Freigeben über


Informationen zu Bedrohungs-Explorer und Echtzeiterkennungen in Microsoft Defender für Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Microsoft 365-Organisationen, die Microsoft Defender für Office 365 in ihrem Abonnement enthalten oder als Add-On erworben haben, verfügen über Explorer -Erkennungen (auch als Bedrohungs-Explorer bezeichnet) oder Echtzeiterkennungen. Diese Features sind leistungsstarke Berichterstellungstools nahezu in Echtzeit, mit denen Security Operations-Teams (SecOps) Bedrohungen untersuchen und darauf reagieren können.

Abhängig von Ihrem Abonnement sind Bedrohungs-Explorer- oder Echtzeiterkennungen im Abschnitt E-Mail-& Zusammenarbeit im Microsoft Defender-Portal unter https://security.microsoft.comverfügbar:

Der Bedrohungs-Explorer enthält die gleichen Informationen und Funktionen wie Echtzeiterkennungen, aber mit den folgenden zusätzlichen Features:

  • Weitere Ansichten.
  • Weitere Optionen zum Filtern von Eigenschaften, einschließlich der Option zum Speichern von Abfragen.
  • Weitere Aktionen.

Weitere Informationen zu den Unterschieden zwischen Defender für Office 365 Plan 1 und Plan 2 finden Sie auf dem Spickzettel zu Defender für Office 365 Plan 1 und Plan 2.

Im weiteren Verlauf dieses Artikels werden die Ansichten und Features erläutert, die in Bedrohungs-Explorer und Echtzeiterkennungen verfügbar sind.

Berechtigungen und Lizenzierung für Bedrohungs-Explorer und Echtzeiterkennungen

Um Explorer- oder Echtzeiterkennungen verwenden zu können, müssen Ihnen Berechtigungen zugewiesen werden. Sie haben folgende Optionen:

  • Microsoft Defender XDR Unified Role Based Access Control (RBAC) (Wenn E-Mail & Zusammenarbeit>Defender für Office 365-Berechtigungenaktiv ist. Betrifft nur das Defender-Portal, nicht PowerShell):
    • Lesezugriff für E-Mail- und Teams-Nachrichtenkopfzeilen: Sicherheitsvorgänge/Rohdaten (E-Mail & Zusammenarbeit)/E-Mail & Metadaten für die Zusammenarbeit (lesen).
    • Vorschau und Herunterladen von E-Mail-Nachrichten: Sicherheitsvorgänge/Rohdaten (E-Mail-& Zusammenarbeit)/E-Mail-& Zusammenarbeitsinhalte (lesen).
    • Beheben schädlicher E-Mails: Sicherheitsvorgänge/Sicherheitsdaten/E-Mail & erweiterte Aktionen für die Zusammenarbeit (Verwalten).
  • Berechtigungen für die Zusammenarbeit per E-Mail & im Microsoft Defender-Portal:
    • Vollzugriff: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator . Für alle verfügbaren Aktionen sind weitere Berechtigungen erforderlich:
      • Vorschau und Herunterladen von Nachrichten: Erfordert die Vorschaurolle , die standardmäßig nur den Rollengruppen Datenermittler oder eDiscovery-Manager zugewiesen ist. Alternativ können Sie eine neue Rollengruppe mit zugewiesener Vorschaurolle erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
      • Verschieben von Nachrichten in Postfächern und Löschen von Nachrichten aus Postfächern: Erfordert die Rolle Suchen und Bereinigen , die standardmäßig nur den Rollengruppen Datenermittler oder Organisationsverwaltung zugewiesen ist. Alternativ können Sie eine neue Rollengruppe mit zugewiesener Rolle Suchen und Löschen erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
    • Schreibgeschützter Zugriff: Mitgliedschaft in der Rollengruppe "Sicherheitsleseberechtigter ".
  • Microsoft Entra-Berechtigungen: Durch die Mitgliedschaft in diesen Rollen erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365:
    • Vollzugriff: Mitgliedschaft in der Rolle "Globaler Administrator* " oder "Sicherheitsadministrator ".

    • Suchen Sie nach Exchange-Nachrichtenflussregeln (Transportregeln) anhand des Namens im Bedrohungs-Explorer: Mitgliedschaft in den Rollen Sicherheitsadministrator oder Sicherheitsleseberechtigter .

    • Schreibgeschützter Zugriff: Mitgliedschaft in der Rolle "Globaler Leser " oder "Sicherheitsleseberechtigter ".

      Wichtig

      * Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine Rolle mit hohen Berechtigungen, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Tipp

Spambenachrichtigungen von Endbenutzern und vom System generierte Nachrichten sind im Bedrohungs-Explorer nicht verfügbar. Diese Nachrichtentypen sind verfügbar, wenn eine Nachrichtenflussregel (auch als Transportregel bezeichnet) überschrieben werden soll.

Überwachungsprotokolleinträge werden generiert, wenn Administratoren eine Vorschau anzeigen oder E-Mail-Nachrichten herunterladen. Sie können das Administratorüberwachungsprotokoll nach Benutzer nach AdminMailAccess-Aktivität durchsuchen. Anweisungen finden Sie unter Überwachen der neuen Suche.

Um den Bedrohungs-Explorer oder Echtzeiterkennungen verwenden zu können, muss Ihnen eine Lizenz für Defender für Office 365 zugewiesen sein (in Ihrem Abonnement oder in einer Add-On-Lizenz enthalten).

Bedrohungs-Explorer oder Echtzeiterkennungen enthalten Daten für Benutzer, denen Defender für Office 365-Lizenzen zugewiesen sind.

Elemente des Bedrohungs-Explorers und Echtzeiterkennungen

Bedrohungs-Explorer und Echtzeiterkennungen enthalten die folgenden Elemente:

  • Ansichten: Registerkarten oben auf der Seite, die Erkennungen nach Bedrohung organisieren. Die Ansicht wirkt sich auf die restlichen Daten und Optionen auf der Seite aus.

    In der folgenden Tabelle sind die verfügbaren Ansichten in Bedrohungs-Explorer und Echtzeiterkennungen aufgeführt:

    Anzeigen Bedrohung
    Explorer
    Echtzeit
    Entdeckungen
    Beschreibung
    Alle E-Mails Standardansicht für Den Bedrohungs-Explorer. Informationen zu allen E-Mail-Nachrichten, die von externen Benutzern an Ihre Organisation gesendet werden, oder E-Mails, die zwischen internen Benutzern in Ihrer Organisation gesendet werden.
    Schadsoftware Standardansicht für Echtzeiterkennungen. Informationen zu E-Mail-Nachrichten, die Schadsoftware enthalten.
    Phishing Informationen zu E-Mail-Nachrichten, die Phishing-Bedrohungen enthalten.
    Feldzüge Informationen zu schädlichen E-Mails, die Defender für Office 365 Plan 2 als Teil einer koordinierten Phishing- oder Schadsoftwarekampagne identifiziert hat.
    Schadsoftware für Inhalte Informationen zu schädlichen Dateien, die von den folgenden Features erkannt werden:
    URL-Klicks Informationen zu Benutzerklicks auf URLs in E-Mail-Nachrichten, Teams-Nachrichten, SharePoint-Dateien und OneDrive-Dateien.

    Diese Ansichten werden in diesem Artikel ausführlich beschrieben, einschließlich der Unterschiede zwischen Bedrohungs-Explorer und Echtzeiterkennungen.

  • Datums-/Uhrzeitfilter: Standardmäßig wird die Ansicht nach gestern und heute gefiltert. Um den Datumsfilter zu ändern, wählen Sie den Datumsbereich und dann Startdatum und Enddatum werte vor 30 Tagen aus.

    Screenshot des Datumsfilters, der im Bedrohungs-Explorer und bei Echtzeiterkennungen im Defender-Portal verwendet wird.

  • Eigenschaftenfilter (Abfragen):Filtern Sie die Ergebnisse in der Ansicht nach den verfügbaren Nachrichten-, Datei- oder Bedrohungseigenschaften. Die verfügbaren filterbaren Eigenschaften hängen von der Ansicht ab. Einige Eigenschaften sind in vielen Ansichten verfügbar, während andere Eigenschaften auf eine bestimmte Ansicht beschränkt sind.

    Die verfügbaren Eigenschaftenfilter für jede Ansicht sind in diesem Artikel aufgeführt, einschließlich der Unterschiede zwischen Bedrohungs-Explorer und Echtzeiterkennungen.

    Anweisungen zum Erstellen von Eigenschaftenfiltern finden Sie unter Eigenschaftenfilter im Bedrohungs-Explorer und Echtzeiterkennungen.

    Mit dem Bedrohungs-Explorer können Sie Abfragen zur späteren Verwendung speichern, wie im Abschnitt Gespeicherte Abfragen im Bedrohungs-Explorer beschrieben.

  • Diagramme: Jede Ansicht enthält eine visuelle, aggregierte Darstellung der gefilterten oder ungefilterten Daten. Sie können verfügbare Pivots verwenden, um das Diagramm auf unterschiedliche Weise zu organisieren.

    Häufig können Sie Diagrammdaten exportieren verwenden, um gefilterte oder ungefilterte Diagrammdaten in eine CSV-Datei zu exportieren.

    Die Diagramme und verfügbaren Pivots werden in diesem Artikel ausführlich beschrieben, einschließlich der Unterschiede zwischen Bedrohungs-Explorer und Echtzeiterkennungen.

    Tipp

    Um das Diagramm von der Seite zu entfernen (wodurch die Größe des Detailbereichs maximiert wird), verwenden Sie eine der folgenden Methoden:

    • Wählen Sie oben auf der Seite Diagrammansicht>Listenansicht aus.
    • Wählen Sie Listenansicht zwischen dem Diagramm und dem Detailbereich anzeigen aus.
  • Detailbereich: Der Detailbereich für eine Ansicht zeigt in der Regel eine Tabelle an, die die gefilterten oder ungefilterten Daten enthält. Sie können die verfügbaren Ansichten (Registerkarten) verwenden, um die Daten im Detailbereich auf unterschiedliche Weise zu organisieren. Beispielsweise kann eine Ansicht Diagramme, Karten oder andere Tabellen enthalten.

    Wenn der Detailbereich eine Tabelle enthält, können Sie häufig exportieren , um bis zu 200.000 gefilterte oder ungefilterte Ergebnisse selektiv in eine CSV-Datei zu exportieren.

    Tipp

    Im Export-Flyout können Sie einige oder alle verfügbaren Eigenschaften für den Export auswählen. Die Auswahl wird pro Benutzer gespeichert. Auswahlen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Screenshot der Hauptseite im Bedrohungs-Explorer mit Echtzeitberichtsdaten im Defender für Office 365-Portal.

Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Die Ansicht Alle E-Mails im Bedrohungs-Explorer zeigt Informationen zu allen E-Mail-Nachrichten an, die von externen Benutzern an Ihre Organisation gesendet werden, sowie E-Mails, die zwischen internen Benutzern in Ihrer Organisation gesendet werden. Die Ansicht zeigt schädliche und nicht schädliche E-Mails an. Zum Beispiel:

  • E-Mail identifiziert Phishing oder Schadsoftware.
  • E-Mails, die als Spam oder Massen identifiziert werden.
  • E-Mail ohne Bedrohungen identifiziert.

Diese Ansicht ist die Standardansicht im Bedrohungs-Explorer. Um die Ansicht Alle E-Mails auf der Explorer-Seite im Defender-Portal unter https://security.microsoft.comzu öffnen, wechseln Sie zur Registerkarte E-Mail & Zusammenarbeits-Explorer>>Alle E-Mails. Oder wechseln Sie mit direkt zur Explorer-Seitehttps://security.microsoft.com/threatexplorerv3, und überprüfen Sie dann, ob die Registerkarte Alle E-Mails ausgewählt ist.

Screenshot der Ansicht

Filterbare Eigenschaften in der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter im Bedrohungs-Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Aktionsfeld Übermittlung in der Ansicht Alle E-Mails verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft Typ
Basic
Absenderadresse Text Trennen Sie mehrere Werte durch Kommas.
Empfänger Text Trennen Sie mehrere Werte durch Kommas.
Absenderdomäne Text Trennen Sie mehrere Werte durch Kommas.
Empfängerdomäne Text Trennen Sie mehrere Werte durch Kommas.
Betreff Text Trennen Sie mehrere Werte durch Kommas.
Anzeigename des Absenders Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail von Adresse Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail aus Domäne Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfad Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfaddomäne Text Trennen Sie mehrere Werte durch Kommas.
Malware-Familie Text Trennen Sie mehrere Werte durch Kommas.
Tags Text Trennen Sie mehrere Werte durch Kommas.

Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Identitätswechseldomäne Text Trennen Sie mehrere Werte durch Kommas.
Angenommener Benutzer Text Trennen Sie mehrere Werte durch Kommas.
Exchange-Transportregel Text Trennen Sie mehrere Werte durch Kommas.
Regel zur Verhinderung von Datenverlust Text Trennen Sie mehrere Werte durch Kommas.
Kontext Wählen Sie einen oder mehrere Werte aus:
  • Evaluation
  • Prioritätskontoschutz
Connector Text Trennen Sie mehrere Werte durch Kommas.
Übermittlungsaktion Wählen Sie einen oder mehrere Werte aus:
  • Blockiert: E-Mail-Nachrichten, die unter Quarantäne standen, die nicht übermittelt wurden oder verworfen wurden.
  • Zugestellt: E-Mail, die an den Posteingang des Benutzers oder einen anderen Ordner übermittelt wird, in dem der Benutzer auf die Nachricht zugreifen kann.
  • Als Junk-E-Mail übermittelt: E-Mail an den Junk-E-Mail-Ordner des Benutzers oder den Ordner "Gelöschte Elemente", in dem der Benutzer auf die Nachricht zugreifen kann.
  • Ersetzt: Nachrichtenanlagen, die in Richtlinien für sichere Anlagen durch dynamische Übermittlung ersetzt wurden.
Zusätzliche Aktion Wählen Sie einen oder mehrere Werte aus:
Directionality Wählen Sie einen oder mehrere Werte aus:
  • Eingehend
  • Intra-irg
  • Ausgehend
Erkennungstechnologie Wählen Sie einen oder mehrere Werte aus:
  • Erweiterter Filter: Signale basierend auf maschinellem Lernen.
  • Schutz vor Schadsoftware
  • Masse
  • Kampagnen
  • Domänenreputation
  • Datei-Detonation: Sichere Anlagen haben während der Detonationsanalyse eine schädliche Anlage erkannt.
  • Zuverlässigkeit der Dateienttonung: Dateianlagen, die zuvor von Detonationen sicherer Anlagen in anderen Microsoft 365-Organisationen erkannt wurden.
  • Dateireputation: Die Nachricht enthält eine Datei, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
  • Fingerabdruckabgleich: Die Nachricht ähnelt stark einer zuvor erkannten schädlichen Nachricht.
  • Allgemeiner Filter
  • Identitätswechselmarke: Absenderidentität bekannter Marken.
  • Identitätswechseldomäne: Identitätswechsel von Absenderdomänen, die Sie besitzen oder für den Schutz in Antiphishingrichtlinien angegeben haben
  • Vorgetäuschte Benutzeridentität
  • IP-Reputation
  • Identitätswechsel der Postfachintelligenz: Identitätswechselerkennungen von Postfachintelligenz in Antiphishingrichtlinien.
  • Erkennung gemischter Analysen: Mehrere Filter haben zur Bewertung der Nachricht beigetragen.
  • spoof DMARC: Fehler bei der Nachricht bei der DMARC-Authentifizierung.
  • Spoof externe Domäne: Absender-E-Mail-Adressspoofing mit einer Domäne, die außerhalb Ihrer Organisation ist.
  • Organisationsintern spoofen: Absender-E-Mail-Adressspoofing mithilfe einer Domäne, die in Ihrer Organisation intern ist.
  • URL-Detonationsreputation: URLs, die zuvor von Safe Links-Detonationen in anderen Microsoft 365-Organisationen erkannt wurden.
  • Url mit schädlichem Ruf: Die Nachricht enthält eine URL, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
Ursprünglicher Lieferort Wählen Sie einen oder mehrere Werte aus:
  • Ordner "Gelöschte Elemente"
  • Abgeworfen
  • Fehlgeschlagen
  • Posteingang/Ordner
  • Junk-E-Mail-Ordner
  • Lokal/extern
  • Quarantäne
  • Unknown
Letzter Lieferort¹ Dieselben Werte wie der ursprüngliche Lieferort
Phish-Konfidenzniveau Wählen Sie einen oder mehrere Werte aus:
  • High
  • Normal
Primäre Außerkraftsetzung Wählen Sie einen oder mehrere Werte aus:
  • Durch Organisationsrichtlinie zugelassen
  • Durch Benutzerrichtlinie zugelassen
  • Durch Organisationsrichtlinie blockiert
  • Durch Benutzerrichtlinie blockiert
  • Keine
Primäre Außerkraftsetzungsquelle Nachrichten können mehrere Zulassungs- oder Blocküberschreibungen aufweisen, wie unter Außerkraftsetzungsquelle angegeben. Die Außerkraftsetzung, die die Nachricht letztendlich zugelassen oder blockiert hat, wird in der primären Außerkraftsetzungsquelle identifiziert.
Wählen Sie einen oder mehrere Werte aus:
  • Drittanbieterfilter
  • Vom Administrator initiierte Zeitreise (ZAP)
  • Antischadsoftwarerichtlinienblock nach Dateityp
  • Antispam-Richtlinieneinstellungen
  • Verbindungsrichtlinie
  • Exchange-Transportregel
  • Exklusiver Modus (Benutzerüberschreibung)
  • Filterung aufgrund der lokalen Organisation übersprungen
  • IP-Regionsfilter aus richtlinie
  • Sprachfilter aus Richtlinie
  • Phishing-Simulation
  • Release unter Quarantäne stellen
  • SecOps-Postfach
  • Absenderadressenliste (Administratorüberschreibung)
  • Absenderadressenliste (Benutzerüberschreibung)
  • Absenderdomänenliste (Administratorüberschreibung)
  • Absenderdomänenliste (Benutzerüberschreibung)
  • Dateiblock "Mandanten zulassen/blockieren"
  • E-Mail-Adressblock der Absenderliste für Mandanten zulassen/blockieren
  • Spoofblock "Mandanten zulassen/blockierende Liste"
  • URL-Block "Mandanten zulassen/Blockieren der Liste"
  • Liste vertrauenswürdiger Kontakte (Benutzerüberschreibung)
  • Vertrauenswürdige Domäne (Benutzerüberschreibung)
  • Vertrauenswürdiger Empfänger (Benutzerüberschreibung)
  • Nur Vertrauenswürdige Absender (Benutzerüberschreibung)
Quelle außer Kraft setzen Dieselben Werte wie primäre Außerkraftsetzungsquelle
Richtlinientyp Wählen Sie einen oder mehrere Werte aus:
  • Anti-Schadsoftware-Richtlinie
  • Antiphishingrichtlinie
  • Exchange-Transportregel (Nachrichtenflussregel), Filterrichtlinie für gehostete Inhalte (Antispamrichtlinie), Richtlinie für gehostete ausgehende Spamfilter (Ausgehende Spamrichtlinie), Richtlinie für sichere Anlagen
  • Unknown
Richtlinienaktion Wählen Sie einen oder mehrere Werte aus:
  • Hinzufügen eines x-Headers
  • Bcc-Nachricht
  • Nachricht löschen
  • Betreff ändern
  • In Junk-E-Mail-Ordner verschieben
  • Keine Aktion ausgeführt
  • Umleitungsnachricht
  • Senden in Quarantäne
Bedrohungstyp Wählen Sie einen oder mehrere Werte aus:
  • Schadsoftware
  • Phishing
  • Spam
Weitergeleitete Nachricht Wählen Sie einen oder mehrere Werte aus:
  • True
  • False
Verteilerliste Text Trennen Sie mehrere Werte durch Kommas.
E-Mail-Größe Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Erweitert
Internetnachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Verfügbar im Feld Message-ID header im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern).
Netzwerknachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.
Sender-IP Text Trennen Sie mehrere Werte durch Kommas.
Anlage SHA256 Text Trennen Sie mehrere Werte durch Kommas.
Cluster-ID Text Trennen Sie mehrere Werte durch Kommas.
Warnungs-ID Text Trennen Sie mehrere Werte durch Kommas.
Warnungsrichtlinien-ID Text Trennen Sie mehrere Werte durch Kommas.
Kampagnen-ID Text Trennen Sie mehrere Werte durch Kommas.
ZAP-URL-Signal Text Trennen Sie mehrere Werte durch Kommas.
Urls
URL-Anzahl Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
URL-Domäne² Text Trennen Sie mehrere Werte durch Kommas.
URL-Domäne und Pfad² Text Trennen Sie mehrere Werte durch Kommas.
URL² Text Trennen Sie mehrere Werte durch Kommas.
URL-Pfad² Text Trennen Sie mehrere Werte durch Kommas.
URL-Quelle Wählen Sie einen oder mehrere Werte aus:
  • Anhänge
  • Cloudanlage
  • E-Mail-Text
  • E-Mail-Kopfzeile
  • QR-Code
  • Subject
  • Unknown
Klicken Sie auf "Urteil". Wählen Sie einen oder mehrere Werte aus:
  • Zulässig: Der Benutzer durfte die URL öffnen.
  • Blockieren überschrieben: Der Benutzer wurde daran gehindert, die URL direkt zu öffnen, aber er überschreibt den Block, um die URL zu öffnen.
  • Blockiert: Der Benutzer konnte die URL nicht öffnen.
  • Fehler: Dem Benutzer wurde die Fehlerseite angezeigt, oder beim Erfassen des Urteils ist ein Fehler aufgetreten.
  • Fehler: Beim Erfassen des Urteils ist eine unbekannte Ausnahme aufgetreten. Möglicherweise hat der Benutzer die URL geöffnet.
  • Keine: Das Urteil für die URL kann nicht erfasst werden. Möglicherweise hat der Benutzer die URL geöffnet.
  • Ausstehendes Urteil: Dem Benutzer wurde die Ausstehende Seite für die Detonation angezeigt.
  • Ausstehendes Urteil umgangen: Dem Benutzer wurde die Detonationsseite angezeigt, aber er übergibt die Nachricht, um die URL zu öffnen.
URL-Bedrohung Wählen Sie einen oder mehrere Werte aus:
  • Schadsoftware
  • Phishing
  • Spam
Datei
Anlagenanzahl Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Dateiname der Anlage Text Trennen Sie mehrere Werte durch Kommas.
Dateityp Text Trennen Sie mehrere Werte durch Kommas.
Dateinamenerweiterung Text Trennen Sie mehrere Werte durch Kommas.
Dateigröße Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Authentifizierung
SPF Wählen Sie einen oder mehrere Werte aus:
  • Fehler
  • Neutral
  • Keine
  • Bestehen
  • Dauerhafter Fehler
  • Weicher Fehler
  • Temporärer Fehler
DKIM Wählen Sie einen oder mehrere Werte aus:
  • Error
  • Fehler
  • Ignore
  • Keine
  • Bestehen
  • Test
  • Timeout
  • Unknown
DMARC Wählen Sie einen oder mehrere Werte aus:
  • Best guess pass
  • Fehler
  • Keine
  • Bestehen
  • Dauerhafter Fehler
  • Selektordurchlauf
  • Temporärer Fehler
  • Unknown
Zusammengesetzt Wählen Sie einen oder mehrere Werte aus:
  • Fehler
  • Keine
  • Bestehen
  • Soft Pass

Tipp

¹ Der letzte Übermittlungsspeicherort enthält keine Endbenutzeraktionen für Nachrichten. Beispielsweise, wenn der Benutzer die Nachricht gelöscht oder die Nachricht in ein Archiv oder eine PST-Datei verschoben hat.

Es gibt Szenarien, in denen der ursprüngliche Zustellungsort/Der letzte Zustellungsort und/oder die Übermittlungsaktion den Wert Unbekannt aufweisen. Zum Beispiel:

  • Die Nachricht wurde zugestellt (Übermittlungsaktion ist Zugestellt), aber eine Posteingangsregel hat die Nachricht in einen anderen Standardordner als den Ordner Posteingang oder Junk-E-Mail verschoben (z. B. den Ordner Entwurf oder Archiv).
  • ZAP hat versucht, die Nachricht nach der Zustellung zu verschieben, aber die Nachricht wurde nicht gefunden (z. B. der Benutzer hat die Nachricht verschoben oder gelöscht).

² Standardmäßig wird eine URL-Suche zugeordnet http, es sei denn, es wird explizit ein anderer Wert angegeben. Zum Beispiel:

  • Bei der Suche mit und ohne präfix http:// in URL, URL-Domäneund URL-Domäne und Pfad sollten die gleichen Ergebnisse angezeigt werden.
  • Suchen Sie in der URL nach dem https:// Präfix. Wenn kein Wert angegeben wird, wird das http:// Präfix angenommen.
  • / am Anfang und Ende der Felder URL-Pfad, URL-Domäne, URL-Domäne und Pfad werden ignoriert.
  • / am Ende des URL-Felds wird ignoriert.

Pivots für das Diagramm in der Ansicht Alle E-Mails im Bedrohungs-Explorer

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Pivotieren des Übermittlungsaktionsdiagramms in der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Übermittlungsaktion der Standarddiagramm-Pivot in der Ansicht Alle E-Mails .

Der Pivot "Übermittlungsaktion " organisiert das Diagramm nach den Aktionen, die für Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter ausgeführt werden.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Übermittlungsaktionen angezeigt.

Pivotieren des Absenderdomänendiagramms in der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Der Pivot Absenderdomäne organisiert das Diagramm nach den Domänen in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absenderdomänen angezeigt.

Pivotieren des Absender-IP-Diagramms in der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Der Pivot Absender-IP organisiert das Diagramm nach den Quell-IP-Adressen von Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absender-IP-Adressen angezeigt.

Pivotieren des Erkennungstechnologiediagramms in der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Der Pivot "Erkennungstechnologie " organisiert das Diagramm nach dem Feature, das Meldungen für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Pivot für das vollständige URL-Diagramm in der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Der Pivot Vollständige URL organisiert das Diagramm nach den vollständigen URLs in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen vollständigen URLs angezeigt.

Url-Domänendiagramm-Pivot in der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Der URL-Domänen-Pivot organisiert das Diagramm nach den Domänen in URLs in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.

Url-Domänen- und Pfaddiagramm-Pivot in der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Die URL-Domäne und der Pfad-Pivot organisiert das Diagramm nach den Domänen und Pfaden in URLs in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede URL-Domäne und jeden Pfad angezeigt.

Ansichten für den Detailbereich der Ansicht Alle E-Mails im Bedrohungs-Explorer

Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Ansicht Alle E-Mails werden in den folgenden Unterabschnitten beschrieben.

E-Mail-Ansicht für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

E-Mail ist die Standardansicht für den Detailbereich in der Ansicht Alle E-Mails .

In der Ansicht E-Mail wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:

  • Datum*
  • Betreff*
  • Empfänger*
  • Empfängerdomäne
  • Schilder*
  • Absenderadresse*
  • Anzeigename des Absenders
  • Absenderdomäne*
  • Sender-IP
  • Absender-E-Mail von Adresse
  • Absender-E-Mail aus Domäne
  • Zusätzliche Aktionen*
  • Übermittlungsaktion
  • Letzter Lieferort*
  • Ursprünglicher Lieferort*
  • Quelle für Systemüberschreibungen
  • Systemüberschreibungen
  • Warnungs-ID
  • Internetnachrichten-ID
  • Netzwerknachrichten-ID
  • E-Mail-Sprache
  • Exchange-Transportregel
  • Connector
  • Context
  • Regel zur Verhinderung von Datenverlust
  • Bedrohungstyp*
  • Erkennungstechnologie
  • Anlagenanzahl
  • URL-Anzahl
  • E-Mail-Größe

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Entfernen Sie Spalten aus der Ansicht.
  • Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wenn Sie einen oder mehrere Einträge aus der Liste auswählen, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, ist aktion ausführen verfügbar. Weitere Informationen finden Sie unter Bedrohungssuche: E-Mail-Korrektur.

Screenshot der E-Mail-Ansicht (Registerkarte) der Detailtabelle mit ausgewählter Nachricht und aktiver Aktion ausführen.

Im Wert Betreff für den Eintrag ist die Aktion In neuem Fenster öffnen verfügbar. Durch diese Aktion wird die Nachricht auf der Entitätsseite E-Mail geöffnet.

Wenn Sie in einem Eintrag auf die Werte Betreff oder Empfänger klicken, werden Details-Flyouts geöffnet. Diese Flyouts werden in den folgenden Unterabschnitten beschrieben.

E-Mail-Details aus der E-Mail-Ansicht des Detailbereichs in der Ansicht Alle E-Mails

Wenn Sie den Betreffwert eines Eintrags in der Tabelle auswählen, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als E-Mail-Zusammenfassungsbereich bezeichnet und enthält standardisierte Zusammenfassungsinformationen, die auch auf der Entitätsseite E-Mail für die Nachricht verfügbar sind.

Ausführliche Informationen zu den Informationen im Bereich "E-Mail-Zusammenfassung" finden Sie im Bereich "E-Mail-Zusammenfassung" in Defender.

Die folgenden Aktionen sind oben im E-Mail-Zusammenfassungsbereich für Bedrohungs-Explorer und Echtzeiterkennungen verfügbar:

  • E-Mail-Entität öffnen
  • Kopfzeile anzeigen
  • Maßnahmen ergreifen: Weitere Informationen finden Sie unter Bedrohungssuche: E-Mail-Wartung.
  • Weitere Optionen:
    • E-Mail-Vorschau¹ ²
    • E-Mail herunterladen ² ² ¹
    • Im Explorer anzeigen
    • Gehe jagen

¹ Die Aktionen E-Mail-Vorschau und E-Mail herunterladen erfordern die Vorschaurolle in E-Mail-& Zusammenarbeitsberechtigungen. Standardmäßig wird diese Rolle den Rollengruppen Datenermittler und eDiscovery-Manager zugewiesen. Standardmäßig können Mitglieder der Rollengruppen Organisationsverwaltung oder Sicherheitsadministratoren diese Aktionen nicht ausführen. Um diese Aktionen für die Mitglieder dieser Gruppen zuzulassen, haben Sie die folgenden Optionen:

  • Fügen Sie die Benutzer den Rollengruppen Datenermittler oder eDiscovery-Manager hinzu.
  • Erstellen Sie eine neue Rollengruppe mit zugewiesener Rolle Suchen und Bereinigen , und fügen Sie die Benutzer der benutzerdefinierten Rollengruppe hinzu.

² Sie können eine Vorschau von E-Mail-Nachrichten anzeigen oder herunterladen, die in Microsoft 365-Postfächern verfügbar sind. Beispiele für Nachrichten, die nicht mehr in Postfächern verfügbar sind, sind:

  • Die Nachricht wurde verworfen, bevor die Übermittlung fehlgeschlagen war.
  • Die Nachricht wurde vorläufig gelöscht (aus dem Ordner "Gelöschte Elemente", wodurch die Nachricht in den Ordner "Wiederherstellbare Elemente\Löschungen" verschoben wird).
  • ZAP hat die Nachricht in Quarantäne verschoben.

¹ E-Mail herunterladen ist für Nachrichten, die unter Quarantäne gestellt wurden, nicht verfügbar. Laden Sie stattdessen eine kennwortgeschützte Kopie der Nachricht aus der Quarantäne herunter.

Go hunt ist nur im Bedrohungs-Explorer verfügbar. Sie ist in Echtzeiterkennungen nicht verfügbar.

Empfängerdetails aus der E-Mail-Ansicht des Detailbereichs in der Ansicht Alle E-Mails

Wenn Sie einen Eintrag auswählen, indem Sie auf den Wert Empfänger klicken, wird ein Details-Flyout mit den folgenden Informationen geöffnet:

Tipp

Um Details zu anderen Empfängern anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element am oberen Rand des Flyouts.

  • Zusammenfassungsabschnitt :

    • Rolle: Gibt an, ob dem Empfänger Administratorrollen zugewiesen sind.
    • Richtlinien:
      • Gibt an, ob der Benutzer über die Berechtigung zum Anzeigen von Archivinformationen verfügt.
      • Gibt an, ob der Benutzer über die Berechtigung zum Anzeigen von Aufbewahrungsinformationen verfügt.
      • Gibt an, ob der Benutzer durch die Verhinderung von Datenverlust (Data Loss Prevention, DLP) abgedeckt ist.
      • Gibt an, ob der Benutzer von der Mobile-Verwaltung unter https://portal.office.com/EAdmin/Device/IntuneInventory.aspxabgedeckt wird.
  • E-Mail-Abschnitt : Eine Tabelle mit den folgenden zugehörigen Informationen für Nachrichten, die an den Empfänger gesendet werden:

    • Date
    • Subject
    • Empfänger

    Wählen Sie Alle E-Mails anzeigen aus, um den Bedrohungs-Explorer auf einer neuen Registerkarte zu öffnen, die nach dem Empfänger gefiltert ist.

  • Abschnitt "Zuletzt verwendete Warnungen": Eine Tabelle mit den folgenden verwandten Informationen für verwandte aktuelle Warnungen:

    • Schweregrad
    • Warnungsrichtlinie
    • Kategorie
    • Aktivitäten

    Wenn mehr als drei aktuelle Warnungen vorhanden sind, wählen Sie Alle zuletzt angezeigten Warnungen anzeigen aus, um alle anzuzeigen.

    • Abschnitt "Letzte Aktivität": Zeigt die zusammengefassten Ergebnisse einer Überwachungsprotokollsuche für den Empfänger an:

      • Date
      • IP-Adresse
      • Aktivität
      • Item

      Wenn der Empfänger über mehr als drei Überwachungsprotokolleinträge verfügt, wählen Sie Alle zuletzt ausgeführten Aktivitäten anzeigen aus, um alle anzuzeigen.

    Tipp

    Mitglieder der Rollengruppe Sicherheitsadministratoren in E-Mail-&-Zusammenarbeitsberechtigungen können den Abschnitt Letzte Aktivität nicht erweitern. Sie müssen Mitglied einer Rollengruppe in Exchange Online-Berechtigungen sein, der die Rollen Überwachungsprotokolle, Information Protection Analyst oder Information Protection Investigator zugewiesen sind. Standardmäßig werden diese Rollen den Rollengruppen Datensatzverwaltung, Complianceverwaltung, Information Protection, Information Protection-Analysten, Information Protection-Ermittler und Organisationsverwaltung zugewiesen. Sie können die Mitglieder von Sicherheitsadministratoren diesen Rollengruppen hinzufügen oder eine neue Rollengruppe mit der zugewiesenen Rolle Überwachungsprotokolle erstellen.

Screenshot des Flyouts mit den Empfängerdetails, nachdem Sie einen Empfängerwert auf der Registerkarte E-Mail des Detailbereichs in der Ansicht Alle E-Mails ausgewählt haben.

Ansicht "URL-Klicks" für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

In der Ansicht URL-Klicks wird ein Diagramm angezeigt, das mithilfe von Pivots organisiert werden kann. Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Screenshot: Detailbereich der Ansicht

Tipp

Im Bedrohungs-Explorer verfügt jeder Pivot in der Ansicht "URL-Klicks" über die Aktion Alle Klicks anzeigen, mit der die Ansicht URL-Klicks auf einer neuen Registerkarte geöffnet wird.

URL-Domänen-Pivot für die Ansicht "URL-Klicks" für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Obwohl dieser Diagramm-Pivot nicht ausgewählt zu sein scheint, ist die URL-Domäne der Standard-Diagramm-Pivot in der Ansicht URL-Klicks .

Der URL-Domänen-Pivot zeigt die verschiedenen Domänen in URLs in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter an.

Screenshot des Detailbereichs der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.

Klicken Sie für den Detailbereich der Ansicht Alle E-Mails im Bedrohungs-Explorer auf Bewertungs pivot für die Ansicht URL-Klicks.

Der Pivot Klickbewertung zeigt die verschiedenen Bewertungen für angeklickte URLs in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter an.

Screenshot des Detailbereichs der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Klickbewertungen angezeigt.

URL-Pivot für die Ansicht "URL-Klicks" für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Der URL-Pivot zeigt die verschiedenen URLs an, auf die in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und eigenschaftenfilter geklickt wurde.

Screenshot des Detailbereichs der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen URLs angezeigt.

URL-Domäne und Pfad-Pivot für die Ansicht "URL-Klicks" für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Der Url-Domänen- und Pfad-Pivot zeigt die verschiedenen Domänen und Dateipfade von URLs an, auf die in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter geklickt wurden.

Screenshot: Detailbereich der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede URL-Domäne und jeden Dateipfad angezeigt.

Ansicht "Top URLs" für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

In der Ansicht Top URLs wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

  • URL
  • Blockierte Nachrichten
  • Nachrichten mit Junk-E-Mail
  • Übermittelte Nachrichten
Details zu den wichtigsten URLs für die Ansicht "Alle E-Mails"

Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout mit den folgenden Informationen geöffnet:

Tipp

Um Details zu anderen URLs anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.

  • Die folgenden Aktionen sind oben im Flyout verfügbar:
    • URL-Seite öffnen

    • Zur Analyse übermitteln:

      • Bericht bereinigen
      • Phishing melden
      • Melden von Schadsoftware
    • Indikator verwalten:

      • Indikator hinzufügen
      • Verwalten in Mandantenblockierungsliste

      Wenn Sie eine dieser Optionen auswählen, gelangen Sie im Defender-Portal zur Seite Übermittlungen .

    • Mehr:

      • Im Explorer anzeigen
      • Gehen Sie auf die Jagd
  • Ursprüngliche URL
  • Abschnitt "Erkennung ":
    • Threat Intelligence-Bewertung
    • x aktive Warnungen y Incidents: Ein horizontales Balkendiagramm, das die Anzahl der Warnungen "Hoch", " Mittel", " Niedrig" und " Info " anzeigt, die sich auf diesen Link beziehen.
    • Ein Link zur Seite Alle Incidents & Warnungen in URL anzeigen.
  • Abschnitt "Domänendetails ":
    • Domänenname und ein Link zur Seite Domäne anzeigen.
    • Registrant
    • Registriert am
    • Aktualisiert am
    • Läuft ab am
  • Kontaktinformationen für Registranten:
    • Registrator
    • Land/Region
    • Postanschrift
    • E-Mail
    • Telefon
    • Weitere Informationen: Ein Link zum Öffnen bei Whois.
  • Abschnitt URL-Prävalenz (letzte 30 Tage): Enthält die Anzahl von Geräten, E-Mails und Klicks. Wählen Sie jeden Wert aus, um die vollständige Liste anzuzeigen.
  • Geräte: Zeigt die betroffenen Geräte an:
    • Datum (First/Last)

    • Geräte

      Wenn mehr als zwei Geräte beteiligt sind, wählen Sie Alle Geräte anzeigen aus, um alle geräte anzuzeigen.

Screenshot des Details-Flyouts nach dem Auswählen eines Eintrags auf der Registerkarte

Ansicht mit den ersten Klicks für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

In der Ansicht Mit den höchsten Klicks wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

  • URL
  • Gesperrt
  • Allowed
  • Block überschrieben
  • Ausstehendes Urteil
  • Ausstehendes Urteil umgangen
  • Keine
  • Fehlerseite
  • Versagen

Tipp

Alle verfügbaren Spalten sind ausgewählt. Wenn Sie Spalten anpassen auswählen, können Sie die Auswahl von Spalten nicht aufheben.

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Verkleineren Sie in Ihrem Webbrowser.

Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.

Ansicht mit den wichtigsten Zielbenutzern für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

In der Ansicht Am häufigsten ausgerichtete Benutzer werden die Daten in einer Tabelle mit den fünf wichtigsten Empfängern organisiert, die von den meisten Bedrohungen betroffen sind. Die Tabelle enthält die folgenden Informationen:

  • Am häufigsten ausgerichtete Benutzer: Die E-Mail-Adresse des Empfängers. Wenn Sie eine Empfängeradresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Empfängerdetails in der E-Mail-Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

  • Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird der Bedrohungs-Explorer auf einer neuen Registerkarte geöffnet, die nach dem Empfänger gefiltert wird.

Tipp

Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.

E-Mail-Ursprungsansicht für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

In der E-Mail-Ursprungsansicht werden Nachrichtenquellen auf einer Weltkarte angezeigt.

Screenshot der Weltkarte in der Ansicht

Kampagnenansicht für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer

Die Ansicht Kampagne zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.

Die Informationen in der Tabelle sind die gleichen wie in der Detailtabelle auf der Seite Kampagnen beschrieben.

Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Kampagnendetails beschrieben.

Schadsoftwareansicht im Bedrohungs-Explorer und Echtzeiterkennungen

Die Ansicht Schadsoftware in Bedrohungs-Explorer und Echtzeiterkennungen zeigt Informationen zu E-Mail-Nachrichten an, die Schadsoftware enthalten. Diese Ansicht ist die Standardansicht in Echtzeiterkennungen.

Führen Sie zum Öffnen der Ansicht Schadsoftware einen der folgenden Schritte aus:

Screenshot der Ansicht

Filterbare Eigenschaften in der Ansicht Schadsoftware im Bedrohungs-Explorer und Echtzeiterkennungen

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter im Bedrohungs-Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Feld Absenderadresse in der Ansicht Schadsoftware verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft Typ Bedrohung
Explorer
Echtzeit
Entdeckungen
Basic
Absenderadresse Text Trennen Sie mehrere Werte durch Kommas.
Empfänger Text Trennen Sie mehrere Werte durch Kommas.
Absenderdomäne Text Trennen Sie mehrere Werte durch Kommas.
Empfängerdomäne Text Trennen Sie mehrere Werte durch Kommas.
Betreff Text Trennen Sie mehrere Werte durch Kommas.
Anzeigename des Absenders Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail von Adresse Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail aus Domäne Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfad Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfaddomäne Text Trennen Sie mehrere Werte durch Kommas.
Malware-Familie Text Trennen Sie mehrere Werte durch Kommas.
Tags Text Trennen Sie mehrere Werte durch Kommas.

Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Exchange-Transportregel Text Trennen Sie mehrere Werte durch Kommas.
Regel zur Verhinderung von Datenverlust Text Trennen Sie mehrere Werte durch Kommas.
Kontext Wählen Sie einen oder mehrere Werte aus:
  • Evaluation
  • Prioritätskontoschutz
Connector Text Trennen Sie mehrere Werte durch Kommas.
Übermittlungsaktion Wählen Sie einen oder mehrere Werte aus:
Zusätzliche Aktion Wählen Sie einen oder mehrere Werte aus:
Directionality Wählen Sie einen oder mehrere Werte aus:
  • Eingehend
  • Intra-irg
  • Ausgehend
Erkennungstechnologie Wählen Sie einen oder mehrere Werte aus:
  • Erweiterter Filter: Signale basierend auf maschinellem Lernen.
  • Schutz vor Schadsoftware
  • Masse
  • Kampagnen
  • Domänenreputation
  • Datei-Detonation: Sichere Anlagen haben während der Detonationsanalyse eine schädliche Anlage erkannt.
  • Zuverlässigkeit der Dateienttonung: Dateianlagen, die zuvor von Detonationen sicherer Anlagen in anderen Microsoft 365-Organisationen erkannt wurden.
  • Dateireputation: Die Nachricht enthält eine Datei, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
  • Fingerabdruckabgleich: Die Nachricht ähnelt stark einer zuvor erkannten schädlichen Nachricht.
  • Allgemeiner Filter
  • Identitätswechselmarke: Absenderidentität bekannter Marken.
  • Identitätswechseldomäne: Identitätswechsel von Absenderdomänen, die Sie besitzen oder für den Schutz in Antiphishingrichtlinien angegeben haben
  • Vorgetäuschte Benutzeridentität
  • IP-Reputation
  • Identitätswechsel der Postfachintelligenz: Identitätswechselerkennungen von Postfachintelligenz in Antiphishingrichtlinien.
  • Erkennung gemischter Analysen: Mehrere Filter haben zur Bewertung der Nachricht beigetragen.
  • spoof DMARC: Fehler bei der Nachricht bei der DMARC-Authentifizierung.
  • Spoof externe Domäne: Absender-E-Mail-Adressspoofing mit einer Domäne, die außerhalb Ihrer Organisation ist.
  • Organisationsintern spoofen: Absender-E-Mail-Adressspoofing mithilfe einer Domäne, die in Ihrer Organisation intern ist.
  • URL-Detonation: Sichere Links haben während der Detonationsanalyse eine schädliche URL in der Nachricht erkannt.
  • URL-Detonationsreputation: URLs, die zuvor von Safe Links-Detonationen in anderen Microsoft 365-Organisationen erkannt wurden.
  • Url mit schädlichem Ruf: Die Nachricht enthält eine URL, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
Ursprünglicher Lieferort Wählen Sie einen oder mehrere Werte aus:
  • Ordner "Gelöschte Elemente"
  • Abgeworfen
  • Fehlgeschlagen
  • Posteingang/Ordner
  • Junk-E-Mail-Ordner
  • Lokal/extern
  • Quarantäne
  • Unknown
Letzter Lieferort Dieselben Werte wie der ursprüngliche Lieferort
Primäre Außerkraftsetzung Wählen Sie einen oder mehrere Werte aus:
  • Durch Organisationsrichtlinie zugelassen
  • Durch Benutzerrichtlinie zugelassen
  • Durch Organisationsrichtlinie blockiert
  • Durch Benutzerrichtlinie blockiert
  • Keine
Primäre Außerkraftsetzungsquelle Nachrichten können mehrere Zulassungs- oder Blocküberschreibungen aufweisen, wie unter Außerkraftsetzungsquelle angegeben. Die Außerkraftsetzung, die die Nachricht letztendlich zugelassen oder blockiert hat, wird in der primären Außerkraftsetzungsquelle identifiziert.
Wählen Sie einen oder mehrere Werte aus:
  • Drittanbieterfilter
  • Vom Administrator initiierte Zeitreise (ZAP)
  • Antischadsoftwarerichtlinienblock nach Dateityp
  • Antispam-Richtlinieneinstellungen
  • Verbindungsrichtlinie
  • Exchange-Transportregel
  • Exklusiver Modus (Benutzerüberschreibung)
  • Filterung aufgrund der lokalen Organisation übersprungen
  • IP-Regionsfilter aus richtlinie
  • Sprachfilter aus Richtlinie
  • Phishing-Simulation
  • Release unter Quarantäne stellen
  • SecOps-Postfach
  • Absenderadressenliste (Administratorüberschreibung)
  • Absenderadressenliste (Benutzerüberschreibung)
  • Absenderdomänenliste (Administratorüberschreibung)
  • Absenderdomänenliste (Benutzerüberschreibung)
  • Dateiblock "Mandanten zulassen/blockieren"
  • E-Mail-Adressblock der Absenderliste für Mandanten zulassen/blockieren
  • Spoofblock "Mandanten zulassen/blockierende Liste"
  • URL-Block "Mandanten zulassen/Blockieren der Liste"
  • Liste vertrauenswürdiger Kontakte (Benutzerüberschreibung)
  • Vertrauenswürdige Domäne (Benutzerüberschreibung)
  • Vertrauenswürdiger Empfänger (Benutzerüberschreibung)
  • Nur Vertrauenswürdige Absender (Benutzerüberschreibung)
Quelle außer Kraft setzen Dieselben Werte wie primäre Außerkraftsetzungsquelle
Richtlinientyp Wählen Sie einen oder mehrere Werte aus:
  • Anti-Schadsoftware-Richtlinie
  • Antiphishingrichtlinie
  • Exchange-Transportregel (Nachrichtenflussregel), Filterrichtlinie für gehostete Inhalte (Antispamrichtlinie), Richtlinie für gehostete ausgehende Spamfilter (Ausgehende Spamrichtlinie), Richtlinie für sichere Anlagen
  • Unknown
Richtlinienaktion Wählen Sie einen oder mehrere Werte aus:
  • Hinzufügen eines x-Headers
  • Bcc-Nachricht
  • Nachricht löschen
  • Betreff ändern
  • In Junk-E-Mail-Ordner verschieben
  • Keine Aktion ausgeführt
  • Umleitungsnachricht
  • Senden in Quarantäne
E-Mail-Größe Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Erweitert
Internetnachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Verfügbar im Feld Message-ID header im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern).
Netzwerknachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.
Sender-IP Text Trennen Sie mehrere Werte durch Kommas.
Anlage SHA256 Text Trennen Sie mehrere Werte durch Kommas.
Cluster-ID Text Trennen Sie mehrere Werte durch Kommas.
Warnungs-ID Text Trennen Sie mehrere Werte durch Kommas.
Warnungsrichtlinien-ID Text Trennen Sie mehrere Werte durch Kommas.
Kampagnen-ID Text Trennen Sie mehrere Werte durch Kommas.
ZAP-URL-Signal Text Trennen Sie mehrere Werte durch Kommas.
Urls
URL-Anzahl Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
URL-Domäne Text Trennen Sie mehrere Werte durch Kommas.
URL-Domäne und -Pfad Text Trennen Sie mehrere Werte durch Kommas.
URL Text Trennen Sie mehrere Werte durch Kommas.
URL-Pfad Text Trennen Sie mehrere Werte durch Kommas.
URL-Quelle Wählen Sie einen oder mehrere Werte aus:
  • Anhänge
  • Cloudanlage
  • E-Mail-Text
  • E-Mail-Kopfzeile
  • QR-Code
  • Subject
  • Unknown
Klicken Sie auf "Urteil". Wählen Sie einen oder mehrere Werte aus:
  • Erlaubt
  • Block überschrieben
  • Gesperrt
  • Error
  • Versagen
  • Keine
  • Ausstehendes Urteil
  • Ausstehendes Urteil umgangen
URL-Bedrohung Wählen Sie einen oder mehrere Werte aus:
  • Schadsoftware
  • Phishing
  • Spam
Datei
Anlagenanzahl Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Dateiname der Anlage Text Trennen Sie mehrere Werte durch Kommas.
Dateityp Text Trennen Sie mehrere Werte durch Kommas.
Dateinamenerweiterung Text Trennen Sie mehrere Werte durch Kommas.
Dateigröße Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Authentifizierung
SPF Wählen Sie einen oder mehrere Werte aus:
  • Fehler
  • Neutral
  • Keine
  • Bestehen
  • Dauerhafter Fehler
  • Weicher Fehler
  • Temporärer Fehler
DKIM Wählen Sie einen oder mehrere Werte aus:
  • Error
  • Fehler
  • Ignore
  • Keine
  • Bestehen
  • Test
  • Timeout
  • Unknown
DMARC Wählen Sie einen oder mehrere Werte aus:
  • Best guess pass
  • Fehler
  • Keine
  • Bestehen
  • Dauerhafter Fehler
  • Selektordurchlauf
  • Temporärer Fehler
  • Unknown
Zusammengesetzt Wählen Sie einen oder mehrere Werte aus:
  • Fehler
  • Keine
  • Bestehen
  • Soft Pass

Pivots für das Diagramm in der Ansicht Schadsoftware in Bedrohungs-Explorer und Echtzeiterkennungen

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die Diagramm-Pivots, die in der Ansicht Schadsoftware im Bedrohungs-Explorer und in Echtzeiterkennungen verfügbar sind, sind in der folgenden Tabelle aufgeführt:

Pivot Bedrohung
Explorer
Echtzeit
Entdeckungen
Malware-Familie
Absenderdomäne
Sender-IP
Übermittlungsaktion
Erkennungstechnologie

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Pivotieren des Malware-Familiendiagramms in der Ansicht "Schadsoftware" im Bedrohungs-Explorer

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Schadsoftwarefamilie der Standard-Diagramm-Pivot in der Ansicht Schadsoftware im Bedrohungs-Explorer.

Der Pivot malware family organisiert das Diagramm nach der Schadsoftwarefamilie, die in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter erkannt wurde.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Schadsoftwarefamilien angezeigt.

Pivotieren des Absenderdomänendiagramms in der Ansicht "Schadsoftware" im Bedrohungs-Explorer

Der Pivot Absenderdomäne organisiert das Diagramm nach der Absenderdomäne von Nachrichten, die schadsoftware für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter enthalten.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absenderdomänen angezeigt.

Pivotieren des Absender-IP-Diagramms in der Ansicht Schadsoftware im Bedrohungs-Explorer

Der Pivot Absender-IP organisiert das Diagramm nach der Quell-IP-Adresse von Nachrichten, die schadsoftware für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter enthalten.

Screenshot des Diagramms in der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen Quell-IP-Adressen angezeigt.

Pivotieren des Übermittlungsaktionsdiagramms in der Ansicht "Schadsoftware" im Bedrohungs-Explorer und in Echtzeiterkennungen

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Übermittlungsaktion der Standarddiagramm-Pivot in der Ansicht Schadsoftware in Echtzeiterkennungen.

Der Pivot "Übermittlungsaktion " organisiert das Diagramm nach den Vorgängen von Nachrichten, die Schadsoftware für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter enthalten.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Übermittlungsaktionen angezeigt.

Diagramm "Erkennungstechnologie" in der Ansicht "Schadsoftware" im Bedrohungs-Explorer und in Echtzeiterkennungen

Der Pivot Erkennungstechnologie organisiert das Diagramm nach dem Feature, das Schadsoftware in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Ansichten für den Detailbereich der Schadsoftwareansicht im Bedrohungs-Explorer und Echtzeiterkennungen

Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Schadsoftwareansicht sind in der folgenden Tabelle aufgeführt und in den folgenden Unterabschnitten beschrieben.

Anzeigen Bedrohung
Explorer
Echtzeit
Entdeckungen
E-Mail
Top-Schadsoftwarefamilien
Am häufigsten ausgerichtete Benutzer
E-Mail-Ursprung
Kampagnen

E-Mail-Ansicht für den Detailbereich der Ansicht Schadsoftware im Bedrohungs-Explorer und Echtzeiterkennungen

E-Mail ist die Standardansicht für den Detailbereich der Ansicht Schadsoftware in Bedrohungs-Explorer und Echtzeiterkennungen.

In der Ansicht E-Mail wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern.

Die folgende Tabelle zeigt die Spalten, die in Bedrohungs-Explorer und Echtzeiterkennungen verfügbar sind. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet.

Spalte Bedrohung
Explorer
Echtzeit
Entdeckungen
Datum*
Betreff*
Empfänger*
Empfängerdomäne
Schilder*
Absenderadresse*
Anzeigename des Absenders
Absenderdomäne*
Sender-IP
Absender-E-Mail von Adresse
Absender-E-Mail aus Domäne
Zusätzliche Aktionen*
Übermittlungsaktion
Letzter Lieferort*
Ursprünglicher Lieferort*
Quelle für Systemüberschreibungen
Systemüberschreibungen
Warnungs-ID
Internetnachrichten-ID
Netzwerknachrichten-ID
E-Mail-Sprache
Exchange-Transportregel
Connector
Context
Regel zur Verhinderung von Datenverlust
Bedrohungstyp*
Erkennungstechnologie
Anlagenanzahl
URL-Anzahl
E-Mail-Größe

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Entfernen Sie Spalten aus der Ansicht.
  • Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wenn Sie einen oder mehrere Einträge aus der Liste auswählen, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, ist aktion ausführen verfügbar. Weitere Informationen finden Sie unter Bedrohungssuche: E-Mail-Korrektur.

Screenshot der E-Mail-Ansicht (Registerkarte) der Detailtabelle mit ausgewählter Nachricht und aktiver Aktion ausführen.

Wenn Sie in einem Eintrag auf die Werte Betreff oder Empfänger klicken, werden Details-Flyouts geöffnet. Diese Flyouts werden in den folgenden Unterabschnitten beschrieben.

E-Mail-Details aus der E-Mail-Ansicht des Detailbereichs in der Schadsoftwareansicht

Wenn Sie den Betreffwert eines Eintrags in der Tabelle auswählen, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als E-Mail-Zusammenfassungsbereich bezeichnet und enthält standardisierte Zusammenfassungsinformationen, die auch auf der Entitätsseite E-Mail für die Nachricht verfügbar sind.

Ausführliche Informationen zu den Informationen im E-Mail-Zusammenfassungsbereich finden Sie unter Die E-Mail-Zusammenfassungsbereiche.

Die verfügbaren Aktionen am oberen Rand des Bereichs "E-Mail-Zusammenfassung" für Bedrohungs-Explorer und Echtzeiterkennungen werden in den E-Mail-Details aus der Ansicht E-Mail des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

Empfängerdetails aus der E-Mail-Ansicht des Detailbereichs in der Schadsoftwareansicht

Wenn Sie einen Eintrag auswählen, indem Sie auf den Wert Empfänger klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Empfängerdetails in der E-Mail-Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

Ansicht der wichtigsten Schadsoftwarefamilien für den Detailbereich der Ansicht "Schadsoftware" im Bedrohungs-Explorer

Die Ansicht Top Malware Familien für den Detailbereich organisiert die Daten in einer Tabelle der wichtigsten Malware-Familien. Die Tabelle zeigt Folgendes:

  • Top Malware Familien Spalte: Der Name der Malware-Familie.

    Wenn Sie einen Malware-Familiennamen auswählen, wird ein Details-Flyout geöffnet, das die folgenden Informationen enthält:

    • E-Mail-Abschnitt : Eine Tabelle mit den folgenden zugehörigen Informationen für Nachrichten, die die Schadsoftwaredatei enthalten:

      • Date
      • Subject
      • Empfänger

      Wählen Sie Alle E-Mails anzeigen aus, um den Bedrohungs-Explorer auf einer neuen Registerkarte zu öffnen, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

    • Abschnitt "Technische Details"

    Screenshot des Details-Flyouts, nachdem Sie eine Malwarefamilie auf der Registerkarte Top-Malwarefamilien des Detailbereichs in der Ansicht Malware des Bedrohungs-Explorers ausgewählt haben.

  • Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird der Bedrohungs-Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

Ansicht der am häufigsten betroffenen Benutzer für den Detailbereich der Ansicht "Schadsoftware" im Bedrohungs-Explorer

Die Ansicht Am häufigsten zielorientierte Benutzer organisiert die Daten in einer Tabelle mit den fünf wichtigsten Empfängern, die von Schadsoftware betroffen sind. Die Tabelle zeigt Folgendes:

  • Benutzer mit den höchsten Zielzielen: Die E-Mail-Adresse des Am häufigsten betroffenen Benutzers. Wenn Sie eine E-Mail-Adresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind identisch mit den Informationen, die in der Ansicht "Benutzer mit den höchsten Zielen" für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer beschrieben sind.

  • Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird der Bedrohungs-Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

Tipp

Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.

E-Mail-Ursprungsansicht für den Detailbereich der Schadsoftwareansicht im Bedrohungs-Explorer

In der E-Mail-Ursprungsansicht werden Nachrichtenquellen auf einer Weltkarte angezeigt.

Kampagnenansicht für den Detailbereich der Ansicht Schadsoftware im Bedrohungs-Explorer

Die Ansicht Kampagne zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.

Die Detailtabelle ist mit der Detailtabelle auf der Seite Kampagnen identisch.

Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Kampagnendetails beschrieben.

Phish-Ansicht im Bedrohungs-Explorer und Echtzeiterkennungen

Die Ansicht "Phishing " in "Bedrohungs-Explorer" und "Echtzeiterkennungen" zeigt Informationen zu E-Mail-Nachrichten an, die als Phishing identifiziert wurden.

Führen Sie zum Öffnen der Phish-Ansicht einen der folgenden Schritte aus:

Screenshot der Ansicht

Filterbare Eigenschaften in der Phish-Ansicht in Bedrohungs-Explorer und Echtzeiterkennungen

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter im Bedrohungs-Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Feld Absenderadresse in der Ansicht Schadsoftware verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft Typ Bedrohung
Explorer
Echtzeit
Entdeckungen
Basic
Absenderadresse Text Trennen Sie mehrere Werte durch Kommas.
Empfänger Text Trennen Sie mehrere Werte durch Kommas.
Absenderdomäne Text Trennen Sie mehrere Werte durch Kommas.
Empfängerdomäne Text Trennen Sie mehrere Werte durch Kommas.
Betreff Text Trennen Sie mehrere Werte durch Kommas.
Anzeigename des Absenders Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail von Adresse Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail aus Domäne Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfad Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfaddomäne Text Trennen Sie mehrere Werte durch Kommas.
Tags Text Trennen Sie mehrere Werte durch Kommas.

Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Identitätswechseldomäne Text Trennen Sie mehrere Werte durch Kommas.
Angenommener Benutzer Text Trennen Sie mehrere Werte durch Kommas.
Exchange-Transportregel Text Trennen Sie mehrere Werte durch Kommas.
Regel zur Verhinderung von Datenverlust Text Trennen Sie mehrere Werte durch Kommas.
Kontext Wählen Sie einen oder mehrere Werte aus:
  • Evaluation
  • Prioritätskontoschutz
Connector Text Trennen Sie mehrere Werte durch Kommas.
Übermittlungsaktion Wählen Sie einen oder mehrere Werte aus:
Zusätzliche Aktion Wählen Sie einen oder mehrere Werte aus:
  • Automatisierte Behebung
  • Dynamische Übermittlung
  • Manuelle Wartung
  • Keine
  • Release unter Quarantäne stellen
  • Aufbereitet
  • ZAP
Directionality Wählen Sie einen oder mehrere Werte aus:
  • Eingehend
  • Intra-irg
  • Ausgehend
Erkennungstechnologie Wählen Sie einen oder mehrere Werte aus:
  • Erweiterter Filter
  • Schutz vor Schadsoftware
  • Masse
  • Kampagnen
  • Domänenreputation
  • Dateidetonation
  • Reputation der Dateidetonation
  • Datei-Reputation
  • Fingerabdruckübereinstimmung
  • Allgemeiner Filter
  • Vorgetäuschte Marke
  • Vorgetäuschte Domäne
  • Vorgetäuschte Benutzeridentität
  • IP-Reputation
  • Mailbox Intelligence-basierte Identitätsvortäuschung
  • Erkennung durch gemischte Analysen
  • Spoofen von DMARC
  • Spoofing externer Domäne
  • Organisationsinternes Spoofing
  • URL-Detonation
  • Reputation der URL-Detonation
  • URL-Reputation als schädlich eingestuft
Ursprünglicher Lieferort Wählen Sie einen oder mehrere Werte aus:
  • Ordner "Gelöschte Elemente"
  • Abgeworfen
  • Fehlgeschlagen
  • Posteingang/Ordner
  • Junk-E-Mail-Ordner
  • Lokal/extern
  • Quarantäne
  • Unknown
Letzter Lieferort Dieselben Werte wie der ursprüngliche Lieferort
Phish-Konfidenzniveau Wählen Sie einen oder mehrere Werte aus:
  • High
  • Normal
Primäre Außerkraftsetzung Wählen Sie einen oder mehrere Werte aus:
  • Durch Organisationsrichtlinie zugelassen
  • Durch Benutzerrichtlinie zugelassen
  • Durch Organisationsrichtlinie blockiert
  • Durch Benutzerrichtlinie blockiert
  • Keine
Primäre Außerkraftsetzungsquelle Nachrichten können mehrere Zulassungs- oder Blocküberschreibungen aufweisen, wie unter Außerkraftsetzungsquelle angegeben. Die Außerkraftsetzung, die die Nachricht letztendlich zugelassen oder blockiert hat, wird in der primären Außerkraftsetzungsquelle identifiziert.
Wählen Sie einen oder mehrere Werte aus:
  • Drittanbieterfilter
  • Vom Administrator initiierte Zeitreise (ZAP)
  • Antischadsoftwarerichtlinienblock nach Dateityp
  • Antispam-Richtlinieneinstellungen
  • Verbindungsrichtlinie
  • Exchange-Transportregel
  • Exklusiver Modus (Benutzerüberschreibung)
  • Filterung aufgrund der lokalen Organisation übersprungen
  • IP-Regionsfilter aus richtlinie
  • Sprachfilter aus Richtlinie
  • Phishing-Simulation
  • Release unter Quarantäne stellen
  • SecOps-Postfach
  • Absenderadressenliste (Administratorüberschreibung)
  • Absenderadressenliste (Benutzerüberschreibung)
  • Absenderdomänenliste (Administratorüberschreibung)
  • Absenderdomänenliste (Benutzerüberschreibung)
  • Dateiblock "Mandanten zulassen/blockieren"
  • E-Mail-Adressblock der Absenderliste für Mandanten zulassen/blockieren
  • Spoofblock "Mandanten zulassen/blockierende Liste"
  • URL-Block "Mandanten zulassen/Blockieren der Liste"
  • Liste vertrauenswürdiger Kontakte (Benutzerüberschreibung)
  • Vertrauenswürdige Domäne (Benutzerüberschreibung)
  • Vertrauenswürdiger Empfänger (Benutzerüberschreibung)
  • Nur Vertrauenswürdige Absender (Benutzerüberschreibung)
Quelle außer Kraft setzen Dieselben Werte wie primäre Außerkraftsetzungsquelle
Richtlinientyp Wählen Sie einen oder mehrere Werte aus:
  • Anti-Schadsoftware-Richtlinie
  • Antiphishingrichtlinie
  • Exchange-Transportregel (Nachrichtenflussregel), Filterrichtlinie für gehostete Inhalte (Antispamrichtlinie), Richtlinie für gehostete ausgehende Spamfilter (Ausgehende Spamrichtlinie), Richtlinie für sichere Anlagen
  • Unknown
Richtlinienaktion Wählen Sie einen oder mehrere Werte aus:
  • Hinzufügen eines x-Headers
  • Bcc-Nachricht
  • Nachricht löschen
  • Betreff ändern
  • In Junk-E-Mail-Ordner verschieben
  • Keine Aktion ausgeführt
  • Umleitungsnachricht
  • Senden in Quarantäne
E-Mail-Größe Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Erweitert
Internetnachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Verfügbar im Feld Message-ID header im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern).
Netzwerknachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.
Sender-IP Text Trennen Sie mehrere Werte durch Kommas.
Anlage SHA256 Text Trennen Sie mehrere Werte durch Kommas.
Cluster-ID Text Trennen Sie mehrere Werte durch Kommas.
Warnungs-ID Text Trennen Sie mehrere Werte durch Kommas.
Warnungsrichtlinien-ID Text Trennen Sie mehrere Werte durch Kommas.
Kampagnen-ID Text Trennen Sie mehrere Werte durch Kommas.
ZAP-URL-Signal Text Trennen Sie mehrere Werte durch Kommas.
Urls
URL-Anzahl Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
URL-Domäne Text Trennen Sie mehrere Werte durch Kommas.
URL-Domäne und -Pfad Text Trennen Sie mehrere Werte durch Kommas.
URL Text Trennen Sie mehrere Werte durch Kommas.
URL-Pfad Text Trennen Sie mehrere Werte durch Kommas.
URL-Quelle Wählen Sie einen oder mehrere Werte aus:
  • Anhänge
  • Cloudanlage
  • E-Mail-Text
  • E-Mail-Kopfzeile
  • QR-Code
  • Subject
  • Unknown
Klicken Sie auf "Urteil". Wählen Sie einen oder mehrere Werte aus:
  • Erlaubt
  • Block überschrieben
  • Gesperrt
  • Error
  • Versagen
  • Keine
  • Ausstehendes Urteil
  • Ausstehendes Urteil umgangen
URL-Bedrohung Wählen Sie einen oder mehrere Werte aus:
  • Schadsoftware
  • Phishing
  • Spam
Datei
Anlagenanzahl Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Dateiname der Anlage Text Trennen Sie mehrere Werte durch Kommas.
Dateityp Text Trennen Sie mehrere Werte durch Kommas.
Dateinamenerweiterung Text Trennen Sie mehrere Werte durch Kommas.
Dateigröße Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Authentifizierung
SPF Wählen Sie einen oder mehrere Werte aus:
  • Fehler
  • Neutral
  • Keine
  • Bestehen
  • Dauerhafter Fehler
  • Weicher Fehler
  • Temporärer Fehler
DKIM Wählen Sie einen oder mehrere Werte aus:
  • Error
  • Fehler
  • Ignore
  • Keine
  • Bestehen
  • Test
  • Timeout
  • Unknown
DMARC Wählen Sie einen oder mehrere Werte aus:
  • Best guess pass
  • Fehler
  • Keine
  • Bestehen
  • Dauerhafter Fehler
  • Selektordurchlauf
  • Temporärer Fehler
  • Unknown
Zusammengesetzt Wählen Sie einen oder mehrere Werte aus:
  • Fehler
  • Keine
  • Bestehen
  • Soft Pass

Pivots für das Diagramm in der Phish-Ansicht in Bedrohungs-Explorer und Echtzeiterkennungen

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die diagrammbasierten Pivots, die in der Ansicht "Phish " im Bedrohungs-Explorer und bei Echtzeiterkennungen verfügbar sind, sind in der folgenden Tabelle aufgeführt:

Pivot Bedrohung
Explorer
Echtzeit
Entdeckungen
Absenderdomäne
Sender-IP
Übermittlungsaktion
Erkennungstechnologie
Vollständige URL
URL-Domäne
URL-Domäne und -Pfad

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Sender domain chart pivot in the Phish view in Threat Explorer and Real-time detections

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Absenderdomäne der Standarddiagramm-Pivot in der Phish-Ansicht in Echtzeiterkennungen.

Der Pivot Absenderdomäne organisiert das Diagramm nach den Domänen in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absenderdomänen angezeigt.

Pivot des Absender-IP-Diagramms in der Phish-Ansicht im Bedrohungs-Explorer

Der Pivot Absender-IP organisiert das Diagramm nach den Quell-IP-Adressen von Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen Quell-IP-Adressen angezeigt.

Pivotieren des Übermittlungsaktionsdiagramms in der Ansicht "Phish" in Bedrohungs-Explorer und Echtzeiterkennungen

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Übermittlungsaktion der Standard-Diagramm-Pivot in der Phish-Ansicht im Bedrohungs-Explorer.

Der Pivot "Übermittlungsaktion " organisiert das Diagramm nach den Aktionen, die für Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter ausgeführt werden.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Übermittlungsaktionen angezeigt.

Diagramm zur Erkennungstechnologie in der Ansicht "Phish" in "Bedrohungs-Explorer" und "Echtzeiterkennungen"

Der Pivot "Erkennungstechnologie " organisiert das Diagramm nach dem Feature, das die Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Pivot für vollständige URL-Diagramme in der Ansicht "Phish" im Bedrohungs-Explorer

Der Pivot "Vollständige URL " organisiert das Diagramm nach den vollständigen URLs in Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen vollständigen URLs angezeigt.

Url-Domänendiagramm-Pivot in der Ansicht "Phish" in Bedrohungs-Explorer und Echtzeiterkennungen

Der URL-Domänen-Pivot organisiert das Diagramm nach den Domänen in URLs in Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.

Url-Domänen- und Pfaddiagramm-Pivot in der Ansicht "Phish" im Bedrohungs-Explorer

Der URL-Domänen- und Pfad-Pivot organisiert das Diagramm nach den Domänen und Pfaden in URLs in Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede URL-Domäne und jeden Pfad angezeigt.

Ansichten für den Detailbereich der Phish-Ansicht im Bedrohungs-Explorer

Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Phish-Ansicht sind in der folgenden Tabelle aufgeführt und in den folgenden Unterabschnitten beschrieben.

Anzeigen Bedrohung
Explorer
Echtzeit
Entdeckungen
E-Mail
URL-Klicks
Top-URLs
Top-Klicks
Am häufigsten ausgerichtete Benutzer
E-Mail-Ursprung
Kampagnen

E-Mail-Ansicht für den Detailbereich der Phish-Ansicht in Bedrohungs-Explorer und Echtzeiterkennungen

E-Mail ist die Standardansicht für den Detailbereich der Phish-Ansicht in Bedrohungs-Explorer und Echtzeiterkennungen.

In der Ansicht E-Mail wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern.

Die folgende Tabelle zeigt die Spalten, die in Bedrohungs-Explorer und Echtzeiterkennungen verfügbar sind. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet.

Spalte Bedrohung
Explorer
Echtzeit
Entdeckungen
Datum*
Betreff*
Empfänger*
Empfängerdomäne
Schilder*
Absenderadresse*
Anzeigename des Absenders
Absenderdomäne*
Sender-IP
Absender-E-Mail von Adresse
Absender-E-Mail aus Domäne
Zusätzliche Aktionen*
Übermittlungsaktion
Letzter Lieferort*
Ursprünglicher Lieferort*
Quelle für Systemüberschreibungen
Systemüberschreibungen
Warnungs-ID
Internetnachrichten-ID
Netzwerknachrichten-ID
E-Mail-Sprache
Exchange-Transportregel
Connector
Phish-Konfidenzniveau
Context
Regel zur Verhinderung von Datenverlust
Bedrohungstyp*
Erkennungstechnologie
Anlagenanzahl
URL-Anzahl
E-Mail-Größe

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Entfernen Sie Spalten aus der Ansicht.
  • Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wenn Sie einen oder mehrere Einträge aus der Liste auswählen, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, ist aktion ausführen verfügbar. Weitere Informationen finden Sie unter Bedrohungssuche: E-Mail-Korrektur.

Screenshot der E-Mail-Ansicht (Registerkarte) der Detailtabelle mit ausgewählter Nachricht und aktiver Aktion ausführen.

Wenn Sie in einem Eintrag auf die Werte Betreff oder Empfänger klicken, werden Details-Flyouts geöffnet. Diese Flyouts werden in den folgenden Unterabschnitten beschrieben.

E-Mail-Details aus der E-Mail-Ansicht des Detailbereichs in der Phish-Ansicht

Wenn Sie den Betreffwert eines Eintrags in der Tabelle auswählen, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als E-Mail-Zusammenfassungsbereich bezeichnet und enthält standardisierte Zusammenfassungsinformationen, die auch auf der Entitätsseite E-Mail für die Nachricht verfügbar sind.

Ausführliche Informationen zu den Informationen im Bereich "E-Mail-Zusammenfassung" finden Sie unter Der Bereich "E-Mail-Zusammenfassung" in Defender für Office 365-Features.

Die verfügbaren Aktionen am oberen Rand des Bereichs "E-Mail-Zusammenfassung" für Bedrohungs-Explorer und Echtzeiterkennungen werden in den E-Mail-Details aus der Ansicht E-Mail des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

Empfängerdetails aus der E-Mail-Ansicht des Detailbereichs in der Phish-Ansicht

Wenn Sie einen Eintrag auswählen, indem Sie auf den Wert Empfänger klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Empfängerdetails in der E-Mail-Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

Ansicht "URL-Klicks" für den Detailbereich der Phish-Ansicht im Bedrohungs-Explorer und in Echtzeiterkennungen

In der Ansicht URL-Klicks wird ein Diagramm angezeigt, das mithilfe von Pivots organisiert werden kann. Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die diagrammbasierten Pivots, die in der Ansicht Schadsoftware im Bedrohungs-Explorer und bei Echtzeiterkennungen verfügbar sind, werden in der folgenden Tabelle beschrieben:

Pivot Bedrohung
Explorer
Echtzeit
Entdeckungen
URL-Domäne
Klicken Sie auf "Urteil".
URL
URL-Domäne und -Pfad

Die gleichen Diagramm-Pivots sind verfügbar und werden für die Ansicht Alle E-Mails im Bedrohungs-Explorer beschrieben:

Screenshot des Detailbereichs der Ansicht

Tipp

Im Bedrohungs-Explorer verfügt jeder Pivot in der Ansicht "URL-Klicks" über die Aktion Alle Klicks anzeigen, die die Ansicht "URL-Klicks" im Bedrohungs-Explorer auf einer neuen Registerkarte öffnet. Diese Aktion ist in Echtzeiterkennungen nicht verfügbar, da die Ansicht URL-Klicks in Echtzeiterkennungen nicht verfügbar ist.

Ansicht "Top URLs" für den Detailbereich der Phish-Ansicht im Bedrohungs-Explorer und Echtzeiterkennungen

In der Ansicht Top URLs wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

  • URL
  • Blockierte Nachrichten
  • Nachrichten mit Junk-E-Mail
  • Übermittelte Nachrichten
Details zu den wichtigsten URLs für die Phish-Ansicht

Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.

Tipp

Die Aktion Gehe zur Suche ist nur im Bedrohungs-Explorer verfügbar. Sie ist in Echtzeiterkennungen nicht verfügbar.

Ansicht mit den höchsten Klicks für den Detailbereich der Phish-Ansicht in Bedrohungs-Explorer und Echtzeiterkennungen

In der Ansicht Mit den höchsten Klicks wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

  • URL
  • Gesperrt
  • Allowed
  • Block überschrieben
  • Ausstehendes Urteil
  • Ausstehendes Urteil umgangen
  • Keine
  • Fehlerseite
  • Versagen

Tipp

Alle verfügbaren Spalten sind ausgewählt. Wenn Sie Spalten anpassen auswählen, können Sie die Auswahl von Spalten nicht aufheben.

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Verkleineren Sie in Ihrem Webbrowser.

Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.

Ansicht der am häufigsten betroffenen Benutzer für den Detailbereich der Phish-Ansicht im Bedrohungs-Explorer

In der Ansicht Am häufigsten ausgerichtete Benutzer werden die Daten in einer Tabelle mit den fünf wichtigsten Empfängern organisiert, die von Phishingversuchen betroffen waren. Die Tabelle zeigt Folgendes:

  • Benutzer mit den höchsten Zielzielen: Die E-Mail-Adresse des Am häufigsten betroffenen Benutzers. Wenn Sie eine E-Mail-Adresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind identisch mit den Informationen, die in der Ansicht "Benutzer mit den höchsten Zielen" für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer beschrieben sind.

  • Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird der Bedrohungs-Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

Tipp

Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.

E-Mail-Ursprungsansicht für den Detailbereich der Phish-Ansicht im Bedrohungs-Explorer

In der E-Mail-Ursprungsansicht werden Nachrichtenquellen auf einer Weltkarte angezeigt.

Kampagnenansicht für den Detailbereich der Phish-Ansicht im Bedrohungs-Explorer

Die Ansicht Kampagne zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.

Die Informationen in der Tabelle sind die gleichen wie in der Detailtabelle auf der Seite Kampagnen beschrieben.

Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Kampagnendetails beschrieben.

Kampagnenansicht im Bedrohungs-Explorer

Die Ansicht Kampagnen im Bedrohungs-Explorer zeigt Informationen zu Bedrohungen, die als koordinierte Phishing- und Schadsoftwareangriffe identifiziert wurden, entweder speziell für Ihre Organisation oder für andere Organisationen in Microsoft 365.

Um die Ansicht Kampagnen auf der Explorer-Seite im Defender-Portal unter https://security.microsoft.comzu öffnen, wechseln Sie zur Registerkarte E-Mail &Zusammenarbeits-Explorer>> Kampagnen. Oder navigieren Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte Kampagnen aus.

Alle verfügbaren Informationen und Aktionen sind mit den Informationen und Aktionen auf der Seite Kampagnen unter https://security.microsoft.com/campaignsv3identisch. Weitere Informationen finden Sie unter Kampagnenseite im Microsoft Defender-Portal.

Screenshot der Ansicht

Ansicht von Schadsoftware im Bedrohungs-Explorer und Echtzeiterkennungen

Die Ansicht Inhalt Schadsoftware im Bedrohungs-Explorer und Echtzeiterkennungen zeigt Informationen zu Dateien an, die als Schadsoftware identifiziert wurden:

Führen Sie einen der folgenden Schritte aus, um die Ansicht Schadsoftware inhalt zu öffnen:

Screenshot der Ansicht

Filterbare Eigenschaften in der Ansicht "Inhalt schadsoftware" im Bedrohungs-Explorer und Echtzeiterkennungen

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter im Bedrohungs-Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Feld Dateiname in der Ansicht Schadsoftware inhalt im Bedrohungs-Explorer und Echtzeiterkennungen verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft Typ Bedrohung
Explorer
Echtzeit
Entdeckungen
Datei
Dateiname Text Trennen Sie mehrere Werte durch Kommas.
Arbeitslast Wählen Sie einen oder mehrere Werte aus:
  • OneDrive
  • SharePoint
  • Microsoft Teams
Website Text Trennen Sie mehrere Werte durch Kommas.
Dateibesitzer Text Trennen Sie mehrere Werte durch Kommas.
Zuletzt geändert von Text Trennen Sie mehrere Werte durch Kommas.
SHA256 Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.

Um den SHA256-Hashwert einer Datei in Windows zu ermitteln, führen Sie den folgenden Befehl an einer Eingabeaufforderung aus: certutil.exe -hashfile "<Path>\<Filename>" SHA256.
Malware-Familie Text Trennen Sie mehrere Werte durch Kommas.
Erkennungstechnologie Wählen Sie einen oder mehrere Werte aus:
  • Erweiterter Filter
  • Schutz vor Schadsoftware
  • Masse
  • Kampagnen
  • Domänenreputation
  • Dateidetonation
  • Reputation der Dateidetonation
  • Datei-Reputation
  • Fingerabdruckübereinstimmung
  • Allgemeiner Filter
  • Vorgetäuschte Marke
  • Vorgetäuschte Domäne
  • Vorgetäuschte Benutzeridentität
  • IP-Reputation
  • Mailbox Intelligence-basierte Identitätsvortäuschung
  • Erkennung durch gemischte Analysen
  • Spoofen von DMARC
  • Spoofing externer Domäne
  • Organisationsinternes Spoofing
  • URL-Detonation
  • Reputation der URL-Detonation
  • URL-Reputation als schädlich eingestuft
Bedrohungstyp Wählen Sie einen oder mehrere Werte aus:
  • Blockieren
  • Schadsoftware
  • Phishing
  • Spam

Pivots für das Diagramm in der Ansicht "Inhalt schadsoftware" im Bedrohungs-Explorer und in Echtzeiterkennungen

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die Diagramm-Pivots, die in der Ansicht Schadsoftware inhalt im Bedrohungs-Explorer und Echtzeiterkennungen verfügbar sind, sind in der folgenden Tabelle aufgeführt:

Pivot Bedrohung
Explorer
Echtzeit
Entdeckungen
Malware-Familie
Erkennungstechnologie
Arbeitslast

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Diagramm zur Schadsoftwarefamilie in der Ansicht "Inhalt schadsoftware" im Bedrohungs-Explorer und echtzeitbasierte Erkennungen

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Malware-Familie der Standarddiagramm-Pivot in der Ansicht "Inhalt schadsoftware " in Bedrohungs-Explorer und Echtzeiterkennungen.

Der Pivot der Schadsoftwarefamilie organisiert das Diagramm anhand der schadsoftware, die in Dateien in SharePoint, OneDrive und Microsoft Teams identifiziert wurde, indem der angegebene Datums-/Uhrzeitbereich und Eigenschaftenfilter verwendet werden.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Schadsoftwarefamilien angezeigt.

Diagramm "Erkennungstechnologie" in der Ansicht "Inhalt schadsoftware" im Bedrohungs-Explorer und In Echtzeiterkennungen

Der Pivot Erkennungstechnologie organisiert das Diagramm nach dem Feature, das Schadsoftware in Dateien in SharePoint, OneDrive und Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Pivotieren des Workloaddiagramms in der Ansicht "Inhalt schadsoftware" im Bedrohungs-Explorer und Echtzeiterkennungen

Der Pivot Workload organisiert das Diagramm nach dem Ort, an dem die Schadsoftware identifiziert wurde (SharePoint, OneDrive oder Microsoft Teams) für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede Workload angezeigt.

Ansichten für den Detailbereich der Ansicht "Inhalt schadsoftware" im Bedrohungs-Explorer und Echtzeiterkennungen

In Bedrohungs-Explorer und Echtzeiterkennungen enthält der Detailbereich der Ansicht "Inhalt schadsoftware " nur eine Ansicht (Registerkarte) mit dem Namen Dokumente. Diese Ansicht wird im folgenden Unterabschnitt beschrieben.

Dokumentansicht für den Detailbereich der Ansicht Schadsoftware im Bedrohungs-Explorer und Echtzeiterkennungen

Dokument ist die standard- und einzige Ansicht für den Detailbereich in der Ansicht Schadsoftware inhalt .

In der Dokumentansicht wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:

  • Datum*
  • Name*
  • Arbeitsbelastung*
  • Bedrohung*
  • Erkennungstechnologie*
  • Zuletzt geänderter Benutzer*
  • Dateibesitzer*
  • Größe (Bytes)*
  • Zeitpunkt der letzten Änderung
  • Websitepfad
  • Dateipfad
  • Dokument-ID
  • SHA256
  • Erkanntes Datum
  • Malware-Familie
  • Context

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Entfernen Sie Spalten aus der Ansicht.
  • Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wenn Sie in der Spalte Name einen Dateinamenwert auswählen, wird ein Details-Flyout geöffnet. Das Flyout enthält die folgenden Informationen:

  • Zusammenfassungsabschnitt :

    • Filename
    • Websitepfad
    • Dateipfad
    • Dokument-ID
    • SHA256
    • Datum der letzten Änderung
    • Zuletzt geändert von
    • Bedrohung
    • Erkennungstechnologie
  • Detailabschnitt :

    • Erkanntes Datum
    • Erkannt von
    • Name der Schadsoftware
    • Zuletzt geändert von
    • Dateigröße
    • Dateibesitzer
  • Abschnitt "E-Mail-Liste ": Eine Tabelle mit den folgenden zugehörigen Informationen für Nachrichten, die die Schadsoftwaredatei enthalten:

    • Date
    • Subject
    • Empfänger

    Wählen Sie Alle E-Mails anzeigen aus, um den Bedrohungs-Explorer auf einer neuen Registerkarte zu öffnen, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

  • Letzte Aktivität: Zeigt die zusammengefassten Ergebnisse einer Überwachungsprotokollsuche für den Empfänger an:

    • Date
    • IP-Adresse
    • Aktivität
    • Item

    Wenn der Empfänger über mehr als drei Überwachungsprotokolleinträge verfügt, wählen Sie Alle zuletzt ausgeführten Aktivitäten anzeigen aus, um alle anzuzeigen.

    Tipp

    Mitglieder der Rollengruppe Sicherheitsadministratoren in E-Mail-&-Zusammenarbeitsberechtigungen können den Abschnitt Letzte Aktivität nicht erweitern. Sie müssen Mitglied einer Rollengruppe in Exchange Online-Berechtigungen sein, der die Rollen Überwachungsprotokolle, Information Protection Analyst oder Information Protection Investigator zugewiesen sind. Standardmäßig werden diese Rollen den Rollengruppen Datensatzverwaltung, Complianceverwaltung, Information Protection, Information Protection-Analysten, Information Protection-Ermittler und Organisationsverwaltung zugewiesen. Sie können die Mitglieder von Sicherheitsadministratoren diesen Rollengruppen hinzufügen oder eine neue Rollengruppe mit der zugewiesenen Rolle Überwachungsprotokolle erstellen.

Screenshot des Details-Flyouts aus der Dokumentansicht für den Detailbereich der Ansicht

Ansicht "URL-Klicks" im Bedrohungs-Explorer

In der Ansicht URL-Klicks im Bedrohungs-Explorer werden alle Benutzerklicks auf URLs in E-Mails, in unterstützten Office-Dateien in SharePoint und OneDrive sowie in Microsoft Teams angezeigt.

Um die Ansicht URL-Klicks auf der Seite Explorer im Defender-Portal unter https://security.microsoft.comzu öffnen, wechseln Sie zur Registerkarte E-Mail-&Url-Klicks imExplorer> für die Zusammenarbeit>. Oder wechseln Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte URL-Klicks aus.

Screenshot der Ansicht

Filterbare Eigenschaften in der Ansicht "URL-Klicks" im Bedrohungs-Explorer

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter im Bedrohungs-Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Feld Empfänger in der Ansicht URL-Klicks im Bedrohungs-Explorer verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft Typ
Basic
Empfänger Text Trennen Sie mehrere Werte durch Kommas.
Tags Text Trennen Sie mehrere Werte durch Kommas.

Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Netzwerknachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.
URL Text Trennen Sie mehrere Werte durch Kommas.
Klickaktion Wählen Sie einen oder mehrere Werte aus:
  • Erlaubt
  • Seite "Blockieren"
  • Außerkraftsetzung von Blockseiten
  • Fehlerseite
  • Versagen
  • Keine
  • Seite "Ausstehende Detonation"
  • Außerkraftsetzung der Ausstehender Detonation
Bedrohungstyp Wählen Sie einen oder mehrere Werte aus:
  • Zulassen
  • Blockieren
  • Schadsoftware
  • Phishing
  • Spam
Erkennungstechnologie Wählen Sie einen oder mehrere Werte aus:
  • URL-Detonation
  • Reputation der URL-Detonation
  • URL-Reputation als schädlich eingestuft
Klicken Sie auf ID. Text Trennen Sie mehrere Werte durch Kommas.
Client-IP Text Trennen Sie mehrere Werte durch Kommas.

Pivots für das Diagramm in der Ansicht "URL-Klicks" im Bedrohungs-Explorer

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

URL-Domänendiagramm-Pivot in der Ansicht "URL-Klicks" im Bedrohungs-Explorer

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die URL-Domäne der Standarddiagramm-Pivot in der Ansicht URL-Klicks .

Der URL-Domänen-Pivot organisiert das Diagramm nach den Domänen in URLs, auf die Benutzer in E-Mails, Office-Dateien oder Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter geklickt haben.

Screenshot des Diagramms in der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.

Pivotieren des Arbeitsauslastungsdiagramms in der Ansicht "URL-Klicks" im Bedrohungs-Explorer

Der Pivot Workload organisiert das Diagramm nach der Position der angeklickten URL (E-Mail, Office-Dateien oder Microsoft Teams) für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede Workload angezeigt.

Diagramm "Erkennungstechnologie" in der Ansicht "URL-Klicks" im Bedrohungs-Explorer

Der Pivot Erkennungstechnologie organisiert das Diagramm nach dem Feature, das die URL-Klicks in E-Mails, Office-Dateien oder Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Diagramm des Bedrohungstyps in der Ansicht "URL-Klicks" im Bedrohungs-Explorer

Der Pivot Bedrohungstyp organisiert das Diagramm nach den Ergebnissen der urLs in E-Mails, Office-Dateien oder Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen Bedrohungstypen angezeigt.

Ansichten für den Detailbereich der Ansicht "URL-Klicks" im Bedrohungs-Explorer

Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Ansicht URL-Klicks werden in den folgenden Unterabschnitten beschrieben.

Ergebnisansicht für den Detailbereich der Ansicht "URL-Klicks" im Bedrohungs-Explorer

Ergebnisse ist die Standardansicht für den Detailbereich in der Ansicht URL-Klicks .

In der Ansicht Ergebnisse wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle Spalten ausgewählt:

  • Angeklickte Uhrzeit
  • Empfänger
  • URL-Klickaktion
  • URL
  • Tags
  • Netzwerknachrichten-ID
  • Klicken Sie auf ID.
  • Client-IP
  • URL-Kette
  • Bedrohungstyp
  • Erkennungstechnologie

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Entfernen Sie Spalten aus der Ansicht.
  • Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wählen Sie einen Eintrag oder einen Eintrag aus, indem Sie das Kontrollkästchen neben der ersten Spalte in der Zeile aktivieren, und wählen Sie dann Alle E-Mails anzeigen aus, um den Bedrohungs-Explorer in der Ansicht Alle E-Mails auf einer neuen Registerkarte zu öffnen, die nach den Netzwerknachrichten-ID-Werten der ausgewählten Nachrichten gefiltert ist.

Ansicht mit den ersten Klicks für den Detailbereich der Ansicht "URL-Klicks" im Bedrohungs-Explorer

In der Ansicht Mit den höchsten Klicks wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

  • URL
  • Gesperrt
  • Allowed
  • Block überschrieben
  • Ausstehendes Urteil
  • Ausstehendes Urteil umgangen
  • Keine
  • Fehlerseite
  • Versagen

Tipp

Alle verfügbaren Spalten sind ausgewählt. Wenn Sie Spalten anpassen auswählen, können Sie die Auswahl von Spalten nicht aufheben.

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Verkleineren Sie in Ihrem Webbrowser.

Wählen Sie einen Eintrag aus, indem Sie das Kontrollkästchen neben der ersten Spalte in der Zeile aktivieren, und wählen Sie dann Alle Klicks anzeigen aus, um den Bedrohungs-Explorer in einer neuen Registerkarte in der Url-Klickansicht zu öffnen.

Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.

Ansicht mit den wichtigsten Zielbenutzern für den Detailbereich der Ansicht "URL-Klicks" im Bedrohungs-Explorer

In der Ansicht Am häufigsten ausgerichtete Benutzer werden die Daten in einer Tabelle der fünf wichtigsten Empfänger organisiert, die auf URLs geklickt haben. Die Tabelle zeigt Folgendes:

  • Benutzer mit den höchsten Zielzielen: Die E-Mail-Adresse des Am häufigsten betroffenen Benutzers. Wenn Sie eine E-Mail-Adresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind identisch mit den Informationen, die in der Ansicht "Benutzer mit den höchsten Zielen" für den Detailbereich der Ansicht "Alle E-Mails" im Bedrohungs-Explorer beschrieben sind.

  • Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird der Bedrohungs-Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

Tipp

Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.

Eigenschaftenfilter in Bedrohungs-Explorer und Echtzeiterkennungen

Die grundlegende Syntax eines Eigenschaftenfilters/einer -Abfrage lautet:

Bedingung = <Filtereigenschaft><Filteroperator><Eigenschaftswert oder -werte>

Für mehrere Bedingungen wird die folgende Syntax verwendet:

<Bedingung1><UND | OR><Bedingung2><AND | OR><Bedingung3>... <AND | OR><ConditionN>

Tipp

In Text- oder Ganzzahlwerten werden keine Wildcardsuchen (* oder ?) unterstützt. Die Subject-Eigenschaft verwendet partielle Textabgleiche und liefert Ergebnisse, die einer Wildcardsuche ähneln.

Die Schritte zum Erstellen von Eigenschaftenfilter-/Abfragebedingungen sind in allen Ansichten in Bedrohungs-Explorer und Echtzeiterkennungen identisch:

  1. Identifizieren Sie die Filtereigenschaft mithilfe der Tabellen in den Beschreibungsabschnitten der Vorschauansicht weiter oben in diesem Artikel.

  2. Wählen Sie einen verfügbaren Filteroperator aus. Die verfügbaren Filteroperatoren hängen vom Eigenschaftentyp ab, wie in der folgenden Tabelle beschrieben:

    Filteroperator Eigenschaftentyp
    Gleich "any" von Text
    Ganze Zahl
    Diskrete Werte
    Gleich keine von Text
    Diskrete Werte
    Größer als Ganze Zahl
    Weniger als Ganze Zahl
  3. Geben Sie einen oder mehrere Eigenschaftswerte ein, oder wählen Sie sie aus. Für Textwerte und ganze Zahlen können Sie mehrere Werte durch Kommas getrennt eingeben.

    Mehrere Werte im Eigenschaftswert verwenden den logischen OR-Operator. Absenderadresse>Gleich>bob@fabrikam.com,cindy@fabrikam.com bedeutet z. B. Absenderadresse>gleich oder>bob@fabrikam.comcindy@fabrikam.com.

    Nachdem Sie einen oder mehrere Eigenschaftswerte eingegeben oder ausgewählt haben, wird die abgeschlossene Filterbedingung unterhalb der Filtererstellungsfelder angezeigt.

    Tipp

    Bei Eigenschaften, bei denen Sie einen oder mehrere verfügbare Werte auswählen müssen, führt die Verwendung der Eigenschaft in der Filterbedingung mit allen ausgewählten Werten zu demselben Ergebnis wie die Verwendung der Eigenschaft in der Filterbedingung.

  4. Um eine weitere Bedingung hinzuzufügen, wiederholen Sie die vorherigen drei Schritte.

    Die Bedingungen unterhalb der Filtererstellungsfelder werden durch den logischen Operator getrennt, der zum Zeitpunkt der Erstellung der zweiten oder nachfolgenden Bedingungen ausgewählt wurde. Der Standardwert ist AND, Sie können aber auch ODER auswählen.

    Derselbe logische Operator wird zwischen allen Bedingungen verwendet: Sie sind alle AND oder sind alle OR. Um die vorhandenen logischen Operatoren zu ändern, wählen Sie das Feld logischer Operator und dann AND oder OR aus.

    Um eine vorhandene Bedingung zu bearbeiten, doppelklicken Sie darauf, um die ausgewählte Eigenschaft, den Filteroperator und die Werte wieder in die entsprechenden Felder zu bringen.

    Um eine vorhandene Bedingung zu entfernen, wählen Sie die Bedingung aus.

  5. Um den Filter auf das Diagramm und die Detailtabelle anzuwenden, wählen Sie Aktualisieren aus.

    Screenshot einer Beispielabfrage im Bedrohungs-Explorer oder in Echtzeiterkennungen mit mehreren Bedingungen.

Gespeicherte Abfragen im Bedrohungs-Explorer

Tipp

Die Speicherabfrage ist Teil von Bedrohungstrackern und nicht in Echtzeiterkennungen verfügbar. Gespeicherte Abfragen und Bedrohungsnachverfolgungen sind nur in Defender für Office 365 Plan 2 verfügbar.

Die Abfrage speichern ist in der Ansicht "Inhalt schadsoftware" nicht verfügbar.

Mit den meisten Ansichten im Bedrohungs-Explorer können Sie Filter (Abfragen) zur späteren Verwendung speichern. Gespeicherte Abfragen sind auf der Seite Bedrohungsnachverfolgung im Defender-Portal unter https://security.microsoft.com/threattrackerv2verfügbar. Weitere Informationen zu Bedrohungstrackern finden Sie unter Bedrohungsnachverfolgungen in Microsoft Defender für Office 365 Plan 2.

Führen Sie die folgenden Schritte aus, um Abfragen im Bedrohungs-Explorer zu speichern:

  1. Nachdem Sie den Filter/die Abfrage wie zuvor beschrieben erstellt haben, wählen Sie Abfrage> speichernAbfrage speichern Aus.

  2. Konfigurieren Sie im daraufhin geöffneten Flyout Abfrage speichern die folgenden Optionen:

    • Abfragename: Geben Sie einen eindeutigen Namen für die Abfrage ein.
    • Wählen Sie eine der folgenden Optionen aus:
      • Genaue Datumsangaben: Wählen Sie in den Feldern ein Start- und Enddatum aus. Das älteste Startdatum, das Sie auswählen können, liegt 30 Tage vor dem heutigen Tag. Das neueste Enddatum, das Sie auswählen können, ist heute.
      • Relative Datumsangaben: Wählen Sie die Anzahl der Tage in show last nn days when search is run (Letzte nn Tage anzeigen) aus. Der Standardwert ist 7, Aber Sie können 1 bis 30 auswählen.
    • Abfrage nachverfolgen: Diese Option ist standardmäßig nicht ausgewählt. Diese Option wirkt sich darauf aus, ob die Abfrage automatisch ausgeführt wird:
      • Abfrage nachverfolgen nicht ausgewählt: Die Abfrage kann manuell im Bedrohungs-Explorer ausgeführt werden. Die Abfrage wird auf der Registerkarte Gespeicherte Abfragen auf der Seite Bedrohungsnachverfolgung mit der Eigenschaft "Nachverfolgte Abfrage"gespeichert.
      • Ausgewählte Abfrage nachverfolgen : Die Abfrage wird in regelmäßigen Abständen im Hintergrund ausgeführt. Die Abfrage ist auf der Registerkarte Gespeicherte Abfragen auf der Seite Bedrohungsnachverfolgung mit dem Wert der Eigenschaft "Nachverfolgte Abfrage " verfügbar. Die regelmäßigen Ergebnisse der Abfrage werden auf der Registerkarte Nachverfolgte Abfragen auf der Seite Bedrohungsnachverfolgung angezeigt.

    Wenn Sie mit dem Flyout Abfrage speichern fertig sind, wählen Sie Speichern und dann im Bestätigungsdialogfeld OK aus.

Screenshot des Flyouts

Auf den Registerkarten Gespeicherte Abfrage oder Nachverfolgte Abfrage auf der Seite Bedrohungsnachverfolgung im Defender-Portal unter https://security.microsoft.com/threattrackerv2können Sie in der Spalte Aktionendie Option Durchsuchen auswählen, um die Abfrage im Bedrohungs-Explorer zu öffnen und zu verwenden.

Wenn Sie die Abfrage öffnen, indem Sie auf der Seite Bedrohungsnachverfolgungauf Erkunden klicken, sind die Einstellungen Abfrage speichern unter und Gespeicherte Abfrage jetzt auf der Seite Explorer unter Abfrage speichern verfügbar:

  • Wenn Sie Abfrage speichern unter auswählen, wird das Flyout Abfrage speichern mit allen zuvor ausgewählten Einstellungen geöffnet. Wenn Sie Änderungen vornehmen, wählen Sie Speichern aus, und klicken Sie dann im Dialogfeld Erfolg auf OK. Die aktualisierte Abfrage wird als neue Abfrage auf der Seite Bedrohungsnachverfolgung gespeichert (Möglicherweise müssen Sie Aktualisieren auswählen, um sie anzuzeigen).

  • Wenn Sie Gespeicherte Abfrageeinstellungen auswählen, wird das Flyout Gespeicherte Abfrageeinstellungen geöffnet, in dem Sie die Datums- und Nachverfolgungsabfrageeinstellungen der vorhandenen Abfrage aktualisieren können.

Screenshot: Abfrage im Bedrohungs-Explorer speichern mit verfügbaren Einstellungen

Weitere Informationen