Informazioni su Esplora minacce e rilevamenti in tempo reale in Microsoft Defender per Office 365

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Le organizzazioni di Microsoft 365 che hanno Microsoft Defender per Office 365 incluse nella sottoscrizione o acquistate come componente aggiuntivo hanno Explorer (noto anche come Esplora minacce) o rilevamenti in tempo reale. Queste funzionalità sono potenti strumenti di creazione di report quasi in tempo reale che consentono ai team secOps (Security Operations) di analizzare e rispondere alle minacce.

A seconda della sottoscrizione, Threat Explorer o i rilevamenti in tempo reale sono disponibili nella sezione collaborazione Email & nel portale di Microsoft Defender all'indirizzo https://security.microsoft.com:

• I rilevamenti in tempo reale sono disponibili in Defender per Office 365 Piano 1. La pagina Rilevamenti in tempo reale è disponibile direttamente in https://security.microsoft.com/realtimereportsv3.

  

• Esplora minacce è disponibile in Defender per Office 365 Piano 2. La pagina Esplora risorse è disponibile direttamente in https://security.microsoft.com/threatexplorerv3.

  

Esplora minacce contiene le stesse informazioni e funzionalità dei rilevamenti in tempo reale, ma con le funzionalità aggiuntive seguenti:

• Altre visualizzazioni.
• Altre opzioni di filtro delle proprietà, inclusa l'opzione per salvare le query.
• Altre azioni.

Per altre informazioni sulle differenze tra Defender per Office 365 Piano 1 e Piano 2, vedere il foglio informativo Defender per Office 365 Piano 1 e Piano 2.

Il resto di questo articolo illustra le visualizzazioni e le funzionalità disponibili in Esplora minacce e rilevamenti in tempo reale.

Consiglio

Per gli scenari di posta elettronica con Esplora minacce e i rilevamenti in tempo reale, vedere gli articoli seguenti:

• Ricerca delle minacce in Esplora minacce e rilevamenti in tempo reale in Microsoft Defender per Office 365
• Email sicurezza con Esplora minacce e rilevamenti in tempo reale in Microsoft Defender per Office 365
• Analizzare i messaggi di posta elettronica dannosi recapitati in Microsoft 365

Autorizzazioni e licenze per Threat Explorer e rilevamenti in tempo reale

Per usare Explorer o i rilevamenti in tempo reale, è necessario disporre delle autorizzazioni. Sono disponibili le opzioni seguenti:

• Microsoft Defender XDR controllo degli accessi in base al ruolo unificato (influisce solo sul portale di Defender e non su PowerShell):
  • Accesso in lettura per la posta elettronica e le intestazioni dei messaggi di Teams: operazioni di sicurezza/dati non elaborati (posta elettronica & collaborazione)/metadati di collaborazione Email & (lettura).
  • Visualizzare in anteprima e scaricare i messaggi di posta elettronica: operazioni di sicurezza/dati non elaborati (posta elettronica & collaborazione)/Email & contenuto di collaborazione (lettura).
  • Correggere la posta elettronica dannosa: operazioni di sicurezza/Dati di sicurezza/Email & azioni avanzate di collaborazione (gestione).Remediate malicious email: Security operations/Security data/Email & collaboration advanced actions (manage).
• Email & le autorizzazioni di collaborazione nel portale di Microsoft Defender:
  • Accesso completo: appartenenza ai gruppi di ruoli Gestione organizzazione o Amministratore della sicurezza . Sono necessarie altre autorizzazioni per eseguire tutte le azioni disponibili:
    • Messaggi di anteprima e download: richiede il ruolo Anteprima , assegnato solo ai gruppi di ruoli Data Investigator o eDiscovery Manager per impostazione predefinita.Preview messages: Requires the Preview role, which is assigned only to the Data Investigator or eDiscovery Manager role groups by default. In alternativa, è possibile creare un nuovo gruppo di ruoli con il ruolo Anteprima assegnato e aggiungere gli utenti al gruppo di ruoli personalizzato.
    • Spostare ed eliminare messaggi dalle cassette postali: richiede il ruolo di Search ed eliminazione, assegnato solo ai gruppi di ruoli Data Investigator o Organization Management per impostazione predefinita. In alternativa, è possibile creare un nuovo gruppo di ruoli con il ruolo Search e Ripulisci assegnato e aggiungere gli utenti al gruppo di ruoli personalizzato.
  • Accesso di sola lettura: appartenenza al gruppo di ruoli Lettore di sicurezza .
• Microsoft Entra autorizzazioni: l'appartenenza a questi ruoli offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365:
  • Accesso completo: appartenenza ai ruoli Amministratore globale o Amministratore della sicurezza .
  • Search per le regole del flusso di posta di Exchange (regole di trasporto) per nome in Esplora minacce: appartenenza ai ruoli Amministratore sicurezza o Lettore di sicurezza.
  • Accesso di sola lettura: appartenenza ai ruoli Lettore globale o Lettore di sicurezza .

Consiglio

Le voci del log di controllo vengono generate quando gli amministratori visualizzano in anteprima o scaricano messaggi di posta elettronica. È possibile cercare l'attività AdminMailAccess nel log di controllo amministratore per utente. Per istruzioni, vedere Audit New Search (Controlla nuovo Search).

Per usare Threat Explorer o i rilevamenti in tempo reale, è necessario avere una licenza per Defender per Office 365 (inclusa nella sottoscrizione o in una licenza del componente aggiuntivo).

Esplora minacce o i rilevamenti in tempo reale contengono dati per gli utenti a cui sono assegnate licenze Defender per Office 365.

Elementi di Esplora minacce e rilevamenti in tempo reale

Esplora minacce e i rilevamenti in tempo reale contengono gli elementi seguenti:

• Visualizzazioni: schede nella parte superiore della pagina che organizzano i rilevamenti in base alle minacce. La visualizzazione influisce sul resto dei dati e delle opzioni nella pagina.

  La tabella seguente elenca le visualizzazioni disponibili in Esplora minacce e rilevamenti in tempo reale:

  Visualizzare	Minacce Explorer	In tempo reale Rilevamenti	Descrizione
  Tutti i messaggi di posta elettronica	✔		Visualizzazione predefinita per Esplora minacce. Informazioni su tutti i messaggi di posta elettronica inviati da utenti esterni nell'organizzazione o messaggi di posta elettronica inviati tra utenti interni dell'organizzazione.
  Malware	✔	✔	Visualizzazione predefinita per i rilevamenti in tempo reale. Informazioni sui messaggi di posta elettronica contenenti malware.
  Phishing	✔	✔	Informazioni sui messaggi di posta elettronica che contengono minacce di phishing.
  Campagne	✔		Informazioni sulla posta elettronica dannosa che Defender per Office 365 piano 2 identificato come parte di una campagna coordinata di phishing o malware.
  Malware per il contenuto	✔	✔	Informazioni sui file dannosi rilevati dalle funzionalità seguenti: Protezione antivirus predefinita in SharePoint, OneDrive e Microsoft Teams Allegati sicuri per Sharepoint, OneDrive e Microsoft Teams
  Clic URL	✔		Informazioni sui clic degli utenti sugli URL nei messaggi di posta elettronica, nei messaggi di Teams, nei file di SharePoint e nei file di OneDrive.

  Queste visualizzazioni sono descritte in dettaglio in questo articolo, incluse le differenze tra Esplora minacce e i rilevamenti in tempo reale.

• Filtri data/ora: per impostazione predefinita, la visualizzazione viene filtrata in base a ieri e oggi. Per modificare il filtro data, selezionare l'intervallo di date e quindi selezionare Valori data inizio e data di fine fino a 30 giorni fa.

  

• Filtri di proprietà (query): filtrare i risultati nella visualizzazione in base alle proprietà di messaggi, file o minacce disponibili. Le proprietà filtrabili disponibili dipendono dalla visualizzazione. Alcune proprietà sono disponibili in molte visualizzazioni, mentre altre sono limitate a una visualizzazione specifica.

  I filtri delle proprietà disponibili per ogni visualizzazione sono elencati in questo articolo, incluse le differenze tra Esplora minacce e i rilevamenti in tempo reale.

  Per istruzioni sulla creazione di filtri delle proprietà, vedere Filtri delle proprietà in Esplora minacce e Rilevamenti in tempo reale

  Esplora minacce consente di salvare le query per un uso successivo, come descritto nella sezione Query salvate in Esplora minacce .

• Grafici: ogni vista contiene una rappresentazione visiva e aggregata dei dati filtrati o non filtrati. È possibile usare i pivot disponibili per organizzare il grafico in modi diversi.

  È spesso possibile usare Esporta dati del grafico per esportare dati del grafico filtrati o non filtrati in un file CSV.

  I grafici e i pivot disponibili sono descritti in dettaglio in questo articolo, incluse le differenze tra Esplora minacce e i rilevamenti in tempo reale.

  Consiglio

  Per rimuovere il grafico dalla pagina (che ingrandisce le dimensioni dell'area dei dettagli), utilizzare uno dei metodi seguenti:

  • Selezionare Visualizzazione elencovisualizzazione> grafico nella parte superiore della pagina.
  • Selezionare Mostra visualizzazione elenco tra il grafico e l'area dei dettagli.

• Area dettagli: l'area dei dettagli per una visualizzazione mostra in genere una tabella che contiene i dati filtrati o non filtrati. È possibile usare le visualizzazioni disponibili (schede) per organizzare i dati nell'area dei dettagli in modi diversi. Ad esempio, una vista può contenere grafici, mappe o tabelle diverse.

  Se l'area dei dettagli contiene una tabella, è spesso possibile usare Esporta per esportare in modo selettivo fino a 200.000 risultati filtrati o non filtrati in un file CSV.

  Consiglio

  Nel riquadro a comparsa Esporta è possibile selezionare alcune o tutte le proprietà disponibili da esportare. Le selezioni vengono salvate per utente. Le selezioni in modalità Incognito o InPrivate browsing vengono salvate fino alla chiusura del Web browser.

Visualizzazione di tutti i messaggi di posta elettronica in Esplora minacce

La visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce mostra informazioni su tutti i messaggi di posta elettronica inviati da utenti esterni nell'organizzazione e messaggi di posta elettronica inviati tra utenti interni dell'organizzazione. La visualizzazione mostra la posta elettronica dannosa e non dannosa. Ad esempio:

• Email identificato phishing o malware.
• Email identificato come posta indesiderata o bulk.
• Email identificato senza minacce.

Questa visualizzazione è l'impostazione predefinita in Esplora minacce. Per aprire la visualizzazione Tutti i messaggi di posta elettronica nella pagina Esplora risorse nel portale di Defender in https://security.microsoft.com, passare alla scheda Email & collaboration> Explorer All email (Tutti>i messaggi di posta elettronica). In alternativa, passare direttamente alla pagina Esplora risorse usando https://security.microsoft.com/threatexplorerv3e quindi verificare che sia selezionata la scheda Tutti i messaggi di posta elettronica.

Proprietà filtrabili nella visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Per impostazione predefinita, non vengono applicati filtri di proprietà ai dati. I passaggi per creare filtri (query) sono descritti nella sezione Filtri in Esplora minacce e rilevamenti in tempo reale più avanti in questo articolo.

Le proprietà filtrabili disponibili nella casella azione Recapito nella visualizzazione Tutti i messaggi di posta elettronica sono descritte nella tabella seguente:

Proprietà	Tipo
Di base
Indirizzo del mittente	Testo. Separare più valori per virgole.
Destinatari	Testo. Separare più valori per virgole.
Dominio del mittente	Testo. Separare più valori per virgole.
Dominio del destinatario	Testo. Separare più valori per virgole.
Oggetto	Testo. Separare più valori per virgole.
Nome visualizzato del mittente	Testo. Separare più valori per virgole.
Posta del mittente dall'indirizzo	Testo. Separare più valori per virgole.
Posta del mittente dal dominio	Testo. Separare più valori per virgole.
Percorso restituito	Testo. Separare più valori per virgole.
Dominio del percorso restituito	Testo. Separare più valori per virgole.
Famiglia di malware	Testo. Separare più valori per virgole.
Tag	Testo. Separare più valori per virgole. Per altre informazioni sui tag utente, vedere Tag utente.
Dominio rappresentato	Testo. Separare più valori per virgole.
Utente rappresentato	Testo. Separare più valori per virgole.
Regola di trasporto di Exchange	Testo. Separare più valori per virgole.
Regola di prevenzione della perdita dei dati	Testo. Separare più valori per virgole.
Contesto	Selezionare uno o più valori: Valutazione Protezione dell'account con priorità
Connettore	Testo. Separare più valori per virgole.
Azione di recapito	Selezionare uno o più valori: Bloccato: Email messaggi che sono stati messi in quarantena, che non sono stati recapitati o sono stati eliminati. Recapitato: Email recapitato alla cartella Posta in arrivo dell'utente o a un'altra cartella in cui l'utente può accedere al messaggio. Recapito indesiderata: Email recapitato alla cartella Email Posta indesiderata dell'utente o alla cartella Posta eliminata in cui l'utente può accedere al messaggio. Sostituito: allegati di messaggi che sono stati sostituiti da Recapito dinamico nei criteri allegati sicuri.
Azione aggiuntiva	Selezionare uno o più valori: Correzione automatica Recapito dinamico: per altre informazioni, vedere Recapito dinamico nei criteri allegati sicuri. Correzione manuale Nessuna Versione di quarantena Rielaborato: il messaggio è stato identificato retroattivamente come valido. ZAP: per altre informazioni, vedere Eliminazione automatica a zero ore (ZAP) in Microsoft Defender per Office 365.
Direzionalità	Selezionare uno o più valori: Inbound Intra-irg In uscita
Tecnologia di rilevamento	Selezionare uno o più valori: Filtro avanzato: segnali basati su Machine Learning. Protezione antimalware Invio in blocco Campagna Reputazione del dominio Detonazione dei file: allegati sicuri hanno rilevato un allegato dannoso durante l'analisi della detonazione. Reputazione di detonazione dei file: allegati di file precedentemente rilevati da detonazioni di allegati sicuri in altre organizzazioni di Microsoft 365. Reputazione file: il messaggio contiene un file identificato in precedenza come dannoso in altre organizzazioni di Microsoft 365. Corrispondenza delle impronte digitali: il messaggio è simile a un messaggio dannoso rilevato in precedenza. Filtro generale Marchio di rappresentazione: mittente rappresentazione di marchi noti. Dominio di rappresentazione: Rappresentazione dei domini mittente di cui si è proprietari o specificati per la protezione nei criteri anti-phishing Utente di rappresentazione Reputazione IP Rappresentazione dell'intelligence per le cassette postali: rilevamenti di rappresentazione dall'intelligence delle cassette postali nei criteri anti-phishing. Rilevamento analisi mista: più filtri hanno contribuito al verdetto del messaggio. spoof DMARC: il messaggio non è riuscito con l'autenticazione DMARC. Dominio esterno spoofing: spoofing dell'indirizzo di posta elettronica del mittente usando un dominio esterno all'organizzazione. Spoof all'interno dell'organizzazione: spoofing dell'indirizzo di posta elettronica del mittente usando un dominio interno all'organizzazione. Reputazione della detonazione degli URL: URL rilevati in precedenza da detonazioni di Collegamenti sicuri in altre organizzazioni di Microsoft 365. Reputazione dannosa dell'URL: il messaggio contiene un URL identificato in precedenza come dannoso in altre organizzazioni di Microsoft 365.
Posizione di recapito originale	Selezionare uno o più valori: cartella Elementi eliminati Caduto Operazione non riuscita Posta in arrivo/cartella Posta indesiderata Locale/esterno Quarantena Unknown
Posizione di recapito più recente¹	Stessi valori del percorso di recapito originale
Livello di attendibilità phish	Selezionare uno o più valori: High Normale
Override primario	Selezionare uno o più valori: Consentito dai criteri dell'organizzazione Consentito dai criteri utente Bloccato dai criteri dell'organizzazione Bloccato dai criteri utente Nessuna
Origine di override primaria	I messaggi possono avere più sostituzioni consentite o bloccate, come identificato nell'origine di override. L'override che alla fine ha consentito o bloccato il messaggio viene identificato nell'origine di override primaria. Selezionare uno o più valori: Filtro di terze parti Amministrazione iniziato il viaggio nel tempo (ZAP) Blocco dei criteri antimalware per tipo di file Impostazioni dei criteri antispam Criteri di connessione Regola di trasporto di Exchange Modalità esclusiva (override utente) Filtro ignorato a causa dell'organizzazione locale Filtro dell'area IP dai criteri Filtro della lingua dai criteri Simulazione di phishing Versione di quarantena Cassetta postale secOps Elenco indirizzi mittente (Amministrazione Override) Elenco indirizzi mittente (override utente) Elenco di domini mittente (Amministrazione Override) Elenco di domini mittente (override utente) Blocco di file elenco tenant consentiti/bloccati Blocco di indirizzi di posta elettronica del mittente elenco tenant consentiti/bloccati Blocco spoof elenco tenant consentiti/bloccati Blocco url elenco tenant consentiti/bloccati Elenco contatti attendibili (override utente) Dominio attendibile (override utente) Destinatario attendibile (override utente) Solo mittenti attendibili (override utente)
Eseguire l'override dell'origine	Stessi valori dell'origine di override primaria
Tipo di criterio	Selezionare uno o più valori: Criteri antimalware Criteri anti-phishing Regola di trasporto di Exchange (regola del flusso di posta), criteri di filtro contenuto ospitato (criteri di protezione dalla posta indesiderata), Criteri di filtro posta indesiderata in uscita ospitati (criteri di posta indesiderata in uscita), Criteri allegati sicuri Unknown
Azione dei criteri	Selezionare uno o più valori: Aggiungere x-header Messaggio ccn Elimina messaggio Modificare l'oggetto Passare alla cartella Junk Email Nessuna azione eseguita Messaggio di reindirizzamento Invia in quarantena
Tipo di minaccia	Selezionare uno o più valori: Malware Phishing Posta indesiderata
Messaggio inoltrato	Selezionare uno o più valori: Vero Falso
Lista di distribuzione	Testo. Separare più valori per virgole.
dimensioni Email	Intero. Separare più valori per virgole.
Impostazioni avanzate
ID messaggio Internet	Testo. Separare più valori per virgole. Disponibile nel campo Intestazione Message-ID nell'intestazione del messaggio. Un valore di esempio è <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (prendere nota delle parentesi angolari).
ID messaggio di rete	Testo. Separare più valori per virgole. Valore GUID disponibile nel campo intestazione X-MS-Exchange-Organization-Network-Message-Id nell'intestazione del messaggio.
Indirizzo IP mittente	Testo. Separare più valori per virgole.
Allegato SHA256	Testo. Separare più valori per virgole.
Cluster ID	Testo. Separare più valori per virgole.
ID avviso	Testo. Separare più valori per virgole.
ID criteri di avviso	Testo. Separare più valori per virgole.
ID campagna	Testo. Separare più valori per virgole.
SEGNALE URL ZAP	Testo. Separare più valori per virgole.
Url
Numero URL	Intero. Separare più valori per virgole.
Dominio URL²	Testo. Separare più valori per virgole.
Dominio URL e percorso²	Testo. Separare più valori per virgole.
URL²	Testo. Separare più valori per virgole.
Percorso URL²	Testo. Separare più valori per virgole.
Origine URL	Selezionare uno o più valori: Allegati Allegato cloud Email corpo intestazione Email Codice a matrice Oggetto Unknown
Fare clic su verdetto	Selezionare uno o più valori: Consentito: all'utente è stato consentito aprire l'URL. Blocco sottoposto a override: all'utente è stato impedito di aprire direttamente l'URL, ma ha superato il blocco per aprire l'URL. Bloccato: all'utente è stato impedito di aprire l'URL. Errore: all'utente è stata visualizzata la pagina di errore o si è verificato un errore durante l'acquisizione del verdetto. Errore: si è verificata un'eccezione sconosciuta durante l'acquisizione del verdetto. L'utente potrebbe aver aperto l'URL. Nessuno: non è possibile acquisire il verdetto per l'URL. L'utente potrebbe aver aperto l'URL. Verdetto in sospeso: all'utente è stata presentata la pagina di detonazione in sospeso. Verdetto in sospeso ignorato: all'utente è stata presentata la pagina di detonazione, ma il messaggio è stato superato per aprire l'URL.Pending verdict bypassed: the user was presented with the detonation page, but they overrode the message to open the URL.
Minaccia URL	Selezionare uno o più valori: Malware Phishing Posta indesiderata
File
Numero allegati	Intero. Separare più valori per virgole.
Nome file allegato	Testo. Separare più valori per virgole.
Tipo di file	Testo. Separare più valori per virgole.
File Extension	Testo. Separare più valori per virgole.
Dimensioni file	Intero. Separare più valori per virgole.
Autenticazione
SPF	Selezionare uno o più valori: Fallire Neutro Nessuna Passare Errore permanente Soft fail Errore temporaneo
DKIM	Selezionare uno o più valori: Errore Fallire Ignora Nessuna Passare Test Timeout Unknown
DMARC	Selezionare uno o più valori: Best guess pass Fallire Nessuna Passare Errore permanente Passaggio del selettore Errore temporaneo Unknown
Composito	Selezionare uno o più valori: Fallire Nessuna Passare Passaggio morbido

Consiglio

¹ Il percorso di recapito più recente non include le azioni dell'utente finale sui messaggi. Ad esempio, se l'utente ha eliminato il messaggio o spostato il messaggio in un archivio o in un file PST.

Esistono scenari in cui il percorso/ di recapito originaleLa posizione di recapito più recente e/o l'azione recapito hanno il valore Sconosciuto. Ad esempio:

• Il messaggio è stato recapitato (l'azione recapito è Recapitato), ma una regola posta in arrivo ha spostato il messaggio in una cartella predefinita diversa dalla cartella Posta in arrivo o Posta indesiderata Email (ad esempio, la cartella Bozza o Archivio).
• ZAP ha tentato di spostare il messaggio dopo il recapito, ma il messaggio non è stato trovato (ad esempio, l'utente ha spostato o eliminato il messaggio).

² Per impostazione predefinita, una ricerca URL viene mappata a http, a meno che non sia specificato in modo esplicito un altro valore. Ad esempio:

• La ricerca con e senza il http:// prefisso in URL, dominio URL e dominio URL e percorso deve mostrare gli stessi risultati.
• Search per il prefisso nell'URLhttps://. Quando non viene specificato alcun valore, viene utilizzato il http:// prefisso .
• / All'inizio e alla fine del percorso URL, i campi Dominio URL, Dominio URL e Percorso vengono ignorati.
• / alla fine del campo URL viene ignorato.

Pivot per il grafico nella visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Il grafico ha una visualizzazione predefinita, ma è possibile selezionare un valore da Seleziona pivot per il grafico istogramma per modificare l'organizzazione e la visualizzazione dei dati del grafico filtrati o non filtrati.

I pivot del grafico disponibili sono descritti nelle sottosezioni seguenti.

Pivot del grafico delle azioni di recapito nella visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Anche se questo pivot non è selezionato per impostazione predefinita, l'azione Recapito è il pivot grafico predefinito nella visualizzazione Tutti i messaggi di posta elettronica .

Il pivot azione recapito organizza il grafico in base alle azioni eseguite sui messaggi per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni azione di recapito.

Pivot del grafico di dominio mittente nella visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Il pivot del dominio mittente organizza il grafico in base ai domini nei messaggi per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni dominio del mittente.

Pivot del grafico IP del mittente nella visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Il pivot IP mittente organizza il grafico in base agli indirizzi IP di origine dei messaggi per l'intervallo di data/ora specificato e i filtri delle proprietà.

Passando il puntatore del mouse su un punto dati nel grafico viene visualizzato il conteggio per ogni indirizzo IP del mittente.

Pivot del grafico della tecnologia di rilevamento nella visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Il pivot della tecnologia di rilevamento organizza il grafico in base alla funzionalità che ha identificato i messaggi per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni tecnologia di rilevamento.

Pivot del grafico URL completo nella visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Il pivot URL completo organizza il grafico in base agli URL completi nei messaggi per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni URL completo.

Pivot del grafico di dominio URL nella visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Il pivot del dominio URL organizza il grafico in base ai domini negli URL nei messaggi per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni dominio URL.

Pivot del dominio URL e del grafico dei percorsi nella visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Il pivot dominio URL e percorso organizza il grafico in base ai domini e ai percorsi negli URL nei messaggi per l'intervallo di data/ora specificato e i filtri delle proprietà.

Passando il puntatore del mouse su un punto dati nel grafico viene visualizzato il conteggio per ogni dominio URL e percorso.

Visualizzazioni per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Le visualizzazioni disponibili (schede) nell'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica sono descritte nelle sottosezioni seguenti.

Email visualizzazione per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Email è la visualizzazione predefinita per l'area dettagli nella visualizzazione Tutti i messaggi di posta elettronica.

La visualizzazione Email mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (^*):

• Data^*
• Oggetto^*
• Destinatario^*
• Dominio del destinatario
• Tag^*
• Indirizzo mittente^*
• Nome visualizzato del mittente
• Dominio mittente^*
• Indirizzo IP mittente
• Posta del mittente dall'indirizzo
• Posta del mittente dal dominio
• Azioni aggiuntive^*
• Azione di recapito
• Posizione di recapito più recente^*
• Posizione di recapito originale^*
• Origine delle sostituzioni del sistema
• Sostituzioni di sistema
• ID avviso
• ID messaggio Internet
• ID messaggio di rete
• Lingua di posta elettronica
• Regola di trasporto di Exchange
• Connettore
• Contesto
• Regola di prevenzione della perdita dei dati
• Tipo di minaccia^*
• Tecnologia di rilevamento
• Numero allegati
• Numero URL
• dimensioni Email

Consiglio

Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

• Scorrere orizzontalmente nel Web browser.
• Restringere la larghezza delle colonne appropriate.
• Rimuovere le colonne dalla visualizzazione.
• Ridurre lo zoom indietro nel Web browser.

Le impostazioni di colonna personalizzate vengono salvate per utente. Le impostazioni di colonna personalizzate in modalità Incognito o InPrivate browsing vengono salvate fino alla chiusura del Web browser.

Quando si seleziona una o più voci dall'elenco selezionando la casella di controllo accanto alla prima colonna, le azioni messaggio sono disponibili. Per informazioni, vedere Ricerca di minacce: Email correzione.

Nel valore Oggetto della voce è disponibile l'azione Apri nella nuova finestra . Questa azione apre il messaggio nella pagina dell'entità Email.

Quando si fa clic sui valori Oggetto o Destinatario in una voce, vengono aperti i riquadri a comparsa dei dettagli. Questi riquadri a comparsa sono descritti nelle sottosezioni seguenti.

Email dettagli dalla visualizzazione Email dei dettagli nella visualizzazione Tutti i messaggi di posta elettronica

Quando si seleziona il valore Oggetto di una voce nella tabella, viene aperto un riquadro a comparsa dei dettagli del messaggio di posta elettronica. Questo riquadro a comparsa dei dettagli è noto come pannello di riepilogo Email e contiene informazioni di riepilogo standardizzate disponibili anche nella pagina dell'entità Email per il messaggio.

Per informazioni dettagliate sulle informazioni nel pannello di riepilogo Email, vedere Il pannello di riepilogo Email in Defender.

Le azioni seguenti sono disponibili nella parte superiore del pannello di riepilogo Email per Threat Explorer e i rilevamenti in tempo reale:

• Aprire l'entità di posta elettronica
• Visualizzare l'intestazione
• Eseguire un'azione: per informazioni, vedere Correggere l'uso di Azione.
• Altre opzioni:
  • anteprima Email¹ ²
  • Scaricare un messaggio di posta elettronica¹ ² ³
  • Visualizzazione in Esplora risorse
  • Vai a caccia⁴

¹ Le azioni di anteprima e download della posta elettronica Email richiedono il ruolo Anteprima nelle autorizzazioni di collaborazione Email &. Per impostazione predefinita, questo ruolo viene assegnato ai gruppi di ruoli Data Investigator e eDiscovery Manager . Per impostazione predefinita, i membri dei gruppi di ruoli Gestione organizzazione o Amministratori della sicurezza non possono eseguire queste azioni. Per consentire queste azioni per i membri di tali gruppi, sono disponibili le opzioni seguenti:

• Aggiungere gli utenti ai gruppi di ruoli Data Investigator o eDiscovery Manager .
• Create un nuovo gruppo di ruoli con il ruolo Search e Ripulisci assegnato e aggiungere gli utenti al gruppo di ruoli personalizzato.

² È possibile visualizzare in anteprima o scaricare i messaggi di posta elettronica disponibili nelle cassette postali di Microsoft 365. Esempi di quando i messaggi non sono più disponibili nelle cassette postali includono:

• Il messaggio è stato eliminato prima del recapito o del recapito non riuscito.
• Il messaggio è stato eliminato temporaneamente (eliminato dalla cartella Posta eliminata, che sposta il messaggio nella cartella Elementi ripristinabili\Eliminazioni).
• ZAP ha spostato il messaggio in quarantena.

³ Il download della posta elettronica non è disponibile per i messaggi che sono stati messi in quarantena. Scaricare invece una copia protetta da password del messaggio dalla quarantena.

⁴ La ricerca go è disponibile solo in Esplora minacce. Non è disponibile nei rilevamenti in tempo reale.

Dettagli del destinatario dalla visualizzazione Email dei dettagli nella visualizzazione Tutti i messaggi di posta elettronica

Quando si seleziona una voce facendo clic sul valore Destinatario , viene aperto un riquadro a comparsa dei dettagli con le informazioni seguenti:

Consiglio

Per visualizzare i dettagli sugli altri destinatari senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.

• Sezione Riepilogo :

  • Ruolo: indica se al destinatario sono assegnati ruoli di amministratore.
  • Criteri:
    • Indica se l'utente dispone dell'autorizzazione per visualizzare le informazioni di archiviazione.
    • Indica se l'utente dispone dell'autorizzazione per visualizzare le informazioni di conservazione.
    • Indica se l'utente è coperto dalla prevenzione della perdita dei dati (DLP).
    • Indica se l'utente è coperto dalla gestione dei dispositivi mobili all'indirizzo https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.

• sezione Email: tabella che mostra le informazioni correlate seguenti per i messaggi inviati al destinatario:

  • Data
  • Oggetto
  • Destinatario

  Selezionare Visualizza tutti i messaggi di posta elettronica per aprire Esplora minacce in una nuova scheda filtrata in base al destinatario.

• Sezione Avvisi recenti : tabella che mostra le informazioni correlate seguenti per gli avvisi recenti correlati:

  • Gravità
  • Criterio di avviso
  • Categoria
  • Attività

  Se sono presenti più di tre avvisi recenti, selezionare Visualizza tutti gli avvisi recenti per visualizzarli tutti.

  • Sezione Attività recenti : mostra i risultati riepilogati di una ricerca nel log di controllo per il destinatario:

    • Data
    • Indirizzo IP
    • Attività
    • Elemento

    Se il destinatario include più di tre voci del log di controllo, selezionare Visualizza tutte le attività recenti per visualizzarle tutte.

  Consiglio

  I membri del gruppo di ruoli Amministratori della sicurezza in autorizzazioni di collaborazione Email & non possono espandere la sezione Attività recenti. È necessario essere membri di un gruppo di ruoli in Exchange Online autorizzazioni a cui sono assegnati i ruoli Log di controllo, Information Protection Analyst o Information Protection Investigator. Per impostazione predefinita, tali ruoli vengono assegnati ai gruppi di ruoli Gestione record, Gestione conformità, Information Protection, Analisti Information Protection, Investigatori Information Protection e Gestione organizzazione. È possibile aggiungere i membri degli amministratori della sicurezza a tali gruppi di ruoli oppure creare un nuovo gruppo di ruoli con il ruolo Log di controllo assegnato.

Visualizzazione dei clic url per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

La visualizzazione CLIC URL mostra un grafico che può essere organizzato tramite pivot. Il grafico ha una visualizzazione predefinita, ma è possibile selezionare un valore da Seleziona pivot per il grafico istogramma per modificare l'organizzazione e la visualizzazione dei dati del grafico filtrati o non filtrati.

I pivot del grafico sono descritti nelle sottosezioni seguenti.

Consiglio

In Esplora minacce, ogni pivot nella visualizzazione clic URL ha un'azione Visualizza tutti i clic che apre la visualizzazione clic URL in una nuova scheda.

Pivot di dominio URL per la visualizzazione clic URL per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Anche se questo pivot del grafico non sembra essere selezionato, dominio URL è il pivot grafico predefinito nella visualizzazione clic URL .

Il pivot del dominio URL mostra i diversi domini negli URL nei messaggi di posta elettronica per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni dominio URL.

Fare clic su Pivot verdetto per la visualizzazione URL clicks per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Il pivot Click verdict mostra i diversi verdetti per gli URL cliccati nei messaggi di posta elettronica per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni verdetto di clic.

Pivot URL per la visualizzazione clic URL per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

Il pivot URL mostra i diversi URL su cui è stato fatto clic nei messaggi di posta elettronica per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni URL.

URL domain and path pivot for the URL clicks view for the details area of the All email view in Threat Explorer

Il pivot dominio URL e percorso mostra i diversi domini e percorsi di file degli URL su cui è stato fatto clic nei messaggi di posta elettronica per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni dominio URL e percorso file.

Visualizzazione URL principali per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

La visualizzazione URL principali mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile:

• URL
• Messaggi bloccati
• Messaggi indesiderati
• Messaggi recapitati

Dettagli degli URL principali per la visualizzazione Tutti i messaggi di posta elettronica

Quando si seleziona una voce facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, viene aperto un riquadro a comparsa dei dettagli con le informazioni seguenti:

Consiglio

Per visualizzare i dettagli sugli altri URL senza uscire dal riquadro a comparsa dei dettagli, usare Elemento precedente e Elemento successivo nella parte superiore del riquadro a comparsa.

• Nella parte superiore del riquadro a comparsa sono disponibili le azioni seguenti:

  • Pagina Apri URL

  • Invia per l'analisi:

    • Pulizia del report
    • Segnalare il phishing
    • Segnalare malware

  • Gestire l'indicatore:

    • Aggiungere un indicatore
    • Gestire nell'elenco dei blocchi del tenant

    Se si seleziona una di queste opzioni, si passa alla pagina Invii nel portale di Defender.

  • Altro:

    • Visualizzazione in Esplora risorse
    • Vai a caccia
• URL originale
• Sezione Rilevamento :
  • Verdetto dell'intelligence sulle minacce
  • x avvisi attivi y eventi imprevisti: grafico a barre orizzontale che mostra il numero di avvisi High, Medium, Low e Info correlati a questo collegamento.
  • Collegamento alla pagina Visualizza tutti gli eventi imprevisti & avvisi nella pagina URL.
• Sezione Dettagli dominio :
  • Nome di dominio e collegamento alla pagina Visualizza dominio.
  • Dichiarante
  • Registrato in
  • Aggiornato il
  • Scade il
• Sezione Informazioni di contatto registrante :
  • Registrar
  • Paese/area geografica
  • Indirizzo postale
  • Posta elettronica
  • Telefono
  • Altre informazioni: Collegamento ad Apri in Whois.
• Sezione sulla prevalenza dell'URL (ultimi 30 giorni): contiene il numero di dispositivi, Email e clic. Selezionare ogni valore per visualizzare l'elenco completo.
• Dispositivi: mostra i dispositivi interessati:

  • Data (prima/ultima)

  • Dispositivi

    Se sono coinvolti più di due dispositivi, selezionare Visualizza tutti i dispositivi per visualizzarli tutti.

Visualizzazione dei primi clic per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

La visualizzazione Primi clic mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile:

• URL
• Bloccato
• Consentito
• Blocco sottoposto a override
• Verdetto in sospeso
• Verdetto in sospeso ignorato
• Nessuna
• Pagina degli errori
• Fallimento

Consiglio

Sono selezionate tutte le colonne disponibili. Se si seleziona Personalizza colonne, non è possibile deselezionare le colonne.

Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

• Scorrere orizzontalmente nel Web browser.
• Restringere la larghezza delle colonne appropriate.
• Ridurre lo zoom indietro nel Web browser.

Quando si seleziona una voce facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, viene aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte in Dettagli url principali per la visualizzazione Tutti i messaggi di posta elettronica.

Visualizzazione utenti di destinazione principale per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

La visualizzazione Utenti di destinazione principali organizza i dati in una tabella dei primi cinque destinatari interessati dalla maggior parte delle minacce. La tabella contiene le informazioni seguenti:

• Utenti di destinazione principali: indirizzo di posta elettronica del destinatario. Se si seleziona un indirizzo del destinatario, verrà aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte in Dettagli destinatario dalla visualizzazione Email dei dettagli nella visualizzazione Tutti i messaggi di posta elettronica.

• Numero di tentativi: se si seleziona il numero di tentativi, Esplora minacce viene aperto in una nuova scheda filtrata in base al destinatario.

Consiglio

Utilizzare Esporta per esportare l'elenco di un massimo di 3000 utenti e i tentativi corrispondenti.

Email visualizzazione origine per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

La visualizzazione origine Email mostra le origini dei messaggi in una mappa del mondo.

Visualizzazione campagna per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce

La visualizzazione Campagna mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile.

Le informazioni nella tabella sono le stesse descritte nella tabella dei dettagli nella pagina Campagne.

Quando si seleziona una voce facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al riquadro a comparsa Nome, viene aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte in Dettagli campagna.

Visualizzazione malware in Esplora minacce e rilevamenti in tempo reale

La visualizzazione Malware in Esplora minacce e rilevamenti in tempo reale mostra informazioni sui messaggi di posta elettronica che sono stati trovati per contenere malware. Questa visualizzazione è l'impostazione predefinita nei rilevamenti in tempo reale.

Per aprire la visualizzazione Malware , eseguire una delle operazioni seguenti:

• Esplora minacce: nella pagina Esplora risorse del portale https://security.microsoft.comdi Defender in passare a Email & schedaMalwaredi Esplora>collaborazione>. In alternativa, passare direttamente alla pagina Esplora risorse usando https://security.microsoft.com/threatexplorerv3e quindi selezionare la scheda Malware.
• Rilevamenti in tempo reale: nella pagina Rilevamenti in tempo reale nel portale https://security.microsoft.comdi Defender in passare alla scheda Email & collaboration>Explorer>Malware. In alternativa, passare direttamente alla pagina Rilevamenti in tempo reale usando https://security.microsoft.com/realtimereportsv3e quindi verificare che sia selezionata la scheda Malware.

Proprietà filtrabili nella visualizzazione Malware in Esplora minacce e rilevamenti in tempo reale

Per impostazione predefinita, non vengono applicati filtri di proprietà ai dati. I passaggi per creare filtri (query) sono descritti nella sezione Filtri in Esplora minacce e rilevamenti in tempo reale più avanti in questo articolo.

Le proprietà filtrabili disponibili nella casella Indirizzo mittente nella visualizzazione Malware sono descritte nella tabella seguente:

Proprietà	Tipo	Minacce Explorer	In tempo reale Rilevamenti
Di base
Indirizzo del mittente	Testo. Separare più valori per virgole.	✔	✔
Destinatari	Testo. Separare più valori per virgole.	✔	✔
Dominio del mittente	Testo. Separare più valori per virgole.	✔	✔
Dominio del destinatario	Testo. Separare più valori per virgole.	✔	✔
Oggetto	Testo. Separare più valori per virgole.	✔	✔
Nome visualizzato del mittente	Testo. Separare più valori per virgole.	✔	✔
Posta del mittente dall'indirizzo	Testo. Separare più valori per virgole.	✔	✔
Posta del mittente dal dominio	Testo. Separare più valori per virgole.	✔	✔
Percorso restituito	Testo. Separare più valori per virgole.	✔	✔
Dominio del percorso restituito	Testo. Separare più valori per virgole.	✔	✔
Famiglia di malware	Testo. Separare più valori per virgole.	✔	✔
Tag	Testo. Separare più valori per virgole. Per altre informazioni sui tag utente, vedere Tag utente.	✔
Regola di trasporto di Exchange	Testo. Separare più valori per virgole.	✔
Regola di prevenzione della perdita dei dati	Testo. Separare più valori per virgole.	✔
Contesto	Selezionare uno o più valori: Valutazione Protezione dell'account con priorità	✔
Connettore	Testo. Separare più valori per virgole.	✔
Azione di recapito	Selezionare uno o più valori: Bloccato Recapito effettuato Recapito indesiderata Sostituito: allegati di messaggi che sono stati sostituiti da Recapito dinamico nei criteri allegati sicuri.	✔	✔
Azione aggiuntiva	Selezionare uno o più valori: Correzione automatica Recapito dinamico: per altre informazioni, vedere Recapito dinamico nei criteri allegati sicuri. Correzione manuale Nessuna Versione di quarantena Rielaborati ZAP: per altre informazioni, vedere Eliminazione automatica a zero ore (ZAP) in Microsoft Defender per Office 365.	✔	✔
Direzionalità	Selezionare uno o più valori: Inbound Intra-irg In uscita	✔	✔
Tecnologia di rilevamento	Selezionare uno o più valori: Filtro avanzato: segnali basati su Machine Learning. Protezione antimalware Invio in blocco Campagna Reputazione del dominio Detonazione dei file: allegati sicuri hanno rilevato un allegato dannoso durante l'analisi della detonazione. Reputazione di detonazione dei file: allegati di file precedentemente rilevati da detonazioni di allegati sicuri in altre organizzazioni di Microsoft 365. Reputazione file: il messaggio contiene un file identificato in precedenza come dannoso in altre organizzazioni di Microsoft 365. Corrispondenza delle impronte digitali: il messaggio è simile a un messaggio dannoso rilevato in precedenza. Filtro generale Marchio di rappresentazione: mittente rappresentazione di marchi noti. Dominio di rappresentazione: Rappresentazione dei domini mittente di cui si è proprietari o specificati per la protezione nei criteri anti-phishing Utente di rappresentazione Reputazione IP Rappresentazione dell'intelligence per le cassette postali: rilevamenti di rappresentazione dall'intelligence delle cassette postali nei criteri anti-phishing. Rilevamento analisi mista: più filtri hanno contribuito al verdetto del messaggio. spoof DMARC: il messaggio non è riuscito con l'autenticazione DMARC. Dominio esterno spoofing: spoofing dell'indirizzo di posta elettronica del mittente usando un dominio esterno all'organizzazione. Spoof all'interno dell'organizzazione: spoofing dell'indirizzo di posta elettronica del mittente usando un dominio interno all'organizzazione. Detonazione dell'URL: i collegamenti sicuri hanno rilevato un URL dannoso nel messaggio durante l'analisi della detonazione. Reputazione della detonazione degli URL: URL rilevati in precedenza da detonazioni di Collegamenti sicuri in altre organizzazioni di Microsoft 365. Reputazione dannosa dell'URL: il messaggio contiene un URL identificato in precedenza come dannoso in altre organizzazioni di Microsoft 365.	✔	✔
Posizione di recapito originale	Selezionare uno o più valori: cartella Elementi eliminati Caduto Operazione non riuscita Posta in arrivo/cartella Posta indesiderata Locale/esterno Quarantena Unknown	✔	✔
Posizione di recapito più recente	Stessi valori del percorso di recapito originale	✔	✔
Override primario	Selezionare uno o più valori: Consentito dai criteri dell'organizzazione Consentito dai criteri utente Bloccato dai criteri dell'organizzazione Bloccato dai criteri utente Nessuna	✔	✔
Origine di override primaria	I messaggi possono avere più sostituzioni consentite o bloccate, come identificato nell'origine di override. L'override che alla fine ha consentito o bloccato il messaggio viene identificato nell'origine di override primaria. Selezionare uno o più valori: Filtro di terze parti Amministrazione iniziato il viaggio nel tempo (ZAP) Blocco dei criteri antimalware per tipo di file Impostazioni dei criteri antispam Criteri di connessione Regola di trasporto di Exchange Modalità esclusiva (override utente) Filtro ignorato a causa dell'organizzazione locale Filtro dell'area IP dai criteri Filtro della lingua dai criteri Simulazione di phishing Versione di quarantena Cassetta postale secOps Elenco indirizzi mittente (Amministrazione Override) Elenco indirizzi mittente (override utente) Elenco di domini mittente (Amministrazione Override) Elenco di domini mittente (override utente) Blocco di file elenco tenant consentiti/bloccati Blocco di indirizzi di posta elettronica del mittente elenco tenant consentiti/bloccati Blocco spoof elenco tenant consentiti/bloccati Blocco url elenco tenant consentiti/bloccati Elenco contatti attendibili (override utente) Dominio attendibile (override utente) Destinatario attendibile (override utente) Solo mittenti attendibili (override utente)	✔	✔
Eseguire l'override dell'origine	Stessi valori dell'origine di override primaria	✔	✔
Tipo di criterio	Selezionare uno o più valori: Criteri antimalware Criteri anti-phishing Regola di trasporto di Exchange (regola del flusso di posta), criteri di filtro contenuto ospitato (criteri di protezione dalla posta indesiderata), Criteri di filtro posta indesiderata in uscita ospitati (criteri di posta indesiderata in uscita), Criteri allegati sicuri Unknown	✔	✔
Azione dei criteri	Selezionare uno o più valori: Aggiungere x-header Messaggio ccn Elimina messaggio Modificare l'oggetto Passare alla cartella Junk Email Nessuna azione eseguita Messaggio di reindirizzamento Invia in quarantena	✔	✔
dimensioni Email	Intero. Separare più valori per virgole.	✔	✔
Impostazioni avanzate
ID messaggio Internet	Testo. Separare più valori per virgole. Disponibile nel campo Intestazione Message-ID nell'intestazione del messaggio. Un valore di esempio è <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (prendere nota delle parentesi angolari).	✔	✔
ID messaggio di rete	Testo. Separare più valori per virgole. Valore GUID disponibile nel campo intestazione X-MS-Exchange-Organization-Network-Message-Id nell'intestazione del messaggio.	✔	✔
Indirizzo IP mittente	Testo. Separare più valori per virgole.	✔	✔
Allegato SHA256	Testo. Separare più valori per virgole.	✔	✔
Cluster ID	Testo. Separare più valori per virgole.	✔	✔
ID avviso	Testo. Separare più valori per virgole.	✔	✔
ID criteri di avviso	Testo. Separare più valori per virgole.	✔	✔
ID campagna	Testo. Separare più valori per virgole.	✔	✔
SEGNALE URL ZAP	Testo. Separare più valori per virgole.	✔	✔
Url
Numero URL	Intero. Separare più valori per virgole.	✔	✔
Dominio URL	Testo. Separare più valori per virgole.	✔	✔
Url dominio e percorso	Testo. Separare più valori per virgole.	✔	✔
URL	Testo. Separare più valori per virgole.	✔	✔
Percorso URL	Testo. Separare più valori per virgole.	✔	✔
Origine URL	Selezionare uno o più valori: Allegati Allegato cloud Email corpo intestazione Email Codice a matrice Oggetto Unknown	✔	✔
Fare clic su verdetto	Selezionare uno o più valori: Consentito Blocco sottoposto a override Bloccato Errore Fallimento Nessuna Verdetto in sospeso Verdetto in sospeso ignorato	✔	✔
Minaccia URL	Selezionare uno o più valori: Malware Phishing Posta indesiderata	✔	✔
File
Numero allegati	Intero. Separare più valori per virgole.	✔	✔
Nome file allegato	Testo. Separare più valori per virgole.	✔	✔
Tipo di file	Testo. Separare più valori per virgole.	✔	✔
File Extension	Testo. Separare più valori per virgole.	✔	✔
Dimensioni file	Intero. Separare più valori per virgole.	✔	✔
Autenticazione
SPF	Selezionare uno o più valori: Fallire Neutro Nessuna Passare Errore permanente Soft fail Errore temporaneo	✔	✔
DKIM	Selezionare uno o più valori: Errore Fallire Ignora Nessuna Passare Test Timeout Unknown	✔	✔
DMARC	Selezionare uno o più valori: Best guess pass Fallire Nessuna Passare Errore permanente Passaggio del selettore Errore temporaneo Unknown	✔	✔
Composito	Selezionare uno o più valori: Fallire Nessuna Passare Passaggio morbido

Pivot per il grafico nella visualizzazione Malware in Esplora minacce e Rilevamenti in tempo reale

Il grafico ha una visualizzazione predefinita, ma è possibile selezionare un valore da Seleziona pivot per il grafico istogramma per modificare l'organizzazione e la visualizzazione dei dati del grafico filtrati o non filtrati.

I pivot del grafico disponibili nella visualizzazione Malware in Esplora minacce e i rilevamenti in tempo reale sono elencati nella tabella seguente:

Pivot	Minacce Explorer	In tempo reale Rilevamenti
Famiglia di malware	✔
Dominio del mittente	✔
Indirizzo IP mittente	✔
Azione di recapito	✔	✔
Tecnologia di rilevamento	✔	✔

I pivot del grafico disponibili sono descritti nelle sottosezioni seguenti.

Pivot del grafico a famiglie di malware nella visualizzazione Malware in Esplora minacce

Anche se questo pivot non sembra selezionato per impostazione predefinita, la famiglia malware è il pivot grafico predefinito nella visualizzazione Malware in Esplora minacce.

Il pivot della famiglia malware organizza il grafico in base alla famiglia di malware rilevata nei messaggi per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni famiglia di malware.

Pivot del grafico del dominio mittente nella visualizzazione Malware in Esplora minacce

Il pivot del dominio mittente organizza il grafico in base al dominio del mittente dei messaggi che sono stati trovati per contenere malware per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni dominio del mittente.

Pivot del grafico IP mittente nella visualizzazione Malware in Esplora minacce

Il pivot IP mittente organizza il grafico in base all'indirizzo IP di origine dei messaggi che sono stati trovati per contenere malware per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni indirizzo IP di origine.

Pivot del grafico delle azioni di recapito nella visualizzazione Malware in Esplora minacce e rilevamenti in tempo reale

Anche se questo pivot non sembra selezionato per impostazione predefinita, l'azione recapito è il pivot grafico predefinito nella visualizzazione Malware nei rilevamenti in tempo reale.

Il pivot azione recapito organizza il grafico in base a quanto è successo ai messaggi che sono stati trovati per contenere malware per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni azione di recapito.

Pivot del grafico della tecnologia di rilevamento nella visualizzazione Malware in Esplora minacce e rilevamenti in tempo reale

Il pivot tecnologia di rilevamento organizza il grafico in base alla funzionalità che ha identificato il malware nei messaggi per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni tecnologia di rilevamento.

Visualizzazioni per l'area dei dettagli della visualizzazione Malware in Esplora minacce e rilevamenti in tempo reale

Le visualizzazioni disponibili (schede) nell'area dei dettagli della visualizzazione Malware sono elencate nella tabella seguente e sono descritte nelle sottosezioni seguenti.

Visualizzare	Minacce Explorer	In tempo reale Rilevamenti
Posta elettronica	✔	✔
Principali famiglie di malware	✔
Utenti di destinazione principali	✔
Email origine	✔
Campagna	✔

Email visualizzazione per l'area dei dettagli della visualizzazione Malware in Esplora minacce e rilevamenti in tempo reale

Email è la visualizzazione predefinita per l'area dei dettagli della visualizzazione Malware in Esplora minacce e rilevamenti in tempo reale.

La visualizzazione Email mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate.

La tabella seguente illustra le colonne disponibili in Esplora minacce e rilevamenti in tempo reale. I valori predefiniti sono contrassegnati con un asterisco (^*).

Colonna	Minacce Explorer	In tempo reale Rilevamenti
Data*	✔	✔
Oggetto*	✔	✔
Destinatario*	✔	✔
Dominio del destinatario	✔	✔
Tag*	✔
Indirizzo mittente*	✔	✔
Nome visualizzato del mittente	✔	✔
Dominio mittente*	✔	✔
Indirizzo IP mittente	✔	✔
Posta del mittente dall'indirizzo	✔	✔
Posta del mittente dal dominio	✔	✔
Azioni aggiuntive*	✔	✔
Azione di recapito	✔	✔
Posizione di recapito più recente*	✔	✔
Posizione di recapito originale*	✔	✔
Origine delle sostituzioni del sistema	✔	✔
Sostituzioni di sistema	✔	✔
ID avviso	✔	✔
ID messaggio Internet	✔	✔
ID messaggio di rete	✔	✔
Lingua di posta elettronica	✔	✔
Regola di trasporto di Exchange	✔
Connettore	✔
Contesto	✔	✔
Regola di prevenzione della perdita dei dati	✔	✔
Tipo di minaccia*	✔	✔
Tecnologia di rilevamento	✔	✔
Numero allegati	✔	✔
Numero URL	✔	✔
dimensioni Email	✔	✔

Consiglio

Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

• Scorrere orizzontalmente nel Web browser.
• Restringere la larghezza delle colonne appropriate.
• Rimuovere le colonne dalla visualizzazione.
• Ridurre lo zoom indietro nel Web browser.

Le impostazioni di colonna personalizzate vengono salvate per utente. Le impostazioni di colonna personalizzate in modalità Incognito o InPrivate browsing vengono salvate fino alla chiusura del Web browser.

Quando si seleziona una o più voci dall'elenco selezionando la casella di controllo accanto alla prima colonna, le azioni messaggio sono disponibili. Per informazioni, vedere Ricerca di minacce: Email correzione.

Quando si fa clic sui valori Oggetto o Destinatario in una voce, vengono aperti i riquadri a comparsa dei dettagli. Questi riquadri a comparsa sono descritti nelle sottosezioni seguenti.

Email dettagli dalla visualizzazione Email dei dettagli nella visualizzazione Malware

Quando si seleziona il valore Oggetto di una voce nella tabella, viene aperto un riquadro a comparsa dei dettagli del messaggio di posta elettronica. Questo riquadro a comparsa dei dettagli è noto come pannello di riepilogo Email e contiene informazioni di riepilogo standardizzate disponibili anche nella pagina dell'entità Email per il messaggio.

Per informazioni dettagliate sulle informazioni nel pannello di riepilogo Email, vedere I pannelli di riepilogo Email.

Le azioni disponibili nella parte superiore del pannello di riepilogo Email per Esplora minacce e i rilevamenti in tempo reale sono descritte nei dettagli Email dalla visualizzazione Email dei dettagli nella visualizzazione Tutti i messaggi di posta elettronica.

Dettagli del destinatario dalla visualizzazione Email dei dettagli nella visualizzazione Malware

Quando si seleziona una voce facendo clic sul valore Destinatario , viene aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte in Dettagli destinatario dalla visualizzazione Email dei dettagli nella visualizzazione Tutti i messaggi di posta elettronica.

Visualizzazione delle principali famiglie di malware per l'area dei dettagli della visualizzazione Malware in Esplora minacce

La visualizzazione Principali famiglie di malware per l'area dei dettagli organizza i dati in una tabella delle principali famiglie di malware. La tabella mostra:

• Colonna Principali famiglie di malware : il nome della famiglia di malware.

  Se si seleziona un nome di famiglia di malware, viene aperto un riquadro a comparsa dei dettagli contenente le informazioni seguenti:

  • sezione Email: tabella che mostra le informazioni correlate seguenti per i messaggi che contengono il file malware:

    • Data
    • Oggetto
    • Destinatario

    Selezionare Visualizza tutti i messaggi di posta elettronica per aprire Esplora minacce in una nuova scheda filtrata in base al nome della famiglia di malware.

  • Sezione Dettagli tecnici

  

• Numero di tentativi: se si seleziona il numero di tentativi, Esplora minacce viene aperto in una nuova scheda filtrata in base al nome della famiglia di malware.

Visualizzazione utenti di destinazione principali per l'area dei dettagli della visualizzazione Malware in Esplora minacce

La visualizzazione Utenti di destinazione principali organizza i dati in una tabella dei primi cinque destinatari interessati dal malware. La tabella mostra:

• Utenti di destinazione principali: l'indirizzo di posta elettronica dell'utente di destinazione principale. Se si seleziona un indirizzo di posta elettronica, viene aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte nella visualizzazione Utenti di destinazione principali per l'area dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce.

• Numero di tentativi: se si seleziona il numero di tentativi, Esplora minacce viene aperto in una nuova scheda filtrata in base al nome della famiglia di malware.

Consiglio

Utilizzare Esporta per esportare l'elenco di un massimo di 3000 utenti e i tentativi corrispondenti.

Email visualizzazione origine per l'area dettagli della visualizzazione Malware in Esplora minacce

La visualizzazione origine Email mostra le origini dei messaggi in una mappa del mondo.

Visualizzazione campagna per l'area dei dettagli della visualizzazione Malware in Esplora minacce

La visualizzazione Campagna mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile.

La tabella dei dettagli è identica alla tabella dei dettagli nella pagina Campagne.

Quando si seleziona una voce facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al riquadro a comparsa Nome, viene aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte in Dettagli campagna.

Visualizzazione Phish in Esplora minacce e rilevamenti in tempo reale

La visualizzazione Phish in Esplora minacce e i rilevamenti in tempo reale mostrano informazioni sui messaggi di posta elettronica identificati come phishing.

Per aprire la visualizzazione Phish , eseguire una delle operazioni seguenti:

• Esplora minacce: nella pagina Esplora risorse del portale https://security.microsoft.comdi Defender in passare alla scheda Email & Collaboration>Explorer>Phish. In alternativa, passare direttamente alla pagina Esplora risorse usando https://security.microsoft.com/threatexplorerv3e quindi selezionare la scheda Phish.
• Rilevamenti in tempo reale: nella pagina Rilevamenti in tempo reale nel portale https://security.microsoft.comdi Defender in passare alla scheda Email & Collaboration>Explorer>Phish. In alternativa, passare direttamente alla pagina Rilevamenti in tempo reale usando https://security.microsoft.com/realtimereportsv3e quindi selezionare la scheda Phish.

Proprietà filtrabili nella visualizzazione Phish in Esplora minacce e rilevamenti in tempo reale

Per impostazione predefinita, non vengono applicati filtri di proprietà ai dati. I passaggi per creare filtri (query) sono descritti nella sezione Filtri in Esplora minacce e rilevamenti in tempo reale più avanti in questo articolo.

Le proprietà filtrabili disponibili nella casella Indirizzo mittente nella visualizzazione Malware sono descritte nella tabella seguente:

Proprietà	Tipo	Minacce Explorer	In tempo reale Rilevamenti
Di base
Indirizzo del mittente	Testo. Separare più valori per virgole.	✔	✔
Destinatari	Testo. Separare più valori per virgole.	✔	✔
Dominio del mittente	Testo. Separare più valori per virgole.	✔	✔
Dominio del destinatario	Testo. Separare più valori per virgole.	✔	✔
Oggetto	Testo. Separare più valori per virgole.	✔	✔
Nome visualizzato del mittente	Testo. Separare più valori per virgole.	✔	✔
Posta del mittente dall'indirizzo	Testo. Separare più valori per virgole.	✔	✔
Posta del mittente dal dominio	Testo. Separare più valori per virgole.	✔	✔
Percorso restituito	Testo. Separare più valori per virgole.	✔	✔
Dominio del percorso restituito	Testo. Separare più valori per virgole.	✔	✔
Tag	Testo. Separare più valori per virgole. Per altre informazioni sui tag utente, vedere Tag utente.	✔
Dominio rappresentato	Testo. Separare più valori per virgole.	✔	✔
Utente rappresentato	Testo. Separare più valori per virgole.	✔	✔
Regola di trasporto di Exchange	Testo. Separare più valori per virgole.	✔
Regola di prevenzione della perdita dei dati	Testo. Separare più valori per virgole.	✔
Contesto	Selezionare uno o più valori: Valutazione Protezione dell'account con priorità	✔
Connettore	Testo. Separare più valori per virgole.	✔
Azione di recapito	Selezionare uno o più valori: Bloccato Recapito effettuato Recapito indesiderata Sostituito: allegati di messaggi che sono stati sostituiti da Recapito dinamico nei criteri allegati sicuri.	✔	✔
Azione aggiuntiva	Selezionare uno o più valori: Correzione automatica Recapito dinamico Correzione manuale Nessuna Versione di quarantena Rielaborati ZAP	✔	✔
Direzionalità	Selezionare uno o più valori: Inbound Intra-irg In uscita	✔	✔
Tecnologia di rilevamento	Selezionare uno o più valori: Filtro avanzato Protezione antimalware Invio in blocco Campagna Reputazione del dominio Detonazione file Reputazione della detonazione dei file Reputazione dei file Corrispondenza delle impronte digitali Filtro generale Marchio di rappresentazione Dominio di rappresentazione Utente di rappresentazione Reputazione IP Rappresentazione dell'intelligence per le cassette postali Rilevamento analisi mista spoof DMARC Spoof external domain Spoof all'interno dell'organizzazione Detonazione di URL Reputazione della detonazione dell'URL Reputazione dannosa dell'URL	✔	✔
Posizione di recapito originale	Selezionare uno o più valori: cartella Elementi eliminati Caduto Operazione non riuscita Posta in arrivo/cartella Posta indesiderata Locale/esterno Quarantena Unknown	✔	✔
Posizione di recapito più recente	Stessi valori del percorso di recapito originale	✔	✔
Livello di attendibilità phish	Selezionare uno o più valori: High Normale	✔
Override primario	Selezionare uno o più valori: Consentito dai criteri dell'organizzazione Consentito dai criteri utente Bloccato dai criteri dell'organizzazione Bloccato dai criteri utente Nessuna	✔	✔
Origine di override primaria	I messaggi possono avere più sostituzioni consentite o bloccate, come identificato nell'origine di override. L'override che alla fine ha consentito o bloccato il messaggio viene identificato nell'origine di override primaria. Selezionare uno o più valori: Filtro di terze parti Amministrazione iniziato il viaggio nel tempo (ZAP) Blocco dei criteri antimalware per tipo di file Impostazioni dei criteri antispam Criteri di connessione Regola di trasporto di Exchange Modalità esclusiva (override utente) Filtro ignorato a causa dell'organizzazione locale Filtro dell'area IP dai criteri Filtro della lingua dai criteri Simulazione di phishing Versione di quarantena Cassetta postale secOps Elenco indirizzi mittente (Amministrazione Override) Elenco indirizzi mittente (override utente) Elenco di domini mittente (Amministrazione Override) Elenco di domini mittente (override utente) Blocco di file elenco tenant consentiti/bloccati Blocco di indirizzi di posta elettronica del mittente elenco tenant consentiti/bloccati Blocco spoof elenco tenant consentiti/bloccati Blocco url elenco tenant consentiti/bloccati Elenco contatti attendibili (override utente) Dominio attendibile (override utente) Destinatario attendibile (override utente) Solo mittenti attendibili (override utente)	✔	✔
Eseguire l'override dell'origine	Stessi valori dell'origine di override primaria	✔	✔
Tipo di criterio	Selezionare uno o più valori: Criteri antimalware Criteri anti-phishing Regola di trasporto di Exchange (regola del flusso di posta), criteri di filtro contenuto ospitato (criteri di protezione dalla posta indesiderata), Criteri di filtro posta indesiderata in uscita ospitati (criteri di posta indesiderata in uscita), Criteri allegati sicuri Unknown	✔	✔
Azione dei criteri	Selezionare uno o più valori: Aggiungere x-header Messaggio ccn Elimina messaggio Modificare l'oggetto Passare alla cartella Junk Email Nessuna azione eseguita Messaggio di reindirizzamento Invia in quarantena	✔	✔
dimensioni Email	Intero. Separare più valori per virgole.	✔	✔
Impostazioni avanzate
ID messaggio Internet	Testo. Separare più valori per virgole. Disponibile nel campo Intestazione Message-ID nell'intestazione del messaggio. Un valore di esempio è <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (prendere nota delle parentesi angolari).	✔	✔
ID messaggio di rete	Testo. Separare più valori per virgole. Valore GUID disponibile nel campo intestazione X-MS-Exchange-Organization-Network-Message-Id nell'intestazione del messaggio.	✔	✔
Indirizzo IP mittente	Testo. Separare più valori per virgole.	✔	✔
Allegato SHA256	Testo. Separare più valori per virgole.	✔	✔
Cluster ID	Testo. Separare più valori per virgole.	✔	✔
ID avviso	Testo. Separare più valori per virgole.	✔	✔
ID criteri di avviso	Testo. Separare più valori per virgole.	✔	✔
ID campagna	Testo. Separare più valori per virgole.	✔	✔
SEGNALE URL ZAP	Testo. Separare più valori per virgole.	✔
Url
Numero URL	Intero. Separare più valori per virgole.	✔	✔
Dominio URL	Testo. Separare più valori per virgole.	✔	✔
Url dominio e percorso	Testo. Separare più valori per virgole.	✔
URL	Testo. Separare più valori per virgole.	✔
Percorso URL	Testo. Separare più valori per virgole.	✔
Origine URL	Selezionare uno o più valori: Allegati Allegato cloud Email corpo intestazione Email Codice a matrice Oggetto Unknown	✔	✔
Fare clic su verdetto	Selezionare uno o più valori: Consentito Blocco sottoposto a override Bloccato Errore Fallimento Nessuna Verdetto in sospeso Verdetto in sospeso ignorato	✔	✔
Minaccia URL	Selezionare uno o più valori: Malware Phishing Posta indesiderata	✔	✔
File
Numero allegati	Intero. Separare più valori per virgole.	✔	✔
Nome file allegato	Testo. Separare più valori per virgole.	✔	✔
Tipo di file	Testo. Separare più valori per virgole.	✔	✔
File Extension	Testo. Separare più valori per virgole.	✔	✔
Dimensioni file	Intero. Separare più valori per virgole.	✔	✔
Autenticazione
SPF	Selezionare uno o più valori: Fallire Neutro Nessuna Passare Errore permanente Soft fail Errore temporaneo	✔	✔
DKIM	Selezionare uno o più valori: Errore Fallire Ignora Nessuna Passare Test Timeout Unknown	✔	✔
DMARC	Selezionare uno o più valori: Best guess pass Fallire Nessuna Passare Errore permanente Passaggio del selettore Errore temporaneo Unknown	✔	✔
Composito	Selezionare uno o più valori: Fallire Nessuna Passare Passaggio morbido

Pivot per il grafico nella visualizzazione Phish in Esplora minacce e Rilevamenti in tempo reale

Il grafico ha una visualizzazione predefinita, ma è possibile selezionare un valore da Seleziona pivot per il grafico istogramma per modificare l'organizzazione e la visualizzazione dei dati del grafico filtrati o non filtrati.

I pivot del grafico disponibili nella visualizzazione Phish in Esplora minacce e i rilevamenti in tempo reale sono elencati nella tabella seguente:

Pivot	Minacce Explorer	In tempo reale Rilevamenti
Dominio del mittente	✔	✔
Indirizzo IP mittente	✔
Azione di recapito	✔	✔
Tecnologia di rilevamento	✔	✔
URL completo	✔
Dominio URL	✔	✔
Url dominio e percorso	✔

I pivot del grafico disponibili sono descritti nelle sottosezioni seguenti.

Pivot del grafico di dominio mittente nella visualizzazione Phish in Esplora minacce e rilevamenti in tempo reale

Anche se questo pivot non è selezionato per impostazione predefinita, il dominio mittente è il pivot grafico predefinito nella visualizzazione Phish nei rilevamenti in tempo reale.

Il pivot del dominio mittente organizza il grafico in base ai domini nei messaggi per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni dominio del mittente.

Pivot del grafico IP mittente nella visualizzazione Phish in Esplora minacce

Il pivot IP mittente organizza il grafico in base agli indirizzi IP di origine dei messaggi per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni indirizzo IP di origine.

Pivot del grafico delle azioni di recapito nella visualizzazione Phish in Esplora minacce e rilevamenti in tempo reale

Anche se questo pivot non è selezionato per impostazione predefinita, l'azione recapito è il pivot grafico predefinito nella visualizzazione Phish in Esplora minacce.

Il pivot azione recapito organizza il grafico in base alle azioni eseguite sui messaggi per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni azione di recapito.

Pivot del grafico della tecnologia di rilevamento nella visualizzazione Phish in Esplora minacce e rilevamenti in tempo reale

Il pivot della tecnologia di rilevamento organizza il grafico in base alla funzionalità che ha identificato i messaggi di phishing per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni tecnologia di rilevamento.

Pivot del grafico URL completo nella visualizzazione Phish in Esplora minacce

Il pivot URL completo organizza il grafico in base agli URL completi nei messaggi di phishing per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni URL completo.

Pivot del grafico di dominio URL nella visualizzazione Phish in Esplora minacce e rilevamenti in tempo reale

Il pivot del dominio URL organizza il grafico in base ai domini negli URL nei messaggi di phishing per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni dominio URL.

Pivot del dominio URL e del grafico di percorso nella visualizzazione Phish in Esplora minacce

Il pivot dominio URL e percorso organizza il grafico in base ai domini e ai percorsi negli URL nei messaggi di phishing per l'intervallo di data/ora specificato e i filtri delle proprietà.

Passando il puntatore del mouse su un punto dati nel grafico viene visualizzato il conteggio per ogni dominio URL e percorso.

Visualizzazioni per l'area dei dettagli della visualizzazione Phish in Esplora minacce

Le visualizzazioni disponibili (schede) nell'area dei dettagli della vista Phish sono elencate nella tabella seguente e sono descritte nelle sottosezioni seguenti.

Visualizzare	Minacce Explorer	In tempo reale Rilevamenti
Posta elettronica	✔	✔
Clic URL	✔	✔
URL principali	✔	✔
Primi clic	✔	✔
Utenti di destinazione principali	✔
Email origine	✔
Campagna	✔

Email visualizzazione per l'area dei dettagli della visualizzazione Phish in Esplora minacce e rilevamenti in tempo reale

Email è la visualizzazione predefinita per l'area dei dettagli della visualizzazione Phish in Esplora minacce e rilevamenti in tempo reale.

La visualizzazione Email mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate.

La tabella seguente illustra le colonne disponibili in Esplora minacce e rilevamenti in tempo reale. I valori predefiniti sono contrassegnati con un asterisco (^*).

Colonna	Minacce Explorer	In tempo reale Rilevamenti
Data*	✔	✔
Oggetto*	✔	✔
Destinatario*	✔	✔
Dominio del destinatario	✔	✔
Tag*	✔
Indirizzo mittente*	✔	✔
Nome visualizzato del mittente	✔	✔
Dominio mittente*	✔	✔
Indirizzo IP mittente	✔	✔
Posta del mittente dall'indirizzo	✔	✔
Posta del mittente dal dominio	✔	✔
Azioni aggiuntive*	✔	✔
Azione di recapito	✔	✔
Posizione di recapito più recente*	✔	✔
Posizione di recapito originale*	✔	✔
Origine delle sostituzioni del sistema	✔	✔
Sostituzioni di sistema	✔	✔
ID avviso	✔	✔
ID messaggio Internet	✔	✔
ID messaggio di rete	✔	✔
Lingua di posta elettronica	✔	✔
Regola di trasporto di Exchange	✔
Connettore	✔
Livello di attendibilità phish	✔
Contesto	✔
Regola di prevenzione della perdita dei dati	✔
Tipo di minaccia*	✔	✔
Tecnologia di rilevamento	✔	✔
Numero allegati	✔	✔
Numero URL	✔	✔
dimensioni Email	✔	✔

Consiglio

Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

• Scorrere orizzontalmente nel Web browser.
• Restringere la larghezza delle colonne appropriate.
• Rimuovere le colonne dalla visualizzazione.
• Ridurre lo zoom indietro nel Web browser.

Le impostazioni di colonna personalizzate vengono salvate per utente. Le impostazioni di colonna personalizzate in modalità Incognito o InPrivate browsing vengono salvate fino alla chiusura del Web browser.

Quando si seleziona una o più voci dall'elenco selezionando la casella di controllo accanto alla prima colonna, le azioni messaggio sono disponibili. Per informazioni, vedere Ricerca di minacce: Email correzione.

Quando si fa clic sui valori Oggetto o Destinatario in una voce, vengono aperti i riquadri a comparsa dei dettagli. Questi riquadri a comparsa sono descritti nelle sottosezioni seguenti.

Email dettagli dalla visualizzazione Email dei dettagli nella visualizzazione Phish

Quando si seleziona il valore Oggetto di una voce nella tabella, viene aperto un riquadro a comparsa dei dettagli del messaggio di posta elettronica. Questo riquadro a comparsa dei dettagli è noto come pannello di riepilogo Email e contiene informazioni di riepilogo standardizzate disponibili anche nella pagina dell'entità Email per il messaggio.

Per informazioni dettagliate sulle informazioni nel pannello di riepilogo Email, vedere Il pannello di riepilogo Email nelle funzionalità di Defender per Office 365.

Le azioni disponibili nella parte superiore del pannello di riepilogo Email per Esplora minacce e i rilevamenti in tempo reale sono descritte nei dettagli Email dalla visualizzazione Email dei dettagli nella visualizzazione Tutti i messaggi di posta elettronica.

Dettagli del destinatario dalla visualizzazione Email dei dettagli nella visualizzazione Phish

Quando si seleziona una voce facendo clic sul valore Destinatario , viene aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte in Dettagli destinatario dalla visualizzazione Email dei dettagli nella visualizzazione Tutti i messaggi di posta elettronica.

Visualizzazione dei clic url per l'area dei dettagli della visualizzazione Phish in Esplora minacce e rilevamenti in tempo reale

La visualizzazione CLIC URL mostra un grafico che può essere organizzato tramite pivot. Il grafico ha una visualizzazione predefinita, ma è possibile selezionare un valore da Seleziona pivot per il grafico istogramma per modificare l'organizzazione e la visualizzazione dei dati del grafico filtrati o non filtrati.

I pivot del grafico disponibili nella visualizzazione Malware in Esplora minacce e i rilevamenti in tempo reale sono descritti nella tabella seguente:

Pivot	Minacce Explorer	In tempo reale Rilevamenti
Dominio URL	✔	✔
Fare clic su verdetto	✔	✔
URL	✔
Url dominio e percorso	✔

Gli stessi pivot del grafico sono disponibili e descritti per la visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce:

• Pivot di dominio URL per la visualizzazione clic URL per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce
• Fare clic su Pivot verdetto per la visualizzazione URL clicks per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce
• Pivot URL per la visualizzazione clic URL per l'area dei dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce
• URL domain and path pivot for the URL clicks view for the details area of the All email view in Threat Explorer

Consiglio

In Esplora minacce, ogni pivot nella visualizzazione clic URL ha un'azione Visualizza tutti i clic che apre la visualizzazione clic URL in Esplora minacce in una nuova scheda. Questa azione non è disponibile nei rilevamenti in tempo reale, perché la visualizzazione clic URL non è disponibile nei rilevamenti in tempo reale.

Visualizzazione URL principali per l'area dei dettagli della visualizzazione Phish in Esplora minacce e rilevamenti in tempo reale

La visualizzazione URL principali mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile:

• URL
• Messaggi bloccati
• Messaggi indesiderati
• Messaggi recapitati

Dettagli degli URL principali per la visualizzazione Phish

Quando si seleziona una voce facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, viene aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte in Dettagli url principali per la visualizzazione Tutti i messaggi di posta elettronica.

Consiglio

L'azione di ricerca Vai è disponibile solo in Esplora minacce. Non è disponibile nei rilevamenti in tempo reale.

Visualizzazione dei primi clic per l'area dei dettagli della visualizzazione Phish in Esplora minacce e rilevamenti in tempo reale

La visualizzazione Primi clic mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile:

• URL
• Bloccato
• Consentito
• Blocco sottoposto a override
• Verdetto in sospeso
• Verdetto in sospeso ignorato
• Nessuna
• Pagina degli errori
• Fallimento

Consiglio

Sono selezionate tutte le colonne disponibili. Se si seleziona Personalizza colonne, non è possibile deselezionare le colonne.

Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

• Scorrere orizzontalmente nel Web browser.
• Restringere la larghezza delle colonne appropriate.
• Ridurre lo zoom indietro nel Web browser.

Quando si seleziona una voce facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, viene aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte in Dettagli url principali per la visualizzazione Tutti i messaggi di posta elettronica.

Visualizzazione utenti di destinazione principale per l'area dei dettagli della visualizzazione Phish in Esplora minacce

La visualizzazione Utenti di destinazione principali organizza i dati in una tabella dei primi cinque destinatari a cui sono stati assegnati tentativi di phishing. La tabella mostra:

• Utenti di destinazione principali: l'indirizzo di posta elettronica dell'utente di destinazione principale. Se si seleziona un indirizzo di posta elettronica, viene aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte nella visualizzazione Utenti di destinazione principali per l'area dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce.

• Numero di tentativi: se si seleziona il numero di tentativi, Esplora minacce viene aperto in una nuova scheda filtrata in base al nome della famiglia di malware.

Consiglio

Utilizzare Esporta per esportare l'elenco di un massimo di 3000 utenti e i tentativi corrispondenti.

Email visualizzazione origine per l'area dei dettagli della visualizzazione Phish in Esplora minacce

La visualizzazione origine Email mostra le origini dei messaggi in una mappa del mondo.

Visualizzazione campagna per l'area dei dettagli della visualizzazione Phish in Esplora minacce

La visualizzazione Campagna mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile.

Le informazioni nella tabella sono le stesse descritte nella tabella dei dettagli nella pagina Campagne.

Quando si seleziona una voce facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto al riquadro a comparsa Nome, viene aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte in Dettagli campagna.

Visualizzazione Campagne in Esplora minacce

La visualizzazione Campagne in Esplora minacce mostra informazioni sulle minacce identificate come attacchi coordinati di phishing e malware, specifici dell'organizzazione o di altre organizzazioni in Microsoft 365.

Per aprire la visualizzazione Campagne nella pagina Esplora risorse nel portale di Defender in https://security.microsoft.com, passare a Email &scheda Campagnedi Esplora>collaborazione>. In alternativa, passare direttamente alla pagina Esplora risorse usando https://security.microsoft.com/threatexplorerv3e quindi selezionare la scheda Campagne.

Tutte le informazioni e le azioni disponibili sono identiche alle informazioni e alle azioni nella pagina Campagne all'indirizzo https://security.microsoft.com/campaignsv3. Per altre informazioni, vedere la pagina Campagne nel portale di Microsoft Defender.

Visualizzazione malware contenuto in Esplora minacce e rilevamenti in tempo reale

La visualizzazione Malware contenuto in Esplora minacce e rilevamenti in tempo reale mostra informazioni sui file identificati come malware da:

• Protezione antivirus predefinita in SharePoint, OneDrive e Microsoft Teams
• Allegati sicuri per SharePoint, OneDrive e Microsoft Teams.

Per aprire la visualizzazione Malware contenuto , eseguire una delle operazioni seguenti:

• Esplora minacce: nella pagina Esplora risorse del portale https://security.microsoft.comdi Defender in , passare a Email &>> schedaEsplora contenuto malware. In alternativa, passare direttamente alla pagina Esplora risorse usando https://security.microsoft.com/threatexplorerv3e quindi selezionare la scheda Malware contenuto.
• Rilevamenti in tempo reale: nella pagina Rilevamenti in tempo reale nel portale https://security.microsoft.comdi Defender all'indirizzo passare alla scheda Email & Collaboration>Explorer>Contenuto malware. In alternativa, passare direttamente alla pagina Rilevamenti in tempo reale usando https://security.microsoft.com/realtimereportsv3e quindi selezionare la scheda Malware contenuto.

Proprietà filtrabili nella visualizzazione Malware contenuto in Esplora minacce e rilevamenti in tempo reale

Per impostazione predefinita, non vengono applicati filtri di proprietà ai dati. I passaggi per creare filtri (query) sono descritti nella sezione Filtri in Esplora minacce e rilevamenti in tempo reale più avanti in questo articolo.

Le proprietà filtrabili disponibili nella casella Nome file nella visualizzazione Malware contenuto in Esplora minacce e rilevamenti in tempo reale sono descritte nella tabella seguente:

Proprietà	Tipo	Minacce Explorer	In tempo reale Rilevamenti
File
Nome del file	Testo. Separare più valori per virgole.	✔	✔
Carico di lavoro	Selezionare uno o più valori: OneDrive SharePoint Teams	✔	✔
Sito	Testo. Separare più valori per virgole.	✔	✔
Proprietario del file	Testo. Separare più valori per virgole.	✔	✔
Autore ultima modifica	Testo. Separare più valori per virgole.	✔	✔
SHA256	Intero. Separare più valori per virgole. Per trovare il valore hash SHA256 di un file in Windows, eseguire il comando seguente in un prompt dei comandi: certutil.exe -hashfile "<Path>\<Filename>" SHA256.	✔	✔
Famiglia di malware	Testo. Separare più valori per virgole.	✔	✔
Tecnologia di rilevamento	Selezionare uno o più valori: Filtro avanzato Protezione antimalware Invio in blocco Campagna Reputazione del dominio Detonazione file Reputazione della detonazione dei file Reputazione dei file Corrispondenza delle impronte digitali Filtro generale Marchio di rappresentazione Dominio di rappresentazione Utente di rappresentazione Reputazione IP Rappresentazione dell'intelligence per le cassette postali Rilevamento analisi mista spoof DMARC Spoof external domain Spoof all'interno dell'organizzazione Detonazione di URL Reputazione della detonazione dell'URL Reputazione dannosa dell'URL	✔	✔
Tipo di minaccia	Selezionare uno o più valori: Blocca Malware Phishing Posta indesiderata	✔	✔

Pivot per il grafico nella visualizzazione Malware contenuto in Esplora minacce e Rilevamenti in tempo reale

Il grafico ha una visualizzazione predefinita, ma è possibile selezionare un valore da Seleziona pivot per il grafico istogramma per modificare l'organizzazione e la visualizzazione dei dati del grafico filtrati o non filtrati.

I pivot del grafico disponibili nella visualizzazione Malware contenuto in Esplora minacce e i rilevamenti in tempo reale sono elencati nella tabella seguente:

Pivot	Minacce Explorer	In tempo reale Rilevamenti
Famiglia di malware	✔	✔
Tecnologia di rilevamento	✔	✔
Carico di lavoro	✔	✔

I pivot del grafico disponibili sono descritti nelle sottosezioni seguenti.

Pivot del grafico della famiglia di malware nella visualizzazione Malware contenuto in Esplora minacce e rilevamenti in tempo reale

Anche se questo pivot non sembra selezionato per impostazione predefinita, la famiglia malware è il pivot grafico predefinito nella visualizzazione Malware contenuto in Esplora minacce e rilevamenti in tempo reale.

Il pivot della famiglia malware organizza il grafico in base al malware identificato nei file in SharePoint, OneDrive e Microsoft Teams usando l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni famiglia di malware.

Pivot del grafico della tecnologia di rilevamento nella visualizzazione Malware contenuto in Esplora minacce e rilevamenti in tempo reale

Il pivot sulla tecnologia di rilevamento organizza il grafico in base alla funzionalità che ha identificato il malware nei file in SharePoint, OneDrive e Microsoft Teams per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni tecnologia di rilevamento.

Pivot del grafico del carico di lavoro nella visualizzazione Malware contenuto in Esplora minacce e rilevamenti in tempo reale

Il pivot Carico di lavoro organizza il grafico in base alla posizione in cui è stato identificato il malware (SharePoint, OneDrive o Microsoft Teams) per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni carico di lavoro.

Visualizzazioni per l'area dei dettagli della visualizzazione Malware contenuto in Esplora minacce e rilevamenti in tempo reale

In Esplora minacce e rilevamenti in tempo reale, l'area dei dettagli della visualizzazione Malware contenuto contiene una sola visualizzazione (scheda) denominata Documenti. Questa visualizzazione è descritta nella sottosezione seguente.

Visualizzazione documento per l'area dettagli della visualizzazione Malware contenuto in Esplora minacce e rilevamenti in tempo reale

Il documento è la visualizzazione predefinita e solo per l'area dei dettagli nella visualizzazione Malware contenuto .

La visualizzazione Documento mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. I valori predefiniti sono contrassegnati da un asterisco (^*):

• Data^*
• Nome^*
• Carico^*
• Minaccia^*
• Tecnologia di rilevamento^*
• Ultima modifica utente^*
• Proprietario del file^*
• Dimensioni (byte)^*
• Ora ultima modifica
• Percorso del sito
• Percorso file
• ID documento
• SHA256
• Data rilevata
• Famiglia di malware
• Contesto

Consiglio

Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

• Scorrere orizzontalmente nel Web browser.
• Restringere la larghezza delle colonne appropriate.
• Rimuovere le colonne dalla visualizzazione.
• Ridurre lo zoom indietro nel Web browser.

Le impostazioni di colonna personalizzate vengono salvate per utente. Le impostazioni di colonna personalizzate in modalità Incognito o InPrivate browsing vengono salvate fino alla chiusura del Web browser.

Quando si seleziona un valore di nome file nella colonna Nome , viene aperto un riquadro a comparsa dei dettagli. Il riquadro a comparsa contiene le informazioni seguenti:

• Sezione Riepilogo :

  • Filename
  • Percorso del sito
  • Percorso file
  • ID documento
  • SHA256
  • Data ultima modifica
  • Autore ultima modifica
  • Minaccia
  • Tecnologia di rilevamento

• Sezione Dettagli :

  • Data rilevata
  • Rilevato da
  • Nome malware
  • Autore ultima modifica
  • Dimensioni file
  • Proprietario del file

• Email sezione elenco: tabella che mostra le informazioni correlate seguenti per i messaggi che contengono il file malware:

  • Data
  • Oggetto
  • Destinatario

  Selezionare Visualizza tutti i messaggi di posta elettronica per aprire Esplora minacce in una nuova scheda filtrata in base al nome della famiglia di malware.

• Attività recente: mostra i risultati riepilogati di una ricerca nel log di controllo per il destinatario:

  • Data
  • Indirizzo IP
  • Attività
  • Elemento

  Se il destinatario include più di tre voci del log di controllo, selezionare Visualizza tutte le attività recenti per visualizzarle tutte.

  Consiglio

  I membri del gruppo di ruoli Amministratori della sicurezza in autorizzazioni di collaborazione Email & non possono espandere la sezione Attività recenti. È necessario essere membri di un gruppo di ruoli in Exchange Online autorizzazioni a cui sono assegnati i ruoli Log di controllo, Information Protection Analyst o Information Protection Investigator. Per impostazione predefinita, tali ruoli vengono assegnati ai gruppi di ruoli Gestione record, Gestione conformità, Information Protection, Analisti Information Protection, Investigatori Information Protection e Gestione organizzazione. È possibile aggiungere i membri degli amministratori della sicurezza a tali gruppi di ruoli oppure creare un nuovo gruppo di ruoli con il ruolo Log di controllo assegnato.

Visualizzazione dei clic url in Esplora minacce

La visualizzazione URL clicks in Threat Explorer mostra tutti i clic degli utenti sugli URL nella posta elettronica, nei file di Office supportati in SharePoint e OneDrive e in Microsoft Teams.

Per aprire la visualizzazione URL che fa clic sulla pagina Esplora risorse nel portale di Defender in https://security.microsoft.com, passare alla scheda Email &clic sull'URLdi Esplora>collaborazione>. In alternativa, passare direttamente alla pagina Esplora risorse usando https://security.microsoft.com/threatexplorerv3e quindi selezionare la scheda Clic URL.

Proprietà filtrabili nella visualizzazione dei clic url in Esplora minacce

Per impostazione predefinita, non vengono applicati filtri di proprietà ai dati. I passaggi per creare filtri (query) sono descritti nella sezione Filtri in Esplora minacce e rilevamenti in tempo reale più avanti in questo articolo.

Le proprietà filtrabili disponibili nella casella Destinatari nella visualizzazione clic URL in Esplora minacce sono descritte nella tabella seguente:

Proprietà	Tipo
Di base
Destinatari	Testo. Separare più valori per virgole.
Tag	Testo. Separare più valori per virgole. Per altre informazioni sui tag utente, vedere Tag utente.
ID messaggio di rete	Testo. Separare più valori per virgole. Valore GUID disponibile nel campo intestazione X-MS-Exchange-Organization-Network-Message-Id nell'intestazione del messaggio.
URL	Testo. Separare più valori per virgole.
Fare clic sull'azione	Selezionare uno o più valori: Consentito Pagina Blocca Blocca l'override della pagina Pagina degli errori Fallimento Nessuna Pagina detonazione in sospeso Override della pagina di detonazione in sospeso
Tipo di minaccia	Selezionare uno o più valori: Consenti Blocca Malware Phishing Posta indesiderata
Tecnologia di rilevamento	Selezionare uno o più valori: Detonazione di URL Reputazione della detonazione dell'URL Reputazione dannosa dell'URL
Fare clic su ID	Testo. Separare più valori per virgole.
Client IP	Testo. Separare più valori per virgole.

Pivot per il grafico nella visualizzazione clic URL in Esplora minacce

Il grafico ha una visualizzazione predefinita, ma è possibile selezionare un valore da Seleziona pivot per il grafico istogramma per modificare l'organizzazione e la visualizzazione dei dati del grafico filtrati o non filtrati.

I pivot del grafico disponibili sono descritti nelle sottosezioni seguenti.

Pivot del grafico di dominio URL nella visualizzazione clic URL in Esplora minacce

Anche se questo pivot non sembra selezionato per impostazione predefinita, il dominio URL è il pivot grafico predefinito nella visualizzazione clic URL .

Il pivot di dominio URL organizza il grafico in base ai domini negli URL su cui gli utenti hanno fatto clic nella posta elettronica, nei file di Office o in Microsoft Teams per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni dominio URL.

Pivot del grafico del carico di lavoro nella visualizzazione clic URL in Esplora minacce

Il pivot Carico di lavoro organizza il grafico in base alla posizione dell'URL cliccato (posta elettronica, file di Office o Microsoft Teams) per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni carico di lavoro.

Pivot del grafico della tecnologia di rilevamento nella visualizzazione clic URL in Esplora minacce

Il pivot sulla tecnologia di rilevamento organizza il grafico in base alla funzionalità che ha identificato i clic dell'URL nella posta elettronica, nei file di Office o in Microsoft Teams per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni tecnologia di rilevamento.

Pivot del grafico del tipo di minaccia nella visualizzazione clic URL in Esplora minacce

Il pivot Tipo di minaccia organizza il grafico in base ai risultati per gli URL cliccati nella posta elettronica, nei file di Office o in Microsoft Teams per l'intervallo di data/ora specificato e i filtri delle proprietà.

Il passaggio del mouse su un punto dati nel grafico mostra il conteggio per ogni tecnologia del tipo di minaccia.

Visualizzazioni per l'area dei dettagli della visualizzazione dei clic url in Esplora minacce

Le visualizzazioni disponibili (schede) nell'area dei dettagli della visualizzazione clic URL sono descritte nelle sottosezioni seguenti.

Visualizzazione risultati per l'area dei dettagli della visualizzazione dei clic url in Esplora minacce

Risultati è la visualizzazione predefinita per l'area dei dettagli nella visualizzazione clic URL .

La visualizzazione Risultati mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile. Selezionare Personalizza colonne per modificare le colonne visualizzate. Per impostazione predefinita, tutte le colonne sono selezionate:

• Tempo su cui si fa clic
• Destinatario
• Azione di clic url
• URL
• Tag
• ID messaggio di rete
• Fare clic su ID
• Client IP
• Catena di URL
• Tipo di minaccia
• Tecnologia di rilevamento

Consiglio

Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

• Scorrere orizzontalmente nel Web browser.
• Restringere la larghezza delle colonne appropriate.
• Rimuovere le colonne dalla visualizzazione.
• Ridurre lo zoom indietro nel Web browser.

Le impostazioni di colonna personalizzate vengono salvate per utente. Le impostazioni di colonna personalizzate in modalità Incognito o InPrivate browsing vengono salvate fino alla chiusura del Web browser.

Selezionare una o voci selezionando la casella di controllo accanto alla prima colonna della riga e quindi selezionare Visualizza tutti i messaggi di posta elettronica per aprire Esplora minacce nella visualizzazione Tutti i messaggi di posta elettronica in una nuova scheda filtrata in base ai valori id messaggio di rete dei messaggi selezionati.

Visualizzazione dei primi clic per l'area dei dettagli della visualizzazione dei clic url in Esplora minacce

La visualizzazione Primi clic mostra una tabella dei dettagli. È possibile ordinare le voci facendo clic su un'intestazione di colonna disponibile:

• URL
• Bloccato
• Consentito
• Blocco sottoposto a override
• Verdetto in sospeso
• Verdetto in sospeso ignorato
• Nessuna
• Pagina degli errori
• Fallimento

Consiglio

Sono selezionate tutte le colonne disponibili. Se si seleziona Personalizza colonne, non è possibile deselezionare le colonne.

Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:

• Scorrere orizzontalmente nel Web browser.
• Restringere la larghezza delle colonne appropriate.
• Ridurre lo zoom indietro nel Web browser.

Selezionare una voce selezionando la casella di controllo accanto alla prima colonna nella riga e quindi selezionare Visualizza tutti i clic per aprire Esplora minacce in una nuova scheda nella visualizzazione clic URL .

Quando si seleziona una voce facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, viene aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte in Dettagli url principali per la visualizzazione Tutti i messaggi di posta elettronica.

Visualizzazione utenti di destinazione principale per l'area dei dettagli della visualizzazione dei clic url in Esplora minacce

La visualizzazione Utenti di destinazione superiore organizza i dati in una tabella dei primi cinque destinatari che hanno fatto clic sugli URL. La tabella mostra:

• Utenti di destinazione principali: l'indirizzo di posta elettronica dell'utente di destinazione principale. Se si seleziona un indirizzo di posta elettronica, viene aperto un riquadro a comparsa dei dettagli. Le informazioni nel riquadro a comparsa sono le stesse descritte nella visualizzazione Utenti di destinazione principali per l'area dettagli della visualizzazione Tutti i messaggi di posta elettronica in Esplora minacce.

• Numero di tentativi: se si seleziona il numero di tentativi, Esplora minacce viene aperto in una nuova scheda filtrata in base al nome della famiglia di malware.

Consiglio

Utilizzare Esporta per esportare l'elenco di un massimo di 3000 utenti e i tentativi corrispondenti.

Filtri di proprietà in Esplora minacce e rilevamenti in tempo reale

La sintassi di base di un filtro/query di proprietà è:

Condition = <Filter property Filter operator><Valore o valori della proprietà><>

Più condizioni usano la sintassi seguente:

<Condition1><AND | OR><Condition2><AND | OR><Condition3>... <AND | OR><ConditionN>

Consiglio

Le ricerche con caratteri jolly (* o ?) non sono supportate nei valori di testo o integer. La proprietà Subject utilizza la corrispondenza del testo parziale e restituisce risultati simili a una ricerca con caratteri jolly.

I passaggi per creare condizioni di filtro/query delle proprietà sono gli stessi in tutte le visualizzazioni in Esplora minacce e nei rilevamenti in tempo reale:

1. Identificare la proprietà filtro usando le tabelle nelle sezioni della descrizione della visualizzazione di anteprima più indietro in questo articolo.

2. Selezionare un operatore di filtro disponibile. Gli operatori di filtro disponibili dipendono dal tipo di proprietà come descritto nella tabella seguente:

   Operatore filter	Tipo di proprietà
   Uguale a qualsiasi di	Testo Numero intero Valori discreti
   Uguale a nessuno di	Testo Valori discreti
   Maggiore	Numero intero
   Meno	Numero intero

3. Immettere o selezionare uno o più valori di proprietà. Per i valori di testo e i valori interi, è possibile immettere più valori separati da virgole.

   Più valori nel valore della proprietà usano l'operatore logico OR. Ad esempio, Indirizzo> mittenteUguale a qualsiasi mezzo>bob@fabrikam.com,cindy@fabrikam.comIndirizzo> mittenteUguale a uno qualsiasi di>bob@fabrikam.com OR cindy@fabrikam.com.

   Dopo aver immesso o selezionato uno o più valori di proprietà, la condizione di filtro completata viene visualizzata sotto le caselle di creazione del filtro.

   Consiglio

   Per le proprietà che richiedono di selezionare uno o più valori disponibili, l'uso della proprietà nella condizione di filtro con tutti i valori selezionati ha lo stesso risultato di non usare la proprietà nella condizione di filtro.

4. Per aggiungere un'altra condizione, ripetere i tre passaggi precedenti.

   Le condizioni sotto le caselle di creazione del filtro sono separate dall'operatore logico selezionato al momento della creazione della seconda o delle condizioni successive. Il valore predefinito è AND, ma è anche possibile selezionare OR.

   Lo stesso operatore logico viene usato tra tutte le condizioni: sono tutti AND o sono tutti OR. Per modificare gli operatori logici esistenti, selezionare la casella operatore logico e quindi selezionare AND o OR.

   Per modificare una condizione esistente, fare doppio clic su di essa per riportare la proprietà, l'operatore di filtro e i valori selezionati nelle caselle corrispondenti.

   Per rimuovere una condizione esistente, selezionare la condizione.

5. Per applicare il filtro al grafico e alla tabella dei dettagli, selezionare Aggiorna

   

Query salvate in Esplora minacce

Consiglio

La query di salvataggio fa parte dei tracker delle minacce e non è disponibile nei rilevamenti in tempo reale. Le query salvate e i tracker delle minacce sono disponibili solo in Defender per Office 365 Piano 2.

La query di salvataggio non è disponibile nella visualizzazione Malware contenuto.

La maggior parte delle visualizzazioni in Esplora minacce consente di salvare i filtri (query) per un uso successivo. Le query salvate sono disponibili nella pagina Monitoraggio minacce nel portale di Defender all'indirizzo https://security.microsoft.com/threattrackerv2. Per altre informazioni sui tracker delle minacce, vedere Threat trackers in Microsoft Defender per Office 365 Piano 2.

Per salvare le query in Esplora minacce, seguire questa procedura:

1. Dopo aver creato il filtro/query come descritto in precedenza, selezionare Salva querySalva query>.

2. Nel riquadro a comparsa Salva query visualizzato configurare le opzioni seguenti:

   • Nome query: immettere un nome univoco per la query.
   • Selezionare una delle opzioni seguenti:
     • Date esatte: selezionare una data di inizio e una data di fine nelle caselle. La data di inizio meno recente che è possibile selezionare è 30 giorni prima di oggi. La data di fine più recente che è possibile selezionare è oggi.
     • Date relative: selezionare il numero di giorni in Mostra ultimi nn giorni quando viene eseguita la ricerca. Il valore predefinito è 7, ma è possibile selezionare da 1 a 30.
   • Verifica query: per impostazione predefinita, questa opzione non è selezionata. Questa opzione determina se la query viene eseguita automaticamente:
     • Tenere traccia della query non selezionata: la query è disponibile per l'esecuzione manuale in Esplora minacce. La query viene salvata nella scheda Query salvate nella pagina Rilevamento minacce con il valore della proprietà Query monitorataNo.
     • Tenere traccia della query selezionata: la query viene eseguita periodicamente in background. La query è disponibile nella scheda Query salvate nella pagina Rilevamento minacce con il valore della proprietà Query monitorataSì. I risultati periodici della query vengono visualizzati nella scheda Query rilevate nella pagina Rilevamento minacce .

   Al termine del riquadro a comparsa Salva query , selezionare Salva e quindi selezionare OK nella finestra di dialogo di conferma.

Nella scheda Query salvata o Query rilevate nella pagina Rilevamento minacce del portale https://security.microsoft.com/threattrackerv2di Defender in è possibile selezionare Esplora nella colonna Azioni per aprire e usare la query in Esplora minacce.

Quando si apre la query selezionando Esplora dalla pagina Monitoraggio minacce, le impostazioni Salva query con nome e Query salvata sono ora disponibili in Salva query nella pagina Esplora:

• Se si seleziona Salva query con nome, viene visualizzato il riquadro a comparsa Salva query con tutte le impostazioni selezionate in precedenza. Se si apportano modifiche, selezionare Salva e quindi selezionare OK nella finestra di dialogo Operazione riuscita , la query aggiornata viene salvata come nuova query nella pagina Rilevamento minacce (potrebbe essere necessario selezionare Aggiorna per visualizzarla).

• Se si seleziona Impostazioni query salvate, verrà visualizzato il riquadro a comparsa Impostazioni query salvate in cui è possibile aggiornare la data e tenere traccia delle impostazioni di query della query esistente.

Ulteriori informazioni

• Esplora minacce raccoglie i dettagli della posta elettronica nella pagina dell'entità Email
• Identificare e analizzare i messaggi di posta elettronica dannosi recapitati
• Visualizzare i file dannosi rilevati in SharePoint Online, OneDrive e Microsoft Teams
• Report dello stato di protezione dalle minacce
• Indagine e reazione automatizzate in Microsoft Threat Protection