Защита электронной почты с помощью Threat Explorer и функции обнаружения в режиме реального времени в Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Организации Microsoft 365, в подписку которых входит Microsoft Defender для Office 365 или которые приобрели его как надстройку, имеют Explorer (также известный как Threat Explorer) или Обнаружение в реальном времени. Эти функции представляют собой мощные средства практически в режиме реального времени, помогающие командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них. Дополнительные сведения см. в статье Об Обозревателе угроз и обнаружениях в режиме реального времени в Microsoft Defender для Office 365.

В этой статье объясняется, как просматривать и исследовать обнаруженные вредоносные программы и попытки фишинга в электронной почте с помощью Обозреватель угроз или обнаружения в режиме реального времени.

Совет

Сведения о других сценариях работы с электронной почтой с использованием Threat Explorer и функции «Обнаружения в реальном времени» см. в следующих статьях:

Что нужно знать перед началом работы

Прежде чем приступить к работе, ознакомьтесь со следующими требованиями к лицензированию и разрешениям для обнаружения угроз в режиме реального времени.

Просмотр фишингового сообщения электронной почты, отправляемого олицетворенным пользователям и доменам

Дополнительные сведения о защите олицетворения пользователей и домена в политиках защиты от фишинга в Defender для Office 365 см. в разделе Параметры олицетворения в политиках защиты от фишинга в Microsoft Defender для Office 365.

В политиках защиты от фишинга по умолчанию или настраиваемых политиках защиты от фишинга необходимо указать пользователей и домены для защиты от олицетворения, включая принадлежащие вам домены (обслуживаемые домены). В предустановленных политиках безопасности Standard или Strict принадлежащие вам домены автоматически получают защиту от имитации, но для защиты от имитации необходимо указать пользователей и пользовательские домены. Инструкции см. в следующих статьях:

Выполните следующие действия, чтобы просмотреть фишинговые сообщения и найти олицетворенных пользователей или доменов.

  1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

    • Обозреватель угроз: на портале Defender по адресу https://security.microsoft.comперейдите в Email & Security>Обозреватель. Или, чтобы сразу перейти на страницу «Обозреватель», используйте https://security.microsoft.com/threatexplorerv3.
    • Обнаружение в режиме реального времени: на портале Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и безопасность>Обнаружение в режиме реального времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
  2. На странице Explorer или Обнаружения в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении Phish см. в разделе Представление Phish в Threat Explorer и обнаружениях в режиме реального времени.

  3. Выберите диапазон даты и времени. По умолчанию выбраны вчера и сегодня.

  4. Выполните одно из следующих действий.

    • Найдите любые попытки олицетворения пользователя или домена:

      • Выберите поле Адрес отправителя (свойство) и выберите Технология обнаружения в разделе Базовый раскрывающегося списка.
      • Убедитесь, что в качестве оператора фильтра выбран Равно любому из.
      • В поле значение свойства выберите домен олицетворения и пользователь олицетворения.
    • Найти попытки входа от имени определенных пользователей:

      • Выберите поле Адрес отправителя (свойство) и выберите олицетворенный пользователь в разделе Базовый раскрывающегося списка.
      • Убедитесь, что в качестве оператора фильтра выбран Равно любому из.
      • В поле значение свойства введите полный адрес электронной почты получателя. Разделите несколько значений получателей запятыми.
    • Поиск конкретных попыток использования поддельных доменов:

      • Выберите поле Адрес отправителя (свойство) и выберите олицетворенный домен в разделе Базовый раскрывающегося списка.
      • Убедитесь, что в качестве оператора фильтра выбран Равно любому из.
      • В поле значение свойства введите домен (например, contoso.com). Разделите значения нескольких доменов запятыми.
  5. Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.

  6. Завершив создание условий фильтра, нажмите кнопку Обновить.

  7. В области подробностей под диаграммой убедитесь, что выбрана вкладка Email (вид).

    Вы можете отсортировать записи и отобразить дополнительные столбцы, как описано в представлении “Электронная почта” для области сведений в представлении “Фишинг” в Обозревателе угроз и обнаружении в режиме реального времени.

Экспорт данных щелчка URL-адреса

Вы можете экспортировать данные о щелчках по URL-адресам в CSV-файл, чтобы просмотреть значения Идентификатор сетевого сообщения и Вердикт по щелчку, которые помогают понять, откуда поступает трафик переходов по URL-адресам.

  1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

    • Обозреватель угроз: на портале Defender по адресу https://security.microsoft.comперейдите в Email & Security>Обозреватель. Или, чтобы сразу перейти на страницу «Обозреватель», используйте https://security.microsoft.com/threatexplorerv3.
    • Обнаружение в режиме реального времени: на портале Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и безопасность>Обнаружение в режиме реального времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
  2. На странице Explorer или Обнаружения в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении Phish см. в разделе Представление Phish в Threat Explorer и обнаружениях в режиме реального времени.

  3. Выберите диапазон даты и времени, а затем щелкните Обновить. По умолчанию выбраны вчера и сегодня.

  4. В области сведений выберите вкладку Наиболее популярные URL-адреса или Популярные клики (вид).

  5. В представлении Популярные URL-адреса или Наиболее популярные клики выберите одну или несколько записей в таблице, установив флажок у первого столбца, а затем выберите Экспорт.

    Чтобы открыть всплывающую панель URL-адреса вместо экспорта, перейдите в Explorer>Phish>Clicks>Top URLs или URL Top Clicks, затем выберите любую запись.

Значение идентификатора сетевого сообщения можно использовать для поиска конкретных сообщений в обозревателе угроз, обнаружениях в режиме реального времени или внешних средствах. Эти поисковые запросы определяют сообщение электронной почты, связанное с результатом щелчка. Наличие коррелированного идентификатора сетевых сообщений обеспечивает более быстрый и эффективный анализ.

Просмотр вредоносных программ, обнаруженных в электронной почте

Выполните следующие действия в разделе Обозреватель угроз или обнаружение в режиме реального времени, чтобы увидеть вредоносные программы, обнаруженные в электронной почте Microsoft 365.

  1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

    • Обозреватель угроз: на портале Defender по адресу https://security.microsoft.comперейдите в Email & Security>Обозреватель. Или, чтобы сразу перейти на страницу «Обозреватель», используйте https://security.microsoft.com/threatexplorerv3.
    • Обнаружение в режиме реального времени: на портале Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и безопасность>Обнаружение в режиме реального времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
  2. На странице Explorer или Обнаружения в режиме реального времени выберите представление Вредоносные программы. Дополнительные сведения о представлении "Фишинг" см. в статье Представление "Вредоносные программы" в Обозревателе угроз и разделе "Обнаружения в режиме реального времени".

  3. Выберите диапазон даты и времени. По умолчанию выбраны вчера и сегодня.

  4. Выберите поле Адрес отправителя (свойство) и выберите Технология обнаружения в разделе Базовый раскрывающегося списка.

    • Убедитесь, что в качестве оператора фильтра выбран Равно любому из.
    • В поле значение свойства выберите одно или несколько из следующих значений:
      • Защита от вредоносных программ
      • Детонация файла
      • Репутация детонации файла
      • Репутация файла
      • Сопоставление отпечатков
  5. Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.

  6. Завершив создание условий фильтра, нажмите кнопку Обновить.

В отчете отображаются результаты обнаружения вредоносных программ в электронной почте с использованием выбранных параметров технологии. Здесь можно провести дальнейший анализ.

Пометить сообщения как безопасные

Вы можете использовать страницу Submissions на портале Defender по адресу https://security.microsoft.com/reportsubmission, чтобы сообщать Microsoft, что сообщения являются безопасными (ложноположительные срабатывания). Но вы также можете отправлять сообщения как безопасные в Microsoft из раздела Принять меры в обозревателе угроз или на странице сущности сообщения электронной почты.

Инструкции см. в разделе Охота на угрозы: мастер принятия действий.

Подводя итог:

  • Выберите Принять меры, используя один из следующих методов:

    • Выберите одно или несколько сообщений из таблицы сведений на вкладке Email в представлении Все сообщения электронной почты, Вредоносные программы или Фишинг, установив флажки рядом с нужными записями.

    Или

    • На всплывающей панели сведений, после того как вы щелкните значение Тема и выберете сообщение в таблице сведений на вкладке Email в представлении Все сообщения электронной почты, Вредоносные программы или Фишинг.
  • В мастере Принять меры выберите Отправить в Microsoft на проверку>Я подтверждаю, что файл не содержит угроз.

Просмотр URL-адреса фишинга и выбор данных вердикта

Защита безопасных ссылок отслеживает разрешенные, заблокированные и переопределенные URL-адреса. Защита безопасных ссылок включена по умолчанию благодаря встроенной защите в предустановленных политиках безопасности. Защита Safe Links включена в предустановленных политиках безопасности «Стандартная» и «Строгая». Вы также можете создать и настроить защиту безопасных ссылок в настраиваемых политиках безопасных ссылок. Дополнительные сведения о параметрах политики безопасных ссылок см. в разделе Параметры политики безопасных ссылок.

Выполните следующие действия, чтобы просмотреть попытки фишинга с использованием URL-адресов в сообщениях электронной почты.

  1. Чтобы открыть Обозреватель угроз или обнаружение в режиме реального времени, выполните одно из следующих действий.

