我们使用 cookie 来确保我们在我们的网站上为您提供最佳体验。

Office 365 中的恶意电子邮件调查 - 安全运营中心 (SOC) 团队指南

内容

概括: 在 Office 365 中进行恶意电子邮件调查时,首先需要遵循特定的先决条件,例如组织必须具有 Microsoft 365 高级威胁防护。 除此之外,还应针对反恶意软件、反垃圾邮件、反网络钓鱼和其他网络安全风险制定政策。 使用威胁资源管理器调查可疑电子邮件和分析网络钓鱼 URL 是 SOC 分析师应采取的一些关键步骤,以减轻网络攻击的后遗症。 第三方电子邮件取证软件,如Stellar Email Forensic,支持细粒度的调查和数字证据收集。

免费试用 60 天

当今的组织和企业依靠电子邮件进行日常通信,这使他们容易受到各种网络安全威胁,例如网络钓鱼、恶意软件攻击等。鉴于这些威胁,Microsoft 提供了其大部分产品,包括 Office 365、具有内置的安全功能。 例如,如果你的组织拥有 Microsoft 365 高级威胁防护,那么你可以访问内置安全工具 – 威胁资源管理器,它可以帮助保护你的组织免受恶意电子邮件的侵害。

在本指南中,我们将讨论 Micorsoft 365 Threat Explorer 如何保护您的组织免受网络安全威胁并帮助您调查恶意电子邮件。

先决条件

您可以使用 Office 365 威胁资源管理器通过查找和删除恶意电子邮件、遏制网络钓鱼攻击等来加强电子邮件安全。但是,如果您首先满足以下几个条件,它会有所帮助:

  • 你的组织拥有 Microsoft 365 高级威胁防护。
  • 您已经定义了反恶意软件、反垃圾邮件、反网络钓鱼和其他风险的策略。
  • 如果您还没有这样做,您可以使用安全与合规中心来执行此操作。
  • 您已启用审核日志搜索。 如果没有,您可以在安全与合规中心手动执行或使用 PowerShell 命令:Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true。
  • 您是全局管理员。

使用威胁资源管理器调查可疑电子邮件

要查找和研究收件人邮箱中的可疑电子邮件,请执行以下步骤:

1. 前往威胁浏览器

访问 Office 365 安全与合规中心关联并使用您的 Microsoft 365 帐户登录。 登录后,选择威胁管理>探索者在屏幕左侧的快速启动部分。

图1:Office 365 威胁资源管理器门户

2. 选择“所有邮件”查看

仪表板提供多个视图,例如:

  • 恶意软件
  • 网络钓鱼
  • 意见书
  • 所有电子邮件

根据所选视图过滤电子邮件,您可以相应地调查电子邮件中的不同威胁。 例如,如果您想对检测到恶意软件威胁的电子邮件进行取证分析,请选择恶意软件视图。 如果您希望调查检测到网络钓鱼威胁的电子邮件,请选择网络钓鱼视图。 另一方面,如果您想要查看管理员或用户提交给 Microsoft 以进行取证调查的电子邮件,请选择提交视图。

图 2:Threat Explorer 门户中的电子邮件视图

如果您选择所有电子邮件视图,它会列出您的组织收到的所有电子邮件。 此外,如果有大量电子邮件要处理,您可能会收到一条错误消息,内容为“显示的数据太多”。 要修复此错误,您可以缩小日期范围或添加搜索过滤器以限制视图的数据。

笔记:仅当您的组织订阅了高级威胁防护计划 2 (ATP P2) 时,您才可以选择所有电子邮件视图。

3.使用搜索过滤器

Threat Explorer 允许您根据发件人、主题、附件文件名等搜索和过滤电子邮件。您可以一次应用多个过滤器。 您还可以将多个值(关键字)附加到搜索栏中的每个过滤器(以逗号分隔)以缩小结果范围。

Filters and advanced filters in Threat Explorer Portal 图 3:Threat Explorer 门户中的过滤器和高级过滤器

4.研究电子邮件字段

在底部威胁浏览器窗口,您可以在不同的列中找到与安全相关的重要信息。 首先,有一些基本细节的列,比如接受者,发件人,发件人IP等。然后,还有用于附加信息的列,例如:

  • 交货地点:您可以找到可疑电子邮件的结束位置(收件箱、垃圾文件夹、已删除邮件文件夹等)。 您还可以了解电子邮件发生了什么情况 - 如果它处于隔离状态而不在用户的邮箱中,或者它是否未能到达预期的邮箱。
  • 网址威胁:此字段指示 URL 所呈现的威胁形式,例如网络钓鱼、恶意软件或垃圾邮件。 如果 URL 没有威胁,则该字段设置为无。
  • 覆盖:该字段根据配置的公司政策显示对电子邮件的覆盖操作。 该字段可以帮助您检查您定义的安全策略在实际工作环境中的执行情况。 在这里,您可以找到法规,如组织政策允许、组织政策阻止、组织政策阻止的文件扩展名等。

5.查看邮件时间轴视图

要深入了解电子邮件的状态和传输路径,您可以查看其时间线。 您可以单击电子邮件的主题,然后单击电子邮件时间线。 这将打开一个表格,其中显示在电子邮件传送期间和之后发生的所有事件。 您可以研究此信息以准确了解电子邮件在发送后发生了什么。

6.采取行动

使用上述工具和技术,如果您遇到一封特定的电子邮件,请单击它仔细查看。 将打开一个新窗口,您可以在其中找到返回路径、收件人等详细信息。您还将找到非常重要的类似电子邮件选项。 如果您选择此选项,它将显示发送给您的组织的其他电子邮件的列表。 这些电子邮件可能具有相似的发件人、IP 地址、主题内容等。您可以选择所有或部分这些电子邮件并将它们添加到事件中。 然后您可以命名事件并附加严重性级别。

Assigning suspicious emails to incident 图 4:将可疑电子邮件分配给事件

创建事件后,转到威胁管理>审查. 然后您可以选择事件并对可疑电子邮件采取适当的措施。

分析网络钓鱼 URL

您可以使用威胁资源管理器通过分析电子邮件 URL 来防止网络钓鱼攻击。 但是,您必须首先满足以下要求:

  • 你必须配置高级威胁防护 (ATP) 安全链接. 这可确保当用户单击根据您的安全策略列入黑名单的电子邮件中的恶意链接时,会打开一个警告页面,并阻止该链接。
  • 您必须为点击时间保护设置 ATP 安全链接策略(用于实时验证 URL)以及链接点击判定的记录(链接操作的注册,即阻止或覆盖)。

要研究电子邮件中的网络钓鱼 URL,请按照以下步骤操作:

  • 选择网络钓鱼在威胁资源管理器仪表板中查看。
  • 将发件人选项更改为网址>点击判决.
  • 选择所需的过滤器:允许,封锁, 或者阻止被覆盖(您也可以同时选择多个过滤器),这将根据您的安全策略分别显示允许、阻止或覆盖的网络钓鱼 URL 列表。 单击刷新按钮。
URLs and click verdict filters selected 图 5:单击已选择的判定过滤器

您将在 URL 选项卡上看到两个 URL 表——热门 URL 和热门点击。 这热门 URL 选项卡包含真实 URL(攻击者通常在电子邮件中混合使用真实 URL 和恶意 URL 以提高成功交付率)。 这热门点击选项卡显示按点击次数排序的用户点击的 URL。 这些 URL 更有可能是恶意的。

您可以单击要检查的 URL。 它将打开一个弹出式对话框,提供额外的详细信息,让您深入了解 URL 对您的电子邮件通信系统的影响。

使用第三方软件

尽管安全运营中心 (SOC) 分析师投入时间和精力来防止 Office 365 中的众多网络威胁,黑客们也在想出即兴的新方法。 似乎所有减轻网络攻击的努力都不够。

将 Microsoft 365 作为其业务发展不可或缺的一部分的组织数量正在增加; 可能需要第三方电子邮件取证软件来帮助阻止此类网络攻击后遗症在组织中的传播。 Stellar Email Forensic 就是这样一种软件。 Stellar Email Forensics 是一款先进的电子邮件搜索软件,支持细粒度调查,有助于数字证据收集。 这意味着只需单击几下即可完成布尔和正则表达式搜索。

为了在法庭上出示证据,还需要大量电子邮件取证,因为网络攻击的后遗症很可能已经大规模传播。 Stellar Email Forensics 的另一个重要功能是它允许在刑事调查期间通过标记、书签和日志进行案例管理。

想试试 恒星电子邮件取证 ? 您现在可以免费使用长达 60 天! 下载软件 这里 .

相关文章