Email zabezpečení pomocí Průzkumníka hrozeb a detekce v reálném čase v Microsoft Defender pro Office 365
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Organizace Microsoft 365, které mají Microsoft Defender pro Office 365 zahrnuté ve svém předplatném nebo zakoupené jako doplněk, mají Průzkumníka (označovaného také jako Průzkumník hrozeb) nebo detekci v reálném čase. Tyto funkce představují výkonné nástroje téměř v reálném čase, které pomáhají týmům se zabezpečením (SecOps) prošetřovat hrozby a reagovat na ně. Další informace najdete v tématech o Průzkumníku hrozeb a detekcích v reálném čase v Microsoft Defender pro Office 365.
Tento článek vysvětluje, jak zobrazit a prozkoumat zjištěné pokusy o malware a útoky phishing v e-mailu pomocí Průzkumníka hrozeb nebo detekce v reálném čase.
Tip
Další e-mailové scénáře s využitím Průzkumníka hrozeb a detekce v reálném čase najdete v následujících článcích:
Co potřebujete vědět, než začnete?
Průzkumník hrozeb je součástí plánu Defender pro Office 365 Plan 2. Detekce v reálném čase jsou součástí plánu Defender for Office Plan 1:
- Rozdíly mezi Průzkumníkem hrozeb a detekcemi v reálném čase jsou popsané v tématu Informace o Průzkumníku hrozeb a Detekce v reálném čase v Microsoft Defender pro Office 365.
- Rozdíly mezi Defender pro Office 365 Plán 2 a Defender for Office Plan 1 jsou popsané ve stručné nápovědě Defender pro Office 365 Plan 1 a Plan 2.
Informace o oprávněních a licenčních požadavcích pro Průzkumníka hrozeb a detekce v reálném čase najdete v tématu Oprávnění a licencování pro Průzkumníka hrozeb a detekce v reálném čase.
Zobrazení phishingových e-mailů odeslaných zosobněným uživatelům a doménám
Další informace o ochraně před zosobněním uživatelů a domén v zásadách ochrany proti útokům phishing v Defender pro Office 365 najdete v tématu Nastavení zosobnění v zásadách ochrany proti útokům phishing v Microsoft Defender pro Office 365.
Ve výchozích nebo vlastních zásadách ochrany proti útokům phishing musíte zadat uživatele a domény, které chcete chránit před zosobněním, včetně domén, které vlastníte (akceptované domény). V předvolbách standardních nebo striktních zásad zabezpečení domény, které vlastníte, automaticky obdrží ochranu před zosobněním, ale pro ochranu před zosobněním musíte zadat všechny uživatele nebo vlastní domény. Pokyny najdete v následujících článcích:
- Přednastavené zásady zabezpečení v Exchange Online Protection a Microsoft Defenderu pro Office 365
- Konfigurace zásad ochrany proti útokům phishing v Microsoft Defender pro Office 365
Pomocí následujícího postupu zkontrolujte phishingové zprávy a vyhledejte zosobněné uživatele nebo domény.
Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:
- Průzkumník hrozeb: Na portálu Defender na adrese https://security.microsoft.compřejděte do Email & Průzkumníka zabezpečení>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorerv3
- Detekce v reálném čase: Na portálu Defender na adrese https://security.microsoft.compřejděte na Email & Detekce zabezpečení v>reálném čase. Nebo pokud chcete přejít přímo na stránku detekce v reálném čase, použijte .https://security.microsoft.com/realtimereportsv3
Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Phish . Další informace o zobrazení Phish najdete v tématech Zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.
Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.
Proveďte některý z následujících kroků:
Vyhledejte všechny pokusy o zosobnění uživatele nebo domény:
- Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Technologie detekce.
- Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
- V poli hodnota vlastnosti vyberte Zosobnění doména a Zosobnění uživatele.
Vyhledání konkrétních pokusů o zosobnění uživatele:
- Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Zosobněný uživatel.
- Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
- Do pole hodnota vlastnosti zadejte celou e-mailovou adresu příjemce. Více hodnot příjemců oddělte čárkami.
Vyhledejte konkrétní pokusy o zosobnění domény:
- Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Zosobněná doména.
- Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
- Do pole hodnota vlastnosti zadejte doménu (například contoso.com). Více hodnot domény oddělte čárkami.
Podle potřeby zadejte další podmínky s použitím dalších filtrovatelných vlastností. Pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.
Až budete hotovi s vytvářením podmínek filtru, vyberte Aktualizovat.
V oblasti podrobností pod grafem ověřte, že je vybraná karta Email (zobrazení).
Položky můžete seřadit a zobrazit další sloupce, jak je popsáno v Email zobrazení pro oblast podrobností v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase.
Pokud vyberete hodnotu Předmět položky v tabulce, otevře se vysouvací nabídka podrobností e-mailu. Tento informační panel podrobností se označuje jako panel souhrnu Email a obsahuje standardizované souhrnné informace, které jsou k dispozici také na stránce Email entity pro danou zprávu.
Podrobnosti o informacích na panelu souhrnu Email najdete v tématu Panel souhrnu Email.
Informace o dostupných akcích v horní části panelu souhrnu Email pro Průzkumníka hrozeb a detekce v reálném čase najdete v tématu Email podrobnosti z zobrazení Email oblasti podrobností v zobrazení Všechny e-maily (stejné akce jsou k dispozici také v zobrazení Phish).
Pokud vyberete hodnotu Příjemce položky v tabulce, otevře se vysouvací panel s jinými podrobnostmi. Další informace najdete v tématu Podrobnosti o příjemci v zobrazení Email oblasti podrobností v zobrazení Phish.
Export dat kliknutí na adresu URL
Data kliknutí na adresu URL můžete exportovat do souboru CSV a zobrazit hodnoty ID síťové zprávy a verdiktu kliknutí , které vám pomůžou vysvětlit, odkud pochází provoz kliknutí na adresu URL.
Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:
- Průzkumník hrozeb: Na portálu Defender na adrese https://security.microsoft.compřejděte do Email & Průzkumníka zabezpečení>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorerv3
- Detekce v reálném čase: Na portálu Defender na adrese https://security.microsoft.compřejděte na Email & Detekce zabezpečení v>reálném čase. Nebo pokud chcete přejít přímo na stránku detekce v reálném čase, použijte .https://security.microsoft.com/realtimereportsv3
Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Phish . Další informace o zobrazení Phish najdete v tématech Zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.
Vyberte rozsah data a času a pak vyberte Aktualizovat. Výchozí hodnota je včera a dnes.
V oblasti podrobností vyberte kartu Horní adresy URL nebo Horní kliknutí (zobrazení).
V zobrazení Horní adresy URL nebo Horní kliknutí vyberte jednu nebo více položek z tabulky tak, že zaškrtnete políčko vedle prvního sloupce a pak vyberete
Exportovat.
Průzkumník>Phish>Kliknutí>Horní adresy URL nebo horní kliknutí> na adresu URL vyberte libovolný záznam pro otevření vysouvacího rámečku adresy URL.
Hodnotu ID síťové zprávy můžete použít k hledání konkrétních zpráv v Průzkumníku hrozeb, detekcích v reálném čase nebo externích nástrojích. Tato hledání identifikují e-mailovou zprávu přidruženou k výsledku kliknutí. Korelované ID síťové zprávy umožňuje rychlejší a výkonnější analýzu.
Zobrazení malwaru zjištěného v e-mailu
Pomocí následujících kroků v Průzkumníku hrozeb nebo detekcích v reálném čase zobrazte malware detekovaný v e-mailu microsoftem 365.
Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:
- Průzkumník hrozeb: Na portálu Defender na adrese https://security.microsoft.compřejděte do Email & Průzkumníka zabezpečení>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorerv3
- Detekce v reálném čase: Na portálu Defender na adrese https://security.microsoft.compřejděte na Email & Detekce zabezpečení v>reálném čase. Nebo pokud chcete přejít přímo na stránku detekce v reálném čase, použijte .https://security.microsoft.com/realtimereportsv3
Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Malware . Další informace o zobrazení Phish najdete v tématech Zobrazení malwaru v Průzkumníku hrozeb a Detekce v reálném čase.
Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.
Vyberte pole Adresa odesílatele (vlastnost) a pak v části Základní rozevíracího seznamu vyberte Technologie detekce.
- Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
- V poli hodnota vlastnosti vyberte jednu nebo více z následujících hodnot:
- Ochrana proti malwaru
- Detonace souboru
- Reputace detonace souboru
- Reputace souboru
- Porovnávání otisků prstů
Podle potřeby zadejte další podmínky s použitím dalších filtrovatelných vlastností. Pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.
Až budete hotovi s vytvářením podmínek filtru, vyberte Aktualizovat.
Sestava zobrazuje výsledky, které malware zjistil v e-mailu pomocí vybraných technologických možností. Odtud můžete provést další analýzu.
Nahlásit zprávy jako čisté
Pomocí stránky Odeslání na portálu Defender na https://security.microsoft.com/reportsubmission adrese můžete microsoftu hlásit zprávy jako čisté (falešně pozitivní). Můžete ale také odesílat zprávy společnosti Microsoft jako čisté z 
možnosti Provést akci v Průzkumníku hrozeb nebo na stránce Email entity.
Pokyny najdete v tématu Proaktivní vyhledávání hrozeb: Průvodce provedením akce.
Shrnutí:
Vyberte
Provést akci pomocí jedné z následujících metod:- Vyberte jednu nebo více zpráv z tabulky podrobností na kartě Email (zobrazení) v zobrazení Všechny e-maily, Malware nebo Phish tak, že zaškrtnete políčka u položek.
Nebo
- V informačním rámečku s podrobnostmi vyberte zprávu z tabulky podrobností na kartě Email (zobrazení) v zobrazení Všechny e-maily, Malware nebo Phish kliknutím na hodnotu Předmět.
V průvodci provedením akce vyberte Odeslat do Microsoftu a zkontrolujte>,že je čistý.
Zobrazení adresy URL útoku phishing a kliknutí na data verdiktu
Ochrana bezpečných odkazů sleduje povolené, blokované a přepsané adresy URL. Ochrana bezpečných odkazů je ve výchozím nastavení zapnutá díky integrované ochraně v přednastavených zásadách zabezpečení. Ochrana bezpečných odkazů je zapnutá v přednastavených zásadách zabezpečení Standard a Strict. Ochranu bezpečných odkazů můžete také vytvořit a nakonfigurovat ve vlastních zásadách bezpečných odkazů. Další informace o nastavení zásad Bezpečných propojení najdete v tématu Nastavení zásad Bezpečných propojení.
Pomocí následujícího postupu můžete zobrazit pokusy o útok phishing pomocí adres URL v e-mailových zprávách.
Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:
- Průzkumník hrozeb: Na portálu Defender na adrese https://security.microsoft.compřejděte do Email & Průzkumníka zabezpečení>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorerv3
- Detekce v reálném čase: Na portálu Defender na adrese https://security.microsoft.compřejděte na Email & Detekce zabezpečení v>reálném čase. Nebo pokud chcete přejít přímo na stránku detekce v reálném čase, použijte .https://security.microsoft.com/realtimereportsv3
Na stránce Průzkumník nebo Detekce v reálném čase vyberte zobrazení Phish . Další informace o zobrazení Phish najdete v tématech Zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.
Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.
Vyberte pole Adresa odesílatele (vlastnost) a pak v části Adresy URL rozevíracího seznamu vyberte Kliknout na verdikt.
- Ověřte, že jako operátor filtru je vybraná možnost Equal any z .
- V poli hodnota vlastnosti vyberte jednu nebo více z následujících hodnot:
- Blokovaný
- Blokované přepsání
Vysvětlení hodnot Verdict (Kliknout na verdikt ) najdete v tématu Kliknutí na verdikt ve vlastnostech filtrovatelných v zobrazení Všechny e-maily v Průzkumníku hrozeb.
Podle potřeby zadejte další podmínky s použitím dalších filtrovatelných vlastností. Pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.
Až budete hotovi s vytvářením podmínek filtru, vyberte Aktualizovat.
Karta Horní adresy URL (zobrazení) v oblasti podrobností pod grafem zobrazuje počet blokovaných zpráv, nevyžádaných zpráv a doručených zpráv pro prvních pět adres URL. Další informace najdete v tématu Zobrazení nejčastějších adres URL pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a detekce v reálném čase.
Karta Horní kliknutí (zobrazení) v oblasti podrobností pod grafem zobrazuje prvních pět kliknutých odkazů, které byly zabaleny pomocí bezpečných odkazů. Kliknutí na adresy URL na nezabalené odkazy se tady nezobrazují. Další informace najdete v tématu Zobrazení horních kliknutí pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a Detekce v reálném čase.
Tyto tabulky adres URL zobrazují adresy URL, které byly i přes upozornění zablokované nebo navštívené. Tyto informace ukazují potenciální chybné odkazy, které byly uživatelům prezentovány. Odtud můžete provést další analýzu.
Podrobnosti zobrazíte výběrem adresy URL z položky v zobrazení. Další informace najdete v tématu Podrobnosti adresy URL pro karty Hlavní adresy URL a Horní kliknutí v zobrazení Phish.
Tip
V informačním rámečku Podrobnosti adresy URL se odebere filtrování e-mailových zpráv, aby se zobrazilo úplné zobrazení vystavení adresy URL ve vašem prostředí. Toto chování umožňuje filtrovat konkrétní e-mailové zprávy, najít konkrétní adresy URL, které představují potenciální hrozby, a pak rozšířit znalosti o vystavení adres URL ve vašem prostředí, aniž byste museli přidávat filtry adres URL v zobrazení phish .
Interpretace verdiktů kliknutí
Výsledky vlastnosti Kliknout na verdikt jsou viditelné v následujících umístěních:
- Kliknutím na kontingenční graf verdict (verdict chart) zobrazíte adresu URL kliknutím na oblast podrobností v zobrazení Všechny e-maily (jenom Průzkumník hrozeb) nebo zobrazení Phish.
- Zobrazení horních kliknutí pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb
- Zobrazení horních kliknutí pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase
- Zobrazení horních kliknutí pro oblast podrobností v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb
Hodnoty verdiktu jsou popsány v následujícím seznamu:
- Povoleno: Uživateli bylo povoleno otevřít adresu URL.
- Přepsání bloku: Uživateli se zablokovalo přímé otevření adresy URL, ale blok přepsal, aby otevřel adresu URL.
- Blokováno: Uživateli se zablokovalo otevření adresy URL.
- Chyba: Uživateli se zobrazila chybová stránka nebo došlo k chybě při zaznamenání verdiktu.
- Selhání: Při zachycení verdiktu došlo k neznámé výjimce. Uživatel pravděpodobně otevřel adresu URL.
- Žádné: Nelze zachytit verdikt pro adresu URL. Uživatel pravděpodobně otevřel adresu URL.
- Čekající verdikt: Uživateli se zobrazila stránka čekající na detonaci.
- Nevyřízený verdikt byl obejit: Uživateli se zobrazila stránka s detonací, ale zprávu přehlušil, aby otevřel adresu URL.
Zahájení automatizovaného vyšetřování a reakce v Průzkumníku hrozeb
Automatizované vyšetřování a reakce (AIR) v plánu Defender pro Office 365 Plan 2 může ušetřit čas a úsilí při vyšetřování a zmírnění kybernetických útoků. Můžete nakonfigurovat výstrahy, které aktivují playbook zabezpečení, a spustit prostředí AIR v Průzkumníku hrozeb. Podrobnosti najdete v tématu Příklad: Správce zabezpečení aktivuje šetření z Průzkumníka.