Widoki eksploratora zagrożeń i wykrywanie w czasie rzeczywistym

Uwaga

Chcesz skorzystać z usługi Microsoft 365 Defender? Dowiedz się więcej o tym, jak można oceniać i pilotować Microsoft 365 Defender.

Dotyczy

Strona Eksplorator zagrożeń

Eksplorator zagrożeń (i raport wykrywania w czasie rzeczywistym) to zaawansowane narzędzie niemal w czasie rzeczywistym, które ułatwia zespołom operacji zabezpieczeń badanie zagrożeń i reagowanie na nie w portalu Microsoft 365 Defender. Eksplorator (oraz raport dotyczący wykrywania w czasie rzeczywistym) wyświetla informacje o podejrzeniu złośliwego oprogramowania i phish w wiadomościach e-mail i plikach w Office 365, a także inne zagrożenia bezpieczeństwa i zagrożenia dla organizacji.

Po pierwszym otwarciu Eksploratora (lub raportu wykrywania w czasie rzeczywistym) domyślny widok pokazuje wykrywanie złośliwego oprogramowania poczty e-mail w ciągu ostatnich 7 dni. Ten raport może również pokazywać wykrywanie Ochrona usługi Office 365 w usłudze Microsoft Defender, takie jak złośliwe adresy URL wykryte przez linki Sejf i złośliwe pliki wykryte przez Sejf Załączniki. Ten raport można zmodyfikować w celu wyświetlenia danych z ostatnich 30 dni (z płatną subskrypcją Ochrona usługi Office 365 w usłudze Microsoft Defender P2). Subskrypcje wersji próbnej będą zawierać dane tylko z ostatnich siedmiu dni.

Subskrypcji Narzędzie Dni danych
wersja próbna Ochrona usługi Office 365 w usłudze Microsoft Defender P1 Wykrywanie w czasie rzeczywistym 7
Ochrona usługi Office 365 w usłudze Microsoft Defender P1 płatne Wykrywanie w czasie rzeczywistym 30
Ochrona usługi Office 365 w usłudze Microsoft Defender P1 — płatne testowanie Ochrona usługi Office 365 w usłudze Defender wersji próbnej P2 Eksplorator zagrożeń 7
wersja próbna Ochrona usługi Office 365 w usłudze Microsoft Defender P2 Eksplorator zagrożeń 7
Ochrona usługi Office 365 w usłudze Microsoft Defender P2 płatne Eksplorator zagrożeń 30

Uwaga

Wkrótce rozszerzymy przechowywanie danych Eksploratora (i wykrywanie w czasie rzeczywistym) i limit wyszukiwania dla dzierżaw wersji próbnej z 7 do 30 dni. Ta zmiana jest śledzona w ramach elementu planu nr 70544 i jest obecnie w fazie wdrażania.

Użyj menu Widok , aby zmienić wyświetlane informacje. Etykietki narzędzi ułatwiają określenie widoku do użycia.

Menu Widok Eksploratora zagrożeń

Po wybraniu widoku można zastosować filtry i skonfigurować zapytania w celu przeprowadzenia dalszej analizy. Poniższe sekcje zawierają krótkie omówienie różnych widoków dostępnych w Eksploratorze (lub wykrywania w czasie rzeczywistym).

Złośliwe oprogramowanie > poczty e-mail

Aby wyświetlić ten raport, w Eksploratorze (lub wykrywaniu w czasie rzeczywistym) wybierz pozycję Wyświetl > złośliwe oprogramowanie poczty e-mail>. Ten widok przedstawia informacje o wiadomościach e-mail, które zostały zidentyfikowane jako zawierające złośliwe oprogramowanie.

Widok danych dotyczących poczty e-mail zidentyfikowanych jako złośliwe oprogramowanie

Kliknij pozycję Nadawca , aby otworzyć listę opcji wyświetlania. Ta lista służy do wyświetlania danych według nadawcy, adresatów, domeny nadawcy, tematu, technologii wykrywania, stanu ochrony i nie tylko.

Aby na przykład zobaczyć, jakie akcje zostały wykonane w przypadku wykrytych wiadomości e-mail, wybierz pozycję Stan ochrony na liście. Wybierz opcję, a następnie kliknij przycisk Odśwież, aby zastosować ten filtr do raportu.

Opcje stanu ochrony przed zagrożeniami dla Eksploratora zagrożeń

Poniżej wykresu można wyświetlić więcej szczegółów dotyczących określonych komunikatów. Po wybraniu elementu na liście zostanie otwarte okienko wysuwane, w którym można dowiedzieć się więcej o wybranym elemencie.

Eksplorator zagrożeń z otwartym wysuwem

Poczta e-mail > Phish

Aby wyświetlić ten raport, w Eksploratorze (lub wykrywaniu w czasie rzeczywistym) wybierz pozycję Wyświetl > phish wiadomości e-mail>. Ten widok przedstawia wiadomości e-mail zidentyfikowane jako próby wyłudzania informacji.

Wyświetlanie danych dotyczących poczty e-mail zidentyfikowanych jako próby wyłudzania informacji

Kliknij pozycję Nadawca , aby otworzyć listę opcji wyświetlania. Ta lista służy do wyświetlania danych przez nadawcę, adresatów, domenę nadawcy, adres IP nadawcy, domenę adresu URL, werdykt kliknięcia i nie tylko.

Aby na przykład zobaczyć, jakie akcje zostały podjęte po kliknięciu adresów URL zidentyfikowanych jako próby wyłudzania informacji, wybierz pozycję Kliknij werdykt na liście, wybierz jedną lub więcej opcji, a następnie kliknij przycisk Odśwież.

Opcje werdyktu Click dla raportu Phish

Poniżej wykresu można wyświetlić więcej szczegółów dotyczących określonych komunikatów, kliknięć adresów URL, adresów URL i źródła wiadomości e-mail.

Adresy URL wykryte jako phish w wiadomościach e-mail

Po wybraniu elementu na liście, takiego jak wykryty adres URL, zostanie otwarte okienko wysuwane, w którym można dowiedzieć się więcej o wybranym elemencie.

Szczegóły dotyczące wykrytego adresu URL

Przesyłanie wiadomości e-mail >

Aby wyświetlić ten raport, w Eksploratorze (lub wykrywaniu w czasie rzeczywistym) wybierz pozycję Wyświetl > przesyłanie wiadomości e-mail>. Ten widok przedstawia wiadomości e-mail zgłaszane przez użytkowników jako wiadomości-śmieci, a nie wiadomości-śmieci lub wiadomości e-mail wyłudzające informacje.

Wiadomości e-mail zgłaszane przez użytkowników

Kliknij pozycję Nadawca , aby otworzyć listę opcji wyświetlania. Ta lista służy do wyświetlania informacji według nadawcy, adresatów, typu raportu (określenie przez użytkownika, że wiadomość e-mail była wiadomością-śmieci, a nie wiadomości-śmieci lub phish) i nie tylko.

Aby na przykład wyświetlić informacje o wiadomościach e-mail zgłoszonych jako próby wyłudzania informacji, kliknij pozycję Typ raportu nadawcy>, wybierz pozycję Phish, a następnie kliknij przycisk Odśwież.

Phish wybrany dla filtru Typ raportu.

Poniżej wykresu zobacz więcej szczegółów dotyczących określonych wiadomości e-mail, takich jak wiersz tematu, adres IP nadawcy, użytkownik, który zgłosił wiadomość jako wiadomość-śmieci, a nie wiadomości-śmieci lub phish i nie tylko.

Komunikaty, które zostały zgłoszone jako próby wyłudzania informacji

Wybierz element z listy, aby wyświetlić dodatkowe szczegóły.

Wiadomość e-mail > wszystkie wiadomości e-mail

Aby wyświetlić ten raport, w Eksploratorze wybierz pozycję Wyświetl > pocztę e-mail Wszystkie wiadomości e-mail>. Te widoki przedstawiają cały widok aktywności poczty e-mail, w tym wiadomości e-mail zidentyfikowanych jako złośliwe ze względu na wyłudzanie informacji lub złośliwe oprogramowanie, a także wszystkie nie złośliwe wiadomości e-mail (zwykłe wiadomości e-mail, spam i wiadomości zbiorcze).

Uwaga

Jeśli wystąpi błąd odczytu zbyt dużej ilości danych do wyświetlenia, dodaj filtr i w razie potrzeby zawęż wyświetlany zakres dat.