    • Обозреватель угроз: на портале Defender по адресу https://security.microsoft.comперейдите в Email & Security>Обозреватель. Или, чтобы сразу перейти на страницу «Обозреватель», используйте https://security.microsoft.com/threatexplorerv3.
    • Обнаружение в режиме реального времени: на портале Defender по адресу https://security.microsoft.com перейдите в раздел Электронная почта и безопасность>Обнаружение в режиме реального времени. Или, чтобы перейти непосредственно на страницу обнаружения в режиме реального времени , используйте https://security.microsoft.com/realtimereportsv3.
  2. На странице Explorer или Обнаружения в режиме реального времени выберите представление Фишинг. Дополнительные сведения о представлении Phish см. в разделе Представление Phish в Threat Explorer и обнаружениях в режиме реального времени.

  3. Выберите диапазон даты и времени. По умолчанию выбраны вчера и сегодня.

  4. Выберите поле Адрес отправителя (свойство) и выберите Щелкните вердикт в разделе URL-адреса раскрывающегося списка.

    • Убедитесь, что в качестве оператора фильтра выбран Равно любому из.
    • В поле значение свойства выберите одно или несколько из следующих значений:
      • Заблокировано
      • Заблокировано переопределено

    Пояснения к значениям Click verdict см. в разделе Click verdict статьи Фильтруемые свойства в представлении "Все сообщения электронной почты" в Threat Explorer.

  5. Введите дополнительные условия, используя при необходимости другие фильтруемые свойства. Инструкции см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.

  6. Завершив создание условий фильтра, нажмите кнопку Обновить.

На вкладке "Верхние URL-адреса " (представление) в области сведений под диаграммой показано количество заблокированных сообщений, сообщений нежелательной почты и сообщений, доставленных для первых пяти URL-адресов. Дополнительные сведения см. в статье Представление «Основные URL-адреса» для области сведений в представлении «Фишинг» в Threat Explorer и обнаружении в режиме реального времени.

На вкладке Наиболее популярные переходы (представление) в области сведений под диаграммой отображаются пять ссылок, по которым чаще всего щелкали и которые были обработаны функцией Safe Links. Здесь не отображаются переходы по URL-адресам необернутых ссылок. Дополнительные сведения см. в разделе Представление "Основные переходы" для области сведений в представлении "Фишинг" в Threat Explorer и Real-time detections.

В таблицах «Наиболее часто встречающиеся URL-адреса» и «Наибольшее число кликов» отображаются URL-адреса, которые были заблокированы или посещены несмотря на предупреждение. Данные в этих таблицах выделяют потенциальные плохие ссылки, которые были представлены пользователям. На основе результатов Наиболее популярные URL или Наибольшее число кликов можно провести дальнейший анализ.

Выберите URL-адрес из записи в представлении для получения дополнительных сведений. Дополнительные сведения см. в разделе Сведения об URL-адресах на вкладках "Верхние URL-адреса" и "Наиболее частые щелчки" в представлении "Фишинг".

Совет

Во всплывающей панели сведений об URL-адресе фильтр по сообщениям электронной почты убран, чтобы показать полную картину распространения URL-адреса в вашей среде. Это позволяет фильтровать определенные сообщения электронной почты, находить определенные URL-адреса, которые представляют собой потенциальные угрозы, а затем расширять понимание уязвимости URL-адресов в вашей среде, не добавляя фильтры URL-адресов в представление фишинга .

Интерпретация вердиктов по кликам

Результаты свойства Click verdict отображаются в следующих местах:

Значения вердиктов описаны в следующем списке:

  • Разрешено: пользователю было разрешено открыть URL-адрес.
  • Блокировка отменена: пользователю было запрещено напрямую открывать URL-адрес, но он отменил блокировку, чтобы открыть URL-адрес.
  • Заблокировано: пользователю было запрещено открывать URL-адрес.
  • Ошибка: пользователю была представлена страница ошибки или произошла ошибка при записи вердикта.
  • Сбой. При записи вердикта произошло неизвестное исключение. Возможно, пользователь открыл URL-адрес.
  • Нет: не удается записать вердикт для URL-адреса. Возможно, пользователь открыл URL-адрес.
  • Ожидание вердикта: Пользователю была показана страница ожидания детонации.
  • Ожидающий вердикт проигнорирован: пользователю была показана страница проверки, но он проигнорировал предупреждение, чтобы открыть URL-адрес.

Запустите автоматизированное расследование и реагирование в Обозревателе угроз

Автоматическое исследование и реагирование (AIR) в Defender для Office 365 план 2 позволяет сэкономить время и усилия при расследовании и устранении кибератак. Вы можете настроить оповещения, которые запускают сценарий безопасности, а также можете запустить AIR в Обозревателе угроз. Дополнительные сведения см. в разделе Пример: администратор безопасности запускает расследование в Explorer.

Дополнительные сведения см. в следующей статье: