Grundlegendes zur Erkennungstechnologie auf der E-Mail-Entitätsseite von Microsoft Defender für Office 365
Wenn auf der E-Mail-Entitätsseite von Microsoft Defender für Office 365 eine Bedrohung erkannt wird, werden im linken Flyout Bedrohungsinformationen angezeigt. In diesem Panel wird ihnen auch die Erkennungstechnologie angezeigt, die zu diesem Urteil geführt hat.
In diesem Artikel geht es darum, die verschiedenen Erkennungstechnologien zu verstehen, wie sie funktionieren und wie Sie Fehlalarme vermeiden können. Bleiben Sie auf dem Laufenden für das Video admin submissions (Administratoreinsendungen) am Ende.
Tabelle mit Details zur Erkennungstechnologie
Um falsch positive Ergebnisse wie die in der folgenden Tabelle aufgeführten zu beheben, sollten Sie immer mit einer Administratorübermittlung beginnen, die Sie auch dazu auffordert, einen Eintrag in die Zulassungs-/Sperrliste (Tenant Allow/Block List, TABL) hinzuzufügen. Dieser Eintrag fügt den Filtern, die festgestellt haben, dass die Nachricht bösartig war, ein temporäres Außerkraftsetzungssignal hinzu, während Filter aktualisiert werden (falls dies angemessen ist). Weitere Informationen zu Administratorübermittlungen & TABL finden Sie in den folgenden Artikeln.
Die Erkennungstechnologie | Wie es zu einem Urteil kommt | Hinweise |
---|---|---|
Erweiterter Filter | Machine Learning-Modelle, die auf der Erkennung von E-Mail-& Inhalten basieren, um Phishing & Spam zu erkennen | |
Schutz vor Schadsoftware | Erkennung durch signaturbasierte Antischadsoftware | |
Masse | Erkennung für Werbung/ Marketing und ähnliche Nachrichtentypen mit ihren relativen Beschwerdestufen | Schritt-für-Schritt-Anleitung zum Optimieren von Massenschwellenwerten |
Kampagne | Als Teil einer Malware- oder Phish-Kampagne identifizierte und gruppierte Nachrichten | Weitere Informationen zu Kampagnen |
Domänenreputation | Die Nachricht wurde von einer Domäne gesendet, die basierend auf internen oder externen Signalen als Spam- oder Phish-Domäne identifiziert wurde. | |
Dateidetonation | Sichere Anlagen haben während der Detonation in einer Sandbox eine schädliche Anlage erkannt | |
Reputation der Dateidetonation | Dateianlagen, die zuvor von sicheren Anlagen während der Detonation erkannt wurden | |
Datei-Reputation | Die Nachricht enthält eine Datei, die zuvor von anderen Quellen als bösartig identifiziert wurde. | |
Fingerabdruckübereinstimmung | Die Nachricht ähnelt einer zuvor erkannten schädlichen Oder Spam-Nachricht. | |
Allgemeiner Filter | Phishing- oder Spamsignale basierend auf Analystenheuristiken | |
Vorgetäuschte Marke | Absenderidentitätswechsel bekannter Marken | |
Vorgetäuschte Domäne | Identitätswechsel von Absenderdomänen, die Sie besitzen oder für den Schutz in Antiphishingrichtlinien angegeben haben | Übersicht über Identitätswechsel |
Vorgetäuschte Benutzeridentität | Identitätswechsel von geschützten Absendern, die Sie in Antiphishingrichtlinien angegeben haben | Übersicht über Identitätswechsel |
IP-Reputation | Die Nachricht wurde von einer IP-Adresse gesendet, die als potenziell böswillig identifiziert wurde. | |
Mailbox Intelligence-basierte Identitätsvortäuschung | Absender, der in der persönlichen Absenderzuordnung des Benutzers als Identitätswechsel einer Adresse erkannt wurde | Schutz vor Identitätswechseln von Postfachintelligenz |
Erkennung durch gemischte Analysen | Mehrere Filter haben zur Bewertung dieser Nachricht beigetragen. | |
Spoof DMARC | Fehler bei der DMARC-Authentifizierung bei der Nachricht | So behandelt Microsoft 365 eingehende E-Mail-Nachrichten, die DMARC-Prüfungen nicht bestehen |
Spoofing externer Domäne | Spoof intelligence detected email spoofing of a domain that is external to your organization | |
Organisationsinternes Spoofing | Spoof intelligence detected email spoofing of a user or domain that is internal to your organization | |
URL-Detonation | Sichere Links haben während der Detonation in einer Sandbox eine schädliche URL in der Nachricht erkannt. | |
Reputation der URL-Detonation | URLs, die zuvor von sicheren Links während der Detonation erkannt wurden | |
URL-Reputation als schädlich eingestuft | Die Nachricht enthält eine URL, die zuvor von anderen Quellen als böswillig oder Spam identifiziert wurde. |