Aby zastosować filtr, wybierz pozycję Nadawca, wybierz element z listy, a następnie kliknij przycisk Odśwież. W naszym przykładzie użyto technologii wykrywania jako filtru (dostępnych jest kilka opcji). Wyświetlaj informacje według nadawcy, domeny nadawcy, adresatów, podmiotu, nazwy pliku załącznika, rodziny złośliwego oprogramowania, stanu ochrony (działania podejmowane przez funkcje i zasady ochrony przed zagrożeniami w Office 365), technologii wykrywania (w jaki sposób wykryto złośliwe oprogramowanie) i nie tylko.

Technologia View data about detected email by detection (Wyświetlanie danych o wykrytej wiadomości e-mail przez wykrywanie)

Poniżej wykresu można wyświetlić więcej szczegółów dotyczących określonych wiadomości e-mail, takich jak wiersz tematu, adresat, nadawca, stan itd.

Złośliwe oprogramowanie > zawartości

Aby wyświetlić ten raport, w Eksploratorze (lub wykrywaniu w czasie rzeczywistym) wybierz pozycję Wyświetl > złośliwe oprogramowanie zawartości>. Ten widok przedstawia pliki, które zostały zidentyfikowane jako złośliwe przez Ochrona usługi Office 365 w usłudze Microsoft Defender w usłudze SharePoint Online, OneDrive dla Firm i Microsoft Teams.

Wyświetl informacje według rodziny złośliwego oprogramowania, technologii wykrywania (jak wykryto złośliwe oprogramowanie) i obciążenia (OneDrive, SharePoint lub Teams).

Widok danych o wykrytym złośliwym oprogramowaniu

Poniżej wykresu można wyświetlić więcej szczegółów dotyczących określonych plików, takich jak nazwa pliku załącznika, obciążenie, rozmiar pliku, kto ostatnio zmodyfikował plik i nie tylko.

Możliwości filtrowania kliknięć

Za pomocą Eksploratora (i wykrywania w czasie rzeczywistym) można zastosować filtr za pomocą kliknięcia. Kliknij element w legendzie, a ten element stanie się filtrem raportu. Załóżmy na przykład, że przeglądamy widok Złośliwe oprogramowanie w Eksploratorze:

Strona Eksplorator w portalu zgodności & zabezpieczeń

Kliknięcie pozycji Detonacja atp na tym wykresie powoduje wyświetlenie następującego widoku:

Eksplorator odfiltrowany w celu wyświetlenia tylko wyników detonacji Ochrona usługi Office 365 w usłudze Defender

W tym widoku analizujemy teraz dane dotyczące plików, które zostały zdetonowane przez Sejf Załączniki. Poniżej wykresu przedstawiono szczegółowe informacje o określonych wiadomościach e-mail z załącznikami, które zostały wykryte przez Sejf Załączniki.

Szczegółowe informacje o wiadomościach e-mail z wykrytymi załącznikami

Wybranie co najmniej jednego elementu powoduje aktywowanie menu Akcje , które oferuje kilka opcji wyboru dla wybranych elementów.

Proces wybierania elementu, który aktywuje menu Akcje

Możliwość filtrowania za pomocą kliknięcia i przechodzenia do określonych szczegółów może zaoszczędzić dużo czasu na badaniu zagrożeń.

Zapytania i filtry

Eksplorator (a także raport wykrywania w czasie rzeczywistym) ma kilka zaawansowanych filtrów i możliwości wykonywania zapytań, które umożliwiają przeglądanie szczegółowych informacji, takich jak najważniejsi użytkownicy docelowi, najważniejsze rodziny złośliwego oprogramowania, technologia wykrywania i inne. Każdy rodzaj raportu oferuje różne sposoby wyświetlania i eksplorowania danych.

Ważne

Nie używaj symboli wieloznacznych, takich jak gwiazdka lub znak zapytania, na pasku zapytania dla Eksploratora (lub wykrywania w czasie rzeczywistym). Podczas wyszukiwania w polu Temat wiadomości e-mail Eksplorator (lub wykrywanie w czasie rzeczywistym) będzie wykonywać częściowe dopasowywanie i zwracać wyniki podobne do wyszukiwania z symbolami wieloznacznymi.