Общие сведения о службе Office 365 Threat Intelligence

В этой статье объясняется, как Office 365 Threat Intelligence помогает изучать угрозы, реагировать на вредоносные программы, фишинговые сообщения и другие атаки, выявляемые Office 365, и искать индикаторы угроз, которые вы могли получить из отчетов пользователей, от других участников сообщества по вопросам безопасности или из новостей и других источников данных. Служба Threat Intelligence также помогает определить, являются ли обнаруженные атаки целевыми. Обладателям подписки на Office 365 корпоративный E5 предоставляется служба Threat Intelligence, встроенная в Центр безопасности и соответствия требованиям.

Что такое служба Threat Intelligence?

Office 365 включает один из крупнейших в мире наборов корпоративных служб электронной почты и повышения производительности и управляет контентом, создаваемым на миллионах устройств. В процессе работы над защитой этой информации корпорация Майкрософт создала обширный репозиторий данных для аналитики угроз, а также системы для выявления поведенческих моделей, характерных для атак и подозрительных действий. Office 365 Threat Intelligence представляет собой набор таких данных, которые используются при анализе среды Office 365 для поиска и предотвращения угроз. Threat Intelligence в выглядит как набор инструментов и панелей мониторинга в Центре безопасности и соответствия требованиям, которые помогают получать представление об угрозах и реагировать на них.

Office 365 Threat Intelligence отслеживает сигналы из разных источников, включая действия пользователей, проверку подлинности, электронную почту, скомпрометированные компьютеры и инциденты безопасности. Эти данные анализируются и отображаются, чтобы лица, ответственные за принятие бизнес-решений, а также глобальные администраторы и администраторы безопасности Office 365 могли определить угрозы, направленные против пользователей и интеллектуальной собственности, и отреагировать на них.

  • На панели мониторинга угроз вы можете видеть все уже обработанные угрозы. С ее помощью вы также можете отчитываться перед лицами, ответственными за принятие бизнес-решений, в том, что уже сделано службой Threat Intelligence для защиты бизнеса.

  • Если вы расследуете атаку на свой клиент Office 365 или она происходит прямо сейчас, используйте обозреватель угроз. Он показывает количество атак в динамике по времени, и эти данные можно анализировать по семействам угроз, инфраструктурам злоумышленников и прочим признакам. Вы также можете пометить любое подозрительное сообщение электронной почты для включения его в список инцидентов.

  • Вы можете помечать подозрительные сообщения, показанные в обозревателе угроз, для дальнейшего расследования и управлять результатами реагирования в списке Инциденты. Это удобный способ контролировать ситуацию во время атаки.

Эта панель мониторинга — отличный помощник, когда вам требуется сводка данных по угрозам, направленным на вашу среду Office 365. На ней представлена цветовая диаграмма еженедельного обнаружения угроз, графики вредоносных тенденций и обнаруженных семейств вредоносных программ, а также тенденции безопасности в отрасли и полезная тепловая карта источников атак конкретно для вашей среды. Помимо других полезных сведений глобальные администраторы и администраторы безопасности найдут на этой панели мониторинга краткий перечень пользователей, чаще всего становившихся мишенью, и недавних оповещений. Щелкнув элемент списка, можно посмотреть дополнительные сведения.

Снимок экрана: графики и диаграммы в сводке угроз для определенного клиента Office 365 на панели мониторинга Threat Intelligence

Технические специалисты в области безопасности могут использовать панель мониторинга для отчета перед лицами, ответственными за принятие бизнес-решений, например перед директорами организаций или руководителями технических отделов.

Кроме того, панель мониторинга служит входом в обозреватель угроз, с которым она связана множеством ссылок. Например, в области исследования угроз на панели мониторинга есть ссылки на детализированные сведения в обозревателе угроз, которые позволяют:

  • отобразить сообщения, удаленные после доставки;

  • найти вредоносные сообщения, отправленные сотруднику вашей организации.

Эту сводку нужно проверять каждый день.

Открыв Обозреватель угроз, вы увидите цветовую диаграмму, на которой показаны атаки, нацеленные на вашу организацию. В представлении по умолчанию отображаются вредоносные программы по семействам угроз. Эта панель содержит представление с вкладками, в котором показаны основные семейства угроз, список сообщений электронной почты и карта источников почтовых сообщений. Здесь также показаны пользователи, чаще всего становящиеся мишенью.

ПРИМЕЧАНИЕ. Вы можете выбрать для отображения представление Вся почта или Вредоносная программа и отображать элементы по доменам отправителей, их IP-адресам, состояниям защиты или применяемым технологиям. Данные этой диаграммы и список сообщений электронной почты можно экспортировать.

Снимок экрана: обозреватель угроз в Office 365, различные семейства вредоносных программ обозначены разными цветами

Щелкнув конкретное семейство вредоносных программ (например, JS/Nemucod), вы увидите подробные сведения о том, как вредоносная программа влияет на организацию и что она делает. После открытия панели угрозы вы можете посмотреть на определение семейства вредоносных программ. В представлении каждой угрозы отображаются вовлеченные пользователи (пользователи, адреса отправителей, IP-адреса и состояния), а также вкладки Технические сведения, Глобальные сведения и Расширенный анализ.

ПРИМЕЧАНИЕ. Любые подозрительные сообщения, указанные на вкладке Пользователи, можно выбрать и быстро добавить в список исследования инцидентов для дальнейшего отслеживания и анализа. Таким образом они не затеряются при появлении новых угроз.

На вкладке Технические сведения отображается документ, в котором очень подробно описана угроза от вредоносной программы. Из этого документа вы получите достаточно информации об угрозе и узнаете, на что следует обращать внимание.

Если вы не знаете, насколько глубоко следует копать, или не уверены в масштабах атаки, посмотрите на вкладке Глобальные сведения информацию о странах и отраслях, наиболее подверженных этой угрозе. Например, если вы работаете в производственной отрасли Японии или в горнорудной отрасли США, эти диаграммы предоставят вам контекст и помогут определить общий уровень угрозы. В частности, если вы видите, что ваша отрасль все чаще подвергается атакам, это значит, вам необходимо мобилизовать свою службу безопасности и начать активную превентивную работу с обозревателем угроз.

Снимок экрана: общие сведения о наиболее важных угрозах в Threat Intelligence

Каждый вложенный файл или документ, проходящий через службу Office 365 Advanced Threat Protection, помещается в изолированную среду, в которой его можно открыть и проверить на наличие поведенческих признаков вредоносных действий. Так можно обнаружить потенциальные угрозы, подозрительные макросы и новые вредоносные программы. Индикаторы, извлекаемые из этих проверок, и все попадания можно найти на последней вкладке главной угрозы ("Расширенный анализ").

В разделе Наблюдаемое поведение можно увидеть результаты проверок. В приведенном ниже примере вложенный файл был проверен и проверку не прошел, поскольку в макросе файла был обнаружен код для кражи паролей. В разделе Сетевой трафик указаны IP-адрес и URL-адрес, к которым пытается обратиться файл. И наконец, вы можете увидеть вредоносный исполняемый файл, загружаемый макросом во время проверки. Это основная причина проведения проверки в изолированной виртуальной среде, предназначенной для выявления угроз до того, как они попадут к пользователям.

Снимок экрана: расширенный анализ вложения

ПРИМЕЧАНИЕ. Если до попадания на сайт Office 365 атаки фильтруются с помощью других устройств или служб безопасности, в обозревателе угроз и связанных с ним средствах телеметрии будут отображаться только атаки, пропущенные этими службами или устройствами. Имейте в виду, что при этом результаты на вкладках "Глобальные сведения" и "Расширенный анализ" могут измениться.

С помощью страницы инцидентов вы можете отслеживать фишинговые и вредоносные кампании, направленные на ваших пользователей, а также запускать корректирующие действия, например удаление вложений или перемещение сообщений в папку нежелательной почты.

Чтобы создать новый инцидент, в представлении Вся почта обозревателя угроз найдите сообщения, которые сочли подозрительными. Когда после фильтрации на экране останутся только почтовые сообщения, которые вы хотите отследить или исправить, создайте новый инцидент с помощью кнопки Добавить сообщения в инцидент или добавьте сообщения в существующий.

После добавления сообщений в инцидент для них можно выполнить корректирующее действие. На странице Инциденты выберите созданный вами инцидент, а затем — команду Отправка почты. В диалоговом окне отправки нажмите кнопку Переместить в папку "Нежелательная почта" или Удалить вложения. Если вы по ошибке переместили сообщения в папку нежелательной почты, восстановите их с помощью кнопки Переместить в папку "Входящие".

Снимок экрана: список сообщений для устранения инцидента

На вкладке Журналы действий можно отслеживать ход выполнения запущенного корректирующего действия.

Данные, которые отображаются на панели мониторинга Threat Intelligence и в обозревателе угроз, доступны также в Центре безопасности и соответствия требованиям и в API операций управления Office 365. Лента Threat Intelligence содержит:

  • одну запись для каждого почтового сообщения, несущего в себе угрозу для организации;

  • одну запись для каждого сообщения, удаленного функцией автоматической очистки.

Сведения о ленте Threat Intelligence см. в статье API операций управления Office 365
.  

Благодаря интеграции Office 365 и Advanced Threat Protection в Защитнике Windows (ATP в Защитнике Windows) можно быстро понять, подвергаются ли риску компьютеры пользователей, при анализе угроз в Office 365. После включения интеграции администраторы безопасности в Office 365 будут видеть компьютеры, принадлежащие получателям сообщения, и количество недавних оповещений для таких компьютеров в ATP в Защитнике Windows.

На следующем рисунке показано, как выглядит вкладка "Устройства", когда включена интеграция с ATP в Защитнике Windows:

Если включена служба ATP в Защитнике Windows, вы увидите список компьютеров с оповещениями.

В этом примере получателям сообщений соответствует четыре компьютера, для одного из которых есть оповещение в ATP в Защитнике Windows. Если щелкнуть ссылку для компьютера, на новой вкладке откроется его страница в ATP в Защитнике Windows.

Для включения интеграции между Office 365 и ATP в Защитнике Windows:

  1. Необходимо иметь доступ как к Office 365 Threat Intelligence, так и к ATP в Защитнике Windows.

  2. Откройте обозреватель угроз.

  3. В меню Дополнительно меню выберите Параметры WDATP.

  4. Выберите Подключение к Windows ATP.

После изменения параметров в Office 365 необходимо разрешить подключение из ATP в Защитнике Windows. См. статью Использование портала Advanced Threat Protection в Защитнике Windows.

См. также

Защита от угроз в Office 365
Общие сведения о Центре безопасности и соответствия требованиям Office 365
Office 365 Advanced Threat Protection

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×