Bruk innsendingssiden til å sende inn mistanke om søppelpost, phish, nettadresser, legitim e-post som blokkeres og e-postvedlegg til Microsoft

• Gjelder for:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Hvis du vil ha mer informasjon om hva Microsoft gjør med innsendingene dine, kan du se dette.

I Microsoft 365-organisasjoner med Exchange Online postbokser kan administratorer bruke innsendingssiden i Microsoft Defender-portalen til å sende meldinger, nettadresser og vedlegg til Microsoft for analyse. Det finnes to grunnleggende typer administratorinnsendinger:

• Admin innsendinger med opprinnelse: Administratorer identifiserer og rapporterer meldinger, vedlegg eller nettadresser (enheter) ved å velge Send til Microsoft for analyse fra fanene på Innsendinger-siden, som beskrevet i inndelingen Admin innsendinger med opprinnelse.

  Når administratoren rapporterer enheten, vises en oppføring på den tilsvarende fanen på Innsendinger-siden (hvor som helst bortsett fra den rapporterte brukerfanen ).

• Admin innsending av brukerrapporterte meldinger: Den innebygdebrukerrapporteringsopplevelsen er aktivert og konfigurert. Brukerrapporterte meldinger vises på den rapporterte brukerfanen på Innsendinger-siden , og administratorer sender eller sender meldingene til Microsoft på nytt fra den rapporterte brukerfanen .

  Når en administrator sender meldingen fra den rapporterte brukerfanen , opprettes det også en oppføring på den tilsvarende fanen på Innsendinger-siden (for eksempel fanen E-post ). Disse typene administratorinnsendinger er beskrevet i Admin alternativer for brukerrapporterte meldinger-delen.

Når administratorer sender meldinger til Microsoft for analyse, gjør vi følgende kontroller:

• Kontroll av e-postgodkjenning (bare e-postmeldinger): Om e-postgodkjenning ble bestått eller mislyktes da den ble levert.
• Policytreff: Informasjon om policyer eller overstyringer som kan ha tillatt eller blokkert innkommende e-post i organisasjonen, og dermed overstyrer filtreringsdommene våre.
• Omdømme/detonasjon for nyttelast: Oppdatert undersøkelse av eventuelle nettadresser og vedlegg i meldingen.
• Graderingsanalyse: Gjennomgang utført av personalklassinger for å bekrefte om meldinger er skadelige eller ikke.

Viktig

I amerikanske myndigheters organisasjoner (Microsoft 365 GCC, GCC High og DoD) kan administratorer sende inn e-postmeldinger til Microsoft for analyse, men meldingene analyseres bare for e-postgodkjenning og policytreff. Omdømme, detonasjon og graderingsanalyse for nyttelast utføres ikke av samsvarshensyn (data kan ikke forlate organisasjonsgrensen).

Se denne korte videoen for å lære hvordan du bruker administratorinnsendinger i Microsoft Defender for Office 365 til å sende meldinger til Microsoft for evaluering.

Hvis du vil ha mer informasjon om hvordan brukere kan sende meldinger og filer til Microsoft, kan du se Rapportmeldinger og filer til Microsoft.

Hvis du vil ha andre måter administratorer kan rapportere meldinger til Microsoft i Defender-portalen på, kan du se Relaterte rapporteringsinnstillinger for administratorer.

Hva må du vite før du begynner?

• Du åpner Microsoft Defender-portalen på https://security.microsoft.com/. Hvis du vil gå direkte til Innsendinger-siden , bruker https://security.microsoft.com/reportsubmissiondu .

• Du må være tilordnet tillatelser før du kan utføre prosedyrene i denne artikkelen. Du har følgende alternativer:

  • Microsoft Defender XDR Unified role based access control (RBAC) (påvirker bare Defender-portalen, ikke PowerShell): Sikkerhetsoperasjoner/Sikkerhetsdata/Svar (administrer) eller grunnleggende sikkerhetsoperasjoner/sikkerhetsdata/sikkerhetsdata (lese).
  • E-post & samarbeidstillatelser i Microsoft Defender-portalen: Medlemskap i rollegruppene Sikkerhetsadministrator eller Sikkerhetsleser.
  • Microsoft Entra tillatelser: Medlemskap i rollene sikkerhetsadministrator eller sikkerhetsleser gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365.

• Administratorer kan sende inn e-postmeldinger så gamle som 30 dager hvis de fremdeles er tilgjengelige i postboksen og ikke har blitt fjernet av brukeren eller en administrator.

• Admin innsendinger begrenses til følgende satser:

  • Maksimalt antall innsendinger i en periode på 15 minutter: 150 innsendinger
  • Samme innsendinger i en 24-timers periode: Tre innsendinger
  • Samme innsendinger i en 15-minutters periode: Én innsending

• Hvis de rapporterte innstillingene for brukeren i organisasjonen sender brukerrapporterte meldinger (e-post og Microsoft Teams) til Microsoft (utelukkende eller i tillegg til rapporteringspostboksen), gjør vi de samme kontrollene som når administratorer sender meldinger til Microsoft for analyse fra siden Innsendinger . Det er derfor nyttig å sende eller sende meldinger til Microsoft på nytt for administratorer bare for meldinger som aldri har blitt sendt til Microsoft, eller når du er uenig i den opprinnelige dommen.

• En Filer-fane er bare tilgjengelig på Innsendinger-siden i organisasjoner med Microsoft Defender XDR eller Microsoft Defender for endepunkt Plan 2. Hvis du vil ha informasjon og instruksjoner for å sende filer fra Filer-fanen, kan du se Sende filer i Microsoft Defender for endepunkt.

Admin innsendinger med opprinnelse

Tips

Fanen der du velger Send til Microsoft for analyse spiller ingen rolle, så lenge du angir Velg innsendingstypen til riktig verdi.

Rapporter tvilsom e-post til Microsoft

1. Gå til Handlinger & innsendinger> i Microsoft Defender-portalen på .https://security.microsoft.com Hvis du vil gå direkte til Siden for innsendinger , kan du bruke https://security.microsoft.com/reportsubmission.

2. Kontroller at E-post-fanen er valgt på Siden Innsendinger.

3. Velg Send til Microsoft for analysepå E-post-fanen.

4. Skriv inn følgende informasjon på den første siden i undermenyen Send til Microsoft for analyse som åpnes:

   • Velg innsendingstype: Kontroller verdien E-post er valgt.

   • Legg til nettverksmeldings-ID-en eller last opp e-postfilen: Velg ett av følgende alternativer:

     • Legg til meldings-ID-en for e-postnettverket: GUID-verdien er tilgjengelig i toppteksten X-MS-Exchange-Organization-Network-Message-Id i meldingen eller i hodet X-MS-Office365-Filtering-Correlation-Id i karantenemeldinger.
     • Last opp e-postfilen (.msg eller .eml): Velg Bla gjennom filer. Finn og velg .eml eller .msg-filen i dialogboksen som åpnes, og velg deretter Åpne.

   • Velg minst én mottaker som hadde et problem: Angi mottakerne du vil kjøre en policykontroll mot. Policykontrollen bestemmer om e-postmeldingen omgått skanning på grunn av bruker- eller organisasjonspolicyer eller overstyring.

   • Hvorfor sender du denne meldingen til Microsoft?: Velg én av følgende verdier:

     • Det virker mistenkelig: Velg denne verdien bare når du ikke vet, eller du er usikker på meldingsdommen, og du ønsker å få en dom fra Microsoft. Velg Send, og gå deretter til trinn 6.

     eller

     • Jeg har bekreftet at det er en trussel: I alle andre tilfeller velger du denne verdien etter at du allerede har bestemt meldingsdommen som ondsinnet. Velg én av følgende verdier i delen Velg en kategori som vises:

       • Phish
       • Malware
       • Søppelpost

       Velg Neste.

