Representasjonsinnsikt i Defender for Office 365
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.
Representasjon er når avsenderen av en e-postmelding ligner på en ekte eller forventet avsenders e-postadresse. Angripere bruker ofte representerte avsender-e-postadresser i phishing eller andre typer angrep for å klarere mottakeren. Det finnes to grunnleggende typer representasjon:
- Domenerepresentasjon: Inneholder diskré forskjeller i domenet. Eksempel: lila@ćóntoso.com representerer lila@contoso.com.
- Brukerrepresentasjon: Inneholder diskré forskjeller i e-postaliaset. Representerer for eksempel rnichell@contoso.commichelle@contoso.com.
Domenerepresentasjon er forskjellig fra domeneforfalsking, fordi det representerte domenet ofte er et ekte, registrert domene, men med den hensikt å lure. Meldinger fra avsendere i det representerte domenet kan sende regelmessige e-postgodkjenningskontroller som ellers ville identifisert meldingene som forfalskningsforsøk (SPF, DKIM og DMARC).
Representasjonsbeskyttelse er en del av policyinnstillingene for anti-phishing som er eksklusive for Microsoft Defender for Office 365. Hvis du vil ha mer informasjon om disse innstillingene, kan du se Innstillinger for representasjon i policyer for anti-phishing i Microsoft Defender for Office 365.
Administratorer kan bruke representasjonsinnsikten i Microsoft Defender-portalen til raskt å identifisere meldinger fra representerte avsendere eller avsenderdomener som er angitt i representasjonsbeskyttelse i anti-phishing-policyer.
Hva må du vite før du begynner?
Du åpner Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til anti-phishing-siden , bruker https://security.microsoft.com/antiphishingdu . Hvis du vil gå direkte til representasjonsinnsiktssiden , bruker https://security.microsoft.com/impersonationinsightdu .
Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:
- Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er
aktive. Påvirker bare Defender-portalen, ikke PowerShell): Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (administrere) eller Autorisasjon og innstillinger/Sikkerhetsinnstillinger/Kjernesikkerhetsinnstillinger (lese). - E-post & samarbeidstillatelser i Microsoft Defender-portalen: Medlemskap i en av følgende rollegrupper:
- Organisasjonsadministrasjon
- Sikkerhetsadministrator
- Sikkerhetsleser
- Global leser
- Microsoft Entra tillatelser: Medlemskap i rollene global administrator, sikkerhetsadministrator, sikkerhetsleser eller global leser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.
- Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er
Du aktiverer og konfigurerer representasjonsbeskyttelse i policyer for anti-phishing i Microsoft Defender for Office 365. Representasjonsbeskyttelse er ikke aktivert som standard. Hvis du vil ha mer informasjon, kan du se Konfigurere policyer for anti-phishing i Microsoft Defender for Office 365 og bruke Microsoft Defender-portalen til å tilordne standard og strenge forhåndsinnstilte sikkerhetspolicyer til brukere.
Hvis du vil ha mer informasjon om lisensieringskrav, kan du se Lisensieringsvilkår.
Åpne representasjonsinnsikten i Microsoft Defender-portalen
Gå til Policyer for e-post & samarbeid>& Regler>Trusselpolicyer>Anti-phishing i Policyer-delen i Microsoft Defender portalenhttps://security.microsoft.com. Hvis du vil gå direkte til anti-phishing-siden , kan du bruke https://security.microsoft.com/antiphishing.
På siden for anti-phishing ser representasjonsinnsikten slik ut:
Innsikten har to moduser:
- Innsiktsmodus: Hvis representasjonsbeskyttelse er aktivert og konfigurert i eventuelle policyer for anti-phishing, viser innsikten antall oppdagede meldinger fra representerte domener og representerte brukere (avsendere) i løpet av de siste sju dagene. Tallet som vises, er summen av alle oppdagede representasjonsforsøk fra alle policyer for anti-phishing.
- Hva skjer hvis modus: Hvis representasjonsbeskyttelse ikke er aktivert og konfigurert i noen aktive policyer for anti-phishing, viser innsikten hvor mange meldinger som ville blitt oppdaget av representasjonsbeskyttelse i løpet av de siste sju dagene.
Hvis du vil vise informasjon om representasjonsgjenkjenninger, velger du Vis representasjoner i representasjonsinnsikten for å gå til representasjonsinnsiktssiden .
Vis informasjon om gjenkjenning av domenerepresentasjon
Representasjonsinnsikt-siden på https://security.microsoft.com/impersonationinsight er tilgjengelig når du velger Vis representasjoner i representasjonsinnsikten på Siden for anti-phishing.
Kontroller at Domener-fanen er valgt på Representasjonsinnsikt-siden.
Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Følgende kolonner er tilgjengelige:*:
- Avsenderdomene: Det representerte domenet, som er domenet som ble brukt til å sende e-postmeldingen.
- Antall meldinger: Antall meldinger fra representasjon av avsenderdomene de siste sju dagene.
- Representasjonstype: Denne verdien viser den registrerte plasseringen av representasjonen (for eksempel Domene i adresse).
- Representerte domener: Domenet som er beskyttet av beskyttelse mot domenerepresentasjon, som skal se ut som domenet i avsenderdomenet.
- Domenetype: Denne verdien er firmadomene for godtatte domener eller egendefinert domene for egendefinerte domener.
- Policy: Policyen for anti-phishing som oppdaget det representerte domenet.
- Tillatt å representere: Én av følgende verdier:
- Ja: Domenet ble konfigurert som klarert domene (et unntak for representasjonsbeskyttelse) i policyen for anti-phishing som oppdaget meldingen. Meldinger fra det representerte domenet ble oppdaget, men tillatt.
- Nei: Domenet ble konfigurert for representasjonsbeskyttelse i policyen for anti-phishing som oppdaget meldingen. Handlingen for gjenkjenning av domenerepresentasjon i policyen for anti-phishing gjøres i meldingen.
* Hvis du vil se alle kolonnene, må du sannsynligvis utføre ett eller flere av følgende trinn:
- Rull vannrett i nettleseren.
- Begrens bredden på aktuelle kolonner.
- Zoome ut i nettleseren.
Hvis du vil endre listen over gjenkjenninger av domenerepresentasjon fra normal til kompakt avstand, velger du 
Endre listeavstand til kompakt eller normal, og velger 
deretter Kompakt liste.
Bruk Søk-boksen og en kommadelt liste med verdier for å finne bestemte domenerepresentasjonsgjenkjenninger.
Bruk 
Eksporter til å eksportere listen over domenerepresentasjonsgjenkjenninger til en CSV-fil.
Vis detaljer om gjenkjenning av domenerepresentasjon
Velg en av etterligningsgjenkjenningene ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen på fanen Domener på siden Representasjonsinnsikt på https://security.microsoft.com/impersonationinsight?type=Domain.
Følgende informasjon er tilgjengelig i undermenyen for detaljer:
Hvorfor fikk vi tak i dette?
Hva må du gjøre?
Domenesammendrag: Domenet som ble oppdaget som representasjon.
Whois-data: Inneholder informasjon om domenet:
- Avsenderplassering
- Opprettelsesdato for domene
- Utløpsdato for domene
- Registranten
Utforskerundersøkelse: Velg koblingen for å åpne Trusselutforsker eller Sanntidsregistreringer for mer informasjon om avsenderen.
E-post fra avsender: Denne delen viser følgende informasjon om lignende meldinger fra avsendere i domenet:
- Dato
- Mottaker
- Emne
- Avsender
- IP-adresse for avsender
- Leveringshandling
Tips
Hvis du vil se detaljer om andre oppføringer for domenerepresentasjon uten å forlate undermenyen for detaljer, kan du bruke 
Forrige element og Neste-elementet øverst i undermenyen.
Hvis du vil hindre at avsendere i et oppdaget domene identifiseres som domenerepresentasjon, kan du se neste delinndeling.
Unntaksavsendere i et oppdaget domene fra fremtidige domenerepresentasjonskontroller
Bruk følgende fremgangsmåte for å unnta avsendere i et oppdaget domene fra å bli identifisert som domenerepresentasjon på https://security.microsoft.com/impersonationinsight?type=Domainfanen Domener på :
Merk oppføringen fra listen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen.
Bruk policyen Velg representasjon til å endre undermenyen for detaljer som åpnes, og Legg til i innstillingene for representasjonsliste øverst i undermenyen. Disse innstillingene fungerer sammen for å legge til domenet i listen over klarerte avsendere og domener i policyen som feilaktig identifiserte meldingen som domenerepresentasjon:
Velg policyen for anti-phishing i rullegardinlisten. Policyen for anti-phishing som var ansvarlig for å oppdage meldingen, vises i policyverdien på fanen Domene .
Skyv veksleknappen til på:
for å legge til domenet i listen over klarerte avsendere og domener i den valgte policyen.Hvis du vil fjerne domenet fra listen over klarerte avsendere og domener, skyver du veksleknappen tilbake til
Når du er ferdig med undermenyen for detaljer, velger du Lukk.
Vis informasjon om gjenkjenning av brukerrepresentasjon
Representasjonsinnsikt-siden på https://security.microsoft.com/impersonationinsight er tilgjengelig når du velger Vis representasjoner i representasjonsinnsikten på Siden for anti-phishing.
Velg Brukere-fanen på representasjonsinnsikt-siden.
Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Følgende kolonner er tilgjengelige:*:
- Avsender: E-postadressen til den representerte avsenderen som sendte e-postmeldingen.
- Antall meldinger: Antall meldinger fra den representerte avsenderen de siste sju dagene.
- Representasjonstype: For eksempel Bruker i visningsnavn.
- Representerte brukere: Visningsnavnet og e-postadressen til avsenderen som er beskyttet av representasjonsbeskyttelse, som ligner på e-postadressen i avsenderen.
- Brukertype: Beskyttelsestypen brukes (for eksempel beskyttet bruker eller postboksintelligens).
- Policy: Policyen for anti-phishing som oppdaget den representerte avsenderen.
- Tillatt å representere: Én av følgende verdier:
- Ja: Avsenderen ble konfigurert som klarert bruker (et unntak for representasjonsbeskyttelse) i policyen for anti-phishing som oppdaget meldingen. Meldinger fra den representerte avsenderen ble oppdaget, men tillatt.
- Nei: Avsenderen ble konfigurert for representasjonsbeskyttelse i policyen for anti-phishing som oppdaget meldingen. Handlingen for gjenkjenning av brukerrepresentasjon i policyen for anti-phishing gjøres i meldingen.
* Hvis du vil se alle kolonnene, må du sannsynligvis utføre ett eller flere av følgende trinn:
- Rull vannrett i nettleseren.
- Begrens bredden på aktuelle kolonner.
- Zoome ut i nettleseren.
Hvis du vil endre listen over gjenkjenninger av brukerrepresentasjon fra normal til kompakt avstand, velger du Endre listeavstand til kompakt eller normal, og deretter velger du Komprimer liste.
Bruk Søk-boksen og en kommadelt liste med verdier for å finne bestemte gjenkjenninger av brukerrepresentasjon.
Bruk Eksporter til å eksportere listen over gjenkjenninger av brukerrepresentasjon til en CSV-fil.
Vis detaljer om gjenkjenning av brukerrepresentasjon
Velg en av etterligningsgjenkjenningene ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen på fanen Brukere på siden Representasjonsinnsikt på https://security.microsoft.com/impersonationinsight?type=User.
Følgende informasjon er tilgjengelig i undermenyen for detaljer:
Hvorfor fikk vi tak i dette?
Hva må du gjøre?
Avsendersammendrag: Avsenderen som ble oppdaget som representasjon.
Utforskerundersøkelse: Velg koblingen for å åpne Trusselutforsker eller Sanntidsregistreringer for mer informasjon om avsenderen.
E-post fra avsender: Denne delen viser følgende informasjon om lignende meldinger fra avsenderen:
- Dato
- Mottaker
- Emne
- Avsender
- IP-adresse for avsender
- Leveringshandling
Tips
Hvis du vil se detaljer om andre oppføringer for brukerrepresentasjon uten å forlate undermenyen for detaljer, kan du bruke Forrige element og Neste-element øverst i undermenyen.
Hvis du vil hindre at en oppdaget avsender identifiseres som brukerrepresentasjon, kan du se neste delinndeling.
Unnta en oppdaget avsender fra fremtidige kontroller for brukerrepresentasjon
Bruk følgende fremgangsmåte på fanen Brukere på https://security.microsoft.com/impersonationinsight?type=Usersiden Representasjonsinnsikt for å unnta oppdagede avsendere fra å bli identifisert som brukerrepresentasjon:
Merk oppføringen fra listen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen.
Bruk policyen Velg representasjon til å endre undermenyen for detaljer som åpnes, og Legg til i innstillingene for representasjonsliste øverst i undermenyen. Disse innstillingene fungerer sammen for å legge til avsenderen i listen over klarerte avsendere og domener i policyen som feilaktig identifiserte meldingen som brukerrepresentasjon:
Velg policyen for anti-phishing i rullegardinlisten. Policyen for anti-phishing som var ansvarlig for å oppdage meldingen, vises i policyverdien på fanen Domene .
Skyv veksleknappen til på:
for å legge til avsenderen i listen over klarerte avsendere og domener i den valgte policyen.Hvis du vil fjerne avsenderen fra listen over klarerte avsendere og domener, skyver du veksleknappen tilbake til
Når du er ferdig med undermenyen for detaljer, velger du Lukk.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for