Informationen zu bedrohungsbasierten Explorer und Echtzeiterkennungen in Microsoft Defender for Office 365

• Gilt für::

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Microsoft 365-Organisationen, die Microsoft Defender for Office 365 in ihrem Abonnement enthalten oder als Add-On erworben haben, verfügen über Explorer (auch als Bedrohungs-Explorer bezeichnet) oder Echtzeiterkennungen. Diese Features sind leistungsstarke Berichterstellungstools nahezu in Echtzeit, mit denen Security Operations-Teams (SecOps) Bedrohungen untersuchen und darauf reagieren können.

Abhängig von Ihrem Abonnement sind Explorer Bedrohungserkennungen oder Echtzeiterkennungen im Abschnitt Email & Zusammenarbeit im Microsoft Defender-Portal unter https://security.microsoft.comverfügbar:

• Echtzeiterkennungen sind in Defender for Office 365 Plan 1 verfügbar. Die Seite Echtzeiterkennungen ist direkt unter https://security.microsoft.com/realtimereportsv3verfügbar.

  

• Threat Explorer ist in Defender for Office 365 Plan 2 verfügbar. Die Seite Explorer ist direkt unter https://security.microsoft.com/threatexplorerv3verfügbar.

  

Threat Explorer enthält die gleichen Informationen und Funktionen wie Echtzeiterkennungen, aber mit den folgenden zusätzlichen Features:

• Weitere Ansichten.
• Weitere Optionen zum Filtern von Eigenschaften, einschließlich der Option zum Speichern von Abfragen.
• Weitere Aktionen.

Weitere Informationen zu den Unterschieden zwischen Defender for Office 365 Plan 1 und Plan 2 finden Sie im Spickzettel Defender for Office 365 Plan 1 vs. Plan 2.

Im weiteren Verlauf dieses Artikels werden die Ansichten und Features erläutert, die unter Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar sind.

Tipp

Informationen zu E-Mail-Szenarien mit Bedrohungserkennungen Explorer und Echtzeiterkennungen finden Sie in den folgenden Artikeln:

• Bedrohungssuche in Threat Explorer und Echtzeiterkennungen in Microsoft Defender for Office 365
• Email Sicherheit mit bedrohungsbasierten Explorer und Echtzeiterkennungen in Microsoft Defender for Office 365
• Untersuchen schädlicher E-Mails, die in Microsoft 365 übermittelt wurden

Berechtigungen und Lizenzierung für Bedrohungserkennungen Explorer und Echtzeiterkennungen

Um Explorer- oder Echtzeiterkennungen verwenden zu können, müssen Ihnen Berechtigungen zugewiesen werden. Sie haben folgende Optionen:

• Microsoft Defender XDR einheitliche rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (betrifft nur das Defender-Portal, nicht PowerShell):
  • Lesezugriff für E-Mail- und Teams-Nachrichtenheader: Sicherheitsvorgänge/Rohdaten (E-Mail & Zusammenarbeit)/Email & Metadaten für die Zusammenarbeit (lesen).
  • Vorschau und Herunterladen von E-Mail-Nachrichten: Sicherheitsvorgänge/Rohdaten (E-Mail & Zusammenarbeit)/Email & Zusammenarbeitsinhalte (lesen).
  • Beheben schädlicher E-Mails: Sicherheitsvorgänge/Sicherheitsdaten/Email & erweiterte Aktionen für die Zusammenarbeit (Verwalten).
• Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal:
  • Vollzugriff: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator . Für alle verfügbaren Aktionen sind weitere Berechtigungen erforderlich:
    • Vorschau und Herunterladen von Nachrichten: Erfordert die Vorschaurolle , die standardmäßig nur den Rollengruppen Datenermittler oder eDiscovery-Manager zugewiesen ist. Alternativ können Sie eine neue Rollengruppe mit zugewiesener Vorschaurolle erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
    • Verschieben von Nachrichten in Postfächern und Löschen von Nachrichten aus Postfächern: Erfordert die Rolle "Search" und "Bereinigen", die standardmäßig nur den Rollengruppen "Datenermittler" oder "Organisationsverwaltung" zugewiesen ist. Alternativ können Sie eine neue Rollengruppe mit den zugewiesenen Rollen "Search" und "Bereinigen" erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
  • Schreibgeschützter Zugriff: Mitgliedschaft in der Rollengruppe "Sicherheitsleseberechtigter ".
• Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in diesen Rollen erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365:
  • Vollzugriff: Mitgliedschaft in der Rolle "Globaler Administrator " oder "Sicherheitsadministrator ".
  • Search für Exchange-Nachrichtenflussregeln (Transportregeln) anhand des Namens in Threat Explorer: Mitgliedschaft in den Rollen "Sicherheitsadministrator" oder "Sicherheitsleseberechtigter".
  • Schreibgeschützter Zugriff: Mitgliedschaft in der Rolle "Globaler Leser " oder "Sicherheitsleseberechtigter ".

Tipp

Überwachungsprotokolleinträge werden generiert, wenn Administratoren eine Vorschau anzeigen oder E-Mail-Nachrichten herunterladen. Sie können das Administratorüberwachungsprotokoll nach Benutzer nach AdminMailAccess-Aktivität durchsuchen. Anweisungen hierzu finden Sie unter Audit New Search( Audit New Search).

Um Bedrohungs- Explorer- oder Echtzeiterkennungen verwenden zu können, muss Ihnen eine Lizenz für Defender for Office 365 zugewiesen werden (in Ihrem Abonnement oder in einer Add-On-Lizenz enthalten).

Bedrohungserkennungen Explorer oder Echtzeiterkennungen enthalten Daten für Benutzer, denen Defender for Office 365 Lizenzen zugewiesen sind.

Elemente von Bedrohungs- Explorer und Echtzeiterkennungen

Bedrohungserkennungen Explorer und Echtzeiterkennungen enthalten die folgenden Elemente:

• Ansichten: Registerkarten oben auf der Seite, die Erkennungen nach Bedrohung organisieren. Die Ansicht wirkt sich auf die restlichen Daten und Optionen auf der Seite aus.

  In der folgenden Tabelle sind die verfügbaren Ansichten unter Bedrohungserkennungen Explorer und Echtzeiterkennungen aufgeführt:

  Anzeigen	Bedrohung Explorer	Echtzeit Erkennungen	Beschreibung
  Alle E-Mails	✔		Standardansicht für threat Explorer. Informationen zu allen E-Mail-Nachrichten, die von externen Benutzern an Ihre organization gesendet werden, oder E-Mails, die zwischen internen Benutzern in Ihrem organization gesendet werden.
  Schadsoftware	✔	✔	Standardansicht für Echtzeiterkennungen. Informationen zu E-Mail-Nachrichten, die Schadsoftware enthalten.
  Phishing	✔	✔	Informationen zu E-Mail-Nachrichten, die Phishing-Bedrohungen enthalten.
  Kampagnen	✔		Informationen zu schädlichen E-Mails, die Defender for Office 365 Plan 2 als Teil einer koordinierten Phishing- oder Schadsoftwarekampagne identifiziert wurden.
  Schadsoftware für Inhalte	✔	✔	Informationen zu schädlichen Dateien, die von den folgenden Features erkannt werden: Integrierter Virenschutz in SharePoint, OneDrive und Microsoft Teams Sichere Anlagen für SharePoint, OneDrive und Microsoft Teams
  URL-Klicks	✔		Informationen zu Benutzerklicks auf URLs in E-Mail-Nachrichten, Teams-Nachrichten, SharePoint-Dateien und OneDrive-Dateien.

  Diese Ansichten werden in diesem Artikel ausführlich beschrieben, einschließlich der Unterschiede zwischen Bedrohungserkennungen Explorer und Echtzeiterkennungen.

• Datums-/Uhrzeitfilter: Standardmäßig wird die Ansicht nach gestern und heute gefiltert. Um den Datumsfilter zu ändern, wählen Sie den Datumsbereich und dann Startdatum und Enddatum werte vor 30 Tagen aus.

  

• Eigenschaftenfilter (Abfragen):Filtern Sie die Ergebnisse in der Ansicht nach den verfügbaren Nachrichten-, Datei- oder Bedrohungseigenschaften. Die verfügbaren filterbaren Eigenschaften hängen von der Ansicht ab. Einige Eigenschaften sind in vielen Ansichten verfügbar, während andere Eigenschaften auf eine bestimmte Ansicht beschränkt sind.

  Die verfügbaren Eigenschaftenfilter für jede Ansicht sind in diesem Artikel aufgeführt, einschließlich der Unterschiede zwischen Bedrohungserkennungen Explorer und Echtzeiterkennungen.

  Anweisungen zum Erstellen von Eigenschaftenfiltern finden Sie unter Eigenschaftenfilter in Bedrohungs- Explorer und Echtzeiterkennungen.

  Mit Threat Explorer können Sie Abfragen zur späteren Verwendung speichern, wie im Abschnitt Gespeicherte Abfragen in Threat Explorer beschrieben.

• Diagramme: Jede Ansicht enthält eine visuelle, aggregierte Darstellung der gefilterten oder ungefilterten Daten. Sie können verfügbare Pivots verwenden, um das Diagramm auf unterschiedliche Weise zu organisieren.

  Häufig können Sie Diagrammdaten exportieren verwenden, um gefilterte oder ungefilterte Diagrammdaten in eine CSV-Datei zu exportieren.

  Die Diagramme und verfügbaren Pivots werden in diesem Artikel ausführlich beschrieben, einschließlich der Unterschiede zwischen Bedrohungserkennungen Explorer und Echtzeiterkennungen.

  Tipp

  Um das Diagramm von der Seite zu entfernen (wodurch die Größe des Detailbereichs maximiert wird), verwenden Sie eine der folgenden Methoden:

  • Wählen Sie oben auf der Seite Diagrammansicht>Listenansicht aus.
  • Wählen Sie Listenansicht zwischen dem Diagramm und dem Detailbereich anzeigen aus.

• Detailbereich: Der Detailbereich für eine Ansicht zeigt in der Regel eine Tabelle an, die die gefilterten oder ungefilterten Daten enthält. Sie können die verfügbaren Ansichten (Registerkarten) verwenden, um die Daten im Detailbereich auf unterschiedliche Weise zu organisieren. Beispielsweise kann eine Ansicht Diagramme, Karten oder andere Tabellen enthalten.

  Wenn der Detailbereich eine Tabelle enthält, können Sie häufig exportieren , um bis zu 200.000 gefilterte oder ungefilterte Ergebnisse selektiv in eine CSV-Datei zu exportieren.

  Tipp

  Im Export-Flyout können Sie einige oder alle verfügbaren Eigenschaften für den Export auswählen. Die Auswahl wird pro Benutzer gespeichert. Auswahlen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Ansicht "Alle E-Mails" in threat Explorer

Die Ansicht Alle E-Mails in Threat Explorer zeigt Informationen zu allen E-Mail-Nachrichten an, die von externen Benutzern an Ihre organization gesendet werden, sowie E-Mails, die zwischen internen Benutzern in Ihrem organization gesendet werden. Die Ansicht zeigt schädliche und nicht schädliche E-Mails an. Zum Beispiel:

• Email Phishing oder Schadsoftware identifiziert.
• Email als Spam oder Massenvorgang identifiziert.
• Email ohne Bedrohungen identifiziert.

Diese Ansicht ist die Standardansicht in Threat Explorer. Um die Ansicht Alle E-Mails auf der Seite Explorer im Defender-Portal unter https://security.microsoft.comzu öffnen, wechseln Sie zu Email & Registerkarte Zusammenarbeit>Explorer>Alle E-Mails. Oder wechseln Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und überprüfen Sie dann, ob die Registerkarte Alle E-Mails ausgewählt ist.

Filterbare Eigenschaften in der Ansicht Alle E-Mails in Threat Explorer

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Aktionsfeld Übermittlung in der Ansicht Alle E-Mails verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft	Typ
Basic
Absenderadresse	Text Trennen Sie mehrere Werte durch Kommas.
Empfänger	Text Trennen Sie mehrere Werte durch Kommas.
Absenderdomäne	Text Trennen Sie mehrere Werte durch Kommas.
Empfängerdomäne	Text Trennen Sie mehrere Werte durch Kommas.
Betreff	Text Trennen Sie mehrere Werte durch Kommas.
Anzeigename des Absenders	Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail von Adresse	Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail aus Domäne	Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfad	Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfaddomäne	Text Trennen Sie mehrere Werte durch Kommas.
Malware-Familie	Text Trennen Sie mehrere Werte durch Kommas.
Tags	Text Trennen Sie mehrere Werte durch Kommas. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Identitätswechseldomäne	Text Trennen Sie mehrere Werte durch Kommas.
Angenommener Benutzer	Text Trennen Sie mehrere Werte durch Kommas.
Exchange-Transportregel	Text Trennen Sie mehrere Werte durch Kommas.
Regel zur Verhinderung von Datenverlust	Text Trennen Sie mehrere Werte durch Kommas.
Kontext	Wählen Sie einen oder mehrere Werte aus: Evaluation Prioritätskontoschutz
Connector	Text Trennen Sie mehrere Werte durch Kommas.
Übermittlungsaktion	Wählen Sie einen oder mehrere Werte aus: Blockiert: Email Nachrichten, die unter Quarantäne standen, die nicht übermittelt wurden oder gelöscht wurden. Übermittelt: Email an den Posteingang des Benutzers oder einen anderen Ordner übermittelt, in dem der Benutzer auf die Nachricht zugreifen kann. An Junk übermittelt: Email in den Ordner Junk-Email oder Gelöschte Elemente des Benutzers übermittelt, in dem der Benutzer auf die Nachricht zugreifen kann. Ersetzt: Nachrichtenanlagen, die in Richtlinien für sichere Anlagen durch dynamische Übermittlung ersetzt wurden.
Zusätzliche Aktion	Wählen Sie einen oder mehrere Werte aus: Automatisierte Behebung Dynamische Übermittlung: Weitere Informationen finden Sie unter Dynamische Übermittlung in Richtlinien für sichere Anlagen. Manuelle Wartung Keine Release unter Quarantäne stellen Erneut verarbeitet: Die Nachricht wurde rückwirkend als gut identifiziert. ZAP: Weitere Informationen finden Sie unter Zero-Hour Auto Purge (ZAP) in Microsoft Defender for Office 365.
Directionality	Wählen Sie einen oder mehrere Werte aus: Eingehende Intra-irg Ausgehend
Erkennungstechnologie	Wählen Sie einen oder mehrere Werte aus: Erweiterter Filter: Signale basierend auf maschinellem Lernen. Schutz vor Schadsoftware Masse Kampagnen Domänenreputation Datei-Detonation: Sichere Anlagen haben während der Detonationsanalyse eine schädliche Anlage erkannt. Zuverlässigkeit der Dateienttonung: Dateianlagen, die zuvor von Detonationen sicherer Anlagen in anderen Microsoft 365-Organisationen erkannt wurden. Dateireputation: Die Nachricht enthält eine Datei, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde. Fingerabdruckabgleich: Die Nachricht ähnelt stark einer zuvor erkannten schädlichen Nachricht. Allgemeiner Filter Identitätswechselmarke: Absenderidentität bekannter Marken. Identitätswechseldomäne: Identitätswechsel von Absenderdomänen, die Sie besitzen oder für den Schutz in Antiphishingrichtlinien angegeben haben Vorgetäuschte Benutzeridentität IP-Reputation Identitätswechsel der Postfachintelligenz: Identitätswechselerkennungen von Postfachintelligenz in Antiphishingrichtlinien. Erkennung gemischter Analysen: Mehrere Filter haben zur Bewertung der Nachricht beigetragen. spoof DMARC: Fehler bei der Nachricht bei der DMARC-Authentifizierung. Spoof externe Domäne: Absender-E-Mail-Adressspoofing mithilfe einer Domäne, die für Ihre organization extern ist. Spoof innerhalb der Organisation: Spoofing der Absender-E-Mail-Adresse mithilfe einer Domäne, die für Ihre organization intern ist. URL-Detonationsreputation: URLs, die zuvor von Safe Links-Detonationen in anderen Microsoft 365-Organisationen erkannt wurden. Url mit schädlichem Ruf: Die Nachricht enthält eine URL, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
Ursprünglicher Lieferort	Wählen Sie einen oder mehrere Werte aus: Ordner "Gelöschte Elemente" Gelöscht Fehlgeschlagen Posteingang/Ordner Junk-E-Mail-Ordner Lokal/extern Quarantäne Unknown
Letzter Lieferort¹	Dieselben Werte wie der ursprüngliche Lieferort
Phish-Konfidenzniveau	Wählen Sie einen oder mehrere Werte aus: High Normal
Primäre Außerkraftsetzung	Wählen Sie einen oder mehrere Werte aus: Zulässig durch organization-Richtlinie Durch Benutzerrichtlinie zugelassen Durch organization-Richtlinie blockiert Durch Benutzerrichtlinie blockiert Keine
Primäre Außerkraftsetzungsquelle	Nachrichten können mehrere Zulassungs- oder Blocküberschreibungen aufweisen, wie unter Außerkraftsetzungsquelle angegeben. Die Außerkraftsetzung, die die Nachricht letztendlich zugelassen oder blockiert hat, wird in der primären Außerkraftsetzungsquelle identifiziert. Wählen Sie einen oder mehrere Werte aus: Drittanbieterfilter Admin initiierte Zeitreise (ZAP) Antischadsoftwarerichtlinienblock nach Dateityp Antispam-Richtlinieneinstellungen Verbindungsrichtlinie Exchange-Transportregel Exklusiver Modus (Benutzerüberschreibung) Filterung aufgrund von lokalen organization übersprungen IP-Regionsfilter aus richtlinie Sprachfilter aus Richtlinie Phishing-Simulation Release unter Quarantäne stellen SecOps-Postfach Absenderadressenliste (Admin Außerkraftsetzung) Absenderadressenliste (Benutzerüberschreibung) Absenderdomänenliste (Admin Außerkraftsetzung) Absenderdomänenliste (Benutzerüberschreibung) Dateiblock "Mandanten zulassen/blockieren" E-Mail-Adressblock der Absenderliste für Mandanten zulassen/blockieren Spoofblock "Mandanten zulassen/blockierende Liste" URL-Block "Mandanten zulassen/Blockieren der Liste" Liste vertrauenswürdiger Kontakte (Benutzerüberschreibung) Vertrauenswürdige Domäne (Benutzerüberschreibung) Vertrauenswürdiger Empfänger (Benutzerüberschreibung) Nur Vertrauenswürdige Absender (Benutzerüberschreibung)
Quelle außer Kraft setzen	Dieselben Werte wie primäre Außerkraftsetzungsquelle
Richtlinientyp	Wählen Sie einen oder mehrere Werte aus: Anti-Schadsoftware-Richtlinie Antiphishingrichtlinie Exchange-Transportregel (Nachrichtenflussregel), Filterrichtlinie für gehostete Inhalte (Antispamrichtlinie), Richtlinie für gehostete ausgehende Spamfilter (Ausgehende Spamrichtlinie), Richtlinie für sichere Anlagen Unknown
Richtlinienaktion	Wählen Sie einen oder mehrere Werte aus: Hinzufügen eines x-Headers Bcc-Nachricht Nachricht löschen Betreff ändern In Junk-Email Ordner verschieben Keine Aktion ausgeführt Umleitungsnachricht Senden in Quarantäne
Bedrohungstyp	Wählen Sie einen oder mehrere Werte aus: Schadsoftware Phishing Spam
Weitergeleitete Nachricht	Wählen Sie einen oder mehrere Werte aus: True False
Verteilerliste	Text Trennen Sie mehrere Werte durch Kommas.
Email Größe	Ganzzahl. Trennen Sie mehrere Werte durch Kommas.
Erweitert
Internetnachrichten-ID	Text Trennen Sie mehrere Werte durch Kommas. Verfügbar im Feld Message-ID header im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern).
Netzwerknachrichten-ID	Text Trennen Sie mehrere Werte durch Kommas. Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.
Sender-IP	Text Trennen Sie mehrere Werte durch Kommas.
Anlage SHA256	Text Trennen Sie mehrere Werte durch Kommas.
Cluster-ID	Text Trennen Sie mehrere Werte durch Kommas.
Warnungs-ID	Text Trennen Sie mehrere Werte durch Kommas.
Warnungsrichtlinien-ID	Text Trennen Sie mehrere Werte durch Kommas.
Kampagnen-ID	Text Trennen Sie mehrere Werte durch Kommas.
ZAP-URL-Signal	Text Trennen Sie mehrere Werte durch Kommas.
Urls
URL-Anzahl	Ganzzahl. Trennen Sie mehrere Werte durch Kommas.
URL-Domäne²	Text Trennen Sie mehrere Werte durch Kommas.
URL-Domäne und Pfad²	Text Trennen Sie mehrere Werte durch Kommas.
URL²	Text Trennen Sie mehrere Werte durch Kommas.
URL-Pfad²	Text Trennen Sie mehrere Werte durch Kommas.
URL-Quelle	Wählen Sie einen oder mehrere Werte aus: Anhänge Cloudanlage Email Text Email-Header QR-Code Subject Unknown
Klicken Sie auf "Urteil".	Wählen Sie einen oder mehrere Werte aus: Zulässig: Der Benutzer durfte die URL öffnen. Blockieren überschrieben: Der Benutzer wurde daran gehindert, die URL direkt zu öffnen, aber er überschreibt den Block, um die URL zu öffnen. Blockiert: Der Benutzer konnte die URL nicht öffnen. Fehler: Dem Benutzer wurde die Fehlerseite angezeigt, oder beim Erfassen des Urteils ist ein Fehler aufgetreten. Fehler: Beim Erfassen des Urteils ist eine unbekannte Ausnahme aufgetreten. Möglicherweise hat der Benutzer die URL geöffnet. Keine: Das Urteil für die URL kann nicht erfasst werden. Möglicherweise hat der Benutzer die URL geöffnet. Ausstehendes Urteil: Dem Benutzer wurde die Ausstehende Seite für die Detonation angezeigt. Ausstehendes Urteil umgangen: Dem Benutzer wurde die Detonationsseite angezeigt, aber er übergibt die Nachricht, um die URL zu öffnen.
URL-Bedrohung	Wählen Sie einen oder mehrere Werte aus: Schadsoftware Phishing Spam
Datei
Anlagenanzahl	Ganzzahl. Trennen Sie mehrere Werte durch Kommas.
Dateiname der Anlage	Text Trennen Sie mehrere Werte durch Kommas.
Dateityp	Text Trennen Sie mehrere Werte durch Kommas.
Dateinamenerweiterung	Text Trennen Sie mehrere Werte durch Kommas.
Dateigröße	Ganzzahl. Trennen Sie mehrere Werte durch Kommas.
Authentifizierung
SPF	Wählen Sie einen oder mehrere Werte aus: Fehler Neutral Keine Bestehen Dauerhafter Fehler Weicher Fehler Temporärer Fehler
DKIM	Wählen Sie einen oder mehrere Werte aus: Error Fehler Ignore Keine Bestehen Test Timeout Unknown
DMARC	Wählen Sie einen oder mehrere Werte aus: Best guess pass Fehler Keine Bestehen Dauerhafter Fehler Selektordurchlauf Temporärer Fehler Unknown
Zusammengesetzten	Wählen Sie einen oder mehrere Werte aus: Fehler Keine Bestehen Soft Pass

Tipp

¹ Der letzte Übermittlungsspeicherort enthält keine Endbenutzeraktionen für Nachrichten. Beispielsweise, wenn der Benutzer die Nachricht gelöscht oder die Nachricht in ein Archiv oder eine PST-Datei verschoben hat.

Es gibt Szenarien, in denen der ursprüngliche Zustellungsort/Der letzte Zustellungsort und/oder die Übermittlungsaktion den Wert Unbekannt aufweisen. Zum Beispiel:

• Die Nachricht wurde zugestellt (Übermittlungsaktion ist Zugestellt), aber eine Posteingangsregel hat die Nachricht in einen anderen Standardordner als den Ordner Posteingang oder Junk-Email verschoben (z. B. den Ordner Entwurf oder Archiv).
• ZAP hat versucht, die Nachricht nach der Zustellung zu verschieben, aber die Nachricht wurde nicht gefunden (z. B. der Benutzer hat die Nachricht verschoben oder gelöscht).

² Standardmäßig wird eine URL-Suche zugeordnet http, es sei denn, es wird explizit ein anderer Wert angegeben. Zum Beispiel:

• Bei der Suche mit und ohne präfix http:// in URL, URL-Domäneund URL-Domäne und Pfad sollten die gleichen Ergebnisse angezeigt werden.
• Search für das Präfix in der https://URL. Wenn kein Wert angegeben wird, wird das http:// Präfix angenommen.
• / am Anfang und Ende der Felder URL-Pfad, URL-Domäne, URL-Domäne und Pfad werden ignoriert.
• / am Ende des URL-Felds wird ignoriert.

Pivots für das Diagramm in der Ansicht Alle E-Mails in Threat Explorer

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Pivotieren des Übermittlungsaktionsdiagramms in der Ansicht "Alle E-Mails" in Threat Explorer

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Übermittlungsaktion der Standarddiagramm-Pivot in der Ansicht Alle E-Mails .

Der Pivot "Übermittlungsaktion " organisiert das Diagramm nach den Aktionen, die für Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter ausgeführt werden.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Übermittlungsaktionen angezeigt.

Pivotieren des Absenderdomänendiagramms in der Ansicht Alle E-Mails in Threat Explorer

Der Pivot Absenderdomäne organisiert das Diagramm nach den Domänen in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absenderdomänen angezeigt.

Pivotieren des Absender-IP-Diagramms in der Ansicht "Alle E-Mails" in Threat Explorer

Der Pivot Absender-IP organisiert das Diagramm nach den Quell-IP-Adressen von Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absender-IP-Adressen angezeigt.

Pivotieren des Erkennungstechnologiediagramms in der Ansicht "Alle E-Mails" in "Threat Explorer

Der Pivot "Erkennungstechnologie " organisiert das Diagramm nach dem Feature, das Meldungen für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Pivot für das Vollständige URL-Diagramm in der Ansicht Alle E-Mails in Threat Explorer

Der Pivot Vollständige URL organisiert das Diagramm nach den vollständigen URLs in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen vollständigen URLs angezeigt.

Url-Domänendiagramm in der Ansicht Alle E-Mails in Threat Explorer

Der URL-Domänen-Pivot organisiert das Diagramm nach den Domänen in URLs in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.

Url-Domänen- und Pfaddiagramm pivotieren in der Ansicht Alle E-Mails in Threat Explorer

Die URL-Domäne und der Pfad-Pivot organisiert das Diagramm nach den Domänen und Pfaden in URLs in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede URL-Domäne und jeden Pfad angezeigt.

Ansichten für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Ansicht Alle E-Mails werden in den folgenden Unterabschnitten beschrieben.

Email Ansicht für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Email ist die Standardansicht für den Detailbereich in der Ansicht Alle E-Mails.

Die ansicht Email zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (^*) gekennzeichnet:

• Datum^*
• Betreff^*
• Empfänger^*
• Empfängerdomäne
• Schilder^*
• Absenderadresse^*
• Anzeigename des Absenders
• Absenderdomäne^*
• Sender-IP
• Absender-E-Mail von Adresse
• Absender-E-Mail aus Domäne
• Zusätzliche Aktionen^*
• Übermittlungsaktion
• Letzter Lieferort^*
• Ursprünglicher Lieferort^*
• Quelle für Systemüberschreibungen
• Systemüberschreibungen
• Warnungs-ID
• Internetnachrichten-ID
• Netzwerknachrichten-ID
• E-Mail-Sprache
• Exchange-Transportregel
• Connector
• Context
• Regel zur Verhinderung von Datenverlust
• Bedrohungstyp^*
• Erkennungstechnologie
• Anlagenanzahl
• URL-Anzahl
• Email Größe

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

• Horizontales Scrollen in Ihrem Webbrowser.
• Schränken Sie die Breite der entsprechenden Spalten ein.
• Entfernen Sie Spalten aus der Ansicht.
• Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wenn Sie einen oder mehrere Einträge aus der Liste auswählen, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, sind Nachrichtenaktionen verfügbar. Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung.

Im Wert Betreff für den Eintrag ist die Aktion In neuem Fenster öffnen verfügbar. Durch diese Aktion wird die Nachricht auf der Entitätsseite Email geöffnet.

Wenn Sie in einem Eintrag auf die Werte Betreff oder Empfänger klicken, werden Details-Flyouts geöffnet. Diese Flyouts werden in den folgenden Unterabschnitten beschrieben.

Email Details aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails

Wenn Sie den Betreffwert eines Eintrags in der Tabelle auswählen, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält standardisierte Zusammenfassungsinformationen, die auch auf der Entitätsseite Email für die Nachricht verfügbar sind.

Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Der Email Zusammenfassungsbereich in Defender.

Die folgenden Aktionen sind oben im Email Zusammenfassungsbereich für Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar:

• E-Mail-Entität öffnen
• Kopfzeile anzeigen
• Aktion ausführen: Weitere Informationen finden Sie unter Wartung mit Aktion ergreifen.
• Weitere Optionen:
  • Email Preview¹ ²
  • E-Mail herunterladen ² ² ¹
  • Anzeigen in Explorer
  • Gehe jagen⁴

¹ Die Aktionen Email Vorschau und E-Mail herunterladen erfordern die Vorschaurolle in Email & Berechtigungen für die Zusammenarbeit. Standardmäßig wird diese Rolle den Rollengruppen Datenermittler und eDiscovery-Manager zugewiesen. Standardmäßig können Mitglieder der Rollengruppen Organisationsverwaltung oder Sicherheitsadministratoren diese Aktionen nicht ausführen. Um diese Aktionen für die Mitglieder dieser Gruppen zuzulassen, haben Sie die folgenden Optionen:

• Fügen Sie die Benutzer den Rollengruppen Datenermittler oder eDiscovery-Manager hinzu.
• Erstellen Sie eine neue Rollengruppe mit zugewiesenen Rollen Search und Bereinigen, und fügen Sie die Benutzer der benutzerdefinierten Rollengruppe hinzu.

² Sie können eine Vorschau von E-Mail-Nachrichten anzeigen oder herunterladen, die in Microsoft 365-Postfächern verfügbar sind. Beispiele für Nachrichten, die nicht mehr in Postfächern verfügbar sind, sind:

• Die Nachricht wurde verworfen, bevor die Übermittlung fehlgeschlagen war.
• Die Nachricht wurde vorläufig gelöscht (aus dem Ordner "Gelöschte Elemente", wodurch die Nachricht in den Ordner "Wiederherstellbare Elemente\Löschungen" verschoben wird).
• ZAP hat die Nachricht in Quarantäne verschoben.

¹ E-Mail herunterladen ist für Nachrichten, die unter Quarantäne gestellt wurden, nicht verfügbar. Laden Sie stattdessen eine kennwortgeschützte Kopie der Nachricht aus der Quarantäne herunter.

⁴ Go-Suche ist nur in Threat Explorer verfügbar. Sie ist in Echtzeiterkennungen nicht verfügbar.

Empfängerdetails aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails

Wenn Sie einen Eintrag auswählen, indem Sie auf den Wert Empfänger klicken, wird ein Details-Flyout mit den folgenden Informationen geöffnet:

Tipp

Um Details zu anderen Empfängern anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element am oberen Rand des Flyouts.

• Zusammenfassungsabschnitt :

  • Rolle: Gibt an, ob dem Empfänger Administratorrollen zugewiesen sind.
  • Richtlinien:
    • Gibt an, ob der Benutzer über die Berechtigung zum Anzeigen von Archivinformationen verfügt.
    • Gibt an, ob der Benutzer über die Berechtigung zum Anzeigen von Aufbewahrungsinformationen verfügt.
    • Gibt an, ob der Benutzer durch die Verhinderung von Datenverlust (Data Loss Prevention, DLP) abgedeckt ist.
    • Gibt an, ob der Benutzer von der Mobile-Verwaltung unter https://portal.office.com/EAdmin/Device/IntuneInventory.aspxabgedeckt wird.

• Email Abschnitt: Eine Tabelle mit den folgenden verwandten Informationen für Nachrichten, die an den Empfänger gesendet werden:

  • Date
  • Subject
  • Empfänger

  Wählen Sie Alle E-Mails anzeigen aus, um threat Explorer auf einer neuen Registerkarte zu öffnen, die nach dem Empfänger gefiltert ist.

• Abschnitt "Zuletzt verwendete Warnungen": Eine Tabelle mit den folgenden verwandten Informationen für verwandte aktuelle Warnungen:

  • Schweregrad
  • Warnungsrichtlinie
  • Kategorie
  • Aktivitäten

  Wenn mehr als drei aktuelle Warnungen vorhanden sind, wählen Sie Alle zuletzt angezeigten Warnungen anzeigen aus, um alle anzuzeigen.

  • Abschnitt "Letzte Aktivität": Zeigt die zusammengefassten Ergebnisse einer Überwachungsprotokollsuche für den Empfänger an:

    • Date
    • IP-Adresse
    • Aktivität
    • Item

    Wenn der Empfänger über mehr als drei Überwachungsprotokolleinträge verfügt, wählen Sie Alle zuletzt ausgeführten Aktivitäten anzeigen aus, um alle anzuzeigen.

  Tipp

  Mitglieder der Rollengruppe Sicherheitsadministratoren in Email & Berechtigungen für die Zusammenarbeit können den Abschnitt Letzte Aktivität nicht erweitern. Sie müssen Mitglied einer Rollengruppe in Exchange Online Berechtigungen sein, denen die Rollen Überwachungsprotokolle, Information Protection Analyst oder Information Protection Prüfer zugewiesen sind. Standardmäßig werden diese Rollen den Rollengruppen Datensatzverwaltung, Complianceverwaltung, Information Protection, Information Protection Analysts, Information Protection Investigators und Organization Management zugewiesen. Sie können die Mitglieder von Sicherheitsadministratoren diesen Rollengruppen hinzufügen oder eine neue Rollengruppe mit der zugewiesenen Rolle Überwachungsprotokolle erstellen.

Ansicht "URL-Klicks" für den Detailbereich der Ansicht "Alle E-Mails" in "Threat Explorer

In der Ansicht URL-Klicks wird ein Diagramm angezeigt, das mithilfe von Pivots organisiert werden kann. Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Tipp

In Threat Explorer verfügt jeder Pivot in der Ansicht URL-Klicks über die Aktion Alle Klicks anzeigen, mit der die Ansicht URL-Klicks auf einer neuen Registerkarte geöffnet wird.

URL-Domänen-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Obwohl dieser Diagramm-Pivot nicht ausgewählt zu sein scheint, ist die URL-Domäne der Standard-Diagramm-Pivot in der Ansicht URL-Klicks .

Der URL-Domänen-Pivot zeigt die verschiedenen Domänen in URLs in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter an.

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.

Klicken Sie für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Der Pivot Klickbewertung zeigt die verschiedenen Bewertungen für angeklickte URLs in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter an.

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Klickbewertungen angezeigt.

URL-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Der URL-Pivot zeigt die verschiedenen URLs an, auf die in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und eigenschaftenfilter geklickt wurde.

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen URLs angezeigt.

URL-Domäne und Pfad-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Der Url-Domänen- und Pfad-Pivot zeigt die verschiedenen Domänen und Dateipfade von URLs an, auf die in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter geklickt wurden.

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede URL-Domäne und jeden Dateipfad angezeigt.

Ansicht "Top URLs" für den Detailbereich der Ansicht "Alle E-Mails" in Threat Explorer

In der Ansicht Top URLs wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

• URL
• Blockierte Nachrichten
• Nachrichten mit Junk-E-Mail
• Übermittelte Nachrichten

Details zu den wichtigsten URLs für die Ansicht "Alle E-Mails"

Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout mit den folgenden Informationen geöffnet:

Tipp

Um Details zu anderen URLs anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.

• Die folgenden Aktionen sind oben im Flyout verfügbar:

  • URL-Seite öffnen

  • Zur Analyse übermitteln:

    • Berichts-sauber
    • Phishing melden
    • Melden von Schadsoftware

  • Indikator verwalten:

    • Indikator hinzufügen
    • Verwalten in Mandantenblockierungsliste

    Wenn Sie eine dieser Optionen auswählen, gelangen Sie im Defender-Portal zur Seite Übermittlungen .

  • Mehr:

    • Anzeigen in Explorer
    • Gehen Sie auf die Jagd
• Ursprüngliche URL
• Abschnitt "Erkennung ":
  • Threat Intelligence-Bewertung
  • x aktive Warnungen y Incidents: Ein horizontales Balkendiagramm, das die Anzahl der Warnungen "Hoch", " Mittel", " Niedrig" und " Info " anzeigt, die sich auf diesen Link beziehen.
  • Ein Link zur Seite Alle Incidents & Warnungen in URL anzeigen.
• Abschnitt "Domänendetails ":
  • Domänenname und ein Link zur Seite Domäne anzeigen.
  • Registrant
  • Registriert am
  • Aktualisiert am
  • Läuft ab am
• Kontaktinformationen für Registranten:
  • Registrar
  • Land/Region
  • Postanschrift
  • E-Mail
  • Telefon
  • Weitere Informationen: Ein Link zum Öffnen bei Whois.
• Abschnitt URL-Prävalenz (letzte 30 Tage): Enthält die Anzahl von Geräten, Email und Klicks. Wählen Sie jeden Wert aus, um die vollständige Liste anzuzeigen.
• Geräte: Zeigt die betroffenen Geräte an:

  • Datum (First/Last)

  • Geräte

    Wenn mehr als zwei Geräte beteiligt sind, wählen Sie Alle Geräte anzeigen aus, um alle geräte anzuzeigen.

Ansicht mit den ersten Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

In der Ansicht Mit den höchsten Klicks wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

• URL
• Gesperrt
• Allowed
• Block überschrieben
• Ausstehendes Urteil
• Ausstehendes Urteil umgangen
• Keine
• Fehlerseite
• Fehler

Tipp

Alle verfügbaren Spalten sind ausgewählt. Wenn Sie Spalten anpassen auswählen, können Sie die Auswahl von Spalten nicht aufheben.

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

• Horizontales Scrollen in Ihrem Webbrowser.
• Schränken Sie die Breite der entsprechenden Spalten ein.
• Verkleineren Sie in Ihrem Webbrowser.

Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.

Ansicht mit den wichtigsten Zielbenutzern für den Detailbereich der Ansicht "Alle E-Mails" in Threat Explorer

In der Ansicht Am häufigsten ausgerichtete Benutzer werden die Daten in einer Tabelle mit den fünf wichtigsten Empfängern organisiert, die von den meisten Bedrohungen betroffen sind. Die Tabelle enthält die folgenden Informationen:

• Am häufigsten ausgerichtete Benutzer: Die E-Mail-Adresse des Empfängers. Wenn Sie eine Empfängeradresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Empfängerdetails aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

• Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Empfänger gefiltert wird.

Tipp

Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.

Email Ursprungsansicht für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Die Email-Ursprungsansicht zeigt Nachrichtenquellen auf einer Weltkarte an.

Kampagnenansicht für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Die Ansicht Kampagne zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.

Die Informationen in der Tabelle sind die gleichen wie in der Detailtabelle auf der Seite Kampagnen beschrieben.

Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Kampagnendetails beschrieben.

Ansicht "Schadsoftware" in bedrohungsbasierten Explorer und Echtzeiterkennungen

Die Ansicht Schadsoftware unter Bedrohungserkennungen Explorer und Echtzeit-Erkennungen zeigt Informationen zu E-Mail-Nachrichten an, die gefunden wurden, dass sie Schadsoftware enthalten. Diese Ansicht ist die Standardansicht in Echtzeiterkennungen.

Führen Sie zum Öffnen der Ansicht Schadsoftware einen der folgenden Schritte aus:

• Bedrohungs-Explorer: Navigieren Sie auf der Seite Explorer im Defender-Portal unter zur https://security.microsoft.comRegisterkarte Email & Zusammenarbeit> Explorer >Malware. Oder wechseln Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte Schadsoftware aus.
• Echtzeiterkennungen: Navigieren Sie im Defender-Portal auf der Seite Echtzeiterkennungen unter https://security.microsoft.comzu Email & Registerkarte Zusammenarbeit>Explorer>Malware. Oder wechseln Sie mit direkt zur Seite https://security.microsoft.com/realtimereportsv3Echtzeiterkennungen, und überprüfen Sie dann, ob die Registerkarte Schadsoftware ausgewählt ist.

Filterbare Eigenschaften in der Ansicht Schadsoftware in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Feld Absenderadresse in der Ansicht Schadsoftware verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft	Typ	Bedrohung Explorer	Echtzeit Erkennungen
Basic
Absenderadresse	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Empfänger	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Absenderdomäne	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Empfängerdomäne	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Betreff	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Anzeigename des Absenders	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Absender-E-Mail von Adresse	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Absender-E-Mail aus Domäne	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Rückgabepfad	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Rückgabepfaddomäne	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Malware-Familie	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Tags	Text Trennen Sie mehrere Werte durch Kommas. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.	✔
Exchange-Transportregel	Text Trennen Sie mehrere Werte durch Kommas.	✔
Regel zur Verhinderung von Datenverlust	Text Trennen Sie mehrere Werte durch Kommas.	✔
Kontext	Wählen Sie einen oder mehrere Werte aus: Evaluation Prioritätskontoschutz	✔
Connector	Text Trennen Sie mehrere Werte durch Kommas.	✔
Übermittlungsaktion	Wählen Sie einen oder mehrere Werte aus: Gesperrt Zugestellt An Junk geliefert Ersetzt: Nachrichtenanlagen, die in Richtlinien für sichere Anlagen durch dynamische Übermittlung ersetzt wurden.	✔	✔
Zusätzliche Aktion	Wählen Sie einen oder mehrere Werte aus: Automatisierte Behebung Dynamische Übermittlung: Weitere Informationen finden Sie unter Dynamische Übermittlung in Richtlinien für sichere Anlagen. Manuelle Wartung Keine Release unter Quarantäne stellen Aufbereitet ZAP: Weitere Informationen finden Sie unter Zero-Hour Auto Purge (ZAP) in Microsoft Defender for Office 365.	✔	✔
Directionality	Wählen Sie einen oder mehrere Werte aus: Eingehende Intra-irg Ausgehend	✔	✔
Erkennungstechnologie	Wählen Sie einen oder mehrere Werte aus: Erweiterter Filter: Signale basierend auf maschinellem Lernen. Schutz vor Schadsoftware Masse Kampagnen Domänenreputation Datei-Detonation: Sichere Anlagen haben während der Detonationsanalyse eine schädliche Anlage erkannt. Zuverlässigkeit der Dateienttonung: Dateianlagen, die zuvor von Detonationen sicherer Anlagen in anderen Microsoft 365-Organisationen erkannt wurden. Dateireputation: Die Nachricht enthält eine Datei, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde. Fingerabdruckabgleich: Die Nachricht ähnelt stark einer zuvor erkannten schädlichen Nachricht. Allgemeiner Filter Identitätswechselmarke: Absenderidentität bekannter Marken. Identitätswechseldomäne: Identitätswechsel von Absenderdomänen, die Sie besitzen oder für den Schutz in Antiphishingrichtlinien angegeben haben Vorgetäuschte Benutzeridentität IP-Reputation Identitätswechsel der Postfachintelligenz: Identitätswechselerkennungen von Postfachintelligenz in Antiphishingrichtlinien. Erkennung gemischter Analysen: Mehrere Filter haben zur Bewertung der Nachricht beigetragen. spoof DMARC: Fehler bei der Nachricht bei der DMARC-Authentifizierung. Spoof externe Domäne: Absender-E-Mail-Adressspoofing mithilfe einer Domäne, die für Ihre organization extern ist. Spoof innerhalb der Organisation: Spoofing der Absender-E-Mail-Adresse mithilfe einer Domäne, die für Ihre organization intern ist. URL-Detonation: Sichere Links haben während der Detonationsanalyse eine schädliche URL in der Nachricht erkannt. URL-Detonationsreputation: URLs, die zuvor von Safe Links-Detonationen in anderen Microsoft 365-Organisationen erkannt wurden. Url mit schädlichem Ruf: Die Nachricht enthält eine URL, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.	✔	✔
Ursprünglicher Lieferort	Wählen Sie einen oder mehrere Werte aus: Ordner "Gelöschte Elemente" Gelöscht Fehlgeschlagen Posteingang/Ordner Junk-E-Mail-Ordner Lokal/extern Quarantäne Unknown	✔	✔
Letzter Lieferort	Dieselben Werte wie der ursprüngliche Lieferort	✔	✔
Primäre Außerkraftsetzung	Wählen Sie einen oder mehrere Werte aus: Zulässig durch organization-Richtlinie Durch Benutzerrichtlinie zugelassen Durch organization-Richtlinie blockiert Durch Benutzerrichtlinie blockiert Keine	✔	✔
Primäre Außerkraftsetzungsquelle	Nachrichten können mehrere Zulassungs- oder Blocküberschreibungen aufweisen, wie unter Außerkraftsetzungsquelle angegeben. Die Außerkraftsetzung, die die Nachricht letztendlich zugelassen oder blockiert hat, wird in der primären Außerkraftsetzungsquelle identifiziert. Wählen Sie einen oder mehrere Werte aus: Drittanbieterfilter Admin initiierte Zeitreise (ZAP) Antischadsoftwarerichtlinienblock nach Dateityp Antispam-Richtlinieneinstellungen Verbindungsrichtlinie Exchange-Transportregel Exklusiver Modus (Benutzerüberschreibung) Filterung aufgrund von lokalen organization übersprungen IP-Regionsfilter aus richtlinie Sprachfilter aus Richtlinie Phishing-Simulation Release unter Quarantäne stellen SecOps-Postfach Absenderadressenliste (Admin Außerkraftsetzung) Absenderadressenliste (Benutzerüberschreibung) Absenderdomänenliste (Admin Außerkraftsetzung) Absenderdomänenliste (Benutzerüberschreibung) Dateiblock "Mandanten zulassen/blockieren" E-Mail-Adressblock der Absenderliste für Mandanten zulassen/blockieren Spoofblock "Mandanten zulassen/blockierende Liste" URL-Block "Mandanten zulassen/Blockieren der Liste" Liste vertrauenswürdiger Kontakte (Benutzerüberschreibung) Vertrauenswürdige Domäne (Benutzerüberschreibung) Vertrauenswürdiger Empfänger (Benutzerüberschreibung) Nur Vertrauenswürdige Absender (Benutzerüberschreibung)	✔	✔
Quelle außer Kraft setzen	Dieselben Werte wie primäre Außerkraftsetzungsquelle	✔	✔
Richtlinientyp	Wählen Sie einen oder mehrere Werte aus: Anti-Schadsoftware-Richtlinie Antiphishingrichtlinie Exchange-Transportregel (Nachrichtenflussregel), Filterrichtlinie für gehostete Inhalte (Antispamrichtlinie), Richtlinie für gehostete ausgehende Spamfilter (Ausgehende Spamrichtlinie), Richtlinie für sichere Anlagen Unknown	✔	✔
Richtlinienaktion	Wählen Sie einen oder mehrere Werte aus: Hinzufügen eines x-Headers Bcc-Nachricht Nachricht löschen Betreff ändern In Junk-Email Ordner verschieben Keine Aktion ausgeführt Umleitungsnachricht Senden in Quarantäne	✔	✔
Email Größe	Ganzzahl. Trennen Sie mehrere Werte durch Kommas.	✔	✔
Erweitert
Internetnachrichten-ID	Text Trennen Sie mehrere Werte durch Kommas. Verfügbar im Feld Message-ID header im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern).	✔	✔
Netzwerknachrichten-ID	Text Trennen Sie mehrere Werte durch Kommas. Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.	✔	✔
Sender-IP	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Anlage SHA256	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Cluster-ID	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Warnungs-ID	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Warnungsrichtlinien-ID	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Kampagnen-ID	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
ZAP-URL-Signal	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Urls
URL-Anzahl	Ganzzahl. Trennen Sie mehrere Werte durch Kommas.	✔	✔
URL-Domäne	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
URL-Domäne und -Pfad	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
URL	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
URL-Pfad	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
URL-Quelle	Wählen Sie einen oder mehrere Werte aus: Anhänge Cloudanlage Email Text Email-Header QR-Code Subject Unknown	✔	✔
Klicken Sie auf "Urteil".	Wählen Sie einen oder mehrere Werte aus: Erlaubt Block überschrieben Gesperrt Error Fehler Keine Ausstehendes Urteil Ausstehendes Urteil umgangen	✔	✔
URL-Bedrohung	Wählen Sie einen oder mehrere Werte aus: Schadsoftware Phishing Spam	✔	✔
Datei
Anlagenanzahl	Ganzzahl. Trennen Sie mehrere Werte durch Kommas.	✔	✔
Dateiname der Anlage	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Dateityp	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Dateinamenerweiterung	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Dateigröße	Ganzzahl. Trennen Sie mehrere Werte durch Kommas.	✔	✔
Authentifizierung
SPF	Wählen Sie einen oder mehrere Werte aus: Fehler Neutral Keine Bestehen Dauerhafter Fehler Weicher Fehler Temporärer Fehler	✔	✔
DKIM	Wählen Sie einen oder mehrere Werte aus: Error Fehler Ignore Keine Bestehen Test Timeout Unknown	✔	✔
DMARC	Wählen Sie einen oder mehrere Werte aus: Best guess pass Fehler Keine Bestehen Dauerhafter Fehler Selektordurchlauf Temporärer Fehler Unknown	✔	✔
Zusammengesetzten	Wählen Sie einen oder mehrere Werte aus: Fehler Keine Bestehen Soft Pass

Pivots für das Diagramm in der Ansicht Schadsoftware in Bedrohungs- Explorer und Echtzeiterkennungen

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die Diagramm-Pivots, die in der Ansicht Schadsoftware unter Bedrohungs Explorer erkennungen und Echtzeiterkennungen verfügbar sind, sind in der folgenden Tabelle aufgeführt:

Pivot	Bedrohung Explorer	Echtzeit Erkennungen
Malware-Familie	✔
Absenderdomäne	✔
Sender-IP	✔
Übermittlungsaktion	✔	✔
Erkennungstechnologie	✔	✔

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Diagramm zur Schadsoftwarefamilie in der Ansicht "Schadsoftware" in "Bedrohung" Explorer

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Schadsoftwarefamilie der Standarddiagramm-Pivot in der Ansicht Schadsoftware in Threat Explorer.

Der Pivot malware family organisiert das Diagramm nach der Schadsoftwarefamilie, die in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter erkannt wurde.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Schadsoftwarefamilien angezeigt.

Sender domain chart pivot in the Malware view in Threat Explorer

Der Pivot Absenderdomäne organisiert das Diagramm nach der Absenderdomäne von Nachrichten, die schadsoftware für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter enthalten.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absenderdomänen angezeigt.

Pivot des Absender-IP-Diagramms in der Ansicht Schadsoftware in Threat Explorer

Der Pivot Absender-IP organisiert das Diagramm nach der Quell-IP-Adresse von Nachrichten, die schadsoftware für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter enthalten.

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen Quell-IP-Adressen angezeigt.

Pivotieren des Übermittlungsaktionsdiagramms in der Ansicht "Schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Übermittlungsaktion der Standarddiagramm-Pivot in der Ansicht Schadsoftware in Echtzeiterkennungen.

Der Pivot "Übermittlungsaktion " organisiert das Diagramm nach den Vorgängen von Nachrichten, die Schadsoftware für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter enthalten.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Übermittlungsaktionen angezeigt.

Diagramm "Erkennungstechnologie" in der Ansicht "Schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Der Pivot Erkennungstechnologie organisiert das Diagramm nach dem Feature, das Schadsoftware in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Ansichten für den Detailbereich der Ansicht Schadsoftware in Bedrohungs- Explorer und Echtzeiterkennungen

Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Schadsoftwareansicht sind in der folgenden Tabelle aufgeführt und in den folgenden Unterabschnitten beschrieben.

Anzeigen	Bedrohung Explorer	Echtzeit Erkennungen
E-Mail	✔	✔
Top-Schadsoftwarefamilien	✔
Am häufigsten ausgerichtete Benutzer	✔
Email Ursprung	✔
Kampagnen	✔

Email Ansicht für den Detailbereich der Ansicht Schadsoftware unter Bedrohungserkennungen Explorer und Echtzeiterkennungen

Email ist die Standardansicht für den Detailbereich der Ansicht Schadsoftware unter Bedrohungserkennungen Explorer und Echtzeiterkennungen.

Die ansicht Email zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern.

In der folgenden Tabelle sind die Spalten aufgeführt, die unter Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar sind. Die Standardwerte sind mit einem Sternchen (^*) gekennzeichnet.

Spalte	Bedrohung Explorer	Echtzeit Erkennungen
Datum*	✔	✔
Betreff*	✔	✔
Empfänger*	✔	✔
Empfängerdomäne	✔	✔
Schilder*	✔
Absenderadresse*	✔	✔
Anzeigename des Absenders	✔	✔
Absenderdomäne*	✔	✔
Sender-IP	✔	✔
Absender-E-Mail von Adresse	✔	✔
Absender-E-Mail aus Domäne	✔	✔
Zusätzliche Aktionen*	✔	✔
Übermittlungsaktion	✔	✔
Letzter Lieferort*	✔	✔
Ursprünglicher Lieferort*	✔	✔
Quelle für Systemüberschreibungen	✔	✔
Systemüberschreibungen	✔	✔
Warnungs-ID	✔	✔
Internetnachrichten-ID	✔	✔
Netzwerknachrichten-ID	✔	✔
E-Mail-Sprache	✔	✔
Exchange-Transportregel	✔
Connector	✔
Context	✔	✔
Regel zur Verhinderung von Datenverlust	✔	✔
Bedrohungstyp*	✔	✔
Erkennungstechnologie	✔	✔
Anlagenanzahl	✔	✔
URL-Anzahl	✔	✔
Email Größe	✔	✔

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

• Horizontales Scrollen in Ihrem Webbrowser.
• Schränken Sie die Breite der entsprechenden Spalten ein.
• Entfernen Sie Spalten aus der Ansicht.
• Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wenn Sie einen oder mehrere Einträge aus der Liste auswählen, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, sind Nachrichtenaktionen verfügbar. Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung.

Wenn Sie in einem Eintrag auf die Werte Betreff oder Empfänger klicken, werden Details-Flyouts geöffnet. Diese Flyouts werden in den folgenden Unterabschnitten beschrieben.

Email Details aus der Email Ansicht des Detailbereichs in der Schadsoftwareansicht

Wenn Sie den Betreffwert eines Eintrags in der Tabelle auswählen, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält standardisierte Zusammenfassungsinformationen, die auch auf der Entitätsseite Email für die Nachricht verfügbar sind.

Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Die Email Zusammenfassungspanels.

Die verfügbaren Aktionen am oberen Rand des Email Zusammenfassungsbereichs für Explorer Bedrohungserkennungen und Echtzeiterkennungen werden in den Email Details aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

Empfängerdetails aus der Email Ansicht des Detailbereichs in der Schadsoftwareansicht

Wenn Sie einen Eintrag auswählen, indem Sie auf den Wert Empfänger klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Empfängerdetails aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

Ansicht der wichtigsten Schadsoftwarefamilien für den Detailbereich der Ansicht "Schadsoftware" in "Threat Explorer

Die Ansicht Top Malware Familien für den Detailbereich organisiert die Daten in einer Tabelle der wichtigsten Malware-Familien. Die Tabelle zeigt Folgendes:

• Top Malware Familien Spalte: Der Name der Malware-Familie.

  Wenn Sie einen Malware-Familiennamen auswählen, wird ein Details-Flyout geöffnet, das die folgenden Informationen enthält:

  • Email Abschnitt: Eine Tabelle mit den folgenden verwandten Informationen für Nachrichten, die die Schadsoftwaredatei enthalten:

    • Date
    • Subject
    • Empfänger

    Wählen Sie Alle E-Mails anzeigen aus, um threat Explorer auf einer neuen Registerkarte zu öffnen, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

  • Abschnitt "Technische Details"

  

• Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

Ansicht der am häufigsten betroffenen Benutzer für den Detailbereich der Ansicht Schadsoftware in Threat Explorer

Die Ansicht Am häufigsten zielorientierte Benutzer organisiert die Daten in einer Tabelle mit den fünf wichtigsten Empfängern, die von Schadsoftware betroffen sind. Die Tabelle zeigt Folgendes:

• Benutzer mit den höchsten Zielzielen: Die E-Mail-Adresse des Am häufigsten betroffenen Benutzers. Wenn Sie eine E-Mail-Adresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind identisch mit den Informationen, die in der Ansicht "Am häufigsten zielorientierte Benutzer" für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer beschrieben werden.

• Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

Tipp

Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.

Email Ursprungsansicht für den Detailbereich der Ansicht Schadsoftware in Threat Explorer

Die Email-Ursprungsansicht zeigt Nachrichtenquellen auf einer Weltkarte an.

Kampagnenansicht für den Detailbereich der Ansicht Schadsoftware in Threat Explorer

Die Ansicht Kampagne zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.

Die Detailtabelle ist mit der Detailtabelle auf der Seite Kampagnen identisch.

Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Kampagnendetails beschrieben.

Phishingansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Die Ansicht "Phishing" in "Bedrohungserkennungen Explorer" und "Echtzeiterkennungen" zeigt Informationen zu E-Mail-Nachrichten an, die als Phishing identifiziert wurden.

Führen Sie zum Öffnen der Phish-Ansicht einen der folgenden Schritte aus:

• Bedrohungs-Explorer: Navigieren Sie auf der Seite Explorer im Defender-Portal unter zur https://security.microsoft.comRegisterkarte Email & Registerkarte Zusammenarbeit> Explorer >Phish. Oder wechseln Sie mit direkt zur seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte Phish aus.
• Echtzeiterkennungen: Wechseln Sie im Defender-Portal auf der Seite Echtzeiterkennungen unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Explorer>Phish. Oder navigieren Sie mit direkt zur Seite https://security.microsoft.com/realtimereportsv3Echtzeiterkennungen, und wählen Sie dann die Registerkarte Phish aus.

Filterbare Eigenschaften in der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Feld Absenderadresse in der Ansicht Schadsoftware verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft	Typ	Bedrohung Explorer	Echtzeit Erkennungen
Basic
Absenderadresse	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Empfänger	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Absenderdomäne	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Empfängerdomäne	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Betreff	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Anzeigename des Absenders	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Absender-E-Mail von Adresse	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Absender-E-Mail aus Domäne	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Rückgabepfad	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Rückgabepfaddomäne	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Tags	Text Trennen Sie mehrere Werte durch Kommas. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.	✔
Identitätswechseldomäne	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Angenommener Benutzer	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Exchange-Transportregel	Text Trennen Sie mehrere Werte durch Kommas.	✔
Regel zur Verhinderung von Datenverlust	Text Trennen Sie mehrere Werte durch Kommas.	✔
Kontext	Wählen Sie einen oder mehrere Werte aus: Evaluation Prioritätskontoschutz	✔
Connector	Text Trennen Sie mehrere Werte durch Kommas.	✔
Übermittlungsaktion	Wählen Sie einen oder mehrere Werte aus: Gesperrt Zugestellt An Junk geliefert Ersetzt: Nachrichtenanlagen, die in Richtlinien für sichere Anlagen durch dynamische Übermittlung ersetzt wurden.	✔	✔
Zusätzliche Aktion	Wählen Sie einen oder mehrere Werte aus: Automatisierte Behebung Dynamische Übermittlung Manuelle Wartung Keine Release unter Quarantäne stellen Aufbereitet ZAP	✔	✔
Directionality	Wählen Sie einen oder mehrere Werte aus: Eingehende Intra-irg Ausgehend	✔	✔
Erkennungstechnologie	Wählen Sie einen oder mehrere Werte aus: Erweiterter Filter Schutz vor Schadsoftware Masse Kampagnen Domänenreputation Dateidetonation Reputation der Dateidetonation Datei-Reputation Fingerabdruckübereinstimmung Allgemeiner Filter Vorgetäuschte Marke Vorgetäuschte Domäne Vorgetäuschte Benutzeridentität IP-Reputation Mailbox Intelligence-basierte Identitätsvortäuschung Erkennung durch gemischte Analysen Spoofen von DMARC Spoofing externer Domäne Organisationsinternes Spoofing URL-Detonation Reputation der URL-Detonation URL-Reputation als schädlich eingestuft	✔	✔
Ursprünglicher Lieferort	Wählen Sie einen oder mehrere Werte aus: Ordner "Gelöschte Elemente" Gelöscht Fehlgeschlagen Posteingang/Ordner Junk-E-Mail-Ordner Lokal/extern Quarantäne Unknown	✔	✔
Letzter Lieferort	Dieselben Werte wie der ursprüngliche Lieferort	✔	✔
Phish-Konfidenzniveau	Wählen Sie einen oder mehrere Werte aus: High Normal	✔
Primäre Außerkraftsetzung	Wählen Sie einen oder mehrere Werte aus: Zulässig durch organization-Richtlinie Durch Benutzerrichtlinie zugelassen Durch organization-Richtlinie blockiert Durch Benutzerrichtlinie blockiert Keine	✔	✔
Primäre Außerkraftsetzungsquelle	Nachrichten können mehrere Zulassungs- oder Blocküberschreibungen aufweisen, wie unter Außerkraftsetzungsquelle angegeben. Die Außerkraftsetzung, die die Nachricht letztendlich zugelassen oder blockiert hat, wird in der primären Außerkraftsetzungsquelle identifiziert. Wählen Sie einen oder mehrere Werte aus: Drittanbieterfilter Admin initiierte Zeitreise (ZAP) Antischadsoftwarerichtlinienblock nach Dateityp Antispam-Richtlinieneinstellungen Verbindungsrichtlinie Exchange-Transportregel Exklusiver Modus (Benutzerüberschreibung) Filterung aufgrund von lokalen organization übersprungen IP-Regionsfilter aus richtlinie Sprachfilter aus Richtlinie Phishing-Simulation Release unter Quarantäne stellen SecOps-Postfach Absenderadressenliste (Admin Außerkraftsetzung) Absenderadressenliste (Benutzerüberschreibung) Absenderdomänenliste (Admin Außerkraftsetzung) Absenderdomänenliste (Benutzerüberschreibung) Dateiblock "Mandanten zulassen/blockieren" E-Mail-Adressblock der Absenderliste für Mandanten zulassen/blockieren Spoofblock "Mandanten zulassen/blockierende Liste" URL-Block "Mandanten zulassen/Blockieren der Liste" Liste vertrauenswürdiger Kontakte (Benutzerüberschreibung) Vertrauenswürdige Domäne (Benutzerüberschreibung) Vertrauenswürdiger Empfänger (Benutzerüberschreibung) Nur Vertrauenswürdige Absender (Benutzerüberschreibung)	✔	✔
Quelle außer Kraft setzen	Dieselben Werte wie primäre Außerkraftsetzungsquelle	✔	✔
Richtlinientyp	Wählen Sie einen oder mehrere Werte aus: Anti-Schadsoftware-Richtlinie Antiphishingrichtlinie Exchange-Transportregel (Nachrichtenflussregel), Filterrichtlinie für gehostete Inhalte (Antispamrichtlinie), Richtlinie für gehostete ausgehende Spamfilter (Ausgehende Spamrichtlinie), Richtlinie für sichere Anlagen Unknown	✔	✔
Richtlinienaktion	Wählen Sie einen oder mehrere Werte aus: Hinzufügen eines x-Headers Bcc-Nachricht Nachricht löschen Betreff ändern In Junk-Email Ordner verschieben Keine Aktion ausgeführt Umleitungsnachricht Senden in Quarantäne	✔	✔
Email Größe	Ganzzahl. Trennen Sie mehrere Werte durch Kommas.	✔	✔
Erweitert
Internetnachrichten-ID	Text Trennen Sie mehrere Werte durch Kommas. Verfügbar im Feld Message-ID header im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern).	✔	✔
Netzwerknachrichten-ID	Text Trennen Sie mehrere Werte durch Kommas. Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.	✔	✔
Sender-IP	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Anlage SHA256	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Cluster-ID	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Warnungs-ID	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Warnungsrichtlinien-ID	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Kampagnen-ID	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
ZAP-URL-Signal	Text Trennen Sie mehrere Werte durch Kommas.	✔
Urls
URL-Anzahl	Ganzzahl. Trennen Sie mehrere Werte durch Kommas.	✔	✔
URL-Domäne	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
URL-Domäne und -Pfad	Text Trennen Sie mehrere Werte durch Kommas.	✔
URL	Text Trennen Sie mehrere Werte durch Kommas.	✔
URL-Pfad	Text Trennen Sie mehrere Werte durch Kommas.	✔
URL-Quelle	Wählen Sie einen oder mehrere Werte aus: Anhänge Cloudanlage Email Text Email-Header QR-Code Subject Unknown	✔	✔
Klicken Sie auf "Urteil".	Wählen Sie einen oder mehrere Werte aus: Erlaubt Block überschrieben Gesperrt Error Fehler Keine Ausstehendes Urteil Ausstehendes Urteil umgangen	✔	✔
URL-Bedrohung	Wählen Sie einen oder mehrere Werte aus: Schadsoftware Phishing Spam	✔	✔
Datei
Anlagenanzahl	Ganzzahl. Trennen Sie mehrere Werte durch Kommas.	✔	✔
Dateiname der Anlage	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Dateityp	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Dateinamenerweiterung	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Dateigröße	Ganzzahl. Trennen Sie mehrere Werte durch Kommas.	✔	✔
Authentifizierung
SPF	Wählen Sie einen oder mehrere Werte aus: Fehler Neutral Keine Bestehen Dauerhafter Fehler Weicher Fehler Temporärer Fehler	✔	✔
DKIM	Wählen Sie einen oder mehrere Werte aus: Error Fehler Ignore Keine Bestehen Test Timeout Unknown	✔	✔
DMARC	Wählen Sie einen oder mehrere Werte aus: Best guess pass Fehler Keine Bestehen Dauerhafter Fehler Selektordurchlauf Temporärer Fehler Unknown	✔	✔
Zusammengesetzten	Wählen Sie einen oder mehrere Werte aus: Fehler Keine Bestehen Soft Pass

Pivots für das Diagramm in der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die diagrammbasierten Pivots, die in der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar sind, sind in der folgenden Tabelle aufgeführt:

Pivot	Bedrohung Explorer	Echtzeit Erkennungen
Absenderdomäne	✔	✔
Sender-IP	✔
Übermittlungsaktion	✔	✔
Erkennungstechnologie	✔	✔
Vollständige URL	✔
URL-Domäne	✔	✔
URL-Domäne und -Pfad	✔

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Sender domain chart pivot in the Phish view in Threat Explorer and Real-time detections

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Absenderdomäne der Standarddiagramm-Pivot in der Phish-Ansicht in Echtzeiterkennungen.

Der Pivot Absenderdomäne organisiert das Diagramm nach den Domänen in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absenderdomänen angezeigt.

Pivot des Absender-IP-Diagramms in der Phish-Ansicht in Threat Explorer

Der Pivot Absender-IP organisiert das Diagramm nach den Quell-IP-Adressen von Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen Quell-IP-Adressen angezeigt.

Bereitstellungsaktionsdiagramm in der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Übermittlungsaktion der Standard-Diagramm-Pivot in der Phish-Ansicht in Threat Explorer.

Der Pivot "Übermittlungsaktion " organisiert das Diagramm nach den Aktionen, die für Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter ausgeführt werden.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Übermittlungsaktionen angezeigt.

Erkennungstechnologie-Diagramm in der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Der Pivot "Erkennungstechnologie " organisiert das Diagramm nach dem Feature, das die Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Pivot für vollständige URL-Diagramme in der Ansicht "Phish" in Threat Explorer

Der Pivot "Vollständige URL " organisiert das Diagramm nach den vollständigen URLs in Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen vollständigen URLs angezeigt.

URL-Domänendiagramm in der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Der URL-Domänen-Pivot organisiert das Diagramm nach den Domänen in URLs in Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.

Url-Domänen- und Pfaddiagramm-Pivot in der Phish-Ansicht in Threat Explorer

Der URL-Domänen- und Pfad-Pivot organisiert das Diagramm nach den Domänen und Pfaden in URLs in Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede URL-Domäne und jeden Pfad angezeigt.

Ansichten für den Detailbereich der Phish-Ansicht in Threat Explorer

Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Phish-Ansicht sind in der folgenden Tabelle aufgeführt und in den folgenden Unterabschnitten beschrieben.

Anzeigen	Bedrohung Explorer	Echtzeit Erkennungen
E-Mail	✔	✔
URL-Klicks	✔	✔
Top-URLs	✔	✔
Top-Klicks	✔	✔
Am häufigsten ausgerichtete Benutzer	✔
Email Ursprung	✔
Kampagnen	✔

Email Ansicht für den Detailbereich der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen

Email ist die Standardansicht für den Detailbereich der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen.

Die ansicht Email zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern.

In der folgenden Tabelle sind die Spalten aufgeführt, die unter Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar sind. Die Standardwerte sind mit einem Sternchen (^*) gekennzeichnet.

Spalte	Bedrohung Explorer	Echtzeit Erkennungen
Datum*	✔	✔
Betreff*	✔	✔
Empfänger*	✔	✔
Empfängerdomäne	✔	✔
Schilder*	✔
Absenderadresse*	✔	✔
Anzeigename des Absenders	✔	✔
Absenderdomäne*	✔	✔
Sender-IP	✔	✔
Absender-E-Mail von Adresse	✔	✔
Absender-E-Mail aus Domäne	✔	✔
Zusätzliche Aktionen*	✔	✔
Übermittlungsaktion	✔	✔
Letzter Lieferort*	✔	✔
Ursprünglicher Lieferort*	✔	✔
Quelle für Systemüberschreibungen	✔	✔
Systemüberschreibungen	✔	✔
Warnungs-ID	✔	✔
Internetnachrichten-ID	✔	✔
Netzwerknachrichten-ID	✔	✔
E-Mail-Sprache	✔	✔
Exchange-Transportregel	✔
Connector	✔
Phish-Konfidenzniveau	✔
Context	✔
Regel zur Verhinderung von Datenverlust	✔
Bedrohungstyp*	✔	✔
Erkennungstechnologie	✔	✔
Anlagenanzahl	✔	✔
URL-Anzahl	✔	✔
Email Größe	✔	✔

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

• Horizontales Scrollen in Ihrem Webbrowser.
• Schränken Sie die Breite der entsprechenden Spalten ein.
• Entfernen Sie Spalten aus der Ansicht.
• Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wenn Sie einen oder mehrere Einträge aus der Liste auswählen, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, sind Nachrichtenaktionen verfügbar. Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung.

Wenn Sie in einem Eintrag auf die Werte Betreff oder Empfänger klicken, werden Details-Flyouts geöffnet. Diese Flyouts werden in den folgenden Unterabschnitten beschrieben.

Email Details aus der Email Ansicht des Detailbereichs in der Phish-Ansicht

Wenn Sie den Betreffwert eines Eintrags in der Tabelle auswählen, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält standardisierte Zusammenfassungsinformationen, die auch auf der Entitätsseite Email für die Nachricht verfügbar sind.

Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Der Email-Zusammenfassungsbereich in Defender for Office 365 Features.

Die verfügbaren Aktionen am oberen Rand des Email Zusammenfassungsbereichs für Explorer Bedrohungserkennungen und Echtzeiterkennungen werden in den Email Details aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

Empfängerdetails aus der Email Ansicht des Detailbereichs in der Phish-Ansicht

Wenn Sie einen Eintrag auswählen, indem Sie auf den Wert Empfänger klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Empfängerdetails aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

Url-Klickansicht für den Detailbereich der Phish-Ansicht in Bedrohungs- Explorer und Echtzeiterkennungen

In der Ansicht URL-Klicks wird ein Diagramm angezeigt, das mithilfe von Pivots organisiert werden kann. Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die Diagramm-Pivots, die in der Ansicht Schadsoftware unter Bedrohungs Explorer erkennungen und Echtzeiterkennungen verfügbar sind, werden in der folgenden Tabelle beschrieben:

Pivot	Bedrohung Explorer	Echtzeit Erkennungen
URL-Domäne	✔	✔
Klicken Sie auf "Urteil".	✔	✔
URL	✔
URL-Domäne und -Pfad	✔

Die gleichen Diagramm-Pivots sind verfügbar und werden für die Ansicht Alle E-Mails in Threat Explorer beschrieben:

• URL-Domänen-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
• Klicken Sie für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
• URL-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
• URL-Domäne und Pfad-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Tipp

In Threat Explorer verfügt jeder Pivot in der Ansicht URL-Klicks über die Aktion Alle Klicks anzeigen, die die Ansicht URL-Klicks in Bedrohungs-Explorer auf einer neuen Registerkarte öffnet. Diese Aktion ist in Echtzeiterkennungen nicht verfügbar, da die Ansicht URL-Klicks in Echtzeiterkennungen nicht verfügbar ist.

Ansicht "Top URLs" für den Detailbereich der Ansicht "Phish" in "Threat Explorer" und "Echtzeiterkennungen"

In der Ansicht Top URLs wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

• URL
• Blockierte Nachrichten
• Nachrichten mit Junk-E-Mail
• Übermittelte Nachrichten

Details zu den wichtigsten URLs für die Phish-Ansicht

Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.

Tipp

Die Aktion Go hunt ist nur in Threat Explorer verfügbar.The Go hunt action is only available in Threat Explorer. Sie ist in Echtzeiterkennungen nicht verfügbar.

Ansicht mit den höchsten Klicks für den Detailbereich der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen

In der Ansicht Mit den höchsten Klicks wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

• URL
• Gesperrt
• Allowed
• Block überschrieben
• Ausstehendes Urteil
• Ausstehendes Urteil umgangen
• Keine
• Fehlerseite
• Fehler

Tipp

Alle verfügbaren Spalten sind ausgewählt. Wenn Sie Spalten anpassen auswählen, können Sie die Auswahl von Spalten nicht aufheben.

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

• Horizontales Scrollen in Ihrem Webbrowser.
• Schränken Sie die Breite der entsprechenden Spalten ein.
• Verkleineren Sie in Ihrem Webbrowser.

Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.

Ansicht der am häufigsten betroffenen Benutzer für den Detailbereich der Phish-Ansicht in Threat Explorer

In der Ansicht Am häufigsten ausgerichtete Benutzer werden die Daten in einer Tabelle mit den fünf wichtigsten Empfängern organisiert, die von Phishingversuchen betroffen waren. Die Tabelle zeigt Folgendes:

• Benutzer mit den höchsten Zielzielen: Die E-Mail-Adresse des Am häufigsten betroffenen Benutzers. Wenn Sie eine E-Mail-Adresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind identisch mit den Informationen, die in der Ansicht "Am häufigsten zielorientierte Benutzer" für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer beschrieben werden.

• Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

Tipp

Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.

Email Ursprungsansicht für den Detailbereich der Phish-Ansicht in Threat Explorer

Die Email-Ursprungsansicht zeigt Nachrichtenquellen auf einer Weltkarte an.

Kampagnenansicht für den Detailbereich der Phish-Ansicht in Threat Explorer

Die Ansicht Kampagne zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.

Die Informationen in der Tabelle sind die gleichen wie in der Detailtabelle auf der Seite Kampagnen beschrieben.

Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Kampagnendetails beschrieben.

Ansicht "Kampagnen" in "Threat Explorer"

Die Ansicht Kampagnen in Threat Explorer enthält Informationen zu Bedrohungen, die als koordinierte Phishing- und Schadsoftwareangriffe identifiziert wurden, entweder speziell für Ihre organization oder für andere Organisationen in Microsoft 365.

Um die Ansicht Kampagnen auf der Seite Explorer im Defender-Portal unter https://security.microsoft.comzu öffnen, wechseln Sie zu Email & Registerkarte Zusammenarbeit>Explorer>Campaigns. Oder navigieren Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte Kampagnen aus.

Alle verfügbaren Informationen und Aktionen sind mit den Informationen und Aktionen auf der Seite Kampagnen unter https://security.microsoft.com/campaignsv3identisch. Weitere Informationen finden Sie auf der Seite Kampagnen im Microsoft Defender-Portal.

Ansicht von Schadsoftware in Bedrohungs- Explorer und Echtzeiterkennungen

Die Ansicht Inhalt schadsoftware in Bedrohungs- Explorer und Echtzeiterkennungen zeigt Informationen zu Dateien an, die von als Schadsoftware identifiziert wurden:

• Integrierter Virenschutz in SharePoint, OneDrive und Microsoft Teams
• Sichere Anlagen für SharePoint, OneDrive und Microsoft Teams.

Führen Sie einen der folgenden Schritte aus, um die Ansicht Schadsoftware inhalt zu öffnen:

• Bedrohungs-Explorer: Wechseln Sie auf der Seite Explorer im Defender-Portal unter zur https://security.microsoft.comRegisterkarte Schadsoftware für Email & Zusammenarbeit>Explorer>Inhalt. Oder wechseln Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte Schadsoftware inhalt aus.
• Echtzeiterkennungen: Navigieren Sie im Defender-Portal auf der Seite Echtzeiterkennungen unter zu https://security.microsoft.comEmail & Registerkarte Schadsoftware für zusammenarbeit>Explorer>Inhalt. Oder wechseln Sie mit direkt zur Seite https://security.microsoft.com/realtimereportsv3Echtzeiterkennungen, und wählen Sie dann die Registerkarte Schadsoftware inhalt aus.

Filterbare Eigenschaften in der Ansicht "Inhalt schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Feld Dateiname in der Ansicht Schadsoftware inhalt unter Explorer Bedrohungserkennungen und Echtzeiterkennungen verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft	Typ	Bedrohung Explorer	Echtzeit Erkennungen
Datei
Dateiname	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Arbeitslast	Wählen Sie einen oder mehrere Werte aus: OneDrive SharePoint Microsoft Teams	✔	✔
Website	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Dateibesitzer	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Zuletzt geändert von	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
SHA256	Ganzzahl. Trennen Sie mehrere Werte durch Kommas. Um den SHA256-Hashwert einer Datei in Windows zu ermitteln, führen Sie den folgenden Befehl an einer Eingabeaufforderung aus: certutil.exe -hashfile "<Path>\<Filename>" SHA256.	✔	✔
Malware-Familie	Text Trennen Sie mehrere Werte durch Kommas.	✔	✔
Erkennungstechnologie	Wählen Sie einen oder mehrere Werte aus: Erweiterter Filter Schutz vor Schadsoftware Masse Kampagnen Domänenreputation Dateidetonation Reputation der Dateidetonation Datei-Reputation Fingerabdruckübereinstimmung Allgemeiner Filter Vorgetäuschte Marke Vorgetäuschte Domäne Vorgetäuschte Benutzeridentität IP-Reputation Mailbox Intelligence-basierte Identitätsvortäuschung Erkennung durch gemischte Analysen Spoofen von DMARC Spoofing externer Domäne Organisationsinternes Spoofing URL-Detonation Reputation der URL-Detonation URL-Reputation als schädlich eingestuft	✔	✔
Bedrohungstyp	Wählen Sie einen oder mehrere Werte aus: Blockieren Schadsoftware Phishing Spam	✔	✔

Pivots für das Diagramm in der Ansicht "Inhalt schadsoftware" unter Bedrohungserkennungen Explorer und Echtzeiterkennungen

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die diagrammbasierten Pivots, die in der Ansicht Schadsoftware für Inhalt in bedrohungsbasierten Explorer und Echtzeiterkennungen verfügbar sind, sind in der folgenden Tabelle aufgeführt:

Pivot	Bedrohung Explorer	Echtzeit Erkennungen
Malware-Familie	✔	✔
Erkennungstechnologie	✔	✔
Arbeitslast	✔	✔

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Diagramm zur Schadsoftwarefamilie in der Ansicht "Inhalt schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Schadsoftwarefamilie der Standarddiagramm-Pivot in der Ansicht Schadsoftware inhalt in Bedrohungs- Explorer und Echtzeiterkennungen.

Der Pivot der Schadsoftwarefamilie organisiert das Diagramm anhand der schadsoftware, die in Dateien in SharePoint, OneDrive und Microsoft Teams identifiziert wurde, indem der angegebene Datums-/Uhrzeitbereich und Eigenschaftenfilter verwendet werden.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Schadsoftwarefamilien angezeigt.

Diagramm "Erkennungstechnologie" in der Ansicht "Schadsoftware" in "Bedrohungs- Explorer" und "Echtzeiterkennungen"

Der Pivot Erkennungstechnologie organisiert das Diagramm nach dem Feature, das Schadsoftware in Dateien in SharePoint, OneDrive und Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Pivotieren des Arbeitsauslastungsdiagramms in der Ansicht "Inhalt schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Der Pivot Workload organisiert das Diagramm nach dem Ort, an dem die Schadsoftware identifiziert wurde (SharePoint, OneDrive oder Microsoft Teams) für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede Workload angezeigt.

Ansichten für den Detailbereich der Ansicht "Inhalt schadsoftware" unter Bedrohungserkennungen Explorer und Echtzeiterkennungen

Unter Bedrohungs Explorer erkennungen und Echtzeiterkennungen enthält der Detailbereich der Ansicht Schadsoftware inhalt nur eine Ansicht (Registerkarte) mit dem Namen Dokumente. Diese Ansicht wird im folgenden Unterabschnitt beschrieben.

Dokumentansicht für den Detailbereich der Ansicht "Inhalt schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Dokument ist die standard- und einzige Ansicht für den Detailbereich in der Ansicht Schadsoftware inhalt .

In der Dokumentansicht wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (^*) gekennzeichnet:

• Datum^*
• Namen^*
• Arbeitsauslastung^*
• Bedrohung^*
• Erkennungstechnologie^*
• Zuletzt geänderter Benutzer^*
• Dateibesitzer^*
• Größe (Bytes)^*
• Zeitpunkt der letzten Änderung
• Websitepfad
• Dateipfad
• Dokument-ID
• SHA256
• Erkanntes Datum
• Malware-Familie
• Context

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

• Horizontales Scrollen in Ihrem Webbrowser.
• Schränken Sie die Breite der entsprechenden Spalten ein.
• Entfernen Sie Spalten aus der Ansicht.
• Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wenn Sie in der Spalte Name einen Dateinamenwert auswählen, wird ein Details-Flyout geöffnet. Das Flyout enthält die folgenden Informationen:

• Zusammenfassungsabschnitt :

  • Filename
  • Websitepfad
  • Dateipfad
  • Dokument-ID
  • SHA256
  • Datum der letzten Änderung
  • Zuletzt geändert von
  • Bedrohung
  • Erkennungstechnologie

• Detailabschnitt :

  • Erkanntes Datum
  • Erkannt von
  • Name der Schadsoftware
  • Zuletzt geändert von
  • Dateigröße
  • Dateibesitzer

• Email Listenabschnitt: Eine Tabelle mit den folgenden verwandten Informationen für Nachrichten, die die Schadsoftwaredatei enthalten:

  • Date
  • Subject
  • Empfänger

  Wählen Sie Alle E-Mails anzeigen aus, um threat Explorer auf einer neuen Registerkarte zu öffnen, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

• Letzte Aktivität: Zeigt die zusammengefassten Ergebnisse einer Überwachungsprotokollsuche für den Empfänger an:

  • Date
  • IP-Adresse
  • Aktivität
  • Item

  Wenn der Empfänger über mehr als drei Überwachungsprotokolleinträge verfügt, wählen Sie Alle zuletzt ausgeführten Aktivitäten anzeigen aus, um alle anzuzeigen.

  Tipp

  Mitglieder der Rollengruppe Sicherheitsadministratoren in Email & Berechtigungen für die Zusammenarbeit können den Abschnitt Letzte Aktivität nicht erweitern. Sie müssen Mitglied einer Rollengruppe in Exchange Online Berechtigungen sein, denen die Rollen Überwachungsprotokolle, Information Protection Analyst oder Information Protection Prüfer zugewiesen sind. Standardmäßig werden diese Rollen den Rollengruppen Datensatzverwaltung, Complianceverwaltung, Information Protection, Information Protection Analysts, Information Protection Investigators und Organization Management zugewiesen. Sie können die Mitglieder von Sicherheitsadministratoren diesen Rollengruppen hinzufügen oder eine neue Rollengruppe mit der zugewiesenen Rolle Überwachungsprotokolle erstellen.

Ansicht "URL-Klicks" in "Threat Explorer

Die Ansicht URL-Klicks in Threat Explorer zeigt alle Benutzerklicks auf URLs in E-Mails, in unterstützten Office-Dateien in SharePoint und OneDrive und in Microsoft Teams an.

Um die Ansicht URL-Klicks auf der Seite Explorer im Defender-Portal unter https://security.microsoft.comzu öffnen, wechseln Sie zu Email & Registerkarte "Collaboration>Explorer>URL clicks". Oder navigieren Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte URL-Klicks aus.

Filterbare Eigenschaften in der Ansicht "URL-Klicks" in Threat Explorer

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Feld Empfänger in der Ansicht URL-Klicks in Threat Explorer verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft	Typ
Basic
Empfänger	Text Trennen Sie mehrere Werte durch Kommas.
Tags	Text Trennen Sie mehrere Werte durch Kommas. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Netzwerknachrichten-ID	Text Trennen Sie mehrere Werte durch Kommas. Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.
URL	Text Trennen Sie mehrere Werte durch Kommas.
Klickaktion	Wählen Sie einen oder mehrere Werte aus: Erlaubt Seite "Blockieren" Außerkraftsetzung von Blockseiten Fehlerseite Fehler Keine Seite "Ausstehende Detonation" Außerkraftsetzung der Ausstehender Detonation
Bedrohungstyp	Wählen Sie einen oder mehrere Werte aus: Zulassen Blockieren Schadsoftware Phishing Spam
Erkennungstechnologie	Wählen Sie einen oder mehrere Werte aus: URL-Detonation Reputation der URL-Detonation URL-Reputation als schädlich eingestuft
Klicken Sie auf ID.	Text Trennen Sie mehrere Werte durch Kommas.
Client-IP	Text Trennen Sie mehrere Werte durch Kommas.

Pivots für das Diagramm in der Ansicht "URL-Klicks" in Threat Explorer

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Url-Domänendiagramm in der Ansicht "URL-Klicks" in "Threat Explorer

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die URL-Domäne der Standarddiagramm-Pivot in der Ansicht URL-Klicks .

Der URL-Domänen-Pivot organisiert das Diagramm nach den Domänen in URLs, auf die Benutzer in E-Mails, Office-Dateien oder Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter geklickt haben.

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.

Workloaddiagramm-Pivot in der Ansicht "URL-Klicks" in Threat Explorer

Der Pivot Workload organisiert das Diagramm nach der Position der angeklickten URL (E-Mail, Office-Dateien oder Microsoft Teams) für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede Workload angezeigt.

Pivotieren des Erkennungstechnologiediagramms in der Ansicht "URL-Klicks" in Threat Explorer

Der Pivot Erkennungstechnologie organisiert das Diagramm nach dem Feature, das die URL-Klicks in E-Mails, Office-Dateien oder Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Diagramm "Bedrohungstyp" in der Ansicht "URL-Klicks" in "Threat Explorer

Der Pivot Bedrohungstyp organisiert das Diagramm nach den Ergebnissen der urLs in E-Mails, Office-Dateien oder Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen Bedrohungstypen angezeigt.

Ansichten für den Detailbereich der Ansicht "URL-Klicks" in Threat Explorer

Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Ansicht URL-Klicks werden in den folgenden Unterabschnitten beschrieben.

Ergebnisansicht für den Detailbereich der Ansicht "URL-Klicks" in Threat Explorer

Ergebnisse ist die Standardansicht für den Detailbereich in der Ansicht URL-Klicks .

In der Ansicht Ergebnisse wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle Spalten ausgewählt:

• Angeklickte Uhrzeit
• Empfänger
• URL-Klickaktion
• URL
• Tags
• Netzwerknachrichten-ID
• Klicken Sie auf ID.
• Client-IP
• URL-Kette
• Bedrohungstyp
• Erkennungstechnologie

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

• Horizontales Scrollen in Ihrem Webbrowser.
• Schränken Sie die Breite der entsprechenden Spalten ein.
• Entfernen Sie Spalten aus der Ansicht.
• Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wählen Sie einen Eintrag oder einen Eintrag aus, indem Sie das Kontrollkästchen neben der ersten Spalte in der Zeile aktivieren, und wählen Sie dann Alle E-Mails anzeigen aus, um threat Explorer in der Ansicht Alle E-Mails auf einer neuen Registerkarte zu öffnen, die nach den Netzwerknachrichten-ID-Werten der ausgewählten Nachrichten gefiltert wird.

Ansicht mit den höchsten Klicks für den Detailbereich der Ansicht "URL-Klicks" in Threat Explorer

In der Ansicht Mit den höchsten Klicks wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

• URL
• Gesperrt
• Allowed
• Block überschrieben
• Ausstehendes Urteil
• Ausstehendes Urteil umgangen
• Keine
• Fehlerseite
• Fehler

Tipp

Alle verfügbaren Spalten sind ausgewählt. Wenn Sie Spalten anpassen auswählen, können Sie die Auswahl von Spalten nicht aufheben.

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

• Horizontales Scrollen in Ihrem Webbrowser.
• Schränken Sie die Breite der entsprechenden Spalten ein.
• Verkleineren Sie in Ihrem Webbrowser.

Wählen Sie einen Eintrag aus, indem Sie das Kontrollkästchen neben der ersten Spalte in der Zeile aktivieren, und wählen Sie dann Alle Klicks anzeigen aus, um bedrohungsbasierte Explorer in einer neuen Registerkarte in der Url-Klickansicht zu öffnen.

Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.

Ansicht mit den wichtigsten Zielbenutzern für den Detailbereich der Ansicht "URL-Klicks" in Threat Explorer

In der Ansicht Am häufigsten ausgerichtete Benutzer werden die Daten in einer Tabelle der fünf wichtigsten Empfänger organisiert, die auf URLs geklickt haben. Die Tabelle zeigt Folgendes:

• Benutzer mit den höchsten Zielzielen: Die E-Mail-Adresse des Am häufigsten betroffenen Benutzers. Wenn Sie eine E-Mail-Adresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind identisch mit den Informationen, die in der Ansicht "Am häufigsten zielorientierte Benutzer" für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer beschrieben werden.

• Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

Tipp

Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.

Eigenschaftenfilter in Bedrohungs- Explorer und Echtzeiterkennungen

Die grundlegende Syntax eines Eigenschaftenfilters/einer -Abfrage lautet:

Bedingung = <Filtereigenschaft><Filteroperator><Eigenschaftswert oder -werte>

Für mehrere Bedingungen wird die folgende Syntax verwendet:

<Bedingung1><UND | OR><Bedingung2><AND | OR><Bedingung3>... <AND | OR><ConditionN>

Tipp

In Text- oder Ganzzahlwerten werden keine Wildcardsuchen (* oder ?) unterstützt. Die Subject-Eigenschaft verwendet partielle Textabgleiche und liefert Ergebnisse, die einer Wildcardsuche ähneln.

Die Schritte zum Erstellen von Eigenschaftenfilter-/Abfragebedingungen sind in allen Ansichten in Bedrohungserkennungen Explorer und Echtzeiterkennungen identisch:

1. Identifizieren Sie die Filtereigenschaft mithilfe der Tabellen in den Beschreibungsabschnitten der Vorschauansicht weiter oben in diesem Artikel.

2. Wählen Sie einen verfügbaren Filteroperator aus. Die verfügbaren Filteroperatoren hängen vom Eigenschaftentyp ab, wie in der folgenden Tabelle beschrieben:

   Filteroperator	Eigenschaftentyp
   Gleich "any" von	Text Ganze Zahl Diskrete Werte
   Gleich keine von	Text Diskrete Werte
   Größer als	Ganze Zahl
   Kleiner als	Ganze Zahl

3. Geben Sie einen oder mehrere Eigenschaftswerte ein, oder wählen Sie sie aus. Für Textwerte und ganze Zahlen können Sie mehrere Werte durch Kommas getrennt eingeben.

   Mehrere Werte im Eigenschaftswert verwenden den logischen OR-Operator. Absenderadresse>Gleich>bob@fabrikam.com,cindy@fabrikam.com bedeutet z. B. Absenderadresse>gleich oder>bob@fabrikam.comcindy@fabrikam.com.

   Nachdem Sie einen oder mehrere Eigenschaftswerte eingegeben oder ausgewählt haben, wird die abgeschlossene Filterbedingung unterhalb der Filtererstellungsfelder angezeigt.

   Tipp

   Bei Eigenschaften, bei denen Sie einen oder mehrere verfügbare Werte auswählen müssen, führt die Verwendung der Eigenschaft in der Filterbedingung mit allen ausgewählten Werten zu demselben Ergebnis wie die Verwendung der Eigenschaft in der Filterbedingung.

4. Um eine weitere Bedingung hinzuzufügen, wiederholen Sie die vorherigen drei Schritte.

   Die Bedingungen unterhalb der Filtererstellungsfelder werden durch den logischen Operator getrennt, der zum Zeitpunkt der Erstellung der zweiten oder nachfolgenden Bedingungen ausgewählt wurde. Der Standardwert ist AND, Sie können aber auch ODER auswählen.

   Derselbe logische Operator wird zwischen allen Bedingungen verwendet: Sie sind alle AND oder sind alle OR. Um die vorhandenen logischen Operatoren zu ändern, wählen Sie das Feld logischer Operator und dann AND oder OR aus.

   Um eine vorhandene Bedingung zu bearbeiten, doppelklicken Sie darauf, um die ausgewählte Eigenschaft, den Filteroperator und die Werte wieder in die entsprechenden Felder zu bringen.

   Um eine vorhandene Bedingung zu entfernen, wählen Sie die Bedingung aus.

5. Um den Filter auf das Diagramm und die Detailtabelle anzuwenden, wählen Sie Aktualisieren aus.

   

Gespeicherte Abfragen in Threat Explorer

Tipp

Die Speicherabfrage ist Teil von Bedrohungstrackern und nicht in Echtzeiterkennungen verfügbar. Gespeicherte Abfragen und Bedrohungstracker sind nur in Defender for Office 365 Plan 2 verfügbar.

Die Abfrage speichern ist in der Ansicht "Inhalt schadsoftware" nicht verfügbar.

Mit den meisten Ansichten in Threat Explorer können Sie Filter (Abfragen) zur späteren Verwendung speichern. Gespeicherte Abfragen sind auf der Seite Bedrohungsnachverfolgung im Defender-Portal unter https://security.microsoft.com/threattrackerv2verfügbar. Weitere Informationen zu Bedrohungstrackern finden Sie unter Bedrohungstracker in Microsoft Defender for Office 365 Plan 2.

Führen Sie die folgenden Schritte aus, um Abfragen in Threat Explorer zu speichern:

1. Nachdem Sie den Filter/die Abfrage wie zuvor beschrieben erstellt haben, wählen Sie Abfrage> speichernAbfrage speichern Aus.

2. Konfigurieren Sie im daraufhin geöffneten Flyout Abfrage speichern die folgenden Optionen:

   • Abfragename: Geben Sie einen eindeutigen Namen für die Abfrage ein.
   • Wählen Sie eine der folgenden Optionen aus:
     • Genaue Datumsangaben: Wählen Sie in den Feldern ein Start- und Enddatum aus. Das älteste Startdatum, das Sie auswählen können, liegt 30 Tage vor dem heutigen Tag. Das neueste Enddatum, das Sie auswählen können, ist heute.
     • Relative Datumsangaben: Wählen Sie die Anzahl der Tage in show last nn days when search is run (Letzte nn Tage anzeigen) aus. Der Standardwert ist 7, Aber Sie können 1 bis 30 auswählen.
   • Abfrage nachverfolgen: Diese Option ist standardmäßig nicht ausgewählt. Diese Option wirkt sich darauf aus, ob die Abfrage automatisch ausgeführt wird:
     • Abfrage nachverfolgen nicht ausgewählt: Die Abfrage kann manuell in Threat Explorer ausgeführt werden. Die Abfrage wird auf der Registerkarte Gespeicherte Abfragen auf der Seite Bedrohungsnachverfolgung mit der Eigenschaft "Nachverfolgte Abfrage"gespeichert.
     • Ausgewählte Abfrage nachverfolgen : Die Abfrage wird in regelmäßigen Abständen im Hintergrund ausgeführt. Die Abfrage ist auf der Registerkarte Gespeicherte Abfragen auf der Seite Bedrohungsnachverfolgung mit dem Wert der Eigenschaft "Nachverfolgte Abfrage " verfügbar. Die regelmäßigen Ergebnisse der Abfrage werden auf der Registerkarte Nachverfolgte Abfragen auf der Seite Bedrohungsnachverfolgung angezeigt.

   Wenn Sie mit dem Flyout Abfrage speichern fertig sind, wählen Sie Speichern und dann im Bestätigungsdialogfeld OK aus.

Auf den Registerkarten Gespeicherte Abfrage oder Nachverfolgte Abfrage auf der Seite Bedrohungsnachverfolgung im Defender-Portal unter https://security.microsoft.com/threattrackerv2können Sie in der Spalte Aktionendie Option Durchsuchen auswählen, um die Abfrage in Threat Explorer zu öffnen und zu verwenden.

Wenn Sie die Abfrage öffnen, indem Sie auf der Seite Bedrohungsnachverfolgung die Option Durchsuchen auswählen, sind jetzt die Einstellungen Abfrage speichern unter und Gespeicherte Abfrage auf der Seite Explorer verfügbar:

• Wenn Sie Abfrage speichern unter auswählen, wird das Flyout Abfrage speichern mit allen zuvor ausgewählten Einstellungen geöffnet. Wenn Sie Änderungen vornehmen, wählen Sie Speichern aus, und klicken Sie dann im Dialogfeld Erfolg auf OK. Die aktualisierte Abfrage wird als neue Abfrage auf der Seite Bedrohungsnachverfolgung gespeichert (Möglicherweise müssen Sie Aktualisieren auswählen, um sie anzuzeigen).

• Wenn Sie Gespeicherte Abfrageeinstellungen auswählen, wird das Flyout Gespeicherte Abfrageeinstellungen geöffnet, in dem Sie die Datums- und Nachverfolgungsabfrageeinstellungen der vorhandenen Abfrage aktualisieren können.

Weitere Informationen

• Bedrohungs-Explorer Sammeln von E-Mail-Details auf der Email-Entitätsseite
• Suchen und Untersuchen von bösartigen E-Mails, die zugestellt wurden
• Anzeigen schädlicher Dateien, die in SharePoint Online, OneDrive und Microsoft Teams erkannt wurden
• Threat Protection-Statusbericht
• Automatische Untersuchung und Reaktion in Microsoft Threat Protection