NAKIVO > Blog > Microsoft 365

Badanie zagrożeń i reagowanie na nie w ramach zabezpieczeń usługi Office 365

Updated: 7 maja, 2026

Autor:: Zespół NAKIVO

W obliczu stale rosnącego ryzyka cyberprzestępstw firmy na całym świecie zmagają się z zapewnieniem bezpieczeństwa swojego najcenniejszego zasobu: danych. Na szczęście usługa Microsoft Defender dla Office 365 zapewnia administratorom IT i analitykom możliwości badania zagrożeń i reagowania na nie, co pozwala im proaktywnie chronić użytkowników i dane.

Korzystając z tych wbudowanych funkcji zabezpieczeń Office 365, można uzyskać cenne informacje na temat typowych zagrożeń, gromadzić praktyczne dane i planować skuteczne działania zaradcze. Zespół ds. bezpieczeństwa może z łatwością identyfikować, monitorować i powstrzymywać złośliwe działania, zanim spowodują one nieodwracalne szkody w organizacji.

W tym poście omówiono różne narzędzia zawarte w rozwiązaniu Microsoftu do badania zagrożeń i reagowania na nie. Zapoznaj się z nim, aby uzyskać przegląd różnych funkcji oraz dowiedzieć się, w jaki sposób łączą się one, tworząc niezawodną tarczę chroniącą przed atakami opartymi na plikach i wiadomościach e-mail.

Kopia zapasowa dla Microsoft 365

Kopia zapasowa dla Microsoft 365

Skorzystaj z rozwiązania NAKIVO do wykonywania kopii zapasowych danych Microsoft 365 w usługach Exchange Online, Teams, OneDrive i SharePoint Online, aby zapewnić nieprzerwany przebieg procesów i całkowity brak przestojów.

ODKRYJ ROZWIĄZANIE

Czym jest funkcja badania zagrożeń i reagowania w usłudze Office 365?

Funkcja badania zagrożeń i reagowania w usłudze Office 365 to ogólne pojęcie odnoszące się do zestawu funkcji dostępnych w usłudze Microsoft Defender dla Office 365 – plan 2. Narzędzia te pomagają administratorom IT i analitykom monitorować oraz gromadzić informacje o potencjalnych zagrożeniach. Zespoły ds. bezpieczeństwa mogą następnie wykorzystać działania reagowania dostępne w portalu Microsoft 365 Defender, aby eliminować zagrożenia w usługach SharePoint Online, OneDrive dla Firm, Exchange Online i Microsoft Teams.

Dzięki tym funkcjom zabezpieczeń Office 365 można gromadzić dane z kilku źródeł, takich jak poprzednie incydenty bezpieczeństwa, aktywność użytkowników, uwierzytelnianie, e-maili i zainfekowane komputery. Przebieg pracy związany z badaniem zagrożeń i reagowaniem na nie obejmuje następujące elementy:

  • Explorer (wykrywanie w czasie rzeczywistym w planie MS Defender dla Office 365 1)
  • Incydenty (znane również jako dochodzenia)
  • Szkolenie z symulacji ataków
  • Zautomatyzowane dochodzenie i reagowanie

Należy wspomnieć, że wszystkie te funkcje zapewniają niezbędną ochronę poprzez gromadzenie danych z wbudowanych narzędzi do śledzenia zagrożeń w programie Microsoft Defender, więc przyjrzyjmy się im najpierw bliżej.

Narzędzia do śledzenia zagrożeń

Narzędzia do śledzenia zagrożeń to zbiór informacyjnych widżetów, wykresów i tabel, które zapewniają monitorowanie usługi Office 365. Wyświetlają one przydatne szczegóły dotyczące cyberzagrożeń, które mogą mieć wpływ na Twoją organizację. Strony narzędzi do śledzenia zawierają okresowo aktualizowane dane dotyczące najczęstszych zagrożeń, takich jak złośliwe oprogramowanie i schematy phishingowe, wskazujące, które problemy są obecnie najbardziej niebezpieczne dla Twojej organizacji. Ponadto dostępna jest kolumna Actions , która przekierowuje do strony Threat Explorer , gdzie można wyświetlić bardziej szczegółowe informacje.

