办公365安全中的威胁调查和响应

随着网络犯罪风险不断增加，全球各地的企业都在努力保护它们最珍贵的资产：它们的数据。幸运的是，Microsoft Defender for Office 365为IT管理员和分析人员提供了威胁调查和响应能力，使他们能够主动保护用户和数据。

利用这些内置的Office 365安全功能，您可以深入了解常见威胁，收集实用数据并计划有效的响应措施。您的安全团队可以轻松识别、监控和挡开恶意活动，以防止它们对您的组织造成无法挽回的损害。

本文将详细介绍Microsoft威胁调查和响应中包含的各种工具。继续阅读以了解不同功能的概述以及它们如何结合起来创建一个不可撼动的防护屏障，以抵御基于文件和电子邮件的攻击。

什么是Office 365威胁调查和响应？

Office 365威胁调查和响应是指在Microsoft Defender for Office 365计划2中的一系列能力。这些工具帮助IT管理员和分析人员监控和收集有关潜在威胁的信息。然后，安全团队可以使用Microsoft 365 Defender门户中提供的响应操作来应对SharePoint Online、OneDrive for Business、Exchange Online和Microsoft Teams中的风险。

使用这些 Office 365 安全功能，您可以从多个来源收集数据，例如先前的安全事件、用户活动、身份验证、电子邮件和受损计算机。威胁调查和响应工作流程包括以下内容：

• Explorer（MS Defender for Office 365 Plan 1 中的实时检测）
• 事件（也称为调查）
• 攻击模拟培训
• 自动化调查和响应

值得一提的是，所有这些功能通过从 Microsoft Defender 中内置的威胁跟踪器收集数据，因此让我们先仔细看看这些。

威胁跟踪器

威胁跟踪器是一组提供 Office 365 监控的信息小部件、图表和表格。它们显示有关可能影响您的组织的网络威胁的有用细节。跟踪器页面包含定期更新的有关恶意软件和钓鱼计划等趋势性风险的数字，以指示目前对您的组织最危险的问题是什么。此外，您还可以找到一个操作列，将您重定向到威胁资源管理器，您可以在那里查看更详细的信息。

注意:

• 威胁跟踪器包含在 Microsoft Defender for Office 365 Plan 2 中，您需要全局管理员、安全管理员或安全读者权限才能使用它们。
• 要访问您组织的威胁跟踪器，请转到https://security.microsoft.com/，点击电子邮件与协作，然后选择威胁跟踪器。您也可以直接访问https://security.microsoft.com/threattrackerv2。

威胁跟踪器中有四种不同的功能：值得关注的跟踪器、趋势跟踪器、跟踪查询和保存的查询。

值得关注的跟踪器

此小部件显示了不同严重程度的新威胁或现有威胁是否存在于您的 Microsoft 365 环境中。如果存在，您还可以看到指向详细问题和其如何影响组织 Office 365 安全性的有用文章的链接。

您的安全团队应定期检查值得关注的跟踪器，因为它们仅在发布几周后就会被更近期的项目替换。这样可以保持列表的最新状态，使您能够了解更相关的风险。

趋势跟踪器

趋势跟踪器突出显示了上周发送到您组织电子邮件的最新威胁。管理员通过查看租户级恶意软件趋势的动态评估和识别恶意软件家族的行为，获得更好的见解。

跟踪查询

跟踪查询是另一个Office 365监控工具，定期评估您的Microsoft环境中的活动，利用保存的查询。这是一个自动过程，提供关于可疑活动的最新信息，以帮助确保Office 365威胁保护。

保存的查询

通常的资源管理器搜索或值得关注的跟踪器查询可以被存储为保存的查询。这样，您就不需要每次都创建一个新搜索，并且可以轻松访问先前保存的查询。

威胁资源管理器和实时检测

在Office 365的Microsoft Defender中，资源管理器，也称为威胁资源管理器，允许安全专家分析针对您的组织的潜在威胁，并监视攻击数量随时间的变化。通过这个功能，您可以查看全面的报告和策略建议，以了解如何有效地回应那些试图渗入您的组织的风险。

注意:

• 资源管理器包含在Office 365计划2的Microsoft Defender中，而计划1提供实时检测。
• 要访问这些工具中的任何一个，请转至Security & Compliance Center然后威胁管理

威胁探查器提供了关于威胁的重要信息，如基本历史数据、常见的传送方式以及可能造成的损害。分析人员可以将这个工具作为调查的起点，通过攻击者基础设施、威胁家族和其他参数来检查数据。

检查检测到的恶意软件

您可以使用探查器查看组织邮件中发现的恶意软件。该报告可以按照不同的Microsoft 365技术进行筛选。

查看钓鱼网址和点击判定数据

通过电子邮件中的URL进行的钓鱼尝试也会显示在威胁探查器中。此报告包括两个表格中按允许、阻止和覆盖排序的URL列表：

• 顶级URL：攻击者有时会将良好的URL与恶意链接一起添加，以混淆接收者。这个列表主要包含您筛选出的消息中发现的合法URL，并按总电子邮件计数进行排序。
• 顶级点击：这些是已打开的Safe Links包装的URL，它们按总点击次数排序。这里的链接很可能是恶意的，您可以在每个URL旁边找到Safe Links点击判定计数。

