請遵循此端到端最佳實踐指南,有效使用用戶回報的電子郵件分析和回應功能,協助安全團隊簡化安全威脅分類,自信地採取行動,並加強Email Protection。
組織面臨越來越多基於電子郵件的威脅,終端使用者通常是最後一道防線。然而,若沒有結構化的流程來分析已報告的電子郵件,安全團隊可能難以有效地分流威脅,導致回應延遲和風險暴露增加。手動調查每個報告既耗時又容易疏忽,尤其是在環境中已存在類似威脅的情況下。
雲端電子郵件和協作保護 透過其用戶回報的電子郵件分析和回應功能來應對此挑戰。當用戶回報可疑電子郵件時,系統會自動分析該郵件以確定其安全威脅類型,例如網路釣魚、垃圾郵件或被標記,並識別出共同的指標,如惡意
URL 或可疑發件人。系統還提供最近與被回報郵件具有相似可疑指標的電子郵件列表,讓管理員可以採取手動或自動措施來減輕這些威脅。
此外,雲端電子郵件和協作保護 透過從報告的電子郵件中學習來增強檢測能力,以幫助防止重複發生。管理員還可以將相關對象(例如發件人地址、網域或 URL)從報告的電子郵件中添加到相關情報政策中使用的監控列表中。
透過利用此功能,組織能夠賦予終端使用者參與安全威脅偵測的能力,同時使安全團隊能夠更快速地回應、減少手動工作量,並主動封鎖未來的威脅。這樣的結果是更高效且可擴展的電子郵件安全工作流程,提升了整個組織的可見性和控制力。
步驟
- 為使用者設定報告管道。
-
在您使用者的 Outlook 客戶端中安裝 Outlook 外掛程式,以啟用一鍵回報可疑電子郵件,或
-
啟用警告橫幅,以在被預定義關聯規則標記為異常的電子郵件正文頂部顯示警告訊息。
-
- 配置電子郵件報告設定。
-
允許 雲端電子郵件和協作保護 自動分析已報告的電子郵件,以減少安全威脅分類時間。
-
選擇是否對根據分析識別為存在類似威脅的電子郵件採取手動或自動安全措施。
-
- 檢閱報告的電子郵件詳細資訊,並進入分析詳細資訊畫面以查看分類、可疑指標、電子郵件元數據。
- 監控自動化緩解和預防措施。
-
如果自動安全操作已啟動,系統將自動對類似的歷史電子郵件採取行動並應用預防措施。
-
使用進度條來追蹤即時狀態更新。
-
- 手動執行安全操作。
- 檢查報告中的電子郵件,查看其分類,並透過主要指標了解為何該電子郵件被視為可疑。
- 在「Mitigation actions」部分,對相似的電子郵件單獨或批量應用建議的操作。
- 在「Remediation and prevention」部分,將最相關的物件新增至由相關智能管理的對應監控清單中。此操作會在 下的 「Detection Signals」 標籤中自動為此物件類型建立一個名為 「Monitored <object type> from User-Reported Emails」 的偵測信號。這些信號有助於系統生成的關聯規則「User-Report Driven Threat Detection」,以協助偵測包含相同監控對象的其他電子郵件。在信號詳細資訊畫面中,您可以找到所有在分析詳細資訊畫面中添加的物件,並根據需要進行管理。
- 若要主動封鎖類似的威脅和風險,請前往您的「Advance Threat Protection」政策設定,並在「Correlated Intelligence」下新增「User-Report Driven Threat Detection」作為自訂規則。