Uwaga :

  • Narzędzia do śledzenia zagrożeń są zawarte w usłudze Microsoft Defender dla Office 365 Plan 2 i do korzystania z nich wymagane są uprawnienia administratora globalnego, administratora zabezpieczeń lub czytelnika zabezpieczeń.
  • Aby uzyskać dostęp do narzędzi śledzenia zagrożeń dla swojej organizacji, przejdź do https://security.microsoft.com/, kliknij Email & collaboration, a następnie Threat tracker. Możesz również przejść bezpośrednio do https://security.microsoft.com/threattrackerv2.

W narzędziach śledzenia zagrożeń dostępne są cztery różne funkcje: narzędzia śledzenia godnych uwagi , narzędzia śledzenia trendów , śledzone zapytania oraz zapisane zapytania .

narzędzia śledzenia godnych uwagi

Ten widżet pokazuje nowe lub istniejące zagrożenia o różnym stopniu zagrożenia oraz informuje, czy występują one w środowisku Microsoft 365, czy nie. Jeśli tak się stanie, zobaczysz również linki do przydatnych artykułów, które szczegółowo opisują dany problem oraz jego potencjalny wpływ na bezpieczeństwo usługi Office 365 w Twojej organizacji.

Twój zespół ds. bezpieczeństwa powinien regularnie sprawdzać listę „Noteworthy Trackers”, ponieważ jest ona publikowana tylko przez kilka tygodni, a następnie zastępowana nowszymi wpisami. Dzięki temu lista jest na bieżąco aktualizowana, co pozwala Ci być na bieżąco z najbardziej istotnymi zagrożeniami.

Trendy w trackerach

Trendy w trackerach pokazują najnowsze zagrożenia wysłane na adresy e-mail Twojej organizacji w ciągu ostatniego tygodnia. Administratorzy zyskują lepszy wgląd, przeglądając dynamiczne oceny trendów złośliwego oprogramowania na poziomie dzierżawcy i identyfikując zachowania rodzin złośliwego oprogramowania.

Śledzone zapytania

Śledzone zapytania to kolejne narzędzie do monitorowania Office 365, które okresowo ocenia aktywność w Twoim środowisku Microsoft, wykorzystując zapisane zapytania. Jest to automatyczny proces, który dostarcza aktualnych informacji o podejrzanych działaniach, pomagając zapewnić Ochrona przed zagrożeniami w usłudze Office 365.

Zapisane zapytania

Typowe wyszukiwania w Eksploratorze lub zapytania w narzędziu Noteworthy, które zazwyczaj wykonujesz, można zapisać jako zapytania zapisane. Dzięki temu nie musisz za każdym razem tworzyć nowego wyszukiwania i możesz łatwo uzyskać dostęp do wcześniej zapisanych zapytań.

Eksplorator zagrożeń i wykrywanie w czasie rzeczywistym

W usłudze Microsoft Defender dla Office 365 Eksplorator, znany również jako Eksplorator zagrożeń, umożliwia ekspertom ds. bezpieczeństwa analizowanie potencjalnych zagrożeń skierowanych przeciwko Twojej organizacji oraz monitorowanie liczby ataków w czasie. Dzięki tej funkcji można przeglądać kompleksowe raporty i zalecenia dotyczące polityki, aby dowiedzieć się, jak skutecznie reagować na zagrożenia próbujące przeniknąć do organizacji.

Uwaga :

  • Explorer jest zawarty w usłudze Microsoft Defender dla Office 365 plan 2 natomiast plan 1 oferuje wykrywanie w czasie rzeczywistym.
  • Aby uzyskać dostęp do któregokolwiek z tych narzędzi, przejdź do Security & Compliance Center a następnie Threat management.

Threat Explorer dostarcza ważnych informacji na temat zagrożeń, takich jak podstawowe dane historyczne, typowe metody dostarczania oraz potencjalne szkody, które mogą zostać spowodowane. Analitycy mogą wykorzystać to narzędzie jako punkt wyjścia do swoich badań w celu przeanalizowania danych według infrastruktury atakującego, rodzin zagrożeń i innych parametrów.

Sprawdź wykryte złośliwe oprogramowanie

Możesz użyć Explorera, aby wyświetlić złośliwe oprogramowanie wykryte w poczcie e-mail Twojej organizacji. Raport można filtrować według różnych technologii Microsoft 365.

Wyświetl adresy URL phishingowe i dane dotyczące werdyktów kliknięć

Próby phishingu za pośrednictwem adresów URL w wiadomościach e-mail są również wyświetlane w Threat Explorer. Niniejszy raport zawiera listę dozwolonych, zablokowanych i pominiętych adresów URL, uporządkowanych w dwóch tabelach:

  • Najpopularniejsze adresy URL : Atakujący czasami dodają prawidłowe adresy URL obok złośliwych linków, aby zmylić odbiorcę. Lista ta zawiera głównie prawidłowe adresy URL znalezione w przefiltrowanych wiadomościach i są one posortowane według łącznej liczby wiadomości e-mail.
  • Najczęściej klikane linki : Są to adresy URL otoczone funkcją Safe Links, które zostały otwarte, i są one posortowane według łącznej liczby kliknięć. Linki tutaj są najprawdopodobniej złośliwe, a obok każdego adresu URL można znaleźć liczbę werdyktów kliknięć Safe Links.

Uwaga : Podczas konfigurowania filtra phishingowego Office 365 należy skonfigurować Safe Links oraz ich zasady, aby zidentyfikować, które adresy URL zostały kliknięte, i skorzystać z ochrony w momencie kliknięcia oraz rejestrowania werdyktów kliknięć.

Wartości werdyktów kliknięć wyświetlane w Eksploratorze pomagają zrozumieć działanie, które zostało podjęte po wybraniu adresu URL:

  • Allowed: Użytkownik mógł przejść do adresu URL.
  • Blocked: Użytkownik nie mógł przejść do adresu URL.
  • Pending verdict: Po kliknięciu adresu URL wyświetlono stronę oczekującą na detonację.
  • Error: Użytkownikowi wyświetlono stronę błędu, ponieważ podczas próby przechwycenia wyniku wystąpił błąd.
  • Failure: Podczas próby uzyskania werdyktu wystąpił nieznany wyjątek. Możliwe, że użytkownik kliknął adres URL.
  • None: Nie udało się uzyskać werdyktu. Możliwe, że użytkownik kliknął adres URL.
  • Blocked overridden: Użytkownik pominął blokadę i przeszedł do adresu URL.
  • Pending verdict bypassed: Wyświetlono stronę detonacji, ale użytkownik pominął komunikat, aby uzyskać dostęp do adresu URL.

Przeglądaj wiadomości e-mail zgłoszone przez użytkowników

Ten raport zawiera dane dotyczące wiadomości, które użytkownicy w Twojej organizacji zgłosili jako spam, niebędące spamem lub phishingowe. Aby uzyskać lepsze wyniki, zaleca się skonfigurowanie ochrona przed spamem w usłudze Office 365.

Wyszukaj i zbadaj złośliwe wiadomości e-mail, które zostały dostarczone

Wykrywanie w czasie rzeczywistym i narzędzie Threat Explorer dają pracownikom działu bezpieczeństwa możliwość zbadania wrogich działań, które mogą stanowić zagrożenie dla Twojej organizacji. Dostępne działania to:

  • Wyszukiwanie i identyfikacja adresu IP nadawcy złośliwej wiadomości e-mail
  • Wyszukiwanie i usuwanie wiadomości
  • Zgłaszanie incydentu w celu przeprowadzenia dalszego dochodzenia
  • Sprawdzanie działań związanych z dostarczeniem i lokalizacji
  • Wyświetlanie osi czasu wiadomości e-mail

Wyświetlanie złośliwych plików wykrytych w usługach SharePoint Online, OneDrive i Microsoft Teams

Raporty w Eksploratorze zawierają informacje o plikach zidentyfikowanych jako złośliwe przez usługę Safe Attachments dla usług OneDrive, Microsoft Teams i SharePoint Online. Administratorzy mogą również przeglądać te pliki w kwarantannie.

Sprawdź raport o stanie ochrony przed zagrożeniami

Ten widget pokazuje stan bezpieczeństwa Twojego Office 365. Oprócz liczby wiadomości e-mail zawierających złośliwą zawartość, znajdziesz tam również:

  • Pliki lub adresy URL, które zostały zablokowane
  • Automatyczne czyszczenie typu zero-hour (ZAP)
  • Bezpieczne linki
  • Bezpieczne załączniki
  • Funkcje ochrony przed podszywaniem się w zasadach antyphishingowych

Te informacje pozwalają analizować trendy w zakresie bezpieczeństwa, dzięki czemu możesz określić, czy Twoje zasady wymagają dostosowania.

Szkolenie z symulacji ataków

Skonfiguruj i przeprowadź realistyczne, ale nieszkodliwe cyberataki w swojej organizacji, aby przetestować zasady bezpieczeństwa i zidentyfikować luki w zabezpieczeniach, zanim dojdzie do rzeczywistego ataku. Symulacje te stanowią część ochrony przed zagrożeniami w usłudze Office 365, ponieważ pomagają szkolić pracowników w zakresie zachowania czujności wobec schematów socjotechnicznych, takich jak ataki phishingowe.

Uwaga : Dostęp do tej funkcji można uzyskać, przechodząc do Portal Microsoft 365 Defender > Email & collaboration > Attack simulation training. Można też przejść bezpośrednio do Strona poświęcona szkoleniom z symulacji ataków.

Szkolenie z symulacji ataku ma określony przebieg, składający się z serii kroków, które należy wykonać przed rozpoczęciem symulowanego ataku.

Wybierz technikę socjotechniczną

Najpierw należy wybrać jeden z dostępnych schematów socjotechnicznych:

  • Link to malware: Uruchamia dowolny kod z pliku przechowywanego w renomowanym serwisie do udziału plików, a następnie wysyła wiadomość zawierającą link do tego złośliwego pliku. Jeśli użytkownik otworzy plik, urządzenie zostanie zainfekowane.
  • Credential harvest: Użytkownicy są przekierowywani na stronę wyglądającą jak znana witryna, gdzie mogą wprowadzić swoją nazwę użytkownika i hasło.
  • Link in attachment: Adres URL jest dodawany do załącznika wiadomości e-mail i działa podobnie jak zbieranie danych uwierzytelniających.
  • Malware attachment: Do wiadomości dołączono złośliwy załącznik. Jeśli załącznik zostanie otwarty, urządzenie odbiorcy zostanie zainfekowane.
  • Drive-by URL: Adres URL przekierowuje użytkownika na znaną stronę internetową, która w tle instaluje złośliwy kod. Ochrona punktów końcowych Office 365 może nie być w stanie powstrzymać takich zagrożeń, w wyniku czego urządzenie zostanie zainfekowane.

Wybierz nazwę i opisz symulację

Kolejnym krokiem jest wpisanie unikalnej i opisowej nazwy dla tworzonej symulacji. Szczegółowy opis jest opcjonalny.

Wybierz ładunek

Na tej stronie należy wybrać ładunek, który zostanie przedstawiony użytkownikom w symulacji. Może to być wiadomość e-mail lub strona internetowa. Można wybierać z wbudowanego katalogu zawierającego dostępne ładunki. Możliwe jest również utworzenie niestandardowego ładunku, który będzie lepiej pasował do Twojej organizacji.

Użytkownicy docelowi

W tym miejscu wybierasz użytkowników w firmie, którzy przejdą szkolenie z symulacji ataku. Można uwzględnić wszystkich użytkowników lub wybrać konkretne osoby i grupy.

