Analizzare i messaggi di posta elettronica dannosi recapitati in Microsoft 365

Le organizzazioni di Microsoft 365 che hanno Microsoft Defender per Office 365 incluse nella sottoscrizione o acquistate come componente aggiuntivo hanno Explorer (noto anche come Esplora minacce) o rilevamenti in tempo reale. Queste funzionalità sono strumenti potenti, quasi in tempo reale, che consentono ai team secOps (Security Operations) di analizzare e rispondere alle minacce. Per altre informazioni, vedere Informazioni su Esplora minacce e rilevamenti in tempo reale in Microsoft Defender per Office 365.

Esplora minacce e i rilevamenti in tempo reale consentono di analizzare le attività che mettono a rischio gli utenti dell'organizzazione e di intervenire per proteggere l'organizzazione. Ad esempio:

• Trovare ed eliminare messaggi.
• Identificare l'indirizzo IP di un mittente di posta elettronica dannoso.
• Avviare un evento imprevisto per ulteriori indagini.

Questo articolo illustra come usare Esplora minacce e i rilevamenti in tempo reale per trovare messaggi di posta elettronica dannosi nelle cassette postali dei destinatari.

Che cosa è necessario sapere prima di iniziare?

• Esplora minacce è incluso in Defender per Office 365 Piano 2. I rilevamenti in tempo reale sono inclusi in Defender per Office Piano 1:

  • Le differenze tra Esplora minacce e i rilevamenti in tempo reale sono descritte in Informazioni su Esplora minacce e rilevamenti in tempo reale in Microsoft Defender per Office 365.
  • Le differenze tra Defender per Office 365 Piano 2 e Defender per Office Piano 1 sono descritte nel foglio informativo Defender per Office 365 Piano 1 e Piano 2.

• Per le proprietà di filtro che richiedono di selezionare uno o più valori disponibili, l'uso della proprietà nella condizione di filtro con tutti i valori selezionati ha lo stesso risultato di non usare la proprietà nella condizione di filtro.

• Per le autorizzazioni e i requisiti di licenza per Threat Explorer e i rilevamenti in tempo reale, vedere Autorizzazioni e licenze per Esplora minacce e Rilevamenti in tempo reale.

Trovare un messaggio di posta elettronica sospetto recapitato

1. Usare uno dei passaggi seguenti per aprire Esplora minacce o i rilevamenti in tempo reale:

   • Esplora minacce: nel portale di Defender in https://security.microsoft.compassare a Email & Esplora sicurezza>. In alternativa, per passare direttamente alla pagina Esplora risorse, usare https://security.microsoft.com/threatexplorerv3.
   • Rilevamenti in tempo reale: nel portale di Defender in https://security.microsoft.com, passare a Email & Rilevamentoin tempo reale della sicurezza>. In alternativa, per passare direttamente alla pagina Rilevamenti in tempo reale , usare https://security.microsoft.com/realtimereportsv3.

2. Nella pagina Explorer o Rilevamenti in tempo reale selezionare una visualizzazione appropriata:

   • Esplora minacce: verificare che sia selezionata la visualizzazione Tutti i messaggi di posta elettronica .
   • Rilevamenti in tempo reale: verificare che sia selezionata la visualizzazione Malware oppure selezionare la visualizzazione Phish.

3. Selezionare l'intervallo di data/ora. Il valore predefinito è ieri e oggi.

   

4. Creare una o più condizioni di filtro usando alcune o tutte le proprietà e i valori di destinazione seguenti. Per istruzioni complete, vedere Filtri delle proprietà in Esplora minacce e Rilevamenti in tempo reale. Ad esempio:

   • Azione di recapito: azione eseguita su un messaggio di posta elettronica a causa di criteri o rilevamenti esistenti. I valori utili sono:

     • Recapitato: Email recapitato alla cartella Posta in arrivo dell'utente o a un'altra cartella in cui l'utente può accedere al messaggio.
     • Indesiderato: Email recapitato alla cartella Junk Email dell'utente o alla cartella Posta eliminata in cui l'utente può accedere al messaggio.
     • Bloccato: Email messaggi che sono stati messi in quarantena, che non sono stati recapitati o sono stati eliminati.

   • Posizione di recapito originale: posizione in cui il messaggio di posta elettronica è stato inviato prima di qualsiasi azione di post-recapito automatica o manuale da parte del sistema o degli amministratori (ad esempio , ZAP o spostato in quarantena). I valori utili sono:

     • Cartella Posta eliminata
     • Eliminato: il messaggio è stato perso in un punto qualsiasi del flusso di posta.
     • Non riuscito: il messaggio non è riuscito a raggiungere la cassetta postale.
     • Posta in arrivo/cartella
     • Posta indesiderata
     • Locale/esterno: la cassetta postale non esiste nell'organizzazione di Microsoft 365.
     • Quarantena
     • Sconosciuto: ad esempio, dopo il recapito, una regola posta in arrivo ha spostato il messaggio in una cartella predefinita (ad esempio bozza o archivio) anziché nella cartella Posta in arrivo o Posta indesiderata Email.

   • Ultimo percorso di recapito: posizione in cui la posta elettronica è finita dopo le azioni di post-recapito automatiche o manuali da parte del sistema o degli amministratori. Gli stessi valori sono disponibili dal percorso di recapito originale.

   • Direzionalità: i valori validi sono:

     • Inbound
     • All'interno dell'organizzazione
     • In uscita

     Queste informazioni consentono di identificare lo spoofing e la rappresentazione. Ad esempio, i messaggi provenienti da mittenti di dominio interni devono essere Intra-org, non Inbound.

   • Azione aggiuntiva: i valori validi sono:

     • Correzione automatica (Defender per Office 365 piano 2)
     • Recapito dinamico: per altre informazioni, vedere Recapito dinamico nei criteri allegati sicuri.
     • Correzione manuale
     • Nessuna
     • Versione di quarantena
     • Rielaborato: il messaggio è stato identificato retroattivamente come valido.
     • ZAP: per altre informazioni, vedere Eliminazione automatica a zero ore (ZAP) in Microsoft Defender per Office 365.

   • Override primario: se le impostazioni dell'organizzazione o dell'utente consentivano o bloccavano messaggi che altrimenti sarebbero stati bloccati o consentiti. I valori sono:

     • Consentito dai criteri dell'organizzazione
     • Consentito dai criteri utente
     • Bloccato dai criteri dell'organizzazione
     • Bloccato dai criteri utente
     • Nessuna

     Queste categorie vengono ulteriormente affinate dalla proprietà di origine override primario .

   • Origine di override primaria Tipo di criteri dell'organizzazione o impostazione utente che ha consentito o bloccato i messaggi che altrimenti sarebbero stati bloccati o consentiti. I valori sono:

     • Filtro di terze parti
     • Amministrazione iniziato il viaggio nel tempo
     • Blocco dei criteri antimalware per tipo di file: filtro allegati comuni nei criteri antimalware
     • Impostazioni dei criteri antispam
     • Criteri di connessione: configurare il filtro delle connessioni
     • Regola di trasporto di Exchange (regola del flusso di posta)
     • Modalità esclusiva (override utente): l'impostazione Solo posta elettronica attendibile da indirizzi nell'elenco Mittenti e domini attendibili e Elenchi di indirizzi sicuri nella raccolta elenco indirizzi attendibili in una cassetta postale.
     • Filtro ignorato a causa dell'organizzazione locale
     • Filtro dell'area IP dai criteri: il filtro Da questi paesi nei criteri di protezione dalla posta indesiderata.
     • Filtro lingua dai criteri: il filtro Contiene lingue specifiche nei criteri di protezione dalla posta indesiderata.
     • Simulazione di phishing: configurare simulazioni di phishing di terze parti nei criteri di recapito avanzati
     • Versione di quarantena: Rilasciare la posta elettronica in quarantena
     • Cassetta postale SecOps: configurare le cassette postali SecOps nei criteri di recapito avanzati
     • Elenco indirizzi mittente (Amministrazione Override):elenco mittenti consentiti o mittenti bloccati nei criteri di protezione dalla posta indesiderata.
     • Elenco indirizzi mittente (override utente): indirizzi di posta elettronica del mittente nell'elenco Mittenti bloccati nella raccolta elenco indirizzi attendibili in una cassetta postale.
     • Elenco di domini mittente (Amministrazione Override): elenco di domini consentiti o domini bloccati nei criteri di protezione dalla posta indesiderata.
     • Elenco di domini mittente (override utente): domini mittente nell'elenco Mittenti bloccati nella raccolta elenco indirizzi attendibili in una cassetta postale.
     • Blocco di file elenco tenant consentiti/bloccati: creare voci di blocco per i file
     • Blocco di indirizzi di posta elettronica del mittente elenco tenant consentiti/bloccati: creare voci di blocco per domini e indirizzi di posta elettronica
     • Blocco di spoofing elenco tenant consentiti/bloccati: creare voci di blocco per mittenti spoofed
     • Blocco URL elenco tenant consentiti/bloccati: creare voci di blocco per GLI URL
     • Elenco contatti attendibili (override utente):impostazione Attendibilità della posta elettronica dei contatti nella raccolta dell'elenco indirizzi attendibili in una cassetta postale.
     • Blocco di file elenco tenant consentiti/bloccati: creare voci di blocco per i file
     • Dominio attendibile (override dell'utente): domini mittente nell'elenco Mittenti attendibili nella raccolta dell'elenco indirizzi attendibili in una cassetta postale.
     • Destinatario attendibile (override dell'utente): indirizzi di posta elettronica o domini del destinatario nell'elenco Destinatari attendibili nella raccolta dell'elenco indirizzi attendibili in una cassetta postale.
     • Solo mittenti attendibili (override dell'utente):l'impostazione Safe Elenchi Only: Only mail from people or domains on your Safe Senders List or Safe Recipients List verrà recapitata all'impostazione Posta in arrivo nella raccolta safelist in una cassetta postale.

   • Origine di override: gli stessi valori disponibili dell'origine di override primaria.

     Consiglio

     Nella scheda Email (visualizzazione) nell'area dei dettagli delle visualizzazioni Tutti i messaggi di posta elettronica, Malware e Phish, le colonne di override corrispondenti sono denominate Sostituzioni di sistema e Origine sostituzioni di sistema.

   • Minaccia URL: i valori validi sono:

     • Malware
     • Phishing
     • Posta indesiderata

5. Al termine della configurazione dei filtri di data/ora e proprietà, selezionare Aggiorna.

La scheda Email (visualizzazione) nell'area dei dettagli delle visualizzazioni Tutti i messaggi di posta elettronica, Malware o Phish contiene i dettagli necessari per analizzare i messaggi di posta elettronica sospetti.

Ad esempio, usare le colonne Azione recapito, Percorso di recapito originale e Ultima posizione di recapito nella scheda Email (visualizzazione) per ottenere un'immagine completa della posizione dei messaggi interessati. I valori sono stati illustrati nel passaggio 4.

Usare Esporta per esportare in modo selettivo fino a 200.000 risultati filtrati o non filtrati in un file CSV.

Correggere i messaggi di posta elettronica dannosi recapitati

Dopo aver identificato i messaggi di posta elettronica dannosi recapitati, è possibile rimuoverli dalle cassette postali dei destinatari. Per istruzioni, vedere Correggere i messaggi di posta elettronica dannosi recapitati in Microsoft 365.

Articoli correlati

Correggere i messaggi di posta elettronica dannosi recapitati in Office 365

Microsoft Defender per Office 365

Visualizzare i report per Defender per Office 365