Siden Mailobjekt i Microsoft Defender for Office 365

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Microsoft 365-organisationer, der har Microsoft Defender for Office 365 inkluderet i deres abonnement eller købt som et tilføjelsesprogram, har enhedssiden Mail. Siden Mailobjekt på Microsoft Defender-portalen indeholder meget detaljerede oplysninger om en mail og eventuelle relaterede objekter.

I denne artikel forklares oplysninger og handlinger på siden Mailobjekt.

Tilladelser og licenser til enhedssiden Mail

Hvis du vil bruge enhedssiden Mail, skal du have tildelt tilladelser. Tilladelserne og licenserne er de samme som Threat Explorer (Explorer) og registreringer i realtid. Du kan få flere oplysninger under Tilladelser og licenser til Threat Explorer og registreringer i realtid.

Her kan du finde enhedssiden Mail

Der er ingen direkte links til siden Mailobjekt fra de øverste niveauer på Defender-portalen. Handlingen Åbn mailobjekt er i stedet tilgængelig øverst i pop op-vinduet med mailoplysninger i mange Defender for Office 365 funktioner. Dette pop op-vindue med mailoplysninger er kendt som panelet Mailoversigt og indeholder et opsummeret undersæt af oplysningerne på siden Mailobjekt. Panelet med mailoversigten er identisk på tværs af Defender for Office 365 funktioner. Du kan få flere oplysninger i afsnittet Panel for mailoversigt senere i denne artikel.

Panelet Mailoversigt med handlingen Åbn mailobjekt er tilgængeligt på følgende placeringer:

• Fra siden Avanceret jagt på https://security.microsoft.com/v2/advanced-hunting: På fanen Resultater i en mailrelateret forespørgsel skal du klikke på værdien NetworkMessageId for en post i tabellen.

• *Fra siden Beskeder på https://security.microsoft.com/alerts: For beskeder med registreringskildeværdienMDO eller værdien Product namesMicrosoft Defender for Office 365 skal du vælge posten ved at klikke på værdien for Beskednavn. På siden med beskedoplysninger, der åbnes, skal du vælge meddelelsen på listen Meddelelser .

• Fra statusrapporten trusselsbeskyttelse på https://security.microsoft.com/reports/TPSEmailPhishReportATP:

  • Vælg Få vist data via Mail > Phish og et af de tilgængelige diagramopdelingsvalg . I detaljetabellen under diagrammet skal du vælge posten ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for den første kolonne.
  • Vælg Vis data efter mailmalware > og et af de tilgængelige valg af diagramopdeling. I detaljetabellen under diagrammet skal du vælge posten ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for den første kolonne.
  • Vælg Få vist data via mailspam > og et af de tilgængelige diagramopdelingsvalg. I detaljetabellen under diagrammet skal du vælge posten ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for den første kolonne.

• Fra siden Stifinder på https://security.microsoft.com/threatexplorerv3 (Threat Explorer) eller fra siden Registreringer i realtid på https://security.microsoft.com/realtimereportsv3. Brug en af følgende metoder:

  • I Threat Explorer skal du bekræfte, at visningen Alle mails er valgt > . Kontrollér, at fanen Mail (visning) i detaljeområdet er valgt > , og klik på emneværdien i en post.
  • I Trusselsstifinder eller Registreringer i realtid skal du vælge visningen >Malware for at bekræfte, at fanen Mail (visning) i detaljeområdet er valgt > ved at klikke på emneværdien i en post.
  • I Trusselsstifinder eller Registreringer i realtid skal du vælge visningen> Phish for at bekræfte, at fanen Mail (visning) i detaljeområdet er valgt > , og klikke på emneværdien i en post.

• På siden Hændelser på https://security.microsoft.com/incidents: For hændelser med værdien Product namesMicrosoft Defender for Office 365 skal du vælge hændelsen ved at klikke på værdien Hændelsesnavn. På siden med oplysninger om hændelser, der åbnes, skal du vælge fanen Beviser og svar (visning). Under fanen Alle beviser og værdien Mail for enhedstype eller fanen Mails skal du vælge posten ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet.

• På siden Karantæne på https://security.microsoft.com/quarantine: Kontrollér, at fanen Mail er valgt > , skal du vælge en post ved at klikke et andet sted i rækken end afkrydsningsfeltet.

• Fra siden Indsendelser på https://security.microsoft.com/reportsubmission:

  • Vælg fanen >Mails ved at vælge en post ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet.
  • Vælg fanen >Brugerrapporteret vælg en post ved at klikke et vilkårligt sted i rækken ud over afkrydsningsfeltet.

Hvad er der på enhedssiden Mail

Detaljeruden i venstre side af siden indeholder sektioner, der kan skjules, med oplysninger om meddelelsen. Disse sektioner forbliver konstante, så længe du er på siden. De tilgængelige sektioner er:

• Kodesektion . Viser alle brugerkoder (herunder prioritetskonto), der er tildelt afsendere eller modtagere. Du kan få flere oplysninger om brugerkoder under Brugerkoder i Microsoft Defender for Office 365.

• Afsnittet Oplysninger om registrering :

  • Oprindelige trusler

  • Oprindelig leveringsplacering:

    • Mappen Slettet post
    • Faldt
    • Leveret mislykkedes
    • Mappen Indbakke
    • Mappen Uønsket mail
    • Eksterne
    • Karantæne
    • Unknown

  • Seneste trusler

  • Seneste leveringsplacering: Placeringen af meddelelsen efter systemhandlinger i meddelelsen (f.eks. ZAP) eller administratorhandlinger på meddelelsen (f.eks. Flyt til slettede elementer). Brugerhandlinger i meddelelsen (f.eks. sletning eller arkivering af meddelelsen) vises ikke, så denne værdi garanterer ikke meddelelsens aktuelle placering .

    Tip

    Der er scenarier, hvor Den oprindelige leveringsplacering/Seneste leveringsplacering og/eller Leveringshandling har værdien Ukendt. Det kan f.eks. være:

    • Meddelelsen blev leveret (handlingen Levering er Leveret), men en indbakkeregel flyttede meddelelsen til en anden standardmappe end mappen Indbakke eller Uønsket mail (f.eks. mappen Kladde eller Arkivér).
    • ZAP forsøgte at flytte meddelelsen efter levering, men meddelelsen blev ikke fundet (f.eks. har brugeren flyttet eller slettet meddelelsen).

  • Registreringsteknologi:

    • Avanceret filter: Phishing-signaler baseret på maskinel indlæring.
    • Kampagne: Meddelelser, der er identificeret som en del af en kampagne.
    • Fildeonation: Sikre vedhæftede filer registrerede en skadelig vedhæftet fil under detonationsanalyse.
    • Omdømme for fildeonation: Vedhæftede filer, der tidligere er registreret af detonationer for sikre vedhæftede filer i andre Microsoft 365-organisationer.
    • Filomdømme: Meddelelsen indeholder en fil, der tidligere blev identificeret som skadelig i andre Microsoft 365-organisationer.
    • Matchning af fingeraftryk: Meddelelsen ligner en tidligere registreret skadelig meddelelse.
    • Generelt filter: Phishingsignaler baseret på analytikerregler.
    • Repræsentationsmærke: Sender repræsentation af velkendte mærker.
    • Repræsentationsdomæne: Repræsentation af afsenderdomæner, som du ejer eller har angivet til beskyttelse i politikker til bekæmpelse af phishing.
    • Repræsentationsbruger: Repræsentation af beskyttede afsendere, som du har angivet i politikker til bekæmpelse af phishing eller har lært via postkasseintelligens.
    • Repræsentation af postkasseintelligens: Repræsentationsregistreringer fra postkasseintelligens i politikker til bekæmpelse af phishing.
    • Registrering af blandet analyse: Flere filtre bidrog til meddelelsens dom.
    • Spoof DMARC: Meddelelsen mislykkedes DMARC-godkendelse.
    • Spoof eksternt domæne: Afsendermailadresse spoofing ved hjælp af et domæne, der er eksternt for din organisation.
    • Spoof intra-org: Afsendermailadresse spoofing ved hjælp af et domæne, der er internt i din organisation.
    • URL-detonation: Safe Links registrerede en skadelig URL-adresse i meddelelsen under detonationsanalyse.
    • Omdømme for URL-detonation: URL-adresser, der tidligere er registreret af Safe Links-detonationer i andre Microsoft 365-organisationer.
    • Skadelig URL-adresse: Meddelelsen indeholder en URL-adresse, der tidligere blev identificeret som skadelig i andre Microsoft 365-organisationer.

  • Leveringshandling:

    • Leveret
    • Junked
    • Blokeret

  • Primær tilsidesættelse: Kilde

    • Værdier for primær tilsidesættelse:
      • Tilladt efter organisationspolitik
      • Tilladt af brugerpolitik
      • Blokeret af organisationspolitik
      • Blokeret af brugerpolitik
      • Ingen
    • Værdier for primær tilsidesættelseskilde:
      • Tredjepartsfilter
      • Administration påbegyndte tidsrejser
      • Antimalwarepolitikblokering efter filtype
      • Indstillinger for antispampolitik
      • Forbindelsespolitik
      • Exchange-transportregel
      • Udelt tilstand (brugertilsidesættelse)
      • Filtreringen blev sprunget over pga. organisationen i det lokale miljø
      • IP-områdefilter fra politik
      • Sprogfilter fra politik
      • Phishingsimulering
      • Karantænefrigivelse
      • SecOps-postkasse
      • Afsenderadresseliste (tilsidesættelse af Administration)
      • Afsenderadresseliste (tilsidesættelse af bruger)
      • Afsenderdomæneliste (tilsidesættelse Administration)
      • Afsenderdomæneliste (tilsidesættelse af bruger)
      • Bloker listefilblokering for lejer
      • Mailadresseblok for tilladelse/blokering af lejerliste
      • Lejerens tillad/bloker liste-spoof-blok
      • URL-adresseblok for lejer-/blokeringsliste
      • Liste over kontakter, der er tillid til (tilsidesættelse af bruger)
      • Domæne, der er tillid til (tilsidesættelse af bruger)
      • Modtager, der er tillid til (brugertilsidesættelse)
      • Kun afsendere, der er tillid til (tilsidesættelse af bruger)

• Afsnittet Mailoplysninger:

  • Retningsbestemthed:
    • Indgående
    • Intra-irg
    • Udgående
  • Modtager (til)^*
  • Afsender^*
  • Modtaget tid
  • Internetmeddelelses-id^*: Tilgængelig i feltet Meddelelses-id-header i meddelelsens brevhoved. Et eksempel på en værdi er <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (bemærk vinkelparenteserne).
  • Netværksmeddelelses-id^*: En GUID-værdi, der er tilgængelig i headerfeltet X-MS-Exchange-Organization-Network-Message-Id i brevhovedet.
  • Klynge-id
  • Sprog

  ^* Handlingen Kopiér til Udklipsholder er tilgængelig til kopiering af værdien.

Fanerne (visninger) øverst på siden giver dig mulighed for at undersøge mail effektivt. Disse visninger er beskrevet i følgende underafsnit.

Tidslinjevisning

Tidslinjevisningen viser de hændelser for levering og efter levering, der er sket i meddelelsen.

Følgende oplysninger om meddelelseshændelsen er tilgængelige i visningen. Vælg en kolonneoverskrift, der skal sorteres efter den pågældende kolonne. Hvis du vil tilføje eller fjerne kolonner, skal du vælge Tilpas kolonner. Alle tilgængelige kolonner er som standard markeret.

• Tidslinje (dato/klokkeslæt for begivenheden)
• Kilde: For eksempel: System, **Administration eller Bruger.
• Hændelsestyper
• Resultat
• Trusler
• Detaljer

Hvis der ikke er sket noget med meddelelsen efter levering, vil meddelelsen sandsynligvis kun have én række i tidslinjevisningen med værdien Original levering for hændelsestyper. Det kan f.eks. være:

• Resultatværdien er mappen Indbakke – Leveret.
• Resultatværdien er mappen Uønsket mail – Leveret til uønsket mail
• Resultatværdien er Quarantine – Blocked.

Efterfølgende handlinger til meddelelsen af brugere, administratorer eller Microsoft 365 føjer flere rækker til visningen. Det kan f.eks. være:

• Værdien for hændelsestyper er ZAP , og resultatværdien flyttes til Karantæne af ZAP.
• Værdien for hændelsestyper er Quarantine Release,og resultatværdien er Meddelelse blev frigivet fra Karantæne.

Brug feltet Søg til at finde oplysninger på siden. Skriv tekst i feltet, og tryk derefter på ENTER.

Brug Eksportér til at eksportere dataene i visningen til en CSV-fil. Standardfilnavnet er – Microsoft Defender.csv , og standardplaceringen er mappen Overførsler . Hvis der allerede findes en fil med dette navn, tilføjes filnavnet med et tal (f.eks. - Microsoft Defender(1).csv).

Analysevisning

Analysevisningen indeholder oplysninger, der hjælper dig med at analysere meddelelsen i dybden. Følgende oplysninger er tilgængelige i denne visning:

• Detaljesektion om trusselsregistrering: Oplysninger om trusler, der er registreret i meddelelsen:

  • Trusler: Den primære trussel er angivet af Primær trussel.
  • Konfidensniveau: Værdierne er Høj, Mellem eller Lav.
  • Prioritetskontobeskyttelse: Værdier er Ja eller Nej. Du kan få flere oplysninger under Konfigurer og gennemse prioritetskontobeskyttelse i Microsoft Defender for Office 365.

• Afsnittet Oplysninger om mailregistrering: Oplysninger om beskyttelsesfunktioner eller tilsidesættelser, der påvirkede meddelelsen:

  • Alle tilsidesættelser: Alle organisations- eller brugerindstillinger, der havde mulighed for at ændre meddelelsens tilsigtede leveringsplacering. Hvis meddelelsen f.eks. matcher en regel for mailflow og en blokpost på lejerlisten tillad/bloker, vises begge indstillinger her. Egenskabsværdien Primær tilsidesættelse: Kilde identificerer den indstilling, der rent faktisk påvirkede leveringen af meddelelsen.

  • Primær tilsidesættelse: Kilde: Viser den indstilling for organisation eller bruger, der ændrede meddelelsens tilsigtede leveringsplacering (tilladt i stedet for blokeret eller blokeret i stedet for tilladt). Det kan f.eks. være:

    • Meddelelsen blev blokeret af en regel for mailflow.
    • Meddelelsen blev tilladt pga. en post på brugerens liste over afsendere, der er tillid til.

  • Exchange-transportregler (regler for mailflow): Hvis meddelelsen blev påvirket af regler for mailflow, vises regelnavnene og GUID-værdierne. Handlinger, der udføres på meddelelser efter regler for mailflow, sker før spam- og phishing-domme.

    Handlingen Kopiér til Udklipsholder er tilgængelig til kopiering af regel-GUID'et. Du kan få flere oplysninger om regler for mailflow under Regler for mailflow (transportregler) i Exchange Online.

    Linket Gå til Exchange Administration åbner siden Regler i det nye Exchange Administration på https://admin.exchange.microsoft.com/#/transportrules.

  • Connector: Hvis meddelelsen blev leveret via en indgående connector, vises connectornavnet. Du kan få flere oplysninger om forbindelser under Konfigurer mailflow ved hjælp af connectors i Exchange Online.

  • Samlet klageniveau (BCL): En højere BCL-værdi angiver, at meddelelsen er mere sandsynligt at være spam. Du kan få flere oplysninger under Samlet klageniveau (BCL) i EOP.

  • Politik: Hvis en politiktype er angivet her (f.eks. Spam), skal du vælge Konfigurer for at åbne den relaterede politikside (f.eks. siden Politikker mod spam på https://security.microsoft.com/antispam).

  • Politikhandling

  • Besked-id: Vælg værdien for Besked-id for at åbne detaljesiden for beskeden (som om du har fundet og valgt beskeden på siden Beskeder på https://security.microsoft.com/alerts). Handlingen Kopiér til Udklipsholder er også tilgængelig til kopiering af værdien besked-id.

  • Politiktype

  • Klienttype: Viser den type klient, der sendte meddelelsen (f.eks. REST)

  • Mailstørrelse

  • Regler til forebyggelse af datatab

• Afsnittet Oplysninger om afsender og modtager: Oplysninger om meddelelsens afsender og nogle modtageroplysninger:

  • Afsenders viste navn
  • Afsenderadresse^*
  • Afsenders IP
  • Afsenderens domænenavn^*
  • Domæneoprettelsesdato: Et domæne, der er oprettet for nylig, og andre meddelelsessignaler kan identificere meddelelsen som mistænkelig.
  • Domæneejer
  • Afsenders MAIL FRA-adresse^*
  • AfsenderMAIL FRA domænenavn^*
  • Retursti
  • Return-Path-domæne
  • Placering
  • Modtagerdomæne^*
  • Til: Viser de første 5.000 tegn i en hvilken som helst mailadresse i feltet Til i meddelelsen.
  • Cc: Viser de første 5.000 tegn i en hvilken som helst mailadresse i feltet Cc i meddelelsen.
  • Distributionsliste: Viser distributionsgruppen (distributionsliste), hvis modtageren har modtaget mailen som medlem af listen. Distributionsgruppen på øverste niveau vises for indlejrede distributionsgrupper.
  • Videresendelse: Angiver, om meddelelsen automatisk blev videresendt til en ekstern mailadresse. Videresendelsesbrugeren og videresendelsestypen vises (regler for mailflow, indbakkeregler eller SMTP-videresendelse).

  ^* Handlingen Kopiér til Udklipsholder er tilgængelig til kopiering af værdien.

• Godkendelsesafsnit : Detaljer om resultater af mailgodkendelse :

  • Domænebaseret meddelelsesgodkendelse (DMARC)
    • Pass: DMARC-kontrollen for den sendte meddelelse.
    • Fail: DMARC-kontrollen for meddelelsen mislykkedes.
    • BestGuessPass: DMARC TXT-posten for domænet gør ikke, men hvis der fandtes en, ville DMARC-kontrollen for meddelelsen være bestået.
    • Ingen: Angiver, at der ikke findes nogen DMARC TXT-post for det afsendende domæne i DNS.
  • DomainKeys identificerede mail (DKIM): Værdierne er:
    • Pass: DKIM-kontrollen for den bestået meddelelse.
    • Fail (reason): DKIM-kontrollen af meddelelsen mislykkedes. Meddelelsen blev f.eks. ikke underskrevet af DKIM, eller DKIM-signaturen blev ikke bekræftet.
    • None: Meddelelsen blev ikke DKIM-signeret. Dette resultat angiver måske eller måske ikke, at domænet har en DKIM-post, eller at DKIM-posten ikke evalueres til et resultat. Dette resultat angiver kun, at denne meddelelse ikke blev signeret.
  • SpF (Sender Policy Framework): Værdierne er:
    • Pass (IP address): SPF-kontrollen fandt, at meddelelseskilden er gyldig for domænet.
    • Fail (IP address): SPF-kontrollen fandt, at meddelelseskilden ikke er gyldig for domænet, og håndhævelsesreglen i SPF-posten er -all (mislykkes hårdt).
    • SoftFail (reason): SPF-kontrollen fandt, at meddelelseskilden ikke er gyldig for domænet, og håndhævelsesreglen i SPF-posten er ~all (blød fejl).
    • Neutral: SPF-kontrollen fandt, at meddelelseskilden ikke er gyldig for domænet, og håndhævelsesreglen i SPF-posten er ?all (neutral).
    • None: Domænet har ikke en SPF-post, eller SPF-posten evalueres ikke til et resultat.
    • TempError: SPF-kontrollen registrerede en midlertidig fejl (f.eks. en DNS-fejl). Den samme kontrol kan blive fuldført senere.
    • PermError: Der opstod en permanent fejl i SPF-kontrollen. Domænet har f.eks. en forkert formateret SPF-post.
  • Sammensat godkendelse: SPF, DKIM, DMARC og andre oplysninger bestemmer, om meddelelsens afsender (Fra-adressen) er autentisk. Du kan få flere oplysninger under Sammensat godkendelse.

• Afsnittet Relaterede objekter: Oplysninger om vedhæftede filer og URL-adresser i meddelelsen:

  • Objekt: Når du vælger Vedhæftede filer eller URL-adresser , kommer du til visningen Vedhæftede filer eller URL-visningen for mailobjektsiden for meddelelsen.
  • Samlet antal
  • Fundne trusler: Værdierne er Ja eller Nej.

• Område med meddelelsesoplysninger:

  • Mailheaderfane i almindelig tekst : Indeholder hele meddelelsesoverskriften som almindelig tekst. Vælg Kopiér brevhoved for at kopiere brevhovedet. Vælg Microsoft Message Header Analyzer for at åbne Analyse af meddelelsesoverskrift på https://mha.azurewebsites.net/pages/mha.html. Indsæt det kopierede brevhoved på siden, og vælg derefter Analysér brevhoveder for at få oplysninger om brevhovederne og værdierne.
  • Til-fanen : Viser de første 5.000 tegn i en hvilken som helst mailadresse i feltet Til i meddelelsen.
  • Fanen Cc: Viser de første 5.000 tegn i en hvilken som helst mailadresse i feltet Cc i meddelelsen.

Visningen Vedhæftede filer

Visningen Vedhæftede filer viser oplysninger om alle vedhæftede filer i meddelelsen og scanningsresultaterne af disse vedhæftede filer.

Følgende oplysninger om vedhæftede filer er tilgængelige i denne visning. Vælg en kolonneoverskrift, der skal sorteres efter den pågældende kolonne. Hvis du vil tilføje eller fjerne kolonner, skal du vælge Tilpas kolonner. Alle tilgængelige kolonner er som standard markeret.

• Navn på vedhæftet fil: Hvis du klikker på værdien for filnavnet
• Filtype
• Filstørrelse
• Filtypenavn
• Trussel
• Malwarefamilie
• Vedhæftet FIL SHA256: Handlingen Kopiér til Udklipsholder er tilgængelig til kopiering af SHA256-værdien.
• Detaljer

Brug feltet Søg til at finde oplysninger på siden. Skriv tekst i feltet, og tryk derefter på ENTER.

Brug Eksportér til at eksportere dataene i visningen til en CSV-fil. Standardfilnavnet er – Microsoft Defender.csv , og standardplaceringen er mappen Overførsler . Hvis der allerede findes en fil med dette navn, tilføjes filnavnet med et tal (f.eks. - Microsoft Defender(1).csv).

Oplysninger om vedhæftet fil

Hvis du vælger en post i visningen Vedhæftede filer ved at klikke på værdien for filnavnet for vedhæftede filer , åbnes der et pop op-vindue med oplysninger, der indeholder følgende oplysninger:

• Fanen Detaljeret analyse : Oplysninger er tilgængelige på denne fane, hvis Sikre vedhæftede filer scannede (detonerede) den vedhæftede fil. Du kan identificere disse meddelelser i Threat Explorer ved hjælp af teknologien til registrering af forespørgselsfilter med værdien Fil detonation.

  • Sprængningskædesektion : Detonation af sikre vedhæftede filer i en enkelt fil kan udløse flere detonationer. Den detonation kæde sporer stien til detonations, herunder den oprindelige ondsindede fil, der forårsagede dommen, og alle andre filer ramt af detonation. Disse vedhæftede filer findes muligvis ikke direkte i mailen. Men, herunder analysen er vigtigt at fastslå, hvorfor filen blev fundet at være ondsindet.

    Hvis der ikke er nogen oplysninger om deonationskæden tilgængelig, vises værdien Intet detonationstræ . Ellers kan du vælge Eksportér for at downloade oplysningerne om deonationkæden til en CSV-fil. Standardfilnavnet er Detonation chain.csv , og standardplaceringen er mappen Downloads . Hvis der allerede findes en fil med dette navn, tilføjes filnavnet med et tal (f.eks . Detonation chain(1).csv). CSV-filen indeholder følgende oplysninger:

    • Øverst: Filen på øverste niveau.
    • Level1: Filen på næste niveau.
    • Level2: Filen på næste niveau.
    • og så videre.

    Detonationskæden og CSV-filen viser muligvis kun elementet på øverste niveau, hvis ingen af de enheder, der er knyttet til den, blev fundet problematiske eller blev detoneret.

  • Oversigtsafsnit : Hvis der ikke er oplysninger om deonationsoversigt tilgængelig, vises oversigt over ingen detonation . Ellers er følgende oversigtsoplysninger om detonation tilgængelige:

    • Analysetid
    • Dom: Dommen på selve vedhæftet fil.
    • Flere oplysninger: Filstørrelsen i byte.
    • Indikatorer for kompromis

  • Afsnittet Skærmbilleder: Vis eventuelle skærmbilleder, der blev taget under detonationen. Der registreres ingen skærmbilleder for objektbeholderfiler, f.eks. ZIP eller RAR, der indeholder andre filer.

    Hvis der ikke er nogen deonationsskærmbilleder tilgængelige, vises værdien Ingen skærmbilleder, der skal vises . Ellers skal du vælge linket for at få vist skærmbilledet.

  • Afsnittet Detaljer om funktionsmåde: Viser de nøjagtige hændelser, der fandt sted under detonationen, og problematiske eller godartede observationer, der indeholder URL-adresser, IP-adresser, domæner og filer, der blev fundet under detonationen. Der er muligvis ikke oplysninger om funktionsmåde for objektbeholderfiler, f.eks. ZIP eller RAR, der indeholder andre filer.

    Hvis der ikke er oplysninger om funktionsmådedetaljer tilgængelige, vises værdien Ingen detonationsmåder . Ellers kan du vælge Eksportér for at downloade oplysninger om funktionsmåden til en CSV-fil. Standardfilnavnet er Behavior details.csv og standardplaceringen er mappen Downloads . Hvis der allerede findes en fil med dette navn, tilføjes filnavnet med et tal (f.eks . Oplysninger om funktionsmåde(1).csv). CSV-filen indeholder følgende oplysninger:

    • Tid
    • Funktionsmåde
    • Egenskaben Behavior
    • Proces (PID)
    • Drift
    • Mål
    • Detaljer
    • Resultat

• Fanen Filoplysninger: Afsnittet Filoplysninger indeholder følgende oplysninger:

  • Filnavn
  • SHA256
  • Filstørrelse (i byte)

Når du er færdig med pop op-vinduet med filoplysninger, skal du vælge Luk.

Bloker vedhæftede filer fra visningen Vedhæftede filer

Hvis du vælger en post i visningen Vedhæftede filer ved at markere afkrydsningsfeltet ud for filnavnet, er handlingen Bloker tilgængelig. Denne handling tilføjer filen som en blokpost på listen over tilladte/blokerede lejere. Hvis du vælger Blok, startes guiden Udfør handling :

1. Konfigurer en af følgende indstillinger i afsnittet Bloker fil på siden Vælg handlinger:

   • Udløber aldrig : Dette er standardværdien .
   • Udløber aldrig : Skub til/fra-knappen til fra , og vælg derefter en dato i feltet Fjern til .

   Når du er færdig på siden Vælg handlinger , skal du vælge Næste.

2. På siden Vælg målobjekter skal du kontrollere, at den fil, du vil blokere, er valgt, og derefter vælge Næste.

3. Konfigurer følgende indstillinger på siden Gennemse og send :

   • Afhjælpningsnavn: Angiv et entydigt navn for at spore status i Løsningscenter.
   • Beskrivelse: Angiv en valgfri beskrivelse.

   Når du er færdig på siden Gennemse og send , skal du vælge Send.

URL-visning

Visningen URL-adresse viser oplysninger om alle URL-adresser i meddelelsen og scanningsresultaterne af disse URL-adresser.

Følgende oplysninger om vedhæftede filer er tilgængelige i denne visning. Vælg en kolonneoverskrift, der skal sorteres efter den pågældende kolonne. Hvis du vil tilføje eller fjerne kolonner, skal du vælge Tilpas kolonner. Alle tilgængelige kolonner er som standard markeret.

• URL
• Trussel
• Kilde
• Detaljer

Brug feltet Søg til at finde oplysninger på siden. Skriv tekst i feltet, og tryk derefter på ENTER.

Brug Eksportér til at eksportere dataene i visningen til en CSV-fil. Standardfilnavnet er – Microsoft Defender.csv , og standardplaceringen er mappen Overførsler . Hvis der allerede findes en fil med dette navn, tilføjes filnavnet med et tal (f.eks. - Microsoft Defender(1).csv).

OPLYSNINGER OM URL-adresse

Hvis du vælger en post i URL-visningen ved at klikke på URL-værdien , åbnes der et detaljeret pop op-vindue, der indeholder følgende oplysninger:

• Fanen Detaljeret analyse : Oplysninger er tilgængelige på denne fane, hvis Safe Links scannede (detonerede) URL-adressen. Du kan identificere disse meddelelser i Threat Explorer ved hjælp af teknologien til registrering af forespørgselsfilter med detonationen for URL-værdien.

  • Sprængningskædesektion : Detonation af sikre links for en enkelt URL-adresse kan udløse flere detonationer. Den detonation kæde sporer stien til detonations, herunder den oprindelige ondsindede URL, der forårsagede dommen, og alle andre URL-adresser, der er påvirket af detonationen. Disse URL-adresser findes muligvis ikke direkte i mailen. Men det er vigtigt at inkludere analysen for at finde ud af, hvorfor URL-adressen blev fundet skadelig.

    Hvis der ikke er nogen oplysninger om deonationskæden tilgængelig, vises værdien Intet detonationstræ . Ellers kan du vælge Eksportér for at downloade oplysningerne om deonationkæden til en CSV-fil. Standardfilnavnet er Detonation chain.csv , og standardplaceringen er mappen Downloads . Hvis der allerede findes en fil med dette navn, tilføjes filnavnet med et tal (f.eks . Detonation chain(1).csv). CSV-filen indeholder følgende oplysninger:

    • Øverst: Filen på øverste niveau.
    • Level1: Filen på næste niveau.
    • Level2: Filen på næste niveau.
    • og så videre.

    Detonationskæden og CSV-filen viser muligvis kun elementet på øverste niveau, hvis ingen af de enheder, der er knyttet til den, blev fundet problematiske eller blev detoneret.

  • Oversigtsafsnit : Hvis der ikke er oplysninger om deonationsoversigt tilgængelig, vises oversigt over ingen detonation . Ellers er følgende oversigtsoplysninger om detonation tilgængelige:

    • Analysetid
    • Dom: Dommen på selve URL-adressen.

  • Afsnittet Skærmbilleder: Vis eventuelle skærmbilleder, der blev taget under detonationen. Der registreres ingen skærmbilleder, hvis URL-adressen åbnes i et link, der downloader en fil direkte. Du kan dog se den downloadede fil i detonationskæden.

    Hvis der ikke er nogen deonationsskærmbilleder tilgængelige, vises værdien Ingen skærmbilleder, der skal vises . Ellers skal du vælge linket for at få vist skærmbilledet.

  • Afsnittet Detaljer om funktionsmåde: Viser de nøjagtige hændelser, der fandt sted under detonationen, og problematiske eller godartede observationer, der indeholder URL-adresser, IP-adresser, domæner og filer, der blev fundet under detonationen.

    Hvis der ikke er oplysninger om funktionsmådedetaljer tilgængelige, vises værdien Ingen detonationsmåder . Ellers kan du vælge Eksportér for at downloade oplysninger om funktionsmåden til en CSV-fil. Standardfilnavnet er Behavior details.csv og standardplaceringen er mappen Downloads . Hvis der allerede findes en fil med dette navn, tilføjes filnavnet med et tal (f.eks . Oplysninger om funktionsmåde(1).csv). CSV-filen indeholder følgende oplysninger:

    • Tid
    • Funktionsmåde
    • Egenskaben Behavior
    • Proces (PID)
    • Drift
    • Mål
    • Detaljer
    • Resultat

• Fanen URL-oplysninger: Afsnittet med URL-oplysninger indeholder følgende oplysninger:

  • URL
  • Trussel

Når du er færdig med pop op-vinduet med filoplysninger, skal du vælge Luk.

Bloker URL-adresser fra URL-visningen

Hvis du vælger en post i URL-visningen ved at markere afkrydsningsfeltet ud for filnavnet, er handlingen Bloker tilgængelig. Denne handling tilføjer URL-adressen som en blokpost på listen over tilladte/blokerede lejere. Hvis du vælger Blok, startes guiden Udfør handling :

1. Konfigurer en af følgende indstillinger i afsnittet Bloker URL-adresse på siden Vælg handlinger:

   • Udløber aldrig : Dette er standardværdien .
   • Udløber aldrig : Skub til/fra-knappen til fra , og vælg derefter en dato i feltet Fjern til .

   Når du er færdig på siden Vælg handlinger , skal du vælge Næste.

2. På siden Vælg målobjekter skal du kontrollere, at den URL-adresse, du vil blokere, er valgt, og derefter vælge Næste.

3. Konfigurer følgende indstillinger på siden Gennemse og send :

   • Afhjælpningsnavn: Angiv et entydigt navn for at spore status i Løsningscenter.
   • Beskrivelse: Angiv en valgfri beskrivelse.

   Når du er færdig på siden Gennemse og send , skal du vælge Send.

Visning af lignende mails

Visningen Lignende mails viser andre mails, der har det samme meddelelsesbrødtekstaftryk som denne meddelelse. Matchende kriterier i andre meddelelser gælder ikke for denne visning (f.eks. fingeraftryk af vedhæftede filer).

Følgende oplysninger om vedhæftede filer er tilgængelige i denne visning. Vælg en kolonneoverskrift, der skal sorteres efter den pågældende kolonne. Hvis du vil tilføje eller fjerne kolonner, skal du vælge Tilpas kolonner. Alle tilgængelige kolonner er som standard markeret.

• Dato
• Emne
• Modtager
• Afsender
• Afsenders IP
• Tilsidesætte
• Leveringshandling
• Leveringsplacering

Brug Filter til at filtrere posterne efter startdato og slutdato.

Brug feltet Søg til at finde oplysninger på siden. Skriv tekst i feltet, og tryk derefter på ENTER.

Brug Eksportér til at eksportere dataene i visningen til en CSV-fil. Standardfilnavnet er – Microsoft Defender.csv , og standardplaceringen er mappen Overførsler . Hvis der allerede findes en fil med dette navn, tilføjes filnavnet med et tal (f.eks. - Microsoft Defender(1).csv).

Handlinger på siden Mailobjekt

Følgende handlinger er tilgængelige øverst på siden Mailobjekt:

• Tag handling: Du kan finde flere oplysninger under Trusselsjagt: Afhjælpning via mail.
• Eksempelvisning af mail¹ ²
• Flere indstillinger:

  • Gå til mail, der er sat i karantæne: Kun tilgængelig, hvis meddelelsen er sat i karantæne. Hvis du vælger denne handling, åbnes fanen Mail på siden Karantæne på https://security.microsoft.com/quarantine, filtreret efter meddelelsens entydige meddelelses-id-værdi . Du kan få flere oplysninger under Få vist karantænemail.

  • Download mail¹ ²

    Tip

    Downloadmail er ikke tilgængelig for meddelelser, der er sat i karantæne. Download i stedet en adgangskodebeskyttet kopi af meddelelsen fra karantæne.

¹ Handlingerne Eksempel på mail og Download mail kræver rollen Eksempel . Du kan tildele denne rolle på følgende placeringer:

• Microsoft Defender XDR Unified rollebaseret adgangskontrol (RBAC) (påvirker kun Defender-portalen, ikke PowerShell): Sikkerhedshandlinger/rådata (mail & samarbejde)/Mail & samarbejdsindhold (læst).
• Mail & samarbejdstilladelser på Microsoft Defender portalen: Medlemskab af rollegrupperne Data investigator eller eDiscovery Manager. Du kan også oprette en ny rollegruppe med rollen Eksempel tildelt og føje brugerne til den brugerdefinerede rollegruppe.

² Du kan få vist eller downloade mails, der er tilgængelige i Microsoft 365-postkasser. Eksempler på, hvornår meddelelser ikke længere er tilgængelige i postkasser, omfatter:

• Meddelelsen blev droppet, før leveringen mislykkedes.
• Meddelelsen blev slettet som blød (slettet fra mappen Slettet post, hvilket flytter meddelelsen til mappen Gendan elementer\Sletninger).
• ZAP flyttede meddelelsen til karantæne.

Panelet Mailoversigt

Panelet Mailoversigt er pop op-vinduet med mailoplysninger, der er tilgængeligt i mange funktioner i Exchange Online Protection (EOP) og Defender for Office 365. Panelet Mailoversigt indeholder standardiserede oversigtsoplysninger om den mailmeddelelse, der er hentet fra alle de oplysninger, der er tilgængelige på siden Mailobjekt i Defender for Office 365.

Her kan du finde panelet Mailoversigt er beskrevet i afsnittet Hvor finder du enhedssiden Mail tidligere i denne artikel. I resten af dette afsnit beskrives de oplysninger, der er tilgængelige i panelet Mailoversigt på tværs af alle funktioner.

Tip

Panelet Mailoversigt er tilgængeligt fra siden Løsningscenter under https://security.microsoft.com/action-center/ fanerne Ventende eller Historik . Vælg en handling med værdien EnhedstypeMail ved at klikke et andet sted i rækken end afkrydsningsfeltet eller værdien undersøgelses-id . Det pop op-vindue med detaljer, der åbnes, er panelet Mailoversigt, men objektet Åbn mail er ikke tilgængeligt øverst i pop op-vinduet.

Følgende meddelelsesoplysninger er tilgængelige øverst i panelet Mailoversigt:

• Titlen på pop op-vinduet er meddelelsens emneværdi.
• Antallet af vedhæftede filer og links i meddelelsen (findes ikke i alle funktioner).
• Alle brugerkoder, der er tildelt modtagerne af meddelelsen (herunder kontokoden Prioritet). Du kan få flere oplysninger under Brugerkoder i Microsoft Defender for Office 365
• De handlinger, der er tilgængelige øverst i pop op-vinduet, afhænger af, hvor du har åbnet panelet Mailoversigt. De tilgængelige handlinger er beskrevet i de enkelte funktionsartikler.

Tip

Hvis du vil se detaljer om andre meddelelser uden at forlade panelet Mailoversigt i den aktuelle meddelelse, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

Følgende afsnit er tilgængelige i panelet Mailoversigt for alle funktioner (det er ligegyldigt, hvor du har åbnet panelet Mailoversigt fra):

• Afsnittet Leveringsoplysninger :

  • Oprindelige trusler
  • Seneste trusler
  • Oprindelig placering
  • Seneste leveringsplacering
  • Leveringshandling
  • Registreringsteknologier
  • Primær tilsidesættelse: Kilde

• Afsnittet Mailoplysninger:

  • Afsenders viste navn
  • Afsenderadresse
  • Afsendermail fra adresse
  • Sendt på vegne af
  • Retursti
  • Afsenders IP
  • Placering
  • Modtager(e)
  • Modtaget tid
  • Retningsbestemthed
  • Netværksmeddelelses-id
  • Id for internetmeddelelse
  • Kampagne-id
  • DMARC
  • DKIM
  • SPF
  • Sammensat godkendelse

• AFSNITTET URL-adresser: Oplysninger om url-adresser i meddelelsen:

  • URL
  • Trusselsstatus

  Hvis meddelelsen indeholder mere end tre URL-adresser, skal du vælge Få vist alle URL-adresser for at se dem alle.

• Afsnittet Vedhæftede filer: Oplysninger om vedhæftede filer i meddelelsen:

  • Navn på vedhæftet fil
  • Trussel
  • Registrering af teknologi/malwarefamilie

  Hvis meddelelsen indeholder mere end tre vedhæftede filer, skal du vælge Få vist alle vedhæftede filer for at se dem alle.