Przypisz szkolenie

Firma Microsoft zaleca przypisanie szkolenia do każdej tworzonej symulacji, ponieważ pracownicy, którzy je ukończą, rzadziej padną ofiarą podobnego ataku. Można wyświetlić sugerowane kursy i moduły oraz wybrać te, które najlepiej odpowiadają potrzebom na podstawie wyników użytkowników.

Wybierz powiadomienie dla użytkownika końcowego

Ta karta umożliwia skonfigurowanie ustawień powiadomień. Możesz dodać powiadomienie z pozytywnym wzmocnieniem, jeśli wybierzesz Customized end user notifications aby zachęcić użytkowników po ukończeniu szkolenia.

Zautomatyzowane badanie i reagowanie (AIR)

W zabezpieczeniach Office 365 funkcje zautomatyzowanego badania i reagowania (AIR) uruchamiają automatyczne alerty, gdy znane zagrożenie atakuje Twoją organizację. Zmniejsza to nakład pracy ręcznej i pozwala zespołowi ds. bezpieczeństwa działać wydajniej poprzez przeglądanie, ustalanie priorytetów i odpowiednie reagowanie.

Zautomatyzowane dochodzenie może zostać zainicjowane albo przez podejrzany załącznik, który dotarł w wiadomości e-mail, albo przez analityka korzystającego z narzędzia Threat Explorer. Funkcja AIR gromadzi dane związane z daną wiadomością e-mail, takie jak zamierzeni odbiorcy, pliki i adresy URL. Administratorzy i personel ds. bezpieczeństwa mogą przejrzeć wyniki dochodzenia i sprawdzić zalecenia, aby zatwierdzić lub odrzucić działania naprawcze.

Funkcja AIR może zostać uruchomiona przez jeden z następujących alertów:

  • Kliknięto potencjalnie złośliwy adres URL
  • Użytkownik zgłosił e-mail jako phishingowy lub zawierający złośliwe oprogramowanie
  • E-mail zawierający złośliwe oprogramowanie lub adres URL służący do phishingu został usunięty po dostarczeniu
  • Wykryto podejrzany wzorzec wysyłania e-maili
  • Użytkownikowi uniemożliwiono wysyłanie e-maili

Wnioski

Funkcja badania zagrożeń w usłudze Office 365 oferuje różne możliwości, które pomagają chronić dane. Dzięki planowi 2 usługi Microsoft Defender dla Office 365 można korzystać z zaawansowanych funkcji, takich jak narzędzia do śledzenia zagrożeń i przeglądarka zagrożeń. Można również przeprowadzać szkolenia z symulacji ataków, aby użytkownicy byli czujni i chronieni przed potencjalnymi cyberatakami. Ponadto można skonfigurować automatyczne badanie i reagowanie (AIR), aby odciążyć zespół ds. bezpieczeństwa, tak aby mógł skupić się na zagrożeniach o wyższym priorytecie.

Jednak jedynym sposobem na zapewnienie pełnej ochrony środowiska Office 365 jest wdrażanie nowoczesnego rozwiązania do ochrony danych, takiego jak NAKIVO Backup & Replication. Rozwiązanie to zapewnia zaawansowane funkcje tworzenia kopii zapasowych i odzyskiwania danych dla Exchange Online, Teams, OneDrive dla Firm i SharePoint Online.

Roczny bezpłatny dostęp do usługi ochrony danych: NAKIVO Backup & Replication

Roczny bezpłatny dostęp do usługi ochrony danych: NAKIVO Backup & Replication

Wdrażanie w 2 minuty i ochrona danych w środowiskach wirtualnych, chmurowych, fizycznych oraz SaaS. Opcje tworzenia kopii zapasowych, replikacji i natychmiastowego odzyskiwania danych.

Pobierz edycję bezpłatną

People also read

Picture
Najlepsze alternatywy dla VMware: porównanie najlepszych hiperwizorów
Picture
Szczegółowy przewodnik dotyczący przenoszenia plików PST do usługi Office 365
Picture
Kompleksowy przegląd najlepszych rozwiązań dotyczących pamięci dynamicznej Hyper-V