Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
Организации Microsoft 365, в подписку которых входит Microsoft Defender для Office 365 или которые приобрели его как надстройку, имеют Explorer (также известный как Threat Explorer) или Обнаружение в реальном времени. Эти функции представляют собой мощные средства практически в режиме реального времени, помогающие командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них. Дополнительные сведения см. в статье Об Обозревателе угроз и обнаружениях в режиме реального времени в Microsoft Defender для Office 365.
Обозреватель угроз или обнаружения в режиме реального времени позволяют выполнять следующие действия:
- Видеть вредоносные программы, обнаруженные функциями безопасности Microsoft 365.
- Просмотр фишингового URL-адреса и данных о вердиктах по кликам.
- Запустите автоматизированный процесс исследования и реагирования (только Обозреватель угроз).
- Исследуйте вредоносные сообщения электронной почты.
- И многое другое.
Просмотрите это короткое видео, чтобы узнать, как охотиться и исследовать угрозы электронной почты и совместной работы с помощью Defender для Office 365.
Совет
Расширенная охота в Microsoft Defender XDR поддерживает простой в использовании построитель запросов, который не использует язык запросов Kusto (KQL). Дополнительные сведения см. в статье Создание запросов в интерактивном режиме.
В следующих разделах рассматривается процесс поиска угроз в Threat Explorer и Real-time detections, включая оповещения, теги и сведения об угрозах в электронной почте, а также расширенные возможности, такие как правила почтового потока и входящие соединители.
Совет
Сведения о сценариях работы с электронной почтой с использованием Threat Explorer и обнаружения в режиме реального времени см. в следующих статьях:
- Защита электронной почты с помощью Обозревателя угроз и обнаружений в режиме реального времени в Microsoft Defender для Office 365
- Исследование вредоносного сообщения электронной почты, которое было доставлено
Если вы ищете атаки, использующие вредоносные URL-адреса, встроенные в QR-коды, значение фильтра URL SourceQR code в представлениях All email, Malware и Phish в Threat Explorer или Real-time detections позволяет искать сообщения электронной почты с URL-адресами, извлеченными из QR-кодов.
Что нужно знать перед началом работы
Прежде чем приступить к работе, ознакомьтесь со следующими требованиями к лицензированию и разрешениям для обнаружения угроз в режиме реального времени.
Обозреватель угроз входит в состав Defender для Office 365, план 2. Обнаружение в режиме реального времени входит в Defender для Office (план 1):
- Различия между обозревателем угроз и обнаружением в режиме реального времени описаны в статье Об обозревателе угроз и обнаружении в режиме реального времени в Microsoft Defender для Office 365.
- Различия между Defender для Office 365, план 2, и Defender для Office 365, план 1, описаны в шпаргалке Defender для Office 365: план 1 и план 2.
Разрешения и требования к лицензированию для Обозреватель угроз и обнаружения в режиме реального времени см. в разделе Разрешения и лицензирование для Обозреватель угроз и обнаружения в режиме реального времени.
Пошаговое руководство по Обозревателю угроз и обнаружению в режиме реального времени
Обозреватель угроз или Обнаружения в режиме реального времени доступны в разделе Электронная почта и совместная работа на портале Microsoft Defender по адресу https://security.microsoft.com:
Обнаружения в режиме реального времени доступны в плане 1 Defender для Office 365. Страница обнаружения в режиме реального времени доступна непосредственно по адресу https://security.microsoft.com/realtimereportsv3.
Обозреватель угроз доступен в Microsoft Defender для Office 365, план 2. Страница Explorer доступна напрямую по адресу https://security.microsoft.com/threatexplorerv3.
Обозреватель угроз содержит те же сведения и возможности, что и обнаружение в режиме реального времени, но со следующими дополнительными функциями:
- Дополнительные представления.
- Дополнительные параметры фильтрации свойств, включая параметр для сохранения запросов.
- Действия по поиску угроз и их устранению.
Дополнительные сведения о различиях между Defender для Office 365 (план 1) и Defender для Office 365 (план 2) см. в шпаргалке по Defender для Office 365 (план 1) и Defender для Office 365 (план 2).
Используйте вкладки (представления) в верхней части страницы, чтобы начать расследование.
