在 Office 365 安全中進行威脅調查和響應

由於網絡犯罪的風險不斷增加，全球各地的企業都在努力保護其最珍貴的資產：其數據。幸運的是，Microsoft Defender for Office 365為IT管理員和分析師提供了威脅調查和響應能力，使他們能夠主動保護其用戶和數據。

通過使用這些內置的Office 365安全功能，您可以獲得有關常見威脅的寶貴見解，收集實用數據並計劃有效的響應措施。您的安全團隊可以輕鬆識別、監控和防禦惡意活動，以防止它們對組織造成不可修復的損害。

本文將分解Microsoft威脅調查和響應中包含的各種工具。繼續閱讀，以瞭解不同功能以及它們如何結合在一起形成一個不可動搖的防禦屏障，以抵禦基於文件和電子郵件的攻擊。

什麼是Office 365威脅調查和響應？

Office 365威脅調查和響應是指Microsoft Defender for Office 365計劃2中一組能力的總稱。這些工具幫助IT管理員和分析師監控和收集有關潛在威脅的信息。然後，安全團隊可以使用Microsoft 365 Defender門戶中提供的響應措施來應對SharePoint Online、OneDrive for Business、Exchange Online和Microsoft Teams中的風險。

使用這些 Office 365 安全功能，您可以從多個來源收集數據，例如以前的安全事件、用戶活動、身份驗證、電子郵件和受compromise的計算機。 威脅調查和響應工作流程包括以下內容：

• Explorer（MS Defender for Office 365 Plan 1中的實時檢測）
• 事件（又稱為調查）
• 攻擊模擬培訓
• 自動調查和響應

值得一提的是，所有這些功能都通過從 Microsoft Defender 中的內置威脅跟踪器中收集數據來提供必要的保護，所以讓我們首先更仔細地看看這些。

威脅跟踪器

威脅跟踪器是一組信息窗口、圖表和表格，提供 Office 365 監控。 它們顯示有關可能影響您組織的網絡威脅的有用詳細信息。 跟踪器頁面包含定期更新的趨勢風險數字，例如惡意軟件和釣魚計劃，以指示目前對您組織最危險的問題。 此外，您可以找到一個操作列，將您重定向到威脅瀏覽器，您可以在其中查看更詳細的信息。

注意:

• 威脅跟踪器包含在 Microsoft Defender for Office 365 計劃 2 中，您需要全局管理員、安全管理員或安全讀者權限才能使用它們。
• 要访问您组织的威胁跟踪器，请转到 https://security.microsoft.com/，点击电子邮件与协作，然后选择威胁跟踪器。您也可以直接访问https://security.microsoft.com/threattrackerv2。

威胁跟踪器中有四种不同的功能：值得关注的跟踪器，趋势跟踪器，跟踪查询和保存的查询。

值得关注的跟踪器

此小部件显示不同严重程度的新威胁或现有威胁，以及它们是否存在于您的 Microsoft 365 环境中。如果存在，您还可以查看链接到详细说明问题以及它如何影响组织 Office 365 安全性的有用文章。

您的安全团队应定期检查值得关注的跟踪器，因为它们仅在几周内发布，然后被更近期的项目取代。这样可以保持列表的更新，以便您了解更相关的风险。

趋势跟踪器

趋势跟踪器突出显示上周发送到您组织电子邮件的最新威胁。管理员通过查看租户级恶意软件趋势的动态评估以及识别恶意软件家族的行为，获得更好的见解。

跟踪查询

跟踪查询是另一个 Office 365 监控工具，它定期评估您的 Microsoft 环境中的活动，利用保存的查询。这是一个自动过程，提供最新的可疑活动信息，以帮助确保 Office 365 威胁防护。

保存的查询

您通常执行的常见资源管理器搜索或值得注意的跟踪器查询可以存储为保存的查询。这样，您就不必每次都创建一个新搜索，并且可以轻松访问以前保存的查询。

威胁资源管理器和实时检测

在 Microsoft Defender for Office 365 中，资源管理器，也称为威胁资源管理器，允许安全专家分析针对您组织的潜在威胁，并监视攻击的数量随时间的变化。通过此功能，您可以查看全面的报告和策略建议，以了解您如何有效应对试图渗入您组织的风险。

注意:

• 资源管理器包含在 Microsoft Defender for Office 365 计划 2 中，而计划 1 则提供实时检测。
• 要访问这些工具中的任何一个，请转到 安全与合规中心，然后威胁管理。

Threat Explorer 提供關於威脅的重要資訊，如基本的歷史資料、常見的交付方法和可能造成的損害。分析人員可以使用此工具作為調查的起點，通過攻擊者基礎設施、威脅家族和其他參數來檢查資料。

檢查偵測到的惡意軟體

您可以使用 Explorer 查看在您組織的電子郵件中發現的惡意軟體。該報告可以通過不同的 Microsoft 365 技術進行篩選。

查看釣魚網址和點擊判斷資料

通過電子郵件中的網址進行的釣魚嘗試也顯示在 Threat Explorer 中。此報告包括一個列表，其中包含以兩個表格排序的允許、阻擋和覆寫的網址：

• 熱門網址：攻擊者有時會在壞連結旁邊添加好的網址，以混淆收件人。這個列表主要包含您過濾後的訊息中找到的合法網址，並按總電子郵件數排序。
• 熱門點擊：這些是被 Safe Links 包裹的已開啟的網址，它們按總點擊次數排序。這裡的連結很可能是惡意的，您可以在每個網址旁找到 Safe Links 點擊判斷次數。

註：在設定 Office 365 釣魚過濾器時，您應該配置Safe Links和其政策，以辨識哪些網址被點擊，並從點擊時保護和點擊判斷的記錄中受益。

Explorer 中顯示的點擊判斷值可幫助您了解選擇網址後採取的動作：

• 允許: 用戶能夠導航到該URL。
• 阻擋: 用戶無法導航到該URL。
• 待定裁決: 當用戶點擊該URL時，顯示了待定爆炸頁面。
• 錯誤: 由於捕獲裁決時出現錯誤，向用戶顯示了錯誤頁面。
• 失敗: 在捕獲裁決時發生了未知異常。 可能是用戶通過了該URL。
• 無: 無法捕獲裁決。 可能是用戶通過了該URL。
• 被覆蓋的阻擋: 用戶覆蓋了阻擋並導航到了該URL。
• 跳過待定裁決: 顯示了爆炸頁面，但用戶覆蓋了消息以訪問該URL。

用戶報告的審查電子郵件消息

此報告顯示了您組織中的用戶報告為垃圾郵件、非垃圾郵件或釣魚郵件的消息的數據。 為獲得更好的結果，建議您配置Office 365的垃圾郵件保護。

查找並調查已交付的惡意電子郵件

實時檢測和威脅探索使安全人員能夠調查可能對您組織造成風險的敵對活動。 可用的操作包括：

• 查找和識別惡意電子郵件發件人的IP地址
• 尋找並刪除訊息
• 開始事件以進一步調查
• 檢查交付動作和位置
• 查看您的電子郵件時間軸

檢視在SharePoint Online、OneDrive和Microsoft Teams中檢測到的惡意文件

在Explorer中的報告列出了被OneDrive、Microsoft Teams和SharePoint Online的安全附件識別為惡意的文件的信息。管理員也可以在隔離區中查看這些文件。

檢查威脅防護狀態報告

此小工具顯示您的Office 365安全性狀態。除了包含惡意內容的電子郵件訊息的計數外，您還可以找到：

• 被阻擋的文件或URL
• 零小時自動清除（ZAP）
• 安全連結
• 安全附件
• 反釣魚政策中的假冒保護功能

這些信息讓您能夠分析安全趨勢，從而確定您的政策是否需要調整。

攻擊模擬培訓

在您的組織中設置和運行逼真但良性的網絡攻擊，以測試您的安全政策並在實際攻擊發生之前識別漏洞。這些模擬是Office 365威脅防護的一部分，因為它們有助於訓練您的員工對社交工程方案（如釣魚攻擊）保持警惕。

注意：您可以通过访问Microsoft 365 Defender 门户 > 电子邮件与协作> 攻击模拟训练来访问此功能。或直接转到攻击模拟训练页面。

攻击模拟训练具有特定的工作流程，由一系列步骤组成，您需要在启动模拟攻击之前完成。

选择一种社会工程技术

首先，您需要选择一种可用的社会工程方案：

• 恶意软件链接：从托管在知名文件共享服务上的文件中运行任意代码，然后发送包含指向此恶意文件的链接的消息。如果用户打开文件，则设备将受到损害。
• 凭证窃取：用户被重定向到看起来像是一个知名网站的地方，他们可以在那里输入他们的用户名和密码。
• 附件中的链接：将URL添加到电子邮件附件中，其行为类似于凭证窃取。
• 恶意软件附件：将恶意附件添加到消息中。如果打开附件，则目标设备将受到损害。驶入URL：URL将用户重定向到一个熟悉的网站，该网站在后台安装恶意代码。Office 365端点保护可能无法阻止此类威胁，随后设备被感染。
• 隨機URL：一個URL將用戶重定向到一個熟悉的網站，該網站在後台安裝惡意代碼。Office 365端點保護可能無法阻止此類威脅，因此設備會受到感染。

選擇一個名稱並描述模擬

下一步是為您正在創建的模擬輸入一個獨特且描述性的名稱。詳細描述是可選的。

選擇有效載荷

在此頁面上，您應該選擇將呈現給用戶的載荷。這可以是電子郵件消息或網頁。您可以從內置目錄中選擇可用的載荷。也可以創建一個更適合您組織的自定義載荷。

目標用戶

在這裡，您可以選擇您公司中將接受攻擊模擬培訓的用戶。您可以包括所有用戶，也可以選擇特定目標和組。

分配培訓

Microsoft建議您為您創建的每個模擬分配培訓，因為通過培訓的員工不太可能成為類似攻擊的受害者。您可以查看建議的課程和模塊，並根據用戶的結果選擇最適合您需求的那些。

選擇最終用戶通知

此選項卡允許您配置通知設置。如果您選擇自定義最終用戶通知，則可以添加積極的強化通知，以鼓勵您的用戶完成培訓後。

自動調查和響應（AIR）

在 Office 365 安全方面，自動調查和響應（AIR）功能會在已知威脅對您的組織進行攻擊時觸發自動警報。這減少了手動工作，使您的安全團隊能夠更有效地進行審查、優先處理和作出回應。

自動調查可以通過懷疑的電子郵件附件或分析師使用威脅探索器來啟動。 AIR 收集與該電子郵件相關的數據，如預期的收件人、文件和 URL。管理員和安全人員可以查看調查結果並檢查建議以批准或拒絕修復操作。

AIR 可以通過以下警報之一觸發：

• A possibly malicious URL was clicked
• A user reported an email as phishing or malware
• 交付後刪除了包含惡意軟件或釣魚 URL 的電子郵件消息
• A suspicious email sending pattern was detected
• A user is restricted from sending messages

結論

Office 365 威脅調查提供各種功能，可幫助保護您的數據。使用 Microsoft Defender for Office 365 計劃 2，您可以使用高級功能，如威脅跟踪器和威脅探索器。您還可以進行攻擊模擬培訓，以使用戶保持警惕，免受潛在的網絡攻擊。此外，您可以設置自動調查和響應（AIR）以卸載您的安全團隊，讓他們可以專注於更高優先級的威脅。

儘管如此，確保完全保護 Office 365 環境的唯一方法是部署像 NAKIVO 備份與複製這樣的現代數據保護解決方案。該解決方案為 Exchange Online、Teams、OneDrive for Business 和 SharePoint Online 提供強大的備份和恢復功能。