Отслеживание угроз — новые и заслуживающие внимания

Важно!

Стал доступен улучшенный портал Microsoft 365 Defender. Этот новый интерфейс портала Microsoft 365 Defender объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения. Узнайте о новых возможностях.

Область применения

Office 365 возможности расследования и реагирования на угрозы позволяют группе безопасности организации обнаруживать и принимать меры по борьбе с угрозами кибербезопасности. Office 365 и возможности реагирования на угрозы включают функции отслеживания угроз, в том числе заслуживающие внимания трекеры. Ознакомьтесь с этой статьей, чтобы получить обзор этих новых функций и последующих действий.

Важно!

Office 365 теперь microsoft Defender для Office 365 Plan 2, а также дополнительные возможности защиты от угроз. Дополнительные дополнительные инструкции см. в Office 365 Microsoft Defender для Office 365 планов и цен и в описании службы Microsoft Defender для Office 365 службы.

Что такое отслеживание угроз?

Отслеживание угроз — это информационные виджеты и представления, которые предоставляют вам сведения по различным вопросам кибербезопасности, которые могут повлиять на вашу компанию. Например, вы можете просматривать сведения о трендовых кампаниях вредоносных программ с помощью отслеживания угроз.

Пример отслеживания угроз, показывающий вредоносные кампании.

Большинство страниц трекера включают периодически обновляющиеся номера, виджеты, которые помогут вам понять, какие проблемы являются самыми крупными или выросли больше всего, а также быструю ссылку в столбце Действия, который принимает вас в Explorer, где можно просмотреть более подробные сведения.

Пример сведений о кампании в Explorer.

Трекеры — это лишь некоторые из множества функций, которые вы получаете в Microsoft Defender для Office 365 Plan 2. Отслеживание угроз включает в себя отслеживаниепримечательных, отслеживаниетенденций, отслеживающие запросыи сохраненные запросы.

Чтобы просмотреть и использовать отслеживания угроз в организации, откройте портал Microsoft 365 Defender на сайте и перейдите на отслеживание угрозы & электронной https://security.microsoft.com > почты. Чтобы перейти непосредственно на страницу отслеживания угроз, используйте https://security.microsoft.com/threattracker .

Примечание

Чтобы использовать отслеживание угроз, необходимо быть глобальным администратором, администратором безопасности или считывателями безопасности. См. разрешения на Microsoft 365 Defender портале.

Заслуживающие внимания трекеры

Следует отметить, что трекеры находят большие и меньшие угрозы и риски, о которых, как нам кажется, следует знать. Примечательных трекеров поможет вам найти, существуют ли эти проблемы в Microsoft 365 среде, а также ссылки на статьи (например, этот), которые дают вам дополнительные сведения о том, что происходит, и как они будут влиять на использование Office 365. Будь то большая новая угроза (например, Wannacry, Petya) или существующая угроза, которая может создать некоторые новые проблемы (например, наш другой элемент примечания инаугурации — Nemucod), здесь вы найдете важные новые элементы, которые вам и вашей группе безопасности следует периодически проверять и изучать.

Обычно примечательных трекеров будут размещены в течение нескольких недель, когда мы выявляем новые угрозы и думаем, что вам может потребоваться дополнительная видимость, которую предоставляет эта функция. После того как самый большой риск для угрозы пройден, мы удалим этот элемент Примечательных. Таким образом, мы можем сохранить список свежим и актуальным с другими соответствующими новыми элементами.

Трендовые трекеры (ранее называемые Кампаниями) освещают новые угрозы, полученные в электронной почте организации за прошедшую неделю.

Пример виджета кампаний вредоносных программ.

Трендовые трекеры дают представление о новых угрозах, которые необходимо проанализировать, чтобы обеспечить подготовку более широкой корпоративной среды к атакам.

Отслеживаемые запросы

Отслеживаемые запросы используют сохраненные запросы для периодических Microsoft 365 действий в организации. Это дает вам тенденции событий, с большим, чтобы прийти в ближайшие месяцы. Отслеживаемые запросы запускаются автоматически, предоставляя вам информацию, не нужно помнить о повторном запуске запросов.

Пример отслеживаемого запроса с одним выбранным.

Сохраненные запросы

Сохраненные запросы также находятся в разделе Trackers. Можно использовать сохраненные запросы для хранения общих поисковых запросов Explorer, к которые необходимо возвращаться быстрее и чаще, без необходимости повторного создания поиска каждый раз.

Пример сохраненных запросов с одним выбранным.

Вы всегда можете сохранить заслуживающий внимания запрос трекера или любой из собственных запросов Explorer с помощью кнопки Сохранить запрос в верхней части страницы Explorer. Все, что сохранено в списке сохраненных запросов на странице Tracker.

Трекеры и проводник

Независимо от того, просматриваете ли вы действия электронной почты, контента или Office (скоро), explorer и trackers работают вместе, чтобы помочь вам исследовать и отслеживать риски и угрозы безопасности. Все вместе трекеры предоставляют вам информацию для защиты пользователей, выделяя новые, заметные и часто посещаемые проблемы, обеспечивая лучшую защиту вашего бизнеса по мере перемещения в облако.

И помните, что вы всегда можете предоставить нам отзывы о том или иных Microsoft 365 безопасности, нажав кнопку Обратной связи в нижнем правом углу.

Microsoft 365 Defender портал.

Трекеры и Microsoft Defender для Office 365

С нашей первой примечательной угрозой мы выделяем расширенные угрозы вредоносных программ, обнаруженные Сейф вложениями. Если вы клиент Office 365 корпоративный E5 и не используете Microsoft Defenderдля Office 365, вы должны быть — он включен в подписку. Defender for Office 365 предоставляет значение, даже если у вас есть другие средства безопасности, фильтрующие поток электронной почты с помощью Office 365 служб. Однако функции защиты от нежелательной почты и Сейф ссылки лучше всего работают, когда основное решение по безопасности электронной почты Office 365.

Microsoft Defender для Office 365 на Microsoft 365 Defender портале.

В современном мире, где существует угроза, только традиционные проверки вредоносных программ означает, что вы недостаточно хорошо защищены от атак. Современные более сложные злоумышленники используют распространенные средства для создания новых, запутывавших или отложенных атак, которые не будут распознать традиционные антивирусные двигатели на основе подписи. Функция Сейф вложения принимает вложения электронной почты и взрывает их в виртуальной среде, чтобы определить, являются ли они безопасными или вредоносными. Этот процесс детонации открывает каждый файл в виртуальной компьютерной среде, а затем наблюдает за тем, что происходит после открытия файла. Будь то pdf-файл, сжатый файл или Office, вредоносный код может быть скрыт в файле, активируя его только после того, как жертва откроет его на своем компьютере. При детонации и анализе файла в потоке электронной почты defender for Office 365 находит эти угрозы на основе поведения, репутации файлов и ряда правил, основанных на heuristic.

Новый фильтр угрозы Примечательных выделяет элементы, недавно обнаруженные Сейф вложениях. Эти обнаружения представляют элементы, которые являются новыми вредоносными файлами, ранее не найденными Microsoft 365 в потоке электронной почты или электронной почте других клиентов. Обратите внимание на элементы в примечательном трекере угроз, узнайте, кто был их объектом, и просмотрите сведения о детонации, показанные на вкладке Advanced Analysis (найденной, нажав на тему электронной почты в Explorer). Обратите внимание, что эта вкладка содержится только в сообщениях электронной почты, обнаруженных с помощью функции Сейф вложения , — этот отслеживатель Примечательных содержит этот фильтр, но этот фильтр также можно использовать для других поисков в Explorer.

Дальнейшие действия

  • Если в вашей организации еще нет этих возможностей Office 365 и реагирования на угрозы, см. в Office 365 возможности расследования и реагирования на угрозы?.

  • Убедитесь, что ваша группа безопасности имеет правильные роли и разрешения. Вы должны быть глобальным администратором или иметь роль администратора безопасности или поиска и очистки, назначенную на Microsoft 365 Defender портале. См. разрешения на Microsoft 365 Defender портале.

  • Следите за тем, как новые трекеры будут показываться в Microsoft 365 среде. Когда это доступно, вы найдете трекеры на странице отслеживания угроз на портале Microsoft 365 Defender по https://security.microsoft.com/threattracker ссылке .

  • Если вы еще этого не сделали, узнайте больше о microsoft Defender для Office 365 организации, включая ссылки Сейф и Сейф вложения.