Доступные представления в Threat Explorer и разделе "Обнаружения в режиме реального времени" описаны в следующей таблице:
| Вид | Угрозы Обозреватель |
В режиме реального времени Обнаружения |
Описание |
|---|---|---|---|
| Все сообщения электронной почты | ✔ | Представление по умолчанию для обозревателя угроз. Сведения обо всех сообщениях электронной почты, отправляемых внешними пользователями в вашу организацию, или сообщениях электронной почты, отправляемых между внутренними пользователями в вашей организации. | |
| Вредоносная программа | ✔ | ✔ | Представление по умолчанию для обнаружений в реальном времени. Сведения о сообщениях электронной почты, содержащих вредоносные программы. |
| Фишинг | ✔ | ✔ | Сведения о сообщениях электронной почты, содержащих фишинговые угрозы. |
| Кампании | ✔ | Сведения о вредоносной электронной почте, которую Defender для Office 365 плана 2 определил как часть скоординированной кампании фишинга или вредоносных программ. | |
| Вредоносное содержимое | ✔ | ✔ | Сведения о вредоносных файлах, обнаруженных следующими функциями: |
| Переходы по URL-адресу | ✔ | Сведения о щелчках пользователем URL-адресов в сообщениях электронной почты, сообщениях Teams, файлах SharePoint и файлах OneDrive. |
Используйте фильтр даты и времени и доступные свойства фильтра в представлении, чтобы уточнить результаты:
- Инструкции по созданию фильтров см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.
- Доступные свойства фильтра для каждого представления описаны в следующих связанных разделах:
- Фильтруемые свойства в представлении "Все сообщения электронной почты" в Обозревателе угроз
- Фильтруемые свойства в представлении "Вредоносные программы" в Обозревателе угроз и в разделе "Обнаружения в режиме реального времени"
- Фильтруемые свойства в представлении "Фишинг" в Обозревателе угроз и обнаружениях в режиме реального времени
- Фильтруемые свойства в представлении «Кампании» в Обозревателе угроз
- Фильтруемые свойства в представлении вредоносного содержимого в Обозревателе угроз и обнаружении в режиме реального времени
- Фильтруемые свойства в представлении переходов по URL-адресам в Обозревателе угроз
Совет
Не забудьте выбрать Обновить после создания или обновления фильтра. Фильтры влияют на сведения на диаграмме и область сведений в представлении.
Сужение области внимания в Обозревателе угроз или в разделе «Обнаружения в режиме реального времени» можно представить как слои, чтобы было проще возвращаться к предыдущим шагам:
- Первый слой — это представление, которое вы используете.
- Второе — это фильтры, которые вы используете в этом представлении.
Например, вы можете восстановить последовательность действий, которые выполнили, чтобы найти угрозу, зафиксировав свои решения следующим образом: Чтобы найти проблему в Обозревателе угроз, я использовал представление Вредоносные программы и фильтр Получатель.
Кроме того, обязательно протестируйте параметры отображения. Разные аудитории (например, управление) могут лучше или хуже реагировать на различные представления одних и того же данных.
Например, в Threat Explorer в представлении Все сообщения электронной почты в области сведений в нижней части страницы доступны представления (вкладки) Источник сообщения и Кампании:
Для некоторых аудиторий карта мира на вкладке Email источник может лучше показать, насколько широко распространены обнаруженные угрозы.
Другие могут найти подробные сведения в таблице на вкладке Кампании более полезными для передачи информации.
Данные об угрозах, отображаемые на вкладках"Источник электронной почты" и "Кампании", можно использовать для следующих результатов:
- Чтобы показать необходимость обеспечения безопасности и защиты.
- Для последующей демонстрации эффективности любых действий.
Изучение подозрительных сообщений электронной почты
В представлениях Все электронные письма, Вредоносные программы или Фишинг в обозревателе угроз или в разделе обнаружения в режиме реального времени результаты для сообщений электронной почты отображаются в таблице на вкладке Email (представление) в области сведений под диаграммой.
Если вы видите подозрительное электронное письмо, щелкните значение Subject в строке таблицы. Откроется всплывающее окно сведений
, содержащее сущность Open email в верхней части всплывающего окна.
Страница сущности Email объединяет все, что вам нужно знать о сообщении и его содержимом, чтобы вы могли определить, является ли сообщение угрозой. Дополнительные сведения см. в статье Обзор страницы сущности «Электронная почта».
Устранение угроз электронной почты
После того как вы определите, что сообщение электронной почты представляет угрозу, нейтрализуйте эту угрозу в Threat Explorer или в разделе Real-time detections с помощью
Принять меры.
