Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
Организации Microsoft 365, в подписку которых входит Microsoft Defender для Office 365 или которые приобрели его как надстройку, имеют Explorer (также известный как Threat Explorer) или Обнаружение в реальном времени. Эти функции представляют собой мощные средства практически в режиме реального времени, помогающие командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них. Дополнительные сведения см. в статье Об Обозревателе угроз и обнаружениях в режиме реального времени в Microsoft Defender для Office 365.
В этой статье объясняется, как просматривать и исследовать обнаруженные вредоносные программы и попытки фишинга в электронной почте с помощью Обозреватель угроз или обнаружения в режиме реального времени.
Совет
Сведения о других сценариях работы с электронной почтой с использованием Threat Explorer и функции «Обнаружения в реальном времени» см. в следующих статьях:
Что нужно знать перед началом работы
Прежде чем приступить к работе, ознакомьтесь со следующими требованиями к лицензированию и разрешениям для обнаружения угроз в режиме реального времени.
Обозреватель угроз входит в состав Defender для Office 365, план 2. Обнаружение в режиме реального времени входит в Defender для Office (план 1):
- Различия между обозревателем угроз и обнаружением в режиме реального времени описаны в статье Об обозревателе угроз и обнаружении в режиме реального времени в Microsoft Defender для Office 365.
- Различия между Defender для Office 365, план 2, и Defender для Office 365, план 1, описаны в шпаргалке Defender для Office 365: план 1 и план 2.
Разрешения и требования к лицензированию для Обозреватель угроз и обнаружения в режиме реального времени см. в разделе Разрешения и лицензирование для Обозреватель угроз и обнаружения в режиме реального времени.
Просмотр фишингового сообщения электронной почты, отправляемого олицетворенным пользователям и доменам
Дополнительные сведения о защите олицетворения пользователей и домена в политиках защиты от фишинга в Defender для Office 365 см. в разделе Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365.
В политиках защиты от фишинга по умолчанию или настраиваемых политиках защиты от фишинга необходимо указать пользователей и домены для защиты от олицетворения, включая принадлежащие вам домены (обслуживаемые домены). В предустановленных политиках безопасности Standard или Strict принадлежащие вам домены автоматически получают защиту от имитации, но для защиты от имитации необходимо указать пользователей и пользовательские домены. Инструкции см. в следующих статьях:
- Готовые политики безопасности
- Настройка политик защиты от фишинга в Microsoft Defender для Office 365
Выполните следующие действия, чтобы просмотреть фишинговые сообщения и найти олицетворенных пользователей или доменов.
Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.
- Обозреватель угроз: на портале Defender по адресу https://security.microsoft.comперейдите в Email & Security>Обозреватель. Или, чтобы сразу перейти на страницу «Обозреватель», используйте https://security.microsoft.com/threatexplorerv3.
- Обнаружение в режиме реального времени: на портале Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и безопасность>Обнаружение в режиме реального времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
На странице Explorer или Обнаружения в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении Phish см. в разделе Представление Phish в Threat Explorer и обнаружениях в режиме реального времени.
Выберите диапазон даты и времени. По умолчанию выбраны вчера и сегодня.
Выполните одно из следующих действий.
Найдите любые попытки олицетворения пользователя или домена:
- Выберите поле Адрес отправителя (свойство) и выберите Технология обнаружения в разделе Базовый раскрывающегося списка.
- Убедитесь, что в качестве оператора фильтра выбран Равно любому из.
- В поле значение свойства выберите домен олицетворения и пользователь олицетворения.
Найти попытки входа от имени определенных пользователей:
- Выберите поле Адрес отправителя (свойство) и выберите олицетворенный пользователь в разделе Базовый раскрывающегося списка.
- Убедитесь, что в качестве оператора фильтра выбран Равно любому из.
- В поле значение свойства введите полный адрес электронной почты получателя. Разделите несколько значений получателей запятыми.
