Prošetření škodlivých e-mailů doručených v Microsoftu 365

Organizace Microsoft 365, které mají Microsoft Defender pro Office 365 zahrnuté ve svém předplatném nebo zakoupené jako doplněk, mají Průzkumníka (označovaného také jako Průzkumník hrozeb) nebo detekci v reálném čase. Tyto funkce představují výkonné nástroje téměř v reálném čase, které pomáhají týmům se zabezpečením (SecOps) prošetřovat hrozby a reagovat na ně. Další informace najdete v tématech o Průzkumníku hrozeb a detekcích v reálném čase v Microsoft Defender pro Office 365.

Průzkumník hrozeb a detekce v reálném čase umožňují prozkoumat aktivity, které ohrožují lidi ve vaší organizaci, a podniknout kroky k ochraně vaší organizace. Příklady:

• Vyhledejte a odstraňte zprávy.
• Identifikujte IP adresu odesílatele e-mailu se zlými úmysly.
• Zahajte incident pro další šetření.

Tento článek vysvětluje, jak pomocí Průzkumníka hrozeb a detekce v reálném čase najít škodlivé e-maily v poštovních schránkách příjemců.

Co potřebujete vědět, než začnete?

• Průzkumník hrozeb je součástí plánu Defender pro Office 365 Plan 2. Detekce v reálném čase jsou součástí plánu Defender for Office Plan 1:

  • Rozdíly mezi Průzkumníkem hrozeb a detekcemi v reálném čase jsou popsané v tématu Informace o Průzkumníku hrozeb a Detekce v reálném čase v Microsoft Defender pro Office 365.
  • Rozdíly mezi Defender pro Office 365 Plán 2 a Defender for Office Plan 1 jsou popsané ve stručné nápovědě Defender pro Office 365 Plan 1 a Plan 2.

• U vlastností filtru, které vyžadují, abyste vybrali jednu nebo více dostupných hodnot, má použití vlastnosti v podmínce filtru se všemi vybranými hodnotami stejný výsledek jako nepoužívání vlastnosti v podmínce filtru.

• Informace o oprávněních a licenčních požadavcích pro Průzkumníka hrozeb a detekce v reálném čase najdete v tématu Oprávnění a licencování pro Průzkumníka hrozeb a detekce v reálném čase.

Vyhledání doručované podezřelé e-maily

1. Pomocí jednoho z následujících kroků otevřete Průzkumníka hrozeb nebo detekce v reálném čase:

   • Průzkumník hrozeb: Na portálu Defender na adrese https://security.microsoft.compřejděte do Email & Průzkumníka zabezpečení>. Nebo pokud chcete přejít přímo na stránku Průzkumníka, použijte .https://security.microsoft.com/threatexplorerv3
   • Detekce v reálném čase: Na portálu Defender na adrese https://security.microsoft.compřejděte na Email & Detekce zabezpečení v>reálném čase. Nebo pokud chcete přejít přímo na stránku detekce v reálném čase, použijte .https://security.microsoft.com/realtimereportsv3

2. Na stránce Průzkumník nebo Detekce v reálném čase vyberte odpovídající zobrazení:

   • Průzkumník hrozeb: Ověřte, že je vybrané zobrazení Všechny e-maily .
   • Detekce v reálném čase: Ověřte, že je vybrané zobrazení Malware , nebo vyberte zobrazení Phish.

3. Vyberte rozsah data a času. Výchozí hodnota je včera a dnes.

   

4. Vytvořte jednu nebo více podmínek filtru pomocí některých nebo všech následujících cílových vlastností a hodnot. Úplné pokyny najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase. Příklady:

   • Akce doručení: Akce proběhla u e-mailu kvůli existujícím zásadám nebo detekci. Užitečné hodnoty jsou:

     • Doručeno: Email doručeno do složky Doručená pošta uživatele nebo do jiné složky, kde má uživatel přístup ke zprávě.
     • Nevyžádaná pošta: Email doručena do složky Nevyžádaná Email uživatele nebo Odstraněná pošta, kde má uživatel přístup ke zprávě.
     • Blokováno: Email zprávy, které byly v karanténě, které se nepodařilo doručit nebo byly vyřazeny.

   • Původní místo doručení: Kam se e-maily dostaly před automatickými nebo ručními akcemi po doručení ze strany systému nebo správců (například ZAP nebo přesunuté do karantény). Užitečné hodnoty jsou:

     • Složka Odstraněná pošta
     • Zahozeno: Zpráva se ztratila někde v toku pošty.
     • Selhání: Zpráva se nepodařilo dostat do poštovní schránky.
     • Doručená pošta nebo složka
     • Nevyžádaná pošta
     • Místní/externí: Poštovní schránka v organizaci Microsoft 365 neexistuje.
     • Karanténa
     • Neznámé: Například pravidlo doručené pošty po doručení přesunulo zprávu do výchozí složky (například Koncept nebo Archiv) místo do složky Doručená pošta nebo Nevyžádaná Email pošta.

   • Místo posledního doručení: Kde e-mail skončil po automatických nebo ručních akcích po doručení ze strany systému nebo správců. Stejné hodnoty jsou k dispozici v umístění původního doručení.

   • Směrovost: Platné hodnoty:

     • Směřující sem
     • Uvnitř organizace
     • Odchozí

     Tyto informace vám můžou pomoct identifikovat falšování identity a zosobnění. Zprávy od interních odesílatelů domény by například měly být v rámci organizace, nikoli příchozí.

   • Další akce: Platné hodnoty:

     • Automatizovaná náprava (Defender pro Office 365 Plan 2)
     • Dynamické doručování: Další informace najdete v tématu Dynamické doručování v zásadách bezpečných příloh.
     • Ruční náprava
     • Žádné
     • Uvolnění do karantény
     • Znovu zpracováno: Zpráva byla zpětně identifikována jako dobrá.
     • ZAP: Další informace najdete v tématu Automatické vyprázdnění (ZAP) v Microsoft Defender pro Office 365.

   • Primární přepsání: Pokud nastavení organizace nebo uživatele povoluje nebo blokuje zprávy, které by jinak byly blokované nebo povolené. Hodnoty jsou:

     • Povolené zásadami organizace
     • Povolené zásadami uživatele
     • Blokováno zásadami organizace
     • Blokováno zásadami uživatele
     • Žádné

     Tyto kategorie jsou dále upřesňující primární vlastností přepsání zdrojového kódu.

   • Primární zdroj přepsání Typ zásad organizace nebo nastavení uživatele, které povoluje nebo blokuje zprávy, které by jinak byly blokované nebo povolené. Hodnoty jsou:

     • Filtr třetí strany
     • Správa zahájené cestování časem
     • Blokování antimalwarových zásad podle typu souboru: Filtr běžných příloh v zásadách antimalwaru
     • Nastavení antispamových zásad
     • Zásady připojení: Konfigurace filtrování připojení
     • Pravidlo přenosu Exchange (pravidlo toku pošty)
     • Výhradní režim (přepsání uživatelem): Nastavení Důvěřovat pouze e-mailům z adres v seznamu bezpečných odesílatelů a domén a Seznamům bezpečných adresátů v kolekci seznamu bezpečných adres v poštovní schránce.
     • Filtrování se přeskočí kvůli místní organizaci
     • Filtr oblastí IP adres ze zásad: Filtr Z těchto zemí v zásadách ochrany proti spamu.
     • Filtr jazyka ze zásad: Filtr Obsahuje konkrétní jazyky v zásadách ochrany proti spamu.
     • Simulace útoků phishing: Konfigurace simulací útoků phishing třetích stran v pokročilých zásadách doručování
     • Uvolnění do karantény: Uvolnění e-mailu v karanténě
     • Poštovní schránka SecOps: Konfigurace poštovních schránek SecOps v rozšířených zásadách doručování
     • Seznam adres odesílatelů (Správa Přepsání):Seznam povolených odesílatelů nebo seznam blokovaných odesílatelů v zásadách ochrany proti spamu.
     • Seznam adres odesílatelů (přepsání uživatelem): E-mailové adresy odesílatele v seznamu Blokovaní odesílatelé v kolekci bezpečných adres poštovní schránky.
     • Seznam domén odesílatelů (Správa Přepsání): Seznam povolených domén nebo seznam blokovaných domén v zásadách ochrany proti spamu.
     • Seznam domén odesílatelů (přepsání uživatelem): Domény odesílatelů v seznamu Blokovaní odesílatelé v kolekci seznamu bezpečných položek poštovní schránky.
     • Blokování souborů seznamu povolených nebo blokovaných tenantů: Vytvoření položek bloku pro soubory
     • Blok e-mailové adresy odesílatele v seznamu povolených nebo blokovaných tenantů: Vytvoření položek blokování pro domény a e-mailové adresy
     • Blokování falšování seznamu povolených nebo blokovaných tenantů: Vytváření položek bloku pro zfalšované odesílatele
     • Blok adresy URL seznamu povolených nebo blokovaných tenantů: Vytváření položek bloku pro adresy URL
     • Seznam důvěryhodných kontaktů (přepsání uživatelem): Nastavení Důvěřovat e-mailům od mých kontaktů v kolekci seznamu bezpečných kontaktů v poštovní schránce.
     • Blokování souborů seznamu povolených nebo blokovaných tenantů: Vytvoření položek bloku pro soubory
     • Důvěryhodná doména (přepsání uživatelem): Domény odesílatelů v seznamu bezpečných odesílatelů v kolekci bezpečných odesílatelů poštovní schránky.
     • Důvěryhodný příjemce (přepsání uživatelem): E-mailové adresy příjemců nebo domény v seznamu bezpečných příjemců v kolekci seznamu bezpečných příjemců poštovní schránky.
     • Pouze důvěryhodní odesílatelé (přepsání uživatelem): Bezpečný Seznamy Pouze: Do vaší složky Doručená pošta v kolekci seznamu bezpečných odesílatelů v poštovní schránce se doručí jenom pošta od lidí nebo domén ze seznamu bezpečných odesílatelů nebo seznamu bezpečných příjemců.

   • Přepsat zdroj: Stejné dostupné hodnoty jako primární zdroj přepsání.

     Tip

     Na kartě Email (zobrazení) v oblasti podrobností zobrazení Veškerý e-mail, Malware a Phish mají odpovídající sloupce přepsání názvy Přepsání systému a Zdroj přepsání systému.

   • Hrozba adresy URL: Platné hodnoty jsou:

     • Malware
     • Phish
     • Spam

5. Až dokončíte konfiguraci filtrů data a času a vlastností, vyberte Aktualizovat.

Karta Email (zobrazení) v oblasti podrobností zobrazení Veškerý e-mail, Malware nebo Phish obsahuje podrobnosti, které potřebujete k prozkoumání podezřelých e-mailů.

Například pomocí sloupců Akce doručení, Původní místo doručení a Poslední místo doručení na kartě Email (zobrazení) získáte úplnou představu o tom, kam se ovlivněné zprávy dostaly. Hodnoty byly vysvětleny v kroku 4.

Export slouží k selektivnímu exportu až 200 000 filtrovaných nebo nefiltrovaných výsledků do souboru CSV.

Náprava doručených škodlivých e-mailů

Jakmile identifikujete doručované škodlivé e-mailové zprávy, můžete je odebrat z poštovních schránek příjemců. Pokyny najdete v tématu Náprava škodlivých e-mailů doručených v Microsoftu 365.

Související články

Náprava škodlivých e-mailů doručených v Office 365

Microsoft Defender pro Office 365

Zobrazení sestav pro Defender pro Office 365