Представления кампании в Microsoft Defender для Office 365

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 плана 2 бесплатно? Используйте 90-дневную пробную Defender для Office 365 в центре Microsoft 365 Defender портала. Сведения о том, кто может зарегистрироваться и использовать пробные условия, см. здесь.

Область применения

Представления кампаний — это функция в Microsoft Defender для Office 365 2 (например, Microsoft 365 E5 или организаций с надстройки Defender для Office 365 плана 2). Представления кампаний на Microsoft 365 Defender портале определяют и классифицирует фишинговые атаки в службе. Представления кампаний помогают:

  • эффективно анализировать фишинговые атаки и отвечать на них;
  • точнее устанавливать область, затронутую атакой;
  • демонстрировать проблему лицам, ответственным за принятие решений.

Представления кампаний позволяют быстрее и полнее получить общую картину атаки.

Просмотрите это короткое видео о том, как представления кампаний в Microsoft Defender для Office 365 помогут вам понять кампании по атакам, нацеленным на вашу организацию.

Что такое кампания?

Кампания — это скоординированная атака по электронной почте, направленная против одной или нескольких организаций. Атаки с электронной почтой, которые похищают учетные данные и данные компании, являются крупной и крупной отраслью. По мере того как технологии увеличивают усилия по остановке атак, злоумышленники изменяют свои методы, чтобы обеспечить постоянный успех.

Корпорация Майкрософт использует огромные объемы данных для защиты от фишинга, защиты от нежелательной почты и вредоносных программ во всей службе для выявления кампаний. Мы анализируем и классифицируем сведения об атаках в соответствии с несколькими факторами. Например:

  • Источник атаки: исходные IP-адреса и домены электронной почты отправителя.
  • Свойства сообщения: содержимое, стиль и тон сообщений.
  • Получатели сообщений: как связаны получатели. Например, домены получателей, функции задания получателя (администраторы, руководители и т. д.), типы компании (крупные, малые, общедоступные, частные и т. д.) и отрасли.
  • Полезные данные атаки: вредоносные ссылки, вложения и другие полезные данные в сообщениях.

Кампания может быть краткосрочной или охватывать несколько дней, недель или месяцев с активными и неактивными периодами. Кампания может быть запущена против конкретной организации или ваша организация может быть частью более крупной кампании в нескольких компаниях.

Представления кампании на Microsoft 365 Defender портале

Представления кампаний доступны на портале Microsoft 365 Defender по https://security.microsoft.com адресу "Email & collaboration > Campaigns" или непосредственно по https://security.microsoft.com/campaignsадресу .

Обзор кампаний на Microsoft 365 Defender портале

Вы также можете получить доступ к представлениям кампании из:

  • Совместная & электронной почты > Explorer > Вид > Кампании
  • Совместная & электронной почты > Explorer > Вид > Все сообщения электронной почты > Вкладка кампании
  • Совместная & электронной почты > Explorer > Вид > Фишинг > Вкладка кампании
  • Совместная & электронной почты > Explorer > Вид > Вредоносных программ > Вкладка кампании

Чтобы получить доступ к представлениям кампании, необходимо быть членом групп ролей "Управление организацией ", " Администратор безопасности" или "Читатель сведений о безопасности" на Microsoft 365 Defender портале. Дополнительные сведения см. в статье Разрешения на портале Microsoft 365 Defender.

Обзор кампаний

На странице обзора отображаются сведения обо всех кампаниях.

На вкладке "Кампания " по умолчанию в области "Тип кампании" отображается линейчатая диаграмма, показывающая количество получателей в день. По умолчанию на диаграмме отображаются как фишинговые , так и вредоносные данные.

Совет

Если данные кампании не отображаются, попробуйте изменить диапазон дат или фильтры.

В таблице под графиком на странице обзора отображаются следующие сведения на вкладке "Кампания ":

  • Название

  • Образец темы: строка темы одного из сообщений кампании. Обратите внимание, что все сообщения в кампании не обязательно будут иметь один и тот же субъект.

  • Целевой: процент, вычисляемый по: (количество получателей кампании в организации) / (общее число получателей в кампании во всех организациях в службе). Это значение указывает степень, в которой кампания направляется только на вашу организацию (более высокое значение), а также на другие организации в службе (более низкое значение).

  • Тип: это значение — фишинг или вредоносная программа.

  • Подтип: это значение содержит дополнительные сведения о кампании. Например:

    • Фишинг: если он доступен, то торговая марка, которая является фишинговой в рамках этой кампании. Например, , , , или Outlook``DocuSign. Unknown``365``Microsoft
    • Вредоносная программа: например, HTML/PHISH или HTML/<MalwareFamilyName>.

    Если это возможно, то фирменная символика, которая фишингуется в рамках этой кампании. Если обнаружение управляется технологией Defender для Office 365, префикс ATP добавляется к значению подтипа.

  • Получатели: количество пользователей, которые подверглись этой кампании.

  • "Входящие": количество пользователей, которые получили сообщения от этой кампании в папке "Входящие" (не доставлено в папку "Нежелательная почта").

  • Щелчок: число пользователей, которые щелкали URL-адрес или открыли вложение в фишинговом сообщении.

  • Коэффициент щелчка: процент, вычисляемый с помощью "Щелчок / в папке "Входящие". Это значение является индикатором эффективности кампании. Другими словами, если получатели могли идентифицировать сообщение как фишинговое и если они не щелкали URL-адрес полезных данных.

    Обратите внимание , что частота щелчков не используется в кампаниях по вредоносным программам.

  • Показано: сколько пользователей фактически сделали это на веб-сайте полезных данных. Если имеются щелкнув значения, но Сейф ссылки блокируют доступ к веб-сайту, это значение будет равно нулю.

На вкладке " Источник кампании" отображаются источники сообщений на карте мира.

Фильтры и параметры

В верхней части страницы " Кампания" есть несколько параметров фильтра и запросов, которые помогут найти и изолировать определенные кампании.

Фильтры кампании

Самая базовая фильтрация, которую можно выполнить, — это дата и время начала и окончания.

Чтобы дополнительно отфильтровать представление, можно выполнить одно свойство с несколькими значениями, нажав кнопку "Тип кампании", сделав выбор и нажав кнопку "Обновить".

Свойства фильтруемой кампании, доступные в кнопке "Тип кампании", описаны в следующем списке:

  • Базовый:

    • Тип кампании: выберите вредоносную программу или фишинг. Удаление выбранных элементов имеет тот же результат, что и выбор обоих вариантов.
    • Название кампании
    • Подтип кампании
    • Sender
    • Получатели
    • Домен отправителя
    • Тема
    • Имя файла вложения
    • Семейство вредоносных программ
    • Теги: пользователи или группы, к которым был применен указанный тег пользователя (включая учетные записи приоритета). Дополнительные сведения о тегах пользователей см. в разделе "Теги пользователей".
    • Действие доставки
    • Дополнительное действие
    • Направление
    • Технология обнаружения
    • Исходное расположение доставки
    • Расположение последней доставки
    • Системные переопределения
  • Дополнительные сведения:

    • Идентификатор интернет-сообщения: доступен в поле заголовка Message-ID в заголовке сообщения. Примером является значение <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (обратите внимание на угловые скобки).
    • Идентификатор сетевого сообщения: значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.
    • IP-адрес отправителя
    • Вложение SHA256. Чтобы найти значение хэша SHA256 файла в Windows, выполните следующую команду в командной строке: certutil.exe -hashfile "<Path>\<Filename>" SHA256.
    • Идентификатор кластера
    • Идентификатор оповещения
    • Идентификатор политики оповещений
    • Идентификатор кампании
    • Сигнал URL-адреса ZAP
  • URL-адреса:

    • Домен URL-адреса
    • Домен и путь URL-адреса
    • URL-адрес
    • URL-путь
    • Щелкните "Решение"

Для более расширенной фильтрации, включая фильтрацию по нескольким свойствам, можно нажать кнопку "Расширенный фильтр", чтобы создать запрос. Доступны те же свойства кампании, но со следующими улучшениями:

  • Чтобы выбрать несколько условий, нажмите кнопку "Добавить условие".
  • Между условиями можно выбрать оператор And или Or .
  • Вы можете выбрать элемент группы условий в нижней части списка условий, чтобы создать сложные составные условия.

По завершении нажмите кнопку "Запрос ".

После создания базового или расширенного фильтра его можно сохранить с помощью запроса "Сохранить" или "Сохранить запрос как". Позже при возврате на страницу " Кампании" можно загрузить сохраненный фильтр, щелкнув " Сохраненные параметры запроса".

Чтобы экспортировать граф или список кампаний, щелкните "Экспорт " и выберите "Экспорт данных диаграммы" или "Экспортировать список кампаний".

Если у вас есть подписка Microsoft Defender для конечной точки, можно щелкнуть MDE Параметры, чтобы подключить или отключить сведения о кампаниях с помощью Microsoft Defender для конечной точки. Дополнительные сведения см. в статье Microsoft Defender для Office 365 интеграции с Microsoft Defender для конечной точки.

Сведения о кампании

При щелчке по имени кампании сведения о кампании отображаются во всплывающем окне.

Сведения о кампании

В верхней части представления сведений о кампании доступны следующие сведения о кампании:

  • Идентификатор кампании: уникальный идентификатор кампании.
  • Действие: длительность и активность кампании.
  • Следующие данные для выбранного фильтра диапазона дат (или выбранных на временной шкале):
  • Влияние
  • Сообщения: общее число получателей.
  • "Входящие": количество сообщений, доставленных в папку "Входящие", а не в папку "Нежелательная почта".
  • Щелкните ссылку: сколько пользователей щелкнуть полезные данные URL-адреса в фишинговом сообщении.
  • Перейдите по ссылке: количество пользователей, посетив URL-адрес.
  • Целевой (%): процент, вычисляемый по: (количество получателей кампании в организации) / (общее число получателей в кампании во всех организациях в службе). Обратите внимание, что это значение вычисляется за все время существования кампании и не изменяется на основе фильтров дат.
  • Фильтры данных и времени начала, времени и окончания для потока кампании, как описано в следующем разделе.
  • Интерактивная временная шкала действий кампании. На временной шкале отображаются действия на протяжении всего времени существования кампании. Вы можете навести указатель мыши на точки данных на графе, чтобы просмотреть количество обнаруженных сообщений.

Сведения о кампании

Ход кампании

В середине представления сведений о кампании важные сведения о кампании представлены на горизонтальной схеме потока (известной как схема Sankey ). Эти сведения помогут вам изучить элементы кампании и ее потенциальное влияние на вашу организацию.

Совет

Сведения, отображаемые на схеме потоков, управляются фильтром диапазона дат на временной шкале, как описано в предыдущем разделе.

Сведения о кампании, которые не содержат щелчков URL-адреса пользователя

Если навести указатель мыши на горизонтальную полоску на схеме, будет показано количество связанных с ней сообщений (например, сообщений с определенного исходного IP-адреса, сообщения из исходного IP-адреса с использованием указанного домена отправителя и т. д.).

Схема содержит следующую информацию.

  • IP-адреса отправителей

  • Домены отправителей

  • Решения фильтров: значения решения связаны с доступными решениями по фильтрации фишинга и нежелательной почты, как описано в заголовках сообщений защиты от нежелательной почты. Доступные значения описаны в следующей таблице:

    Значение Решение фильтра нежелательной почты Описание
    Разрешено SFV:SKN

    SFV:SKI

    Сообщение было помечено как не спам и (или) пропущена фильтрация перед оценкой с помощью фильтрации нежелательной почты. Например, сообщение было помечено правилом потока обработки почты как не нежелательное (также известное как правило транспорта).

    Сообщение пропускает фильтрацию нежелательной почты по другим причинам. Например, отправитель и получатель, как показано, в одной организации.

    Заблокировано SFV:SKS Сообщение было помечено как спам перед его оценкой с помощью фильтрации нежелательной почты. Например, по правилу потока обработки почты.
    Обнаружено SFV:SPM Сообщение помечено фильтром спама как спам.
    Не обнаружено SFV:NSPM Сообщение было помечено как не нежелательное с помощью фильтрации нежелательной почты.
    Выпущено SFV:SKQ Сообщение пропускает фильтрацию нежелательной почты, так как оно было освобождено из карантина.
    Разрешение клиента* SFV:SKA Сообщение пропускает фильтрацию нежелательной почты из-за параметров в политике защиты от нежелательной почты. Например, отправитель был в списке разрешенных отправителей или разрешенном списке доменов.
    Блокировка клиента** SFV:SKA Сообщение было заблокировано фильтрацией нежелательной почты из-за параметров в политике защиты от нежелательной почты. Например, отправитель был в списке разрешенных отправителей или разрешенном списке доменов.
    Разрешить пользователю* SFV:SFE Сообщение пропускает фильтрацию нежелательной почты, так как отправитель был в списке Сейф отправителей.
    Блок пользователя** SFV:BLK Сообщение было заблокировано фильтрацией нежелательной почты, так как отправитель был в списке заблокированных отправителей пользователя.
    ZAP н/д Автоматическая очистка нулевого часа (ZAP) переместила доставленное сообщение в папку нежелательной почты или карантин. Действие настраивается в политиках защиты от нежелательной почты.

    * Проверьте политики защиты от нежелательной почты, так как разрешенное сообщение, скорее всего, было заблокировано службой.

    ** Проверьте политики защиты от нежелательной почты, так как эти сообщения должны быть помещены в карантин, а не доставлены.

  • Назначения сообщений. Скорее всего, вам потребуется изучить сообщения, доставленные получателям (в папку "Входящие" или "Нежелательная почта"), даже если пользователи не щелкают URL-адрес полезных данных в сообщении. Вы также можете удалить сообщения, помещенные в карантин, из карантина. Дополнительные сведения см. в разделе "Сообщения электронной почты, помещенные в карантин " в EOP.

    • Удалена папка
    • Упал
    • Внешний: получатель находится в локальной почтовой организации в гибридных средах.
    • Не удалось выполнить
    • Пересылаются
    • Входящие
    • Нежелательная почта
    • Карантин
    • Unknown
  • Url clicks: These values are described in the next section.

Примечание

На всех слоях, содержащих более 10 элементов, отображаются первые 10 элементов, а остальные — вместе в других.

Переходы по URL-адресу

Когда фишинговое сообщение доставляется в папку "Входящие" или "Нежелательная почта" получателя, всегда существует вероятность того, что пользователь щелкает URL-адрес полезных данных. Если не щелкнуть URL-адрес, это небольшая мера успешности, но необходимо определить, почему фишинговое сообщение было доставлено в почтовый ящик.

Если пользователь щелкнув URL-адрес полезных данных в фишинговом сообщении, действия будут отображаться в области щелчков URL-адреса схемы в представлении сведений о кампании.

  • Разрешено
  • BlockPage: получатель щелкнув URL-адрес полезных данных, но его доступ к вредоносному веб-сайту был заблокирован политикой Сейф links в вашей организации.
  • BlockPageOverride: получатель щелкнув URL-адрес полезных данных в сообщении, Сейф ссылки попытались остановить их, но им было разрешено переопределить блок. Проверьте политики Сейф ссылок, чтобы узнать, почему пользователям разрешено переопределять решение Сейф Links, и перейдите на вредоносный веб-сайт.
  • PendingDetonationPage: Сейф вложения в Microsoft Defender для Office 365 находится в процессе открытия и изучения URL-адреса полезных данных в среде виртуального компьютера.
  • PendingDetonationPageOverride: получателю было разрешено переопределить процесс отключения полезных данных и открыть URL-адрес, не дожидаясь результатов.

Вкладки

Вкладки в представлении сведений о кампании позволяют более подробно изучить кампанию.

Совет

Сведения, отображаемые на вкладке, управляются фильтром диапазона дат на временной шкале, как описано в разделе " Сведения о кампании ".

  • Url clicks: If users didn't click on the payload URL in the message, this section will be blank. Если пользователю удалось щелкнуть URL-адрес, будут заполнены следующие значения:

    • Пользователь*
    • URL*
    • Время щелчка
    • Щелкните "Решение"
  • IP-адреса отправителей

    • IP-адрес отправителя*
    • Общее число
    • Папка "Входящие"
    • Не в папке "Входящие"
    • SPF пройден: отправитель прошел проверку подлинности с помощью платформы политики отправителей (SPF). Отправитель, не прошедший проверку SPF, указывает отправителя, не прошедшего проверку подлинности, или сообщение подделывает допустимого отправителя.
  • Отправители

    • Отправитель: это фактический адрес отправителя в команде SMTP MAIL FROM, который не обязательно является адресом электронной почты From:, который пользователи видят в своих почтовых клиентах.
    • Общее число
    • Папка "Входящие"
    • Не в папке "Входящие"
    • DKIM passed: The sender was authenticated by Domain Keys Identified Mail (DKIM). Отправитель, не прошедший проверку DKIM, указывает на отправителя, не прошедшего проверку подлинности, или сообщение подделывает допустимого отправителя.
    • DMARC пройден: отправитель прошел проверку подлинности с помощью проверки подлинности сообщений на основе домена, создания отчетов и соответствия (DMARC). Отправитель, не прошедший проверку DMARC, указывает на отправителя, не прошедшего проверку подлинности, или сообщение подделывает допустимого отправителя.
  • Вложения

    • Filename
    • SHA256
    • Семейство вредоносных программ
    • Общее число
  • URL-адрес

    • URL*
    • Общее количество

* Если щелкнуть это значение, в верхней части представления сведений о кампании откроется новое всплывающее окно с более подробными сведениями об указанном элементе (пользователь, URL-адрес и т. д.) Чтобы вернуться в представление сведений о кампании, нажмите кнопку Готово в новом всплывающем окне.

Кнопки

Кнопки в нижней части представления сведений о кампании позволяют исследовать и записывать сведения о кампании:

  • Изучение сообщений: используйте возможности обозревателя угроз для дальнейшего изучения кампании:

    • Все сообщения: открывает новую вкладку поиска в обозревателе угроз, используя значение идентификатора кампании в качестве фильтра поиска.
    • Входящие сообщения: открывает новую вкладку поиска в обозревателе угроз, используя идентификатор кампании и расположение доставки : "Входящие" в качестве фильтра поиска.
    • Внутренние сообщения: открывает новую вкладку поиска в обозревателе угроз с использованием идентификатора кампании и направления: intra-org в качестве фильтра поиска.
  • Скачивание отчета об угрозах: скачайте сведения о кампании в документ Word (по умолчанию с именем CampaignReport.docx). Обратите внимание, что скачивание содержит сведения за все время существования кампании (а не только выбранные даты фильтра).