E-postanalys i undersökningar för Microsoft Defender för Office 365

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

Under den automatiska undersökningen av aviseringar analyserar Microsoft Defender för Office 365 den ursprungliga e-postadressen för att identifiera andra e-postmeddelanden som är relaterade till den ursprungliga e-postmeddelandet och eventuellt en del av en attack. Den här analysen är viktig eftersom e-postattacker sällan består av ett enda e-postmeddelande.

Med den automatiska undersökningens e-postanalys identifieras e-postkluster med attribut från det ursprungliga e-postmeddelandet till frågan för e-postmeddelanden som skickas och tas emot av organisationen. Det här liknar en säkerhetsoperationsanalytiker som skulle leta efter relaterade e-postmeddelanden i Utforskaren eller Avancerad sökning. Flera frågor används för att identifiera matchande e-postmeddelanden eftersom attacker vanligtvis morfning av e-postparametrar för att undvika säkerhetsidentifiering. Med klusteranalysen utförs följande kontroller för att avgöra hur e-postmeddelanden som ingår i undersökningen ska hanteras:

  • Med e-postanalysen skapas frågor (kluster) av e-postmeddelanden med attribut från den ursprungliga e-postadressen – avsändarvärden (IP-adress, avsändardomän) och innehåll (ämne, kluster-ID) för att hitta relaterade e-postmeddelanden.
  • Om analyser av ursprungliga e-postmeddelandens URL:er och filer identifierar att vissa är skadliga (det vill säga skadlig programvara eller phish) kommer den också att skapa frågor eller grupper av e-postmeddelanden som innehåller den skadliga URL:en eller filen.
  • Med e-postklusteranalys räknas hoten som är kopplade till matchande e-postmeddelanden i klustret för att avgöra om e-postmeddelandena är skadliga, misstänkta eller inte har några tydliga hot. Om e-postgruppen som matchar frågan har tillräckligt mycket skräppost, normal phish, hög konfidens phish eller skadlig kod används den typen av hot i e-postklustret.
  • Analysen av e-postkluster kontrollerar också den senaste leveransplatsen för ursprungliga e-postmeddelanden och e-postmeddelanden i e-postklusterna för att identifiera om e-postmeddelanden kanske fortfarande behöver tas bort eller redan har åtgärdats eller förhindrats. Den här analysen är viktig eftersom attackerar morfning på skadligt innehåll samt säkerhetsprinciper och skydd kan variera mellan olika postlådor. Den här funktionen leder till situationer där skadligt innehåll kan finnas kvar i postlådor, även om ett eller flera skadliga e-postmeddelanden har upptäckts och tagits bort med nolltimmars automatisk rensning (ZAP).
  • E-postkluster som anses vara skadliga på grund av skadlig programvara, hög konfidens, skadliga filer eller skadliga URL-adresser kommer att få en väntande åtgärd för att ta bort e-postmeddelanden när det fortfarande finns kvar i den molnbaserade postlådan (inkorgen eller skräppostmappen). Om skadliga e-postmeddelanden eller e-postkluster endast finns i "Inte i postlådan" (blockerad, i karantän, misslyckades, mjuk borttagna osv.) eller "lokal/extern" utan någon i den molnbaserade postlådan, konfigureras inga väntande åtgärder för att ta bort dem.
  • Om något av e-postklusterna identifierats som skadliga tillämpas hoten i klustret på det ursprungliga e-postmeddelandet som ingår i undersökningen. Det här beteendet liknar en säkerhetsoperationsanalytiker som använder resultat för e-post efter e-post för att avgöra vem det ursprungliga e-postmeddelandet är baserat på matchande e-postmeddelanden. Detta resultat säkerställer att oavsett om ursprungs-e-postmeddelandens URL:er, filer eller käll-e-postindikatorer identifieras eller inte kan systemet identifiera skadliga e-postmeddelanden som möjligen kringgår identifiering genom anpassning, morfning, intrång eller andra tekniker för attacker.
  • I undersökning av användarkomprometter skapas ytterligare e-postkluster för att identifiera möjliga e-postproblem som skapats av postlådan. Den här processen omfattar ett rent e-postkluster (bra e-postmeddelanden från användare, potentiell datainfiltrering och potentiella kommando-/kontrollmeddelanden), misstänkta e-postkluster (e-postmeddelanden som innehåller skräppost eller vanlig nätfiske) och skadliga e-postkluster (e-postmeddelanden som innehåller skadlig programvara eller hög konfidensfras). De här e-postklusterna tillhandahåller data från säkerhetsanalytiker för att avgöra vilka andra problem som kan behöva åtgärdas från en kompromettering och synlighet för vilka e-postmeddelanden som kan ha utlöst de ursprungliga aviseringarna (till exempel phish/spam som utlöste begränsningar för att skicka användare)

E-postklusteranalys via likhetsfrågor och skadliga entitetsfrågor ser till att e-postproblem identifieras och rensas, även om bara ett e-postmeddelande från en attack identifieras. Du kan använda länkar från vyerna för e-postkluster i sidopanelsvyerna för att öppna frågorna i Utforskaren eller Avancerad sökning för att utföra djupare analyser och ändra frågorna om det behövs. Med den här funktionen kan du förfina och åtgärda manuellt om e-postkluster är för smala eller för breda (inklusive orelaterade e-postmeddelanden).

Här finns ytterligare förbättringar av e-postanalys i undersökningar.

AIR-undersökning ignorerar avancerade leveransobjekt (SecOps-postlåda och PhishEDU-meddelanden)

Under e-postklusteranalysen ignorerar alla grupperingsfrågor säkerhetspostlådor som har ställts in som postlådor för säkerhetsåtgärder i principen för avancerad leverans. På samma sätt ignorerar e-postkluster grupperingsfrågor phish-simuleringsmeddelanden (utbildning) som är konfigurerade i principen för avancerad leverans. Varken secOps eller PhishEdu-undantagsvärdena visas i frågan för att göra grupperingsattribut enklare och lättare att läsa. Undantaget säkerställer att hotinformation och operativa postlådor (SecOps-postlådor) och phish simuleringar (PhishEdu) ignoreras vid analys av hot och inte tas bort vid någon åtgärd.

Anteckning

När du öppnar ett e-postkluster för att visa det i Utforskaren från informationen om e-postkluster kommer postlådefiltren PhishEdu och SecOps att användas i Utforskaren, men visas inte. Om du ändrar Utforskaren filtrerar, datum eller uppdaterar frågan på sidan tas undantaget PhishEdu/SecOps bort och e-postmeddelanden som matchar dessa visas igen. Om du uppdaterar Sidan Utforskaren med webbläsarens uppdateringsfunktion läses de ursprungliga frågefiltren in igen, inklusive filtren PhishEdu/SecOps – men tar bort alla efterföljande ändringar som du har gjort.

AIR-uppdateringar som väntar på att e-poståtgärdsstatus

E-postanalysen för undersökning beräknar e-posthot och -platser vid tidpunkten för undersökningen för att skapa undersöknings bevis och åtgärder. Dessa data kan bli inaktuella och inaktuella när åtgärder utanför undersökningen påverkar e-postmeddelandena som ingår i undersökningen. Exempelvis kan säkerhetsåtgärder för manuell uppföljning och åtgärd rensa upp e-postmeddelanden som ingår i en undersökning. På samma sätt kan borttagningsåtgärder som godkänts i parallella undersökningar eller automatiska rensningsåtgärder på nolltimmar (ZAP) ha tagit bort e-postmeddelanden. Dessutom kan fördröjd identifiering av hot efter e-postleverans ändra antalet hot som ingår i undersökningens e-postfrågor/kluster.

För att säkerställa att undersökningsåtgärder är uppdaterade kör vi med jämna mellanrum om undersökning som har väntande åtgärder e-postanalysfrågorna för att uppdatera e-postplatser och hot.

  • När e-postklusterdata ändras uppdateras antalet hot och den senaste leveransplatsen.
  • Om e-postmeddelanden eller e-postkluster med väntande åtgärder inte längre finns i postlådan avbryts den väntande åtgärden och den skadliga e-post/det kluster som anses vara åtgärdat.
  • När alla hot för undersökningen har åtgärdats eller avbrutits, så kommer undersökningen att gå över till ett åtgärdat tillstånd och den ursprungliga aviseringen har lösts.

Visning av bevis för incidenter för e-post och e-postkluster

E-postbaserade bevis på fliken Bevis och svar för en incident visas nu följande information.

Exempel på information om e-postanalys i Bevis och svar.

Från de numrerade bildtexterna i bilden:

  1. Du kan utföra åtgärder förutom Åtgärdscenter.

  2. Du kan vidta åtgärdsåtgärd för e-postkluster med en skadlig bedömning (men inte misstänkt).

  3. Nätfiske är inderat i normalt förtroende och nätfiske för e-postmeddelandets skräppost.

    För en skadlig bedömning är hotkategorierna skadlig kod, hög konfidens, skadlig URL och skadlig fil.

    För en misstänkt bedömning är hotkategorierna skräppost och normal phish.

  4. Antalet e-postmeddelanden baserat på den senaste leveransplatsen och innehåller räknare för e-post i postlådor, inte i postlådor och lokalt.

  5. Innehåller datum och tid för frågan, som kan uppdateras för senaste data.

För e-post- eller e-postkluster på fliken Enheter för ett problem innebär Förhindrad att det inte fanns några skadliga e-postmeddelanden i postlådan för det här objektet (e-post eller kluster). Här är ett exempel.

Exempel på förhindrad e-post.

I det här exemplet är e-postmeddelandet skadligt men inte i en postlåda.

Nästa steg