Uhkien metsästys Threat Explorerissa ja reaaliaikaiset tunnistamiset Microsoft Defender for Office 365

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lue lisätietoja siitä, kuka voi rekisteröityä, ja kokeiluversion ehdot täältä.

Microsoft 365 -organisaatioilla, joilla on Microsoft Defender for Office 365 sisältyvät tilaukseensa tai jotka on ostettu lisäosana, on Explorer (tunnetaan myös nimellä Threat Explorer) tai reaaliaikaisia tunnistuksia. Nämä ominaisuudet ovat tehokkaita, lähes reaaliaikaisia työkaluja, joiden avulla security operations (SecOps) -tiimit voivat tutkia uhkia ja vastata niihin. Lisätietoja on artikkelissa Tietoja uhkienhallinnasta ja reaaliaikaisia tunnistuksia Microsoft Defender for Office 365.

Threat Explorerin tai reaaliaikaisten tunnistusten avulla voit suorittaa seuraavat toiminnot:

  • Katso Microsoft 365:n suojausominaisuuksien havaitsemat haittaohjelmat.
  • Näytä tietojenkalastelun URL-osoite ja napsauta tuomion tietoja.
  • Aloita automatisoitu tutkimus- ja reagointiprosessi (vain Threat Explorer).
  • Tutki haitallisia sähköpostiviestejä.
  • Ja paljon muuta.

Katso tästä lyhyestä videosta, miten voit etsiä ja tutkia sähköposti- ja yhteistyöuhkia Defender for Office 365 avulla.

Vihje

Kehittynyt metsästys Microsoft Defender XDR tukee helppokäyttöistä kyselyn muodostinta, joka ei käytä Kusto Query Languagea (KQL). Lisätietoja on artikkelissa Kyselyjen luominen ohjatun tilan avulla.

Seuraavat tiedot ovat saatavilla tässä artikkelissa:

Vihje

Seuraavissa artikkeleissa on sähköpostiskenaarioita, joissa käytetään Uhkien hallintaa ja reaaliaikaisia tunnistuksia:

Jos etsit hyökkäyksiä, jotka perustuvat QR-koodeihin upotettuihin haitallisiin URL-osoitteisiin, URL-lähdesuodattimen arvon QR-koodi Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymistä Uhkienhallinnassa tai Reaaliaikaiset tunnistuksia -toiminnolla voit hakea sähköpostiviestiä QR-koodeista poimittujen URL-osoitteiden avulla.

Mitä on hyvä tietää ennen aloittamista?

Uhkienhallinnan ja reaaliaikaisten tunnistusten vaiheittaiset ohjeet

Threat Explorer tai reaaliaikaiset tunnisteet ovat käytettävissä Microsoft Defender-portaalin Sähköposti & yhteistyö -osassa osoitteessa https://security.microsoft.com:

Threat Explorer sisältää samat tiedot ja ominaisuudet kuin reaaliaikaiset tunnistuksia, mutta sisältää seuraavat lisäominaisuudet:

  • Lisää näkymiä.
  • Lisää ominaisuuksien suodatusasetuksia, mukaan lukien kyselyiden tallennusvaihtoehto.
  • Uhkien metsästys- ja korjaustoimet.

Lisätietoja Defender for Office 365 palvelupaketin 1 ja 2 eroista on Defender for Office 365 palvelupaketin 1 ja palvelupaketin 2 pikaohjeissa.

Aloita tutkimus sivun yläreunassa olevien välilehtien (näkymien) avulla.

Uhkienhallinnan ja reaaliaikaisten tunnistusten käytettävissä olevat näkymät on kuvattu seuraavassa taulukossa:

Näytä Uhka
Explorer		 Reaaliaikainen
Etsivä		 Kuvaus
Kaikki sähköpostit Uhkienhallinnan oletusnäkymä. Tietoja kaikista ulkoisten käyttäjien organisaatioosi lähettämiä sähköpostiviestejä tai organisaation sisäisten käyttäjien välillä lähetettyjä sähköpostiviestejä.
Haittaohjelmien Reaaliaikaisten tunnistusten oletusnäkymä. Tietoja haittaohjelmia sisältävistä sähköpostiviesteista.
Phish Tietoja sähköpostiviesteista, jotka sisältävät tietojenkalasteluuhkia.
Kampanjat Tietoja haitallisista sähköposteista, jotka Defender for Office 365 palvelupaketti 2 tunnistaa osana koordinoitua tietojenkalastelu- tai haittaohjelmakampanjaa.
Sisällön haittaohjelma Tietoja seuraavien ominaisuuksien havaitsemista haitallisista tiedostoista:
URL-osoitteen napsautukset Tietoja käyttäjien napsautuksista sähköpostiviesteissä, Teams-viesteissä, SharePoint-tiedostoissa ja OneDrive-tiedostoissa.

Tarkenna tuloksia päivämäärä/aika-suodattimen ja näkymän käytettävissä olevien suodatinominaisuuksien avulla:

Vihje

Muista valita Päivitä suodattimen luomisen tai päivittämisen jälkeen. Suodattimet vaikuttavat kaavion tietoihin ja näkymän tietoalueeseen.

Voit ajatella kohdistuksen tarkentamista Uhkien hallinnassa tai reaaliaikaisia tunnistuksia kerroksina, jotka helpottavat vaiheiden seuraamista:

  • Ensimmäinen kerros on käyttämäsi näkymä.
  • Toinen myöhemmin on suodattimet, joita käytät tässä näkymässä.

Voit esimerkiksi jäljittää tekemäsi toimet uhan löytämiseksi tallentamalla tekemäsi päätökset näin: Voit etsiä ongelman Threat Explorerista käyttämällä Haittaohjelma-näkymää ja käyttämällä Vastaanottaja-suodattimen kohdistusta.

Muista myös testata näyttöasetuksiasi. Eri käyttäjäryhmät (esimerkiksi hallinta) saattavat reagoida samojen tietojen eri esityksiin paremmin tai huonommin.

Esimerkiksi Threat Explorerin Kaikki sähköposti -näkymässä Sähköpostin alkuperä - ja Kampanjat-näkymät (välilehdet) ovat käytettävissä sivun alareunan tietoalueella:

  • Joillekin yleisöille Sähköpostin alkuperä -välilehden maailmankartta voi auttaa näyttämään, kuinka laajalle levinneitä havaitut uhat ovat.

    Näyttökuva maailmankartasta Sähköpostin alkuperä -näkymässä Threat Explorerin Kaikki sähköpostit -näkymän tiedot-alueella.

  • Toiset saattavat pitää taulukon yksityiskohtaisia tietoja Kampanjat-välilehdellä hyödyllisempinä tietojen välittämisessä.

    Näyttökuva Tietotaulukko-taulukosta Kampanja-välilehdellä Threat Explorerin Kaikki sähköposti -näkymässä.

Voit käyttää näitä tietoja seuraavissa tuloksissa:

  • Suojauksen tarpeen osoittamiseksi.
  • Osoittaakseen myöhemmin kaikkien toimien tehokkuuden.

Sähköpostitutkimus

Kaikki sähköposti-, haittaohjelma- tai tietojenkalastelunäkymät Uhkienhallinnassa tai Reaaliaikaiset tunnistuksia -kohdassa sähköpostiviestien tulokset näytetään taulukossa Sähköposti-välilehdellä (näkymässä) kaavion alapuolella olevalla tietoalueella.

Kun näet epäilyttävän sähköpostiviestin, napsauta merkinnän Aihe-arvoa taulukossa. Näyttöön avautuva tietoikkuna sisältää Avaussähköposti-entiteetin pikaikkunan yläosassa.

Näyttökuva toiminnoista, jotka ovat käytettävissä sähköpostin tietojen pikaikkunassa sen jälkeen, kun olet valinnut Aihe-arvon Tiedot-alueen Sähköposti-välilehdessä Kaikki sähköpostit -näkymässä.

Sähköposti-entiteetin sivu kokoaa yhteen kaiken, mitä sinun on tiedettävä viestistä ja sen sisällöstä, jotta voit selvittää, onko viesti uhka. Lisätietoja on artikkelissa Sähköposti-entiteetin sivun yleiskatsaus.

Sähköpostin korjaus

Kun olet toteanut, että sähköpostiviesti on uhka, seuraava vaihe on uhan korjaaminen. Voit korjata uhan Uhkienhallinnassa tai reaaliaikaisia tunnistuksia käyttämällä Toimi-toimintoa.

Toiminto on käytettävissä Kaikki sähköposti-, Haittaohjelma- tai Tietojen kalastelu -näkymissä Threat Explorerissa tai Reaaliaikaiset tunnistuksia Sähköposti-välilehdellä (näkymässä) kaavion alla olevalta tietoalueelta:

  • Valitse vähintään yksi taulukon merkintä valitsemalla ensimmäisen sarakkeen vieressä oleva valintaruutu. Toiminto on käytettävissä suoraan välilehdessä.

    Näyttökuva tietotaulukon Sähköposti-näkymästä (välilehti), jossa on valittuna viesti ja Ota toiminto käyttöön.

    Vihje

    Toiminto korvaa avattavan Sanomatoiminnot-luettelon .

    Jos valitset enintään 100 merkintää, voit suorittaa viesteille useita toimintoja ohjatussa Toiminto-toiminnossa .

    Jos valitset 101 - 200 000 merkintää, ohjatussa Toiminnon suorittaminen -toiminnossa on käytettävissä vain seuraavat toiminnot:

    • Uhkienhallinta: Siirry postilaatikkoon ja ehdota korjausta ovat käytettävissä, mutta ne ovat toisensa poissulkevia (voit valita jommankumman).
    • Reaaliaikaiset tunnistukset: Lähetä Microsoftille vain tarkistettavaksi ja luo vastaavat salli/estä-merkinnät Vuokraajan salli/estä-luettelossa.

  • Napsauta taulukon merkinnän Aihe-arvoa . Näyttöön avautuvassa tiedot-pikaikkunassa on Suorita toiminto pikaikkunan yläosassa.

    Toiminnot, jotka ovat käytettävissä Tiedot-välilehdessä sen jälkeen, kun olet valinnut Aihe-arvon Kaikki sähköpostit -näkymän Tiedot-alueen Sähköposti-välilehdessä.

Kun valitset Suorita toiminto , ohjatun toiminnon suorittaminen avautuu pikaikkunassa. Uhkienhallinnan (Defender for Office 365 palvelupaketti 2) ja reaaliaikaisten tunnistusten (Defender for Office 365 palvelupaketti 1) ohjatun toiminnon käytettävissä olevat toiminnot on lueteltu seuraavassa taulukossa:

Toiminta Uhka
Explorer		 Reaaliaikainen
Etsivä
Siirrä postilaatikkokansioon ✔¹
Lähetä Microsoftille tarkistettavaksi
  Salli tai estä merkinnät vuokraajan Salli/Estä luettelo³ -kohdassa
Aloita automatisoitu tutkinta
Ehdota korjausta ²

¹ Tämä toiminto edellyttää Haku- ja tyhjennysroolia& yhteiskäyttöoikeutesi. Oletusarvoisesti tämä rooli määritetään vain tietotutkijan ja organisaation hallinnan rooliryhmille. Voit lisätä käyttäjiä kyseisiin rooliryhmiin tai luoda uuden rooliryhmän, jolle on määritetty Haku ja tyhjennä rooli, ja lisätä käyttäjät mukautettuun rooliryhmään.

² Vaikka tämä toiminto saattaa näkyä käytettävissä reaaliaikaisten tunnistusten yhteydessä, se ei ole käytettävissä palvelupakettiin 1 Defender for Office 365.

³ Tämä toiminto on käytettävissä kohdassa Lähetä Microsoftille tarkistettavaksi.

Ohjattu toiminnon luominen on kuvattu seuraavassa luettelossa:

  1. Tee Seuraavat valinnat Valitse vastaustoiminnot -sivulla:

    • Näytä kaikki vastaustoiminnot: Tämä vaihtoehto on käytettävissä vain Threat Explorerissa.

      Oletusarvon mukaan jotkin toiminnot eivät ole käytettävissä tai näkyvät harmaina viestin viimeisimmän toimitussijainnin perusteella. Jos haluat näyttää kaikki käytettävissä olevat vastaustoiminnot, siirrä valitsin Käytössä-kohtaan.

    • Sähköpostiviestin toiminnot -osa:

      Voit valita useita toimintoja, jos valitsit 100 viestiä tai vähemmän viestejä Sähköposti-välilehdestä (näkymä) Kaikki sähköposti-, Haittaohjelma- tai Tietojenkalastelu -näkymien tietoalueesta, kun valitsit Toimi.

      Voit myös valita useita toimintoja, jos valitsit Details-pikaikkunassa Toiminnon, kun olet napsauttanut merkinnän Aihe-arvoa.

      Valitse yksi tai useampi käytettävissä olevista vaihtoehdoista:

    • Siirrä postilaatikkokansioon: Valitse jokin käytettävissä olevista arvoista:

      • Roskaposti: Siirrä viesti Roskaposti-kansioon.
      • Saapuneet: Siirrä viesti Saapuneet-kansioon.
      • Poistetut: Siirrä viesti Poistetut-kansioon.
      • Pehmeästi poistetut kohteet: Poista viesti Poistetut-kansiosta (siirry Palautettavat kohteet\Poistot-kansioon). Käyttäjä ja järjestelmänvalvojat voivat palauttaa viestin.
      • Vaikeasti poistetut kohteet: Tyhjennä poistettu viesti. Järjestelmänvalvojat voivat palauttaa poistettuja pysyväiskohteita yhden kohteen palautuksen avulla. Lisätietoja poistetuista ja pehmeistä poistetuista kohteista on kohdassa Pehmeästi poistetut ja poistetut kohteet.

    • Lähetä Microsoftille tarkistettavaksi: Valitse jokin käytettävissä olevista arvoista:

      • Olen varmistanut, että se on puhdas: Valitse tämä arvo, jos olet varma, että viesti on puhdas. Näkyviin tulevat seuraavat asetukset:

        • Salli tämän kaltaiset viestit: Jos valitset tämän arvon, salli merkinnät lisätään lähettäjän vuokraajan sallittujen tai estettyjen luetteloon ja viestiin liittyviin URL-osoitteisiin tai liitteisiin. Näkyviin tulevat myös seuraavat vaihtoehdot:
          • Poista merkintä jälkeen: Oletusarvo on 1 päivä, mutta voit myös valita 7 päivää, 30 päivää tai tietyn päivämäärän , joka on alle 30 päivää.
          • Salli merkintähuomautus: Kirjoita valinnainen huomautus, joka sisältää lisätietoja.

      • Se vaikuttaa puhtaalta tai vaikuttaa epäilyttävältä: Valitse jokin näistä arvoista, jos et ole varma ja haluat Microsoftin tuomion.

      • Olen vahvistanut, että se on uhka: Valitse tämä arvo, jos olet varma, että kohde on haitallinen, ja valitse sitten jokin seuraavista arvoista avautuvasta Valitse luokka -osiosta:

        • Phish
        • Haittaohjelmien
        • Roskapostia

        Kun olet valinnut jonkin näistä arvoista, näyttöön avautuu Valitse entiteetit, jotka estävät pikaikkunan, jossa voit valita vähintään yhden viestiin liittyvän entiteetin (lähettäjän osoite, lähettäjän toimialue, URL-osoitteet tai liitetiedostot), joka lisätään lohkomerkinnöiksi Vuokraajan salliminen/estä -luetteloon.

        Kun olet valinnut estettävät kohteet, valitse Lisää estääksesi säännönsulkeaksesi Valitse entiteetit estääksesi pikaikkunan. Voit myös valita ei kohteita ja valita sitten Peruuta.

        Valitse Valitse vastaustoiminnot -sivulla vanhentumisasetus lohkomerkinnöille:

        • Vanhentumispäivä: Valitse päivämäärä, jolloin estomerkinnät vanhenevat.
        • Ei vanhene koskaan

        Estettyjen entiteettien määrä näytetään (esimerkiksi 4/4 estettävää entiteettiä). Valitse Muokkaa , jos haluat avata uudelleen Lisää estääksesi säännön ja tehdäksesi muutoksia.

    • Aloita automatisoitu tutkimus: vain Threat Explorer. Valitse jokin seuraavista näkyvistä arvoista:

      • Sähköpostin tutkiminen
      • Tutki vastaanottajaa
      • Tutki lähettäjää: Tämä arvo koskee vain lähettäjiä organisaatiossasi.
      • Yhteyshenkilön vastaanottajat

    • Ehdota korjausta: Valitse jokin seuraavista näkyvistä arvoista:

      • Create uusi: Tämä arvo käynnistää pehmeän poiston odottavan toiminnon, jonka järjestelmänvalvojan on hyväksyttävä toimintokeskuksessa. Tätä tulosta kutsutaan myös kaksivaiheiseksi hyväksynnäksi.

      • Lisää aiemmin luotuun: Käytä tätä arvoa, jos haluat käyttää toimintoja tähän aiemmin luodun korjauksen sähköpostiviestiin. Valitse Lähetä sähköpostiviesti seuraavaan korjaukseen -ruudussa olemassa oleva korjaus.

        Vihje

        SecOps-henkilöstö, jolla ei ole riittävästi oikeuksia, voi käyttää tätä vaihtoehtoa korjauksen luomiseen, mutta jonkun, jolla on käyttöoikeudet, on hyväksyttävä toiminto toimintokeskuksessa.

    Kun olet valmis Valitse vastaustoiminnot -sivulla, valitse Seuraava.

  2. Määritä Valitse kohdeentiteetit -sivulla seuraavat asetukset:

    • Nimi ja kuvaus: Anna yksilöllinen, kuvaava nimi ja valinnainen kuvaus valitun toiminnon seuraamiseksi ja tunnistamiseksi.

    Sivun loppuosa on taulukko, jossa luetellaan kyseiset resurssit. Taulukko on järjestetty seuraavien sarakkeiden mukaan:

    • Resurssi, johon vaikutus kohdistui: Kyseessä olevat resurssit edelliseltä sivulta. Esimerkki:
      • Vastaanottajan sähköpostiosoite
      • Koko vuokraaja
    • Toiminto: Valitut toiminnot resursseille edelliseltä sivulta. Esimerkki:
      • Tarkistettavat arvot Lähetä Microsoftille -kohdasta:
        • Raportti puhtaana
        • Raportti
        • Ilmoita haittaohjelmaksi, ilmoita roskapostiksi tai ilmoita tietojenkalasteluksi
        • Lohkon lähettäjä
        • Estä lähettäjän toimialue
        • Estä URL-osoite
        • Estä liite
      • Automatisoidun tutkimuksen aloittamisen arvot:
        • Sähköpostin tutkiminen
        • Tutki vastaanottajaa
        • Tutki lähettäjää
        • Yhteyshenkilön vastaanottajat
      • Ehdota korjausta -arvot:
        • Create uusi korjaus
        • Lisää olemassa olevaan korjaukseen
    • Kohde-entiteetti: Esimerkiksi:
      • Sähköpostiviestin verkkoviestin tunnusarvo .
      • Estetty lähettäjän sähköpostiosoite.
      • Estetty lähettäjän toimialue.
      • Estetty URL-osoite.
      • Estetty liite.
    • Vanhentuu: Vain vuokraaja-/salli estetty-luettelon sallittujen tai estettyjen merkintöjen arvot ovat olemassa. Esimerkki:
      • Älä koskaan vanhene lohkomerkinnöissä.
      • Sallittujen tai estettyjen merkintöjen vanhentumispäivämäärä.
    • Laajuus: Tämä arvo on yleensä MDO.

    Tässä vaiheessa voit myös kumota joitakin toimintoja. Jos haluat esimerkiksi luoda lohkomerkinnän vain vuokraajan sallittujen ja estettyjen luetteloon lähettämättä entiteettiä Microsoftille, voit tehdä sen täällä.

    Kun olet valmis Valitse kohdeentiteetit -sivulla, valitse Seuraava.

  3. Tarkista aiemmat valintasi Tarkista ja lähetä -sivulla.

    Valitse Vie , jos haluat viedä kohderesurssit CSV-tiedostoon. Tiedostonimi on oletusarvoisesti Impacted assets.csv sijaitsee Lataukset-kansiossa .

    Palaa takaisin ja muuta valintoja valitsemalla Takaisin .

    Kun olet valmis Tarkista ja lähetä -sivulla, valitse Lähetä.

Vihje

Toimintojen näkyminen liittyvillä sivuilla saattaa kestää kauan, mutta korjausnopeus ei muutu.

Uhkien metsästyskokemus Uhkienhallinnan ja reaaliaikaisten tunnistusten avulla

Threat Explorerin tai reaaliaikaisten tunnistusten avulla tietoturvatiimisi voi tutkia uhkia ja vastata niihin tehokkaasti. Seuraavissa alakohdissa selitetään, miten Threat Explorer ja reaaliaikaiset tunnistimet voivat auttaa sinua löytämään uhkia.

Uhkien metsästys hälytyksistä

Ilmoitukset-sivu on käytettävissä Defender-portaalissa kohdassa Tapaukset & hälytyksiä> tai suoraan osoitteessa .https://security.microsoft.com/alerts

Monissa ilmoituksessa, joiden tunnistuslähteen arvo on MDO On Näytä viestit Resurssienhallinnassa -toiminto käytettävissä ilmoituksen tietojen pikaikkunan yläosassa.

Ilmoitustietojen pikaikkuna avautuu, kun napsautat mitä tahansa muuta ilmoitusta kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua. Esimerkki:

  • Havaittiin mahdollisesti haitallinen URL-osoitteen napsautus
  • Hallinta lähetystulos valmis
  • Haitallisen URL-osoitteen sisältävät sähköpostiviestit poistettiin toimituksen jälkeen
  • Sähköpostiviestit poistettu toimituksen jälkeen
  • Haitallisia entiteettejä sisältäviä viestejä ei poistettu toimituksen jälkeen
  • Tietojen kalastelua ei ole zapped, koska ZAP on poistettu käytöstä

Näyttökuva hälytyksen tietojen pikaikkunan käytettävissä olevista toiminnoista, joiden Tunnistuksen lähde -arvo MDO Defender-portaalin Ilmoitukset-sivulta.

Kun valitset Näytä viestit Resurssienhallinnassa , Uhkien hallinta avautuu Kaikki sähköposti -näkymään, jossa on ominaisuussuodatin Hälytystunnus valittuna ilmoitukselle. Hälytystunnuksen arvo on ilmoituksen yksilöllinen GUID-arvo (esimerkiksi 89e00cdc-4312-7774-6000-08dc33a24419).

Hälytystunnus on suodatettava ominaisuus seuraavissa Uhkien hallinta- ja Reaaliaikaisten tunnistusten näkymissä:

Näissä näkymissä ilmoitustunnus on käytettävissä valittavissa olevana sarakkeena kaavion alapuolella olevalla tietoalueella seuraavissa välilehdissä (näkymissä):

Kun napsautat jonkin merkinnän Aihe-arvoa sähköpostitietojen pikaikkunassa, Ilmoitustunnus-linkki on käytettävissä pikaikkunan Sähköpostitiedot-osiossa. Ilmoitustunnus-linkin valitseminen avaa Näytä ilmoitukset -sivun, https://security.microsoft.com/viewalertsv2 jossa ilmoitus on valittuna, ja tiedot-pikaikkunan ilmoitukselle.

Näyttökuva Näytä ilmoitukset -sivun ilmoitustietojen pikaikkunasta sen jälkeen, kun olet valinnut Ilmoitustunnuksen Sähköposti-välilehden Sähköposti-välilehden Sähköpostiviesti-välilehden Kaikki sähköposti-, Haittaohjelma- tai Tietojenkalastelu -näkymistä Uhkien hallinnassa tai Reaaliaikaiset tunnistuksia -kohdassa.

Tunnisteet Uhkien hallinnassa

Jos merkitset palvelupakettiin Defender for Office 365 2 käyttäjätunnisteita suuren arvon kohdetilien (esimerkiksi Priority-tilitunnisteen) merkitsemiseen, voit käyttää kyseisiä tunnisteita suodattimina. Tämä menetelmä näyttää tietojenkalasteluyritykset, jotka on suunnattu korkean arvon kohdetileihin tietyn ajanjakson aikana. Lisätietoja käyttäjätunnisteista on kohdassa Käyttäjätunnisteet.

Käyttäjätunnisteet ovat käytettävissä seuraavissa Threat Explorerin sijainneissa:

Sähköpostiviestien uhkatiedot

Sähköpostiviestien ennakko- ja jälkitoimitustoiminnot yhdistetään yhdeksi tietueeksi riippumatta siitä, mitkä toimituksen jälkeiset tapahtumat vaikuttivat viestiin. Esimerkki:

Sähköpostin tiedot -pikaikkuna Sähköposti-välilehdestä (näkymä)Kaikki sähköposti-, Haittaohjelma- tai Tietojenkalastelu -näkymistä näyttää liittyvät uhat ja vastaavat sähköpostiviestiin liittyvät tunnistustekniikat. Viestillä voi olla nolla, yksi tai useita uhkia.

  • Toimitustiedot-osiossaTunnistustekniikka-ominaisuus näyttää uhan tunnistaneen tunnistustekniikan. Tunnistustekniikka on myös käytettävissä kaavion pivot-taulukkona tai tietotaulukon sarakkeena monille näkymille Threat Explorerissa ja Reaaliaikaisissa tunnistuksia varten.

  • URL-osoitteet-osiossa näytetään tietyt uhkatiedot kaikista viestin URL-osoitteista. Esimerkiksi Haittaohjelma, Tietojenkalastelu, **Roskaposti tai Ei mitään.

Vihje

Tuomioanalyysi ei välttämättä ole sidottu entiteetteihin. Suodattimet arvioivat sähköpostiviestin sisällön ja muut tiedot ennen tuomion antamista. Esimerkiksi sähköpostiviesti voidaan luokitella tietojenkalasteluksi tai roskapostiksi, mutta viestin URL-osoitteisiin ei ole leimattu tietojenkalastelu- tai roskapostipäätöstä.

Valitse Avaussähköposti-entiteetti pikaikkunan yläreunasta, jotta saat tyhjentäviä tietoja sähköpostiviestistä. Lisätietoja on artikkelissa Microsoft Defender for Office 365 Sähköposti-entiteettisivu.

Näyttökuva sähköpostiviestin tietojen pikaikkunasta, kun olet valinnut Aihe-arvon Tiedot-alueen Sähköposti-välilehdessä Kaikki sähköpostit -näkymässä.

Uhkienhallinnan laajennetut ominaisuudet

Seuraavat aliosat kuvaavat suodattimia, jotka ovat yksinoikeudella Threat Explorerin käytössä.

Exchange-postinkulun säännöt (siirtosäännöt)

Jos haluat etsiä viestejä, joihin Exchange-postinkulun säännöt (joita kutsutaan myös siirtosäännöiksi), sinulla on seuraavat vaihtoehdot Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymissä (ei reaaliaikaisia tunnistuksia):

  • Exchange-siirtosääntö on ensisijaisen ohituslähteen, ohituslähteen ja käytäntötyypin suodatettavien ominaisuuksien valittavissa oleva arvo.
  • Exchange-siirtosääntö on suodatettava ominaisuus. Kirjoitat säännön nimelle osittaisen tekstiarvon.

Lisätietoja on seuraavissa linkeissä:

Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymien Tiedot-alueen Sähköposti-välilehdessä (näkymä) on myös Exchange-siirtosääntö käytettävissä olevana sarakkeena, jota ei ole oletusarvoisesti valittu. Tässä sarakkeessa näkyy siirtosäännön nimi. Lisätietoja on seuraavissa linkeissä:

Vihje

Katso käyttöoikeudet, joita tarvitaan postinkulun sääntöjen etsimiseen nimeltä Threat Explorerissa, artikkelista Uhkienhallinnan ja reaaliaikaisten tunnistusten käyttöoikeudet. Sääntöjen nimien näkemiseen sähköpostitietojen pikaikkunassa, tietotaulukoissa ja viedyissä tuloksissa ei tarvita erityisiä käyttöoikeuksia.

Saapuvat liittimet

Saapuvat liittimet määrittävät tietyt asetukset Microsoft 365:n sähköpostilähteille. Lisätietoja on artikkelissa Postinkulun määrittäminen liittimien avulla Exchange Online.

Voit etsiä viestejä, joihin saapuvat liittimet vaikuttivat, käyttämällä Liittimen suodatettavaa ominaisuutta etsiäksesi liittimiä nimen mukaan Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymistä (ei reaaliaikaisten tunnistusten näkymissä). Anna liittimen nimelle osittainen tekstiarvo. Lisätietoja on seuraavissa linkeissä:

Threat Explorerin Kaikki sähköposti-, Haittaohjelma- ja Tietojenkalastelu -näkymien Tiedot-alueen Sähköposti-välilehdessä (näkymässä) on myös Liitin käytettävissä olevana sarakkeena, jota ei ole oletusarvoisesti valittu. Tässä sarakkeessa näkyy liittimen nimi. Lisätietoja on seuraavissa linkeissä:

Sähköpostin suojausskenaariot Uhkien hallinnassa ja reaaliaikaiset tunnistuksia varten

Katso tarkat skenaariot seuraavista artikkeleista:

Lisää tapoja käyttää Uhkienhallintaa ja reaaliaikaisia tunnistuksia

Tässä artikkelissa kuvattujen skenaarioiden lisäksi sinulla on enemmän vaihtoehtoja Resurssienhallinnassa tai Reaaliaikaiset tunnistukset. Lisätietoja on seuraavissa artikkeleissa: