Az E-mail entitás lap az Office 365-höz készült Microsoft Defenderben

• A következőre érvényes::

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Office 365-höz készült Microsoft Defender XDR 2. csomag funkcióit? Használja az Office 365-höz készült Defender 90 napos próbaverzióját a Microsoft Defender portál próbaverzióinak központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Azok a Microsoft 365-szervezetek, amelyeknél az Office 365-höz készült Microsoft Defender szerepel az előfizetésükben, vagy bővítményként vannak megvásárolva, az E-mail entitás oldallal rendelkeznek. A Microsoft Defender portál E-mail entitás lapja részletes információkat tartalmaz az e-mailekről és a kapcsolódó entitásokról.

Ez a cikk az E-mail entitás oldalán található információkat és műveleteket ismerteti.

Az E-mail entitás lap engedélyei és licencelése

Az E-mail entitás lap használatához engedélyeket kell hozzárendelnie. Az engedélyek és a licencelés megegyezik a Fenyegetéskezelővel (Explorer) és a valós idejű észlelésekkel. További információ: A Fenyegetéskezelő engedélyei és licencelése és a valós idejű észlelések.

Hol található az E-mail entitás lap?

A Defender portál felső szintjein nincsenek közvetlen hivatkozások az E-mail entitás oldalára. Ehelyett az E-mail-entitás megnyitása művelet az e-mail részletei úszó panel tetején érhető el az Office 365-höz készült Defender számos funkciójában. Ez az e-mail részletei úszó panel az E-mail összegzése panel, amely az E-mail entitás oldalán található információk egy összegzett részhalmazát tartalmazza. Az e-mail összefoglaló panelje megegyezik az Office 365-höz készült Defender funkcióival. További információt a cikk későbbi, Az e-mail összegzése panel című szakaszában talál.

Az E-mail-összefoglaló panel az E-mail-entitás megnyitása művelettel a következő helyeken érhető el:

• A Speciális veszélyforrás-keresés oldalon https://security.microsoft.com/v2/advanced-hunting: Az e-mailhez kapcsolódó lekérdezés Eredmények lapján kattintson a táblázat egyik bejegyzésének NetworkMessageId értékére.

• *A Riasztások laponhttps://security.microsoft.com/alerts: Az Észlelési forrásMDO vagy a Microsoft Defender for Office 365Terméknevek értékével rendelkező riasztások esetén a Riasztásnév értékre kattintva jelölje ki a bejegyzést. A megnyíló riasztás részletei lapon válassza ki az üzenetet az Üzenetek lista szakaszban.

• A Veszélyforrások elleni védelem állapotjelentésében:https://security.microsoft.com/reports/TPSEmailPhishReportATP

  • Válassza az Adatok megtekintése e-mail adathalászat > szerint lehetőséget, és válassza ki a diagramok bármelyik rendelkezésre álló részletezését . A diagram alatti részletes táblázatban jelölje ki a bejegyzést úgy, hogy az első oszlop melletti jelölőnégyzeten kívül bárhová kattint.
  • Válassza az Adatok megtekintése e-mailben kártevő e-mailben > lehetőséget, és válassza ki a diagramok rendelkezésre álló lebontási lehetőségeinek bármelyikét. A diagram alatti részletes táblázatban jelölje ki a bejegyzést úgy, hogy az első oszlop melletti jelölőnégyzeten kívül bárhová kattint.
  • Válassza az Adatok megtekintése e-mail levélszemét alapján > lehetőséget, és válassza az elérhető diagramlebontási lehetőségeket. A diagram alatti részletes táblázatban jelölje ki a bejegyzést úgy, hogy az első oszlop melletti jelölőnégyzeten kívül bárhová kattint.

• Az Explorer (Threat Explorer) oldaláról https://security.microsoft.com/threatexplorerv3 vagy a valós idejű észlelések oldaláról a következő címen: https://security.microsoft.com/realtimereportsv3. Használja az alábbi módszerek egyikét:

  • A Veszélyforrás-kezelőben ellenőrizze, hogy a Minden e-mail nézet van-e kiválasztva > , és ellenőrizze, hogy a részletek területen az E-mail lap (nézet) van-e kiválasztva > , kattintson egy bejegyzés Tárgy értékére.
  • A Veszélyforrás-felderítőben vagy a Valós idejű észlelések területen válassza a Kártevő nézetet > , és ellenőrizze, hogy a részletek területen az E-mail lap (nézet) van-e kiválasztva > , kattintson a Tárgy értékre egy bejegyzésben.
  • A Veszélyforrás-felderítőben vagy a Valós idejű észlelések területen válassza az Adathalász nézetet > , és ellenőrizze, hogy a részletek területen az E-mail lap (nézet) van-e kiválasztva > , kattintson egy bejegyzés Tárgy értékére.

• Az Incidensek oldalonhttps://security.microsoft.com/incidents: Az Office 365-höz készült Microsoft Defenderterméknévértékkel rendelkező incidensek esetén válassza ki az incidenst az Incidens neve értékre kattintva. A megnyíló incidens részletei lapon válassza a Bizonyítékok és válaszok lapot (nézet). A Minden bizonyíték lapon, valamint az E-mail vagy az E-mailekentitástípus-értékben jelölje ki a bejegyzést úgy, hogy a jelölőnégyzeten kívül bárhová kattint.

• A Karantén lapon https://security.microsoft.com/quarantineellenőrizze, hogy az E-mail lap van-e kiválasztva > , jelölje ki a bejegyzést a jelölőnégyzettől eltérő sor tetszőleges pontjára kattintva.

• A Beküldések oldalon:https://security.microsoft.com/reportsubmission

  • Az E-mailek lapon > jelöljön ki egy bejegyzést úgy, hogy a jelölőnégyzeten kívül bárhová kattint a sorban.
  • Jelölje be a Felhasználó jelentett lapfület > , és a jelölőnégyzeten kívül a sor tetszőleges pontjára kattintva jelöljön ki egy bejegyzést.

Az E-mail entitás oldalának tartalma

A lap bal oldalán található részletek panel összecsukható szakaszokat tartalmaz az üzenet részleteivel. Ezek a szakaszok mindaddig állandóak maradnak, amíg ön az oldalon van. Az elérhető szakaszok a következők:

• Címkék szakasz. Megjeleníti a feladókhoz vagy címzettekhez rendelt felhasználói címkéket (beleértve a prioritási fiókot is). További információ a felhasználói címkékről: Felhasználói címkék az Office 365-höz készült Microsoft Defenderben.

• Észlelés részletei szakasz:

  • Eredeti fenyegetések

  • Eredeti kézbesítési hely:

    • Törölt elemek mappa
    • Csökkent
    • Nem sikerült kézbesíteni
    • Beérkezett üzenetek mappa
    • Levélszemét mappa
    • Külső
    • Karantén
    • Ismeretlen

  • Legújabb fenyegetések

  • Legutóbbi kézbesítési hely: Az üzenet helye az üzenet rendszerműveletei (például ZAP) vagy az üzenet rendszergazdai műveletei (például Áthelyezés törölt elemekre) után. Az üzenet felhasználói műveletei (például az üzenet törlése vagy archiválása) nem jelennek meg, így ez az érték nem garantálja az üzenet aktuális helyét .

    Tipp

    Vannak olyan forgatókönyvek, amikor az Eredeti kézbesítési helyLegutóbbi kézbesítési hely/ és/vagy Kézbesítési műveletértéke Ismeretlen. Például:

    • Az üzenet kézbesítése megtörtént (a kézbesítési műveletkézbesítve), de egy Beérkezett üzenetek szabály áthelyezte az üzenetet a Beérkezett üzenetek vagy a Levélszemét mappától eltérő alapértelmezett mappába (például a Piszkozat vagy az Archív mappába).
    • A ZAP megpróbálta áthelyezni az üzenetet a kézbesítés után, de az üzenet nem található (például a felhasználó áthelyezte vagy törölte az üzenetet).

  • Észlelési technológia:

    • Speciális szűrő: Gépi tanuláson alapuló adathalász jelek.
    • Kampány: A kampány részeként azonosított üzenetek.
    • Fájl detonációja: A biztonságos mellékletek kártékony mellékletet észleltek a detonáció elemzése során.
    • Fájl detonációval kapcsolatos hírnév: Más Microsoft 365-ös szervezetekben korábban a Biztonságos mellékletek detonációk által észlelt fájlmellékletek.
    • Fájlhírnév: Az üzenet olyan fájlt tartalmaz, amelyet korábban más Microsoft 365-szervezetekben rosszindulatúként azonosítottak.
    • Ujjlenyomat-egyeztetés: Az üzenet nagyon hasonlít egy korábban észlelt kártékony üzenetre.
    • Általános szűrő: Adathalászati jelek az elemzői szabályok alapján.
    • Megszemélyesítési márka: A jól ismert márkák feladói megszemélyesítése.
    • Megszemélyesítési tartomány: Az Ön tulajdonában lévő vagy az adathalászat elleni szabályzatokban védelemre megadott feladói tartományok megszemélyesítése.
    • Megszemélyesítő felhasználó: Védett feladók megszemélyesítése, amelyeket az adathalászat elleni házirendekben megadott vagy a postaláda-intelligencián keresztül tanult meg.
    • Postaládaintelligencia-megszemélyesítés: A postaláda-intelligencia megszemélyesítési észlelései adathalászat elleni házirendekben.
    • Vegyes elemzés észlelése: Több szűrő is hozzájárult az üzenet ítéletéhez.
    • DMARC-hamisítás: Az üzenet nem tudta végrehajtani a DMARC-hitelesítést.
    • Külső tartomány hamisítása: A feladó e-mail-címének hamisítása a szervezeten kívüli tartomány használatával.
    • Szervezeten belüli hamisítás: A feladó e-mail-címének hamisítása a szervezeten belüli tartomány használatával.
    • URL-detonáció: A biztonságos hivatkozások kártékony URL-címet észleltek az üzenetben a detonáció elemzése során.
    • URL-detonáció hírnevét: Más Microsoft 365-szervezetekben korábban a Biztonságos hivatkozások detonációk által észlelt URL-címek.
    • ROSSZINDULATÚ URL-cím: Az üzenet olyan URL-címet tartalmaz, amelyet korábban más Microsoft 365-szervezetekben rosszindulatúként azonosítottak.

  • Kézbesítési művelet:

    • Szállított
    • Levélszemét
    • Blokkolt

  • Elsődleges felülbírálás: Forrás

    • Elsődleges felülbírálás értékei:
      • Szervezeti szabályzat által engedélyezett
      • Felhasználói szabályzat által engedélyezett
      • Szervezeti szabályzat letiltva
      • Letiltotta a felhasználói szabályzat
      • Egyikre sem.
    • Elsődleges felülbírálási forrás értékei:
      • Külső szűrő
      • Rendszergazda által kezdeményezett időutazás (ZAP)
      • Kártevőirtó-házirendblokk fájltípus szerint
      • Antispam szabályzatbeállítások
      • Kapcsolati szabályzat
      • Exchange átviteli szabály
      • Kizárólagos mód (felhasználói felülbírálás)
      • Helyszíni szervezet miatt kihagyott szűrés
      • IP-régió szűrője a szabályzatból
      • Nyelvszűrő a szabályzatból
      • Adathalászati szimuláció
      • Karantén kiadása
      • SecOps-postaláda
      • Feladó címlistája (rendszergazdai felülbírálás)
      • Feladó címlistája (felhasználó felülbírálása)
      • Feladó tartománylistája (rendszergazdai felülbírálás)
      • Feladó tartománylistája (felhasználó felülbírálása)
      • Bérlő engedélyezési/tiltólistájának fájlblokkja
      • Bérlő engedélyezési/tiltólistájának feladói e-mail-címblokkja
      • Bérlői engedélyezési/tiltólista-hamisítási blokk
      • Bérlő engedélyezési/tiltólistájának URL-blokkja
      • Megbízható partnerlista (felhasználó felülbírálása)
      • Megbízható tartomány (felhasználó felülbírálása)
      • Megbízható címzett (felhasználó felülbírálása)
      • Csak megbízható feladók (felhasználó felülbírálása)

• E-mail részletei szakasz:

  • Irány:
    • Kikötőbe befutó
    • Intra-irg
    • Kimenő
  • Címzett (Címzett)^*
  • Feladó^*
  • Beérkezés időpontja
  • Internetes üzenetazonosító^*: Az üzenetfejléc Üzenetazonosító fejléc mezőjében érhető el. Példaérték ( <08f1e0f6806a47b4ac103961109ae6ef@server.domain> jegyezze fel a szögletes zárójeleket).
  • Hálózati üzenet azonosítója^*: Az üzenetfejléc X-MS-Exchange-Organization-Network-Message-Id fejlécmezőjében elérhető GUID-érték.
  • Fürtazonosító
  • Language

  ^*Az érték másolásához elérhető a Másolás a vágólapra művelet.

A lap tetején található fülek (nézetek) lehetővé teszik az e-mailek hatékony kivizsgálását. Ezeket a nézeteket az alábbi alszakaszok ismertetik.

Ütemterv nézet

Az Idősor nézet az üzenetben történt kézbesítési és kézbesítés utáni eseményeket jeleníti meg.

A nézetben az alábbi üzenetesemény-információk érhetők el. Jelöljön ki egy oszlopfejlécet az oszlop szerinti rendezéshez. Oszlopok hozzáadásához vagy eltávolításához válassza az Oszlopok testreszabása lehetőséget. Alapértelmezés szerint az összes elérhető oszlop ki van jelölve.

• Idősor (az esemény dátuma/időpontja)
• Forrás: Például: Rendszer, **Rendszergazda vagy Felhasználó.
• Eseménytípusok
• Result (Eredmény)
• Fenyegetések
• Részletek

Ha a kézbesítés után nem történt semmi az üzenettel, akkor valószínűleg csak egy sor van az Idősor nézetben, és az Eseménytípusok értéke Eredeti kézbesítés. Például:

• Az Eredmény értéke Beérkezett üzenetek mappa – Kézbesítve.
• Az Eredmény értéke Levélszemét mappa – Kézbesítve a levélszemétnek
• Az Eredmény értéke Karantén – Letiltva.

A felhasználók, rendszergazdák vagy a Microsoft 365 további műveletei további sorokat adnak a nézethez. Például:

• Az Eseménytípusok értéke ZAP , az Eredmény érték pedig a ZAP által karanténba helyezett üzenet.
• Az Eseménytípusok értéke Karanténkiadás , az Eredmény értéke pedig az Üzenet sikeresen ki lett adva a karanténból.

A Keresés mező segítségével információkat kereshet a lapon. Írja be a szöveget a mezőbe, majd nyomja le az ENTER billentyűt.

Az Exportálás paranccsel exportálhatja a nézet adatait egy CSV-fájlba. Az alapértelmezett fájlnév a Microsoft Defender.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnevet egy számmal (például : Microsoft Defender(1).csv) fűzi hozzá.

Elemzési nézet

Az Elemzés nézet olyan információkat tartalmaz, amelyek segítenek az üzenet részletes elemzésében. A következő információk érhetők el ebben a nézetben:

• Fenyegetésészlelés részletei szakasz: Az üzenetben észlelt fenyegetésekkel kapcsolatos információk:

  • Fenyegetések: Az elsődleges fenyegetést az elsődleges fenyegetés jelzi.
  • Megbízhatósági szint: Az értékek magasak, közepesek vagy alacsonyak.
  • Prioritásos fiókvédelem: Az értékek Igen vagy Nem. További információt a Kiemelt fiókvédelem konfigurálása és áttekintése az Office 365-höz készült Microsoft Defenderben című témakörben talál.

• E-mail észlelési részletek szakasz: Az üzenetet érintő védelmi funkciókkal vagy felülbírálásokkal kapcsolatos információk:

  • Minden felülbírálás: Minden olyan szervezeti vagy felhasználói beállítás, amely módosíthatja az üzenet kívánt kézbesítési helyét. Ha például az üzenet megfelelt egy levelezési szabálynak és egy blokkbejegyzésnek a bérlői engedélyezési/tiltólistán, itt mindkét beállítás megjelenik. Az Elsődleges felülbírálás: Forrás tulajdonság értéke azonosítja azt a beállítást, amely ténylegesen hatással volt az üzenet kézbesítésére.

  • Elsődleges felülbírálás: Forrás: Azt a szervezeti vagy felhasználói beállítást jeleníti meg, amely módosította az üzenet kívánt kézbesítési helyét (az engedélyezett helyett engedélyezett vagy letiltott). Például:

    • Az üzenetet egy e-mail-forgalmi szabály blokkolta.
    • Az üzenet a felhasználó Megbízható feladók listájában szereplő bejegyzés miatt lett engedélyezve.

  • Exchange átviteli szabályok (levélforgalmi szabályok): Ha az üzenetet levelezési szabályok befolyásolták, megjelennek a szabálynevek és a GUID-értékek. Az e-mail-forgalom szabályai által az üzeneteken végrehajtott műveletek a levélszemét- és adathalászati ítéletek előtt történnek.

    A Másolás a vágólapra művelet a szabály GUID azonosítójának másolásához érhető el. További információ az e-mail-forgalom szabályairól: Levélforgalmi szabályok (átviteli szabályok) az Exchange Online-ban.

    Az Ugrás az Exchange Felügyeleti központra hivatkozás megnyitja a Szabályok lapot az új Exchange felügyeleti központban a címen https://admin.exchange.microsoft.com/#/transportrules.

  • Összekötő: Ha az üzenetet egy bejövő összekötőn keresztül kézbesítették, megjelenik az összekötő neve. Az összekötőkkel kapcsolatos további információkért lásd: E-mail-forgalom konfigurálása összekötőkkel az Exchange Online-ban.

  • Tömeges panaszszint (BCL): A magasabb BCL-érték azt jelzi, hogy az üzenet nagyobb valószínűséggel levélszemét. További információ: Tömeges panaszszint (BCL) az EOP-ban.

  • Házirend: Ha itt egy házirendtípus szerepel (például Levélszemét), válassza a Konfigurálás lehetőséget a kapcsolódó házirendlap megnyitásához (például a Levélszemét elleni szabályzatok lap a címen https://security.microsoft.com/antispam).

  • Szabályzatművelet

  • Riasztásazonosító: Válassza ki a Riasztásazonosító értéket a riasztás részletek lapjának megnyitásához (mintha a riasztást a Riasztások lapon https://security.microsoft.com/alertstalálta volna meg és választotta volna ki). A Másolás a vágólapra művelet is elérhető a riasztásazonosító értékének másolásához.

  • Szabályzat típusa

  • Ügyfél típusa: Az üzenetet küldő ügyfél típusát jeleníti meg (például REST)

  • E-mail mérete

  • Adatveszteség-megelőzési szabályok

• Sender-Recipient details section: Details about the message sender and some recipient information: Sender-Recipient details section: Details about the message sender and some recipient information:

  • Feladó megjelenítendő neve
  • Feladó címe^*
  • Feladó IP-címe
  • Feladó tartományneve^*
  • Tartomány létrehozásának dátuma: A közelmúltban létrehozott tartomány és más üzenetjelek gyanúsként azonosíthatják az üzenetet.
  • Tartománytulajdonos
  • Feladó FELADÓI CÍME^*
  • Feladó E-MAIL-címe tartománynévből^*
  • Visszatérési útvonal
  • Visszatérési útvonal tartománya
  • Hely
  • Címzett tartománya^*
  • Címzett: Az e-mail-címek első 5000 karakterét jeleníti meg az üzenet Címzett mezőjében.
  • Másolatot kap: Az e-mail-címek első 5000 karakterét jeleníti meg az üzenet Másolatot kap mezőjében.
  • Terjesztési lista: Megjeleníti a terjesztési csoportot (terjesztési listát), ha a címzett a lista tagjaként kapta meg az e-mailt. A legfelső szintű terjesztési csoport a beágyazott terjesztési csoportok esetében jelenik meg.
  • Továbbítás: Azt jelzi, hogy az üzenet automatikusan egy külső e-mail-címre lett-e továbbítva. Megjelenik a továbbító felhasználó és a továbbítás típusa (levelezési szabályok, levelezési szabályok vagy SMTP-továbbítás).

  ^*Az érték másolásához elérhető a Másolás a vágólapra művelet.

• Hitelesítés szakasz: Az e-mail-hitelesítési eredmények részletei:

  • Tartományalapú üzenethitelesítés (DMARC)
    • Pass: A DMARC ellenőrzi az átadott üzenetet.
    • Fail: Az üzenet DMARC-ellenőrzése sikertelen.
    • BestGuessPass: A tartomány DMARC TXT rekordja nem, de ha létezik ilyen, akkor az üzenet DMARC-ellenőrzése sikeres lett volna.
    • Nincs: Azt jelzi, hogy nincs DMARC TXT rekord a DNS-ben a küldő tartományhoz.
  • DomainKeys identified mail (DKIM): Az értékek a következők:
    • Pass: A DKIM ellenőrzi az átadott üzenetet.
    • Fail (reason): Az üzenet DKIM-ellenőrzése sikertelen. Például az üzenet nem DKIM-aláírással lett aláírva, vagy a DKIM aláírása nem lett ellenőrizve.
    • None: Az üzenet nem lett aláírva a DKIM-ben. Ez az eredmény jelezheti vagy nem jelzi, hogy a tartomány rendelkezik DKIM-rekorddal, vagy hogy a DKIM rekord nem értékeli ki az eredményt. Ez az eredmény csak azt jelzi, hogy ez az üzenet nem volt aláírva.
  • Sender Policy Framework (SPF): Az értékek a következők:
    • Pass (IP address): Az SPF-ellenőrzés azt észlelte, hogy az üzenetforrás érvényes a tartományra.
    • Fail (IP address): Az SPF-ellenőrzés azt észlelte, hogy az üzenetforrás nem érvényes a tartományra, és az SPF rekord kényszerítési szabálya -all (sikertelen).
    • SoftFail (reason): Az SPF-ellenőrzés azt észlelte, hogy az üzenetforrás nem érvényes a tartományra, és az SPF rekord kényszerítési szabálya ~all (helyreállítható hiba).
    • Neutral: Az SPF-ellenőrzés azt észlelte, hogy az üzenetforrás nem érvényes a tartományra, és az SPF rekord kényszerítési szabálya ?all (semleges).
    • None: A tartomány nem rendelkezik SPF rekorddal, vagy az SPF rekord nem értékeli ki az eredményt.
    • TempError: Az SPF-ellenőrzés ideiglenes hibát (például DNS-hibát) észlelt. Ugyanez az ellenőrzés később sikeres lehet.
    • PermError: Az SPF-ellenőrzés állandó hibát észlelt. A tartomány például rosszul formázott SPF rekorddal rendelkezik.
  • Összetett hitelesítés: Az SPF, a DKIM, a DMARC és más információk határozzák meg, hogy az üzenet feladója (a Feladó címe) hiteles-e. További információ: Összetett hitelesítés.

• Kapcsolódó entitások szakasz: Információ az üzenet mellékleteiről és URL-címeiről:

  • Entitás: A Mellékletek vagy URL-címek kiválasztásakor megnyitja az üzenet E-mail entitáslapjának Mellékletek nézetét vagy URL-címét.
  • Teljes szám
  • Fenyegetések találhatók: Az értékek Igen vagy Nem.

• Üzenet részletei terület:

  • Egyszerű szöveges e-mail fejléc lap: A teljes üzenetfejlécet egyszerű szövegként tartalmazza. Az üzenetfejléc másolásához válassza az Üzenetfejléc másolása lehetőséget. Válassza a Microsoft Message Header Analyzer elemet az Üzenetfejelemző megnyitásához itt https://mha.azurewebsites.net/pages/mha.html: . Illessze be a másolt üzenetfejlécet a lapra, majd válassza a Fejlécek elemzése lehetőséget az üzenetfejlécekkel és -értékekkel kapcsolatos részletekért.
  • To tab: Az e-mail-címek első 5000 karakterét jeleníti meg az üzenet Címzett mezőjében.
  • Másolatot kap lap: Az üzenet Másolatot kap mezőjében szereplő e-mail-címek első 5000 karakterét jeleníti meg.

Mellékletek nézet

A Mellékletek nézet az üzenet összes fájlmellékletéről és a mellékletek vizsgálati eredményeiről jelenít meg információkat.

Ebben a nézetben az alábbi mellékletadatok érhetők el. Jelöljön ki egy oszlopfejlécet az oszlop szerinti rendezéshez. Oszlopok hozzáadásához vagy eltávolításához válassza az Oszlopok testreszabása lehetőséget. Alapértelmezés szerint az összes elérhető oszlop ki van jelölve.

• Melléklet fájlneve: Ha a fájlnév értékére kattint
• Fájltípus
• Fájlméret
• Fájlkiterjesztés
• Fenyegetés
• Kártevőcsalád
• SHA256 melléklet: A Vágólapra másolás művelet az SHA256 érték másolásához érhető el.
• Részletek

A Keresés mező segítségével információkat kereshet a lapon. Írja be a szöveget a mezőbe, majd nyomja le az ENTER billentyűt.

Az Exportálás paranccsel exportálhatja a nézet adatait egy CSV-fájlba. Az alapértelmezett fájlnév a Microsoft Defender.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnevet egy számmal (például : Microsoft Defender(1).csv) fűzi hozzá.

Melléklet részletei

Ha kiválaszt egy bejegyzést a Mellékletek nézetben a Melléklet fájlnév értékére kattintva, megnyílik egy részletes úszó panel, amely a következő információkat tartalmazza:

• Részletes elemzés lap: Ezen a lapon információk érhetők el, ha a biztonságos mellékletek beolvasták (felrobbantották) a mellékletet. Ezeket az üzeneteket a Threat Explorerben a Fájl detonáció értékével rendelkező lekérdezésszűrő észlelési technológiával azonosíthatja.

  • Detonációs lánc szakasz: Egyetlen fájl biztonságos mellékletek detonációja több detonációt is kiválthat. A detonációs lánc nyomon követi a detonációk útvonalát, beleértve az ítéletet okozó eredeti kártékony fájlt, valamint a detonáció által érintett összes többi fájlt. Előfordulhat, hogy ezek a csatolt fájlok nem szerepelnek közvetlenül az e-mailben. Az elemzést is beleértve azonban fontos meghatározni, hogy a fájl miért talált kártékonynak.

    Ha nem áll rendelkezésre detonációs láncra vonatkozó információ, a No detonation tree (Robbanási fa nélkül ) érték jelenik meg. Ellenkező esetben az Exportálás lehetőséget választva letöltheti a detonációs lánc adatait egy CSV-fájlba. Az alapértelmezett fájlnév a Detonation chain.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnév hozzá lesz fűzve egy számhoz (például Detonation chain(1).csv). A CSV-fájl a következő információkat tartalmazza:

    • Felső: A legfelső szintű fájl.
    • Level1: A következő szintű fájl.
    • Level2: A következő szintű fájl.
    • és így tovább.

    A detonációs lánc és a CSV-fájl csak a legfelső szintű elemet jelenítheti meg, ha a hozzá kapcsolt entitások egyike sem volt problémás vagy robbantott.

  • Összefoglaló szakasz: Ha nem áll rendelkezésre detonációs összefoglaló információ, a No detonation summary (Nincs detonáció összegzése ) érték jelenik meg. Ellenkező esetben a következő detonáció-összefoglaló információk érhetők el:

    • Elemzési idő
    • Ítélet: Maga a melléklet ítélete.
    • További információ: A fájl mérete bájtban.
    • Biztonsági rések mutatói

  • Képernyőképek szakasz: A detonáció során rögzített képernyőképek megjelenítése. Más fájlokat tartalmazó tárolófájlok, például a ZIP vagy az RAR esetében nem készül képernyőkép.

    Ha nem érhetők el detonációs képernyőképek, a No screenshots to display (Nem jeleníthető meg képernyőképek ) érték jelenik meg. Ellenkező esetben kattintson a hivatkozásra a képernyőkép megtekintéséhez.

  • Viselkedés részletei szakasz: A detonáció során történt pontos eseményeket, valamint a detonáció során talált URL-eket, IP-címeket, tartományokat és fájlokat tartalmazó problémás vagy jóindulatú megfigyeléseket jeleníti meg. Előfordulhat, hogy a tárolófájlok, például a ZIP vagy a RAR nem tartalmaznak más fájlokat tartalmazó viselkedési adatokat.

    Ha nem érhetők el a viselkedés részleteire vonatkozó információk, a No detonation behaviors (Nincs robbanási viselkedés) érték jelenik meg. Ellenkező esetben az Exportálás lehetőséget választva letöltheti a viselkedési adatokat egy CSV-fájlba. Az alapértelmezett fájlnév a Behavior details.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnévhez egy szám lesz hozzáfűzve (például Viselkedés részletei(1).csv). A CSV-fájl a következő információkat tartalmazza:

    • Idő
    • Viselkedés
    • Behavior tulajdonság
    • Folyamat (PID)
    • Művelet
    • Target (Cél)
    • Részletek
    • Result (Eredmény)

• Fájladatok lap: A Fájl részletei szakasz a következő információkat tartalmazza:

  • Fájlnév
  • SHA256
  • Fájlméret (bájtban)

Ha végzett a fájl részleteit tartalmazó úszó panelen, válassza a Bezárás lehetőséget.

Mellékletek letiltása a Mellékletek nézetben

Ha kiválaszt egy bejegyzést a Mellékletek nézetben a fájlnév melletti jelölőnégyzet bejelölésével, a Blokkolás művelet elérhető. Ez a művelet blokkbejegyzésként adja hozzá a fájlt a Bérlői engedélyezés/tiltás listához. A Letiltás lehetőség választása elindítja a Művelet végrehajtása varázslót:

1. A Műveletek kiválasztása lapon konfigurálja az alábbi beállítások egyikét a Fájl blokkolása szakaszban:

   • Soha ne járjon le : Ez az alapértelmezett érték .
   • Soha ne járjon le : Húzza a kapcsolót ki állásba , majd jelöljön ki egy dátumot az Eltávolítás a következőn mezőben.

   Ha végzett a Műveletek kiválasztása lapon, válassza a Tovább gombot.

2. A Célentitások kiválasztása lapon ellenőrizze, hogy a letiltani kívánt fájl ki van-e jelölve, majd válassza a Tovább gombot.

3. A Véleményezés és küldés lapon konfigurálja a következő beállításokat:

   • Szervizelés neve: Adjon meg egy egyedi nevet az állapot nyomon követéséhez a Műveletközpontban.
   • Leírás: Adjon meg egy nem kötelező leírást.

   Ha végzett a Véleményezés és küldés oldalon, válassza a Küldés lehetőséget.

URL-nézet

Az URL-nézetben az üzenet összes URL-címével kapcsolatos információk és az URL-címek vizsgálati eredményei láthatók.

Ebben a nézetben az alábbi mellékletadatok érhetők el. Jelöljön ki egy oszlopfejlécet az oszlop szerinti rendezéshez. Oszlopok hozzáadásához vagy eltávolításához válassza az Oszlopok testreszabása lehetőséget. Alapértelmezés szerint az összes elérhető oszlop ki van jelölve.

• URL
• Fenyegetés
• Source (Forrás)
• Részletek

A Keresés mező segítségével információkat kereshet a lapon. Írja be a szöveget a mezőbe, majd nyomja le az ENTER billentyűt.

Az Exportálás paranccsel exportálhatja a nézet adatait egy CSV-fájlba. Az alapértelmezett fájlnév a Microsoft Defender.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnevet egy számmal (például : Microsoft Defender(1).csv) fűzi hozzá.

URL-cím részletei

Ha az URL-értékre kattintva kiválaszt egy bejegyzést az URL-nézetben , megnyílik egy részletes úszó panel, amely a következő információkat tartalmazza:

• Részletes elemzés lap: Ezen a lapon találhatók információk, ha a biztonságos hivatkozások beolvasták (felrobbantották) az URL-címet. Ezeket az üzeneteket a Threat Explorerben az URL-detonáció értékével rendelkező lekérdezésszűrő észlelési technológiájával azonosíthatja.

  • Detonation chain section: Safe Links detonation of a single URL can trigger multiple detonations. A detonációs lánc nyomon követi a detonációk útvonalát, beleértve az ítéletet okozó eredeti rosszindulatú URL-címet, valamint a detonáció által érintett összes többi URL-címet. Előfordulhat, hogy ezek az URL-címek nem szerepelnek közvetlenül az e-mailben. Az elemzés beleértése azonban fontos annak meghatározásához, hogy az URL-cím miért volt rosszindulatú.

    Ha nem áll rendelkezésre detonációs láncra vonatkozó információ, a No detonation tree (Robbanási fa nélkül ) érték jelenik meg. Ellenkező esetben az Exportálás lehetőséget választva letöltheti a detonációs lánc adatait egy CSV-fájlba. Az alapértelmezett fájlnév a Detonation chain.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnév hozzá lesz fűzve egy számhoz (például Detonation chain(1).csv). A CSV-fájl a következő információkat tartalmazza:

    • Felső: A legfelső szintű fájl.
    • Level1: A következő szintű fájl.
    • Level2: A következő szintű fájl.
    • és így tovább.

    A detonációs lánc és a CSV-fájl csak a legfelső szintű elemet jelenítheti meg, ha a hozzá kapcsolt entitások egyike sem volt problémás vagy robbantott.

  • Összefoglaló szakasz: Ha nem áll rendelkezésre detonációs összefoglaló információ, a No detonation summary (Nincs detonáció összegzése ) érték jelenik meg. Ellenkező esetben a következő detonáció-összefoglaló információk érhetők el:

    • Elemzési idő
    • Ítélet: Maga az URL-cím ítélete.

  • Képernyőképek szakasz: A detonáció során rögzített képernyőképek megjelenítése. A rendszer nem készít képernyőképeket, ha az URL-cím olyan hivatkozásra nyílik meg, amely közvetlenül letölt egy fájlt. A letöltött fájl azonban megjelenik a detonációs láncban.

    Ha nem érhetők el detonációs képernyőképek, a No screenshots to display (Nem jeleníthető meg képernyőképek ) érték jelenik meg. Ellenkező esetben kattintson a hivatkozásra a képernyőkép megtekintéséhez.

  • Viselkedés részletei szakasz: A detonáció során történt pontos eseményeket, valamint a detonáció során talált URL-eket, IP-címeket, tartományokat és fájlokat tartalmazó problémás vagy jóindulatú megfigyeléseket jeleníti meg.

    Ha nem érhetők el a viselkedés részleteire vonatkozó információk, a No detonation behaviors (Nincs robbanási viselkedés) érték jelenik meg. Ellenkező esetben az Exportálás lehetőséget választva letöltheti a viselkedési adatokat egy CSV-fájlba. Az alapértelmezett fájlnév a Behavior details.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnévhez egy szám lesz hozzáfűzve (például Viselkedés részletei(1).csv). A CSV-fájl a következő információkat tartalmazza:

    • Idő
    • Viselkedés
    • Behavior tulajdonság
    • Folyamat (PID)
    • Művelet
    • Target (Cél)
    • Részletek
    • Result (Eredmény)

• URL-információ lap: Az URL-adatok szakasz a következő információkat tartalmazza:

  • URL
  • Fenyegetés

Ha végzett a fájl részleteit tartalmazó úszó panelen, válassza a Bezárás lehetőséget.

URL-címek letiltása az URL-nézetben

Ha kiválaszt egy bejegyzést az URL-nézetben a fájlnév melletti jelölőnégyzet bejelölésével, a Blokkolás művelet elérhető. Ez a művelet blokkbejegyzésként adja hozzá az URL-címet a bérlői engedélyezési/tiltólistához. A Letiltás lehetőség választása elindítja a Művelet végrehajtása varázslót:

1. A Műveletek kiválasztása lapon konfigurálja az alábbi beállítások egyikét az URL-cím letiltása szakaszban:

   • Soha ne járjon le : Ez az alapértelmezett érték .
   • Soha ne járjon le : Húzza a kapcsolót ki állásba , majd jelöljön ki egy dátumot az Eltávolítás a következőn mezőben.

   Ha végzett a Műveletek kiválasztása lapon, válassza a Tovább gombot.

2. A Célentitások kiválasztása lapon ellenőrizze, hogy a letiltani kívánt URL-cím ki van-e jelölve, majd válassza a Tovább gombot.

3. A Véleményezés és küldés lapon konfigurálja a következő beállításokat:

   • Szervizelés neve: Adjon meg egy egyedi nevet az állapot nyomon követéséhez a Műveletközpontban.
   • Leírás: Adjon meg egy nem kötelező leírást.

   Ha végzett a Véleményezés és küldés oldalon, válassza a Küldés lehetőséget.

Hasonló e-mailek nézet

A Hasonló e-mailek nézetben más, az üzenet törzséhez hasonló ujjlenyomattal rendelkező e-mailek láthatók. A más üzenetekben megadott feltételek nem vonatkoznak erre a nézetre (például fájlmelléklet ujjlenyomatai).

Ebben a nézetben az alábbi mellékletadatok érhetők el. Jelöljön ki egy oszlopfejlécet az oszlop szerinti rendezéshez. Oszlopok hozzáadásához vagy eltávolításához válassza az Oszlopok testreszabása lehetőséget. Alapértelmezés szerint az összes elérhető oszlop ki van jelölve.

• Date
• Tárgy
• Címzett
• Feladó
• Feladó IP-címe
• Átgázol
• Kézbesítési művelet
• Kézbesítés helye

A Szűrővel szűrheti a bejegyzéseket a kezdő dátum és a záró dátum szerint.

A Keresés mező segítségével információkat kereshet a lapon. Írja be a szöveget a mezőbe, majd nyomja le az ENTER billentyűt.

Az Exportálás paranccsel exportálhatja a nézet adatait egy CSV-fájlba. Az alapértelmezett fájlnév a Microsoft Defender.csv , az alapértelmezett hely pedig a Letöltések mappa. Ha már létezik ilyen nevű fájl, a fájlnevet egy számmal (például : Microsoft Defender(1).csv) fűzi hozzá.

Műveletek az E-mail entitás oldalán

Az E-mail entitás oldalának tetején a következő műveletek érhetők el:

• Művelet végrehajtása: További információt a Veszélyforrás-keresés: A Művelet végrehajtása varázsló című témakörben talál.
• E-mail előnézete¹ ²
• További lehetőségek:

  • Lépjen a karanténba helyezett e-mailhez: Csak akkor érhető el, ha az üzenet karanténba lett helyezve. A művelet kiválasztásával megnyílik az E-mail lap a Karantén lapon https://security.microsoft.com/quarantine, az üzenet egyedi Üzenetazonosító értéke alapján szűrve. További információ: Karanténba helyezett e-mailek megtekintése.

  • E-mail letöltése¹ ²

    Tipp

    A letöltési e-mail nem érhető el a karanténba helyezett üzenetekhez. Ehelyett töltse le az üzenet jelszóval védett másolatát a karanténból.

¹ Az E-mail előnézete és az E-mail letöltése művelethez előzetes verziójú szerepkörre van szükség. Ezt a szerepkört a következő helyeken rendelheti hozzá:

• Microsoft Defender XDR egyesített szerepköralapú hozzáférés-vezérlés (RBAC) (Ha az e-mail & együttműködéshez>Az Office 365-höz készült Defender engedélyei aktívak. Csak a Defender portált érinti, a PowerShellt nem): Biztonsági műveletek/Nyers adatok (e-mail & együttműködés)/E-mail & együttműködési tartalom (olvasás).
• E-mail & együttműködési engedélyek a Microsoft Defender portálon: Tagság az Adatnyomozó vagy az Elektronikus adatok feltárása kezelő szerepkörcsoportban. Vagy létrehozhat egy új szerepkörcsoportot az Előzetes verzió szerepkörrel, és hozzáadhatja a felhasználókat az egyéni szerepkörcsoporthoz.

² Megtekintheti vagy letöltheti a Microsoft 365-postaládákban elérhető e-maileket. Példák arra, amikor az üzenetek már nem érhetők el a postaládákban:

• Az üzenet el lett dobva, mielőtt a kézbesítés vagy a kézbesítés meghiúsult.
• Az üzenetet nem sikerült törölni.
• Az üzenet kézbesítési helye helyszíni/külső.
• A ZAP karanténba helyezte az üzenetet.

Az E-mail összegzése panel

Az E-mail összegzése panel az e-mail részletei úszó panel, amely az Exchange Online Protection (EOP) és az Office 365-höz készült Defender számos funkciójában elérhető. Az E-mail összegzése panel az Office 365-höz készült Defender E-mail entitás lapján elérhető teljes részletekből származó, szabványosított összefoglaló információkat tartalmaz az e-mail üzenetről.

Az E-mail összegzése panel megkeresésének helyét a cikk korábbi, Az E-mail entitás lapjának helye című szakasza ismerteti. A szakasz további része az E-mail összegzése panelen elérhető összes funkciót ismerteti.

Tipp

Az E-mail összegzése panel a Műveletközpont lap https://security.microsoft.com/action-center/Függőben vagy Előzmények lapján érhető el. Jelöljön ki egy műveletet az E-mailentitástípus értékével, ha a jelölőnégyzeten vagy a Vizsgálati azonosító értéken kívül bárhová kattint. A megnyíló részletes úszó panel az E-mail összegzése panel, de az E-mail megnyitása entitás nem érhető el az úszó panel tetején.

A következő üzenetinformációk érhetők el az E-mail összegzése panel tetején:

• Az úszó panel címe a Tárgy érték.
• Az üzenet mellékleteinek és hivatkozásainak száma (nem minden funkcióban).
• Az üzenet címzettjeihez rendelt felhasználói címkék (beleértve a Prioritás fiókcímkét is). További információ: Felhasználói címkék az Office 365-höz készült Microsoft Defenderben
• Az úszó panel tetején elérhető műveletek attól függenek, hogy hol nyitotta meg az E-mail összegzése panelt. Az elérhető műveleteket az egyes funkciókról szóló cikkek ismertetik.

Tipp

Ha az aktuális üzenet E-mail összefoglaló paneljének elhagyása nélkül szeretné megtekinteni a többi üzenet részleteit, használja az Előző elem és a Következő elemet az úszó panel tetején.

A következő szakaszok az E-mail összegzése panelen érhetők el az összes funkcióhoz (nem számít, hogy honnan nyitotta meg az E-mail összegzése panelt):

• Szállítási részletek szakasz:

  • Eredeti fenyegetések
  • Legújabb fenyegetések
  • Eredeti hely
  • Legutóbbi kézbesítési hely
  • Kézbesítési művelet
  • Észlelési technológiák
  • Elsődleges felülbírálás: Forrás

• E-mail részletei szakasz:

  • Feladó megjelenítendő neve
  • Feladó címe
  • Feladó e-mail címe
  • Elküldve a nevében:
  • Visszatérési útvonal
  • Feladó IP-címe
  • Hely
  • Címzett(ek)
  • Beérkezés időpontja
  • Irány
  • Hálózati üzenet azonosítója
  • Internetes üzenet azonosítója
  • Kampányazonosító
  • DMARC
  • DKIM
  • SPF
  • Összetett hitelesítés

• URL-címek szakasz: Az üzenetben található URL-címek részletei:

  • URL
  • Fenyegetés állapota

  Ha az üzenet háromnál több URL-címmel rendelkezik, az összes URL megtekintéséhez válassza az Összes URL-cím megtekintése lehetőséget.

• Mellékletek szakasz: Az üzenetben található fájlmellékletek részletei:

  • Melléklet neve
  • Fenyegetés
  • Észlelési technológia / Kártevőcsalád

  Ha az üzenet háromnál több mellékletet tartalmaz, az összes melléklet megtekintéséhez válassza az Összes melléklet megtekintése lehetőséget.