Del via

Innsikt for masseavsendere i Exchange Online Protection

Obs!

Funksjonene som er beskrevet i denne artikkelen, er for øyeblikket i forhåndsvisning, er ikke tilgjengelige i alle organisasjoner og kan endres.

I Microsoft 365-organisasjoner med postbokser i Exchange Online eller frittstående Exchange Online Protection (EOP)-organisasjoner uten Exchange Online-postbokser, kan masseavsenderinnsikten i Microsoft Defender-portalen se hvor mye e-post som ble identifisert som bulk på gjeldende masseterskelnivå i policyer for søppelpost, og til å simulere identifisert kontra tillatt masse-e-post basert på endringer i masseavsenderterskelen og kvaliteten på masseavsenderen.

EOP tilordner en verdi for masseklagenivå (BCL) til innkommende meldinger fra masseavsendere. En høyere BCL-verdi indikerer at en massemelding er mer sannsynlig å være søppelpost. Terskelen for masseutsendelsen av e-post i søppelpostpolicyer bruker en angitt BCL-verdi til å identifisere meldinger en masse og utføre handlinger på dem. Hvis du vil ha mer informasjon om BCL, kan du se Masseklagenivå (BCL) i EOP.

Innsikten for masseavsendere har følgende funksjoner:

  • Vis hvor mye e-post som identifiseres som masseutsendelse på hvert BCL-nivå (1 til 9) de siste 60 dagene.
  • Simuler endringer i terskelen for masseutsendelsen av e-post, og vis resultatene på antall meldinger som vil bli levert kontra identifisert som bulk av standard policyer for søppelpost eller egendefinert søppelpost, der du kan angi BCL-terskelen. Du kan ikke angi BCL-terskelen i standard- eller strenge forhåndsinnstilte sikkerhetspolicyer.
  • Vis informasjon om meldingsavsendere som ble påvirket av terskelen for masseutsender e-post, inkludert filtrering basert på kvaliteten på avsenderen.

Denne artikkelen beskriver hvordan du bruker massesenderinnsikten i Microsoft Defender-portalen.

Hva må du vite før du begynner?

  • Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til innsiktsiden for masseavsendere , bruker https://security.microsoft.com/senderinsightsdu .

  • Massesimulering og -gjenkjenning fungerer kanskje ikke som den skal hvis MX-posten for Microsoft 365-domenet peker til en tredjepartstjeneste eller enhet.

  • Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

    • Microsoft Defender XDR Unified role based access control (RBAC) (If Email & collaboration>Defender for Office 365 permissions is Active. Påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese).

    • Exchange Online-tillatelser:

      • Legge til, endre og slette policyer: Medlemskap i rollegruppene Organisasjonsadministrasjon eller Sikkerhetsadministrator .
      • Skrivebeskyttet tilgang til policyer: Medlemskap i rollegruppene Global Reader, Security Reader eller View-Only Organization Management .

    • Microsoft Entra-tillatelser: Medlemskap i følgende roller gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365:

      • Legge til, endre og slette policyer: Medlemskap i rollene organisasjonsadministrasjon* eller sikkerhetsadministrator .
      • Skrivebeskyttet tilgang til policyer: Medlemskap i rollene global leser eller sikkerhetsleser .

      Viktig

      * Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

  • Hvis du vil se våre anbefalte innstillinger for policyer for søppelpost, kan du se innstillinger for søppelpostpolicyer for EOP.

Tips

Innstillinger i standardpolicyer eller egendefinerte policyer for søppelpost ignoreres hvis en mottaker også er inkludert i standard- eller strenge forhåndsinnstilte sikkerhetspolicyer. Hvis du vil ha mer informasjon, kan du se Ordre og prioritet for e-postbeskyttelse.

Masseterskelverdien i en søppelpostpolicy bestemmer BCL-terskelen som brukes til å identifisere en melding som bulk. Masseterskelverdien 7 betyr for eksempel at meldinger med BCL-verdien 7, 8 eller 9 identifiseres som bulk. Hva som skjer med massemeldinger, bestemmes av at bulkkompatibelt nivå (BCL) har oppfylt eller overskredet handlingen i policyen for søppelpost (for eksempel Flytt melding til Søppelpost-mappen, Karantene eller Slett melding). For enkelhetshet kalles det å identifisere en melding som masseutsender og utføre handlinger på den , blokkert i massesenderinnsikten.

Åpne massesenderinnsikten i Microsoft Defender-portalen

Innsikten for masseavsendere er tilgjengelig på følgende plasseringer:

  • I egenskapene for standard policy for søppelpost eller egendefinerte policyer for søppelpost:

    1. Gå til Policyer for e-post &samarbeidspolicyer> &Policyer>> for beskyttelse motsøppelpost i policyer-delen i Microsoft Defender-portalen.https://security.microsoft.com Hvis du vil gå direkte til siden for søppelpostpolicyer , kan du bruke https://security.microsoft.com/antispam.

    2. Velg en egendefinert policy for søppelpost (typeverdien er egendefinert policy for søppelpost) eller standard policy for søppelpost kalt Innkommende policy for søppelpost (standard)på siden for søppelpostpolicyer (standard) ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av den første kolonnen.

    3. Velg Rediger søppelpostterskel og egenskaper nederst i terskelen for masseutsendelsen & søppelpostegenskaper i undermenyen for detaljer som åpnes.

    4. I undermenyen søppelpost og egenskaper som åpnes, inneholder massesenderinnsikten følgende informasjon om all masse-e-post som er oppdaget av alle søppelpostpolicyer i organisasjonen de siste 60 dagene:

      • Innsikten viser som standard antall massemeldinger som ble blokkert og tillatt på gjeldende BCL-terskel:

        Masseavsenderinnsikten i egenskapene for standard policy for søppelpost med standardverdien for BCL-terskelverdien.

      • Hvis du reduserer BCL-terskelverdien for å blokkere flere masse-e-postmeldinger, viser innsikten antall massemeldinger som ville blitt blokkert og tillatt ved den nye BCL-terskelen:

        Massesenderinnsikten i egenskapene for standard policy for søppelpost med BCL-terskel lavere enn den opprinnelige verdien.

      • Hvis du øker BCL-terskelverdien for å tillate mer masse-e-post, viser innsikten antall massemeldinger som ville blitt blokkert og tillatt ved den nye BCL-terskelen:

        Masseavsenderinnsikten i egenskapene for standard policy for søppelpost med BCL-terskel høyere enn den opprinnelige verdien.

  • På siden E-& samarbeidsrapporter og innsikter :

    1. Gå til Rapporter>e-post & samarbeid-delen>E-post & samarbeidsrapporter og innsikt i Microsoft Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til siden for e-& samarbeidsrapporter og innsikter , kan du bruke https://security.microsoft.com/emailandcollabreport.

    2. Gå til inndelingen E-post & samarbeidsinnsikt på e-& samarbeidsrapporter og innsikter for e-post & og finn innsikten om masseavsendere.

    Masseavsenderinnsikten på siden E-& samarbeidsrapporter og innsikter i Microsoft Defender-portalen.

Hvis du vil vise detaljert informasjon om masseregistreringer og avsendere, velger du Vis massesendereinnsikt eller Vis detaljer for å åpne innsiktsiden for masseavsendere .

Vis innsiktsiden for masseavsendere

Innsiktsiden for masseavsendere er tilgjengelig ved hjelp av følgende metoder:

Innsikt-siden for masseavsendere i Microsoft Defender-portalen.

