Kampanie w Ochrona usługi Office 365 w usłudze Microsoft Defender

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

W organizacjach platformy Microsoft 365 z planem Ochrona usługi Office 365 w usłudze Microsoft Defender 2 funkcja kampanii identyfikuje i kategoryzuje skoordynowane ataki wyłudzania informacji i złośliwego oprogramowania w wiadomości e-mail. Kategoryzacja ataków poczty e-mail przez firmę Microsoft na dyskretne kampanie ułatwia:

  • Efektywne badanie ataków poczty e-mail i reagowanie na nie.
  • Lepiej zrozumieć zakres ataku poczty e-mail, który jest przeznaczony dla Twojej organizacji.
  • Pokaż wartość Ochrona usługi Office 365 w usłudze Microsoft Defender dla osób podejmujących decyzje w celu zapobiegania zagrożeniom pocztą e-mail.

Funkcja kampanii pozwala zobaczyć ogólny obraz ataku poczty e-mail szybciej i bardziej całkowicie niż jakikolwiek człowiek.

Obejrzyj ten krótki film wideo, w jaki sposób kampanie w Ochrona usługi Office 365 w usłudze Microsoft Defender pomagają zrozumieć skoordynowane ataki poczty e-mail, które są przeznaczone dla Twojej organizacji.

Co to jest kampania?

Kampania to skoordynowany atak e-mail na jedną lub wiele organizacji. Email ataki, które kradną poświadczenia i dane firmowe, to duża i lukratywna branża. Wraz ze wzrostem technologii w celu powstrzymania ataków osoby atakujące modyfikują swoje metody, aby zapewnić ciągły sukces.

Firma Microsoft stosuje ogromne ilości danych chroniących przed wyłudzaniem informacji, ochrony przed spamem i złośliwym oprogramowaniem z całej usługi w celu zidentyfikowania kampanii. Analizujemy i klasyfikujemy informacje o ataku według kilku czynników. Przykład:

  • Źródło ataku: źródłowe adresy IP i domeny wiadomości e-mail nadawcy.
  • Właściwości komunikatu: zawartość, styl i ton komunikatów.
  • Adresaci wiadomości: jak adresaci są powiązani. Na przykład domeny adresatów, funkcje zadań adresatów (administratorzy, kadra kierownicza itp.), typy firm (duże, małe, publiczne, prywatne itp.) i branże.
  • Ładunek ataku: złośliwe linki, załączniki lub inne ładunki w komunikatach.

Kampania może być krótkotrwała lub może obejmować kilka dni, tygodni lub miesięcy z aktywnymi i nieaktywnymi okresami. W szczególności może zostać uruchomiona kampania przeciwko Twojej organizacji lub twoja organizacja może być częścią większej kampanii w wielu firmach.

Wymagane licencje i uprawnienia

  • Funkcja kampanii jest dostępna w organizacjach z planem Ochrona usługi Office 365 w usłudze Defender 2 (licencje dodatków lub zawarte w subskrypcjach, takich jak Microsoft 365 E5).
  • Musisz mieć przypisane uprawnienia, aby wyświetlać informacje o kampaniach zgodnie z opisem w tym artykule. Masz następujące możliwości:
    • Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell): operacje zabezpieczeń/nieprzetworzone dane (poczta e-mail & współpracy)/nagłówki wiadomości Email (odczyt).

    • Email & uprawnienia do współpracy w portalu Microsoft Defender: członkostwo w grupie ról Zarządzanie organizacją, Administrator zabezpieczeń lub Czytelnik zabezpieczeń.

    • uprawnienia Microsoft Entra: członkostwo w rolach administratora* globalnego, administratora zabezpieczeń lub czytelnika zabezpieczeń zapewnia użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365.

      Ważne

      * Firma Microsoft zaleca używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

Strona Kampanie w portalu Microsoft Defender

Aby otworzyć stronę Kampanie w portalu Microsoft Defender pod adresem https://security.microsoft.com, przejdź do Email &kampaniiwspółpracy>. Aby przejść bezpośrednio do strony Kampanie , użyj polecenia https://security.microsoft.com/campaigns.

Strona Kampanie składa się z następujących elementów:

  • Konstruktor filtrów/zapytań w górnej części strony.
  • Obszar wykresu, w którym można używać dostępnych wykresów przestawnych do organizowania wykresu na różne sposoby. Domyślnie wykres używa tabeli przestawnej Typ kampanii , mimo że ten wykres przestawny nie jest wyświetlany jako zaznaczony.
  • Obszar szczegółów, który jest domyślnie ustawiony na kartę Kampania

Zrzut ekranu przedstawiający kampanie w portalu Microsoft Defender.

Porada

  • Jeśli nie widzisz żadnych danych kampanii ani bardzo ograniczonych danych, spróbuj zmienić zakres dat lub filtry.

  • Możesz również wyświetlić te same informacje o kampaniach w Eksploratorze zagrożeń pod adresem https://security.microsoft.com/threatexplorerv3:

    • Widok kampanii.
    • Wszystkie karty Kampanie widoku >poczty e-mail w obszarze szczegółów poniżej wykresu.
    • Karta Kampanie widoku złośliwego oprogramowania> w obszarze szczegółów poniżej wykresu.
    • Karta Phish view >Campaign (Kampania ) w obszarze szczegółów poniżej wykresu.
  • Jeśli masz subskrypcję Ochrona punktu końcowego w usłudze Microsoft Defender, informacje o kampaniach są połączone z Ochrona punktu końcowego w usłudze Microsoft Defender.

Obszar wykresu na stronie Kampanie

Na stronie Kampanie obszar wykresu przedstawia wykres słupkowy pokazujący liczbę adresatów dziennie. Domyślnie na wykresie są wyświetlane dane złośliwego oprogramowania i języka Phish .

Aby filtrować informacje wyświetlane na wykresie i w tabeli szczegółów, zmień filtry.

Zmień organizację wykresu, wybierając pozycję Typ kampanii, a następnie wybierając jedną z następujących wartości na liście rozwijanej:

  • Nazwa kampanii
  • Podtyp kampanii
  • Domena nadawcy
  • Adres IP nadawcy
  • Akcja dostarczania
  • Technologia wykrywania
  • Pełny adres URL
  • Domena adresu URL
  • Domena i ścieżka adresu URL

Użyj polecenia Eksportuj dane wykresu , aby wyeksportować dane na wykresie do pliku CSV.

Aby usunąć wykres ze strony (co maksymalizuje rozmiar obszaru szczegółów), wykonaj jedną z następujących czynności:

  • Wybierz pozycję Widok listy widoku >wykresuw górnej części strony.
  • Wybierz pozycję Pokaż widok listy między wykresem a widokami tabeli szczegółów.

Obszar szczegółów na stronie Kampanie

Aby filtrować informacje wyświetlane na wykresie i w tabeli szczegółów, zmień filtry.

Na stronie Kampanie na karcie Kampania poniżej wykresu przedstawiono następujące informacje w tabeli szczegółów:

  • Nazwa
  • Przykładowy temat: wiersz tematu jednego z komunikatów w kampanii. Wszystkie komunikaty w kampanii nie muszą mieć tego samego tematu.
  • Docelowe: wartość procentowa obliczona przez: (liczba adresatów kampanii w organizacji) / (całkowita liczba adresatów w kampanii we wszystkich organizacjach w usłudze). Ta wartość wskazuje stopień, w jakim kampania jest kierowana tylko do organizacji (wyższa wartość) a także skierowana do innych organizacji w usłudze (niższa wartość).
  • Typ: Wartość to Phish lub Malware.
  • Podtyp: Wartość zawiera więcej szczegółów na temat kampanii. Przykład:
    • Phish: Jeśli jest dostępna, marka, która jest phished przez tę kampanię. Na przykład , Microsoft, 365, Unknown, Outlooklub DocuSign. Gdy wykrywanie jest sterowane przez technologię Ochrona usługi Office 365 w usłudze Defender, prefiks ATP — jest dodawany do wartości podtypu.
    • Złośliwe oprogramowanie: na przykład W32/<MalwareFamilyName> lub VBS/<MalwareFamilyName>.
  • Tagi: Aby uzyskać więcej informacji na temat tagów użytkowników, zobacz Tagi użytkowników.
  • Adresaci: liczba użytkowników objętych tą kampanią.
  • Skrzynka odbiorcza: liczba użytkowników, którzy odebrali komunikaty z tej kampanii w skrzynce odbiorczej (nie są dostarczane do folderu Junk Email).
  • Kliknięto: liczba użytkowników, którzy wybrali adres URL lub otworzyli załącznik w wiadomości wyłudzającej informacje.
  • Współczynnik kliknięć: w kampaniach wyłudzania informacji wartość procentowa obliczona przez "Klikniętą / skrzynkę odbiorczą". Ta wartość jest wskaźnikiem skuteczności kampanii. Innymi słowy, czy adresaci byli w stanie zidentyfikować wiadomość jako wyłudzającą informacje i w związku z tym uniknąć adresu URL ładunku? Współczynnik kliknięć nie jest używany w kampaniach złośliwego oprogramowania.
  • Odwiedzone: Ilu użytkowników faktycznie dotarło do witryny sieci Web ładunku. Jeśli istnieją wartości Kliknięty , ale bezpieczne linki zablokowały dostęp do witryny internetowej, ta wartość wynosi zero.

Wybierz nagłówek kolumny, aby posortować według tej kolumny. Aby usunąć kolumny, wybierz pozycję Dostosuj kolumny. Domyślnie są zaznaczone wszystkie dostępne kolumny.

Użyj opcji Eksportuj , aby wyeksportować dane w tabeli szczegółów do pliku CSV.

Na stronie Kampanie na karcie Pochodzenie kampanii poniżej wykresu przedstawiono źródła komunikatów na mapie świata.

Filtry na stronie Kampanie

W górnej części strony Kampania istnieje kilka ustawień filtru, które ułatwiają znajdowanie i izolowanie określonych kampanii. Wybrane filtry wpływają na wykres i tabelę szczegółów.

Domyślnie widok jest filtrowany według wczoraj i dzisiaj. Aby zmienić filtr daty, wybierz zakres dat, a następnie wybierz wartości Daty rozpoczęcia i Daty zakończenia do 30 dni temu.

Filtry kampanii na stronie Kampanie.

Możesz również filtrować wyniki według co najmniej jednej właściwości wiadomości lub kampanii. Podstawowa składnia to:

<Właściwość><Równa się żadnej wartości | ><lub wartości właściwości>

  • Wybierz właściwość komunikatu lub kampanii z listy rozwijanej Typ kampanii (typ kampanii to wybrana wartość domyślna).
  • Wartości właściwości, które należy wprowadzić, są całkowicie zależne od właściwości. Niektóre właściwości zezwalają na tekst dowolny z wieloma wartościami oddzielonymi przecinkami, a niektóre właściwości zezwalają na wiele wartości wybranych z listy.

Dostępne właściwości i skojarzone z nimi wartości są opisane w poniższej tabeli:

Własność Wpisać
Basic
Typ kampanii Wybierz co najmniej jedną wartość¹:
  • Złośliwe oprogramowanie
  • Język phish
Nazwa kampanii Tekst. Rozdziel wiele wartości przecinkami.
Podtyp kampanii Tekst. Rozdziel wiele wartości przecinkami.
Adres nadawcy Tekst. Rozdziel wiele wartości przecinkami.
Adresatów Tekst. Rozdziel wiele wartości przecinkami.
Domena nadawcy Tekst. Rozdziel wiele wartości przecinkami.
Domena adresata Tekst. Rozdziel wiele wartości przecinkami.
Temat Tekst. Rozdziel wiele wartości przecinkami.
Nazwa wyświetlana nadawcy Tekst. Rozdziel wiele wartości przecinkami.
Wiadomość e-mail nadawcy z adresu Tekst. Rozdziel wiele wartości przecinkami.
Poczta nadawcy z domeny Tekst. Rozdziel wiele wartości przecinkami.
Rodzina złośliwego oprogramowania Tekst. Rozdziel wiele wartości przecinkami.
Tagi Tekst. Rozdziel wiele wartości przecinkami.

Aby uzyskać więcej informacji na temat tagów użytkowników, zobacz Tagi użytkowników.
Akcja dostarczania Wybierz co najmniej jedną wartość¹:
  • Zablokowany
  • Dostarczane
  • Dostarczane do wiadomości-śmieci
  • Zastąpione
Dodatkowa akcja Wybierz co najmniej jedną wartość¹:
Kierunkowość Wybierz co najmniej jedną wartość¹:
  • Przychodzących
  • Intra-irg
  • Wychodzące
Technologia wykrywania Wybierz co najmniej jedną wartość¹:
  • Filtr zaawansowany: sygnały oparte na uczeniu maszynowym.
  • Ochrona przed złośliwym kodem
  • Wielkość
  • Kampania
  • Reputacja domeny
  • Detonacja pliku: Bezpieczne załączniki wykryły złośliwe załączniki podczas analizy detonacji.
  • Reputacja detonacji plików: załączniki plików wykryte wcześniej przez detonacje bezpiecznych załączników w innych organizacjach platformy Microsoft 365.
  • Reputacja pliku: komunikat zawiera plik, który został wcześniej zidentyfikowany jako złośliwy w innych organizacjach platformy Microsoft 365.
  • Dopasowywanie odcisku palca: komunikat jest bardzo podobny do poprzedniego wykrytego złośliwego komunikatu.
  • Filtr ogólny
  • Marka personifikacji: Personifikacja nadawcy znanych marek.
  • Domena personifikacji: personifikacja domen nadawcy, których jesteś właścicielem lub które zostały określone w celu ochrony w zasadach ochrony przed wyłudzaniem informacji
  • Personifikacja użytkownika
  • Reputacja adresu IP
  • Personifikacja analizy skrzynki pocztowej: wykrywanie personifikacji z analizy skrzynek pocztowych w zasadach ochrony przed wyłudzaniem informacji.
  • Wykrywanie analizy mieszanej: do werdyktu komunikatu przyczyniło się wiele filtrów.
  • spoof DMARC: komunikat nie powiodło się uwierzytelnianie DMARC.
  • Fałszowanie domeny zewnętrznej: fałszowanie adresu e-mail nadawcy przy użyciu domeny zewnętrznej dla organizacji.
  • Fałszowanie wewnątrz organizacji: fałszowanie adresów e-mail nadawcy przy użyciu domeny, która jest wewnętrzna dla Twojej organizacji.
  • Detonacja adresu URL: bezpieczne linki wykryły złośliwy adres URL w komunikacie podczas analizy detonacji.
  • Reputacja detonacji adresu URL
  • Złośliwa reputacja adresu URL: adresy URL wcześniej wykryte przez detonacje bezpiecznych linków w innych organizacjach platformy Microsoft 365.
Oryginalna lokalizacja dostarczania Wybierz co najmniej jedną wartość¹:
  • Folder Elementy usunięte
  • Spadła
  • Zakończone niepowodzeniem
  • Skrzynka odbiorcza/folder
  • Folder śmieci
  • Lokalne/zewnętrzne
  • Kwarantanna
  • Unknown
Najnowsza lokalizacja dostarczania Te same wartości co oryginalna lokalizacja dostarczania
Przesłonięcia systemu Wybierz co najmniej jedną wartość¹:
  • Dozwolone przez zasady użytkownika
  • Zablokowane przez zasady użytkownika
  • Dozwolone przez zasady organizacji
  • Zablokowane przez zasady organizacji
  • Rozszerzenie pliku zablokowane przez zasady organizacji
  • Brak
Źródło zastąpienia systemu Wybierz co najmniej jedną wartość¹:
  • Filtr innej firmy
  • Administracja inicjowane podróże w czasie (ZAP)
  • Blok zasad ochrony przed złośliwym oprogramowaniem według typu pliku
  • Ustawienia zasad ochrony przed spamem
  • Zasady połączeń
  • Reguła transportu programu Exchange (reguła przepływu poczty)
  • Filtrowanie pominięte z powodu organizacji lokalnej
  • Filtr regionów adresów IP z zasad
  • Filtr języka z zasad
  • Symulacja wyłudzania informacji
  • Wydanie kwarantanny
  • Skrzynka pocztowa SecOPs
  • Lista adresów nadawcy (zastąpienie przez administratora)
  • Lista adresów nadawcy (przesłonięcia użytkownika)
  • Lista domen nadawcy (zastąpienie przez administratora)
Advanced
Identyfikator komunikatu internetowego Tekst. Rozdziel wiele wartości przecinkami.

Dostępne w polu nagłówek Message-ID w nagłówku wiadomości. Przykładowa wartość to <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (zwróć uwagę na nawiasy kątowe).
Identyfikator komunikatu sieci Tekst. Rozdziel wiele wartości przecinkami.

Wartość identyfikatora GUID dostępna w polu nagłówka X-MS-Exchange-Organization-Network-Message-Id w nagłówku komunikatu.
Adres IP nadawcy Tekst. Rozdziel wiele wartości przecinkami.
Załącznik SHA256 Tekst. Rozdziel wiele wartości przecinkami.

Aby znaleźć wartość skrótu SHA256 pliku, uruchom następujące polecenie w programie PowerShell: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256.
Identyfikator klastra Tekst. Rozdziel wiele wartości przecinkami.
Identyfikator alertu Tekst. Rozdziel wiele wartości przecinkami.
Identyfikator zasad alertu Tekst. Rozdziel wiele wartości przecinkami.
Identyfikator kampanii Tekst. Rozdziel wiele wartości przecinkami.
Sygnał adresu URL zap Tekst. Rozdziel wiele wartości przecinkami.
Adresy URL
Domena adresu URL Tekst. Rozdziel wiele wartości przecinkami.
Domena i ścieżka adresu URL Tekst. Rozdziel wiele wartości przecinkami.
URL Tekst. Rozdziel wiele wartości przecinkami.
Ścieżka adresu URL Tekst. Rozdziel wiele wartości przecinkami.
Kliknij werdykt Wybierz co najmniej jedną wartość¹:
  • Dozwolone
  • Przesłonięte bloki
  • Zablokowany
  • Błąd
  • Niepowodzenie
  • Brak
  • Oczekiwanie na werdykt
  • Oczekiwanie na werdykt pominięte
Plik
Nazwa pliku załącznika Tekst. Rozdziel wiele wartości przecinkami.

¹ Nie używanie tego filtru właściwości lub używanie tego filtru właściwości bez wybranych wartości ma taki sam wynik jak użycie tego filtru właściwości ze wszystkimi wybranymi wartościami.

Po wybraniu właściwości z listy rozwijanej Typ kampanii wybierz pozycję Równaj dowolnemu z lub Nie równa się żadnej z nich, a następnie wprowadź lub wybierz wartość w polu właściwości, zapytanie filtru pojawi się poniżej obszaru filtru.

Zrzut ekranu przedstawiający wybrany filtr kampanii.

Aby dodać więcej warunków, wybierz inną parę właściwości/wartości, a następnie wybierz pozycję AND lub OR. Powtórz te kroki tyle razy, ile jest to konieczne.

Aby usunąć istniejące pary właściwości/wartości, wybierz obok wpisu.

Po zakończeniu tworzenia zapytania filtru wybierz pozycję Odśwież.

Aby zapisać zapytanie filtru, wybierz pozycję Zapisz zapytanie>Zapisz zapytanie. W wyświetlonym menu wysuwowym Zapisywanie zapytania skonfiguruj następujące ustawienia:

  • Nazwa zapytania: wprowadź unikatową wartość.
  • Wybierz jedną z następujących wartości:
    • Dokładne daty: wybierz zakres dat.
    • Daty względne: wybierz od jednego do 30 dni.
  • Śledzenie tego zapytania

Po zakończeniu okna wysuwanego Zapisz zapytanie wybierz pozycję Zapisz, a następnie wybierz przycisk OK w oknie dialogowym potwierdzenia.

Po powrocie do strony Kampanie możesz załadować zapisany filtr, wybierając pozycję Zapisz zapytanie>Zapisane ustawienia zapytania.

Szczegóły kampanii

Po wybraniu wpisu z tabeli szczegółów przez kliknięcie dowolnego miejsca w wierszu innym niż pole wyboru obok nazwy zostanie otwarte okno wysuwane zawierające szczegółowe informacje o kampanii.

Informacje wyświetlane w wysuwanych szczegółach kampanii opisano w poniższych podsekcjach.

Informacje o kampanii

W górnej części wysuwanego szczegółów kampanii dostępne są następujące informacje o kampanii:

  • Identyfikator kampanii: unikatowy identyfikator kampanii.
  • Działanie: czas trwania i aktywność kampanii.
  • Następujące dane dla wybranego filtru zakresu dat (lub wybrane na osi czasu):
    • Wpływ
    • Komunikaty: całkowita liczba adresatów.
    • Skrzynka odbiorcza: liczba komunikatów dostarczonych do skrzynki odbiorczej, a nie do folderu Junk Email.
    • Kliknięto link: ilu użytkowników wybrało adres URL ładunku w wiadomości wyłudzającej informacje.
    • Odwiedzone łącze: Ilu użytkowników odwiedziło adres URL.
    • Targeted(%): procent obliczony przez: (liczbę adresatów kampanii w organizacji) / (całkowita liczba adresatów w kampanii we wszystkich organizacjach w usłudze). Ta wartość jest obliczana przez cały okres istnienia kampanii i nie jest zmieniana przez filtry dat.
  • Filtry daty/godziny rozpoczęcia i zakończenia danych/godziny dla przepływu kampanii zgodnie z opisem w następnej sekcji.
  • Interaktywna oś czasu działania kampanii: oś czasu pokazuje aktywność w całym okresie istnienia kampanii. Możesz zatrzymać kursor na punktach danych na grafie, aby wyświetlić liczbę wykrytych komunikatów.

Informacje o kampanii

Przepływ kampanii

W trakcie wysuwanego szczegółów kampanii ważne szczegóły dotyczące kampanii są prezentowane na diagramie przepływu poziomego (znanym jako diagram Sankeya ). Te szczegóły ułatwiają zrozumienie elementów kampanii i potencjalnego wpływu w organizacji.

Porada

Informacje wyświetlane na diagramie przepływu są kontrolowane przez filtr zakresu dat na osi czasu zgodnie z opisem w poprzedniej sekcji.

Szczegóły kampanii, które nie zawierają kliknięć adresu URL użytkownika

Po umieszczeniu wskaźnika myszy na pasmie poziomym na diagramie zostanie wyświetlona liczba powiązanych komunikatów (na przykład komunikatów z określonego źródłowego adresu IP, komunikatów ze źródłowego adresu IP przy użyciu określonej domeny nadawcy itp.).

Diagram zawiera następujące informacje:

  • Adresy IP nadawcy

  • Domeny nadawcy

  • Werdykty filtru: Wartości werdyktów są związane z dostępnymi werdyktami dotyczącymi wyłudzania informacji i filtrowania spamu zgodnie z opisem w nagłówkach wiadomości antyspamowych. Dostępne wartości opisano w poniższej tabeli:

    Value Werdykt filtru spamu Opis
    Dozwolone SFV:SKN
    <Br/ SFV:SKI
    Wiadomość została oznaczona jako niespamowana i/lub pominięta, zanim została oceniona przez filtrowanie spamu. Na przykład wiadomość została oznaczona jako niespamowanie przez regułę przepływu poczty (znaną również jako reguła transportu).
    <br/ Wiadomość pominąła filtrowanie spamu z innych powodów. Na przykład nadawca i adresat są w tej samej organizacji.
    Zablokowany SFV:SKS Wiadomość została oznaczona jako spam, zanim została oceniona przez filtrowanie spamu. Na przykład przez regułę przepływu poczty.
    Wykryte SFV:SPM Wiadomość została oznaczona jako spam przez filtrowanie spamu.
    Nie wykryto SFV:NSPM Wiadomość została oznaczona jako niespamowana przez filtrowanie spamu.
    Wydany SFV:SKQ Wiadomość pominąła filtrowanie spamu, ponieważ została zwolniona z kwarantanny.
    Zezwalaj na dzierżawę¹ SFV:SKA Komunikat pominął filtrowanie spamu z powodu ustawień w zasadach ochrony przed spamem. Na przykład nadawca znajdował się na liście dozwolonych nadawców lub na liście dozwolonych domen.
    Blok dzierżawy² SFV:SKA Wiadomość została zablokowana przez filtrowanie spamu ze względu na ustawienia zasad ochrony przed spamem. Na przykład nadawca znajdował się na liście dozwolonych nadawców lub na liście dozwolonych domen.
    Zezwalaj użytkownikowi¹ SFV:SFE Wiadomość pominąła filtrowanie spamu, ponieważ nadawca znajdował się na liście bezpiecznych nadawców użytkownika.
    Blok użytkownika² SFV:BLK Wiadomość została zablokowana przez filtrowanie spamu, ponieważ nadawca znajdował się na liście zablokowanych nadawców użytkownika.
    ZAP nie dotyczy Automatyczne przeczyszczanie (ZAP) o zerowej godzinie przeniosło dostarczony komunikat do folderu Email-śmieci lub kwarantanny. Akcję można skonfigurować w zasadach ochrony przed spamem.

    ¹ Przejrzyj zasady ochrony przed spamem, ponieważ dozwolona wiadomość prawdopodobnie zostałaby zablokowana przez usługę.

    ² Przejrzyj zasady ochrony przed spamem, ponieważ te wiadomości powinny zostać poddane kwarantannie, a nie dostarczone.

  • Miejsca docelowe komunikatów: zbadaj komunikaty, które zostały dostarczone do adresatów (do skrzynki odbiorczej lub folderu Junk Email), nawet jeśli użytkownicy nie wybrali adresu URL ładunku w wiadomości. Można również usunąć komunikaty poddane kwarantannie z kwarantanny. Aby uzyskać więcej informacji, zobacz Kwarantanna wiadomości e-mail w EOP.

    • Usunięty folder
    • Spadła
    • Zewnętrzne: adresat znajduje się w lokalnej organizacji poczty e-mail w środowiskach hybrydowych.
    • Zakończone niepowodzeniem
    • Przekazywane
    • Skrzynka odbiorcza
    • Folder śmieci
    • Kwarantanna
    • Unknown
  • Kliknięcia adresu URL: te wartości zostały opisane w następnej sekcji.

Uwaga

We wszystkich warstwach zawierających więcej niż 10 elementów jest wyświetlanych 10 pierwszych elementów, a pozostałe są powiązane w innych.

Kliknięcia adresu URL

Gdy wiadomość wyłudzająca informacje zostanie dostarczona do folderu Skrzynka odbiorcza lub Wiadomości-śmieci Email, zawsze istnieje szansa, że użytkownik wybierze adres URL ładunku. Wybranie adresu URL jest niewielką miarą sukcesu, ale musisz najpierw określić, dlaczego wiadomość wyłudzająca informacje została dostarczona do skrzynki pocztowej.

Jeśli użytkownik wybrał adres URL ładunku w wiadomości wyłudzającej informacje, akcje są wyświetlane w obszarze kliknięć adresu URL diagramu w widoku szczegółów kampanii.

  • Dozwolone
  • BlockPage: adresat wybrał adres URL ładunku, ale jego dostęp do złośliwej witryny internetowej został zablokowany przez zasady bezpiecznych linków w organizacji.
  • BlockPageOverride: adresat wybrał adres URL ładunku w wiadomości. Bezpieczne linki próbowały je zatrzymać, ale pozwolono mu zastąpić blok. Sprawdź zasady bezpiecznych linków , aby sprawdzić, dlaczego użytkownicy mogą zastąpić werdykt Dotyczący bezpiecznych linków i przejść do złośliwej witryny internetowej.
  • PendingDetonationPage: bezpieczne załączniki w Ochrona usługi Office 365 w usłudze Microsoft Defender otwiera i bada adres URL ładunku w środowisku wirtualnym.
  • PendingDetonationPageOverride: Adresat mógł zastąpić proces detonacji ładunku i otworzyć adres URL bez oczekiwania na wyniki.

Karty

Porada

Informacje wyświetlane na kartach są kontrolowane przez filtr zakresu dat w wysuwnym okienku szczegółów kampanii zgodnie z opisem w sekcji Informacje o kampanii .

Karty w wysuwanych szczegółach kampanii umożliwiają dalsze badanie kampanii. Dostępne są następujące karty:

  • Kliknięcia adresu URL: jeśli użytkownicy nie wybrali adresu URL ładunku w wiadomości, ta sekcja jest pusta. Jeśli użytkownik mógł wybrać adres URL, wypełniane są następujące wartości:

    • Użytkownik*
    • Tagi
    • Adres URL*
    • Godzina kliknięcia
    • Kliknij werdykt
  • Adresy IP nadawcy

    • Adres IP nadawcy*
    • Łączna liczba
    • Skrzynka odbiorcza
    • Nie skrzynka odbiorcza
    • Przekazano protokół SPF: nadawca został uwierzytelniony przez platformę zasad nadawcy (SPF). Nadawca, który nie przechodzi weryfikacji SPF, wskazuje nieuwierzytelnionego nadawcę lub wiadomość podszywa się pod uprawnionego nadawcę.
  • Nadawców

    • Nadawca: jest to rzeczywisty adres nadawcy w poleceniu SMTP MAIL FROM , który niekoniecznie jest adresem e-mail Od: widocznym przez użytkowników w klientach poczty e-mail.
    • Łączna liczba
    • Skrzynka odbiorcza
    • Nie skrzynka odbiorcza
    • Przekazano moduł DKIM: nadawca został uwierzytelniony przez wiadomość e-mail z identyfikatorem kluczy domeny (DKIM). Nadawca, który nie przekazuje weryfikacji DKIM, wskazuje nieuwierzytelnionego nadawcę lub wiadomość podszywa się pod uprawnionego nadawcę.
    • Przekazano DMARC: Nadawca został uwierzytelniony przez uwierzytelnianie komunikatów oparte na domenie, raportowanie i zgodność (DMARC). Nadawca, który nie przejdzie weryfikacji DMARC, wskazuje nieuwierzytelnionego nadawcę lub wiadomość podszywa się pod uprawnionego nadawcę.
  • Załączniki

    • Pod nazwą
    • SHA256
    • Rodzina złośliwego oprogramowania
    • Łączna liczba
  • Adresy URL

    • Adres URL*
    • Łączna liczba

* Wybranie tej wartości powoduje otwarcie nowego menu wysuwanego zawierającego więcej szczegółów dotyczących określonego elementu (użytkownika, adresu URL itp.) w widoku szczegółów kampanii. Aby powrócić do wysuwanego szczegółów kampanii, wybierz pozycję Gotowe w nowym wysuwie.

Na każdej karcie wybierz nagłówek kolumny, aby posortować według tej kolumny. Aby usunąć kolumny, wybierz pozycję Dostosuj kolumny. Domyślnie są zaznaczone wszystkie dostępne kolumny na każdej karcie.

Dodatkowe akcje

Akcje w dolnej części okna wysuwanego szczegółów kampanii umożliwiają badanie i rejestrowanie szczegółów dotyczących kampanii:

  • Wybierz pozycję Tak lub Nie w obszarze Czy uważasz, że ta kampania dokładnie pogrupowała te komunikaty?.
  • Eksplorowanie komunikatów: użyj możliwości Eksploratora zagrożeń, aby dokładniej zbadać kampanię, wybierając jedną z następujących wartości na liście rozwijanej:
    • Wszystkie komunikaty: otwiera nową kartę wyszukiwania Eksploratora zagrożeń, używając wartości Identyfikator kampanii jako filtru wyszukiwania.
    • Komunikaty skrzynki odbiorczej: otwiera nową kartę wyszukiwania Eksploratora zagrożeń przy użyciu identyfikatora kampanii i lokalizacji dostarczania: Skrzynka odbiorcza jako filtr wyszukiwania.
    • Komunikaty wewnętrzne: otwiera nową kartę wyszukiwania Eksploratora zagrożeń przy użyciu identyfikatora kampanii i kierunkowości: wewnątrz organizacji jako filtru wyszukiwania.
  • Pobierz raport o zagrożeniach: pobierz szczegóły kampanii do dokumentu Word (domyślnie o nazwie CampaignReport.docx). Pobieranie zawiera szczegółowe informacje z całego okresu istnienia kampanii (nie tylko wybrany filtr daty).