在当今的数字化环境下,无论是小型组织,还是大型机构,其安全团队都肩负重任,他们始终密切跟踪一系列关键指标。这些指标宛如精密航海图上的坐标,不仅助力团队做出攸关组织安危的关键安全决策,还能精准锚定组织内部潜藏的、具有深远意义的安全趋势,为企业发展保驾护航。
Microsoft Defender for Office 365 恰如一位贴心的智能助手,自带丰富且强大的内置报告功能。它如同拥有 X 光般的透视能力,能够深度剖析您的安全状况,将隐藏在数字背后的风险与隐患一一呈现,完美匹配并全力支持上述安全需求,为安全团队提供坚实可靠的数据基石。
然而,安全领域风云变幻,需求也如同繁星般繁杂多样。有时,常规的报告功能已无法满足安全团队的 “苛刻” 要求,他们亟需一套量身定制的自定义报告解决方案来创建专用视图、组合多个数据源并获取其他见解以满足他们的需求
今天我们将演示如何借助Microsoft Sentinel中的工作簿自定义您的邮件安全报告仪表盘。
如果已使用 Microsoft Sentinel 并且已流式传输 Defender for Office 365 的搜寻数据表,则使用工作簿有许多潜在的好处:
- 您可以通过为用于工作簿的表配置更长的保留期来选择将数据存储更长的时间。例如,可以将 Defender for Office 365 EmailEvents 表数据存储 1 年,并在更长的时间内构建视觉对象。
- 您可以根据组织的需求轻松自定义视觉对象。
- 您可以为工作簿配置自动刷新,以使显示的数据保持最新。
- 您可以访问即用型工作簿模板,并在需要时对其进行自定义。
在 Microsoft Sentinel 实例中安装了 Microsoft Defender XDR 数据连接器之后,我们就可以定义并收集以下关于邮件的日志信息:
- EmailEvents – 包含有关所有电子邮件的信息
- EmailAttachmentInfo – 包含有关电子邮件中附件的信息
- EmailUrlInfo – 包含有关电子邮件中 URL 的信息
- EmailPostDeliveryEvents – 包含有关零小时自动清除 (ZAP) 或手动补救事件的信息
- UrlClickEvents – 包含有关受支持的桌面、移动和 Web 应用中电子邮件、Microsoft Teams 和 Office 365 应用的安全链接单击的信息。
- CloudAppEvents – CloudAppEvents 可用于使用 Defender for Office 365 可视化用户报告的网络钓鱼电子邮件和管理员提交。
在Microsoft Sentinel 实例中安装了 Microsoft Defender XDR之后,就可以直接使用用于 Defender for Office 365 检测和数据可视化的新工作簿模板,只需导航到 Microsoft Sentinel 中的“工作簿”区域,然后在“模板”选项卡上选择“Microsoft Defender for Office 365 检测和见解”。
该模板包含以下部分,每个部分深入探讨了电子邮件安全的各个领域,为安全团队成员提供详细信息和见解:
- 检测概述
- 电子邮件 – 恶意软件检测
- 电子邮件 – 网络钓鱼检测
- 电子邮件 – 垃圾邮件检测
- 电子邮件 – 业务泄露检测 (BEC)
- 电子邮件 – 基于发件人身份验证的检测
- URL 检测和点击
- 电子邮件 – 排名靠前的用户/发件人
- 电子邮件 – 检测覆盖
- 假阴性/阳性提交
- 文件 – 恶意软件检测(SharePoint、Teams 和 OneDrive)
- 送达后检测和管理员操作
使用 “View Template”(查看模板)操作将加载工作簿。
检测概述
电子邮件 – 恶意软件检测
电子邮件 – 业务泄露检测 (BEC)
电子邮件 – 基于发件人身份验证的检测
URL 检测和点击
假阴性/阳性提交
文件 – 恶意软件检测(SharePoint、Teams 和 OneDrive)
送达后检测和管理员操作
如果你觉得还不够,根据 Advanced Hunting 架构中的电子邮件属性,您可以根据需要定义更多函数和视觉对象。例如,您可以使用 DetectionMethods 字段来分析欺骗检测、安全附件等功能捕获的检测,以及检测包含从 QR 码中提取的 URL 的电子邮件。
了解 365vCloud's Journey to the Cloud 的更多信息
订阅后即可通过电子邮件收到最新文章。
