Automatiske brukervarsler for brukerrapporterte phishing-resultater i AIR

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Når en bruker rapporterer en melding som phishing i Microsoft 365-organisasjoner med Microsoft Defender for Office 365 Plan 2, opprettes det automatisk en undersøkelse i automatisert undersøkelse og respons (AIR). Administratorer kan konfigurere brukerens rapporterte meldingsinnstillinger til å sende et e-postvarsel til brukeren som rapporterte meldingen basert på dommen fra AIR. Dette varselet kalles også automatisk tilbakemeldingssvar. Hvis du vil ha mer informasjon, kan du se Brukerrapporterte innstillinger.

Denne artikkelen forklarer hvordan du aktiverer og tilpasser automatisk tilbakemeldingssvar for bestemte AIR-vurderinger, hvordan e-postmeldingene sendes og hvordan varslene ser ut.

Hva må du vite før du begynner?

• Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden med brukerrapporterte innstillinger , bruker https://security.microsoft.com/securitysettings/userSubmissiondu .

• Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

  • E-post & samarbeidstillatelser i Microsoft Defender-portalen: Medlemskap i rollegruppene Organisasjonsadministrasjon eller Sikkerhetsadministrator.
  • Microsoft Entra tillatelser: Medlemskap i rollene som global administrator eller sikkerhetsadministrator gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

Bruke Microsoft Defender-portalen til å konfigurere automatisk tilbakemeldingssvar

1. Gå til Innstillinger> fore-post & samarbeid>Bruker rapporterte innstillinger-fanen i Microsoft Defender portalen på https://security.microsoft.com. Hvis du vil gå direkte til siden med brukerrapporterte innstillinger, bruker https://security.microsoft.com/securitysettings/userSubmissiondu .

2. Kontroller at Overvåk rapporterte meldinger i Outlook er valgt på siden For rapporterte brukerinnstillinger.

3. Velg E-postbrukere ie-postvarslers>resultater e-postinndelingen automatisk, og velg deretter ett eller flere av følgende alternativer som vises:

   • Phishing eller skadelig programvare: En e-postvarsling sendes til brukeren som rapporterte meldingen som phishing når AIR identifiserer trusselen som phishing, phishing med høy visshet eller skadelig programvare.
   • Søppelpost: En e-postvarsling sendes til brukeren som rapporterte meldingen som phishing når AIR identifiserer trusselen som søppelpost.
   • Finner ingen trusler: En e-postvarsling sendes til brukeren som rapporterte meldingen som phishing når AIR ikke identifiserer noen trussel.

   

4. E-postvarslingen bruker samme mal som når en administrator velger Marker som og varsler på siden Innsendinger på https://security.microsoft.com/reportsubmission.

   Du kan tilpasse e-postvarslingen ved å velge koblingen Tilpass resultater for e-post .

   Konfigurer følgende innstillinger på Phishing (som tilsvarer alternativet Phishing eller malware automatisk tilbakemeldingssvar), fanene Søppelpost og Ingen trusler i undermenyen Tilpass administratorgjennomgang av e-postvarsler som åpnes:

   • Brødtekst i e-post: Skriv inn den egendefinerte teksten du vil bruke. Du kan bruke forskjellig tekst for Phishing, Søppelpost og Ingen trusler.
   • Bunntekst for e-post: Skriv inn den egendefinerte bunnteksten for meldinger som skal brukes. Den samme teksten brukes for Phishing, Søppelpost og Ingen trusler.

   

   Når du er ferdig i undermenyen Tilpass administratorgjennomgang av e-postvarsler , velger du Bekreft for å gå tilbake til siden med rapporterte innstillinger for brukeren .

Slik fungerer automatisert tilbakemeldingssvar

Når du har aktivert automatisert tilbakemeldingssvar, mottar brukeren som rapporterte meldingen som phishing, et e-postvarsel basert på AIR-dommen, og de valgte automatisk sender brukerne resultatene av undersøkelsesalternativene :

Tips

Følgende skjermbilder viser eksempelvarsling av e-postmeldinger som sendes til brukere. Som forklart tidligere, kan du tilpasse e-postvarslingen ved hjelp av alternativene i Tilpass resultater-e-post i de rapporterte innstillingene for brukeren.

• Finner ingen trusler: Hvis en bruker rapporterer en melding som phishing, utløses AIR på den rapporterte meldingen. Hvis undersøkelsen ikke finner noen trusler, mottar brukeren som rapporterte meldingen, en e-postmelding som ser slik ut:

  

• Søppelpost: Hvis en bruker rapporterer en melding som phishing, utløser innsendingen AIR på den rapporterte meldingen. Hvis undersøkelsen finner at meldingen er søppelpost, mottar brukeren som rapporterte meldingen, en e-postmelding som ser slik ut:

  

• Phishing eller skadelig programvare: Hvis en bruker rapporterer en melding som phishing, utløses AIR på den rapporterte meldingen. Hva som skjer videre avhenger av resultatene av undersøkelsen:

  • Phishing med høy visshet eller skadelig programvare: Meldingen må utbedres ved hjelp av én av følgende handlinger:

    • Godkjenn den anbefalte handlingen (vises som ventende handlinger i undersøkelsen eller i handlingssenteret).
    • Utbedring på andre måter (for eksempel Trusselutforsker).

    Etter at meldingen er utbedret, lukkes etterforskningen som utbedret eller delvis utbedret. Bare når undersøkelsesstatusen er én av disse verdiene, sendes e-postvarslingen til brukeren som rapporterte meldingen.

    Tips

    For phishing eller skadelig programvare med høy visshet kan undersøkelsen lukkes umiddelbart som utbedret hvis meldingen ikke finnes i postboksen (meldingen ble slettet). Det er ingen ventende undersøkelse å lukke, så ingen e-postvarsling sendes til brukeren som rapporterte meldingen.

  • Phishing: Undersøkelsen oppretter ingen ventende handlinger, men brukeren mottar fortsatt en e-postmelding om at meldingen ble funnet å være phishing. E-postvarslingen ser slik ut:

    

Når AIR når en dom og varslings-e-postmeldingen sendes til brukeren som rapporterte meldingen som phishing, vises følgende egenskapsverdier for oppføringen på den rapporterte brukerfanen på Siden Innsendinger i Defender-portalen:

• Merket som: Inneholder dommen.
• Merket av: Verdien er automatisering.

Om meldingen ble sendt automatisk eller manuelt til Microsoft for gjennomgang, eller om meldingen ble undersøkt av AIR, vises dommen i egenskapen Merket som . Hvis du vil ha mer informasjon om den rapporterte brukerfanen på Innsendinger-siden, kan du se Admin alternativer for brukerrapporterte meldinger.

Finn ut mer

Hvis du vil lære mer om innsendinger og undersøkelser i Defender for Microsoft 365, kan du se følgende artikler:

• Automatisert undersøkelse og respons i Microsoft Defender for Office 365
• Vis resultatene av en automatisert undersøkelse i Microsoft 365
• Admin gjennomgang av rapporterte meldinger
• Hvordan automatisert undersøkelse og respons fungerer i Microsoft Defender for Office 365