       

5. Gjør ett av følgende på den andre siden av undermenyen Send til Microsoft for analyse som åpnes:

   • Velg Send.

   eller

   • Velg Blokker alle e-postmeldinger fra denne avsenderen eller domenet: Dette alternativet oppretter en blokkoppføring for avsenderdomenet eller e-postadressen i tillatelses-/blokkeringslisten for leieren. Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

     Når du har valgt dette alternativet, er følgende innstillinger tilgjengelige:

     • Avsender er valgt som standard, men du kan velge Domene i stedet.
     • Fjern blokkoppføring etter: Standardverdien er 30 dager, men du kan velge blant følgende verdier:
       • 1 dag
       • 7 dager
       • 30 dager
       • Aldri utløpe
       • Spesifikk dato: Maksimumsverdien er 30 dager fra i dag.
     • Blokker oppføringsnotat (valgfritt): Angi valgfri informasjon om hvorfor du blokkerer dette elementet.

     Når du er ferdig på den andre siden av undermenyen Send til Microsoft for analyse , velger du Send.

     

6. Velg Ferdig.

Etter en liten stund er blokkoppføringen tilgjengelig på fanen Domener & adresser på siden Tillat/blokker Listerhttps://security.microsoft.com/tenantAllowBlockList?viewid=Senderpå .

Rapporter tvilsomme e-postvedlegg til Microsoft

1. Gå til Handlinger & innsendinger> i Microsoft Defender-portalen på .https://security.microsoft.com Hvis du vil gå direkte til Siden for innsendinger , kan du bruke https://security.microsoft.com/reportsubmission.

2. Velg fanen E-postvedlegg på siden Innsendinger.

3. Velg Send til Microsoft for analyse på fanen E-postvedlegg.

4. Skriv inn følgende informasjon på den første siden i undermenyen Send til Microsoft for analyse som åpnes:

   • Velg innsendingstype: Kontroller verdien E-postvedlegg er valgt.

   • Fil: Velg Bla gjennom filer for å finne og velge filen du vil sende inn.

   • Hvorfor sender du inn dette e-postvedlegget til Microsoft?: Velg én av følgende verdier:

     • Det virker mistenkelig: Velg denne verdien hvis du er usikker, og du vil ha en dom fra Microsoft, velg Send, og gå deretter til trinn 6.

     eller

     • Jeg har bekreftet at det er en trussel: Velg denne verdien hvis du er sikker på at elementet er skadelig, og velg deretter én av følgende verdier i delen Velg en kategori som vises:

       • Phish
       • Malware

       Velg Neste.

       

5. Gjør ett av følgende på den andre siden av undermenyen Send til Microsoft for analyse som åpnes:

   • Velg Send.

   eller

   • Velg Blokker denne filen: Dette alternativet oppretter en blokkoppføring for filen i leierens tillatelses-/blokkeringsliste. Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

     Når du har valgt dette alternativet, er følgende innstillinger tilgjengelige:

     • Fjern blokkoppføring etter: Standardverdien er 30 dager, men du kan velge blant følgende verdier:
       • 1 dag
       • 7 dager
       • 30 dager
       • Aldri utløpe
       • Spesifikk dato: Maksimumsverdien er 30 dager fra i dag.
     • Blokker oppføringsnotat (valgfritt): Angi valgfri informasjon om hvorfor du blokkerer dette elementet.

     Når du er ferdig med undermenyen Send til Microsoft for analyse , velger du Send.

   

6. Velg Ferdig.

Etter en liten stund er blokkoppføringen tilgjengelig på Fanen Filer på siden Tillat/blokker Listerhttps://security.microsoft.com/tenantAllowBlockList?viewid=FileHashpå .

Rapporter tvilsomme nettadresser til Microsoft

1. Gå til Handlinger & innsendinger> i Microsoft Defender-portalen på .https://security.microsoft.com Hvis du vil gå direkte til Siden for innsendinger , kan du bruke https://security.microsoft.com/reportsubmission.

2. Velg nettadresser-fanen på Siden Innsendinger.

3. Velg Send til Microsoft for analyse på nettadresser-fanen.

4. Skriv inn følgende informasjon i undermenyen Send til Microsoft for analyse som åpnes:

   • Velg innsendingstypen: Kontroller at url-adressen for verdien er valgt.

   • NETTADRESSE: Skriv inn den fullstendige nettadressen (for eksempel https://www.fabrikam.com/marketing.html), og velg den deretter i boksen som vises. Du kan angi opptil 50 URL-adresser samtidig.

   • Hvorfor sender du inn denne URL-adressen til Microsoft?: Velg én av følgende verdier:

     • Det virker mistenkelig: Velg denne verdien hvis du er usikker, og du vil ha en dom fra Microsoft, velg Send, og gå deretter til trinn 6.

     eller

     • Jeg har bekreftet at det er en trussel: Velg denne verdien hvis du er sikker på at elementet er skadelig, og velg deretter én av følgende verdier i delen Velg en kategori som vises:

       • Phish
       • Malware

       Velg Neste.

       

5. Gjør ett av følgende på den andre siden av undermenyen Send til Microsoft for analyse som åpnes:

   • Velg Send.

   eller

   • Velg Blokker denne URL-adressen: Dette alternativet oppretter en blokkoppføring for URL-adressen i leierens tillatelses-/blokkeringsliste. Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

     Når du har valgt dette alternativet, er følgende innstillinger tilgjengelige:

     • Fjern blokkoppføring etter: Standardverdien er 30 dager, men du kan velge blant følgende verdier:
       • 1 dag
       • 7 dager
       • 30 dager
       • Aldri utløpe
       • Spesifikk dato: Maksimumsverdien er 30 dager fra i dag.
     • Blokkoppføringsnotat (valgfritt): Angi valgfri informasjon om hvorfor du blokkerer denne itmen.

     Når du er ferdig med undermenyen Send til Microsoft for analyse , velger du Send.

   

6. Velg Ferdig.

Etter en liten stund er blokkoppføringen tilgjengelig på nettadressefanen på siden Tillat/blokker Listerhttps://security.microsoft.com/tenantAllowBlockList?viewid=Urlpå .

Rapporter god e-post til Microsoft

1. Gå til Handlinger & innsendinger> i Microsoft Defender-portalen på .https://security.microsoft.com Hvis du vil gå direkte til Siden for innsendinger , kan du bruke https://security.microsoft.com/reportsubmission.

2. Kontroller at E-post-fanen er valgt på Siden Innsendinger.

3. Velg Send til Microsoft for analysepå E-post-fanen.

4. Skriv inn følgende informasjon på den første siden i undermenyen Send til Microsoft for analyse som åpnes:

   • Velg innsendingstype: Kontroller verdien E-post er valgt.

   • Legg til nettverksmeldings-ID-en eller last opp e-postfilen: Velg ett av følgende alternativer:

     • Legg til meldings-ID-en for e-postnettverket: GUID-verdien er tilgjengelig i toppteksten X-MS-Exchange-Organization-Network-Message-Id i meldingen eller i hodet X-MS-Office365-Filtering-Correlation-Id i karantenemeldinger.
     • Last opp e-postfilen (.msg eller .eml): Velg Bla gjennom filer. Finn og velg .eml eller .msg-filen i dialogboksen som åpnes, og velg deretter Åpne.

   • Velg minst én mottaker som hadde et problem: Angi mottakerne du vil kjøre en policykontroll mot. Policykontrollen bestemmer om e-postmeldingen ble blokkert på grunn av bruker- eller organisasjonspolicyer eller overstyringer.

   • Hvorfor sender du denne meldingen til Microsoft?: Velg én av følgende verdier:

     • Det ser rent ut: Velg denne verdien bare når du ikke vet, eller du er usikker på meldingsdommen, og du ønsker å få en dom fra Microsoft. Velg Send, og gå deretter til trinn 6.

     eller

     • Jeg har bekreftet at det er rent: I alle andre tilfeller velger du denne verdien etter at du allerede har bestemt meldingsdommen som ren. Velg Neste.

   

5. Gjør ett av følgende på den andre siden av undermenyen Send til Microsoft for analyse som åpnes:

   • Velg Send.

   eller

   • Velg Tillat denne meldingen: Dette alternativet oppretter en tillatelsesoppføring for elementene i meldingen i leierens tillatelses-/blokkeringsliste. Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

     Når du har valgt dette alternativet, er følgende innstillinger tilgjengelige:

     • Fjern tillatelsesoppføring etter: Standardverdien er 30 dager, men du kan velge blant følgende verdier:

       • 1 dag
       • 7 dager
       • 30 dager
       • Spesifikk dato: Maksimumsverdien er 30 dager fra i dag.

       For forfalskede avsendere er denne verdien meningsløs, fordi oppføringer for forfalskede avsendere aldri utløper.

     • Tillat oppføringsnotat (valgfritt): Angi valgfri informasjon om hvorfor du tillater dette elementet. For forfalskede avsendere vises ikke alle verdiene du angir her, i tillatelsesoppføringen på fanen Falske avsendere på siden Tillat/blokker Lister for leieren.

     Når du er ferdig på den andre siden av undermenyen Send til Microsoft for analyse , velger du Send.

     

6. Velg Ferdig.

Etter en liten stund vises de tilknyttede tillatelsesoppføringene på fanene Domener & adresser, Falske avsendere, URL-adresser eller Filer på siden Tillat/blokker Listerhttps://security.microsoft.com/tenantAllowBlockListpå .

Viktig

• Tillat oppføringer legges til under e-postflyten basert på filtrene som fastslo at meldingen var skadelig. Hvis for eksempel avsenderens e-postadresse og en nettadresse i meldingen ble funnet å være ugyldig, opprettes det en tillatelsesoppføring for avsenderen (e-postadressen eller domenet) og nettadressen.
• Hvis avsenderens e-postadresse ikke blir funnet å være skadelig av filtreringssystemet vårt, oppretter ikke sending av e-postmeldingen til Microsoft en tillatelsesoppføring i leierens tillatelses-/blokkeringsliste.
• Når et tillatt domene eller en e-postadresse, falsk avsender, nettadresse eller fil (enhet) oppdages på nytt, hoppes alle filtre som er knyttet til enheten, over. For e-postmeldinger evalueres alle andre enheter fortsatt av filtreringssystemet før de tar en beslutning.
• Hvis meldinger fra det tillatte domenet eller e-postadressen sender andre kontroller i filtreringsstakken under e-postflyten, leveres meldingene. Hvis en melding for eksempel sender e-postgodkjenningskontroller, leveres en melding fra en tillatt avsenders e-postadresse.
• Som standard finnes det tillatte oppføringer for domener og e-postadresser i 30 dager. I løpet av disse 30 dagene lærer Microsoft fra de tillatte oppføringene og fjerner dem eller utvider dem automatisk. Når Microsoft får vite fra de fjernede tillatelsesoppføringene, leveres meldinger fra disse domenene eller e-postadressene, med mindre noe annet i meldingen oppdages som skadelig. Tillat som standard at oppføringer for falske avsendere aldri utløper.
• For meldinger som ble feilaktig blokkert av domene- eller brukerrepresentasjonsbeskyttelse, opprettes ikke tillatelsesoppføringen for domenet eller avsenderen i listen over tillatte/blokkerende leiere. I stedet legges domenet eller avsenderen til i delen Klarerte avsendere og domener i policyen for anti-phishing som oppdaget meldingen.
• Når du overstyrer dommen i den falske intelligensinnsikten, blir den forfalskede avsenderen en manuell tillatelses- eller blokkeringsoppføring som bare vises på de forfalskede avsenderne på siden Tillat/blokker Lister i leieren på https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

Rapportere gode e-postvedlegg til Microsoft

1. Gå til Handlinger & innsendinger> i Microsoft Defender-portalen på .https://security.microsoft.com Hvis du vil gå direkte til Siden for innsendinger , kan du bruke https://security.microsoft.com/reportsubmission.

2. Velg fanen E-postvedlegg på siden Innsendinger.

3. Velg Send til Microsoft for analyse på fanen E-postvedlegg.

4. Skriv inn følgende informasjon på undermenyen Send til Microsoft for analyse som åpnes:

   • Velg innsendingstype: Kontroller verdien E-postvedlegg er valgt.

   • Fil: Velg Bla gjennom filer for å finne og velge filen du vil sende inn.

   • Hvorfor sender du meldingen til Microsoft?: Velg én av følgende verdier:

     • Det ser rent ut: Velg denne verdien hvis du er usikker, og du vil ha en dom fra Microsoft, velg Send, og gå deretter til trinn 6.

     eller

     • Jeg har bekreftet at det er rent: Velg denne verdien hvis du er sikker på at elementet er rent, og velg deretter Neste.

   

5. Gjør ett av følgende på den andre siden av undermenyen Send til Microsoft for analyse som åpnes:

   • Velg Send.

   eller

   • Velg Tillat denne filen: Dette alternativet oppretter en tillatelsesoppføring for filen i leierens tillatelses-/blokkeringsliste. Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

     Når du har valgt dette alternativet, er følgende innstillinger tilgjengelige:

     • Fjern tillatelsesoppføring etter: Standardverdien er 30 dager, men du kan velge blant følgende verdier:
       • 1 dag
       • 7 dager
       • 30 dager
       • Spesifikk dato: Maksimumsverdien er 30 dager fra i dag.
     • Blokker oppføringsnotat (valgfritt): Angi valgfri informasjon om hvorfor du blokkerer dette elementet.

     Når du er ferdig på den andre siden av undermenyen Send til Microsoft for analyse , velger du Send.

   

6. Velg Ferdig.

Etter en liten stund er tillatelsesoppføringen tilgjengelig på Filer-fanen på siden Tillat/blokkeringsliste for leier . Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

Viktig

• Som standard finnes det oppføringer for filer i 30 dager. I løpet av disse 30 dagene lærer Microsoft fra de tillatte oppføringene og fjerner dem eller utvider dem automatisk. Når Microsoft får vite fra de fjernede tillatelsesoppføringene, blir meldinger som inneholder disse filene, levert, med mindre noe annet i meldingen oppdages som skadelig.
• Når filen oppdages på nytt under e-postflyten, overstyres detonering av klarerte vedlegg eller fil omdømmekontroller, og alle andre filbaserte filtre overstyres. Hvis filtreringssystemet bestemmer at alle andre enheter i e-postmeldingen er rene, leveres meldingen.
• Under merking overstyres alle filbaserte filtre, inkludert detonering av klarerte vedlegg eller kontroller av omdømme for filer, slik at brukeren får tilgang til filen.

Rapporter gode URL-adresser til Microsoft

For URL-adresser som rapporteres som falske positiver, tillater vi etterfølgende meldinger som inneholder variasjoner av den opprinnelige nettadressen. Du kan for eksempel bruke innsendingssiden til å rapportere url-adressen www.contoso.com/abcsom er blokkert feil. Hvis organisasjonen senere mottar en melding som inneholder nettadressen (for eksempel ikke begrenset til: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5, eller www.contoso.com/abc/whatever), blokkeres ikke meldingen basert på URL-adressen. Du trenger med andre ord ikke å rapportere flere variasjoner av samme nettadresse som god til Microsoft.

1. Gå til Handlinger & innsendinger> i Microsoft Defender-portalen på .https://security.microsoft.com Hvis du vil gå direkte til Siden for innsendinger , kan du bruke https://security.microsoft.com/reportsubmission.

2. Velg nettadresser-fanen på Siden Innsendinger

3. Velg Send til Microsoft for analyse på nettadresser-fanen.

4. Skriv inn følgende informasjon i undermenyen Send til Microsoft for analyse som åpnes:

   • Velg innsendingstypen: Kontroller at url-adressen for verdien er valgt.

   • NETTADRESSE: Skriv inn den fullstendige nettadressen (for eksempel https://www.fabrikam.com/marketing.html), og velg den deretter i boksen som vises. Du kan også angi et domene på øverste nivå (for eksempel https://www.fabrikam.com/*), og deretter velge det i boksen som vises. Du kan skrive inn opptil 50 NETTADRESSEr samtidig.

   • Hvorfor sender du inn denne URL-adressen til Microsoft?: Velg én av følgende verdier:

     • Det ser rent ut: Velg denne verdien hvis du er usikker, og du vil ha en dom fra Microsoft, velg Send, og gå deretter til trinn 6.

     eller

     • Jeg har bekreftet at det er rent: Velg denne verdien hvis du er sikker på at elementet er rent, og velg deretter Neste.

       

5. Gjør ett av følgende på den andre siden av undermenyen Send til Microsoft for analyse som åpnes:

   • Velg Send.

   eller

   • Velg Tillat denne URL-adressen: Dette alternativet oppretter en tillatelsesoppføring for URL-adressen i leierens tillatelses-/blokkeringsliste. Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

     Når du har valgt dette alternativet, er følgende innstillinger tilgjengelige:

     • Fjern blokkoppføring etter: Standardverdien er 30 dager, men du kan velge blant følgende verdier:
       • 1 dag
       • 7 dager
       • 30 dager
       • Spesifikk dato: Maksimumsverdien er 30 dager fra i dag.
     • Tillat oppføringsnotat (valgfritt): Angi valgfri informasjon om hvorfor du tillater dette elementet.

     Når du er ferdig på den andre siden av undermenyen Send til Microsoft for analyse , velger du Send.

   

6. Velg Ferdig.

Etter en liten stund er tillatelsesoppføringen tilgjengelig på nettadressefanen på siden Tillat/blokker Listerhttps://security.microsoft.com/tenantAllowBlockList?viewid=Urlpå .

Obs!

• Som standard finnes det tillatte oppføringer for URL-adresser i 30 dager. I løpet av disse 30 dagene lærer Microsoft fra de tillatte oppføringene og fjerner dem eller utvider dem automatisk. Når Microsoft får vite fra de fjernede tillatelsesoppføringene, leveres meldinger som inneholder disse nettadressene, med mindre noe annet i meldingen oppdages som skadelig.
• Når nettadressen oppdages på nytt under e-postflyten, overstyres detonasjon av klarerte koblinger eller omdømmekontroller for nettadresser og alle andre nettadressebaserte filtre. Hvis filtreringssystemet bestemmer at alle andre enheter i e-postmeldingen er rene, leveres meldingen.
• Under valg overstyres alle nettadressebaserte filtre, inkludert detonering av klarerte koblinger eller omdømmekontroller for nettadresser, slik at brukeren får tilgang til innhold på nettadressen.

Rapporter Teams-meldinger til Microsoft i Defender for Office 365 Plan 2

Tips

Innsending av Teams-meldinger til Microsoft er for øyeblikket i forhåndsversjon, er ikke tilgjengelig i alle organisasjoner og kan endres.

I Microsoft 365-organisasjoner som har Microsoft Defender for Office 365 Plan 2 (tilleggslisenser eller inkludert i abonnementer som Microsoft 365 E5), kan du ikke sende inn Teams-meldinger fra Teams-meldinger-fanen på Siden innsendinger. Den eneste måten å sende inn en Teams-melding til Microsoft for analyse på, er å sende en brukerrapporterte Teams-meldinger fra den rapporterte brukerfanen , som beskrevet i delen Send inn bruker rapporterte meldinger til Microsoft for analyse senere i denne artikkelen.

Oppføringene på meldinger-fanen i Teams er resultatet av å sende inn en brukerrapport om Teams-melding til Microsoft. Hvis du vil ha mer informasjon, kan du se delen Vis konverterte administratorinnsendinger senere i denne artikkelen.

Vis innsendinger av e-postadministrator til Microsoft

Gå til Handlinger & innsendinger> i Microsoft Defender-portalen på .https://security.microsoft.com Hvis du vil gå direkte til Siden for innsendinger , kan du bruke https://security.microsoft.com/reportsubmission.

Kontroller at E-post-fanen er valgt på Siden Innsendinger.

På E-post-fanen kan du raskt filtrere visningen ved å velge ett av de tilgjengelige hurtigfiltrene:

• Ventende
• Fullført

Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Standardverdiene er merket med en stjerne (^*):

• Innsendingsnavn^*
• Avsender^*
• Mottaker
• Innsendt av^*
• Dato sendt^*
• Årsak til å sende inn^*
• Status^*
• Resultatet^*
• Årsak til levering/blokk
• Innsendings-ID
• Nettverksmeldings-ID
• Retning
• IP-adresse for avsender
• Nivå for massekompatibelt nivå (BCL)
• Mål
• Policyhandling
• Phish simulering
• ^*Merker: Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.
• Handling

Hvis du vil gruppere oppføringene, velger du Grupper og velger deretter én av følgende verdier:

• Grunn
• Status
• Resultat
• Tags

Hvis du vil dele opp gruppen med oppføringene, velger du Ingen.

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

• Dato sendt:Startdato og sluttdatoverdier .
• Innsendings-ID: En GUID-verdi som er tilordnet hver innsending.
• Nettverksmeldings-ID
• Avsender
• Mottaker
• Innsendingsnavn
• Innsendt av
• Årsak til å sende inn: Noen av følgende verdier:
  • Ikke søppelpost
  • Ser ren ut
  • Virker mistenkelig
  • Phish
  • Malware
  • Søppelpost.
• Status: Venter og fullført.
• Merker: Alle eller velg brukerkoder fra rullegardinlisten.

Når du er ferdig med filter-undermenyen , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk Eksporter til å eksportere listen over oppføringer til en CSV-fil.

Vis innsendingsdetaljer for e-postadministrator

Hvis du velger en oppføring på E-post-fanen på Innsendinger-siden ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer.

Øverst i undermenyen for detaljer er følgende meldingsinformasjon tilgjengelig:

• Tittelen på undermenyen er meldingsemneverdien.
• Alle brukerkoder som er tilordnet til mottakerne av meldingen (inkludert prioritetskontokoden). Hvis du vil ha mer informasjon, kan du se Brukerkoder i Microsoft Defender for Office 365
• I Defender for Office 365 beskrives handlingene som er tilgjengelige øverst i undermenyen, i delen Handlinger for administratorinnsendinger i Defender for Office 365.

Tips

Hvis du vil se detaljer om andre innsendinger uten å gå ut av detaljundermenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

De neste inndelingene i undermenyen for detaljer er relatert til innsendinger av e-postmeldinger:

• Inndeling for resultatdetaljer :

  • Resultat: Inneholder resultatverdien for innsendingen. Eksempel:
    • Skal ikke ha blitt blokkert
    • Tillatt på grunn av brukeroverstyringer
    • Tillatt på grunn av en regel
  • Anbefalte trinn for innsending av e-post: Inneholder koblinger til relaterte handlinger. Eksempel:
    • Vis regler for e-postflyt i Exchange (transportregler)
    • Vis denne meldingen i Explorer (trusselutforsker eller sanntidsregistrering bare i Defender for Office 365)
    • Søk for lignende meldinger i Explorer (trusselutforsker eller sanntidsgjenkjenning bare i Defender for Office 365)

• Inndeling for innsendingsdetaljer :

  • Dato sendt
  • Innsendingsnavn
  • Innsendingstype: Verdien er E-post.
  • Årsak til å sende inn
  • Innsendings-ID
  • Innsendt av
  • Status for innsending

• Delen Tillat detaljer : Bare tilgjengelig for e-postinnsendinger der resultatverdien er tillatt på grunn av brukeroverstyringer eller tillatt for en regel: Inneholder verdiene Navn (e-postadresse) og Type (avsender).

Undermenyen for resten av detaljene inneholder leveringsdetaljene, e-postdetaljene, nettadressene og vedleggene som er en del av sammendragspanelet for e-post. Hvis du vil ha mer informasjon, kan du se sammendragspanelet for e-post.

Når du er ferdig med undermenyen for detaljer, velger du Lukk.

Vis Teams-administratorinnsendinger til Microsoft i Defender for Office 365 Plan 2

Tips

Innsending av Teams-meldinger til Microsoft er for øyeblikket i forhåndsversjon, er ikke tilgjengelig i alle organisasjoner og kan endres.

Gå til Innsendinger-siden på Handlinger & innsendinger> i Microsoft Defender-portalen på .https://security.microsoft.com Hvis du vil gå direkte til Innsendinger-siden , bruker https://security.microsoft.com/reportsubmissiondu .

Velg meldinger-fanen i Teams på siden Innsendinger.

Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Standardverdiene er merket med en stjerne (^*):

• Innsendingsnavn^*
• Avsender^*
• Dato sendt^*
• Årsak til å sende inn^*
• Innsendt av
• Status^*
• Resultatet^*
• Mottaker
• Innsendings-ID
• Meldings-ID for Teams
• Mål
• Phish simulering
• ^*Merker: Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.

Hvis du vil gruppere oppføringene, velger du Grupper og velger deretter én av følgende verdier:

• Grunn
• Status
• Resultat
• Tags

Hvis du vil dele opp gruppen med oppføringene, velger du Ingen.

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

• Dato sendt inn: Startdato og sluttdato.
• Innsendings-ID: En GUID-verdi som er tilordnet hver innsending.
• Meldings-ID for Teams
• Avsender
• Mottaker
• Teams-melding
• Innsendt av
• Årsak til å sende inn: Noen av følgende verdier:
  • Ikke søppelpost
  • Ser ren ut
  • Virker mistenkelig
  • Phish
  • Malware
• Status: Venter og fullført.
• Merker: Alle eller velg brukerkoder fra rullegardinlisten.

Når du er ferdig med filter-undermenyen , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk Eksporter til å eksportere listen over oppføringer til en CSV-fil.

Vis innsendingsdetaljer for Teams-administratorer

Hvis du velger en oppføring på Teams-meldinger-fanen på Innsendinger-siden ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer.

Øverst i undermenyen for detaljer er følgende meldingsinformasjon tilgjengelig:

• Tittelen på undermenyen er emnet eller de første 100 tegnene i Teams-meldingen.
• Den gjeldende meldingsdommen.
• Antall koblinger i meldingen.
• Vis varsel. Et varsel utløses når en administratorinnsending opprettes eller oppdateres. Hvis du velger denne handlingen, kommer du til detaljene i varselet.

Tips

Hvis du vil se detaljer om andre innsendinger uten å gå ut av detaljundermenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

De neste inndelingene i undermenyen for detaljer er relatert til Teams-innsendinger:

• Inndeling for innsendingsresultater :

  • Resultat: Inneholder resultatverdien for innsendingen. Eksempel:
    • Burde vært blokkert
    • Vi mottok ikke innsendingen. Løs problemet, og send på nytt
  • Anbefalte trinn for innsending av e-post: Inneholder koblinger til relaterte handlinger. Eksempel:
    • Vis regler for e-postflyt i Exchange (transportregler)

• Inndeling for innsendingsdetaljer :

  • Dato sendt
  • Innsendingsnavn
  • Innsendingstype: Verdien er Teams
  • Årsak til å sende inn
  • Innsendings-ID
  • Innsendt av
  • Status for innsending

Undermenyen for resten av detaljene inneholder inndelingene Meldingsdetaljer, Avsender, Deltakere, Kanaldetaljer og NETTADRESSEr som er en del av teammeldingsenhetspanelet. Hvis du vil ha mer informasjon, kan du se Teams mMessage-enhetspanelet i Microsoft Defender for Office 365 Plan 2.

Når du er ferdig med undermenyen for detaljer, velger du Lukk.

Vis administratorinnsendinger for e-postvedlegg til Microsoft

Gå til Innsendinger-siden på Handlinger & innsendinger> i Microsoft Defender-portalen på .https://security.microsoft.com Hvis du vil gå direkte til Innsendinger-siden , bruker https://security.microsoft.com/reportsubmissiondu .

Velg fanen E-postvedlegg på siden Innsendinger.

På fanen E-postvedlegg kan du raskt filtrere visningen ved å velge ett av de tilgjengelige hurtigfiltrene:

• Ventende
• Fullført

Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Standardverdiene er merket med en stjerne (^*):

• Filnavn for vedlegg^*
• Dato sendt^*
• Årsak til å sende inn^*
• Status^*
• Resultatet^*
• Filtrer dom
• Årsak til levering/blokk
• Innsendings-ID
• Objekt-ID
• Policyhandling
• Innsendt av
• ^*Merker: Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.
• Handling

Hvis du vil gruppere oppføringene, velger du Grupper og velger deretter én av følgende verdier:

• Grunn
• Status
• Resultat
• Tags

Hvis du vil dele opp gruppen med oppføringene, velger du Ingen.

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

• Dato sendt inn: Startdato og sluttdato.
• Innsendings-ID: En GUID-verdi som er tilordnet hver innsending.
• Filnavn for vedlegg
• Innsendt av
• Årsak til å sende inn: Noen av følgende verdier:
  • Ikke søppelpost
  • Ser ren ut
  • Virker mistenkelig
  • Phish
  • Malware
• Status: Venter og fullført.
• Merker: Alle eller velg brukerkoder fra rullegardinlisten.

Når du er ferdig med filter-undermenyen , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk Eksporter til å eksportere listen over oppføringer til en CSV-fil.

Vis innsendingsdetaljer for administrator for e-postvedlegg

Hvis du velger en oppføring på fanen E-postvedlegg på Siden Innsendinger ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer.

Øverst i undermenyen for detaljer er følgende meldingsinformasjon tilgjengelig:

• Tittelen på undermenyen er filnavnet til vedlegget.
• Status- og resultatverdiene for innsendingen.
• Vis varsel. I Defender for Office 365 utløses et varsel når en administratorinnsending opprettes eller oppdateres. Hvis du velger denne handlingen, kommer du til detaljene i varselet.

Tips

Hvis du vil se detaljer om andre innsendinger uten å gå ut av detaljundermenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

De neste inndelingene i undermenyen for detaljer er relatert til innsendinger av e-postvedlegg:

• Inndeling for resultatdetaljer :

  • Resultat: Inneholder resultatverdien for innsendingen. Eksempel:
    • Burde vært blokkert
    • Skal ikke ha blitt blokkert
  • Anbefalte trinn for innsending av e-post: Inneholder koblinger til relaterte handlinger. Eksempel:
    • Blokker URL-adresse/fil i tillatelses-/blokkeringsliste for leier

• Inndeling for innsendingsdetaljer :

  • Dato sendt
  • Innsendingsnavn
  • Innsendingstype: Verdien er Fil.
  • Årsak til å sende inn
  • Innsendings-ID
  • Innsendt av
  • Status for innsending

Når du er ferdig med undermenyen for detaljer, velger du Lukk.

Vis innsendinger av nettadresseadministrator til Microsoft

Gå til Innsendinger-siden på Handlinger & innsendinger> i Microsoft Defender-portalen på .https://security.microsoft.com Hvis du vil gå direkte til Innsendinger-siden , bruker https://security.microsoft.com/reportsubmissiondu .

Velg nettadresser-fanen på Siden Innsendinger.

På nettadresser-fanen kan du raskt filtrere visningen ved å velge ett av de tilgjengelige hurtigfiltrene:

• Ventende
• Fullført

Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Standardverdiene er merket med en stjerne (^*):

• URL^*
• Dato sendt^*
• Årsak til å sende inn^*
• Status^*
• Resultatet^*
• Filtrer dom
• Årsak til levering/blokk
• Innsendings-ID
• Objekt-ID
• Policyhandling
• Innsendt av
• ^*Merker: Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.
• Handling

Hvis du vil gruppere oppføringene, velger du Grupper og velger deretter én av følgende verdier:

• Grunn
• Status
• Resultat
• Tags

Hvis du vil dele opp gruppen med oppføringene, velger du Ingen.

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

• Dato sendt inn: Startdato og sluttdato.
• Innsendings-ID: En GUID-verdi som er tilordnet hver innsending.
• URL
• Innsendt av
• Årsak til å sende inn: Noen av følgende verdier:
  • Ikke søppelpost
  • Ser ren ut
  • Virker mistenkelig
  • Phish
  • Malware
• Status: Venter og fullført.
• Merker: Alle eller velg brukerkoder fra rullegardinlisten.

Når du er ferdig med filter-undermenyen , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk Eksporter til å eksportere listen over oppføringer til en CSV-fil.

Vis innsendingsdetaljer for nettadresseadministrator

Hvis du velger en oppføring på nettadresser-fanen på Innsendinger-siden ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer.

Øverst i undermenyen for detaljer er følgende meldingsinformasjon tilgjengelig:

• Tittelen på undermenyen er domenet til nettadressen.
• Status- og resultatverdiene for innsendingen.
• Vis varsel. I Defender for Office 365 utløses et varsel når en administratorinnsending opprettes eller oppdateres. Hvis du velger denne handlingen, kommer du til detaljene i varselet.

Tips

Hvis du vil se detaljer om andre innsendinger uten å gå ut av detaljundermenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

De gjenværende inndelingene i undermenyen for detaljer er relatert til nettadresseinnsendinger:

• Inndeling for resultatdetaljer :

  • Resultat: Inneholder resultatverdien for innsendingen. Eksempel:
    • Burde vært blokkert
    • Skal ikke ha blitt blokkert
  • Anbefalte trinn for innsending av e-post: Inneholder koblinger til relaterte handlinger. Eksempel:
    • Blokker URL-adresse/fil i tillatelses-/blokkeringsliste for leier

• Inndeling for innsendingsdetaljer :

  • Dato sendt
  • URL
  • Innsendingstype: Verdien er URL-adresse.
  • Årsak til å sende inn
  • Innsendings-ID
  • Innsendt av
  • Status for innsending

• Tillater detaljer eller Blokker detaljer-inndelinger : Bare tilgjengelig for NETTADRESSE-innsendinger der url-adressen ble blokkert eller tillatt: Inneholder verdiene navn (URL-domene) og type (URL-adresse).

Når du er ferdig med undermenyen for detaljer, velger du Lukk.

Resultater fra Microsoft

Analyseresultatene for det rapporterte elementet vises i undermenyen for detaljer som åpnes når du velger en oppføring på fanen E-postmeldinger, Teams-meldinger, e-postvedlegg eller nettadresser på siden Innsendinger :

• Hvis det oppstod en feil i avsenderens e-postgodkjenning på leveringstidspunktet.
• Informasjon om policyer eller overstyringer som kan ha påvirket eller overstyrt meldingsvurderingen fra filtreringssystemet.
• Gjeldende detonasjonsresultater for å se om nettadressene eller filene i meldingen var skadelige eller ikke.
• Tilbakemelding fra graderinger.

Hvis det ble funnet en overstyrings- eller policykonfigurasjon, skal resultatet være tilgjengelig om flere minutter. Hvis det ikke var et problem i e-postgodkjenning eller levering ikke ble påvirket av en overstyring eller policy, kan detoneringen og tilbakemeldingen fra klassingene ta opptil en dag.

Handlinger for administratorinnsendinger i Defender for Office 365

I organisasjoner med Microsoft Defender for Office 365 (tilleggslisenser eller inkludert i abonnementer som Microsoft 365 E5 eller Microsoft 365 Business Premium), er følgende handlinger tilgjengelige for administratorinnsendinger i undermenyen detaljer som åpnes etter at du har valgt en oppføring fra listen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen:

• Åpen e-postenhet: Bare tilgjengelig i detaljer-undermenyen for oppføringer på E-post-fanen . Hvis du vil ha mer informasjon, kan du se Hva skjer på enhetssiden for e-post.

• Utfør handlinger: Tilgjengelig i undermenyen for detaljer bare for oppføringer på E-post-fanen . Denne handlingen starter den samme handlingsveiviseren som er tilgjengelig på enhetssiden for e-post. Hvis du vil ha mer informasjon, kan du se Handlinger på enhetssiden for e-post.

• Vis varsel. Et varsel utløses når en administratorinnsending opprettes eller oppdateres. Hvis du velger denne handlingen, kommer du til detaljene i varselet.

• I delen Resultatdetaljer kan følgende koblinger for Trusselutforsker også være tilgjengelige, avhengig av status og resultat for det rapporterte elementet:

  • Vis denne meldingen i Explorer: Bare fanen E-post .
  • Søk for lignende meldinger i Explorer: Bare fanen E-post.
  • Søk for URL-adresse eller fil: Bare e-postvedlegg eller nettadressefaner.

Admin alternativer for brukerrapporterte meldinger

Når det gjelder e-postmeldinger, kan administratorer se hva brukerne rapporterer på den rapporterte brukerfanen på siden Innsendinger hvis følgende utsagn er oppfylt:

• De rapporterte innstillingene for brukeren er aktivert.
• E-postmeldinger: Du bruker støttede metoder for brukere til å rapportere meldinger:
  • Microsoft-rapportmeldingen eller phishing-tilleggene for rapporter.
  • Den innebygde rapportknappen i Outlook på nettet.
  • Støttede tredjeparts rapporteringsverktøy
• Teams-meldinger: Brukerrapporteringsinnstillinger for Teams-meldinger er aktivert.

Notater:

• Bruker rapporterte meldinger som bare sendes til Microsoft eller til Microsoft, og rapporteringspostboksen vises på den rapporterte brukerfanen . Selv om disse meldingene allerede er rapportert til Microsoft, kan administratorer sende inn de rapporterte meldingene på nytt.
• Brukerrapporterte meldinger som bare sendes til postboksen for rapportering, vises på den rapporterte brukerfanen med resultatverdienIkke sendt til Microsoft. Administratorer bør rapportere disse meldingene til Microsoft for analyse.

I organisasjoner med Microsoft Defender for Office 365 Plan 2 (tilleggslisenser eller inkludert i abonnementer som Microsoft 365 E5), kan administratorer også se brukerrapporterte meldinger i Microsoft Teams i Defender for Office 365 Plan 2 (for øyeblikket i forhåndsvisning).

I organisasjoner med Defender for Office 365 Plan 2 (tillegg for brukerrapporterte meldinger i Microsoft Teams i Defender for Office 365 Plan 2 (for øyeblikket i forhåndsvisning)

Gå til Handlinger & innsendinger> i Microsoft Defender-portalen på .https://security.microsoft.com Hvis du vil gå direkte til Siden for innsendinger , kan du bruke https://security.microsoft.com/reportsubmission.

Velg den rapporterte brukerfanen på siden Innsendinger.

De følgende underdelene beskriver informasjonen og handlingene som er tilgjengelige på den rapporterte brukerfanen på Innsendinger-siden .

Vis brukerrapporterte meldinger til Microsoft

På den rapporterte brukerfanen kan du raskt filtrere visningen ved å velge ett av de tilgjengelige hurtigfiltrene:

• Trusler
• Søppelpost
• Ingen trusler
• Simuleringer

Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Standardverdiene er merket med en stjerne (^*):

• Navn og type^*
• Rapportert av^*
• Rapportert dato^*
• Avsender^*
• Rapportert årsak^*
• Resultat^*: Inneholder følgende informasjon for rapporterte meldinger basert på de rapporterte innstillingene for brukeren:
  • Send de rapporterte meldingene til>Microsoft og min rapporteringspostboks eller Bare Microsoft: Verdier avledet fra følgende analyse:
    • Policytreff: Informasjon om policyer eller overstyringer som kan ha tillatt eller blokkert innkommende meldinger, inkludert overstyringer til filtreringsdommene våre. Resultatet skal være tilgjengelig innen flere minutter. Ellers kan detonering og tilbakemelding fra klassinger ta opptil en dag.
    • Omdømme/detonasjon for nyttelast: Oppdatert undersøkelse av eventuelle nettadresser og filer i meldingen.
    • Graderingsanalyse: Gjennomgang utført av personalklassinger for å bekrefte om meldinger er skadelige eller ikke.
  • Send de rapporterte meldingene til>Bare rapporteringspostboksen min: Verdien sendes alltid ikke til Microsoft fordi meldingene ikke ble analysert av Microsoft.
• Rapportert ID for melding
• Nettverksmeldings-ID
• Meldings-ID for Teams
• IP-adresse for avsender
• Rapportert fra
• Phish simulering
• Konvertert til administratorinnsending
• Merket som^*
• Merket med^*
• Dato merket
• ^*Merker: Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.

Hvis du vil gruppere oppføringene, velger du Grupper og velger deretter én av følgende verdier:

• Avsender
• Rapportert av
• Resultat
• Rapportert fra
• Konvertert til administratorinnsending
• Tags

Hvis du vil dele opp gruppen med oppføringene, velger du Ingen.

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

• Rapportert dato: Startdato og sluttdato.
• Rapportert av
• Navn
• Rapportert ID for melding
• Nettverksmeldings-ID
• Meldings-ID for Teams
• Avsender
• Rapportert årsak: Verdiene Ingen trusler, Phish og Spam.
• Rapportert fra: Verdiene Microsoft og Tredjepart.
• Phish simulering: Verdiene Ja og Nei.
• Konvertert til administratorinnsending: Verdiene Ja og Nei.
• Meldingstype: De tilgjengelige verdiene er:
  • E-post
  • Teams-melding (Defender for Office 365 bare Plan 2, for øyeblikket i forhåndsvisning).
• Merker: Alle eller velg én eller flere brukerkoder (inkludert prioritetskonto) som er tilordnet til brukere. Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder i Microsoft Defender for Office 365.

Når du er ferdig med filter-undermenyen , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk Eksporter til å eksportere listen over oppføringer til en CSV-fil.

Hvis du vil ha mer informasjon om handlingene som er tilgjengelige for meldinger i den rapporterte brukerfanen , kan du se neste delinndeling.

Vis informasjon om rapporterte e-postmeldinger for brukeren

Hvis du velger en e-postrelatert oppføring på den rapporterte brukerfanen på Innsendinger-siden ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer.

Øverst i undermenyen for detaljer er følgende meldingsinformasjon tilgjengelig:

• Tittelen på undermenyen er meldingsemneverdien.
• Alle brukerkoder som er tilordnet til mottakerne av meldingen (inkludert prioritetskontokoden). Hvis du vil ha mer informasjon, kan du se Brukerkoder i Microsoft Defender for Office 365
• Handlingene som er tilgjengelige øverst på undermenyen, beskrives i Admin handlinger for brukerrapporterte meldinger-delen.

Tips

Hvis du vil se detaljer om andre innsendinger uten å gå ut av detaljundermenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

De neste inndelingene i undermenyen for detaljer er relatert til brukerrapporterte innsendinger:

• Inndeling for resultatdetaljer :

  • Resultat: Inneholder resultatverdien for innsendingen. Eksempel:
    • Skal ikke ha blitt blokkert
    • Tillatt på grunn av brukeroverstyringer
    • Tillatt på grunn av en regel
  • Anbefalte trinn for innsending av e-post: Inneholder koblinger til relaterte handlinger. Eksempel:
    • Vis regler for e-postflyt i Exchange (transportregler)
    • Vis denne meldingen i Explorer (trusselutforsker eller sanntidsregistrering bare i Defender for Office 365)
    • Søk for lignende meldinger i Explorer (trusselutforsker eller sanntidsgjenkjenning bare i Defender for Office 365)

• Detaljerinndeling for rapportert melding :

  • Dato sendt
  • Innsendingsnavn
  • Rapportert årsak.
  • Rapportert ID for melding
  • Rapportert av
  • Phish simulering: Verdien er Ja eller Nei.
  • Konvertert til administratorinnsending: Verdien er Ja eller Nei. Hvis du vil ha mer informasjon, kan du se Vis konverterte administratorinnsendinger.

Undermenyen for resten av detaljene inneholder leveringsdetaljene, e-postdetaljene, nettadressene og vedleggene som er en del av sammendragspanelet for e-post. Hvis du vil ha mer informasjon, kan du se sammendragspanelet for e-post.

Tips

Hvis resultatverdien er Phish-simulering, kan detaljene bare inneholde følgende informasjon:

• Inndeling for resultatdetaljer
• Inndeling for rapportert meldingsdetaljer
• Inndeling for e-postdetaljer med følgende verdier:
  • Nettverksmeldings-ID
  • Avsender
  • Sendt dato

Når du er ferdig med undermenyen for detaljer, velger du Lukk.

Vis brukerrapporterte Teams-meldingsdetaljer i Defender for Office 365 Plan 2

Tips

Brukerrapportering av meldinger i Microsoft Teams er for øyeblikket i forhåndsversjon, er ikke tilgjengelig i alle organisasjoner og kan endres.

I Microsoft 365-organisasjoner som har Microsoft Defender for Office 365 Plan 2 (tilleggslisenser eller inkludert i abonnementer som Microsoft 365 E5), er brukerrapporterte Teams-meldinger tilgjengelige på fanen Bruker som ble rapportert på siden Innsendinger. Det er enkelt å finne dem hvis du filtrerer resultatene etter meldingstypeverdienTeams-melding.

Hvis du velger en Teams-meldingsoppføring på den rapporterte brukerfanen ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer.

Øverst i undermenyen for detaljer er følgende meldingsinformasjon tilgjengelig:

• Tittelen på undermenyen er emnet eller de første 100 tegnene i Teams-meldingen.
• Den gjeldende meldingsdommen.
• Antall koblinger i meldingen.
• De tilgjengelige handlingene er beskrevet i Admin handlinger for brukerrapporterte meldinger-delen.

Tips

Hvis du vil se detaljer om andre innsendinger uten å gå ut av detaljundermenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

De neste inndelingene i detaljundermenyen er relatert til brukerrapporterte Teams-innsendinger:

• Inndeling for innsendingsresultater :

  • Resultat: Inneholder resultatverdien for innsendingen. Eksempel:
    • Skal ikke ha blitt blokkert
    • Ikke sendt til Microsoft
  • Anbefalte trinn for innsending av e-post: Inneholder koblinger til relaterte handlinger. Eksempel:
    • Vis regler for e-postflyt i Exchange (transportregler)

• Detaljerinndeling for rapportert melding :

  • Rapportert dato
  • Innsendingsnavn
  • Rapportert årsak.
  • Rapportert ID for melding
  • Rapportert av
  • Phish simulering: Verdien er Ja eller Nei.
  • Konvertert til administratorinnsending: Verdien er Ja eller Nei. Hvis du vil ha mer informasjon, kan du se Vis konverterte administratorinnsendinger.

Undermenyen for resten av detaljene inneholder inndelingene Meldingsdetaljer, Avsender, Deltakere, Kanaldetaljer og NETTADRESSEr som er en del av teammeldingsenhetspanelet. Hvis du vil ha mer informasjon, kan du se Teams mMessage-enhetspanelet i Microsoft Defender for Office 365 Plan 2.

Tips

Hvis resultatverdien er Phish-simulering, kan detaljene bare inneholde følgende informasjon:

• Inndeling for resultatdetaljer
• Inndeling for rapportert meldingsdetaljer
• Inndeling for e-postdetaljer med følgende verdier:
  • Nettverksmeldings-ID
  • Avsender
  • Sendt dato

Når du er ferdig med undermenyen for detaljer, velger du Lukk.

Admin handlinger for brukerrapporterte meldinger

Handlinger for rapporterte meldinger fra brukeren er tilgjengelige på selve fanen, eller i detaljmenyen for en valgt oppføring på den rapporterte fanen:

• Merk meldingen fra listen ved å merke av i avmerkingsboksen ved siden av den første kolonnen. Følgende handlinger er tilgjengelige på den rapporterte fanen Bruker :

  • Send til Microsoft for analyse
  • Merk som og varsle
  • Utløserundersøkelse (bare Defender for Office 365 plan 2)

• Merk meldingen fra listen ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen. Følgende handlinger er tilgjengelige i undermenyen for detaljer som åpnes^*:

  • Send til Microsoft for analyse
  • Merk som og varsle
  • Vis den konverterte administratorinnsendingen
  • Bare handlinger i Microsoft Defender for Office 365:
    • Åpne e-postenhet
    • Utføre handlinger
    • Vis varsel

Handlinger for brukerrapporterte meldinger i Defender for Office

Tips

Hvis du vil se detaljer eller utføre handlinger på andre brukerrapporterte meldinger uten å forlate detaljer-undermenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

^* Avhengig av innholdet og statusen til meldingen, kan det hende at noen handlinger ikke er tilgjengelige, er tilgjengelige direkte øverst i undermenyen eller er tilgjengelige under Flere handlinger øverst i undermenyen.

Disse handlingene er beskrevet i følgende underområder.

Obs!

Når en bruker rapporterer en mistenkelig melding, kan ikke brukeren eller administratorene angre rapporteringen av meldingen, uavhengig av hvor den rapporterte meldingen sendes (til postboksen for rapportering, til Microsoft eller begge). Brukeren kan gjenopprette den rapporterte meldingen fra slettede elementer eller søppelpostmapper.

Send inn brukerrapporterte meldinger til Microsoft for analyse

Når du har valgt meldingen i den rapporterte brukerfanen , kan du bruke én av følgende metoder til å sende meldingen til Microsoft:

• Velg Send til Microsoft for analyse*på den rapporterte brukerfanen.

• Undermeny for detaljer i den valgte meldingen: Velg Send til Microsoft for analyse eller Flere alternativer>Send til Microsoft for analyse øverst i undermenyen.

Gjør følgende i undermenyen Send til Microsoft for analyse som åpnes, basert på om meldingen er en e-postmelding eller en Teams-melding:

• E-postmeldinger:

  • Hvorfor sender du denne meldingen til Microsoft?: Velg én av følgende verdier:

    • Det virker rent eller det virker mistenkelig: Velg en av disse verdiene hvis du er usikker, og du vil ha en dom fra Microsoft.

      Velg Send, og velg deretter Ferdig.

    • Jeg har bekreftet at det er rent: Velg denne verdien hvis du er sikker på at elementet er rent, og velg deretter Neste.

      Gjør ett av følgende på neste side i undermenyen:

      • Velg Send, og velg deretter Ferdig.

      eller

      • Velg Tillat denne meldingen: Dette alternativet oppretter en tillatelsesoppføring for elementene i meldingen i leierens tillatelses-/blokkeringsliste. Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

      Når du har valgt dette alternativet, er følgende innstillinger tilgjengelige:

      • Fjern tillatelsesoppføring etter: Standardverdien er 30 dager, men du kan velge blant følgende verdier:

        • 1 dag
        • 7 dager
        • 30 dager
        • Spesifikk dato: Maksimumsverdien er 30 dager fra i dag.

      • Tillat oppføringsnotat (valgfritt): Angi valgfri informasjon om hvorfor du tillater dette elementet. For forfalskede avsendere vises ikke alle verdiene du angir her, i tillatelsesoppføringen på fanen Falske avsendere på siden Tillat/blokker Lister for leieren.

      Når du er ferdig i undermenyen, velger du Send og deretter Ferdig.

    • Jeg har bekreftet at det er en trussel: Velg denne verdien hvis du er sikker på at elementet er skadelig, og velg deretter én av følgende verdier i delen Velg en kategori som vises:

      • Phish
      • Malware
      • Søppelpost

      Velg Neste.

      Gjør ett av følgende på neste side i undermenyen:

      • Velg Send, og velg deretter Ferdig.

      eller

      • Velg Blokker alle e-postmeldinger fra denne avsenderen eller domenet: Dette alternativet oppretter en blokkoppføring for avsenderdomenet eller e-postadressen i tillatelses-/blokkeringslisten for leieren. Hvis du vil ha mer informasjon om tillatelses-/blokkeringslisten for leier, kan du se Administrere tillatelser og blokker i leierens tillatelses-/blokkeringsliste.

      Når du har valgt dette alternativet, er følgende innstillinger tilgjengelige:

      • Avsender er valgt som standard, men du kan velge Domene i stedet.
      • Fjern blokkoppføring etter: Standardverdien er 30 dager, men du kan velge blant følgende verdier:
        • 1 dag
        • 7 dager
        • 30 dager
        • Aldri utløpe
        • Spesifikk dato: Maksimumsverdien er 30 dager fra i dag.
      • Blokker oppføringsnotat (valgfritt): Angi valgfri informasjon om hvorfor du blokkerer dette elementet.

      Når du er ferdig i undermenyen, velger du Send og deretter Ferdig.

  

• Teams-meldinger: Velg én av følgende verdier:

  • Jeg har bekreftet det rene
  • Det ser rent ut
  • Det virker mistenkelig

  Når du har valgt én av disse verdiene, velger du Send, og deretter Velger du Ferdig.

  • Jeg har bekreftet at det er en trussel: Velg denne verdien hvis du er sikker på at elementet er skadelig, og velg deretter én av følgende verdier i delen Velg en kategori som vises:

  • Phish

  • Malware

    Velg Send, og velg deretter Ferdig.

Når du har sendt en bruker som er rapportert melding til Microsoft fra den rapporterte brukeren-fanen , blir verdien for konvertert til administratorinnsending fra Nei til Ja, og en tilsvarende oppføring for administratorinnsending opprettes på den aktuelle fanen på Innsendinger-siden (for eksempel fanen E-postmeldinger ).

Utløse en undersøkelse i Defender for Office 365 plan 2

• Velg Utløserundersøkelse i rullegardinlisten under Send til Microsoft for analyse* på fanen Bruker rapportert.

Hvis du vil ha mer informasjon, kan du se Utløse en undersøkelse.

Varsle brukere om sendte meldinger fra administrator til Microsoft

Når en administrator sender en brukerrapportmelding til Microsoft fra den rapporterte brukerfanen , kan administratorer bruke Marker som-handlingen og varsle handlingen for å merke meldingen med en dom og sende en malvarslingsmelding til brukeren som rapporterte meldingen.

• Tilgjengelige vurderinger for e-postmeldinger:

  • Finner ingen trusler
  • Phishing
  • Søppelpost

• Tilgjengelige dommer for Teams-meldinger:

  • Finner ingen trusler
  • Phishing

Hvis du vil ha mer informasjon, kan du se Varsle brukere fra portalen.

Vis konverterte administratorinnsendinger

Når en administrator sender en bruker som har rapportert meldingen til Microsoft fra den rapporterte brukerfanen , er verdien for Konvertering til administrator-innsendingJa.

Hvis du velger én av disse meldingene ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av navnet, inneholder detaljer-undermenyen Flere handlinger>Vis den konverterte administratorinnsendingen.

Denne handlingen tar deg til den tilsvarende oppføringen for administratorinnsending på den aktuelle fanen (for eksempel fanen E-postmeldinger ).

Handlinger for brukerrapporterte meldinger i Defender for Office 365

I organisasjoner med Microsoft Defender for Office 365 (tilleggslisenser eller inkludert i abonnementer som Microsoft 365 E5 eller Microsoft 365 Business Premium), kan følgende handlinger også være tilgjengelige i detaljer-undermenyen for en bruker som har rapportert melding på brukeren rapportert fane:

• Åpne e-postenhet (bare e-postmeldinger): Hvis du vil ha mer informasjon, kan du se Hva er på siden for e-postenhet.

• Utfør handlinger (bare e-postmeldinger): Denne handlingen starter den samme handlingsveiviseren som er tilgjengelig på siden for e-postenhet. Hvis du vil ha mer informasjon, kan du se Handlinger på enhetssiden for e-post.

• Vis varsel. Et varsel utløses når en administratorinnsending opprettes eller oppdateres. Hvis du velger denne handlingen, kommer du til detaljene i varselet.