Поиск конкретных попыток использования поддельных доменов:
- Выберите поле Адрес отправителя (свойство) и выберите олицетворенный домен в разделе Базовый раскрывающегося списка.
- Убедитесь, что в качестве оператора фильтра выбран Равно любому из.
- В поле значение свойства введите домен (например, contoso.com). Разделите значения нескольких доменов запятыми.
Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.
Завершив создание условий фильтра, нажмите кнопку Обновить.
В области подробностей под диаграммой убедитесь, что выбрана вкладка Email (вид).
Вы можете отсортировать записи и отобразить дополнительные столбцы, как описано в представлении “Электронная почта” для области сведений в представлении “Фишинг” в Обозревателе угроз и обнаружении в режиме реального времени.
Если выбрать значение Тема для записи в таблице, откроется всплывающее окно сведений о сообщении электронной почты. Эта всплывающая панель сведений называется панелью сводки по электронному письму и содержит стандартизированную сводную информацию, которая также доступна на странице сущности электронного письма для этого сообщения.
Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.
Сведения о доступных действиях в верхней части панели сводки по сообщениям электронной почты в Обозревателе угроз и разделе «Обнаружения в режиме реального времени» см. в разделе «Сведения о сообщении электронной почты» из представления «Электронная почта» в области сведений в представлении «Все сообщения электронной почты» (те же действия также доступны в представлении Фишинг).
Если выбрать значение Recipient для записи в таблице, откроется другое всплывающее окно сведений. Дополнительные сведения см. в разделе "Сведения о получателе" в области сведений в представлении "Электронная почта" в представлении "Фишинг".
Экспорт данных щелчка URL-адреса
Вы можете экспортировать данные о щелчках по URL-адресам в CSV-файл, чтобы просмотреть значения Идентификатор сетевого сообщения и Вердикт по щелчку, которые помогают понять, откуда поступает трафик переходов по URL-адресам.
Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.
- Обозреватель угроз: на портале Defender по адресу https://security.microsoft.comперейдите в Email & Security>Обозреватель. Или, чтобы сразу перейти на страницу «Обозреватель», используйте https://security.microsoft.com/threatexplorerv3.
- Обнаружение в режиме реального времени: на портале Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и безопасность>Обнаружение в режиме реального времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
На странице Explorer или Обнаружения в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении Phish см. в разделе Представление Phish в Threat Explorer и обнаружениях в режиме реального времени.
Выберите диапазон даты и времени, а затем щелкните Обновить. По умолчанию выбраны вчера и сегодня.
В области сведений выберите вкладку Наиболее популярные URL-адреса или Популярные клики (вид).
В представлении Популярные URL-адреса или Наиболее популярные клики выберите одну или несколько записей в таблице, установив флажок у первого столбца, а затем выберите
Экспорт.Чтобы открыть всплывающую панель URL-адреса вместо экспорта, перейдите в Explorer>Phish>Clicks>Top URLs или URL Top Clicks, затем выберите любую запись.
Значение идентификатора сетевого сообщения можно использовать для поиска конкретных сообщений в обозревателе угроз, обнаружениях в режиме реального времени или внешних средствах. Эти поисковые запросы определяют сообщение электронной почты, связанное с результатом щелчка. Наличие коррелированного идентификатора сетевых сообщений обеспечивает более быстрый и эффективный анализ.
Просмотр вредоносных программ, обнаруженных в электронной почте
Выполните следующие действия в разделе Обозреватель угроз или обнаружение в режиме реального времени, чтобы увидеть вредоносные программы, обнаруженные в электронной почте Microsoft 365.
Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.
- Обозреватель угроз: на портале Defender по адресу https://security.microsoft.comперейдите в Email & Security>Обозреватель. Или, чтобы сразу перейти на страницу «Обозреватель», используйте https://security.microsoft.com/threatexplorerv3.
- Обнаружение в режиме реального времени: на портале Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и безопасность>Обнаружение в режиме реального времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
На странице Explorer или Обнаружения в режиме реального времени выберите представление Вредоносные программы. Дополнительные сведения о представлении "Фишинг" см. в статье Представление "Вредоносные программы" в Обозревателе угроз и разделе "Обнаружения в режиме реального времени".
Выберите диапазон даты и времени. По умолчанию выбраны вчера и сегодня.
Выберите поле Адрес отправителя (свойство) и выберите Технология обнаружения в разделе Базовый раскрывающегося списка.
- Убедитесь, что в качестве оператора фильтра выбран Равно любому из.
- В поле значение свойства выберите одно или несколько из следующих значений:
- Защита от вредоносных программ
- Детонация файла
- Репутация детонации файла
- Репутация файла
- Сопоставление отпечатков
Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.
Завершив создание условий фильтра, нажмите кнопку Обновить.
В отчете отображаются результаты обнаружения вредоносных программ в электронной почте с использованием выбранных параметров технологии. Здесь можно провести дальнейший анализ.
Пометить сообщения как безопасные
Вы можете использовать страницу Submissions на портале Defender по адресу https://security.microsoft.com/reportsubmission, чтобы сообщать Microsoft, что сообщения являются безопасными (ложноположительные срабатывания). Но вы также можете отправлять сообщения как безопасные в Microsoft из раздела
Принять меры в обозревателе угроз или на странице сущности сообщения электронной почты.
Инструкции см. в разделе Охота на угрозы: мастер принятия действий.
Подводя итог:
Выберите
Принять меры, используя один из следующих методов:- Выберите одно или несколько сообщений из таблицы сведений на вкладке Email в представлении Все сообщения электронной почты, Вредоносные программы или Фишинг, установив флажки рядом с нужными записями.
Или
- На всплывающей панели сведений, после того как вы щелкните значение Тема и выберете сообщение в таблице сведений на вкладке Email в представлении Все сообщения электронной почты, Вредоносные программы или Фишинг.
В мастере Принять меры выберите Отправить в Microsoft на проверку>Я подтверждаю, что файл не содержит угроз.
Просмотр URL-адреса фишинга и выбор данных вердикта
Защита безопасных ссылок отслеживает разрешенные, заблокированные и переопределенные URL-адреса. Защита безопасных ссылок включена по умолчанию благодаря встроенной защите в предустановленных политиках безопасности. Защита Safe Links включена в предустановленных политиках безопасности «Стандартная» и «Строгая». Вы также можете создать и настроить защиту безопасных ссылок в настраиваемых политиках безопасных ссылок. Дополнительные сведения о параметрах политики безопасных ссылок см. в разделе Параметры политики безопасных ссылок.
Выполните следующие действия, чтобы просмотреть попытки фишинга с использованием URL-адресов в сообщениях электронной почты.
Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.
- Обозреватель угроз: на портале Defender по адресу https://security.microsoft.comперейдите в Email & Security>Обозреватель. Или, чтобы сразу перейти на страницу «Обозреватель», используйте https://security.microsoft.com/threatexplorerv3.
- Обнаружение в режиме реального времени: на портале Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и безопасность>Обнаружение в режиме реального времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
На странице Explorer или Обнаружения в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении Phish см. в разделе Представление Phish в Threat Explorer и обнаружениях в режиме реального времени.
Выберите диапазон даты и времени. По умолчанию выбраны вчера и сегодня.
Выберите поле Адрес отправителя (свойство) и выберите Щелкните вердикт в разделе URL-адреса раскрывающегося списка.
- Убедитесь, что в качестве оператора фильтра выбран Равно любому из.
- В поле значение свойства выберите одно или несколько из следующих значений:
- Заблокировано
- Заблокировано переопределено
Пояснения к значениям Click verdict см. в разделе Click verdict статьи Фильтруемые свойства в представлении "Все сообщения электронной почты" в Threat Explorer.
Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.
