Stránka Email entity v Microsoft Defender pro Office 365
Tip
Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Organizace Microsoft 365, které mají Microsoft Defender pro Office 365 zahrnuté ve svém předplatném nebo zakoupené jako doplněk, mají stránku Email entity. Stránka Email entity na portálu Microsoft Defender obsahuje velmi podrobné informace o e-mailové zprávě a všech souvisejících entitách.
Tento článek vysvětluje informace a akce na stránce Email entity.
Oprávnění a licencování pro stránku entity Email
Pokud chcete použít stránku Email entity, musíte mít přiřazená oprávnění. Oprávnění a licencování jsou stejné jako Průzkumník hrozeb (Průzkumník) a detekce v reálném čase. Další informace najdete v tématu Oprávnění a licencování pro Průzkumníka hrozeb a detekce v reálném čase.
Kde najít stránku entity Email
Neexistují žádné přímé odkazy na stránku Email entity z nejvyšších úrovní portálu Defender. Místo toho je akce Otevřít e-mailovou entitu dostupná v horní části informačního rámečku podrobností e-mailu v mnoha Defender pro Office 365 funkcích. Tento informační panel podrobností e-mailu se označuje jako panel souhrnu Email a obsahuje souhrnnou podmnožinu informací na stránce Email entity. Panel souhrnu e-mailu je ve všech Defender pro Office 365 funkcích identický. Další informace najdete v části Panel souhrnu Email dále v tomto článku.
Panel souhrnu Email s akcí Otevřít e-mailovou entitu je k dispozici v následujících umístěních:
Na stránce Rozšířené proaktivní vyhledávání na https://security.microsoft.com/v2/advanced-huntingadrese : Na kartě Výsledky dotazu souvisejícího s e-mailem klikněte na hodnotu NetworkMessageId položky v tabulce.
*Na stránce Výstrahy na adrese https://security.microsoft.com/alerts: U výstrah s hodnotou Zdroje detekceMDO nebo hodnotou Názvy produktůMicrosoft Defender pro Office 365 vyberte položku kliknutím na hodnotu Název výstrahy. Na stránce s podrobnostmi o upozornění, která se otevře, vyberte zprávu ze seznamu Zprávy .
Ze sestavy stavu ochrany před hrozbami na adrese https://security.microsoft.com/reports/TPSEmailPhishReportATP:
- Vyberte Zobrazit data podle Email > Phish a libovolného dostupného výběru rozpisu grafu. V tabulce podrobností pod grafem vyberte položku kliknutím kamkoli do jiného řádku než na zaškrtávací políčko vedle prvního sloupce.
- Vyberte Zobrazit data podle Email > Malware a vyberte některou z dostupných možností Rozpis grafu. V tabulce podrobností pod grafem vyberte položku kliknutím kamkoli do jiného řádku než na zaškrtávací políčko vedle prvního sloupce.
- Vyberte Zobrazit data podle Email > Spam a libovolné dostupné možnosti Rozpis grafu. V tabulce podrobností pod grafem vyberte položku kliknutím kamkoli do jiného řádku než na zaškrtávací políčko vedle prvního sloupce.
Na stránce Průzkumník v https://security.microsoft.com/threatexplorerv3 (Průzkumník hrozeb) nebo na stránce Detekce v reálném čase na adrese https://security.microsoft.com/realtimereportsv3. Použijte jednu z následujících metod:
- V Průzkumníku hrozeb ověřte, že je vybrané > zobrazení Všechny e-maily, ověřte, že je vybraná > karta Email (zobrazení) v oblasti podrobností, klikněte v položce na hodnotu Předmět.
- V Průzkumníku hrozeb nebo detekcích v reálném čase vyberte zobrazení >Malware a ověřte, že je vybraná > karta Email (zobrazení) v oblasti podrobností klikněte na hodnotu Předmět v položce.
- V Průzkumníku hrozeb nebo detekcích v reálném čase vyberte zobrazení >Phish a ověřte, že je vybraná > karta Email (zobrazení) v oblasti podrobností a klikněte na hodnotu Předmět v položce.
Na stránce Incidenty na adrese https://security.microsoft.com/incidents: U incidentů s hodnotou Názvy produktůMicrosoft Defender pro Office 365 vyberte incident kliknutím na hodnotu Název incidentu. Na stránce podrobností incidentu, která se otevře, vyberte kartu Důkazy a odpovědi (zobrazení). Na kartě Všechny důkazy a na kartě Typ entityEmail nebo E-maily vyberte položku kliknutím na libovolném jiném řádku než na zaškrtávací políčko.
Na stránce Umístit do karantény na adrese https://security.microsoft.com/quarantine: Ověřte, že je vybraná > karta Email, vyberte položku kliknutím na libovolné místo na jiném řádku než na zaškrtávací políčko.
Ze stránky Odeslání na adrese https://security.microsoft.com/reportsubmission:
- Vyberte kartu >E-maily a vyberte položku kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko.
- Vyberte kartu >Nahlášený uživatel a vyberte položku kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko.
Co je na stránce entity Email
Podokno podrobností na levé straně stránky obsahuje sbalitelné oddíly s podrobnostmi o zprávě. Tyto oddíly zůstávají konstantní, dokud jste na stránce. Dostupné části jsou:
Oddíl Značky . Zobrazuje všechny uživatelské značky (včetně účtu Priority), které jsou přiřazené odesílatelům nebo příjemcům. Další informace o značkách uživatelů najdete v tématu Značky uživatelů v Microsoft Defender pro Office 365.
Oddíl podrobnosti o detekci:
Původní hrozby
Původní místo doručení:
- Složka Odstraněná pošta
- Upuštěný
- Doručení selhalo
- Složka Doručená pošta
- Nevyžádaná Email složka
- Externí
- Karanténa
- Unknown (neznámý)
Nejnovější hrozby
Umístění posledního doručení: Umístění zprávy po systémových akcích se zprávou (například ZAP) nebo akcích správce u zprávy (například Přesunout do odstraněných položek). Akce uživatele se zprávou (například odstranění nebo archivace zprávy) se nezobrazují, takže tato hodnota nezaručuje aktuální umístění zprávy.
Tip
Existují scénáře, kdy původní umístění/ doručeníNejnovější místo doručení a/nebo Akce doručení mají hodnotu Neznámé. Příklady:
- Zpráva byla doručena (akce doručení je Doručená), ale pravidlo doručené pošty ji přesunulo do jiné výchozí složky, než je složka Doručená pošta nebo Nevyžádaná Email pošta (například do složky Koncept nebo Archiv).
- Zap se pokusil zprávu po doručení přesunout, ale zpráva se nenašla (například uživatel zprávu přesunul nebo odstranil).
Technologie detekce:
- Rozšířený filtr: Phishingové signály založené na strojovém učení.
- Kampaň: Zprávy identifikované jako součást kampaně.
- Detonace souborů: Bezpečné přílohy detekovaly škodlivou přílohu během analýzy detonace.
- Reputace detonace souborů: Přílohy souborů dříve detekované detonacemi bezpečných příloh v jiných organizacích Microsoftu 365.
- Reputace souboru: Zpráva obsahuje soubor, který byl dříve identifikován jako škodlivý v jiných organizacích Microsoft 365.
- Párování otisků prstů: Zpráva se podobá předchozí zjištěné škodlivé zprávě.
- Obecný filtr: Phishingové signály založené na analytických pravidlech.
- Značka zosobnění: Zosobnění odesílatelem známých značek.
- Zosobnění domény: Zosobnění domén odesílatele, které vlastníte nebo které jste zadali pro ochranu v zásadách ochrany proti útokům phishing.
- Zosobnění uživatele: Zosobnění chráněných odesílatelů, které jste zadali v zásadách ochrany proti útokům phishing nebo které jste se naučili prostřednictvím inteligentních funkcí poštovní schránky.
- Zosobnění inteligentních poštovních schránek: Detekce zosobnění z inteligentních funkcí poštovní schránky v zásadách ochrany proti útokům phishing.
- Detekce smíšené analýzy: K verdiktu zprávy přispělo několik filtrů.
- Spoof DMARC: Zpráva selhala při ověřování DMARC.
- Falšování externí domény: Falšování e-mailové adresy odesílatele pomocí domény, která je pro vaši organizaci externí.
- Falšování identity uvnitř organizace: Falšování e-mailové adresy odesílatele pomocí domény, která je interní pro vaši organizaci.
- Detonace adresy URL: Bezpečné odkazy detekovaly škodlivou adresu URL ve zprávě během analýzy detonace.
- Reputace detonace adresy URL: Adresy URL dříve detekované detonacemi bezpečných odkazů v jiných organizacích Microsoft 365.
- Škodlivá reputace adresy URL: Zpráva obsahuje adresu URL, která byla dříve identifikována jako škodlivá v jiných organizacích Microsoft 365.
