Campagnes in Microsoft Defender voor Office 365

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

In Microsoft 365-organisaties met Microsoft Defender voor Office 365 Plan 2 identificeert en categoriseert de functie voor campagnes gecoördineerde phishing- en malware-e-mailaanvallen. De categorisatie van e-mailaanvallen door Microsoft in discrete campagnes helpt u bij het volgende:

  • E-mailaanvallen efficiënt onderzoeken en erop reageren.
  • Meer inzicht in het bereik van de e-mailaanval die gericht is op uw organisatie.
  • Toon de waarde van Microsoft Defender voor Office 365 aan besluitvormers bij het voorkomen van e-mailbedreigingen.

Met de functie Campagnes kunt u het algehele beeld van een e-mailaanval sneller en vollediger zien dan enig ander mens.

Bekijk deze korte video over hoe campagnes in Microsoft Defender voor Office 365 u inzicht bieden in gecoördineerde e-mailaanvallen die gericht zijn op uw organisatie.

Wat is een campagne?

Een campagne is een gecoördineerde e-mailaanval tegen een of meer organisaties. Email aanvallen die referenties en bedrijfsgegevens stelen, zijn een grote en lucratieve branche. Naarmate de technologieën toenemen om aanvallen te stoppen, wijzigen aanvallers hun methoden om ervoor te zorgen dat ze blijven slagen.

Microsoft past de grote hoeveelheden antiphishing-, antispam- en antimalwaregegevens van de hele service toe om campagnes te identificeren. We analyseren en classificeren de aanvalsinformatie op basis van verschillende factoren. Bijvoorbeeld:

  • Aanvalsbron: de BRON-IP-adressen en e-maildomeinen van de afzender.
  • Berichteigenschappen: de inhoud, stijl en toon van de berichten.
  • Geadresseerden van bericht: hoe geadresseerden zijn gerelateerd. Bijvoorbeeld ontvangerdomeinen, functiefuncties van geadresseerden (beheerders, leidinggevenden, enzovoort), bedrijfstypen (groot, klein, openbaar, privé, enzovoort) en branches.
  • Nettolading van aanvallen: schadelijke koppelingen, bijlagen of andere nettoladingen in de berichten.

Een campagne kan van korte duur zijn of kan meerdere dagen, weken of maanden duren met actieve en inactieve perioden. Een campagne kan specifiek tegen uw organisatie worden gestart of uw organisatie maakt deel uit van een grotere campagne voor meerdere bedrijven.

Vereiste licenties en machtigingen

  • De campagnefunctie is beschikbaar in organisaties met Defender voor Office 365 Abonnement 2 (invoegtoepassingslicenties of opgenomen in abonnementen zoals Microsoft 365 E5).
  • U moet machtigingen hebben om informatie over campagnes weer te geven, zoals beschreven in dit artikel. U hebt de volgende opties:

Pagina Campagnes in de Microsoft Defender-portal

Als u de pagina Campagnes in de Microsoft Defender-portal op https://security.microsoft.comwilt openen, gaat u naar Email & samenwerkingscampagnes>. Als u rechtstreeks naar de pagina Campagnes wilt gaan, gebruikt u https://security.microsoft.com/campaigns.

De pagina Campagnes bestaat uit de volgende elementen:

  • Een opbouwfunctie voor filters/query's boven aan de pagina.
  • Een grafiekgebied waarin u de beschikbare draaipunten kunt gebruiken om de grafiek op verschillende manieren te ordenen. De grafiek maakt standaard gebruik van de draai campagnetype , ook al lijkt deze draai niet te zijn geselecteerd.
  • Een detailgebied, dat standaard is ingesteld op het tabblad Campagne

Schermopname van de campagnes in de Microsoft Defender portal.

Tip

  • Als u geen campagnegegevens of zeer beperkte gegevens ziet, kunt u proberen het datumbereik of de filters te wijzigen.

  • U kunt dezelfde informatie over campagnes ook bekijken in Bedreigingsverkenner op https://security.microsoft.com/threatexplorerv3:

    • Weergave Campagnes .
    • Tabblad Campagne alle e-mailweergave> in het detailgebied onder de grafiek.
    • Tabblad Malwareweergave>Campagne in het detailgebied onder de grafiek.
    • Het tabblad Campagne weergeven > in het detailgebied onder de grafiek.

  • Als u een Microsoft Defender voor Eindpunt-abonnement hebt, wordt de informatie over campagnes gekoppeld aan Microsoft Defender voor Eindpunt.

Grafiekgebied op de pagina Campagnes

Op de pagina Campagnes toont het grafiekgebied een staafdiagram met het aantal geadresseerden per dag. In de grafiek worden standaard zowel Malware - als Phish-gegevens weergegeven.

Wijzig de filters om de informatie te filteren die wordt weergegeven in de grafiek en in de detailtabel.

Wijzig de organisatie van de grafiek door Campagnetype te selecteren en vervolgens een van de volgende waarden in de vervolgkeuzelijst te selecteren:

  • Campagnenaam
  • Subtype campagne
  • Afzenderdomein
  • IP-adres van afzender
  • Leveringsactie
  • Detectietechnologie
  • Volledige URL
  • URL-domein
  • URL-domein en -pad

Gebruik Grafiekgegevens exporteren om de gegevens in de grafiek te exporteren naar een CSV-bestand.

Als u de grafiek van de pagina wilt verwijderen (waarmee de grootte van het detailgebied wordt gemaximaliseerd), voert u een van de volgende stappen uit:

  • Selecteer Lijstweergave> grafiek bovenaan de pagina.
  • Selecteer Lijstweergave weergeven tussen de grafiek en de weergaven voor de detailtabel.

Detailgebied op de pagina Campagnes

Wijzig de filters om de informatie te filteren die wordt weergegeven in de grafiek en in de detailtabel.

Op de pagina Campagnes ziet u op het tabblad Campagne onder de grafiek de volgende informatie in de detailtabel:

  • Naam
  • Voorbeeldonderwerp: de onderwerpregel van een van de berichten in de campagne. Alle berichten in de campagne hebben niet noodzakelijkerwijs hetzelfde onderwerp.
  • Gericht: het percentage zoals berekend door: (het aantal geadresseerden van de campagne in uw organisatie) / (het totale aantal geadresseerden in de campagne voor alle organisaties in de service). Deze waarde geeft de mate aan waarin de campagne alleen is gericht op uw organisatie (een hogere waarde) versus ook gericht op andere organisaties in de service (een lagere waarde).
  • Type: De waarde is Phish of Malware.
  • Subtype: de waarde bevat meer informatie over de campagne. Bijvoorbeeld:
    • Phish: Waar beschikbaar, het merk dat wordt gefasht door deze campagne. Bijvoorbeeld Microsoft, 365, Unknown, Outlookof DocuSign. Wanneer de detectie wordt aangestuurd door Defender voor Office 365-technologie, wordt het voorvoegsel ATP- toegevoegd aan de subtypewaarde.
    • Malware: bijvoorbeeld W32/<MalwareFamilyName> of VBS/<MalwareFamilyName>.
  • Tags: Zie Gebruikerstags voor meer informatie over gebruikerstags.
  • Ontvangers: het aantal gebruikers waarop deze campagne is gericht.
  • Postvak IN: het aantal gebruikers dat berichten van deze campagne heeft ontvangen in hun Postvak IN (niet bezorgd in hun map Ongewenste Email).
  • Geklikt: het aantal gebruikers dat de URL heeft geselecteerd of de bijlage in het phishingbericht heeft geopend.
  • Klikfrequentie: In phishingcampagnes wordt het percentage berekend door 'Clicked / Inboxed'. Deze waarde is een indicator van de effectiviteit van de campagne. Met andere woorden, konden de geadresseerden het bericht identificeren als phishing en daarom de nettolading-URL vermijden? Klikfrequentie wordt niet gebruikt in malwarecampagnes.
  • Bezocht: hoeveel gebruikers daadwerkelijk zijn doorgekomen op de website van de nettolading. Als er aanklikte waarden zijn, maar veilige koppelingen de toegang tot de website blokkeren, is deze waarde nul.

Selecteer een kolomkop om op die kolom te sorteren. Als u kolommen wilt verwijderen, selecteert u Kolommen aanpassen. Standaard zijn alle beschikbare kolommen geselecteerd.

Gebruik Exporteren om de gegevens in de detailtabel te exporteren naar een CSV-bestand.

Op de pagina Campagnes ziet u op het tabblad Campagneoorsprong onder de grafiek de berichtbronnen op een kaart van de wereld.

Filters op de pagina Campagnes

Boven aan de pagina Campagne staan verschillende filterinstellingen om specifieke campagnes te vinden en te isoleren. De filters die u selecteert, zijn van invloed op de grafiek en de detailtabel.

De weergave wordt standaard gefilterd op gisteren en vandaag. Als u het datumfilter wilt wijzigen, selecteert u het datumbereik en selecteert u vervolgens begindatum - en einddatumwaarden tot 30 dagen geleden.

Campagnefilters op de pagina Campagnes.

U kunt de resultaten ook filteren op een of meer bericht- of campagne-eigenschappen. De basissyntaxis is:

<Eigenschap><Gelijk aan gelijk | aan geen><eigenschapswaarde of -waarden>

  • Selecteer het bericht of de campagne-eigenschap in de vervolgkeuzelijst Campagnetype (Campagnetype is de standaardwaarde die is geselecteerd).
  • De eigenschapswaarden die u moet invoeren, zijn volledig afhankelijk van de eigenschap. Sommige eigenschappen staan vrije tekst toe met meerdere waarden gescheiden door komma's, en sommige eigenschappen staan meerdere waarden toe die in een lijst zijn geselecteerd.

De beschikbare eigenschappen en de bijbehorende waarden worden beschreven in de volgende tabel:

Eigenschap Type
Basic
Campagnetype Selecteer een of meer waarden¹:
  • Malware
  • Phishing
Campagnenaam Tekst. Meerdere waarden scheiden door komma's.
Subtype campagne Tekst. Meerdere waarden scheiden door komma's.
Adres afzender Tekst. Meerdere waarden scheiden door komma's.
Geadresseerden Tekst. Meerdere waarden scheiden door komma's.
Afzenderdomein Tekst. Meerdere waarden scheiden door komma's.
Ontvangerdomein Tekst. Meerdere waarden scheiden door komma's.
Onderwerp Tekst. Meerdere waarden scheiden door komma's.
Weergavenaam van afzender Tekst. Meerdere waarden scheiden door komma's.
Afzender e-mail van adres Tekst. Meerdere waarden scheiden door komma's.
Afzender e-mail van domein Tekst. Meerdere waarden scheiden door komma's.
Malwarefamilie Tekst. Meerdere waarden scheiden door komma's.
Tags Tekst. Meerdere waarden scheiden door komma's.

Zie Gebruikerstags voor meer informatie over gebruikerstags.
Leveringsactie Selecteer een of meer waarden¹:
  • Geblokkeerd
  • Geleverd
  • Bezorgd bij ongewenste e-mail
  • Vervangen
Aanvullende actie Selecteer een of meer waarden¹:
Gerichtheid Selecteer een of meer waarden¹:
  • Inkomende
  • Intra-irg
  • Uitgaand
Detectietechnologie Selecteer een of meer waarden¹:
  • Geavanceerd filter: Signalen op basis van machine learning.
  • Antimalwarebescherming
  • Bulk
  • Campagne
  • Domeinreputatie
  • Bestandsonttoning: Veilige bijlagen hebben een schadelijke bijlage gedetecteerd tijdens de detonatieanalyse.
  • Reputatie van bestandsonttoning: bestandsbijlagen die eerder zijn gedetecteerd door veilige bijlagen-detonaties in andere Microsoft 365-organisaties.
  • Bestandsreputatie: het bericht bevat een bestand dat eerder als schadelijk is geïdentificeerd in andere Microsoft 365-organisaties.
  • Vingerafdrukkoppeling: het bericht lijkt sterk op een eerder gedetecteerd schadelijk bericht.
  • Algemeen filter
  • Merk imitatie: Afzender imitatie van bekende merken.
  • Imitatiedomein: imitatie van afzenderdomeinen waarvan u eigenaar bent of die u hebt opgegeven voor beveiliging in antiphishingbeleid
  • Imitatiegebruiker
  • IP-reputatie
  • Imitatie van postvakintelligentie: imitatiedetecties van postvakinformatie in antiphishingbeleid.
  • Detectie van gemengde analyse: meerdere filters hebben bijgedragen aan het berichtoordeel.
  • spoof DMARC: Het bericht heeft dmarc-verificatie mislukt.
  • Adresvervalsing extern domein: adresvervalsing van afzenders met behulp van een domein dat zich buiten uw organisatie bevindt.
  • Adresvervalsing binnen de organisatie: adresvervalsing van afzenders met behulp van een domein dat intern is voor uw organisatie.
  • URL-detonatie: Safe Links heeft tijdens de detonatieanalyse een schadelijke URL in het bericht gedetecteerd.
  • REPUTATIE van URL-detonatie
  • URL schadelijke reputatie: URL's die eerder zijn gedetecteerd door veilige koppelingen-detonaties in andere Microsoft 365-organisaties.
Oorspronkelijke leveringslocatie Selecteer een of meer waarden¹:
  • Map Verwijderde items
  • Gedaald
  • Mislukt
  • Postvak IN/map
  • Map Ongewenste e-mail
  • On-premises/extern
  • Quarantaine
  • Unknown
Meest recente leveringslocatie Dezelfde waarden als de oorspronkelijke leveringslocatie
Systeemoverschrijvingen Selecteer een of meer waarden¹:
  • Toegestaan door gebruikersbeleid
  • Geblokkeerd door gebruikersbeleid
  • Toegestaan door organisatiebeleid
  • Geblokkeerd door organisatiebeleid
  • Bestandsextensie geblokkeerd door organisatiebeleid
  • Geen
Systeemoverschrijvingsbron Selecteer een of meer waarden¹:
  • Filter van derden
  • Beheer geïnitieerde tijdreizen (ZAP)
  • Antimalwarebeleid blokkeren per bestandstype
  • Instellingen voor antispambeleid
  • Verbindingsbeleid
  • Exchange-transportregel (e-mailstroomregel)
  • Filteren overgeslagen vanwege on-premises organisatie
  • IP-regiofilter van beleid
  • Taalfilter van beleid
  • Phishingsimulatie
  • Release in quarantaine
  • SecOPs-postvak
  • Adressenlijst van afzenders (beheerder overschrijven)
  • Adressenlijst van afzenders (gebruiker overschrijven)
  • Lijst met afzenderdomeinen (beheerder overschrijven)
Advanced
Internetbericht-id Tekst. Meerdere waarden scheiden door komma's.

Beschikbaar in het veld Bericht-ID-koptekst in de berichtkop. Een voorbeeldwaarde is <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (let op de hoekhaken).
Netwerkbericht-id Tekst. Meerdere waarden scheiden door komma's.

Een GUID-waarde die beschikbaar is in het kopveld X-MS-Exchange-Organization-Network-Message-Id in de berichtkop.
IP-adres van afzender Tekst. Meerdere waarden scheiden door komma's.
Bijlage SHA256 Tekst. Meerdere waarden scheiden door komma's.

Als u de SHA256-hashwaarde van een bestand in Windows wilt vinden, voert u de volgende opdracht uit in een opdrachtprompt: certutil.exe -hashfile "<Path>\<Filename>" SHA256.
Cluster-id Tekst. Meerdere waarden scheiden door komma's.
Waarschuwings-id Tekst. Meerdere waarden scheiden door komma's.
Waarschuwingsbeleids-id Tekst. Meerdere waarden scheiden door komma's.
Campagne-id Tekst. Meerdere waarden scheiden door komma's.
ZAP-URL-signaal Tekst. Meerdere waarden scheiden door komma's.
Urls
URL-domein Tekst. Meerdere waarden scheiden door komma's.
URL-domein en -pad Tekst. Meerdere waarden scheiden door komma's.
URL Tekst. Meerdere waarden scheiden door komma's.
URL-pad Tekst. Meerdere waarden scheiden door komma's.
Klik op oordeel Selecteer een of meer waarden¹:
  • Toegestaan
  • Blokkeren overschreven
  • Geblokkeerd
  • Fout
  • Mislukking
  • Geen
  • Uitspraak in behandeling
  • Uitspraak in behandeling omzeild
Bestand
Bestandsnaam van bijlage Tekst. Meerdere waarden scheiden door komma's.

¹ Het niet gebruiken van dit eigenschapsfilter of het gebruik van dit eigenschapsfilter zonder geselecteerde waarden heeft hetzelfde resultaat als het gebruik van dit eigenschapsfilter met alle geselecteerde waarden.

Nadat u een eigenschap hebt geselecteerd in de vervolgkeuzelijst Campagnetype , Gelijk aan een ofNiet gelijk aan een van selecteert en vervolgens een waarde in het eigenschappenvak invoert of selecteert, wordt de filterquery weergegeven onder het filtergebied.

Schermopname van een campagnefilter geselecteerd.

Als u meer voorwaarden wilt toevoegen, selecteert u een ander eigenschap/waardepaar en selecteert u vervolgens EN of OF. Herhaal deze stappen zo vaak als nodig is.

Als u bestaande eigenschaps-/waardeparen wilt verwijderen, selecteert u naast de vermelding.

Wanneer u klaar bent met het samenstellen van de filterquery, selecteert u Vernieuwen.

Als u de filterquery wilt opslaan, selecteert u Query> opslaanQuery opslaan. Configureer in de flyout Query opslaan die wordt geopend de volgende instellingen:

  • Querynaam: voer een unieke waarde in.
  • Selecteer een van de volgende waarden:
    • Exacte datums: selecteer het datumbereik.
    • Relatieve datums: selecteer een tot 30 dagen.
  • Deze query bijhouden

Wanneer u klaar bent in de flyout Query opslaan , selecteert u Opslaan en selecteert u vervolgens OK in het bevestigingsdialoogvenster.

Wanneer u terugkeert naar de pagina Campagnes, kunt u een opgeslagen filter laden door Query> opslaanOpgeslagen query-instellingen te selecteren.

Campagnedetails

Wanneer u een item in de detailtabel selecteert door op een willekeurige plaats in de rij behalve het selectievakje naast de naam te klikken, wordt er een flyout geopend die details over de campagne bevat.

Wat wordt weergegeven in de flyout met campagnedetails, wordt beschreven in de volgende subsecties.

Campagne-informatie

Bovenaan de flyout met campagnedetails vindt u de volgende campagne-informatie:

  • Campagne-id: de unieke campagne-id.
  • Activiteit: De duur en activiteit van de campagne.
  • De volgende gegevens voor het datumbereikfilter dat u hebt geselecteerd (of die u selecteert in de tijdlijn):
    • Gevolg
    • Berichten: het totale aantal geadresseerden.
    • Postvak IN: het aantal berichten dat is bezorgd in het Postvak IN, niet in de map Ongewenste Email.
    • Op de koppeling geklikt: hoeveel gebruikers de nettolading-URL in het phishingbericht hebben geselecteerd.
    • Bezochte koppeling: hoeveel gebruikers de URL hebben bezocht.
    • Targeted(%): het percentage zoals berekend door: (het aantal ontvangers van de campagne in uw organisatie) / (het totale aantal geadresseerden in de campagne voor alle organisaties in de service). Deze waarde wordt berekend over de hele levensduur van de campagne en wordt niet gewijzigd door datumfilters.
  • Filters voor begindatum/tijd en eindgegevens/-tijd voor de campagnestroom, zoals beschreven in de volgende sectie.
  • Een interactieve tijdlijn van campagneactiviteit: de tijdlijn toont de activiteit gedurende de hele levensduur van de campagne. U kunt de muisaanwijzer over de gegevenspunten in de grafiek bewegen om het aantal gedetecteerde berichten te bekijken.

De campagne-informatie

Campagnestroom

In het midden van de flyout met campagnedetails worden belangrijke details over de campagne weergegeven in een horizontaal stroomdiagram (ook wel een Sankey-diagram genoemd). Deze details helpen u inzicht te verkrijgen in de elementen van de campagne en de mogelijke impact in uw organisatie.

Tip

De informatie die in het stroomdiagram wordt weergegeven, wordt bepaald door het datumbereikfilter in de tijdlijn, zoals beschreven in de vorige sectie.

De campagnedetails die geen klikken op gebruikers-URL's bevatten

Als u de muisaanwijzer over een horizontale band in het diagram beweegt, ziet u het aantal gerelateerde berichten (bijvoorbeeld berichten van een bepaald bron-IP-adres, berichten van het bron-IP-adres met het opgegeven afzenderdomein, enzovoort).

Het diagram bevat de volgende informatie:

  • IP-adressen van afzender

  • Afzenderdomeinen

  • Beoordelingsbeoordelingen filteren: de beoordelingswaarden zijn gerelateerd aan de beschikbare phishing- en spamfilters, zoals beschreven in antispamberichtkoppen. De beschikbare waarden worden beschreven in de volgende tabel:

    Waarde Spamfilteroordeel Omschrijving
    Toegestaan SFV:SKN
    <Br/ SFV:SKI    		 Het bericht is gemarkeerd als geen spam en/of filteren overgeslagen voordat het werd geëvalueerd door spamfilters. Het bericht is bijvoorbeeld gemarkeerd als geen spam door een e-mailstroomregel (ook wel een transportregel genoemd).
    <br/ Het bericht heeft spamfilters om andere redenen overgeslagen. De afzender en geadresseerde lijken zich bijvoorbeeld in dezelfde organisatie te bevinden.
    Geblokkeerd SFV:SKS Het bericht is gemarkeerd als spam voordat het werd geëvalueerd door spamfilters. Bijvoorbeeld door een e-mailstroomregel.
    Gedetecteerd SFV:SPM Het bericht is gemarkeerd als spam door het spamfilter.
    Niet gedetecteerd SFV:NSPM Het bericht is gemarkeerd als geen spam door spamfilters.
    Vrijgegeven SFV:SKQ Het bericht heeft spamfiltering overgeslagen omdat het is vrijgegeven uit quarantaine.
    Tenant toestaan¹ SFV:SKA Het bericht heeft spamfiltering overgeslagen vanwege de instellingen in een antispambeleid. De afzender stond bijvoorbeeld in de lijst met toegestane afzenders of de lijst met toegestane domeinen.
    Tenantblok² SFV:SKA Het bericht is geblokkeerd door spamfilters vanwege de instellingen in een antispambeleid. De afzender stond bijvoorbeeld in de lijst met toegestane afzenders of de lijst met toegestane domeinen.
    Gebruiker toestaan¹ SFV:SFE Het bericht heeft spamfiltering overgeslagen omdat de afzender in de lijst met veilige afzenders van een gebruiker stond.
    Gebruikersblok² SFV:BLK Het bericht is geblokkeerd door spamfilters omdat de afzender in de lijst met geblokkeerde afzenders van een gebruiker stond.
    ZAP n.v.t. Zero-hour auto purge (ZAP) heeft het bezorgde bericht verplaatst naar de map Ongewenste Email of quarantaine. U configureert de actie in het antispambeleid.

    ¹ Controleer uw antispambeleid, omdat het toegestane bericht waarschijnlijk is geblokkeerd door de service.

    ² Controleer uw antispambeleid, omdat deze berichten in quarantaine moeten worden geplaatst, niet moeten worden bezorgd.

  • Berichtbestemmingen: onderzoek berichten die zijn bezorgd bij geadresseerden (in het Postvak IN of de map Ongewenste e-Email mail), zelfs als gebruikers de nettolading-URL niet in het bericht hebben geselecteerd. U kunt ook de berichten in quarantaine uit quarantaine verwijderen. Zie E-mailberichten in quarantaine in EOP voor meer informatie.

    • Map verwijderd
    • Gedaald
    • Extern: de ontvanger bevindt zich in uw on-premises e-mailorganisatie in hybride omgevingen.
    • Mislukt
    • Doorgestuurd
    • Inbox
    • Map Ongewenste e-mail
    • Quarantaine
    • Unknown

  • URL-klikken: deze waarden worden beschreven in de volgende sectie.

Opmerking

In alle lagen die meer dan 10 items bevatten, worden de bovenste 10 items weergegeven, terwijl de rest wordt gebundeld in Overige.

URL-klikken

Wanneer een phishingbericht wordt bezorgd in de map Postvak IN van een geadresseerde of ongewenste e-mail Email, is er altijd een kans dat de gebruiker de nettoladings-URL selecteert. Het niet selecteren van de URL is een kleine mate van succes, maar u moet bepalen waarom het phishingbericht in de eerste plaats in het postvak is bezorgd.

Als een gebruiker de payload-URL in het phishingbericht heeft geselecteerd, worden de acties weergegeven in het gebied URL-klikken van het diagram in de weergave met campagnedetails.

  • Toegestaan
  • BlockPage: de ontvanger heeft de nettolading-URL geselecteerd, maar de toegang tot de schadelijke website is geblokkeerd door een beleid voor veilige koppelingen in uw organisatie.
  • BlockPageOverride: de geadresseerde heeft de nettolading-URL in het bericht geselecteerd. Veilige koppelingen probeerde deze te stoppen, maar ze mochten het blok overschrijven. Controleer uw beleid voor veilige koppelingen om te zien waarom gebruikers het oordeel over Veilige koppelingen mogen negeren en doorgaan naar de schadelijke website.
  • PendingDetonationPage: Veilige bijlagen in Microsoft Defender voor Office 365 de nettolading-URL in een virtuele omgeving opent en onderzoekt.
  • PendingDetonationPageOverride: de ontvanger mag het nettoladingonttonatieproces overschrijven en de URL openen zonder op de resultaten te wachten.

Tabbladen

Tip

De informatie die op de tabbladen wordt weergegeven, wordt bepaald door het datumbereikfilter in de flyout met campagnedetails, zoals beschreven in de sectie Campagnegegevens .

Met de tabbladen in de flyout voor campagnedetails kunt u de campagne verder onderzoeken. De volgende tabbladen zijn beschikbaar:

  • URL-klikken: als gebruikers de nettolading-URL niet in het bericht hebben geselecteerd, is deze sectie leeg. Als een gebruiker de URL kon selecteren, worden de volgende waarden ingevuld:

    • Gebruiker*
    • Tags
    • URL*
    • Kliktijd
    • Klik op oordeel

  • IP-adressen van afzender

    • IP-adres van afzender*
    • Totaal aantal
    • Postvak IN
    • Niet postvak IN
    • SPF geslaagd: de afzender is geverifieerd door het Sender Policy Framework (SPF). Een afzender die niet door de SPF-validatie komt, geeft aan dat er een niet-geverifieerde afzender is of dat het bericht een legitieme afzender vervalst.

  • Afzenders

    • Afzender: dit is het werkelijke adres van de afzender in de opdracht SMTP MAIL FROM , wat niet noodzakelijkerwijs het e-mailadres Van: is dat gebruikers zien in hun e-mailclients.
    • Totaal aantal
    • Postvak IN
    • Niet postvak IN
    • DKIM geslaagd: de afzender is geverifieerd door DKIM (Domain Keys Identified Mail). Een afzender die de DKIM-validatie niet doorkomt, geeft aan dat er een niet-geverifieerde afzender is of dat het bericht een legitieme afzender vervalst.
    • DMARC is doorgegeven: de afzender is geverifieerd door domeingebaseerde berichtverificatie, -rapportage en -conformiteit (DMARC). Een afzender die de DMARC-validatie niet doorkomt, geeft aan dat een niet-geverifieerde afzender is of dat het bericht een legitieme afzender vervalst.

  • Bijlagen

    • Bestandsnaam
    • SHA256
    • Malwarefamilie
    • Totaal aantal

  • Urls

    • URL*
    • Totaal aantal

* Als u deze waarde selecteert, wordt een nieuwe flyout geopend met meer details over het opgegeven item (gebruiker, URL, enzovoort) boven op de weergave met campagnedetails. Als u wilt terugkeren naar de flyout met campagnedetails, selecteert u Gereed in de nieuwe flyout.

Selecteer op elk tabblad een kolomkop om op die kolom te sorteren. Als u kolommen wilt verwijderen, selecteert u Kolommen aanpassen. Standaard zijn alle beschikbare kolommen op elk tabblad geselecteerd.

Aanvullende acties

Met de acties onderaan de flyout voor campagnedetails kunt u details over de campagne onderzoeken en vastleggen:

  • Selecteer Ja of Nee in Denkt u dat deze campagne deze berichten nauwkeurig heeft gegroepeerd?.
  • Berichten verkennen: gebruik de kracht van Threat Explorer om de campagne verder te onderzoeken door een van de volgende waarden in de vervolgkeuzelijst te selecteren:
    • Alle berichten: hiermee opent u een nieuw zoektabblad in Bedreigingsverkenner met de waarde Campagne-id als zoekfilter.
    • Berichten in postvak IN: Hiermee opent u een nieuw zoektabblad van Threat Explorer met de campagne-id en bezorgingslocatie: Postvak IN als zoekfilter.
    • Interne berichten: Hiermee opent u een nieuw zoektabblad in Threat Explorer met de campagne-id en directionaliteit: intra-org als zoekfilter.
  • Bedreigingsrapport downloaden: Download de campagnedetails naar een Word document (standaard met de naam CampaignReport.docx). De download bevat details over de hele levensduur van de campagne (niet alleen het datumfilter dat u hebt geselecteerd).