Verwenden Sie die Seite Übermittlungen, um vermutete Spam-, Phishing-, URLs, legitime E-Mails, die blockiert werden, und E-Mail-Anlagen an Microsoft zu übermitteln.
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Weitere Informationen dazu, wie Microsoft Ihre Übermittlungen speichert und behandelt, finden Sie hier.
In Microsoft 365-Organisationen mit Exchange Online Postfächern können Administratoren die Seite Übermittlungen im Microsoft Defender-Portal verwenden, um Nachrichten, URLs und Anlagen zur Analyse an Microsoft zu übermitteln. Es gibt zwei grundlegende Arten von Administratorübermittlungen:
Admin übermittlungen: Administratoren identifizieren und melden Nachrichten, Anlagen oder URLs (Entitäten), indem sie auf den Registerkarten auf der Seite Übermittlungen auf den Registerkarten auf der Seite Übermittlungen die Option An Microsoft übermitteln auswählen, wie im Abschnitt Admin-Ursprungsübermittlungen beschrieben.
Nachdem der Administrator die Entität gemeldet hat, wird auf der entsprechenden Registerkarte auf der Seite Übermittlungen (an einer beliebigen Stelle außer der Registerkarte Benutzer gemeldet ) ein Eintrag angezeigt.
Admin Übermittlung von vom Benutzer gemeldeten Nachrichten: Die integrierte Berichterstattung ist aktiviert und konfiguriert. Von Benutzern gemeldete Nachrichten werden auf der Registerkarte Benutzer gemeldet auf der Seite Übermittlungen angezeigt, und Administratoren übermitteln die Nachrichten über die Registerkarte Benutzer gemeldet an Microsoft.
Nachdem ein Administrator die Nachricht von der Registerkarte Benutzer gemeldet übermittelt hat, wird auch auf der entsprechenden Registerkarte auf der Seite Übermittlungen ein Eintrag erstellt (z. B. auf der Registerkarte E-Mails ). Diese Arten von Administratorübermittlungen werden im Abschnitt Admin Optionen für vom Benutzer gemeldete Nachrichten beschrieben.
Wenn Administratoren oder Benutzer Nachrichten zur Analyse an Microsoft übermitteln, führen wir die folgenden Überprüfungen durch:
- Email Authentifizierungsprüfung (nur E-Mail-Nachrichten): Gibt an, ob die E-Mail-Authentifizierung erfolgreich war oder fehlgeschlagen ist, als sie übermittelt wurde.
- Richtlinientreffer: Informationen zu Richtlinien oder Außerkraftsetzungen, die die eingehende E-Mail in den organization zugelassen oder blockiert haben, wodurch unsere Filterbewertungen außer Kraft gesetzt werden.
- Nutzlastzuverlässigkeit/-detonation: Aktuelle Überprüfung aller URLs und Anlagen in der Nachricht.
- Graderanalyse: Überprüfen Sie, ob Nachrichten böswillig sind oder nicht, indem Sie von menschlichen Gradern durchgeführt werden.
Wichtig
In US-Behördenorganisationen (Microsoft 365 GCC, GCC High und DoD) können Administratoren E-Mail-Nachrichten zur Analyse an Microsoft senden, aber die Nachrichten werden nur auf E-Mail-Authentifizierung und Richtlinientreffer analysiert. Nutzlastzuverlässigkeit, Detonation und Graderanalyse werden aus Konformitätsgründen nicht durchgeführt (Daten dürfen die organization Grenze nicht verlassen).
Sehen Sie sich dieses kurze Video an, um zu erfahren, wie Sie Administratorübermittlungen in Microsoft Defender for Office 365 verwenden, um Nachrichten zur Auswertung an Microsoft zu übermitteln.
Weitere Informationen dazu, wie Benutzer Nachrichten und Dateien an Microsoft senden können, finden Sie unter Melden von Nachrichten und Dateien an Microsoft.
Weitere Möglichkeiten, wie Administratoren Nachrichten an Microsoft im Defender-Portal melden können, finden Sie unter Zugehörige Berichtseinstellungen für Administratoren.
Was sollten Sie wissen, bevor Sie beginnen?
Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com/. Um direkt zur Seite Übermittlungen zu wechseln, verwenden Sie https://security.microsoft.com/reportsubmission.
Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:
- Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell): Sicherheitsvorgänge/Sicherheitsdaten/Reaktion (Verwalten) oder Sicherheitsvorgänge/Sicherheitsdaten/Sicherheitsdatengrundlagen (lesen).
- Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal: Mitgliedschaft in den Rollengruppen Sicherheitsadministrator oder Sicherheitsleseberechtigter.
- Microsoft Entra-Berechtigungen: Durch die Mitgliedschaft in den Rollen "Sicherheitsadministrator" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.
Administratoren können E-Mail-Nachrichten übermitteln, die 30 Tage alt sind, wenn sie noch im Postfach verfügbar sind und nicht vom Benutzer oder einem Administrator gelöscht wurden.
Admin Übermittlungen werden wie folgt gedrosselt:
- Maximale Anzahl von Einreichungen innerhalb eines Zeitraums von 15 Minuten: 150 Einreichungen
- Gleiche Übermittlungen in einem Zeitraum von 24 Stunden: Drei Einreichungen
- Gleiche Übermittlungen in einem Zeitraum von 15 Minuten: Eine Übermittlung
Wenn die Vom Benutzer gemeldeten Einstellungen in der organization von Benutzern gemeldete Nachrichten (E-Mail und Microsoft Teams) an Microsoft senden (ausschließlich oder zusätzlich zum Berichterstellungspostfach), führen wir dieselben Überprüfungen durch, wenn Administratoren Nachrichten von der Seite Übermittlungen zur Analyse an Microsoft übermitteln. Das Übermitteln oder erneute Übermitteln von Nachrichten an Microsoft ist für Administratoren nur für Nachrichten nützlich, die noch nie an Microsoft übermittelt wurden, oder wenn Sie mit dem ursprünglichen Urteil nicht einverstanden sind.
Eine Registerkarte Dateien ist auf der Seite Übermittlungen nur in Organisationen mit Microsoft Defender XDR oder Microsoft Defender for Endpoint Plan 2 verfügbar. Informationen und Anweisungen zum Übermitteln von Dateien über die Registerkarte Dateien finden Sie unter Übermitteln von Dateien in Microsoft Defender for Endpoint.
Admin Übermittlungen
Tipp
Die Registerkarte, auf der Sie die Option An Microsoft zur Analyse übermitteln auswählen, spielt keine besondere Rolle, solange Sie Übermittlungstyp auswählen auf den richtigen Wert festlegen.
Melden fragwürdiger E-Mails an Microsoft
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Aktionen & Übermittlungen>Übermittlungen. Oder verwenden Sie https://security.microsoft.com/reportsubmission, um direkt zur Seite Übermittlungen zu wechseln.
Vergewissern Sie sich auf der Seite Übermittlungen , dass die Registerkarte E-Mails ausgewählt ist.
Wählen Sie auf der Registerkarte E-Mails die Option An Microsoft zur Analyse übermitteln aus.
Geben Sie auf der ersten Seite des flyouts An Microsoft zur Analyse übermitteln , das geöffnet wird, die folgenden Informationen ein:
Wählen Sie den Übermittlungstyp aus: Vergewissern Sie sich, dass der Wert Email ausgewählt ist.
Fügen Sie die Netzwerknachrichten-ID hinzu, oder laden Sie die E-Mail-Datei hoch: Wählen Sie eine der folgenden Optionen aus:
- Hinzufügen der E-Mail-Netzwerknachrichten-ID: Der GUID-Wert ist im Header X-MS-Exchange-Organization-Network-Message-Id oder im X-MS-Office365-Filtering-Correlation-Id-Header in Nachrichten verfügbar.
- Hochladen der E-Mail-Datei (.msg oder .eml):Wählen Sie Dateien durchsuchen aus. Suchen Sie im daraufhin geöffneten Dialogfeld die .eml- oder .msg Datei, wählen Sie sie aus, und wählen Sie dann Öffnen aus.
Wählen Sie mindestens einen Empfänger aus, der ein Problem hatte: Geben Sie die Empfänger an, für die eine Richtlinienüberprüfung durchgeführt werden soll. Die Richtlinienüberprüfung bestimmt, ob die E-Mail die Überprüfung aufgrund von Benutzer- oder organization Richtlinien oder Außerkraftsetzung umgangen hat.
Warum übermitteln Sie diese Nachricht an Microsoft?: Wählen Sie einen der folgenden Werte aus:
- Es erscheint verdächtig: Wählen Sie diesen Wert nur aus, wenn Sie das Nachrichtenurteil nicht kennen oder sich nicht sicher sind und Sie ein Urteil von Microsoft erhalten möchten. Wählen Sie Absenden aus, und fahren Sie dann mit Schritt 6 fort.
oder
Ich habe bestätigt, dass es sich um eine Bedrohung handelt: In allen anderen Fällen wählen Sie diesen Wert aus, nachdem Sie das Nachrichtenurteil bereits als böswillig ermittelt haben. Wählen Sie im daraufhin angezeigten Abschnitt Kategorie auswählen einen der folgenden Werte aus:
- Phishing
- Schadsoftware
- Spam
Wählen Sie Weiter aus.
Führen Sie auf der zweiten Seite des flyouts An Microsoft zur Analyse übermitteln , das geöffnet wird, einen der folgenden Schritte aus:
- Wählen Sie Senden aus.
oder
Wählen Sie Alle E-Mails von diesem Absender oder dieser Domäne blockieren aus: Mit dieser Option wird ein Blockeintrag für die Absenderdomäne oder E-Mail-Adresse in der Zulassungs-/Sperrliste des Mandanten erstellt. Weitere Informationen zur Mandanten-Zulassungs-/Sperrliste finden Sie unter Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste.
Nachdem Sie diese Option ausgewählt haben, sind die folgenden Einstellungen verfügbar:
- Standardmäßig ist Sender ausgewählt, aber Sie können stattdessen Domäne auswählen.
-
Blockeintrag entfernen nach: Der Standardwert ist 30 Tage, Aber Sie können aus den folgenden Werten auswählen:
- 1 Tag
- 7 Tage
- 30 Tage
- Läuft nie ab
- Spezifisches Datum: Der Höchstwert beträgt 30 Tage ab heute.
- Eintragshinweis blockieren (optional): Geben Sie optionale Informationen dazu ein, warum Sie dieses Element blockieren.
Wenn Sie auf der zweiten Seite des Flyouts An Microsoft zur Analyse übermitteln fertig sind, wählen Sie Übermitteln aus.
Wählen Sie Fertig aus.
Nach einigen Augenblicken ist der Blockeintrag auf der Registerkarte Domänen & Adressen auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockList?viewid=Senderverfügbar.
Melden von fragwürdigen E-Mail-Anlagen an Microsoft
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Aktionen & Übermittlungen>Übermittlungen. Oder verwenden Sie https://security.microsoft.com/reportsubmission, um direkt zur Seite Übermittlungen zu wechseln.
Wählen Sie auf der Seite Übermittlungen die Registerkarte Email Anlagen aus.
Wählen Sie auf der Registerkarte Email Anlagen die Option An Microsoft zur Analyse übermitteln aus.
Geben Sie auf der ersten Seite des flyouts An Microsoft zur Analyse übermitteln , das geöffnet wird, die folgenden Informationen ein:
Wählen Sie den Übermittlungstyp aus: Überprüfen Sie, ob der Wert Email Anlage ausgewählt ist.
Datei: Wählen Sie Dateien durchsuchen aus, um die zu übermittelnde Datei zu suchen und auszuwählen.
Warum übermitteln Sie diese E-Mail-Anlage an Microsoft?: Wählen Sie einen der folgenden Werte aus:
- Es erscheint verdächtig: Wählen Sie diesen Wert aus, wenn Sie unsicher sind und eine Bewertung von Microsoft wünschen, wählen Sie Senden aus, und fahren Sie dann mit Schritt 6 fort.
oder
Führen Sie auf der zweiten Seite des flyouts An Microsoft zur Analyse übermitteln , das geöffnet wird, einen der folgenden Schritte aus:
- Wählen Sie Senden aus.
oder
Diese Datei blockieren auswählen: Mit dieser Option wird ein Blockeintrag für die Datei in der Mandanten-Zulassungs-/Sperrliste erstellt. Weitere Informationen zur Mandanten-Zulassungs-/Sperrliste finden Sie unter Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste.
Nachdem Sie diese Option ausgewählt haben, sind die folgenden Einstellungen verfügbar:
-
Blockeintrag entfernen nach: Der Standardwert ist 30 Tage, Aber Sie können aus den folgenden Werten auswählen:
- 1 Tag
- 7 Tage
- 30 Tage
- Läuft nie ab
- Spezifisches Datum: Der Höchstwert beträgt 30 Tage ab heute.
- Eintragshinweis blockieren (optional): Geben Sie optionale Informationen dazu ein, warum Sie dieses Element blockieren.
Wenn Sie mit dem Flyout An Microsoft zur Analyse übermitteln fertig sind, wählen Sie Übermitteln aus.
-
Blockeintrag entfernen nach: Der Standardwert ist 30 Tage, Aber Sie können aus den folgenden Werten auswählen:
Wählen Sie Fertig aus.
Nach einigen Augenblicken ist der Blockeintrag auf der Registerkarte Dateien auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockList?viewid=FileHashverfügbar.
Melden fragwürdiger URLs an Microsoft
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Aktionen & Übermittlungen>Übermittlungen. Oder verwenden Sie https://security.microsoft.com/reportsubmission, um direkt zur Seite Übermittlungen zu wechseln.
Wählen Sie auf der Seite Übermittlungen die Registerkarte URLs aus.
Wählen Sie auf der Registerkarte URLs die Option An Microsoft zur Analyse übermitteln aus.
Geben Sie im daraufhin geöffneten Flyout An Microsoft zur Analyse übermitteln die folgenden Informationen ein:
Wählen Sie den Übermittlungstyp aus: Überprüfen Sie, ob die Wert-URL ausgewählt ist.
URL: Geben Sie die vollständige URL ein (z. B
https://www.fabrikam.com/marketing.html
. ), und wählen Sie sie dann in das angezeigte Feld aus. Sie können bis zu 50 URLs gleichzeitig eingeben.Warum übermitteln Sie diese URL an Microsoft?: Wählen Sie einen der folgenden Werte aus:
- Es erscheint verdächtig: Wählen Sie diesen Wert aus, wenn Sie unsicher sind und eine Bewertung von Microsoft wünschen, wählen Sie Senden aus, und fahren Sie dann mit Schritt 6 fort.
oder
Führen Sie auf der zweiten Seite des flyouts An Microsoft zur Analyse übermitteln , das geöffnet wird, einen der folgenden Schritte aus:
- Wählen Sie Senden aus.
oder
Wählen Sie Diese URL blockieren aus: Mit dieser Option wird ein Blockeintrag für die URL in der Zulassungs-/Sperrliste des Mandanten erstellt. Weitere Informationen zur Mandanten-Zulassungs-/Sperrliste finden Sie unter Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste.
Nachdem Sie diese Option ausgewählt haben, sind die folgenden Einstellungen verfügbar:
-
Blockeintrag entfernen nach: Der Standardwert ist 30 Tage, Aber Sie können aus den folgenden Werten auswählen:
- 1 Tag
- 7 Tage
- 30 Tage
- Läuft nie ab
- Spezifisches Datum: Der Höchstwert beträgt 30 Tage ab heute.
- Block entry note (optional): Geben Sie optionale Informationen dazu ein, warum Sie diese Itme blockieren.
Wenn Sie mit dem Flyout An Microsoft zur Analyse übermitteln fertig sind, wählen Sie Übermitteln aus.
-
Blockeintrag entfernen nach: Der Standardwert ist 30 Tage, Aber Sie können aus den folgenden Werten auswählen:
Wählen Sie Fertig aus.
Nach einigen Augenblicken ist der Blockeintrag auf der Registerkarte URL auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockList?viewid=Urlverfügbar.
Gute E-Mails an Microsoft melden
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Aktionen & Übermittlungen>Übermittlungen. Oder verwenden Sie https://security.microsoft.com/reportsubmission, um direkt zur Seite Übermittlungen zu wechseln.
Vergewissern Sie sich auf der Seite Übermittlungen , dass die Registerkarte E-Mails ausgewählt ist.
Wählen Sie auf der Registerkarte E-Mails die Option An Microsoft zur Analyse übermitteln aus.
Geben Sie auf der ersten Seite des flyouts An Microsoft zur Analyse übermitteln , das geöffnet wird, die folgenden Informationen ein:
Wählen Sie den Übermittlungstyp aus: Vergewissern Sie sich, dass der Wert Email ausgewählt ist.
Fügen Sie die Netzwerknachrichten-ID hinzu, oder laden Sie die E-Mail-Datei hoch: Wählen Sie eine der folgenden Optionen aus:
- Hinzufügen der E-Mail-Netzwerknachrichten-ID: Der GUID-Wert ist im Header X-MS-Exchange-Organization-Network-Message-Id in der Nachricht oder im X-MS-Office365-Filtering-Correlation-Id-Header in unter Quarantäne stehenden Nachrichten verfügbar.
- Hochladen der E-Mail-Datei (.msg oder .eml):Wählen Sie Dateien durchsuchen aus. Suchen Sie im daraufhin geöffneten Dialogfeld die .eml- oder .msg Datei, wählen Sie sie aus, und wählen Sie dann Öffnen aus.
Wählen Sie mindestens einen Empfänger aus, der ein Problem hatte: Geben Sie die Empfänger an, für die eine Richtlinienüberprüfung durchgeführt werden soll. Die Richtlinienüberprüfung bestimmt, ob die E-Mail aufgrund von Benutzer- oder organization Richtlinien oder Außerkraftsetzungen blockiert wurde.
Warum übermitteln Sie diese Nachricht an Microsoft?: Wählen Sie einen der folgenden Werte aus:
- Es wird sauber angezeigt: Wählen Sie diesen Wert nur aus, wenn Sie das Nachrichtenurteil nicht kennen oder sich nicht sicher sind und Sie ein Urteil von Microsoft erhalten möchten. Wählen Sie Absenden aus, und fahren Sie dann mit Schritt 6 fort.
oder
- Ich habe bestätigt, dass es sauber ist: Wählen Sie in allen anderen Fällen diesen Wert aus, nachdem Sie das Nachrichtenurteil bereits als sauber ermittelt haben. Wählen Sie Weiter aus.
Führen Sie auf der zweiten Seite des flyouts An Microsoft zur Analyse übermitteln , das geöffnet wird, einen der folgenden Schritte aus:
- Wählen Sie Senden aus.
oder
Diese Nachricht zulassen auswählen: Mit dieser Option wird ein Zulassungseintrag für die Elemente der Nachricht in der Zulassungs-/Sperrliste des Mandanten erstellt. Weitere Informationen zur Mandanten-Zulassungs-/Sperrliste finden Sie unter Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste.
Nachdem Sie diese Option ausgewählt haben, sind die folgenden Einstellungen verfügbar:
Eintrag zulassen nach entfernen: Der Standardwert ist 45 Tage nach dem datum der letzten Verwendung, aber Sie können aus den folgenden Werten auswählen:
- 1 Tag
- 7 Tage
- 30 Tage
- Spezifisches Datum: Der Höchstwert beträgt 30 Tage ab heute.
Für gefälschte Absender ist dieser Wert bedeutungslos, da Einträge für gefälschte Absender nie ablaufen.
Wenn 45 Tage nach dem Datum der letzten Verwendung ausgewählt wird, wird das Datum der letzten Verwendung des Zulassungseintrags aktualisiert, wenn die schädliche E-Mail-Nachricht während des E-Mail-Flusses gefunden wird. Der Zulassungseintrag wird 45 Tage lang aufbewahrt, nachdem das Filtersystem festgestellt hat, dass die E-Mail-Nachricht sauber ist.
Eingabehinweis zulassen (optional): Geben Sie optionale Informationen dazu ein, warum Sie dieses Element zulassen. Bei gefälschten Absendern wird jeder wert, den Sie hier eingeben, nicht im Eintrag zulassen auf der Registerkarte Spoofed senders (Spoofed senders) auf der Seite Mandanten zulassen/blockieren Listen angezeigt.
Wenn Sie auf der zweiten Seite des Flyouts An Microsoft zur Analyse übermitteln fertig sind, wählen Sie Übermitteln aus.
Wählen Sie Fertig aus.
Nach einigen Augenblicken werden die zugehörigen Zulassungseinträge auf der Registerkarte Domänen & Adressen, gefälschte Absender, URLs oder Dateien auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockListangezeigt.
Wichtig
- Zulassungseinträge werden während des Nachrichtenflusses basierend auf den Filtern hinzugefügt, die die Nachricht als böswillig eingestuft haben. Wenn beispielsweise die Absender-E-Mail-Adresse und eine URL in der Nachricht als ungültig ermittelt wurden, wird ein Zulassungseintrag für den Absender (E-Mail-Adresse oder Domäne) und die URL erstellt.
- Wenn die Absender-E-Mail-Adresse von unserem Filtersystem nicht als bösartig eingestuft wird, wird beim Senden der E-Mail-Nachricht an Microsoft kein Zulassungseintrag in der Mandanten-Zulassungs-/Sperrliste erstellt.
- Wenn eine zulässige Domäne oder E-Mail-Adresse, ein gefälschter Absender, eine URL oder eine Datei (Entität) erneut gefunden wird, werden alle Filter übersprungen, die der Entität zugeordnet sind. Bei E-Mail-Nachrichten werden alle anderen Entitäten weiterhin vom Filtersystem ausgewertet, bevor eine Entscheidung getroffen wird.
- Wenn Nachrichten von der zulässigen Domäne oder E-Mail-Adresse während des E-Mail-Flusses andere Überprüfungen im Filterstapel bestehen, werden die Nachrichten zugestellt. Wenn eine Nachricht beispielsweise E-Mail-Authentifizierungsprüfungen besteht, wird eine Nachricht von einer zulässigen Absender-E-Mail-Adresse zugestellt.
- Standardmäßig werden Zulassungseinträge für Domänen und E-Mail-Adressen 45 Tage lang aufbewahrt, nachdem das Filtersystem festgestellt hat, dass die Entität sauber ist, und dann wird der Zulassungseintrag entfernt. Alternativ können Sie zulassen festlegen, dass Einträge bis zu 30 Tage nach der Erstellung ablaufen. Standardmäßig dürfen Einträge für gefälschte Absender nie ablaufen.
- Für Nachrichten, die fälschlicherweise vom Schutz vor Domänen- oder Benutzeridentitätswechsel blockiert wurden, wird der Zulassungseintrag für die Domäne oder den Absender nicht in der Zulassungs-/Sperrliste des Mandanten erstellt. Stattdessen wird die Domäne oder der Absender dem Abschnitt Vertrauenswürdige Absender und Domänen in der Antiphishingrichtlinie hinzugefügt, die die Nachricht erkannt hat.
- Wenn Sie das Urteil in der Spoofintelligenz-Erkenntnis überschreiben, wird der gefälschte Absender zu einem manuellen Zulassungs- oder Sperreintrag, der nur für die spooften Absender auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemangezeigt wird.
Gute E-Mail-Anlagen an Microsoft melden
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Aktionen & Übermittlungen>Übermittlungen. Oder verwenden Sie https://security.microsoft.com/reportsubmission, um direkt zur Seite Übermittlungen zu wechseln.
Wählen Sie auf der Seite Übermittlungen die Registerkarte Email Anlagen aus.
Wählen Sie auf der Registerkarte Email Anlagen die Option An Microsoft zur Analyse übermitteln aus.
Geben Sie im daraufhin geöffneten Flyout An Microsoft zur Analyse übermitteln die folgenden Informationen ein:
Wählen Sie den Übermittlungstyp aus: Überprüfen Sie, ob der Wert Email Anlage ausgewählt ist.
Datei: Wählen Sie Dateien durchsuchen aus, um die zu übermittelnde Datei zu suchen und auszuwählen.
Warum übermitteln Sie die Nachricht an Microsoft?: Wählen Sie einen der folgenden Werte aus:
- Es wird sauber angezeigt: Wählen Sie diesen Wert aus, wenn Sie unsicher sind und eine Bewertung von Microsoft wünschen, wählen Sie Absenden aus, und fahren Sie dann mit Schritt 6 fort.
oder
- Ich habe bestätigt, dass es sauber ist: Wählen Sie diesen Wert aus, wenn Sie sicher sind, dass das Element sauber ist, und wählen Sie dann Weiter aus.
Führen Sie auf der zweiten Seite des flyouts An Microsoft zur Analyse übermitteln , das geöffnet wird, einen der folgenden Schritte aus:
- Wählen Sie Senden aus.
oder
Diese Datei zulassen auswählen: Mit dieser Option wird ein Zulassungseintrag für die Datei in der Mandanten-Zulassungs-/Sperrliste erstellt. Weitere Informationen zur Mandanten-Zulassungs-/Sperrliste finden Sie unter Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste.
Nachdem Sie diese Option ausgewählt haben, sind die folgenden Einstellungen verfügbar:
Eintrag zulassen nach entfernen: Der Standardwert ist 45 Tage nach dem datum der letzten Verwendung, aber Sie können aus den folgenden Werten auswählen:
- 1 Tag
- 7 Tage
- 30 Tage
- Spezifisches Datum: Der Höchstwert beträgt 30 Tage ab heute.
Wenn 45 Tage nach dem Datum der letzten Verwendung ausgewählt wird, wird das datum der letzten Verwendung des Zulassungseintrags aktualisiert, wenn die schädliche E-Mail-Anlage während des E-Mail-Flusses gefunden wird. Der Zulassungseintrag wird 45 Tage lang aufbewahrt, nachdem das Filtersystem festgestellt hat, dass die E-Mail-Anlage sauber ist.
Eingabehinweis zulassen (optional): Geben Sie optionale Informationen dazu ein, warum Sie dieses Element zulassen.
Wenn Sie auf der zweiten Seite des Flyouts An Microsoft zur Analyse übermitteln fertig sind, wählen Sie Übermitteln aus.
Wählen Sie Fertig aus.
Nach einigen Augenblicken ist der Zulassungseintrag auf der Registerkarte Dateien auf der Seite Zulassungs-/Sperrliste für Mandanten verfügbar. Weitere Informationen zur Mandanten-Zulassungs-/Sperrliste finden Sie unter Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste.
Wichtig
- Standardmäßig werden Zulassungseinträge für Dateien 45 Tage lang aufbewahrt, nachdem das Filtersystem festgestellt hat, dass die Entität sauber ist, und dann wird der Zulassungseintrag entfernt. Alternativ können Sie zulassen festlegen, dass Einträge bis zu 30 Tage nach der Erstellung ablaufen.
- Wenn die Datei während des Nachrichtenflusses erneut gefunden wird, werden die Detonation von sicheren Anlagen oder die Dateireputation überprüft, und alle anderen dateibasierten Filter werden überschrieben. Wenn das Filtersystem feststellt, dass alle anderen Entitäten in der E-Mail-Nachricht sauber sind, wird die Nachricht zugestellt.
- Während der Auswahl werden alle dateibasierten Filter außer Kraft gesetzt, einschließlich Detonation sicherer Anlagen oder Dateizuverlässigkeitsprüfungen, sodass der Benutzer auf die Datei zugreifen kann.
Gute URLs an Microsoft melden
Für URLs, die als falsch positive Werte gemeldet werden, lassen wir nachfolgende Meldungen zu, die Variationen der ursprünglichen URL enthalten. Beispielsweise verwenden Sie die Seite Übermittlungen , um die falsch blockierte URL www.contoso.com/abc
zu melden. Wenn Ihr organization später eine Nachricht empfängt, die die URL enthält (z. Bwww.contoso.com/abc
www.contoso.com/abc?id=1
. , , www.contoso.com/abc/def/gty/uyt?id=5
, oder www.contoso.com/abc/whatever
), wird die Nachricht nicht basierend auf der URL blockiert. Anders ausgedrückt: Sie müssen microsoft nicht mehrere Varianten derselben URL melden.
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Aktionen & Übermittlungen>Übermittlungen. Oder verwenden Sie https://security.microsoft.com/reportsubmission, um direkt zur Seite Übermittlungen zu wechseln.
Wählen Sie auf der Seite Übermittlungen die Registerkarte URLs aus.
Wählen Sie auf der Registerkarte URLs die Option An Microsoft zur Analyse übermitteln aus.
Geben Sie im daraufhin geöffneten Flyout An Microsoft zur Analyse übermitteln die folgenden Informationen ein:
Wählen Sie den Übermittlungstyp aus: Überprüfen Sie, ob die Wert-URL ausgewählt ist.
URL: Geben Sie die vollständige URL ein (z. B
https://www.fabrikam.com/marketing.html
. ), und wählen Sie sie dann in das angezeigte Feld aus. Sie können auch eine Domäne der obersten Ebene (z. Bhttps://www.fabrikam.com/*
. ) angeben und diese dann im angezeigten Feld auswählen. Sie können bis zu 50 URLs gleichzeitig eingeben.Warum übermitteln Sie diese URL an Microsoft?: Wählen Sie einen der folgenden Werte aus:
- Es wird sauber angezeigt: Wählen Sie diesen Wert aus, wenn Sie unsicher sind und eine Bewertung von Microsoft wünschen, wählen Sie Absenden aus, und fahren Sie dann mit Schritt 6 fort.
oder
Führen Sie auf der zweiten Seite des flyouts An Microsoft zur Analyse übermitteln , das geöffnet wird, einen der folgenden Schritte aus:
- Wählen Sie Senden aus.
oder
Wählen Sie Diese URL zulassen aus: Mit dieser Option wird ein Zulassungseintrag für die URL in der Mandanten-Zulassungs-/Sperrliste erstellt. Weitere Informationen zur Mandanten-Zulassungs-/Sperrliste finden Sie unter Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste.
Nachdem Sie diese Option ausgewählt haben, sind die folgenden Einstellungen verfügbar:
Eintrag zulassen nach entfernen: Der Standardwert ist 45 Tage nach dem datum der letzten Verwendung, aber Sie können aus den folgenden Werten auswählen:
- 1 Tag
- 7 Tage
- 30 Tage
- Spezifisches Datum: Der Höchstwert beträgt 30 Tage ab heute.
Wenn 45 Tage nach dem Datum der letzten Verwendung ausgewählt wird, wird das datum der letzten Verwendung des Zulassungseintrags aktualisiert, wenn die schädliche URL während des E-Mail-Flusses gefunden wird. Der Zulassungseintrag wird 45 Tage lang aufbewahrt, nachdem das Filtersystem festgestellt hat, dass die URL sauber ist.
Eingabehinweis zulassen (optional): Geben Sie optionale Informationen dazu ein, warum Sie dieses Element zulassen.
Wenn Sie auf der zweiten Seite des Flyouts An Microsoft zur Analyse übermitteln fertig sind, wählen Sie Übermitteln aus.
Wählen Sie Fertig aus.
Nach einigen Augenblicken ist der Zulassungseintrag auf der Registerkarte URL auf der Seite Mandanten zulassen/blockieren Listen unter https://security.microsoft.com/tenantAllowBlockList?viewid=Urlverfügbar.
Hinweis
- Standardmäßig werden Zulassungseinträge für URLs 45 Tage lang aufbewahrt, nachdem das Filtersystem festgestellt hat, dass die Entität sauber ist, und dann wird der Zulassungseintrag entfernt. Alternativ können Sie zulassen festlegen, dass Einträge bis zu 30 Tage nach der Erstellung ablaufen.
- Wenn die URL während des E-Mail-Flusses erneut gefunden wird, werden die Detonations- oder URL-Zuverlässigkeitsprüfungen für sichere Links und alle anderen URL-basierten Filter überschrieben. Wenn das Filtersystem feststellt, dass alle anderen Entitäten in der E-Mail-Nachricht sauber sind, wird die Nachricht zugestellt.
- Während der Auswahl werden alle URL-basierten Filter außer Kraft gesetzt, einschließlich Der Detonation sicherer Links oder URL-Zuverlässigkeitsprüfungen, sodass Der Benutzer auf Inhalte unter der URL zugreifen kann.
Melden von Teams-Nachrichten an Microsoft in Defender for Office 365 Plan 2
Tipp
Die Übermittlung von Teams-Nachrichten an Microsoft befindet sich derzeit in der Vorschauphase, ist nicht in allen Organisationen verfügbar und kann sich ändern.
In Microsoft 365-Organisationen, die über Microsoft Defender for Office 365 Plan 2 verfügen (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 enthalten), können Sie keine Teams-Nachrichten über die Registerkarte Teams-Nachrichten auf der Seite Übermittlungen senden. Die einzige Möglichkeit, eine Teams-Nachricht zur Analyse an Microsoft zu übermitteln, besteht darin, eine vom Benutzer gemeldete Teams-Nachricht von der Registerkarte Benutzer gemeldet zu übermitteln, wie weiter unten in diesem Artikel im Abschnitt Übermitteln von benutzern gemeldeten Nachrichten an Microsoft zur Analyse beschrieben.
Die Einträge auf der Registerkarte "Teams-Nachrichten " sind das Ergebnis der Übermittlung einer vom Benutzer gemeldeten Teams-Nachricht an Microsoft. Weitere Informationen finden Sie im Abschnitt Anzeigen konvertierter Administratorübermittlungen weiter unten in diesem Artikel.
Anzeigen von E-Mail-Administratorübermittlungen an Microsoft
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Aktionen & Übermittlungen>Übermittlungen. Oder verwenden Sie https://security.microsoft.com/reportsubmission, um direkt zur Seite Übermittlungen zu wechseln.
Vergewissern Sie sich auf der Seite Übermittlungen , dass die Registerkarte E-Mails ausgewählt ist.
Auf der Registerkarte E-Mails können Sie die Ansicht schnell filtern, indem Sie einen der verfügbaren Schnellfilter auswählen:
- Ausstehend
- Abgeschlossen
Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:
- Übermittlungsname*
- Absender*
- Empfänger
- Übermittelt von*
- Übermittlungsdatum*
- Grund für die Übermittlung*
- Status*
- Ergebnis*
- Übermittlungs-/Sperrgrund
- Übermittlungs-ID
- Netzwerknachrichten-ID
- Richtung
- Sender-IP
- Massenkonforme Ebene (BCL)
- Ziel
- Richtlinienaktion
- Phish-Simulation
- Tags*: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
- Aktion
Um die Einträge zu gruppieren, wählen Sie Gruppieren und dann einen der folgenden Werte aus:
- Grund
- Status
- Ergebnis
- Tags
Um die Gruppierung der Einträge aufzuheben, wählen Sie Keine aus.
Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:
- Übermitteltes Datum: Werte für Startdatum und Enddatum .
- Übermittlungs-ID: Ein GUID-Wert, der jeder Übermittlung zugewiesen ist.
- Netzwerknachrichten-ID
- Sender
- Empfänger
- Übermittlungsname
- Übermittelt von
-
Grund für die Übermittlung: Einer der folgenden Werte:
- Kein Junk-E-Mail
- Erscheint sauber
- Erscheint verdächtig
- Phishing
- Schadsoftware
- Spam.
- Status: Ausstehend und Abgeschlossen.
- Tags: AlleBenutzertags aus der Dropdownliste oder auswählen.
Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.
Verwenden Sie Exportieren , um die Liste der Einträge in eine CSV-Datei zu exportieren.
Anzeigen der Übermittlungsdetails für E-Mail-Administratoren
Wenn Sie auf der Registerkarte E-Mails der Seite Übermittlungen einen Eintrag auswählen, indem Sie an einer beliebigen Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout geöffnet.
Am Anfang des Details-Flyouts sind die folgenden Meldungsinformationen verfügbar:
- Der Titel des Flyouts ist der Betreffwert der Nachricht.
- Alle Benutzertags, die den Empfängern der Nachricht zugewiesen sind (einschließlich des Priority-Kontotags). Weitere Informationen finden Sie unter Benutzertags in Microsoft Defender for Office 365
- In Defender for Office 365 werden die Aktionen, die oben im Flyout verfügbar sind, im Abschnitt Aktionen für Administratorübermittlungen in Defender for Office 365 beschrieben.
Tipp
Um Details zu anderen Übermittlungen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
Die nächsten Abschnitte im Details-Flyout beziehen sich auf E-Mail-Nachrichtenübermittlungen:
Abschnitt "Ergebnisdetails ":
-
Ergebnis: Enthält den Ergebniswert für die Übermittlung. Zum Beispiel:
- Sollte nicht blockiert werden
- Zulässig aufgrund von Benutzerüberschreibungen
- Zulässig aufgrund einer Regel
-
Empfohlene Schritte für E-Mail-Übermittlungen: Enthält Links zu verwandten Aktionen. Zum Beispiel:
- Anzeigen von Exchange-Nachrichtenflussregeln (Transportregeln)
- Anzeigen dieser Meldung in Explorer (Explorer Nur Bedrohungserkennungen oder Echtzeiterkennungen in Defender for Office 365)
- Suchen nach ähnlichen Nachrichten in Explorer (Explorer Nur Bedrohungserkennungen oder Echtzeiterkennungen in Defender for Office 365)
-
Ergebnis: Enthält den Ergebniswert für die Übermittlung. Zum Beispiel:
Abschnitt "Übermittlungsdetails":
- Übermittlungsdatum
- Übermittlungsname
- Übermittlungstyp: Der Wert ist Email.
- Grund für die Übermittlung
- Übermittlungs-ID
- Übermittelt von
- status
Abschnitt "Details zulassen": Nur für E-Mail-Übermittlungen verfügbar, bei denen der Ergebniswertaufgrund von Benutzerüberschreibungen zulässig oder Für eine Regel zulässig ist: Enthält die Werte Name (E-Mail-Adresse) und Typ (Absender).
Der Rest des Details-Flyouts enthält die Abschnitte Übermittlungsdetails, Email Details, URLs und Anlagen, die Teil des Email Zusammenfassungsbereichs sind. Weitere Informationen finden Sie unter Zusammenfassungsbereich Email.
Wenn Sie mit dem Details-Flyout fertig sind, wählen Sie Schließen aus.
Anzeigen von Teams-Administratorübermittlungen an Microsoft in Defender for Office 365 Plan 2
Tipp
Die Übermittlung von Teams-Nachrichten an Microsoft befindet sich derzeit in der Vorschauphase, ist nicht in allen Organisationen verfügbar und kann sich ändern.
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Seite Übermittlungen unter Aktionen & Übermittlungen>Übermittlungen. Um direkt zur Seite Übermittlungen zu wechseln, verwenden Sie https://security.microsoft.com/reportsubmission.
Wählen Sie auf der Seite Übermittlungen die Registerkarte Teams-Nachrichten aus.
Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:
- Übermittlungsname*
- Absender*
- Übermittlungsdatum*
- Grund für die Übermittlung*
- Übermittelt von
- Status*
- Ergebnis*
- Empfänger
- Übermittlungs-ID
- Teams-Nachrichten-ID
- Ziel
- Phish-Simulation
- Tags*: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Um die Einträge zu gruppieren, wählen Sie Gruppieren und dann einen der folgenden Werte aus:
- Grund
- Status
- Ergebnis
- Tags
Um die Gruppierung der Einträge aufzuheben, wählen Sie Keine aus.
Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:
- Übermitteltes Datum: Start- und Enddatum.
- Übermittlungs-ID: Ein GUID-Wert, der jeder Übermittlung zugewiesen ist.
- Teams-Nachrichten-ID
- Sender
- Empfänger
- Teams-Nachricht
- Übermittelt von
-
Grund für die Übermittlung: Einer der folgenden Werte:
- Kein Junk-E-Mail
- Erscheint sauber
- Erscheint verdächtig
- Phishing
- Schadsoftware
- Status: Ausstehend und Abgeschlossen.
- Tags: AlleBenutzertags aus der Dropdownliste oder auswählen.
Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.
Verwenden Sie Exportieren , um die Liste der Einträge in eine CSV-Datei zu exportieren.
Anzeigen der Übermittlungsdetails des Teams-Administrators
Wenn Sie auf der Registerkarte Teams-Nachrichten der Seite Übermittlungen einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout geöffnet.
Am Anfang des Details-Flyouts sind die folgenden Meldungsinformationen verfügbar:
- Der Titel des Flyouts ist der Betreff oder die ersten 100 Zeichen der Teams-Nachricht.
- Das aktuelle Nachrichtenurteil.
- Die Anzahl der Links in der Nachricht.
- Warnung anzeigen. Eine Warnung wird ausgelöst, wenn eine Administratorübermittlung erstellt oder aktualisiert wird. Wenn Sie diese Aktion auswählen, gelangen Sie zu den Details der Warnung.
Tipp
Um Details zu anderen Übermittlungen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
Die nächsten Abschnitte im Details-Flyout beziehen sich auf Teams-Übermittlungen:
Abschnitt "Übermittlungsergebnisse":
-
Ergebnis: Enthält den Ergebniswert für die Übermittlung. Zum Beispiel:
- Sollte blockiert worden sein
- Wir haben die Übermittlung nicht erhalten. Beheben Sie das Problem, und übermitteln Sie sie erneut.
-
Empfohlene Schritte für E-Mail-Übermittlungen: Enthält Links zu verwandten Aktionen. Zum Beispiel:
- Anzeigen von Exchange-Nachrichtenflussregeln (Transportregeln)
-
Ergebnis: Enthält den Ergebniswert für die Übermittlung. Zum Beispiel:
Abschnitt "Übermittlungsdetails":
- Übermittlungsdatum
- Übermittlungsname
- Übermittlungstyp: Der Wert ist Teams.
- Grund für die Übermittlung
- Übermittlungs-ID
- Übermittelt von
- status
Der Rest des Details-Flyouts enthält die Abschnitte Nachrichtendetails, Absender, Teilnehmer, Kanaldetails und URLs , die Teil des Teams-Nachrichtenentitätsbereichs sind. Weitere Informationen finden Sie unter Teams mMessage-Entitätsbereich in Microsoft Defender for Office 365 Plan 2.
Wenn Sie mit dem Details-Flyout fertig sind, wählen Sie Schließen aus.
Anzeigen von E-Mail-Anlagen-Administratorübermittlungen an Microsoft
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Seite Übermittlungen unter Aktionen & Übermittlungen>Übermittlungen. Um direkt zur Seite Übermittlungen zu wechseln, verwenden Sie https://security.microsoft.com/reportsubmission.
Wählen Sie auf der Seite Übermittlungen die Registerkarte Email Anlagen aus.
Auf der Registerkarte Email Anlagen können Sie die Ansicht schnell filtern, indem Sie einen der verfügbaren Schnellfilter auswählen:
- Ausstehend
- Abgeschlossen
Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:
- Name der Anlagedatei*
- Übermittlungsdatum*
- Grund für die Übermittlung*
- Status*
- Ergebnis*
- Filterbewertung
- Übermittlungs-/Sperrgrund
- Übermittlungs-ID
- Objekt-ID
- Richtlinienaktion
- Übermittelt von
- Tags*: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
- Aktion
Um die Einträge zu gruppieren, wählen Sie Gruppieren und dann einen der folgenden Werte aus:
- Grund
- Status
- Ergebnis
- Tags
Um die Gruppierung der Einträge aufzuheben, wählen Sie Keine aus.
Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:
- Übermitteltes Datum: Start- und Enddatum.
- Übermittlungs-ID: Ein GUID-Wert, der jeder Übermittlung zugewiesen ist.
- Dateiname der Anlage
- Übermittelt von
-
Grund für die Übermittlung: Einer der folgenden Werte:
- Kein Junk-E-Mail
- Erscheint sauber
- Erscheint verdächtig
- Phishing
- Schadsoftware
- Status: Ausstehend und Abgeschlossen.
- Tags: AlleBenutzertags aus der Dropdownliste oder auswählen.
Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.
Verwenden Sie Exportieren , um die Liste der Einträge in eine CSV-Datei zu exportieren.
Anzeigen der Übermittlungsdetails für E-Mail-Anlagenadministratoren
Wenn Sie einen Eintrag auf der Registerkarte Email Anlagen der Seite Übermittlungen auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout geöffnet.
Am Anfang des Details-Flyouts sind die folgenden Meldungsinformationen verfügbar:
- Der Titel des Flyouts ist der Dateiname der Anlage.
- Die Werte Status und Result der Übermittlung.
- Warnung anzeigen. In Defender for Office 365 wird eine Warnung ausgelöst, wenn eine Administratorübermittlung erstellt oder aktualisiert wird. Wenn Sie diese Aktion auswählen, gelangen Sie zu den Details der Warnung.
Tipp
Um Details zu anderen Übermittlungen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
Die nächsten Abschnitte im Details-Flyout beziehen sich auf E-Mail-Anlagenübermittlungen:
Abschnitt "Ergebnisdetails ":
-
Ergebnis: Enthält den Ergebniswert für die Übermittlung. Zum Beispiel:
- Sollte blockiert worden sein
- Sollte nicht blockiert werden
-
Empfohlene Schritte für E-Mail-Übermittlungen: Enthält Links zu verwandten Aktionen. Zum Beispiel:
- Blockieren der URL/Datei in der Mandanten-Zulassungs-/Sperrliste
-
Ergebnis: Enthält den Ergebniswert für die Übermittlung. Zum Beispiel:
Abschnitt "Übermittlungsdetails":
- Übermittlungsdatum
- Übermittlungsname
- Übermittlungstyp: Der Wert ist File.
- Grund für die Übermittlung
- Übermittlungs-ID
- Übermittelt von
- status
Wenn Sie mit dem Details-Flyout fertig sind, wählen Sie Schließen aus.
Anzeigen von URL-Administratorübermittlungen an Microsoft
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Seite Übermittlungen unter Aktionen & Übermittlungen>Übermittlungen. Um direkt zur Seite Übermittlungen zu wechseln, verwenden Sie https://security.microsoft.com/reportsubmission.
Wählen Sie auf der Seite Übermittlungen die Registerkarte URLs aus.
Auf der Registerkarte URLs können Sie die Ansicht schnell filtern, indem Sie einen der verfügbaren Schnellfilter auswählen:
- Ausstehend
- Abgeschlossen
Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:
- URL*
- Übermittlungsdatum*
- Grund für die Übermittlung*
- Status*
- Ergebnis*
- Filterbewertung
- Übermittlungs-/Sperrgrund
- Übermittlungs-ID
- Objekt-ID
- Richtlinienaktion
- Übermittelt von
- Tags*: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
- Aktion
Um die Einträge zu gruppieren, wählen Sie Gruppieren und dann einen der folgenden Werte aus:
- Grund
- Status
- Ergebnis
- Tags
Um die Gruppierung der Einträge aufzuheben, wählen Sie Keine aus.
Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:
- Übermitteltes Datum: Start- und Enddatum.
- Übermittlungs-ID: Ein GUID-Wert, der jeder Übermittlung zugewiesen ist.
- URL
- Übermittelt von
-
Grund für die Übermittlung: Einer der folgenden Werte:
- Kein Junk-E-Mail
- Erscheint sauber
- Erscheint verdächtig
- Phishing
- Schadsoftware
- Status: Ausstehend und Abgeschlossen.
- Tags: AlleBenutzertags aus der Dropdownliste oder auswählen.
Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.
Verwenden Sie Exportieren , um die Liste der Einträge in eine CSV-Datei zu exportieren.
Details zur Übermittlung des URL-Administrators anzeigen
Wenn Sie einen Eintrag auf der Registerkarte URLs der Seite Übermittlungen auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout geöffnet.
Am Anfang des Details-Flyouts sind die folgenden Meldungsinformationen verfügbar:
- Der Titel des Flyouts ist die Domäne der URL.
- Die Werte Status und Result der Übermittlung.
- Warnung anzeigen. In Defender for Office 365 wird eine Warnung ausgelöst, wenn eine Administratorübermittlung erstellt oder aktualisiert wird. Wenn Sie diese Aktion auswählen, gelangen Sie zu den Details der Warnung.
Tipp
Um Details zu anderen Übermittlungen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
Die restlichen Abschnitte im Details-Flyout beziehen sich auf URL-Übermittlungen:
Abschnitt "Ergebnisdetails ":
-
Ergebnis: Enthält den Ergebniswert für die Übermittlung. Zum Beispiel:
- Sollte blockiert worden sein
- Sollte nicht blockiert werden
-
Empfohlene Schritte für E-Mail-Übermittlungen: Enthält Links zu verwandten Aktionen. Zum Beispiel:
- Blockieren der URL/Datei in der Mandanten-Zulassungs-/Sperrliste
-
Ergebnis: Enthält den Ergebniswert für die Übermittlung. Zum Beispiel:
Abschnitt "Übermittlungsdetails":
- Übermittlungsdatum
- URL
- Übermittlungstyp: Der Wert ist URL.
- Grund für die Übermittlung
- Übermittlungs-ID
- Übermittelt von
- status
Erlaubt Details oder Blockdetails Abschnitte: Nur für URL-Übermittlungen verfügbar, bei denen die URL blockiert oder zugelassen wurde: Enthält die Werte Name (URL-Domäne) und Typ (URL).
Wenn Sie mit dem Details-Flyout fertig sind, wählen Sie Schließen aus.
Ergebnisse von Microsoft
Die Analyseergebnisse des gemeldeten Elements werden im Details-Flyout angezeigt, das geöffnet wird, wenn Sie auf der Registerkarte E-Mails, Teams-Nachrichten, Email Anlagen oder URLs auf der Seite Übermittlungen einen Eintrag auswählen:
- Mögliche Fehler in der E-Mail-Authentifizierung des Absenders zum Zeitpunkt der Auslieferung.
- Informationen zu Richtlinien oder Außerkraftsetzungen, die das Nachrichtenurteil vom Filtersystem beeinflusst oder außer Kraft gesetzt haben könnten.
- Aktuelle Detonationsergebnisse, um festzustellen, ob die URLs oder Dateien in der Nachricht böswillig waren oder nicht.
- Feedback von Bearbeitern.
Wenn eine Außerkraftsetzung oder Richtlinienkonfiguration gefunden wurde, sollte das Ergebnis in einigen Minuten verfügbar sein. Wenn es kein Problem bei der E-Mail-Authentifizierung gab oder die Zustellung nicht von einer Außerkraftsetzung oder Richtlinie betroffen war, kann die Detonation und das Feedback der Bewerter bis zu einem Tag dauern.
Aktionen für Administratorübermittlungen in Defender for Office 365
In Organisationen mit Microsoft Defender for Office 365 (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 oder Microsoft 365 Business Premium), sind die folgenden Aktionen für Administratorübermittlungen im Details-Flyout verfügbar, das geöffnet wird, nachdem Sie einen Eintrag aus der Liste ausgewählt haben, indem Sie auf eine beliebige Stelle in der Zeile klicken, die nicht das Kontrollkästchen ist:
E-Mail-Entität öffnen: Nur im Details-Flyout der Einträge auf der Registerkarte E-Mails verfügbar. Weitere Informationen finden Sie unter What's on the Email entity page.For more information, see What's on the Email entity page.
Aktionen ausführen: Nur im Details-Flyout der Einträge auf der Registerkarte E-Mails verfügbar. Mit dieser Aktion wird derselbe Aktions-Assistent gestartet, der auf der Entitätsseite Email verfügbar ist. Weitere Informationen finden Sie unter Aktionen auf der Entitätsseite Email.
Warnung anzeigen. Eine Warnung wird ausgelöst, wenn eine Administratorübermittlung erstellt oder aktualisiert wird. Wenn Sie diese Aktion auswählen, gelangen Sie zu den Details der Warnung.
Im Abschnitt Ergebnisdetails sind je nach status und Ergebnis des gemeldeten Elements möglicherweise auch die folgenden Links für Threat Explorer verfügbar:
- Zeigen Sie diese Nachricht in Explorer an: Nur Registerkarte "E-Mails".
- Suchen Sie in Explorer nach ähnlichen Nachrichten: Nur Registerkarte "E-Mails".
- Suchen Sie nach URL oder Datei: Email Nur Anlagen oder URL-Registerkarten.
Admin Optionen für vom Benutzer gemeldete Nachrichten
Bei E-Mail-Nachrichten können Administratoren auf der Seite Übermittlungen auf der Registerkarte Benutzer gemeldet sehen, was Benutzer melden, wenn die folgenden Aussagen zutreffen:
- Die vom Benutzer gemeldeten Einstellungen sind aktiviert.
- Email Nachrichten: Sie verwenden unterstützte Methoden für Benutzer, um Nachrichten zu melden:
- Teams-Nachrichten: Benutzerberichtseinstellungen für Teams-Nachrichten sind aktiviert.
Hinweise:
- Vom Benutzer gemeldete Nachrichten, die nur an Microsoft oder an Microsoft gesendet werden, und das Berichterstellungspostfach wird auf der Registerkarte Benutzer gemeldet angezeigt.
- Vom Benutzer gemeldete Nachrichten, die nur an das Berichterstellungspostfach gesendet werden, werden auf der Registerkarte Benutzer gemeldet mit dem ErgebniswertNicht an Microsoft übermittelt angezeigt. Administratoren sollten diese Nachrichten zur Analyse an Microsoft melden.
In Organisationen mit Microsoft Defender for Office 365 Plan 2 (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 enthalten) können Administratoren auch von Benutzern gemeldete Nachrichten in Microsoft Teams in Defender for Office 365 Plan 2 (derzeit in der Vorschau) anzeigen.
In Organisationen mit Defender for Office 365 Plan 2 (Add-For-Benutzer meldete Nachrichten in Microsoft Teams in Defender for Office 365 Plan 2 (derzeit in der Vorschau)
Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Aktionen & Übermittlungen>Übermittlungen. Oder verwenden Sie https://security.microsoft.com/reportsubmission, um direkt zur Seite Übermittlungen zu wechseln.
Wählen Sie auf der Seite Übermittlungen die Registerkarte Benutzer gemeldet aus .
In den folgenden Unterabschnitten werden die Informationen und Aktionen beschrieben, die auf der Registerkarte Benutzer gemeldet auf der Seite Übermittlungen verfügbar sind.
Anzeigen von Benutzern gemeldeten Nachrichten an Microsoft
Auf der Registerkarte Vom Benutzer gemeldet können Sie die Ansicht schnell filtern, indem Sie einen der verfügbaren Schnellfilter auswählen:
- Risiken
- Spam
- Keine Bedrohungen
- Simulationen
Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:
- Name und Typ*
- Gemeldet von*
- Gemeldetes Datum*
- Absender*
- Gemeldeter Grund*
-
Ergebnis*: Enthält die folgenden Informationen für gemeldete Nachrichten basierend auf den vom Benutzer gemeldeten Einstellungen:
-
Senden der gemeldeten Nachrichten an>Microsoft und mein Berichterstellungspostfach oder nur Microsoft: Werte, die aus der folgenden Analyse abgeleitet werden:
- Richtlinientreffer: Informationen zu Richtlinien oder Außerkraftsetzungen, die eingehende Nachrichten möglicherweise zugelassen oder blockiert haben, einschließlich Außerkraftsetzungen unserer Filterbewertungen. Das Ergebnis sollte innerhalb weniger Minuten verfügbar sein. Andernfalls kann die Detonation und das Feedback von Bewertern bis zu einem Tag dauern.
- Nutzlastzuverlässigkeit/Detonation: Aktuelle Überprüfung aller URLs und Dateien in der Nachricht.
- Graderanalyse: Überprüfen Sie, ob Nachrichten böswillig sind oder nicht.
- Senden der gemeldeten Nachrichten an>Nur mein Berichterstellungspostfach: Der Wert wird immer Nicht an Microsoft übermittelt, da die Nachrichten nicht von Microsoft analysiert wurden.
-
Senden der gemeldeten Nachrichten an>Microsoft und mein Berichterstellungspostfach oder nur Microsoft: Werte, die aus der folgenden Analyse abgeleitet werden:
- Gemeldete ID der Nachricht
- Netzwerknachrichten-ID
- Teams-Nachrichten-ID
- Sender-IP
- Gemeldet von
- Phish-Simulation
- In Administratorübermittlung konvertiert
- Markiert als*
- Markiert durch*
- Markiertes Datum
- Tags*: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Um die Einträge zu gruppieren, wählen Sie Gruppieren und dann einen der folgenden Werte aus:
- Sender
- Berichtet von
- Ergebnis
- Gemeldet von
- In Administratorübermittlung konvertiert
- Tags
Um die Gruppierung der Einträge aufzuheben, wählen Sie Keine aus.
Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im geöffneten Filter-Flyout verfügbar:
- Gemeldetes Datum: Startdatum und Enddatum.
- Berichtet von
- Name
- Gemeldete ID der Nachricht
- Netzwerknachrichten-ID
- Teams-Nachrichten-ID
- Sender
- Gemeldeter Grund: Die Werte Keine Bedrohungen, Phish und Spam.
- Gemeldet von: Die Werte Microsoft und Drittanbieter.
- Phish-Simulation: Die Werte Ja und Nein.
- In Administratorübermittlung konvertiert: Die Werte Ja und Nein.
-
Nachrichtentyp: Die verfügbaren Werte sind:
- Teams-Nachricht (nur Defender for Office 365 Plan 2; derzeit in der Vorschauversion).
- Tags: Alle Benutzertags (einschließlich Prioritätskonto), die Benutzern zugewiesen sind, oder wählen Sie sie aus. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags in Microsoft Defender for Office 365.
Wenn Sie mit dem Filter-Flyout fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.
Verwenden Sie Exportieren , um die Liste der Einträge in eine CSV-Datei zu exportieren.
Weitere Informationen zu den Aktionen, die für Nachrichten auf der Registerkarte Vom Benutzer gemeldet verfügbar sind, finden Sie im nächsten Unterabschnitt.
Anzeigen der Details einer vom Benutzer gemeldeten E-Mail-Nachricht
Wenn Sie auf der Registerkarte Benutzer gemeldet auf der Seite Übermittlungen einen E-Mail-bezogenen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout geöffnet.
Am Anfang des Details-Flyouts sind die folgenden Meldungsinformationen verfügbar:
- Der Titel des Flyouts ist der Betreffwert der Nachricht.
- Alle Benutzertags, die den Empfängern der Nachricht zugewiesen sind (einschließlich des Priority-Kontotags). Weitere Informationen finden Sie unter Benutzertags in Microsoft Defender for Office 365
- Die Aktionen, die oben im Flyout verfügbar sind, werden im Abschnitt Admin Aktionen für vom Benutzer gemeldete Nachrichten beschrieben.
Tipp
Um Details zu anderen Übermittlungen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
Die nächsten Abschnitte im Details-Flyout beziehen sich auf vom Benutzer gemeldete Übermittlungen:
Abschnitt "Ergebnisdetails ":
-
Ergebnis: Enthält den Ergebniswert für die Übermittlung. Zum Beispiel:
- Sollte nicht blockiert werden
- Zulässig aufgrund von Benutzerüberschreibungen
- Zulässig aufgrund einer Regel
-
Empfohlene Schritte für E-Mail-Übermittlungen: Enthält Links zu verwandten Aktionen. Zum Beispiel:
- Anzeigen von Exchange-Nachrichtenflussregeln (Transportregeln)
- Anzeigen dieser Meldung in Explorer (Explorer Nur Bedrohungserkennungen oder Echtzeiterkennungen in Defender for Office 365)
- Suchen nach ähnlichen Nachrichten in Explorer (Explorer Nur Bedrohungserkennungen oder Echtzeiterkennungen in Defender for Office 365)
-
Ergebnis: Enthält den Ergebniswert für die Übermittlung. Zum Beispiel:
Abschnitt "Details zu gemeldeten Nachrichten":
- Übermittlungsdatum
- Übermittlungsname
- Gemeldeter Grund.
- Gemeldete ID der Nachricht
- Berichtet von
- Phish-Simulation: Der Wert ist Ja oder Nein.
- In Administratorübermittlung konvertiert: Der Wert ist Ja oder Nein. Weitere Informationen finden Sie unter Anzeigen konvertierter Administratorübermittlungen.
Der Rest des Details-Flyouts enthält die Abschnitte Übermittlungsdetails, Email Details, URLs und Anlagen, die Teil des Email Zusammenfassungsbereichs sind. Weitere Informationen finden Sie unter Zusammenfassungsbereich Email.
Tipp
Wenn der ErgebniswertPhish-Simulation ist, enthält das Details-Flyout möglicherweise nur die folgenden Informationen:
- Abschnitt "Ergebnisdetails "
- Abschnitt "Details zu gemeldeten Nachrichten"
-
Email Detailabschnitt mit den folgenden Werten:
- Netzwerknachrichten-ID
- Sender
- Gesendet am
Wenn Sie mit dem Details-Flyout fertig sind, wählen Sie Schließen aus.
Anzeigen von Details zu vom Benutzer gemeldeten Teams-Nachrichten in Defender for Office 365 Plan 2
Tipp
Benutzerberichte von Nachrichten in Microsoft Teams befinden sich derzeit in der Vorschauphase, sind nicht in allen Organisationen verfügbar und können sich ändern.
In Microsoft 365-Organisationen, die über Microsoft Defender for Office 365 Plan 2 verfügen (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 enthalten), sind von Benutzern gemeldete Teams-Nachrichten auf der Registerkarte Benutzer gemeldet auf der Seite Übermittlungen verfügbar. Es ist einfach, sie zu finden, wenn Sie die Ergebnisse nach dem Wert nachrichtentypTeams-Nachricht filtern.
Wenn Sie einen Teams-Nachrichteneintrag auf der Registerkarte Vom Benutzer gemeldet auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout geöffnet.
Am Anfang des Details-Flyouts sind die folgenden Meldungsinformationen verfügbar:
- Der Titel des Flyouts ist der Betreff oder die ersten 100 Zeichen der Teams-Nachricht.
- Das aktuelle Nachrichtenurteil.
- Die Anzahl der Links in der Nachricht.
- Die verfügbaren Aktionen werden im Abschnitt Admin Aktionen für vom Benutzer gemeldete Nachrichten beschrieben.
Tipp
Um Details zu anderen Übermittlungen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
Die nächsten Abschnitte im Details-Flyout beziehen sich auf vom Benutzer gemeldete Teams-Übermittlungen:
Abschnitt "Übermittlungsergebnisse":
-
Ergebnis: Enthält den Ergebniswert für die Übermittlung. Zum Beispiel:
- Sollte nicht blockiert werden
- Nicht an Microsoft übermittelt
-
Empfohlene Schritte für E-Mail-Übermittlungen: Enthält Links zu verwandten Aktionen. Zum Beispiel:
- Anzeigen von Exchange-Nachrichtenflussregeln (Transportregeln)
-
Ergebnis: Enthält den Ergebniswert für die Übermittlung. Zum Beispiel:
Abschnitt "Details zu gemeldeten Nachrichten":
- Gemeldetes Datum
- Übermittlungsname
- Gemeldeter Grund.
- Gemeldete ID der Nachricht
- Berichtet von
- Phish-Simulation: Der Wert ist Ja oder Nein.
- In Administratorübermittlung konvertiert: Der Wert ist Ja oder Nein. Weitere Informationen finden Sie unter Anzeigen konvertierter Administratorübermittlungen.
Der Rest des Details-Flyouts enthält die Abschnitte Nachrichtendetails, Absender, Teilnehmer, Kanaldetails und URLs , die Teil des Teams-Nachrichtenentitätsbereichs sind. Weitere Informationen finden Sie unter Teams mMessage-Entitätsbereich in Microsoft Defender for Office 365 Plan 2.
Tipp
Wenn der ErgebniswertPhish-Simulation ist, enthält das Details-Flyout möglicherweise nur die folgenden Informationen:
- Abschnitt "Ergebnisdetails "
- Abschnitt "Details zu gemeldeten Nachrichten"
-
Email Detailabschnitt mit den folgenden Werten:
- Netzwerknachrichten-ID
- Sender
- Gesendet am
Wenn Sie mit dem Details-Flyout fertig sind, wählen Sie Schließen aus.
Admin Aktionen für vom Benutzer gemeldete Nachrichten
Auf der Registerkarte Vom Benutzer gemeldet sind Aktionen für vom Benutzer gemeldete Nachrichten auf der Registerkarte selbst oder im Details-Flyout eines ausgewählten Eintrags verfügbar:
Wählen Sie die Nachricht aus der Liste aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren. Die folgenden Aktionen sind auf der Registerkarte Vom Benutzer gemeldet verfügbar:
- An Microsoft zur Analyse übermitteln
- Als markieren und benachrichtigen
- Untersuchung auslösen (nur Defender for Office 365 Plan 2)
Wählen Sie die Nachricht aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen befindet. Die folgenden Aktionen sind im details-Flyout verfügbar, das geöffnet wird*:
- An Microsoft zur Analyse übermitteln
- Als markieren und benachrichtigen
- Anzeigen der konvertierten Administratorübermittlung
-
Aktionen nur in Microsoft Defender for Office 365:
- E-Mail-Entität öffnen
- Ergreifen von Aktionen
- Warnung anzeigen
Aktionen für vom Benutzer gemeldete Nachrichten in Defender für Office
Tipp
Um Details anzuzeigen oder Maßnahmen für andere vom Benutzer gemeldete Nachrichten zu ergreifen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
*Je nach Art und status der Nachricht sind einige Aktionen möglicherweise nicht verfügbar, stehen direkt oben im Flyout zur Verfügung oder sind oben im Flyout unter Weitere Aktionen verfügbar.
Diese Aktionen werden in den folgenden Unterabschnitten beschrieben.
Hinweis
Nachdem ein Benutzer eine verdächtige Nachricht gemeldet hat, kann der Benutzer oder administratoren die Meldung der Nachricht nicht rückgängig machen, unabhängig davon, wohin die gemeldete Nachricht gesendet wird (an das Berichterstellungspostfach, an Microsoft oder beides). Der Benutzer kann die gemeldete Nachricht aus seinen Ordnern "Gelöschte Elemente" oder "Junk-Email" wiederherstellen.
Übermitteln von vom Benutzer gemeldeten Nachrichten an Microsoft zur Analyse
Nachdem Sie die Nachricht auf der Registerkarte Benutzer gemeldet ausgewählt haben, verwenden Sie eine der folgenden Methoden, um die Nachricht an Microsoft zu übermitteln:
Wählen Sie auf der Registerkarte Vom Benutzer gemeldet die Option An Microsoft zur Analyse übermitteln aus.
Im Details-Flyout der ausgewählten Nachricht: Wählen Sie An Microsoft zur Analyse senden oder Weitere Optionen> AnMicrosoft zur Analyse übermitteln oben im Flyout aus.
Führen Sie im daraufhin geöffneten Flyout An Microsoft zur Analyse übermitteln die folgenden Schritte aus, je nachdem, ob die Nachricht eine E-Mail-Nachricht oder eine Teams-Nachricht ist:
Email Nachrichten:
-
Warum übermitteln Sie diese Nachricht an Microsoft?: Wählen Sie einen der folgenden Werte aus:
Es wird sauber oder Es erscheint verdächtig: Wählen Sie einen dieser Werte aus, wenn Sie unsicher sind und ein Urteil von Microsoft wünschen.
Wählen Sie Absenden und dann Fertig aus.
Ich habe bestätigt, dass es sauber ist: Wählen Sie diesen Wert aus, wenn Sie sicher sind, dass das Element sauber ist, und wählen Sie dann Weiter aus.
Führen Sie auf der nächsten Seite des Flyouts einen der folgenden Schritte aus:
- Wählen Sie Absenden und dann Fertig aus.
oder
- Diese Nachricht zulassen auswählen: Mit dieser Option wird ein Zulassungseintrag für die Elemente der Nachricht in der Zulassungs-/Sperrliste des Mandanten erstellt. Weitere Informationen zur Mandanten-Zulassungs-/Sperrliste finden Sie unter Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste.
Nachdem Sie diese Option ausgewählt haben, sind die folgenden Einstellungen verfügbar:
-
Eintrag zulassen nach entfernen: Der Standardwert ist 45 Tage nach dem datum der letzten Verwendung, aber Sie können aus den folgenden Werten auswählen:
- 1 Tag
- 7 Tage
- 30 Tage
- Spezifisches Datum: Der Höchstwert beträgt 30 Tage ab heute.
Wenn 45 Tage nach dem Datum der letzten Verwendung ausgewählt wird, wird das Datum der letzten Verwendung des Zulassungseintrags aktualisiert, wenn die schädliche E-Mail-Nachricht während des E-Mail-Flusses gefunden wird. Der Zulassungseintrag wird 45 Tage lang aufbewahrt, nachdem das Filtersystem festgestellt hat, dass die E-Mail-Nachricht sauber ist.
- Eingabehinweis zulassen (optional): Geben Sie optionale Informationen dazu ein, warum Sie dieses Element zulassen. Bei gefälschten Absendern wird jeder wert, den Sie hier eingeben, nicht im Eintrag zulassen auf der Registerkarte Spoofed senders (Spoofed senders) auf der Seite Mandanten zulassen/blockieren Listen angezeigt.
Wenn Sie mit dem Flyout fertig sind, wählen Sie Absenden und dann Fertig aus.
Ich habe bestätigt, dass es sich um eine Bedrohung handelt: Wählen Sie diesen Wert aus, wenn Sie sicher sind, dass das Element böswillig ist, und wählen Sie dann einen der folgenden Werte im angezeigten Abschnitt Kategorie auswählen aus:
- Phishing
- Schadsoftware
- Spam
Wählen Sie Weiter aus.
Führen Sie auf der nächsten Seite des Flyouts einen der folgenden Schritte aus:
- Wählen Sie Absenden und dann Fertig aus.
oder
- Wählen Sie Alle E-Mails von diesem Absender oder dieser Domäne blockieren aus: Mit dieser Option wird ein Blockeintrag für die Absenderdomäne oder E-Mail-Adresse in der Zulassungs-/Sperrliste des Mandanten erstellt. Weitere Informationen zur Mandanten-Zulassungs-/Sperrliste finden Sie unter Verwalten von Zulassungen und Blöcken in der Mandanten-Zulassungs-/Sperrliste.
Nachdem Sie diese Option ausgewählt haben, sind die folgenden Einstellungen verfügbar:
- Standardmäßig ist Sender ausgewählt, aber Sie können stattdessen Domäne auswählen.
-
Blockeintrag entfernen nach: Der Standardwert ist 30 Tage, Aber Sie können aus den folgenden Werten auswählen:
- 1 Tag
- 7 Tage
- 30 Tage
- Läuft nie ab
- Spezifisches Datum: Der Höchstwert beträgt 30 Tage ab heute.
- Eintragshinweis blockieren (optional): Geben Sie optionale Informationen dazu ein, warum Sie dieses Element blockieren.
Wenn Sie mit dem Flyout fertig sind, wählen Sie Absenden und dann Fertig aus.
-
Warum übermitteln Sie diese Nachricht an Microsoft?: Wählen Sie einen der folgenden Werte aus:
Teams-Nachrichten: Wählen Sie einen der folgenden Werte aus:
- Ich habe seine sauber bestätigt
- Es wird angezeigt, sauber
- Es erscheint verdächtig
Nachdem Sie einen dieser Werte ausgewählt haben, wählen Sie Absenden und dann Fertig aus.
Ich habe bestätigt, dass es sich um eine Bedrohung handelt: Wählen Sie diesen Wert aus, wenn Sie sicher sind, dass das Element böswillig ist, und wählen Sie dann einen der folgenden Werte im angezeigten Abschnitt Kategorie auswählen aus:
Phishing
Schadsoftware
Wählen Sie Absenden und dann Fertig aus.
Nachdem Sie eine von Einem Benutzer gemeldete Nachricht von der Registerkarte Benutzer gemeldet an Microsoft übermittelt haben, ändert sich der Wert von In Administratorübermittlung konvertiert von Nein in Ja, und ein entsprechender Administratorübermittlungseintrag wird auf der entsprechenden Registerkarte auf der Seite Übermittlungen erstellt (z. B. die Registerkarte E-Mails ).
Auslösen einer Untersuchung in Defender for Office 365 Plan 2
- Wählen Sie auf der Registerkarte Vom Benutzer gemeldet in der Dropdownliste unter An Microsoft zur Analyse übermitteln die Option Untersuchung auslösen aus.
Weitere Informationen finden Sie unter Auslösen einer Untersuchung.
Benachrichtigen von Benutzern über vom Administrator an Microsoft übermittelte Nachrichten
Nachdem ein Administrator eine gemeldete Benutzernachricht über die Registerkarte Benutzer gemeldet an Microsoft übermittelt hat, können Administratoren die Aktion Markieren als und benachrichtigen verwenden, um die Nachricht mit einem Urteil zu markieren und eine Benachrichtigungsvorlage an den Benutzer zu senden, der die Nachricht gemeldet hat.
Verfügbare Bewertungen für E-Mail-Nachrichten:
- Keine Bedrohungen gefunden
- Phishing
- Spam
Verfügbare Bewertungen für Teams-Nachrichten:
- Keine Bedrohungen gefunden
- Phishing
Weitere Informationen finden Sie unter Benachrichtigen von Benutzern über das Portal.
Anzeigen konvertierter Administratorübermittlungen
Nachdem ein Administrator eine gemeldete Benutzernachricht von der Registerkarte Benutzer gemeldet an Microsoft übermittelt hat, ist der Wert von In Administratorübermittlung konvertiertauf Ja festgelegt.
Wenn Sie eine dieser Nachrichten auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben dem Namen klicken, enthält das Details-Flyout Weitere Aktionen>Anzeigen der konvertierten Administratorübermittlung.
Durch diese Aktion gelangen Sie zum entsprechenden Administratorübermittlungseintrag auf der entsprechenden Registerkarte (z. B. die Registerkarte E-Mails ).
Aktionen für vom Benutzer gemeldete Nachrichten in Defender for Office 365
In Organisationen mit Microsoft Defender for Office 365 (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 oder Microsoft 365 Business Premium enthalten) sind die folgenden Aktionen möglicherweise auch im Details-Flyout einer vom Benutzer gemeldeten Nachricht auf dem Benutzer verfügbar. Gemeldete Registerkarte:
E-Mail-Entität öffnen (nur E-Mail-Nachrichten): Weitere Informationen finden Sie unter Informationen auf der Entitätsseite Email.
Aktionen ausführen (nur E-Mail-Nachrichten): Mit dieser Aktion wird derselbe Aktions-Assistent gestartet, der auf der Entitätsseite Email verfügbar ist. Weitere Informationen finden Sie unter Aktionen auf der Entitätsseite Email.
Warnung anzeigen. Eine Warnung wird ausgelöst, wenn eine Administratorübermittlung erstellt oder aktualisiert wird. Wenn Sie diese Aktion auswählen, gelangen Sie zu den Details der Warnung.