Før du kjører en simulering, angir verdiene i tabellen midt på siden følgende verdier:

  • Masseklagenivå (BCL): Området for mulige BCL-verdier (1 til 9).
  • All e-post: Totalt antall meldinger som ble identifisert ved hver BCL-verdi (noen av disse kan være 0).
  • Levert ved gjeldende BCL-terskel: Antall meldinger som ble levert (ikke identifisert som bulk) for hver BCL-verdi:
    • Hvis BCL-verdien er mindre enn gjeldende terskelverdi for masseutsletting av e-post , ble meldingen levert (ble ikke identifisert som bulk):
      • Terskelen for levert ved gjeldende BCL og alle e-postverdier er de samme.
      • Terskelverdien levert ved gjeldende BCL samsvarer med e-postmeldingen som leveres med gjeldende konfigurasjonsverdi.
    • Hvis BCL-verdien er større enn eller lik verdien for gjeldende terskelverdi for masseutsendt e-post , ble meldingen identifisert som bulk og blokkert.
      • Terskelverdien levert med gjeldende BCL for BCL-verdien er 0.
      • Verdien for Alle e-postmeldinger samsvarer med e-postmeldingen som identifiseres ved gjeldende BCL-terskelverdi.
  • Levert ved ny BCL-terskel: Antall meldinger som ikke ble identifisert som masse-e-post etter at du har kjørt en simulering. Før du kjører en simulering, er verdien meningsløs.

Hvis du vil kjøre en simulering, kan du bruke følgende elementer på siden:

  • Den umodifiserbare glidebryteren for gjeldende masseutsendelse av e-post viser gjeldende BCL-terskelverdi basert på hvordan du kom til innsiktsiden for masseavsendere :
    • Direkte: BCL-terskelverdien er 7.
    • Fra egenskapene til en søppelpostpolicy: BCL-terskelverdien er gjeldende verdi i søppelpostpolicyen.
  • Med glidebryteren for terskel for ny masse-e-post kan du simulere effekten av å øke og redusere BCL-terskelen på leverte eller blokkerte meldinger.
  • Terskelglidebryteren for avsenderkvalitet for simulering angir en god/dårlig terskel for avsenderverdighet som skal brukes i BCL-oppdateringssimuleringen. En høyere verdi indikerer simulerte BCL-terskelresultater basert på mer pålitelige avsendere. Terskelverdien for avsenderkvalitet for avsendere er basert på følgende faktorer:
    • Tidligere samhandlinger med avsenderen.
    • Meldingsfrekvens fra avsenderen.
    • Administrator- eller brukertilbakemeldinger på meldinger fra avsenderen.

Når du har valgt terskelen for ny masse-e-post og terskelverdier for avsenderkvalitet for simulering , velger du Simuler:

  • Siden oppdateres med antall blokkerte kontra tillatte meldinger for gjeldende og nye simulerte BCL-terskelnivåer.
  • Bunnen av siden oppdateres med informasjon om avsendere som vil bli identifisert som bulk.

Vis informasjon om masseavsendere på innsiktsiden for masseavsendere

Tabellen for masseavsenderdetaljer nederst på siden inneholder data om masseavsendere som har meldinger som ble identifisert som masseavsendere.

Tabellen kan inneholde avsenderdata når du først åpner innsiktssiden for masseavsendere hvis terskelen for gjeldende masse-e-post og terskelverdier for avsenderkvalitet for simulering allerede resulterte i masse-e-postidentifikasjon før du kjører simuleringer.

Ellers inkluderes avsendere i avsenderens detaljtabell basert på gjeldende terskelverdi for masse-e-post og terskelverdier for avsenderkvalitet for simulering etter at du har kjørt en simulering.

For oppføringer i avsenderdetaljtabellen er følgende kolonner alltid tilgjengelige:

  • Avsender: Avsenderens e-postadresse.
  • BCL
  • Terskel for avsenderkvalitet for simulering

De gjenværende kolonnene i tabellen for avsenderdetaljer avhenger av forholdet mellom terskelen for gjeldende masse-e-post og terskelverdier for ny masse-e-post etter at du har kjørt en simulering:

  • Terskelen for ny masse-e-post er lik gjeldende terskel for masseutsendt e-post:

    • Potensiell falsk positiv
    • Potensielt usant negativt

    Hvis du vil filtrere resultatene, velger du Alle avsendere og velger deretter én av følgende verdier:

    • Potensiell falsk positiv: Bare avsendere der potensielt usann positiv er Sann vises.
    • Potensielt usant negativt: Bare avsendere der potensielt usann negativt er sann , vises.

    Innsiktsiden for masseavsendere før du kjører en simulering eller etter at du har kjørt en simulering der den nye BCL-terskelen er lik gjeldende BCL-terskel.

  • Terskelen for ny masse-e-post er mindre enn gjeldende terskel for masseutsendt e-post:

    • Ny avsender blokkert
    • Potensiell falsk positiv

    Hvis du vil filtrere resultatene, velger du Alle avsendere og velger deretter én av følgende verdier:

    • Ny avsender blokkert: Bare avsendere der ny avsender er blokkert, vises.
    • Potensiell falsk positiv: Bare avsendere der potensielt usann positiv er Sann vises.

    Innsiktsiden for masseavsendere etter at du har kjørt en simulering der den nye BCL-terskelen er mindre enn gjeldende BCL-terskel.

  • Terskelen for ny masse-e-post er større enn gjeldende terskel for masseutsendt e-post:

    • Ny avsender er tillatt
    • Potensielt usant negativt

    Hvis du vil filtrere resultatene, velger du Alle avsendere og velger deretter én av følgende verdier:

    • Ny avsender er tillatt: Bare avsendere der ny avsender er tillatt, vises.
    • Potensielt usant negativt: Bare avsendere der potensielt usann negativt er sann , vises.

    Innsiktsiden for masseavsendere etter at du har kjørt en simulering der den nye BCL-terskelen er større enn gjeldende BCL-terskel.

Hvis du vil endre listen over oppføringer fra normal til kompakt avstand, velger du Endre listeavstand til kompakt eller normal, og deretter velger du Komprimer liste.

Bruk søkeboksen og en tilsvarende verdi til å finne bestemte avsendere i tabellen.

Bruk Eksporter til å lagre listen over avsendere som vises, i en CSV-fil. Standard filnavn er massesenderinnsikt – Microsoft Defender.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert fil allerede finnes på denne plasseringen, økes filnavnet (for eksempel massesenderinnsikt – Microsoft Defender(1).csv).

Vis detaljert informasjon om en masseavsender på innsiktsiden for masseavsendere

Hvis du vil vise detaljer om en bestemt avsender fra avsenderdetaljtabellen nederst på innsiktsiden for masseavsendere , klikker du hvor som helst i raden bortsett fra avmerkingsboksen ved siden av den første kolonnen. Undermenyen for avsenderdetaljer som åpnes, inneholder følgende informasjon om avsenderen:

  • Avsender: Avsenderens e-postadresse.
  • Meldinger: Antall meldinger fra avsenderen.
  • Meldinger i innboksen: Antall meldinger fra avsenderen som ble levert til brukerens innbokser.
  • Meldinger i karantene eller søppelpost: Antall meldinger fra avsenderen som ble levert til søppelpostmapper eller satt i karantene.
  • Administratorinnstilling: Om avsenderen er tillatt eller blokkert av tillatelser og blokker i leierens gyldige verdier for tillatelse/blokkeringsliste, er:
    • Tillat: Det finnes en tillatelsesoppføring for avsenderen av meldingen.
    • Blokk: Det finnes en blokkoppføring for avsenderen av meldingen.
  • Bruker tillatte meldinger: Antall meldinger fra avsenderen som ble lagt til listen over klarerte avsendere i brukerpostbokser.
  • Bruker blokkerte meldinger: Antall meldinger fra avsenderen som ble lagt til listen over blokkerte avsendere i brukerpostbokser.
  • Falske positive innsendinger: Antall meldinger fra avsenderen som ble sendt som god e-post, ble blokkert ved et uhell.
  • Falske negative innsendinger: Antall meldinger fra avsenderen som ble sendt som ugyldig e-post ved et uhell levert.
  • Bruker flyttet fra søppelpost til innboks
  • Bruker flyttet fra innboksen til søppelpost
  • Bruker slettet meldinger
  • Meldinger som er satt i karantene for administratorer
  • Administrator flyttet e-postmeldinger fra innboksen til søppelpost
  • Administrator slettet meldinger

Undermenyen for avsenderdetaljer fra avsenderdetaljene på innsiktsiden for masseavsendere.