Del via


Brug siden Indsendelser til at sende mistanke om spam, phish, URL-adresser, legitime mails, der blokeres, og vedhæftede filer i mails til Microsoft

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

Du kan få flere oplysninger om, hvordan Microsoft gemmer og håndterer dine indsendelser, i dette.

I Microsoft 365-organisationer med Exchange Online postkasser kan administratorer bruge siden Indsendelser på portalen Microsoft Defender til at sende meddelelser, URL-adresser og vedhæftede filer til Microsoft til analyse. Der er to grundlæggende typer af administratorindsendelser:

  • Administration stammer fra indsendelser: Administratorer identificerer og rapporterer meddelelser, vedhæftede filer eller URL-adresser (enheder) ved at vælge Send til Microsoft til analyse under fanerne på siden Indsendelser, som beskrevet i afsnittet Administration stammer fra indsendelser.

    Når administratoren rapporterer objektet, vises en post på den tilsvarende fane på siden Indsendelser (hvor som helst undtagen fanen rapporteret af bruger ).

  • Administration indsendelse af brugerrapporterede meddelelser: Den indbyggede brugerrapporteringsoplevelse er slået til og konfigureret. Brugerrapporterede meddelelser vises under fanen Brugerrapporteret på siden Indsendelser , og administratorer sender eller sender meddelelserne til Microsoft igen fra fanen Brugerrapporteret .

    Når en administrator har sendt meddelelsen fra fanen Bruger rapporteret , oprettes der også en post under den tilsvarende fane på siden Indsendelser (f.eks. fanen Mails ). Disse typer af administratorindsendelser er beskrevet i afsnittet Administration indstillinger for brugerrapporterede meddelelser.

Når administratorer eller brugere sender meddelelser til Microsoft til analyse, foretager vi følgende kontroller:

  • Kontrol af mailgodkendelse (kun mailmeddelelser): Om mailgodkendelse blev bestået eller mislykkedes, da den blev leveret.
  • Politikindsigelser: Oplysninger om eventuelle politikker eller tilsidesættelser, der kan have tilladt eller blokeret den indgående mail til organisationen, og dermed tilsidesætte vores filtreringsdomme.
  • Payload-omdømme/detonation: Opdateret undersøgelse af eventuelle URL-adresser og vedhæftede filer i meddelelsen.
  • Grader analyse: Gennemgang udført af menneskelige gradere for at bekræfte, om meddelelser er ondsindede.

Vigtigt!

I amerikanske offentlige organisationer (Microsoft 365 GCC, GCC High og DoD) kan administratorer sende mails til Microsoft til analyse, men meddelelserne analyseres kun for godkendelse af mails og politikindse. Payloadomdømme, detonation og graderanalyse udføres ikke af hensyn til overholdelse af angivne standarder (data må ikke forlade organisationsgrænsen).

Se denne korte video for at få mere at vide om, hvordan du bruger administratorindsendelser i Microsoft Defender for Office 365 til at sende meddelelser til Microsoft til evaluering.

Du kan få flere oplysninger om, hvordan brugerne kan sende meddelelser og filer til Microsoft, under Rapportér meddelelser og filer til Microsoft.

Du kan finde andre måder, som administratorer kan rapportere meddelelser til Microsoft på Defender-portalen på, under Relaterede rapporteringsindstillinger for administratorer.

Hvad har du brug for at vide, før du begynder?

  • Du åbner portalen Microsoft Defender på https://security.microsoft.com/. Hvis du vil gå direkte til siden Indsendelser , skal du bruge https://security.microsoft.com/reportsubmission.

  • Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:

  • Administratorer kan sende mails så gamle som 30 dage, hvis de stadig er tilgængelige i postkassen og ikke er blevet slettet af brugeren eller en administrator.

  • Administration indsendelser begrænses til følgende satser:

    • Maksimalt antal indsendelser i en periode på 15 minutter: 150 indsendelser
    • Samme indsendelser i en 24-timers periode: Tre indsendelser
    • Samme indsendelser i en 15-minutters periode: Én indsendelse
  • Hvis brugerrapporterede indstillinger i organisationen sender brugerrapporterede meddelelser (mail og Microsoft Teams) til Microsoft (udelukkende eller ud over postkassen til rapportering), foretager vi de samme kontroller, som når administratorer sender meddelelser til Microsoft til analyse fra siden Indsendelser . Så indsendelse eller gensendelse af meddelelser til Microsoft er kun nyttigt for administratorer for meddelelser, der aldrig er blevet sendt til Microsoft, eller når du er uenig i den oprindelige dom.

  • Fanen Filer er kun tilgængelig på siden Indsendelser i organisationer med Microsoft Defender XDR eller Microsoft Defender for Endpoint Plan 2. Du kan finde oplysninger og instruktioner i, hvordan du sender filer fra fanen Filer, under Send filer i Microsoft Defender for Endpoint.

Administration-stammer fra indsendelser

Tip

Den fane, hvor du vælger Send til Microsoft til analyse , betyder ikke særlig meget, så længe du angiver Vælg indsendelsestypen til den korrekte værdi.

Rapportér tvivlsomme mails til Microsoft

  1. Gå til Handlinger & indsendelser>i portalen Microsoft Defender på https://security.microsoft.com. Du kan også gå direkte til siden Indsendelser ved at bruge https://security.microsoft.com/reportsubmission.

  2. På siden Indsendelser skal du bekræfte, at fanen Mails er valgt.

  3. Under fanen Mails skal du vælge Send til Microsoft til analyse.

  4. Angiv følgende oplysninger på den første side i pop op-vinduet Send til Microsoft til analyse , der åbnes:

    • Vælg afsendelsestypen: Kontrollér, at værdien Mail er valgt.

    • Tilføj netværksmeddelelses-id'et, eller upload mailfilen: Vælg en af følgende indstillinger:

      • Tilføj mailnetværkets meddelelses-id: GUID-værdien er tilgængelig i headeren X-MS-Exchange-Organization-Network-Message-Id eller i X-MS-Office365-Filtering-Correlation-Id-headeren i meddelelser.
      • Upload mailfilen (.msg eller .eml): Vælg Gennemse filer. I den dialogboks, der åbnes, skal du finde og vælge filen .eml eller .msg og derefter vælge Åbn.
    • Vælg mindst én modtager, der har haft et problem: Angiv, hvilke modtagere der skal køres en politikkontrol mod. Politikkontrollen bestemmer, om mailen blev overset pga. bruger- eller organisationspolitikker eller tilsidesættelse.

    • Hvorfor sender du denne meddelelse til Microsoft?: Vælg en af følgende værdier:

      • Det ser mistænkeligt ud: Vælg kun denne værdi, når du ikke ved det, eller hvis du er usikker på meddelelsens dom, og du gerne vil have en dom fra Microsoft. Vælg Send, og gå derefter til Trin 6.

      eller

      • Jeg har bekræftet, at det er en trussel: I alle andre tilfælde skal du vælge denne værdi, når du allerede har bestemt meddelelsen dom som ondsindet. Vælg en af følgende værdier i sektionen Vælg en kategori , der vises:

        • Phish
        • Malware
        • Spam

        Vælg Næste.

        Send en falsk negativ (dårlig) mail til Microsoft til analyse på siden Indsendelser på Defender-portalen.

  5. På den anden side i pop op-vinduet Send til Microsoft til analyse , der åbnes, skal du gøre et af følgende:

    • Vælg Send.

    eller

    • Vælg Bloker alle mails fra denne afsender eller dette domæne: Med denne indstilling oprettes der en blokpost for afsenderdomænet eller mailadressen på listen over tilladte/blokerede lejere. Du kan få flere oplysninger om listen over tilladte/blokerede lejere under Administrer tillader og blokke på lejerlisten tillad/bloker.

      Når du har valgt denne indstilling, er følgende indstillinger tilgængelige:

      • Som standard er Afsender valgt, men du kan vælge Domæne i stedet.
      • Fjern blokindtastning efter: Standardværdien er 30 dage, men du kan vælge mellem følgende værdier:
        • 1 dag
        • 7 dage
        • 30 dage
        • Udløber aldrig
        • Bestemt dato: Den maksimale værdi er 30 dage fra i dag.
      • Note til indtastning af blok (valgfrit): Angiv valgfrie oplysninger om, hvorfor du blokerer dette element.

      Når du er færdig på den anden side i pop op-vinduet Send til Microsoft til analyse , skal du vælge Send.

      Vælg, om du vil oprette en tilsvarende blokpost for afsenderdomænet eller mailadressen på lejerlisten tillad/bloker.

  6. Vælg Udført.

Efter et øjeblik er blokeringsposten tilgængelig på fanen Domæner & adresser på siden Tillad/bloker lejer Listerhttps://security.microsoft.com/tenantAllowBlockList?viewid=Sender.

Rapportér tvivlsomme vedhæftede filer i mails til Microsoft

  1. Gå til Handlinger & indsendelser>i portalen Microsoft Defender på https://security.microsoft.com. Du kan også gå direkte til siden Indsendelser ved at bruge https://security.microsoft.com/reportsubmission.

  2. På siden Indsendelser skal du vælge fanen Vedhæftede filer i mails .

  3. Under fanen Vedhæftede filer i mails skal du vælge Send til Microsoft til analyse.

  4. Angiv følgende oplysninger på den første side i pop op-vinduet Send til Microsoft til analyse , der åbnes:

    • Vælg afsendelsestypen: Kontrollér, at værdien Vedhæftet fil er valgt.

    • Fil: Vælg Gennemse filer for at finde og vælge den fil, der skal sendes.

    • Hvorfor sender du denne vedhæftede fil til Microsoft?: Vælg en af følgende værdier:

      • Det ser mistænkeligt ud: Vælg denne værdi, hvis du er usikker, og du vil have en dom fra Microsoft, vælg Indsend, og gå derefter til Trin 6.

      eller

      • Jeg har bekræftet, at det er en trussel: Vælg denne værdi, hvis du er sikker på, at elementet er skadeligt, og vælg derefter en af følgende værdier i afsnittet Vælg en kategori , der vises:

        • Phish
        • Malware

        Vælg Næste.

        Send en falsk negativ (ugyldig) vedhæftet fil til Microsoft til analyse på siden Indsendelser på Defender-portalen.

  5. På den anden side i pop op-vinduet Send til Microsoft til analyse , der åbnes, skal du gøre et af følgende:

    • Vælg Send.

    eller

    • Vælg Bloker denne fil: Denne indstilling opretter en blokpost for filen på listen Over tilladte/blokerede lejere. Du kan få flere oplysninger om listen over tilladte/blokerede lejere under Administrer tillader og blokke på lejerlisten tillad/bloker.

      Når du har valgt denne indstilling, er følgende indstillinger tilgængelige:

      • Fjern blokindtastning efter: Standardværdien er 30 dage, men du kan vælge mellem følgende værdier:
        • 1 dag
        • 7 dage
        • 30 dage
        • Udløber aldrig
        • Bestemt dato: Den maksimale værdi er 30 dage fra i dag.
      • Note til indtastning af blok (valgfrit): Angiv valgfrie oplysninger om, hvorfor du blokerer dette element.

      Når du er færdig i pop op-vinduet Send til Microsoft til analyse , skal du vælge Send.

    Vælg, om du vil oprette en tilsvarende blokpost for filen på lejerlisten Tillad/Bloker.

  6. Vælg Udført.

Efter et øjeblik er blokeringsposten tilgængelig under fanen Filer på siden Tillad/bloker lejer Listerhttps://security.microsoft.com/tenantAllowBlockList?viewid=FileHash.

Rapportér tvivlsomme URL-adresser til Microsoft

  1. Gå til Handlinger & indsendelser>i portalen Microsoft Defender på https://security.microsoft.com. Du kan også gå direkte til siden Indsendelser ved at bruge https://security.microsoft.com/reportsubmission.

  2. Vælg fanen URL-adresser på siden Indsendelser.

  3. På fanen URL-adresser skal du vælge Send til Microsoft til analyse.

  4. I pop op-vinduet Send til Microsoft til analyse , der åbnes, skal du angive følgende oplysninger:

    • Vælg afsendelsestypen: Kontrollér, at værdiens URL-adresse er valgt.

    • URL-adresse: Angiv den fulde URL-adresse (f.eks. https://www.fabrikam.com/marketing.html), og vælg den derefter i det felt, der vises. Du kan angive op til 50 URL-adresser på én gang.

    • Hvorfor sender du denne URL-adresse til Microsoft?: Vælg en af følgende værdier:

      • Det ser mistænkeligt ud: Vælg denne værdi, hvis du er usikker, og du vil have en dom fra Microsoft, vælg Indsend, og gå derefter til Trin 6.

      eller

      • Jeg har bekræftet, at det er en trussel: Vælg denne værdi, hvis du er sikker på, at elementet er skadeligt, og vælg derefter en af følgende værdier i afsnittet Vælg en kategori , der vises:

        • Phish
        • Malware

        Vælg Næste.

        Send en falsk negativ (dårlig) URL-adresse til Microsoft til analyse på siden Indsendelser på Defender-portalen.

  5. På den anden side i pop op-vinduet Send til Microsoft til analyse , der åbnes, skal du gøre et af følgende:

    • Vælg Send.

    eller

    • Vælg Bloker denne URL-adresse: Denne indstilling opretter en blokpost for URL-adressen på listen over tilladte/blokerede lejere. Du kan få flere oplysninger om listen over tilladte/blokerede lejere under Administrer tillader og blokke på lejerlisten tillad/bloker.

      Når du har valgt denne indstilling, er følgende indstillinger tilgængelige:

      • Fjern blokindtastning efter: Standardværdien er 30 dage, men du kan vælge mellem følgende værdier:
        • 1 dag
        • 7 dage
        • 30 dage
        • Udløber aldrig
        • Bestemt dato: Den maksimale værdi er 30 dage fra i dag.
      • Note til indtastning af blok (valgfrit): Angiv valgfrie oplysninger om, hvorfor du blokerer dette itme.

      Når du er færdig i pop op-vinduet Send til Microsoft til analyse , skal du vælge Send.

    Vælg, om du vil oprette en tilsvarende blokpost for URL-adressen på listen over tilladte/blokerede lejere.

  6. Vælg Udført.

Efter et øjeblik er blokeringsposten tilgængelig på fanen URL-adresse på siden Tillad/bloker lejer Listerhttps://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Rapportér en god mail til Microsoft

  1. Gå til Handlinger & indsendelser>i portalen Microsoft Defender på https://security.microsoft.com. Du kan også gå direkte til siden Indsendelser ved at bruge https://security.microsoft.com/reportsubmission.

  2. På siden Indsendelser skal du bekræfte, at fanen Mails er valgt.

  3. Under fanen Mails skal du vælge Send til Microsoft til analyse.

  4. På den første side i pop op-vinduet Send til Microsoft til analyse , der åbnes, skal du angive følgende oplysninger:

    • Vælg afsendelsestypen: Kontrollér, at værdien Mail er valgt.

    • Tilføj netværksmeddelelses-id'et, eller upload mailfilen: Vælg en af følgende indstillinger:

      • Tilføj mailnetværkets meddelelses-id: GUID-værdien er tilgængelig i headeren X-MS-Exchange-Organization-Network-Message-Id i meddelelsen eller i X-MS-Office365-Filtering-Correlation-Id-headeren i karantænemeddelelser.
      • Upload mailfilen (.msg eller .eml): Vælg Gennemse filer. I den dialogboks, der åbnes, skal du finde og vælge filen .eml eller .msg og derefter vælge Åbn.
    • Vælg mindst én modtager, der har haft et problem: Angiv, hvilke modtagere der skal køres en politikkontrol mod. Politikkontrollen bestemmer, om mailen blev blokeret på grund af bruger- eller organisationspolitikker eller tilsidesættelser.

    • Hvorfor sender du denne meddelelse til Microsoft?: Vælg en af følgende værdier:

      • Det ser rent ud: Vælg kun denne værdi, når du ikke ved det, eller hvis du er usikker på meddelelsens dom, og du gerne vil have en dom fra Microsoft. Vælg Send, og gå derefter til Trin 6.

      eller

      • Jeg har bekræftet, at den er ren: I alle andre tilfælde skal du vælge denne værdi, når du allerede har bestemt meddelelsen dom som ren. Vælg Næste.

    Send en falsk positiv (god) mail til Microsoft til analyse på siden Indsendelser på Defender-portalen.

  5. På den anden side i pop op-vinduet Send til Microsoft til analyse , der åbnes, skal du gøre et af følgende:

    • Vælg Send.

    eller

    • Vælg Tillad denne meddelelse: Denne indstilling opretter en tilladelsespost for elementerne i meddelelsen på listen Over tilladte/blokerede lejere. Du kan få flere oplysninger om listen over tilladte/blokerede lejere under Administrer tillader og blokke på lejerlisten tillad/bloker.

      Når du har valgt denne indstilling, er følgende indstillinger tilgængelige:

      • Fjern tillad indtastning efter: Standardværdien er 45 dage efter den sidste brugte dato, men du kan vælge mellem følgende værdier:

        • 1 dag
        • 7 dage
        • 30 dage
        • Bestemt dato: Den maksimale værdi er 30 dage fra i dag.

        For spoofed afsendere er denne værdi meningsløs, fordi poster for spoofed afsendere aldrig udløber.

        Når der er valgt 45 dage efter datoen for seneste brug , opdateres den senest anvendte dato for den tilladte post, når den skadelige mail vises under mailflowet. Den tilladte post bevares i 45 dage, efter filtreringssystemet har fundet ud af, at mailen er ren.

      • Tillad indtastningsnote (valgfrit): Angiv valgfrie oplysninger om, hvorfor du tillader dette element. For misvisende afsendere vises de værdier, du angiver her, ikke i posten Tillad på fanen Spoofed-afsendere på siden Tillad/bloker lejer Lister.

      Når du er færdig på den anden side i pop op-vinduet Send til Microsoft til analyse , skal du vælge Send.

      Vælg, om du vil oprette en tilsvarende tilladelsespost for elementerne i meddelelsen på listen over tilladte/blokerede lejere.

  6. Vælg Udført.

Efter et øjeblik vises de tilknyttede tilladte poster på siden Domæner & adresser, forfalskede afsendere, URL-adresser eller Filer på siden Tillad/bloker lejer Listerhttps://security.microsoft.com/tenantAllowBlockList.

Vigtigt!

  • Tillad poster tilføjes under et mailflow baseret på de filtre, der bestemte, at meddelelsen var skadelig. Hvis afsenderens mailadresse og en URL-adresse i meddelelsen f.eks. blev bestemt til at være ugyldig, oprettes der en tilladelsespost for afsenderen (mailadresse eller domæne) og URL-adressen.
  • Hvis afsenderens mailadresse ikke er skadelig af vores filtreringssystem, vil afsendelse af mailen til Microsoft ikke oprette en tilladelsespost på listen over tilladte lejere/bloker.
  • Når der igen registreres et tilladt domæne eller en tilladt mailadresse, forfalsket afsender, URL-adresse eller fil (enhed), springes alle filtre, der er knyttet til enheden, over. I forbindelse med mails evalueres alle andre enheder stadig af filtreringssystemet, før der træffes en beslutning.
  • Hvis meddelelser fra det tilladte domæne eller den tilladte mailadresse overfører andre kontroller i filtreringsstakken, leveres meddelelserne under mailflowet. Hvis en meddelelse f.eks. består kontrol af mailgodkendelse, leveres der en meddelelse fra en tilladt afsendermailadresse.
  • Tillad poster for domæner og mailadresser bevares som standard i 45 dage, efter at filtreringssystemet bestemmer, at enheden er ren, og derefter fjernes den tilladte post. Eller du kan angive, at tillad, at poster udløber op til 30 dage, efter at du har oprettet dem. Tillad som standard, at poster for spoofede afsendere aldrig udløber.
  • I forbindelse med meddelelser, der er blokeret forkert af domæne- eller bruger repræsentationsbeskyttelse, oprettes tilladelsesposten for domænet eller afsenderen ikke på listen over tilladte/blokerede lejere. Domænet eller afsenderen føjes i stedet til afsnittet Afsendere og domæner , der er tillid til, i den anti-phishing-politik , der registrerede meddelelsen.
  • Når du tilsidesætter dommen i indsigten spoof intelligence, bliver den spoofede afsender en manuel tilladelses- eller blokindtastning, der kun vises på de spoofede afsendere på siden Tillad/blok Lister er lejer på .https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem

Rapportér gode vedhæftede filer i mails til Microsoft

  1. Gå til Handlinger & indsendelser>i portalen Microsoft Defender på https://security.microsoft.com. Du kan også gå direkte til siden Indsendelser ved at bruge https://security.microsoft.com/reportsubmission.

  2. På siden Indsendelser skal du vælge fanen Vedhæftede filer i mails .

  3. Under fanen Vedhæftede filer i mails skal du vælge Send til Microsoft til analyse.

  4. På pop op-vinduet Send til Microsoft til analyse , der åbnes, skal du angive følgende oplysninger:

    • Vælg afsendelsestypen: Kontrollér, at værdien Vedhæftet fil er valgt.

    • Fil: Vælg Gennemse filer for at finde og vælge den fil, der skal sendes.

    • Hvorfor sender du meddelelsen til Microsoft?: Vælg en af følgende værdier:

      • Den ser ren ud: Vælg denne værdi, hvis du er usikker, og du vil have en dom fra Microsoft, vælg Send, og gå derefter til trin 6.

      eller

      • Jeg har bekræftet, at den er ren: Vælg denne værdi, hvis du er sikker på, at elementet er rent, og vælg derefter Næste.

    Send en falsk positiv (god) vedhæftet fil til Microsoft til analyse på siden Indsendelser på Defender-portalen.

  5. På den anden side i pop op-vinduet Send til Microsoft til analyse , der åbnes, skal du gøre et af følgende:

    • Vælg Send.

    eller

    • Vælg Tillad denne fil: Denne indstilling opretter en tilladelsespost for filen på listen over tilladte/blokerede lejere. Du kan få flere oplysninger om listen over tilladte/blokerede lejere under Administrer tillader og blokke på lejerlisten tillad/bloker.

      Når du har valgt denne indstilling, er følgende indstillinger tilgængelige:

      • Fjern tillad indtastning efter: Standardværdien er 45 dage efter den sidste brugte dato, men du kan vælge mellem følgende værdier:

        • 1 dag
        • 7 dage
        • 30 dage
        • Bestemt dato: Den maksimale værdi er 30 dage fra i dag.

        Når der er valgt 45 dage efter datoen for seneste brug , opdateres den senest anvendte dato for den tilladte post, når den skadelige vedhæftede fil registreres under mailflowet. Tilladelsesposten bevares i 45 dage, efter filtreringssystemet har fundet ud af, at den vedhæftede fil er ren.

      • Tillad indtastningsnote (valgfrit): Angiv valgfrie oplysninger om, hvorfor du tillader dette element.

      Når du er færdig på den anden side i pop op-vinduet Send til Microsoft til analyse , skal du vælge Send.

    Vælg, om du vil oprette en tilsvarende tilladelsespost for filen på listen over tilladte/blokerede lejere.

  6. Vælg Udført.

Efter et øjeblik er den tilladte post tilgængelig under fanen Filer på siden Liste over tilladte/blokerede lejere . Du kan få flere oplysninger om listen over tilladte/blokerede lejere under Administrer tillader og blokke på lejerlisten tillad/bloker.

Vigtigt!

  • Tillad poster for filer bevares som standard i 45 dage, efter at filtreringssystemet bestemmer, at enheden er ren, og derefter fjernes den tilladte post. Eller du kan angive, at tillad, at poster udløber op til 30 dage, efter at du har oprettet dem.
  • Når filen registreres igen under mailflowet, tilsidesættes detonationen Sikre vedhæftede filer eller kontrollen af filomdømmet, og alle andre filbaserede filtre tilsidesættes. Hvis filtreringssystemet bestemmer, at alle andre enheder i mailen er rene, leveres meddelelsen.
  • Under valget tilsidesættes alle filbaserede filtre, herunder detonation af sikre vedhæftede filer eller kontrol af filomdømme, hvilket giver brugeren adgang til filen.

Rapportér gode URL-adresser til Microsoft

For URL-adresser, der er rapporteret som falske positiver, tillader vi efterfølgende meddelelser, der indeholder variationer af den oprindelige URL-adresse. Du kan f.eks. bruge siden Indsendelser til at rapportere den forkert blokerede URL-adresse www.contoso.com/abc. Hvis din organisation senere modtager en meddelelse, der indeholder URL-adressen (f.eks. men ikke begrænset til: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5eller www.contoso.com/abc/whatever), blokeres meddelelsen ikke på baggrund af URL-adressen. Med andre ord behøver du ikke at rapportere flere variationer af den samme URL-adresse som god til Microsoft.

  1. Gå til Handlinger & indsendelser>i portalen Microsoft Defender på https://security.microsoft.com. Du kan også gå direkte til siden Indsendelser ved at bruge https://security.microsoft.com/reportsubmission.

  2. På siden Indsendelser skal du vælge fanen URL-adresser

  3. På fanen URL-adresser skal du vælge Send til Microsoft til analyse.

  4. I pop op-vinduet Send til Microsoft til analyse , der åbnes, skal du angive følgende oplysninger:

    • Vælg afsendelsestypen: Kontrollér, at værdiens URL-adresse er valgt.

    • URL-adresse: Angiv den fulde URL-adresse (f.eks. https://www.fabrikam.com/marketing.html), og vælg den derefter i det felt, der vises. Du kan også angive et domæne på øverste niveau (f.eks. https://www.fabrikam.com/*), og derefter vælge det i det felt, der vises. Du kan angive op til 50 URL-adresser på én gang.

    • Hvorfor sender du denne URL-adresse til Microsoft?: Vælg en af følgende værdier:

      • Den ser ren ud: Vælg denne værdi, hvis du er usikker, og du vil have en dom fra Microsoft, vælg Send, og gå derefter til trin 6.

      eller

      • Jeg har bekræftet, at den er ren: Vælg denne værdi, hvis du er sikker på, at elementet er rent, og vælg derefter Næste.

        Send en falsk positiv (god) URL-adresse til Microsoft til analyse på siden Indsendelser på Defender-portalen.

  5. På den anden side i pop op-vinduet Send til Microsoft til analyse , der åbnes, skal du gøre et af følgende:

    • Vælg Send.

    eller

    • Vælg Tillad denne URL-adresse: Denne indstilling opretter en tilladelsespost for URL-adressen på listen over tilladte/blokerede lejere. Du kan få flere oplysninger om listen over tilladte/blokerede lejere under Administrer tillader og blokke på lejerlisten tillad/bloker.

      Når du har valgt denne indstilling, er følgende indstillinger tilgængelige:

      • Fjern tillad indtastning efter: Standardværdien er 45 dage efter den sidste brugte dato, men du kan vælge mellem følgende værdier:

        • 1 dag
        • 7 dage
        • 30 dage
        • Bestemt dato: Den maksimale værdi er 30 dage fra i dag.

        Når der er valgt 45 dage efter datoen for seneste brug , opdateres den senest anvendte dato for den tilladte post, når den skadelige URL-adresse registreres under mailflowet. Den tilladte post bevares i 45 dage, efter at filtreringssystemet har angivet, at URL-adressen er ren.

      • Tillad indtastningsnote (valgfrit): Angiv valgfrie oplysninger om, hvorfor du tillader dette element.

      Når du er færdig på den anden side i pop op-vinduet Send til Microsoft til analyse , skal du vælge Send.

    Vælg, om du vil oprette en tilsvarende tilladelsespost for URL-adressen på listen over tilladte/blokerede lejere.

  6. Vælg Udført.

Efter et øjeblik er den tilladte post tilgængelig under fanen URL-adresse på siden Tillad/bloker lejer Listerhttps://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Bemærk!

  • Tillad poster for URL-adresser bevares som standard i 45 dage, efter at filtreringssystemet bestemmer, at enheden er ren, og derefter fjernes den tilladte post. Eller du kan angive, at tillad, at poster udløber op til 30 dage, efter at du har oprettet dem.
  • Når URL-adressen registreres igen under mailflowet, tilsidesættes sikkerhedslinks eller kontrol af URL-adressens omdømme, og alle andre URL-baserede filtre tilsidesættes. Hvis filtreringssystemet bestemmer, at alle andre enheder i mailen er rene, leveres meddelelsen.
  • Under valget tilsidesættes alle URL-baserede filtre, herunder detonation af Sikre links eller kontrol af URL-adresseomdømme, hvilket giver brugeren adgang til indhold på URL-adressen.

Rapportér Teams-meddelelser til Microsoft i Defender for Office 365 Plan 2

Tip

Indsendelse af Teams-meddelelsen til Microsoft er i øjeblikket tilgængelig som prøveversion, er ikke tilgængelig i alle organisationer og kan ændres.

I Microsoft 365-organisationer, der har Microsoft Defender for Office 365 Plan 2 (tilføjelseslicenser eller inkluderet i abonnementer som Microsoft 365 E5), kan du ikke sende Teams-meddelelser fra fanen Teams-meddelelser på siden Indsendelser. Den eneste måde at sende en Teams-meddelelse til Microsoft til analyse er ved at sende en brugerrapporteret Teams-meddelelse fra fanen Brugerrapporteret som beskrevet i afsnittet Send brugerrapporterede meddelelser til Microsoft til analyse senere i denne artikel.

Posterne under fanen Teams-meddelelser er resultatet af at sende brugerrapporteret Teams-meddelelse til Microsoft. Du kan få flere oplysninger i afsnittet Få vist konverterede administratorindsendelser senere i denne artikel.

Få vist mailadministratorindsendelser til Microsoft

Gå til Handlinger & indsendelser>i portalen Microsoft Defender på https://security.microsoft.com. Du kan også gå direkte til siden Indsendelser ved at bruge https://security.microsoft.com/reportsubmission.

På siden Indsendelser skal du bekræfte, at fanen Mails er valgt.

Under fanen Mails kan du hurtigt filtrere visningen ved at vælge et af de tilgængelige hurtigfiltre:

  • Ventende
  • Afsluttet

De hurtige filtre, der er tilgængelige for administratorindsendelser på fanen Mails på siden Indsendelser.

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (*):

  • Navn på afsendelse*
  • Afsender*
  • Modtager
  • Sendt af*
  • Dato for afsendelse*
  • Årsag til afsendelse*
  • Status*
  • Resultat*
  • Årsag til levering/blokering
  • Afsendelses-id
  • Netværksmeddelelses-id
  • Retning
  • Afsenders IP
  • Bulk-kompatibelt niveau (BCL)
  • Destination
  • Politikhandling
  • Phish-simulering
  • Mærker*: Du kan få flere oplysninger om brugerkoder under Brugerkoder.
  • Handling

Hvis du vil gruppere posterne, skal du vælge Gruppér og derefter vælge en af følgende værdier:

  • Årsag
  • Status
  • Resultat
  • Mærker

Hvis du vil opdele elementerne, skal du vælge Ingen.

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:

  • Dato for afsendelse: Værdier for startdato og slutdato .
  • Indsendelses-id: En GUID-værdi, der er tildelt hver indsendelse.
  • Netværksmeddelelses-id
  • Afsender
  • Modtager
  • Navn på afsendelse
  • Sendt af
  • Årsag til afsendelse: En af følgende værdier:
    • Ikke uønsket
    • Ser ren ud
    • Ser mistænkelig ud
    • Phish
    • Malware
    • Spam.
  • Status: Afventer og fuldført.
  • Mærker: Alle eller vælg brugerkoder på rullelisten.

Når du er færdig med pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Brug Eksportér til at eksportere listen over poster til en CSV-fil.

Vis oplysninger om afsendelse af mailadministrator

Hvis du vælger en post under fanen Mails på siden Indsendelser ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et pop op-vindue med detaljer.

Øverst i pop op-vinduet med detaljer er følgende meddelelsesoplysninger tilgængelige:

Tip

Hvis du vil se detaljer om andre indsendelser uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

De næste afsnit i pop op-vinduet med detaljer er relateret til afsendelser af mails:

  • Afsnittet Med resultatoplysninger :

    • Result: Indeholder resultatværdien for afsendelsen. Det kan f.eks. være:
      • Burde ikke være blevet blokeret
      • Tilladt på grund af brugertilsidesættelser
      • Tilladt på grund af en regel
    • Anbefalede trin til afsendelse af mails: Indeholder links til relaterede handlinger. Det kan f.eks. være:
      • Vis regler for Exchange-mailflow (transportregler)
      • Få vist denne meddelelse i Stifinder (trusselsstifinder eller registreringer i realtid i Defender for Office 365 kun)
      • Søg efter lignende meddelelser i Stifinder (trusselsoversigt eller registreringer i realtid i Defender for Office 365 kun)
  • Afsnittet Med oplysninger om indsendelse:

    • Dato for afsendelse
    • Navn på afsendelse
    • Indsendelsestype: Værdien er Mail.
    • Årsag til afsendelse
    • Afsendelses-id
    • Sendt af
    • Status for afsendelse
  • Afsnittet Tillad detaljer: Kun tilgængelig for mailindsendelser, hvor resultatværdien er tilladt på grund af bruger tilsidesættelser eller Tilladt for en regel: Indeholder værdierne Navn (mailadresse) og Type (Afsender).

Resten af pop op-vinduet med detaljer indeholder sektionerne Leveringsoplysninger, Mailoplysninger, URL-adresser og Vedhæftede filer , der er en del af oversigtspanelet Mail. Du kan få flere oplysninger i panelet Mailoversigt.

Når du er færdig i pop op-vinduet med detaljer, skal du vælge Luk.

Få vist Teams-administratorindsendelser til Microsoft i Defender for Office 365 Plan 2

Tip

Indsendelse af Teams-meddelelsen til Microsoft er i øjeblikket tilgængelig som prøveversion, er ikke tilgængelig i alle organisationer og kan ændres.

På portalen Microsoft Defender på https://security.microsoft.comskal du gå til siden Indsendelser under Handlinger & indsendelser>. Hvis du vil gå direkte til siden Indsendelser , skal du bruge https://security.microsoft.com/reportsubmission.

På siden Indsendelser skal du vælge fanen Teams-meddelelser .

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (*):

  • Navn på afsendelse*
  • Afsender*
  • Dato for afsendelse*
  • Årsag til afsendelse*
  • Sendt af
  • Status*
  • Resultat*
  • Modtager
  • Afsendelses-id
  • Teams-meddelelses-id
  • Destination
  • Phish-simulering
  • Mærker*: Du kan få flere oplysninger om brugerkoder under Brugerkoder.

Hvis du vil gruppere posterne, skal du vælge Gruppér og derefter vælge en af følgende værdier:

  • Årsag
  • Status
  • Resultat
  • Mærker

Hvis du vil opdele elementerne, skal du vælge Ingen.

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:

  • Dato for afsendelse: Startdato og Slutdato.
  • Indsendelses-id: En GUID-værdi, der er tildelt hver indsendelse.
  • Teams-meddelelses-id
  • Afsender
  • Modtager
  • Teams-meddelelse
  • Sendt af
  • Årsag til afsendelse: En af følgende værdier:
    • Ikke uønsket
    • Ser ren ud
    • Ser mistænkelig ud
    • Phish
    • Malware
  • Status: Afventer og fuldført.
  • Mærker: Alle eller vælg brugerkoder på rullelisten.

Når du er færdig med pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Brug Eksportér til at eksportere listen over poster til en CSV-fil.

Vis oplysninger om indsendelse af Teams-administratorer

Hvis du vælger en post under fanen Teams-meddelelser på siden Indsendelser ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et detaljeret pop op-vindue.

Øverst i pop op-vinduet med detaljer er følgende meddelelsesoplysninger tilgængelige:

  • Titlen på pop op-vinduet er emnet eller de første 100 tegn i Teams-meddelelsen.
  • Den aktuelle meddelelse dom.
  • Antallet af links i meddelelsen.
  • Vis besked. En besked udløses, når en administratorindsendelse oprettes eller opdateres. Hvis du vælger denne handling, kommer du til detaljerne for beskeden.

Tip

Hvis du vil se detaljer om andre indsendelser uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

De næste afsnit i pop op-vinduet med detaljer er relateret til Teams-indsendelser:

  • Afsnittet Med indsendelsesresultater:

    • Result: Indeholder resultatværdien for afsendelsen. Det kan f.eks. være:
      • Burde være blevet blokeret
      • Vi modtog ikke afsendelsen. Løs problemet, og send igen
    • Anbefalede trin til afsendelse af mails: Indeholder links til relaterede handlinger. Det kan f.eks. være:
      • Vis regler for Exchange-mailflow (transportregler)
  • Afsnittet Med oplysninger om indsendelse:

    • Dato for afsendelse
    • Navn på afsendelse
    • Indsendelsestype: Værdien er Teams
    • Årsag til afsendelse
    • Afsendelses-id
    • Sendt af
    • Status for afsendelse

Resten af pop op-vinduet med detaljer indeholder sektionerne Meddelelsesoplysninger, Afsender, Deltagere, Kanaloplysninger og URL-adresser , der er en del af Teams-meddelelsesobjektpanelet. Du kan få flere oplysninger under Teams mMessage-enhedspanelet i Microsoft Defender for Office 365 Plan 2.

Når du er færdig i pop op-vinduet med detaljer, skal du vælge Luk.

Få vist administratorindsendelser af vedhæftede filer i mails til Microsoft

På portalen Microsoft Defender på https://security.microsoft.comskal du gå til siden Indsendelser under Handlinger & indsendelser>. Hvis du vil gå direkte til siden Indsendelser , skal du bruge https://security.microsoft.com/reportsubmission.

På siden Indsendelser skal du vælge fanen Vedhæftede filer i mails .

Under fanen Vedhæftede filer i mails kan du hurtigt filtrere visningen ved at vælge et af de tilgængelige hurtigfiltre:

  • Ventende
  • Afsluttet

De hurtige filtre, der er tilgængelige for administratorindsendelser på fanen Vedhæftede filer i mails på siden Indsendelser.

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (*):

  • Navn på vedhæftet fil*
  • Dato for afsendelse*
  • Årsag til afsendelse*
  • Status*
  • Resultat*
  • Filtrer dom
  • Årsag til levering/blokering
  • Afsendelses-id
  • Objekt-id
  • Politikhandling
  • Sendt af
  • Mærker*: Du kan få flere oplysninger om brugerkoder under Brugerkoder.
  • Handling

Hvis du vil gruppere posterne, skal du vælge Gruppér og derefter vælge en af følgende værdier:

  • Årsag
  • Status
  • Resultat
  • Mærker

Hvis du vil opdele elementerne, skal du vælge Ingen.

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:

  • Dato for afsendelse: Startdato og Slutdato.
  • Indsendelses-id: En GUID-værdi, der er tildelt hver indsendelse.
  • Navn på vedhæftet fil
  • Sendt af
  • Årsag til afsendelse: En af følgende værdier:
    • Ikke uønsket
    • Ser ren ud
    • Ser mistænkelig ud
    • Phish
    • Malware
  • Status: Afventer og fuldført.
  • Mærker: Alle eller vælg brugerkoder på rullelisten.

Når du er færdig med pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Brug Eksportér til at eksportere listen over poster til en CSV-fil.

Vis oplysninger om indsendelse af vedhæftede filer i mail

Hvis du vælger en post under fanen Vedhæftede filer i mails på siden Indsendelser ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et pop op-vindue med detaljer.

Øverst i pop op-vinduet med detaljer er følgende meddelelsesoplysninger tilgængelige:

  • Titlen på pop op-vinduet er filnavnet på den vedhæftede fil.
  • Værdierne Status og Resultat for indsendelsen.
  • Vis besked. I Defender for Office 365 udløses en besked, når der oprettes eller opdateres en administratorindsendelse. Hvis du vælger denne handling, kommer du til detaljerne for beskeden.

Tip

Hvis du vil se detaljer om andre indsendelser uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

De næste afsnit i pop op-vinduet med detaljer er relateret til indsendelser af vedhæftede filer i mails:

  • Afsnittet Med resultatoplysninger :

    • Result: Indeholder resultatværdien for afsendelsen. Det kan f.eks. være:
      • Burde være blevet blokeret
      • Burde ikke være blevet blokeret
    • Anbefalede trin til afsendelse af mails: Indeholder links til relaterede handlinger. Det kan f.eks. være:
      • Bloker URL-adresse/fil på listen over tilladte/blokerede lejere
  • Afsnittet Med oplysninger om indsendelse:

    • Dato for afsendelse
    • Navn på afsendelse
    • Indsendelsestype: Værdien er Fil.
    • Årsag til afsendelse
    • Afsendelses-id
    • Sendt af
    • Status for afsendelse

Når du er færdig i pop op-vinduet med detaljer, skal du vælge Luk.

Få vist url-administratorindsendelser til Microsoft

På portalen Microsoft Defender på https://security.microsoft.comskal du gå til siden Indsendelser under Handlinger & indsendelser>. Hvis du vil gå direkte til siden Indsendelser , skal du bruge https://security.microsoft.com/reportsubmission.

Vælg fanen URL-adresser på siden Indsendelser.

Under fanen URL-adresser kan du hurtigt filtrere visningen ved at vælge et af de tilgængelige hurtigfiltre:

  • Ventende
  • Afsluttet

De hurtige filtre, der er tilgængelige for administratorindsendelser på fanen URL-adresser på siden Indsendelser.

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (*):

  • URL-adresse*
  • Dato for afsendelse*
  • Årsag til afsendelse*
  • Status*
  • Resultat*
  • Filtrer dom
  • Årsag til levering/blokering
  • Afsendelses-id
  • Objekt-id
  • Politikhandling
  • Sendt af
  • Mærker*: Du kan få flere oplysninger om brugerkoder under Brugerkoder.
  • Handling

Hvis du vil gruppere posterne, skal du vælge Gruppér og derefter vælge en af følgende værdier:

  • Årsag
  • Status
  • Resultat
  • Mærker

Hvis du vil opdele elementerne, skal du vælge Ingen.

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:

  • Dato for afsendelse: Startdato og Slutdato.
  • Indsendelses-id: En GUID-værdi, der er tildelt hver indsendelse.
  • URL-adresse
  • Sendt af
  • Årsag til afsendelse: En af følgende værdier:
    • Ikke uønsket
    • Ser ren ud
    • Ser mistænkelig ud
    • Phish
    • Malware
  • Status: Afventer og fuldført.
  • Mærker: Alle eller vælg brugerkoder på rullelisten.

Når du er færdig med pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Brug Eksportér til at eksportere listen over poster til en CSV-fil.

Vis oplysninger om afsendelse af URL-adresseadministrator

Hvis du vælger en post under fanen URL-adresser på siden Indsendelser ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et pop op-vindue med detaljer.

Øverst i pop op-vinduet med detaljer er følgende meddelelsesoplysninger tilgængelige:

  • Titlen på pop op-vinduet er domænet for URL-adressen.
  • Værdierne Status og Resultat for indsendelsen.
  • Vis besked. I Defender for Office 365 udløses en besked, når der oprettes eller opdateres en administratorindsendelse. Hvis du vælger denne handling, kommer du til detaljerne for beskeden.

Tip

Hvis du vil se detaljer om andre indsendelser uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

De resterende afsnit i pop op-vinduet med detaljer er relateret til indsendelser af URL-adresser:

  • Afsnittet Med resultatoplysninger :

    • Result: Indeholder resultatværdien for afsendelsen. Det kan f.eks. være:
      • Burde være blevet blokeret
      • Burde ikke være blevet blokeret
    • Anbefalede trin til afsendelse af mails: Indeholder links til relaterede handlinger. Det kan f.eks. være:
      • Bloker URL-adresse/fil på listen over tilladte/blokerede lejere
  • Afsnittet Med oplysninger om indsendelse:

    • Dato for afsendelse
    • URL-adresse
    • Indsendelsestype: Værdien er URL-adresse.
    • Årsag til afsendelse
    • Afsendelses-id
    • Sendt af
    • Status for afsendelse
  • Tillader afsnit med detaljer eller blokdetaljer: Kan kun bruges til afsendelser af URL-adresser, hvor URL-adressen blev blokeret eller tilladt: Indeholder værdierne For navn (URL-domæne) og Type (URL).

Når du er færdig i pop op-vinduet med detaljer, skal du vælge Luk.

Resultater fra Microsoft

Analyseresultaterne af det rapporterede element vises i pop op-vinduet med detaljer, der åbnes, når du vælger en post på fanen Mails, Teams-meddelelser, vedhæftede filer i mails eller URL-adresser på siden Indsendelser:

  • Hvis der opstod en fejl i afsenderens mailgodkendelse på leveringstidspunktet.
  • Oplysninger om eventuelle politikker eller tilsidesættelser, der kan have påvirket eller tilsidesat meddelelsens dom fra filtreringssystemet.
  • Aktuelle detonationsresultater for at se, om URL-adresserne eller filerne i meddelelsen var skadelige eller ej.
  • Feedback fra gradere.

Hvis der blev fundet en tilsidesættelse eller politikkonfiguration, skal resultatet være tilgængeligt om flere minutter. Hvis der ikke var et problem med e-mailgodkendelse eller -levering ikke blev påvirket af en tilsidesættelse eller politik, kan detonationen og feedbacken fra gradere tage op til en dag.

Handlinger for administratorindsendelser i Defender for Office 365

I organisationer med Microsoft Defender for Office 365 (tilføjelseslicenser eller abonnementer, f.eks. Microsoft 365 E5 eller Microsoft 365 Business Premium), er følgende handlinger tilgængelige for administratorindsendelser i pop op-vinduet med detaljer, der åbnes, når du har valgt en post på listen ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet:

  • Åbn mailobjekt: Tilgængelig i pop op-vinduet med detaljer for poster under fanen Mails . Du kan få flere oplysninger under Hvad er der på siden Mailobjekt.

  • Udfør handlinger: Tilgængelig i pop op-vinduet med detaljer for poster under fanen Mails . Denne handling starter den samme handlingsguide, der er tilgængelig på enhedssiden Mail. Du kan få flere oplysninger under Handlinger på siden Mailobjekt.

  • Vis besked. En besked udløses, når en administratorindsendelse oprettes eller opdateres. Hvis du vælger denne handling, kommer du til detaljerne for beskeden.

  • I afsnittet Resultatoplysninger kan følgende links til Threat Explorer også være tilgængelige, afhængigt af status og resultat af det rapporterede element:

    • Vis denne meddelelse i Stifinder: Fanen Mails er kun.
    • Søg efter lignende meddelelser i Stifinder: Kun fanen Mails .
    • Søg efter URL-adresse eller fil: Vedhæftede filer i mails eller kun URL-faner .

Administration indstillinger for brugerrapporterede meddelelser

I forbindelse med mails kan administratorer se, hvilke brugere der rapporterer under fanen Brugerrapporteret på siden Indsendelser , hvis følgende udsagn er sande:

Noter:

  • Brugerrapporterede meddelelser, der kun sendes til Microsoft eller til Microsoft, og postkassen til rapportering vises under fanen Brugerrapporteret .
  • Brugerrapporterede meddelelser, der kun sendes til rapporteringspostkassen, vises under fanen Brugerrapporteretmed resultatværdienIkke sendt til Microsoft. Administratorer skal rapportere disse meddelelser til Microsoft til analyse.

I organisationer med Microsoft Defender for Office 365 Plan 2 (tilføjelseslicenser eller inkluderet i abonnementer som Microsoft 365 E5) kan administratorer også se brugerrapporterede meddelelser i Microsoft Teams i Defender for Office 365 Plan 2 (i øjeblikket i prøveversion).

I organisationer med Defender for Office 365 Plan 2 (brugerrapporterede meddelelser for brugere i Microsoft Teams i Defender for Office 365 Plan 2 (i øjeblikket i prøveversion)

Gå til Handlinger & indsendelser>i portalen Microsoft Defender på https://security.microsoft.com. Du kan også gå direkte til siden Indsendelser ved at bruge https://security.microsoft.com/reportsubmission.

På siden Indsendelser skal du vælge fanen Bruger rapporteret .

I følgende underafsnit beskrives de oplysninger og handlinger, der er tilgængelige under fanen Brugerrapporteret på siden Indsendelser .

Få vist brugerrapporterede meddelelser til Microsoft

Under fanen Bruger rapporteret kan du hurtigt filtrere visningen ved at vælge et af de tilgængelige hurtigfiltre:

  • Trusler
  • Spam
  • Ingen trusler
  • Simuleringer

Hurtigfiltre under fanen Brugerrapporteret på siden Indsendelser.

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (*):

  • Navn og type*
  • Rapporteret af*
  • Rapporteret dato*
  • Afsender*
  • Rapporteret årsag*
  • Resultat*: Indeholder følgende oplysninger om rapporterede meddelelser, der er baseret på de rapporterede indstillinger for brugeren:
    • Send de rapporterede meddelelser til>Kun Microsoft og min postkasse til rapportering eller Microsoft: Værdier, der er afledt af følgende analyse:
      • Politikindsigelser: Oplysninger om eventuelle politikker eller tilsidesættelser, der kan have tilladt eller blokeret indgående meddelelser, herunder tilsidesættelser af vores filtreringsdomme. Resultatet skal være tilgængeligt inden for flere minutter. Ellers kan detonation og feedback fra gradere tage op til en dag.
      • Payload-omdømme/detonation: Opdateret undersøgelse af eventuelle URL-adresser og filer i meddelelsen.
      • Grader analyse: Gennemgang udført af menneskelige gradere med henblik på at bekræfte, om meddelelser er ondsindede.
    • Send de rapporterede meddelelser til>Kun min postkasse til rapportering: Værdien sendes altid ikke til Microsoft, fordi meddelelserne ikke blev analyseret af Microsoft.
  • Meddelelse rapporteret id
  • Netværksmeddelelses-id
  • Teams-meddelelses-id
  • Afsenders IP
  • Rapporteret fra
  • Phish-simulering
  • Konverteret til administratorindsendelse
  • Markeret som*
  • Markeret af*
  • Dato markeret
  • Mærker*: Du kan få flere oplysninger om brugerkoder under Brugerkoder.

Hvis du vil gruppere posterne, skal du vælge Gruppér og derefter vælge en af følgende værdier:

  • Afsender
  • Rapporteret af
  • Resultat
  • Rapporteret fra
  • Konverteret til administratorindsendelse
  • Mærker

Hvis du vil opdele elementerne, skal du vælge Ingen.

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:

  • Rapporteret dato: Startdato og Slutdato.
  • Rapporteret af
  • Navn
  • Meddelelse rapporteret id
  • Netværksmeddelelses-id
  • Teams-meddelelses-id
  • Afsender
  • Rapporteret årsag: Værdierne Ingen trusler, Phish og Spam.
  • Rapporteret fra: Værdierne Microsoft og Tredjepart.
  • Phish-simulering: Værdierne Ja og Nej.
  • Konverteret til afsendelse af administrator: Værdierne Ja og Nej.
  • Meddelelsestype: De tilgængelige værdier er:
    • E-mail
    • Teams-meddelelse (Defender for Office 365 kun Plan 2, som i øjeblikket er en prøveversion).
  • Tags: Alle eller vælg en eller flere brugerkoder (herunder prioritetskonto), der er tildelt til brugere. Du kan få flere oplysninger om brugerkoder under Brugerkoder i Microsoft Defender for Office 365.

Når du er færdig med pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Brug Eksportér til at eksportere listen over poster til en CSV-fil.

Du kan finde flere oplysninger om de handlinger, der er tilgængelige for meddelelser under fanen Brugerrapporteret , i næste underafsnit.

Få vist oplysninger om brugerrapporterede mails

Hvis du vælger en mailrelateret post under fanen Brugerrapporteret på siden Indsendelser ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for den første kolonne, åbnes der et pop op-vindue med oplysninger.

Øverst i pop op-vinduet med detaljer er følgende meddelelsesoplysninger tilgængelige:

Tip

Hvis du vil se detaljer om andre indsendelser uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

De næste afsnit i pop op-vinduet med detaljer er relateret til brugerrapporterede indsendelser:

  • Afsnittet Med resultatoplysninger :

    • Result: Indeholder resultatværdien for afsendelsen. Det kan f.eks. være:
      • Burde ikke være blevet blokeret
      • Tilladt på grund af brugertilsidesættelser
      • Tilladt på grund af en regel
    • Anbefalede trin til afsendelse af mails: Indeholder links til relaterede handlinger. Det kan f.eks. være:
      • Vis regler for Exchange-mailflow (transportregler)
      • Få vist denne meddelelse i Stifinder (trusselsstifinder eller registreringer i realtid i Defender for Office 365 kun)
      • Søg efter lignende meddelelser i Stifinder (trusselsoversigt eller registreringer i realtid i Defender for Office 365 kun)
  • Afsnittet Med oplysninger om rapporterede meddelelser :

    • Dato for afsendelse
    • Navn på afsendelse
    • Rapporteret årsag.
    • Meddelelse rapporteret id
    • Rapporteret af
    • Phish-simulering: Værdien er Ja eller Nej.
    • Konverteret til afsendelse af administrator: Værdien er Ja eller Nej. Du kan få flere oplysninger under Få vist konverterede administratorindsendelser.

Resten af pop op-vinduet med detaljer indeholder sektionerne Leveringsoplysninger, Mailoplysninger, URL-adresser og Vedhæftede filer , der er en del af oversigtspanelet Mail. Du kan få flere oplysninger i panelet Mailoversigt.

Tip

Hvis resultatværdien er Phish-simulering, kan pop op-vinduet med detaljer kun indeholde følgende oplysninger:

  • Detaljesektion for resultat
  • Afsnittet Med oplysninger om rapporterede meddelelser
  • Afsnittet Med maildetaljer med følgende værdier:
    • Netværksmeddelelses-id
    • Afsender
    • Afsendelsesdato

Når du er færdig i pop op-vinduet med detaljer, skal du vælge Luk.

Få vist brugerrapporterede Teams-meddelelsesoplysninger i Defender for Office 365 Plan 2

Tip

Brugerrapportering af meddelelser i Microsoft Teams er i øjeblikket tilgængelig som prøveversion, er ikke tilgængelig i alle organisationer og kan ændres.

I Microsoft 365-organisationer, der har Microsoft Defender for Office 365 Plan 2 (tilføjelseslicenser eller inkluderet i abonnementer, f.eks. Microsoft 365 E5), er brugerrapporterede Teams-meddelelser tilgængelige under fanen Brugerrapporteret på siden Indsendelser. Det er nemt at finde dem, hvis du filtrerer resultaterne efter teams-meddelelsen med værdien Meddelelsestype.

Hvis du vælger en post i Teams-meddelelsen under fanen Bruger rapporteret ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et pop op-vindue med detaljer.

Øverst i pop op-vinduet med detaljer er følgende meddelelsesoplysninger tilgængelige:

Tip

Hvis du vil se detaljer om andre indsendelser uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

De næste afsnit i pop op-vinduet med detaljer er relateret til brugerrapporterede Teams-indsendelser:

  • Afsnittet Med indsendelsesresultater:

    • Result: Indeholder resultatværdien for afsendelsen. Det kan f.eks. være:
      • Burde ikke være blevet blokeret
      • Ikke sendt til Microsoft
    • Anbefalede trin til afsendelse af mails: Indeholder links til relaterede handlinger. Det kan f.eks. være:
      • Vis regler for Exchange-mailflow (transportregler)
  • Afsnittet Med oplysninger om rapporterede meddelelser :

    • Rapporteret dato
    • Navn på afsendelse
    • Rapporteret årsag.
    • Meddelelse rapporteret id
    • Rapporteret af
    • Phish-simulering: Værdien er Ja eller Nej.
    • Konverteret til afsendelse af administrator: Værdien er Ja eller Nej. Du kan få flere oplysninger under Få vist konverterede administratorindsendelser.

Resten af pop op-vinduet med detaljer indeholder sektionerne Meddelelsesoplysninger, Afsender, Deltagere, Kanaloplysninger og URL-adresser , der er en del af Teams-meddelelsesobjektpanelet. Du kan få flere oplysninger under Teams mMessage-enhedspanelet i Microsoft Defender for Office 365 Plan 2.

Tip

Hvis resultatværdien er Phish-simulering, kan pop op-vinduet med detaljer kun indeholde følgende oplysninger:

  • Detaljesektion for resultat
  • Afsnittet Med oplysninger om rapporterede meddelelser
  • Afsnittet Med maildetaljer med følgende værdier:
    • Netværksmeddelelses-id
    • Afsender
    • Afsendelsesdato

Når du er færdig i pop op-vinduet med detaljer, skal du vælge Luk.

Administration handlinger for brugerrapporterede meddelelser

Under fanen Brugerrapporteret er handlinger for brugerrapporterede meddelelser tilgængelige under selve fanen eller i detaljevinduet for en valgt post:

Handlinger for brugerrapporterede meddelelser i Defender for Office

Tip

Hvis du vil se detaljer eller udføre handlinger på andre brugerrapporterede meddelelser uden at forlade pop op-vinduet med detaljer, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

* Afhængigt af meddelelsens karakter og status er nogle handlinger muligvis ikke tilgængelige, er tilgængelige direkte øverst i pop op-vinduet eller er tilgængelige under Flere handlinger øverst i pop op-vinduet.

Disse handlinger er beskrevet i følgende underafsnit.

Bemærk!

Når en bruger rapporterer en mistænkelig meddelelse, kan brugeren eller administratorerne ikke fortryde rapporteringen af meddelelsen, uanset hvor den rapporterede meddelelse sendes (til postkassen til rapportering, til Microsoft eller begge dele). Brugeren kan gendanne den rapporterede meddelelse fra mapperne Slettet post eller Uønsket mail.

Send brugerrapporterede meddelelser til Microsoft til analyse

Når du har valgt meddelelsen under fanen Bruger rapporteret , skal du bruge en af følgende metoder til at sende meddelelsen til Microsoft:

  • Under fanen Bruger rapporteret: Vælg Send til Microsoft til analyse.

  • I pop op-vinduet med detaljer for den valgte meddelelse: Vælg Send til Microsoft til analyse eller Flere indstillinger>Send til Microsoft til analyse øverst i pop op-vinduet.

I pop op-vinduet Send til Microsoft til analyse , der åbnes, skal du gøre følgende, afhængigt af om meddelelsen er en mail eller en Teams-meddelelse:

  • Mails:

    • Hvorfor sender du denne meddelelse til Microsoft?: Vælg en af følgende værdier:
      • Det ser rent ud , eller det ser mistænkeligt ud: Vælg en af disse værdier, hvis du er usikker, og du vil have en dom fra Microsoft.

        Vælg Send, og vælg derefter Udført.

      • Jeg har bekræftet, at den er ren: Vælg denne værdi, hvis du er sikker på, at elementet er rent, og vælg derefter Næste.

        Benyt en af følgende fremgangsmåder på den næste side i pop op-vinduet:

        • Vælg Send, og vælg derefter Udført.

        eller

        Når du har valgt denne indstilling, er følgende indstillinger tilgængelige:

        • Fjern tillad indtastning efter: Standardværdien er 45 dage efter den sidste brugte dato, men du kan vælge mellem følgende værdier:
          • 1 dag
          • 7 dage
          • 30 dage
          • Bestemt dato: Den maksimale værdi er 30 dage fra i dag.

        Når der er valgt 45 dage efter datoen for seneste brug , opdateres den senest anvendte dato for den tilladte post, når den skadelige mail vises under mailflowet. Den tilladte post bevares i 45 dage, efter filtreringssystemet har fundet ud af, at mailen er ren.

        • Tillad indtastningsnote (valgfrit): Angiv valgfrie oplysninger om, hvorfor du tillader dette element. For misvisende afsendere vises de værdier, du angiver her, ikke i posten Tillad på fanen Spoofed-afsendere på siden Tillad/bloker lejer Lister.

        Når du er færdig i pop op-vinduet, skal du vælge Indsend og derefter vælge Udført.

      • Jeg har bekræftet, at det er en trussel: Vælg denne værdi, hvis du er sikker på, at elementet er skadeligt, og vælg derefter en af følgende værdier i afsnittet Vælg en kategori , der vises:

        • Phish
        • Malware
        • Spam

        Vælg Næste.

        Benyt en af følgende fremgangsmåder på den næste side i pop op-vinduet:

        • Vælg Send, og vælg derefter Udført.

        eller

        • Vælg Bloker alle mails fra denne afsender eller dette domæne: Med denne indstilling oprettes der en blokpost for afsenderdomænet eller mailadressen på listen over tilladte/blokerede lejere. Du kan få flere oplysninger om listen over tilladte/blokerede lejere under Administrer tillader og blokke på lejerlisten tillad/bloker.

        Når du har valgt denne indstilling, er følgende indstillinger tilgængelige:

        • Som standard er Afsender valgt, men du kan vælge Domæne i stedet.
        • Fjern blokindtastning efter: Standardværdien er 30 dage, men du kan vælge mellem følgende værdier:
          • 1 dag
          • 7 dage
          • 30 dage
          • Udløber aldrig
          • Bestemt dato: Den maksimale værdi er 30 dage fra i dag.
        • Note til indtastning af blok (valgfrit): Angiv valgfrie oplysninger om, hvorfor du blokerer dette element.

        Når du er færdig i pop op-vinduet, skal du vælge Indsend og derefter vælge Udført.

    De tilgængelige handlinger på rullelisten Send til Microsoft til analyse.

  • Teams-meddelelser: Vælg en af følgende værdier:

    • Jeg har bekræftet, at det er rent
    • Det ser rent ud
    • Det ser mistænkeligt ud

    Når du har valgt en af disse værdier, skal du vælge Send og derefter vælge Udført.

    • Jeg har bekræftet, at det er en trussel: Vælg denne værdi, hvis du er sikker på, at elementet er skadeligt, og vælg derefter en af følgende værdier i afsnittet Vælg en kategori , der vises:

    • Phish

    • Malware

      Vælg Send, og vælg derefter Udført.

Når du har sendt en brugerrapporteret meddelelse til Microsoft fra fanen Brugerrapporteret , skifter værdien af Konvertering til administratorafsendelse fra Nej til Ja, og der oprettes en tilsvarende post for administratorindsendelse under den relevante fane på siden Indsendelser (f.eks. fanen Mails ).

Udløs en undersøgelse i Defender for Office 365 Plan 2

  • Under fanen Bruger rapporteret skal du vælge Udløs undersøgelse på rullelisten under Send til Microsoft til analyse.

Handlingen Udløs undersøgelse på rullelisten Send til Microsoft til analyse.

Du kan få flere oplysninger under Udløs en undersøgelse.

Giv brugerne besked om sendte administratormeddelelser til Microsoft

Når en administrator sender en bruger rapporteret meddelelse til Microsoft fra fanen Bruger rapporteret, kan administratorer bruge handlingen Markér som og giv besked til at markere meddelelsen med en dom og sende en meddelelse med skabelon til den bruger, der har rapporteret meddelelsen.

  • Tilgængelige domme for mails:

    • Der blev ikke fundet nogen trusler
    • Phishing
    • Spam
  • Tilgængelige domme for Teams-meddelelser:

    • Der blev ikke fundet nogen trusler
    • Phishing

Du kan få flere oplysninger under Giv brugere besked fra portalen.

Få vist konverterede administratorindsendelser

Når en administrator har sendt en bruger rapporteret meddelelse til Microsoft fra fanen Bruger rapporteret , er værdien af Indsendelse konverteret til administratorJa.

Hvis du vælger en af disse meddelelser ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for navnet, indeholder pop op-vinduet flere handlinger>Få vist den konverterede administratorindsendelse.

Denne handling fører dig til den tilsvarende post for administratorindsendelse under den relevante fane (f.eks. fanen Mails ).

Handlinger for brugerrapporterede meddelelser i Defender for Office 365

I organisationer med Microsoft Defender for Office 365 (tilføjelseslicenser eller inkluderet i abonnementer, f.eks. Microsoft 365 E5 eller Microsoft 365 Business Premium), kan følgende handlinger også være tilgængelige i pop op-vinduet med oplysninger om en bruger, der er rapporteret af brugeren rapporteret fane:

  • Åbn mailobjekt (kun mailmeddelelser): Du kan få flere oplysninger under Hvad er der på siden Mailobjekt.

  • Udfør handlinger (kun mailmeddelelser): Denne handling starter den samme handlingsguide, som er tilgængelig på siden Mailobjekt. Du kan få flere oplysninger under Handlinger på siden Mailobjekt.

  • Vis besked. En besked udløses, når en administratorindsendelse oprettes eller opdateres. Hvis du vælger denne handling, kommer du til detaljerne for beskeden.