Email sicurezza con Esplora minacce e rilevamenti in tempo reale in Microsoft Defender per Office 365

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Le organizzazioni di Microsoft 365 che hanno Microsoft Defender per Office 365 incluse nella sottoscrizione o acquistate come componente aggiuntivo hanno Explorer (noto anche come Esplora minacce) o rilevamenti in tempo reale. Queste funzionalità sono strumenti potenti, quasi in tempo reale, che consentono ai team secOps (Security Operations) di analizzare e rispondere alle minacce. Per altre informazioni, vedere Informazioni su Esplora minacce e rilevamenti in tempo reale in Microsoft Defender per Office 365.

Questo articolo illustra come visualizzare e analizzare i tentativi di malware e phishing rilevati tramite posta elettronica tramite Esplora minacce o Rilevamenti in tempo reale.

Consiglio

Per altri scenari di posta elettronica con Esplora minacce e rilevamenti in tempo reale, vedere gli articoli seguenti:

Che cosa è necessario sapere prima di iniziare?

Visualizzare la posta elettronica di phishing inviata a utenti e domini rappresentati

Per altre informazioni sulla protezione dalla rappresentazione di utenti e domini nei criteri anti-phishing in Defender per Office 365, vedere Impostazioni di rappresentazione nei criteri anti-phishing in Microsoft Defender per Office 365.

Nei criteri anti-phishing predefiniti o personalizzati è necessario specificare gli utenti e i domini da proteggere dalla rappresentazione, inclusi i domini di cui si è proprietari (domini accettati). Nei criteri di sicurezza predefiniti Standard o Strict, i domini di cui si è proprietari ricevono automaticamente la protezione della rappresentazione, ma è necessario specificare eventuali utenti o domini personalizzati per la protezione della rappresentazione. Per istruzioni, vedere gli articoli seguenti:

Seguire questa procedura per esaminare i messaggi di phishing e cercare utenti o domini rappresentati.

  1. Usare uno dei passaggi seguenti per aprire Esplora minacce o i rilevamenti in tempo reale:

  2. Nella pagina Explorer o Rilevamenti in tempo reale selezionare la visualizzazione Phish . Per altre informazioni sulla visualizzazione Phish , vedere Visualizzazione Phish in Esplora minacce e Rilevamenti in tempo reale.

  3. Selezionare l'intervallo di data/ora. Il valore predefinito è ieri e oggi.

  4. Eseguire una delle operazioni seguenti:

    • Trovare eventuali tentativi di rappresentazione di utenti o domini:

      • Selezionare la casella Indirizzo mittente (proprietà) e quindi selezionare Tecnologia di rilevamento nella sezione Basic dell'elenco a discesa.
      • Verificare che sia selezionato Uguale a qualsiasi di come operatore filtro.
      • Nella casella del valore della proprietà selezionare Dominio di rappresentazione e Utente di rappresentazione
    • Trovare tentativi utente rappresentati specifici:

      • Selezionare la casella Indirizzo mittente (proprietà) e quindi selezionare Utente rappresentato nella sezione Basic dell'elenco a discesa.
      • Verificare che sia selezionato Uguale a qualsiasi di come operatore filtro.
      • Nella casella del valore della proprietà immettere l'indirizzo di posta elettronica completo del destinatario. Separare più valori del destinatario per virgole.
    • Trovare specifici tentativi di dominio rappresentati:

      • Selezionare la casella Indirizzo mittente (proprietà) e quindi selezionare Dominio rappresentato nella sezione Basic dell'elenco a discesa.
      • Verificare che sia selezionato Uguale a qualsiasi di come operatore filtro.
      • Nella casella del valore della proprietà immettere il dominio , ad esempio contoso.com. Separare più valori di dominio per virgole.
  5. Immettere altre condizioni usando altre proprietà filtrabili in base alle esigenze. Per istruzioni, vedere Filtri delle proprietà in Esplora minacce e Rilevamenti in tempo reale.

  6. Al termine della creazione delle condizioni di filtro, selezionare Aggiorna.

  7. Nell'area dei dettagli sotto il grafico verificare che sia selezionata la scheda Email (visualizzazione).

    È possibile ordinare le voci e visualizzare altre colonne, come descritto in Email visualizzazione per l'area dei dettagli della visualizzazione Phish in Esplora minacce e rilevamenti in tempo reale.

Esportare i dati di clic sull'URL

È possibile esportare i dati di clic dell'URL in un file CSV per visualizzare i valori ID messaggio di rete e Clic su verdetto , che spiegano da dove proviene il traffico di clic dell'URL.

  1. Usare uno dei passaggi seguenti per aprire Esplora minacce o i rilevamenti in tempo reale:

  2. Nella pagina Explorer o Rilevamenti in tempo reale selezionare la visualizzazione Phish . Per altre informazioni sulla visualizzazione Phish , vedere Visualizzazione Phish in Esplora minacce e Rilevamenti in tempo reale.

  3. Selezionare l'intervallo di data/ora e quindi selezionare Aggiorna. Il valore predefinito è ieri e oggi.

  4. Nell'area dei dettagli selezionare la scheda URL principali o Clic in alto (visualizzazione).

  5. Nella visualizzazione Url principali o Primi clic selezionare una o più voci della tabella selezionando la casella di controllo accanto alla prima colonna e quindi selezionare Esporta. Esploratore>Phish>Clic>I primi URL o i primi clic url selezionano> qualsiasi record per aprire il riquadro a comparsa URL.

È possibile usare il valore ID messaggio di rete per cercare messaggi specifici in Esplora minacce o rilevamenti in tempo reale o strumenti esterni. Queste ricerche identificano il messaggio di posta elettronica associato al risultato di un clic. La presenza dell'ID messaggio di rete correlato consente un'analisi più rapida e potente.

Visualizzare il malware rilevato nella posta elettronica

Usare la procedura seguente in Esplora minacce o rilevamenti in tempo reale per visualizzare il malware rilevato tramite posta elettronica da Microsoft 365.

  1. Usare uno dei passaggi seguenti per aprire Esplora minacce o i rilevamenti in tempo reale:

  2. Nella pagina Explorer o Rilevamenti in tempo reale selezionare la visualizzazione Malware . Per altre informazioni sulla visualizzazione Phish , vedere Visualizzazione malware in Esplora minacce e Rilevamenti in tempo reale.

  3. Selezionare l'intervallo di data/ora. Il valore predefinito è ieri e oggi.

  4. Selezionare la casella Indirizzo mittente (proprietà) e quindi selezionare Tecnologia di rilevamento nella sezione Basic dell'elenco a discesa.

    • Verificare che sia selezionato Uguale a qualsiasi di come operatore filtro.
    • Nella casella del valore della proprietà selezionare uno o più dei valori seguenti:
      • Protezione antimalware
      • Detonazione file
      • Reputazione della detonazione dei file
      • Reputazione dei file
      • Corrispondenza delle impronte digitali
  5. Immettere altre condizioni usando altre proprietà filtrabili in base alle esigenze. Per istruzioni, vedere Filtri delle proprietà in Esplora minacce e Rilevamenti in tempo reale.

  6. Al termine della creazione delle condizioni di filtro, selezionare Aggiorna.

Il report mostra i risultati rilevati dal malware nella posta elettronica, usando le opzioni tecnologiche selezionate. Da qui, è possibile eseguire ulteriori analisi.

Segnalare i messaggi come puliti

È possibile usare la pagina Invii nel portale di Defender all'indirizzo https://security.microsoft.com/reportsubmission per segnalare i messaggi come puliti (falsi positivi) a Microsoft. È anche possibile inviare messaggi come puliti a Microsoft da Eseguire azioni in Esplora minacce o nella pagina dell'entità Email.

Per istruzioni, vedere Ricerca delle minacce: Procedura guidata Esegui azione.

Per riepilogare:

  • Selezionare Esegui azione usando uno dei metodi seguenti:

    • Selezionare uno o più messaggi dalla tabella dei dettagli nella scheda Email (visualizzazione) nelle visualizzazioni Tutti i messaggi di posta elettronica, Malware o Phish selezionando le caselle di controllo per le voci.

    Oppure

    • Nel riquadro a comparsa dei dettagli dopo aver selezionato un messaggio dalla tabella dei dettagli nella scheda Email (visualizzazione) nelle visualizzazioni Tutti i messaggi di posta elettronica, Malware o Phish facendo clic sul valore Oggetto.
  • Nella procedura guidata Esegui azione selezionare Invia a Microsoft per verificare>che sia pulito.

Visualizzare l'URL di phishing e fare clic sui dati del verdetto

La protezione dei collegamenti sicuri tiene traccia degli URL consentiti, bloccati e sottoposti a override. La protezione dei collegamenti sicuri è attiva per impostazione predefinita, grazie alla protezione predefinita nei criteri di sicurezza predefiniti. La protezione dei collegamenti sicuri è attiva nei criteri di sicurezza predefiniti Standard e Strict. È anche possibile creare e configurare la protezione dei collegamenti sicuri nei criteri di collegamenti sicuri personalizzati. Per altre informazioni sulle impostazioni dei criteri collegamenti sicuri, vedere Impostazioni dei criteri collegamenti sicuri.

Usare la procedura seguente per visualizzare i tentativi di phishing tramite URL nei messaggi di posta elettronica.

  1. Usare uno dei passaggi seguenti per aprire Esplora minacce o i rilevamenti in tempo reale:

  2. Nella pagina Explorer o Rilevamenti in tempo reale selezionare la visualizzazione Phish . Per altre informazioni sulla visualizzazione Phish , vedere Visualizzazione Phish in Esplora minacce e Rilevamenti in tempo reale.

  3. Selezionare l'intervallo di data/ora. Il valore predefinito è ieri e oggi.

  4. Selezionare la casella Indirizzo mittente (proprietà) e quindi fare clic su Verdetto nella sezione URL dell'elenco a discesa.

    • Verificare che sia selezionato Uguale a qualsiasi di come operatore filtro.
    • Nella casella del valore della proprietà selezionare uno o più dei valori seguenti:
      • Bloccato
      • Bloccato sottoposto a override

    Per spiegazioni sui valori del verdetto Click , vedere Fare clic su verdetto in Proprietà filtrabili nella visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce.

  5. Immettere altre condizioni usando altre proprietà filtrabili in base alle esigenze. Per istruzioni, vedere Filtri delle proprietà in Esplora minacce e Rilevamenti in tempo reale.

  6. Al termine della creazione delle condizioni di filtro, selezionare Aggiorna.

La scheda URL principali (visualizzazione) nell'area dei dettagli sotto il grafico mostra il numero di messaggi bloccati, messaggi indesiderati e messaggi recapitati per i primi cinque URL. Per altre informazioni, vedere Visualizzazione URL principali per l'area dei dettagli della visualizzazione Phish in Esplora minacce e Rilevamenti in tempo reale.

La scheda Primi clic (visualizzazione) nell'area dei dettagli sotto il grafico mostra i primi cinque collegamenti a cui è stato fatto clic e di cui è stato eseguito il wrapping da Collegamenti sicuri. I clic url sui collegamenti non compressi non vengono visualizzati qui. Per altre informazioni, vedere Visualizzazione Dei primi clic per l'area dei dettagli della visualizzazione Phish in Esplora minacce e Rilevamenti in tempo reale.

Queste tabelle URL mostrano gli URL bloccati o visitati nonostante un avviso. Queste informazioni mostrano i potenziali collegamenti non validi presentati agli utenti. Da qui, è possibile eseguire ulteriori analisi.

Per informazioni dettagliate, selezionare un URL da una voce nella visualizzazione. Per altre informazioni, vedere Dettagli URL per le schede URL principali e Clic in alto nella visualizzazione Phish.

Consiglio

Nel riquadro a comparsa Dettagli URL il filtro sui messaggi di posta elettronica viene rimosso per visualizzare la visualizzazione completa dell'esposizione dell'URL nell'ambiente. Questo comportamento consente di filtrare per messaggi di posta elettronica specifici, trovare URL specifici che rappresentano potenziali minacce e quindi espandere la comprensione dell'esposizione dell'URL nell'ambiente senza dover aggiungere filtri URL nella visualizzazione Phish .

Interpretazione dei verdetti dei clic

I risultati della proprietà Click verdict sono visibili nelle posizioni seguenti:

I valori del verdetto sono descritti nell'elenco seguente:

  • Consentito: all'utente è stato consentito aprire l'URL.
  • Blocco sottoposto a override: all'utente è stato impedito di aprire direttamente l'URL, ma ha superato il blocco per aprire l'URL.
  • Bloccato: all'utente è stato impedito di aprire l'URL.
  • Errore: all'utente è stata visualizzata la pagina di errore o si è verificato un errore durante l'acquisizione del verdetto.
  • Errore: si è verificata un'eccezione sconosciuta durante l'acquisizione del verdetto. L'utente potrebbe aver aperto l'URL.
  • Nessuno: non è possibile acquisire il verdetto per l'URL. L'utente potrebbe aver aperto l'URL.
  • Verdetto in sospeso: all'utente è stata presentata la pagina di detonazione in sospeso.
  • Verdetto in sospeso ignorato: all'utente è stata presentata la pagina di detonazione, ma il messaggio è stato superato per aprire l'URL.Pending verdict bypassed: the user was presented with the detonation page, but they overrode the message to open the URL.

Avviare l'indagine automatizzata e la risposta in Esplora minacce

L'indagine e la risposta automatizzate (AIR) in Defender per Office 365 Piano 2 possono risparmiare tempo e fatica durante l'analisi e la mitigazione degli attacchi informatici. È possibile configurare avvisi che attivano un playbook di sicurezza ed è possibile avviare AIR in Threat Explorer. Per informazioni dettagliate, vedere Esempio: Un amministratore della sicurezza attiva un'indagine da Explorer.

Analizzare la posta elettronica con la pagina dell'entità Email