Обозреватель угроз и обнаружения в режиме реального времени

Область применения

Если ваша организация Microsoft Defender для Office 365 и у вас есть необходимые разрешения, у вас есть обнаружение обозревателя или обнаружения в режиме реального времени (ранее отчеты в режиме реального времени — ознакомьтесь с новыми сведениями !). В Центре соответствия & безопасности перейдите к управлению угрозами , а затем выберите "Обозреватель" или "Обнаружение в режиме реального времени".

В Microsoft Defender для Office 365 плане 2 отображаются следующие сведения: В Microsoft Defender для Office 365 плане 1 отображаются следующие сведения:
Обозреватель угроз. Обнаружение в режиме реального времени

Обнаружение обозревателя или обнаружения в режиме реального времени помогает группе по обеспечению безопасности эффективно исследовать угрозы и реагировать на них. Отчет похож на следующее изображение:

Пункт меню "Обозреватель" на портале соответствия & безопасности

С помощью этого отчета вы можете:

Усовершенствования в охоте на угрозы

Введение идентификатора оповещений для Defender для Office 365 предупреждений в обозревателе или обнаружениях в режиме реального времени

В настоящее время при переходе из оповещения в обозреватель угроз открывается отфильтрованное представление в обозревателе с представлением, отфильтрованным по идентификатору политики оповещений (идентификатор политики является уникальным идентификатором политики оповещений). Мы сделали эту интеграцию более актуальной, введя идентификатор оповещения (см. пример идентификатора оповещения ниже) в обозревателе угроз и обнаружениях в режиме реального времени, чтобы вы могли видеть сообщения, относящиеся к конкретному оповещению, а также количество сообщений электронной почты. Вы также сможете узнать, было ли сообщение частью оповещения, а также перейти от этого сообщения к определенному оповещению.

Идентификатор оповещения доступен в URL-адресе при просмотре отдельного оповещения. Пример: ..https://protection.office.com/viewalerts?id=372c9b5b-a6c3-5847-fa00-08d8abb04ef1

Расширение срока хранения данных и поиска в обозревателе (и обнаружениях в реальном времени) для клиентов пробной версии с 7 до 30 дней

В рамках этого изменения вы сможете выполнять поиск и фильтрацию данных электронной почты за 30 дней (увеличение по предыдущим 7 дням) в обозревателе угроз или в режиме реального времени для клиентов Пробной версии Defender для Office P1 и P2. Это не влияет на рабочие клиенты для клиентов P1 и P2/E5, у которых уже есть возможности хранения данных и поиска в течение 30 дней.

Обновлены ограничения для экспорта записей для обозревателя угроз

В рамках этого обновления количество строк для записей электронной почты, которые можно экспортировать из обозревателя угроз, увеличивается с 9990 до 200 000 записей. Набор столбцов, которые можно экспортировать в настоящее время, останется прежним, но количество строк увеличится с текущего предела.

Теги в обозревателе угроз

Примечание

Функция тегов пользователей доступна в предварительной версии, доступна не всем и может быть изменена. Сведения о расписании выпуска см. в Microsoft 365 плана.

Теги пользователей определяют определенные группы пользователей в Microsoft Defender для Office 365. Дополнительные сведения о тегах, включая лицензирование и настройку, см. в разделе "Теги пользователей".

В обозревателе угроз можно просмотреть сведения о тегах пользователей в следующих интерфейсах.

Представление сетки электронной почты

Столбец "Теги" в сетке электронной почты содержит все теги, примененные к почтовым ящикам отправителя или получателя. По умолчанию системные теги, такие как учетные записи приоритета, отображаются первыми.

Фильтрация

Теги можно использовать в качестве фильтра. Поиск по приоритетным учетным записям или определенным сценариям тегов пользователей. Вы также можете исключить результаты с определенными тегами. Объедините эту функцию с другими фильтрами, чтобы сузить область исследования.

Теги фильтра.

Всплывающее меню сведений об электронной почте

Чтобы просмотреть отдельные теги для отправителя и получателя, выберите тему, чтобы открыть всплывающее окно сведений о сообщении. На вкладке "Сводка " теги отправителя и получателя отображаются отдельно, если они присутствуют для сообщения электронной почты. Сведения об отдельных тегах для отправителя и получателя также распространяется на экспортированные CSV-данные, где эти сведения можно просмотреть в двух отдельных столбцах.

Сведения о тегах также отображаются во всплывающем окне щелчков URL-адреса. Чтобы просмотреть его, перейдите в представление "Фишинг" или "Все сообщения электронной почты", а затем на вкладку URL-адресов или URL-адресов. Выберите отдельный всплывающий элемент URL-адреса, чтобы просмотреть дополнительные сведения о щелчках для этого URL-адреса, включая теги, связанные с этим щелчком.

Обновленное представление временной шкалы

Узнайте больше, посмотрев это видео.

Улучшения возможностей охоты на угрозы (предстоящие)

Обновлены сведения об угрозах для сообщений электронной почты

Мы рассмотрели улучшения платформы и качества данных, чтобы повысить точность и согласованность данных для записей электронной почты. К улучшениям относится консолидация сведений о предварительной и последующей доставке, таких как действия, выполняемые в сообщении электронной почты в рамках процесса ZAP, в одну запись. Также включаются дополнительные сведения, такие как решение о нежелательной почте, угрозы на уровне сущности (например, какой URL-адрес был вредоносным) и последние расположения доставки.

После этих обновлений вы увидите одну запись для каждого сообщения, независимо от различных событий после доставки, влияющих на сообщение. Действия могут включать ZAP, исправление вручную (т. е. действие администратора), динамическую доставку и т. д.

Помимо отображения вредоносных программ и фишинговых угроз, вы увидите решение о спаме, связанном с сообщением электронной почты. В сообщении электронной почты ознакомьтесь со всеми угрозами, связанными с электронной почтой, а также с соответствующими технологиями обнаружения. Сообщение электронной почты может иметь ноль, одну или несколько угроз. Текущие угрозы отображаются в разделе "Сведения " всплывающего меню электронной почты. Для нескольких угроз (например, вредоносных программ и фишинга) в техническом поле обнаружения отображается сопоставление обнаружения угроз, которое является технологией обнаружения, которая идентифицирована угрозой.

Набор технологий обнаружения теперь включает новые методы обнаружения, а также технологии обнаружения спама. Вы можете использовать один и тот же набор технологий обнаружения для фильтрации результатов в различных представлениях электронной почты (вредоносные программы, фишинг, все сообщения электронной почты).

Примечание

Анализ решений может не обязательно быть привязан к сущностям. Например, сообщение электронной почты можно классифицировать как фишинговое или нежелательное, но отсутствуют URL-адреса с отметкой фишинга или спама. Это связано с тем, что фильтры также оценивают содержимое и другие сведения для сообщения электронной почты перед назначением решения.

Угрозы в URL-адресах

Теперь на вкладке "Сведения о всплывающем элементе электронной почты" можно увидеть конкретную угрозу для URL-адреса . Это может быть вредоносная программа, фишинг, спам или нет.)

Обновленное представление временной шкалы (в будущих версиях)

Представление временной шкалы определяет все события доставки и после доставки. Он содержит сведения об угрозе, обнаруженной на этом этапе, для подмножества этих событий. Представление временной шкалы также содержит сведения о любых дополнительных действиях (например, исправлении zap или вручную), а также о результатах этого действия. Сведения о представлении временной шкалы включают:

  • Источник: Источник события. Это может быть администратор, система или пользователь.
  • Событие: Включает события верхнего уровня, такие как исходная доставка, исправление вручную, ZAP, отправки и динамическая доставка.
  • Действий: Конкретное действие, которое было выполнено в рамках zap или действия администратора (например, обратимое удаление).
  • Угроз: Охватывает угрозы (вредоносные программы, фишинг, спам), обнаруженные на этом этапе.
  • Результат и сведения: Дополнительные сведения о результате действия, например о том, было ли оно выполнено в рамках действия ZAP или администратора.

Исходное и последнее расположение доставки

В настоящее время мы используем расположение доставки в сетке электронной почты и всплывающем элементе электронной почты. Поле "Расположение доставки" переименовано в "Исходное расположение доставки". Кроме того, мы представляем другое поле — _Latest delivery location.

Исходное расположение доставки предоставит дополнительные сведения о том, куда было доставлено сообщение электронной почты. В последнем расположении доставки будет отображаться адрес электронной почты после таких системных действий, как ZAP или действия администратора, такие как перемещение в удаленные элементы. Последняя папка доставки предназначена для того, чтобы сообщить администраторам о последнем известном расположении сообщения после доставки или любых действиях системы или администратора. Он не содержит никаких действий пользователя в сообщении электронной почты. Например, если пользователь удалил сообщение или переместил его в архив или pst, расположение доставки сообщения не обновляется. Но если системное действие обновило расположение (например, zaP, в результате которого сообщение электронной почты переместились в карантин ), последнее расположение доставки будет отображаться как "карантин".

Примечание

Существует несколько случаев, когда расположение доставки и действие доставки могут отображаться как "неизвестно":

  • Если сообщение доставлено, расположение доставки может отображаться как "доставлено" и "неизвестно", но правило папки "Входящие" переместило сообщение в папку по умолчанию (например, черновик или архив), а не в папку "Входящие" или "Нежелательная почта".