Принять меры доступно в представлениях Все сообщения электронной почты, Вредоносные программы или Фишинг в Обозревателе угроз либо в разделе обнаружения в режиме реального времени на вкладке Электронная почта в области сведений под диаграммой:
Выберите одну или несколько записей в таблице, установив флажок рядом с первым столбцом.
Выполнить действие доступно непосредственно на вкладке.Совет
Действие "Выполнить" заменяет раскрывающийся список Действия сообщения .
Если выбрать не более 100 записей, можно выполнить несколько действий для сообщений в мастере Выполнить действие.
Если выбрать от 101 до 200 000 записей, в мастере выполнения действий доступны только следующие действия:
- Обозреватель угроз: Переместить или удалить и Предложить исправление доступны, но эти параметры взаимоисключающие (можно выбрать только один из них).
- Обнаружения в режиме реального времени: доступны только отправка в Microsoft для проверки и создание соответствующих записей разрешения и блокировки в списке разрешений и блокировок клиента.
Щелкните по значению Тема у записи в таблице. В открывшемся всплывающем окне сведений в верхней части находится
Принять меры.
Используйте мастер "Выполнить действие" для исправления сообщений
При выборе
Выполнить действие открывается мастер Выполнить действие во всплывающей области. Доступные действия в мастере выполнения действий в Defender для Office 365 плана 2 и Defender для Office 365 плана 1 перечислены в следующей таблице:
| Действие | Defender для Office 365 план 2 |
Defender для Office 365 план 1 |
|---|---|---|
| Перемещение или удаление | ✔¹ | |
| Освобождение сообщений, помещенных в карантин, для некоторых или всех исходных получателей 2 | ✔ | |
| Отправить в Корпорацию Майкрософт для проверки | ✔ | ✔ |
| Разрешить или заблокировать записи в списке разрешенных и заблокированных клиентов | ✔ | ✔ |
| Запуск автоматического исследования | ✔ | |
| Предложение исправления | ✔ |
¹ Для этого действия требуется роль «Поиск и очистка» в разделе «Разрешения для электронной почты и совместной работы» или разрешение «Операции безопасности/Данные безопасности/Расширенные действия для электронной почты и совместной работы (управление)» в системе единого управления доступом на основе ролей (RBAC) Microsoft Defender XDR. По умолчанию роль поиска и очистки назначается только группам ролей "Исследователь данных " и "Управление организацией ". Вы можете добавить пользователей в эти группы ролей или создать новую группу ролей с назначенной ролью Поиск и очистка , а также добавить пользователей в настраиваемую группу ролей.
2 Этот параметр доступен для сообщений в карантине при выборе папки "Входящие" в качестве места перемещения.
³ Это действие доступно в разделе Отправить в Корпорацию Майкрософт для проверки.
Мастер «Принять меры» содержит следующие страницы и параметры:
На странице Выбор действий ответа доступны следующие параметры:
Показать все действия ответа. Этот параметр доступен только в Обозреватель угроз.
По умолчанию некоторые действия недоступны или неактивны в зависимости от значения последнего расположения доставки сообщения. Чтобы отобразить все доступные действия ответа, переместите переключатель в положение
Вкл.Перемещение или удаление. Выберите одно из доступных значений, которые отображаются:
Нежелательные: Переместить сообщение в папку "Нежелательная почта".
Папка "Входящие". Переместите сообщение в папку "Входящие". При выборе этого значения также могут отображаться следующие параметры:
Переместить обратно в папку "Отправленные": если сообщение было отправлено внутренним отправителем и было обратимо удалено (перемещено в папку "Элементы с возможностью восстановления\Удаления"), при выборе этого параметра будет предпринята попытка переместить сообщение обратно в папку "Отправленные". Этот параметр отменяется, если вы ранее выбрали Переместить или удалить>обратимо удаленные элементы , а также выбрали Удалить копию отправителя в сообщении.
Для сообщений со значением Карантин для свойства Последнее расположение доставки при выборе папки "Входящие" сообщение освобождается из карантина, поэтому также доступны следующие параметры:
- Освободить одного или нескольких исходных получателей сообщения электронной почты. Если выбрать это значение, появится поле, в котором можно выбрать или отменить выбор исходных получателей сообщения, помещенного в карантин.
- Выпуск для всех получателей
Удаленные элементы. Переместите сообщение в папку Удаленные.
Элементы, удаленные с возможностью восстановления: Переместите сообщение в папку "Элементы с возможностью восстановления\Удаления", что эквивалентно удалению сообщения из папки "Удаленные элементы". Сообщение может быть восстановлено пользователем и администраторами.
Удалить копию отправителя: Если сообщение было отправлено внутренним отправителем, также попробуйте выполнить обратимое удаление сообщения из папки «Отправленные» отправителя.
Жестко удаленные элементы: очистка удаленного сообщения. Администраторы могут восстанавливать окончательно удаленные элементы с помощью функции восстановления отдельных элементов. Дополнительные сведения о жестко удаленных и обратимо удаленных элементах см. в разделе Обратимо удаленные и жестко удаленные элементы.
Отправить в Майкрософт для проверки. Выберите одно из отображаемых доступных значений:
Я подтвердил, что оно чисто: выберите это значение, если вы уверены, что сообщение чисто. Отобразятся следующие параметры:
-
Разрешить такие сообщения: если выбрать это значение, в список разрешений и блокировок клиента будут добавлены разрешающие записи для отправителя, а также для всех связанных URL-адресов и вложений в сообщении. Также отображаются следующие параметры:
- Удалить запись после. Значение по умолчанию — 1 день, но можно также выбрать 7 дней, 30 дней или конкретную дату , которая меньше 30 дней.
- Разрешить примечание к записи: Введите необязательное примечание, содержащее дополнительные сведения.
-
Разрешить такие сообщения: если выбрать это значение, в список разрешений и блокировок клиента будут добавлены разрешающие записи для отправителя, а также для всех связанных URL-адресов и вложений в сообщении. Также отображаются следующие параметры:
Оно отображается как чистое или подозрительное. Выберите одно из этих значений, если вы не уверены и хотите получить вердикт от корпорации Майкрософт.
Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :
- Фишинг
- Вредоносная программа
- Спам
После выбора одного из этих значений откроется всплывающая панель Выберите сущности для блокировки, в которой можно выбрать одну или несколько сущностей, связанных с сообщением (адрес отправителя, домен отправителя, URL-адреса или вложения), чтобы добавить их в список разрешений и блокировок клиента в качестве записей блокировки.
Выбрав блокированные элементы, выберите Добавить правило блокировки , чтобы закрыть всплывающее окно Выбрать сущности для блокировки . Или не выберите элементы, а затем нажмите кнопку Отмена.
Вернитесь на страницу Выбор действий ответа и выберите параметр окончания срока действия для записей блока:
-
Срок действия: выберите дату окончания срока действия записей блокировки. -
Срок действия не истекает
Отображается количество заблокированных сущностей (например, 4/4 сущностей, которые нужно заблокировать). Выберите
Изменить , чтобы снова открыть правило Добавить в блок и внести изменения.
Запустить автоматическое расследование: Только в Threat Explorer. Выберите одно из указанных ниже значений:
- Изучение электронной почты
- Исследование получателя
- Исследовать отправителя. Это значение применяется только к отправителям в вашей организации.
- Контакты получателей
Предложить исправление. Выберите одно из указанных ниже значений.
Создать: При выборе этого значения отправляется сообщение электронной почты с запросом на обратимое удаление, которое должен утвердить администратор в Центре действий. Этот результат также известен как двухэтапное подтверждение.
Добавить к существующему: Используйте этот параметр, чтобы применить действия к этому сообщению электронной почты в рамках существующей процедуры устранения. В поле Отправить письмо для следующих мер по устранению выберите существующую меру по устранению.
Совет
Сотрудники SecOps, у которых недостаточно разрешений, могут использовать эту возможность, чтобы создать задачу по устранению, но пользователь с необходимыми разрешениями должен утвердить это действие в Центре действий.
Завершив работу на странице Выбор действий ответа , нажмите кнопку Далее.
На странице Выбор целевых сущностей настройте следующие параметры:
- Имя и описание. Введите уникальное описательное имя и необязательное описание для отслеживания и идентификации выбранного действия.
Остальная часть страницы — это таблица, в которую перечислены затронутые ресурсы. Таблица организована по следующим столбцам:
-
Затронутый ресурс. Затронутые ресурсы с предыдущей страницы. Например, вы можете:
- Адрес электронной почты получателя
- Весь клиент
-
Действие: выбранные действия для ресурсов с предыдущей страницы. Например, вы можете:
- Значения из отправки в Майкрософт для проверки:
- Отметить как безопасное
- Report
- Отчет как вредоносная программа, отчет как спам или отчет как фишинг
- Блокировка отправителя
- Блокировка домена отправителя
- Заблокировать URL
- Вложение блока
- Значения из Инициировать автоматическое расследование:
- Изучение электронной почты
- Исследование получателя
- Изучение отправителя
- Контакты получателей
- Значения из Propose remediation:
- Создание исправления
- Добавление к существующему исправлению
- Значения из отправки в Майкрософт для проверки:
-
Целевая сущность: например:
- Значение идентификатора сетевого сообщения сообщения электронной почты.
- Адрес электронной почты заблокированного отправителя.
- Домен заблокированного отправителя.
- Заблокированный URL-адрес.
- Заблокированное вложение.
-
Истекает: значение указывается только для записей с разрешением или блокировкой в списке разрешений и блокировок арендатора. Например, вы можете:
- Никогда не истечет срок действия для записей блока.
- Дата окончания срока действия разрешенных или заблокированных записей.
- Область: Как правило, это значение MDO.
На этом этапе можно также отменить некоторые действия. Например, если вы хотите создать только запись о блокировке в списке разрешенных и заблокированных элементов организации, не отправляя этот объект в Microsoft, это можно сделать здесь.
Завершив работу на странице Выбор целевых сущностей , нажмите кнопку Далее.
На странице Проверка и отправка просмотрите предыдущие выбранные варианты.
Выберите
Экспорт , чтобы экспортировать затронутые ресурсы в CSV-файл. По умолчанию файл называется Impacted assets.csv и находится в папке Downloads.Нажмите кнопку Назад , чтобы вернуться и изменить выбранные параметры.
Завершив работу на странице Проверка и отправка , нажмите кнопку Отправить.
Совет
В государственных организациях США (Microsoft 365 GCC, GCC High и DoD) администраторы могут выполнять действия Мягкое удаление, Переместить в папку нежелательной почты, Переместить в папку "Удаленные", Безвозвратное удаление и Переместить в папку "Входящие". Действия Удалить копию отправителя и Переместить в папку "Входящие" из папки карантина недоступны. Кроме того, журналы действий доступны только по адресу https://security.microsoft.com/threatincidents, а не в центре уведомлений по адресу https://security.microsoft.com/action-center.
Может потребоваться некоторое время, прежде чем результаты этих действий появятся на соответствующих страницах, но это не влияет на скорость устранения проблемы.
Возможности охоты за угрозами с помощью Threat Explorer и обнаружения в режиме реального времени
Threat Explorer или обнаружения в режиме реального времени помогают вашей группе специалистов по безопасности эффективно расследовать угрозы и реагировать на них. В этом разделе рассматривается поиск угроз из оповещений, использование тегов пользователей для фильтрации целевых объектов с высоким уровнем ценности и понимание сведений об угрозах электронной почты, таких как технологии обнаружения.
Поиск угроз на основе оповещений
Страница Оповещения доступна на портале Defender в разделе Инциденты & оповещения>Оповещения или непосредственно по адресу https://security.microsoft.com/alerts.
Для многих оповещений со значением Источника обнаруженияMDO в верхней части всплывающей панели сведений об оповещении доступно действие
Просмотреть сообщения в Explorer.
Всплывающая панель сведений об оповещении открывается, когда вы щелкаете в любом месте оповещения, кроме флажка рядом с первым столбцом. Например, вы можете:
- Обнаружен переход по потенциально вредоносному URL-адресу
- Результат отправки администратора завершен
- Email сообщения, содержащие вредоносный URL-адрес, удалены после доставки
- Сообщения электронной почты удаляются после доставки
- Сообщения, содержащие вредоносную сущность, не удалены после доставки
- Фишинговое сообщение не удалено, так как ZAP отключен
При выборе Просмотреть сообщения в Проводнике откроется Обозреватель угроз в представлении Все сообщения электронной почты, где для этого оповещения будет выбран фильтр свойств Идентификатор оповещения. Значение идентификатора оповещения — это уникальное значение GUID для оповещения (например, 89e00cdc-4312-7774-6000-08dc33a24419).
Alert ID — это свойство, доступное для фильтрации в следующих представлениях в Threat Explorer и Real-time detections:
- Представление Вся электронная почта в Обозревателе угроз.
- Представление «Вредоносные программы» в Обозревателе угроз и разделе «Обнаружение в режиме реального времени»
- Представление **«Фишинг» в Обозревателе угроз и обнаружениях в режиме реального времени
В этих представлениях идентификатор оповещения доступен как доступный для выбора столбец в области сведений под диаграммой на следующих вкладках (представлениях):
- Представление Электронная почта для области сведений в представлении Все сообщения электронной почты в обозревателе угроз
- Представление Электронная почта для области сведений представления Вредоносное ПО в Обозревателе угроз и разделе «Обнаружения в режиме реального времени»
- Представление Электронная почта для области сведений в представлении Phish в Threat Explorer и обнаружении в режиме реального времени
Во всплывающем окне сведений о сообщении электронной почты, открывающемся при щелчке значения "Тема" из одной из записей, ссылка "Идентификатор оповещения" доступна в разделе сведений о Email всплывающего элемента. Если щелкнуть ссылку Идентификатор оповещения , откроется страница Просмотр оповещений по адресу https://security.microsoft.com/viewalertsv2 с выбранным оповещением, а для оповещения откроется всплывающее окно сведений.
Используйте теги для поиска угроз в Threat Explorer
В Defender для Office 365, план 2, если вы используете теги пользователей для обозначения особо важных учетных записей (например, тег Priority account), можно использовать эти теги в качестве фильтров. Этот метод показывает попытки фишинга, направленные на высокоценные целевые учетные записи в течение определенного периода времени. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Теги пользователей доступны в следующих местах в обозревателе угроз:
-
Представление "Все сообщения электронной почты ":
- Отфильтрованные свойства в представлении "Все сообщения электронной почты".
- Представление сообщений электронной почты в области сведений в представлении "Все сообщения электронной почты" в Обозревателе угроз.
- Сведения электронной почты из представления "Электронная почта" области сведений в представлении "Все сообщения электронной почты"
-
Представление вредоносных программ :
- Фильтруемые свойства в представлении "Вредоносные программы".
- Представление "Электронная почта" для области сведений в представлении "Вредоносные программы" в обозревателе угроз и разделе "Обнаружения в режиме реального времени"
- Сведения электронной почты из представления "Электронная почта" области сведений в представлении "Все сообщения электронной почты"
- Представление фишинга :
- Просмотр кликов по URL-адресам:
Сведения об угрозах для сообщений электронной почты
Действия перед доставкой и после доставки сообщений электронной почты объединяются в одну запись независимо от различных событий после доставки, которые повлияли на сообщение. Например, вы можете:
- Автоматическая очистка за нулевой час (ZAP).
- Исправление вручную (действие администратора).
- Динамическая доставка.
Во всплывающем элементе сведений об электронной почте на вкладке Email (представление) в представлении Все сообщения электронной почты, вредоносные программы или фишинг отображаются связанные угрозы и соответствующие технологии обнаружения, связанные с сообщением электронной почты. Сообщение может содержать ноль, одну или несколько угроз.
В разделе Сведения о доставке свойство Технология обнаружения показывает технологию обнаружения, которая идентифицировала угрозу. Технология обнаружения также доступна в виде среза диаграммы или столбца в таблице сведений во многих представлениях в Threat Explorer и Real-time detections.
В разделе URL-адреса отображаются конкретные сведения об угрозах для всех URL-адресов в сообщении. Например, вредоносные программы, фишинг, **Спам или Нет.
Совет
Анализ вердиктов может не обязательно быть привязан к сущностям. Перед назначением вердикта фильтры оценивают содержимое и другие сведения сообщения электронной почты. Например, сообщение электронной почты может быть классифицировано как фишинговое или нежелательное, но ни у каких URL-адресов в сообщении нет отметки с фишингом или спамом.
Выберите
Открыть сущность электронной почты в верхней части всплывающего окна, чтобы просмотреть исчерпывающие сведения о сообщении электронной почты. Дополнительные сведения см. на странице сущности "Электронная почта" в Microsoft Defender для Office 365.
Расширенные возможности в Обозреватель угроз
Обозреватель угроз включает специальные фильтры для правил обработки почтового потока в Exchange (транспортных правил) и входящих соединителей, которые недоступны в разделе «Обнаружения в реальном времени».
Изучение правил потока обработки почты Exchange в обозревателе угроз
Совет
Для поиска правил потока обработки почты по имени в обозревателе угроз требуются определенные разрешения. Дополнительные сведения см. в разделе "Разрешения" и "Лицензирование" для обнаружения угроз и обнаружения в режиме реального времени. Для просмотра имен правил во всплывающих окнах сведений об электронной почте, в таблицах сведений и в экспортированных результатах специальные разрешения не требуются.
Чтобы найти сообщения, на которые повлияли правила обработки почты Exchange (также называемые правилами транспортировки), у вас есть следующие варианты в представлениях Все сообщения электронной почты, Вредоносные программы и Фишинг в обозревателе угроз (но не в представлении "Обнаружения в реальном времени"):
- Правило транспорта Exchange — это доступное для выбора значение для фильтруемых свойств Основной источник переопределения, Источник переопределения и Тип политики.
- Правило транспорта Exchange — это фильтруемое свойство. Введите частичное текстовое значение для имени правила.
Дополнительные сведения о фильтрации правил транспорта Exchange см. в представлении "Все сообщения электронной почты" в обозревателе угроз, в представлении "Вредоносные программы" в обозревателе угроз и обнаружениях в режиме реального времени, а также в представлении фишинга в обозревателе угроз и обнаружениях в режиме реального времени.
В представлении Email в области сведений представлений Все сообщения электронной почты, Вредоносные программы и Фишинг в Threat Explorer также доступен столбец Транспортное правило Exchange, который по умолчанию не выбран. В этом столбце показано имя правила транспорта. Дополнительные сведения о столбце правила транспорта Exchange на вкладке Email см. в разделах Представление Email для области сведений представления All email в Threat Explorer, Представление Email для области сведений представления Malware в Threat Explorer и Обнаружения в режиме реального времени и Представление Email для области сведений представления Phish в Threat Explorer и Обнаружения в режиме реального времени.
Совет
Сведения о разрешениях, необходимых для поиска правил обработки почты по имени в Обозревателе угроз, см. в разделе Разрешения и лицензирование для Обозревателя угроз и обнаружения в режиме реального времени. Для просмотра имен правил во всплывающих окнах сведений об электронной почте, в таблицах сведений и в экспортированных результатах специальные разрешения не требуются.
Проверьте входящие соединители при поиске угроз
Соединители для входящих подключений задают определенные параметры для источников электронной почты для Microsoft 365. Дополнительные сведения см. в разделе Настройка потока обработки почты с помощью соединителей в Exchange Online.
Чтобы найти сообщения, на которые повлияли входные соединители, можно использовать фильтруемое свойство Connector для поиска сообщений по имени соединителя в представлениях Все сообщения электронной почты, Вредоносные программы и Фишинговые сообщения в Обозревателе угроз (но не в представлении «Обнаружения в реальном времени»). Введите частичное текстовое значение для имени соединителя. Дополнительные сведения о фильтруемом свойстве Connector см. в статьях Представление "Все сообщения электронной почты" в Threat Explorer, Представление вредоносных программ в Threat Explorer и обнаружения в режиме реального времени и Представление фишинга в Threat Explorer и обнаружения в режиме реального времени.
Во вкладке (представлении) Email в области сведений для представлений All email, Malware и Phish в Threat Explorer также доступен столбец Connector, который по умолчанию не выбран. В этом столбце показано имя соединителя. Дополнительные сведения о столбце Коннектор на вкладке Электронная почта см. в статьях Представление «Электронная почта» для области сведений в представлении «Все сообщения электронной почты» в Threat Explorer, Представление «Электронная почта» для области сведений в представлении «Вредоносные программы» в Threat Explorer и в разделе «Обнаружения в режиме реального времени» и Представление «Электронная почта» для области сведений в представлении «Фишинг» в Threat Explorer и в разделе «Обнаружения в режиме реального времени».
Сценарии безопасности электронной почты в Обозревателе угроз и обнаружениях в режиме реального времени
Конкретные сценарии см. в следующих статьях:
- Защита электронной почты с помощью Обозревателя угроз и обнаружений в режиме реального времени в Microsoft Defender для Office 365
- Исследование вредоносного сообщения электронной почты, которое было доставлено
Дополнительные возможности поиска угроз и реагирования
Помимо сценариев, описанных в этой статье, вам доступны и другие возможности в Explorer или в разделе «Обнаружения в режиме реального времени». Дополнительные сведения см. в следующих статьях: