Undersøke skadelig e-post som ble levert i Microsoft 365

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Microsoft 365-organisasjoner som har Microsoft Defender for Office 365 inkludert i abonnementet eller kjøpt som et tillegg, har Explorer (også kjent som Trusselutforsker) eller Sanntidsgjenkjenning. Disse funksjonene er kraftige, nær sanntidsverktøy for å hjelpe Security Operations (SecOps)-team med å undersøke og reagere på trusler. Hvis du vil ha mer informasjon, kan du se Om Trusselutforsker og Sanntidsregistreringer i Microsoft Defender for Office 365.

Trusselutforsker og sanntidsgjenkjenninger lar deg undersøke aktiviteter som setter personer i organisasjonen i fare, og til å iverksette tiltak for å beskytte organisasjonen. Eksempel:

• Finne og slette meldinger.
• Identifiser IP-adressen til en ondsinnet e-postavsender.
• Start en hendelse for videre etterforskning.

Denne artikkelen forklarer hvordan du bruker Trusselutforsker og Sanntidsregistreringer til å finne skadelig e-post i mottakerpostbokser.

Tips

Hvis du vil gå direkte til utbedringsprosedyrene, kan du se Utbedre skadelig e-post levert i Office 365.

Hvis du vil se andre e-postscenarioer som bruker Trusselutforsker og Sanntidsgjenkjenning, kan du se følgende artikler:

• Trusseljakt i Trusselutforsker og sanntidsregistreringer i Microsoft Defender for Office 365
• E-postsikkerhet med Trusselutforsker og Sanntidsregistreringer i Microsoft Defender for Office 365

Hva må du vite før du begynner?

• Trusselutforsker er inkludert i Defender for Office 365 plan 2. Sanntidsgjenkjenninger er inkludert i Defender for Office Plan 1:

  • Forskjellene mellom Trusselutforsker og Sanntidsgjenkjenning er beskrevet i Om Trusselutforsker og Sanntidsregistreringer i Microsoft Defender for Office 365.
  • Forskjellene mellom Defender for Office 365 Plan 2 og Defender for Office Plan 1 er beskrevet i Defender for Office 365 Plan 1 kontra Jukselapp 2.

• For filteregenskaper som krever at du velger én eller flere tilgjengelige verdier, har bruk av egenskapen i filterbetingelsen med alle valgte verdier samme resultat som å ikke bruke egenskapen i filterbetingelsen.

• Hvis du vil ha tillatelser og lisensieringskrav for Trusselutforsker og Sanntidsregistreringer, kan du se Tillatelser og lisensiering for Trusselutforsker og Sanntidsregistreringer.

Finn mistenkelig e-post som ble levert

1. Bruk ett av følgende trinn for å åpne Trusselutforsker eller Sanntidsregistreringer:

   • Trusselutforsker: Gå til E-post &Sikkerhetsutforsker> i Defender-portalen på https://security.microsoft.com. Du kan også gå direkte til Explorer-siden ved å bruke https://security.microsoft.com/threatexplorerv3.
   • Sanntidsregistreringer: Gå til E-post & Sikkerhetsgjenkjenninger> isanntid i Defender-portalen på https://security.microsoft.com. Eller bruk hvis du vil gå direkte til oppdagelsessidenhttps://security.microsoft.com/realtimereportsv3i sanntid.

2. Velg en passende visning på explorer - eller sanntidsgjenkjenningssiden :

   • Trusselutforsker: Kontroller at alle e-postvisningene er valgt.
   • Sanntidsregistreringer: Kontroller at visningen for skadelig programvare er valgt, eller velg Phish-visningen.

3. Velg dato/klokkeslett-området. Standardverdien er i går og i dag.

   

4. Opprett én eller flere filterbetingelser ved hjelp av noen av eller alle følgende målrettede egenskaper og verdier. Hvis du vil ha fullstendige instruksjoner, kan du se Egenskapsfiltre i Trusselutforsker og Sanntidsregistreringer. Eksempel:

   • Leveringshandling: Handlingen som utføres på en e-postmelding på grunn av eksisterende policyer eller gjenkjenninger. Nyttige verdier er:

     • Levert: E-post levert til brukerens innboks eller en annen mappe der brukeren har tilgang til meldingen.
     • Søppelpost: E-post levert til brukerens søppelpostmappe eller Slettede elementer-mappen der brukeren har tilgang til meldingen.
     • Blokkert: E-postmeldinger som ble satt i karantene, som ikke ble levert, eller som ble fjernet.

   • Opprinnelig leveringssted: Hvor e-post gikk før eventuelle automatiske eller manuelle handlinger etter levering av systemet eller administratorer (for eksempel ZAP eller flyttet til karantene). Nyttige verdier er:

     • Slettede elementer-mappen
     • Droppet: Meldingen gikk tapt et sted i e-postflyten.
     • Mislyktes: Meldingen kan ikke nå postboksen.
     • Innboks/mappe
     • Søppelpostmappe
     • Lokal/ekstern: Postboksen finnes ikke i Microsoft 365-organisasjonen.
     • Karantene
     • Ukjent: Etter levering flyttet for eksempel en innboksregel meldingen til en standardmappe (for eksempel Kladd eller Arkiv) i stedet for til innboksen eller søppelpostmappen.

   • Siste leveringssted: Hvor e-post ble avsluttet etter eventuelle automatiske eller manuelle handlinger etter levering av systemet eller administratorene. De samme verdiene er tilgjengelige fra opprinnelig leveringssted.

   • Retning: Gyldige verdier er:

     • Innkommende
     • Intra-org
     • Utgående

     Denne informasjonen kan hjelpe deg med å identifisere forfalskning og representasjon. Meldinger fra interne domeneavsendere må for eksempel være intra-organisasjon, ikke inngående.

   • Tilleggshandling: Gyldige verdier er:

     • Automatisert utbedring (Defender for Office 365 plan 2)
     • Dynamisk levering: Hvis du vil ha mer informasjon, kan du se Dynamisk levering i policyer for klarerte vedlegg.
     • Manuell utbedring
     • Ingen
     • Frigi karantene
     • Behandlet på nytt: Meldingen ble med tilbakevirkende kraft identifisert som god.
     • ZAP: Hvis du vil ha mer informasjon, kan du se nulltimers automatisk tømming (ZAP) i Microsoft Defender for Office 365.

   • Primær overstyring: Hvis organisasjons- eller brukerinnstillinger tillot eller blokkerte meldinger som ellers ville blitt blokkert eller tillatt. Verdier er:

     • Tillatt av organisasjonspolicy
     • Tillatt av brukerpolicy
     • Blokkert av organisasjonspolicy
     • Blokkert av brukerpolicy
     • Ingen

     Disse kategoriene begrenses ytterligere av egenskapen Primær overstyring av kilde .

   • Primær overstyringskilde Typen organisasjonspolicy eller brukerinnstilling som tillot eller blokkerte meldinger som ellers ville blitt blokkert eller tillatt. Verdier er:

     • Tredjepartsfilter
     • Admin startet tidsreiser
     • Policy for beskyttelse mot skadelig programvare blokkeres etter filtype: Vanlige vedlegg filtreres i policyer for skadelig programvare
     • Innstillinger for antispam-policy
     • Tilkoblingspolicy: Konfigurere tilkoblingsfiltrering
     • Exchange-transportregel (e-postflytregel)
     • Eksklusiv modus (brukeroverstyring): Den eneste klarerte e-posten fra adresser i listen over klarerte avsendere og domener og klarerte adresselister i safelist-samlingen i en postboks.
     • Filtrering hoppet over på grunn av lokal organisasjon
     • IP-områdefilter fra policy: Fra disse landene filtrerer i policyer for søppelpost.
     • Språkfilter fra policy: Filteret Inneholder bestemte språk i policyer for søppelpost.
     • Phishing-simulering: Konfigurer tredjeparts phishing-simuleringer i den avanserte leveringspolicyen
     • Karanteneløslatelse: Frigi e-post i karantene
     • SecOps-postboks: Konfigurere SecOps-postbokser i den avanserte leveringspolicyen
     • Avsenderadresseliste (Admin overstyring): Listen over tillatte avsendere eller blokkerte avsendere i policyer for søppelpost.
     • Avsenderadresseliste (brukeroverstyring): Avsenderens e-postadresser i listen over blokkerte avsendere i samlingen for klarerte lister i en postboks.
     • Liste over avsenderdomene (Admin overstyring): Listen over tillatte domener eller blokkerte domener i policyer for søppelpost.
     • Avsenderdomeneliste (brukeroverstyring): Avsenderdomener i listen over blokkerte avsendere i safelist-samlingen i en postboks.
     • Blokkblokk for tillat-/blokkeringsliste for leier: Opprett blokkere oppføringer for filer
     • E-postadresseområde for avsender for leier tillat/blokkeringsliste: Opprett blokkere oppføringer for domener og e-postadresser
     • Forfalskningsblokk for leierens tillatelses-/blokkeringsliste: Opprett blokkere oppføringer for forfalskede avsendere
     • Url-adresseblokk for leierens tillatelses-/blokkeringsliste: Opprett blokkere oppføringer for url-adresser
     • Klarert kontaktliste (brukeroverstyring): Klarerings-e-posten fra kontaktinnstillingene mine i safelist-samlingen i en postboks.
     • Blokkblokk for tillat-/blokkeringsliste for leier: Opprett blokkere oppføringer for filer
     • Klarert domene (brukeroverstyring): Avsenderdomener i listen over klarerte avsendere i samlingen for klarerte lister i en postboks.
     • Klarert mottaker (brukeroverstyring): Mottakers e-postadresser eller domener i listen over klarerte mottakere i samlingen for klarerte lister i en postboks.
     • Bare klarerte avsendere (brukeroverstyring): Bare klarerte Lister: Bare e-post fra personer eller domener på listen over klarerte avsendere eller listen over klarerte mottakere leveres til innboksinnstillingen i safelist-samlingen i en postboks.

   • Overstyr kilde: Samme tilgjengelige verdier som primær overstyringskilde.

     Tips

     I E-post-fanen (visning) i detaljområdet i visningene Alle e-postmeldinger, Skadelig programvare og Phish kalles de tilsvarende overstyringskolonnene systemoverstyringer og systemoverstyringskilde.

   • Url-trussel: Gyldige verdier er:

     • Malware
     • Phish
     • Søppelpost

5. Når du er ferdig med å konfigurere dato/klokkeslett- og egenskapsfiltre, velger du Oppdater.

E-post-fanen (visning) i detaljområdet i visningene All e-post, Skadelig programvare eller Phish inneholder detaljene du trenger for å undersøke mistenkelig e-post.

Bruk for eksempel kolonnene Leveringshandling, Opprinnelig leveringssted og Siste leveringssted i E-post-fanen (visning) for å få et fullstendig bilde av hvor de berørte meldingene gikk. Verdiene ble forklart i trinn 4.

Bruk Eksporter til å selektivt eksportere opptil 200 000 filtrerte eller ufiltrerte resultater til en CSV-fil.

Utbedre skadelig e-post som ble levert

Når du har identifisert de skadelige e-postmeldingene som ble levert, kan du fjerne dem fra mottakerpostbokser. Hvis du vil ha instruksjoner, kan du se Utbedre skadelig e-post levert i Microsoft 365.

Relaterte artikler

Utbedre skadelig e-post levert i Office 365

Microsoft Defender for Office 365

Vis rapporter for Defender for Office 365