Megosztás a következőn keresztül:


A Office 365-höz készült Microsoft Defender Email entitáslapja

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.

Azok a Microsoft 365-szervezetek, amelyek Office 365-höz készült Microsoft Defender szerepelnek az előfizetésükben, vagy bővítményként vásároltak, rendelkeznek az Email entitáslaplal. A Microsoft Defender portál Email entitásoldala részletes információkat tartalmaz az e-mailekről és a kapcsolódó entitásokról.

Ez a cikk a Email entitás oldalán található információkat és műveleteket ismerteti.

Az Email entitáslap engedélyei és licencelése

Az Email entitáslap használatához engedélyeket kell hozzárendelnie. Az engedélyek és a licencelés megegyezik a Fenyegetéskezelővel (Explorer) és a valós idejű észlelésekkel. További információ: A Fenyegetéskezelő engedélyei és licencelése és a valós idejű észlelések.

Az Email entitáslap megkeresésének helye

Nincsenek közvetlen hivatkozások az Email entitáslapra a Defender portál felső szintjeiről. Ehelyett az E-mail-entitás megnyitása művelet számos Office 365-höz készült Defender funkcióban elérhető az e-mail részletei úszó panel tetején. Ez az e-mail részletei úszó panel az Email összefoglaló panel, amely az Email entitáslapon található információk összegzett részhalmazát tartalmazza. Az e-mail-összefoglaló panel Office 365-höz készült Defender funkciókban azonos. További információt a Email összegző panel című szakaszában talál a cikk későbbi részében.

A Email e-mail-entitás megnyitása művelettel rendelkező összegző panel az alábbi helyeken érhető el:

  • A Speciális veszélyforrás-keresés oldalon https://security.microsoft.com/v2/advanced-hunting: Az e-mailhez kapcsolódó lekérdezés Eredmények lapján kattintson a táblázat egyik bejegyzésének NetworkMessageId értékére.

  • *A Riasztások laponhttps://security.microsoft.com/alerts: Az Észlelés forrásértékévelMDO vagy a TerméknevekOffice 365-höz készült Microsoft Defender riasztások esetén a Riasztásnév értékre kattintva jelölje ki a bejegyzést. A megnyíló riasztás részletei lapon válassza ki az üzenetet az Üzenetek lista szakaszban.

  • A Veszélyforrások elleni védelem állapotjelentésében:https://security.microsoft.com/reports/TPSEmailPhishReportATP

    • Válassza az Adatok megtekintése Email > Adathalászat és az elérhető diagramlebontási lehetőségek közül. A diagram alatti részletes táblázatban jelölje ki a bejegyzést úgy, hogy az első oszlop melletti jelölőnégyzeten kívül bárhová kattint.
    • Válassza az Adatok megtekintése Email > Kártevők és az elérhető diagramlebontási lehetőségek közül. A diagram alatti részletes táblázatban jelölje ki a bejegyzést úgy, hogy az első oszlop melletti jelölőnégyzeten kívül bárhová kattint.
    • Válassza az Adatok megtekintése Email > Levélszemét és az elérhető diagramlebontási lehetőségek közül. A diagram alatti részletes táblázatban jelölje ki a bejegyzést úgy, hogy az első oszlop melletti jelölőnégyzeten kívül bárhová kattint.
  • Az Explorer (Threat Explorer) oldaláról https://security.microsoft.com/threatexplorerv3 vagy a valós idejű észlelések oldaláról a következő címen: https://security.microsoft.com/realtimereportsv3. Használja az alábbi módszerek egyikét:

    • A Veszélyforrás-kezelőben ellenőrizze, hogy a Minden e-mail nézet van-e kiválasztva>, és ellenőrizze, hogy a részletek területen lévő Email lap (nézet) van-e kiválasztva>, kattintson egy bejegyzés Tárgy értékére.
    • A Fenyegetéskezelőben vagy a Valós idejű észlelések területen válassza a Kártevő nézetet>, és ellenőrizze, hogy a részletek területen lévő Email lap (nézet) ki van-e jelölve>, kattintson egy bejegyzés Tárgy értékére.
    • A Fenyegetéskezelőben vagy a Valós idejű észlelések területen válassza az Adathalász nézetet > annak ellenőrzéséhez, hogy a részletek területen lévő Email lap (nézet) ki van-e jelölve>, kattintson egy bejegyzés Tárgy értékére.
  • Az Incidensek laponhttps://security.microsoft.com/incidents: A TerméknevekOffice 365-höz készült Microsoft Defender értékkel rendelkező incidensek esetén válassza ki az incidenst az Incidens neve értékre kattintva. A megnyíló incidens részletei lapon válassza a Bizonyítékok és válaszok lapot (nézet). Az Összes bizonyíték lapon és az Entitás típusamezőben Email vagy az E-mailek lapon jelölje ki a bejegyzést úgy, hogy a jelölőnégyzeten kívül a sor bármely pontjára kattint.

  • A Karantén lapon https://security.microsoft.com/quarantineellenőrizze, hogy a Email lap van-e kiválasztva>, jelölje ki a bejegyzést úgy, hogy a jelölőnégyzeten kívül a sor bármely pontjára kattint.

  • A Beküldések oldalon:https://security.microsoft.com/reportsubmission

    • Az E-mailek lapon > jelöljön ki egy bejegyzést úgy, hogy a jelölőnégyzeten kívül bárhová kattint a sorban.
    • Jelölje be a Felhasználó jelentett lapfület > , és a jelölőnégyzeten kívül a sor tetszőleges pontjára kattintva jelöljön ki egy bejegyzést.

Az Email entitáslap tartalma

Képernyőkép a Email entitás oldaláról, amelyen az elérhető részletek panel és fülek láthatók.

A lap bal oldalán található részletek panel összecsukható szakaszokat tartalmaz az üzenet részleteivel. Ezek a szakaszok mindaddig állandóak maradnak, amíg ön az oldalon van. Az elérhető szakaszok a következők:

  • Címkék szakasz. Megjeleníti a feladókhoz vagy címzettekhez rendelt felhasználói címkéket (beleértve a prioritási fiókot is). További információ a felhasználói címkékről: Felhasználói címkék a Office 365-höz készült Microsoft Defender.

  • Észlelés részletei szakasz:

    • Eredeti fenyegetések

    • Eredeti kézbesítési hely:

      • Törölt elemek mappa
      • Csökkent
      • Nem sikerült kézbesíteni
      • Beérkezett üzenetek mappa
      • Levélszemét Email mappa
      • Külső
      • Karantén
      • Ismeretlen
    • Legújabb fenyegetések

    • Legutóbbi kézbesítési hely: Az üzenet helye az üzenet rendszerműveletei (például ZAP) vagy az üzenet rendszergazdai műveletei (például Áthelyezés törölt elemekre) után. Az üzenet felhasználói műveletei (például az üzenet törlése vagy archiválása) nem jelennek meg, így ez az érték nem garantálja az üzenet aktuális helyét .

      Tipp

      Vannak olyan forgatókönyvek, amikor az Eredeti kézbesítési helyLegutóbbi kézbesítési hely/ és/vagy Kézbesítési műveletértéke Ismeretlen. Például:

      • Az üzenet kézbesítése megtörtént (a kézbesítési műveletkézbesítve), de egy Beérkezett üzenetek szabály az üzenetet nem a Beérkezett üzenetek vagy a Levélszemét Email mappába (például a Piszkozat vagy az Archív mappába) helyezte át.
      • A ZAP megpróbálta áthelyezni az üzenetet a kézbesítés után, de az üzenet nem található (például a felhasználó áthelyezte vagy törölte az üzenetet).
    • Észlelési technológia:

      • Speciális szűrő: Gépi tanuláson alapuló adathalász jelek.
      • Kampány: A kampány részeként azonosított üzenetek.
      • Fájl detonációja: A biztonságos mellékletek kártékony mellékletet észleltek a detonáció elemzése során.
      • Fájl detonációval kapcsolatos hírnév: Más Microsoft 365-ös szervezetekben korábban a Biztonságos mellékletek detonációk által észlelt fájlmellékletek.
      • Fájlhírnév: Az üzenet olyan fájlt tartalmaz, amelyet korábban más Microsoft 365-szervezetekben rosszindulatúként azonosítottak.
      • Ujjlenyomat-egyeztetés: Az üzenet nagyon hasonlít egy korábban észlelt kártékony üzenetre.
      • Általános szűrő: Adathalászati jelek az elemzői szabályok alapján.
      • Megszemélyesítési márka: A jól ismert márkák feladói megszemélyesítése.
      • Megszemélyesítési tartomány: Az Ön tulajdonában lévő vagy az adathalászat elleni szabályzatokban védelemre megadott feladói tartományok megszemélyesítése.
      • Megszemélyesítő felhasználó: Védett feladók megszemélyesítése, amelyeket az adathalászat elleni házirendekben megadott vagy a postaláda-intelligencián keresztül tanult meg.
      • Postaládaintelligencia-megszemélyesítés: A postaláda-intelligencia megszemélyesítési észlelései adathalászat elleni házirendekben.
      • Vegyes elemzés észlelése: Több szűrő is hozzájárult az üzenet ítéletéhez.
      • DMARC-hamisítás: Az üzenet nem tudta végrehajtani a DMARC-hitelesítést.
      • Külső tartomány hamisítása: A feladó e-mail-címének hamisítása a szervezeten kívüli tartomány használatával.
      • Szervezeten belüli hamisítás: A feladó e-mail-címének hamisítása a szervezeten belüli tartomány használatával.
      • URL-detonáció: A biztonságos hivatkozások kártékony URL-címet észleltek az üzenetben a detonáció elemzése során.
      • URL-detonáció hírnevét: Más Microsoft 365-szervezetekben korábban a Biztonságos hivatkozások detonációk által észlelt URL-címek.
      • ROSSZINDULATÚ URL-cím: Az üzenet olyan URL-címet tartalmaz, amelyet korábban más Microsoft 365-szervezetekben rosszindulatúként azonosítottak.
    • Kézbesítési művelet:

      • Szállított
      • Levélszemét
      • Blokkolt
    • Elsődleges felülbírálás: Forrás

      • Elsődleges felülbírálás értékei:
        • Szervezeti szabályzat által engedélyezett
        • Felhasználói szabályzat által engedélyezett
        • Szervezeti szabályzat letiltva
        • Letiltotta a felhasználói szabályzat
        • Egyikre sem.
      • Elsődleges felülbírálási forrás értékei:
        • Külső szűrő
        • Rendszergazda kezdeményezett időutazás (ZAP)
        • Kártevőirtó-házirendblokk fájltípus szerint
        • Antispam szabályzatbeállítások
        • Kapcsolati szabályzat
        • Exchange átviteli szabály
        • Kizárólagos mód (felhasználói felülbírálás)
        • Helyszíni szervezet miatt kihagyott szűrés
        • IP-régió szűrője a szabályzatból
        • Nyelvszűrő a szabályzatból
        • Adathalászati szimuláció
        • Karantén kiadása
        • SecOps-postaláda
        • Feladó címlistája (Rendszergazda felülbírálás)
        • Feladó címlistája (felhasználó felülbírálása)
        • Feladó tartománylistája (Rendszergazda felülbírálás)
        • Feladó tartománylistája (felhasználó felülbírálása)
        • Bérlő engedélyezési/tiltólistájának fájlblokkja
        • Bérlő engedélyezési/tiltólistájának feladói e-mail-címblokkja
        • Bérlői engedélyezési/tiltólista-hamisítási blokk
        • Bérlő engedélyezési/tiltólistájának URL-blokkja
        • Megbízható partnerlista (felhasználó felülbírálása)
        • Megbízható tartomány (felhasználó felülbírálása)
        • Megbízható címzett (felhasználó felülbírálása)
        • Csak megbízható feladók (felhasználó felülbírálása)
  • Email részletek szakasz:

    • Irány:
      • Kikötőbe befutó
      • Intra-irg
      • Kimenő
    • Címzett (Címzett)*
    • Feladó*
    • Beérkezés időpontja
    • Internetes üzenetazonosító*: Az üzenetfejléc Üzenetazonosító fejléc mezőjében érhető el. Példaérték ( <08f1e0f6806a47b4ac103961109ae6ef@server.domain> jegyezze fel a szögletes zárójeleket).
    • Hálózati üzenet azonosítója*: Az üzenetfejléc X-MS-Exchange-Organization-Network-Message-Id fejlécmezőjében elérhető GUID-érték.
    • Fürtazonosító
    • Language

    *Az érték másolásához elérhető a Másolás a vágólapra művelet.

A lap tetején található fülek (nézetek) lehetővé teszik az e-mailek hatékony kivizsgálását. Ezeket a nézeteket az alábbi alszakaszok ismertetik.

Ütemterv nézet

Az Idősor nézet az üzenetben történt kézbesítési és kézbesítés utáni eseményeket jeleníti meg.

A nézetben az alábbi üzenetesemény-információk érhetők el. Jelöljön ki egy oszlopfejlécet az oszlop szerinti rendezéshez. Oszlopok hozzáadásához vagy eltávolításához válassza az Oszlopok testreszabása lehetőséget. Alapértelmezés szerint az összes elérhető oszlop ki van jelölve.

  • Idősor (az esemény dátuma/időpontja)
  • Forrás: Például: Rendszer, **Rendszergazda vagy Felhasználó.
  • Eseménytípusok
  • Result (Eredmény)
  • Fenyegetések
  • Részletek

Ha a kézbesítés után nem történt semmi az üzenettel, akkor valószínűleg csak egy sor van az Idősor nézetben, és az Eseménytípusok értéke Eredeti kézbesítés. Például:

  • Az Eredmény értéke Beérkezett üzenetek mappa – Kézbesítve.
  • Az Eredmény értéke Levélszemét mappa – Kézbesítve a levélszemétnek
  • Az Eredmény értéke Karantén – Letiltva.

A felhasználók, rendszergazdák vagy a Microsoft 365 további műveletei további sorokat adnak a nézethez. Például:

  • Az Eseménytípusok értéke ZAP , az Eredmény érték pedig a ZAP által karanténba helyezett üzenet.
  • Az Eseménytípusok értéke Karanténkiadás , az Eredmény értéke pedig az Üzenet sikeresen ki lett adva a karanténból.

A Keresés mező segítségével információkat kereshet a lapon. Írja be a szöveget a mezőbe, majd nyomja le az ENTER billentyűt.

Az Exportálás paranccsel exportálhatja a nézet adatait egy CSV-fájlba. Az alapértelmezett fájlnév a Microsoft Defender.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnévhez egy szám lesz hozzáfűzve (például : Microsoft Defender(1).csv).

Képernyőkép az Email entitáslap Idővonal nézetéről.

Elemzési nézet

Az Elemzés nézet olyan információkat tartalmaz, amelyek segítenek az üzenet részletes elemzésében. A következő információk érhetők el ebben a nézetben:

  • Fenyegetésészlelés részletei szakasz: Az üzenetben észlelt fenyegetésekkel kapcsolatos információk:

  • Email észlelési részletek szakasz: Az üzenetet érintő védelmi funkciókkal vagy felülbírálásokkal kapcsolatos információk:

    • Minden felülbírálás: Minden olyan szervezeti vagy felhasználói beállítás, amely módosíthatja az üzenet kívánt kézbesítési helyét. Ha például az üzenet megfelelt egy levelezési szabálynak és egy blokkbejegyzésnek a bérlői engedélyezési/tiltólistán, itt mindkét beállítás megjelenik. Az Elsődleges felülbírálás: Forrás tulajdonság értéke azonosítja azt a beállítást, amely ténylegesen hatással volt az üzenet kézbesítésére.

    • Elsődleges felülbírálás: Forrás: Azt a szervezeti vagy felhasználói beállítást jeleníti meg, amely módosította az üzenet kívánt kézbesítési helyét (az engedélyezett helyett engedélyezett vagy letiltott). Például:

    • Exchange átviteli szabályok (levélforgalmi szabályok): Ha az üzenetet levelezési szabályok befolyásolták, megjelennek a szabálynevek és a GUID-értékek. Az e-mail-forgalom szabályai által az üzeneteken végrehajtott műveletek a levélszemét- és adathalászati ítéletek előtt történnek.

      A Másolás a vágólapra művelet a szabály GUID azonosítójának másolásához érhető el. További információ az e-mail-forgalom szabályairól: Levélforgalmi szabályok (átviteli szabályok) az Exchange Online-ben.

      Az Ugrás az Exchange Felügyeleti központra hivatkozás megnyitja a Szabályok lapot az új Exchange felügyeleti központban a címen https://admin.exchange.microsoft.com/#/transportrules.

    • Összekötő: Ha az üzenetet egy bejövő összekötőn keresztül kézbesítették, megjelenik az összekötő neve. Az összekötőkkel kapcsolatos további információkért lásd: E-mail-forgalom konfigurálása összekötőkkel a Exchange Online-ban.

    • Tömeges panaszszint (BCL): A magasabb BCL-érték azt jelzi, hogy az üzenet nagyobb valószínűséggel levélszemét. További információ: Tömeges panaszszint (BCL) az EOP-ban.

    • Házirend: Ha itt egy házirendtípus szerepel (például Levélszemét), válassza a Konfigurálás lehetőséget a kapcsolódó házirendlap megnyitásához (például a Levélszemét elleni szabályzatok lap a címen https://security.microsoft.com/antispam).

    • Szabályzatművelet

    • Riasztásazonosító: Válassza ki a Riasztásazonosító értéket a riasztás részletek lapjának megnyitásához (mintha a riasztást a Riasztások lapon https://security.microsoft.com/alertstalálta volna meg és választotta volna ki). A Másolás a vágólapra művelet is elérhető a riasztásazonosító értékének másolásához.

    • Szabályzat típusa

    • Ügyfél típusa: Az üzenetet küldő ügyfél típusát jeleníti meg (például REST)

    • Email méret

    • Adatveszteség-megelőzési szabályok

  • Sender-Recipient details section: Details about the message sender and some recipient information: Sender-Recipient details section: Details about the message sender and some recipient information:

    • Feladó megjelenítendő neve
    • Feladó címe*
    • Feladó IP-címe
    • Feladó tartományneve*
    • Tartomány létrehozásának dátuma: A közelmúltban létrehozott tartomány és más üzenetjelek gyanúsként azonosíthatják az üzenetet.
    • Tartománytulajdonos
    • Feladó FELADÓI CÍME*
    • Feladó E-MAIL-címe tartománynévből*
    • Visszatérési útvonal
    • Visszatérési útvonal tartománya
    • Hely
    • Címzett tartománya*
    • Címzett: Az e-mail-címek első 5000 karakterét jeleníti meg az üzenet Címzett mezőjében.
    • Másolatot kap: Az e-mail-címek első 5000 karakterét jeleníti meg az üzenet Másolatot kap mezőjében.
    • Terjesztési lista: Megjeleníti a terjesztési csoportot (terjesztési listát), ha a címzett a lista tagjaként kapta meg az e-mailt. A legfelső szintű terjesztési csoport a beágyazott terjesztési csoportok esetében jelenik meg.
    • Továbbítás: Azt jelzi, hogy az üzenet automatikusan egy külső e-mail-címre lett-e továbbítva. Megjelenik a továbbító felhasználó és a továbbítás típusa (levelezési szabályok, levelezési szabályok vagy SMTP-továbbítás).

    *Az érték másolásához elérhető a Másolás a vágólapra művelet.

  • Hitelesítés szakasz: Az e-mail-hitelesítési eredmények részletei:

    • Tartományalapú üzenethitelesítés (DMARC)
      • Pass: A DMARC ellenőrzi az átadott üzenetet.
      • Fail: Az üzenet DMARC-ellenőrzése sikertelen.
      • BestGuessPass: A tartomány DMARC TXT rekordja nem, de ha létezik ilyen, akkor az üzenet DMARC-ellenőrzése sikeres lett volna.
      • Nincs: Azt jelzi, hogy nincs DMARC TXT rekord a DNS-ben a küldő tartományhoz.
    • DomainKeys identified mail (DKIM): Az értékek a következők:
      • Pass: A DKIM ellenőrzi az átadott üzenetet.
      • Fail (reason): Az üzenet DKIM-ellenőrzése sikertelen. Például az üzenet nem DKIM-aláírással lett aláírva, vagy a DKIM aláírása nem lett ellenőrizve.
      • None: Az üzenet nem lett aláírva a DKIM-ben. Ez az eredmény jelezheti vagy nem jelzi, hogy a tartomány rendelkezik DKIM-rekorddal, vagy hogy a DKIM rekord nem értékeli ki az eredményt. Ez az eredmény csak azt jelzi, hogy ez az üzenet nem volt aláírva.
    • Sender Policy Framework (SPF): Az értékek a következők:
      • Pass (IP address): Az SPF-ellenőrzés azt észlelte, hogy az üzenetforrás érvényes a tartományra.
      • Fail (IP address): Az SPF-ellenőrzés azt észlelte, hogy az üzenetforrás nem érvényes a tartományra, és az SPF rekord kényszerítési szabálya -all (sikertelen).
      • SoftFail (reason): Az SPF-ellenőrzés azt észlelte, hogy az üzenetforrás nem érvényes a tartományra, és az SPF rekord kényszerítési szabálya ~all (helyreállítható hiba).
      • Neutral: Az SPF-ellenőrzés azt észlelte, hogy az üzenetforrás nem érvényes a tartományra, és az SPF rekord kényszerítési szabálya ?all (semleges).
      • None: A tartomány nem rendelkezik SPF rekorddal, vagy az SPF rekord nem értékeli ki az eredményt.
      • TempError: Az SPF-ellenőrzés ideiglenes hibát (például DNS-hibát) észlelt. Ugyanez az ellenőrzés később sikeres lehet.
      • PermError: Az SPF-ellenőrzés állandó hibát észlelt. A tartomány például rosszul formázott SPF rekorddal rendelkezik.
    • Összetett hitelesítés: Az SPF, a DKIM, a DMARC és más információk határozzák meg, hogy az üzenet feladója (a Feladó címe) hiteles-e. További információ: Összetett hitelesítés.
  • Kapcsolódó entitások szakasz: Információ az üzenet mellékleteiről és URL-címeiről:

    • Entitás: A Mellékletek vagy URL-címek kiválasztásakor megnyitja az üzenet Email entitáslapjának Mellékletek nézetét vagy URL-címét.
    • Teljes szám
    • Fenyegetések találhatók: Az értékek Igen vagy Nem.
  • Üzenet részletei terület:

    • Egyszerű szöveges e-mail fejléc lap: A teljes üzenetfejlécet egyszerű szövegként tartalmazza. Az üzenetfejléc másolásához válassza az Üzenetfejléc másolása lehetőséget. Válassza a Microsoft Message Header Analyzer elemet az Üzenetfejelemző megnyitásához itt https://mha.azurewebsites.net/pages/mha.html: . Illessze be a másolt üzenetfejlécet a lapra, majd válassza a Fejlécek elemzése lehetőséget az üzenetfejlécekkel és -értékekkel kapcsolatos részletekért.
    • To tab: Az e-mail-címek első 5000 karakterét jeleníti meg az üzenet Címzett mezőjében.
    • Másolatot kap lap: Az üzenet Másolatot kap mezőjében szereplő e-mail-címek első 5000 karakterét jeleníti meg.

Képernyőkép a Email entitás oldalán található Elemzés nézetről.

Mellékletek nézet

A Mellékletek nézet az üzenet összes fájlmellékletéről és a mellékletek vizsgálati eredményeiről jelenít meg információkat.

Ebben a nézetben az alábbi mellékletadatok érhetők el. Jelöljön ki egy oszlopfejlécet az oszlop szerinti rendezéshez. Oszlopok hozzáadásához vagy eltávolításához válassza az Oszlopok testreszabása lehetőséget. Alapértelmezés szerint az összes elérhető oszlop ki van jelölve.

  • Melléklet fájlneve: Ha a fájlnév értékére kattint
  • Fájltípus
  • Fájlméret
  • Fájlkiterjesztés
  • Fenyegetés
  • Kártevőcsalád
  • SHA256 melléklet: A Vágólapra másolás művelet az SHA256 érték másolásához érhető el.
  • Részletek

A Keresés mező segítségével információkat kereshet a lapon. Írja be a szöveget a mezőbe, majd nyomja le az ENTER billentyűt.

Az Exportálás paranccsel exportálhatja a nézet adatait egy CSV-fájlba. Az alapértelmezett fájlnév a Microsoft Defender.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnévhez egy szám lesz hozzáfűzve (például : Microsoft Defender(1).csv).

Képernyőkép a Mellékletek nézetről az Email entitás oldalán.

Melléklet részletei

Ha kiválaszt egy bejegyzést a Mellékletek nézetben a Melléklet fájlnév értékére kattintva, megnyílik egy részletes úszó panel, amely a következő információkat tartalmazza:

  • Részletes elemzés lap: Ezen a lapon információk érhetők el, ha a biztonságos mellékletek beolvasták (felrobbantották) a mellékletet. Ezeket az üzeneteket a Threat Explorerben a Fájl detonáció értékével rendelkező lekérdezésszűrő észlelési technológiával azonosíthatja.

    • Detonációs lánc szakasz: Egyetlen fájl biztonságos mellékletek detonációja több detonációt is kiválthat. A detonációs lánc nyomon követi a detonációk útvonalát, beleértve az ítéletet okozó eredeti kártékony fájlt, valamint a detonáció által érintett összes többi fájlt. Előfordulhat, hogy ezek a csatolt fájlok nem szerepelnek közvetlenül az e-mailben. Az elemzést is beleértve azonban fontos meghatározni, hogy a fájl miért talált kártékonynak.

      Ha nem áll rendelkezésre detonációs láncra vonatkozó információ, a No detonation tree (Robbanási fa nélkül ) érték jelenik meg. Ellenkező esetben az Exportálás lehetőséget választva letöltheti a detonációs lánc adatait egy CSV-fájlba. Az alapértelmezett fájlnév a Detonation chain.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnév hozzá lesz fűzve egy számhoz (például Detonation chain(1).csv). A CSV-fájl a következő információkat tartalmazza:

      • Felső: A legfelső szintű fájl.
      • Level1: A következő szintű fájl.
      • Level2: A következő szintű fájl.
      • és így tovább.

      A detonációs lánc és a CSV-fájl csak a legfelső szintű elemet jelenítheti meg, ha a hozzá kapcsolt entitások egyike sem volt problémás vagy robbantott.

    • Összefoglaló szakasz: Ha nem áll rendelkezésre detonációs összefoglaló információ, a No detonation summary (Nincs detonáció összegzése ) érték jelenik meg. Ellenkező esetben a következő detonáció-összefoglaló információk érhetők el:

      • Elemzési idő
      • Ítélet: Maga a melléklet ítélete.
      • További információ: A fájl mérete bájtban.
      • Biztonsági rések mutatói
    • Képernyőképek szakasz: A detonáció során rögzített képernyőképek megjelenítése. Más fájlokat tartalmazó tárolófájlok, például a ZIP vagy az RAR esetében nem készül képernyőkép.

      Ha nem érhetők el detonációs képernyőképek, a No screenshots to display (Nem jeleníthető meg képernyőképek ) érték jelenik meg. Ellenkező esetben kattintson a hivatkozásra a képernyőkép megtekintéséhez.

    • Viselkedés részletei szakasz: A detonáció során történt pontos eseményeket, valamint a detonáció során talált URL-eket, IP-címeket, tartományokat és fájlokat tartalmazó problémás vagy jóindulatú megfigyeléseket jeleníti meg. Előfordulhat, hogy a tárolófájlok, például a ZIP vagy a RAR nem tartalmaznak más fájlokat tartalmazó viselkedési adatokat.

      Ha nem érhetők el a viselkedés részleteire vonatkozó információk, a No detonation behaviors (Nincs robbanási viselkedés) érték jelenik meg. Ellenkező esetben az Exportálás lehetőséget választva letöltheti a viselkedési adatokat egy CSV-fájlba. Az alapértelmezett fájlnév a Behavior details.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnévhez egy szám lesz hozzáfűzve (például Viselkedés részletei(1).csv). A CSV-fájl a következő információkat tartalmazza:

      • Idő
      • Viselkedés
      • Behavior tulajdonság
      • Folyamat (PID)
      • Művelet
      • Target (Cél)
      • Részletek
      • Result (Eredmény)
  • Fájladatok lap: A Fájl részletei szakasz a következő információkat tartalmazza:

    • Fájlnév
    • SHA256
    • Fájlméret (bájtban)

Ha végzett a fájl részleteit tartalmazó úszó panelen, válassza a Bezárás lehetőséget.

Képernyőkép a fájl részleteinek úszó paneljéről az Email entitáslap Mellékletek nézetében.

Mellékletek letiltása a Mellékletek nézetben

Ha kiválaszt egy bejegyzést a Mellékletek nézetben a fájlnév melletti jelölőnégyzet bejelölésével, a Blokkolás művelet elérhető. Ez a művelet blokkbejegyzésként adja hozzá a fájlt a Bérlői engedélyezés/tiltás listához. A Letiltás lehetőség választása elindítja a Művelet végrehajtása varázslót:

  1. A Műveletek kiválasztása lapon konfigurálja az alábbi beállítások egyikét a Fájl blokkolása szakaszban:

    • Soha ne járjon le : Ez az alapértelmezett érték .
    • Soha ne járjon le : Húzza a kapcsolót ki állásba , majd jelöljön ki egy dátumot az Eltávolítás a következőn mezőben.

    Ha végzett a Műveletek kiválasztása lapon, válassza a Tovább gombot.

  2. A Célentitások kiválasztása lapon ellenőrizze, hogy a letiltani kívánt fájl ki van-e jelölve, majd válassza a Tovább gombot.

  3. A Véleményezés és küldés lapon konfigurálja a következő beállításokat:

    • Szervizelés neve: Adjon meg egy egyedi nevet az állapot nyomon követéséhez a Műveletközpontban.
    • Leírás: Adjon meg egy nem kötelező leírást.

    Ha végzett a Véleményezés és küldés oldalon, válassza a Küldés lehetőséget.

URL-nézet

Az URL-nézetben az üzenet összes URL-címével kapcsolatos információk és az URL-címek vizsgálati eredményei láthatók.

Ebben a nézetben az alábbi mellékletadatok érhetők el. Jelöljön ki egy oszlopfejlécet az oszlop szerinti rendezéshez. Oszlopok hozzáadásához vagy eltávolításához válassza az Oszlopok testreszabása lehetőséget. Alapértelmezés szerint az összes elérhető oszlop ki van jelölve.

  • URL
  • Fenyegetés
  • Source (Forrás)
  • Részletek

A Keresés mező segítségével információkat kereshet a lapon. Írja be a szöveget a mezőbe, majd nyomja le az ENTER billentyűt.

Az Exportálás paranccsel exportálhatja a nézet adatait egy CSV-fájlba. Az alapértelmezett fájlnév a Microsoft Defender.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnévhez egy szám lesz hozzáfűzve (például : Microsoft Defender(1).csv).

Képernyőkép a Email entitás oldalán látható URL-nézetről.

URL-cím részletei

Ha az URL-értékre kattintva kiválaszt egy bejegyzést az URL-nézetben , megnyílik egy részletes úszó panel, amely a következő információkat tartalmazza:

  • Részletes elemzés lap: Ezen a lapon találhatók információk, ha a biztonságos hivatkozások beolvasták (felrobbantották) az URL-címet. Ezeket az üzeneteket a Threat Explorerben az URL-detonáció értékével rendelkező lekérdezésszűrő észlelési technológiájával azonosíthatja.

    • Detonation chain section: Safe Links detonation of a single URL can trigger multiple detonations. A detonációs lánc nyomon követi a detonációk útvonalát, beleértve az ítéletet okozó eredeti rosszindulatú URL-címet, valamint a detonáció által érintett összes többi URL-címet. Előfordulhat, hogy ezek az URL-címek nem szerepelnek közvetlenül az e-mailben. Az elemzés beleértése azonban fontos annak meghatározásához, hogy az URL-cím miért volt rosszindulatú.

      Ha nem áll rendelkezésre detonációs láncra vonatkozó információ, a No detonation tree (Robbanási fa nélkül ) érték jelenik meg. Ellenkező esetben az Exportálás lehetőséget választva letöltheti a detonációs lánc adatait egy CSV-fájlba. Az alapértelmezett fájlnév a Detonation chain.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnév hozzá lesz fűzve egy számhoz (például Detonation chain(1).csv). A CSV-fájl a következő információkat tartalmazza:

      • Felső: A legfelső szintű fájl.
      • Level1: A következő szintű fájl.
      • Level2: A következő szintű fájl.
      • és így tovább.

      A detonációs lánc és a CSV-fájl csak a legfelső szintű elemet jelenítheti meg, ha a hozzá kapcsolt entitások egyike sem volt problémás vagy robbantott.

    • Összefoglaló szakasz: Ha nem áll rendelkezésre detonációs összefoglaló információ, a No detonation summary (Nincs detonáció összegzése ) érték jelenik meg. Ellenkező esetben a következő detonáció-összefoglaló információk érhetők el:

      • Elemzési idő
      • Ítélet: Maga az URL-cím ítélete.
    • Képernyőképek szakasz: A detonáció során rögzített képernyőképek megjelenítése. A rendszer nem készít képernyőképeket, ha az URL-cím olyan hivatkozásra nyílik meg, amely közvetlenül letölt egy fájlt. A letöltött fájl azonban megjelenik a detonációs láncban.

      Ha nem érhetők el detonációs képernyőképek, a No screenshots to display (Nem jeleníthető meg képernyőképek ) érték jelenik meg. Ellenkező esetben kattintson a hivatkozásra a képernyőkép megtekintéséhez.

    • Viselkedés részletei szakasz: A detonáció során történt pontos eseményeket, valamint a detonáció során talált URL-eket, IP-címeket, tartományokat és fájlokat tartalmazó problémás vagy jóindulatú megfigyeléseket jeleníti meg.

      Ha nem érhetők el a viselkedés részleteire vonatkozó információk, a No detonation behaviors (Nincs robbanási viselkedés) érték jelenik meg. Ellenkező esetben az Exportálás lehetőséget választva letöltheti a viselkedési adatokat egy CSV-fájlba. Az alapértelmezett fájlnév a Behavior details.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnévhez egy szám lesz hozzáfűzve (például Viselkedés részletei(1).csv). A CSV-fájl a következő információkat tartalmazza:

      • Idő
      • Viselkedés
      • Behavior tulajdonság
      • Folyamat (PID)
      • Művelet
      • Target (Cél)
      • Részletek
      • Result (Eredmény)
  • URL-információ lap: Az URL-adatok szakasz a következő információkat tartalmazza:

    • URL
    • Fenyegetés

Ha végzett a fájl részleteit tartalmazó úszó panelen, válassza a Bezárás lehetőséget.

Képernyőkép az URL-adatok úszó paneljéről az Email entitáslap URL-nézetében.

URL-címek letiltása az URL-nézetben

Ha kiválaszt egy bejegyzést az URL-nézetben a fájlnév melletti jelölőnégyzet bejelölésével, a Blokkolás művelet elérhető. Ez a művelet blokkbejegyzésként adja hozzá az URL-címet a bérlői engedélyezési/tiltólistához. A Letiltás lehetőség választása elindítja a Művelet végrehajtása varázslót:

  1. A Műveletek kiválasztása lapon konfigurálja az alábbi beállítások egyikét az URL-cím letiltása szakaszban:

    • Soha ne járjon le : Ez az alapértelmezett érték .
    • Soha ne járjon le : Húzza a kapcsolót ki állásba , majd jelöljön ki egy dátumot az Eltávolítás a következőn mezőben.

    Ha végzett a Műveletek kiválasztása lapon, válassza a Tovább gombot.

  2. A Célentitások kiválasztása lapon ellenőrizze, hogy a letiltani kívánt URL-cím ki van-e jelölve, majd válassza a Tovább gombot.

  3. A Véleményezés és küldés lapon konfigurálja a következő beállításokat:

    • Szervizelés neve: Adjon meg egy egyedi nevet az állapot nyomon követéséhez a Műveletközpontban.
    • Leírás: Adjon meg egy nem kötelező leírást.

    Ha végzett a Véleményezés és küldés oldalon, válassza a Küldés lehetőséget.

Hasonló e-mailek nézet

A Hasonló e-mailek nézetben más, az üzenet törzséhez hasonló ujjlenyomattal rendelkező e-mailek láthatók. A más üzenetekben megadott feltételek nem vonatkoznak erre a nézetre (például fájlmelléklet ujjlenyomatai).

Ebben a nézetben az alábbi mellékletadatok érhetők el. Jelöljön ki egy oszlopfejlécet az oszlop szerinti rendezéshez. Oszlopok hozzáadásához vagy eltávolításához válassza az Oszlopok testreszabása lehetőséget. Alapértelmezés szerint az összes elérhető oszlop ki van jelölve.

  • Date
  • Tárgy
  • Címzett
  • Feladó
  • Feladó IP-címe
  • Átgázol
  • Kézbesítési művelet
  • Kézbesítés helye

A Szűrővel szűrheti a bejegyzéseket a kezdő dátum és a záró dátum szerint.

A Keresés mező segítségével információkat kereshet a lapon. Írja be a szöveget a mezőbe, majd nyomja le az ENTER billentyűt.

Az Exportálás paranccsel exportálhatja a nézet adatait egy CSV-fájlba. Az alapértelmezett fájlnév a Microsoft Defender.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnévhez egy szám lesz hozzáfűzve (például : Microsoft Defender(1).csv).

Képernyőkép a hasonló e-mailek nézetről az Email entitás oldalán.

Műveletek az Email entitás oldalán

A következő műveletek érhetők el az Email entitáslap tetején:

¹ Az Email előzetes verziójú és az E-mail letöltése művelethez előzetes verziójú szerepkörre van szükség. Ezt a szerepkört a következő helyeken rendelheti hozzá:

² Megtekintheti vagy letöltheti a Microsoft 365-postaládákban elérhető e-maileket. Példák arra, amikor az üzenetek már nem érhetők el a postaládákban:

  • Az üzenet el lett dobva, mielőtt a kézbesítés vagy a kézbesítés meghiúsult.
  • Az üzenetet nem sikerült törölni.
  • Az üzenet kézbesítési helye helyszíni/külső.
  • A ZAP karanténba helyezte az üzenetet.

Képernyőkép a Email entitáslap tetején elérhető műveletekről.

Az Email összegzési panel

A Email összegző panel az e-mail részletei úszó panel, amely az Exchange Online Védelmi szolgáltatás (EOP) és Office 365-höz készült Defender számos funkciójában elérhető. A Email összegzési panel a Office 365-höz készült Defender Email entitáslapján elérhető összesítési információból származó e-mail-üzenet szabványosított összegzését tartalmazza.

A Email összegző panel megkeresésének helyét a cikk korábbi, A Email entitás lapjának helye című szakasza ismerteti. A szakasz további része az összes funkció Email összegző paneljén elérhető információkat ismerteti.

Tipp

A Email összegző panel a Műveletközpont függőben vagy előzmények lapján https://security.microsoft.com/action-center/ érhető el. Jelöljön ki egy olyan műveletet, amelynél az Entitás típusaérték Email, ha a jelölőnégyzeten vagy a Vizsgálati azonosító értéken kívül a sor bármely pontjára kattint. A megnyíló részletes úszó panel az Email összegző panel, de az E-mail megnyitása entitás nem érhető el az úszó panel tetején.

A következő üzenetinformációk érhetők el a Email összegző panel tetején:

  • Az úszó panel címe a Tárgy érték.
  • Az üzenet mellékleteinek és hivatkozásainak száma (nem minden funkcióban).
  • Az üzenet címzettjeihez rendelt felhasználói címkék (beleértve a Prioritás fiókcímkét is). További információ: Felhasználói címkék a Office 365-höz készült Microsoft Defender
  • Az úszó panel tetején elérhető műveletek attól függnek, hogy hol nyitotta meg a Email összegző panelt. Az elérhető műveleteket az egyes funkciókról szóló cikkek ismertetik.

Tipp

Ha az aktuális üzenet Email összegző paneljének elhagyása nélkül szeretné megtekinteni a többi üzenet részleteit, használja az Előző elem és a Következő elemet az úszó panel tetején.

A következő szakaszok az összes funkció Email összegző paneljén érhetők el (nem számít, hogy honnan nyitotta meg a Email összegző panelt):

  • Szállítási részletek szakasz:

    • Eredeti fenyegetések
    • Legújabb fenyegetések
    • Eredeti hely
    • Legutóbbi kézbesítési hely
    • Kézbesítési művelet
    • Észlelési technológiák
    • Elsődleges felülbírálás: Forrás
  • Email részletek szakasz:

    • Feladó megjelenítendő neve
    • Feladó címe
    • Feladó e-mail címe
    • Elküldve a nevében:
    • Visszatérési útvonal
    • Feladó IP-címe
    • Hely
    • Címzett(ek)
    • Beérkezés időpontja
    • Irány
    • Hálózati üzenet azonosítója
    • Internetes üzenet azonosítója
    • Kampányazonosító
    • DMARC
    • DKIM
    • SPF
    • Összetett hitelesítés
  • URL-címek szakasz: Az üzenetben található URL-címek részletei:

    • URL
    • Fenyegetés állapota

    Ha az üzenet háromnál több URL-címmel rendelkezik, az összes URL megtekintéséhez válassza az Összes URL-cím megtekintése lehetőséget.

  • Mellékletek szakasz: Az üzenetben található fájlmellékletek részletei:

    • Melléklet neve
    • Fenyegetés
    • Észlelési technológia / Kártevőcsalád

    Ha az üzenet háromnál több mellékletet tartalmaz, az összes melléklet megtekintéséhez válassza az Összes melléklet megtekintése lehetőséget.

Képernyőkép a Email összegző panelről, miután kijelölt egy e-mailt egy támogatott Office 365-höz készült Defender funkcióban.