Sdílet prostřednictvím

Proaktivní vyhledávání hrozeb v Průzkumníku hrozeb a detekce v reálném čase v Microsoft Defenderu pro Office 365

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defenderu XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defenderu pro Office 365 v centru zkušebních verzí portálu Microsoft Defender. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Organizace Microsoft 365, které mají Microsoft Defender pro Office 365 zahrnutý ve svém předplatném nebo zakoupené jako doplněk, mají Průzkumníka (označovaného také jako Průzkumník hrozeb) nebo detekce v reálném čase. Tyto funkce představují výkonné nástroje téměř v reálném čase, které pomáhají týmům se zabezpečením (SecOps) prošetřovat hrozby a reagovat na ně. Další informace najdete v článku o Průzkumníku hrozeb a detekcích v reálném čase v Microsoft Defenderu pro Office 365.

Průzkumník hrozeb nebo detekce v reálném čase umožňují provádět následující akce:

  • Podívejte se na malware detekovaný funkcemi zabezpečení Microsoftu 365.
  • Zobrazte adresu URL útoku phishing a klikněte na data verdiktu.
  • Spusťte automatizovaný proces vyšetřování a reakce (jenom Průzkumník hrozeb).
  • Prošetřete škodlivé e-maily.
  • A další.

V tomto krátkém videu se dozvíte, jak pomocí Defenderu pro Office 365 vyhledávat a zkoumat e-mailové hrozby a hrozby založené na spolupráci.

Tip

Rozšířené proaktivní vyhledávání v microsoft defenderu XDR podporuje snadno použitelný tvůrce dotazů, který nepoužívá dotazovací jazyk Kusto (KQL). Další informace najdete v tématu Vytváření dotazů pomocí režimu s asistencí.

V tomto článku jsou k dispozici následující informace:

Tip

Informace o e-mailových scénářích s využitím Průzkumníka hrozeb a detekce v reálném čase najdete v následujících článcích:

Pokud hledáte útoky založené na škodlivých adresách URL vložených do kódů QR, kód QR filtru zdroj adresy URL v zobrazení Všechny e-maily, malware a phish v Průzkumníku hrozeb nebo detekce v reálném čase umožňuje hledat e-mailové zprávy s adresami URL extrahovanými z kódů QR.

Co potřebujete vědět, než začnete?

Průvodce průzkumníkem hrozeb a detekcemi v reálném čase

Průzkumník hrozeb nebo detekce v reálném čase jsou k dispozici v části Spolupráce & e-mailem na portálu Microsoft Defender na adrese https://security.microsoft.com:

Průzkumník hrozeb obsahuje stejné informace a funkce jako detekce v reálném čase, ale s následujícími dalšími funkcemi:

  • Další zobrazení
  • Další možnosti filtrování vlastností, včetně možnosti ukládání dotazů
  • Akce proaktivního vyhledávání a nápravy hrozeb.

Další informace o rozdílech mezi Defenderem pro Office 365 Plan 1 a Plánem 2 najdete v stručné nápovědě Defenderu pro Office 365 Plan 1 a Plan 2.

Pomocí karet (zobrazení) v horní části stránky zahajte šetření.

Dostupná zobrazení v Průzkumníku hrozeb a detekcích v reálném čase jsou popsaná v následující tabulce:

Zobrazení Hrozba
Průzkumník		 Real-time
Detekcí		 Popis
Všechny e-maily Výchozí zobrazení pro Průzkumníka hrozeb. Informace o všech e-mailových zprávách odeslaných externími uživateli do vaší organizace nebo e-mailech odeslaných mezi interními uživateli ve vaší organizaci
Malware Výchozí zobrazení pro detekce v reálném čase Informace o e-mailových zprávách, které obsahují malware.
Phish Informace o e-mailových zprávách, které obsahují phishingové hrozby
Kampaně Informace o škodlivých e-mailech, které Defender for Office 365 Plan 2 identifikoval jako součást koordinované phishingové nebo malwarové kampaně.
Malware obsahu Informace o škodlivých souborech zjištěných následujícími funkcemi:
Kliknutí na adresu URL Informace o tom, jak uživatel klikne na adresy URL v e-mailových zprávách, zprávách Teams, sharepointových souborech a souborech OneDrivu.

Pomocí filtru data a času a dostupných vlastností filtru v zobrazení upřesněte výsledky:

Tip

Po vytvoření nebo aktualizaci filtru nezapomeňte vybrat Aktualizovat . Filtry ovlivňují informace v grafu a oblast podrobností zobrazení.

Můžete si představit, že se zaměříte na Průzkumníka hrozeb nebo detekce v reálném čase jako vrstvy, které vám usnadní opakování kroků:

  • První vrstva je zobrazení, které používáte.
  • Druhým poté jsou filtry, které používáte v daném zobrazení.

Můžete například znovu sledovat kroky, které jste provedli k vyhledání hrozby, a to tak, že zaznamenáte svá rozhodnutí, například takto: K vyhledání problému v Průzkumníku hrozeb jsem použil(a) zobrazení Malware a použil(a) jsem fokus filtru Příjemce .

Nezapomeňte také otestovat možnosti zobrazení. Různé cílové skupiny (například správa) můžou na různé prezentace stejných dat reagovat lépe nebo hůře.

Například v Průzkumníku hrozeb v zobrazení Všechny e-maily jsou v oblasti podrobností v dolní části stránky k dispozici zobrazení Původ e-mailu a Kampaně (karty):

  • Některým cílovým skupinám může mapa světa na kartě Původ e-mailu lépe ukázat, jak rozšířené jsou zjištěné hrozby.

    Snímek obrazovky s mapou světa v zobrazení Původ e-mailu v oblasti podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

  • Pro ostatní můžou být podrobnější informace v tabulce na kartě Kampaně užitečnější pro jejich sdělení.

    Snímek obrazovky s tabulkou podrobností na kartě Kampaň v zobrazení Všechny e-maily v Průzkumníku hrozeb

Tyto informace můžete použít pro následující výsledky:

  • Chcete-li ukázat potřebu zabezpečení a ochrany.
  • Pro pozdější demonstraci účinnosti všech akcí.

Šetření e-mailu

V zobrazení Všechny e-maily, Malware nebo Phish v Průzkumníku hrozeb nebo detekcích v reálném čase se výsledky e-mailových zpráv zobrazují v tabulce na kartě E-mail (zobrazení) v oblasti podrobností pod grafem.

Když se zobrazí podezřelá e-mailová zpráva, klikněte na hodnotu Předmět položky v tabulce. Informační panel podrobností, který se otevře, obsahuje entitu Otevřít e-mail v horní části informačního rámečku.

Snímek obrazovky s akcemi dostupnými v informačním rámečku Podrobnosti e-mailu po výběru hodnoty Předmět na kartě E-mail v oblasti podrobností v zobrazení Všechny e-maily

Stránka entity E-mail sčítá vše, co potřebujete vědět o zprávě a jejím obsahu, abyste mohli určit, jestli zpráva představuje hrozbu. Další informace najdete v tématu Přehled stránky Entita e-mailu.

Náprava e-mailu

Jakmile zjistíte, že je e-mailová zpráva hrozbou, dalším krokem je náprava hrozby. Hrozbu napravíte v Průzkumníku hrozeb nebo detekcích v reálném čase pomocí akce.

Akce Akce je k dispozici v zobrazení Všechny e-maily, Malware nebo Phish v Průzkumníku hrozeb nebo Detekce v reálném čase na kartě E-mail (zobrazení) v oblasti podrobností pod grafem:

  • Vyberte jednu nebo více položek v tabulce tak, že zaškrtnete políčko vedle prvního sloupce. Provedení akce je k dispozici přímo na kartě .

    Snímek obrazovky se zobrazením e-mailu (karta) tabulky podrobností s vybranou zprávou a aktivní akcí

    Tip

    Akce Akce nahrazuje rozevírací seznam Akce zpráv .

    Pokud vyberete 100 nebo méně položek, můžete se zprávami provádět více akcí v průvodci provedením akce .

    Pokud vyberete 101 až 200 000 položek, jsou v průvodci provedením akce k dispozici pouze následující akce:

    • Průzkumník hrozeb: Možnost Přesunout do poštovní schránky a Navrhnout nápravu jsou k dispozici, ale vzájemně se vylučují (můžete vybrat jednu nebo druhou možnost).
    • Detekce v reálném čase: K dispozici jsou pouze položky odeslat microsoftu ke kontrole a vytvořit odpovídající položky povolené/blokované v seznamu povolených/blokovaných klientů.

  • Klikněte na hodnotu Předmět položky v tabulce. V informačním rámečku s podrobnostmi, který se otevře, je v horní části informačního rámečku akce Akce.

    Akce dostupné na kartě Podrobnosti po výběru hodnoty Předmět na kartě E-mail v oblasti podrobností v zobrazení Všechny e-maily.

Průvodce provedením akce

Když vyberete Provést akci , otevře se v informačním rámečku Průvodce provedením akce . Dostupné akce v Průvodci provedením akce v Defenderu pro Office 365 Plan 2 a Defenderu pro Office 365 Plan 1 jsou uvedené v následující tabulce:

Akce Defender for
Office 365 Plan 2		 Defender for
Office 365 Plan 1
Přesunout do složky poštovní schránky ✔¹
  Uvolnění zpráv v karanténě pro některé nebo všechny původní příjemce²
Odeslat microsoftu ke kontrole
   Povolení nebo blokování položek v seznamu povolených/blokovaných klientů³
Zahájení automatizovaného vyšetřování
Navrhnout nápravu

¹ Tato akce vyžaduje roli Hledat a vyprázdnit v e-mailu & oprávnění ke spolupráci. Ve výchozím nastavení je tato role přiřazená jenom skupinám rolí Vyšetřovatel dat a Správa organizace . Do těchto skupin rolí můžete přidat uživatele nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Hledat a Vymazat a přidat uživatele do vlastní skupiny rolí.

² Tato možnost je k dispozici pro zprávy v karanténě, když jako umístění přesunu vyberete Doručená pošta .

³ Tato akce je k dispozici v části Odeslat microsoftu ke kontrole.

Průvodce provedením akce je popsaný v následujícím seznamu:

  1. Na stránce Zvolit akce odpovědi jsou k dispozici následující možnosti:

    • Zobrazit všechny akce odpovědí: Tato možnost je dostupná jenom v Průzkumníku hrozeb.

      Ve výchozím nastavení jsou některé akce nedostupné nebo neaktivní na základě hodnoty Nejnovější umístění doručení zprávy. Pokud chcete zobrazit všechny dostupné akce odpovědí, posuňte přepínač do polohy Zapnuto.

    • Přesunout do složky poštovní schránky: Vyberte jednu z dostupných hodnot, které se zobrazí:

      • Nevyžádaná pošta: Přesuňte zprávu do složky Nevyžádaná pošta.

      • Doručená pošta: Přesuňte zprávu do složky Doručená pošta. Při výběru této hodnoty se také můžou zobrazit následující možnosti:

        • Přesunout zpět do složky Odeslaná pošta: Pokud byla zpráva odeslána interním odesílatelem a zpráva byla obnovitelně odstraněna (přesunuta do složky Obnovitelné položky\Odstraněné položky), pokusí se výběrem této možnosti přesunout zprávu zpět do složky Odeslaná pošta. Tato možnost je akce zpět, pokud jste dříve vybrali Možnost Přesunout do složky> poštovní schránkyObnovitelné odstraněné položky a také možnost Odstranit kopii odesílatele ve zprávě.

        • U zpráv s hodnotou Karanténa pro vlastnost Nejnovější umístění doručení se po výběru doručené pošty zpráva uvolní z karantény, takže jsou k dispozici také následující možnosti:

          • Uvolnění pro jednoho nebo více původních příjemců e-mailu: Pokud vyberete tuto hodnotu, zobrazí se pole, ve kterém můžete vybrat nebo zrušit výběr původních příjemců zprávy v karanténě.
          • Uvolnění pro všechny příjemce

      • Odstraněné položky: Přesuňte zprávu do složky Odstraněná pošta.

      • Obnovitelně odstraněné položky: Přesuňte zprávu do složky Obnovitelné položky\Odstraněné položky, což odpovídá odstranění zprávy ze složky Odstraněná pošta. Uživatel a správci zprávu můžou obnovit.

        Odstranit kopii odesílatele: Pokud zprávu odeslal interní odesílatel, zkuste zprávu také obnovitelné odstranit ze složky Odeslaná pošta odesílatele.

      • Pevně odstraněné položky: Odstraněnou zprávu vyprázdněte. Správci můžou obnovit pevně odstraněné položky pomocí obnovení s jednou položkou. Další informace o pevně odstraněných a obnovitelně odstraněných položkách najdete v tématu Obnovitelné a pevně odstraněné položky.

    • Odeslat microsoftu ke kontrole: Vyberte jednu z dostupných hodnot, které se zobrazí:

      • Ověřil(a) jsem, že je zpráva čistá: Tuto hodnotu vyberte, pokud jste si jistí, že je zpráva čistá. Zobrazí se následující možnosti:

        • Povolit zprávy, jako je tato: Pokud vyberete tuto hodnotu, přidají se položky povolení do seznamu povolených/blokovaných položek tenanta pro odesílatele a všechny související adresy URL nebo přílohy ve zprávě. Zobrazí se také následující možnosti:
          • Odebrat položku po: Výchozí hodnota je 1 den, ale můžete také vybrat 7,30 dnů nebo konkrétní datum , které je kratší než 30 dnů.
          • Povolit zadání poznámky: Zadejte volitelnou poznámku, která obsahuje další informace.

      • Vypadá to jako čisté nebo Podezřelé: Vyberte jednu z těchto hodnot, pokud si nejste jistí a chcete od Microsoftu zadat rozsudek.

      • Ověřil(a) jsem, že se jedná o hrozbu: Tuto hodnotu vyberte, pokud jste si jistí, že je položka škodlivá, a pak vyberte jednu z následujících hodnot v části Zvolte kategorii , která se zobrazí:

        • Phish
        • Malware
        • Spam

        Po výběru jedné z těchto hodnot se otevře informační panel Vybrat entity, které se mají blokovat , kde můžete vybrat jednu nebo více entit přidružených ke zprávě (adresa odesílatele, doména odesílatele, adresy URL nebo přílohy souborů), které chcete přidat jako blokované položky do seznamu povolených/blokovaných klientů.

        Po výběru položek, které se mají blokovat, zavřete výběrem možnosti Přidat do pravidla blokování v rozevíracím seznamu Vybrat entity k blokování . Nebo vyberte žádné položky a pak vyberte Zrušit.

        Zpět na stránce Zvolit akce odpovědi vyberte možnost vypršení platnosti pro položky bloku:

        • Konec platnosti: Vyberte datum, kdy vyprší platnost položek bloku.
        • Nikdy nevyprší platnost

        Zobrazí se počet blokovaných entit (například 4/4 entit, které se mají blokovat). Výběrem možnosti Upravit znovu otevřete pravidlo Přidat do bloku a proveďte změny.

    • Zahájit automatizované šetření: Pouze Průzkumník hrozeb. Vyberte jednu z následujících hodnot, které se zobrazí:

      • Prozkoumání e-mailu
      • Prošetření příjemce
      • Prozkoumání odesílatele: Tato hodnota platí jenom pro odesílatele ve vaší organizaci.
      • Kontaktovat příjemce

    • Navrhnout nápravu: Vyberte jednu z následujících hodnot, které se zobrazí:

      • Vytvořit nový: Tato hodnota aktivuje akci čekající na obnovitelné odstranění e-mailu, kterou musí schválit správce v Centru akcí. Tento výsledek se také označuje jako dvoustupňové schválení.

      • Přidat do existujícího: Tuto hodnotu použijte k použití akcí na tuto e-mailovou zprávu z existující nápravy. V poli Odeslat e-mail na následující nápravy vyberte existující nápravu.

        Tip

        Tuto možnost můžou použít pracovníci secOps, kteří nemají dostatečná oprávnění, k vytvoření nápravy, ale někdo s oprávněními musí akci schválit v Centru akcí.

    Až skončíte na stránce Zvolit akce odpovědi , vyberte Další.

  2. Na stránce Zvolit cílové entity nakonfigurujte následující možnosti:

    • Název a popis: Zadejte jedinečný popisný název a volitelný popis pro sledování a identifikaci vybrané akce.

    Zbytek stránky je tabulka, která obsahuje seznam ovlivněných prostředků. Tabulka je uspořádaná podle následujících sloupců:

    • Ovlivněný prostředek: Ovlivněné prostředky z předchozí stránky. Příklady:
      • E-mailová adresa příjemce
      • Celý tenant
    • Akce: Vybrané akce pro prostředky z předchozí stránky. Příklady:
      • Hodnoty z možnosti Odeslat microsoftu ke kontrole:
        • Sestava jako čistá
        • Sestava
        • Nahlásit jako malware, Nahlásit jako spam nebo Nahlásit jako phishing
        • Blokovat odesílatele
        • Blokovat doménu odesílatele
        • Adresa URL bloku
        • Blokovat přílohu
      • Hodnoty z zahájení automatizovaného šetření:
        • Prozkoumání e-mailu
        • Prošetření příjemce
        • Prozkoumání odesílatele
        • Kontaktovat příjemce
      • Hodnoty z navrhnout nápravu:
        • Vytvořit novou nápravu
        • Přidat do existující nápravy
    • Cílová entita: Příklad:
      • Hodnota ID síťové zprávy e-mailové zprávy.
      • E-mailová adresa blokovaného odesílatele
      • Doména blokovaného odesílatele.
      • Blokovaná adresa URL.
      • Blokovaná příloha.
    • Vyprší dne: Hodnoty existují pouze pro položky povolené nebo blokované v seznamu blokovaných tenantů nebo povolených položek. Příklady:
      • Nikdy nevyprší platnost položek bloku.
      • Datum vypršení platnosti položek povolení nebo blokování.
    • Obor: Tato hodnota je obvykle MDO.

    V této fázi můžete také vrátit zpět některé akce. Pokud například chcete vytvořit blokovou položku v seznamu povolených/blokovaných tenantů, aniž byste entitu odesílali do Microsoftu, můžete to udělat tady.

    Až skončíte na stránce Zvolit cílové entity , vyberte Další.

  3. Na stránce Zkontrolovat a odeslat zkontrolujte předchozí výběry.

    Vyberte Exportovat a vyexportujte ovlivněné prostředky do souboru CSV. Ve výchozím nastavení je název souboru ovlivněný assets.csv umístěný ve složce Stažené soubory .

    Pokud se chcete vrátit zpět a změnit výběr, vyberte Zpět .

    Až skončíte na stránce Zkontrolovat a odeslat , vyberte Odeslat.

Tip

Může chvíli trvat, než se akce zobrazí na souvisejících stránkách, ale na rychlost nápravy to nemá vliv.

Prostředí proaktivního vyhledávání hrozeb pomocí Průzkumníka hrozeb a detekce v reálném čase

Průzkumník hrozeb nebo detekce v reálném čase pomáhají týmu bezpečnostních operací zkoumat hrozby a efektivně na ně reagovat. Následující dílčí části vysvětlují, jak vám Průzkumník hrozeb a detekce v reálném čase můžou pomoct najít hrozby.

Proaktivní vyhledávání hrozeb z výstrah

Stránka Výstrahy je k dispozici na portálu Defender v části Incidenty & výstrahy>Výstrahy nebo přímo na adrese https://security.microsoft.com/alerts.

U mnoha upozornění s hodnotou MDO zdroje detekce je v horní části informačního rámečku podrobnosti o upozornění dostupná akce Zobrazit zprávy v Průzkumníkovi.

Informační rámeček s podrobnostmi výstrahy se otevře, když kliknete na jiné místo než na zaškrtávací políčko vedle prvního sloupce. Příklady:

  • Bylo zjištěno kliknutí na potenciálně škodlivou adresu URL.
  • Výsledek odeslání správce se dokončil.
  • E-mailové zprávy obsahující škodlivou adresu URL odebrané po doručení
  • E-mailové zprávy odebrané po doručení
  • Zprávy obsahující škodlivou entitu, která se po doručení neodebrala
  • Phish není zapped, protože ZAP je zakázáno

Snímek obrazovky s dostupnými akcemi v informačním rámečku s podrobnostmi výstrahy s hodnotou MDO zdroje Detekce na stránce Výstrahy na portálu Defender

Když vyberete Zobrazit zprávy v Průzkumníkovi , otevře se Průzkumník hrozeb v zobrazení Všechny e-maily s filtrem vlastností ID upozornění vybraného pro výstrahu. Hodnota ID upozornění je jedinečná hodnota GUID pro výstrahu (například 89e00cdc-4312-7774-6000-08dc33a24419).

ID upozornění je filtrovatelná vlastnost v následujících zobrazeních v Průzkumníku hrozeb a detekcích v reálném čase:

V těchto zobrazeních je ID upozornění dostupné jako sloupec s možností výběru v oblasti podrobností pod grafem na následujících kartách (zobrazeních):

V informačním rámečku s podrobnostmi e-mailu, který se otevře po kliknutí na hodnotu Předmět z jedné z položek, je odkaz ID upozornění dostupný v části Podrobnosti e-mailu v informačním rámečku. Výběrem odkazu ID upozornění se otevře stránka Zobrazit upozornění na adrese https://security.microsoft.com/viewalertsv2 s vybranou výstrahou a otevřením informačního rámečku podrobností pro výstrahu.

Snímek obrazovky s vysouvacím rámečkem podrobností upozornění na stránce Zobrazit upozornění po výběru ID upozornění v informačním rámečku položky na kartě E-mail v zobrazení Všechny e-maily, Malware nebo Phish v Průzkumníku hrozeb nebo detekcích v reálném čase

Značky v Průzkumníku hrozeb

Pokud v Defenderu pro Office 365 Plan 2 používáte uživatelské značky k označení účtů cílů s vysokou hodnotou (například značku účtu Priority ), můžete tyto značky použít jako filtry. Tato metoda ukazuje pokusy o útoky phishing zaměřené na cílové účty s vysokou hodnotou během určitého časového období. Další informace o značkách uživatelů najdete v tématu Značky uživatelů.

Uživatelské značky jsou v Průzkumníku hrozeb dostupné v následujících umístěních:

Informace o hrozbách pro e-mailové zprávy

Akce před doručením a po doručení e-mailových zpráv se konsolidují do jediného záznamu bez ohledu na různé události po doručení, které ovlivnily zprávu. Příklady:

V informačním rámečku podrobnosti e-mailu na kartě E-mail (zobrazení) v zobrazení Všechny e-maily, Malware nebo Phish se zobrazují přidružené hrozby a odpovídající technologie detekce, které jsou přidružené k e-mailové zprávě. Zpráva může obsahovat nula, jednu nebo více hrozeb.

  • V části Podrobnosti o doručení zobrazuje vlastnost Technologie detekce technologii detekce, která identifikovala hrozbu. Technologie detekce je k dispozici také jako pivot grafu nebo sloupec v tabulce podrobností pro mnoho zobrazení v Průzkumníku hrozeb a detekcích v reálném čase.

  • V části Adresy URL se zobrazují konkrétní informace o hrozbách pro všechny adresy URL ve zprávě. Například Malware, Phish, **Spam nebo None.

Tip

Analýza verdiktu nemusí být nutně svázaná s entitami. Filtry vyhodnocují obsah a další podrobnosti e-mailové zprávy před přiřazením verdiktu. E-mailová zpráva může být například klasifikována jako phishing nebo spam, ale žádné adresy URL ve zprávě nejsou opatřeny útokem phishing nebo spamem.

Výběrem možnosti Otevřít entitu e-mailu v horní části informačního rámečku zobrazíte podrobné informace o e-mailové zprávě. Další informace najdete v tématu Stránka entity E-mail v Microsoft Defenderu pro Office 365.

Snímek obrazovky s vysouvacím rámečkem podrobností e-mailu po výběru hodnoty Předmět na kartě E-mail v oblasti podrobností v zobrazení Všechny e-maily

Rozšířené možnosti v Průzkumníku hrozeb

Následující pododdíly popisují filtry, které jsou výhradní pro Průzkumníka hrozeb.

Pravidla toku pošty Exchange (pravidla přenosu)

Pokud chcete najít zprávy, které byly ovlivněny pravidly toku pošty Exchange (označované také jako pravidla přenosu), máte následující možnosti v zobrazení Veškerý e-mail, Malware a Phish v Průzkumníku hrozeb (ne v detekcích v reálném čase):

  • Pravidlo přenosu Exchange je vybratelná hodnota pro filtrovatelné vlastnosti Zdroj primárního přepsání, Zdroj přepsání a Typ zásad .
  • Pravidlo přenosu Exchange je filtrovatelná vlastnost. Jako název pravidla zadáte částečnou textovou hodnotu.

Další informace získáte na následujících odkazech:

Karta E-mail (zobrazení) pro oblast podrobností zobrazení Všechny e-maily, Malware a Phish v Průzkumníku hrozeb mají také jako dostupný sloupec pravidlo přenosu Exchange , který není ve výchozím nastavení vybraný. Tento sloupec zobrazuje název pravidla přenosu. Další informace získáte na následujících odkazech:

Tip

Oprávnění požadovaná k vyhledání pravidel toku pošty podle názvu v Průzkumníku hrozeb najdete v tématu Oprávnění a licencování pro Průzkumníka hrozeb a detekce v reálném čase. K zobrazení názvů pravidel v informačních rámečkech podrobností e-mailu, tabulkách podrobností a exportovaných výsledcích nejsou nutná žádná zvláštní oprávnění.

Příchozí konektory

Příchozí konektory určují konkrétní nastavení pro zdroje e-mailu pro Microsoft 365. Další informace najdete v tématu Konfigurace toku pošty pomocí konektorů v Exchangi Online.

Pokud chcete najít zprávy ovlivněné příchozími konektory, můžete pomocí vlastnosti Connector filterable vyhledat konektory podle názvu v zobrazení Veškerý e-mail, Malware a Phish v Průzkumníku hrozeb (ne v detekcích v reálném čase). Jako název spojnice zadáte částečnou textovou hodnotu. Další informace získáte na následujících odkazech:

Karta E-mail (zobrazení) pro oblast podrobností zobrazení Všechny e-maily, Malware a Phish v Průzkumníku hrozeb mají také konektor jako dostupný sloupec, který není ve výchozím nastavení vybraný. Tento sloupec zobrazuje název konektoru. Další informace získáte na následujících odkazech:

Scénáře zabezpečení e-mailu v Průzkumníku hrozeb a detekcích v reálném čase

Konkrétní scénáře najdete v následujících článcích:

Další způsoby použití Průzkumníka hrozeb a detekce v reálném čase

Kromě scénářů popsaných v tomto článku máte další možnosti v Průzkumníkovi nebo detekcích v reálném čase. Další informace najdete v následujících článcích: