Office 365 安全中的威脅調查與應對
隨著網路犯罪風險日益增加,全球各地的企業都在努力保護其最珍貴的資產:資料。所幸,Microsoft Defender for Office 365 為 IT 管理員和分析師提供了威脅調查與應對特點,使他們能夠主動保護使用者和資料。
透過這些內建的 Office 365 安全性特點,您可以深入了解常見威脅、收集實用資料,並規劃有效的應對措施。 您的資安團隊能夠輕鬆識別、監控並抵禦惡意活動,在這些活動對組織造成無法彌補的損害之前加以防範。
本文將詳細解析 Microsoft 威脅調查與應對方案中所包含的各項特點。請繼續閱讀,以了解各項特點的概覽,以及它們如何協同運作,共同構築一道抵禦檔案與email攻擊的無懈可擊的防護盾。
什麼是 Office 365 威脅調查與應對?
Office 365 威脅調查與應對是一個統稱,指的是一套位於 Microsoft Defender for Office 365 方案 2. 這些工具可協助 IT 管理員和分析師監控並蒐集有關潛在威脅的資訊。安全團隊隨後可利用 Microsoft 365 Defender 入口網站中提供的應對措施,處理 SharePoint Online、OneDrive for Business、Exchange Online 及 Microsoft Teams 中的風險。
透過這些 Office 365 安全特點,您可以從多個來源(例如過去的安全事件、使用者活動、驗證、email 及遭入侵的電腦)蒐集資料。威脅調查與應對工作流程包含以下內容:
- Explorer(Microsoft Defender for Office 365 方案 1 中的即時偵測)
- 事件(亦稱為調查)
- 攻擊模擬訓練
- 自動化調查與應對
必須指出的是,所有這些功能皆透過從內建的 威脅追蹤器 在 Microsoft Defender 中,因此讓我們先來仔細看看這些功能。
威脅追蹤器
威脅追蹤器是一組包含資訊小工具、圖表及表格的集合,用於監控 Office 365。它們會顯示可能影響貴組織的網路威脅相關實用資訊。追蹤器頁面包含定期更新的數據,涵蓋惡意軟體和網路釣魚等熱門風險趨勢,以指出哪些問題目前對貴組織構成最大威脅。此外,您還可找到一個 Actions 會將您導向至 Threat Explorer 您可以在這裡查看更詳細的資訊。
註:
- 威脅追蹤器已包含在 Microsoft Defender for
Office 365 Plan 2此外,您需要具備"全域管理員"、"安全性管理員"或"安全性讀取者"權限才能使用這些功能。 - 若要存取貴組織的"威脅追蹤器",請前往 https://security.microsoft.com/,請點擊
Email & collaboration,然後Threat tracker. 您也可以直接前往 https://security.microsoft.com/threattrackerv2.
威脅追蹤工具具備四項不同特點: 值得關注的追蹤工具, 熱門追蹤工具, 已追蹤的查詢 以及 儲存的查詢.
值得關注的追蹤工具
此小工具會顯示各種嚴重程度的新威脅或現有威脅,並標示這些威脅是否存在於您的 Microsoft 365 環境中。若存在,您還可看到相關文章的連結,這些文章會詳細說明問題內容,以及其可能對貴組織的 Office 365 安全性造成何種影響。
您的資安團隊應定期查看"值得注意的追蹤項目",因為這些項目僅會發布數週,之後便會被較新的項目取代。此機制可確保清單保持最新狀態,讓您隨時掌握更相關的風險資訊。
熱門追蹤工具
"趨勢追蹤器"會標示過去一週內發送至貴組織email的最新威脅。管理員可透過檢視租戶層級的惡意軟體趨勢動態評估,並識別惡意軟體家族的行為模式,從而獲得更深入的洞察。
已追蹤的查詢
"追蹤查詢"是另一項 Office 365 監控工具,它會利用儲存的查詢,定期評估您 Microsoft 環境中的活動。這是一個自動流程,可提供有關可疑活動的最新資訊,以協助確保 Office 365 威脅防護.
儲存的查詢
您平時常進行的 Explorer 一般搜尋或 Noteworthy 追蹤器查詢,均可儲存為"已儲存查詢"。如此一來,您無需每次都重新建立搜尋,也能輕鬆存取先前儲存的查詢。
威脅探索器與即時偵測
在 Microsoft Defender for Office 365 中,"探索器"(亦稱為"威脅探索器")可讓資安專家分析針對貴組織的潛在威脅,並監控隨時間推移的攻擊量。透過此特點,您可以查看全面的報告和政策建議,藉此了解如何有效應對企圖滲透貴組織的風險。
註:
- Explorer 已包含在 Microsoft Defender 中
Office 365 plan 2雖然plan 1提供即時偵測功能。 - 若要使用這兩項工具中的任何一項,請前往
Security & Compliance Center然後Threat management.
Threat Explorer 提供有關威脅的重要資訊,例如基本歷史資料、常見的傳播方式以及可能造成的損害。分析人員可將此工具作為調查的起點,依據攻擊者基礎設施、威脅家族及其他參數來檢視相關資料。
檢查偵測到的惡意軟體
您可以使用 Explorer 檢視在貴組織 email 中偵測到的惡意軟體。該報告可依據不同的 Microsoft 365 技術進行篩選。
檢視釣魚網址及點擊判定資料
"威脅探索器"中也會顯示透過email中的網址進行的網路釣魚嘗試。此報告包含一份按兩張表格分類的網址清單,分別列出允許、封鎖及覆寫的網址:
- 熱門網址: 攻擊者有時會將正常網址與惡意連結混雜在一起,以混淆收件者。此清單主要包含您已過濾出的訊息中所發現的合法網址,並按總email數排序。
- 熱門點擊:以下是曾被開啟且經過"安全連結"處理的網址,並按總點擊次數排序。這些連結極可能具有惡意,您可以在每個網址旁邊看到"安全連結"的點擊判定次數。
註: 在設定 Office 365 釣魚防護功能時,您應設定 Safe Links 並透過其政策來識別哪些 URL 被點擊,從而受益於"點擊時點保護"功能以及點擊判定記錄。
在 Explorer 中顯示的點擊判定值,可協助您了解選取 URL 後所執行的動作:
Allowed:使用者成功導航至該網址。Blocked: 使用者無法導航至該網址。Pending verdict: 當使用者點擊該網址時,顯示了"即將觸發"頁面。Error: 由於在嘗試擷取判定結果時發生錯誤,因此向使用者顯示了錯誤頁面。Failure: 嘗試擷取結果時發生未知例外。可能是使用者點擊了該網址。None: 無法取得判定結果。可能是使用者點擊了該連結。Blocked overridden:使用者繞過封鎖並瀏覽至該網址。Pending verdict bypassed: 雖然顯示了觸發頁面,但使用者忽略了該訊息並存取了該網址。
檢視使用者回報的email
本報告顯示貴組織使用者回報為垃圾郵件、非垃圾郵件或網路釣魚郵件的相關資料。為獲得更佳的結果,建議您設定 Office 365 的垃圾郵件防護.
找出並調查已送達的惡意email
"即時偵測"與"威脅探索器"讓資安人員能夠調查可能危及貴組織的惡意活動。可執行的操作包括:
- 定位並識別惡意email發送者的IP位址
- 尋找與刪除訊息
- 建立事件以進行進一步調查
- 檢查配送方式與位置
- 查看您的email時間軸
檢視在 SharePoint Online、OneDrive 和 Microsoft Teams 中偵測到的惡意檔案
"檔案總管"中的報告會列出由"OneDrive、Microsoft Teams 和 SharePoint Online 安全附件"識別為惡意檔案的相關資訊。管理員亦可檢視這些已隔離的檔案。
查看威脅防護狀態報告
此小工具會顯示您的 Office 365 安全性狀態。除了包含惡意內容的 email 數量外,您還可查看:
- 遭封鎖的檔案或網址
- 零時自動清除 (ZAP)
- 安全連結
- 安全的依附關係
- 反釣魚政策中的冒充防護特點
透過這些資訊,您可以分析安全趨勢,從而判斷您的政策是否需要調整。
攻擊模擬訓練
在貴組織內設定並執行逼真但無害的網路攻擊,藉此測試您的安全政策,並在實際攻擊發生前找出系統漏洞。這些模擬演練是 Office 365 威脅防護功能的一部分,因為它們有助於訓練員工保持警覺,以防範釣魚攻擊等社會工程學騙局。
註: 您可透過前往查看該特點 Microsoft 365 Defender 入口網站 > Email & collaboration > Attack simulation training。或者直接前往 攻擊模擬訓練頁面.
