Strona jednostki Poczta e-mail

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft 365 Defender Office 365 Plan 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnych portalu Microsoft 365 Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Administratorzy Microsoft 365 E5 oraz Ochrona usługi Office 365 w usłudze Microsoft Defender (plan 1) i plan 2 mają 360-stopniowy widok poczty e-mail przy użyciu strony jednostki Email. Ta strona przejdź do wiadomości e-mail została utworzona w celu ulepszenia informacji dostarczanych w Ochrona usługi Office 365 w usłudze Microsoft Defender i Microsoft 365 Defender.

Zobacz szczegóły wiadomości e-mail w poniższych środowiskach, w tym podgląd i pobieranie wiadomości e-mail, nagłówki wiadomości e-mail z opcją kopiowania, szczegóły wykrywania, wykryte zagrożenia, najnowsze i oryginalne lokalizacje dostarczania, akcje dostarczania i identyfikatory, takie jak identyfikator alertu, identyfikator wiadomości sieciowej i inne.

Jak uzyskać dostęp do strony jednostki poczty e-mail

Wszędzie tam, gdzie znajdziesz szczegóły wiadomości e-mail w Ochrona usługi Office 365 w usłudze Microsoft Defender, dostępne są szczegóły jednostki poczty e-mail. Obejmują one:

  • Eksplorator zagrożeń
  • Zaawansowane wyszukiwanie zagrożeń
  • Alerty
  • Kwarantanna
  • Zgłoszenia
  • Raportowanie
  • Centrum akcji

Jednym ze sposobów uzyskania dostępu do strony jednostki poczty e-mail jest Eksplorator zagrożeń, ale kroki pozostają takie same wszędzie tam, gdzie znajdziesz szczegóły wiadomości e-mail. Przejdź do portalu Microsoft 365 Defender wEksploratorzehttps://security.microsoft.comEmail & współpracy>. Aby przejść bezpośrednio do strony Eksploratora , użyj polecenia https://security.microsoft.com/threatexplorer.

  1. W Eksploratorze wybierz temat badanej wiadomości e-mail.
  2. Zostanie otwarty wysuwany adres e-mail dla tej wiadomości e-mail.
  3. Zostanie wyświetlona jednostka Otwórz wiadomość e-mail.
  4. Wybierz ją do szczegółowego wglądu w wiadomości e-mail.

Po wybraniu wiadomości e-mail otrzymasz wylatywanie ze szczegółami i stronę jednostki Otwórz dla wiadomości e-mail u góry.

Grafika strony jednostki poczty e-mail, która koncentruje się na nagłówkach, które zobaczysz

Uwaga

Uprawnienia wymagane do wyświetlania i używania tej strony są takie same jak w przypadku wyświetlania Eksploratora. Administrator musi być członkiem administratora globalnego lub czytelnika globalnego, administratora zabezpieczeń lub czytelnika zabezpieczeń. Aby uzyskać więcej informacji, zobacz Uprawnienia w portalu Microsoft 365 Defender.

Jak odczytać stronę jednostki wiadomości e-mail

Struktura została zaprojektowana tak, aby była łatwa do odczytania i nawigowania w skrócie. Różne karty w górnej części strony umożliwiają bardziej szczegółowe zbadanie. Oto jak działa układ:

  1. Najbardziej wymagane pola znajdują się po lewej stronie wysuwanego okienka. Te szczegóły są "lepkie", co oznacza, że są zakotwiczone w lewo bez względu na kartę, do której przechodzisz w pozostałej części wysuwanego.

    Grafika strony jednostki poczty e-mail z wyróżnioną lewą stroną

  2. W prawym górnym rogu znajdują się akcje, które można wykonać w wiadomości e-mail. Wszystkie akcje, które można wykonać za pośrednictwem Eksploratora , są również dostępne za pośrednictwem strony jednostki poczty e-mail.

    Grafika strony jednostki poczty e-mail z wyróżnioną prawą stroną

  3. Dokładniejszą analizę można wykonać, sortując resztę strony. Sprawdź szczegóły wykrywania poczty e-mail, stan uwierzytelniania poczty e-mail i nagłówek. Ten obszar powinien być wyszukiwany w zależności od przypadku, ale informacje na tych kartach są dostępne dla każdej wiadomości e-mail.

    Główny panel strony, który zawiera nagłówek wiadomości e-mail i stan uwierzytelniania

Jak używać kart strony jednostki poczty e-mail

Karty w górnej części strony jednostki umożliwiają efektywne badanie poczty e-mail.

  1. Oś czasu: widok osi czasu dla wiadomości e-mail (na osi czasu Eksploratora ) przedstawia oryginalne dostarczanie do zdarzeń po dostarczeniu, które mają miejsce w wiadomości e-mail. W przypadku wiadomości e-mail, które nie mają żadnych akcji po dostarczeniu, widok przedstawia oryginalny wiersz dostarczania w widoku osi czasu. Zdarzenia takie jak: automatyczne przeczyszczanie z zerowej godziny (ZAP), korygowania, przesyłanie użytkowników i Administracja, informacje o kwarantannie, kliknięcia adresów URL i nie tylko ze źródeł takich jak system, administrator i użytkownik, są wyświetlane tutaj w kolejności, w jakiej wystąpiły.
  2. Analiza: Analiza pokazuje pola, które ułatwiają administratorom szczegółowe analizowanie wiadomości e-mail. W przypadkach, gdy administratorzy muszą dowiedzieć się więcej na temat wykrywania, nadawcy/odbiorcy i szczegółów uwierzytelniania poczty e-mail, powinni użyć karty Analiza. Linki do załączników i adresów URL znajdują się również na tej stronie w obszarze "Jednostki pokrewne". Zarówno załączniki, jak i zidentyfikowane zagrożenia są tutaj ponumerowane, a kliknięcie powoduje przejście bezpośrednio do stron Załączniki i adres URL. Ta karta zawiera również opcję Wyświetl nagłówek, aby wyświetlić nagłówek wiadomości e-mail. Administratorzy mogą porównać wszystkie szczegóły z nagłówków wiadomości e-mail obok informacji w panelu głównym, aby uzyskać przejrzystość.
  3. Załączniki: sprawdza załączniki znalezione w wiadomości e-mail z innymi szczegółami dotyczącymi załączników. Liczba wyświetlanych załączników jest obecnie ograniczona do 10. Zwróć uwagę, że szczegóły detonacji załączników uznanych za złośliwe są również wyświetlane tutaj.
  4. Adresy URL: ta karta zawiera listę adresów URL znalezionych w wiadomości e-mail z innymi szczegółami dotyczącymi adresów URL. Obecnie liczba adresów URL jest ograniczona do 10, ale te 10 jest priorytetem, aby najpierw wyświetlić złośliwe adresy URL. Priorytetyzacja pozwala zaoszczędzić czas i czas zgadywania. Adresy URL, które zostały uznane za złośliwe i zdetonowane, są również wyświetlane tutaj.
  5. Podobne wiadomości e-mail: na tej karcie wymieniono wszystkie wiadomości e-mail podobne do kombinacji identyfikatora wiadomości sieciowej i adresata specyficznej dla tej wiadomości e-mail. Podobieństwo jest oparte tylko na treści komunikatu. Ustalenia dokonane w wiadomościach e-mail w celu kategoryzowania ich jako "podobnych" nie obejmują uwzględnienia załączników.

Dostępne na stronie jednostki poczty e-mail

Poniżej przedstawiono kilka przydatnych informacji na temat rozpoczęcia pracy.

Email wersji zapoznawczej i pobierania dla skrzynek pocztowych w chmurze

Administratorzy mogą wyświetlać podgląd i pobierać wiadomości e-mail w skrzynkach pocztowych w chmurze, jeśli wiadomości e-mail są nadal dostępne dla firmy Microsoft w Exchange Online skrzynce pocztowej. W przypadku usunięcia nietrwałego (przez administratora lub użytkownika) lub zap (do kwarantanny), wiadomości e-mail nie są już obecne w Exchange Online skrzynki pocztowej. W takim przypadku administratorzy nie będą mogli wyświetlać podglądu ani pobierać tych konkretnych wiadomości e-mail. Wiadomości e-mail, które zostały porzucone lub gdy dostarczanie nie powiodło się, nigdy nie dotarły do skrzynki pocztowej i w związku z tym administratorzy nie będą mogli wyświetlać podglądu ani pobierać tych wiadomości e-mail.

Ostrzeżenie

Podgląd i pobieranie wiadomości e-mail wymaga specjalnej roli o nazwie Wersja zapoznawcza. Tę rolę można dodać w portalu Microsoft 365 Defender zgodnie z opisem w temacie Email & role współpracy w portalu Microsoft 365 Defender. Może być konieczne utworzenie nowej Email & grupy ról współpracy i dodanie roli w wersji zapoznawczej do nowej grupy ról lub dodanie roli w wersji zapoznawczej do grupy ról, która umożliwia administratorom w organizacji pracę w Eksploratorze.

Szczegóły detonacji

Te szczegóły są specyficzne dla załączników i adresów URL wiadomości e-mail. Użytkownicy mogą zobaczyć te szczegóły, przechodząc do Eksploratora i stosując filtr technologii wykrywania ustawiony do detonacji pliku lub detonacji adresu URL. Wiadomości e-mail filtrowane pod kątem detonacji plików będą zawierać złośliwy plik ze szczegółami detonacji, a te filtrowane pod kątem adresów URL zawierają złośliwy adres URL i szczegóły jego detonacji.

Użytkownicy widzą wzbogacone szczegóły detonacji dla znanych złośliwych załączników lub adresów URL znalezionych w ich wiadomościach e-mail, które zostały zdetonowane dla określonej dzierżawy. Zawiera ona łańcuch detonacji, podsumowanie detonacji, zrzut ekranu i szczegóły obserwowanego zachowania, aby pomóc klientom zrozumieć, dlaczego załącznik lub adres URL został uznany za złośliwy i zdetonowany.

  1. Łańcuch detonacji. Detonacja pojedynczego pliku lub adresu URL może wywołać wiele detonacji. Łańcuch detonacji śledzi ścieżkę detonacji, w tym oryginalny złośliwy plik lub adres URL, który spowodował werdykt, oraz wszystkie inne pliki lub adresy URL dotknięte detonacją. Te adresy URL lub dołączone pliki mogą nie być bezpośrednio obecne w wiadomości e-mail, ale uwzględnienie tej analizy jest ważne dla określenia, dlaczego plik lub adres URL został uznany za złośliwy.

    Uwaga

    Może to wskazywać tylko element najwyższego poziomu, jeśli żadna z połączonych z nim jednostek nie była problematyczna lub została zdetonowana.

  2. Podsumowanie detonacji zawiera podstawowe podsumowanie detonacji, takie jak czas analizy, czas, kiedy nastąpiła detonacja, system operacyjny i aplikacja, system operacyjny i aplikacja, w której doszło do detonacji, rozmiar pliku i przyczyna werdyktu.

  3. Zrzuty ekranu pokazują zrzuty ekranu przechwycone podczas detonacji. Podczas detonacji może być wiele zrzutów ekranu. Nie są przechwytywane żadne zrzuty ekranu dla

    • Pliki typu kontenera, takie jak .zip lub .rar.
    • Jeśli adres URL zostanie otwarty w linku, który bezpośrednio pobierze plik. Jednak pobrany plik zostanie wyświetlony w łańcuchu detonacji.

  4. Szczegóły zachowania to eksport, który pokazuje szczegóły zachowania, takie jak dokładne zdarzenia, które miały miejsce podczas detonacji, oraz obserwowane elementy zawierające adresy URL, adresy IP, domeny i pliki znalezione podczas detonacji (i mogą być problematyczne lub niegroźne). Należy pamiętać, że nie ma żadnych szczegółów zachowania dla:

    • Pliki kontenera, takie jak .zip lub .rar, które przechowują inne pliki.

Podsumowanie detonacji przedstawiające łańcuch, podsumowanie, szczegóły detonacji i zrzut ekranu pod nagłówkiem *Analiza szczegółowa*

Inne funkcje, które ułatwiają stronę jednostki Email

Tagi: są to tagi stosowane do użytkowników. Jeśli użytkownik jest adresatem, administratorzy zobaczą tag adresata . Podobnie, jeśli użytkownik jest nadawcą, tagiem nadawcy . Jest ona wyświetlana po lewej stronie strony jednostek poczty e-mail (w części opisanej jako lepka , a tym samym zakotwiczona na stronie).

Najnowsza lokalizacja dostarczania: najnowsza lokalizacja dostarczania to lokalizacja, w której wiadomość e-mail wylądowała po zakończeniu akcji systemowych, takich jak ZAP, lub akcji administratora, takich jak Przenoszenie do usuniętych elementów. Najnowsza lokalizacja dostarczania nie jest przeznaczona do informowania administratorów o bieżącej lokalizacji komunikatu. Jeśli na przykład użytkownik usunie komunikat lub przeniesie go do archiwum, lokalizacja dostarczania nie zostanie zaktualizowana. Jeśli jednak wykonano akcję systemową i zaktualizowano lokalizację (np. zap powodującą przeniesienie wiadomości e-mail do kwarantanny), spowoduje to zaktualizowanie najnowszej lokalizacji dostarczania do kwarantanny.

Email szczegółów: szczegóły wymagane do dokładniejszego zrozumienia poczty e-mail dostępnej na karcie Analiza.

  • Reguły przepływu poczty programu Exchange (nazywane również regułami transportu): te reguły są stosowane do wiadomości w warstwie transportu i mają pierwszeństwo przed werdyktami phish i spamem. Reguły przepływu poczty są tworzone i modyfikowane w centrum administracyjnym programu Exchange pod adresem https://admin.exchange.microsoft.com/#/transportrules, ale jeśli reguła przepływu poczty ma zastosowanie do wiadomości, nazwa reguły i identyfikator GUID będą wyświetlane tutaj. Cenne informacje do celów śledzenia.

  • Przesłonięcia podstawowe: Źródło: przesłonięcia podstawowe i źródło odnoszą się do ustawienia dzierżawy lub użytkownika, które miało wpływ na dostarczanie wiadomości e-mail, przesłaniając lokalizację dostarczania podaną przez system (zgodnie z technologią zagrożeń i wykrywania). Na przykład może to być wiadomość e-mail zablokowana z powodu reguły przepływu poczty skonfigurowanej dla dzierżawy lub wiadomości e-mail dozwolonej z powodu ustawienia użytkownika końcowego dla bezpiecznych nadawców.

  • Wszystkie przesłonięcia: Wszystkie przesłonięcia odnoszą się do listy przesłoń (ustawień dzierżawy lub użytkownika), które zostały zastosowane w wiadomości e-mail, co mogło lub nie miało wpływu na dostarczanie wiadomości e-mail. Na przykład jeśli do wiadomości e-mail zostanie zastosowana reguła przepływu poczty skonfigurowana przez dzierżawę, a także skonfigurowane ustawienie zasad dzierżawy (na przykład z listy dozwolonych/zablokowanych dzierżaw), obie zostaną wyświetlone w tym polu. Pole przesłonięcia podstawowego można sprawdzić, aby określić ustawienie, które miało wpływ na dostarczanie wiadomości e-mail.

  • Poziom skarg zbiorczych (BCL): poziom skarg zbiorczych (BCL) komunikatu. Wyższa lista BCL wskazuje, że wiadomość e-mail zbiorcza jest bardziej skłonna do generowania skarg (naturalny wynik, jeśli wiadomość e-mail może być spamem).

  • Poziom zaufania do spamu (SCL) : poziom ufności spamu (SCL) wiadomości. Wyższa wartość wskazuje, że wiadomość jest bardziej prawdopodobna jako spam.

  • Typ klienta: wskazuje typ klienta, z którego wysłano wiadomość e-mail, na przykład REST.

  • Przekazywanie: w przypadku scenariuszy z funkcją automatycznego przesyłania dalej wskazuje ona użytkownika przekazującego, a także typ przekazywania, taki jak przekazywanie ETR lub SMTP.

  • Lista dystrybucyjna: pokazuje listę dystrybucyjną, jeśli odbiorca otrzymał wiadomość e-mail jako członek listy. Pokazuje listę dystrybucji najwyższego poziomu, jeśli istnieją zagnieżdżone listy dystrybucyjne.

  • Do, Cc: wskazuje adresy, które są wymienione w Do, Cc pola wiadomości e-mail. Informacje w tych polach są ograniczone do 5000 znaków.

  • Nazwa domeny: jest nazwą domeny nadawcy.

  • Właściciel domeny: określa właściciela domeny wysyłającej.

  • Lokalizacja domeny: określa lokalizację domeny wysyłającej.

  • Data utworzenia domeny: określa datę utworzenia domeny wysyłającej. Nowo utworzona domena jest czymś, co może być ostrożne, jeśli inne sygnały wskazują na podejrzane zachowanie.

uwierzytelnianie Email: Email metody uwierzytelniania używane przez platformę Microsoft 365 obejmują SPF, DKIM i DMARC.

  • Struktura zasad nadawcy (SPF): opisuje wyniki sprawdzania SPF dla komunikatu. Możliwe wartości mogą być następujące:

    • Pass (adres IP): sprawdzanie SPF dla przekazanej wiadomości i zawiera adres IP nadawcy. Klient ma uprawnienia do wysyłania lub przekazywania wiadomości e-mail w imieniu domeny nadawcy.
    • Niepowodzenie (adres IP): sprawdzanie SPF komunikatu nie powiodło się i zawiera adres IP nadawcy. Jest to czasami nazywane twardym niepowodzeniem.
    • Softfail (przyczyna): Rekord SPF wyznaczył hosta jako niedozwolony do wysyłania, ale jest w okresie przejściowym.
    • Neutralny: rekord SPF jawnie stwierdza, że nie potwierdza, czy adres IP jest autoryzowany do wysyłania.
    • Brak: domena nie ma rekordu SPF lub rekord SPF nie daje wyniku.
    • Temperror: Wystąpił tymczasowy błąd. Na przykład błąd DNS. To samo sprawdzenie później może zakończyć się pomyślnie.
    • Permerror: Wystąpił trwały błąd. Na przykład domena ma nieprawidłowo sformatowany rekord SPF.

  • DomainKeys Identified Mail (DKIM):

    • Pass: wskazuje sprawdzanie DKIM dla przekazanego komunikatu.
    • Niepowodzenie (przyczyna): wskazuje sprawdzanie DKIM dla komunikatu nie powiodło się i dlaczego. Jeśli na przykład wiadomość nie została podpisana lub podpis nie został zweryfikowany.
    • Brak: wskazuje, że wiadomość nie została podpisana. Może to oznaczać, że domena ma rekord DKIM lub rekord DKIM nie daje wyniku, tylko że ten komunikat nie został podpisany.

  • Uwierzytelnianie, raportowanie i zgodność komunikatów oparte na domenie (DMARC):

    • Pass: wskazuje sprawdzanie DMARC dla przekazanego komunikatu.
    • Niepowodzenie: wskazuje, że sprawdzanie DMARC dla komunikatu nie powiodło się.
    • Bestguesspass: wskazuje, że nie istnieje rekord DMARC TXT dla domeny, ale gdyby istniał, sprawdzanie DMARC dla komunikatu zostałoby zakończone.
    • Brak: wskazuje, że dla domeny wysyłającej w systemie DNS nie istnieje żaden rekord TXT DMARC.

Uwierzytelnianie złożone: jest to wartość używana przez platformę Microsoft 365 do łączenia uwierzytelniania poczty e-mail, takiego jak SPF, DKIM i DMARC, w celu określenia, czy komunikat jest autentyczny. Używa domeny Od: poczty jako podstawy oceny.

Akcje, które można wykonać na stronie jednostki Email

Zespoły ds. zabezpieczeń mogą teraz wykonywać akcje poczty e-mail, takie jak usuwanie nietrwałe i usuwanie nietrwałe, przenosić się do wiadomości-śmieci, przechodzić do skrzynki odbiorczej, wyzwalać badanie, przesyłać do firmy Microsoft do przeglądu w wierszu i et cetera. Akcje blokowe na poziomie dzierżawy, takie jak plik i adres URL lub nadawca, mogą być również wyzwalane ze strony jednostki Email.

W prawym górnym rogu strony jednostki będzie można wybrać pozycję Wykonaj akcje . Spowoduje to otwarcie kreatora akcji w celu wybrania odpowiedniej akcji. Wykonaj akcję ze strony jednostki.

W kreatorze akcji możesz wykonywać akcje poczty e-mail, przesyłanie wiadomości e-mail, blokować nadawcę i domenę nadawcy, akcje dochodzeniowe i zatwierdzanie dwóch kroków (dodać do korygowania) w tym samym okienku bocznym. Jest to zgodne z przepływem spójnym w celu ułatwienia użycia. Kreator akcji używa tego samego systemu, który jest używany przez akcje Eksploratora (na przykład do usuwania, przesyłania i akcji badania). Te akcje będą widoczne i śledzone w Centrum akcji Unified (dla usuniętych wiadomości e-mail), w portalu przesyłania (do przesyłania) oraz na stronie Zezwalaj/blokuj listę dzierżawy dla (bloki Zezwalaj na dzierżawę/Lista zablokowanych).

Dodajemy również adres URL bloku na poziomie dzierżawy i załącznik do odpowiednich kart adresu URL jednostki Email i załączników. Po zatwierdzeniu adres URL bloku i wpisy załącznika bloku można śledzić na kartach Adresy URL i pliki na stronie Zezwalaj/blokuj listę dzierżawy. Wykonaj akcję blokuj adres URL ze strony jednostki.

Zobacz uprawnienia wymagane do wykonania tych akcji.

Panel podsumowania Email

Panel podsumowania wiadomości e-mail to podsumowany widok pełnej strony jednostki poczty e-mail. Zawiera on ustandaryzowane szczegóły dotyczące wiadomości e-mail (na przykład wykrycia), a także informacje specyficzne dla kontekstu (na przykład metadane kwarantanny lub przesyłania). Panel podsumowania wiadomości e-mail zastępuje tradycyjne wysuwane wiadomości e-mail w Ochrona usługi Office 365 w usłudze Microsoft Defender.

Otwórz link jednostki poczty e-mail.

Uwaga

Aby wyświetlić wszystkie składniki, kliknij link Otwórz jednostkę poczty e-mail , aby otworzyć pełną stronę jednostki poczty e-mail.

Panel podsumowania wiadomości e-mail jest podzielony na następujące sekcje:

  • Szczegóły dostarczania: zawiera informacje o zagrożeniach i odpowiednim poziomie ufności, technologiach wykrywania oraz oryginalnej i najnowszej lokalizacji dostarczania.

  • Email szczegółów: zawiera informacje o właściwościach poczty e-mail, takich jak nazwa nadawcy, adres nadawcy, czas odebrania, szczegóły uwierzytelniania i inne inne szczegóły.

  • Adresy URL: domyślnie są wyświetlane 3 adresy URL i odpowiadające im zagrożenia. Zawsze możesz wybrać pozycję Wyświetl wszystkie adresy URL , aby rozwinąć i wyświetlić wszystkie adresy URL i wyeksportować je.

  • Załączniki: domyślnie są wyświetlane 3 załączniki. Zawsze możesz wybrać pozycję Wyświetl wszystkie załączniki , aby rozwinąć i wyświetlić wszystkie załączniki.

Oprócz powyższych sekcji zobaczysz również sekcje specyficzne dla kilku środowisk zintegrowanych z panelem podsumowania:

  • Zgłoszenia:

    • Szczegóły przesyłania: zawiera informacje o konkretnych przesłanych, takich jak:

      • Data przesłania
      • Temat
      • Typ przesyłania
      • Powód przesłania
      • Identyfikator przesyłania
      • Przesłane przez

    • Szczegóły wyniku: Przesyłane komunikaty są przeglądane. Możesz zobaczyć wynik przesłania, a także wszelkie zalecane następne kroki.

  • Kwarantanny:

    • Szczegóły kwarantanny: zawiera szczegóły specyficzne dla kwarantanny. Aby uzyskać więcej informacji, zobacz Zarządzanie komunikatami poddanymi kwarantannie.

      • Wygasa: data/godzina automatycznego i trwałego usunięcia komunikatu z kwarantanny.
      • Wydano dla: Wszystkie adresy e-mail (jeśli istnieją), na które wiadomość została wydana.
      • Nie została jeszcze wydana na adres: wszystkie adresy e-mail (jeśli istnieją), na które wiadomość nie została jeszcze wydana.

    • Akcje kwarantanny: Aby uzyskać więcej informacji na temat różnych akcji kwarantanny, zobacz Zarządzanie komunikatami poddanymi kwarantannie.