Завершив создание условий фильтра, нажмите кнопку Обновить.
На вкладке "Верхние URL-адреса " (представление) в области сведений под диаграммой показано количество заблокированных сообщений, сообщений нежелательной почты и сообщений, доставленных для первых пяти URL-адресов. Дополнительные сведения см. в статье Представление «Основные URL-адреса» для области сведений в представлении «Фишинг» в Threat Explorer и обнаружении в режиме реального времени.
На вкладке Наиболее популярные переходы (представление) в области сведений под диаграммой отображаются пять ссылок, по которым чаще всего щелкали и которые были обработаны функцией Safe Links. Здесь не отображаются переходы по URL-адресам необернутых ссылок. Дополнительные сведения см. в разделе Представление "Основные переходы" для области сведений в представлении "Фишинг" в Threat Explorer и Real-time detections.
В таблицах «Наиболее часто встречающиеся URL-адреса» и «Наибольшее число кликов» отображаются URL-адреса, которые были заблокированы или посещены несмотря на предупреждение. Данные в этих таблицах выделяют потенциальные плохие ссылки, которые были представлены пользователям. На основе результатов Наиболее популярные URL или Наибольшее число кликов можно провести дальнейший анализ.
Выберите URL-адрес из записи в представлении для получения дополнительных сведений. Дополнительные сведения см. в разделе Сведения об URL-адресах на вкладках "Верхние URL-адреса" и "Наиболее частые щелчки" в представлении "Фишинг".
Совет
Во всплывающей панели сведений об URL-адресе фильтр по сообщениям электронной почты убран, чтобы показать полную картину распространения URL-адреса в вашей среде. Это позволяет фильтровать определенные сообщения электронной почты, находить определенные URL-адреса, которые представляют собой потенциальные угрозы, а затем расширять понимание уязвимости URL-адресов в вашей среде, не добавляя фильтры URL-адресов в представление фишинга .
Интерпретация вердиктов по кликам
Результаты свойства Click verdict отображаются в следующих местах:
- Щелкните сводный элемент диаграммы вердиктов для представления переходов по URL-адресам в области сведений в представлении «Все сообщения» (только в Обозревателе угроз) или «Фишинг»
- Представление наиболее частых переходов для области сведений в представлении «Все сообщения электронной почты» в Threat Explorer
- Представление основных щелчков для области сведений представления Phish в Threat Explorer и обнаружении в режиме реального времени
- Представление наиболее частых переходов для области сведений в представлении переходов по URL-адресам в Threat Explorer
Значения вердиктов описаны в следующем списке:
- Разрешено: пользователю было разрешено открыть URL-адрес.
- Блокировка отменена: пользователю было запрещено напрямую открывать URL-адрес, но он отменил блокировку, чтобы открыть URL-адрес.
- Заблокировано: пользователю было запрещено открывать URL-адрес.
- Ошибка: пользователю была представлена страница ошибки или произошла ошибка при записи вердикта.
- Сбой. При записи вердикта произошло неизвестное исключение. Возможно, пользователь открыл URL-адрес.
- Нет: не удается записать вердикт для URL-адреса. Возможно, пользователь открыл URL-адрес.
- Ожидание вердикта: Пользователю была показана страница ожидания детонации.
- Ожидающий вердикт проигнорирован: пользователю была показана страница проверки, но он проигнорировал предупреждение, чтобы открыть URL-адрес.
Запустите автоматизированное расследование и реагирование в Обозревателе угроз
Автоматическое исследование и реагирование (AIR) в Defender для Office 365 план 2 позволяет сэкономить время и усилия при расследовании и устранении кибератак. Вы можете настроить оповещения, которые запускают сценарий безопасности, а также можете запустить AIR в Обозревателе угроз. Дополнительные сведения см. в разделе Пример: администратор безопасности запускает расследование в Explorer.
Связанные статьи
Дополнительные сведения см. в следующей статье: