Undersöka skadlig e-post som levererades i Microsoft 365

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Microsoft 365-organisationer som har Microsoft Defender för Office 365 ingår i prenumerationen eller som köpts som ett tillägg har Explorer (även kallat Hotutforskaren) eller realtidsidentifieringar. Dessa funktioner är kraftfulla verktyg i nära realtid som hjälper SecOps-team (Security Operations) att undersöka och reagera på hot. Mer information finns i Om hotutforskaren och realtidsidentifieringar i Microsoft Defender för Office 365.

Med hotutforskaren och realtidsidentifieringar kan du undersöka aktiviteter som utsätter personer i din organisation för risker och vidta åtgärder för att skydda din organisation. Till exempel:

• Hitta och ta bort meddelanden.
• Identifiera IP-adressen för en avsändare med skadlig e-post.
• Starta en incident för vidare undersökning.

Den här artikeln beskriver hur du använder Hotutforskaren och realtidsidentifieringar för att hitta skadlig e-post i mottagarpostlådor.

Tips

Information om hur du går direkt till reparationsprocedurerna finns i Åtgärda skadlig e-post som levereras i Office 365.

Andra e-postscenarier med hotutforskaren och realtidsidentifieringar finns i följande artiklar:

• Hotjakt i Threat Explorer och realtidsidentifieringar i Microsoft Defender för Office 365
• Email säkerhet med Hotutforskaren och realtidsidentifieringar i Microsoft Defender för Office 365

Vad behöver jag veta innan jag börjar?

• Threat Explorer ingår i Defender för Office 365 plan 2. Realtidsidentifieringar ingår i Defender för Office Plan 1:

  • Skillnaderna mellan Hotutforskaren och Realtidsidentifieringar beskrivs i Om hotutforskaren och realtidsidentifieringar i Microsoft Defender för Office 365.
  • Skillnaderna mellan Defender för Office 365 plan 2 och Defender för Office Plan 1 beskrivs i Defender för Office 365 plan 1 jämfört med plan 2.

• För filteregenskaper som kräver att du väljer ett eller flera tillgängliga värden har egenskapen i filtervillkoret med alla värden markerade samma resultat som att inte använda egenskapen i filtervillkoret.

• Behörigheter och licensieringskrav för Hotutforskaren och realtidsidentifieringar finns i Behörigheter och licensiering för Hotutforskaren och Realtidsidentifieringar.

Hitta misstänkt e-post som levererades

1. Använd något av följande steg för att öppna Hotutforskaren eller Realtidsidentifieringar:

   • Hotutforskaren: I Defender-portalen på https://security.microsoft.comgår du till Email & Security>Explorer. Om du vill gå direkt till sidan Utforskaren använder du https://security.microsoft.com/threatexplorerv3.
   • Realtidsidentifieringar: I Defender-portalen på https://security.microsoft.comgår du till Email & Realtidsidentifieringar för säkerhet>. Om du vill gå direkt till sidan Realtidsidentifieringar använder du https://security.microsoft.com/realtimereportsv3.

2. På sidan Explorer eller Realtidsidentifieringar väljer du en lämplig vy:

   • Hotutforskaren: Kontrollera att vyn Alla e-postmeddelanden är markerad.
   • Realtidsidentifieringar: Kontrollera att vyn Skadlig kod är markerad eller välj vyn Nätfiske.

3. Välj datum-/tidsintervall. Standardvärdet är igår och i dag.

   

4. Skapa ett eller flera filtervillkor med några eller alla av följande målegenskaper och värden. Fullständiga instruktioner finns i Egenskapsfilter i Hotutforskaren och Realtidsidentifieringar. Till exempel:

   • Leveransåtgärd: Den åtgärd som vidtas på ett e-postmeddelande på grund av befintliga principer eller identifieringar. Användbara värden är:

     • Levereras: Email levereras till användarens inkorg eller annan mapp där användaren kan komma åt meddelandet.
     • Skräppost: Email levereras till användarens mapp för skräppost Email eller borttagna objekt där användaren kan komma åt meddelandet.
     • Blockerad: Email meddelanden som satts i karantän, som misslyckades med leveransen eller som togs bort.

   • Ursprunglig leveransplats: Var e-post gick före automatiska eller manuella åtgärder efter leverans av systemet eller administratörerna (till exempel ZAP eller flyttades till karantän). Användbara värden är:

     • Mapp för borttagna objekt
     • Släppt: Meddelandet förlorades någonstans i e-postflödet.
     • Misslyckades: Meddelandet kunde inte nå postlådan.
     • Inkorg/mapp
     • Skräppostmapp
     • Lokal/extern: Postlådan finns inte i Microsoft 365-organisationen.
     • Karantän
     • Okänd: Efter leverans flyttade till exempel en inkorgsregel meddelandet till en standardmapp (till exempel Utkast eller Arkiv) i stället för till mappen Inkorgen eller Skräppost Email.

   • Plats för senaste leverans: Där e-post hamnade efter automatiska eller manuella åtgärder efter leverans av systemet eller administratörerna. Samma värden är tillgängliga från den ursprungliga leveransplatsen.

   • Riktning: Giltiga värden är:

     • Inkommande
     • Intra-org
     • Utgående

     Den här informationen kan hjälpa dig att identifiera förfalskning och personifiering. Meddelanden från interna domänavsändare bör till exempel vara Intra-org, inte Inkommande.

   • Ytterligare åtgärd: Giltiga värden är:

     • Automatiserad reparation (Defender för Office 365 plan 2)
     • Dynamisk leverans: Mer information finns i Dynamic Delivery in Safe Attachments policies (Dynamisk leverans i principer för säkra bifogade filer).
     • Manuell reparation
     • Ingen
     • Karantänversion
     • Ombearbetad: Meddelandet identifierades retroaktivt som bra.
     • ZAP: Mer information finns i Automatisk rensning av nolltimmar (ZAP) i Microsoft Defender för Office 365.

   • Primär åsidosättning: Om organisations- eller användarinställningar tillåter eller blockerar meddelanden som annars skulle ha blockerats eller tillåtits. Värden är:

     • Tillåts av organisationsprincip
     • Tillåts av användarprincip
     • Blockerad av organisationsprincip
     • Blockerad av användarprincip
     • Ingen

     Dessa kategorier förfinas ytterligare av egenskapen Primär åsidosättningskälla .

   • Primär åsidosättningskälla Typ av organisationsprincip eller användarinställning som tillät eller blockerade meddelanden som annars skulle ha blockerats eller tillåtits. Värden är:

     • Filter från tredje part
     • Admin initierad tidsresa
     • Principblock för program mot skadlig kod efter filtyp: Vanliga bifogade filer filtrerar i principer för skydd mot skadlig kod
     • Principinställningar för antispam
     • Anslutningsprincip: Konfigurera anslutningsfiltrering
     • Exchange-transportregel (e-postflödesregel)
     • Exklusivt läge (åsidosättning av användare): Den enda betrodda e-postadressen från adresser i listan Säkra avsändare och domäner samt inställningen Säkra e-postlistor i samlingen med säkra listor i en postlåda.
     • Filtreringen hoppades över på grund av lokal organisation
     • IP-regionfilter från princip: Från dessa länder filtreras i principer för skräppostskydd.
     • Språkfilter från princip: Filtret Innehåller specifika språk i principer för skräppostskydd.
     • Nätfiskesimulering: Konfigurera nätfiskesimuleringar från tredje part i den avancerade leveransprincipen
     • Karantänversion: Släppa e-post i karantän
     • SecOps-postlåda: Konfigurera SecOps-postlådor i den avancerade leveransprincipen
     • Adresslista för avsändare (Admin åsidosättning): Listan över tillåtna avsändare eller blockerade avsändare i principer för skräppostskydd.
     • Adresslista för avsändare (åsidosättning av användare): Avsändarens e-postadresser i listan Blockerade avsändare i samlingen med betrodda användare i en postlåda.
     • Avsändardomänlista (Admin åsidosättning): Listan över tillåtna domäner eller blockerade domäner i principer för skräppostskydd.
     • Avsändardomänlista (åsidosättning av användare): Avsändardomäner i listan Blockerade avsändare i samlingen med betrodda listor i en postlåda.
     • Tillåt/blockera filblock för klientorganisation: Skapa blockera poster för filer
     • E-postadressblock för e-postadress för klientorganisations-/blockeringslista: Skapa blockera poster för domäner och e-postadresser
     • Tillåt/blockera förfalskningsblock för klientorganisationslista: Skapa blockposter för falska avsändare
     • Url-blockering för tillåtna/blockerade klientorganisationer: Skapa blockera poster för URL:er
     • Betrodd kontaktlista (åsidosättning av användare): Inställningen Betrodd e-post från mina kontakter i samlingen med säkra listor i en postlåda.
     • Tillåt/blockera filblock för klientorganisation: Skapa blockera poster för filer
     • Betrodd domän (åsidosättning av användare): Avsändardomäner i listan Säkra avsändare i samlingen safelist i en postlåda.
     • Betrodd mottagare (åsidosättning av användare): E-postadresser eller domäner för mottagare i listan Betrodda mottagare i samlingen med säkra listor i en postlåda.
     • Endast betrodda avsändare (åsidosättning av användare): Endast säker Listor: Endast e-post från personer eller domäner i listan över betrodda avsändare eller listan över betrodda mottagare levereras till inkorgsinställningen i samlingen med säkra listor i en postlåda.

   • Åsidosätt källa: Samma tillgängliga värden som primär åsidosättningskälla.

     Tips

     På fliken Email (vy) i informationsområdet för vyerna Alla e-postmeddelanden, Skadlig kod och Nätfiske kallas motsvarande åsidosättningskolumner system åsidosättningar och system åsidosättningar källa.

   • URL-hot: Giltiga värden är:

     • Malware
     • Nätfiske
     • Skräppost

5. När du är klar med konfigurationen av datum-/tids- och egenskapsfilter väljer du Uppdatera.

Fliken Email (vy) i informationsområdet för vyerna Alla e-postmeddelanden, Skadlig kod eller Nätfiske innehåller den information som du behöver för att undersöka misstänkt e-post.

Använd till exempel kolumnerna Leveransåtgärd, Ursprunglig leveransplats och Senaste leveransplats på fliken Email (vy) för att få en fullständig bild av var de berörda meddelandena hamnade. Värdena förklarades i steg 4.

Använd Exportera för att selektivt exportera upp till 200 000 filtrerade eller ofiltrerade resultat till en CSV-fil.

Åtgärda skadlig e-post som har levererats

När du har identifierat de skadliga e-postmeddelanden som levererades kan du ta bort dem från mottagarpostlådor. Anvisningar finns i Åtgärda skadlig e-post som levereras i Microsoft 365.

Relaterade artiklar

Åtgärda skadlig e-post som levereras i Office 365

Microsoft Defender för Office 365

Visa rapporter för Defender för Office 365