攻擊模擬訓練設有特定的工作流程,包含一系列步驟,您必須在發動模擬攻擊前完成這些步驟。
選擇一種社會工程學技巧
首先,您需要從可用的社會工程學方案中選擇一個:
Link to malware:從某個信譽良好的檔案分享服務上執行為惡意檔案所託管的任意程式碼,隨後發送一則包含該惡意檔案連結的訊息。若使用者開啟該檔案,裝置便會遭到入侵。Credential harvest:使用者會被導向一個看似知名的網站,並在該處輸入使用者名稱和密碼。Link in attachment:email附件中加入了網址,其運作方式類似於憑證竊取。Malware attachment:訊息中附加了惡意附件。若開啟該附件,目標裝置便會遭到入侵。Drive-by URL: 某個網址會將使用者導向一個看似熟悉的網站,該網站會在背景中安裝惡意程式碼。Office 365 端點防護可能無法阻擋此類威脅,導致裝置隨之遭到感染。
請選擇一個名稱並描述該模擬
下一步是為您正在建立的模擬輸入一個獨特且具描述性的名稱。詳細說明為可選項目。
選擇載荷
在此頁面中,您應選擇將在模擬中呈現給使用者的載荷。這可以是email訊息,也可以是網頁。您可以從內建目錄中選擇現有的載荷。此外,您也可以建立自訂載荷,使其更能符合貴組織的需求。
目標使用者
在此處,您可以選擇公司內將接受攻擊模擬訓練的用戶。您可以選擇包含所有用戶,或指定特定目標及群組。
安排培訓
微軟建議您為每項建立的模擬演練指派相應的培訓課程,因為完成這些演練的員工較不容易成為類似攻擊的受害者。您可以查看建議的課程與模組,並根據使用者的測驗結果,選擇最符合您需求的內容。
選擇終端使用者通知
在此分頁中,您可以設定通知設定。若您願意,可以新增一則正向強化通知 Customized end user notifications 在用戶完成培訓後,以鼓勵他們。
自動化調查與應對(AIR)
在 Office 365 安全性中,當已知威脅鎖定您的組織時,自動調查與回應 (AIR) 功能會觸發自動警示。這能減少手動作業,讓您的安全性團隊能透過檢視、排序優先級並採取相應措施,更有效地運作。
自動化調查可由 email 中的可疑附件觸發,亦可由分析師透過"威脅探索器"啟動。AIR 會收集與該 email 相關的資料,例如預定收件者、檔案及網址。管理員與資安人員可檢視調查結果並確認建議事項,以批准或拒絕相關修復措施。
AIR 可由以下任一類型的警示觸發:
- 點擊了一個可能具有惡意性質的網址
- 有使用者通報一封email為網路釣魚或惡意軟體
- 一封含有惡意軟體或釣魚連結的email已在送達後被移除
- 偵測到可疑的email發送模式
- 該用戶被限制發送訊息
結論
Office 365 威脅調查提供多項特點,有助於保護您的資料。透過 Microsoft Defender for Office 365 第 2 方案,您可以運用威脅追蹤器和威脅探索器等進階特點。您還可進行攻擊模擬訓練,讓使用者保持警覺,並免受潛在網路攻擊的威脅。 此外,您可設定自動化調查與回應 (AIR) 機制,減輕安全團隊的負擔,使其能專注處理更高優先級的威脅。
話雖如此,確保 Office 365 環境獲得全面保護的唯一方法,是部署像 NAKIVO Backup & Replication. 此解決方案為 Exchange Online、Teams、OneDrive for Business 及 SharePoint Online 提供強大的備份與還原功能。