Akce doručení:
- Doručil
- Nevyžádaná pošta
- Blokovaný
Primární přepsání: Zdroj
- Hodnoty pro primární přepsání:
- Povolené zásadami organizace
- Povolené zásadami uživatele
- Blokováno zásadami organizace
- Blokováno zásadami uživatele
- Žádné
- Hodnoty primárního zdroje přepsání:
- Filtr třetí strany
- Správa zahájené cestování časem (ZAP)
- Blokování antimalwarových zásad podle typu souboru
- Nastavení antispamových zásad
- Zásady připojení
- Pravidlo přenosu exchange
- Výhradní režim (přepsání uživatelem)
- Filtrování se přeskočí kvůli místní organizaci
- Filtr oblastí IP adres ze zásad
- Filtr jazyka ze zásad
- Simulace útoků phishing
- Uvolnění do karantény
- Poštovní schránka SecOps
- Seznam adres odesílatele (Správa přepsání)
- Seznam adres odesílatele (přepsání uživatelem)
- Seznam domén odesílatelů (Správa přepsání)
- Seznam domén odesílatelů (přepsání uživatelem)
- Blokování souboru seznamu povolených nebo blokovaných tenantů
- Blok e-mailové adresy odesílatele v seznamu povolených nebo blokovaných tenantů
- Blok falšování povolených nebo blokovaných položek v seznamu povolených tenantů
- Blok adresy URL seznamu povolených nebo blokovaných tenantů
- Seznam důvěryhodných kontaktů (přepsání uživatelem)
- Důvěryhodná doména (přepsání uživatelem)
- Důvěryhodný příjemce (přepsání uživatelem)
- Pouze důvěryhodní odesílatelé (přepsání uživatelem)
- Hodnoty pro primární přepsání:
oddíl s podrobnostmi o Email:
-
Směrovost:
- Směřující sem
- Intra-irg
- Odchozí
- Příjemce (To)*
- Odesílatel*
- Čas přijetí
-
ID* internetové zprávy: K dispozici v poli Záhlaví zprávy ID zprávy v záhlaví zprávy. Příklad hodnoty je
<08f1e0f6806a47b4ac103961109ae6ef@server.domain>
(všimněte si úhlových závorek). - ID* síťové zprávy: Hodnota GUID, která je k dispozici v poli hlavičky X-MS-Exchange-Organization-Network-Message-Id v záhlaví zprávy.
- ID clusteru
- Jazyk
* Akce Zkopírovat do schránky je k dispozici pro zkopírování hodnoty.
-
Směrovost:
Karty (zobrazení) v horní části stránky umožňují efektivně zkoumat e-maily. Tato zobrazení jsou popsána v následujících pododdílech.
Zobrazení časové osy
Zobrazení Časová osa zobrazuje události doručení a po doručení, které se u zprávy staly.
V zobrazení jsou k dispozici následující informace o události zprávy. Vyberte záhlaví sloupce, které chcete seřadit podle tohoto sloupce. Pokud chcete přidat nebo odebrat sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.
- Časová osa (datum a čas události)
- Zdroj: Například: Systém, **Správa nebo Uživatel.
- Typy událostí
- Result (Výsledek)
- Hrozby
- Podrobnosti
Pokud se se zprávou po doručení nic nestalo, je pravděpodobné, že zpráva bude mít v zobrazení Časová osa pouze jeden řádek s hodnotou Typy událostíPůvodní doručení. Příklady:
- Hodnota Výsledek je složka Doručená pošta – Doručeno.
- Hodnota Výsledek je Složka nevyžádané pošty – Doručeno do nevyžádané pošty.
- Hodnota Výsledku je Karanténa – Blokované.
Následné akce uživatelů, správců nebo Microsoftu 365 ke zprávě přidají do zobrazení další řádky. Příklady:
- Hodnota Typy událostí je ZAP a výsledná hodnota je Message (Zpráva) přesunutá do karantény podle ZAP.
- Hodnota Typu událostí je Uvolnění do karantény a hodnota Výsledku je Zpráva byla úspěšně uvolněna z karantény.
Pomocí vyhledávacího pole vyhledejte informace na stránce. Do pole zadejte text a stiskněte klávesu ENTER.
Pomocí exportu vyexportujte data v zobrazení do souboru CSV. Výchozí název souboru je – Microsoft Defender.csv a výchozím umístěním je složka Stažené soubory . Pokud soubor s tímto názvem již existuje, připojí se k němu číslo (například - Microsoft Defender(1).csv).
Zobrazení analýzy
Zobrazení Analýza obsahuje informace, které vám pomůžou analyzovat zprávu do hloubky. V tomto zobrazení jsou k dispozici následující informace:
Oddíl s podrobnostmi o detekci hrozeb : Informace o zjištěných hrozbách ve zprávě:
- Hrozby: Primární hrozba je označená primární hrozbou.
- Úroveň spolehlivosti: Hodnoty jsou Vysoké, Střední nebo Nízké.
- Prioritní ochrana účtu: Hodnoty jsou Ano nebo Ne. Další informace najdete v tématu Konfigurace a kontrola ochrany prioritního účtu v Microsoft Defender pro Office 365.
Email podrobnosti o detekci: Informace o funkcích ochrany nebo přepsáních, které ovlivnily tuto zprávu:
Všechna přepsání: Všechna nastavení organizace nebo uživatele, která měla možnost změnit zamýšlené umístění doručení zprávy. Pokud například zpráva odpovídala pravidlu toku pošty a položce bloku v seznamu povolených/blokovaných klientů, jsou zde uvedená obě nastavení. Hodnota vlastnosti Primary Override : Source určuje nastavení, které skutečně ovlivnilo doručení zprávy.
Primární přepsání: Zdroj: Zobrazuje nastavení organizace nebo uživatele, které změnilo zamýšlené umístění doručení zprávy (povoleno místo blokování nebo blokování místo povoleného). Příklady:
- Zpráva byla zablokována pravidlem toku pošty.
- Zpráva byla povolena kvůli záznamu v seznamu bezpečných odesílatelů uživatele.
Pravidla přenosu Exchange (pravidla toku pošty): Pokud byla zpráva ovlivněna pravidly toku pošty, zobrazí se názvy pravidel a identifikátory GUID. Akce prováděné u zpráv v pravidlech toku pošty probíhají před rozsudky týkajícími se spamu a phishingu.
Akce Zkopírovat do schránky je k dispozici pro zkopírování GUID pravidla. Další informace o pravidlech toku pošty najdete v tématu Pravidla toku pošty (pravidla přenosu) v Exchange Online.
Odkaz Přejít na Centrum pro správu Exchange otevře stránku Pravidla v novém Centru pro správu Exchange na adrese https://admin.exchange.microsoft.com/#/transportrules.
Konektor: Pokud byla zpráva doručena prostřednictvím příchozího konektoru, zobrazí se název konektoru. Další informace o konektorech najdete v tématu Konfigurace toku pošty pomocí konektorů v Exchange Online.
Úroveň hromadné stížnosti (BCL): Vyšší hodnota seznamu BCL značí, že se jedná o zprávu s větší pravděpodobností spamu. Další informace najdete v tématu Úroveň hromadné stížnosti (BCL) v EOP.
Zásada: Pokud je tady uvedený typ zásady (například Spam), vyberte Konfigurovat a otevřete tak související stránku zásad (například stránku Zásad ochrany proti spamu na adrese https://security.microsoft.com/antispam).
Akce zásad
ID upozornění: Výběrem hodnoty ID upozornění otevřete stránku podrobností výstrahy (jako kdybyste našli a vybrali výstrahu na stránce Výstrahy na adrese https://security.microsoft.com/alerts). Akce Zkopírovat do schránky je také k dispozici pro zkopírování hodnoty ID upozornění.
Typ zásady
Typ klienta: Zobrazuje typ klienta, který zprávu odeslal (například REST).
velikost Email
Pravidla ochrany před únikem informací
Oddíl Podrobnosti o odesílateli a příjemci: Podrobnosti o odesílateli zprávy a některé informace o příjemci:
- Zobrazované jméno odesílatele
- Adresa odesílatele*
- IP adresa odesílatele
- Název domény odesílatele*
- Datum vytvoření domény: Nedávno vytvořená doména a další signály zpráv můžou identifikovat zprávu jako podezřelou.
- Vlastník domény
- Adresa ODESÍLATELE MAIL FROM*
- Odesílatel MAIL FROM název domény*
- Návratová cesta
- Doména návratové cesty
- Umístění
- Doména příjemce*
- Do: Zobrazuje prvních 5 000 znaků všech e-mailových adres v poli Do zprávy.
- Kopie: Zobrazuje prvních 5 000 znaků všech e-mailových adres v poli Kopie zprávy.
- Distribuční seznam: Zobrazuje distribuční skupinu (distribuční seznam), pokud příjemce obdržel e-mail jako člen seznamu. Distribuční skupina nejvyšší úrovně se zobrazuje pro vnořené distribuční skupiny.
- Přeposílání: Označuje, jestli se zpráva automaticky přeposlala na externí e-mailovou adresu. Zobrazí se uživatel pro přeposílání a typ přeposílání (pravidla toku pošty, pravidla doručené pošty nebo předávání SMTP).
* Akce Zkopírovat do schránky je k dispozici pro zkopírování hodnoty.
Část Ověřování : Podrobnosti o výsledcích ověřování e-mailů :
-
Ověřování zpráv na základě domény (DMARC)
-
Pass
: DMARC zkontroluje předanou zprávu. -
Fail
: Kontrola zprávy DMARC se nezdařila. -
BestGuessPass
: Záznam TXT DMARC pro doménu ne, ale pokud by existoval, kontrola DMARC zprávy by prošla. - Žádné: Označuje, že pro odesílající doménu v DNS neexistuje žádný záznam TXT DMARC.
-
-
Identifikovaná pošta (DKIM)DomainKeys: Hodnoty jsou:
-
Pass
: DKIM zkontroluje, jestli zpráva byla předána. -
Fail (reason)
: Kontrola DKIM zprávy se nezdařila. Zpráva například nebyla podepsaná DKIM nebo podpis DKIM nebyl ověřený. -
None
: Zpráva nebyla podepsaná DKIM. Tento výsledek může nebo nemusí znamenat, že doména má záznam DKIM nebo že se záznam DKIM nevyhodnotí jako výsledek. Tento výsledek jenom značí, že tato zpráva nebyla podepsána.
-
-
Sender Policy Framework (SPF): Hodnoty jsou:
-
Pass (IP address)
: Kontrola SPF zjistila, že zdroj zprávy je pro doménu platný. -
Fail (IP address)
: Kontrola SPF zjistila, že zdroj zprávy není pro doménu platný a pravidlo vynucení v záznamu SPF je-all
(hard fail). -
SoftFail (reason)
: Kontrola SPF zjistila, že zdroj zpráv není pro doménu platný a pravidlo vynucení v záznamu SPF je~all
(soft fail). -
Neutral
: Kontrola SPF zjistila, že zdroj zprávy není pro doménu platný a pravidlo vynucení v záznamu SPF je?all
(neutrální). -
None
: Doména nemá záznam SPF nebo se záznam SPF nevyhodnotí jako výsledek. -
TempError
: Při kontrole SPF došlo k dočasné chybě (například k chybě DNS). Stejná kontrola může být později úspěšná. -
PermError
: Při kontrole SPF došlo k trvalé chybě. Doména má například špatně formátovaný záznam SPF.
-
- Složené ověřování: SPF, DKIM, DMARC a další informace určují, jestli je odesílatel zprávy (adresa odesílatele) autentický. Další informace najdete v tématu Složené ověřování.
-
Ověřování zpráv na základě domény (DMARC)
Oddíl Související entity : Informace o přílohách a adresách URL ve zprávě:
- Entita: Výběrem příloh nebo adres URL přejdete do zobrazení Přílohy nebo do zobrazení adresy URL stránky Email entity pro zprávu.
- Celkový počet
- Nalezené hrozby: Hodnoty jsou Ano nebo Ne.
Oblast podrobností zprávy:
- Karta Záhlaví e-mailu ve formátu prostého textu: Obsahuje celé záhlaví zprávy ve formátu prostého textu. Pokud chcete záhlaví zprávy zkopírovat, vyberte Kopírovat záhlaví zprávy. Vyberte Microsoft Message Header Analyzer a otevřete Analyzátor hlaviček zpráv na adrese https://mha.azurewebsites.net/pages/mha.html. Vložte zkopírované záhlaví zprávy na stránku a pak výběrem možnosti Analyzovat záhlaví zobrazíte podrobnosti o záhlavích a hodnotách zpráv.
- Na kartě: Zobrazuje prvních 5 000 znaků všech e-mailových adres v poli Do zprávy.
- Karta Kopie: Zobrazuje prvních 5 000 znaků všech e-mailových adres v poli Kopie zprávy.
Zobrazení Přílohy
Zobrazení Přílohy zobrazuje informace o všech souborových přílohách ve zprávě a výsledky kontroly těchto příloh.
V tomto zobrazení jsou k dispozici následující informace o příloze. Vyberte záhlaví sloupce, které chcete seřadit podle tohoto sloupce. Pokud chcete přidat nebo odebrat sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.
- Název souboru přílohy: Pokud kliknete na hodnotu názvu souboru
- Typ souboru
- Velikost souboru
- Přípona souboru
- Hrozba
- Řada malwaru
- Příloha SHA256: Akce Zkopírovat do schránky je k dispozici pro zkopírování hodnoty SHA256.
- Podrobnosti
Pomocí vyhledávacího pole vyhledejte informace na stránce. Do pole zadejte text a stiskněte klávesu ENTER.
Pomocí exportu vyexportujte data v zobrazení do souboru CSV. Výchozí název souboru je – Microsoft Defender.csv a výchozím umístěním je složka Stažené soubory . Pokud soubor s tímto názvem již existuje, připojí se k němu číslo (například - Microsoft Defender(1).csv).
Podrobnosti přílohy
Pokud v zobrazení Přílohy vyberete položku kliknutím na hodnotu Název souboru přílohy , otevře se informační panel podrobností s následujícími informacemi:
Karta Hloubková analýza : Informace jsou na této kartě k dispozici, pokud jsou bezpečné přílohy naskenovány (detonovány) přílohy. Tyto zprávy můžete v Průzkumníku hrozeb identifikovat pomocí technologie detekce filtru dotazů s hodnotou Detonace souboru.
Oddíl Detonačního řetězce : Detonace bezpečných příloh jednoho souboru může aktivovat více detonací. Detonační řetěz sleduje cestu k detonacím, včetně původního škodlivého souboru, který způsobil verdikt, a všech ostatních souborů ovlivněných detonací. Tyto připojené soubory nemusí být v e-mailu přímo přítomné. Zahrnutí analýzy je ale důležité k určení, proč byl soubor nalezen jako škodlivý.
Pokud nejsou k dispozici žádné informace o detonačním řetězci, je zobrazena hodnota Žádný detonační strom . Jinak můžete vybrat Exportovat a stáhnout informace o detonačním řetězu do souboru CSV. Výchozí název souboru je Detonační chain.csv a výchozím umístěním je složka Stažené soubory . Pokud soubor s tímto názvem již existuje, připojí se k němu číslo (například detonační řetězec(1).csv). Soubor CSV obsahuje následující informace:
- Horní: Soubor nejvyšší úrovně.
- Level1: Soubor další úrovně.
- Úroveň2: Soubor další úrovně.
- a tak dále.
V řetězci detonace a souboru CSV se může zobrazit pouze položka nejvyšší úrovně, pokud nebyla zjištěna žádná z propojených entit nebo nebyla detonována.
Souhrnný oddíl: Pokud nejsou k dispozici žádné souhrnné informace o detonaci, zobrazí se hodnota Bez souhrnu detonace . V opačném případě jsou k dispozici následující souhrnné informace o detonaci:
- Čas analýzy
- Verdict: Verdikt u samotné přílohy.
- Další informace: Velikost souboru v bajtech.
- Indikátory ohrožení zabezpečení
Část Snímky obrazovky: Zobrazí všechny snímky obrazovky, které byly pořízeny během detonace. Pro soubory kontejnerů, jako jsou ZIP nebo RAR, které obsahují jiné soubory, se nezachytávají žádné snímky obrazovky.
Pokud nejsou k dispozici žádné snímky obrazovky s detonací, zobrazí se hodnota Žádné snímky obrazovky, které by se neměly zobrazit . Jinak vyberte odkaz a zobrazte snímek obrazovky.
Oddíl Podrobnosti o chování: Ukazuje přesné události, ke kterým došlo během detonace, a problematická nebo neškodná pozorování, která obsahují adresy URL, IP adresy, domény a soubory, které byly nalezeny během detonace. U souborů kontejneru, jako je ZIP nebo RAR, které obsahují jiné soubory, nemusí být k dispozici žádné podrobnosti o chování.
Pokud nejsou k dispozici žádné informace o chování, je zobrazena hodnota Žádné chování detonace . V opačném případě můžete vybrat Exportovat a stáhnout informace o chování do souboru CSV. Výchozí název souboru je Behavior details.csv a výchozím umístěním je složka Stažené soubory . Pokud soubor s tímto názvem již existuje, připojí se k němu číslo (například Podrobnosti o chování(1).csv). Soubor CSV obsahuje následující informace:
- Time
- Chování
- Vlastnost Chování
- Proces (PID)
- Operace
- Target (Cíl)
- Podrobnosti
- Result (Výsledek)
Karta Informace o souboru : Oddíl Podrobnosti o souboru obsahuje následující informace:
- Název souboru
- SHA256
- Velikost souboru (v bajtech)
Až budete v informačním rámečku podrobností souboru hotovi, vyberte Zavřít.
Blokování příloh ze zobrazení Přílohy
Pokud vyberete položku v zobrazení Přílohy zaškrtnutím políčka vedle názvu souboru, bude k dispozici akce Blokovat. Tato akce přidá soubor jako položku bloku do seznamu povolených/blokovaných klientů. Výběrem možnosti Blokovatspustíte průvodce Provedením akce :
Na stránce Zvolit akce nakonfigurujte jedno z následujících nastavení v části Blokovat soubor :
- Nikdy nevyprší : Toto je výchozí hodnota .
- Nikdy nevyprší platnost : Posuňte přepínač do polohy vypnuto a pak vyberte datum v poli Odebrat .
Až budete hotovi na stránce Zvolit akce , vyberte Další.
Na stránce Zvolit cílové entity ověřte, že je vybraný soubor, který chcete blokovat, a pak vyberte Další.
Na stránce Zkontrolovat a odeslat nakonfigurujte následující nastavení:
- Název nápravy: Zadejte jedinečný název pro sledování stavu v Centru akcí.
- Popis: Zadejte volitelný popis.
Až skončíte na stránce Zkontrolovat a odeslat , vyberte Odeslat.
Zobrazení adresy URL
V zobrazení adresy URL se zobrazí informace o všech adresách URL ve zprávě a výsledky kontroly těchto adres URL.
V tomto zobrazení jsou k dispozici následující informace o příloze. Vyberte záhlaví sloupce, které chcete seřadit podle tohoto sloupce. Pokud chcete přidat nebo odebrat sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.
- URL
- Hrozba
- Source (Zdroj)
- Podrobnosti
Pomocí vyhledávacího pole vyhledejte informace na stránce. Do pole zadejte text a stiskněte klávesu ENTER.
Pomocí exportu vyexportujte data v zobrazení do souboru CSV. Výchozí název souboru je – Microsoft Defender.csv a výchozím umístěním je složka Stažené soubory . Pokud soubor s tímto názvem již existuje, připojí se k němu číslo (například - Microsoft Defender(1).csv).
Podrobnosti adresy URL
Pokud v zobrazení adresy URL vyberete položku kliknutím na hodnotu adresy URL , otevře se informační panel podrobností s následujícími informacemi:
Karta Hloubková analýza : Informace na této kartě jsou k dispozici, pokud adresa URL byla prohledána (detonována) bezpečnými odkazy . Tyto zprávy můžete v Průzkumníku hrozeb identifikovat pomocí technologie detekce filtru dotazů s hodnotou detonace adresy URL.
Oddíl Řetězu detonace: Detonace bezpečných odkazů jedné adresy URL může aktivovat více detonací. Řetěz detonace sleduje cestu k detonacím, včetně původní škodlivé adresy URL, která způsobila verdikt, a všech ostatních adres URL ovlivněných detonací. Tyto adresy URL nemusí být v e-mailu přímo přítomné. Zahrnutí analýzy je ale důležité k určení, proč byla adresa URL zjištěna jako škodlivá.
Pokud nejsou k dispozici žádné informace o detonačním řetězci, je zobrazena hodnota Žádný detonační strom . Jinak můžete vybrat Exportovat a stáhnout informace o detonačním řetězu do souboru CSV. Výchozí název souboru je Detonační chain.csv a výchozím umístěním je složka Stažené soubory . Pokud soubor s tímto názvem již existuje, připojí se k němu číslo (například detonační řetězec(1).csv). Soubor CSV obsahuje následující informace:
- Horní: Soubor nejvyšší úrovně.
- Level1: Soubor další úrovně.
- Úroveň2: Soubor další úrovně.
- a tak dále.
V řetězci detonace a souboru CSV se může zobrazit pouze položka nejvyšší úrovně, pokud nebyla zjištěna žádná z propojených entit nebo nebyla detonována.
Souhrnný oddíl: Pokud nejsou k dispozici žádné souhrnné informace o detonaci, zobrazí se hodnota Bez souhrnu detonace . V opačném případě jsou k dispozici následující souhrnné informace o detonaci:
- Čas analýzy
- Verdict: Verdikt na samotné adrese URL.
Část Snímky obrazovky: Zobrazí všechny snímky obrazovky, které byly pořízeny během detonace. Pokud se z adresy URL otevře odkaz, který přímo stáhne soubor, nezachytí se žádné snímky obrazovky. Stažený soubor se ale zobrazí v řetězu detonace.
Pokud nejsou k dispozici žádné snímky obrazovky s detonací, zobrazí se hodnota Žádné snímky obrazovky, které by se neměly zobrazit . Jinak vyberte odkaz a zobrazte snímek obrazovky.
Oddíl Podrobnosti o chování: Ukazuje přesné události, ke kterým došlo během detonace, a problematická nebo neškodná pozorování, která obsahují adresy URL, IP adresy, domény a soubory, které byly nalezeny během detonace.
Pokud nejsou k dispozici žádné informace o chování, je zobrazena hodnota Žádné chování detonace . V opačném případě můžete vybrat Exportovat a stáhnout informace o chování do souboru CSV. Výchozí název souboru je Behavior details.csv a výchozím umístěním je složka Stažené soubory . Pokud soubor s tímto názvem již existuje, připojí se k němu číslo (například Podrobnosti o chování(1).csv). Soubor CSV obsahuje následující informace:
- Time
- Chování
- Vlastnost Chování
- Proces (PID)
- Operace
- Target (Cíl)
- Podrobnosti
- Result (Výsledek)
Karta Informace o adrese URL: Oddíl s podrobnostmi adresy URL obsahuje následující informace:
- URL
- Hrozba
Až budete v informačním rámečku podrobností souboru hotovi, vyberte Zavřít.
Blokování adres URL ze zobrazení adresy URL
Pokud v zobrazení adresy URL vyberete položku zaškrtnutím políčka vedle názvu souboru, bude k dispozici akce Blokovat. Tato akce přidá adresu URL jako blokovou položku v seznamu povolených/blokovaných tenantů. Výběrem možnosti Blokovatspustíte průvodce Provedením akce :
Na stránce Zvolit akce nakonfigurujte jedno z následujících nastavení v části Adresa URL bloku :
- Nikdy nevyprší : Toto je výchozí hodnota .
- Nikdy nevyprší platnost : Posuňte přepínač do polohy vypnuto a pak vyberte datum v poli Odebrat .
Až budete hotovi na stránce Zvolit akce , vyberte Další.
Na stránce Zvolit cílové entity ověřte, že je vybraná adresa URL, kterou chcete blokovat, a pak vyberte Další.
Na stránce Zkontrolovat a odeslat nakonfigurujte následující nastavení:
- Název nápravy: Zadejte jedinečný název pro sledování stavu v Centru akcí.
- Popis: Zadejte volitelný popis.
Až skončíte na stránce Zkontrolovat a odeslat , vyberte Odeslat.
Podobné zobrazení e-mailů
Zobrazení Podobné e-maily zobrazuje další e-mailové zprávy, které mají stejný otisk textu zprávy jako tato zpráva. Shoda kritérií v jiných zprávách se pro toto zobrazení nevztahuje (například otisky prstů v příloze souboru).
V tomto zobrazení jsou k dispozici následující informace o příloze. Vyberte záhlaví sloupce, které chcete seřadit podle tohoto sloupce. Pokud chcete přidat nebo odebrat sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny dostupné sloupce.
- Date
- Předmět
- Příjemce
- Odesílatel
- IP adresa odesílatele
- Schvátit
- Akce doručení
- Místo doručení
Pomocí filtru můžete filtrovat položky podle počátečního data a koncového data.
Pomocí vyhledávacího pole vyhledejte informace na stránce. Do pole zadejte text a stiskněte klávesu ENTER.
Pomocí exportu vyexportujte data v zobrazení do souboru CSV. Výchozí název souboru je – Microsoft Defender.csv a výchozím umístěním je složka Stažené soubory . Pokud soubor s tímto názvem již existuje, připojí se k němu číslo (například - Microsoft Defender(1).csv).
Akce na stránce Email entity
V horní části stránky Email entity jsou k dispozici následující akce:
- Provedení akce: Informace najdete v tématu Proaktivní vyhledávání hrozeb: Průvodce provedením akce.
- Email preview¹ ²
-
Další možnosti:
Přejít na e-mail v karanténě: K dispozici pouze v případě, že zpráva byla v karanténě. Výběrem této akce se otevře karta Email na stránce Umístit do karantény v https://security.microsoft.com/quarantinea filtrovaná podle jedinečné hodnoty ID zprávy zprávy. Další informace najdete v tématu Zobrazení e-mailů v karanténě.
Stáhnout e-mail¹ ²
Tip
Pro zprávy, které byly v karanténě, nejsou e-maily ke stažení dostupné. Místo toho stáhněte kopii zprávy chráněnou heslem z karantény.
¹ Akce Email preview a Stáhnout e-mail vyžadují roli Preview. Tuto roli můžete přiřadit v následujících umístěních:
- Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell: Operace zabezpečení/ Nezpracovaná data (spolupráce & e-mailem)/Email & obsah spolupráce (čtení).
- Email & oprávnění ke spolupráci na portálu Microsoft Defender: Členství ve skupinách rolí Vyšetřovatel dat nebo eDiscovery Manager. Nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Preview a přidat uživatele do vlastní skupiny rolí.
² E-mailové zprávy, které jsou dostupné v poštovních schránkách Microsoftu 365, si můžete zobrazit náhled nebo si je stáhnout. Mezi příklady, kdy už zprávy nejsou dostupné v poštovních schránkách, patří:
- Zpráva byla vyřazena před doručením nebo doručením se nezdařilo.
- Zpráva byla pevně odstraněna.
- Zpráva má umístění pro doručování v místním nebo externím umístění.
- ZAP zprávu přesunula do karantény.
Panel souhrnu Email
Panel souhrnu Email je informační panel podrobností e-mailu, který je k dispozici v mnoha funkcích Exchange Online Protection (EOP) a Defender pro Office 365. Panel souhrnu Email obsahuje standardizované souhrnné informace o e-mailové zprávě převzaté z úplných podrobností, které jsou k dispozici na stránce Email entity v Defender pro Office 365.
Kde najít panel souhrnu Email je popsán v části Kde najít Email entitu dříve v tomto článku. Zbytek této části popisuje informace, které jsou k dispozici na panelu souhrnu Email u všech funkcí.
Tip
Panel souhrnu Email je k dispozici na stránce https://security.microsoft.com/action-center/Centra akcí na kartě Čekání nebo Historie. Vyberte akci s hodnotou Typu entityEmail kliknutím na libovolné místo v jiném řádku, než je zaškrtávací políčko nebo hodnota ID šetření. Vysouvací panel podrobností, který se otevře, je Email souhrnný panel, ale entita Otevřít e-mail není v horní části informačního rámečku dostupná.
V horní části panelu souhrnu Email jsou k dispozici následující informace o zprávě:
- Název informačního rámečku je hodnota předmětu zprávy.
- Počet příloh a odkazů ve zprávě (nejsou k dispozici ve všech funkcích).
- Všechny uživatelské značky přiřazené příjemcům zprávy (včetně značky účtu Priority) Další informace najdete v tématu Značky uživatelů v Microsoft Defender pro Office 365
- Akce, které jsou k dispozici v horní části informačního rámečku, závisí na tom, kde jste otevřeli panel souhrnu Email. Dostupné akce jsou popsané v jednotlivých článcích o funkcích.
Tip
Pokud chcete zobrazit podrobnosti o dalších zprávách, aniž byste opustili panel souhrnu Email aktuální zprávy, použijte předchozí položku a další položku v horní části informačního rámečku.
Následující části jsou dostupné na panelu souhrnu Email pro všechny funkce (nezáleží na tom, odkud jste panel souhrnu Email otevřeli):
Část podrobnosti o doručení :
- Původní hrozby
- Nejnovější hrozby
- Původní umístění
- Nejnovější místo doručení
- Akce doručení
- Technologie detekce
- Primární přepsání: Zdroj
oddíl s podrobnostmi o Email:
- Zobrazované jméno odesílatele
- Adresa odesílatele
- E-mail odesílatele z adresy
- Odesláno jménem
- Návratová cesta
- IP adresa odesílatele
- Umístění
- Příjemci
- Čas přijetí
- Směrovost
- ID síťové zprávy
- ID internetové zprávy
- ID kampaně
- DMARC
- DKIM
- SPF
- Složené ověřování
Část Adresy URL: Podrobnosti o všech adresách URL ve zprávě:
- URL
- Stav hrozby
Pokud zpráva obsahuje více než tři adresy URL, vyberte Zobrazit všechny adresy URL , aby se zobrazily všechny.
Oddíl Přílohy : Podrobnosti o všech souborových přílohách ve zprávě:
- Název přílohy
- Hrozba
- Technologie detekce / řada malwaru
Pokud má zpráva více než tři přílohy, vyberte Zobrazit všechny přílohy , aby se zobrazily všechny přílohy.