Kampanjer i Microsoft Defender for Office 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

I Microsoft 365-organisasjoner med Microsoft Defender for Office 365 Plan 2 identifiserer og kategoriserer kampanjene koordinerte phishing- og malware-e-postangrep. Microsofts kategorisering av e-postangrep i diskrete kampanjer hjelper deg med å:

  • Undersøk og svar effektivt på e-postangrep.
  • Bedre forståelse av omfanget av e-postangrepet som er rettet mot organisasjonen.
  • Vis verdien av Microsoft Defender for Office 365 til beslutningstakere for å forhindre e-posttrusler.

Med kampanjefunksjonen kan du se det generelle bildet av et e-postangrep raskere og mer fullstendig enn noe menneske.

Se denne korte videoen om hvordan kampanjer i Microsoft Defender for Office 365 hjelpe deg med å forstå koordinerte e-postangrep som er rettet mot organisasjonen.

Hva er en kampanje?

En kampanje er et koordinert e-postangrep mot én eller mange organisasjoner. E-postangrep som stjeler legitimasjon og firmadata, er en stor og lukrativ bransje. Etter hvert som teknologiene øker for å stoppe angrep, endrer angriperne metodene sine for å sikre fortsatt suksess.

Microsoft bruker de enorme mengdene av data om anti-phishing, søppelpost og skadelig programvare fra hele tjenesten for å identifisere kampanjer. Vi analyserer og klassifiserer angrepsinformasjonen i henhold til flere faktorer. Eksempel:

  • Angrepskilde: Kilde-IP-adressene og avsenderens e-postdomener.
  • Meldingsegenskaper: Innholdet, stilen og tonen i meldingene.
  • Meldingsmottakere: Hvordan mottakere er relatert. For eksempel mottakerdomener, mottakerjobbfunksjoner (administratorer, ledere osv.), firmatyper (store, små, offentlige, private osv.) og bransjer.
  • Nyttelast for angrep: Skadelige koblinger, vedlegg eller andre nyttelaster i meldingene.

En kampanje kan være kortvarig, eller kan strekke seg over flere dager, uker eller måneder med aktive og inaktive perioder. En kampanje kan startes spesielt mot organisasjonen din, eller organisasjonen kan være en del av en større kampanje på tvers av flere firmaer.

Nødvendige lisenser og tillatelser

  • Kampanjefunksjonen er tilgjengelig i organisasjoner med Defender for Office 365 Plan 2 (tilleggslisenser eller inkludert i abonnementer som Microsoft 365 E5).
  • Du må være tilordnet tillatelser for å vise informasjon om kampanjer som beskrevet i denne artikkelen. Du har følgende alternativer:
    • Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er aktive. Påvirker bare Defender-portalen, ikke PowerShell): Sikkerhetsoperasjoner/rådata (e-post & samarbeid)/meldingshoder for e-postmeldinger (lest).

    • E-post & samarbeidstillatelser i Microsoft Defender-portalen: Medlemskap i rollegruppen Organisasjonsadministrasjon, Sikkerhetsadministrator eller Sikkerhetsleser.

    • Microsoft Entra tillatelser: Medlemskap i rollene global administrator*, sikkerhetsadministrator eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

      Viktig

      * Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

Kampanjeside i Microsoft Defender-portalen

Hvis du vil åpne Kampanjeer-siden i Microsoft Defender-portalen på https://security.microsoft.com, kan du gå til E-&samarbeidskampanjer>. Hvis du vil gå direkte til Kampanjeer-siden , kan du bruke https://security.microsoft.com/campaigns.

Kampanjesiden består av følgende elementer:

  • Et filter/spørringsverktøy øverst på siden.
  • Et diagramområde der du kan bruke de tilgjengelige pivotene til å organisere diagrammet på forskjellige måter. Diagrammet bruker som standard pivot for kampanjetype , selv om denne pivoten ikke ser ut til å være valgt.
  • Et detaljområde som er satt til Kampanje-fanen som standard

Skjermbilde som viser kampanjene i Microsoft Defender-portalen.

Tips

  • Hvis du ikke ser noen kampanjedata eller svært begrensede data, kan du prøve å endre datointervallet eller filtrene.

  • Du kan også vise den samme informasjonen om kampanjer i Trusselutforskerhttps://security.microsoft.com/threatexplorerv3:

    • Kampanjevisning .
    • Fanen Kampanje for alle e-postmeldinger> i detaljområdet under diagrammet.
    • Fanen Kampanje for > skadelig programvare vises i detaljområdet under diagrammet.
    • Fanen Phish-visningskampanje> i detaljområdet under diagrammet.
  • Hvis du har et Microsoft Defender for endepunkt abonnement, er kampanjeinformasjon knyttet til Microsoft Defender for endepunkt.

Diagramområde på Kampanje-siden

Diagramområdet viser et stolpediagram på Kampanje-siden som viser antall mottakere per dag. Grafen viser som standard både skadelig programvare og phish-data .

Hvis du vil filtrere informasjonen som vises i diagrammet og i detaljtabellen, endrer du filtrene.

Endre organiseringen av diagrammet ved å velge Kampanjetype, og velg deretter én av følgende verdier i rullegardinlisten:

  • Kampanjenavn
  • Kampanjeundertype
  • Avsenderdomene
  • IP-adresse for avsender
  • Leveringshandling
  • Gjenkjenningsteknologi
  • Fullstendig URL-adresse
  • NETTADRESSEdomene
  • URL-adressedomene og -bane

Bruk Eksporter diagramdata til å eksportere dataene i diagrammet til en CSV-fil.

Hvis du vil fjerne diagrammet fra siden (som maksimerer størrelsen på detaljområdet), gjør du ett av følgende trinn:

  • Velg listevisning for diagram> øverst på siden.
  • Velg Vis listevisning mellom diagrammet og visningene for detaljtabellen.

Detaljer-området på Kampanjer-siden

Hvis du vil filtrere informasjonen som vises i diagrammet og i detaljtabellen, endrer du filtrene.

Kampanje-fanen nedenfor diagrammet viser følgende informasjon i detaljtabellen på Kampanje-siden:

  • Navn
  • Eksempelemne: Emnelinjen i én av meldingene i kampanjen. Alle meldinger i kampanjen har ikke nødvendigvis samme emne.
  • Målrettet: Prosentandelen som beregnes av: (antall kampanjemottakere i organisasjonen) / (totalt antall mottakere i kampanjen på tvers av alle organisasjoner i tjenesten). Denne verdien angir i hvilken grad kampanjen bare er rettet mot organisasjonen (en høyere verdi) kontra også rettet mot andre organisasjoner i tjenesten (en lavere verdi).
  • Type: Verdien er enten Phish eller Malware.
  • Undertype: Verdien inneholder flere detaljer om kampanjen. Eksempel:
    • Phish: Hvor tilgjengelig, merket som blir phished av denne kampanjen. For eksempel, Microsoft, 365, Unknown, Outlookeller DocuSign. Når gjenkjenningen drives av Defender for Office 365 teknologi, legges prefikset ATP- til undertypeverdien.
    • Skadelig programvare: For eksempel, W32/<MalwareFamilyName> eller VBS/<MalwareFamilyName>.
  • Merker: Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.
  • Mottakere: Antall brukere som ble målrettet av denne kampanjen.
  • Innbokslagt: Antall brukere som mottok meldinger fra denne kampanjen i innboksen (ikke levert til søppelpostmappen).
  • Klikket: Antall brukere som valgte url-adressen eller åpnet vedlegget i phishing-meldingen.
  • Klikkfrekvens: I phishing-kampanjer, prosentandelen som beregnes av «Klikket / innboks». Denne verdien er en indikator på effektiviteten til kampanjen. Var mottakerne med andre ord i stand til å identifisere meldingen som phishing, og derfor unngikk nyttelastnettadressen? Klikkfrekvens brukes ikke i kampanjer for skadelig programvare.
  • Besøkt: Hvor mange brukere som faktisk kom seg til nyttelastnettstedet. Hvis det finnes klikkede verdier, men klarerte koblinger har blokkert tilgang til nettstedet, er denne verdien null.

Velg en kolonneoverskrift som skal sorteres etter denne kolonnen. Hvis du vil fjerne kolonner, velger du Tilpass kolonner. Som standard er alle tilgjengelige kolonner valgt.

Bruk Eksporter til å eksportere dataene i detaljtabellen til en CSV-fil.

Fanen Kampanjeopprinnelse under diagrammet viser meldingskildene på et verdenskart på Kampanje-siden.

Filtre på Kampanje-siden

Øverst på kampanjesiden finnes det flere filterinnstillinger som hjelper deg med å finne og isolere bestemte kampanjer. Filtrene du velger, påvirker diagrammet og detaljtabellen.

Visningen filtreres som standard etter i går og i dag. Hvis du vil endre datofilteret, velger du datointervallet og velger deretter verdiene for startdato og sluttdato for opptil 30 dager siden.

Kampanjefiltre på Kampanje-siden.

Du kan også filtrere resultatene etter én eller flere meldings- eller kampanjeegenskaper. Den grunnleggende syntaksen er:

<Egenskap><lik noen av | lik ingen av><egenskapsverdiene eller verdiene>

  • Velg meldingen eller kampanjeegenskapen fra rullegardinlisten Kampanjetype (Kampanjetype er standardverdien som er valgt).
  • Egenskapsverdiene du må angi, er helt avhengige av egenskapen. Noen egenskaper tillater frihåndstekst med flere verdier atskilt med komma, og noen egenskaper tillater flere verdier valgt fra en liste.

De tilgjengelige egenskapene og de tilknyttede verdiene er beskrevet i følgende tabell:

Eiendom Type:
Basic
Kampanjetype Velg én eller flere verdier¹:
  • Skadelig programvare
  • Phish
Kampanjenavn Tekst. Skill flere verdier med komma.
Kampanjeundertype Tekst. Skill flere verdier med komma.
Avsenderadresse Tekst. Skill flere verdier med komma.
Mottakere Tekst. Skill flere verdier med komma.
Avsenderdomene Tekst. Skill flere verdier med komma.
Mottakerdomene Tekst. Skill flere verdier med komma.
Emne Tekst. Skill flere verdier med komma.
Visningsnavn for avsender Tekst. Skill flere verdier med komma.
Avsender e-post fra adresse Tekst. Skill flere verdier med komma.
Avsender e-post fra domene Tekst. Skill flere verdier med komma.
Malware familie Tekst. Skill flere verdier med komma.
Tags Tekst. Skill flere verdier med komma.

Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.
Leveringshandling Velg én eller flere verdier¹:
  • Blokkert
  • Levert
  • Levert til søppelpost
  • Erstattet
Tilleggshandling Velg én eller flere verdier¹:
Retningen Velg én eller flere verdier¹:
  • Innkommende
  • Intra-irg
  • Utgående
Gjenkjenningsteknologi Velg én eller flere verdier¹:
  • Avansert filter: Signaler basert på maskinlæring.
  • Beskyttelse mot skadelig programvare
  • Masseutsendelse
  • Kampanje
  • Domenesomdømme
  • Fildetonasjon: Klarerte vedlegg oppdaget et skadelig vedlegg under detonasjonsanalyse.
  • Omdømme for fildetonasjon: Filvedlegg som tidligere ble oppdaget av klarerte vedlegg detonasjoner i andre Microsoft 365-organisasjoner.
  • Filnavn: Meldingen inneholder en fil som tidligere ble identifisert som skadelig i andre Microsoft 365-organisasjoner.
  • Fingeravtrykkssamsvar: Meldingen ligner på en tidligere oppdaget skadelig melding.
  • Generelt filter
  • Representasjonsmerke: Avsenderrepresentasjon av velkjente merker.
  • Representasjonsdomene: Representasjon av avsenderdomener som du eier eller spesifiserte for beskyttelse i anti-phishing-policyer
  • Representasjonsbruker
  • IP-omdømme
  • Etterligning av postboksintelligens: Representasjonsgjenkjenninger fra postboksintelligens i anti-phishing-policyer.
  • Blandet analysegjenkjenning: Flere filtre bidro til meldingsvurderingen.
  • spoof DMARC: Meldingen mislyktes DMARC-godkjenning.
  • Forfalsking av eksternt domene: Forfalskning av e-postadresser for avsender ved hjelp av et domene som er eksternt for organisasjonen.
  • Spoof intra-org: Forfalskning av avsenderens e-postadresse ved hjelp av et domene som er internt i organisasjonen.
  • Nettadressedetonasjon: Klarerte koblinger oppdaget en ondsinnet nettadresse i meldingen under detonasjonsanalyse.
  • Omdømme for nettadressedetonasjon
  • Skadelig omdømme for nettadresse: URL-adresser som tidligere ble oppdaget av Safe Links-detonasjoner i andre Microsoft 365-organisasjoner.
Opprinnelig leveringssted Velg én eller flere verdier¹:
  • Slettede elementer-mappen
  • Falt
  • Mislyktes
  • Innboks/mappe
  • Søppelpostmappe
  • Lokal/ekstern
  • Karantene
  • Ukjent
Siste leveringssted Samme verdier som opprinnelig leveringssted
Systemoverstyringer Velg én eller flere verdier¹:
  • Tillatt av brukerpolicy
  • Blokkert av brukerpolicy
  • Tillatt av organisasjonspolicy
  • Blokkert av organisasjonspolicy
  • Filtype blokkert av organisasjonspolicy
  • Ingen
Systemoverstyringskilde Velg én eller flere verdier¹:
  • Tredjepartsfilter
  • Admin initierte tidsreiser (ZAP)
  • Policy for beskyttelse mot skadelig programvare blokkeres etter filtype
  • Innstillinger for søppelpostpolicy
  • Tilkoblingspolicy
  • Exchange-transportregel (e-postflytregel)
  • Filtrering hoppet over på grunn av lokal organisasjon
  • IP-områdefilter fra policy
  • Språkfilter fra policy
  • Phishing-simulering
  • Frigi karantene
  • SecOPs-postboks
  • Avsenderadresseliste (overstyring av administrator)
  • Avsenderadresseliste (brukeroverstyring)
  • Liste over avsenderdomene (overstyring av administrator)
Avansert
ID for Internett-melding Tekst. Skill flere verdier med komma.

Tilgjengelig i meldings-ID-topptekstfeltet i meldingshodet. En eksempelverdi er <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (merk vinkelparentesene).
Nettverksmeldings-ID Tekst. Skill flere verdier med komma.

En GUID-verdi som er tilgjengelig i topptekstfeltet X-MS-Exchange-Organization-Network-Message-Id i meldingshodet.
IP-adresse for avsender Tekst. Skill flere verdier med komma.
Vedlegg SHA256 Tekst. Skill flere verdier med komma.

Hvis du vil finne SHA256-hash-verdien for en fil, kjører du følgende kommando i PowerShell: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256.
Klynge-ID Tekst. Skill flere verdier med komma.
Varsel-ID Tekst. Skill flere verdier med komma.
ID for varselpolicy Tekst. Skill flere verdier med komma.
Kampanje-ID Tekst. Skill flere verdier med komma.
ZAP URL-signal Tekst. Skill flere verdier med komma.
Nettadresser
NETTADRESSEdomene Tekst. Skill flere verdier med komma.
URL-adressedomene og -bane Tekst. Skill flere verdier med komma.
URL-adresse Tekst. Skill flere verdier med komma.
URL-bane Tekst. Skill flere verdier med komma.
Klikk dommen Velg én eller flere verdier¹:
  • Tillatt
  • Blokkoverstyrt
  • Blokkert
  • Feil
  • Fiasko
  • Ingen
  • Venter på dom
  • Venter på dom forbigått
Fil
Filnavn for vedlegg Tekst. Skill flere verdier med komma.

¹ Bruk ikke dette egenskapsfilteret eller bruk av dette egenskapsfilteret uten valgte verdier har samme resultat som å bruke dette egenskapsfilteret med alle verdier valgt.

Når du har valgt en egenskap fra rullegardinlisten Kampanjetype , velger du Lik hvilken som helst ellerIkke lik noen av, og deretter angir eller velger en verdi i egenskapsboksen, vises filterspørringen under filterområdet.

Skjermbilde som viser et valgt kampanjefilter.

Hvis du vil legge til flere betingelser, velger du et annet egenskaps-/verdipar, og deretter velger du OG eller ELLER. Gjenta disse trinnene så mange ganger det er nødvendig.

Hvis du vil fjerne eksisterende egenskaps-/verdipar, velger du ved siden av oppføringen.

Når du er ferdig med å bygge filterspørringen, velger du Oppdater.

Hvis du vil lagre filterspørringen, velger du Lagre spørringforspørring>. Konfigurer følgende innstillinger i undermenyen Lagre spørring som åpnes:

  • Spørringsnavn: Skriv inn en unik verdi.
  • Velg én av følgende verdier:
    • Nøyaktige datoer: Velg datointervallet.
    • Relative datoer: Velg mellom én og 30 dager.
  • Spor denne spørringen

Når du er ferdig i undermenyen Lagre spørring , velger du Lagre og deretter OK i bekreftelsesdialogboksen.

Når du går tilbake til Kampanjeer-siden , kan du laste inn et lagret filter ved å velge Lagre spørringsinnstillinger>for lagrede spørringer.

Kampanjedetaljer

Når du velger en oppføring fra detaljtabellen ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av navnet, åpnes en undermeny som inneholder detaljer om kampanjen.

Det som vises i undermenyen for kampanjedetaljer, er beskrevet i følgende underseksjoner.

Kampanjeinformasjon

Øverst i undermenyen for kampanjedetaljer er følgende kampanjeinformasjon tilgjengelig:

  • Kampanje-ID: Den unike kampanjeidentifikatoren.
  • Aktivitet: Kampanjens varighet og aktivitet.
  • Følgende data for datointervallfilteret du valgte (eller som du velger på tidslinjen):
    • Innvirkning
    • Meldinger: Totalt antall mottakere.
    • Innboks: Antall meldinger som ble levert til innboksen, ikke til Søppelpost-mappen.
    • Klikk på koblingen: Hvor mange brukere som valgte nettadressen for nyttelast i phishing-meldingen.
    • Besøkt kobling: Hvor mange brukere besøkte nettadressen.
    • Målrettet(%): Prosentandelen som beregnes av: (antall kampanjemottakere i organisasjonen) / (totalt antall mottakere i kampanjen på tvers av alle organisasjoner i tjenesten). Denne verdien beregnes i løpet av hele kampanjens levetid, og endres ikke etter datofiltre.
  • Filtre for startdato/-klokkeslett og sluttdata/klokkeslett for kampanjeflyten, som beskrevet i neste del.
  • En interaktiv tidslinje for kampanjeaktivitet: Tidslinjen viser aktivitet gjennom hele kampanjens levetid. Du kan holde pekeren over datapunktene i grafen for å se antall oppdagede meldinger.

Kampanjeinformasjonen

Kampanjeflyt

Midt i undermenyen for kampanjedetaljer presenteres viktige detaljer om kampanjen i et vannrett flytskjema (kjent som et Sankey-diagram ). Disse detaljene hjelper deg med å forstå elementene i kampanjen og den potensielle innvirkningen i organisasjonen.

Tips

Informasjonen som vises i flytskjemaet, kontrolleres av datointervallfilteret på tidslinjen, som beskrevet i forrige del.

Kampanjedetaljene som ikke inneholder brukernettadresseklikk

Hvis du holder pekeren over et vannrett bånd i diagrammet, ser du antall relaterte meldinger (for eksempel meldinger fra en bestemt kilde-IP, meldinger fra kilde-IP-adressen som bruker det angitte avsenderdomenet osv.).

Diagrammet inneholder følgende informasjon:

  • Avsender-IP-er

  • Avsenderdomener

  • Filtervurderinger: Vurderingsverdier er relatert til de tilgjengelige dommene for phishing- og søppelpostfiltrering, som beskrevet i meldingshoder mot søppelpost. De tilgjengelige verdiene er beskrevet i følgende tabell:

    Verdi Dom for søppelpostfilter Beskrivelse
    Tillatt SFV:SKN
    <Br/ SFV:SKI
    Meldingen ble merket som ikke søppelpost og/eller hoppet over filtrering før den ble evaluert av søppelpostfiltrering. Meldingen ble for eksempel merket som ikke søppelpost av en regel for e-postflyt (også kjent som en transportregel).
    <br/ Meldingen hoppet over filtrering av søppelpost av andre årsaker. Avsenderen og mottakeren ser for eksempel ut til å være i samme organisasjon.
    Blokkert SFV:SKS Meldingen ble merket som søppelpost før den ble evaluert av søppelpostfiltrering. For eksempel etter en e-postflytregel.
    Oppdaget SFV:SPM Meldingen ble merket som søppelpost ved filtrering av søppelpost.
    Ikke oppdaget SFV:NSPM Meldingen ble merket som ikke søppelpost ved filtrering av søppelpost.
    Utgitt SFV:SKQ Meldingen hoppet over filtrering av søppelpost fordi den ble frigitt fra karantene.
    Leier tillat¹ SFV:SKA Meldingen hoppet over filtrering av søppelpost på grunn av innstillingene i en søppelpostpolicy. Avsenderen var for eksempel i listen over tillatte avsendere eller en tillatt domeneliste.
    Tenant block² SFV:SKA Meldingen ble blokkert av søppelpostfiltrering på grunn av innstillingene i en søppelpostpolicy. Avsenderen var for eksempel i listen over tillatte avsendere eller en tillatt domeneliste.
    Tillat bruker¹ SFV:SFE Meldingen hoppet over filtrering av søppelpost fordi avsenderen var i en brukers liste over klarerte avsendere.
    Brukerblokk² SFV:BLK Meldingen ble blokkert av søppelpostfiltrering fordi avsenderen var i en brukers liste over blokkerte avsendere.
    ZAP I/T Nulltimers automatisk tømming (ZAP) flyttet den leverte meldingen til søppelpostmappen eller karantene. Du konfigurerer handlingen i policyer for søppelpost.

    ¹ Se gjennom policyene for søppelpost, fordi den tillatte meldingen sannsynligvis ville blitt blokkert av tjenesten.

    ² Se gjennom policyene for søppelpost, fordi disse meldingene bør settes i karantene, ikke leveres.

  • Meldingsmål: Undersøk meldinger som ble levert til mottakere (enten til innboksen eller søppelpostmappen), selv om brukerne ikke valgte nettadressen for nyttelast i meldingen. Du kan også fjerne meldinger i karantene fra karantene. Hvis du vil ha mer informasjon, kan du se e-postmeldinger i karantene i EOP.

    • Slettet mappe
    • Falt
    • Ekstern: Mottakeren befinner seg i den lokale e-postorganisasjonen i hybridmiljøer.
    • Mislyktes
    • Videresendt
    • Innboks
    • Søppelpostmappe
    • Karantene
    • Ukjent
  • Nettadresseklikk: Disse verdiene beskrives i neste del.

Obs!

I alle lag som inneholder mer enn 10 elementer, vises de 10 øverste elementene, mens resten er samlet sammen i Andre.

Nettadresseklikk

Når en phishing-melding leveres til mottakerens innboks eller søppelpostmappe, er det alltid en sjanse for at brukeren velger nettadressen for nyttelast. Det å ikke velge nettadressen er et lite mål på suksess, men du må finne ut hvorfor phishing-meldingen ble levert til postboksen i utgangspunktet.

Hvis en bruker har valgt nettadressen for nyttelast i phishing-meldingen, vises handlingene i området for nettadresseklikk i diagrammet i visningen for kampanjedetaljer.

  • Tillatt
  • BlockPage: Mottakeren valgte nettadressen for nyttelast, men tilgangen til det skadelige nettstedet ble blokkert av en policy for klarerte koblinger i organisasjonen.
  • BlockPageOverride: Mottakeren valgte nettadressen for nyttelast i meldingen, klarerte koblinger prøvde å stoppe dem, men de fikk lov til å overstyre blokken. Undersøk policyene for klarerte koblinger for å se hvorfor brukere har tillatelse til å overstyre dommen over klarerte koblinger og fortsette til det skadelige nettstedet.
  • PendingDetonationPage: Klarerte vedlegg i Microsoft Defender for Office 365 åpnes og undersøker nyttelastnettadressen i et virtuelt miljø.
  • PendingDetonationPageOverride: Mottakeren fikk tillatelse til å overstyre prosessen for nyttelastdetonasjon og åpne URL-adressen uten å vente på resultatene.

Kategoriene

Tips

Informasjonen som vises på fanene, kontrolleres av datointervallfilteret i undermenyen for kampanjedetaljer, som beskrevet i delen Kampanjeinformasjon .

Fanene i undermenyen for kampanjedetaljer lar deg undersøke kampanjen ytterligere. Følgende faner er tilgjengelige:

  • URL-adresseklikk: Hvis brukerne ikke valgte nettadressen for nyttelast i meldingen, er denne delen tom. Hvis en bruker kunne velge nettadressen, fylles følgende verdier ut:

    • Bruker*
    • Tags
    • URL-adresse*
    • Klikktid
    • Klikk dommen
  • Avsender-IP-er

    • IP-adresse for avsender*
    • Totalt antall
    • Innboks
    • Ikke innboks
    • SPF sendt: Avsenderen ble godkjent av struktur for avsenderpolicy (SPF). En avsender som ikke består SPF-validering, angir en uautorisert avsender, eller meldingen forfalsetter en legitim avsender.
  • Avsendere

    • Avsender: Dette er den faktiske avsenderadressen i SMTP MAIL FROM-kommandoen , som ikke nødvendigvis er Fra: -e-postadressen som brukerne ser i e-postklienter.
    • Totalt antall
    • Innboks
    • Ikke innboks
    • DKIM passerte: Avsenderen ble godkjent av Domenenøkler identifisert e-post (DKIM). En avsender som ikke består DKIM-validering, angir en uautorisert avsender, eller meldingen forfalsker en legitim avsender.
    • DMARC sendt: Avsenderen ble godkjent av domenebasert meldingsgodkjenning, rapportering og samsvar (DMARC). En avsender som ikke består DMARC-validering, angir en uautorisert avsender, eller meldingen forfalsker en legitim avsender.
  • Vedlegg

    • Filnavn
    • SHA256
    • Malware familie
    • Totalt antall
  • URL-adresser

    • URL-adresse*
    • Totalt antall

* Hvis du velger denne verdien, åpnes en ny undermeny som inneholder flere detaljer om det angitte elementet (bruker, nettadresse osv.) øverst i visningen for kampanjedetaljer. Hvis du vil gå tilbake til undermenyen for kampanjedetaljer, velger du Ferdig i den nye undermenyen.

Velg en kolonneoverskrift på hver fane for å sortere etter denne kolonnen. Hvis du vil fjerne kolonner, velger du Tilpass kolonner. Som standard er alle tilgjengelige kolonner på hver fane valgt.

Flere handlinger

Med handlingene nederst i undermenyen for kampanjedetaljer kan du undersøke og registrere detaljer om kampanjen:

  • Velg Ja eller Nei i Tror du denne kampanjen har gruppert disse meldingene nøyaktig?
  • Utforsk meldinger: Bruk kraften i Trusselutforsker til å undersøke kampanjen ytterligere ved å velge én av følgende verdier i rullegardinlisten:
    • Alle meldinger: Åpner en ny søkefane i Trusselutforsker ved hjelp av kampanje-ID-verdien som søkefilter.
    • Innboksmeldinger: Åpner en ny søkefane i Trusselutforsker ved hjelp av kampanje-ID - og leveringsplasseringen: Innboks som søkefilter.
    • Interne meldinger: Åpner en ny søkefane i Trusselutforsker ved hjelp av kampanje-ID og retning: Intra-organisasjon som søkefilter.
  • Last ned trusselrapport: Last ned kampanjedetaljene til et Word dokument (som standard kalt CampaignReport.docx). Nedlastingen inneholder detaljer gjennom hele kampanjens levetid (ikke bare datofilteret du valgte).