  • Последнее расположение доставки может быть неизвестно, если предпринята попытка администратора или системы (например, ZAP), но сообщение не найдено. Как правило, действие происходит после того, как пользователь переместил или удалил сообщение. В таких случаях проверьте столбец результатов и сведений в представлении временной шкалы. Найдите оператор "Сообщение перемещено или удалено пользователем".

Дополнительные действия

Дополнительные действия были применены после доставки сообщения электронной почты. Они могут включать ZAP*,* исправление вручную (действие, выполняемое администратором, например обратимое удаление), динамическую доставку и повторную обработку (для сообщения электронной почты, которое было обнаружено задним числом как хорошее).

Примечание

В рамках ожидающих изменений значение "Удалено zaP", которое в настоящее время отображается в фильтре действия доставки, исчезает. Вы сможете найти все сообщения электронной почты с помощью попытки zaP выполнить дополнительные действия.

Системные переопределения

Системные переопределения позволяют создавать исключения из предполагаемого расположения доставки сообщения. Расположение доставки, предоставляемого системой, переопределяется в зависимости от угроз и других обнаружений, обнаруженных стеком фильтрации. Системные переопределения можно задать с помощью политики клиента или пользователя, чтобы доставить сообщение, как предлагает политика. Переопределения могут определять непреднамеренное доставку вредоносных сообщений из-за пробелов в конфигурациях, таких как чрезмерно широкая Сейф отправителя, задаваемая пользователем. Эти значения переопределения могут быть следующими:

  • Разрешено политикой пользователя: пользователь создает политики на уровне почтового ящика, чтобы разрешить домены или отправителей.

  • Заблокировано политикой пользователя: пользователь создает политики на уровне почтового ящика для блокировки доменов или отправителей.

  • Разрешено политикой организации. Команды безопасности организации настраивают политики или правила потока Exchange (также называемые правилами транспорта), чтобы разрешить отправителей и домены пользователям в организации. Это может быть для набора пользователей или всей организации.

  • Заблокировано политикой организации. Команды безопасности организации настраивают политики или правила потока почты для блокировки отправителей, доменов, языков сообщений или исходных IP-адресов для пользователей в организации. Это можно применить к набору пользователей или всей организации.

  • Расширение файла, заблокированное политикой организации: группа безопасности организации блокирует расширение имени файла с помощью параметров политики защиты от вредоносных программ. Теперь эти значения будут отображаться в сведениях электронной почты, чтобы помочь в расследованиях. Команды Secops также могут использовать функцию расширенной фильтрации для фильтрации по заблокированным расширениям файлов.

Системные переопределения в обозревателе.

Улучшения в работе с URL-адресом и щелчками

К улучшениям относятся:

  • Отобразите полный URL-адрес (включая все параметры запроса, которые являются частью URL-адреса) в разделе "Щелчки" всплывающего меню URL-адреса. В настоящее время домен URL-адреса и путь отображаются в строке заголовка. Мы расширяем эту информацию, чтобы отобразить полный URL-адрес.

  • Исправления в фильтрах URL-адресов (URL-адрес и домен URL-адреса и домен URL-адреса и путь): обновления влияют на поиск сообщений, содержащих решение URL-адреса или щелчка. Мы включили поддержку поиска, не зависящего от протокола, поэтому вы можете искать URL-адрес без использования http. По умолчанию поиск ПО URL-адреса сопоставляется с http, если не указано явно другое значение. Например:

    • Выполните поиск с префиксом http:// и без нее в полях фильтра "URL-адрес", "Домен URL-адрес", "Домен URL-адреса" и "Путь ". Результаты поиска должны совпадать.
    • Найдите префикс https:// в URL-адресе. Если значение не указано, предполагается http:// префикс.
    • / игнорируется в начале и конце url-пути, домена URL-адреса, домена URL-адреса и полей пути . / в конце поля URL-адреса игнорируется.

Уровень достоверности фишинга

Уровень достоверности фишинга помогает определить степень достоверности, с которой сообщение электронной почты классифицируются как "фишинг". Возможны два значения: High и Normal. На начальных этапах этот фильтр будет доступен только в представлении фишинга обозревателя угроз.

Уровень достоверности фишинга в обозревателе.

Сигнал URL-адреса ZAP

Сигнал URL-адреса ZAP обычно используется для сценариев оповещений о фишинге ZAP, в которых сообщение электронной почты было определено как фишинговое и удалено после доставки. Этот сигнал соединяет оповещение с соответствующими результатами в обозревателе. Это один из IOC для оповещения.

Чтобы улучшить процесс охоты, мы обновили обозреватель угроз и обнаружения в режиме реального времени, чтобы сделать процесс охоты более согласованным. Изменения описаны здесь:

Фильтрация по тегам пользователей

Теперь можно сортировать и фильтровать системные или пользовательские теги пользователей, чтобы быстро понять область угроз. Дополнительные сведения см. в разделе "Теги пользователей".

Важно!

Фильтрация и сортировка по тегам пользователей в настоящее время доступна в общедоступной предварительной версии. Эта функция может быть существенно изменена перед коммерческим выпуском. Корпорация Майкрософт не предоставляет никаких гарантий( явных или подразумеваемых) в отношении предоставленной информации.

Улучшения часового пояса

Вы увидите часовой пояс для записей электронной почты на портале, а также для экспортированных данных. Он будет отображаться в различных интерфейсах, таких как сетка электронной почты, всплывающее меню "Сведения", временная шкала электронной почты и похожие сообщения электронной почты, поэтому часовой пояс для результирующего набора будет четким.

Обновление в процессе обновления

Некоторые пользователи комментирует путаницу с автоматическим обновлением (например, после изменения даты, обновления страницы) и обновления вручную (для других фильтров). Аналогичным образом удаление фильтров приводит к автоматическому обновлению. Изменение фильтров при изменении запроса может привести к несогласованному поиску. Чтобы устранить эти проблемы, мы перейдите к механизму фильтрации вручную.

С точки зрения взаимодействия пользователь может применять и удалять различные фильтры (из набора фильтров и даты) и нажатие кнопки обновления для фильтрации результатов после определения запроса. Кнопка обновления также выделена на экране. Мы также обновили соответствующие подсказки и документацию по продукту.

Детализация диаграммы для добавления в фильтры

Теперь можно отфильтровать значения условных обозначений, чтобы добавить их в качестве фильтров. Нажмите кнопку " Обновить", чтобы отфильтровать результаты.

Обновления сведений о продукте

Теперь в продукте доступны дополнительные сведения, например общее количество результатов поиска в сетке (см. ниже). Мы улучшили метки, сообщения об ошибках и подсказки, чтобы предоставить дополнительные сведения о фильтрах, интерфейсе поиска и результирующем наборе.

Расширенные возможности в обозревателе угроз

Основные целевые пользователи

Сегодня мы отобразим список основных целевых пользователей в представлении вредоносных программ для сообщений электронной почты в разделе "Основные семейства вредоносных программ ". Мы также расширим это представление в представлениях "Фишинг" и "Все сообщения электронной почты". Вы сможете просмотреть пять основных целевых пользователей, а также количество попыток каждого пользователя для соответствующего представления. Например, для представления фишинга вы увидите количество попыток фишинга.

Вы сможете экспортировать список целевых пользователей до 3000, а также количество попыток автономного анализа для каждого представления электронной почты. Кроме того, при выборе количества попыток (например, 13 попыток на рисунке ниже) откроется отфильтрованное представление в обозревателе угроз, чтобы вы могли просмотреть дополнительные сведения о сообщениях электронной почты и угрозах для этого пользователя.

Exchange транспорта

В рамках обогащения данных вы сможете просмотреть все различные правила транспорта Exchange (ETR), которые были применены к сообщению. Эти сведения будут доступны в представлении сетки электронной почты. Чтобы просмотреть его, выберите параметры столбца в сетке, а затем Exchange правило транспорта из параметров столбца. Он также будет отображаться во всплывающем окне "Сведения " в сообщении электронной почты.

Вы увидите как GUID, так и имя правил транспорта, примененных к сообщению. Вы сможете искать сообщения, используя имя правила транспорта. Это поиск "Содержит", что означает, что вы также можете выполнять частичный поиск.

Важно!

Поиск etr и доступность имен зависят от конкретной роли, назначенной вам. Для просмотра имен трассировки событий Windows и поиска вам потребуется одна из следующих ролей или разрешений. Если вам не назначены какие-либо из этих ролей, вы не сможете просмотреть имена правил транспорта или найти сообщения с помощью имен трассировки событий Windows. Однако вы можете увидеть метку ETR и сведения о GUID в сведениях электронной почты. Другие возможности просмотра записей в сетках электронной почты, всплывающих элементах электронной почты, фильтрах и экспорте не затрагиваются.

  • Только EXO — защита от потери данных: все
  • Только EXO — O365SupportViewConfig: все
  • Microsoft Azure Active Directory ИЛИ EXO — администратор безопасности: все
  • AAD или EXO — читатель сведений о безопасности: все
  • Только EXO — правила транспорта: все
  • Только EXO — View-Only конфигурации: все

В сетке электронной почты, всплывающем окне "Сведения" и экспортированном CSV-файле трассировки событий Windows отображаются имена и GUID, как показано ниже.

Входящие соединители

Соединители — это набор инструкций, которые настраивают потоки электронной почты в вашу Microsoft 365 или Office 365 организации. Они позволяют применять любые ограничения безопасности или элементы управления. В обозревателе угроз теперь можно просматривать соединители, связанные с сообщением электронной почты, и искать сообщения электронной почты с помощью имен соединителей.

Поиск соединителей по своей природе является "содержит", то есть частичный поиск по ключевым словам также должен работать. В представлении главной сетки, всплывающем окне "Сведения" и экспортированном CSV-файле соединители отображаются в формате name/GUID, как показано ниже:

Новые функции в обозревателе угроз и обнаружениях в режиме реального времени

Просмотр фишинговых сообщений электронной почты, отправляемых олицетворенным пользователям и доменам

Чтобы выявить попытки фишинга для пользователей и доменов, олицетворяемых пользователями, необходимо добавить в список пользователей для защиты. Для доменов администраторы должны либо включить домены организации, либо добавить доменное имя в домены для защиты. Защищаемые домены находятся на странице политики защиты от фишинга в разделе "Олицетворение ".

Чтобы просмотреть фишинговые сообщения и найти олицетворяемого пользователя или домены, используйте представление "> фишинга " обозревателя .

В этом примере используется обозреватель угроз.

  1. В Центре соответствия & безопасности (https://protection.office.com)выберите обозреватель > управления угрозами (или обнаружения в режиме реального времени).

  2. В меню "Вид" выберите адрес электронной почты > фишинга.

    Здесь можно выбрать олицетворенного домена или олицетворенного пользователя.

  3. Либо выберите олицетворенного домена, а затем введите защищенный домен в текстовое поле.

    Например, выполните поиск защищенных доменных имен, таких как contoso, contoso.com или contoso.com.au.

  4. Выберите тему любого сообщения на вкладке "Электронная почта" > "Сведения", чтобы просмотреть дополнительные сведения об олицетворении, такие как олицетворение домена или обнаруженное расположение.

    OR

    Выберите олицетворенного пользователя и введите адрес электронной почты защищенного пользователя в текстовом поле.

    Совет

    Для получения наилучших результатов используйте полные адреса электронной почты для поиска защищенных пользователей. Защищенный пользователь будет быстрее и более успешно находиться при поиске firstname.lastname@contoso.com, например при исследовании олицетворения пользователя. При поиске защищенного домена поиск будет принимать корневой домен (например, contoso.com) и доменное имя (contoso). При поиске корневого домена contoso.com будут возвращены как олицетворения contoso.com, так и доменное имя contoso.

  5. Выберите тему любого сообщения на вкладке "Электронная почта " tabDetails > , чтобы просмотреть дополнительные сведения об олицетворении пользователя или домена и обнаруженном расположении.

    Область сведений об обозревателе угроз для защищенного пользователя, показывающая расположение обнаружения и обнаруженную угрозу (здесь фишинговое олицетворение пользователя)

Примечание

На шаге 3 или 5, если выбрать технологию обнаружения и выбрать домен олицетворения или пользователя олицетворения соответственно, информация на вкладке "Электронная почта " tabDetails > о пользователе или домене, а обнаруженное расположение будет отображаться только в сообщениях, связанных с пользователем или доменом, перечисленным на странице политики защиты от фишинга.

Предварительный просмотр заголовка электронной почты и скачивание текста сообщения

Теперь вы можете просмотреть заголовок электронной почты и скачать его текст в обозревателе угроз. Администраторы могут анализировать загруженные заголовки и сообщения электронной почты на наличие угроз. Так как загрузка сообщений электронной почты может привести к риску уязвимости информации, этот процесс управляется управлением доступом на основе ролей (RBAC). Чтобы предоставить возможность скачивать сообщения в представлении всех сообщений электронной почты, требуется новая роль (предварительная версия). Однако просмотр заголовка электронной почты не требует дополнительной роли (кроме того, что требуется для просмотра сообщений в обозревателе угроз). Чтобы создать группу ролей с ролью предварительного просмотра, скажите следующее:

  1. Выберите встроенную группу ролей, которая имеет только роль предварительного просмотра, например "Анализ данных" или "Диспетчер обнаружения электронных данных".
  2. Выберите "Копировать группу ролей".
  3. Выберите имя и описание новой группы ролей и нажмите кнопку "Далее".
  4. Измените роли, добавив и удалив роли по мере необходимости, но оставив роль предварительного просмотра.
  5. Добавьте участников, а затем выберите "Создать группу ролей".

При обнаружении обозревателя и обнаружения в режиме реального времени также будут добавлены новые поля, которые предоставляют более полное представление о том, где находятся ваши сообщения электронной почты. Эти изменения упрощают поиск для операций безопасности. Но основной результат — вы можете быстро узнать расположение проблемных сообщений электронной почты.

Как это сделать? Состояние доставки теперь разбито на два столбца:

  • Действие доставки — состояние сообщения электронной почты.
  • Место доставки — куда было перенаправлено сообщение электронной почты.

Действие доставки — это действие, выполняемое в сообщении электронной почты из-за существующих политик или обнаружений. Ниже приведены возможные действия для сообщения электронной почты:

Доставлены Нежелательная почта Заблокировано Заменить
Электронная почта была доставлена в папку "Входящие" или папку пользователя, и пользователь может получить к ней доступ. Электронная почта была отправлена в папку "Нежелательные" или "Удаленные" пользователя, и пользователь может получить к ней доступ. Сообщения электронной почты, помещенные в карантин, которые завершились сбоем или были удалены. Эти сообщения недоступны пользователю. В сообщениях электронной почты вредоносные вложения .txt файлы, в которых вложение было вредоносным.

Вот что пользователь может и не может видеть:

Доступ для конечных пользователей Недоступно для конечных пользователей
Доставлены Заблокировано
Нежелательная почта Заменить

В расположении доставки отображаются результаты политик и обнаружений, которые выполняются после доставки. Он связан с действием доставки. Возможные значения:

  • Папка "Входящие": сообщение электронной почты находится в папке "Входящие" или в папке (в соответствии с правилами электронной почты).
  • Локальный или внешний: почтовый ящик не существует в облаке, но находится в локальной среде.
  • Нежелательная папка: сообщение электронной почты находится в папке нежелательной почты пользователя.
  • Папка удаленных элементов: сообщение электронной почты в папке "Удаленные" пользователя.
  • Карантин: сообщение электронной почты находится в карантине, а не в почтовом ящике пользователя.
  • Сбой: сообщение электронной почты не достигло почтового ящика.
  • Удалено: сообщение электронной почты потеряно где-то в потоке обработки почты.

Временная шкала электронной почты

Временная шкала электронной почты — это новая функция проводника, которая улучшает возможности охоты для администраторов. Это сокращает время, затраченное на проверку различных расположений, чтобы попытаться понять событие. Когда несколько событий происходят в одно и то же время, когда приходит сообщение электронной почты, эти события отображаются в представлении временной шкалы. Некоторые события, которые происходят с вашей электронной почтой после доставки, записываются в столбце "Специальное действие ". Администраторы могут объединять сведения из временной шкалы с особыми действиями, выполняемыми после доставки почты, чтобы получить представление о том, как работают их политики, где, наконец, была перенаправлена почта, и, в некоторых случаях, то, что было окончательной оценкой.

Дополнительные сведения см. в статье "Исследование и устранение вредоносных сообщений электронной почты, доставленных в Office 365".

Экспорт данных щелчка URL-адреса

Теперь вы можете экспортировать отчеты для щелчков URL-адресов, чтобы Microsoft Excel просмотреть идентификатор сетевого сообщения и нажать кнопку " Решение", чтобы объяснить, откуда поступил трафик щелчка URL-адреса. Вот как это работает: в разделе "Управление угрозами" на панели быстрого запуска Office 365 выполните следующую цепочку:

Explorer > Просмотр фишинга > Кликов > Основные URL-адреса или URL-адреса при нажатии кнопки " > Вверху" выберите любую запись, чтобы открыть всплывающее меню URL-адреса.

При выборе URL-адреса в списке на всплывающей панели отображается новая кнопка "Экспорт". Используйте эту кнопку для перемещения данных в электронную Excel для упрощения создания отчетов.

Следуйте этому пути, чтобы получить то же расположение в отчете об обнаружении в режиме реального времени:

Explorer > Обнаружения в режиме реального времени > Просмотр фишинга > Url > Основные URL-адреса или основные щелчки выберите > любую запись, чтобы открыть всплывающее меню URL-адресов > , перейдите на вкладку "Щелчки ".

Совет

Идентификатор сетевого сообщения сопоставляет щелчки с определенными сообщениями при поиске по идентификатору через обозреватель или связанные сторонние средства. Такие поисковые запросы определяют сообщение электронной почты, связанное с результатом щелчка. Наличие коррелированных идентификаторов сетевых сообщений позволяет быстрее и эффективнее анализировать их.

Просмотр вредоносных программ, обнаруженных в электронной почте по технологии

Предположим, вы хотите просмотреть вредоносные программы, обнаруженные в электронной почте, отсортированной по Microsoft 365 технологии. Для этого используйте представление обозревателя > вредоносных программ (или обнаружение вредоносных программ в режиме реального времени).

  1. В Центре соответствия & безопасности (https://protection.office.com) выберите обозреватель > управления угрозами ( или обнаружение в режиме реального времени). (В этом примере используется обозреватель.)

  2. В меню "Вид " выберите " Электронная почта— вредоносная > программа".

  3. Щелкните "Отправитель", а затем выберите технологию "Базовое > обнаружение".

    Ваши технологии обнаружения теперь доступны в качестве фильтров для отчета.

  4. Выберите параметр. Затем нажмите кнопку " Обновить", чтобы применить этот фильтр.

Отчет обновляется, чтобы отобразить результаты обнаружения вредоносных программ в электронной почте с помощью выбранного вами варианта технологии. Здесь можно провести дальнейший анализ.

Просмотр фишинговых URL-адресов и выбор данных решения

Предположим, что вы хотите просмотреть попытки фишинга через URL-адреса в электронной почте, включая список URL-адресов, которые были разрешены, заблокированы и переопределены. Чтобы определить URL-адреса, которые были нажаты, Сейф ссылки должны быть настроены. Убедитесь, что вы настроили Сейф ссылки для защиты по щелчку и регистрации решений щелчков по ссылкам Сейф ссылками.

Чтобы просмотреть фишинговые URL-адреса в сообщениях и щелкнуть URL-адреса в фишинговых сообщениях, используйте представление EmailPhish > обозревателя или обнаружения в режиме реального времени.

  1. В Центре соответствия & безопасности (https://protection.office.com) выберите обозреватель > управления угрозами ( или обнаружение в режиме реального времени). (В этом примере используется обозреватель.)

  2. В меню "Вид " выберите "Фишинг по электронной > почте".

  3. Щелкните "Отправитель", а затем выберите "URL-адреса для выбора > решения".

  4. Выберите один или несколько параметров, например "Заблокировано" и "Переопределено блок ", а затем нажмите кнопку "Обновить" в той же строке, что и параметры для применения этого фильтра. (Не обновляйте окно браузера.)

    Отчет обновится, чтобы отобразить две разные таблицы URL-адресов на вкладке URL-адреса в отчете:

    • Основные URL-адреса — это URL-адреса в отфильтрованных сообщениях и количество действий доставки электронной почты для каждого URL-адреса. В представлении фишинговой почты этот список обычно содержит допустимые URL-адреса. Злоумышленники включают в свои сообщения несколько хороших и неправильных URL-адресов, чтобы попытаться доставить их, но они делают вредоносные ссылки более интересными. Таблица URL-адресов сортируется по общему счетчику сообщений электронной почты, но этот столбец скрыт для упрощения представления.

    • Верхние щелчки — это URL-Сейф url-адреса, заключенные в оболочку ссылок, отсортированные по общему счетчику щелчков. Этот столбец также не отображается, чтобы упростить представление. Общее число по столбцу указывает, Сейф ссылки щелкают число решений для каждого щелкнув URL-адреса. В представлении фишинговых сообщений обычно это подозрительные или вредоносные URL-адреса. Но представление может содержать URL-адреса, которые не являются угрозами, но находятся в фишинговых сообщениях. Щелчки URL-адресов по непрошифровки ссылок здесь не отображаются.

    В двух таблицах URL-адресов отображаются основные URL-адреса фишинговых сообщений по действию доставки и расположению. В таблицах отображаются щелчки URL-адресов, которые были заблокированы или просмотрелись, несмотря на предупреждение, чтобы вы могли увидеть, какие потенциальные недопустимые ссылки были представлены пользователям и что пользователь щелкнув. Здесь можно провести дальнейший анализ. Например, под диаграммой отображаются основные URL-адреса в сообщениях электронной почты, которые были заблокированы в среде вашей организации.

    Выберите URL-адрес, чтобы просмотреть более подробные сведения.

    Примечание

    В диалоговом окне всплывающего меню URL-адресов фильтрация сообщений электронной почты удаляется, чтобы отобразить полное представление об уязвимости URL-адреса в вашей среде. Это позволяет фильтровать сообщения электронной почты, которые вас интересуют в обозревателе, находить конкретные URL-адреса, которые являются потенциальными угрозами, а затем расширять представление об уязвимости URL-адресов в вашей среде (через диалоговое окно сведений об URL-адресах), не добавляя фильтры URL-адресов в само представление обозревателя.

Интерпретация решений по щелчку

В всплывающих элементах "Электронная почта" или "URL-адрес", "Основные щелчки", а также в интерфейсе фильтрации вы увидите различные значения решения щелчка:

  • Ни один: Не удалось записать решение для URL-адреса. Возможно, пользователь щелкнув URL-адрес.
  • Разрешены: Пользователю было разрешено перейти по URL-адресу.
  • Заблокирован: Пользователю не удалось перейти по URL-адресу.
  • Ожидание решения: Пользователю была представлена страница ожидания отключения.
  • Заблокировано переопределено: Пользователю не удалось перейти непосредственно по URL-адресу. Но пользователь переопределит блок, чтобы перейти по URL-адресу.
  • Ожидание решения об обходе: Пользователю была представлена страница отключения. Но пользователь переопределит сообщение, чтобы получить доступ к URL-адресу.
  • Ошибка: Пользователю была представлена страница ошибки или произошла ошибка при записи решения.
  • Сбоя: При записи решения возникло неизвестное исключение. Возможно, пользователь щелкнув URL-адрес.

Просмотр сообщений электронной почты, сообщаемых пользователями

Предположим , что вы хотите просмотреть сообщения электронной почты, которые пользователи в вашей организации сообщали как нежелательные , а не нежелательные или фишинговые через надстройку "Сообщение отчета" или надстройку "Фишинг отчетов". Чтобы просмотреть их, используйте представление EmailSubmissions > обозревателя (или обнаружения в режиме реального времени).

  1. В Центре соответствия & безопасности (https://protection.office.com) выберите обозреватель > управления угрозами ( или обнаружение в режиме реального времени). (В этом примере используется обозреватель.)

  2. В меню "Вид " выберите " Отправки > электронной почты".

  3. Щелкните "Отправитель", а затем выберите базовый > тип отчета.

  4. Выберите вариант, например "Фишинг", а затем нажмите кнопку " Обновить ".

Отчет обновляется, чтобы отобразить данные о сообщениях электронной почты, которые сотрудники вашей организации сообщили как фишинговые. Эти сведения можно использовать для дальнейшего анализа и при необходимости настройки политик защиты от фишинга в Microsoft Defender для Office 365.

Запуск автоматического исследования и реагирования

Примечание

Возможности автоматического исследования и реагирования доступны в Microsoft Defender для Office 365 2 и Office 365 E5*.*

Автоматическое исследование и реагирование на них могут сэкономить время и усилия, затраченные на исследование и устранение кибератак. Помимо настройки оповещений, которые могут активировать сборник схем безопасности, можно запустить автоматизированное исследование и процесс реагирования из представления в обозревателе. Дополнительные сведения см . в разделе "Пример: администратор безопасности инициирует исследование из обозревателя".

Другие способы использования обнаружения обозревателя и обнаружения в режиме реального времени

Помимо сценариев, описанных в этой статье, в обозревателе (или обнаружениях в режиме реального времени) доступно множество дополнительных вариантов создания отчетов. См. следующие статьи:

Обязательные лицензии и разрешения

Необходимо иметь Microsoft Defender для Office 365 для использования обнаружения обозревателя или обнаружения в режиме реального времени.

  • Обозреватель включен в план Defender для Office 365 2.
  • Отчет об обнаружении в режиме реального времени включен в Defender для Office 365 1.
  • Запланируйте назначение лицензий всем пользователям, которые должны быть защищены Defender для Office 365. При обнаружении в обозревателе и в режиме реального времени отображаются данные об обнаружении лицензированных пользователей.

Чтобы просмотреть и использовать обнаружения проводника или обнаружения в режиме реального времени, необходимо иметь соответствующие разрешения, например разрешения, предоставленные администратору безопасности или средству чтения сведений о безопасности.

  • Для Центра & безопасности вам должна быть назначена одна из следующих ролей:

    • Управление организацией
    • Администратор безопасности (его можно назначить в центре администрирования Azure Active Directory (https://aad.portal.azure.com)
    • Читатель сведений о безопасности
  • Для Exchange Online необходимо назначить одну из следующих ролей в центре администрирования Exchange (EAC) или Exchange Online PowerShell:

    • Управление организацией
    • Управление организацией только с правом на просмотр
    • Получатели только для чтения
    • Управление соответствием требованиям

Дополнительные сведения о ролях и разрешениях см. в следующих ресурсах:

Различия между обозревателем угроз и обнаружением в режиме реального времени

  • Отчет об обнаружении в режиме реального времени доступен в Defender для Office 365 плане 1. Обозреватель угроз доступен в Defender для Office 365 плане 2.
  • Отчет об обнаружении в режиме реального времени позволяет просматривать обнаружения в режиме реального времени. Обозреватель угроз также делает это, но также предоставляет дополнительные сведения о заданной атаке.
  • Представление "Все сообщения электронной почты" доступно в обозревателе угроз, но не в отчете об обнаружении угроз в режиме реального времени.
  • В обозреватель угроз включены дополнительные возможности фильтрации и доступные действия. Дополнительные сведения см. в Microsoft Defender для Office 365 service Description: Feature availability across Defender для Office 365 plans.

Изучение сообщений электронной почты на странице сущности электронной почты