הדף 'ישות דואר אלקטרוני' ב- Microsoft Defender עבור Office 365
עצה
הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון ב-נסה Microsoft Defender עבור Office 365.
ארגוני Microsoft 365 Microsoft Defender עבור Office 365 במנוי שלהם או שנרכשו כהרחבה כוללים את הדף 'ישות דואר אלקטרוני'. דף ישות הדואר האלקטרוני בפורטל Microsoft Defender מכיל מידע מפורט מאוד אודות הודעת דואר אלקטרוני וישויות קשורות.
מאמר זה מסביר את המידע והפעולות בדף ישות הדואר האלקטרוני.
הרשאות ורישוי עבור הדף 'ישות דואר אלקטרוני'
כדי להשתמש בדף ישות דואר אלקטרוני, עליך להיות מוקצה להרשאות. ההרשאות והרישוי זהים ל- Threat Explorer (Explorer) ולזיהוי בזמן אמת. לקבלת מידע נוסף, ראה הרשאות ורישוי עבור סייר האיומים וזיהויים בזמן אמת.
היכן למצוא את הדף 'ישות דואר אלקטרוני'
אין קישורים ישירים לדף ישות הדואר האלקטרוני מה הרמות המובילות של פורטל Defender. במקום זאת, הפעולה פתח ישות דואר אלקטרוני זמינה בחלק העליון של התפריט הנשלף של פרטי הדואר האלקטרוני בתכונות Defender עבור Office 365 נוספות. תפריט נשלף זה של פרטי דואר אלקטרוני נקרא לוח סיכום דואר אלקטרוני, והוא מכיל קבוצת משנה מסוכמת של המידע בדף ישות דואר אלקטרוני. לוח סיכום הדואר האלקטרוני זהה לתכונות Defender עבור Office 365 אלה. לקבלת מידע נוסף, עיין בסעיף 'לוח סיכום דואר אלקטרוני ' בהמשך מאמר זה.
החלונית 'סיכום דואר אלקטרוני' עם הפעולה 'פתח ישות דואר אלקטרוני' זמינה במיקומים הבאים:
מהדף מתקדם לציד ב https://security.microsoft.com/v2/advanced-hunting: בכרטיסיה תוצאות של שאילתה הקשורה לדואר אלקטרוני, לחץ על הערך NetworkMessageId של ערך בטבלה.
*מהדף 'https://security.microsoft.com/alertsהתראות' ב: לקבלת התראות עם ערך מקור הזיהוי MDO או הערך של שמות מוצרים Microsoft Defender עבור Office 365, בחר את הערך על-ידי לחיצה על הערך של שם ההתראה. בדף פרטי ההתראה שנפתח, בחר את ההודעה במקטע רשימת הודעות.
מהדוח מצב הגנה מפני איומים ב:https://security.microsoft.com/reports/TPSEmailPhishReportATP
- בחר הצג נתונים באמצעות דיוג > בדואר אלקטרוני וכל אחת מהבחירות הזמינות של קיטום תרשים. בטבלת הפרטים מתחת לתרשים, בחר את הערך על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד העמודה הראשונה.
- בחר הצג נתונים לפי תוכנות זדוניות > בדואר אלקטרוני וכל אחת מבחירות התפלגות התרשים הזמינות. בטבלת הפרטים מתחת לתרשים, בחר את הערך על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד העמודה הראשונה.
- בחר הצג נתונים באמצעות דואר זבל > וכל אחת מבחירות התפלגות התרשים הזמינות. בטבלת הפרטים מתחת לתרשים, בחר את הערך על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד העמודה הראשונה.
מהדף Explorer ב- https://security.microsoft.com/threatexplorerv3 (Threat Explorer) או מהדף 'זיהויים בזמן אמת' ב- https://security.microsoft.com/realtimereportsv3. השתמש באחת מהשיטות הבאות:
- בסייר האיומים, > ודא שהתצוגה כל הדואר האלקטרוני נבחרה ודא שהכרטיסיה דואר אלקטרוני (תצוגה) > באזור הפרטים נבחרה, לחץ על הערך נושא בערך.
- בסייר האיומים או בזיהויים בזמן אמת, > בחר בתצוגה תוכנות זדוניות אמת את הכרטיסיה דואר אלקטרוני (תצוגה) > באזור הפרטים נבחרה לחץ על הערך נושא בערך.
- בסייר האיומים או בזיהוי בזמן אמת, > בחר בתצוגת דיוג ודא שהכרטיסיה דואר אלקטרוני (תצוגה) > באזור הפרטים נבחרה, לחץ על הערך נושא בערך.
מהדף אירועים ב- https://security.microsoft.com/incidents: עבור מקרים עם ערך שמות המוצרים Microsoft Defender עבור Office 365, בחר את המקרה על-ידי לחיצה על הערך שם אירוע. בדף פרטי האירוע שנפתח, בחר בכרטיסיה ראיות ותגובות (תצוגה). בכרטיסיה כל הראיות ובערך סוג הישות דואר אלקטרוני או בכרטיסיה הודעות דואר אלקטרוני, בחר את הערך על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון.
מהדף 'העבר להסגרhttps://security.microsoft.com/quarantine' > ב: ודא שהכרטיסיה דואר אלקטרוני נבחרה, בחר ערך על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון.
מהדף 'הגשות' ב:https://security.microsoft.com/reportsubmission
- בחר בכרטיסיה הודעות דואר אלקטרוני > בחר ערך על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון.
- בחר את הכרטיסיה משתמש שדווח>, בחר ערך על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון.
מה נמצא בדף ישות דואר אלקטרוני
חלונית הפרטים בצד הימני של הדף מכילה מקטעים הניתנת לכיווץ עם פרטים אודות ההודעה. מקטעים אלה נשארים קבועים כל עוד אתה נמצא בעמוד. המקטעים הזמינים הם:
המקטע תגיות . הצגת תגיות משתמש (כולל חשבון עדיפות) המוקצות לשולחים או לנמענים. לקבלת מידע נוסף אודות תגיות משתמשים, ראה תגיות משתמש ב- Microsoft Defender עבור Office 365.
המקטע פרטי זיהוי:
איומים מקוריים
מיקום מסירה מקורי:
- התיקיה 'פריטים שנמחקו'
- ירד
- נמסר נכשל
- תיקיית תיבת דואר נכנס
- תיקיית דואר זבל
- חיצוניים
- הסגר
- לא ידוע
האיומים העדכניים ביותר
מיקום המסירה האחרון: מיקום ההודעה לאחר פעולות מערכת בהודעה (לדוגמה, ZAP) או פעולות מנהל מערכת בהודעה (לדוגמה, העבר לפריטים שנמחקו). פעולות משתמש בהודעה (לדוגמה, מחיקה או אחסון בארכיון של ההודעה) אינן מוצגות, כך שערך זה אינו מבטיח את המיקום הנוכחי של ההודעה .
עצה
קיימים תרחישים שבהם מיקום/ המסירה המקורי הואמיקום המסירה העדכני ביותר ו/או פעולת המסירה כוללים את הערך Unknown. לדוגמה:
- ההודעה נמסרה (פעולת המסירה נמסרה ), אך כלל תיבת דואר נכנס העביר את ההודעה לתיקיית ברירת מחדל שאינה תיבת הדואר הנכנס או התיקיה דואר זבל (לדוגמה, התיקיה 'טיוטה' או 'ארכיון').
- ZAP ניסה להעביר את ההודעה לאחר המסירה, אך ההודעה לא נמצאה (לדוגמה, המשתמש העביר או מחק את ההודעה).
טכנולוגיית זיהוי:
- מסנן מתקדם: אותות דיוג המבוססים על למידת מכונה.
- קמפיין: הודעות המזוהות כחלק מקמפיין.
- נצית קובץ: קבצים מצורפים בטוחים איתרו קובץ מצורף זדוני במהלך ניתוח הפעלה.
- מוניטין של נפץ: קבצים מצורפים שזוהו בעבר על-ידי נפץ של קבצים מצורפים בטוחים בארגונים אחרים של Microsoft 365.
- מוניטין קובץ: ההודעה מכילה קובץ שזוהה בעבר כס זדוני בארגונים אחרים של Microsoft 365.
- התאמת טביעת אצבע: ההודעה דומה מאוד להודעה זדונית שזוהתה קודם.
- מסנן כללי: אותות דיוג בהתבסס על כללי אנליסט.
- מותג התחזות: התחזות שולח של מותגים ידועים.
- תחום התחזות: התחזות לתחום השולחים בבעלותך או שציינת להגנה במדיניות למניעת דיוג.
- משתמש התחזות: התחזות לשולחים מוגנים שציינת במדיניות למניעת דיוג או שלמדת באמצעות בינת תיבת דואר.
- התחזות לבינת תיבת דואר: זיהוי התחזות בינה של תיבות דואר במדיניות למניעת דיוג.
- זיהוי ניתוח מעורב: מסננים מרובים נתרמו לפסק הדין של ההודעה.
- התחזות DMARC: ההודעה נכשלה באימות DMARC.
- התחזות לתחום חיצוני: כתובת דואר אלקטרוני של שולח התחזות באמצעות תחום חיצוני לארגון שלך.
- התחזות בתוך הארגון: התחזות של כתובת דואר אלקטרוני של שולח באמצעות תחום פנימי בארגון שלך.
- נפץ של כתובת URL: קישורים בטוחים זיהו כתובת URL זדונית בהודעה במהלך ניתוח פעולות.
- מוניטין של נפץ של כתובת URL: כתובות URL שזוהו בעבר על-ידי נטוני קישורים בטוחים בארגונים אחרים של Microsoft 365.
- מוניטין זדוני של כתובת URL: ההודעה מכילה כתובת URL שזוהתה בעבר כברירת זדונית בארגונים אחרים של Microsoft 365.
פעולת מסירה:
- נמסרה
- דואר זבל
- חסום
עקיפה ראשית : מקור
- ערכים עבור עקיפה ראשית:
- מדיניות ארגונית מותרת
- מדיניות המשתמשים מותרת
- נחסם על-ידי מדיניות הארגון
- נחסם על-ידי מדיניות המשתמש
- ללא
- ערכים עבור מקור עקיפה ראשי:
- מסנן צד שלישי
- מרכז הניהול זמן שהותחלה (ZAP)
- חסימת מדיניות נגד תוכנות זדוניות לפי סוג קובץ
- הגדרות מדיניות נגד תוכנות זדוניות
- מדיניות חיבור
- כלל תעבורה של Exchange
- מצב בלעדי (עקיפת משתמש)
- המערכת דילגה על הסינון עקב ארגון מקומי
- מסנן אזור IP ממדיניות
- מסנן שפה ממדיניות
- הדמיות דיוג
- שחרור ההסגר
- תיבת דואר של SecOps
- רשימת כתובות שולח (מרכז הניהול עקיפה)
- רשימת כתובות שולח (עקיפת משתמש)
- רשימת תחומים של שולח (מרכז הניהול עקיפה)
- רשימת תחומים של שולח (עקיפת משתמש)
- חסימת קבצים של רשימת דיירים
- בלוק כתובת דואר אלקטרוני של שולח של רשימת דיירים המותר/חסום
- חסימת התחזות של רשימת דיירים
- בלוק כתובת URL של רשימת דיירים של התרה/חסימה
- רשימת אנשי קשר מהימנה (עקיפת משתמש)
- תחום מהימן (עקיפת משתמש)
- נמען מהימן (עקיפת משתמש)
- שולחים מהימנים בלבד (עקיפת משתמש)
- ערכים עבור עקיפה ראשית:
מקטע פרטי דואר אלקטרוני:
-
כיוון:
- כניסה
- אינטרא-irg
- יוצאת
- נמען (אל)*
- השולח*
- זמן שהתקבל
-
מזהה הודעת אינטרנט*: זמין בשדה הכותרת 'מזהה הודעה ' בכותרת ההודעה. ערך לדוגמה הוא (שים
<08f1e0f6806a47b4ac103961109ae6ef@server.domain>
לב סוגריים מרובעים זוויתיים). - מזהה הודעת רשת*: ערך GUID הזמין בשדה הכותרת X-MS-Exchange-Organization-Network-Message-Id בכותרת ההודעה.
- מזהה אשכול
- שפה
* הפעולה העתק ללוח זמינה להעתקת הערך.
-
כיוון:
הכרטיסיות (תצוגות) לאורך החלק העליון של הדף מאפשרות לך לחקור דואר אלקטרוני ביעילות. תצוגות אלה מתוארות בסעיףי המשנה הבאים.
תצוגת ציר זמן
התצוגה ציר זמן מציגה את אירועי המסירה ואירועי לאחר המסירה קרתה בהודעה.
פרטי אירוע ההודעה הבאים זמינים בתצוגה. בחר כותרת עמודה כדי למיין לפי עמודה זו. כדי להוסיף או להסיר עמודות, בחר התאם אישית עמודות. כברירת מחדל, כל העמודות הזמינות נבחרות.
- ציר זמן (תאריך/שעה של האירוע)
- מקור: לדוגמה: מערכת, **מרכז הניהול או משתמש.
- סוגי אירועים
- Result
- איומים
- פרטים
אם לא קרה דבר להודעה לאחר המסירה, ההודעה תכלול שורה אחת בלבד בתצוגת ציר זמן עם הערך 'סוגי אירועים' מסירה מקורית. לדוגמה:
- ערך התוצאה הוא התיקיה 'תיבת דואר נכנס' - נמסרה.
- ערך התוצאה הוא התיקיה 'דואר זבל' - מועברת ל'זבל'
- ערך התוצאה הוא העבר להסגר - חסום.
הפעולות הבאות בהודעה על-ידי משתמשים, מנהלי מערכת או Microsoft 365 מוסיפות שורות נוספות לתצוגה. לדוגמה:
- הערך של סוגי האירועים הוא ZAP וערךהתוצאה הוא הודעה שהועברה להסגר על-ידי ZAP.
- הערך של סוגי האירועים הוא הפצה להסגרוערך התוצאה הוא הודעה שוחררה בהצלחה מהסגר.
השתמש בתיבת החיפוש כדי למצוא מידע בדף. הקלד טקסט בתיבה ולאחר מכן הקש על מקש ENTER.
השתמש בייצוא כדי לייצא את הנתונים בתצוגה לקובץ CSV. שם הקובץ המוגדר כברירת מחדל הוא - Microsoft Defender.csv ומיקום ברירת המחדל הוא התיקיה הורדות. אם כבר קיים קובץ בשם זה, שם הקובץ מצורף למספר (לדוגמה, - Microsoft Defender(1).csv).
תצוגת ניתוח
תצוגת הניתוח מכילה מידע שמסייע לך לנתח את ההודעה לעומק. המידע הבא זמין בתצוגה זו:
המקטע פרטי זיהוי איומים: מידע אודות איומים שזוהו בהודעה:
- איומים: האיום הראשי מצוין על-ידי איום ראשי.
- רמת מהימנות: הערכים גבוהים,בינוניים או נמוך.
- הגנה על חשבון עדיפות: הערכים הם 'כן' או ' לא'. לקבלת מידע נוסף, ראה קביעת תצורה וסקירה של הגנה על חשבון עדיפות ב- Microsoft Defender עבור Office 365.
המקטע פרטי זיהוי דואר אלקטרוני: מידע אודות תכונות הגנה או עקיפות שהשפיעו על ההודעה:
כל העקיפות: כל הגדרות הארגון או המשתמש שהייתה אפשרות לשנות את מיקום המסירה המיועד של ההודעה. לדוגמה, אם ההודעה התאימה לכלל זרימת דואר ולערך בלוק ברשימת היתרים/חסימות של דיירים, שתי ההגדרות מפורטות כאן. ערך המאפיין עקיפה ראשית: מקור מזהה את ההגדרה שהשפיעה בפועל על מסירת ההודעה.
עקיפה ראשית: מקור: מציג את הגדרת הארגון או המשתמש שינו את מיקום המסירה המיועד של ההודעה (מותר במקום חסום, או חסום במקום מותר). לדוגמה:
- ההודעה נחסמה על-ידי כלל זרימת דואר.
- ההודעה הותר עקב ערך ברשימת השולחים הבטוחים של המשתמש.
כללי תעבורה של Exchange (כללי זרימת דואר): אם ההודעה הושפעה מכללי זרימת דואר, שמות הכללים ו- GUID vales מוצגים. פעולות הננקטות בהודעות באמצעות כללי זרימת דואר מתרחשות לפני הודעות זבל ופסקי דין של דיוג.
הפעולה העתק ללוח זמינה להעתקת הכלל GUID. לקבלת מידע נוסף אודות כללי זרימת דואר, ראה כללי זרימת דואר (כללי תעבורה) Exchange Online.
הקישור עבור אל מרכז הניהול של Exchange פותח את הדף 'כללים ' במרכז הניהול החדש של Exchange בכתובת https://admin.exchange.microsoft.com/#/transportrules.
מחבר: אם ההודעה נמסרה דרך מחבר נכנס, שם המחבר מוצג. לקבלת מידע נוסף אודות מחברים, ראה קביעת תצורה של זרימת דואר באמצעות מחברים Exchange Online.
רמת תלונה בצובר (BCL): ערך BCL גבוה יותר מציין שההודעה עשויה להיות דואר זבל. לקבלת מידע נוסף, ראה רמת תלונה בצובר (BCL) ב- EOP.
מדיניות: אם סוג מדיניות מופיע כאן (לדוגמה, דואר זבל), בחר קבע תצורה כדי לפתוח את דף המדיניות הקשורה (לדוגמה, הדף 'מדיניות למניעת דואר זבל' ב- https://security.microsoft.com/antispam).
פעולת מדיניות
מזהה התראה: בחר את הערך מזהה התראה כדי לפתוח את דף הפרטים של ההתראה (כאילו מצאת ובחרת את ההתראה מהדף התראות ב- https://security.microsoft.com/alerts). הפעולה העתק ללוח זמינה גם להעתקת הערך של מזהה ההתראה.
סוג מדיניות
סוג לקוח: מציג את סוג הלקוח ששלח את ההודעה (לדוגמה, REST)
גודל דואר אלקטרוני
כללי מניעת אובדן נתונים
המקטע פרטי שולח-נמען : פרטים אודות שולח ההודעה ופרטי נמען מסוימים:
- שם התצוגה של השולח
- כתובת השולח*
- IP של השולח
- שם תחום השולח*
- תאריך יצירת תחום: תחום שנוצר לאחרונה וארות הודעות אחרים יכולים לזהות את ההודעה כחשודה.
- בעלים של תחום
- כתובת 'דואר משולח'*
- שולח דואר משם תחום*
- נתיב החזרה
- תחום של נתיב החזרה
- מקום
- תחום נמען*
- אל: הצגת 5,000 התווים הראשונים של כל כתובת דואר אלקטרוני בשדה אל של ההודעה.
- עותק: מציג את 5,000 התווים הראשונים של כל כתובת דואר אלקטרוני בשדה עותק של ההודעה.
- רשימת תפוצה: הצגת קבוצת התפוצה (רשימת תפוצה) אם הנמען קיבל את הודעת הדואר האלקטרוני כחבר ברשימה. קבוצת התפוצה ברמה העליונה מוצגת עבור קבוצות תפוצה מקוננות.
- העברה: מציין אם ההודעה הועברה באופן אוטומטי אל כתובת דואר אלקטרוני חיצונית. משתמש ההעברה וסוג ההעברה מוצגים (כללי זרימת דואר, כללי תיבת דואר נכנס או העברת SMTP).
* הפעולה העתק ללוח זמינה להעתקת הערך.
סעיף אימות: פרטים אודות תוצאות אימות דואר אלקטרוני:
-
אימות הודעות מבוסס-תחום (DMARC)
-
Pass
: בדיקת DMARC עבור ההודעה הועברה. -
Fail
: בדיקת DMARC עבור ההודעה נכשלה. -
BestGuessPass
: רשומת ה- TXT DMARC עבור התחום אינה עושה זאת, אך אם רשומה קיימת, בדיקת DMARC עבור ההודעה הייתה חלפה. - ללא: מציין שלא קיימת רשומת TXT של DMARC עבור התחום השולח ב- DNS.
-
-
דואר מזוהה של DomainKeys (DKIM): הערכים הם:
-
Pass
: בדיקת DKIM עבור ההודעה הועברה. -
Fail (reason)
: בדיקת DKIM עבור ההודעה נכשלה. לדוגמה, ההודעה לא נחתמה על-ידי DKIM או שהחתימה של DKIM לא אומתה. -
None
: ההודעה לא נחתמה על-ידי DKIM. תוצאה זו עשויה להצביע או לא להצביע על כך שלתחום יש רשומת DKIM, או כי רשומת ה- DKIM אינה מוערכת כתוצאה. תוצאה זו מציינת רק שהודעה זו לא נחתמה.
-
-
מסגרת מדיניות שולח (SPF): הערכים הם:
-
Pass (IP address)
: בדיקת ה- SPF מצאה שמקור ההודעה חוקי עבור התחום. -
Fail (IP address)
: בדיקת ה- SPF מצאה שמקור ההודעה אינו חוקי עבור התחום, וכלל האכיפה ברשומת ה- SPF-all
(כשל קשיח). -
SoftFail (reason)
: בדיקת ה- SPF מצאה שמקור ההודעה אינו חוקי עבור התחום, וכלל האכיפה ברשומת ה- SPF~all
הוא (כשל רך). -
Neutral
: בדיקת ה- SPF מצאה שמקור ההודעה אינו חוקי עבור התחום, וכלל האכיפה ברשומת ה- SPF הוא?all
(ניטראלי). -
None
: התחום אינו כולל רשומת SPF, או אם רשומת ה- SPF אינה מוערכת כתוצאה. -
TempError
: בדיקת ה- SPF נתקלה בשגיאה זמנית (לדוגמה, שגיאת DNS). אותה בדיקה מאוחר יותר עשויה להצליח. -
PermError
: בדיקת ה- SPF נתקלה בשגיאה קבועה. לדוגמה, לתחום יש רשומת SPF בתבנית שגויה.
-
- אימות מורכב: SPF, DKIM, DMARC ומידע אחר קובע אם שולח ההודעה (כתובת 'מ') הוא מקורי. לקבלת מידע נוסף, ראה אימות מורכב.
-
אימות הודעות מבוסס-תחום (DMARC)
מקטע ישויות קשורות : מידע אודות קבצים מצורפים וכתובות URL בהודעה:
- ישות: בחירת קבצים מצורפים או כתובות URL מעבירה אותך לתצוגה קבצים מצורפים או לתצוגת כתובת ה- URL של דף ישות הדואר האלקטרוני עבור ההודעה.
- ספירה כוללת
- נמצאו איומים: הערכים הם כן אולא.
אזור פרטי ההודעה:
- הכרטיסיה כותרת דואר אלקטרוני בטקסט רגיל: מכילה את כותרת ההודעה כולה בטקסט רגיל. בחר העתק כותרת הודעה כדי להעתיק את כותרת ההודעה. בחר מנתח כותרות הודעות של Microsoft כדי לפתוח את מנתח כותרות ההודעות ב- https://mha.azurewebsites.net/pages/mha.html. הדבק את כותרת ההודעה שהועתקה בעמוד ולאחר מכן בחר נתח כותרות עליונות לקבלת פרטים אודות כותרות ההודעה והערכים.
- הכרטיסיה 'אל': הצגת 5,000 התווים הראשונים של כל כתובת דואר אלקטרוני בשדה אל של ההודעה.
- הכרטיסיה עותק : מציגה את 5,000 התווים הראשונים של כל כתובת דואר אלקטרוני בשדה עותק של ההודעה.
תצוגת קבצים מצורפים
התצוגה קבצים מצורפים מציגה מידע אודות כל הקבצים המצורפים בהודעה, ואת תוצאות הסריקה של קבצים מצורפים אלה.
פרטי הקובץ המצורף הבאים זמינים בתצוגה זו. בחר כותרת עמודה כדי למיין לפי עמודה זו. כדי להוסיף או להסיר עמודות, בחר התאם אישית עמודות. כברירת מחדל, כל העמודות הזמינות נבחרות.
- שם קובץ מצורף: אם תלחץ על ערך שם הקובץ
- סוג קובץ
- גודל קובץ
- סיומת קובץ
- איום
- משפחת תוכנות זדוניות
- קובץ מצורף SHA256: הפעולה 'העתק ללוח' זמינה להעתקת הערך SHA256.
- פרטים
השתמש בתיבת החיפוש כדי למצוא מידע בדף. הקלד טקסט בתיבה ולאחר מכן הקש על מקש ENTER.
השתמש בייצוא כדי לייצא את הנתונים בתצוגה לקובץ CSV. שם הקובץ המוגדר כברירת מחדל הוא - Microsoft Defender.csv ומיקום ברירת המחדל הוא התיקיה הורדות. אם כבר קיים קובץ בשם זה, שם הקובץ מצורף למספר (לדוגמה, - Microsoft Defender(1).csv).
פרטי קובץ מצורף
אם תבחר ערך בתצוגה קבצים מצורפים על-ידי לחיצה על ערך שם הקובץ המצורף, ייפתח תפריט נשלף של פרטים המכיל את המידע הבא:
הכרטיסיה 'ניתוח עמוק': מידע זמין בכרטיסיה זו אם קבצים מצורפים בטוחים סרקו ( הפעילו) את הקובץ המצורף. באפשרותך לזהות הודעות אלה ב- Threat Explorer על-ידי שימוש בטכנולוגיית הזיהוי של מסנן השאילתות עם הערך 'נפץ קובץ'.
מקטע שרשרת נפץ : הפעלה של קבצים מצורפים בטוחים של קובץ יחיד יכולה להפעיל ריבוי פעולות. שרשרת הנציצית עוקבת אחר נתיב הנציונות, כולל הקובץ הזדון המקורי שגרם לקריסה, וכל הקבצים האחרים שהושפעו מההת נפץ. ייתכן שקבצים מצורפים אלה לא נמצאים ישירות בדואר האלקטרוני. עם זאת, כולל הניתוח חשוב לקבוע מדוע הקובץ נמצא זדוני.
אם אין מידע זמין אודות שרשרת הנ נפץ, הערך לא מוצג עץ נפץ. אחרת, באפשרותך לבחור ייצוא כדי להוריד את המידע של שרשרת הנ נפץ לקובץ CSV. שם הקובץ המוגדר כברירת מחדל הוא 'chain.csv' ומיקום ברירת המחדל הוא התיקיה 'הורדות '. אם כבר קיים קובץ בשם זה, שם הקובץ מצורף למספר (לדוגמה, שרשרת נפץ (1).csv). קובץ ה- CSV מכיל את המידע הבא:
- למעלה: הקובץ ברמה העליונה.
- רמה 1: קובץ הרמה הבאה.
- רמה2: קובץ הרמה הבאה.
- וכן הלאה.
שרשרת הנופים וקובץ ה- CSV עשויים להציג רק את הפריט ברמה העליונה אם אף אחת מהישויות המקושרות אליה לא נמצאה כבעיה או שהופצה.
מקטע סיכום: אם אין מידע זמין אודות סיכום ניוון, מוצג סיכום הערך ללא tonation. אחרת, המידע של סיכום הפריטים הבאים זמין:
- זמן ניתוח
- גזר הדין: גזר הדין על הקובץ המצורף עצמו.
- מידע נוסף: גודל הקובץ בבתים.
- מחווני פשרה
המקטע 'צילומי מסך': הצג צילומי מסך שנלכדו במהלך הפיסוק. לא נלכדו צילומי מסך עבור קבצי גורם מכיל כגון ZIP או RAR המכילים קבצים אחרים.
אם אין צילומי מסך זמינים של נפץ, הערך ללא צילומי מסך להצגה מוצג. אחרת, בחר את הקישור כדי להציג את צילום המסך.
מקטע פרטי אופן פעולה: מציג את האירועים המדויקים שבוצעו במהלך הפעולה, ותצפיות בעייתיות או פתטיות המכילות כתובות URL, כתובות IP, תחומים וקבצים שנמצאו במהלך הפעולה. ייתכן שלא יהיו פרטי אופן פעולה עבור קבצי גורם מכיל כגון ZIP או RAR המכילים קבצים אחרים.
אם לא קיימים פרטי אופן פעולה זמינים, הערך לא מוצגים אופני פעולה של הפעולה. אחרת, באפשרותך לבחור ייצוא כדי להוריד את פרטי אופן הפעולה לקובץ CSV. שם הקובץ המהווה ברירת מחדל details.csv התנהגות ומיקום ברירת המחדל הוא התיקיה הורדות. אם כבר קיים קובץ בשם זה, שם הקובץ מצורף למספר (לדוגמה, פרטי אופן פעולה(1).csv). קובץ ה- CSV מכיל את המידע הבא:
- שעה
- התנהגות
- מאפיין אופן פעולה
- תהליך (PID)
- מבצע
- Target
- פרטים
- Result
הכרטיסיה פרטי קובץ: המקטע פרטי קובץ מכיל את המידע הבא:
- שם קובץ
- עדי תם
- גודל קובץ (בבתים)
לאחר שתסיים את התפריט הנשלף של פרטי הקובץ, בחר סגור.
חסימת קבצים מצורפים בתצוגה 'קבצים מצורפים'
אם תבחר ערך בתצוגה קבצים מצורפים על-ידי בחירה בתיבת הסימון לצד שם הקובץ, הפעולה חסום תהיה זמינה. פעולה זו מוסיפה את הקובץ כערך בלוק ברשימת הדיירים אפשר/חסום. בחירה באפשרות חסום מפעילה את אשף 'בצע פעולה ':
בדף בחירת פעולות , קבע את התצורה של אחת מההגדרות הבאות במקטע חסום קובץ :
- לעולם לא יפוג ב: זהו ערך ברירת המחדל .
- לעולם לא יפוג תוקפו: החלק את הלחצן הדו-מצבי למצב כבוי ולאחר מכן בחר תאריך בתיבה הסר מופעל.
לאחר שתסיים בדף בחירת פעולות , בחר הבא.
בדף בחירת ישויות יעד , ודא שהקובץ שברצונך לחסום נבחר ולאחר מכן בחר הבא.
בדף סקירה ושליחה , קבע את תצורת ההגדרות הבאות:
- שם תיקון: הזן שם ייחודי כדי לעקוב אחר המצב במרכז הפעולות.
- תיאור: הזן תיאור אופציונלי.
לאחר שתסיים בדף סקירה ושליחה , בחר שלח.
תצוגת כתובת URL
תצוגת כתובת ה- URL מציגה מידע אודות כל כתובות ה- URL בהודעה ואת תוצאות הסריקה של כתובות URL אלה.
פרטי הקובץ המצורף הבאים זמינים בתצוגה זו. בחר כותרת עמודה כדי למיין לפי עמודה זו. כדי להוסיף או להסיר עמודות, בחר התאם אישית עמודות. כברירת מחדל, כל העמודות הזמינות נבחרות.
- כתובת URL
- איום
- Source
- פרטים
השתמש בתיבת החיפוש כדי למצוא מידע בדף. הקלד טקסט בתיבה ולאחר מכן הקש על מקש ENTER.
השתמש בייצוא כדי לייצא את הנתונים בתצוגה לקובץ CSV. שם הקובץ המוגדר כברירת מחדל הוא - Microsoft Defender.csv ומיקום ברירת המחדל הוא התיקיה הורדות. אם כבר קיים קובץ בשם זה, שם הקובץ מצורף למספר (לדוגמה, - Microsoft Defender(1).csv).
פרטי כתובת URL
אם תבחר ערך בתצוגת כתובת ה- URL על-ידי לחיצה על ערך כתובת ה- URL , ייפתח תפריט נשלף של פרטים המכיל את המידע הבא:
הכרטיסיה 'ניתוח עמוק': מידע זמין בכרטיסיה זו אם קישורים בטוחים סרקו (הפעילו) את כתובת ה- URL. באפשרותך לזהות הודעות אלה ב- Threat Explorer על-ידי שימוש בטכנולוגיית הזיהוי של מסנן השאילתות עם נפץ של כתובת ה- URL של הערך.
מקטע שרשרת נפץ : הפעלה של קישורים בטוחים של כתובת URL אחת יכולה להפעיל ריבוי פעולות. שרשרת הנ נפץ עוקבת אחר נתיב הה נפץ, כולל כתובת ה- URL הזדון המקורית שגרמה לקריסה, וכל שאר כתובות ה- URL המושפעות מההת נפץ. ייתכן שכתובות URL אלה לא נמצאות ישירות בהודעת הדואר האלקטרוני. עם זאת, כולל הניתוח חשוב לקבוע מדוע כתובת ה- URL נמצאה זדונית.
אם אין מידע זמין אודות שרשרת הנ נפץ, הערך לא מוצג עץ נפץ. אחרת, באפשרותך לבחור ייצוא כדי להוריד את המידע של שרשרת הנ נפץ לקובץ CSV. שם הקובץ המוגדר כברירת מחדל הוא 'chain.csv' ומיקום ברירת המחדל הוא התיקיה 'הורדות '. אם כבר קיים קובץ בשם זה, שם הקובץ מצורף למספר (לדוגמה, שרשרת נפץ (1).csv). קובץ ה- CSV מכיל את המידע הבא:
- למעלה: הקובץ ברמה העליונה.
- רמה 1: קובץ הרמה הבאה.
- רמה2: קובץ הרמה הבאה.
- וכן הלאה.
שרשרת הנופים וקובץ ה- CSV עשויים להציג רק את הפריט ברמה העליונה אם אף אחת מהישויות המקושרות אליה לא נמצאה כבעיה או שהופצה.
מקטע סיכום: אם אין מידע זמין אודות סיכום ניוון, מוצג סיכום הערך ללא tonation. אחרת, המידע של סיכום הפריטים הבאים זמין:
- זמן ניתוח
- גזר הדין: גזר הדין בכתובת ה- URL עצמה.
המקטע 'צילומי מסך': הצג צילומי מסך שנלכדו במהלך הפיסוק. לא נלכדים צילומי מסך אם כתובת ה- URL נפתחת בקישור שמוריד קובץ ישירות. עם זאת, תוכל לראות את הקובץ שהורדת בשרשרת ההורדה.
אם אין צילומי מסך זמינים של נפץ, הערך ללא צילומי מסך להצגה מוצג. אחרת, בחר את הקישור כדי להציג את צילום המסך.
מקטע פרטי אופן פעולה: מציג את האירועים המדויקים שבוצעו במהלך הפעולה, ותצפיות בעייתיות או פתטיות המכילות כתובות URL, כתובות IP, תחומים וקבצים שנמצאו במהלך הפעולה.
אם לא קיימים פרטי אופן פעולה זמינים, הערך לא מוצגים אופני פעולה של הפעולה. אחרת, באפשרותך לבחור ייצוא כדי להוריד את פרטי אופן הפעולה לקובץ CSV. שם הקובץ המהווה ברירת מחדל details.csv התנהגות ומיקום ברירת המחדל הוא התיקיה הורדות. אם כבר קיים קובץ בשם זה, שם הקובץ מצורף למספר (לדוגמה, פרטי אופן פעולה(1).csv). קובץ ה- CSV מכיל את המידע הבא:
- שעה
- התנהגות
- מאפיין אופן פעולה
- תהליך (PID)
- מבצע
- Target
- פרטים
- Result
הכרטיסיה פרטי כתובת URL: המקטע פרטי כתובת URL מכיל את המידע הבא:
- כתובת URL
- איום
לאחר שתסיים את התפריט הנשלף של פרטי הקובץ, בחר סגור.
חסימת כתובות URL בתצוגת כתובת URL
אם תבחר ערך בתצוגת כתובת ה- URL על-ידי בחירה בתיבת הסימון לצד שם הקובץ, הפעולה חסום תהיה זמינה. פעולה זו מוסיפה את כתובת ה- URL כערך בלוק ברשימת החסימה/החסימה של הדייר. בחירה באפשרות חסום מפעילה את אשף 'בצע פעולה ':
בדף בחירת פעולות, קבע את התצורה של אחת מההגדרות הבאות במקטע כתובת URL של בלוק:
- לעולם לא יפוג ב: זהו ערך ברירת המחדל .
- לעולם לא יפוג תוקפו: החלק את הלחצן הדו-מצבי למצב כבוי ולאחר מכן בחר תאריך בתיבה הסר מופעל.
לאחר שתסיים בדף בחירת פעולות , בחר הבא.
בדף בחירת ישויות יעד , ודא שכתובת ה- URL שברצונך לחסום נבחרה ולאחר מכן בחר הבא.
בדף סקירה ושליחה , קבע את תצורת ההגדרות הבאות:
- שם תיקון: הזן שם ייחודי כדי לעקוב אחר המצב במרכז הפעולות.
- תיאור: הזן תיאור אופציונלי.
לאחר שתסיים בדף סקירה ושליחה , בחר שלח.
תצוגה דומה של הודעות דואר אלקטרוני
התצוגה הודעות דואר אלקטרוני דומות מציגה הודעות דואר אלקטרוני אחרות הכוללות את אותה טביעת אצבע של גוף ההודעה כמו להודעה זו. קריטריונים תואמים בהודעות אחרות אינם חלים על תצוגה זו (לדוגמה, טביעות אצבע של קבצים מצורפים).
פרטי הקובץ המצורף הבאים זמינים בתצוגה זו. בחר כותרת עמודה כדי למיין לפי עמודה זו. כדי להוסיף או להסיר עמודות, בחר התאם אישית עמודות. כברירת מחדל, כל העמודות הזמינות נבחרות.
- תאריך
- נושא
- נמען
- השולח
- IP של השולח
- לעקוף
- פעולת מסירה
- מיקום מסירה
השתמש במסנן כדי לסנן את הערכים לפי תאריך התחלהותאריך סיום.
השתמש בתיבת החיפוש כדי למצוא מידע בדף. הקלד טקסט בתיבה ולאחר מכן הקש על מקש ENTER.
השתמש בייצוא כדי לייצא את הנתונים בתצוגה לקובץ CSV. שם הקובץ המוגדר כברירת מחדל הוא - Microsoft Defender.csv ומיקום ברירת המחדל הוא התיקיה הורדות. אם כבר קיים קובץ בשם זה, שם הקובץ מצורף למספר (לדוגמה, - Microsoft Defender(1).csv).
פעולות בדף ישות הדואר האלקטרוני
הפעולות הבאות זמינות בחלק העליון של דף ישות הדואר האלקטרוני:
- נ לבצע פעולה: לקבלת מידע, ראה ציד איומים: אשף הפעולה 'בצע פעולה'.
- תצוגה מקדימה של דואר אלקטרוני¹ ²
-
אפשרויות נוספות:
עבור אל דואר אלקטרוני בהסגר: זמין רק אם ההודעה הועברה להסגר. בחירה בפעולה זו פותחת את הכרטיסיה דואר אלקטרוני https://security.microsoft.com/quarantineבדף ההסגר ב- , מסונן לפי הערך הייחודי של מזהה ההודעה של ההודעה. לקבלת מידע נוסף, ראה הצגת דואר אלקטרוני בהסגר.
הורדת דואר אלקטרוני¹ ²
עצה
הורדת דואר אלקטרוני אינה זמינה עבור הודעות שהועברו להסגר. במקום זאת, הורד עותק המוגן באמצעות סיסמה של ההודעה מהסגר.
¹ הפעולות 'תצוגה מקדימה של דואראלקטרוני' ו'הורד דואר אלקטרוני' דורשות את התפקיד 'תצוגה מקדימה '. באפשרותך להקצות תפקיד זה במיקומים הבאים:
- Microsoft Defender XDR בקרת גישה מבוססת תפקיד מאוחד (RBAC) (אם ההרשאות 'שיתוף פעולה &> דואר אלקטרוני Defender עבור Office 365 פעילות'. משפיע על פורטל Defender בלבד, לא על PowerShell): פעולות אבטחה/נתונים גולמיים (שיתוף & דואר אלקטרוני)/דואר & תוכן שיתוף פעולה (נקרא).
- שלח & אלקטרוני להרשאות שיתוף פעולה בפורטל Microsoft Defender: חברות בקבוצות התפקידים חוקר נתונים או מנהל גילוי אלקטרוני. לחלופין, באפשרותך ליצור קבוצת תפקידים חדשה שהוקצה לה תפקיד Preview ולהוסיף את המשתמשים לקבוצת התפקידים המותאמת אישית.
² באפשרותך להציג בתצוגה מקדימה או להוריד הודעות דואר אלקטרוני הזמינות בתיבות דואר של Microsoft 365. דוגמאות למצבים שבהם הודעות אינן זמינות עוד בתיבות דואר כוללות:
- ההודעה בוטלה לפני המסירה או המסירה נכשלה.
- ההודעה נמחקה באופן קשיח.
- ההודעה כוללת מיקום מסירה של מקומי/חיצוני.
- ZAP העביר את ההודעה להסגר.
לוח הסיכום 'דואר אלקטרוני'
החלונית 'סיכום דואר אלקטרוני' היא התפריט הנשלף של פרטי דואר אלקטרוני, הזמין בתכונות רבות ב- Exchange Online Protection (EOP) וב- Defender עבור Office 365. החלונית 'סיכום דואר אלקטרוני' מכילה מידע סיכום סטנדרטי אודות הודעת הדואר האלקטרוני הנלקחת מהפרטים המלאים הזמינים בדף ישות הדואר האלקטרוני Defender עבור Office 365.
היכן ניתן למצוא את לוח סיכום הדואר האלקטרוני מתואר בסעיף היכן למצוא את הדף ישות דואר אלקטרוני מוקדם יותר במאמר זה. שאר הסעיף מתאר את המידע הזמין בלוח הסיכום 'דואר אלקטרוני' בכל התכונות.
עצה
החלונית 'סיכום דואר אלקטרוני' זמינה מהדף 'מרכז הפעולות ' בכרטיסיה https://security.microsoft.com/action-center/'ממתין'או 'היסטוריה '. בחר פעולה עם ערך סוג הישות דואר אלקטרוני על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון או הערך 'מזהה חקירה '. התפריט הנשלף של הפרטים שנפתח הוא לוח סיכום הדואר האלקטרוני, אך ישות דואר אלקטרוני פתוחה אינה זמינה בחלק העליון של התפריט הנשלף.
פרטי ההודעה הבאים זמינים בחלק העליון של לוח סיכום הדואר האלקטרוני:
- כותרת התפריט הנשלף היא ערך הנושא של ההודעה.
- מספר הקבצים המצורפים והקישורים בהודעה (לא קיימים בכל התכונות).
- כל תגי המשתמשים המוקצים לנמעני ההודעה (כולל התגית של חשבון העדיפות). לקבלת מידע נוסף, ראה תגיות משתמש ב- Microsoft Defender עבור Office 365
- הפעולות הזמינות בחלק העליון של התפריט הנשלף תלויות במקום שבו פתחת את לוח סיכום הדואר האלקטרוני. הפעולות הזמינות מתוארות במאמרי התכונות הבודדים.
עצה
כדי לראות פרטים על הודעות אחרות מבלי לצאת מלוח סיכום הדואר האלקטרוני של ההודעה הנוכחית, השתמש בפריט הקודם ובפריט הבא בחלק העליון של התפריט הנשלף.
הסעיפים הבאים זמינים בלוח סיכום דואר אלקטרוני עבור כל התכונות (אין זה משנה מהיכן פתחת את לוח הסיכום של הדואר האלקטרוני):
המקטע פרטי מסירה :
- איומים מקוריים
- האיומים העדכניים ביותר
- מיקום מקורי
- מיקום המסירה האחרון
- פעולת מסירה
- טכנולוגיות זיהוי
- עקיפה ראשית : מקור
מקטע פרטי דואר אלקטרוני:
- שם התצוגה של השולח
- כתובת השולח
- שולח דואר אלקטרוני מכתובת
- נשלח בשם
- נתיב החזרה
- IP של השולח
- מקום
- נמענים
- זמן שהתקבל
- כיווונים
- מזהה הודעת רשת
- מזהה הודעה באינטרנט
- מזהה קמפיין
- DMARC
- DKIM (מחשב DKIM)
- SPF (PF)
- אימות מורכב
מקטע כתובות URL: פרטים אודות כתובות URL כלשהן בהודעה:
- כתובת URL
- מצב איום
אם ההודעה כוללת יותר משלוש כתובות URL, בחר הצג את כל כתובות ה- URL כדי לראות את כולן.
מקטע קבצים מצורפים: פרטים אודות קבצים מצורפים בהודעה:
- שם קובץ מצורף
- איום
- זיהוי טכנולוגיה / משפחת תוכנות זדוניות
אם ההודעה כוללת יותר משלושה קבצים מצורפים, בחר הצג את כל הקבצים המצורפים כדי לראות את כולם.