Informace o Průzkumníku hrozeb a detekcích v reálném čase v Microsoft Defender pro Office 365

• Platí pro:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Organizace Microsoft 365, které mají Microsoft Defender pro Office 365 zahrnuté ve svém předplatném nebo zakoupené jako doplněk, mají Průzkumníka (označovaného také jako Průzkumník hrozeb) nebo detekci v reálném čase. Tyto funkce jsou výkonné nástroje pro vytváření sestav téměř v reálném čase, které pomáhají týmům se zabezpečením (SecOps) prošetřovat hrozby a reagovat na ně.

V závislosti na vašem předplatném je Průzkumník hrozeb nebo detekce v reálném čase k dispozici v části Email & spolupráce na portálu Microsoft Defender na adrese https://security.microsoft.com:

• Detekce v reálném čase jsou k dispozici v Defender pro Office 365 Plan 1. Stránka detekce v reálném čase je k dispozici přímo na adrese https://security.microsoft.com/realtimereportsv3.

  

• Průzkumník hrozeb je k dispozici v Defender pro Office 365 Plan 2. Stránka Průzkumníka je k dispozici přímo na adrese https://security.microsoft.com/threatexplorerv3.

  

Průzkumník hrozeb obsahuje stejné informace a funkce jako detekce v reálném čase, ale s následujícími dalšími funkcemi:

• Další zobrazení
• Další možnosti filtrování vlastností, včetně možnosti ukládání dotazů
• Další akce

Další informace o rozdílech mezi Defender pro Office 365 Plán 1 a Plán 2 najdete ve stručné nápovědě Defender pro Office 365 Plán 1 a Plán 2.

Zbytek tohoto článku vysvětluje zobrazení a funkce, které jsou k dispozici v Průzkumníku hrozeb a detekcích v reálném čase.

Tip

Informace o e-mailových scénářích s využitím Průzkumníka hrozeb a detekce v reálném čase najdete v následujících článcích:

• Proaktivní vyhledávání hrozeb v Průzkumníku hrozeb a detekce v reálném čase v Microsoft Defender pro Office 365
• Email zabezpečení pomocí Průzkumníka hrozeb a detekce v reálném čase v Microsoft Defender pro Office 365
• Prošetření škodlivých e-mailů doručených v Microsoftu 365

Oprávnění a licencování pro Průzkumníka hrozeb a detekce v reálném čase

Pokud chcete používat průzkumníka nebo zjišťování v reálném čase, musíte mít přiřazená oprávnění. Máte následující možnosti:

• Microsoft Defender XDR sjednoceného řízení přístupu na základě role (RBAC) (týká se jenom portálu Defender, ne PowerShellu):
  • Přístup pro čtení pro záhlaví e-mailu a zpráv v Teams: Operace zabezpečení / Nezpracovaná data (spolupráce & e-mailu)/Email & metadata spolupráce (čtení).
  • Náhled a stahování e-mailových zpráv: Operace zabezpečení / Nezpracovaná data (e-mailová & spolupráce)/Email & obsah spolupráce (čtení).
  • Náprava škodlivých e-mailů: Operace zabezpečení / Data zabezpečení / Email & pokročilé akce spolupráce (správa).
• Email & oprávnění ke spolupráci na portálu Microsoft Defender:
  • Úplný přístup: Členství ve skupinách rolí Správa organizace nebo Správce zabezpečení . K provedení všech dostupných akcí se vyžadují další oprávnění:
    • Náhled a stahování zpráv: Vyžaduje roli Preview , která je ve výchozím nastavení přiřazená jenom skupinám rolí Vyšetřovatel dat nebo eDiscovery Manager . Nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Preview a přidat uživatele do vlastní skupiny rolí.
    • Přesouvání a odstraňování zpráv z poštovních schránek: Vyžaduje roli Search a Vymazání, která je ve výchozím nastavení přiřazená jenom skupinám rolí Vyšetřovatel dat nebo Správa organizace. Nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Search a Vyprázdnit a přidat uživatele do vlastní skupiny rolí.
  • Přístup jen pro čtení: Členství ve skupině rolí Čtenář zabezpečení .
• Microsoft Entra oprávnění: Členství v těchto rolích poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365:
  • Úplný přístup: Členství v rolích globálního správce nebo správce zabezpečení .
  • Search pro pravidla toku pošty Exchange (pravidla přenosu) podle názvu v Průzkumníku hrozeb: Členství v rolích Správce zabezpečení nebo Čtenář zabezpečení.
  • Přístup jen pro čtení: Členství v rolích Globální čtenář nebo Čtenář zabezpečení .

Tip

Položky protokolu auditu se generují, když správci stahují náhled nebo stahují e-mailové zprávy. V protokolu auditování správce můžete podle uživatele vyhledat aktivitu AdminMailAccess . Pokyny najdete v tématu Auditování nových Search.

Pokud chcete používat Průzkumníka hrozeb nebo detekce v reálném čase, musíte mít přiřazenou licenci pro Defender pro Office 365 (která je součástí vašeho předplatného nebo doplňkové licence).

Průzkumník hrozeb nebo detekce v reálném čase obsahují data pro uživatele, kteří mají přiřazené Defender pro Office 365 licence.

Prvky Průzkumníka hrozeb a detekce v reálném čase

Průzkumník hrozeb a detekce v reálném čase obsahují následující prvky:

• Zobrazení: Karty v horní části stránky, které organizují detekce podle hrozeb. Zobrazení má vliv na zbývající data a možnosti na stránce.

  Následující tabulka uvádí dostupná zobrazení v Průzkumníku hrozeb a detekcích v reálném čase:

  Zobrazení	Hrozba Explorer	Real-time Detekcí	Popis
  Všechny e-maily	✔		Výchozí zobrazení pro Průzkumníka hrozeb. Informace o všech e-mailových zprávách odeslaných externími uživateli do vaší organizace nebo e-mailech odeslaných mezi interními uživateli ve vaší organizaci
  Malware	✔	✔	Výchozí zobrazení pro detekce v reálném čase Informace o e-mailových zprávách, které obsahují malware.
  Phish	✔	✔	Informace o e-mailových zprávách, které obsahují phishingové hrozby
  Kampaně	✔		Informace o škodlivých e-mailech, které Defender pro Office 365 Plán 2 identifikované jako součást koordinované phishingové nebo malwarové kampaně.
  Malware obsahu	✔	✔	Informace o škodlivých souborech zjištěných následujícími funkcemi: Integrovaná antivirová ochrana v SharePointu, OneDrivu a Microsoft Teams Bezpečné přílohy pro SharePoint, OneDrive a Microsoft Teams
  Kliknutí na adresu URL	✔		Informace o tom, jak uživatel klikne na adresy URL v e-mailových zprávách, zprávách Teams, sharepointových souborech a souborech OneDrivu.

  Tato zobrazení jsou podrobně popsaná v tomto článku, včetně rozdílů mezi Průzkumníkem hrozeb a detekcemi v reálném čase.

• Filtry data a času: Ve výchozím nastavení se zobrazení filtruje podle včerejška a dnešek. Pokud chcete změnit filtr kalendářních dat, vyberte rozsah dat a pak vyberte Počáteční datum a Koncové datum až před 30 dny.

  

• Filtry vlastností (dotazy): Výsledky v zobrazení můžete filtrovat podle dostupných vlastností zprávy, souboru nebo hrozby. Dostupné filtrovatelné vlastnosti závisí na zobrazení. Některé vlastnosti jsou k dispozici v mnoha zobrazeních, zatímco jiné jsou omezené na konkrétní zobrazení.

  Dostupné filtry vlastností pro každé zobrazení jsou uvedeny v tomto článku, včetně rozdílů mezi Průzkumníkem hrozeb a detekcemi v reálném čase.

  Pokyny k vytvoření filtrů vlastností najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.

  Průzkumník hrozeb umožňuje ukládat dotazy pro pozdější použití, jak je popsáno v části Uložené dotazy v Průzkumníku hrozeb .

• Grafy: Každé zobrazení obsahuje vizuální agregovanou reprezentaci filtrovaných nebo nefiltrovaných dat. Dostupné pivoty můžete použít k uspořádání grafu různými způsoby.

  Často můžete použít export dat grafu k exportu filtrovaných nebo nefiltrovaných dat grafu do souboru CSV.

  Grafy a dostupné pivoty jsou podrobně popsané v tomto článku, včetně rozdílů mezi Průzkumníkem hrozeb a detekcemi v reálném čase.

  Tip

  Pokud chcete graf ze stránky odebrat (čímž se maximalizuje velikost oblasti podrobností), použijte některou z následujících metod:

  • V horní části stránky vyberte Zobrazení> seznamu zobrazení grafu.
  • Vyberte Zobrazit zobrazení seznamu mezi grafem a oblastí podrobností.

• Oblast podrobností: Oblast podrobností pro zobrazení obvykle zobrazuje tabulku, která obsahuje filtrovaná nebo nefiltrovaná data. Dostupná zobrazení (karty) můžete použít k uspořádání dat v oblasti podrobností různými způsoby. Zobrazení může například obsahovat grafy, mapy nebo jiné tabulky.

  Pokud oblast podrobností obsahuje tabulku, můžete často použít export k selektivnímu exportu až 200 000 filtrovaných nebo nefiltrovaných výsledků do souboru CSV.

  Tip

  V rozevíracím rámečku Exportovat můžete vybrat některé nebo všechny dostupné vlastnosti, které chcete exportovat. Výběry se ukládají pro jednotlivé uživatele. Výběry v anonymním nebo inprivate režimu procházení se ukládají, dokud nezavřete webový prohlížeč.

Zobrazení Všech e-mailů v Průzkumníku hrozeb

Zobrazení Všechny e-maily v Průzkumníku hrozeb zobrazuje informace o všech e-mailových zprávách odeslaných externími uživateli do vaší organizace a o e-mailech odeslaných mezi interními uživateli ve vaší organizaci. V zobrazení se zobrazují škodlivé a nezlými e-maily. Příklady:

• Email identifikované útoky phishing nebo malware.
• Email identifikovány jako spam nebo hromadně.
• Email identifikovaný bez hrozeb.

Toto zobrazení je v Průzkumníku hrozeb výchozí. Pokud chcete otevřít zobrazení Všechny e-maily na stránce Průzkumník na portálu Defender na adrese https://security.microsoft.com, přejděte na kartu Email & spolupráce>Průzkumník>všech e-mailů. Nebo přejděte přímo na stránku Průzkumník pomocí https://security.microsoft.com/threatexplorerv3a ověřte, že je vybraná karta Všechny e-maily.

Filtrovatelné vlastnosti v zobrazení Všechny e-maily v Průzkumníku hrozeb

Ve výchozím nastavení se na data nepoužijí žádné filtry vlastností. Postup vytvoření filtrů (dotazů) je popsaný v části Filtry v Průzkumníku hrozeb a detekce v reálném čase dále v tomto článku.

Filtrovatelné vlastnosti, které jsou k dispozici v poli Akce doručení v zobrazení Všechny e-maily , jsou popsány v následující tabulce:

Vlastnost	Typ
Basic
Adresa odesílatele	Text. Více hodnot oddělte čárkami.
Příjemci	Text. Více hodnot oddělte čárkami.
Doména odesílatele	Text. Více hodnot oddělte čárkami.
Doména příjemce	Text. Více hodnot oddělte čárkami.
Předmět	Text. Více hodnot oddělte čárkami.
Zobrazované jméno odesílatele	Text. Více hodnot oddělte čárkami.
E-mail odesílatele z adresy	Text. Více hodnot oddělte čárkami.
Pošta odesílatele z domény	Text. Více hodnot oddělte čárkami.
Návratová cesta	Text. Více hodnot oddělte čárkami.
Doména návratové cesty	Text. Více hodnot oddělte čárkami.
Řada malwaru	Text. Více hodnot oddělte čárkami.
Značky	Text. Více hodnot oddělte čárkami. Další informace o značkách uživatelů najdete v tématu Značky uživatelů.
Zosobněná doména	Text. Více hodnot oddělte čárkami.
Zosobněný uživatel	Text. Více hodnot oddělte čárkami.
Pravidlo přenosu exchange	Text. Více hodnot oddělte čárkami.
Pravidlo ochrany před únikem informací	Text. Více hodnot oddělte čárkami.
Kontextu	Vyberte jednu nebo více hodnot: Hodnocení Ochrana prioritního účtu
Konektor	Text. Více hodnot oddělte čárkami.
Akce doručení	Vyberte jednu nebo více hodnot: Blokováno: Email zprávy, které byly v karanténě, které se nepodařilo doručit nebo byly vyřazeny. Doručeno: Email doručeno do složky Doručená pošta uživatele nebo do jiné složky, kde má uživatel přístup ke zprávě. Doručeno na nevyžádanou poštu: Email doručeno do složky Nevyžádaná Email pošta uživatele nebo do složky Odstraněná pošta, kde má uživatel přístup ke zprávě. Nahrazeno: Přílohy zpráv, které byly nahrazeny zásadami dynamického doručování v bezpečných přílohách.
Další akce	Vyberte jednu nebo více hodnot: Automatizovaná náprava Dynamické doručování: Další informace najdete v tématu Dynamické doručování v zásadách bezpečných příloh. Ruční náprava Žádné Uvolnění do karantény Znovu zpracováno: Zpráva byla zpětně identifikována jako dobrá. ZAP: Další informace najdete v tématu Automatické vyprázdnění (ZAP) v Microsoft Defender pro Office 365.
Směrovost	Vyberte jednu nebo více hodnot: Příchozí Intra-irg Odchozí
Technologie detekce	Vyberte jednu nebo více hodnot: Rozšířený filtr: Signály založené na strojovém učení. Antimalwarová ochrana Hromadné Kampaň Reputace domény Detonace souborů: Bezpečné přílohy detekovaly škodlivou přílohu během analýzy detonace. Reputace detonace souborů: Přílohy souborů dříve detekované detonacemi bezpečných příloh v jiných organizacích Microsoftu 365. Reputace souboru: Zpráva obsahuje soubor, který byl dříve identifikován jako škodlivý v jiných organizacích Microsoft 365. Párování otisků prstů: Zpráva se podobá předchozí zjištěné škodlivé zprávě. Obecný filtr Značka zosobnění: Zosobnění odesílatelem známých značek. Zosobnění domény: Zosobnění domén odesílatele, které vlastníte nebo které jste zadali pro ochranu v zásadách ochrany proti útokům phishing Uživatel zosobnění Reputace IP adres Zosobnění inteligentních poštovních schránek: Detekce zosobnění z inteligentních funkcí poštovní schránky v zásadách ochrany proti útokům phishing. Detekce smíšené analýzy: K verdiktu zprávy přispělo několik filtrů. spoof DMARC: Zpráva selhala při ověřování DMARC. Falšování externí domény: Falšování e-mailové adresy odesílatele pomocí domény, která je pro vaši organizaci externí. Falšování identity uvnitř organizace: Falšování e-mailové adresy odesílatele pomocí domény, která je interní pro vaši organizaci. Reputace detonace adresy URL: Adresy URL dříve detekované detonacemi bezpečných odkazů v jiných organizacích Microsoft 365. Škodlivá reputace adresy URL: Zpráva obsahuje adresu URL, která byla dříve identifikována jako škodlivá v jiných organizacích Microsoft 365.
Původní místo doručení	Vyberte jednu nebo více hodnot: Složka Odstraněná pošta Klesl Selhalo Doručená pošta nebo složka Nevyžádaná pošta Místní/externí Karanténa Unknown (neznámý)
Nejnovější místo doručení¹	Stejné hodnoty jako původní umístění doručení
Úroveň spolehlivosti phish	Vyberte jednu nebo více hodnot: High (Vysoká) Normální
Primární přepsání	Vyberte jednu nebo více hodnot: Povolené zásadami organizace Povolené zásadami uživatele Blokováno zásadami organizace Blokováno zásadami uživatele Žádné
Primární zdroj přepsání	Zprávy můžou mít několik přepsání povolení nebo blokování, jak je uvedeno ve zdroji přepsání. Přepsání, které zprávu nakonec povolilo nebo zablokovalo, je identifikováno v primárním zdroji přepsání. Vyberte jednu nebo více hodnot: Filtr třetí strany Správa zahájené cestování časem (ZAP) Blokování antimalwarových zásad podle typu souboru Nastavení antispamových zásad Zásady připojení Pravidlo přenosu exchange Výhradní režim (přepsání uživatelem) Filtrování se přeskočí kvůli místní organizaci Filtr oblastí IP adres ze zásad Filtr jazyka ze zásad Simulace útoků phishing Uvolnění do karantény Poštovní schránka SecOps Seznam adres odesílatele (Správa přepsání) Seznam adres odesílatele (přepsání uživatelem) Seznam domén odesílatelů (Správa přepsání) Seznam domén odesílatelů (přepsání uživatelem) Blokování souboru seznamu povolených nebo blokovaných tenantů Blok e-mailové adresy odesílatele v seznamu povolených nebo blokovaných tenantů Blok falšování povolených nebo blokovaných položek v seznamu povolených tenantů Blok adresy URL seznamu povolených nebo blokovaných tenantů Seznam důvěryhodných kontaktů (přepsání uživatelem) Důvěryhodná doména (přepsání uživatelem) Důvěryhodný příjemce (přepsání uživatelem) Pouze důvěryhodní odesílatelé (přepsání uživatelem)
Přepsat zdroj	Stejné hodnoty jako primární zdroj přepsání
Typ zásady	Vyberte jednu nebo více hodnot: Antimalwarové zásady Zásady ochrany proti útokům phishing Pravidlo přenosu exchange (pravidlo toku pošty), zásady filtru hostovaného obsahu (zásady ochrany před spamem), zásady filtru odchozích spamů (zásady odchozího spamu), zásady bezpečných příloh Unknown (neznámý)
Akce zásad	Vyberte jednu nebo více hodnot: Přidání záhlaví x Skrytá zpráva Odstranit zprávu Upravit předmět Přesunout do složky Nevyžádaná pošta Email Nebyla provedena žádná akce Zpráva o přesměrování Odeslat do karantény
Typ hrozby	Vyberte jednu nebo více hodnot: Malware Phish Spam
Přeposlaná zpráva	Vyberte jednu nebo více hodnot: Pravda Nepravda
Distribuční seznam	Text. Více hodnot oddělte čárkami.
velikost Email	Celé číslo. Více hodnot oddělte čárkami.
Upřesnit
ID internetové zprávy	Text. Více hodnot oddělte čárkami. K dispozici v poli Hlavička ID zprávy v záhlaví zprávy. Příklad hodnoty je <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (všimněte si úhlových závorek).
ID síťové zprávy	Text. Více hodnot oddělte čárkami. Hodnota GUID, která je k dispozici v poli hlavičky X-MS-Exchange-Organization-Network-Message-Id v záhlaví zprávy.
IP adresa odesílatele	Text. Více hodnot oddělte čárkami.
Příloha SHA256	Text. Více hodnot oddělte čárkami.
ID clusteru	Text. Více hodnot oddělte čárkami.
ID upozornění	Text. Více hodnot oddělte čárkami.
ID zásad upozornění	Text. Více hodnot oddělte čárkami.
ID kampaně	Text. Více hodnot oddělte čárkami.
Signál ADRESY URL zap	Text. Více hodnot oddělte čárkami.
Adresy url
Počet adres URL	Celé číslo. Více hodnot oddělte čárkami.
Adresa URL doména²	Text. Více hodnot oddělte čárkami.
Doména adresy URL a cesta²	Text. Více hodnot oddělte čárkami.
URL²	Text. Více hodnot oddělte čárkami.
Cesta URL²	Text. Více hodnot oddělte čárkami.
Zdroj adresy URL	Vyberte jednu nebo více hodnot: Přílohy Cloudová příloha Email text záhlaví Email Kód QR Předmět Unknown (neznámý)
Klikněte na verdikt.	Vyberte jednu nebo více hodnot: Povoleno: Uživateli bylo povoleno otevřít adresu URL. Přepsání bloku: Uživateli se zablokovalo přímé otevření adresy URL, ale blok přepsal, aby otevřel adresu URL. Blokováno: Uživateli se zablokovalo otevření adresy URL. Chyba: Uživateli se zobrazila chybová stránka nebo došlo k chybě při zaznamenání verdiktu. Selhání: Při zachycení verdiktu došlo k neznámé výjimce. Uživatel pravděpodobně otevřel adresu URL. Žádné: Nelze zachytit verdikt pro adresu URL. Uživatel pravděpodobně otevřel adresu URL. Čekající verdikt: Uživateli se zobrazila stránka čekající na detonaci. Nevyřízený verdikt byl obejit: Uživateli se zobrazila stránka s detonací, ale zprávu přehlušil, aby otevřel adresu URL.
Hrozba adresy URL	Vyberte jednu nebo více hodnot: Malware Phish Spam
Soubor
Počet příloh	Celé číslo. Více hodnot oddělte čárkami.
Název souboru přílohy	Text. Více hodnot oddělte čárkami.
Typ souboru	Text. Více hodnot oddělte čárkami.
Přípona souboru	Text. Více hodnot oddělte čárkami.
Velikost souboru	Celé číslo. Více hodnot oddělte čárkami.
Ověřování
SPF	Vyberte jednu nebo více hodnot: Selhání Neutrální Žádné Předat Trvalá chyba Měkké selhání Dočasná chyba
DKIM	Vyberte jednu nebo více hodnot: Chyba Selhání Ignorovat Žádné Předat Test Časový limit Unknown (neznámý)
DMARC	Vyberte jednu nebo více hodnot: Nejlepší odhad pass Selhání Žádné Předat Trvalá chyba Selektor pass Dočasná chyba Unknown (neznámý)
Složené	Vyberte jednu nebo více hodnot: Selhání Žádné Předat Soft pass

Tip

¹ Nejnovější umístění pro doručení nezahrnuje akce koncových uživatelů u zpráv. Například pokud uživatel zprávu odstranil nebo ji přesunul do archivu nebo souboru PST.

Existují scénáře, kdy původní umístění/ doručeníNejnovější místo doručení a/nebo Akce doručení mají hodnotu Neznámé. Příklady:

• Zpráva byla doručena (akce doručení je Doručená), ale pravidlo doručené pošty ji přesunulo do jiné výchozí složky, než je složka Doručená pošta nebo Nevyžádaná Email pošta (například do složky Koncept nebo Archiv).
• Zap se pokusil zprávu po doručení přesunout, ale zpráva se nenašla (například uživatel zprávu přesunul nebo odstranil).

² Ve výchozím nastavení se vyhledávání adresy URL mapuje na http, pokud není explicitně zadána jiná hodnota. Příklady:

• Při hledání s a bez předpony http:// v adrese URL, doméně adresy URL a doméně a cestě adresy URL by se měly zobrazit stejné výsledky.
• Search pro předponu https:// v adrese URL. Pokud není zadána žádná hodnota, http:// předpokládá se předpona.
• / na začátku a konci cesty URL, doména adresy URL, doména adresy URL a pole cesty se ignorují.
• / na konci pole adresy URL se ignoruje.

Pivoty pro graf v zobrazení Všechny e-maily v Průzkumníku hrozeb

Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Dostupné pivoty grafu jsou popsány v následujících pododdílech.

Kontingenční graf akcí doručení v zobrazení Všechny e-maily v Průzkumníku hrozeb

I když tento kontingenční graf ve výchozím nastavení nevypadá jako vybraný, akce Doručení je výchozím kontingenčním grafem v zobrazení Všechny e-maily .

Pivot Akce doručení uspořádá graf podle akcí provedených u zpráv pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých akcí doručení.

Kontingenční graf domény odesílatele v zobrazení Všechny e-maily v Průzkumníku hrozeb

Pivot Doména odesílatele uspořádá graf podle domén ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu odesílatele.

Kontingenční graf IP adresy odesílatele v zobrazení Všechny e-maily v Průzkumníku hrozeb

Pivot Ip adresa odesílatele uspořádá graf podle zdrojových IP adres zpráv pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet IP adres jednotlivých odesílatelů.

Graf technologie detekce v zobrazení Všechny e-maily v Průzkumníku hrozeb

Pivot Technologie detekce uspořádá graf podle funkce, která identifikovala zprávy pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých technologií detekce.

Kontingenční graf s celou adresou URL v zobrazení Všechny e-maily v Průzkumníku hrozeb

Pivot Úplná adresa URL uspořádá graf podle úplných adres URL ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou úplnou adresu URL.

Kontingenční graf domény adresy URL v zobrazení Všechny e-maily v Průzkumníku hrozeb

Kontingenční adresa URL domény uspořádá graf podle domén v adresách URL ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu adresy URL.

Doména adresy URL a graf cest v zobrazení Všechny e-maily v Průzkumníku hrozeb

Kontingenční adresa URL domény a cesty uspořádá graf podle domén a cest v adresách URL ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu url a cestu.

Zobrazení pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Dostupná zobrazení (karty) v oblasti podrobností zobrazení Všechny e-maily jsou popsána v následujících pododdílech.

Email zobrazení podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Email je výchozí zobrazení pro oblast podrobností v zobrazení Všechny e-maily.

Zobrazení Email zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Výchozí hodnoty jsou označené hvězdičkou (^*):

• Datum^*
• Předmět^*
• Příjemce^*
• Doména příjemce
• Tagy^*
• Adresa odesílatele^*
• Zobrazované jméno odesílatele
• Doména odesílatele^*
• IP adresa odesílatele
• E-mail odesílatele z adresy
• Pošta odesílatele z domény
• Další akce^*
• Akce doručení
• Nejnovější místo doručení^*
• Původní místo doručení^*
• Systém přepisuje zdroj
• Přepsání systému
• ID upozornění
• ID internetové zprávy
• ID síťové zprávy
• Jazyk pošty
• Pravidlo přenosu exchange
• Konektor
• Kontextu
• Pravidlo ochrany před únikem informací
• Typ hrozby^*
• Technologie detekce
• Počet příloh
• Počet adres URL
• velikost Email

Tip

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

• Vodorovné posouvání ve webovém prohlížeči
• Zužte šířku příslušných sloupců.
• Odeberte sloupce ze zobrazení.
• Oddálení ve webovém prohlížeči

Přizpůsobená nastavení sloupců se ukládají pro jednotlivé uživatele. Přizpůsobená nastavení sloupců v anonymním režimu nebo režimu procházení InPrivate se ukládají, dokud nezavřete webový prohlížeč.

Když vyberete jednu nebo více položek ze seznamu zaškrtnutím políčka vedle prvního sloupce, bude k dispozici akce Provést. Informace najdete v tématu Proaktivní vyhledávání hrozeb: Email náprava.

V hodnotě Předmět položky je k dispozici akce Otevřít v novém okně. Tato akce otevře zprávu na stránce Email entity.

Když v položce kliknete na hodnoty Předmět nebo Příjemce , otevřou se informační rámečky podrobností. Tyto informační rámečky jsou popsány v následujících pododdílech.

Email podrobnosti ze zobrazení Email oblasti podrobností v zobrazení Všechny e-maily

Když vyberete hodnotu Předmět položky v tabulce, otevře se informační panel s podrobnostmi e-mailu. Tento informační panel podrobností se označuje jako panel souhrnu Email a obsahuje standardizované souhrnné informace, které jsou k dispozici také na stránce Email entity pro danou zprávu.

Podrobnosti o informacích na panelu souhrnu Email najdete v tématu Panel souhrnu Email v Programu Defender.

V horní části panelu souhrnu Email jsou k dispozici následující akce pro Průzkumníka hrozeb a detekce v reálném čase:

• Otevřít entitu e-mailu
• Zobrazit záhlaví
• Provedení akce: Informace najdete v tématu Proaktivní vyhledávání hrozeb: Email náprava.
• Další možnosti:
  • Email preview¹ ²
  • Stáhnout e-mail¹ ² ³
  • Zobrazit v Průzkumníkovi
  • Běžte lovit

¹ Akce Email Preview a Stáhnout e-mail vyžadují v Email & oprávnění ke spolupráci roli Preview. Ve výchozím nastavení je tato role přiřazená skupinám rolí Vyšetřovatel dat a eDiscovery Manager . Ve výchozím nastavení nemůžou tyto akce provádět členové skupin rolí Správa organizace nebo Správci zabezpečení . Pokud chcete povolit tyto akce pro členy těchto skupin, máte následující možnosti:

• Přidejte uživatele do skupin rolí Vyšetřovatel dat nebo eDiscovery Manager .
• Create novou skupinu rolí s přiřazenou rolí Search a vyprázdnění a přidejte uživatele do vlastní skupiny rolí.

² E-mailové zprávy, které jsou dostupné v poštovních schránkách Microsoftu 365, si můžete zobrazit náhled nebo si je stáhnout. Mezi příklady, kdy už zprávy nejsou dostupné v poštovních schránkách, patří:

• Zpráva byla vyřazena před doručením nebo doručením se nezdařilo.
• Zpráva byla obnovitelně odstraněna (odstraněna ze složky Odstraněná pošta, čímž se zpráva přesune do složky Obnovitelné položky\Odstraněné položky).
• ZAP zprávu přesunula do karantény.

³ E-mail ke stažení není k dispozici pro zprávy, které byly v karanténě. Místo toho stáhněte kopii zprávy chráněnou heslem z karantény.

⁴ Go hunt je k dispozici pouze v Průzkumníku hrozeb. Není k dispozici v detekcích v reálném čase.

Podrobnosti o příjemci ze zobrazení Email oblasti podrobností v zobrazení Všechny e-maily

Když vyberete položku kliknutím na hodnotu Příjemce , otevře se informační panel podrobností s následujícími informacemi:

Tip

Pokud chcete zobrazit podrobnosti o ostatních příjemcích, aniž byste opustili informační panel podrobností, použijte možnost Předchozí položka a Další položka v horní části informačního rámečku.

• Oddíl souhrnu :

  • Role: Určuje, jestli má příjemce přiřazené nějaké role správce.
  • Zásady:
    • Určuje, jestli má uživatel oprávnění k zobrazení informací o archivu.
    • Určuje, jestli má uživatel oprávnění k zobrazení informací o uchovávání informací.
    • Jestli se na uživatele vztahuje ochrana před únikem informací
    • Jestli se na uživatele vztahuje správa mobilních zařízení na adrese https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.

• Email oddíl: Tabulka zobrazující následující související informace o zprávách odeslaných příjemci:

  • Date
  • Předmět
  • Příjemce

  Vyberte Zobrazit všechny e-maily a otevřete Průzkumníka hrozeb na nové kartě filtrované příjemcem.

• Oddíl Poslední výstrahy: Tabulka zobrazující následující související informace o souvisejících nedávných výstrahách:

  • Závažnosti
  • Zásady upozornění
  • Kategorie
  • Činnosti

  Pokud existují více než tři poslední výstrahy, vyberte Zobrazit všechna poslední upozornění a zobrazte je všechny.

  • Oddíl Nedávná aktivita : Zobrazuje souhrnné výsledky hledání v protokolu auditování pro příjemce:

    • Date
    • IP adresa
    • Activity
    • Položka

    Pokud má příjemce více než tři položky protokolu auditu, vyberte Zobrazit všechny nedávné aktivity , aby se zobrazily všechny.

  Tip

  Členové skupiny rolí Správci zabezpečení v Email & oprávnění ke spolupráci nemůžou rozbalit oddíl Nedávná aktivita. Musíte být členem skupiny rolí v Exchange Online oprávnění, která má přiřazené role Protokoly auditu, analytik Information Protection nebo Information Protection Vyšetřovatel. Ve výchozím nastavení se tyto role přiřazují skupinám rolí Správa záznamů, Správa dodržování předpisů, Information Protection, Analytici Information Protection, vyšetřovatelé Information Protection a Správa organizace. Do těchto skupin rolí můžete přidat členy skupiny Správci zabezpečení nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Protokoly auditu .

Adresa URL klikne na zobrazení podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb.

Zobrazení kliknutí na adresu URL zobrazuje graf, který je možné uspořádat pomocí kontingenčních panelů. Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Kontingenční grafy jsou popsány v následujících pododdílech.

Tip

V Průzkumníku hrozeb má každý pivot v zobrazení kliknutí na adresu URL akci Zobrazit všechna kliknutí, která otevře zobrazení kliknutí na adresu URL na nové kartě.

Pivot domény adresy URL pro zobrazení s kliknutími na adresu URL pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

I když se zdá, že tento kontingenční graf není vybraný, doména URL je výchozím kontingenčním grafem v zobrazení url kliknutí .

V pivotu domén adresy URL se v e-mailových zprávách zobrazují různé domény v adresách URL pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu adresy URL.

Kliknutím na pivot verdict (Verdict) pro zobrazení adresy URL kliknete na oblast podrobností zobrazení Všech e-mailů v Průzkumníku hrozeb.

Pivot Click verdict (Kliknout na verdikt ) zobrazuje různé verdikty pro klikané adresy URL v e-mailových zprávách pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každý verdikt kliknutí.

Pivot adresy URL pro zobrazení kliknutí na adresu URL pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

V pivotu adresy URL se zobrazují různé adresy URL, na které jste klikli v e-mailových zprávách pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých adres URL.

Doména adresy URL a pivot cesty pro zobrazení kliknutí na adresu URL pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Doména adresy URL a pivot cesty zobrazují různé domény a cesty k souborům adres URL, na které jste klikli v e-mailových zprávách pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu url a cestu k souboru.

Zobrazení hlavních adres URL pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

V zobrazení Horní adresy URL se zobrazuje tabulka podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce:

• URL
• Blokované zprávy
• Nevyžádané zprávy
• Doručené zprávy

Podrobnosti o hlavních adresách URL pro zobrazení Všechny e-maily

Když vyberete položku kliknutím na jiný řádek než zaškrtávací políčko vedle prvního sloupce, otevře se informační rámeček podrobností s následujícími informacemi:

Tip

Pokud chcete zobrazit podrobnosti o jiných adresách URL, aniž byste opustili vysouvací panel podrobností, použijte předchozí položku a další položku v horní části informačního rámečku.

• V horní části informačního rámečku jsou k dispozici následující akce:

  • Otevřít stránku URL

  • Odeslání k analýze:

    • Vyčištění sestavy
    • Nahlásit útok phishing
    • Nahlásit malware

  • Ukazatel správy:

    • Přidat indikátor
    • Správa v seznamu blokovaných tenantů

    Výběrem některé z těchto možností přejdete na stránku Odeslání na portálu Defender.

  • Další informace:

    • Zobrazit v Průzkumníkovi
    • Běžte lovit
• Původní adresa URL
• Oddíl detekce :
  • Verdikt analýzy hrozeb
  • x aktivních výstrah y incidentů: Vodorovný pruhový graf zobrazující počet upozornění na vysokou, střední, nízkou a informační výstrahu související s tímto odkazem.
  • Odkaz na zobrazení všech incidentů & upozornění na stránce URL.
• Část s podrobnostmi o doméně:
  • Název domény a odkaz na stránku Zobrazit doménu.
  • Žadatel o registraci
  • Registrováno dne
  • Aktualizováno
  • Platnost vyprší dne
• Oddíl kontaktních údajů žadatele o registraci:
  • Registrátora
  • Země/oblast
  • Poštovní adresa
  • E-mail
  • Phone
  • Další informace: Odkaz na Otevřít v Whois.
• Část Rozšíření adres URL (posledních 30 dní): Obsahuje počet zařízení, Email a kliknutí. Výběrem jednotlivých hodnot zobrazíte úplný seznam.
• Zařízení: Zobrazuje ovlivněná zařízení:

  • Datum (první/poslední)

  • Zařízení

    Pokud se jedná o více než dvě zařízení, vyberte Zobrazit všechna zařízení a zobrazte je všechna.

Zobrazení horních kliknutí pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Zobrazení Horní kliknutí zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce:

• URL
• Blokován
• Povoleno
• Přepsaný blok
• Čekající verdikt
• Nevyřízený verdikt se obešel
• Žádné
• Chybová stránka
• Selhání

Tip

Jsou vybrány všechny dostupné sloupce. Pokud vyberete Přizpůsobit sloupce, nebudete moct zrušit výběr žádných sloupců.

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

• Vodorovné posouvání ve webovém prohlížeči
• Zužte šířku příslušných sloupců.
• Oddálení ve webovém prohlížeči

Když vyberete položku kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle prvního sloupce, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o hlavních adresách URL v zobrazení Všechny e-maily.

Zobrazení nejčastějších cílových uživatelů pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Zobrazení Nejaktivnější cíloví uživatelé uspořádá data do tabulky s pěti nejlepšími příjemci, na které cílilo nejvíce hrozeb. Tabulka obsahuje následující informace:

• Nejčastější cílení uživatelé: E-mailová adresa příjemce. Pokud vyberete adresu příjemce, otevře se informační panel s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o příjemci v zobrazení Email oblasti podrobností v zobrazení Všechny e-maily.

• Počet pokusů: Pokud vyberete počet pokusů, Otevře se Průzkumník hrozeb na nové kartě filtrované příjemcem.

Tip

Pomocí exportu můžete exportovat seznam až 3 000 uživatelů a odpovídající pokusy.

Email zobrazení původu pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Zobrazení Email původu zobrazuje zdroje zpráv na mapě světa.

Zobrazení kampaně pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Zobrazení Kampaň zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce.

Informace v tabulce jsou stejné jako v tabulce podrobností na stránce Kampaně.

Když vyberete položku kliknutím na jiné místo v řádku, než je zaškrtávací políčko vedle názvu, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o kampani.

Zobrazení malwaru v Průzkumníku hrozeb a detekcích v reálném čase

Zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase zobrazuje informace o e-mailových zprávách, u které bylo zjištěno, že obsahují malware. Toto zobrazení je výchozí v detekcích v reálném čase.

Pokud chcete otevřít zobrazení Malware , proveďte jeden z následujících kroků:

• Průzkumník hrozeb: Na stránce Průzkumník na portálu Defender přejděte https://security.microsoft.comna Email &> spolupráciNa kartě Malware v Průzkumníku>. Nebo přejděte přímo na stránku Průzkumník pomocí https://security.microsoft.com/threatexplorerv3a pak vyberte kartu Malware.
• Detekce v reálném čase: Na stránce Detekce v reálném čase na portálu Defender přejděte https://security.microsoft.comna Email & kartěMalwarev Průzkumníku>spolupráce>. Nebo přejděte přímo na stránku Detekce v reálném čase pomocí https://security.microsoft.com/realtimereportsv3a ověřte, že je vybraná karta Malware.

Filtrovatelné vlastnosti v zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase

Ve výchozím nastavení se na data nepoužijí žádné filtry vlastností. Postup vytvoření filtrů (dotazů) je popsaný v části Filtry v Průzkumníku hrozeb a detekce v reálném čase dále v tomto článku.

Filtrovatelné vlastnosti, které jsou k dispozici v poli Adresa odesílatele v zobrazení Malware , jsou popsány v následující tabulce:

Vlastnost	Typ	Hrozba Explorer	Real-time Detekcí
Basic
Adresa odesílatele	Text. Více hodnot oddělte čárkami.	✔	✔
Příjemci	Text. Více hodnot oddělte čárkami.	✔	✔
Doména odesílatele	Text. Více hodnot oddělte čárkami.	✔	✔
Doména příjemce	Text. Více hodnot oddělte čárkami.	✔	✔
Předmět	Text. Více hodnot oddělte čárkami.	✔	✔
Zobrazované jméno odesílatele	Text. Více hodnot oddělte čárkami.	✔	✔
E-mail odesílatele z adresy	Text. Více hodnot oddělte čárkami.	✔	✔
Pošta odesílatele z domény	Text. Více hodnot oddělte čárkami.	✔	✔
Návratová cesta	Text. Více hodnot oddělte čárkami.	✔	✔
Doména návratové cesty	Text. Více hodnot oddělte čárkami.	✔	✔
Řada malwaru	Text. Více hodnot oddělte čárkami.	✔	✔
Značky	Text. Více hodnot oddělte čárkami. Další informace o značkách uživatelů najdete v tématu Značky uživatelů.	✔
Pravidlo přenosu exchange	Text. Více hodnot oddělte čárkami.	✔
Pravidlo ochrany před únikem informací	Text. Více hodnot oddělte čárkami.	✔
Kontextu	Vyberte jednu nebo více hodnot: Hodnocení Ochrana prioritního účtu	✔
Konektor	Text. Více hodnot oddělte čárkami.	✔
Akce doručení	Vyberte jednu nebo více hodnot: Blokován Dodané Doručeno do nevyžádané pošty Nahrazeno: Přílohy zpráv, které byly nahrazeny zásadami dynamického doručování v bezpečných přílohách.	✔	✔
Další akce	Vyberte jednu nebo více hodnot: Automatizovaná náprava Dynamické doručování: Další informace najdete v tématu Dynamické doručování v zásadách bezpečných příloh. Ruční náprava Žádné Uvolnění do karantény Znovu zpracováno ZAP: Další informace najdete v tématu Automatické vyprázdnění (ZAP) v Microsoft Defender pro Office 365.	✔	✔
Směrovost	Vyberte jednu nebo více hodnot: Příchozí Intra-irg Odchozí	✔	✔
Technologie detekce	Vyberte jednu nebo více hodnot: Rozšířený filtr: Signály založené na strojovém učení. Antimalwarová ochrana Hromadné Kampaň Reputace domény Detonace souborů: Bezpečné přílohy detekovaly škodlivou přílohu během analýzy detonace. Reputace detonace souborů: Přílohy souborů dříve detekované detonacemi bezpečných příloh v jiných organizacích Microsoftu 365. Reputace souboru: Zpráva obsahuje soubor, který byl dříve identifikován jako škodlivý v jiných organizacích Microsoft 365. Párování otisků prstů: Zpráva se podobá předchozí zjištěné škodlivé zprávě. Obecný filtr Značka zosobnění: Zosobnění odesílatelem známých značek. Zosobnění domény: Zosobnění domén odesílatele, které vlastníte nebo které jste zadali pro ochranu v zásadách ochrany proti útokům phishing Uživatel zosobnění Reputace IP adres Zosobnění inteligentních poštovních schránek: Detekce zosobnění z inteligentních funkcí poštovní schránky v zásadách ochrany proti útokům phishing. Detekce smíšené analýzy: K verdiktu zprávy přispělo několik filtrů. spoof DMARC: Zpráva selhala při ověřování DMARC. Falšování externí domény: Falšování e-mailové adresy odesílatele pomocí domény, která je pro vaši organizaci externí. Falšování identity uvnitř organizace: Falšování e-mailové adresy odesílatele pomocí domény, která je interní pro vaši organizaci. Detonace adresy URL: Bezpečné odkazy detekovaly škodlivou adresu URL ve zprávě během analýzy detonace. Reputace detonace adresy URL: Adresy URL dříve detekované detonacemi bezpečných odkazů v jiných organizacích Microsoft 365. Škodlivá reputace adresy URL: Zpráva obsahuje adresu URL, která byla dříve identifikována jako škodlivá v jiných organizacích Microsoft 365.	✔	✔
Původní místo doručení	Vyberte jednu nebo více hodnot: Složka Odstraněná pošta Klesl Selhalo Doručená pošta nebo složka Nevyžádaná pošta Místní/externí Karanténa Unknown (neznámý)	✔	✔
Nejnovější místo doručení	Stejné hodnoty jako původní umístění doručení	✔	✔
Primární přepsání	Vyberte jednu nebo více hodnot: Povolené zásadami organizace Povolené zásadami uživatele Blokováno zásadami organizace Blokováno zásadami uživatele Žádné	✔	✔
Primární zdroj přepsání	Zprávy můžou mít několik přepsání povolení nebo blokování, jak je uvedeno ve zdroji přepsání. Přepsání, které zprávu nakonec povolilo nebo zablokovalo, je identifikováno v primárním zdroji přepsání. Vyberte jednu nebo více hodnot: Filtr třetí strany Správa zahájené cestování časem (ZAP) Blokování antimalwarových zásad podle typu souboru Nastavení antispamových zásad Zásady připojení Pravidlo přenosu exchange Výhradní režim (přepsání uživatelem) Filtrování se přeskočí kvůli místní organizaci Filtr oblastí IP adres ze zásad Filtr jazyka ze zásad Simulace útoků phishing Uvolnění do karantény Poštovní schránka SecOps Seznam adres odesílatele (Správa přepsání) Seznam adres odesílatele (přepsání uživatelem) Seznam domén odesílatelů (Správa přepsání) Seznam domén odesílatelů (přepsání uživatelem) Blokování souboru seznamu povolených nebo blokovaných tenantů Blok e-mailové adresy odesílatele v seznamu povolených nebo blokovaných tenantů Blok falšování povolených nebo blokovaných položek v seznamu povolených tenantů Blok adresy URL seznamu povolených nebo blokovaných tenantů Seznam důvěryhodných kontaktů (přepsání uživatelem) Důvěryhodná doména (přepsání uživatelem) Důvěryhodný příjemce (přepsání uživatelem) Pouze důvěryhodní odesílatelé (přepsání uživatelem)	✔	✔
Přepsat zdroj	Stejné hodnoty jako primární zdroj přepsání	✔	✔
Typ zásady	Vyberte jednu nebo více hodnot: Antimalwarové zásady Zásady ochrany proti útokům phishing Pravidlo přenosu exchange (pravidlo toku pošty), zásady filtru hostovaného obsahu (zásady ochrany před spamem), zásady filtru odchozích spamů (zásady odchozího spamu), zásady bezpečných příloh Unknown (neznámý)	✔	✔
Akce zásad	Vyberte jednu nebo více hodnot: Přidání záhlaví x Skrytá zpráva Odstranit zprávu Upravit předmět Přesunout do složky Nevyžádaná pošta Email Nebyla provedena žádná akce Zpráva o přesměrování Odeslat do karantény	✔	✔
velikost Email	Celé číslo. Více hodnot oddělte čárkami.	✔	✔
Upřesnit
ID internetové zprávy	Text. Více hodnot oddělte čárkami. K dispozici v poli Hlavička ID zprávy v záhlaví zprávy. Příklad hodnoty je <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (všimněte si úhlových závorek).	✔	✔
ID síťové zprávy	Text. Více hodnot oddělte čárkami. Hodnota GUID, která je k dispozici v poli hlavičky X-MS-Exchange-Organization-Network-Message-Id v záhlaví zprávy.	✔	✔
IP adresa odesílatele	Text. Více hodnot oddělte čárkami.	✔	✔
Příloha SHA256	Text. Více hodnot oddělte čárkami.	✔	✔
ID clusteru	Text. Více hodnot oddělte čárkami.	✔	✔
ID upozornění	Text. Více hodnot oddělte čárkami.	✔	✔
ID zásad upozornění	Text. Více hodnot oddělte čárkami.	✔	✔
ID kampaně	Text. Více hodnot oddělte čárkami.	✔	✔
Signál ADRESY URL zap	Text. Více hodnot oddělte čárkami.	✔	✔
Adresy url
Počet adres URL	Celé číslo. Více hodnot oddělte čárkami.	✔	✔
Doména adresy URL	Text. Více hodnot oddělte čárkami.	✔	✔
Doména adresy URL a cesta	Text. Více hodnot oddělte čárkami.	✔	✔
URL	Text. Více hodnot oddělte čárkami.	✔	✔
Cesta url	Text. Více hodnot oddělte čárkami.	✔	✔
Zdroj adresy URL	Vyberte jednu nebo více hodnot: Přílohy Cloudová příloha Email text záhlaví Email Kód QR Předmět Unknown (neznámý)	✔	✔
Klikněte na verdikt.	Vyberte jednu nebo více hodnot: Povoleno Přepsaný blok Blokován Chyba Selhání Žádné Čekající verdikt Nevyřízený verdikt se obešel	✔	✔
Hrozba adresy URL	Vyberte jednu nebo více hodnot: Malware Phish Spam	✔	✔
Soubor
Počet příloh	Celé číslo. Více hodnot oddělte čárkami.	✔	✔
Název souboru přílohy	Text. Více hodnot oddělte čárkami.	✔	✔
Typ souboru	Text. Více hodnot oddělte čárkami.	✔	✔
Přípona souboru	Text. Více hodnot oddělte čárkami.	✔	✔
Velikost souboru	Celé číslo. Více hodnot oddělte čárkami.	✔	✔
Ověřování
SPF	Vyberte jednu nebo více hodnot: Selhání Neutrální Žádné Předat Trvalá chyba Měkké selhání Dočasná chyba	✔	✔
DKIM	Vyberte jednu nebo více hodnot: Chyba Selhání Ignorovat Žádné Předat Test Časový limit Unknown (neznámý)	✔	✔
DMARC	Vyberte jednu nebo více hodnot: Nejlepší odhad pass Selhání Žádné Předat Trvalá chyba Selektor pass Dočasná chyba Unknown (neznámý)	✔	✔
Složené	Vyberte jednu nebo více hodnot: Selhání Žádné Předat Soft pass

Pivots for the chart in the Malware view in Threat Explorer and Real-time Detections

Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Kontingenční grafy, které jsou k dispozici v zobrazení Malware v Průzkumníku hrozeb a detekce v reálném čase, jsou uvedeny v následující tabulce:

Pivot	Hrozba Explorer	Real-time Detekcí
Řada malwaru	✔
Doména odesílatele	✔
IP adresa odesílatele	✔
Akce doručení	✔	✔
Technologie detekce	✔	✔

Dostupné pivoty grafu jsou popsány v následujících pododdílech.

Kontingenční graf rodiny malwaru v zobrazení Malware v Průzkumníku hrozeb

I když tento pivot ve výchozím nastavení nevypadá jako vybraný, je rodina malwaru výchozím kontingenčním grafem v zobrazení Malware v Průzkumníku hrozeb.

Pivot Rodina malwaru uspořádá graf podle rodiny malwaru zjištěného ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou rodinu malwaru.

Kontingenční graf domény odesílatele v zobrazení Malware v Průzkumníku hrozeb

Pivot Doména odesílatele uspořádá graf podle domény odesílatele zpráv, u které bylo zjištěno, že obsahují malware pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu odesílatele.

Kontingenční graf IP adresy odesílatele v zobrazení Malware v Průzkumníku hrozeb

Pivot Ip adresa odesílatele uspořádá graf podle zdrojové IP adresy zpráv, u které bylo zjištěno, že obsahují malware pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou zdrojovou IP adresu.

Kontingenční graf akcí doručení v zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase

I když tento kontingenční graf ve výchozím nastavení nevypadá jako vybraný, je akce doručení výchozím kontingenčním grafem v zobrazení Malware v detekcích v reálném čase.

Pivot Akce doručení uspořádá graf podle toho, co se stalo se zprávami, u které bylo zjištěno, že obsahují malware pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých akcí doručení.

Graf technologie detekce v zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase

Pivot Technologie detekce uspořádá graf podle funkce, která identifikovala malware ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých technologií detekce.

Zobrazení pro oblast podrobností v zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase

Dostupná zobrazení (karty) v oblasti podrobností zobrazení Malware jsou uvedena v následující tabulce a jsou popsána v následujících pododdílech.

Zobrazení	Hrozba Explorer	Real-time Detekcí
E-mail	✔	✔
Hlavní skupiny malwaru	✔
Nejčastější cílení uživatelé	✔
Email původ	✔
Kampaň	✔

Email zobrazení podrobností v zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase

Email je výchozí zobrazení pro oblast podrobností zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase.

Zobrazení Email zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce.

Následující tabulka uvádí sloupce, které jsou k dispozici v Průzkumníku hrozeb a detekcích v reálném čase. Výchozí hodnoty jsou označené hvězdičkou (^*).

Sloupec	Hrozba Explorer	Real-time Detekcí
Datum*	✔	✔
Předmět*	✔	✔
Příjemce*	✔	✔
Doména příjemce	✔	✔
Tagy*	✔
Adresa odesílatele*	✔	✔
Zobrazované jméno odesílatele	✔	✔
Doména odesílatele*	✔	✔
IP adresa odesílatele	✔	✔
E-mail odesílatele z adresy	✔	✔
Pošta odesílatele z domény	✔	✔
Další akce*	✔	✔
Akce doručení	✔	✔
Nejnovější místo doručení*	✔	✔
Původní místo doručení*	✔	✔
Systém přepisuje zdroj	✔	✔
Přepsání systému	✔	✔
ID upozornění	✔	✔
ID internetové zprávy	✔	✔
ID síťové zprávy	✔	✔
Jazyk pošty	✔	✔
Pravidlo přenosu exchange	✔
Konektor	✔
Kontextu	✔	✔
Pravidlo ochrany před únikem informací	✔	✔
Typ hrozby*	✔	✔
Technologie detekce	✔	✔
Počet příloh	✔	✔
Počet adres URL	✔	✔
velikost Email	✔	✔

Tip

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

• Vodorovné posouvání ve webovém prohlížeči
• Zužte šířku příslušných sloupců.
• Odeberte sloupce ze zobrazení.
• Oddálení ve webovém prohlížeči

Přizpůsobená nastavení sloupců se ukládají pro jednotlivé uživatele. Přizpůsobená nastavení sloupců v anonymním režimu nebo režimu procházení InPrivate se ukládají, dokud nezavřete webový prohlížeč.

Když vyberete jednu nebo více položek ze seznamu zaškrtnutím políčka vedle prvního sloupce, bude k dispozici akce Provést. Informace najdete v tématu Proaktivní vyhledávání hrozeb: Email náprava.

Když v položce kliknete na hodnoty Předmět nebo Příjemce , otevřou se informační rámečky podrobností. Tyto informační rámečky jsou popsány v následujících pododdílech.

Email podrobnosti ze zobrazení Email oblasti podrobností v zobrazení Malware

Když vyberete hodnotu Předmět položky v tabulce, otevře se informační panel s podrobnostmi e-mailu. Tento informační panel podrobností se označuje jako panel souhrnu Email a obsahuje standardizované souhrnné informace, které jsou k dispozici také na stránce Email entity pro danou zprávu.

Podrobnosti o informacích na panelu souhrnu Email najdete v tématu Souhrnné panely Email.

Dostupné akce v horní části panelu souhrnu Email pro Průzkumníka hrozeb a detekce v reálném čase jsou popsané v Email podrobnosti z Email zobrazení podrobností v zobrazení Všechny e-maily.

Podrobnosti o příjemci v zobrazení Email oblasti podrobností v zobrazení Malware

Když vyberete položku kliknutím na hodnotu Příjemce , otevře se vysouvací nabídka podrobností. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o příjemci v zobrazení Email oblasti podrobností v zobrazení Všechny e-maily.

Zobrazení nejčastějších skupin malwaru pro oblast podrobností zobrazení Malware v Průzkumníku hrozeb

Zobrazení Nejčastější rodiny malwaru pro oblast podrobností uspořádá data do tabulky s nejčastějšími rodinami malwaru. V tabulce jsou uvedené:

• Sloupec s nejčastějšími rodinami malwaru : Název rodiny malwaru.

  Pokud vyberete název rodiny malwaru, otevře se informační panel podrobností s následujícími informacemi:

  • Email oddíl: Tabulka zobrazující následující související informace o zprávách, které obsahují soubor malwaru:

    • Date
    • Předmět
    • Příjemce

    Vyberte Zobrazit všechny e-maily a otevřete Průzkumníka hrozeb na nové kartě filtrované podle názvu rodiny malwaru.

  • Oddíl s technickými podrobnostmi

  

• Počet pokusů: Pokud vyberete počet pokusů, Otevře se Průzkumník hrozeb na nové kartě filtrované podle názvu rodiny malwaru.

Zobrazení nejčastějších cílových uživatelů pro oblast podrobností v zobrazení Malware v Průzkumníku hrozeb

Zobrazení Uživatelé s nejvyšším cílem uspořádá data do tabulky s pěti hlavními příjemci, na které se zaměřuje malware. V tabulce jsou uvedené:

• Nejčastější cílení uživatelé: E-mailová adresa uživatele s nejvyšším cílem. Pokud vyberete e-mailovou adresu, otevře se informační panel s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v zobrazení s nejčastějšími cíli uživatelů v oblasti podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb.

• Počet pokusů: Pokud vyberete počet pokusů, Otevře se Průzkumník hrozeb na nové kartě filtrované podle názvu rodiny malwaru.

Tip

Pomocí exportu můžete exportovat seznam až 3 000 uživatelů a odpovídající pokusy.

Email zobrazení původu pro oblast podrobností zobrazení Malware v Průzkumníku hrozeb

Zobrazení Email původu zobrazuje zdroje zpráv na mapě světa.

Zobrazení kampaně pro oblast podrobností zobrazení Malware v Průzkumníku hrozeb

Zobrazení Kampaň zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce.

Tabulka podrobností je shodná s tabulkou podrobností na stránce Kampaně.

Když vyberete položku kliknutím na jiné místo v řádku, než je zaškrtávací políčko vedle názvu, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o kampani.

Zobrazení phish v Průzkumníku hrozeb a detekcích v reálném čase

Zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase zobrazuje informace o e-mailových zprávách, které byly identifikovány jako phishing.

Pokud chcete otevřít zobrazení Phish , proveďte jeden z následujících kroků:

• Průzkumník hrozeb: Na stránce Průzkumník na portálu Defender na https://security.microsoft.comadrese přejděte na kartu Email & spolupráce>Průzkumníka>Phish. Nebo přejděte přímo na stránku Průzkumník pomocí https://security.microsoft.com/threatexplorerv3a pak vyberte kartu Phish.
• Detekce v reálném čase: Na stránce Detekce v reálném čase na portálu Defender na adrese https://security.microsoft.compřejděte na Email & kartěPhishprůzkumníka>spolupráce>. Nebo přejděte přímo na stránku Detekce v reálném čase pomocí https://security.microsoft.com/realtimereportsv3a pak vyberte kartu Phish.

Filtrovatelné vlastnosti v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

Ve výchozím nastavení se na data nepoužijí žádné filtry vlastností. Postup vytvoření filtrů (dotazů) je popsaný v části Filtry v Průzkumníku hrozeb a detekce v reálném čase dále v tomto článku.

Filtrovatelné vlastnosti, které jsou k dispozici v poli Adresa odesílatele v zobrazení Malware , jsou popsány v následující tabulce:

Vlastnost	Typ	Hrozba Explorer	Real-time Detekcí
Basic
Adresa odesílatele	Text. Více hodnot oddělte čárkami.	✔	✔
Příjemci	Text. Více hodnot oddělte čárkami.	✔	✔
Doména odesílatele	Text. Více hodnot oddělte čárkami.	✔	✔
Doména příjemce	Text. Více hodnot oddělte čárkami.	✔	✔
Předmět	Text. Více hodnot oddělte čárkami.	✔	✔
Zobrazované jméno odesílatele	Text. Více hodnot oddělte čárkami.	✔	✔
E-mail odesílatele z adresy	Text. Více hodnot oddělte čárkami.	✔	✔
Pošta odesílatele z domény	Text. Více hodnot oddělte čárkami.	✔	✔
Návratová cesta	Text. Více hodnot oddělte čárkami.	✔	✔
Doména návratové cesty	Text. Více hodnot oddělte čárkami.	✔	✔
Značky	Text. Více hodnot oddělte čárkami. Další informace o značkách uživatelů najdete v tématu Značky uživatelů.	✔
Zosobněná doména	Text. Více hodnot oddělte čárkami.	✔	✔
Zosobněný uživatel	Text. Více hodnot oddělte čárkami.	✔	✔
Pravidlo přenosu exchange	Text. Více hodnot oddělte čárkami.	✔
Pravidlo ochrany před únikem informací	Text. Více hodnot oddělte čárkami.	✔
Kontextu	Vyberte jednu nebo více hodnot: Hodnocení Ochrana prioritního účtu	✔
Konektor	Text. Více hodnot oddělte čárkami.	✔
Akce doručení	Vyberte jednu nebo více hodnot: Blokován Dodané Doručeno do nevyžádané pošty Nahrazeno: Přílohy zpráv, které byly nahrazeny zásadami dynamického doručování v bezpečných přílohách.	✔	✔
Další akce	Vyberte jednu nebo více hodnot: Automatizovaná náprava Dynamické doručování Ruční náprava Žádné Uvolnění do karantény Znovu zpracováno ZAP	✔	✔
Směrovost	Vyberte jednu nebo více hodnot: Příchozí Intra-irg Odchozí	✔	✔
Technologie detekce	Vyberte jednu nebo více hodnot: Rozšířený filtr Antimalwarová ochrana Hromadné Kampaň Reputace domény Detonace souboru Reputace detonace souboru Reputace souboru Porovnávání otisků prstů Obecný filtr Značka zosobnění Doména zosobnění Uživatel zosobnění Reputace IP adres Zosobnění inteligentních poštovních schránek Detekce smíšených analýz spoof DMARC Falšování externí domény Falšování identity uvnitř organizace Detonace adresy URL Reputace detonace adresy URL Škodlivá reputace adresy URL	✔	✔
Původní místo doručení	Vyberte jednu nebo více hodnot: Složka Odstraněná pošta Klesl Selhalo Doručená pošta nebo složka Nevyžádaná pošta Místní/externí Karanténa Unknown (neznámý)	✔	✔
Nejnovější místo doručení	Stejné hodnoty jako původní umístění doručení	✔	✔
Úroveň spolehlivosti phish	Vyberte jednu nebo více hodnot: High (Vysoká) Normální	✔
Primární přepsání	Vyberte jednu nebo více hodnot: Povolené zásadami organizace Povolené zásadami uživatele Blokováno zásadami organizace Blokováno zásadami uživatele Žádné	✔	✔
Primární zdroj přepsání	Zprávy můžou mít několik přepsání povolení nebo blokování, jak je uvedeno ve zdroji přepsání. Přepsání, které zprávu nakonec povolilo nebo zablokovalo, je identifikováno v primárním zdroji přepsání. Vyberte jednu nebo více hodnot: Filtr třetí strany Správa zahájené cestování časem (ZAP) Blokování antimalwarových zásad podle typu souboru Nastavení antispamových zásad Zásady připojení Pravidlo přenosu exchange Výhradní režim (přepsání uživatelem) Filtrování se přeskočí kvůli místní organizaci Filtr oblastí IP adres ze zásad Filtr jazyka ze zásad Simulace útoků phishing Uvolnění do karantény Poštovní schránka SecOps Seznam adres odesílatele (Správa přepsání) Seznam adres odesílatele (přepsání uživatelem) Seznam domén odesílatelů (Správa přepsání) Seznam domén odesílatelů (přepsání uživatelem) Blokování souboru seznamu povolených nebo blokovaných tenantů Blok e-mailové adresy odesílatele v seznamu povolených nebo blokovaných tenantů Blok falšování povolených nebo blokovaných položek v seznamu povolených tenantů Blok adresy URL seznamu povolených nebo blokovaných tenantů Seznam důvěryhodných kontaktů (přepsání uživatelem) Důvěryhodná doména (přepsání uživatelem) Důvěryhodný příjemce (přepsání uživatelem) Pouze důvěryhodní odesílatelé (přepsání uživatelem)	✔	✔
Přepsat zdroj	Stejné hodnoty jako primární zdroj přepsání	✔	✔
Typ zásady	Vyberte jednu nebo více hodnot: Antimalwarové zásady Zásady ochrany proti útokům phishing Pravidlo přenosu exchange (pravidlo toku pošty), zásady filtru hostovaného obsahu (zásady ochrany před spamem), zásady filtru odchozích spamů (zásady odchozího spamu), zásady bezpečných příloh Unknown (neznámý)	✔	✔
Akce zásad	Vyberte jednu nebo více hodnot: Přidání záhlaví x Skrytá zpráva Odstranit zprávu Upravit předmět Přesunout do složky Nevyžádaná pošta Email Nebyla provedena žádná akce Zpráva o přesměrování Odeslat do karantény	✔	✔
velikost Email	Celé číslo. Více hodnot oddělte čárkami.	✔	✔
Upřesnit
ID internetové zprávy	Text. Více hodnot oddělte čárkami. K dispozici v poli Hlavička ID zprávy v záhlaví zprávy. Příklad hodnoty je <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (všimněte si úhlových závorek).	✔	✔
ID síťové zprávy	Text. Více hodnot oddělte čárkami. Hodnota GUID, která je k dispozici v poli hlavičky X-MS-Exchange-Organization-Network-Message-Id v záhlaví zprávy.	✔	✔
IP adresa odesílatele	Text. Více hodnot oddělte čárkami.	✔	✔
Příloha SHA256	Text. Více hodnot oddělte čárkami.	✔	✔
ID clusteru	Text. Více hodnot oddělte čárkami.	✔	✔
ID upozornění	Text. Více hodnot oddělte čárkami.	✔	✔
ID zásad upozornění	Text. Více hodnot oddělte čárkami.	✔	✔
ID kampaně	Text. Více hodnot oddělte čárkami.	✔	✔
Signál ADRESY URL zap	Text. Více hodnot oddělte čárkami.	✔
Adresy url
Počet adres URL	Celé číslo. Více hodnot oddělte čárkami.	✔	✔
Doména adresy URL	Text. Více hodnot oddělte čárkami.	✔	✔
Doména adresy URL a cesta	Text. Více hodnot oddělte čárkami.	✔
URL	Text. Více hodnot oddělte čárkami.	✔
Cesta url	Text. Více hodnot oddělte čárkami.	✔
Zdroj adresy URL	Vyberte jednu nebo více hodnot: Přílohy Cloudová příloha Email text záhlaví Email Kód QR Předmět Unknown (neznámý)	✔	✔
Klikněte na verdikt.	Vyberte jednu nebo více hodnot: Povoleno Přepsaný blok Blokován Chyba Selhání Žádné Čekající verdikt Nevyřízený verdikt se obešel	✔	✔
Hrozba adresy URL	Vyberte jednu nebo více hodnot: Malware Phish Spam	✔	✔
Soubor
Počet příloh	Celé číslo. Více hodnot oddělte čárkami.	✔	✔
Název souboru přílohy	Text. Více hodnot oddělte čárkami.	✔	✔
Typ souboru	Text. Více hodnot oddělte čárkami.	✔	✔
Přípona souboru	Text. Více hodnot oddělte čárkami.	✔	✔
Velikost souboru	Celé číslo. Více hodnot oddělte čárkami.	✔	✔
Ověřování
SPF	Vyberte jednu nebo více hodnot: Selhání Neutrální Žádné Předat Trvalá chyba Měkké selhání Dočasná chyba	✔	✔
DKIM	Vyberte jednu nebo více hodnot: Chyba Selhání Ignorovat Žádné Předat Test Časový limit Unknown (neznámý)	✔	✔
DMARC	Vyberte jednu nebo více hodnot: Nejlepší odhad pass Selhání Žádné Předat Trvalá chyba Selektor pass Dočasná chyba Unknown (neznámý)	✔	✔
Složené	Vyberte jednu nebo více hodnot: Selhání Žádné Předat Soft pass

Pivots for the chart in the Phish view in Threat Explorer and Real-time Detections

Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Kontingenční grafy, které jsou k dispozici v zobrazení Phish v Průzkumníku hrozeb a detekce v reálném čase, jsou uvedeny v následující tabulce:

Pivot	Hrozba Explorer	Real-time Detekcí
Doména odesílatele	✔	✔
IP adresa odesílatele	✔
Akce doručení	✔	✔
Technologie detekce	✔	✔
Úplná adresa URL	✔
Doména adresy URL	✔	✔
Doména adresy URL a cesta	✔

Dostupné pivoty grafu jsou popsány v následujících pododdílech.

Kontingenční graf domény odesílatele v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

I když tento kontingenční graf ve výchozím nastavení nevypadá jako vybraný, je doména odesílatele výchozím kontingenčním grafem v zobrazení Phish v detekcích v reálném čase.

Pivot Doména odesílatele uspořádá graf podle domén ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu odesílatele.

Kontingenční graf IP adresy odesílatele v zobrazení Phish v Průzkumníku hrozeb

Pivot Ip adresa odesílatele uspořádá graf podle zdrojových IP adres zpráv pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou zdrojovou IP adresu.

Kontingenční graf akcí doručení v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

I když tento kontingenční graf ve výchozím nastavení nevypadá jako vybraný, akce Doručení je výchozím kontingenčním grafem v zobrazení Phish v Průzkumníku hrozeb.

Pivot Akce doručení uspořádá graf podle akcí provedených u zpráv pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých akcí doručení.

Graf technologie detekce v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

Pivot Technologie detekce uspořádá graf podle funkce, která identifikovala phishingové zprávy pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých technologií detekce.

Kontingenční graf s celou adresou URL v zobrazení Phish v Průzkumníku hrozeb

Pivot Úplná adresa URL uspořádá graf podle úplných adres URL v phishingových zprávách pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou úplnou adresu URL.

Kontingenční graf domény adresy URL v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

Kontingenční adresa URL domény uspořádá graf podle domén v adresách URL ve zprávách phishing pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu adresy URL.

Kontingenční graf domény adresy URL a cesty v zobrazení Phish v Průzkumníku hrozeb

Kontingenční adresa URL domény a cesty uspořádá graf podle domén a cest v adresách URL ve zprávách phishing pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu url a cestu.

Zobrazení pro oblast podrobností v zobrazení Phish v Průzkumníku hrozeb

Dostupná zobrazení (karty) v oblasti podrobností zobrazení Phish jsou uvedena v následující tabulce a jsou popsána v následujících pododdílech.

Zobrazení	Hrozba Explorer	Real-time Detekcí
E-mail	✔	✔
Kliknutí na adresu URL	✔	✔
Hlavní adresy URL	✔	✔
Horní kliknutí	✔	✔
Nejčastější cílení uživatelé	✔
Email původ	✔
Kampaň	✔

Email zobrazení podrobností v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

Email je výchozí zobrazení pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase.

Zobrazení Email zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce.

Následující tabulka uvádí sloupce, které jsou k dispozici v Průzkumníku hrozeb a detekcích v reálném čase. Výchozí hodnoty jsou označené hvězdičkou (^*).

Sloupec	Hrozba Explorer	Real-time Detekcí
Datum*	✔	✔
Předmět*	✔	✔
Příjemce*	✔	✔
Doména příjemce	✔	✔
Tagy*	✔
Adresa odesílatele*	✔	✔
Zobrazované jméno odesílatele	✔	✔
Doména odesílatele*	✔	✔
IP adresa odesílatele	✔	✔
E-mail odesílatele z adresy	✔	✔
Pošta odesílatele z domény	✔	✔
Další akce*	✔	✔
Akce doručení	✔	✔
Nejnovější místo doručení*	✔	✔
Původní místo doručení*	✔	✔
Systém přepisuje zdroj	✔	✔
Přepsání systému	✔	✔
ID upozornění	✔	✔
ID internetové zprávy	✔	✔
ID síťové zprávy	✔	✔
Jazyk pošty	✔	✔
Pravidlo přenosu exchange	✔
Konektor	✔
Úroveň spolehlivosti phish	✔
Kontextu	✔
Pravidlo ochrany před únikem informací	✔
Typ hrozby*	✔	✔
Technologie detekce	✔	✔
Počet příloh	✔	✔
Počet adres URL	✔	✔
velikost Email	✔	✔

Tip

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

• Vodorovné posouvání ve webovém prohlížeči
• Zužte šířku příslušných sloupců.
• Odeberte sloupce ze zobrazení.
• Oddálení ve webovém prohlížeči

Přizpůsobená nastavení sloupců se ukládají pro jednotlivé uživatele. Přizpůsobená nastavení sloupců v anonymním režimu nebo režimu procházení InPrivate se ukládají, dokud nezavřete webový prohlížeč.

Když vyberete jednu nebo více položek ze seznamu zaškrtnutím políčka vedle prvního sloupce, bude k dispozici akce Provést. Informace najdete v tématu Proaktivní vyhledávání hrozeb: Email náprava.

Když v položce kliknete na hodnoty Předmět nebo Příjemce , otevřou se informační rámečky podrobností. Tyto informační rámečky jsou popsány v následujících pododdílech.

Email podrobnosti ze zobrazení Email oblasti podrobností v zobrazení Phish

Když vyberete hodnotu Předmět položky v tabulce, otevře se informační panel s podrobnostmi e-mailu. Tento informační panel podrobností se označuje jako panel souhrnu Email a obsahuje standardizované souhrnné informace, které jsou k dispozici také na stránce Email entity pro danou zprávu.

Podrobnosti o informacích na panelu souhrnu Email najdete v tématu Panel souhrnu Email v Defender pro Office 365 funkcích.

Dostupné akce v horní části panelu souhrnu Email pro Průzkumníka hrozeb a detekce v reálném čase jsou popsané v Email podrobnosti z Email zobrazení podrobností v zobrazení Všechny e-maily.

Podrobnosti o příjemci ze zobrazení Email oblasti podrobností v zobrazení Phish

Když vyberete položku kliknutím na hodnotu Příjemce , otevře se vysouvací nabídka podrobností. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o příjemci v zobrazení Email oblasti podrobností v zobrazení Všechny e-maily.

Adresa URL klikne na zobrazení podrobností v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase.

Zobrazení kliknutí na adresu URL zobrazuje graf, který je možné uspořádat pomocí kontingenčních panelů. Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Kontingenční grafy, které jsou k dispozici v zobrazení Malware v Průzkumníku hrozeb a detekce v reálném čase, jsou popsány v následující tabulce:

Pivot	Hrozba Explorer	Real-time Detekcí
Doména adresy URL	✔	✔
Klikněte na verdikt.	✔	✔
URL	✔
Doména adresy URL a cesta	✔

Stejné kontingenční grafy jsou k dispozici a popsané pro zobrazení Všechny e-maily v Průzkumníku hrozeb:

• Pivot domény adresy URL pro zobrazení s kliknutími na adresu URL pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb
• Kliknutím na pivot verdict (Verdict) pro zobrazení adresy URL kliknete na oblast podrobností zobrazení Všech e-mailů v Průzkumníku hrozeb.
• Pivot adresy URL pro zobrazení kliknutí na adresu URL pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb
• Doména adresy URL a pivot cesty pro zobrazení kliknutí na adresu URL pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Tip

V Průzkumníku hrozeb má každý pivot v zobrazení kliknutí na adresu URL akci Zobrazit všechna kliknutí, která otevře zobrazení kliknutí na adresu URL v Průzkumníku hrozeb na nové kartě. Tato akce není dostupná v detekcích v reálném čase, protože zobrazení kliknutí na adresu URL není k dispozici v detekcích v reálném čase.

Zobrazení hlavních adres URL pro oblast podrobností v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

V zobrazení Horní adresy URL se zobrazuje tabulka podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce:

• URL
• Blokované zprávy
• Nevyžádané zprávy
• Doručené zprávy

Podrobnosti o hlavních adresách URL pro zobrazení Phish

Když vyberete položku kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle prvního sloupce, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o hlavních adresách URL v zobrazení Všechny e-maily.

Tip

Akce Přejít proaktivní vyhledávání je dostupná jenom v Průzkumníku hrozeb. Není k dispozici v detekcích v reálném čase.

Zobrazení horních kliknutí pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

Zobrazení Horní kliknutí zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce:

• URL
• Blokován
• Povoleno
• Přepsaný blok
• Čekající verdikt
• Nevyřízený verdikt se obešel
• Žádné
• Chybová stránka
• Selhání

Tip

Jsou vybrány všechny dostupné sloupce. Pokud vyberete Přizpůsobit sloupce, nebudete moct zrušit výběr žádných sloupců.

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

• Vodorovné posouvání ve webovém prohlížeči
• Zužte šířku příslušných sloupců.
• Oddálení ve webovém prohlížeči

Když vyberete položku kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle prvního sloupce, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o hlavních adresách URL v zobrazení Všechny e-maily.

Zobrazení nejčastějších cílových uživatelů pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb

Zobrazení Uživatelé s nejvyšším cílem uspořádá data do tabulky s pěti hlavními příjemci, kteří byli cílem útoků phishing. V tabulce jsou uvedené:

• Nejčastější cílení uživatelé: E-mailová adresa uživatele s nejvyšším cílem. Pokud vyberete e-mailovou adresu, otevře se informační panel s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v zobrazení s nejčastějšími cíli uživatelů v oblasti podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb.

• Počet pokusů: Pokud vyberete počet pokusů, Otevře se Průzkumník hrozeb na nové kartě filtrované podle názvu rodiny malwaru.

Tip

Pomocí exportu můžete exportovat seznam až 3 000 uživatelů a odpovídající pokusy.

Email zobrazení původu pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb

Zobrazení Email původu zobrazuje zdroje zpráv na mapě světa.

Zobrazení kampaně pro oblast podrobností v zobrazení Phish v Průzkumníku hrozeb

Zobrazení Kampaň zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce.

Informace v tabulce jsou stejné jako v tabulce podrobností na stránce Kampaně.

Když vyberete položku kliknutím na jiné místo v řádku, než je zaškrtávací políčko vedle názvu, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o kampani.

Zobrazení kampaně v Průzkumníku hrozeb

Zobrazení Kampaně v Průzkumníku hrozeb zobrazuje informace o hrozbách, které byly identifikovány jako koordinované phishingové a malwarové útoky, a to buď pro vaši organizaci, nebo pro jiné organizace v Microsoftu 365.

Pokud chcete otevřít zobrazení Kampaně na stránce Průzkumník na portálu Defender na adrese https://security.microsoft.com, přejděte na Email & spolupráci>na kartě Kampaně Průzkumníka>. Nebo přejděte přímo na stránku Průzkumník pomocí https://security.microsoft.com/threatexplorerv3a pak vyberte kartu Kampaně.

Všechny dostupné informace a akce jsou shodné s informacemi a akcemi na stránce Kampaně na adrese https://security.microsoft.com/campaignsv3. Další informace najdete na stránce Kampaně na portálu Microsoft Defender.

Zobrazení malwaru obsahu v Průzkumníku hrozeb a detekcích v reálném čase

Zobrazení Obsah pro malware v Průzkumníku hrozeb a detekcích v reálném čase zobrazuje informace o souborech, které byly identifikovány jako malware:

• Integrovaná antivirová ochrana v SharePointu, OneDrivu a Microsoft Teams
• Bezpečné přílohy pro SharePoint, OneDrive a Microsoft Teams.

Pokud chcete otevřít zobrazení Obsah s malwarem , proveďte jeden z následujících kroků:

• Průzkumník hrozeb: Na stránce Průzkumník na portálu Defender v části https://security.microsoft.compřejděte na Email & na kartumalwarev Průzkumníkovi>obsahu>. Nebo přejděte přímo na stránku Průzkumník pomocí https://security.microsoft.com/threatexplorerv3a pak vyberte kartu Malware obsahu.
• Detekce v reálném čase: Na stránce Detekce v reálném čase na portálu Defender na adrese https://security.microsoft.compřejděte na Email & kartumalware v Průzkumníku pro spolupráci> vObsahu>. Nebo přejděte přímo na stránku Detekce v reálném čase pomocí https://security.microsoft.com/realtimereportsv3a pak vyberte kartu Obsah malwaru.

Filtrovatelné vlastnosti v zobrazení Obsah pro malware v Průzkumníku hrozeb a detekce v reálném čase

Ve výchozím nastavení se na data nepoužijí žádné filtry vlastností. Postup vytvoření filtrů (dotazů) je popsaný v části Filtry v Průzkumníku hrozeb a detekce v reálném čase dále v tomto článku.

Filtrovatelné vlastnosti, které jsou k dispozici v poli Název souboru v zobrazení Obsah malware v Průzkumníku hrozeb a detekce v reálném čase, jsou popsány v následující tabulce:

Vlastnost	Typ	Hrozba Explorer	Real-time Detekcí
Soubor
Název souboru	Text. Více hodnot oddělte čárkami.	✔	✔
Pracovního vytížení	Vyberte jednu nebo více hodnot: OneDrive SharePoint Teams	✔	✔
Stránky	Text. Více hodnot oddělte čárkami.	✔	✔
Vlastník souboru	Text. Více hodnot oddělte čárkami.	✔	✔
Naposledy upravil(a)	Text. Více hodnot oddělte čárkami.	✔	✔
SHA256	Celé číslo. Více hodnot oddělte čárkami. Pokud chcete najít hodnotu hash SHA256 souboru ve Windows, spusťte na příkazovém řádku následující příkaz: certutil.exe -hashfile "<Path>\<Filename>" SHA256.	✔	✔
Řada malwaru	Text. Více hodnot oddělte čárkami.	✔	✔
Technologie detekce	Vyberte jednu nebo více hodnot: Rozšířený filtr Antimalwarová ochrana Hromadné Kampaň Reputace domény Detonace souboru Reputace detonace souboru Reputace souboru Porovnávání otisků prstů Obecný filtr Značka zosobnění Doména zosobnění Uživatel zosobnění Reputace IP adres Zosobnění inteligentních poštovních schránek Detekce smíšených analýz spoof DMARC Falšování externí domény Falšování identity uvnitř organizace Detonace adresy URL Reputace detonace adresy URL Škodlivá reputace adresy URL	✔	✔
Typ hrozby	Vyberte jednu nebo více hodnot: Blokování Malware Phish Spam	✔	✔

Pivots for the chart in the Content malware view in Threat Explorer and Real-time Detections

Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Kontingenční grafy, které jsou k dispozici v zobrazení Obsah malware v Průzkumníku hrozeb a detekce v reálném čase, jsou uvedeny v následující tabulce:

Pivot	Hrozba Explorer	Real-time Detekcí
Řada malwaru	✔	✔
Technologie detekce	✔	✔
Pracovního vytížení	✔	✔

Dostupné pivoty grafu jsou popsány v následujících pododdílech.

Kontingenční graf rodiny malwaru v zobrazení obsahového malwaru v Průzkumníku hrozeb a detekcích v reálném čase

I když tento kontingenční graf ve výchozím nastavení nevypadá jako vybraný, je v zobrazení Obsah v Průzkumníku hrozeb a detekcích v reálném čase výchozím kontingenčním grafem rodina malwaru.

Pivot Rodina malwaru uspořádá graf podle malwaru identifikovaného v souborech v SharePointu, OneDrivu a Microsoft Teams pomocí zadaného rozsahu data a času a filtrů vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou rodinu malwaru.

Kontingenční graf technologie detekce v zobrazení Obsah pro malware v Průzkumníku hrozeb a detekcích v reálném čase

Pivot Technologie detekce uspořádá graf podle funkce, která identifikovala malware v souborech v SharePointu, OneDrivu a Microsoft Teams pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých technologií detekce.

Pivot grafu úloh v zobrazení Malware obsahu v Průzkumníku hrozeb a detekcích v reálném čase

Pivot Úlohy uspořádá graf podle toho, kde byl malware identifikován (SharePoint, OneDrive nebo Microsoft Teams) pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých úloh.

Zobrazení pro oblast podrobností zobrazení Obsah o malwaru v Průzkumníku hrozeb a detekcích v reálném čase

V Průzkumníku hrozeb a detekcích v reálném čase obsahuje oblast podrobností zobrazení malware obsahu jenom jedno zobrazení (karta) s názvem Dokumenty. Toto zobrazení je popsáno v následujícím pododdílu.

Zobrazení dokumentu pro oblast podrobností v zobrazení Obsah o malwaru v Průzkumníku hrozeb a detekcích v reálném čase

Dokument je výchozí a pouze zobrazení pro oblast podrobností v zobrazení Malware obsahu .

V zobrazení Dokument se zobrazí tabulka podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Výchozí hodnoty jsou označené hvězdičkou (^*):

• Datum^*
• Jméno^*
• Pracovního vytížení^*
• Hrozba^*
• Technologie detekce^*
• Poslední změna uživatele^*
• Vlastník souboru^*
• Velikost (bajty)^*
• Čas poslední změny
• Cesta k webu
• Cesta k souboru
• ID dokumentu
• SHA256
• Datum zjištění
• Řada malwaru
• Kontextu

Tip

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

• Vodorovné posouvání ve webovém prohlížeči
• Zužte šířku příslušných sloupců.
• Odeberte sloupce ze zobrazení.
• Oddálení ve webovém prohlížeči

Přizpůsobená nastavení sloupců se ukládají pro jednotlivé uživatele. Přizpůsobená nastavení sloupců v anonymním režimu nebo režimu procházení InPrivate se ukládají, dokud nezavřete webový prohlížeč.

Když ve sloupci Název vyberete hodnotu názvu souboru, otevře se informační panel podrobností. Informační panel obsahuje následující informace:

• Oddíl souhrnu :

  • Název_souboru
  • Cesta k webu
  • Cesta k souboru
  • ID dokumentu
  • SHA256
  • Poslední datum změny
  • Naposledy upravil(a)
  • Hrozba
  • Technologie detekce

• Oddíl Podrobnosti :

  • Datum zjištění
  • Zjistil(a)
  • Název malwaru
  • Naposledy upravil(a)
  • Velikost souboru
  • Vlastník souboru

• oddíl Email seznamu: Tabulka zobrazující následující související informace o zprávách, které obsahují soubor malwaru:

  • Date
  • Předmět
  • Příjemce

  Vyberte Zobrazit všechny e-maily a otevřete Průzkumníka hrozeb na nové kartě filtrované podle názvu rodiny malwaru.

• Nedávná aktivita: Zobrazuje souhrnné výsledky hledání v protokolu auditu pro příjemce:

  • Date
  • IP adresa
  • Activity
  • Položka

  Pokud má příjemce více než tři položky protokolu auditu, vyberte Zobrazit všechny nedávné aktivity , aby se zobrazily všechny.

  Tip

  Členové skupiny rolí Správci zabezpečení v Email & oprávnění ke spolupráci nemůžou rozbalit oddíl Nedávná aktivita. Musíte být členem skupiny rolí v Exchange Online oprávnění, která má přiřazené role Protokoly auditu, analytik Information Protection nebo Information Protection Vyšetřovatel. Ve výchozím nastavení se tyto role přiřazují skupinám rolí Správa záznamů, Správa dodržování předpisů, Information Protection, Analytici Information Protection, vyšetřovatelé Information Protection a Správa organizace. Do těchto skupin rolí můžete přidat členy skupiny Správci zabezpečení nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Protokoly auditu .

Zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Zobrazení kliknutí na adresu URL v Průzkumníku hrozeb zobrazuje všechna kliknutí uživatelů na adresy URL v e-mailu, v podporovaných souborech Office na SharePointu a OneDrivu a v Microsoft Teams.

Pokud chcete otevřít zobrazení adresy URL kliknutí na stránce Průzkumník na portálu Defender na adrese https://security.microsoft.com, přejděte na kartu Email &adresa URL průzkumníka>pro spolupráci>. Nebo přejděte přímo na stránku Průzkumník pomocí https://security.microsoft.com/threatexplorerv3a pak vyberte kartu Url kliknutí.

Filtrovatelné vlastnosti v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Ve výchozím nastavení se na data nepoužijí žádné filtry vlastností. Postup vytvoření filtrů (dotazů) je popsaný v části Filtry v Průzkumníku hrozeb a detekce v reálném čase dále v tomto článku.

Filtrovatelné vlastnosti, které jsou k dispozici v poli Příjemci v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb, jsou popsány v následující tabulce:

Vlastnost	Typ
Basic
Příjemci	Text. Více hodnot oddělte čárkami.
Značky	Text. Více hodnot oddělte čárkami. Další informace o značkách uživatelů najdete v tématu Značky uživatelů.
ID síťové zprávy	Text. Více hodnot oddělte čárkami. Hodnota GUID, která je k dispozici v poli hlavičky X-MS-Exchange-Organization-Network-Message-Id v záhlaví zprávy.
URL	Text. Více hodnot oddělte čárkami.
Akce kliknutí	Vyberte jednu nebo více hodnot: Povoleno Blokovat stránku Blokovat přepsání stránky Chybová stránka Selhání Žádné Stránka čekající na odpálení Přepsání stránky čekající na detonaci
Typ hrozby	Vyberte jednu nebo více hodnot: Povolit Blokování Malware Phish Spam
Technologie detekce	Vyberte jednu nebo více hodnot: Detonace adresy URL Reputace detonace adresy URL Škodlivá reputace adresy URL
Klikněte na ID.	Text. Více hodnot oddělte čárkami.
IP adresa klienta	Text. Více hodnot oddělte čárkami.

Pivoty grafu v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Dostupné pivoty grafu jsou popsány v následujících pododdílech.

Kontingenční graf domény adresy URL v zobrazení url kliknutí v Průzkumníku hrozeb

I když tento kontingenční graf ve výchozím nastavení nevypadá jako vybraný, doména URL je výchozím kontingenčním grafem v zobrazení url kliknutí .

Kontingenční adresa URL domény uspořádá graf podle domén v adresách URL, na které uživatelé klikli v e-mailu, souborech Office nebo Microsoft Teams pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu adresy URL.

Kontingenční graf úloh v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Pivot Úlohy uspořádá graf podle umístění adresy URL, na kterou jste klikli (e-mail, soubory Office nebo Microsoft Teams) pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých úloh.

Graf technologie detekce v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Pivot Technologie detekce uspořádá graf podle funkce, která identifikovala kliknutí na adresu URL v e-mailu, souborech Office nebo Microsoft Teams pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých technologií detekce.

Kontingenční graf typu hrozby v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Pivot Typ hrozby uspořádá graf podle výsledků pro klikané adresy URL v e-mailu, souborech Office nebo Microsoft Teams pro zadaný rozsah data a času a filtry vlastností.

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých technologií typu hrozby.

Zobrazení pro oblast podrobností v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Dostupná zobrazení (karty) v oblasti podrobností zobrazení kliknutí na adresu URL jsou popsána v následujících pododdílech.

Zobrazení výsledků pro oblast podrobností v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Výsledky jsou výchozím zobrazením pro oblast podrobností v zobrazení kliknutí na adresu URL .

V zobrazení Výsledky se zobrazí tabulka podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny sloupce:

• Čas kliknutí
• Příjemce
• Akce kliknutí na adresu URL
• URL
• Značky
• ID síťové zprávy
• Klikněte na ID.
• IP adresa klienta
• Řetězec adres URL
• Typ hrozby
• Technologie detekce

Tip

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

• Vodorovné posouvání ve webovém prohlížeči
• Zužte šířku příslušných sloupců.
• Odeberte sloupce ze zobrazení.
• Oddálení ve webovém prohlížeči

Přizpůsobená nastavení sloupců se ukládají pro jednotlivé uživatele. Přizpůsobená nastavení sloupců v anonymním režimu nebo režimu procházení InPrivate se ukládají, dokud nezavřete webový prohlížeč.

Vyberte jednu položku nebo položky tak, že zaškrtnete políčko vedle prvního sloupce na řádku a pak vyberete Zobrazit všechny e-maily . Průzkumníka hrozeb otevřete v zobrazení Všechny e-maily na nové kartě filtrované podle hodnot ID síťových zpráv vybraných zpráv.

Zobrazení horních kliknutí pro oblast podrobností v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Zobrazení Horní kliknutí zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce:

• URL
• Blokován
• Povoleno
• Přepsaný blok
• Čekající verdikt
• Nevyřízený verdikt se obešel
• Žádné
• Chybová stránka
• Selhání

Tip

Jsou vybrány všechny dostupné sloupce. Pokud vyberete Přizpůsobit sloupce, nebudete moct zrušit výběr žádných sloupců.

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

• Vodorovné posouvání ve webovém prohlížeči
• Zužte šířku příslušných sloupců.
• Oddálení ve webovém prohlížeči

Vyberte položku tak, že zaškrtnete políčko vedle prvního sloupce na řádku a pak výběrem možnosti Zobrazit všechna kliknutí otevřete Průzkumníka hrozeb na nové kartě v zobrazení url kliknutí .

Když vyberete položku kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle prvního sloupce, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o hlavních adresách URL v zobrazení Všechny e-maily.

Zobrazení nejčastějších cílových uživatelů pro oblast podrobností v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Zobrazení Uživatelé s nejvyšším cílem uspořádá data do tabulky s pěti nejlepšími příjemci, kteří klikli na adresy URL. V tabulce jsou uvedené:

• Nejčastější cílení uživatelé: E-mailová adresa uživatele s nejvyšším cílem. Pokud vyberete e-mailovou adresu, otevře se informační panel s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v zobrazení s nejčastějšími cíli uživatelů v oblasti podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb.

• Počet pokusů: Pokud vyberete počet pokusů, Otevře se Průzkumník hrozeb na nové kartě filtrované podle názvu rodiny malwaru.

Tip

Pomocí exportu můžete exportovat seznam až 3 000 uživatelů a odpovídající pokusy.

Filtry vlastností v Průzkumníku hrozeb a detekcích v reálném čase

Základní syntaxe filtru nebo dotazu vlastností je:

Podmínka = <Vlastnost><Filtru Operátor><filtru Hodnota nebo hodnoty vlastnosti>

Více podmínek používá následující syntaxi:

<Podmínka1><AND | OR><Podmínka2><AND | OR><Podmínka3>... <AND | OR><ConditionN>

Tip

Vyhledávání se zástupnými čísly (* nebo ?) není podporováno v textových nebo celočíselných hodnotách. Vlastnost Subject používá částečné porovnávání textu a poskytuje výsledky podobné hledání se zástupnými cardy.

Postup vytvoření filtru vlastností nebo podmínek dotazu je stejný ve všech zobrazeních v Průzkumníku hrozeb a detekcích v reálném čase:

1. Pomocí tabulek v částech s popisem zobrazení náhledu výše v tomto článku identifikujte vlastnost filtru.

2. Vyberte dostupný operátor filtru. Dostupné operátory filtru závisí na typu vlastnosti, jak je popsáno v následující tabulce:

   Operátor filtru	Typ vlastnosti
   Rovná se libovolnému z	Text Celé číslo Diskrétní hodnoty
   Nerovná se	Text Diskrétní hodnoty
   Větší než	Celé číslo
   Menší než	Celé číslo

3. Zadejte nebo vyberte jednu nebo více hodnot vlastností. Pro textové hodnoty a celá čísla můžete zadat více hodnot oddělených čárkami.

   Více hodnot v hodnotě vlastnosti používá logický operátor OR. Například adresa> odesílateleRovná se libovolnému ze>bob@fabrikam.com,cindy@fabrikam.com znamená Adresa> odesílateleRovná se kterékoli z>bob@fabrikam.com NEBO cindy@fabrikam.com.

   Po zadání nebo výběru jedné nebo více hodnot vlastností se pod poli pro vytvoření filtru zobrazí dokončená podmínka filtru.

   Tip

   U vlastností, které vyžadují výběr jedné nebo více dostupných hodnot, má použití vlastnosti v podmínce filtru se všemi vybranými hodnotami stejný výsledek jako nepoužívání vlastnosti v podmínce filtru.

4. Pokud chcete přidat další podmínku, opakujte předchozí tři kroky.

   Podmínky pod poli pro vytvoření filtru jsou oddělené logickým operátorem, který byl vybrán v době, kdy jste vytvořili druhou nebo následující podmínku. Výchozí hodnota je AND, ale můžete také vybrat OR.

   Mezi všemi podmínkami se používá stejný logický operátor: všechny jsou and nebo jsou všechny NEBO. Pokud chcete změnit existující logické operátory, vyberte pole logický operátor a pak vyberte A nebo NEBO.

   Pokud chcete upravit existující podmínku, poklikáním na ni přeneste vybranou vlastnost, operátor filtru a hodnoty zpět do odpovídajících polí.

   Pokud chcete odebrat existující podmínku, vyberte ji.

5. Pokud chcete použít filtr na graf a tabulku podrobností, vyberte Aktualizovat.

   

Uložené dotazy v Průzkumníku hrozeb

Tip

Uložit dotaz je součástí sledování hrozeb a není k dispozici v detekcích v reálném čase. Uložené dotazy a sledování hrozeb jsou dostupné jenom v Defender pro Office 365 Plan 2.

Uložit dotaz není k dispozici v zobrazení obsahového malwaru.

Většina zobrazení v Průzkumníku hrozeb umožňuje ukládat filtry (dotazy) pro pozdější použití. Uložené dotazy jsou k dispozici na stránce Sledování hrozeb na portálu Defender na adrese https://security.microsoft.com/threattrackerv2. Další informace o sledování hrozeb najdete v tématu Sledování hrozeb v plánu Microsoft Defender pro Office 365 Plan 2.

Pokud chcete uložit dotazy v Průzkumníku hrozeb, proveďte následující kroky:

1. Po vytvoření filtru nebo dotazu, jak je popsáno výše, vyberte Uložit dotaz>Uložit dotaz.

2. V rozevíracím rámečku Uložit dotaz , který se otevře, nakonfigurujte následující možnosti:

   • Název dotazu: Zadejte jedinečný název dotazu.
   • Vyberte jednu z následujících možností:
     • Přesná data: V polích vyberte počáteční a koncové datum. Nejstarší počáteční datum, které můžete vybrat, je 30 dní před dnešním dnem. Nejnovější datum ukončení, které můžete vybrat, je dnes.
     • Relativní data: Vyberte počet dní v zobrazení posledních nn dnů při spuštění hledání. Výchozí hodnota je 7, ale můžete vybrat 1 až 30.
   • Sledování dotazu: Ve výchozím nastavení není tato možnost vybraná. Tato možnost má vliv na to, jestli se dotaz spouští automaticky:
     • Sledování dotazu není vybráno: Dotaz můžete spustit ručně v Průzkumníku hrozeb. Dotaz se uloží na kartu Uložené dotazy na stránce Sledování hrozeb s hodnotou vlastnosti Sledovaný dotazNe.
     • Vybrané sledování dotazu : Dotaz se pravidelně spouští na pozadí. Dotaz je k dispozici na kartě Uložené dotazy na stránce Sledování hrozeb s hodnotou vlastnosti Sledovaný dotazAno. Pravidelné výsledky dotazu se zobrazují na kartě Sledované dotazy na stránce Sledování hrozeb .

   Až budete hotovi v rozevíracím rámečku Uložit dotaz , vyberte Uložit a pak v potvrzovacím dialogovém okně vyberte OK .

Na kartách Uložený dotaz nebo Sledovaný dotaz na stránce Sledování hrozeb na portálu Defender na https://security.microsoft.com/threattrackerv2adrese můžete vybrat Prozkoumat ve sloupci Akce a otevřít a použít dotaz v Průzkumníku hrozeb.

Když dotaz otevřete tak, že na stránce Sledování hrozebvyberete Prozkoumat, budou teď v části Uložit dotaz na stránce Průzkumníka dostupná nastavení Uložit dotaz jako a Uložený dotaz:

• Pokud vyberete Uložit dotaz jako, otevře se informační panel Uložit dotaz se všemi dříve vybranými nastaveními. Pokud provedete změny, vyberete Uložit a pak v dialogovém okně Úspěch vyberete OK, aktualizovaný dotaz se uloží jako nový dotaz na stránce Sledování hrozeb (možná budete muset vybrat Aktualizovat, abyste ho viděli).

• Pokud vyberete Uložená nastavení dotazu, otevře se vysouvací nabídka Nastavení uloženého dotazu , kde můžete aktualizovat datum a Sledovat nastavení dotazu existujícího dotazu.

Další informace

• Průzkumník hrozeb shromažďuje podrobnosti o e-mailech na stránce entity Email
• Vyhledání a prošetření doručených škodlivých e-mailů
• Zobrazení škodlivých souborů zjištěných v SharePointu Online, OneDrivu a Microsoft Teams
• Sestava stavu ochrany před hrozbami
• Automatizované vyšetřování a reakce v Microsoft Threat Protection