Hot jaga i Threat Explorer för Microsoft Defender för Office 365

I den här artikeln:

Anteckning

Det här är en del av en 3-artikelserie om Threat Explorer (Explorer), e-postsäkerhet och Utforskaren och realtidsidentifiering (till exempel skillnader mellan verktygen och behörigheter som krävs för att hantera dem). De andra två artiklarna i den här serien är E-postsäkerhet med Hotutforskaren och Hotutforskaren och identifieringar i realtid.

Gäller för

Om din organisation har Microsoft Defenderför Office 365 och du har behörighet kan du använda Utforskaren eller Realtidsidentifiering för att identifiera och åtgärda hot.

I Microsoft 365 Defender på går du till https://security.microsoft.com E-& samarbete och väljer sedan Utforskaren eller Identifiering av realtid. Om du vill gå direkt till sidan använder du https://security.microsoft.com/threatexplorer eller https://security.microsoft.com/realtimereports .

Med dessa verktyg kan du:

  • Se skadlig programvara som upptäckts Microsoft 365 säkerhetsfunktioner
  • Visa nätfiske-URL och klicka på bedömningsdata
  • Starta en automatiserad undersökning och svarsprocess från en vy i Utforskaren
  • Undersöka skadlig e-post med mera

Mer information finns i E-postsäkerhet med Hotutforskaren.

Genomgång av Threat Explorer

I Microsoft Defender för Office 365 finns det två abonnemang – abonnemang 1 och abonnemang 2. Manuellt använda sökverktyg för hot finns i båda abonnemangen, under olika namn och med olika funktioner.

Defender för Office 365 abonnemang 1 använder identifieringar i realtid, vilket är en del av hotutforskaren (även kallat Utforskaren) i plan 2. I den här serien med artiklar har de flesta av exemplen skapats med hjälp av hela Hotutforskaren. Administratörer bör testa stegen i realtidsidentifiering för att se var de är tillämpliga.

När du har bekantat dig med alternativen i Utforskaren kommer du som standard till sidan Skadlig programvara, men använder listrutan Visa för att bekanta dig med alternativen. Om du letar efter Phish eller är redo för en hotkampanj väljer du de här vyerna.

Listrutan Visa i Hotutforskaren.

När en säkerhetsoperationer (Sec Ops) väljer de data som de vill se, om omfattningen är smal vy som användare Inskickade objekt, eller en bredare vy, som All e-post, kan de använda knappen Avsändare för att filtrera ytterligare. Kom ihåg att välja Uppdatera för att slutföra filtreringsåtgärderna.

Knappen Avsändare i Hotutforskaren.

Du kan tänka på att förfina fokus i Utforskaren eller Identifiering i realtid i lager. Det första är Visa. Det andra kan ses som ett filtrerat fokus. Du kan till exempel gå tillbaka till de steg du gick genom att registrera ett hot genom att registrera dina beslut så här: För att hitta problemet i Utforskaren valde jag vyn Skadlig programvara med filtret Mottagare i fokus. Det gör det enklare att ta om stegen.

Tips

Om Sek Ops använder taggar för att markera konton som de överväger högvärdiga mål, kan de göra val som Phish View med ett taggfilterfokus (ta med ett datumintervall om det används). Då visas deras nätfiskeförsök mot användarens högvärdesmålen under en tidsperiod (t.ex. datum när vissa nätfiskeattacker pågår mycket inom branschen).

Du kan förbättra datumintervallen med hjälp av kontrollerna för datumintervall. Här kan du se Utforskaren i vyn Skadlig programvara med filtret Identifieringsteknik i fokus. Men det är filterknappen Avancerat som gör att Sek Ops grupper kan gräva djupare.

Avancerat filter i Hotutforskaren.

Om du klickar på filtret Avancerat visas en panel som låter Sek Ops skapa frågor själva, så att de kan inkludera eller exkludera den information de behöver se. Både diagrammet och tabellen på sidan Utforskaren speglar deras resultat.

Resultat från en fråga.

Använd knappen Kolumnalternativ för att få den typ av information om tabellen som skulle vara mest användbar:

Knappen Kolumnalternativ markerad.

Tillgängliga alternativ i Kolumner.

Testa bildskärmsalternativen med samma mien. Olika målgrupper kommer att reagera bra på olika presentationer med samma data. För vissa användare kan kartan för e-postsprung visa att ett hot är svårt eller ödsigt snabbare än alternativet för att visa kampanj bredvid den. Sek Ops kan använda dessa bildskärmar för att bäst understryka behovet av säkerhet och skydd, eller för senare jämförelse, för att visa hur effektivt deras åtgärder är.

Karta för e-post origins.

Alternativ för kampanjvisning.

Undersökning av e-post

När du ser ett misstänkt e-postmeddelande klickar du på namnet för att expandera den utfällade menyn till höger. Här är banderollen som låter Sek Ops se sidan med e-post entitet tillgänglig.

Sidan för e-post entitet samlas ihop med innehåll som finns under Information, Bifogade filer , Enheter , men innehåller mer ordnade data. Det kan till exempel handla om DMARC-resultat, oformaterad text för e-postrubriken med ett kopieringsalternativ, bedömningsinformation om bifogade filer som har lösts och filer som detonationer har släppt (kan inkludera IP-adresser som kontaktades och skärmbilder på sidor eller filer). URL:er och deras bedömningar visas också med liknande information rapporterad.

När du kommer till det här steget är sidan för e-postentitet kritisk till det sista steget – åtgärd.

Sidan För e-post entitet.

Tips

Om du vill veta mer om sidan med en omfattande e-post entitet (som visas nedan på fliken Analys), inklusive resultatet av detonerade bifogade filer, resultat för inkluderade webbadresser och säker förhandsgranskning av e-post, klickar du här.

Fliken Analys på sidan e-post entitet.

E-postreparation

När en sec Ops-person anser att ett e-postmeddelande är ett hot är nästa steg i Utforskaren eller identifiering i realtid att hantera hotet och åtgärda det. Det kan du göra genom att gå tillbaka till Hotutforskaren, markera kryssrutan för problemmeddelandet och använda knappen Åtgärder.

Knappen Åtgärder i Utforskaren för hot.

Här kan analytikern vidta åtgärder som att rapportera e-post som skräppost, nätfiske eller skadlig kod, kontakta mottagare eller ytterligare undersökningar som kan omfatta utlösa spelböcker för automatisk undersökning och svar (eller AIR) (om du har abonnemang 2). Eller så kan e-posten rapporteras som ren.

Listrutan Åtgärder.

Förbättringar för att hitta hot

Aviserings-ID

När du navigerar från en avisering till Hotutforskaren filtreras vyn med aviserings-ID. Det här gäller även vid identifiering i realtid. Meddelanden som är relevanta för den specifika aviseringen och en summa för e-post (antal) visas. Du kan se om ett meddelande var en del av en avisering och även navigera från det meddelandet till den relaterade aviseringen.

Slutligen inkluderas aviserings-ID i URL:en, till exempel: https://https://security.microsoft.com/viewalerts

Filtrera efter aviserings-ID.

Aviserings-ID i den utfällade detaljinformationen.

Utöka databevarandet i Utforskaren (och realtidsidentifiering) och sökbegränsningen för utvärderingsklienter

Som en del av den här ändringen kan analytiker söka efter och filtrera e-postdata i 30 dagar (ökad från sju dagar) i Threat Explorer och realtidsidentifiering för både Defender för Office P1- och P2-utvärderingsklienter. Detta påverkar inte några produktionsklienter för både P1- och P2 E5-kunder, där standardinställningen för bevarande redan är 30 dagar.

Uppdaterad exportgräns

Antalet e-postposter som kan exporteras från Threat Explorer är nu 200 000 (var 9990). Uppsättningen kolumner som kan exporteras ändras inte.

Taggar i Hotutforskaren

Anteckning

Funktionen med användartaggar är en förhandsversion och kanske inte tillgänglig för alla. Förhandsgranskningar kan också komma att ändras. Mer information om lanseringsschemat finns i översikten Microsoft 365 översikt.

Användartaggar identifierar specifika användargrupper i Microsoft Defender för Office 365. Mer information om taggar, inklusive licensiering och konfiguration, finns i Användartaggar.

I Hotutforskaren kan du se information om användartaggar i följande funktioner.

Rutnätsvyn för e-post

När analytiker tittar på kolumnen Taggar i e-postrutnätet ser de alla taggar som har tillämpats på avsändares eller mottagares postlådor. Som standard visas systemtaggar som prioritetskonton först.

Filtertaggar i rutnätsvyn för e-post.

Filtrera

Taggar kan användas som filter. Jaga endast bland prioritetskonton eller använd specifika användartaggsscenarier på det här sättet. Du kan också utesluta resultat som har vissa taggar. Kombinera taggar med andra filter och datumintervall för att begränsa undersökningens omfattning.

Filtertaggar.

Inte filtertaggar.

Utfällblad för e-postinformation

Om du vill visa de enskilda taggarna för avsändare och mottagare väljer du ett e-postmeddelande för att öppna den utfällade meddelandeinformationen. På fliken Sammanfattning visas taggarna för avsändare och mottagare separat. Informationen om enskilda taggar för avsändare och mottagare kan exporteras som CSV-data.

Taggar för e-postinformation.

Information om taggar visas också i den utfällade URL-klickningen. Du kan visa den genom att gå till vyn Phish eller All e-> url-adresser eller fliken URL-klickningar. Välj en enskild utfällsida för URL om du vill se mer information om klickningar för URL-adressen, inklusive eventuella taggar som är kopplade till den klickningen.

Uppdaterad tidslinjevy

URL-taggar.

Lär dig mer genom att titta på den här videon.

Utökade funktioner

Mest riktade användare

Populära programfamiljer för skadlig programvara visar de mest riktade användarna i avsnittet Om skadlig programvara. De mest riktade användarna kommer även att utökas genom vyerna Phish och All e-post. Analytiker kommer att kunna se de fem viktigaste användarna, tillsammans med antalet försök för varje användare i varje vy.

Säkerhetsåtgärder användarna kan exportera listan med riktade användare, upp till en gräns på 3 000, tillsammans med antalet försök som gjorts, för offlineanalys för varje e-postvy. Om du väljer antalet försök (till exempel 13 försök i bilden nedan) öppnas en filtrerad vy i Hotutforskaren, så att du kan se mer information om e-postmeddelanden och hot för den användaren.

Mest riktade användare.

Exchange för transport

Säkerhetsgruppen kommer att kunna se alla transportregler (Exchange eller E-postflödesregler) som tillämpas på ett meddelande i rutnätsvyn för e-post. Välj Kolumnalternativ i rutnätet och klicka Exchange på Transportregel bland kolumnalternativen. Alternativet Exchange för transportregler visas också på den utfällbara informationen i e-postmeddelandet.

Namn och GUID för transportregler som tillämpas på meddelandet visas. Analytiker kan söka efter meddelanden med hjälp av namnet på transportregeln. Det här är en CONTAINS-sökning, vilket innebär att du även kan göra partiella sökningar.

Viktigt

Exchange med transportregelsökning och namntillgänglighet beror på vilken roll du har tilldelats. Du måste ha någon av följande roller eller behörigheter för att visa transportregelnamn och sökning. Men även utan rollerna eller behörigheterna nedan kan en analytiker se transportregeletiketten och GUID-informationen i e-postinformationen. Andra funktioner för postvisning i e-postrutnät, utfällningar av e-post, filter och export påverkas inte.

  • Exchange Online – Skydd mot dataförlust: Alla
  • Exchange Online – O365SupportViewConfig: Alla
  • Microsoft Azure Active Directory eller Exchange Online – säkerhetsadministratör: Alla
  • Azure Active Directory eller Exchange Online – Säkerhetsläsare: Alla
  • Exchange Online – Transportregler: Alla
  • Exchange Online – View-Only konfiguration: Alla

I e-postrutnätet, den utfällliga listan Information och Exporterad CSV visas ETR-trafikerna med ett Namn/GUID enligt nedan.

Exchange transportregler.

Inkommande kopplingar

Kopplingar är en samling instruktioner som anpassar hur din e-post flödar till och från din Microsoft 365 eller Office 365 organisation. De gör att du kan tillämpa alla säkerhetsbegränsningar eller kontroller. I Hotutforskaren kan du visa kopplingar som är relaterade till ett e-postmeddelande och söka efter e-postmeddelanden med hjälp av kopplingsnamn.

Sökningen efter kopplingar är en CONTAINS-fråga, vilket innebär att partiella nyckelordssökningar kan fungera:

Kopplingsinformation.

Obligatoriska licenser och behörigheter

Du måste ha Microsoft Defender Office 365 kunna använda Utforskaren eller identifiering i realtid.

  • Utforskaren ingår i Defender för Office 365 abonnemang 2.
  • Rapporten Identifieringar i realtid ingår i Defender för Office 365 abonnemang 1.
  • Planera att tilldela licenser till alla användare som ska skyddas av Defender för Office 365. I Utforskaren och identifiering i realtid visas identifieringsdata för licensierade användare.

Om du vill visa och använda Utforskaren eller Identifiering i realtid måste du ha följande behörigheter:

  • I Microsoft 365 Defender:
    • Organisationshantering
    • Säkerhetsadministratör (detta kan tilldelas i Azure Active Directory administrationscenter ( https://aad.portal.azure.com )
    • Säkerhetsläsare
  • I Exchange Online:
    • Organisationshantering
    • View-Only Organisationshantering
    • View-Only mottagare
    • Efterlevnadshantering

Mer information om roller och behörigheter finns i följande resurser:

Mer information