Tietoja Uhkienhallinnasta ja reaaliaikaisia tunnistuksia Microsoft Defender for Office 365
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Microsoft 365 -organisaatioilla, joilla on Microsoft Defender for Office 365 sisältyvät tilaukseensa tai jotka on ostettu lisäosana, on Explorer (tunnetaan myös nimellä Threat Explorer) tai reaaliaikaisia tunnistuksia. Nämä ominaisuudet ovat tehokkaita, lähes reaaliaikaisia raportointityökaluja, joiden avulla tietoturvatiimit voivat tutkia uhkia ja vastata niihin.
Tilauksestasi riippuen Threat Explorer tai reaaliaikaiset tunnistamiset ovat käytettävissä Microsoft Defender-portaalin Sähköposti & yhteistyö -osiossa osoitteessa https://security.microsoft.com:
Reaaliaikaiset tunnistuksia on saatavilla palvelupakettiin 1 Defender for Office 365. Reaaliaikaisten tunnistusten sivu on saatavilla suoraan osoitteessa https://security.microsoft.com/realtimereportsv3.
Uhkienhallinta on käytettävissä palvelupaketin 2 Defender for Office 365. Explorer-sivu on saatavilla suoraan osoitteessa https://security.microsoft.com/threatexplorerv3.
Threat Explorer sisältää samat tiedot ja ominaisuudet kuin reaaliaikaiset tunnistuksia, mutta sisältää seuraavat lisäominaisuudet:
- Lisää näkymiä.
- Lisää ominaisuuksien suodatusasetuksia, mukaan lukien kyselyiden tallennusvaihtoehto.
- Lisää toimintoja.
Lisätietoja Defender for Office 365 palvelupaketin 1 ja 2 eroista on Defender for Office 365 palvelupaketin 1 ja palvelupaketin 2 pikaohjeissa.
Tässä artikkelissa kerrotaan näkymistä ja ominaisuuksista, jotka ovat käytettävissä Threat Explorerissa ja reaaliaikaisissa tunnisuksissa.
Vihje
Seuraavissa artikkeleissa on sähköpostiskenaarioita, joissa käytetään Uhkien hallintaa ja reaaliaikaisia tunnistuksia:
Threat Explorerin ja reaaliaikaisten tunnistusten käyttöoikeudet ja käyttöoikeudet
Jos haluat käyttää Resurssienhallintaa tai reaaliaikaisia tunnistuksia, sinulla on oltava käyttöoikeudet. Voit valita seuraavat vaihtoehdot:
-
Microsoft Defender XDR RBAC (Unified Role Based Access Control) (If Email & collaboration>Defender for Office 365 permissions is Active. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin):
- Sähköpostin ja Teamsin viestien otsikoiden lukuoikeudet: Suojaustoiminnot/Raakatiedot (sähköposti & yhteiskäyttö)/Sähköposti & yhteistyön metatiedot (luku).
- Sähköpostiviestien esikatselu ja lataaminen: Suojaustoiminnot/Raakatiedot (sähköposti & yhteiskäyttö)/Sähköposti & yhteistyösisältö (luku).
- Korjaa haitallisia sähköpostiviestejä: Suojaustoiminnot/Suojaustiedot/Sähköposti & yhteistyön lisätoiminnot (hallinta).
-
Sähköpostin & yhteiskäyttöoikeudet Microsoft Defender portaalissa:
-
Täydet käyttöoikeudet: Organisaation hallinnan tai suojauksen järjestelmänvalvojan rooliryhmien jäsenyys. Kaikkien käytettävissä olevien toimintojen suorittamiseen tarvitaan lisää käyttöoikeuksia:
- Esikatsele ja lataa viestejä: Edellyttää esikatseluroolia , joka on oletusarvoisesti määritetty vain tietotutkija - tai eDiscovery Manager - rooliryhmille. Voit myös luoda uuden rooliryhmän , jolle on määritetty Esiversio-rooli , ja lisätä käyttäjät mukautettuun rooliryhmään.
- Siirrä viestejä postilaatikoihin ja poista viestejä postilaatikoista: Edellyttää haku- ja tyhjennysroolia , joka on oletusarvoisesti määritetty vain tietotutkija - tai organisaation hallinta -rooliryhmille. Voit myös luoda uuden rooliryhmän , jolle on määritetty Hae ja tyhjennä-rooli , ja lisätä käyttäjät mukautettuun rooliryhmään.
- Vain luku -oikeudet: Käyttöoikeuslukijan rooliryhmän jäsenyys.
-
Täydet käyttöoikeudet: Organisaation hallinnan tai suojauksen järjestelmänvalvojan rooliryhmien jäsenyys. Kaikkien käytettävissä olevien toimintojen suorittamiseen tarvitaan lisää käyttöoikeuksia:
-
Microsoft Entra käyttöoikeudet: Näiden roolien jäsenyys antaa käyttäjille microsoft 365:n muiden ominaisuuksien vaaditut käyttöoikeudet ja käyttöoikeudet:
Täydet käyttöoikeudet: Yleisen järjestelmänvalvojan* tai suojauksen järjestelmänvalvojan roolien jäsenyys.
Hae Exchange-postinkulun sääntöjä (siirtosääntöjä) nimen mukaan Threat Explorerissa: Suojausjärjestelmänvalvoja - tai Suojauksen lukija - roolien jäsenyys.
Vain luku -oikeudet: Yleisen lukijan tai suojauksen lukijan roolien jäsenyys.
Tärkeää
* Microsoft suosittelee, että käytät rooleja, joilla on vähiten käyttöoikeuksia. Alemman käyttöoikeuden auttaminen parantaa organisaatiosi suojausta. Yleinen järjestelmänvalvoja on hyvin etuoikeutettu rooli, joka tulisi rajata hätätilanteisiin, joissa et voi käyttää olemassa olevaa roolia.
Vihje
Loppukäyttäjän roskapostiilmoitukset ja järjestelmän luomat viestit eivät ole käytettävissä Threat Explorerissa. Tämäntyyppiset viestit ovat käytettävissä, jos ohitettava postinkulkusääntö (tunnetaan myös siirtosääntönä).
Valvontalokin merkinnät luodaan, kun järjestelmänvalvojat esikatselevat tai lataavat sähköpostiviestejä. Voit tehdä haun järjestelmänvalvojan valvontalokista käyttäjän mukaan kohtaan AdminMailAccess-toiminta . Katso ohjeet kohdasta Valvo uutta hakua.
Jos haluat käyttää Threat Exploreria tai reaaliaikaisia tunnistuksia, sinulle on määritettävä käyttöoikeus Defender for Office 365 varten (sisältyy tilaukseesi tai lisäosan käyttöoikeuteen).
Threat Explorer tai reaaliaikainen tunnistaminen sisältää tietoja käyttäjille, joille on määritetty Defender for Office 365 käyttöoikeuksia.
Uhkienhallinnan ja reaaliaikaisten tunnistusten elementit
Threat Explorer ja reaaliaikaiset tunnistimet sisältävät seuraavat elementit:
Näkymät: Sivun yläreunassa olevat välilehdet, jotka järjestävät tunnistuksia uhan mukaan. Näkymä vaikuttaa sivun muihin tietoihin ja asetuksiin.
Seuraavassa taulukossa on luettelo uhkien hallinnan käytettävissä olevista näkymistä ja reaaliaikaisten tunnistusten näkymistä:
Näytä Uhka
TutkimusmatkailijaReaaliaikainen
EtsiväKuvaus Kaikki sähköpostit ✔ Uhkienhallinnan oletusnäkymä. Tietoja kaikista ulkoisten käyttäjien organisaatioosi lähettämiä sähköpostiviestejä tai organisaation sisäisten käyttäjien välillä lähetettyjä sähköpostiviestejä. Haittaohjelma ✔ ✔ Reaaliaikaisten tunnistusten oletusnäkymä. Tietoja haittaohjelmia sisältävistä sähköpostiviesteista. Tietojen kalastelu ✔ ✔ Tietoja sähköpostiviesteista, jotka sisältävät tietojenkalasteluuhkia. Kampanjat ✔ Tietoja haitallisista sähköposteista, jotka Defender for Office 365 palvelupaketti 2 tunnistaa osana koordinoitua tietojenkalastelu- tai haittaohjelmakampanjaa. Sisällön haittaohjelma ✔ ✔ Tietoja seuraavien ominaisuuksien havaitsemista haitallisista tiedostoista: URL-osoitteen napsautukset ✔ Tietoja käyttäjien napsautuksista sähköpostiviesteissä, Teams-viesteissä, SharePoint-tiedostoissa ja OneDrive-tiedostoissa. Nämä näkymät on kuvattu yksityiskohtaisesti tässä artikkelissa, mukaan lukien threat Explorerin ja reaaliaikaisten tunnistusten väliset erot.
Päivämäärä- ja aikasuodattimet: Näkymä suodatetaan oletusarvoisesti eilisen ja tämän päivän mukaan. Jos haluat muuttaa päivämääräsuodatinta, valitse päivämääräalue ja valitse sitten Aloituspäivämäärä - ja Lopetuspäivämäärä-arvot enintään 30 päivää sitten.
Ominaisuussuodattimet (kyselyt): Suodata näkymän tulokset käytettävissä olevien viesti-, tiedosto- tai uhkaominaisuuksien mukaan. Käytettävissä olevat suodatettavat ominaisuudet riippuvat näkymästä. Jotkin ominaisuudet ovat käytettävissä useissa näkymissä, kun taas muut ominaisuudet on rajoitettu tiettyyn näkymään.
Kunkin näkymän käytettävissä olevat ominaisuussuodattimet on lueteltu tässä artikkelissa, mukaan lukien uhkienhallinnan ja reaaliaikaisten tunnistusten väliset erot.
Lisätietoja ominaisuussuodattimien luomisesta on artikkelissa Ominaisuussuodattimet Threat Explorerissa ja Reaaliaikaiset tunnistuksia
Threat Explorerin avulla voit tallentaa kyselyt myöhempää käyttöä varten kohdassa Threat Explorerin tallennetut kyselyt kuvatulla tavalla.
Kaaviot: Kukin näkymä sisältää visualisoinnin sekä suodatetun tai suodattamattoman tiedon koosteesityksen. Käytettävissä olevien pivot-kaavioiden avulla voit järjestää kaavion eri tavoin.
Vie kaaviotiedot -toiminnolla voit usein viedä suodatetut tai suodattamattomat kaaviotiedot CSV-tiedostoon.
Kaaviot ja käytettävissä olevat pivotit on kuvattu yksityiskohtaisesti tässä artikkelissa, mukaan lukien Threat Explorerin ja reaaliaikaisten tunnistusten väliset erot.
Vihje
Jos haluat poistaa kaavion sivulta (joka maksimoi tietoalueen koon), käytä jompaakumpaa seuraavista menetelmistä:
- Valitse kaavionäkymän>luettelonäkymä sivun yläreunasta.
- Valitse Näytä luettelonäkymä kaavion ja tietoalueen välillä.
Tietoalue: Näkymän tietoalueella näkyy yleensä taulukko, joka sisältää suodatetut tai suodattamattomat tiedot. Käytettävissä olevien näkymien (välilehtien) avulla voit järjestää tiedot tietoalueelle eri tavoin. Näkymä voi esimerkiksi sisältää kaavioita, karttoja tai eri taulukoita.
Jos tietoalue sisältää taulukon, voit usein käyttää Vie-toimintoa jopa 200 000 suodatetun tai suodattamattoman tuloksen valikoivaan vientiin CSV-tiedostoon.
Vihje
Vie-pikaikkunassa voit valita joitakin tai kaikki vietävät ominaisuudet. Valinnat tallennetaan käyttäjäkohtaan. Incognito- tai InPrivate-selaustilan valinnat tallennetaan, kunnes suljet selaimen.
Kaikki sähköpostinäkymät Threat Explorerissa
Threat Explorerin Kaikki sähköpostit -näkymässä näkyy tietoja kaikista ulkoisten käyttäjien organisaatioosi lähettämiä sähköpostiviestejä sekä organisaation sisäisten käyttäjien välillä lähetettyjä sähköpostiviestejä. Näkymä näyttää haitallisia ja ei-haitallisia sähköpostiviestejä. Esimerkki:
- Sähköposti tunnistettu tietojenkalastelu tai haittaohjelma.
- Sähköposti, joka tunnistetaan roskapostiksi tai joukkoviestiksi.
- Sähköposti, joka on tunnistettu ilman uhkia.
Tämä näkymä on uhkanhallinnan oletusnäkymä. Jos haluat avata Kaikki sähköpostit -näkymän Explorer-sivulla Defender-portaalissa osoitteessa https://security.microsoft.com, siirry kohtaan Sähköposti & yhteiskäyttö>Explorer>Kaikki sähköpostit -välilehti. Voit myös siirtyä suoraan Resurssienhallinta-sivulle -toiminnolla https://security.microsoft.com/threatexplorerv3ja varmistaa sitten, että Kaikki sähköposti -välilehti on valittuna.
Suodatettavat ominaisuudet Threat Explorerin Kaikki sähköposti -näkymässä
Tiedoissa ei oletusarvoisesti käytetä ominaisuussuodattimia. Suodattimien (kyselyiden) luontivaiheet on kuvattu Suodattimet Uhkien hallinnassa ja reaaliaikaiset tunnistuksia -osassa myöhemmin tässä artikkelissa.
Suodatettavat ominaisuudet, jotka ovat käytettävissä Toimituksen toiminto -ruudussa Kaikki sähköposti -näkymässä, on kuvattu seuraavassa taulukossa:
Ominaisuus | Kirjoita |
---|---|
Basic | |
Lähettäjän osoite | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Vastaanottajat | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Lähettäjän toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Vastaanottajan toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Aihe | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Lähettäjän näyttönimi | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Lähettäjän posti osoitteesta | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Lähettäjän posti toimialueelta | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Palautuspolku | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Palautuspolun toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Haittaohjelmaperhe | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Tunnisteet | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. Lisätietoja käyttäjätunnisteista on kohdassa Käyttäjätunnisteet. |
Tekeydytty toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Tekeydytty käyttäjä | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Exchange-siirtosääntö | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Tietojen menetyksen estäminen -sääntö | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Asiayhteys | Valitse vähintään yksi arvo:
|
Liitin | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Toimitustoiminto | Valitse vähintään yksi arvo:
|
Lisätoiminto | Valitse vähintään yksi arvo:
|
Suuntaisuus | Valitse vähintään yksi arvo:
|
Tunnistustekniikka | Valitse vähintään yksi arvo:
|
Alkuperäinen toimituspaikka | Valitse vähintään yksi arvo:
|
Viimeisin toimituspaikka 1 | Samat arvot kuin alkuperäisessä toimituspaikassa |
Tietojen kalastelun luotettavuustaso | Valitse vähintään yksi arvo:
|
Ensisijainen ohitus | Valitse vähintään yksi arvo:
|
Ensisijainen ohituslähde | Sanomien ohituslähteessä voi olla useita sallittuja tai estettyjä ohituksia. Ohitus, joka lopulta salli tai esti viestin, tunnistetaan ensisijaisesta ohituslähteestä. Valitse vähintään yksi arvo:
|
Ohita lähde | Samat arvot kuin ensisijainen ohituslähde |
Käytäntötyyppi | Valitse vähintään yksi arvo:
|
Käytäntötoiminto | Valitse vähintään yksi arvo:
|
Uhkatyyppi | Valitse vähintään yksi arvo:
|
Välitetty viesti | Valitse vähintään yksi arvo:
|
Jakeluluettelo | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Sähköpostin koko | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. |
Tarkennettu | |
Internet-viestitunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. Käytettävissä Viestin tunnus -otsikossa viestin otsikossa. Esimerkkiarvo on <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (huomioi kulmasulkeet). |
Verkkoviestin tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. GUID-arvo, joka on käytettävissä X-MS-Exchange-Organization-Network-Message-Id-otsikkokentässä viestin otsikossa. |
Lähettäjän IP | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Liitteen SHA256 | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Klusterin tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Ilmoituksen tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Ilmoituskäytännön tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Kampanjan tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
ZAP URL -signaali | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
URL-osoitteet | |
URL-osoitteiden määrä | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. |
URL-toimialue² | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
URL-toimialue ja polku² | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
URL² | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
URL-polku² | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
URL-lähde | Valitse vähintään yksi arvo:
|
Valitse tuomio | Valitse vähintään yksi arvo:
|
URL-uhka | Valitse vähintään yksi arvo:
|
Tiedosto | |
Liitteiden määrä | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. |
Liitetiedostonimi | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Tiedostotyyppi | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Tiedostopääte | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Tiedostokoko | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. |
Todennus | |
SPF | Valitse vähintään yksi arvo:
|
DKIM | Valitse vähintään yksi arvo:
|
DMARC | Valitse vähintään yksi arvo:
|
Mykerökukkainen | Valitse vähintään yksi arvo:
|
Vihje
¹ Viimeisin toimitussijainti ei sisällä loppukäyttäjän toimia viesteissä. Jos käyttäjä esimerkiksi poisti viestin tai siirsi viestin arkistoon tai PST-tiedostoon.
On tilanteita, joissa alkuperäisen toimitussijainnin/uusimman toimituksen sijainnin ja/tai toimitustoiminnon arvo on Tuntematon. Esimerkki:
- Viesti toimitettiin (Toimitus-toiminto on Toimitettu), mutta Saapuneet-kansion sääntö siirsi viestin muuhun oletuskansioon kuin Saapuneet- tai Roskaposti-kansioon (esimerkiksi Luonnos- tai Arkisto-kansioon).
- ZAP yritti siirtää viestin toimituksen jälkeen, mutta viestiä ei löytynyt (esimerkiksi käyttäjä siirsi tai poisti viestin).
² URL-haku yhdistää oletusarvoisesti kohteeseen http
, ellei toista arvoa ole eksplisiittisesti määritetty. Esimerkki:
- Url-, URL-toimialue- ja URL-toimialueessa sekä URL-toimialueessa ja polussa olevan etuliitteen avulla ja ilman
http://
sitä haun pitäisi näyttää samat tulokset. - Etsi
https://
etuliite URL-osoitteesta. Kun arvoa ei määritetähttp://
, etuliitteenä oletetaan. -
/
URL-polun alussa ja lopussa olevat URL-toimialue-, URL-toimialue- ja polkukentät ohitetaan. -
/
URL-kentän lopussa ohitetaan.
Kaavion pivotit Threat Explorerin Kaikki sähköposti -näkymässä
Kaaviossa on oletusnäkymä, mutta voit valita histogrammikaavion Valitse pivot - kohdasta arvon, joka muuttaa suodatetun tai suodattamattoman kaavion tietojen järjestystä ja näyttämistä.
Käytettävissä olevat kaavion pivotit on kuvattu seuraavissa alakohdissa.
Toimituksen toimintokaavion pivot-osa Threat Explorerin Kaikki sähköposti -näkymässä
Vaikka tämä pivot-osa ei ole oletusarvoisesti valittuna, Toimitus-toiminto on oletuskaavion pivot-osa Kaikki sähköpostit -näkymässä.
Toimitus-toiminnon pivot järjestää kaavion määritetyn päivämäärä-/aika-alueen ja ominaisuussuodattimien sanomien toimintojen mukaan.
Kun viet osoittimen kaavion arvopisteen päälle, näet toimitusten määrän.
Lähettäjän toimialuekaavio pivotoi Kaikki sähköpostit -näkymässä Threat Explorerissa
Lähettäjän toimialueen pivot järjestää kaavion viestien toimialueiden mukaan määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin lähettäjän toimialueen määrän.
Lähettäjän IP-kaavio pivotoi Kaikki sähköpostit -näkymässä Threat Explorerissa
Lähettäjän IP-pivot järjestää kaavion määritettyjen päivämäärä/aika- ja ominaisuussuodattimien viestien IP-lähdeosoitteiden mukaan.
Kun viet osoittimen kaavion arvopisteen päälle, näet jokaisen lähettäjän IP-osoitteen määrän.
Tunnistusteknologian kaavion pivotointi Threat Explorerin Kaikki sähköposti -näkymässä
Tunnistustekniikan pivot järjestää kaavion sen ominaisuuden mukaan, joka tunnisti määritetyn päivämäärä/aika-alueen ja ominaisuussuodattimien sanomat.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin tunnistustekniikan määrän.
Täysi URL-kaavio pivotoi Kaikki sähköpostit -näkymässä Threat Explorerissa
Koko URL-osoite -pivot järjestää kaavion viestien täyden URL-osoitteen mukaan määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet jokaisen täyden URL-osoitteen määrän.
URL-toimialuekaavio pivotoi Kaikki sähköpostit -näkymässä Threat Explorerissa
URL-toimialueen pivot järjestää kaavion viestien URL-osoitteiden toimialueiden mukaan määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin URL-toimialueen määrän.
URL-toimialue ja polkukaavio pivotoi kaikki sähköpostit -näkymässä Threat Explorerissa
URL-toimialue ja polku -pivot järjestää kaavion viestien TOIMIalueiden ja polkujen mukaan määritetyn päivämäärä-/aika-alueen ja ominaisuussuodattimien URL-osoitteissa.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin URL-toimialueen ja -polun määrän.
Kaikki sähköpostit -näkymän tietoalueen näkymät Threat Explorerissa
Kaikki sähköpostit -näkymän tietoalueen käytettävissä olevat näkymät (välilehdet) on kuvattu seuraavissa alakohdissa.
Uhkakeskuksen Kaikki sähköpostit -näkymän tietoalueen sähköpostinäkymä
Sähköposti on Kaikki sähköpostit -näkymän tietoalueen oletusnäkymä.
Sähköposti-näkymässä näkyy tietotaulukko. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvot on merkitty tähdellä (*):
- Päivämäärä*
- Aihe*
- Vastaanottaja*
- Vastaanottajan toimialue
- Tunnisteet*
- Lähettäjän osoite*
- Lähettäjän näyttönimi
- Lähettäjän toimialue*
- Lähettäjän IP
- Lähettäjän posti osoitteesta
- Lähettäjän posti toimialueelta
- Lisätoiminnot*
- Toimitustoiminto
- Viimeisin toimituspaikka*
- Alkuperäinen toimituspaikka*
- Järjestelmä ohittaa lähteen
- Järjestelmä ohittaa
- Ilmoituksen tunnus
- Internet-viestin tunnus
- Verkkoviestin tunnus
- Postin kieli
- Exchange-siirtosääntö
- Liitin
- Asiayhteys
- Tietojen menetyksen estäminen -sääntö
- Uhkatyyppi*
- Tunnistustekniikka
- Liitteiden määrä
- URL-osoitteiden määrä
- Sähköpostin koko
Vihje
Jos haluat nähdä kaikki sarakkeet, sinun on todennäköisesti tehtävä yksi tai useampi seuraavista vaiheista:
- Vieritä selaimessa vaakasuunnassa.
- Kavenna sopivien sarakkeiden leveyttä.
- Poista sarakkeet näkymästä.
- Loitonna selaimessa.
Mukautetut sarakeasetukset tallennetaan käyttäjäkohtaisena. Mukautetut sarakeasetukset Incognitossa tai InPrivate-selaustilassa tallennetaan, kunnes suljet selaimen.
Kun valitset luettelosta yhden tai useamman merkinnän valitsemalla ensimmäisen sarakkeen vieressä olevan valintaruudun, Ota-toiminto on käytettävissä. Lisätietoja on kohdassa Uhkien metsästys: Sähköpostikorjaus.
Merkinnän Aihe-arvossa on käytettävissä Avaa uudessa ikkunassa -toiminto. Tämä toiminto avaa viestin Sähköposti-entiteettisivulla.
Kun napsautat merkinnän Aihe- tai Vastaanottaja-arvoja, tiedot avautuvat. Nämä pikaikkunat on kuvattu seuraavissa alakohdissa.
Sähköpostin tiedot Kaikki sähköposti -näkymän Tiedot-alueen Sähköposti-näkymästä
Kun valitset merkinnän Aihe-arvon taulukossa, sähköpostin tietojen pikaikkuna avautuu. Tämä tietojen pikaikkuna tunnetaan sähköpostin yhteenvetopaneelina , ja se sisältää standardoituja yhteenvetotietoja, jotka ovat käytettävissä myös viestin Sähköposti-entiteettisivulla .
Lisätietoja sähköpostin yhteenvetopaneelin tiedoista on kohdassa Sähköpostin yhteenveto -paneeli Defenderissä.
Seuraavat toiminnot ovat käytettävissä Threat Explorerin ja reaaliaikaisten tunnistusten Sähköpostin yhteenveto -paneelin yläosassa:
- Sähköpostientiteetin avaaminen
- Näytä ylätunniste
- Ryhdy toimiin: Lisätietoja on artikkelissa Uhkien metsästys: Sähköpostikorjaus.
-
Lisää vaihtoehtoja:
- Sähköpostin esikatselu ²
- Lataa sähköposti ³ ² ³
- Näytä Resurssienhallinnassa
- Mene metsästämään
¹ Sähköpostin esikatselu - ja Lataa sähköpostiviesti -toiminnot edellyttävät esikatselurooliasähköpostin & yhteiskäyttöoikeutesi. Oletusarvoisesti tämä rooli määritetään tietotutkija - ja eDiscovery Manager - rooliryhmille. Oletusarvoisesti Organisaation hallinta- tai Suojauksen järjestelmänvalvojat -rooliryhmien jäsenet eivät voi suorittaa näitä toimintoja. Jos haluat sallia nämä toiminnot näiden ryhmien jäsenille, sinulla on seuraavat asetukset:
- Lisää käyttäjät tietotutkija - tai eDiscovery Manager - rooliryhmiin.
- Luo uusi rooliryhmä , jolle on määritetty Haku- ja Tyhjennä-rooli , ja lisää käyttäjät mukautettuun rooliryhmään.
² Voit esikatsella tai ladata sähköpostiviestejä, jotka ovat käytettävissä Microsoft 365 -postilaatikoissa. Esimerkkejä siitä, milloin viestit eivät ole enää käytettävissä postilaatikoissa, ovat seuraavat:
- Viesti poistettiin, ennen kuin toimitus tai toimitus epäonnistui.
- Viesti poistettiin pehmeästi (poistettiin Poistetut-kansiosta, joka siirtää viestin Palautettavat kohteet\Poistot-kansioon).
- ZAP siirsi viestin karanteeniin.
³ Lataa sähköpostiviesti ei ole käytettävissä viesteille, jotka on asetettu karanteeniin. Lataa sen sijaan salasanalla suojattu kopio viestistä karanteenista.
Go hunt on käytettävissä vain Threat Explorerissa. Se ei ole käytettävissä reaaliaikaisia tunnistuksia.
Kaikki sähköpostit -näkymän Tieto-alueen Sähköposti-näkymän vastaanottajatiedot
Kun valitset merkinnän napsauttamalla Vastaanottaja-arvoa , näyttöön avautuu tietoikkuna, jossa on seuraavat tiedot:
Vihje
Jos haluat nähdä tietoja muista vastaanottajista poistumatta tietojen pikaikkunasta, käytä Previous item - ja Next-kohteita pikaikkunan yläosassa.
Yhteenveto-osa :
- Rooli: Onko vastaanottajalle määritetty järjestelmänvalvojarooleja.
-
Käytännöt:
- Onko käyttäjällä arkistointitietojen tarkasteluoikeus.
- Onko käyttäjällä oikeus nähdä säilytystiedot.
- Onko käyttäjä tietojen menetyksen estämisen (DLP) alainen.
- Määrittää, kuuluuko käyttäjä mobiilihallintaan osoitteessa https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.
Sähköpostiosa : Taulukko, joka näyttää seuraavat vastaanottajalle lähetettyjen viestien liittyvät tiedot:
- Päiväys
- Aihe
- Vastaanottaja
Valitse Näytä kaikki sähköpostit , jos haluat avata Uhkien hallinta -vaihtoehdon vastaanottajan suodattamalla uudella välilehdellä.
Viimeaikaiset ilmoitukset - osa: Taulukko, joka näyttää seuraavat liittyvät tiedot viimeaikaisista ilmoituksista:
- Vakavuus
- Ilmoituskäytäntö
- Luokka
- Toimintaa
Jos viimeisimpiä ilmoituksia on enemmän kuin kolme, valitse Näytä kaikki viimeaikaiset ilmoitukset , niin näet ne kaikki.
Viimeisimmät toiminnot - osio: Näyttää vastaanottajan valvontalokihaun yhteenvedetyt tulokset:
- Päiväys
- IP-osoite
- Toiminta
- Kohde
Jos vastaanottajalla on enemmän kuin kolme valvontalokin merkintää, valitse Näytä kaikki viimeisimmät toiminnot , jotta näet ne kaikki.
Vihje
Sähköpostin & yhteistyöoikeudet -kohdan Suojauksen järjestelmänvalvojat -rooliryhmän jäsenet eivät voi laajentaa Viimeisimmät toimet -osiota. Sinun on oltava rooliryhmän jäsen Exchange Online käyttöoikeuksissa, joille on määritetty valvontalokit, Information Protection analyytikko tai Information Protection tutkijaroolit. Oletusarvoisesti nämä roolit määritetään tietueiden hallintaan, yhteensopivuuden hallintaan, Information Protection, Information Protection analyytikoihin, Information Protection tutkijoisiin ja organisaation hallinnan rooliryhmiin. Voit lisätä suojauksen järjestelmänvalvojien jäseniä kyseisiin rooliryhmiin tai voit luoda uuden rooliryhmän , jolle on määritetty valvontalokit-rooli .
URL-osoitteet napsauttavat näkymää Threat Explorerin Kaikki sähköpostit -näkymän tietoalueelle
URL-osoite napsauttaa näkymää ja näyttää kaavion, joka voidaan järjestää pivot-taulukoiden avulla. Kaaviossa on oletusnäkymä, mutta voit valita histogrammikaavion Valitse pivot - kohdasta arvon, joka muuttaa suodatetun tai suodattamattoman kaavion tietojen järjestystä ja näyttämistä.
Kaavion pivotoinnit on kuvattu seuraavissa alakohdissa.
Vihje
Uhkien hallinnassa jokaisella URL-napsautusnäkymän pivot-toiminnolla on Näytä kaikki napsautukset -toiminto, joka avaa URL-napsautusten näkymän uudessa välilehdessä.
URL-toimialueen pivot-ikkuna URL-napsautusten näkymälle Threat Explorerin Kaikki sähköpostit -näkymän tietoalueelle
Vaikka tätä kaavion pivot-osaa ei ole valittu, URL-toimialue on oletuskaavion pivot-osa URL-napsautusnäkymässä .
URL-toimialueen pivot-toiminnossa näytetään eri toimialueet sähköpostiviesteissä määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin URL-toimialueen määrän.
Napsauta URL-napsautusten näkymän tuomion pivot -kohtaa Threat Explorerin Kaikki sähköpostit -näkymän tietoalueelle
Napsautuspäätöksen pivot-ruudussa näytetään eri tuomiot napsautetuille URL-osoitteille sähköpostiviesteissä määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin napsautuspäätöksen määrän.
URL-osoitteen napsautusten näkymän URL-pivot-osoite Threat Explorerin Kaikki sähköposti -näkymän tiedot-alueelle
URL-pivot-osoite näyttää eri URL-osoitteet, joita napsautettiin sähköpostiviesteissä määritetyn päivämäärä-/aika-alueen ja ominaisuussuodattimien osalta.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin URL-osoitteen määrän.
URL-toimialue ja URL-osoitteen napsautusten pivot-polkunäkymä Threat Explorerin Kaikki sähköpostit -näkymän tietoalueelle
URL-toimialue ja polun pivot-osa näyttää url-osoitteiden eri toimialueet ja tiedostopolut, joita napsautettiin sähköpostiviesteissä määritetyn päivämäärä-/aika-alueen ja ominaisuussuodattimien osalta.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin URL-toimialueen ja tiedostopolun määrän.
Uhkienhallinnan Kaikki sähköpostit -näkymän tietoalueen ylimmät URL-osoitteet -näkymä
Ylimmät URL-osoitteet -näkymä näyttää tietotaulukon. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa:
- URL
- Viestit estetty
- Roskapostit
- Toimitetut viestit
Kaikki-sähköpostinäkymän YLIMMÄT URL-osoitteet
Kun valitset merkinnän napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua, näyttöön avautuu tietojen pikaikkuna, jossa on seuraavat tiedot:
Vihje
Jos haluat nähdä lisätietoja muista URL-osoitteista jättämättä tietojen pikaikkunaa, käytä Pikaikkunan yläosassa Previous item- ja Next-kohteita.
- Seuraavat toiminnot ovat käytettävissä pikaikkunan yläosassa:
Avaa URL-sivu
Lähetä analyysia varten:
- Raportin puhdistaminen
- Raportin tietojenkalastelu
- Ilmoita haittaohjelmasta
Ilmaisimen hallinta:
- Lisää ilmaisin
- Hallitse palveltavan kohteen estettyjen luettelossa
Kun valitset jonkin näistä vaihtoehdoista, siirryt Defender-portaalin Lähetykset-sivulle .
Lisätietoja:
- Näytä Resurssienhallinnassa
- Mene metsästämään
- Alkuperäinen URL-osoite
-
Tunnistamisosa :
- Uhkien tiedustelupäätös
- x aktiiviset hälytykset y-tapaukset: Vaakasuuntainen palkkikaavio, joka näyttää tähän linkkiin liittyvien suurten, keskikokoisten, pienien ja tietoilmoitusten määrän.
- Linkki Näytä kaikki tapaukset & ilmoituksia URL-sivulla.
-
Toimialueen tiedot -osa:
- Toimialueen nimi ja linkki Näytä toimialue -sivulle.
- Rekisteröijän
- Rekisteröity
- Päivitetty
- Vanhentuu
-
Rekisteröijän yhteystieto-osa :
- Kirjaaja
- Maa tai alue
- Postiosoite
- Sähköposti
- Puhelin
- Lisätietoja: Linkki Avaa Whois-palvelussa -kohtaan.
- URL-osoitteen esiintyvyys (viimeiset 30 päivää) -osio: Sisältää laitteiden, sähköpostin ja napsautusten määrän. Voit tarkastella koko luetteloa valitsemalla kunkin arvon.
-
Laitteet: Näyttää kyseiset laitteet:
Päivämäärä (ensimmäinen/viimeinen)
Laitteet
Jos mukana on enemmän kuin kaksi laitetta, näet ne kaikki valitsemalla Näytä kaikki laitteet .
Yleisimmät napsautukset -näkymä Uhkienhallinnan Kaikki sähköpostit -näkymän tietoalueelle
Ylimmät napsautukset -näkymässä näkyy tietotaulukko. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa:
- URL
- Tukossa
- Sallittu
- Ohitinlohko
- Odottaa tuomiota
- Odottava tuomio ohitettu
- Ei mitään
- Virhesivu
- Epäonnistuminen
Vihje
Kaikki käytettävissä olevat sarakkeet on valittu. Jos valitset Mukauta sarakkeita, et voi poistaa minkään sarakkeen valintaa.
Jos haluat nähdä kaikki sarakkeet, sinun on todennäköisesti tehtävä yksi tai useampi seuraavista vaiheista:
- Vieritä selaimessa vaakasuunnassa.
- Kavenna sopivien sarakkeiden leveyttä.
- Loitonna selaimessa.
Kun valitset merkinnän napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua, näkyviin tulee tietojen pikaikkuna. Pikaikkunan tiedot ovat samat kuin Kaikki sähköposti -näkymän URL-osoitteiden ylimmät tiedot -kohdassa on kuvattu.
Suosituimmat kohdennetut käyttäjät näkevät Threat Explorerin Kaikki sähköpostit -näkymän tiedot-alueen
Suosituimmat kohdennetut käyttäjät -näkymä järjestää tiedot viiden suurimman uhan kohteeksi joutuneen vastaanottajan taulukoksi. Taulukko sisältää seuraavat tiedot:
Eniten kohdennetut käyttäjät: Vastaanottajan sähköpostiosoite. Jos valitset vastaanottajan osoitteen, näyttöön avautuu tietojen pikaikkuna. Pikaikkunan tiedot ovat samat kuin Kaikki sähköpostit -näkymän Tiedot-alueen Sähköposti-näkymän Vastaanottajatiedot-kohdassa kuvatut tiedot.
Yritysten määrä: Jos valitset yritysten määrän, Threat Explorer avautuu uuteen vastaanottajan suodattamaan välilehteen.
Vihje
Vie enintään 3 000 käyttäjän luettelo ja sitä vastaavat yritykset Vie-toiminnolla.
Sähköpostin alkuperänäkymä Threat Explorerin Kaikki sähköpostit -näkymän tietoalueelle
Sähköpostin alkuperä -näkymä näyttää viestilähteet maailman kartalla.
Kampanjanäkymä Threat Explorerin Kaikki sähköpostit -näkymän tietoalueelle
Kampanja-näkymässä näkyy tietotaulukko. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa.
Taulukon tiedot ovat samat kuin Kampanjat-sivun tietotaulukossa kuvatut tiedot.
Kun valitset merkinnän napsauttamalla mitä tahansa muuta rivin kohtaa kuin Nimi-kohdan vieressä olevaa valintaruutua, näyttöön avautuu tietojen pikaikkuna. Pikaikkunan tiedot ovat samat kuin kampanjan tiedoissa.
Haittaohjelmanäkymä Threat Explorerissa ja reaaliaikaiset tunnistuksia
Uhkienhallinnan ja reaaliaikaisten tunnistusten Haittaohjelma-näkymä näyttää tietoja sähköpostiviesteista, joiden todettiin sisältävän haittaohjelmia. Tämä näkymä on reaaliaikaisten tunnistusten oletusnäkymä.
Voit avata Haittaohjelma-näkymän tekemällä jonkin seuraavista toimista:
- Uhkienhallinta: Siirry Defender-portaalin https://security.microsoft.comResurssienhallinta-sivullakohtaan Sähköposti & yhteistyö>Explorerin>Haittaohjelmat-välilehti. Voit myös siirtyä suoraan Resurssienhallinta-sivulle -toiminnolla https://security.microsoft.com/threatexplorerv3ja valita sitten Haittaohjelma-välilehden.
- Reaaliaikaiset tunnistuksia: Siirry Defender-portaalin Reaaliaikaiset tunnistuksia -sivulla kohtaan Sähköposti & yhteistyö>Explorer>Haittaohjelmat-välilehti.https://security.microsoft.com Voit myös siirtyä suoraan Reaaliaikaiset tunnistuksia -sivulle -toiminnolla https://security.microsoft.com/realtimereportsv3ja varmistaa sitten, että Haittaohjelma-välilehti on valittuna.
Suodatettavat ominaisuudet Haittaohjelma-näkymässä Threat Explorerissa ja reaaliaikaiset tunnistuksia varten
Tiedoissa ei oletusarvoisesti käytetä ominaisuussuodattimia. Suodattimien (kyselyiden) luontivaiheet on kuvattu Suodattimet Uhkien hallinnassa ja reaaliaikaiset tunnistuksia -osassa myöhemmin tässä artikkelissa.
Suodatettavat ominaisuudet, jotka ovat käytettävissä Lähettäjän osoite -ruudussa Haittaohjelma-näkymässä , on kuvattu seuraavassa taulukossa:
Ominaisuus | Kirjoita | Uhka Tutkimusmatkailija |
Reaaliaikainen Etsivä |
---|---|---|---|
Basic | |||
Lähettäjän osoite | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Vastaanottajat | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Lähettäjän toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Vastaanottajan toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Aihe | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Lähettäjän näyttönimi | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Lähettäjän posti osoitteesta | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Lähettäjän posti toimialueelta | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Palautuspolku | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Palautuspolun toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Haittaohjelmaperhe | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tunnisteet | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. Lisätietoja käyttäjätunnisteista on kohdassa Käyttäjätunnisteet. |
✔ | |
Exchange-siirtosääntö | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | |
Tietojen menetyksen estäminen -sääntö | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | |
Asiayhteys | Valitse vähintään yksi arvo:
|
✔ | |
Liitin | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | |
Toimitustoiminto | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Lisätoiminto | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Suuntaisuus | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Tunnistustekniikka | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Alkuperäinen toimituspaikka | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Viimeisin toimituspaikka | Samat arvot kuin alkuperäisessä toimituspaikassa | ✔ | ✔ |
Ensisijainen ohitus | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Ensisijainen ohituslähde | Sanomien ohituslähteessä voi olla useita sallittuja tai estettyjä ohituksia. Ohitus, joka lopulta salli tai esti viestin, tunnistetaan ensisijaisesta ohituslähteestä. Valitse vähintään yksi arvo:
|
✔ | ✔ |
Ohita lähde | Samat arvot kuin ensisijainen ohituslähde | ✔ | ✔ |
Käytäntötyyppi | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Käytäntötoiminto | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Sähköpostin koko | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tarkennettu | |||
Internet-viestitunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. Käytettävissä Viestin tunnus -otsikossa viestin otsikossa. Esimerkkiarvo on <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (huomioi kulmasulkeet). |
✔ | ✔ |
Verkkoviestin tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. GUID-arvo, joka on käytettävissä X-MS-Exchange-Organization-Network-Message-Id-otsikkokentässä viestin otsikossa. |
✔ | ✔ |
Lähettäjän IP | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Liitteen SHA256 | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Klusterin tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Ilmoituksen tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Ilmoituskäytännön tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Kampanjan tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
ZAP URL -signaali | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
URL-osoitteet | |||
URL-osoitteiden määrä | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
URL-toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
URL-toimialue ja polku | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
URL | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
URL-polku | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
URL-lähde | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Valitse tuomio | Valitse vähintään yksi arvo:
|
✔ | ✔ |
URL-uhka | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Tiedosto | |||
Liitteiden määrä | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Liitetiedostonimi | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tiedostotyyppi | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tiedostopääte | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tiedostokoko | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Todennus | |||
SPF | Valitse vähintään yksi arvo:
|
✔ | ✔ |
DKIM | Valitse vähintään yksi arvo:
|
✔ | ✔ |
DMARC | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Mykerökukkainen | Valitse vähintään yksi arvo:
|
Kaavion pivotit Haittaohjelma-näkymässä Uhkienhallinnassa ja Reaaliaikaiset tunnistuksia varten
Kaaviossa on oletusnäkymä, mutta voit valita histogrammikaavion Valitse pivot - kohdasta arvon, joka muuttaa suodatetun tai suodattamattoman kaavion tietojen järjestystä ja näyttämistä.
Kaavion pivotit, jotka ovat käytettävissä Haittaohjelma-näkymässä Threat Explorerissa ja Reaaliaikaiset tunnistuksia, on lueteltu seuraavassa taulukossa:
Pivot | Uhka Tutkimusmatkailija |
Reaaliaikainen Etsivä |
---|---|---|
Haittaohjelmaperhe | ✔ | |
Lähettäjän toimialue | ✔ | |
Lähettäjän IP | ✔ | |
Toimitustoiminto | ✔ | ✔ |
Tunnistustekniikka | ✔ | ✔ |
Käytettävissä olevat kaavion pivotit on kuvattu seuraavissa alakohdissa.
Haittaohjelmaperheen kaavio pivotoi Haittaohjelma-näkymässä Threat Explorerissa
Vaikka tämä pivot-osa ei näytä oletuksena valitulta, Haittaohjelmaperhe on oletusarvoinen kaavion pivot-osa Threat Explorerin Haittaohjelma-näkymässä .
Malware-perhe-pivot järjestää kaavion haittaohjelmaperheen mukaan, joka on havaittu määritetyn päivämäärä/aika-alueen viesteissä ja ominaisuussuodattimissa.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin haittaohjelmaperheen määrän.
Lähettäjän toimialuekaavio pivotoi Haittaohjelma-näkymässä Threat Explorerissa
Lähettäjän toimialueen pivot järjestää kaavion lähettäjän toimialueen mukaan viesteille, joiden todettiin sisältävän haittaohjelmia määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin lähettäjän toimialueen määrän.
Lähettäjän IP-kaavio pivotoi Haittaohjelma-näkymässä Threat Explorerissa
Lähettäjän IP-pivot järjestää kaavion viestien ip-lähdeosoitteen mukaan, joiden todettiin sisältävän haittaohjelmia määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin lähteen IP-osoitteen määrän.
Toimituksen toimintokaavio pivotoi Haittaohjelma-näkymässä Threat Explorerissa ja Reaaliaikaiset tunnistuksia
Vaikka tämä pivot-osa ei näytä oletuksena valitulta, Toimitus-toiminto on oletuskaavion pivotointi Haittaohjelma-näkymässä reaaliaikaisissa tunnistuksia varten.
Toimitus-toiminnon pivot järjestää kaavion sen mukaan, mitä tapahtui viesteille, joiden todettiin sisältävän haittaohjelmia määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet toimitusten määrän.
Tunnistusteknologian kaavio pivotoi Haittaohjelma-näkymässä Threat Explorerissa ja Reaaliaikaiset tunnistuksia
Tunnistustekniikan pivot-toiminto järjestää kaavion sen ominaisuuden mukaan, joka tunnisti haittaohjelmat määritetyn päivämäärä/aika-alueen ja ominaisuussuodattimien viesteissä.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin tunnistustekniikan määrän.
Näyttökerrat Haittaohjelma-näkymän tietoalueelle Uhkien hallinnassa ja Reaaliaikaiset tunnistuksia varten
Haittaohjelma-näkymän tietoalueen käytettävissä olevat näkymät (välilehdet) on lueteltu seuraavassa taulukossa, ja ne on kuvattu seuraavissa alakohdissa.
Näytä | Uhka Tutkimusmatkailija |
Reaaliaikainen Etsivä |
---|---|---|
Sähköposti | ✔ | ✔ |
Suosituimmat haittaohjelmaperheet | ✔ | |
Suosituimmat kohdennetut käyttäjät | ✔ | |
Sähköpostin alkuperä | ✔ | |
Kampanja | ✔ |
Sähköpostinäkymä Haittaohjelma-näkymän tietoalueelle Threat Explorerissa ja Reaaliaikaiset tunnistuksia varten
Sähköposti on Haittaohjelma-näkymän tietoalueen oletusnäkymä Threat Explorerissa ja Reaaliaikaiset tunnistukset-kohdassa.
Sähköposti-näkymässä näkyy tietotaulukko. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita.
Seuraavassa taulukossa näytetään sarakkeet, jotka ovat käytettävissä Threat Explorerissa ja reaaliaikaisissa tunnistyksissa. Oletusarvot on merkitty tähdellä (*).
Sarake | Uhka Tutkimusmatkailija |
Reaaliaikainen Etsivä |
---|---|---|
Päivämäärä* | ✔ | ✔ |
Aihe* | ✔ | ✔ |
Vastaanottaja* | ✔ | ✔ |
Vastaanottajan toimialue | ✔ | ✔ |
Tunnisteet* | ✔ | |
Lähettäjän osoite* | ✔ | ✔ |
Lähettäjän näyttönimi | ✔ | ✔ |
Lähettäjän toimialue* | ✔ | ✔ |
Lähettäjän IP | ✔ | ✔ |
Lähettäjän posti osoitteesta | ✔ | ✔ |
Lähettäjän posti toimialueelta | ✔ | ✔ |
Lisätoiminnot* | ✔ | ✔ |
Toimitustoiminto | ✔ | ✔ |
Viimeisin toimituspaikka* | ✔ | ✔ |
Alkuperäinen toimituspaikka* | ✔ | ✔ |
Järjestelmä ohittaa lähteen | ✔ | ✔ |
Järjestelmä ohittaa | ✔ | ✔ |
Ilmoituksen tunnus | ✔ | ✔ |
Internet-viestin tunnus | ✔ | ✔ |
Verkkoviestin tunnus | ✔ | ✔ |
Postin kieli | ✔ | ✔ |
Exchange-siirtosääntö | ✔ | |
Liitin | ✔ | |
Asiayhteys | ✔ | ✔ |
Tietojen menetyksen estäminen -sääntö | ✔ | ✔ |
Uhkatyyppi* | ✔ | ✔ |
Tunnistustekniikka | ✔ | ✔ |
Liitteiden määrä | ✔ | ✔ |
URL-osoitteiden määrä | ✔ | ✔ |
Sähköpostin koko | ✔ | ✔ |
Vihje
Jos haluat nähdä kaikki sarakkeet, sinun on todennäköisesti tehtävä yksi tai useampi seuraavista vaiheista:
- Vieritä selaimessa vaakasuunnassa.
- Kavenna sopivien sarakkeiden leveyttä.
- Poista sarakkeet näkymästä.
- Loitonna selaimessa.
Mukautetut sarakeasetukset tallennetaan käyttäjäkohtaisena. Mukautetut sarakeasetukset Incognitossa tai InPrivate-selaustilassa tallennetaan, kunnes suljet selaimen.
Kun valitset luettelosta yhden tai useamman merkinnän valitsemalla ensimmäisen sarakkeen vieressä olevan valintaruudun, Ota-toiminto on käytettävissä. Lisätietoja on kohdassa Uhkien metsästys: Sähköpostikorjaus.
Kun napsautat merkinnän Aihe- tai Vastaanottaja-arvoja, tiedot avautuvat. Nämä pikaikkunat on kuvattu seuraavissa alakohdissa.
Sähköpostitiedot Haittaohjelma-näkymän tietoalueen Sähköposti-näkymästä
Kun valitset merkinnän Aihe-arvon taulukossa, sähköpostin tietojen pikaikkuna avautuu. Tämä tietojen pikaikkuna tunnetaan sähköpostin yhteenvetopaneelina , ja se sisältää standardoituja yhteenvetotietoja, jotka ovat käytettävissä myös viestin Sähköposti-entiteettisivulla .
Lisätietoja sähköpostin yhteenvetopaneelin tiedoista on kohdassa Sähköpostin yhteenvetopaneelit.
Uhkienhallinnan ja reaaliaikaisten tunnistusten sähköpostin yhteenvetopaneelin yläosassa käytettävissä olevat toiminnot on kuvattu Sähköpostin tiedot -näkymässä Tiedot-alueella Kaikki sähköpostit -näkymässä.
Vastaanottajan tiedot Haittaohjelma-näkymän tietoalueen Sähköposti-näkymästä
Kun valitset merkinnän napsauttamalla Vastaanottaja-arvoa , näkyviin tulee tiedot-pikaikkuna. Pikaikkunan tiedot ovat samat kuin Kaikki sähköpostit -näkymän Tiedot-alueen Sähköposti-näkymän Vastaanottajatiedot-kohdassa kuvatut tiedot.
Suosituimmat haittaohjelmaperheet tarkastelevat Haittaohjelma-näkymän tietoaluetta Threat Explorerissa
Tärkeimmät haittaohjelmaperheet tarkastelevat tietoaluetta järjestää tiedot taulukkoon tärkeimmistä haittaohjelmaperheistä. Taulukossa näkyvät seuraavat:
Haittaohjelmaperheiden huippusarake : Haittaohjelmaperheen nimi.
Jos valitset haittaohjelmaperheen nimen, näyttöön avautuu tietojen avauspainike, joka sisältää seuraavat tiedot:
Sähköpostiosa : Taulukko, joka näyttää seuraavat liittyvät tiedot haittaohjelmatiedoston sisältäville viesteille:
- Päiväys
- Aihe
- Vastaanottaja
Valitse Näytä kaikki sähköpostit avataksesi Uhkienhallinta uudessa välilehdessä, joka on suodatettu haittaohjelmaperheen nimen mukaan.
Tekniset tiedot - osio
Yritysten määrä: Jos valitset yritysten määrän, Threat Explorer avautuu uuteen välilehteen, joka on suodatettu haittaohjelmaperheen nimen mukaan.
Suosituimmat kohdennetut käyttäjät tarkastelevat Haittaohjelma-näkymän tietoaluetta Threat Explorerissa
Suosituimmat kohdennetut käyttäjät -näkymä järjestää tiedot viiden suurimman haittaohjelman kohteeksi joutuneen vastaanottajan taulukoksi. Taulukossa näkyvät seuraavat:
Eniten kohdennetut käyttäjät: Suosituimman kohdennetun käyttäjän sähköpostiosoite. Jos valitset sähköpostiosoitteen, näyttöön avautuu tietojen pikaikkuna. Pikaikkunan tiedot ovat samat kuin kohdassa Suosituimmat kohdennetut käyttäjät -näkymä, joka näyttää Threat Explorerin Kaikki sähköpostit -näkymän tiedot-alueen.
Yritysten määrä: Jos valitset yritysten määrän, Threat Explorer avautuu uuteen välilehteen, joka on suodatettu haittaohjelmaperheen nimen mukaan.
Vihje
Vie enintään 3 000 käyttäjän luettelo ja sitä vastaavat yritykset Vie-toiminnolla.
Sähköpostin alkuperänäkymä Haittaohjelma-näkymän tietoalueelle Threat Explorerissa
Sähköpostin alkuperä -näkymä näyttää viestilähteet maailman kartalla.
Kampanjanäkymä Haittaohjelma-näkymän tietoalueelle Threat Explorerissa
Kampanja-näkymässä näkyy tietotaulukko. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa.
Tietotaulukko on identtinen Kampanjat-sivun tietotaulukon kanssa.
Kun valitset merkinnän napsauttamalla mitä tahansa muuta rivin kohtaa kuin Nimi-kohdan vieressä olevaa valintaruutua, näyttöön avautuu tietojen pikaikkuna. Pikaikkunan tiedot ovat samat kuin kampanjan tiedoissa.
Uhkienhallinnan tietojenkalastelunäkymä ja reaaliaikaiset tunnistuksia
Uhkienhallinnan ja reaaliaikaisten tunnistusten tietojenkalastelunäkymässä näytetään tietoja sähköpostiviestejä, jotka tunnistettiin tietojenkalasteluksi.
Avaa tietojenkalastelunäkymä tekemällä jokin seuraavista toimista:
- Uhkienhallinta: Siirry Defender-portaalin https://security.microsoft.comResurssienhallinta-sivulla kohtaan Sähköposti & yhteistyö>ExplorerIn>tietojenkalastelu -välilehti. Voit myös siirtyä suoraan Resurssienhallinta-sivulle -toiminnolla https://security.microsoft.com/threatexplorerv3ja valita sitten Tietojen kalastelu -välilehden.
- Reaaliaikaiset tunnistuksia: Siirry Defender-portaalin https://security.microsoft.comReaaliaikaiset tunnistuksia -sivulla kohtaan Sähköposti & yhteistyö>Explorerin>Tietojenkalastelu -välilehti. Voit myös siirtyä suoraan Reaaliaikaiset tunnistuksia -sivulle -toiminnolla https://security.microsoft.com/realtimereportsv3ja valita sitten Tietojen kalastelu -välilehden.
Suodatettavissa olevat ominaisuudet Uhkienhallinnan tietojenkalastelunäkymässä ja reaaliaikaisten tunnistuksissa
Tiedoissa ei oletusarvoisesti käytetä ominaisuussuodattimia. Suodattimien (kyselyiden) luontivaiheet on kuvattu Suodattimet Uhkien hallinnassa ja reaaliaikaiset tunnistuksia -osassa myöhemmin tässä artikkelissa.
Suodatettavat ominaisuudet, jotka ovat käytettävissä Lähettäjän osoite -ruudussa Haittaohjelma-näkymässä , on kuvattu seuraavassa taulukossa:
Ominaisuus | Kirjoita | Uhka Tutkimusmatkailija |
Reaaliaikainen Etsivä |
---|---|---|---|
Basic | |||
Lähettäjän osoite | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Vastaanottajat | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Lähettäjän toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Vastaanottajan toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Aihe | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Lähettäjän näyttönimi | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Lähettäjän posti osoitteesta | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Lähettäjän posti toimialueelta | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Palautuspolku | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Palautuspolun toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tunnisteet | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. Lisätietoja käyttäjätunnisteista on kohdassa Käyttäjätunnisteet. |
✔ | |
Tekeydytty toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tekeydytty käyttäjä | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Exchange-siirtosääntö | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | |
Tietojen menetyksen estäminen -sääntö | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | |
Asiayhteys | Valitse vähintään yksi arvo:
|
✔ | |
Liitin | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | |
Toimitustoiminto | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Lisätoiminto | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Suuntaisuus | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Tunnistustekniikka | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Alkuperäinen toimituspaikka | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Viimeisin toimituspaikka | Samat arvot kuin alkuperäisessä toimituspaikassa | ✔ | ✔ |
Tietojen kalastelun luotettavuustaso | Valitse vähintään yksi arvo:
|
✔ | |
Ensisijainen ohitus | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Ensisijainen ohituslähde | Sanomien ohituslähteessä voi olla useita sallittuja tai estettyjä ohituksia. Ohitus, joka lopulta salli tai esti viestin, tunnistetaan ensisijaisesta ohituslähteestä. Valitse vähintään yksi arvo:
|
✔ | ✔ |
Ohita lähde | Samat arvot kuin ensisijainen ohituslähde | ✔ | ✔ |
Käytäntötyyppi | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Käytäntötoiminto | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Sähköpostin koko | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tarkennettu | |||
Internet-viestitunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. Käytettävissä Viestin tunnus -otsikossa viestin otsikossa. Esimerkkiarvo on <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (huomioi kulmasulkeet). |
✔ | ✔ |
Verkkoviestin tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. GUID-arvo, joka on käytettävissä X-MS-Exchange-Organization-Network-Message-Id-otsikkokentässä viestin otsikossa. |
✔ | ✔ |
Lähettäjän IP | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Liitteen SHA256 | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Klusterin tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Ilmoituksen tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Ilmoituskäytännön tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Kampanjan tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
ZAP URL -signaali | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | |
URL-osoitteet | |||
URL-osoitteiden määrä | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
URL-toimialue | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
URL-toimialue ja polku | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | |
URL | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | |
URL-polku | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | |
URL-lähde | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Valitse tuomio | Valitse vähintään yksi arvo:
|
✔ | ✔ |
URL-uhka | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Tiedosto | |||
Liitteiden määrä | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Liitetiedostonimi | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tiedostotyyppi | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tiedostopääte | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tiedostokoko | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Todennus | |||
SPF | Valitse vähintään yksi arvo:
|
✔ | ✔ |
DKIM | Valitse vähintään yksi arvo:
|
✔ | ✔ |
DMARC | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Mykerökukkainen | Valitse vähintään yksi arvo:
|
Kaavion pivotit Uhkien hallinta- ja reaaliaikaisten tunnistusten tietojenkalastelunäkymässä
Kaaviossa on oletusnäkymä, mutta voit valita histogrammikaavion Valitse pivot - kohdasta arvon, joka muuttaa suodatetun tai suodattamattoman kaavion tietojen järjestystä ja näyttämistä.
Kaavion pivotoinnit, jotka ovat käytettävissä Uhkienhallinnan tietojenkalastelunäkymässä ja reaaliaikaisten tunnistukseen, on lueteltu seuraavassa taulukossa:
Pivot | Uhka Tutkimusmatkailija |
Reaaliaikainen Etsivä |
---|---|---|
Lähettäjän toimialue | ✔ | ✔ |
Lähettäjän IP | ✔ | |
Toimitustoiminto | ✔ | ✔ |
Tunnistustekniikka | ✔ | ✔ |
Täydellinen URL-osoite | ✔ | |
URL-toimialue | ✔ | ✔ |
URL-toimialue ja polku | ✔ |
Käytettävissä olevat kaavion pivotit on kuvattu seuraavissa alakohdissa.
Lähettäjän toimialuekaavio pivotoi Uhkien hallinta- ja reaaliaikaisten tunnistusten tietojenkalastelunäkymässä
Vaikka tämä pivot-osa ei ole oletusarvoisesti valittuna, Lähettäjä-toimialue on tietojenkalastelunäkymän oletuskaavion pivotointi reaaliaikaisten tunnistusten tapauksessa.
Lähettäjän toimialueen pivot järjestää kaavion viestien toimialueiden mukaan määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin lähettäjän toimialueen määrän.
Lähettäjän IP-kaavion pivot-kaavio Uhkienhallinnan tietojenkalastelunäkymässä
Lähettäjän IP-pivot järjestää kaavion määritettyjen päivämäärä/aika- ja ominaisuussuodattimien viestien IP-lähdeosoitteiden mukaan.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin lähteen IP-osoitteen määrän.
Toimituksen toimintokaavio pivotoi Uhkienhallinnan tietojenkalastelunäkymässä ja reaaliaikaiset tunnistuksia
Vaikka tämä pivot-osa ei näytä oletusarvoisesti valitulta, Toimitus-toiminto on oletusarvoinen kaavion pivot-kaavio Uhkienhallinnan Tietojen kalastelu -näkymässä.
Toimitus-toiminnon pivot järjestää kaavion määritetyn päivämäärä-/aika-alueen ja ominaisuussuodattimien sanomien toimintojen mukaan.
Kun viet osoittimen kaavion arvopisteen päälle, näet toimitusten määrän.
Tunnistusteknologian kaavio pivotoi Uhkienhallinnan tietojenkalastelunäkymässä ja reaaliaikaiset tunnistuksia
Tunnistustekniikan pivot-toiminto järjestää kaavion sen ominaisuuden mukaan, joka tunnisti tietojenkalasteluviestit määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin tunnistustekniikan määrän.
Täysi URL-kaavio pivotoi Uhkienhallinnan tietojenkalastelunäkymässä
Koko URL-osoite-pivot järjestää kaavion tietojenkalasteluviestien täysien URL-osoitteiden mukaan määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet jokaisen täyden URL-osoitteen määrän.
URL-toimialuekaavio pivotoi Uhkien hallinta- ja reaaliaikaisten tunnistusten tietojenkalastelunäkymässä
URL-toimialueen pivotointi järjestää kaavion url-osoitteiden toimialueiden mukaan tietojenkalasteluviesteissä määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin URL-toimialueen määrän.
URL-toimialue ja polkukaavio pivotoivat Uhkienhallinnan tietojenkalastelunäkymässä
URL-toimialue ja polku -pivot järjestää kaavion tietojenkalasteluviestien URL-osoitteiden toimialueiden ja polkujen mukaan määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin URL-toimialueen ja -polun määrän.
Tietojenkalastelunäkymän tietoalueen näkymät Uhkienhallinnassa
Tietoalueen käytettävissä olevat näkymät (välilehdet) on lueteltu seuraavassa taulukossa, ja ne on kuvattu seuraavissa alakohdissa.
Näytä | Uhka Tutkimusmatkailija |
Reaaliaikainen Etsivä |
---|---|---|
Sähköposti | ✔ | ✔ |
URL-osoitteen napsautukset | ✔ | ✔ |
Ylimmät URL-osoitteet | ✔ | ✔ |
Ylimmät napsautukset | ✔ | ✔ |
Suosituimmat kohdennetut käyttäjät | ✔ | |
Sähköpostin alkuperä | ✔ | |
Kampanja | ✔ |
Tietojenkalastelunäkymän tietoalueen sähköpostinäkymä Threat Explorerissa ja Reaaliaikaiset tunnistuksia varten
Sähköposti on tietojenkalastelunäkymän tietoalueen oletusnäkymä Threat Explorerissa ja Reaaliaikaiset tunnistukset.
Sähköposti-näkymässä näkyy tietotaulukko. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita.
Seuraavassa taulukossa näytetään sarakkeet, jotka ovat käytettävissä Threat Explorerissa ja reaaliaikaisissa tunnistyksissa. Oletusarvot on merkitty tähdellä (*).
Sarake | Uhka Tutkimusmatkailija |
Reaaliaikainen Etsivä |
---|---|---|
Päivämäärä* | ✔ | ✔ |
Aihe* | ✔ | ✔ |
Vastaanottaja* | ✔ | ✔ |
Vastaanottajan toimialue | ✔ | ✔ |
Tunnisteet* | ✔ | |
Lähettäjän osoite* | ✔ | ✔ |
Lähettäjän näyttönimi | ✔ | ✔ |
Lähettäjän toimialue* | ✔ | ✔ |
Lähettäjän IP | ✔ | ✔ |
Lähettäjän posti osoitteesta | ✔ | ✔ |
Lähettäjän posti toimialueelta | ✔ | ✔ |
Lisätoiminnot* | ✔ | ✔ |
Toimitustoiminto | ✔ | ✔ |
Viimeisin toimituspaikka* | ✔ | ✔ |
Alkuperäinen toimituspaikka* | ✔ | ✔ |
Järjestelmä ohittaa lähteen | ✔ | ✔ |
Järjestelmä ohittaa | ✔ | ✔ |
Ilmoituksen tunnus | ✔ | ✔ |
Internet-viestin tunnus | ✔ | ✔ |
Verkkoviestin tunnus | ✔ | ✔ |
Postin kieli | ✔ | ✔ |
Exchange-siirtosääntö | ✔ | |
Liitin | ✔ | |
Tietojen kalastelun luotettavuustaso | ✔ | |
Asiayhteys | ✔ | |
Tietojen menetyksen estäminen -sääntö | ✔ | |
Uhkatyyppi* | ✔ | ✔ |
Tunnistustekniikka | ✔ | ✔ |
Liitteiden määrä | ✔ | ✔ |
URL-osoitteiden määrä | ✔ | ✔ |
Sähköpostin koko | ✔ | ✔ |
Vihje
Jos haluat nähdä kaikki sarakkeet, sinun on todennäköisesti tehtävä yksi tai useampi seuraavista vaiheista:
- Vieritä selaimessa vaakasuunnassa.
- Kavenna sopivien sarakkeiden leveyttä.
- Poista sarakkeet näkymästä.
- Loitonna selaimessa.
Mukautetut sarakeasetukset tallennetaan käyttäjäkohtaisena. Mukautetut sarakeasetukset Incognitossa tai InPrivate-selaustilassa tallennetaan, kunnes suljet selaimen.
Kun valitset luettelosta yhden tai useamman merkinnän valitsemalla ensimmäisen sarakkeen vieressä olevan valintaruudun, Ota-toiminto on käytettävissä. Lisätietoja on kohdassa Uhkien metsästys: Sähköpostikorjaus.
Kun napsautat merkinnän Aihe- tai Vastaanottaja-arvoja, tiedot avautuvat. Nämä pikaikkunat on kuvattu seuraavissa alakohdissa.
Sähköpostitiedot Tietojenkalastelu-näkymän Tieto-alueen Sähköposti-näkymästä
Kun valitset merkinnän Aihe-arvon taulukossa, sähköpostin tietojen pikaikkuna avautuu. Tämä tietojen pikaikkuna tunnetaan sähköpostin yhteenvetopaneelina , ja se sisältää standardoituja yhteenvetotietoja, jotka ovat käytettävissä myös viestin Sähköposti-entiteettisivulla .
Lisätietoja sähköpostin yhteenvetopaneelin tiedoista on kohdassa Sähköpostin yhteenveto -paneeli Defender for Office 365:n ominaisuudet.
Uhkienhallinnan ja reaaliaikaisten tunnistusten sähköpostin yhteenvetopaneelin yläosassa käytettävissä olevat toiminnot on kuvattu Sähköpostin tiedot -näkymässä Tiedot-alueella Kaikki sähköpostit -näkymässä.
Vastaanottajan tiedot Tietojenkalastelu -näkymän Sähköposti-näkymästä
Kun valitset merkinnän napsauttamalla Vastaanottaja-arvoa , näkyviin tulee tiedot-pikaikkuna. Pikaikkunan tiedot ovat samat kuin Kaikki sähköpostit -näkymän Tiedot-alueen Sähköposti-näkymän Vastaanottajatiedot-kohdassa kuvatut tiedot.
URL-osoitteet napsauttavat näkymää tietojenkalastelunäkymän tietoalueelle Uhkien hallinnassa ja reaaliaikaiset tunnistuksia varten
URL-osoite napsauttaa näkymää ja näyttää kaavion, joka voidaan järjestää pivot-taulukoiden avulla. Kaaviossa on oletusnäkymä, mutta voit valita histogrammikaavion Valitse pivot - kohdasta arvon, joka muuttaa suodatetun tai suodattamattoman kaavion tietojen järjestystä ja näyttämistä.
Kaavion pivotoinnit, jotka ovat käytettävissä Haittaohjelma-näkymässä Threat Explorerissa ja Reaaliaikaiset tunnistuksia varten, on kuvattu seuraavassa taulukossa:
Pivot | Uhka Tutkimusmatkailija |
Reaaliaikainen Etsivä |
---|---|---|
URL-toimialue | ✔ | ✔ |
Valitse tuomio | ✔ | ✔ |
URL | ✔ | |
URL-toimialue ja polku | ✔ |
Samat kaavion pivot-kaaviot ovat käytettävissä ja ne on kuvattu Threat Explorerin Kaikki sähköposti -näkymässä:
- URL-toimialueen pivot-ikkuna URL-napsautusten näkymälle Threat Explorerin Kaikki sähköpostit -näkymän tietoalueelle
- Napsauta URL-napsautusten näkymän tuomion pivot -kohtaa Threat Explorerin Kaikki sähköpostit -näkymän tietoalueelle
- URL-osoitteen napsautusten näkymän URL-pivot-osoite Threat Explorerin Kaikki sähköposti -näkymän tiedot-alueelle
- URL-toimialue ja URL-osoitteen napsautusten pivot-polkunäkymä Threat Explorerin Kaikki sähköpostit -näkymän tietoalueelle
Vihje
Uhkien hallinnassa jokaisella URL-napsautusnäkymän pivot-toiminnolla on Näytä kaikki napsautukset -toiminto, joka avaa URL-napsautusten näkymän Uhkien hallinnassa uudessa välilehdessä. Tämä toiminto ei ole käytettävissä reaaliaikaisia tunnistuksia, koska URL-napsautusten näkymä ei ole käytettävissä reaaliaikaisten tunnistusten yhteydessä.
Tietojenkalastelunäkymän tietoalueen ylimmät URL-osoitteet -näkymä Uhkien hallinnassa ja reaaliaikaiset tunnistuksia varten
Ylimmät URL-osoitteet -näkymä näyttää tietotaulukon. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa:
- URL
- Viestit estetty
- Roskapostit
- Toimitetut viestit
Tietojenkalastelunäkymän ylimmät URL-osoitteet
Kun valitset merkinnän napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua, näkyviin tulee tietojen pikaikkuna. Pikaikkunan tiedot ovat samat kuin Kaikki sähköposti -näkymän URL-osoitteiden ylimmät tiedot -kohdassa on kuvattu.
Vihje
Go hunt -toiminto on käytettävissä vain Threat Explorerissa. Se ei ole käytettävissä reaaliaikaisia tunnistuksia.
Ylimmät napsautukset -näkymä tietojenkalastelunäkymän tietoalueelle Threat Explorerissa ja Reaaliaikaiset tunnistuksia varten
Ylimmät napsautukset -näkymässä näkyy tietotaulukko. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa:
- URL
- Tukossa
- Sallittu
- Ohitinlohko
- Odottaa tuomiota
- Odottava tuomio ohitettu
- Ei mitään
- Virhesivu
- Epäonnistuminen
Vihje
Kaikki käytettävissä olevat sarakkeet on valittu. Jos valitset Mukauta sarakkeita, et voi poistaa minkään sarakkeen valintaa.
Jos haluat nähdä kaikki sarakkeet, sinun on todennäköisesti tehtävä yksi tai useampi seuraavista vaiheista:
- Vieritä selaimessa vaakasuunnassa.
- Kavenna sopivien sarakkeiden leveyttä.
- Loitonna selaimessa.
Kun valitset merkinnän napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua, näkyviin tulee tietojen pikaikkuna. Pikaikkunan tiedot ovat samat kuin Kaikki sähköposti -näkymän URL-osoitteiden ylimmät tiedot -kohdassa on kuvattu.
Suosituimmat kohdennetut käyttäjät tarkastelevat tietojenkalastelunäkymän tietoaluetta Threat Explorerissa
Eniten kohdistetut käyttäjät -näkymä järjestää tiedot viiden suurimman tietojenkalasteluyrityksen kohteena olleen vastaanottajan taulukoksi. Taulukossa näkyvät seuraavat:
Eniten kohdennetut käyttäjät: Suosituimman kohdennetun käyttäjän sähköpostiosoite. Jos valitset sähköpostiosoitteen, näyttöön avautuu tietojen pikaikkuna. Pikaikkunan tiedot ovat samat kuin kohdassa Suosituimmat kohdennetut käyttäjät -näkymä, joka näyttää Threat Explorerin Kaikki sähköpostit -näkymän tiedot-alueen.
Yritysten määrä: Jos valitset yritysten määrän, Threat Explorer avautuu uuteen välilehteen, joka on suodatettu haittaohjelmaperheen nimen mukaan.
Vihje
Vie enintään 3 000 käyttäjän luettelo ja sitä vastaavat yritykset Vie-toiminnolla.
Sähköpostin alkuperänäkymä Tietojenkalastelu -näkymän tietoalueelle Threat Explorerissa
Sähköpostin alkuperä -näkymä näyttää viestilähteet maailman kartalla.
Uhkienhallinnan tietojen tietoalueen kampanjanäkymä
Kampanja-näkymässä näkyy tietotaulukko. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa.
Taulukon tiedot ovat samat kuin Kampanjat-sivun tietotaulukossa kuvatut tiedot.
Kun valitset merkinnän napsauttamalla mitä tahansa muuta rivin kohtaa kuin Nimi-kohdan vieressä olevaa valintaruutua, näyttöön avautuu tietojen pikaikkuna. Pikaikkunan tiedot ovat samat kuin kampanjan tiedoissa.
Kampanjat-näkymä Uhkien hallinnassa
Threat Explorerin Kampanjat-näkymä näyttää tietoja uhkista, jotka on tunnistettu koordinoiduiksi tietojenkalastelu- ja haittaohjelmahyökkäyksiksi joko organisaatiollesi tai muille Microsoft 365 :n organisaatioille.
Jos haluat avata Kampanjat-näkymän Defender-portaalin Hallinta-sivulla osoitteessa https://security.microsoft.com, siirry kohtaan Sähköposti & yhteiskäytön>Hallinta>Kampanjat -välilehti. Voit myös siirtyä suoraan Resurssienhallinta-sivulle -toiminnolla https://security.microsoft.com/threatexplorerv3ja valita sitten Kampanjat-välilehden .
Kaikki käytettävissä olevat tiedot ja toiminnot ovat identtisiä Kampanjat-sivun tietojen ja toimintojen kanssa osoitteessa https://security.microsoft.com/campaignsv3. Lisätietoja on Microsoft Defender portaalin Kampanjat-sivulla.
Sisällön haittaohjelmanäkymä Threat Explorerissa ja reaaliaikaiset tunnistuksia
Uhkienhallinnan ja reaaliaikaisten tunnistusten Sisältö-haittaohjelmanäkymässä näytetään tietoja tiedostoista, jotka:
- Sisäinen virussuojaus SharePointissa, OneDrivessa ja Microsoft Teamsissa
- Turvalliset liitteet SharePointia, OneDrivea ja Microsoft Teamsia varten.
Voit avata Sisältö haittaohjelma-näkymän tekemällä jonkin seuraavista toimista:
- Uhkienhallinta: Siirry Defender-portaalin https://security.microsoft.comResurssienhallinta-sivulla kohtaan Sähköposti & yhteistyö>Explorer>Sisällön haittaohjelma -välilehti. Voit myös siirtyä suoraan Resurssienhallinta-sivulle -toiminnolla https://security.microsoft.com/threatexplorerv3ja valita sitten Sisällön haittaohjelma -välilehden.
- Reaaliaikaiset tunnistamiset: Siirry Defender-portaalin Reaaliaikaiset tunnistuksia -sivulla kohtaan Sähköposti & yhteistyö>Explorer>Sisällön haittaohjelma -välilehti.https://security.microsoft.com Voit myös siirtyä suoraan Reaaliaikaiset tunnistuksia -sivulle -toiminnolla https://security.microsoft.com/realtimereportsv3ja valita sitten Sisällön haittaohjelma -välilehden.
Suodatettavat ominaisuudet Uhkienhallinnan Sisältö-haittaohjelmanäkymässä ja reaaliaikaiset tunnistuksia varten
Tiedoissa ei oletusarvoisesti käytetä ominaisuussuodattimia. Suodattimien (kyselyiden) luontivaiheet on kuvattu Suodattimet Uhkien hallinnassa ja reaaliaikaiset tunnistuksia -osassa myöhemmin tässä artikkelissa.
Suodatettavat ominaisuudet, jotka ovat käytettävissä Threat Explorerin Sisältö-haittaohjelmanäkymänTiedostonimi-ruudussa ja reaaliaikaiset tunnistuksia varten, on kuvattu seuraavassa taulukossa:
Ominaisuus | Kirjoita | Uhka Tutkimusmatkailija |
Reaaliaikainen Etsivä |
---|---|---|---|
Tiedosto | |||
Tiedoston nimi | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Työtaakka | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Paikka | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tiedoston omistaja | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Viimeksi muokannut | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
SHA256 | Kokonaisluku. Erota useita arvoja toisistaan pilkuilla. Voit etsiä tiedoston SHA256-hajautusarvon Windowsissa suorittamalla seuraavan komennon komentokehotteessa: certutil.exe -hashfile "<Path>\<Filename>" SHA256 . |
✔ | ✔ |
Haittaohjelmaperhe | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. | ✔ | ✔ |
Tunnistustekniikka | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Uhkatyyppi | Valitse vähintään yksi arvo:
|
✔ | ✔ |
Kaavion pivotit Uhkienhallinnan Sisältö-haittaohjelmanäkymässä ja reaaliaikaiset tunnistuksia varten
Kaaviossa on oletusnäkymä, mutta voit valita histogrammikaavion Valitse pivot - kohdasta arvon, joka muuttaa suodatetun tai suodattamattoman kaavion tietojen järjestystä ja näyttämistä.
Kaavion pivotit, jotka ovat käytettävissä Uhkienhallinnan Sisältö-haittaohjelmanäkymässä ja reaaliaikaiset tunnistuksia varten, on lueteltu seuraavassa taulukossa:
Pivot | Uhka Tutkimusmatkailija |
Reaaliaikainen Etsivä |
---|---|---|
Haittaohjelmaperhe | ✔ | ✔ |
Tunnistustekniikka | ✔ | ✔ |
Työtaakka | ✔ | ✔ |
Käytettävissä olevat kaavion pivotit on kuvattu seuraavissa alakohdissa.
Haittaohjelmaperheen kaavio pivotoi Sisällön haittaohjelma -näkymässä Threat Explorerissa ja Reaaliaikaiset tunnistuksia
Vaikka tämä pivot-osa ei näytä oletuksena valitulta, Haittaohjelmaperhe on oletusarvoinen kaavion pivotointi Uhkienhallinnan Sisältö haittaohjelma-näkymässä ja reaaliaikaiset tunnistukset.
Malware-perhe-pivot järjestää kaavion SharePointin, OneDriven ja Microsoft Teamsin tiedostoissa tunnistetun haittaohjelman mukaan käyttäen määritettyjä päivämäärä/aika- ja ominaisuussuodattimia.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin haittaohjelmaperheen määrän.
Tunnistusteknologian kaavio pivotoi Sisällön haittaohjelma -näkymässä Uhkienhallinnassa ja Reaaliaikaiset tunnistuksia
Tunnistustekniikan pivot järjestää kaavion sen ominaisuuden mukaan, joka tunnisti haittaohjelmat SharePointin, OneDriven ja Microsoft Teamsin tiedostoista määritetyille päivämäärä-/aika-alue- ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin tunnistustekniikan määrän.
Kuormituskaavio pivotoi Sisällön haittaohjelma -näkymässä Uhkien hallinnassa ja reaaliaikaiset tunnistuksia
Kuormitus-pivot järjestää kaavion sen mukaan, mistä haittaohjelma tunnistettiin (SharePoint, OneDrive tai Microsoft Teams) määritetyn päivämäärä-/aika-alueen ja ominaisuussuodattimien osalta.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin kuormituksen määrän.
Katselut Sisältö-haittaohjelmanäkymän tietoalueeseen Uhkien hallinnassa ja reaaliaikaiset tunnistuksia varten
Uhkien hallinnassa ja reaaliaikaisissa tunnistumisissa Sisällön haittaohjelma -näkymän tietoalue sisältää vain yhden näkymän (välilehden), jonka nimi on Tiedostot. Tämä näkymä on kuvattu seuraavassa aliosassa.
Asiakirjanäkymä Sisällön haittaohjelma -näkymän tietoalueesta Threat Explorerissa ja reaaliaikaiset tunnistuksia varten
Asiakirja on sisällön haittaohjelmanäkymän tietoalueen oletusnäkymä ja ainoa näkymä.
Asiakirja-näkymässä näkyy tietotaulukko. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvot on merkitty tähdellä (*):
- Päivämäärä*
- Nimi*
- Työtaakka*
- Uhka*
- Tunnistustekniikka*
- Viimeksi muokannut käyttäjä*
- Tiedoston omistaja*
- Koko (tavua)*
- Edellinen muokkausaika
- Sivuston polku
- Tiedostopolku
- Tiedostotunniste
- SHA256
- Havaittu päivämäärä
- Haittaohjelmaperhe
- Asiayhteys
Vihje
Jos haluat nähdä kaikki sarakkeet, sinun on todennäköisesti tehtävä yksi tai useampi seuraavista vaiheista:
- Vieritä selaimessa vaakasuunnassa.
- Kavenna sopivien sarakkeiden leveyttä.
- Poista sarakkeet näkymästä.
- Loitonna selaimessa.
Mukautetut sarakeasetukset tallennetaan käyttäjäkohtaisena. Mukautetut sarakeasetukset Incognitossa tai InPrivate-selaustilassa tallennetaan, kunnes suljet selaimen.
Kun valitset tiedostonimiarvon Nimi-sarakkeesta , avautuu tiedot-pikaikkuna. Pikaikkuna sisältää seuraavat tiedot:
Yhteenveto-osa :
- Tiedostonimi
- Sivuston polku
- Tiedostopolku
- Tiedostotunniste
- SHA256
- Viimeisin muokkauspäivämäärä
- Viimeksi muokannut
- Uhka
- Tunnistustekniikka
Tiedot-osa :
- Havaittu päivämäärä
- Havaitsija
- Haittaohjelman nimi
- Viimeksi muokannut
- Tiedostokoko
- Tiedoston omistaja
Sähköpostiluettelo-osa : Taulukko, joka näyttää seuraavat haittaohjelmatiedostoa sisältävien viestien tiedot:
- Päiväys
- Aihe
- Vastaanottaja
Valitse Näytä kaikki sähköpostit avataksesi Uhkienhallinta uudessa välilehdessä, joka on suodatettu haittaohjelmaperheen nimen mukaan.
Viimeisimmät toimet: Näyttää vastaanottajan valvontalokihaun yhteenvedetyt tulokset:
- Päiväys
- IP-osoite
- Toiminta
- Kohde
Jos vastaanottajalla on enemmän kuin kolme valvontalokin merkintää, valitse Näytä kaikki viimeisimmät toiminnot , jotta näet ne kaikki.
Vihje
Sähköpostin & yhteistyöoikeudet -kohdan Suojauksen järjestelmänvalvojat -rooliryhmän jäsenet eivät voi laajentaa Viimeisimmät toimet -osiota. Sinun on oltava rooliryhmän jäsen Exchange Online käyttöoikeuksissa, joille on määritetty valvontalokit, Information Protection analyytikko tai Information Protection tutkijaroolit. Oletusarvoisesti nämä roolit määritetään tietueiden hallintaan, yhteensopivuuden hallintaan, Information Protection, Information Protection analyytikoihin, Information Protection tutkijoisiin ja organisaation hallinnan rooliryhmiin. Voit lisätä suojauksen järjestelmänvalvojien jäseniä kyseisiin rooliryhmiin tai voit luoda uuden rooliryhmän , jolle on määritetty valvontalokit-rooli .
URL-napsautusten näkymä Uhkienhallinnassa
Uhkienhallinnan URL-osoite napsauttaa näkymää, jossa kaikki käyttäjät napsauttavat URL-osoitteita sähköpostissa, tuetuilla Office-tiedostoilla SharePointissa ja OneDrivessa sekä Microsoft Teamsissa.
Jos haluat avata URL-osoitteen napsautusten näkymän Defender-portaalin Hallinta-sivulla osoitteessa https://security.microsoft.com, siirry kohtaan Sähköposti & yhteistyö Explorerin>>URL-osoitteet napsauttavat -välilehteä. Voit myös siirtyä suoraan Resurssienhallinta-sivulle -toiminnolla https://security.microsoft.com/threatexplorerv3ja valita sitten URL-osoitteen napsautukset -välilehden.
Suodatettavissa olevat ominaisuudet URL-osoite napsauttaa -näkymää Uhkienhallinnassa
Tiedoissa ei oletusarvoisesti käytetä ominaisuussuodattimia. Suodattimien (kyselyiden) luontivaiheet on kuvattu Suodattimet Uhkien hallinnassa ja reaaliaikaiset tunnistuksia -osassa myöhemmin tässä artikkelissa.
Suodatettavat ominaisuudet, jotka ovat käytettävissä Vastaanottajat-ruudussaURL-napsautukset-näkymässä Threat Explorerissa, on kuvattu seuraavassa taulukossa:
Ominaisuus | Kirjoita |
---|---|
Basic | |
Vastaanottajat | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Tunnisteet | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. Lisätietoja käyttäjätunnisteista on kohdassa Käyttäjätunnisteet. |
Verkkoviestin tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. GUID-arvo, joka on käytettävissä X-MS-Exchange-Organization-Network-Message-Id-otsikkokentässä viestin otsikossa. |
URL | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Napsautustoiminto | Valitse vähintään yksi arvo:
|
Uhkatyyppi | Valitse vähintään yksi arvo:
|
Tunnistustekniikka | Valitse vähintään yksi arvo:
|
Valitse tunnus | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Asiakkaan IP | Tekstiviesti. Erota useita arvoja toisistaan pilkuilla. |
Kaavion pivotoinnit URL-osoitteen napsautusnäkymässä Threat Explorerissa
Kaaviossa on oletusnäkymä, mutta voit valita histogrammikaavion Valitse pivot - kohdasta arvon, joka muuttaa suodatetun tai suodattamattoman kaavion tietojen järjestystä ja näyttämistä.
Käytettävissä olevat kaavion pivotit on kuvattu seuraavissa alakohdissa.
URL-toimialuekaavio pivotoi URL-osoitteen napsautusnäkymässä Threat Explorerissa
Vaikka tämä pivot-osa ei ole oletusarvoisesti valittuna, URL-toimialue on oletuskaavion pivot-osa URL-napsautusnäkymässä .
URL-toimialueen pivot järjestää kaavion niiden toimialueiden mukaan, joita käyttäjät napsauttivat sähköpostissa, Office-tiedostoissa tai Microsoft Teamsissa määritettyjen päivämäärä-/aika-alueiden ja ominaisuussuodattimien osalta.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin URL-toimialueen määrän.
Kuormituskaavion pivot-osa URL-osoitteen napsautusnäkymässä Threat Explorerissa
Kuormitus-pivot järjestää kaavion valitun URL-osoitteen (sähköposti, Office-tiedostot tai Microsoft Teams) sijainnin mukaan määritetylle päivämäärä-/aika-alueelle ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin kuormituksen määrän.
Tunnistusteknologian kaavion pivotointi URL-napsautusten näkymässä Threat Explorerissa
Tunnistustekniikan pivot järjestää kaavion sen ominaisuuden mukaan, joka tunnisti URL-osoitteen napsautukset sähköpostissa, Office-tiedostoissa tai Microsoft Teamsissa määritetyille päivämäärä-/aika-alue- ja ominaisuussuodattimille.
Kun viet osoittimen kaavion arvopisteen päälle, näet kunkin tunnistustekniikan määrän.
Uhkatyyppikaavion pivot-osa URL-napsautusten näkymässä Threat Explorerissa
Uhkatyyppi-pivot järjestää kaavion valittujen URL-osoitteiden tulosten mukaan sähköpostissa, Office-tiedostoissa tai Microsoft Teamsissa määritetyn päivämäärä-/aika-alueen ja ominaisuussuodattimien osalta.
Kun viet osoittimen kaavion arvopisteen päälle, näet jokaisen uhkatyyppiteknologian määrän.
Url-napsautusten näkymän tietoalueen näkymät Uhkienhallinnassa
Url-napsautusten näkymän tietoalueen käytettävissä olevat näkymät (välilehdet) on kuvattu seuraavissa alakohdissa.
Tulosnäkymä URL-napsautusten näkymän tietoalueelle Threat Explorerissa
Tulokset ovat url-napsautusten näkymän tietoalueen oletusnäkymä.
Tulokset-näkymässä näkyy tietotaulukko. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki sarakkeet ovat valittuina:
- Napsautusaika
- Vastaanottaja
- URL-osoitteen napsautustoiminto
- URL
- Tunnisteet
- Verkkoviestin tunnus
- Valitse tunnus
- Asiakkaan IP
- URL-ketju
- Uhkatyyppi
- Tunnistustekniikka
Vihje
Jos haluat nähdä kaikki sarakkeet, sinun on todennäköisesti tehtävä yksi tai useampi seuraavista vaiheista:
- Vieritä selaimessa vaakasuunnassa.
- Kavenna sopivien sarakkeiden leveyttä.
- Poista sarakkeet näkymästä.
- Loitonna selaimessa.
Mukautetut sarakeasetukset tallennetaan käyttäjäkohtaisena. Mukautetut sarakeasetukset Incognitossa tai InPrivate-selaustilassa tallennetaan, kunnes suljet selaimen.
Valitse yksi tai merkintä valitsemalla rivin ensimmäisen sarakkeen vieressä oleva valintaruutu ja valitse sitten Näytä kaikki sähköpostiviestit, jolloin Threat Explorer avautuu Kaikki sähköpostit -näkymässä uudessa välilehdessä, joka on suodatettu valittujen viestien Verkkoviestin tunnus -arvojen mukaan.
Ylimmät napsautukset -näkymä URL-napsautusten näkymän tietoalueelle Threat Explorerissa
Ylimmät napsautukset -näkymässä näkyy tietotaulukko. Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa:
- URL
- Tukossa
- Sallittu
- Ohitinlohko
- Odottaa tuomiota
- Odottava tuomio ohitettu
- Ei mitään
- Virhesivu
- Epäonnistuminen
Vihje
Kaikki käytettävissä olevat sarakkeet on valittu. Jos valitset Mukauta sarakkeita, et voi poistaa minkään sarakkeen valintaa.
Jos haluat nähdä kaikki sarakkeet, sinun on todennäköisesti tehtävä yksi tai useampi seuraavista vaiheista:
- Vieritä selaimessa vaakasuunnassa.
- Kavenna sopivien sarakkeiden leveyttä.
- Loitonna selaimessa.
Valitse merkintä valitsemalla rivin ensimmäisen sarakkeen vieressä oleva valintaruutu ja valitse sitten Näytä kaikki napsautukset, jolloin Uhkien hallinta avautuu uudessa välilehdessä URL-napsautusten näkymässä.
Kun valitset merkinnän napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua, näkyviin tulee tietojen pikaikkuna. Pikaikkunan tiedot ovat samat kuin Kaikki sähköposti -näkymän URL-osoitteiden ylimmät tiedot -kohdassa on kuvattu.
Suosituimmat kohdennetut käyttäjät tarkastelevat URL-napsautusten näkymän tietoaluetta Threat Explorerissa
Suosituimmat kohdennetut käyttäjät -näkymä järjestää tiedot viiden suurimman URL-osoitetta napsauttaneen vastaanottajan taulukkoon. Taulukossa näkyvät seuraavat:
Eniten kohdennetut käyttäjät: Suosituimman kohdennetun käyttäjän sähköpostiosoite. Jos valitset sähköpostiosoitteen, näyttöön avautuu tietojen pikaikkuna. Pikaikkunan tiedot ovat samat kuin kohdassa Suosituimmat kohdennetut käyttäjät -näkymä, joka näyttää Threat Explorerin Kaikki sähköpostit -näkymän tiedot-alueen.
Yritysten määrä: Jos valitset yritysten määrän, Threat Explorer avautuu uuteen välilehteen, joka on suodatettu haittaohjelmaperheen nimen mukaan.
Vihje
Vie enintään 3 000 käyttäjän luettelo ja sitä vastaavat yritykset Vie-toiminnolla.
Ominaisuussuodattimet Threat Explorerissa ja reaaliaikaisessa tunnistamisessa
Ominaisuussuodattimen/kyselyn perussyntaksi on:
Ehto = <Suodatinominaisuuden><suodatinoperaattorin><ominaisuuden arvo tai arvot>
Useat ehdot käyttävät seuraavaa syntaksia:
<Ehto1><JA | OR-ehto2><><JA | TAI><Ehto3>... <AND | OR><ConditionN>
Vihje
Yleismerkkejä (**** tai ?) ei tueta teksti- tai kokonaislukuarvoissa. Aihe-ominaisuus käyttää tekstin osittaista vastaavuutta ja tuottaa yleismerkkihaun kaltaiset tulokset.
Ominaisuussuodattimen/kyselyn ehtojen luontivaiheet ovat samat kaikissa Threat Explorerin ja reaaliaikaisten tunnistusten näkymissä:
Tunnista suodatinominaisuus käyttämällä tämän artikkelin esikatselunäkymän kuvausosioiden taulukoita.
Valitse käytettävissä oleva suodatinoperaattori. Käytettävissä olevat suodatinoperaattorit riippuvat ominaisuustyypistä seuraavassa taulukossa kuvatulla tavalla:
Suodatinoperaattori Ominaisuustyyppi Yhtä suuri kuin jokin seuraavista: Teksti
Kokonaisluku
Hienovaraiset arvotYhtä suuri kuin mikään seuraavista Teksti
Hienovaraiset arvotSuurempi kuin Kokonaisluku Alle Kokonaisluku Kirjoita tai valitse vähintään yksi ominaisuusarvo. Voit antaa tekstiarvoille ja kokonaisluvuille useita arvoja pilkuilla erotettuina.
Ominaisuusarvon useat arvot käyttävät OR-loogista operaattoria. Esimerkiksi lähettäjän osoite>On yhtä suuri kuin mikä tahansa tarkoittaa, että lähettäjän>
bob@fabrikam.com,cindy@fabrikam.com
osoiteon yhtä suuri kuin mikä tahansa OR-osoite>bob@fabrikam.com
cindy@fabrikam.com
.>Kun olet syöttänyt tai valinnut vähintään yhden ominaisuusarvon, valmis suodatinehto näkyy suodattimen luontiruutujen alapuolella.
Vihje
Ominaisuuksille, jotka edellyttävät yhden tai useamman käytettävissä olevan arvon valitsemista, suodatinehdon ominaisuuden käytöllä kaikki arvot valittuina on sama tulos kuin jos ominaisuutta ei käytetä suodatusehdossa.
Jos haluat lisätä toisen ehdon, toista kolme edellistä vaihetta.
Suodattimen luontiruutujen alapuolella olevat ehdot erotetaan toisistaan loogisella operaattorilla, joka valittiin luontihetkellä. Oletusarvo on AND, mutta voit myös valita TAI.
Samaa loogista operaattoria käytetään kaikkien ehtojen välillä: ne ovat kaikki JA tai ne ovat kaikki TAI. Jos haluat muuttaa olemassa olevia loogisia operaattoreita, valitse looginen operaattori -ruutu ja valitse sitten AND tai OR.
Jos haluat muokata aiemmin luotua ehtoa, kaksoisnapsauta sitä tuodaksesi valitun ominaisuuden, suodatinoperaattorin ja arvot takaisin vastaaviin ruutuihin.
Jos haluat poistaa olemassa olevan ehdon, valitse ehto.
Jos haluat käyttää suodatinta kaaviossa ja tietotaulukossa, valitse Päivitä
Tallennetut kyselyt Threat Explorerissa
Vihje
Tallennuskysely on osa Uhkien seurantaa , eikä se ole käytettävissä reaaliaikaisten tunnistusten yhteydessä. Tallennetut kyselyt ja uhkien seurannat ovat käytettävissä vain palvelupakettiin 2 Defender for Office 365.
Tallennuskysely ei ole käytettävissä Sisältö-haittaohjelmanäkymässä.
Useimmat Threat Explorerin näkymät mahdollistavat suodattimien (kyselyjen) tallentamisen myöhempää käyttöä varten. Tallennetut kyselyt ovat käytettävissä Uhkien seuranta -sivulla Defender-portaalissa osoitteessa https://security.microsoft.com/threattrackerv2. Lisätietoja uhkien seurannasta on artikkelissa Uhkien seurannat Microsoft Defender for Office 365 suunnitelmassa 2.
Voit tallentaa kyselyt Threat Explorerissa seuraavasti:
Kun olet luonut suodattimen/kyselyn edellä kuvatulla tavalla, valitse Tallenna kysely>Tallenna kysely.
Määritä avautuvassa Tallenna kysely -pikaikkunassa seuraavat asetukset:
- Kyselyn nimi: Anna kyselylle yksilöllinen nimi.
- Valitse jokin seuraavista:
- Tarkat päivämäärät: Valitse ruuduista alkamis- ja päättymispäivä. Vanhin valittavissa oleva alkamispäivä on 30 päivää ennen tätä päivää. Uusin päättymispäivä, jonka voit valita, on tänään.
- Suhteelliset päivämäärät: Valitse päivien määrä Näytä viimeiset nn päivää, jolloin haku suoritetaan. Oletusarvo on 7, mutta voit valita 1 - 30.
-
Jäljitä kysely: Tätä asetusta ei ole valittu oletusarvoisesti. Tämä asetus vaikuttaa siihen, suoritetaanko kysely automaattisesti:
- Jäljitä kyselyä , jota ei ole valittu: Voit suorittaa kyselyn manuaalisesti Threat Explorerissa. Kysely tallennetaan Uhkien seuranta -sivun Tallennetut kyselyt -välilehteen, jonka Seurattu kysely -ominaisuuden arvo on Ei.
- Seuraa valittua kyselyä : Kysely suoritetaan säännöllisesti taustalla. Kysely on käytettävissä Uhkien seuranta -sivun Tallennetut kyselyt -välilehdessä, jonka Jäljitetty kysely -ominaisuuden arvo on Kyllä. Kyselyn kausittaiset tulokset näkyvät Uhkien seuranta -sivun Jäljitetyt kyselyt -välilehdessä.
Kun olet valmis Tallenna kysely -pikaikkunassa, valitse Tallenna ja valitse sitten vahvistusikkunassa OK .
Defender-portaalin Uhkien seuranta -sivun Tallennetun kyselyn tai jäljitettyjen kyselyjen välilehdillä https://security.microsoft.com/threattrackerv2osoitteessa voit avata ja käyttää kyselyä Threat Explorerissa valitsemalla Toiminnot-sarakkeesta Tutki.
Kun avaat kyselyn valitsemalla TutkiUhkien seuranta -sivulla, Tallenna kysely nimellä - ja Tallennetut kyselyasetukset ovat nyt käytettävissä Tallenna kyselyResurssienhallinta-sivulla :
Jos valitset Tallenna kysely nimellä, Tallenna kysely -pikaikkuna avautuu kaikki aiemmin valitut asetukset. Jos teet muutoksia, valitse Tallenna ja valitse sitten ONNISTUI-valintaikkunassa OK, päivitetty kysely tallennetaan uutena kyselynä Uhkien seuranta -sivulle (sinun on ehkä valittava Päivitä, jotta näet sen).
Jos valitset Tallennetut kyselyasetukset, Tallennetut kyselyasetukset -pikaikkuna avautuu, jossa voit päivittää olemassa olevan kyselyn päivämäärä- ja seurantakyselyasetukset .
Lisätietoja
- Threat Explorer kerää sähköpostitietoja Sähköposti-entiteettisivulta
- Etsi ja tutki lähetettyjä haitallisia sähköpostiviestejä
- Näytä SharePoint Onlinessa, OneDrivessa ja Microsoft Teamsissa havaitut haitalliset tiedostot
- Uhkien suojauksen tilaraportti
- Automatisoitu tutkimus ja reagointi Microsoft Threat Protectionissa