Office 365 Threat Intelligence

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

本文介绍如何Office 365 威胁智能可以帮助您检索针对您的组织的威胁、 恶意软件,网络钓鱼、 响应和其他攻击的Office 365已检测到您的代表,和威胁指示器,您可能会收到来自用户搜索报表中,其他人在安全社区,或在新闻或其他智能源。威胁智能还有助于您确定是否是否针对您检测的攻击。如果您有Office 365 企业版 E5,则可以威胁智能内置到您安全与合规中心。

什么是威胁智能?

Office 365承载的最大的企业电子邮件服务和在世界的效率套件之一,并管理数百万个设备上创建的内容。过程中保护此信息,Microsoft 构建威胁智能数据,以及所需位置图案攻击行为以及可疑活动对应的系统一个大型存储库。Office 365 威胁智能是帮助您查找和主动消除威胁,在分析Office 365环境中使用这些见解的集合。威胁智能显示为一组工具和仪表板中安全与合规中心理解和响应威胁。

Office 365 威胁智能监控来自源,如用户活动、 身份验证、 电子邮件、 受损的电脑、 和安全事件信号。此数据分析和显示,以便业务决策者和Office 365全局或安全管理员可以了解和响应对用户和知识产权的威胁。

  • 您可以使用威胁仪表板查看已处理,并根据方便的工具,用于向在哪些威胁智能业务决策者报告已完成,来保护您的企业的威胁。

  • 如果您正在进行调查或针对Office 365环境遇到攻击,使用威胁资源管理器以分析威胁。威胁资源管理器中显示的攻击音量一段时间,并可以分析该数据通过威胁系列、 攻击基础架构和详细信息。您也可以将事件列表中的任何可疑电子邮件。

  • 您可以将标记可疑电子邮件以进行进一步调查,威胁资源管理器中查看和管理中的响应结果列表中的事件,跟踪上便利方法期间攻击。

当您需要的威胁摘要针对Office 365环境,此仪表板是极好的资源。该功能彩色编码的每周威胁检测,图表和图形的恶意软件趋势和恶意软件系列检测到,以及行业和有用热图的特定环境的攻击文本文件中的安全趋势。此仪表板还显示全局和安全管理员快速列表顶部的面向用户和最近的通知,您可以单击到信息的其他有用面板之间的详细信息。

图形和图表以便根据特定的 Office 365 租户的威胁摘要威胁智能仪表板的屏幕截图

仪表板是首席执行官 (Ceo) 或首席技术官 (首席技术官) 之类的业务决策制定者向报告技术领域的专家的安全的极好方法。

仪表板也是一项到威胁资源管理器,并链接的许多连接威胁智能这两种视图。例如,在仪表板上的威胁调查面板具有向下钻取威胁资源管理器中的链接:

  • 显示邮件送达之后删除

  • 查找恶意发送给您的组织中的某人的邮件

应该每天检查此摘要面板。

当您打开威胁资源管理器时,您将找到表示针对您的组织的攻击的彩色编码的图。默认视图将显示恶意软件的威胁系列。具有此窗格的顶部恶意软件系列的选项卡式的视图、 电子邮件列表和电子邮件文本文件的地图。它还显示目标的主要用户。

笔记 (可选)的所有电子邮件恶意软件,通过显示发件人的域,请发件人 IP 保护状态,或通过技术捕获。然后您可以将导出图表数据和电子邮件的列表。

威胁资源管理器中在 Office 365 中,按恶意软件系列彩色编码的屏幕截图

单击顶部的特定恶意软件系列 (例如 JS/Nemucod) 时,您可以查看有关该恶意软件如何影响您的组织和恶意软件可以执行哪些操作的详细信息。其威胁窗格打开后,您可以查看恶意软件系列的定义。每个顶部威胁的视图中显示受影响的用户 (收件人、 发件人地址、 IP 地址和状态),以及制表位技术的详细信息全局详细信息高级分析

注意 可选择和快速添加到事件以进一步跟踪和分析调查您看到任何可疑电子邮件在用户选项卡上列出。这会保留其为威胁出现在混乱中丢失。

技术详细信息选项卡显示进入大量的详细信息在恶意软件的威胁,这样您就很好地了解威胁并了解哪些行为要查找的文档。

如果您不确定您的研究深度应转,或不确定,看一看全局详细信息,并了解这是范围的攻击的最受影响的国家/地区和行业。例如,如果制造日本或在美国挖掘中工作,这些图表可以让您上下文并帮助您确定常规威胁级别。当然,如果您看到您的行业,具体而言,是越来越下攻击是的表示您需要动员安全团队,并主动深入威胁资源管理器。

威胁智能中的最大威胁全局详细信息的屏幕截图

通过Office 365 高级威胁保护每个文件或文档附件放在其中可以打开和测试,以查找恶意活动的行为证据的沙盒。这可以检测潜在威胁、 可疑的宏或新恶意软件。从提取指示器这些测试运行和最后一个选项卡上的最常见的威胁找不到任何点击: 高级分析。

Observed 行为,可以看到测试运行的结果。在下面的示例中,文件附件的测试、 失败,并且发现有文件宏内的密码盗用程序。IP 地址和文件尝试与通信的 URL 是下网络流量。最后,您可以看到该宏在测试期间下载恶意可执行文件-为什么此测试发生的位置创建的用于公开威胁到达您的用户之前隔离虚拟化环境中的主要原因。

Advaned 分析特定文件附件的屏幕截图

注意 如果您使用其他安全设备或服务筛选之前到达您的 Office 365 网站,威胁资源管理器并与其关联的遥测将显示的攻击的服务或设备已错过的攻击。请注意,这可能会更改的功能,如全局详细信息和高级分析结果。

使用事件来跟踪网络仿冒或恶意软件活动针对您的用户和触发修正操作,如删除附件,或将邮件移动到垃圾邮件文件夹。

若要创建一个新的事件,请搜索您已标识为可疑的威胁资源管理器的所有电子邮件视图中的邮件。一旦您已筛选的电子邮件向那些要跟踪或补救,使用添加事件到的电子邮件按钮以创建新的事件,或将这些邮件添加到现有事件。

一旦您已添加到事件的邮件,可以执行这些邮件的修正操作。从事件页面中,选择您创建了,该事件,然后选择您的邮件提交。在提交对话框中,选择移动到垃圾邮件,删除附件。如果您错误地移动到垃圾邮件文件夹的电子邮件,您可以通过选择移动到收件箱恢复它们。

电子邮件事件修正列表的屏幕截图

您可以跟踪您开始在操作日志选项卡的补救的进度。

威胁智能功能按照简单的权限模型。任何调查活动需要安全阅读器安全管理员角色和影响电子邮件的任何补救操作需要使用搜索和清除角色。角色分配可以从安全和合规性中心中的权限页的任何用户都具有组织管理全局管理员角色。

活动

角色

使用威胁资源管理器

安全管理员或安全阅读器

查看事件和事件添加电子邮件

安全管理员或安全阅读器

触发事件中的电子邮件操作

搜索和清除

给威胁智能仪表板和威胁资源管理器中的相同数据可通过安全与合规中心和Office 365管理活动 API。包含源:

  • 每封电子邮件,其中包含针对您的组织威胁的一条记录

  • 通过零小时自动清除删除的每封邮件的一条记录

若要了解有关威胁智能源的详细信息,请参阅Office 365 管理活动 API

使用Office 365和Windows Defender 高级威胁防护 (Windows Defender ATP),以快速了解用户的计算机是否需要担风险调查Office 365威胁时之间的集成。启用集成后,将能够看到拥有的电子邮件的收件人的计算机和多少最近通知这些计算机中Windows Defender ATP具有Office 365安全管理员。

下图显示设备选项卡,您将看到何时有启用Windows Defender ATP集成:

启用 Windows Defender ATP 后,您可以看到的计算机的通知的列表。

在此示例中,您可以查看电子邮件的收件人有四个机,和一个具有Windows Defender ATP中的警报。单击链接到一台计算机Windows Defender ATP在新选项卡中打开计算机页面。

若要启用Office 365和Windows Defender ATP之间的集成:

  1. 您必须有权访问Office 365 威胁智能和Windows Defender ATP。

  2. 转到威胁资源管理器。

  3. 更多菜单上,选择WDATP 设置

  4. 选择连接到 Windows ATP

当您更改Office 365中的设置后,必须启用从Windows Defender ATP的连接。请参阅使用 Windows Defender 高级威胁保护门户

相关主题

针对 Office 365 中的威胁保护
概述 Office 365 安全和合规性中心
Office 365 高级威胁保护

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×