben lévő üzenetek és az első öt URL-címhez kézbesített üzenetek számát jeleníti meg. További információkért tekintse meg a Top URL-címek nézetet a Threat Explorer adathalász nézetének részleteit és a valós idejű észleléseket ismertető cikket.

A diagram alatti részletek területén a Felső kattintások lap (nézet) mutatja a biztonságos hivatkozások által becsomagolt öt legjobban kattintott hivatkozást. Itt nem jelennek meg a nem összekapcsolt hivatkozásokra kattintva megjelenő URL-címek. További információ: Az Adathalászat nézet részletes nézete a Fenyegetéskezelőben és a valós idejű észlelések felső kattintási nézete.

Ezek az URL-táblázatok olyan URL-címeket mutatnak, amelyeket egy figyelmeztetés ellenére blokkoltak vagy látogattak meg. Ezek az információk a felhasználók számára megjelenített lehetséges rossz hivatkozásokat jelenítik meg. Innen további elemzéseket végezhet.

A részletekért válasszon ki egy URL-címet a nézet egyik bejegyzéséből. További információ: Url-cím részletei a Legfelső URL-címek és a Legfelső kattintások lap adathalász nézetben.

Tipp

Az URL-részletek úszó panelen a rendszer eltávolítja az e-mailekre vonatkozó szűrést, hogy teljes képet jelenítsen meg az URL-cím kitettségéről a környezetben. Ez a viselkedés lehetővé teszi, hogy konkrét e-mail-üzenetekre szűrjön, megkeresse azokat az URL-címeket, amelyek potenciális fenyegetések, majd bővítse az URL-kitettség fogalmát a környezetben anélkül, hogy URL-szűrőket kellene hozzáadnia az Adathalász nézetben.

A kattintási ítéletek értelmezése

A Click verdict tulajdonság eredményei a következő helyeken láthatók:

Az ítéletértékeket a következő lista ismerteti:

  • Engedélyezett: A felhasználó megnyithatta az URL-címet.
  • Felülbírált blokk: A felhasználó nem tudta közvetlenül megnyitni az URL-címet, de felülírta a blokkot az URL-cím megnyitásához.
  • Letiltva: A felhasználó nem tudta megnyitni az URL-címet.
  • Hiba: A felhasználó megjelenik a hibaoldalon, vagy hiba történt az ítélet rögzítésekor.
  • Hiba: Ismeretlen kivétel történt az ítélet rögzítése közben. Lehetséges, hogy a felhasználó megnyitotta az URL-címet.
  • Nincs: Nem sikerült rögzíteni az URL-cím ítéletét. Lehetséges, hogy a felhasználó megnyitotta az URL-címet.
  • Függőben lévő ítélet: A felhasználónál megjelenik a robbanás függőben lévő oldala.
  • Függőben lévő ítélet megkerülve: A felhasználó megjelenik a detonációs oldalon, de felülírta az üzenetet, hogy megnyissa az URL-címet.

Automatizált vizsgálat és reagálás indítása a Threat Explorerben

Az automatizált vizsgálat és reagálás (AIR) a 2. csomag Office 365-höz készült Defender időt és energiát takaríthat meg a kibertámadások kivizsgálása és enyhítése során. Konfigurálhat olyan riasztásokat, amelyek aktiválnak egy biztonsági forgatókönyvet, és elindíthatja az AIR-t a Threat Explorerben. Részletekért lásd : Példa: Egy biztonsági rendszergazda elindít egy vizsgálatot az Explorerből.

E-mailek vizsgálata az Email entitásoldallal