A Microsoft 365-ben kézbesített rosszindulatú e-mailek vizsgálata

• A következőre érvényes::

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Azok a Microsoft 365-szervezetek, amelyek Office 365-höz készült Microsoft Defender szerepelnek az előfizetésükben, vagy bővítményként vásároltak Explorerrel (más néven Fenyegetéskezelővel) vagy valós idejű észlelésekkel rendelkeznek. Ezek a funkciók hatékony, közel valós idejű eszközök, amelyek segítenek a biztonsági üzemeltetési (SecOps) csapatoknak a fenyegetések kivizsgálásában és elhárításában. További információ: About Threat Explorer and Real-time detections in Office 365-höz készült Microsoft Defender (Tudnivalók a Veszélyforrás-felderítőről és a valós idejű észlelésekről Office 365-höz készült Microsoft Defender).

A Fenyegetéskezelő és a valós idejű észlelések lehetővé teszik a szervezeten belüli személyeket veszélyeztető tevékenységek kivizsgálását, valamint a szervezet védelmére irányuló intézkedések megtételét. Például:

• Üzenetek keresése és törlése.
• Azonosítsa egy rosszindulatú e-mail-feladó IP-címét.
• Incidens indítása további vizsgálat céljából.

Ez a cikk bemutatja, hogyan kereshet kártékony e-maileket a címzett postaládáiban a Veszélyforrás-kezelővel és a valós idejű észlelésekkel.

Tipp

Ha közvetlenül a javítási eljárásokra szeretne lépni, tekintse meg a kártékony e-mailek Office 365 történő szervizelését.

A Threat Explorert és a valós idejű észleléseket használó egyéb e-mail-forgatókönyvekért tekintse meg a következő cikkeket:

• Veszélyforrás-keresés a Veszélyforrás-kezelőben és valós idejű észlelések a Office 365-höz készült Microsoft Defender
• Email biztonság a Threat Explorerrel és a valós idejű észlelésekkel a Office 365-höz készült Microsoft Defender

Mit kell tudnia a kezdés előtt?

• A Threat Explorer Office 365-höz készült Defender 2. csomag része. A valós idejű észlelések a Defender for Office 1 csomag részét képezik:

  • A Fenyegetéskezelő és a valós idejű észlelések közötti különbségeket a Veszélyforrás-felderítőről és a valós idejű észlelések Office 365-höz készült Microsoft Defender című cikkben olvashatja.
  • A Office 365-höz készült Defender 2. csomag és az Office Defender 1. csomagja közötti különbségeket az Office 365-höz készült Defender 1. csomag és a 2. csomag közötti hasznos tanácsok ismertetik.

• Azon szűrőtulajdonságok esetében, amelyeknél ki kell választania egy vagy több elérhető értéket, a tulajdonság a szűrőfeltételben való használata az összes kiválasztott értékkel ugyanazzal az eredménnyel jár, mintha a tulajdonságot nem használjuk a szűrési feltételben.

• A Threat Explorer és a valós idejű észlelések engedélyeit és licenckövetelményeit lásd: A Threat Explorer és a valós idejű észlelések engedélyei és licencelése.

A kézbesített gyanús e-mailek megkeresése

1. Az alábbi lépések egyikével nyithatja meg a Fenyegetéskezelőt vagy a valós idejű észleléseket:

   • Fenyegetéskezelő: A Defender portálján https://security.microsoft.comlépjen Email & Security>Explorerbe. Vagy ha közvetlenül az Explorer oldalára szeretne lépni, használja a következőt https://security.microsoft.com/threatexplorerv3: .
   • Valós idejű észlelések: A Defender portálján https://security.microsoft.comlépjen Email & Valós idejű biztonsági>észlelések lapra. Vagy ha közvetlenül a Valós idejű észlelések oldalra szeretne lépni, használja a parancsot https://security.microsoft.com/realtimereportsv3.

2. Az Explorer vagy a Valós idejű észlelések lapon válassza ki a megfelelő nézetet:

   • Threat Explorer: Ellenőrizze, hogy a Minden e-mail nézet ki van-e jelölve.
   • Valós idejű észlelések: Ellenőrizze, hogy a Kártevő nézet van-e kiválasztva, vagy válassza az Adathalász nézetet.

3. Válassza ki a dátum-/időtartományt. Az alapértelmezett érték a tegnap és a mai nap.

   

4. Létrehozás egy vagy több szűrési feltételt az alábbi céltulajdonságok és értékek közül néhány vagy az összes használatával. A teljes útmutatásért lásd: Tulajdonságszűrők a Fenyegetéskezelőben és valós idejű észlelések. Például:

   • Kézbesítési művelet: Az e-mailen meglévő szabályzatok vagy észlelések miatt végrehajtott művelet. A hasznos értékek a következők:

     • Kézbesítve: Email kézbesítve a felhasználó Beérkezett üzenetek mappájába vagy más mappába, ahol a felhasználó hozzáférhet az üzenethez.
     • Levélszemét: Email a felhasználó Levélszemét Email mappájába vagy Törölt elemek mappájába kerül, ahol a felhasználó hozzáférhet az üzenethez.
     • Letiltva: Email karanténba helyezett, sikertelen kézbesítésű vagy elvetett üzeneteket.

   • Eredeti kézbesítési hely: Ahol az e-mail a rendszer vagy a rendszergazdák automatikus vagy manuális kézbesítés utáni műveletei (például ZAP vagy karanténba helyezés) előtt történt. A hasznos értékek a következők:

     • Törölt elemek mappa
     • Elvetve: Az üzenet elveszett valahol az e-mail-folyamatban.
     • Sikertelen: Az üzenet nem tudta elérni a postaládát.
     • Beérkezett üzenetek/mappa
     • Levélszemét mappa
     • Helyszíni/külső: A postaláda nem létezik a Microsoft 365-szervezetben.
     • Karantén
     • Ismeretlen: Kézbesítés után például egy Beérkezett üzenetek szabály egy alapértelmezett mappába (például Piszkozat vagy Archívum) helyezte át az üzenetet a Beérkezett üzenetek vagy a Levélszemét Email helyett.

   • Utolsó kézbesítés helye: Ha az e-mail a rendszer vagy a rendszergazdák automatikus vagy manuális kézbesítés utáni műveletei után végződött. Ugyanazok az értékek érhetők el az eredeti kézbesítési helyről.

   • Irány: Az érvényes értékek a következők:

     • Bejövő
     • Szervezeten belüli
     • Kimenő

     Ezek az információk segíthetnek azonosítani a hamisítást és a megszemélyesítést. A belső tartomány feladóitól érkező üzeneteknek például szervezeten belülinek, nem bejövőnek kell lenniük.

   • További művelet: Érvényes értékek:

     • Automatizált szervizelés (Office 365-höz készült Defender 2. csomag)
     • Dinamikus kézbesítés: További információ: Dinamikus kézbesítés a biztonságos mellékletek házirendjeiben.
     • Manuális szervizelés
     • Egyikre sem.
     • Karantén kiadása
     • Újrafeldolgozott: Az üzenet visszamenőlegesen jóként lett azonosítva.
     • ZAP: További információ: Nulla órás automatikus végleges törlés (ZAP) Office 365-höz készült Microsoft Defender.

   • Elsődleges felülbírálás: Ha a szervezeti vagy felhasználói beállítások engedélyezték vagy letiltották az egyébként letiltott vagy engedélyezett üzeneteket. Az értékek a következők:

     • Szervezeti szabályzat által engedélyezett
     • Felhasználói szabályzat által engedélyezett
     • Szervezeti szabályzat letiltva
     • Letiltotta a felhasználói szabályzat
     • Egyikre sem.

     Ezeket a kategóriákat tovább finomítja az Elsődleges felülbírálási forrás tulajdonság.

   • Elsődleges felülbírálás forrása Az a szervezeti házirend vagy felhasználói beállítás, amely engedélyezte vagy letiltotta az egyébként letiltott vagy engedélyezett üzeneteket. Az értékek a következők:

     • Külső szűrő
     • Rendszergazda által kezdeményezett időutazás
     • Kártevőirtó-házirendblokk fájltípus szerint: Gyakori mellékletszűrők a kártevőirtó házirendekben
     • Antispam szabályzatbeállítások
     • Kapcsolati szabályzat: Kapcsolatszűrés konfigurálása
     • Exchange átviteli szabály (levélforgalmi szabály)
     • Kizárólagos mód (Felhasználó felülbírálása): A Megbízható feladók és tartományok listájában lévő címekről érkező csak megbízható e-mailek és a postaládákban található biztonságos levelezőlisták beállítása.
     • Helyszíni szervezet miatt kihagyott szűrés
     • IP-régió szűrője a szabályzatból: Az Ezekből az országokból szűrő a levélszemét-ellenes szabályzatokban.
     • Nyelvszűrő házirendből: Az Adott nyelveket tartalmaz szűrő a levélszemét-ellenes házirendekben.
     • Adathalászati szimuláció: Külső adathalász szimulációk konfigurálása a speciális kézbesítési szabályzatban
     • Karantén kiadása: Karanténba helyezett e-mail felszabadítása
     • SecOps-postaláda: SecOps-postaládák konfigurálása a speciális kézbesítési házirendben
     • Feladó címlistája (Rendszergazda felülbírálás): Az engedélyezett feladók listája vagy a letiltott feladók listája a levélszemét-ellenes házirendekben.
     • Feladó címlistája (Felhasználó felülbírálása): A feladó e-mail-címei a postaláda széflistájánakLetiltott feladók listájában.
     • Feladó tartománylistája (Rendszergazda felülbírálás): Az engedélyezett tartományok listája vagy letiltott tartományok listája a levélszemét-ellenes házirendekben.
     • Feladó tartománylistája (Felhasználó felülbírálása):: A feladó tartományai a postaládában található biztonságoslista-gyűjteményLetiltott feladók listájában.
     • Bérlő engedélyezési/tiltólistás fájlblokkja: fájlok blokkbejegyzéseinek Létrehozás
     • Bérlő engedélyezési/tiltólistájának feladói e-mail-címblokkja: Létrehozás tartományok és e-mail-címek bejegyzéseinek blokkolása
     • Bérlői engedélyezési/tiltólista-hamisítási blokk: Létrehozás hamisított feladók blokkbejegyzései
     • Bérlő engedélyezési/tiltólistájának URL-blokkja: Létrehozás url-címek blokkbejegyzései
     • Megbízható partnerlista (Felhasználó felülbírálása): A Megbízható e-mail a névjegyalbumból beállítás a postaládában lévő biztonságoslista-gyűjteményben.
     • Bérlő engedélyezési/tiltólistás fájlblokkja: fájlok blokkbejegyzéseinek Létrehozás
     • Megbízható tartomány (felhasználó felülbírálása):: A feladó tartományai a megbízható feladók listájában, a postaláda széflistájának gyűjteményében.
     • Megbízható címzett (Felhasználó felülbírálása):A címzett e-mail-címei vagy tartományai a megbízható címzettek listájában a postaláda biztonságoslista-gyűjteményében.
     • Csak megbízható feladók (felhasználó felülbírálása): Csak a megbízható Listák: Csak a megbízható feladók vagy a megbízható címzettek listájában szereplő személyektől vagy tartományoktól érkező e-mailek érkeznek meg a postaládában lévő biztonságoslista-gyűjtemény Beérkezett üzenetek mappájába.

   • Felülbírálás forrása: Ugyanazok az elérhető értékek, mint az elsődleges felülbírálási forrás.

     Tipp

     A minden e-mail, kártevő és adathalász nézet részletek területén található Email lapon (nézetben) a megfelelő felülbírálási oszlopok neve Rendszerbírálások és Rendszer felülbírálások forrás.

   • URL-fenyegetés: Az érvényes értékek a következők:

     • Malware
     • Phish
     • Spam

5. Ha végzett a dátum-/idő- és tulajdonságszűrők konfigurálásával, válassza a Frissítés lehetőséget.

A minden e-mail, kártevő vagy adathalász nézet részletek területén található Email lap (nézet) tartalmazza a gyanús e-mailek kivizsgálásához szükséges adatokat.

A Email lap (nézet) Kézbesítési művelet, Eredeti kézbesítési hely és Utolsó kézbesítési hely oszlopával például teljes képet kaphat arról, hogy hová mentek az érintett üzenetek. Az értékeket a 4. lépésben ismertettük.

Az Exportálás funkcióval legfeljebb 200 000 szűrt vagy szűretlen eredményt exportálhat CSV-fájlba.

Kézbesített kártékony e-mailek kijavítása

Miután azonosította a kézbesített kártékony e-maileket, eltávolíthatja őket a címzett postaládáiból. Útmutatásért lásd: A Microsoft 365-ben kézbesített rosszindulatú e-mailek szervizelése.

Kapcsolódó cikkek

Az Office 365-ben kézbesített kártékony e-mailek szervizelése

Office 365-höz készült Microsoft Defender

Jelentések megtekintése Office 365-höz készült Defender