Usare la pagina Invii per inviare messaggi di posta indesiderata, phishing, URL, messaggi di posta elettronica legittimi bloccati e allegati di posta elettronica a Microsoft
Consiglio
Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
Per altre informazioni su come Microsoft archivia e gestisce gli invii, vedere questo articolo.
Nelle organizzazioni di Microsoft 365 con cassette postali Exchange Online, gli amministratori possono usare la pagina Invii nel portale di Microsoft Defender per inviare messaggi, URL e allegati a Microsoft per l'analisi. Esistono due tipi di invii di amministratore di base:
invii originati da Amministrazione: gli amministratori identificano e segnalano messaggi, allegati o URL (entità) selezionando Invia a Microsoft per l'analisi dalle schede nella pagina Invii, come descritto nella sezione invii originati da Amministrazione.
Dopo che l'amministratore ha segnalato l'entità, viene visualizzata una voce nella scheda corrispondente nella pagina Invii (in qualsiasi punto tranne la scheda Segnalata dall'utente ).
Amministrazione invio di messaggi segnalati dall'utente: l'esperienza di creazione di report utente predefinita è attivata e configurata. I messaggi segnalati dall'utente vengono visualizzati nella scheda Utente segnalato nella pagina Invii e gli amministratori inviano o inviano nuovamente i messaggi a Microsoft dalla scheda Utente segnalato .
Dopo che un amministratore ha inviato il messaggio dalla scheda Utente segnalato , viene creata anche una voce nella scheda corrispondente nella pagina Invii (ad esempio, la scheda Messaggi di posta elettronica ). Questi tipi di invii di amministratori sono descritti nella sezione opzioni di Amministrazione per i messaggi segnalati dall'utente.
Quando gli amministratori o gli utenti inviano messaggi a Microsoft per l'analisi, vengono eseguiti i controlli seguenti:
- Email controllo dell'autenticazione (solo messaggi di posta elettronica): indica se l'autenticazione tramite posta elettronica è stata superata o non riuscita al momento del recapito.
- Riscontri dei criteri: informazioni su eventuali criteri o sostituzioni che potrebbero aver consentito o bloccato la posta elettronica in ingresso nell'organizzazione, ignorando così i verdetti di filtro.
- Reputazione/detonazione del payload: esame aggiornato di eventuali URL e allegati nel messaggio.
- Analisi del classificatore: verifica eseguita dai classificatori umani per verificare se i messaggi sono dannosi o meno.
Importante
Nelle organizzazioni governative degli Stati Uniti (Microsoft 365 GCC, GCC High e DoD), gli amministratori possono inviare messaggi di posta elettronica a Microsoft per l'analisi, ma i messaggi vengono analizzati solo per l'autenticazione e i criteri di posta elettronica. La reputazione del payload, la detonazione e l'analisi del classificatore non vengono eseguite per motivi di conformità (i dati non possono lasciare il limite dell'organizzazione).
Guardare questo breve video per informazioni su come usare gli invii di amministratori in Microsoft Defender per Office 365 per inviare messaggi a Microsoft per la valutazione.
Per altre informazioni su come gli utenti possono inviare messaggi e file a Microsoft, vedere Segnalare messaggi e file a Microsoft.
Per altri modi in cui gli amministratori possono segnalare i messaggi a Microsoft nel portale di Defender, vedere Impostazioni di report correlate per gli amministratori.
Che cosa è necessario sapere prima di iniziare?
Aprire il portale di Microsoft Defender all'indirizzo https://security.microsoft.com/. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Prima di poter eseguire le procedure descritte in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
- Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender, non su PowerShell: operazioni di sicurezza/Dati di sicurezza/Risposta (gestione) o Operazioni di sicurezza/Dati di sicurezza/Nozioni di base sui dati di sicurezza (lettura).
- Email & autorizzazioni di collaborazione nel portale di Microsoft Defender: appartenenza ai gruppi di ruoli Amministratore sicurezza o Lettore di sicurezza.
- Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore della sicurezza o Lettore di sicurezza offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.
Gli amministratori possono inviare messaggi di posta elettronica vecchi di 30 giorni se sono ancora disponibili nella cassetta postale e non sono stati eliminati dall'utente o da un amministratore.
Amministrazione gli invii sono limitati alle tariffe seguenti:
- Numero massimo di invii in un periodo di 15 minuti: 150 invii
- Gli stessi invii in un periodo di 24 ore: tre invii
- Gli stessi invii in un periodo di 15 minuti: un invio
Se le impostazioni segnalate dall'utente nell'organizzazione inviano messaggi segnalati dall'utente (posta elettronica e Microsoft Teams) a Microsoft (esclusivamente o in aggiunta alla cassetta postale di report), vengono eseguiti gli stessi controlli di quando gli amministratori inviano messaggi a Microsoft per l'analisi dalla pagina Invii . Pertanto, l'invio o la reinvio di messaggi a Microsoft è utile agli amministratori solo per i messaggi che non sono mai stati inviati a Microsoft o quando non si è d'accordo con il verdetto originale.
Nella pagina Invii è disponibile una scheda File solo nelle organizzazioni con Microsoft Defender XDR o Microsoft Defender per endpoint Piano 2. Per informazioni e istruzioni sull'invio di file dalla scheda File, vedere Inviare file in Microsoft Defender per endpoint.
invii originati da Amministrazione
Consiglio
La scheda in cui si seleziona Invia a Microsoft per l'analisi non è particolarmente importante, purché si imposti Selezionare il tipo di invio sul valore corretto.
Inviare un messaggio di posta elettronica discutibile a Microsoft
Nel portale di Microsoft Defender in https://security.microsoft.compassare ad Azioni & invii>. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Nella pagina Invii verificare che la scheda Messaggi di posta elettronica sia selezionata.
Nella scheda Messaggi di posta elettronica selezionare Invia a Microsoft per l'analisi.
Nella prima pagina del riquadro a comparsa Invia a Microsoft per l'analisi visualizzato immettere le informazioni seguenti:
Selezionare il tipo di invio: verificare che il valore Email sia selezionato.
Aggiungere l'ID messaggio di rete o caricare il file di posta elettronica: selezionare una delle opzioni seguenti:
- Aggiungere l'ID messaggio di rete di posta elettronica: il valore GUID è disponibile nell'intestazione X-MS-Exchange-Organization-Network-Message-Id o nell'intestazione X-MS-Office365-Filtering-Correlation-Id nei messaggi.
- Caricare il file di posta elettronica (.msg o .eml): selezionare Sfoglia file. Nella finestra di dialogo visualizzata individuare e selezionare il file .eml o .msg e quindi selezionare Apri.
Scegliere almeno un destinatario che ha avuto un problema: specificare i destinatari su cui eseguire un controllo dei criteri. Il controllo dei criteri determina se l'analisi del messaggio di posta elettronica è stata ignorata a causa di criteri o sostituzione dell'utente o dell'organizzazione.
Perché si invia questo messaggio a Microsoft?: Selezionare uno dei valori seguenti:
- Sembra sospetto: selezionare questo valore solo quando non si conosce o non si è sicuri del verdetto del messaggio e si vuole ottenere un verdetto da Microsoft. Selezionare Invia e quindi passare al passaggio 6.
o
Ho confermato che si tratta di una minaccia: in tutti gli altri casi, selezionare questo valore dopo aver già determinato il verdetto del messaggio come dannoso. Selezionare uno dei valori seguenti nella sezione Scegliere una categoria visualizzata:
- Phishing
- Malware
- Posta indesiderata
Seleziona Avanti.
Nella seconda pagina del riquadro a comparsa Invia a Microsoft per l'analisi visualizzata eseguire una delle operazioni seguenti:
- Selezionare Invia.
o
Selezionare Blocca tutti i messaggi di posta elettronica da questo mittente o dominio: questa opzione crea una voce di blocco per il dominio del mittente o l'indirizzo di posta elettronica nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.
Dopo aver selezionato questa opzione, sono disponibili le impostazioni seguenti:
- Per impostazione predefinita, l'opzione Mittente è selezionata, ma è possibile selezionare Dominio .
-
Rimuovi la voce di blocco dopo: il valore predefinito è 30 giorni, ma è possibile selezionare i valori seguenti:
- 1 giorno
- 7 giorni
- 30 giorni
- Non scade mai
- Data specifica: il valore massimo è 30 giorni da oggi.
- Nota sulla voce di blocco (facoltativo): immettere informazioni facoltative sul motivo per cui si sta bloccando l'elemento.
Al termine della seconda pagina del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia.
Scegliere Fine.
Dopo alcuni istanti, la voce di blocco è disponibile nella scheda Domini & indirizzi nella pagina Tenant Allow/Block Elenchi all'indirizzo https://security.microsoft.com/tenantAllowBlockList?viewid=Sender.
Segnalare allegati di posta elettronica discutibili a Microsoft
Nel portale di Microsoft Defender in https://security.microsoft.compassare ad Azioni & invii>. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Nella pagina Invii selezionare la scheda Email allegati.
Nella scheda Email allegati selezionare Invia a Microsoft per l'analisi.
Nella prima pagina del riquadro a comparsa Invia a Microsoft per l'analisi visualizzato immettere le informazioni seguenti:
Selezionare il tipo di invio: verificare che sia selezionato il valore Email allegato.
File: selezionare Sfoglia file per trovare e selezionare il file da inviare.
Perché si invia questo allegato di posta elettronica a Microsoft?: Selezionare uno dei valori seguenti:
- Sembra sospetto: selezionare questo valore se non si è sicuri e si vuole un verdetto da Microsoft, selezionare Invia e quindi passare al passaggio 6.
o
Nella seconda pagina del riquadro a comparsa Invia a Microsoft per l'analisi visualizzata eseguire una delle operazioni seguenti:
- Selezionare Invia.
o
Selezionare Blocca questo file: questa opzione crea una voce di blocco per il file nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.
Dopo aver selezionato questa opzione, sono disponibili le impostazioni seguenti:
-
Rimuovi la voce di blocco dopo: il valore predefinito è 30 giorni, ma è possibile selezionare i valori seguenti:
- 1 giorno
- 7 giorni
- 30 giorni
- Non scade mai
- Data specifica: il valore massimo è 30 giorni da oggi.
- Nota sulla voce di blocco (facoltativo): immettere informazioni facoltative sul motivo per cui si sta bloccando l'elemento.
Al termine del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia.
-
Rimuovi la voce di blocco dopo: il valore predefinito è 30 giorni, ma è possibile selezionare i valori seguenti:
Scegliere Fine.
Dopo alcuni istanti, la voce di blocco è disponibile nella scheda File della pagina Tenant Allow/Block Elenchi all'indirizzo https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash.
Segnalare URL discutibili a Microsoft
Nel portale di Microsoft Defender in https://security.microsoft.compassare ad Azioni & invii>. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Nella pagina Invii selezionare la scheda URL .
Nella scheda URL selezionare Invia a Microsoft per l'analisi.
Nel riquadro a comparsa Invia a Microsoft per l'analisi visualizzato immettere le informazioni seguenti:
Selezionare il tipo di invio: verificare che sia selezionato l'URL del valore.
URL: immettere l'URL completo (ad esempio,
https://www.fabrikam.com/marketing.html
), quindi selezionarlo nella casella visualizzata. È possibile immettere fino a 50 URL contemporaneamente.Perché si invia questo URL a Microsoft?: selezionare uno dei valori seguenti:
- Sembra sospetto: selezionare questo valore se non si è sicuri e si vuole un verdetto da Microsoft, selezionare Invia e quindi passare al passaggio 6.
o
Nella seconda pagina del riquadro a comparsa Invia a Microsoft per l'analisi visualizzata eseguire una delle operazioni seguenti:
- Selezionare Invia.
o
Selezionare Blocca url: questa opzione crea una voce di blocco per l'URL nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.
Dopo aver selezionato questa opzione, sono disponibili le impostazioni seguenti:
-
Rimuovi la voce di blocco dopo: il valore predefinito è 30 giorni, ma è possibile selezionare i valori seguenti:
- 1 giorno
- 7 giorni
- 30 giorni
- Non scade mai
- Data specifica: il valore massimo è 30 giorni da oggi.
- Nota sulla voce di blocco (facoltativo): immettere informazioni facoltative sul motivo per cui si sta bloccando l'itme.
Al termine del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia.
-
Rimuovi la voce di blocco dopo: il valore predefinito è 30 giorni, ma è possibile selezionare i valori seguenti:
Scegliere Fine.
Dopo alcuni istanti, la voce di blocco è disponibile nella scheda URL della pagina Tenant Allow/Block Elenchi all'indirizzo https://security.microsoft.com/tenantAllowBlockList?viewid=Url.
Segnalare un messaggio di posta elettronica valido a Microsoft
Nel portale di Microsoft Defender in https://security.microsoft.compassare ad Azioni & invii>. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Nella pagina Invii verificare che la scheda Messaggi di posta elettronica sia selezionata.
Nella scheda Messaggi di posta elettronica selezionare Invia a Microsoft per l'analisi.
Nella prima pagina del riquadro a comparsa Invia a Microsoft per l'analisi visualizzata immettere le informazioni seguenti:
Selezionare il tipo di invio: verificare che il valore Email sia selezionato.
Aggiungere l'ID messaggio di rete o caricare il file di posta elettronica: selezionare una delle opzioni seguenti:
- Aggiungere l'ID messaggio di rete di posta elettronica: il valore GUID è disponibile nell'intestazione X-MS-Exchange-Organization-Network-Message-Id nel messaggio o nell'intestazione X-MS-Office365-Filtering-Correlation-Id nei messaggi in quarantena.
- Caricare il file di posta elettronica (.msg o .eml): selezionare Sfoglia file. Nella finestra di dialogo visualizzata individuare e selezionare il file .eml o .msg e quindi selezionare Apri.
Scegliere almeno un destinatario che ha avuto un problema: specificare i destinatari su cui eseguire un controllo dei criteri. Il controllo dei criteri determina se il messaggio di posta elettronica è stato bloccato a causa di criteri o sostituzioni dell'utente o dell'organizzazione.
Perché si invia questo messaggio a Microsoft?: Selezionare uno dei valori seguenti:
- Appare pulito: selezionare questo valore solo quando non si conosce o non si è sicuri del verdetto del messaggio e si vuole ottenere un verdetto da Microsoft. Selezionare Invia e quindi passare al passaggio 6.
o
- Ho confermato che è pulito: in tutti gli altri casi, selezionare questo valore dopo aver già determinato il verdetto del messaggio come pulito. Seleziona Avanti.
Nella seconda pagina del riquadro a comparsa Invia a Microsoft per l'analisi visualizzata eseguire una delle operazioni seguenti:
- Selezionare Invia.
o
Selezionare Consenti questo messaggio: questa opzione crea una voce allow per gli elementi del messaggio nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.
Dopo aver selezionato questa opzione, sono disponibili le impostazioni seguenti:
Rimuovi voce consenti dopo: il valore predefinito è 45 giorni dopo l'ultima data di utilizzo, ma è possibile selezionare tra i valori seguenti:
- 1 giorno
- 7 giorni
- 30 giorni
- Data specifica: il valore massimo è 30 giorni da oggi.
Per i mittenti spoofing, questo valore è privo di significato, perché le voci per i mittenti spoofing non scadono mai.
Quando viene selezionata l'opzione 45 giorni dopo l'ultima data usata , l'ultima data usata della voce consenti viene aggiornata quando viene rilevato il messaggio di posta elettronica dannoso durante il flusso di posta elettronica. La voce allow viene mantenuta per 45 giorni dopo che il sistema di filtro determina che il messaggio di posta elettronica è pulito.
Consenti nota di immissione (facoltativo): immettere informazioni facoltative sul motivo per cui si consente l'elemento. Per i mittenti spoofing, qualsiasi valore immesso qui non viene visualizzato nella voce Consenti nella scheda Mittenti spoofed nella pagina Tenant Consenti/Blocca Elenchi pagina.
Al termine della seconda pagina del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia.
Scegliere Fine.
Dopo alcuni istanti, le voci di autorizzazione associate vengono visualizzate nella scheda Domini & indirizzi, mittenti spoofati, URL o file nella pagina Tenant Consenti/Blocca Elenchi in https://security.microsoft.com/tenantAllowBlockList.
Importante
- Le voci consentite vengono aggiunte durante il flusso di posta in base ai filtri che hanno determinato che il messaggio era dannoso. Ad esempio, se l'indirizzo di posta elettronica del mittente e un URL nel messaggio sono stati determinati come non validi, viene creata una voce di autorizzazione per il mittente (indirizzo di posta elettronica o dominio) e l'URL.
- Se l'indirizzo di posta elettronica del mittente non risulta dannoso dal sistema di filtro, l'invio del messaggio di posta elettronica a Microsoft non creerà una voce di autorizzazione nell'elenco tenant consentiti/bloccati.
- Quando viene rilevato di nuovo un dominio o un indirizzo di posta elettronica consentito, un mittente, un URL o un file (entità) contraffatti, tutti i filtri associati all'entità vengono ignorati. Per i messaggi di posta elettronica, tutte le altre entità vengono comunque valutate dal sistema di filtro prima di prendere una decisione.
- Durante il flusso di posta, se i messaggi provenienti dal dominio o dall'indirizzo di posta elettronica consentito superano altri controlli nello stack di filtro, i messaggi vengono recapitati. Ad esempio, se un messaggio passa i controlli di autenticazione tramite posta elettronica, viene recapitato un messaggio da un indirizzo di posta elettronica del mittente consentito.
- Per impostazione predefinita, le voci consentite per domini e indirizzi di posta elettronica vengono mantenute per 45 giorni dopo che il sistema di filtro determina che l'entità è pulita e quindi la voce consenti viene rimossa. In alternativa, è possibile impostare la scadenza delle voci fino a 30 giorni dopo la creazione. Per impostazione predefinita, le voci consentite per i mittenti contraffatti non scadono mai.
- Per i messaggi che sono stati bloccati in modo errato dalla protezione da rappresentazione di dominio o utente, la voce di autorizzazione per il dominio o il mittente non viene creata nell'elenco tenant consentiti/bloccati. Al contrario, il dominio o il mittente viene aggiunto alla sezione Mittenti e domini attendibili nei criteri anti-phishing che hanno rilevato il messaggio.
- Quando si esegue l'override del verdetto nelle informazioni dettagliate di intelligence sullo spoofing, il mittente spoofed diventa una voce di blocco o di autorizzazione manuale visualizzata solo nei mittenti spoofed nella pagina Tenant Allow/Block Elenchi all'indirizzo https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.
Segnalare allegati di posta elettronica validi a Microsoft
Nel portale di Microsoft Defender in https://security.microsoft.compassare ad Azioni & invii>. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Nella pagina Invii selezionare la scheda Email allegati.
Nella scheda Email allegati selezionare Invia a Microsoft per l'analisi.
Nel riquadro a comparsa Invia a Microsoft per l'analisi visualizzato immettere le informazioni seguenti:
Selezionare il tipo di invio: verificare che sia selezionato il valore Email allegato.
File: selezionare Sfoglia file per trovare e selezionare il file da inviare.
Perché si invia il messaggio a Microsoft?: Selezionare uno dei valori seguenti:
- Appare pulito: selezionare questo valore se non si è sicuri e si vuole un verdetto da Microsoft, selezionare Invia e quindi passare al passaggio 6.
o
- Ho confermato che è pulito: selezionare questo valore se si è certi che l'elemento sia pulito e quindi selezionare Avanti.
Nella seconda pagina del riquadro a comparsa Invia a Microsoft per l'analisi visualizzata eseguire una delle operazioni seguenti:
- Selezionare Invia.
o
Selezionare Consenti questo file: questa opzione crea una voce allow per il file nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.
Dopo aver selezionato questa opzione, sono disponibili le impostazioni seguenti:
Rimuovi voce consenti dopo: il valore predefinito è 45 giorni dopo l'ultima data di utilizzo, ma è possibile selezionare tra i valori seguenti:
- 1 giorno
- 7 giorni
- 30 giorni
- Data specifica: il valore massimo è 30 giorni da oggi.
Quando viene selezionata l'opzione 45 giorni dopo l'ultima data usata , l'ultima data usata della voce consenti viene aggiornata quando viene rilevato l'allegato di posta elettronica dannoso durante il flusso di posta elettronica. La voce consenti viene mantenuta per 45 giorni dopo che il sistema di filtro determina che l'allegato di posta elettronica è pulito.
Consenti nota di immissione (facoltativo): immettere informazioni facoltative sul motivo per cui si consente l'elemento.
Al termine della seconda pagina del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia.
Scegliere Fine.
Dopo alcuni istanti, la voce consenti è disponibile nella scheda File della pagina Elenco tenant consentiti/bloccati . Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.
Importante
- Per impostazione predefinita, le voci consentite per i file vengono mantenute per 45 giorni dopo che il sistema di filtro determina che l'entità è pulita e quindi la voce consenti viene rimossa. In alternativa, è possibile impostare la scadenza delle voci fino a 30 giorni dopo la creazione.
- Quando il file viene rilevato di nuovo durante il flusso di posta, vengono ignorati i controlli di detonazione o reputazione dei file degli allegati sicuri e tutti gli altri filtri basati su file. Se il sistema di filtro determina che tutte le altre entità nel messaggio di posta elettronica sono pulite, il messaggio viene recapitato.
- Durante la selezione, vengono ignorati tutti i filtri basati su file, inclusi la detonazione degli allegati sicuri o i controlli della reputazione dei file, consentendo all'utente di accedere al file.
Segnalare url validi a Microsoft
Per gli URL segnalati come falsi positivi, sono consentiti i messaggi successivi che contengono varianti dell'URL originale. Ad esempio, si usa la pagina Invii per segnalare l'URL www.contoso.com/abc
bloccato in modo non corretto. Se l'organizzazione riceve in un secondo momento un messaggio che contiene l'URL ( ad esempio, ma non limitato a: www.contoso.com/abc
, www.contoso.com/abc?id=1
, www.contoso.com/abc/def/gty/uyt?id=5
o www.contoso.com/abc/whatever
), il messaggio non verrà bloccato in base all'URL. In altre parole, non è necessario segnalare più varianti dello stesso URL valide per Microsoft.
Nel portale di Microsoft Defender in https://security.microsoft.compassare ad Azioni & invii>. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Nella pagina Invii selezionare la scheda URL
Nella scheda URL selezionare Invia a Microsoft per l'analisi.
Nel riquadro a comparsa Invia a Microsoft per l'analisi visualizzato immettere le informazioni seguenti:
Selezionare il tipo di invio: verificare che sia selezionato l'URL del valore.
URL: immettere l'URL completo (ad esempio,
https://www.fabrikam.com/marketing.html
), quindi selezionarlo nella casella visualizzata. È anche possibile specificare un dominio di primo livello , ad esempio ,https://www.fabrikam.com/*
e quindi selezionarlo nella casella visualizzata. È possibile immettere fino a 50 URL contemporaneamente.Perché si invia questo URL a Microsoft?: selezionare uno dei valori seguenti:
- Appare pulito: selezionare questo valore se non si è sicuri e si vuole un verdetto da Microsoft, selezionare Invia e quindi passare al passaggio 6.
o
Nella seconda pagina del riquadro a comparsa Invia a Microsoft per l'analisi visualizzata eseguire una delle operazioni seguenti:
- Selezionare Invia.
o
Selezionare Consenti questo URL: questa opzione crea una voce allow per l'URL nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.
Dopo aver selezionato questa opzione, sono disponibili le impostazioni seguenti:
Rimuovi voce consenti dopo: il valore predefinito è 45 giorni dopo l'ultima data di utilizzo, ma è possibile selezionare tra i valori seguenti:
- 1 giorno
- 7 giorni
- 30 giorni
- Data specifica: il valore massimo è 30 giorni da oggi.
Quando si seleziona 45 giorni dopo la data dell'ultimo utilizzo , l'ultima data usata della voce allow viene aggiornata quando viene rilevato l'URL dannoso durante il flusso di posta. La voce allow viene mantenuta per 45 giorni dopo che il sistema di filtro determina che l'URL è pulito.
Consenti nota di immissione (facoltativo): immettere informazioni facoltative sul motivo per cui si consente l'elemento.
Al termine della seconda pagina del riquadro a comparsa Invia a Microsoft per l'analisi , selezionare Invia.
Scegliere Fine.
Dopo alcuni istanti, la voce consenti è disponibile nella scheda URL della pagina Tenant Allow/Block Elenchi all'indirizzo https://security.microsoft.com/tenantAllowBlockList?viewid=Url.
Nota
- Per impostazione predefinita, le voci consentite per gli URL vengono mantenute per 45 giorni dopo che il sistema di filtro determina che l'entità è pulita e quindi la voce allow viene rimossa. In alternativa, è possibile impostare la scadenza delle voci fino a 30 giorni dopo la creazione.
- Quando l'URL viene rilevato di nuovo durante il flusso di posta, vengono ignorati i controlli della reputazione degli URL o della detonazione dei collegamenti sicuri e tutti gli altri filtri basati su URL. Se il sistema di filtro determina che tutte le altre entità nel messaggio di posta elettronica sono pulite, il messaggio viene recapitato.
- Durante la selezione, vengono ignorati tutti i filtri basati su URL, inclusi la detonazione dei collegamenti sicuri o i controlli della reputazione degli URL, consentendo all'utente l'accesso al contenuto nell'URL.
Segnalare i messaggi di Teams a Microsoft in Defender per Office 365 Piano 2
Consiglio
L'invio del messaggio di Teams a Microsoft è attualmente in anteprima, non è disponibile in tutte le organizzazioni ed è soggetto a modifiche.
Nelle organizzazioni di Microsoft 365 che hanno Microsoft Defender per Office 365 piano 2 (licenze per componenti aggiuntivi o incluse in sottoscrizioni come Microsoft 365 E5), non è possibile inviare messaggi di Teams dalla scheda Messaggi di Teams nella pagina Invii. L'unico modo per inviare un messaggio di Teams a Microsoft per l'analisi consiste nell'inviare un messaggio di Teams segnalato dall'utente dalla scheda Utente segnalato , come descritto nella sezione Invia messaggi segnalati dall'utente a Microsoft per l'analisi più avanti in questo articolo.
Le voci nella scheda Messaggi di Teams sono il risultato dell'invio di un messaggio di Teams segnalato dall'utente a Microsoft. Per altre informazioni, vedere la sezione Visualizzare gli invii di amministratori convertiti più avanti in questo articolo.
Visualizzare gli invii di amministratori di posta elettronica a Microsoft
Nel portale di Microsoft Defender in https://security.microsoft.compassare ad Azioni & invii>. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Nella pagina Invii verificare che la scheda Messaggi di posta elettronica sia selezionata.
Nella scheda Messaggi di posta elettronica è possibile filtrare rapidamente la visualizzazione selezionando uno dei filtri rapidi disponibili:
- In sospeso
- Operazione completata
È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):
- Nome invio*
- Mittente*
- Destinatario
- Inviato da*
- Data di invio*
- Motivo dell'invio*
- Stato*
- Risultato*
- Motivo recapito/blocco
- ID invio
- ID messaggio di rete
- Direzione
- Indirizzo IP mittente
- Livello di conformità bulk (BCL)
- Destinazione
- Azione dei criteri
- Simulazione phish
- Tag*: per altre informazioni sui tag utente, vedere Tag utente.
- Azione
Per raggruppare le voci, selezionare Raggruppa e quindi selezionare uno dei valori seguenti:
- Motivo
- Stato
- Risultato
- Tag
Per separare le voci, selezionare Nessuno.
Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:
- Data inviata: valori di data di inizio e data di fine .
- ID invio: valore GUID assegnato a ogni invio.
- ID messaggio di rete
- Mittente
- Destinatario
- Nome invio
- Inviato da
-
Motivo dell'invio: uno dei valori seguenti:
- Non spazzatura
- Appare pulito
- Sembra sospetto
- Phishing
- Malware
- Posta indesiderata.
- Stato: in sospeso e completato.
- Tag: tutti o selezionare i tag utente dall'elenco a discesa.
Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.
Usare Esporta per esportare l'elenco di voci in un file CSV.
Visualizzare i dettagli dell'invio dell'amministratore della posta elettronica
Se si seleziona una voce nella scheda Messaggi di posta elettronica della pagina Invii facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, verrà aperto un riquadro a comparsa dei dettagli.
Nella parte superiore del riquadro a comparsa dei dettagli sono disponibili le informazioni del messaggio seguenti:
- Il titolo del riquadro a comparsa è il valore oggetto del messaggio.
- Tutti i tag utente assegnati ai destinatari del messaggio (incluso il tag dell'account priority). Per altre informazioni, vedere Tag utente in Microsoft Defender per Office 365
- In Defender per Office 365, le azioni disponibili nella parte superiore del riquadro a comparsa sono descritte nella sezione Azioni per gli invii di amministratori in Defender per Office 365.
Consiglio
Per visualizzare i dettagli sugli altri invii senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
Le sezioni successive nel riquadro a comparsa dettagli sono correlate agli invii di messaggi di posta elettronica:
Sezione Dei dettagli dei risultati :
-
Risultato: contiene il valore Result per l'invio. Ad esempio:
- Non dovrebbe essere stato bloccato
- Consentito a causa di sostituzioni utente
- Consentito a causa di una regola
-
Passaggi consigliati per gli invii di posta elettronica: contiene collegamenti ad azioni correlate. Ad esempio:
- Visualizzare le regole del flusso di posta di Exchange (regole di trasporto)
- Visualizzare questo messaggio in Esplora minacce (esplora minacce o rilevamenti in tempo reale solo in Defender per Office 365)
- Cercare messaggi simili in Explorer (esplora minacce o rilevamenti in tempo reale solo in Defender per Office 365)
-
Risultato: contiene il valore Result per l'invio. Ad esempio:
Sezione Dettagli invio :
- Data di invio
- Nome invio
- Tipo di invio: il valore è Email.
- Motivo dell'invio
- ID invio
- Inviato da
- Stato invio
Sezione Consenti dettagli: disponibile solo per gli invii di posta elettronica in cui il valore Risultato è Consentito a causa di sostituzioni utente o Consentito a una regola: contiene i valori Nome (indirizzo di posta elettronica) e Tipo (mittente).
Il riquadro a comparsa dei dettagli rimanenti contiene le sezioni Dettagli recapito, dettagli Email, URL e Allegati che fanno parte del pannello di riepilogo Email. Per altre informazioni, vedere Il pannello di riepilogo Email.
Al termine del riquadro a comparsa dei dettagli, selezionare Chiudi.
Visualizzare gli invii di amministratori di Teams a Microsoft in Defender per Office 365 Piano 2
Consiglio
L'invio del messaggio di Teams a Microsoft è attualmente in anteprima, non è disponibile in tutte le organizzazioni ed è soggetto a modifiche.
Nel portale Microsoft Defender in https://security.microsoft.compassare alla pagina Invii in Azioni & invii>. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Nella pagina Invii selezionare la scheda Messaggi di Teams .
È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):
- Nome invio*
- Mittente*
- Data di invio*
- Motivo dell'invio*
- Inviato da
- Stato*
- Risultato*
- Destinatario
- ID invio
- ID messaggio di Teams
- Destinazione
- Simulazione phish
- Tag*: per altre informazioni sui tag utente, vedere Tag utente.
Per raggruppare le voci, selezionare Raggruppa e quindi selezionare uno dei valori seguenti:
- Motivo
- Stato
- Risultato
- Tag
Per separare le voci, selezionare Nessuno.
Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:
- Data di invio: data di inizio e data di fine.
- ID invio: valore GUID assegnato a ogni invio.
- ID messaggio di Teams
- Mittente
- Destinatario
- Messaggio di Teams
- Inviato da
-
Motivo dell'invio: uno dei valori seguenti:
- Non spazzatura
- Appare pulito
- Sembra sospetto
- Phishing
- Malware
- Stato: in sospeso e completato.
- Tag: tutti o selezionare i tag utente dall'elenco a discesa.
Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.
Usare Esporta per esportare l'elenco di voci in un file CSV.
Visualizzare i dettagli dell'invio dell'amministratore di Teams
Se si seleziona una voce nella scheda Messaggi di Teams della pagina Invii facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, verrà aperto un riquadro a comparsa dei dettagli.
Nella parte superiore del riquadro a comparsa dei dettagli sono disponibili le informazioni del messaggio seguenti:
- Il titolo del riquadro a comparsa è l'oggetto o i primi 100 caratteri del messaggio di Teams.
- Verdetto del messaggio corrente.
- Numero di collegamenti nel messaggio.
- Visualizzare l'avviso. Un avviso viene attivato quando viene creato o aggiornato un invio amministratore. Se si seleziona questa azione, vengono visualizzati i dettagli dell'avviso.
Consiglio
Per visualizzare i dettagli sugli altri invii senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
Le sezioni successive nel riquadro a comparsa dettagli sono correlate agli invii di Teams:
Sezione Risultati invio :
-
Risultato: contiene il valore Result per l'invio. Ad esempio:
- Avrebbe dovuto essere bloccato
- Non abbiamo ricevuto l'invio, si prega di risolvere il problema e inviare di nuovo
-
Passaggi consigliati per gli invii di posta elettronica: contiene collegamenti ad azioni correlate. Ad esempio:
- Visualizzare le regole del flusso di posta di Exchange (regole di trasporto)
-
Risultato: contiene il valore Result per l'invio. Ad esempio:
Sezione Dettagli invio :
- Data di invio
- Nome invio
- Tipo di invio: il valore è Teams
- Motivo dell'invio
- ID invio
- Inviato da
- Stato invio
Il riquadro a comparsa dei dettagli rimanenti contiene le sezioni Dettagli messaggio, Mittente, Partecipanti, Dettagli canale e URL che fanno parte del pannello dell'entità messaggio di Teams. Per altre informazioni, vedere il pannello dell'entità Teams mMessage in Microsoft Defender per Office 365 Piano 2.
Al termine del riquadro a comparsa dei dettagli, selezionare Chiudi.
Visualizzare gli invii di amministratori degli allegati di posta elettronica a Microsoft
Nel portale Microsoft Defender in https://security.microsoft.compassare alla pagina Invii in Azioni & invii>. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Nella pagina Invii selezionare la scheda Email allegati.
Nella scheda Email allegati è possibile filtrare rapidamente la visualizzazione selezionando uno dei filtri rapidi disponibili:
- In sospeso
- Operazione completata
È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):
- Nome file allegato*
- Data di invio*
- Motivo dell'invio*
- Stato*
- Risultato*
- Filtrare il verdetto
- Motivo recapito/blocco
- ID invio
- ID oggetto
- Azione dei criteri
- Inviato da
- Tag*: per altre informazioni sui tag utente, vedere Tag utente.
- Azione
Per raggruppare le voci, selezionare Raggruppa e quindi selezionare uno dei valori seguenti:
- Motivo
- Stato
- Risultato
- Tag
Per separare le voci, selezionare Nessuno.
Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:
- Data di invio: data di inizio e data di fine.
- ID invio: valore GUID assegnato a ogni invio.
- Nome file allegato
- Inviato da
-
Motivo dell'invio: uno dei valori seguenti:
- Non spazzatura
- Appare pulito
- Sembra sospetto
- Phishing
- Malware
- Stato: in sospeso e completato.
- Tag: tutti o selezionare i tag utente dall'elenco a discesa.
Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.
Usare Esporta per esportare l'elenco di voci in un file CSV.
Visualizzare i dettagli dell'invio dell'amministratore dell'allegato di posta elettronica
Se si seleziona una voce nella scheda Email allegati della pagina Invii facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, verrà aperto un riquadro a comparsa dei dettagli.
Nella parte superiore del riquadro a comparsa dei dettagli sono disponibili le informazioni del messaggio seguenti:
- Il titolo del riquadro a comparsa è il nome file dell'allegato.
- Valori Status e Result dell'invio.
- Visualizzare l'avviso. In Defender per Office 365 viene attivato un avviso quando viene creato o aggiornato un invio amministratore. Se si seleziona questa azione, vengono visualizzati i dettagli dell'avviso.
Consiglio
Per visualizzare i dettagli sugli altri invii senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
Le sezioni successive nel riquadro a comparsa dei dettagli sono correlate agli invii di allegati di posta elettronica:
Sezione Dei dettagli dei risultati :
-
Risultato: contiene il valore Result per l'invio. Ad esempio:
- Avrebbe dovuto essere bloccato
- Non dovrebbe essere stato bloccato
-
Passaggi consigliati per gli invii di posta elettronica: contiene collegamenti ad azioni correlate. Ad esempio:
- Blocca URL/file nell'elenco tenant consentiti/bloccati
-
Risultato: contiene il valore Result per l'invio. Ad esempio:
Sezione Dettagli invio :
- Data di invio
- Nome invio
- Tipo di invio: il valore è File.
- Motivo dell'invio
- ID invio
- Inviato da
- Stato invio
Al termine del riquadro a comparsa dei dettagli, selezionare Chiudi.
Visualizzare gli invii di amministratori URL a Microsoft
Nel portale Microsoft Defender in https://security.microsoft.compassare alla pagina Invii in Azioni & invii>. Per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Nella pagina Invii selezionare la scheda URL .
Nella scheda URL è possibile filtrare rapidamente la visualizzazione selezionando uno dei filtri rapidi disponibili:
- In sospeso
- Operazione completata
È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):
- URL*
- Data di invio*
- Motivo dell'invio*
- Stato*
- Risultato*
- Filtrare il verdetto
- Motivo recapito/blocco
- ID invio
- ID oggetto
- Azione dei criteri
- Inviato da
- Tag*: per altre informazioni sui tag utente, vedere Tag utente.
- Azione
Per raggruppare le voci, selezionare Raggruppa e quindi selezionare uno dei valori seguenti:
- Motivo
- Stato
- Risultato
- Tag
Per separare le voci, selezionare Nessuno.
Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:
- Data di invio: data di inizio e data di fine.
- ID invio: valore GUID assegnato a ogni invio.
- URL
- Inviato da
-
Motivo dell'invio: uno dei valori seguenti:
- Non spazzatura
- Appare pulito
- Sembra sospetto
- Phishing
- Malware
- Stato: in sospeso e completato.
- Tag: tutti o selezionare i tag utente dall'elenco a discesa.
Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.
Usare Esporta per esportare l'elenco di voci in un file CSV.
Visualizzare i dettagli dell'invio dell'amministratore url
Se si seleziona una voce nella scheda URL della pagina Invii facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, verrà aperto un riquadro a comparsa dei dettagli.
Nella parte superiore del riquadro a comparsa dei dettagli sono disponibili le informazioni del messaggio seguenti:
- Il titolo del riquadro a comparsa è il dominio dell'URL.
- Valori Status e Result dell'invio.
- Visualizzare l'avviso. In Defender per Office 365 viene attivato un avviso quando viene creato o aggiornato un invio amministratore. Se si seleziona questa azione, vengono visualizzati i dettagli dell'avviso.
Consiglio
Per visualizzare i dettagli sugli altri invii senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
Le sezioni rimanenti nel riquadro a comparsa dettagli sono correlate agli invii di URL:
Sezione Dei dettagli dei risultati :
-
Risultato: contiene il valore Result per l'invio. Ad esempio:
- Avrebbe dovuto essere bloccato
- Non dovrebbe essere stato bloccato
-
Passaggi consigliati per gli invii di posta elettronica: contiene collegamenti ad azioni correlate. Ad esempio:
- Blocca URL/file nell'elenco tenant consentiti/bloccati
-
Risultato: contiene il valore Result per l'invio. Ad esempio:
Sezione Dettagli invio :
- Data di invio
- URL
- Tipo di invio: il valore è URL.
- Motivo dell'invio
- ID invio
- Inviato da
- Stato invio
Consente le sezioni dettagli o Blocca dettagli : disponibile solo per gli invii DI URL in cui l'URL è stato bloccato o consentito: contiene i valori Nome (dominio URL) e Tipo (URL).
Al termine del riquadro a comparsa dei dettagli, selezionare Chiudi.
Risultati da Microsoft
I risultati dell'analisi dell'elemento segnalato vengono visualizzati nel riquadro a comparsa dei dettagli visualizzato quando si seleziona una voce nella scheda Email, Messaggi di Teams, allegati Email o URL della pagina Invii:
- Se si è verificato un errore nell'autenticazione della posta elettronica del mittente al momento del recapito.
- Informazioni su eventuali criteri o sostituzioni che potrebbero aver influenzato o sostituito il verdetto del messaggio dal sistema di filtro.
- Risultati della detonazione correnti per verificare se gli URL o i file nel messaggio erano dannosi o meno.
- Feedback dei classificatori.
Se è stata trovata una configurazione di override o criteri, il risultato deve essere disponibile in diversi minuti. Se non si è verificato un problema nell'autenticazione tramite posta elettronica o il recapito non è stato influenzato da un override o da criteri, la detonazione e il feedback dei classificatori potrebbero richiedere fino a un giorno.
Azioni per gli invii di amministratori in Defender per Office 365
Nelle organizzazioni con Microsoft Defender per Office 365 (licenze di componenti aggiuntivi o incluse in sottoscrizioni come Microsoft 365 E5 o Microsoft 365 Business Premium), le azioni seguenti sono disponibili per gli invii di amministratori nel riquadro a comparsa dei dettagli che si apre dopo aver selezionato una voce dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo:
Aprire l'entità di posta elettronica: disponibile solo nel riquadro a comparsa dei dettagli delle voci nella scheda Messaggi di posta elettronica . Per altre informazioni, vedere Informazioni sulla pagina dell'entità Email.
Esegui azioni: disponibile solo nel riquadro a comparsa dei dettagli delle voci nella scheda Messaggi di posta elettronica . Questa azione avvia la stessa Procedura guidata azione disponibile nella pagina dell'entità Email. Per altre informazioni, vedere Azioni nella pagina dell'entità Email.
Visualizzare l'avviso. Un avviso viene attivato quando viene creato o aggiornato un invio amministratore. Se si seleziona questa azione, vengono visualizzati i dettagli dell'avviso.
Nella sezione Dettagli risultati potrebbero essere disponibili anche i collegamenti seguenti per Esplora minacce , a seconda dello stato e del risultato dell'elemento segnalato:
- Visualizzare questo messaggio in Esplora risorse: solo scheda Messaggi di posta elettronica .
- Cercare messaggi simili in Explorer: solo scheda Messaggi di posta elettronica .
- Cercare URL o file: Email solo allegati o schede URL.
opzioni Amministrazione per i messaggi segnalati dall'utente
Per i messaggi di posta elettronica, gli amministratori possono visualizzare i report degli utenti nella scheda Segnalazione utente nella pagina Invii se le istruzioni seguenti sono vere:
- Le impostazioni segnalate dall'utente sono attivate.
- Email messaggi: si usano metodi supportati per consentire agli utenti di segnalare i messaggi:
- Messaggi di Teams: le impostazioni di creazione di report utente per i messaggi di Teams sono attivate.
Note:
- I messaggi segnalati dall'utente inviati solo a Microsoft o a Microsoft e la cassetta postale di report vengono visualizzati nella scheda Utente segnalato .
- I messaggi segnalati dall'utente inviati solo alla cassetta postale di report vengono visualizzati nella scheda Utente segnalato con il valore Risultatonon inviato a Microsoft. Gli amministratori devono segnalare questi messaggi a Microsoft per l'analisi.
Nelle organizzazioni con Microsoft Defender per Office 365 Piano 2 (licenze per componenti aggiuntivi o incluse in sottoscrizioni come Microsoft 365 E5), gli amministratori possono anche visualizzare i messaggi segnalati dall'utente in Microsoft Teams in Defender per Office 365 Piano 2 (attualmente in anteprima).
Nelle organizzazioni con Defender per Office 365 piano 2 (componente aggiuntivo per i messaggi segnalati dall'utente in Microsoft Teams in Defender per Office 365 piano 2 (attualmente in anteprima)
Nel portale di Microsoft Defender in https://security.microsoft.compassare ad Azioni & invii>. In alternativa, per passare direttamente alla pagina Invii , usare https://security.microsoft.com/reportsubmission.
Nella pagina Invii selezionare la scheda Utente segnalato .
Le sottosezioni seguenti descrivono le informazioni e le azioni disponibili nella scheda Utente segnalato nella pagina Invii .
Visualizzare i messaggi segnalati dall'utente a Microsoft
Nella scheda Utente segnalato è possibile filtrare rapidamente la visualizzazione selezionando uno dei filtri rapidi disponibili:
- Minacce
- Posta indesiderata
- Nessuna minaccia
- Simulazioni
È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (*):
- Nome e tipo*
- Segnalato da*
- Data segnalata*
- Mittente*
- Motivo segnalato*
-
Risultato*: contiene le informazioni seguenti per i messaggi segnalati in base alle impostazioni segnalate dall'utente:
-
Inviare i messaggi segnalati a>Microsoft e la cassetta postale di report o solo Microsoft: valori derivati dall'analisi seguente:
- Riscontri dei criteri: informazioni su eventuali criteri o sostituzioni che potrebbero aver consentito o bloccato i messaggi in ingresso, incluse le sostituzioni ai verdetti di filtro. Il risultato dovrebbe essere disponibile entro alcuni minuti. In caso contrario, la detonazione e il feedback dei classificatori potrebbero richiedere fino a un giorno.
- Reputazione/detonazione del payload: esame aggiornato di eventuali URL e file nel messaggio.
- Analisi del classificatore: verifica eseguita dai classificatori umani per verificare se i messaggi sono dannosi o meno.
- Inviare i messaggi segnalati a>Solo cassetta postale di report: il valore non viene sempre inviato a Microsoft, perché i messaggi non sono stati analizzati da Microsoft.
-
Inviare i messaggi segnalati a>Microsoft e la cassetta postale di report o solo Microsoft: valori derivati dall'analisi seguente:
- ID del messaggio segnalato
- ID messaggio di rete
- ID messaggio di Teams
- Indirizzo IP mittente
- Segnalato da
- Simulazione phish
- Invio convertito in amministratore
- Contrassegnato come*
- Contrassegnato da*
- Data contrassegnata
- Tag*: per altre informazioni sui tag utente, vedere Tag utente.
Per raggruppare le voci, selezionare Raggruppa e quindi selezionare uno dei valori seguenti:
- Mittente
- Segnalato da
- Risultato
- Segnalato da
- Invio convertito in amministratore
- Tag
Per separare le voci, selezionare Nessuno.
Per filtrare le voci, selezionare Filtro. I filtri seguenti sono disponibili nel riquadro a comparsa Filtro visualizzato:
- Data segnalata: data di inizio e data di fine.
- Segnalato da
- Nome
- ID del messaggio segnalato
- ID messaggio di rete
- ID messaggio di Teams
- Mittente
- Motivo segnalato: valori Nessuna minaccia, Phish e Posta indesiderata.
- Segnalato da: i valori Microsoft e Terze parti.
- Simulazione phish: i valori Sì e No.
- Convertito in invio amministratore: i valori Sì e No.
-
Tipo di messaggio: i valori disponibili sono:
- Posta elettronica
- Messaggio di Teams (solo Defender per Office 365 piano 2; attualmente in anteprima).
- Tag: tutti o selezionare uno o più tag utente (incluso l'account priority) assegnati agli utenti. Per altre informazioni sui tag utente, vedere Tag utente in Microsoft Defender per Office 365.
Al termine del riquadro a comparsa Filtro , selezionare Applica. Per cancellare i filtri, selezionare Cancella filtri.
Usare Esporta per esportare l'elenco di voci in un file CSV.
Per altre informazioni sulle azioni disponibili per i messaggi nella scheda Segnalato dall'utente , vedere la sottosezione successiva.
Visualizzare i dettagli dei messaggi di posta elettronica segnalati dall'utente
Se si seleziona una voce correlata alla posta elettronica nella scheda Utente segnalato della pagina Invii facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, viene aperto un riquadro a comparsa dei dettagli.
Nella parte superiore del riquadro a comparsa dei dettagli sono disponibili le informazioni del messaggio seguenti:
- Il titolo del riquadro a comparsa è il valore oggetto del messaggio.
- Tutti i tag utente assegnati ai destinatari del messaggio (incluso il tag dell'account priority). Per altre informazioni, vedere Tag utente in Microsoft Defender per Office 365
- Le azioni disponibili nella parte superiore del riquadro a comparsa sono descritte nella sezione azioni Amministrazione per i messaggi segnalati dall'utente.
Consiglio
Per visualizzare i dettagli sugli altri invii senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
Le sezioni successive nel riquadro a comparsa dettagli sono correlate agli invii segnalati dall'utente:
Sezione Dei dettagli dei risultati :
-
Risultato: contiene il valore Result per l'invio. Ad esempio:
- Non dovrebbe essere stato bloccato
- Consentito a causa di sostituzioni utente
- Consentito a causa di una regola
-
Passaggi consigliati per gli invii di posta elettronica: contiene collegamenti ad azioni correlate. Ad esempio:
- Visualizzare le regole del flusso di posta di Exchange (regole di trasporto)
- Visualizzare questo messaggio in Esplora minacce (esplora minacce o rilevamenti in tempo reale solo in Defender per Office 365)
- Cercare messaggi simili in Explorer (esplora minacce o rilevamenti in tempo reale solo in Defender per Office 365)
-
Risultato: contiene il valore Result per l'invio. Ad esempio:
Sezione dei dettagli dei messaggi segnalati :
- Data di invio
- Nome invio
- Motivo segnalato.
- ID del messaggio segnalato
- Segnalato da
- Simulazione phish: il valore è Sì o No.
- Convertito in invio amministratore: il valore è Sì o No. Per altre informazioni, vedere Visualizzare gli invii di amministratori convertiti.
Il riquadro a comparsa dei dettagli rimanenti contiene le sezioni Dettagli recapito, dettagli Email, URL e Allegati che fanno parte del pannello di riepilogo Email. Per altre informazioni, vedere Il pannello di riepilogo Email.
Consiglio
Se il valore Result è simulazione phish, il riquadro a comparsa dei dettagli potrebbe contenere solo le informazioni seguenti:
- Sezione Dei dettagli dei risultati
- Sezione dei dettagli dei messaggi segnalati
-
Email sezione dettagli con i valori seguenti:
- ID messaggio di rete
- Mittente
- Sent date
Al termine del riquadro a comparsa dei dettagli, selezionare Chiudi.
Visualizzare i dettagli dei messaggi di Teams segnalati dall'utente in Defender per Office 365 Piano 2
Consiglio
La segnalazione utenti dei messaggi in Microsoft Teams è attualmente disponibile in anteprima, non è disponibile in tutte le organizzazioni ed è soggetta a modifiche.
Nelle organizzazioni di Microsoft 365 che hanno Microsoft Defender per Office 365 Piano 2 (licenze per componenti aggiuntivi o incluse in sottoscrizioni come Microsoft 365 E5), i messaggi di Teams segnalati dall'utente sono disponibili nella scheda Utenti segnalati della pagina Invii. È facile trovarli se si filtrano i risultati in base al valore del tipo di messaggiomessaggio teams.
Se si seleziona una voce di messaggio di Teams nella scheda Utente segnalato facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, verrà aperto un riquadro a comparsa dei dettagli.
Nella parte superiore del riquadro a comparsa dei dettagli sono disponibili le informazioni del messaggio seguenti:
- Il titolo del riquadro a comparsa è l'oggetto o i primi 100 caratteri del messaggio di Teams.
- Verdetto del messaggio corrente.
- Numero di collegamenti nel messaggio.
- Le azioni disponibili sono descritte nella sezione azioni Amministrazione per i messaggi segnalati dall'utente.
Consiglio
Per visualizzare i dettagli sugli altri invii senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
Le sezioni successive nel riquadro a comparsa dei dettagli sono correlate agli invii di Teams segnalati dall'utente:
Sezione Risultati invio :
-
Risultato: contiene il valore Result per l'invio. Ad esempio:
- Non dovrebbe essere stato bloccato
- Non inviato a Microsoft
-
Passaggi consigliati per gli invii di posta elettronica: contiene collegamenti ad azioni correlate. Ad esempio:
- Visualizzare le regole del flusso di posta di Exchange (regole di trasporto)
-
Risultato: contiene il valore Result per l'invio. Ad esempio:
Sezione dei dettagli dei messaggi segnalati :
- Data segnalata
- Nome invio
- Motivo segnalato.
- ID del messaggio segnalato
- Segnalato da
- Simulazione phish: il valore è Sì o No.
- Convertito in invio amministratore: il valore è Sì o No. Per altre informazioni, vedere Visualizzare gli invii di amministratori convertiti.
Il riquadro a comparsa dei dettagli rimanenti contiene le sezioni Dettagli messaggio, Mittente, Partecipanti, Dettagli canale e URL che fanno parte del pannello dell'entità messaggio di Teams. Per altre informazioni, vedere il pannello dell'entità Teams mMessage in Microsoft Defender per Office 365 Piano 2.
Consiglio
Se il valore Result è simulazione phish, il riquadro a comparsa dei dettagli potrebbe contenere solo le informazioni seguenti:
- Sezione Dei dettagli dei risultati
- Sezione dei dettagli dei messaggi segnalati
-
Email sezione dettagli con i valori seguenti:
- ID messaggio di rete
- Mittente
- Sent date
Al termine del riquadro a comparsa dei dettagli, selezionare Chiudi.
azioni Amministrazione per i messaggi segnalati dall'utente
Nella scheda Utente segnalato le azioni per i messaggi segnalati dall'utente sono disponibili nella scheda stessa o nel riquadro a comparsa dei dettagli di una voce selezionata:
Selezionare il messaggio dall'elenco selezionando la casella di controllo accanto alla prima colonna. Nella scheda Segnalazione utente sono disponibili le azioni seguenti:
- Inviare a Microsoft per l'analisi
- Contrassegnare come e notificare
- Analisi del trigger (solo Defender per Office 365 piano 2)
Selezionare il messaggio dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo. Le azioni seguenti sono disponibili nel riquadro a comparsa dettagli aperto*:
- Inviare a Microsoft per l'analisi
- Contrassegnare come e notificare
- Visualizzare l'invio dell'amministratore convertito
-
Azioni solo in Microsoft Defender per Office 365:
- Aprire l'entità di posta elettronica
- Eseguire azioni
- Visualizzare l'avviso
Azioni per i messaggi segnalati dall'utente in Defender per Office
Consiglio
Per visualizzare i dettagli o intervenire su altri messaggi segnalati dall'utente senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.
* A seconda della natura e dello stato del messaggio, alcune azioni potrebbero non essere disponibili, sono disponibili direttamente nella parte superiore del riquadro a comparsa o sono disponibili in Altre azioni nella parte superiore del riquadro a comparsa.
Queste azioni sono descritte nelle sottosezioni seguenti.
Nota
Dopo che un utente ha segnalato un messaggio sospetto, l'utente o gli amministratori non possono annullare la segnalazione del messaggio, indipendentemente dalla posizione in cui viene inviato il messaggio segnalato (alla cassetta postale di segnalazione, a Microsoft o a entrambi). L'utente può recuperare il messaggio segnalato dalle cartelle Posta eliminata o Posta indesiderata Email.
Inviare messaggi segnalati dall'utente a Microsoft per l'analisi
Dopo aver selezionato il messaggio nella scheda Utente segnalato , usare uno dei metodi seguenti per inviare il messaggio a Microsoft:
Nella scheda Utente segnalato selezionare Invia a Microsoft per l'analisi.
Nel riquadro a comparsa dei dettagli del messaggio selezionato: selezionare Invia a Microsoft per l'analisi o Altre opzioni>Invia a Microsoft per l'analisi nella parte superiore del riquadro a comparsa.
Nel riquadro a comparsa Invia a Microsoft per l'analisi visualizzato seguire questa procedura in base al fatto che il messaggio sia un messaggio di posta elettronica o un messaggio di Teams:
Email messaggi:
-
Perché si invia questo messaggio a Microsoft?: Selezionare uno dei valori seguenti:
Sembra pulito o Sembra sospetto: selezionare uno di questi valori se non si è sicuri e si vuole un verdetto da Microsoft.
Selezionare Submit (Invia) e quindi Done (Fine).
Ho confermato che è pulito: selezionare questo valore se si è certi che l'elemento sia pulito e quindi selezionare Avanti.
Nella pagina successiva del riquadro a comparsa eseguire una delle operazioni seguenti:
- Selezionare Submit (Invia) e quindi Done (Fine).
o
- Selezionare Consenti questo messaggio: questa opzione crea una voce allow per gli elementi del messaggio nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.
Dopo aver selezionato questa opzione, sono disponibili le impostazioni seguenti:
-
Rimuovi voce consenti dopo: il valore predefinito è 45 giorni dopo l'ultima data di utilizzo, ma è possibile selezionare tra i valori seguenti:
- 1 giorno
- 7 giorni
- 30 giorni
- Data specifica: il valore massimo è 30 giorni da oggi.
Quando viene selezionata l'opzione 45 giorni dopo l'ultima data usata , l'ultima data usata della voce consenti viene aggiornata quando viene rilevato il messaggio di posta elettronica dannoso durante il flusso di posta elettronica. La voce allow viene mantenuta per 45 giorni dopo che il sistema di filtro determina che il messaggio di posta elettronica è pulito.
- Consenti nota di immissione (facoltativo): immettere informazioni facoltative sul motivo per cui si consente l'elemento. Per i mittenti spoofing, qualsiasi valore immesso qui non viene visualizzato nella voce Consenti nella scheda Mittenti spoofed nella pagina Tenant Consenti/Blocca Elenchi pagina.
Al termine del riquadro a comparsa, selezionare Invia e quindi Fare clic su Fine.
Ho confermato che si tratta di una minaccia: selezionare questo valore se si è certi che l'elemento sia dannoso e quindi selezionare uno dei valori seguenti nella sezione Scegliere una categoria visualizzata:
- Phishing
- Malware
- Posta indesiderata
Seleziona Avanti.
Nella pagina successiva del riquadro a comparsa eseguire una delle operazioni seguenti:
- Selezionare Submit (Invia) e quindi Done (Fine).
o
- Selezionare Blocca tutti i messaggi di posta elettronica da questo mittente o dominio: questa opzione crea una voce di blocco per il dominio del mittente o l'indirizzo di posta elettronica nell'elenco tenant consentiti/bloccati. Per altre informazioni sull'elenco tenant consentiti/bloccati, vedere Gestire i blocchi e le autorizzazioni nell'elenco tenant consentiti/bloccati.
Dopo aver selezionato questa opzione, sono disponibili le impostazioni seguenti:
- Per impostazione predefinita, l'opzione Mittente è selezionata, ma è possibile selezionare Dominio .
-
Rimuovi la voce di blocco dopo: il valore predefinito è 30 giorni, ma è possibile selezionare i valori seguenti:
- 1 giorno
- 7 giorni
- 30 giorni
- Non scade mai
- Data specifica: il valore massimo è 30 giorni da oggi.
- Nota sulla voce di blocco (facoltativo): immettere informazioni facoltative sul motivo per cui si sta bloccando l'elemento.
Al termine del riquadro a comparsa, selezionare Invia e quindi Fare clic su Fine.
-
Perché si invia questo messaggio a Microsoft?: Selezionare uno dei valori seguenti:
Messaggi di Teams: selezionare uno dei valori seguenti:
- Ho confermato il suo pulito
- Sembra pulito
- Sembra sospetto
Dopo aver selezionato uno di questi valori, selezionare Submit (Invia) e quindi Done (Fine).
Ho confermato che si tratta di una minaccia: selezionare questo valore se si è certi che l'elemento sia dannoso e quindi selezionare uno dei valori seguenti nella sezione Scegliere una categoria visualizzata:
Phishing
Malware
Selezionare Submit (Invia) e quindi Done (Fine).
Dopo aver inviato un messaggio segnalato dall'utente a Microsoft dalla scheda Utente segnalato , il valore di Invio convertito in amministratore passa da No a Sì e viene creata una voce di invio amministratore corrispondente nella scheda appropriata nella pagina Invii (ad esempio, la scheda Messaggi di posta elettronica ).
Attivare un'indagine in Defender per Office 365 Piano 2
- Nella scheda Utente segnalato selezionare Trigger investigation (Attiva indagine ) nell'elenco a discesa in Submit to Microsoft for analysis (Invia a Microsoft per l'analisi).
Per altre informazioni, vedere Attivare un'indagine.
Notificare agli utenti i messaggi inviati dall'amministratore a Microsoft
Dopo che un amministratore ha inviato un messaggio segnalato dall'utente a Microsoft dalla scheda Utente segnalato , gli amministratori possono usare l'azione Contrassegna come e notificare l'azione per contrassegnare il messaggio con un verdetto e inviare un messaggio di notifica basato su modelli all'utente che ha segnalato il messaggio.
Verdetti disponibili per i messaggi di posta elettronica:
- Nessuna minaccia trovata
- Phishing
- Posta indesiderata
Verdetti disponibili per i messaggi di Teams:
- Nessuna minaccia trovata
- Phishing
Per altre informazioni, vedere Notificare agli utenti dall'interno del portale.
Visualizzare gli invii di amministratori convertiti
Dopo che un amministratore ha inviato un messaggio segnalato dall'utente a Microsoft dalla scheda Utente segnalato , il valore di Invio convertito in amministratore è Sì.
Se si seleziona uno di questi messaggi facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al nome, il riquadro a comparsa dei dettagli contiene Altre azioni>Visualizzare l'invio dell'amministratore convertito.
Questa azione consente di accedere alla voce di invio dell'amministratore corrispondente nella scheda appropriata , ad esempio la scheda Messaggi di posta elettronica .
Azioni per i messaggi segnalati dall'utente in Defender per Office 365
Nelle organizzazioni con Microsoft Defender per Office 365 (licenze di componenti aggiuntivi o incluse in sottoscrizioni come Microsoft 365 E5 o Microsoft 365 Business Premium), le azioni seguenti potrebbero essere disponibili anche nel riquadro a comparsa dei dettagli di un messaggio segnalato dall'utente sull'utente scheda segnalata:
Aprire l'entità di posta elettronica (solo messaggi di posta elettronica): per altre informazioni, vedere Informazioni sulla pagina dell'entità Email.
Eseguire azioni (solo messaggi di posta elettronica): questa azione avvia la stessa Procedura guidata azione disponibile nella pagina dell'entità Email. Per altre informazioni, vedere Azioni nella pagina dell'entità Email.
Visualizzare l'avviso. Un avviso viene attivato quando viene creato o aggiornato un invio amministratore. Se si seleziona questa azione, vengono visualizzati i dettagli dell'avviso.