注意：在设置Office 365钓鱼过滤器时，您应该配置安全链接及其策略，以识别哪些URL被点击，并从点击时的保护和点击判定日志中受益。

探查器中显示的点击判定值可以帮助您了解一旦选择了URL后所采取的操作：

• 允许: 用户能够浏览到该网址。
• 阻止: 用户无法浏览到该网址。
• 待定裁决: 当用户点击网址时，显示了待爆炸页面。
• 错误: 由于捕获裁决时发生错误，向用户显示了错误页面。
• 失败: 在捕获裁决时发生未知异常。可能是用户点击了网址。
• 无: 无法捕获裁决。可能是用户点击了网址。
• 阻止已覆盖: 用户覆盖了阻止并浏览到了该网址。
• 绕过待定裁决: 显示了爆炸页面，但用户覆盖了消息以访问该网址。

审核用户报告的电子邮件消息

此报告显示了您组织中的用户报告为垃圾邮件、非垃圾邮件或钓鱼邮件的消息的数据。为了获得更好的结果，建议您为 Office 365 配置 垃圾邮件保护。

查找并调查已传送的恶意电子邮件

实时检测和威胁资源管理器使安全人员能够调查可能会使您的组织面临风险的敌对活动。可用的操作包括：

• 定位和识别恶意电子邮件发送者的 IP 地址
• 查找并删除消息
• 启动事件以进行进一步调查
• 检查交付操作和位置
• 查看您的电子邮件时间轴

查看在SharePoint Online、OneDrive和Microsoft Teams中检测到的恶意文件

“资源管理器”中的报告列出了被OneDrive、Microsoft Teams和SharePoint Online安全附件识别为恶意的文件的信息。管理员也可以在隔离中查看这些文件。

检查威胁保护状态报告

此小部件显示您的Office 365安全状态。除了包含恶意内容的电子邮件消息计数外，您还可以找到：

• 被阻止的文件或URL
• 零时自动清除（ZAP）
• 安全链接
• 安全附件
• 反钓鱼策略中的冒充保护功能

这些信息可以帮助您分析安全趋势，以确定您的策略是否需要调整。

攻击模拟培训

在您的组织中设置和运行逼真但良性的网络攻击，以测试您的安全策略并在实际攻击发生之前识别漏洞。这些模拟是Office 365威胁保护的一部分，因为它们帮助训练您的员工警惕社会工程攻击，如钓鱼攻击。

注意：您可以通过访问Microsoft 365 Defender门户>电子邮件与协作>攻击模拟培训来访问此功能。或直接转到攻击模拟培训页面。

攻击模拟培训具有特定的工作流程，由一系列步骤组成，在启动模拟攻击之前，您需要完成这些步骤。

选择社会工程技术

首先，您需要选择可用的社会工程方案之一：

• 恶意链接：从可靠的文件共享服务中运行任意代码，然后发送包含指向此恶意文件的链接的消息。如果用户打开文件，则设备将受到 compromise。
• 凭证收集：用户被重定向到看起来像是知名网站的页面，可以在其中输入他们的用户名和密码。
• 附件中的链接：将 URL 添加到电子邮件附件中，行为类似于凭证收集。
• 恶意软件附件：将恶意附件添加到消息中。如果打开附件，则目标设备将受到 compromise。Drive-by URL：URL 将用户重定向到一个熟悉的网站，该网站在后台安装恶意代码。Office 365 终端点保护可能无法阻止此类威胁，随后设备将受到感染。
• 驱动URL：一个URL将用户重定向到一个熟悉的网站，后台安装恶意代码。Office 365端点保护可能无法阻止这样的威胁，随后设备会被感染。

选择一个名称并描述模拟

下一步是为您创建的模拟输入一个独特且描述性的名称。详细描述是可选的。

选择有效载荷

在此页面，您应该选择将呈现给用户的模拟有效载荷。这可以是电子邮件消息或网页。您可以从内置目录中选择可用的有效载荷。还可以创建一个与您的组织更好配合的自定义有效载荷。

目标用户

在这里，您可以选择您公司中将接受攻击模拟培训的用户。您可以选择包括所有用户或选择特定目标和组。

分配培训

微软建议您为您创建的每个模拟分配培训，因为经历过培训的员工不太可能成为类似攻击的牺牲者。您可以查看建议的课程和模块，并根据用户的结果选择最适合您需求的课程。

选择最终用户通知

此选项卡允许您配置通知设置。如果您选择定制的最终用户通知，您可以添加积极的强化通知，以鼓励您的用户完成培训后。

自动化调查与响应（AIR）

在Office 365安全方面，自动调查和响应（AIR）功能会在一个知名的威胁瞄准您的组织时触发自动警报。这减少了手动工作，并允许您的安全团队通过审查、优先处理和相应操作更高效地运作。

可疑附件抵达电子邮件或分析员使用威胁资源管理器均可启动自动调查。AIR收集与该电子邮件相关的数据，如预期的收件人、文件和URL。管理员和安全人员可以审查调查结果并查看建议以批准或拒绝修复措施。

AIR可以由以下警报之一触发：

• A possibly malicious URL was clicked
• A user reported an email as phishing or malware
• 电子邮件包含恶意软件或钓鱼URL，在传递后被移除
• A suspicious email sending pattern was detected
• A user is restricted from sending messages

结论

Office 365威胁调查提供了各种功能，帮助保护您的数据。通过Microsoft Defender for Office 365计划2，您可以使用高级功能，如威胁追踪器和威胁资源管理器。您还可以进行攻击模拟培训，使您的用户保持警惕，远离潜在的网络攻击。此外，您可以设置自动调查和响应（AIR），以卸载您的安全团队，让他们能够专注于更高优先级的威胁。

话虽如此，确保完全保护Office 365环境的唯一方法是部署现代数据保护解决方案，如NAKIVO备份与复制。该解决方案为Exchange Online、Teams、OneDrive for Business和SharePoint Online提供强大的备份和恢复功能。