Pagina Entità posta elettronica

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft 365 Defender per Office 365 Piano 2? Usare la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione qui.

Gli amministratori di Microsoft 365 E5 e Microsoft Defender per Office 365 (piano 1) e e piano 2 hanno una visualizzazione a 360 gradi della posta elettronica usando la pagina dell'entità Email. Questa pagina di posta elettronica di go-to è stata creata per migliorare le informazioni fornite in Microsoft Defender per Office 365 e Microsoft Defender XDR.

Vedere i dettagli della posta elettronica nelle esperienze seguenti, tra cui l'anteprima e il download del messaggio di posta elettronica, le intestazioni di posta elettronica con l'opzione di copia, i dettagli di rilevamento, le minacce rilevate, i percorsi di recapito più recenti e originali, le azioni di recapito e gli ID come ID avviso, ID messaggio di rete e altro ancora.

Come accedere alla pagina dell'entità di posta elettronica

Ovunque si trovino i dettagli di posta elettronica in tutto il Microsoft Defender per Office 365, sono disponibili i dettagli dell'entità di posta elettronica. Tra queste vi sono anche:

  • Esplora minacce
  • Ricerca avanzata
  • Avvisi
  • Quarantena
  • Invii
  • Creazione di report
  • Centro notifiche

Un modo per accedere alla pagina dell'entità di posta elettronica è Esplora minacce, ma i passaggi rimangono invariati ovunque si trovino i dettagli della posta elettronica. Passare al portale di Microsoft Defender in https://security.microsoft.com, Email & Collaboration>Explorer. In alternativa, per passare direttamente alla pagina Esplora risorse, usare https://security.microsoft.com/threatexplorer.

  1. In Esplora risorse selezionare l'oggetto di un messaggio di posta elettronica in corso di analisi.
  2. Verrà aperto il riquadro a comparsa del messaggio di posta elettronica.
  3. Viene visualizzata l'entità Apri posta elettronica.
  4. Selezionarlo per l'approfondimento della posta elettronica.

Con il messaggio di posta elettronica selezionato, si ottiene un riquadro a comparsa con i dettagli e la pagina Apri entità per il messaggio di posta elettronica nella parte superiore.

Immagine della pagina dell'entità di posta elettronica incentrata sulle intestazioni che verranno visualizzate

Nota

Le autorizzazioni necessarie per visualizzare e usare questa pagina sono le stesse di Explorer. L'amministratore deve essere membro dell'amministratore globale o del lettore globale, dell'amministratore della sicurezza o del lettore di sicurezza. Per altre informazioni, vedere Autorizzazioni nel portale di Microsoft Defender.

Come leggere la pagina dell'entità di posta elettronica

La struttura è progettata per essere facile da leggere e navigare a colpo d'occhio. Varie schede nella parte superiore della pagina consentono di analizzare in modo più dettagliato. Ecco come funziona il layout:

  1. I campi più richiesti si trovano sul lato sinistro del riquadro a comparsa. Questi dettagli sono "appiccicosi", ovvero sono ancorati a sinistra, indipendentemente dalla scheda a cui si passa nel resto del riquadro a comparsa.

    Immagine della pagina dell'entità di posta elettronica con il lato sinistro evidenziato

  2. Nell'angolo in alto a destra sono presenti le azioni che possono essere eseguite su un messaggio di posta elettronica. Tutte le azioni che possono essere eseguite tramite Esplora risorse sono disponibili anche tramite la pagina dell'entità di posta elettronica.

    Immagine della pagina dell'entità di posta elettronica con il lato destro evidenziato

  3. È possibile eseguire un'analisi più approfondita ordinando il resto della pagina. Controllare i dettagli di rilevamento della posta elettronica, lo stato di autenticazione della posta elettronica e l'intestazione. Questa area deve essere esaminata caso per caso, ma le informazioni in queste schede sono disponibili per qualsiasi messaggio di posta elettronica.

    Pannello principale della pagina che include l'intestazione di posta elettronica e lo stato di autenticazione

Come usare le schede della pagina dell'entità di posta elettronica

Le schede nella parte superiore della pagina dell'entità consentono di analizzare la posta elettronica in modo efficiente.

  1. Sequenza temporale: la visualizzazione sequenza temporale per un messaggio di posta elettronica (per sequenza temporale di Explorer ) mostra il recapito originale agli eventi di post-recapito che si verificano in un messaggio di posta elettronica. Per i messaggi di posta elettronica senza azioni post-recapito, la visualizzazione mostra la riga di recapito originale nella visualizzazione sequenza temporale. Eventi come: eliminazione automatica a zero ore (ZAP), correzioni, invii di utenti e Amministrazione, informazioni sulla quarantena, clic sugli URL e altro, da origini come sistema, amministratore e utente, vengono visualizzate qui nell'ordine in cui si sono verificate.
  2. Analisi: l'analisi mostra i campi che consentono agli amministratori di analizzare in modo approfondito un messaggio di posta elettronica. Per i casi in cui gli amministratori devono comprendere meglio i dettagli di rilevamento, mittente/destinatario e autenticazione tramite posta elettronica, devono usare la scheda Analisi. Collegamenti per allegati e URL sono disponibili anche in questa pagina, in "Entità correlate". Sia gli allegati che le minacce identificate sono numerato qui e fare clic per passare direttamente alle pagine Allegati e URL. Questa scheda include anche un'opzione Visualizza intestazione per visualizzare l'intestazione del messaggio di posta elettronica. Gli amministratori possono confrontare tutti i dettagli delle intestazioni di posta elettronica, affiancati alle informazioni nel pannello principale, per maggiore chiarezza.
  3. Allegati: esamina gli allegati trovati nel messaggio di posta elettronica con altri dettagli trovati negli allegati. Il numero di allegati visualizzati è attualmente limitato a 10. Si noti che i dettagli della detonazione per gli allegati trovati dannosi sono visualizzati anche qui.
  4. URL: questa scheda elenca gli URL presenti nel messaggio di posta elettronica con altri dettagli sugli URL. Al momento il numero di URL è limitato a 10, ma questi 10 hanno la priorità per mostrare prima gli URL dannosi. La definizione delle priorità consente di risparmiare tempo e congetture. Gli URL che sono stati trovati per essere dannosi e detonati sono anche mostrati qui.
  5. Messaggi di posta elettronica simili: questa scheda elenca tutti i messaggi di posta elettronica simili alla combinazione id messaggio di rete e destinatario specifica di questo messaggio di posta elettronica. La somiglianza si basa solo sul corpo del messaggio. Le determinazioni effettuate sui messaggi di posta elettronica per classificarli come "simili" non includono una considerazione degli allegati.

Disponibile nella pagina dell'entità di posta elettronica

Ecco alcune specifiche utili per iniziare.

Email anteprima e download per le cassette postali cloud

Gli amministratori possono visualizzare in anteprima e scaricare i messaggi di posta elettronica nelle cassette postali cloud, se i messaggi sono ancora accessibili a Microsoft in una cassetta postale Exchange Online. In caso di eliminazione temporanea (da parte di un amministratore o di un utente) o zap (per la quarantena), i messaggi di posta elettronica non sono più presenti nella cassetta postale Exchange Online. In tal caso, gli amministratori non saranno in grado di visualizzare in anteprima o scaricare tali messaggi di posta elettronica specifici. I messaggi di posta elettronica che sono stati eliminati o in cui il recapito non è riuscito non sono mai stati recapitati nella cassetta postale e, di conseguenza, gli amministratori non saranno in grado di visualizzare in anteprima o scaricare tali messaggi di posta elettronica.

Avviso

L'anteprima e il download dei messaggi di posta elettronica richiedono un ruolo speciale denominato Anteprima. È possibile aggiungere questo ruolo nel portale di Microsoft Defender come descritto in Email & ruoli di collaborazione nel portale di Microsoft Defender. Potrebbe essere necessario creare un nuovo gruppo di ruoli di collaborazione Email & e aggiungere il ruolo Anteprima al nuovo gruppo di ruoli o aggiungere il ruolo Anteprima a un gruppo di ruoli che consenta agli amministratori dell'organizzazione di lavorare in Esplora risorse.

Dettagli detonazione

Questi dettagli sono specifici per gli URL e gli allegati di posta elettronica. Gli utenti possono visualizzare questi dettagli passando a Explorer e applicando il filtro della tecnologia di rilevamento impostato sulla detonazione dei file o sulla detonazione dell'URL. I messaggi di posta elettronica filtrati per la detonazione dei file contengono un file dannoso con dettagli di detonazione e quelli filtrati per gli URL contengono un URL dannoso e i relativi dettagli di detonazione.

Gli utenti visualizzano dettagli di detonazione arricchiti per allegati dannosi noti o URL trovati nei loro messaggi di posta elettronica, che sono stati fatti esplodere per il tenant specifico. Include i dettagli della catena di detonazione, del riepilogo della detonazione, dello screenshot e del comportamento osservato per aiutare i clienti a capire perché l'allegato o l'URL è stato considerato dannoso e detonato.

  1. Catena di detonazione. Una singola detonazione di file o URL può attivare più detonazioni. La catena Detonation tiene traccia del percorso delle detonazioni, incluso il file o l'URL dannoso originale che ha causato il verdetto e tutti gli altri file o URL interessati dalla detonazione. Questi URL o file allegati potrebbero non essere direttamente presenti nel messaggio di posta elettronica, ma includere tale analisi è importante per determinare il motivo per cui il file o l'URL è stato trovato dannoso.

    Nota

    Questo può mostrare solo l'elemento di primo livello se nessuna delle entità ad essa collegate è risultata problematica o se è stata fatta esplodere.

  2. Riepilogo detonazione fornisce un riepilogo di base per la detonazione, ad esempio il tempo di analisi, il momento in cui si è verificata la detonazione, il sistema operativo e l'applicazione in cui si è verificata la detonazione, le dimensioni del file e il motivo del verdetto.

  3. Screenshot che mostrano gli screenshot acquisiti durante la detonazione. Durante la detonazione possono essere presenti più screenshot. Non vengono acquisiti screenshot per

    • File di tipo contenitore come .zip o .rar.
    • Se si apre un URL in un collegamento che scarica direttamente un file. Tuttavia, il file scaricato verrà visualizzato nella catena di detonazione.

  4. Dettagli comportamento è un'esportazione che mostra i dettagli del comportamento come gli eventi esatti che si sono verificati durante la detonazione e osservabili che contengono URL, INDIRIZZI IP, domini e file trovati durante la detonazione (e possono essere problematici o benigni). Tenere presente che potrebbero non essere presenti dettagli sul comportamento per:

    • File contenitore come .zip o .rar che contengono altri file.

Riepilogo della detonazione che mostra la catena, il riepilogo, i dettagli della detonazione e lo screenshot sotto l'intestazione *Deep Analysis*

Altre funzionalità che rendono utile la pagina dell'entità Email

Tag: si tratta di tag applicati agli utenti. Se l'utente è un destinatario, gli amministratori visualizzeranno un tag di destinatario . Analogamente, se l'utente è un mittente, un tag mittente . Questo viene visualizzato nel lato sinistro della pagina delle entità di posta elettronica (nella parte descritta come appiccicosa e, di conseguenza, ancorata alla pagina).

Posizione di recapito più recente: la posizione di recapito più recente è la posizione in cui un messaggio di posta elettronica è stato recapitato dopo il completamento di azioni di sistema come ZAP o azioni di amministratore come Sposta in elementi eliminati. Il percorso di recapito più recente non è destinato a informare gli amministratori della posizione corrente del messaggio. Ad esempio, se un utente elimina un messaggio o lo sposta nell'archivio, il percorso di recapito non verrà aggiornato. Tuttavia, se è stata eseguita un'azione di sistema e la posizione è stata aggiornata (ad esempio, uno ZAP che comporta lo spostamento di un messaggio di posta elettronica in quarantena), il percorso di recapito più recente verrà aggiornato in quarantena.

Email dettagli: dettagli necessari per una comprensione più approfondita della posta elettronica disponibile nella scheda Analisi.

  • Regole del flusso di posta di Exchange (note anche come regole di trasporto): queste regole vengono applicate a un messaggio a livello di trasporto e hanno la precedenza sui verdetti di phishing e posta indesiderata. Le regole del flusso di posta vengono create e modificate nell'interfaccia di amministrazione di Exchange in https://admin.exchange.microsoft.com/#/transportrules, ma se una regola del flusso di posta si applica a un messaggio, il nome e il GUID della regola verranno visualizzati qui. Informazioni preziose a scopo di rilevamento.

  • Override primario: origine: l'override primario e l'origine fanno riferimento all'impostazione del tenant o dell'utente che ha influenzato il recapito del messaggio di posta elettronica, ignorando il percorso di recapito specificato dal sistema (in base alla tecnologia di rilevamento e minaccia). Ad esempio, potrebbe trattarsi di un messaggio di posta elettronica bloccato a causa di una regola del flusso di posta configurata dal tenant o di un messaggio di posta elettronica consentito a causa di un'impostazione dell'utente finale per Mittenti attendibili.

  • Tutte le sostituzioni: tutte le sostituzioni fanno riferimento all'elenco di sostituzioni (impostazioni tenant o utente) applicate al messaggio di posta elettronica, che potrebbero avere avuto un impatto o meno sul recapito di un messaggio di posta elettronica. Ad esempio, se a un messaggio di posta elettronica viene applicata una regola del flusso di posta configurato dal tenant e un'impostazione dei criteri configurata dal tenant (ad esempio, dall'elenco tenant consentiti/bloccati), entrambi verranno elencati in questo campo. È possibile controllare il campo di override primario per determinare l'impostazione che ha influenzato il recapito del messaggio di posta elettronica.

  • Livello di reclamo bulk (BCL): livello di reclamo bulk (BCL) del messaggio. Un BCL superiore indica che è più probabile che un messaggio di posta elettronica in blocco generi reclami (il risultato naturale se l'e-mail è probabilmente posta indesiderata).

  • Livello di attendibilità della posta indesiderata (SCL): livello di attendibilità della posta indesiderata (SCL) del messaggio. Più alto è il valore, maggiore è la probabilità che si tratti di un messaggio di posta indesiderata.

  • Tipo client: indica il tipo di client da cui è stato inviato il messaggio di posta elettronica come REST.

  • Inoltro: per gli scenari con inoltro automatico, indica l'utente di inoltro e il tipo di inoltro, ad esempio l'inoltro ETR o SMTP.

  • Lista di distribuzione: mostra la lista di distribuzione, se il destinatario ha ricevuto il messaggio di posta elettronica come membro dell'elenco. Visualizza la lista di distribuzione di primo livello se sono presenti liste di distribuzione annidate coinvolte.

  • A, Cc: indica gli indirizzi elencati nei campi A e Cc di un messaggio di posta elettronica. Le informazioni contenute in questi campi sono limitate a 5000 caratteri.

  • Nome di dominio: è il nome di dominio del mittente.

  • Proprietario di dominio: specifica il proprietario del dominio di invio.

  • Percorso dominio: specifica il percorso del dominio di invio.

  • Data di creazione del dominio: specifica la data di creazione del dominio di invio. Un dominio appena creato è qualcosa di cui si potrebbe essere cauti se altri segnali indicano un comportamento sospetto.

autenticazione Email: Email metodi di autenticazione usati da Microsoft 365 includono SPF, DKIM e DMARC.

  • Sender Policy Framework (SPF): descrive i risultati del controllo SPF per il messaggio. I valori possibili possono essere:

    • Pass (indirizzo IP): controllo SPF per il messaggio passato e include l'indirizzo IP del mittente. Il client è autorizzato a inviare o inoltrare la posta elettronica per conto del dominio del mittente.
    • Fail (indirizzo IP): il controllo SPF per il messaggio non è riuscito e include l'indirizzo IP del mittente. Talvolta viene definito controllo non riuscito.
    • Softfail (motivo): il record SPF ha designato l'host come non autorizzato all'invio, ma è in transizione.
    • Neutrale: il record SPF indica in modo esplicito che non afferma se l'indirizzo IP è autorizzato a inviare.
    • Nessuno: il dominio non ha un record SPF o il record SPF non restituisce un risultato.
    • Temperror: si è verificato un errore temporaneo. Ad esempio, un errore DNS. Il medesimo controllo potrebbe avere esito positivo in seguito.
    • Permerror: si è verificato un errore permanente. Ad esempio, il dominio presenta un record SPF con formato non valido.

  • DomainKeys Identified Mail (DKIM):

    • Pass: indica il controllo DKIM per il messaggio passato.
    • Errore (motivo): indica il controllo DKIM per il messaggio non riuscito e il motivo. Ad esempio, se il messaggio non è stato firmato o se la firma non è stata verificata.
    • Nessuno: indica che il messaggio non è stato firmato. Questo potrebbe indicare o meno che il dominio ha un record DKIM o che il record DKIM non restituisce un risultato, solo che questo messaggio non è stato firmato.

  • Autenticazione dei messaggi basata su dominio, creazione di report e conformità (DMARC):

    • Pass: indica il controllo DMARC per il messaggio passato.
    • Fail: indica che il controllo DMARC per il messaggio non è riuscito.
    • Bestguesspass: indica che non esiste alcun record TXT DMARC per il dominio, ma se ne esistesse uno, il controllo DMARC per il messaggio sarebbe passato.
    • Nessuno: indica che non esiste alcun record TXT DMARC per il dominio di invio in DNS.

Autenticazione composita: valore usato da Microsoft 365 per combinare l'autenticazione tramite posta elettronica, ad esempio SPF, DKIM e DMARC, per determinare se il messaggio è autenticato. Usa il dominio From: della posta elettronica come base di valutazione.

Azioni che è possibile eseguire nella pagina dell'entità Email

I team di sicurezza possono eseguire azioni di posta elettronica. Ad esempio:

  • Eliminazione temporanea ed eliminazione rigida.
  • Passare alla spazzatura.
  • Passare alla posta in arrivo.
  • Attivare un'indagine.
  • Inviare a Microsoft per la revisione in linea.

È anche possibile attivare azioni di blocco a livello di tenant per file, URL o mittenti dalla pagina dell'entità Email.

Sarà possibile selezionare Esegui azioni dall'angolo in alto a destra della pagina dell'entità e verrà aperta la Procedura guidata azione per selezionare l'azione specifica necessaria.

Consiglio

Si aggiunge la possibilità di eseguire più azioni insieme. È possibile eseguire azioni di correzione della posta elettronica, creare invii, azioni di blocco a livello di tenant (mittenti di blocco, domini, file e URL), azioni investigative e correzione proposta dallo stesso pannello. Le azioni sono ora contestuali e raggruppate in base alla posizione più recente del messaggio di posta elettronica.

Eseguire un'azione dalla pagina dell'entità.

Nella procedura guidata azione esistente è possibile eseguire azioni di posta elettronica, creare invii di posta elettronica, bloccare mittenti e domini mittente, eseguire azioni investigative ed eseguire l'approvazione in due passaggi (aggiunta alla correzione) nello stesso riquadro a comparsa. Il riquadro a comparsa segue un flusso coerente per semplificare l'uso. L'Azione guidata usa lo stesso sistema delle azioni di Explorer, ad esempio per le azioni Elimina, Invii e Indagine. È possibile visualizzare e tenere traccia di queste azioni nel centro notifiche unificato all'indirizzo https://security.microsoft.com/action-center/history (per i messaggi di posta elettronica eliminati), nella pagina Invio all'indirizzo https://security.microsoft.com/reportsubmission (per gli invii) e nella pagina Elenco https://security.microsoft.com/tenantAllowBlockList tenant consentiti/bloccati (per le voci di blocco).

Consiglio

Queste prestazioni comportano i vantaggi seguenti:

  • SecOps può ora selezionare più azioni insieme nel singolo flusso.
  • Le azioni sono raggruppate per un raggruppamento logico di azioni di messaggi buoni (falsi positivi) e non validi (falsi negativi).
  • Le azioni sono di natura contestuale nello stesso pannello. Ad esempio, se il messaggio si trova già nella posta in arrivo, l'azione Sposta in posta in arrivo è disattivata.

Non sono presenti modifiche alle autorizzazioni dell'azione.

Verranno inoltre visualizzati i blocchi a livello di tenant per URL e allegati nelle rispettive schede entità, URL e allegatiEmail. Dopo l'approvazione, è possibile tenere traccia delle voci di blocco per URL e allegati nelle schede URL e file nella pagina Tenant Allow/Block List .After approval, you can track the block entries for URLls and attachments on the URLls and Files tabs in the Tenant Allow/Block List page.

Eseguire l'azione blocca URL dalla pagina dell'entità.

Vedere le autorizzazioni necessarie per eseguire queste azioni.

Pannello di riepilogo Email

Il pannello di riepilogo della posta elettronica è una visualizzazione riepilogativa della pagina completa dell'entità di posta elettronica. Contiene dettagli standardizzati sul messaggio di posta elettronica (ad esempio, rilevamenti), nonché informazioni specifiche del contesto (ad esempio, per i metadati quarantena o invio). Il pannello di riepilogo dei messaggi di posta elettronica sostituisce i riquadri a comparsa di posta elettronica tradizionali in Microsoft Defender per Office 365.

Aprire il collegamento all'entità di posta elettronica.

Nota

Per visualizzare tutti i componenti, fare clic sul collegamento Apri entità di posta elettronica per aprire la pagina completa dell'entità di posta elettronica.

Il pannello di riepilogo della posta elettronica è suddiviso nelle sezioni seguenti:

  • Dettagli recapito: contiene informazioni sulle minacce e sul livello di attendibilità corrispondente, sulle tecnologie di rilevamento e sul percorso di recapito originale e più recente.

  • Email dettagli: contiene informazioni sulle proprietà di posta elettronica, ad esempio il nome del mittente, l'indirizzo del mittente, l'ora di ricezione, i dettagli di autenticazione e altri dettagli.

  • URL: per impostazione predefinita, vengono visualizzati 3 URL e le relative minacce corrispondenti. È sempre possibile selezionare Visualizza tutti gli URL per espandere e visualizzare tutti gli URL ed esportarli.

  • Allegati: per impostazione predefinita, vengono visualizzati 3 allegati. È sempre possibile selezionare Visualizza tutti gli allegati per espandere e visualizzare tutti gli allegati.

Oltre alle sezioni precedenti, vengono visualizzate anche sezioni specifiche per alcune esperienze integrate con il pannello di riepilogo:

  • Osservazioni:

    • Dettagli dell'invio: contiene informazioni sugli invii specifici, ad esempio:

      • Data di invio
      • Oggetto
      • Tipo di invio
      • Motivo dell'invio
      • ID invio
      • Inviato da

    • Dettagli dei risultati: i messaggi inviati vengono esaminati. È possibile visualizzare il risultato dell'invio e tutti i passaggi successivi consigliati.

  • Quarantena:

    • Dettagli quarantena: contiene dettagli specifici della quarantena. Per altre informazioni, vedere Gestire i messaggi in quarantena.

      • Scadenza: data/ora in cui il messaggio viene eliminato automaticamente e definitivamente dalla quarantena.
      • Rilasciato a: tutti gli eventuali indirizzi di posta elettronica a cui il messaggio è stato rilasciato.
      • Non ancora rilasciato a: tutti gli indirizzi di posta elettronica (se presenti) in cui il messaggio non è ancora stato rilasciato.

    • Azioni di quarantena: per altre informazioni sulle diverse azioni di quarantena, vedere Gestire i messaggi in quarantena.