Varslingspolicyer i Microsoft 365

Du kan bruke varslingspolicyer og varselinstrumentbordet i Microsoft Purview-samsvarsportal eller Microsoft 365 Defender-portalen til å opprette varslingspolicyer og deretter vise varslene som genereres når brukere utfører aktiviteter som samsvarer med betingelsene for en varslingspolicy. Det finnes flere standard varslingspolicyer som hjelper deg med å overvåke aktiviteter som å tilordne administratorrettigheter i Exchange Online, angrep fra skadelig programvare, phishing-kampanjer og uvanlige nivåer av filslettinger og ekstern deling.

Tips

Gå til delen Standard varslingspolicyer i denne artikkelen for å få en liste over og beskrivelser av de tilgjengelige varslingspolicyene.

Med varslingspolicyer kan du kategorisere varsler som utløses av en policy, bruke policyen for alle brukere i organisasjonen, angi et terskelnivå for når et varsel utløses, og bestemme om du vil motta e-postvarsler når varsler utløses. Det finnes også en varslingsside der du kan vise og filtrere varsler, angi en varslingsstatus for å hjelpe deg med å behandle varsler, og deretter avvise varsler etter at du har adressert eller løst den underliggende hendelsen.

Obs!

Varslingspolicyer er tilgjengelige for organisasjoner med et abonnement på Microsoft 365 Enterprise, Office 365 Enterprise eller Office 365 US Government E1/F1/G1, E3/F3/G3 eller E5/G5. Avansert funksjonalitet er bare tilgjengelig for organisasjoner med et E5/G5-abonnement, eller for organisasjoner som har et E1/F1/G1- eller E3/F3/G3-abonnement og en Microsoft Defender for Office 365 P2 eller en Microsoft 365 E5 Compliance eller et E5 eDiscovery- og Audit-tilleggsabonnement. Funksjonaliteten som krever et E5/G5- eller tilleggsabonnement, er uthevet i dette emnet. Vær også oppmerksom på at varslingspolicyer er tilgjengelige i Office 365 GCC-, GCC High- og DoD US Government-miljøer.

Tips

Hvis du ikke er en E5-kunde, kan du prøve alle premiumfunksjonene i Microsoft Purview gratis. Bruk den 90-dagers prøveversjonen av Purview-løsninger til å utforske hvordan robuste Purview-funksjoner kan hjelpe organisasjonen med å administrere datasikkerhet og samsvarsbehov. Start nå på Microsoft Purview-samsvarsportal trials hub. Lær mer om registrering og prøveabonnementer.

Slik fungerer varslingspolicyer

Her er en rask oversikt over hvordan varslingspolicyer fungerer og hvilke varsler som utløses når bruker- eller administratoraktivitet samsvarer med betingelsene for en varslingspolicy.

Oversikt over hvordan varslingspolicyer fungerer.

  1. En administrator i organisasjonen oppretter, konfigurerer og aktiverer en varslingspolicy ved hjelp av siden varselpolicyer i samsvarsportalen eller Microsoft 365 Defender-portalen. Du kan også opprette varselpolicyer ved hjelp av cmdleten New-ProtectionAlert i PowerShell for sikkerhetssamsvar & .

    Hvis du vil opprette varselpolicyer, må du være tilordnet rollen Behandle varsler eller Organisasjonskonfigurasjon i samsvarsportalen eller Defender-portalen.

    Obs!

    Det tar opptil 24 timer etter at du har opprettet eller oppdatert en varslingspolicy før varsler kan utløses av policyen. Dette er fordi policyen må synkroniseres til varslingsregistreringsmotoren.

  2. En bruker utfører en aktivitet som samsvarer med betingelsene for en varslingspolicy. Når det gjelder angrep fra skadelig programvare, utløser infiserte e-postmeldinger som sendes til brukere i organisasjonen, et varsel.

  3. Microsoft 365 genererer et varsel som vises på Varsler-siden i samsvarsportalen eller Defender-portalen. Hvis e-postvarsler er aktivert for varslingspolicyen, sender Microsoft også et varsel til en liste over mottakere. Varslene om at en administrator eller andre brukere kan se at på Varsler-siden bestemmes av rollene som er tilordnet brukeren. Hvis du vil ha mer informasjon, kan du se RBAC-tillatelser som kreves for å vise varsler.

  4. En administrator administrerer varsler i Microsoft Purview-samsvarsportal. Behandling av varsler består av å tilordne en varslingsstatus for å hjelpe med å spore og administrere eventuelle undersøkelser.

Innstillinger for varslingspolicy

En varslingspolicy består av et sett med regler og betingelser som definerer bruker- eller administratoraktiviteten som genererer et varsel, en liste over brukere som utløser varselet hvis de utfører aktiviteten, og en terskel som definerer hvor mange ganger aktiviteten må forekomme før et varsel utløses. Du kategoriserer også policyen og tilordner den et alvorlighetsnivå. Disse to innstillingene hjelper deg med å administrere varslingspolicyer (og varslene som utløses når policybetingelsene samsvarer) fordi du kan filtrere etter disse innstillingene når du administrerer policyer og viser varsler i Microsoft Purview-samsvarsportal. Du kan for eksempel vise varsler som samsvarer med betingelsene fra samme kategori, eller vise varsler med samme alvorlighetsgrad.

Slik viser og oppretter du varslingspolicyer:

Obs!

Du må være tilordnet rollen View-Only Behandle varsler for å vise varslingspolicyer i Microsoft Purview-samsvarsportal eller Microsoft 365 Defender-portalen. Du må være tilordnet rollen Behandle varsler for å opprette og redigere varslingspolicyer. Hvis du vil ha mer informasjon, kan du se Tillatelser i Microsoft Purview-samsvarsportal.

En varslingspolicy består av følgende innstillinger og betingelser.

  • Aktivitet varselet sporer. Du oppretter en policy for å spore en aktivitet eller i noen tilfeller noen relaterte aktiviteter, for eksempel dele en fil med en ekstern bruker ved å dele den, tilordne tilgangstillatelser eller opprette en anonym kobling. Når en bruker utfører aktiviteten som er definert av policyen, utløses et varsel basert på innstillingene for varslingsterskelen.

    Obs!

    Aktivitetene du kan spore, avhenger av organisasjonens Office 365 Enterprise eller Office 365 US Government-plan. Generelt sett krever aktiviteter relatert til kampanjer for skadelig programvare og phishing-angrep et E5/G5-abonnement eller et E1/F1/G1- eller E3/F3/G3-abonnement med et tilleggsabonnement på Defender for Office 365 Plan 2.

  • Aktivitetsbetingelser. For de fleste aktiviteter kan du definere flere betingelser som må oppfylles for å utløse et varsel. Vanlige betingelser omfatter IP-adresser (slik at et varsel utløses når brukeren utfører aktiviteten på en datamaskin med en bestemt IP-adresse eller innenfor et IP-adresseområde), om et varsel utløses hvis en bestemt bruker eller brukere utfører denne aktiviteten, og om aktiviteten utføres på et bestemt filnavn eller en nettadresse. Du kan også konfigurere en betingelse som utløser et varsel når aktiviteten utføres av en hvilken som helst bruker i organisasjonen. De tilgjengelige betingelsene er avhengige av den valgte aktiviteten.

Du kan også definere brukerkoder som en betingelse for en varslingspolicy. Dette resulterer i at varslene som utløses av policyen, inkluderer konteksten til den berørte brukeren. Du kan bruke systembrukerkoder eller egendefinerte brukerkoder. Hvis du vil ha mer informasjon, kan du se Brukerkoder i Microsoft Defender for Office 365.

  • Når varselet utløses. Du kan konfigurere en innstilling som definerer hvor ofte en aktivitet kan forekomme før et varsel utløses. Dette gjør at du kan konfigurere en policy for å generere et varsel hver gang en aktivitet samsvarer med policybetingelsene, når en bestemt terskel overskrides, eller når forekomsten av aktiviteten varselet sporer, blir uvanlig for organisasjonen.

    Konfigurer hvordan varsler utløses, basert på når aktiviteten forekommer, en terskel eller uvanlig aktivitet for organisasjonen.

    Hvis du velger innstillingen basert på uvanlig aktivitet, etablerer Microsoft en opprinnelig verdi som definerer normalfrekvensen for den valgte aktiviteten. Det tar opptil sju dager å etablere denne grunnlinjen, der varsler ikke genereres. Når den opprinnelige planen er opprettet, utløses et varsel når frekvensen til aktiviteten som spores av varslingspolicyen, overskrider den opprinnelige verdien betraktelig. Når det gjelder overvåkingsrelaterte aktiviteter (for eksempel fil- og mappeaktiviteter), kan du etablere en opprinnelig plan basert på én enkelt bruker eller basert på alle brukere i organisasjonen. for aktiviteter relatert til skadelig programvare, kan du etablere en grunnlinje basert på én enkelt familie med skadelig programvare, én enkelt mottaker eller alle meldinger i organisasjonen.

    Obs!

    Muligheten til å konfigurere varslingspolicyer basert på en terskel eller basert på uvanlig aktivitet krever et E5/G5-abonnement, eller et E1/F1/G1- eller E3/F3/G3-abonnement med et Microsoft Defender for Office 365 P2-, Microsoft 365 E5 Compliance- eller Microsoft 365 eDiscovery- og Audit-tilleggsabonnement. Organisasjoner med et E1/F1/G1- og E3/F3/G3-abonnement kan bare opprette varslingspolicyer der et varsel utløses hver gang en aktivitet oppstår.

  • Varslingskategori. Hvis du vil ha hjelp til å spore og administrere varslene som genereres av en policy, kan du tilordne én av følgende kategorier til en policy.

    • Hindring av tap av data
    • Informasjonsstyring
    • E-postflyt
    • Tillatelser
    • Trusselbehandling
    • Andre

    Når det oppstår en aktivitet som samsvarer med betingelsene for varslingspolicyen, merkes varselet som genereres, med kategorien som er definert i denne innstillingen. Dette lar deg spore og behandle varsler som har samme kategoriinnstilling på Varsler-siden i Microsoft Purview-portalen, fordi du kan sortere og filtrere varsler basert på kategori.

  • Alvorsgrad for varsel. I likhet med varslingskategorien tilordner du et alvorsgradattributt (lav, middels, høy eller informasjonsmessig) til varslingspolicyer. I likhet med varslingskategorien, når det oppstår en aktivitet som samsvarer med betingelsene for varslingspolicyen, merkes varselet som genereres, med samme alvorlighetsgrad som er angitt for varslingspolicyen. Dette gjør det mulig å spore og administrere varsler som har samme alvorsgradinnstilling på Varsler-siden . Du kan for eksempel filtrere listen over varsler slik at bare varsler med høy alvorlighetsgrad vises.

    Tips

    Når du konfigurerer en varslingspolicy, bør du vurdere å tilordne en høyere alvorlighetsgrad til aktiviteter som kan føre til svært negative konsekvenser, for eksempel gjenkjenning av skadelig programvare etter levering til brukere, visning av sensitive eller klassifiserte data, deling av data med eksterne brukere eller andre aktiviteter som kan føre til tap av data eller sikkerhetstrusler. Dette kan hjelpe deg med å prioritere varsler og handlingene du utfører for å undersøke og løse de underliggende årsakene.

  • Automatiserte undersøkelser. Noen varsler utløser automatiserte undersøkelser for å identifisere potensielle trusler og risikoer som trenger utbedring eller utbedring. I de fleste tilfeller utløses disse varslene ved gjenkjenning av skadelige e-postmeldinger eller aktiviteter, men i noen tilfeller utløses varslene av administratorhandlinger i sikkerhetsportalen. Hvis du vil ha mer informasjon om automatiserte undersøkelser, kan du se Automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365.

  • E-postvarsler. Du kan konfigurere policyen slik at e-postvarsler sendes (eller ikke sendes) til en liste over brukere når et varsel utløses. Du kan også angi en daglig varslingsgrense slik at når maksimalt antall varsler er nådd, sendes det ikke flere varsler for varselet i løpet av denne dagen. I tillegg til e-postvarsler kan du eller andre administratorer vise varslene som utløses av en policy på Varsler-siden . Vurder å aktivere e-postvarsler for varslingspolicyer for en bestemt kategori, eller som har en høyere alvorsgradinnstilling.

Standard varslingspolicyer

Microsoft inneholder innebygde varslingspolicyer som bidrar til å identifisere misbruk av Exchange-administratortillatelser, skadelig programvareaktivitet, potensielle eksterne og interne trusler og risikoer for informasjonsstyring. Navnene på disse innebygde policyene er i fet skrift på siden Varselpolicyer , og policytypen er definert som System. Disse policyene er aktivert som standard. Du kan slå av disse policyene (eller aktivere på nytt), konfigurere en liste over mottakere du vil sende e-postvarsler til, og angi en daglig varslingsgrense. De andre innstillingene for disse policyene kan ikke redigeres.

Tabellene nedenfor viser og beskriver de tilgjengelige standard varslingspolicyene, og kategorien hver policy er tilordnet til. Kategorien brukes til å bestemme hvilke varsler en bruker kan vise på Varsler-siden. Hvis du vil ha mer informasjon, kan du se RBAC-tillatelser som kreves for å vise varsler.

Tabellene angir også Office 365 Enterprise og Office 365 US Government-planen som kreves for hver av dem. Noen standard varslingspolicyer er tilgjengelige hvis organisasjonen har riktig tilleggsabonnement i tillegg til et E1/F1/G1- eller E3/F3/G3-abonnement.

Obs!

Den uvanlige aktiviteten som overvåkes av noen av de innebygde policyene, er basert på den samme prosessen som innstillingen for varslingsterskelen som tidligere ble beskrevet. Microsoft etablerer en opprinnelig verdi som definerer normalfrekvensen for «vanlig» aktivitet. Varsler utløses deretter når hyppigheten av aktiviteter som spores av den innebygde varslingspolicyen, overskrider den opprinnelige verdien.

Varslingspolicyer for informasjonsstyring

Obs!

Varslingspolicyene i denne delen er i ferd med å bli avskrevet basert på tilbakemeldinger fra kunder som falske positiver. Hvis du vil beholde funksjonaliteten til disse varslingspolicyene, kan du opprette egendefinerte varslingspolicyer med de samme innstillingene.

Navn Beskrivelse Alvorlighetsgraden Automatisert undersøkelse Enterprise-abonnement
Uvanlig filaktivitet for ekstern bruker Genererer et varsel når et uvanlig stort antall aktiviteter utføres på filer i SharePoint eller OneDrive av brukere utenfor organisasjonen. Dette omfatter aktiviteter som tilgang til filer, nedlasting av filer og sletting av filer. Høy Nei E5/G5, Microsoft Defender for Office 365 P2 eller Microsoft 365 E5 tilleggsabonnement
Uvanlig volum av ekstern fildeling Genererer et varsel når et uvanlig stort antall filer i SharePoint eller OneDrive deles med brukere utenfor organisasjonen. Middels Nei E5/G5, Defender for Office 365 P2 eller Microsoft 365 E5 tilleggsabonnement
Uvanlig volum for sletting av filer Genererer et varsel når et uvanlig stort antall filer slettes i SharePoint eller OneDrive innen kort tid. Middels Nei E5/G5, Defender for Office 365 P2 eller Microsoft 365 E5 tilleggsabonnement

Varslingspolicyer for e-postflyt

Navn Beskrivelse Alvorlighetsgraden Automatisert undersøkelse Enterprise-abonnement
Meldinger har blitt forsinket Genererer et varsel når Microsoft ikke kan levere e-postmeldinger til den lokale organisasjonen eller en partnerserver ved hjelp av en kobling. Når dette skjer, legges meldingen i kø i Office 365. Dette varselet utløses når det er 2000 meldinger eller mer som har stått i kø i mer enn en time. Høy Nei E1/F1/G1, E3/F3/G3 eller E5/G5

Varslingspolicyer for tillatelser

Navn Beskrivelse Alvorlighetsgraden Automatisert undersøkelse Enterprise-abonnement
Heving av exchange-administratorrettigheter Genererer et varsel når noen er tilordnet administrative tillatelser i Exchange Online organisasjonen. Når for eksempel en bruker legges til i rollegruppen organisasjonsadministrasjon i Exchange Online. Lav Nei E1/F1/G1, E3/F3/G3 eller E5/G5

Varslingspolicyer for trusselbehandling

Navn Beskrivelse Alvorlighetsgraden Automatisert undersøkelse Enterprise-abonnement
Det ble oppdaget et potensielt skadelig nettadresseklikk Genererer et varsel når en bruker som er beskyttet av klarerte koblinger i organisasjonen, klikker en ondsinnet kobling. Dette varselet genereres når en bruker klikker på en kobling, og denne hendelsen utløser en endringsidentifikasjon for url-avgjørelse ved Microsoft Defender for Office 365. Den ser også etter eventuelle klikk i løpet av de siste 48 timene fra tidspunktet den ondsinnede url-dommen identifiseres, og genererer varsler for klikkene som skjedde i 48-timers tidsrammen for den ondsinnede koblingen. Dette varselet utløser automatisk automatisert undersøkelse og svar i Office 365. Hvis du vil ha mer informasjon om hendelser som utløser dette varselet, kan du se Konfigurere policyer for klarerte koblinger. Høy Ja E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
En bruker klikket gjennom til en potensielt skadelig nettadresse Genererer et varsel når en bruker som er beskyttet av klarerte koblinger i organisasjonen, klikker en ondsinnet kobling. Denne hendelsen utløses når brukeren klikker på en URL-adresse (som identifiseres som skadelig eller venter på validering) og overstyrer advarselssiden for klarerte koblinger (basert på organisasjonens policy for Microsoft 365 for forretningssikre koblinger) for å fortsette til siden/innholdet for nettadressen som driftes. For Defender for Office 365 P2-, E5-, G5-kunder utløser dette varselet automatisk automatisert undersøkelse og respons i Office 365. Hvis du vil ha mer informasjon om hendelser som utløser dette varselet, kan du se Konfigurere policyer for klarerte koblinger. Høy Ja E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
Admin innsendingsresultat fullført Genererer et varsel når en Admin-innsending fullfører skanningen av den innsendte enheten på nytt. Et varsel utløses hver gang et rescan-resultat gjengis fra en Admin innsending.

Disse varslene er ment å minne deg på å se gjennom resultatene fra tidligere innsendinger, sende inn rapporterte meldinger fra brukeren for å få den nyeste policykontrollen og få en ny vurdering, og hjelpe deg med å finne ut om filtreringspolicyene i organisasjonen har den tiltenkte innvirkningen.
Informativ Nei E1/F1, E3/F3 eller E5
Admin utløste manuell undersøkelse av e-post Genererer et varsel når en administrator utløser manuell undersøkelse av en e-postmelding fra Trusselutforsker. Hvis du vil ha mer informasjon, kan du se Eksempel: En sikkerhetsadministrator utløser en undersøkelse fra Trusselutforsker.

Dette varselet varsler organisasjonen om at undersøkelsen ble startet. Varselet gir informasjon om hvem som utløste det og inneholder en kobling til undersøkelsen.
Informativ Ja E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement
Admin utløste undersøkelse av brukerkompromisser Genererer et varsel når en administrator utløser manuell undersøkelse av brukerkompromisser av en e-postavsender eller mottaker fra Trusselutforsker. Hvis du vil ha mer informasjon, kan du se Eksempel: En sikkerhetsadministrator utløser en undersøkelse fra Trusselutforsker, som viser den relaterte manuelle utløsingen av en undersøkelse på en e-post. Dette varselet varsler organisasjonen om at undersøkelsen av brukerkompromisser ble startet.

Varselet gir informasjon om hvem som utløste det og inneholder en kobling til undersøkelsen.
Middels Ja E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement
Administrativ handling sendt av en administrator Administratorer kan utføre manuelle e-posthandlinger på e-postenheter ved hjelp av ulike overflater. For eksempel Trusselutforsker, avansert jakt eller gjennom egendefinert gjenkjenning. Når utbedringen starter, genereres et varsel. Dette varselet vises i varslingskøen med navnet Administrativ handling sendt av en administrator for å angi at en administrator gjorde handlingen for å utbedre en enhet. Varselet inneholder detaljer som handlingstypen, støttekobling for undersøkelse, tid og så videre. Det er nyttig å vite når en sensitiv handling som utbedring utføres på enheter. Informativ Ja E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
Opprettelse av videresendings-/omadresseringsregel Genererer et varsel når noen i organisasjonen oppretter en innboksregel for postboksen som videresender eller omdirigerer meldinger til en annen e-postkonto. Denne policyen sporer bare innboksregler som er opprettet ved hjelp av Outlook på nettet (tidligere kjent som Outlook Web App) eller Exchange Online PowerShell. Hvis du vil ha mer informasjon om hvordan du bruker innboksregler til å videresende og omdirigere e-post i Outlook på nettet, kan du se Bruke regler i Outlook på nettet til å videresende meldinger til en annen konto automatisk. Informativ Nei E1/F1/G1, E3/F3/G3 eller E5/G5
eDiscovery-søk startet eller eksportert Genererer et varsel når noen bruker søkeverktøyet for innhold i Microsoft Purview-portalen. Et varsel utløses når følgende innholdssøkaktiviteter utføres:

  • Et innholdssøk startes
  • Resultatene av et innholdssøk eksporteres
  • En innholdssøkerapport eksporteres

    Varsler utløses også når de forrige innholdssøkeaktivitetene utføres i tilknytning til en eDiscovery-sak. Hvis du vil ha mer informasjon om aktiviteter for innholdssøk, kan du se Søk etter eDiscovery-aktiviteter i overvåkingsloggen.
  • Informativ Nei E1/F1/G1, E3/F3/G3 eller E5/G5
    E-postmeldinger som inneholder skadelig fil fjernet etter levering Genererer et varsel når meldinger som inneholder en skadelig fil, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming. Denne policyen utløser automatisk automatisert undersøkelse og respons i Office 365. Hvis du vil ha mer informasjon om denne nye policyen, kan du se Nye varslingspolicyer i Microsoft Defender for Office 365. Informativ Ja E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement
    E-postmeldinger som inneholder skadelig NETTADRESSE fjernet etter levering Genererer et varsel når meldinger som inneholder en ondsinnet nettadresse, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming. Denne policyen utløser automatisk automatisert undersøkelse og respons i Office 365. Hvis du vil ha mer informasjon om denne nye policyen, kan du se Nye varslingspolicyer i Microsoft Defender for Office 365. Informativ Ja E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    E-postmeldinger som inneholder skadelig programvare fjernet etter levering Obs! Denne varslingspolicyen er erstattet av e-postmeldinger som inneholder skadelig fil fjernet etter levering. Denne varslingspolicyen forsvinner etter hvert, så vi anbefaler at du deaktiverer denne varslingspolicyen og bruker e-postmeldinger som inneholder skadelig fil, som fjernes etter levering i stedet. Hvis du vil ha mer informasjon, kan du se Nye varslingspolicyer i Microsoft Defender for Office 365. Informativ Ja E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement
    E-postmeldinger som inneholder phish-nettadresser fjernet etter levering Obs! Denne varslingspolicyen er erstattet av e-postmeldinger som inneholder skadelig URL-adresse fjernet etter levering. Denne varslingspolicyen forsvinner etter hvert, så vi anbefaler at du deaktiverer denne varslingspolicyen og bruker e-postmeldinger som inneholder skadelig URL-adresse fjernet etter levering i stedet. Hvis du vil ha mer informasjon, kan du se Nye varslingspolicyer i Microsoft Defender for Office 365. Informativ Ja E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    E-postmeldinger fra en kampanje fjernet etter levering Genererer et varsel når alle meldinger som er knyttet til en kampanje , leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming. Denne policyen utløser automatisk automatisert undersøkelse og respons i Office 365. Hvis du vil ha mer informasjon om denne nye policyen, kan du se Nye varslingspolicyer i Microsoft Defender for Office 365. Informativ Ja E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    E-postmeldinger fjernet etter levering Genererer et varsel når skadelige meldinger som ikke inneholder en skadelig enhet (URL eller fil), eller som er knyttet til en kampanje, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming. Denne policyen utløser automatisk automatisert undersøkelse og respons i Office 365. Hvis du vil ha mer informasjon om denne nye policyen, kan du se Nye varslingspolicyer i Microsoft Defender for Office 365. Informativ Ja E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    E-post rapportert av brukeren som skadelig programvare eller phish Genererer et varsel når brukere i organisasjonen rapporterer meldinger som phishing-e-post ved hjelp av rapportmeldingstillegget. Hvis du vil ha mer informasjon om dette tillegget, kan du se Bruke rapportmeldingstillegget. For Defender for Office 365 P2-, E5-, G5-kunder utløser dette varselet automatisk automatisert undersøkelse og respons i Office 365. Lav Ja E1/F1/G1, E3/F3/G3 eller E5/G5
    Grense for sending av e-post overskredet Genererer et varsel når noen i organisasjonen har sendt mer e-post enn det som tillates av policyen for utgående søppelpost. Dette er vanligvis en indikasjon på at brukeren sender for mye e-post eller at kontoen kan bli kompromittert. Hvis du får et varsel generert av denne varslingspolicyen, er det lurt å kontrollere om brukerkontoen er kompromittert. Middels Nei E1/F1/G1, E3/F3/G3 eller E5/G5
    Skjema blokkert på grunn av mulig phishing-forsøk Genererer et varsel når noen i organisasjonen har blitt begrenset fra å dele skjemaer og samle inn svar ved hjelp av Microsoft Forms på grunn av oppdaget gjentatt virkemåte for phishing-forsøk. Høy Nei E1, E3/F3 eller E5
    Skjema flagget og bekreftet som phishing Genererer et varsel når et skjema som er opprettet i Microsoft Forms fra organisasjonen, er identifisert som mulig phishing gjennom rapportmisbruk og bekreftet som phishing av Microsoft. Høy Nei E1, E3/F3 eller E5
    Skadelig programvare-kampanje oppdaget etter levering* Genererer et varsel når et uvanlig stort antall meldinger som inneholder skadelig programvare, leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, fjerner Microsoft de infiserte meldingene fra Exchange Online postbokser. Høy Nei E5/G5 eller Microsoft Defender for Office 365 P2-tilleggsabonnement
    Skadelig programvare-kampanje oppdaget og blokkert* Genererer et varsel når noen har forsøkt å sende et uvanlig stort antall e-postmeldinger som inneholder en bestemt type skadelig programvare til brukere i organisasjonen. Hvis denne hendelsen oppstår, blokkeres de infiserte meldingene av Microsoft og leveres ikke til postbokser. Lav Nei E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    Skadelig programvare-kampanje oppdaget i SharePoint og OneDrive* Genererer et varsel når et uvanlig høyt volum av skadelig programvare eller virus oppdages i filer som befinner seg på SharePoint-nettsteder eller OneDrive-kontoer i organisasjonen. Høy Nei E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    Skadelig programvare ikke zapped fordi ZAP er deaktivert Genererer et varsel når Microsoft oppdager levering av en melding om skadelig programvare til en postboks fordi Zero-Hour automatisk tømming for phish-meldinger er deaktivert. Informativ Nei E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    Meldinger som inneholder skadelig enhet, fjernes ikke etter levering Genererer et varsel når en melding som inneholder skadelig innhold (fil, nettadresse, kampanje, ingen enhet), leveres til postbokser i organisasjonen. Hvis denne hendelsen oppstår, Microsoft forsøkte å fjerne de infiserte meldingene fra Exchange Online postbokser ved hjelp av nulltimers automatisk tømming, men meldingen ble ikke fjernet på grunn av en feil. Ytterligere undersøkelser anbefales. Denne policyen utløser automatisk automatisert undersøkelse og respons i Office 365. Middels Ja E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    Phish levert fordi søppelpostmappen til en bruker er deaktivert Obs! Denne varslingspolicyen er i ferd med å bli avskrevet. Postboksinnstillinger bestemmer ikke lenger om oppdagede meldinger kan flyttes til Søppelpost-mappen. Hvis du vil ha mer informasjon, kan du se Konfigurere innstillinger for søppelpost på Exchange Online postbokser. Informativ Nei E1/F1/G1, E3/F3/G3 eller E5/G5
    Phish levert på grunn av en ETR-overstyring** Genererer et varsel når Microsoft oppdager en Exchange-transportregel (også kjent som en e-postflytregel) som tillot levering av en phishing-melding med høy visshet til en postboks. Hvis du vil ha mer informasjon om Exchange-transportregler (regler for e-postflyt), kan du se Regler for e-postflyt (transportregler) i Exchange Online. Informativ Nei E1/F1/G1, E3/F3/G3 eller E5/G5
    Phish levert på grunn av en IP-tillatelsespolicy** Genererer et varsel når Microsoft oppdager en IP-tillatelsespolicy som tillot levering av en phishing-melding med høy visshet til en postboks. Hvis du vil ha mer informasjon om ip-tillatelsespolicyen (tilkoblingsfiltrering), kan du se Konfigurere standard policy for tilkoblingsfilter – Office 365. Informativ Nei E1/F1/G1, E3/F3/G3 eller E5/G5
    Phish ikke zapped fordi ZAP er deaktivert** Genererer et varsel når Microsoft oppdager levering av en phishing-melding med høy visshet til en postboks fordi Zero-Hour automatisk tømming for phish-meldinger er deaktivert. Informativ Nei E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    Potensiell nasjonsstatsaktivitet Microsoft Threat Intelligence Center oppdaget et forsøk på å kompromittere kontoer fra leieren. Høy Nei E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    Utbedringshandling utført av administrator på e-post eller nettadresse eller avsender Obs! Denne varslingspolicyen er erstattet av den administrative handlingen som er sendt inn av en policy for administratorvarsel . Denne varslingspolicyen forsvinner etter hvert, så vi anbefaler at du deaktiverer denne varslingspolicyen og bruker administrative handlinger sendt av en administrator i stedet.

    Dette varselet utløses når en administrator utfører utbedringshandling på den valgte enheten
    Informativ Ja E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    Mistenkelig koblingsaktivitet Genererer et varsel når en mistenkelig aktivitet oppdages på en innkommende kobling i organisasjonen. E-post er blokkert fra å bruke den inngående koblingen. Administratoren mottar et e-postvarsel og et varsel. Dette varselet gir veiledning om hvordan du undersøker, tilbakestiller endringer og opphever blokkeringen av en begrenset kobling. Hvis du vil lære hvordan du svarer på dette varselet, kan du se Svare på en kompromittert kobling. Høy Nei E1/F1/G1, E3/F3/G3 eller E5/G5
    Mistenkelig videresendingsaktivitet for e-post Genererer et varsel når noen i organisasjonen har automatisk viderekoblet e-post til en mistenkelig ekstern konto. Dette er en tidlig advarsel for virkemåte som kan indikere at kontoen er kompromittert, men ikke alvorlig nok til å begrense brukeren. Selv om det er sjeldent, kan et varsel generert av denne policyen være et avvik. Det er lurt å sjekke om brukerkontoen er kompromittert. Høy Nei E1/F1/G1, E3/F3/G3 eller E5/G5
    Mistenkelige sendemønstre for e-post oppdaget Genererer et varsel når noen i organisasjonen har sendt mistenkelig e-post og står i fare for å bli begrenset fra å sende e-post. Dette er en tidlig advarsel for virkemåte som kan indikere at kontoen er kompromittert, men ikke alvorlig nok til å begrense brukeren. Selv om det er sjeldent, kan et varsel generert av denne policyen være et avvik. Det er imidlertid lurt å kontrollere om brukerkontoen er kompromittert. Middels Ja E1/F1/G1, E3/F3/G3 eller E5/G5
    Tillatelses-/blokkeringslisteoppføring for leier er i ferd med å utløpe Genererer et varsel når en oppføring i leierens tillatelses-/blokkeringsliste er i ferd med å bli fjernet. Denne hendelsen utløses tre dager før utløpsdatoen, som er basert på når oppføringen ble opprettet eller sist oppdatert.

    For blokker kan du forlenge utløpsdatoen for å holde blokken på plass. For tillater, må du sende inn elementet på nytt slik at våre analytikere kan ta en ny titt. Hvis tillatelsen allerede er gradert som en falsk positiv, utløper imidlertid oppføringen bare når systemfiltrene er oppdatert for å tillate oppføringen på en naturlig måte. Hvis du vil ha mer informasjon om hendelser som utløser dette varselet, kan du se Behandle tillatelses-/blokkeringslisten for leieren.
    Informativ Nei E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    Mistenkelige leier sender mønstre observert Genererer et varsel når mistenkelige sendemønstre har blitt observert i organisasjonen, noe som kan føre til at organisasjonen blokkeres fra å sende e-postmeldinger. Undersøk eventuelle potensielt kompromitterte bruker- og administratorkontoer, nye koblinger eller åpne videresendinger for å unngå at leieren overskrider terskelblokker. Hvis du vil ha mer informasjon om hvorfor organisasjoner blokkeres, kan du se Løse problemer med levering av e-post for feilkode 5.7.7xx i Exchange Online. Høy Nei E1/F1/G1, E3/F3/G3 eller E5/G5
    Leier begrenset fra å sende e-post Genererer et varsel når mesteparten av e-posttrafikken fra organisasjonen har blitt oppdaget som mistenkelig, og Microsoft har hindret organisasjonen i å sende e-post. Undersøk eventuelle potensielt kompromitterte bruker- og administratorkontoer, nye koblinger eller åpne videresendinger, og kontakt deretter Microsoft kundestøtte for å oppheve blokkeringen av organisasjonen. Hvis du vil ha mer informasjon om hvorfor organisasjoner blokkeres, kan du se Løse problemer med levering av e-post for feilkode 5.7.7xx i Exchange Online. Høy Nei E1/F1/G1, E3/F3/G3 eller E5/G5
    Leier begrenset fra å sende ikke-klargjøring av e-post Genererer et varsel når for mye e-post sendes fra uregistrerte domener (også kjent som ikke-klargjøring av domener). Office 365 tillater en rimelig mengde e-post fra uregistrerte domener, men du bør konfigurere hvert domene som du bruker til å sende e-post som et godtatt domene. Dette varselet indikerer at alle brukere i organisasjonen ikke lenger kan sende e-post. Hvis du vil ha mer informasjon om hvorfor organisasjoner blokkeres, kan du se Løse problemer med levering av e-post for feilkode 5.7.7xx i Exchange Online. Høy Nei E1/F1/G1, E3/F3/G3 eller E5/G5
    Uvanlig økning i e-post rapportert som phish* Genererer et varsel når det er en betydelig økning i antall personer i organisasjonen som bruker rapportmeldingstillegget i Outlook til å rapportere meldinger som phishing-e-post. Hvis du vil ha mer informasjon om dette tillegget, kan du se Bruke rapportmeldingstillegget. Middels Nei E5/G5 eller Defender for Office 365 P2-tilleggsabonnement
    Bruker ba om å frigi en karantenemelding Genererer et varsel når en bruker ber om frigivelse for en melding i karantene. Hvis du vil be om frigivelse av meldinger i karantene, kreves tillatelsen Tillat mottakere å be om at en melding frigis fra karantene (PermissionToRequestRelease) i karantenepolicyen (for eksempel fra tillatelsesgruppen begrenset tilgang ). Hvis du vil ha mer informasjon, kan du se Tillat mottakere å be om at en melding frigis fra karantenetillatelse. Informativ Nei Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 eller E5/G5
    Bruker begrenset fra å sende e-post Genererer et varsel når noen i organisasjonen er begrenset fra å sende utgående e-post. Dette resulterer vanligvis når en konto er kompromittert, og brukeren er oppført på siden Begrensede brukere i samsvarsportalen. (Hvis du vil ha tilgang til denne siden, kan du gå til Gjennomgang av begrensede brukere for trusselbehandling >>. Hvis du vil ha mer informasjon om begrensede brukere, kan du se Fjerne en bruker, et domene eller en IP-adresse fra en blokkeringsliste etter sending av søppelpost. Høy Ja Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 eller E5/G5
    Bruker begrenset fra å dele skjemaer og samle inn svar Genererer et varsel når noen i organisasjonen har blitt begrenset fra å dele skjemaer og samle inn svar ved hjelp av Microsoft Forms på grunn av oppdaget gjentatt virkemåte for phishing-forsøk. Høy Nei E1, E3/F3 eller E5

    * Denne varslingspolicyen er i ferd med å bli avskrevet basert på tilbakemeldinger fra kunder som en falsk positiv. Hvis du vil beholde funksjonaliteten til denne varslingspolicyen, kan du opprette en egendefinert varslingspolicy med de samme innstillingene.

    ** Denne varslingspolicyen er en del av erstatningsfunksjonaliteten for Phish levert på grunn av leier- eller brukeroverstyring , og brukerrepresentasjonsfish levert til innboks-/ mappevarslingspolicyer som ble fjernet basert på tilbakemeldinger fra brukere. Hvis du vil ha mer informasjon om anti-phishing i Office 365, kan du se Policyer for anti-phishing.

    Vis varsler

    Når en aktivitet som utføres av brukere i organisasjonen samsvarer med innstillingene for en varslingspolicy, genereres et varsel og vises på Varsler-siden i Microsoft Purview-portalen eller Defender-portalen. Avhengig av innstillingene for en varslingspolicy, sendes også et e-postvarsel til en liste over angitte brukere når et varsel utløses. For hvert varsel viser instrumentbordet på Varsler-siden navnet på den tilsvarende varslingspolicyen, alvorsgraden og kategorien for varselet (definert i varslingspolicyen), og antall ganger det har oppstått en aktivitet som resulterte i at varselet ble generert. Denne verdien er basert på terskelinnstillingen for varslingspolicyen. Instrumentbordet viser også statusen for hvert varsel. Hvis du vil ha mer informasjon om hvordan du bruker statusegenskapen til å behandle varsler, kan du se Administrere varsler.

    Slik viser du varsler:

    Microsoft Purview-samsvarsportal

    Gå til https://compliance.microsoft.com , og velg deretter Varsler. Alternativt kan du gå direkte til https://compliance.microsoft.com/compliancealerts.

    Velg Varsler i samsvarsportalen.

    Microsoft 365 Defender portal

    Gå til Microsoft 365 Defender-portalen, og velg deretter Varsler om hendelsesvarsler&>. Alternativt kan du gå direkte til https://security.microsoft.com/alerts.

    Velg Hendelser-varsler & i Microsoft 365 Defender-portalen, og velg deretter Varsler.

    Du kan bruke følgende filtre til å vise et delsett av alle varslene på Varsler-siden :

    • Status: Vis varsler som er tilordnet en bestemt status. Standardstatusen er Aktiv. Du eller andre administratorer kan endre statusverdien.
    • Policy: Vis varsler som samsvarer med innstillingen for én eller flere varselpolicyer. Eller du kan vise alle varsler for alle varslingspolicyer.
    • Tidsintervall: Vis varsler som ble generert innenfor et bestemt dato- og tidsintervall.
    • Alvorsgrad: Vis varsler som er tilordnet en bestemt alvorlighetsgrad.
    • Kategori: Vis varsler fra én eller flere varselkategorier.
    • Merker:Vis varsler fra én eller flere brukerkoder. Koder gjenspeiles basert på kodede postbokser eller brukere som vises i varslene. Se brukerkoder i Defender for Office 365 for å finne ut mer.
    • Kilde: Bruk dette filteret til å vise varsler utløst av varslingspolicyer i Microsoft Purview-portalen eller varsler utløst av Microsoft Defender for Cloud Apps policyer, eller begge deler. Hvis du vil ha mer informasjon om Varsler for Defender for Skyapper, kan du se delen Vis Varsler for Cloud Apps i denne artikkelen.

    Viktig

    Filtrering og sortering etter brukerkoder er for øyeblikket i offentlig forhåndsversjon, og kan endres betraktelig før det er generelt tilgjengelig. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som gis om den.

    Varselaggregasjon

    Når flere hendelser som samsvarer med betingelsene for en varslingspolicy forekommer med en kort tidsperiode, legges de til i et eksisterende varsel av en prosess som kalles varselaggregasjon. Når en hendelse utløser et varsel, genereres varselet og vises på Varsler-siden, og et varsel sendes. Hvis den samme hendelsen forekommer innenfor aggregasjonsintervallet, legger Microsoft 365 til detaljer om den nye hendelsen i det eksisterende varselet i stedet for å utløse et nytt varsel. Målet med varslingsaggregasjon er å bidra til å redusere varselets tretthet og la deg fokusere og utføre handlinger på færre varsler for samme hendelse.

    Lengden på aggregasjonsintervallet avhenger av Office 365 eller Microsoft 365-abonnementet.

    Abonnement Aggregering
    Intervall
    Office 365 eller Microsoft 365 E5/G5 1 minutt
    Defender for Office 365 plan 2 1 minutt
    Tillegg for E5-samsvar eller E5 Discovery og overvåkingstillegg 1 minutt
    Office 365 eller Microsoft 365 E1/F1/G1 eller E3/F3/G3 15 minutter
    Defender for Office 365 plan 1 eller Exchange Online Protection 15 minutter

    Når hendelser som samsvarer med samme varslingspolicy forekommer innenfor aggregasjonsintervallet, legges detaljer om den påfølgende hendelsen til det opprinnelige varselet. For alle hendelser vises informasjon om aggregerte hendelser i detaljfeltet, og antall ganger en hendelse oppstod med aggregasjonsintervallet, vises i feltet for aktivitets-/treffantall. Du kan vise mer informasjon om alle aggregerte hendelsesforekomster ved å vise aktivitetslisten.

    Skjermbildet nedenfor viser et varsel med fire aggregerte hendelser. Aktivitetslisten inneholder informasjon om de fire e-postmeldingene som er relevante for varselet.

    Eksempel på varselaggregasjon.

    Husk følgende ting om varslingsaggregasjon:

    • Varsler som utløses av et potensielt skadelig nettadresseklikk, ble oppdagetat standard varslingspolicy ikke aggregeres. Dette er fordi varsler som utløses av denne policyen, er unike for hver bruker og e-postmelding.

    • På dette tidspunktet angir ikke varslingsegenskapen for treffantall antall aggregerte hendelser for alle varslingspolicyer. For varsler som utløses av disse varslingspolicyene, kan du vise de aggregerte hendelsene ved å klikke Vis meldingsliste eller Vis aktivitet i varselet. Vi jobber med å gjøre antall aggregerte hendelser oppført i egenskapen Hit count alert tilgjengelig for alle varslingspolicyer.

    RBAC-tillatelser som kreves for å vise varsler

    Tillatelsene rollebasert Access Control (RBAC) som er tilordnet til brukere i organisasjonen, bestemmer hvilke varsler en bruker kan se på Varsler-siden. Hvordan oppnås dette? Administrasjonsrollene som er tilordnet brukere (basert på medlemskap i rollegrupper i samsvarsportalen eller Microsoft 365 Defender-portalen), bestemmer hvilke varselkategorier en bruker kan se på Varsler-siden. Her er noen eksempler:

    • Medlemmer av rollegruppen for postbehandling kan bare vise varslene som genereres av varslingspolicyer som er tilordnet kategorien Informasjonsstyring .
    • Medlemmer av rollegruppen for samsvarsadministrator kan ikke vise varsler som genereres av varslingspolicyer som er tilordnet kategorien Trusselbehandling .
    • Medlemmer av rollegruppen for eDiscovery-ansvarlig kan ikke vise noen varsler fordi ingen av de tilordnede rollene gir tillatelse til å vise varsler fra noen varslingskategorier.

    Denne utformingen (basert på RBAC-tillatelser) lar deg bestemme hvilke varsler som kan vises (og administreres) av brukere i bestemte jobbroller i organisasjonen.

    Tabellen nedenfor viser rollene som kreves for å vise varsler fra de seks forskjellige varslingskategoriene. En hake angir at en bruker som er tilordnet denne rollen, kan vise varsler fra den tilsvarende varslingskategorien som er oppført i tittelraden.

    Hvis du vil se hvilken kategori en standard varslingspolicy er tilordnet til, kan du se tabellene i standard varslingspolicyer.

    Rolle Informasjon
    Styring
    Tap av data
    Forebygging
    E
    Flyt
    Tillatelser Trusselen
    Management
    Andre
    Samsvarsadministrator
    Behandling av DLP-samsvar
    Information Protection Admin
    Information Protection-analytiker
    Information Protection Etterforsker
    Behandle varsler
    Organisasjonskonfigurasjon
    Personvernadministrasjon
    Karantene
    Postbehandling
    Oppbevaringsbehandling
    Rollebehandling
    Sikkerhetsadministrator
    Sikkerhetsleser
    Transporthygiene
    View-Only DLP Compliance Management
    View-Only-konfigurasjon
    View-Only Behandle varsler
    View-Only mottakere
    View-Only Postbehandling
    View-Only oppbevaringsbehandling

    Tips

    Hvis du vil vise rollene som er tilordnet til hver av standardrollegruppene, kjører du følgende kommandoer i PowerShell for sikkerhetssamsvar & :

    $RoleGroups = Get-RoleGroup
    
    $RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
    

    Du kan også vise rollene som er tilordnet en rollegruppe i samsvarsportalen eller Microsoft 365 Defender-portalen. Gå til Tillatelser-siden , og velg en rollegruppe. De tilordnede rollene er oppført på undermenyen.

    Behandle varsler

    Når varsler er generert og vist på Varsler-siden i Microsoft Purview-portalen, kan du triage, undersøke og løse dem. De samme RBAC-tillatelsene som gir brukere tilgang til varsler, gir dem også muligheten til å administrere varsler.

    Her er noen oppgaver du kan utføre for å behandle varsler.

    • Tilordne en status til varsler: Du kan tilordne én av følgende statuser til varsler: Aktiv (standardverdien), Undersøker, Løst eller Avvist. Deretter kan du filtrere etter denne innstillingen for å vise varsler med samme statusinnstilling. Denne statusinnstillingen kan hjelpe deg med å spore prosessen med å administrere varsler.

    • Vis varseldetaljer: Du kan velge et varsel for å vise en undermenyside med detaljer om varselet. Den detaljerte informasjonen avhenger av den tilsvarende varslingspolicyen, men den inneholder vanligvis følgende informasjon:

      • Navnet på den faktiske operasjonen som utløste varselet, for eksempel en cmdlet eller en operasjon i overvåkingsloggen.
      • En beskrivelse av aktiviteten som utløste varselet.
      • Brukeren (eller listen over brukere) som utløste varselet. Dette er bare inkludert for varslingspolicyer som er konfigurert til å spore én enkelt bruker eller én enkelt aktivitet.
      • Antall ganger aktiviteten som spores av varselet, ble utført. Dette tallet samsvarer kanskje ikke med det faktiske antallet relaterte varsler som er oppført på Varsler-siden, fordi flere varsler kan ha blitt utløst.
      • En kobling til en aktivitetsliste som inneholder et element for hver aktivitet som ble utført, som utløste varselet. Hver oppføring i denne listen identifiserer når aktiviteten oppstod, navnet på den faktiske operasjonen (for eksempel «FileDeleted»), brukeren som utførte aktiviteten, objektet (for eksempel en fil, en eDiscovery-sak eller en postboks) som aktiviteten ble utført på, og IP-adressen til brukerens datamaskin. For varsler relatert til skadelig programvare kobler dette til en meldingsliste.
      • Navnet (og koblingen) til den tilsvarende varslingspolicyen.
    • Undertrykk e-postvarsler: Du kan slå av (eller undertrykke) e-postvarsler fra undermenyen for et varsel. Når du undertrykker e-postvarsler, sender Microsoft ikke varsler når aktiviteter eller hendelser som samsvarer med betingelsene for varslingspolicyen, inntreffer. Men varsler utløses når aktiviteter som utføres av brukere, samsvarer med betingelsene for varslingspolicyen. Du kan også deaktivere e-postvarsler ved å redigere varslingspolicyen.

    • Løse varsler: Du kan merke et varsel som løst på undermenyen for et varsel (som angir statusen for varselet til Løst). Med mindre du endrer filteret, vises ikke løste varsler på Varsler-siden .

    Vis varsler for Defender for skyapper

    Varsler som utløses av Defender for Cloud Apps-policyer, vises nå på Varsler-siden i Microsoft Purview-portalen. Dette inkluderer varsler som utløses av aktivitetspolicyer og varsler som utløses av policyer for avviksregistrering i Defender for Cloud Apps. Dette betyr at du kan vise alle varsler i Microsoft Purview-portalen. Defender for Cloud Apps er bare tilgjengelig for organisasjoner med et Office 365 Enterprise E5- eller Office 365 US Government G5-abonnement. Hvis du vil ha mer informasjon, kan du se Oversikt over Defender for Skyapper.

    Organisasjoner som har Microsoft Defender for Cloud Apps som en del av et Enterprise Mobility + Security E5-abonnement eller som en frittstående tjeneste, kan også vise Varsler for Defender for Cloud Apps som er relatert til Microsoft 365-apper og -tjenester i samsvarsportalen eller Microsoft 365 Defender portal.

    Hvis du bare vil vise Defender for Cloud Apps-varsler i Microsoft Purview-portalen eller Defender-portalen, bruker du kildefilteret og velger Defender for Skyapper.

    Bruk kildefilteret til å vise bare Defender for Cloud Apps-varsler.

    På samme måte som et varsel som utløses av en varslingspolicy i Microsoft Purview-portalen, kan du velge et Varsel for Defender for Cloud Apps for å vise en undermeny med detaljer om varselet. Varselet inneholder en kobling for å vise detaljene og administrere varselet i portalen Defender for Cloud Apps og en kobling til den tilsvarende Policyen for Defender for Cloud Apps som utløste varselet. Se Overvåke varsler i Defender for Skyapper.

    Varseldetaljer inneholder koblinger til Portalen for Defender for Cloud Apps.

    Viktig

    Hvis du endrer statusen for et Defender for Cloud Apps-varsel i Microsoft Purview-portalen, oppdateres ikke løsningsstatusen for det samme varselet i Portalen for Defender for Cloud Apps. Hvis du for eksempel merker statusen for varselet som Løst i Microsoft Purview-portalen, forblir statusen for varselet i Portal for Defender for Cloud Apps uendret. Hvis du vil løse eller lukke et Varsel for Defender for Cloud Apps, kan du administrere varselet i Portalen for Defender for Cloud Apps.