Wyszukiwanie zagrożeń w Eksploratorze zagrożeń i wykrywanie w czasie rzeczywistym w Ochrona usługi Office 365 w usłudze Microsoft Defender

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Organizacje platformy Microsoft 365, które Ochrona usługi Office 365 w usłudze Microsoft Defender uwzględnione w subskrypcji lub zakupione jako dodatek, mają Eksplorator (znany również jako Eksplorator zagrożeń) lub Wykrywanie w czasie rzeczywistym. Te funkcje są zaawansowanymi narzędziami niemal w czasie rzeczywistym, które ułatwiają zespołom ds. operacji zabezpieczeń (SecOps) badanie zagrożeń i reagowanie na nie. Aby uzyskać więcej informacji, zobacz About Threat Explorer and Real-time detections in Ochrona usługi Office 365 w usłudze Microsoft Defender (Informacje o Eksploratorze zagrożeń i wykrywaniu w czasie rzeczywistym w Ochrona usługi Office 365 w usłudze Microsoft Defender).

Wykrywanie zagrożeń lub wykrywanie w czasie rzeczywistym umożliwia wykonywanie następujących akcji:

  • Zobacz złośliwe oprogramowanie wykryte przez funkcje zabezpieczeń platformy Microsoft 365.
  • Wyświetl adres URL wyłudzania informacji i kliknij pozycję Dane werdyktu.
  • Rozpocznij zautomatyzowane badanie i proces reagowania (tylko Eksplorator zagrożeń).
  • Zbadaj złośliwą wiadomość e-mail.
  • I wiele więcej.

Obejrzyj ten krótki film wideo, aby dowiedzieć się, jak wyszukiwać i badać zagrożenia związane z pocztą e-mail i współpracą przy użyciu Ochrona usługi Office 365 w usłudze Defender.

Porada

Zaawansowane wyszukiwanie zagrożeń w Microsoft Defender XDR obsługuje łatwy w użyciu konstruktor zapytań, który nie używa język zapytań Kusto (KQL). Aby uzyskać więcej informacji, zobacz Tworzenie zapytań przy użyciu trybu z przewodnikiem.

Następujące informacje są dostępne w tym artykule:

Porada

Aby zapoznać się ze scenariuszami poczty e-mail korzystającymi z Eksploratora zagrożeń i wykrywania w czasie rzeczywistym, zobacz następujące artykuły:

Jeśli szukasz ataków na podstawie złośliwych adresów URL osadzonych w kodach QR, kod QR wartości filtru źródła adresu URL w widokach Wszystkie wiadomości e-mail, Złośliwe oprogramowanie i Phish w Eksploratorze zagrożeń lub Wykrywanie w czasie rzeczywistym umożliwia wyszukiwanie wiadomości e-mail z adresami URL wyodrębnionymi z kodów QR.

Co należy wiedzieć przed rozpoczęciem?

Przewodnik po Eksploratorze zagrożeń i wykrywaniu w czasie rzeczywistym

Wykrywanie zagrożeń lub wykrywanie w czasie rzeczywistym jest dostępne w sekcji współpracy Email & w portalu Microsoft Defender pod adresem https://security.microsoft.com:

Eksplorator zagrożeń zawiera te same informacje i możliwości co wykrywanie w czasie rzeczywistym, ale z następującymi dodatkowymi funkcjami:

  • Więcej widoków.
  • Więcej opcji filtrowania właściwości, w tym opcja zapisywania zapytań.
  • Akcje wyszukiwania zagrożeń i korygowania.

Aby uzyskać więcej informacji na temat różnic między planem Ochrona usługi Office 365 w usłudze Defender 1 i planem 2, zobacz ściągawkę Ochrona usługi Office 365 w usłudze Defender Plan 1 a Plan 2.

Aby rozpocząć badanie, użyj kart (widoków) w górnej części strony.

Dostępne widoki w Eksploratorze zagrożeń i wykrywaniu w czasie rzeczywistym zostały opisane w poniższej tabeli:

Widok Zagrożenie
Explorer		 Czasu rzeczywistego
Wykrywania		 Opis
Wszystkie wiadomości e-mail Widok domyślny dla Eksploratora zagrożeń. Informacje o wszystkich wiadomościach e-mail wysyłanych przez użytkowników zewnętrznych do organizacji lub wiadomościach e-mail wysyłanych między użytkownikami wewnętrznymi w organizacji.
Złośliwego oprogramowania Widok domyślny dla wykrywania w czasie rzeczywistym. Informacje o wiadomościach e-mail zawierających złośliwe oprogramowanie.
Phish Informacje o wiadomościach e-mail zawierających zagrożenia związane z wyłudzaniem informacji.
Kampanie Informacje o złośliwych wiadomościach e-mail, które Ochrona usługi Office 365 w usłudze Defender plan 2 zidentyfikowane w ramach skoordynowanej kampanii wyłudzania informacji lub złośliwego oprogramowania.
Złośliwe oprogramowanie zawartości Informacje o złośliwych plikach wykrytych przez następujące funkcje:
Kliknięcia adresu URL Informacje o kliknięciach adresów URL użytkowników w wiadomościach e-mail, komunikatach usługi Teams, plikach programu SharePoint i plikach usługi OneDrive.

Użyj filtru daty/godziny i dostępnych właściwości filtru w widoku, aby uściślić wyniki:

Porada

Pamiętaj, aby wybrać pozycję Odśwież po utworzeniu lub zaktualizowaniu filtru. Filtry wpływają na informacje na wykresie i obszar szczegółów widoku.

Możesz traktować uściślanie fokusu w Eksploratorze zagrożeń lub wykrywaniu w czasie rzeczywistym jako warstwy, aby ułatwić ponowne śledzenie kroków:

  • Pierwsza warstwa to używany widok.
  • Drugi później to filtry, których używasz w tym widoku.

Na przykład możesz odtworzyć kroki, które zostały zastosowane w celu znalezienia zagrożenia, rejestrując swoje decyzje w następujący sposób: Aby znaleźć problem w Eksploratorze zagrożeń, użyłem widoku Złośliwe oprogramowanie i użyłem fokusu filtru adresata .

Należy również przetestować opcje wyświetlania. Różni odbiorcy (na przykład kierownictwo) mogą reagować lepiej lub gorzej na różne prezentacje tych samych danych.

Na przykład w widoku Wszystkie wiadomości e-mail w Eksploratorze zagrożeń widoki pochodzenia Email i kampanii (karty) są dostępne w obszarze szczegółów w dolnej części strony:

  • Dla niektórych odbiorców mapa świata na karcie pochodzenia Email może lepiej pokazać, jak powszechne są wykryte zagrożenia.

    Zrzut ekranu przedstawiający mapę świata w widoku źródła Email w obszarze szczegółów widoku Wszystkie wiadomości e-mail w Eksploratorze zagrożeń.

  • Inne osoby mogą znaleźć bardziej przydatne szczegółowe informacje w tabeli na karcie Kampanie , aby przekazać informacje.

    Zrzut ekranu przedstawiający tabelę szczegółów na karcie Kampania w widoku Wszystkie wiadomości e-mail w Eksploratorze zagrożeń.

Możesz użyć tych informacji, aby uzyskać następujące wyniki:

  • Aby pokazać potrzebę zabezpieczeń i ochrony.
  • Aby później zademonstrować skuteczność wszelkich akcji.

badanie Email

W widokach Wszystkie wiadomości e-mail, Złośliwe oprogramowanie lub Phish w Eksploratorze zagrożeń lub Wykrywanie w czasie rzeczywistym wyniki wiadomości e-mail są wyświetlane w tabeli na karcie Email (widok) obszaru szczegółów poniżej wykresu.

Gdy zostanie wyświetlona podejrzana wiadomość e-mail, kliknij wartość Temat wpisu w tabeli. Otwarte okno wysuwane szczegółów zawiera jednostkę Otwórz wiadomość e-mail w górnej części wysuwanego elementu.

Zrzut ekranu przedstawiający akcje dostępne w wysuwnym oknie szczegółów wiadomości e-mail po wybraniu wartości tematu na karcie Email obszaru szczegółów w widoku Wszystkie wiadomości e-mail.

Strona jednostki Email łączy wszystko, co musisz wiedzieć o wiadomości i jej zawartości, dzięki czemu można określić, czy komunikat jest zagrożeniem. Aby uzyskać więcej informacji, zobacz omówienie strony jednostki Email.

korygowanie Email

Po ustaleniu, że wiadomość e-mail jest zagrożeniem, następnym krokiem jest skorygowanie zagrożenia. Aby rozwiązać zagrożenie w Eksploratorze zagrożeń lub wykrywaniu w czasie rzeczywistym, należy wykonać akcję.

Akcja Take jest dostępna w widokach Wszystkie wiadomości e-mail, Złośliwe oprogramowanie lub Phish w Eksploratorze zagrożeń lub Wykrywanie w czasie rzeczywistym na karcie Email (widok) obszaru szczegółów poniżej wykresu:

  • Zaznacz co najmniej jeden wpis w tabeli, zaznaczając pole wyboru obok pierwszej kolumny. Akcja Take jest dostępna bezpośrednio na karcie.

    Zrzut ekranu przedstawiający widok Email (kartę) tabeli szczegółów z wybranym komunikatem i aktywnym działaniem.

    Porada

    Akcja Take zastępuje listę rozwijana Akcje komunikatów .

    Jeśli wybierzesz co najmniej 100 wpisów, możesz wykonać wiele akcji dotyczących komunikatów w kreatorze akcji Take .

    Jeśli wybierzesz od 101 do 200 000 wpisów, w kreatorze akcji Wykonaj są dostępne tylko następujące akcje:

    • Eksplorator zagrożeń: przejdź do skrzynki pocztowej i zaproponuj korygowanie są dostępne, ale wzajemnie się wykluczają (możesz wybrać jedną lub drugą).
    • Wykrywanie w czasie rzeczywistym: dostępne są tylko operacje przesyłania do firmy Microsoft w celu przeglądania i tworzenia odpowiednich wpisów dozwolonych/blokowych na liście Zezwalanie/blokowanie dzierżawy.

  • Kliknij wartość Temat wpisu w tabeli. Otwarte okno wysuwane szczegółów zawiera akcję Podejmij w górnej części wysuwanego elementu.

    Akcje dostępne na karcie szczegółów po wybraniu wartości tematu na karcie Email obszaru szczegółów w widoku Wszystkie wiadomości e-mail.

Wybranie pozycji Wykonaj akcję powoduje otwarcie kreatora akcji take w wysuwanym oknie. Dostępne akcje w kreatorze akcji Take (Eksplorator zagrożeń) (Ochrona usługi Office 365 w usłudze Defender plan 2) i Wykrywanie w czasie rzeczywistym (Ochrona usługi Office 365 w usłudze Defender plan 1) są wymienione w poniższej tabeli:

Akcja Zagrożenie
Explorer		 Czasu rzeczywistego
Wykrywania
Przenoszenie do folderu skrzynki pocztowej ✔¹
Prześlij do firmy Microsoft w celu przeglądu
  Zezwalaj lub blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw
Inicjowanie zautomatyzowanego badania
Proponowanie korygowania ²

¹ Ta akcja wymaga roli Search i przeczyszczania w uprawnieniach Email & współpracy. Domyślnie ta rola jest przypisywana tylko do grup ról Badacz danych i Zarządzanie organizacją . Możesz dodać użytkowników do tych grup ról lub utworzyć nową grupę ról z przypisaną rolą Search i przeczyszczania oraz dodać użytkowników do niestandardowej grupy ról.

² Chociaż ta akcja może być dostępna w przypadku wykrywania w czasie rzeczywistym, nie jest dostępna w Ochrona usługi Office 365 w usłudze Defender planie 1.

³ Ta akcja jest dostępna w obszarze Prześlij do firmy Microsoft do przeglądu.

Kreator akcji Take jest opisany na następującej liście:

  1. Na stronie Wybieranie akcji odpowiedzi wybierz następujące opcje:

    • Pokaż wszystkie akcje odpowiedzi: ta opcja jest dostępna tylko w Eksploratorze zagrożeń.

      Domyślnie niektóre akcje są niedostępne/wyszarzone na podstawie najnowszej lokalizacji dostarczania komunikatu. Aby wyświetlić wszystkie dostępne akcje odpowiedzi, przesuń przełącznik do pozycji Włączone.

    • Email sekcji akcji komunikatu:

      Możesz wybrać wiele akcji, jeśli wybrano 100 lub mniej komunikatów z karty Email (widok) obszaru szczegółów widoków Wszystkie wiadomości e-mail, Złośliwe oprogramowanie lub Phish po wybraniu opcji Podejmij akcję.

      Możesz również wybrać wiele akcji, jeśli wybrano pozycję Podejmij akcję w wysuwnym okienku szczegółów po kliknięciu wartości Temat wpisu.

      Wybierz co najmniej jedną z dostępnych opcji:

    • Przenieś do folderu skrzynki pocztowej: wybierz jedną z dostępnych wartości:

      • Śmieci: przenieś wiadomość do folderu Junk Email.
      • Skrzynka odbiorcza: przenieś komunikat do skrzynki odbiorczej.
      • Usunięte elementy: przenieś komunikat do folderu Elementy usunięte.
      • Nietrwałe usunięte elementy: usuń komunikat z folderu Elementy usunięte (przejdź do folderu Recoverable Items\Deletions). Komunikat jest możliwy do odzyskania przez użytkownika i administratorów.
      • Usunięte elementy: przeczyść usuniętą wiadomość. Administratorzy mogą odzyskać usunięte elementy przy użyciu odzyskiwania pojedynczego elementu. Aby uzyskać więcej informacji o usuniętych i nietrwałych elementach, zobacz Elementy usunięte nietrwale i usunięte.

    • Prześlij do firmy Microsoft w celu sprawdzenia: Wybierz jedną z dostępnych wartości:

      • Potwierdziłem, że jest czysty: wybierz tę wartość, jeśli masz pewność, że komunikat jest czysty. Zostaną wyświetlone następujące opcje:

        • Zezwalaj na takie komunikaty: jeśli wybierzesz tę wartość, wpisy zezwalania zostaną dodane do listy dozwolonych/zablokowanych dzierżaw dla nadawcy oraz wszelkich powiązanych adresów URL lub załączników w wiadomości. Zostaną również wyświetlone następujące opcje:
          • Usuń wpis po: wartość domyślna to 1 dzień, ale możesz również wybrać 7 dni, 30 dni lub określoną datę , która jest mniejsza niż 30 dni.
          • Uwaga dotycząca pozycji Zezwalaj: wprowadź opcjonalną notatkę zawierającą dodatkowe informacje.

      • Wydaje się ona czysta lub wydaje się podejrzana: wybierz jedną z tych wartości, jeśli nie masz pewności i chcesz uzyskać werdykt od firmy Microsoft.

      • Potwierdziłem, że jest to zagrożenie: wybierz tę wartość, jeśli masz pewność, że element jest złośliwy, a następnie wybierz jedną z następujących wartości w sekcji Wybierz kategorię , która zostanie wyświetlona:

        • Phish
        • Złośliwego oprogramowania
        • Spam

        Po wybraniu jednej z tych wartości zostanie otwarte okno wysuwane Wybierz jednostki do zablokowania , w którym można wybrać co najmniej jedną jednostkę skojarzoną z komunikatem (adres nadawcy, domenę nadawcy, adresy URL lub załączniki plików), aby dodać jako wpisy blokowe do listy Zezwalaj/blokuj dzierżawę.

        Po wybraniu elementów do zablokowania wybierz pozycję Dodaj, aby zablokować regułę , aby zamknąć wysuwane wybieranie jednostek . Możesz też wybrać pozycję Brak elementów, a następnie wybierz pozycję Anuluj.

        Po powrocie na stronę Wybieranie akcji odpowiedzi wybierz opcję wygaśnięcia dla wpisów blokowych:

        • Wygaśnie: wybierz datę wygaśnięcia wpisów blokowych.
        • Nigdy nie wygasaj

        Wyświetlana jest liczba zablokowanych jednostek (na przykład 4/4 jednostek do zablokowania). Wybierz pozycję Edytuj , aby ponownie otworzyć regułę Dodaj, aby zablokować i wprowadzić zmiany.

    • Inicjowanie zautomatyzowanego badania: tylko Eksplorator zagrożeń. Wybierz jedną z następujących wyświetlanych wartości:

      • Badanie wiadomości e-mail
      • Badanie adresata
      • Zbadaj nadawcę: ta wartość dotyczy tylko nadawców w organizacji.
      • Kontakt z adresatami

    • Zaproponuj korygowanie: Wybierz jedną z następujących wyświetlanych wartości:

      • Twórca nowe: ta wartość wyzwala akcję oczekującą na usunięcie nietrwałe wiadomości e-mail, która musi zostać zatwierdzona przez administratora w Centrum akcji. Ten wynik jest inaczej nazywany dwuetapowym zatwierdzeniem.

      • Dodaj do istniejącej: użyj tej wartości, aby zastosować akcje do tej wiadomości e-mail z istniejącego korygowania. W polu Prześlij wiadomość e-mail do następujących korygowania wybierz istniejące korygowanie .

        Porada

        Pracownicy usługi SecOps, którzy nie mają wystarczającej liczby permsissions, mogą użyć tej opcji do utworzenia korygowania, ale ktoś z uprawnieniami musi zatwierdzić akcję w Centrum akcji.

    Po zakończeniu na stronie Wybieranie akcji odpowiedzi wybierz pozycję Dalej.

  2. Na stronie Wybieranie jednostek docelowych skonfiguruj następujące opcje:

    • Nazwa i opis: wprowadź unikatową, opisową nazwę i opcjonalny opis, aby śledzić i identyfikować wybraną akcję.

    Pozostała część strony to tabela zawierająca listę elementów zawartości, których dotyczy problem. Tabela jest zorganizowana według następujących kolumn:

    • Element zawartości, którego dotyczy problem: zasoby, których dotyczy problem, z poprzedniej strony. Przykład:
      • Adres e-mail adresata
      • Cała dzierżawa
    • Akcja: wybrane akcje dla zasobów z poprzedniej strony. Przykład:
      • Wartości z aplikacji Submit to Microsoft do przeglądu:
        • Zgłoś jako czysty
        • Raport
        • Zgłoś jako złośliwe oprogramowanie, Zgłoś jako spam lub Zgłoś jako wyłudzanie informacji
        • Blokuj nadawcę
        • Blokuj domenę nadawcy
        • Adres URL bloku
        • Blokuj załącznik
      • Wartości z inicjowania zautomatyzowanego badania:
        • Badanie wiadomości e-mail
        • Badanie adresata
        • Badanie nadawcy
        • Kontakt z adresatami
      • Wartości z polecenia Zaproponuj korygowanie:
        • Twórca nowe korygowanie
        • Dodawanie do istniejącego korygowania
    • Jednostka docelowa: na przykład:
      • Wartość identyfikatora komunikatu sieciowego wiadomości e-mail.
      • Zablokowany adres e-mail nadawcy.
      • Zablokowana domena nadawcy.
      • Zablokowany adres URL.
      • Zablokowany załącznik.
    • Wygasa: wartości istnieją tylko dla wpisów dozwolonych lub zablokowanych na liście dzierżawy/dozwolonych bloków. Przykład:
      • Nigdy nie wygasaj dla wpisów blokowych.
      • Data wygaśnięcia dla wpisów dozwolonych lub zablokowanych.
    • Zakres: zazwyczaj ta wartość jest MDO.

    Na tym etapie można również cofnąć niektóre akcje. Jeśli na przykład chcesz utworzyć tylko wpis blokowy na liście dozwolonych/zablokowanych dzierżaw bez przesyłania jednostki do firmy Microsoft, możesz to zrobić tutaj.

    Po zakończeniu na stronie Wybieranie jednostek docelowych wybierz pozycję Dalej.

  3. Na stronie Przeglądanie i przesyłanie przejrzyj poprzednie wybory.

    Wybierz pozycję Eksportuj , aby wyeksportować zasoby, których dotyczy problem, do pliku CSV. Domyślnie nazwa pliku ma wpływ assets.csv znajduje się w folderze Pliki do pobrania .

    Wybierz pozycję Wstecz , aby wrócić i zmienić wybrane opcje.

    Po zakończeniu na stronie Przeglądanie i przesyłanie wybierz pozycję Prześlij.

Porada

Wyświetlenie akcji na powiązanych stronach może zająć trochę czasu, ale nie ma to wpływu na szybkość korygowania.

Środowisko wyszukiwania zagrożeń przy użyciu Eksploratora zagrożeń i wykrywania w czasie rzeczywistym

Wykrywanie zagrożeń lub wykrywanie w czasie rzeczywistym pomaga zespołowi ds. operacji zabezpieczeń efektywnie badać zagrożenia i reagować na nie. W poniższych podsekcjach wyjaśniono, w jaki sposób wykrywanie zagrożeń i wykrywanie w czasie rzeczywistym może pomóc w znalezieniu zagrożeń.

Wyszukiwanie zagrożeń z poziomu alertów

Strona Alerty jest dostępna w portalu usługi Defender pod adresem Zdarzenia & alerty alertów> lub bezpośrednio pod adresem .https://security.microsoft.com/alerts

Wiele alertów z wartością źródła wykrywaniaMDO mieć dostępną akcję Wyświetl komunikaty w Eksploratorze w górnej części wysuwanego szczegółów alertu.

Wysuwane szczegóły alertu są otwierane po kliknięciu dowolnego miejsca w alercie innym niż pole wyboru obok pierwszej kolumny. Przykład:

  • Wykryto potencjalnie złośliwe kliknięcie adresu URL
  • Administracja wynik przesyłania został ukończony
  • Email komunikaty zawierające złośliwy adres URL usunięte po dostarczeniu
  • Email komunikaty usunięte po dostarczeniu
  • Komunikaty zawierające złośliwą jednostkę nie zostały usunięte po dostarczeniu
  • Phish nie zapped, ponieważ ZAP jest wyłączony

Zrzut ekranu przedstawiający dostępne akcje w wysuwnym okienku szczegółów alertu z wartością źródłową Wykrywanie MDO ze strony Alerty w portalu usługi Defender.

Wybranie pozycji Wyświetl komunikaty w Eksploratorze powoduje otwarcie Eksploratora zagrożeń w widoku Wszystkie wiadomości e-mail z identyfikatorem alertu filtru właściwości wybranym dla alertu. Wartość identyfikatora alertu jest unikatową wartością identyfikatora GUID alertu (na przykład 89e00cdc-4312-7774-6000-08dc33a24419).

Identyfikator alertu jest właściwością z możliwością filtrowania w następujących widokach w Eksploratorze zagrożeń i wykrywaniu w czasie rzeczywistym:

W tych widokach identyfikator alertu jest dostępny jako kolumna do wyboru w obszarze szczegółów poniżej wykresu na następujących kartach (widokach):

W wysuwnym e-mailu szczegółów, który zostanie otwarty po kliknięciu wartości tematu z jednego z wpisów, link Identyfikator alertu jest dostępny w sekcji szczegółów Email wysuwanego. Wybranie linku Identyfikator alertu powoduje otwarcie strony https://security.microsoft.com/viewalertsv2Wyświetl alerty z wybranym alertem i otwarciem wysuwanego szczegółów alertu.

Zrzut ekranu przedstawiający wysuwane szczegóły alertu na stronie Wyświetl alerty po wybraniu identyfikatora alertu z wysuwanego okienka szczegółów wiadomości e-mail wpisu na karcie Email z widoków Wszystkie wiadomości e-mail, Złośliwe oprogramowanie lub Phish w Eksploratorze zagrożeń lub Wykrywanie w czasie rzeczywistym.

Tagi w Eksploratorze zagrożeń

W Ochrona usługi Office 365 w usłudze Defender planie 2, jeśli używasz tagów użytkowników do oznaczania kont obiektów docelowych o wysokiej wartości (na przykład tagu konta Priorytet), możesz użyć tych tagów jako filtrów. Ta metoda przedstawia próby wyłudzania informacji skierowane do kont docelowych o wysokiej wartości w określonym okresie. Aby uzyskać więcej informacji na temat tagów użytkowników, zobacz Tagi użytkowników.

Tagi użytkowników są dostępne w następujących lokalizacjach w Eksploratorze zagrożeń:

Informacje o zagrożeniach dla wiadomości e-mail

Akcje przed dostarczeniem i po dostarczeniu wiadomości e-mail są konsolidowane w jeden rekord, niezależnie od różnych zdarzeń po dostarczeniu, które miały wpływ na wiadomość. Przykład:

Wysuwane szczegóły wiadomości e-mail z karty Email (widok) w widokach Wszystkie wiadomości e-mail, Złośliwe oprogramowanie lub Phish pokazują skojarzone zagrożenia i odpowiednie technologie wykrywania skojarzone z wiadomością e-mail. Komunikat może mieć zero, jedno lub wiele zagrożeń.

  • W sekcji Szczegóły dostarczania właściwość Technologia wykrywania przedstawia technologię wykrywania, która zidentyfikowała zagrożenie. Technologia wykrywania jest również dostępna jako wykres przestawny lub kolumna w tabeli szczegółów dla wielu widoków w Eksploratorze zagrożeń i wykrywaniu w czasie rzeczywistym.

  • Sekcja Adresy URL zawiera określone informacje o zagrożeniach dla wszystkich adresów URL w komunikacie. Na przykład złośliwe oprogramowanie, phish, **spam lub brak.

Porada

Analiza werdyktów niekoniecznie może być powiązana z jednostkami. Filtry oceniają zawartość i inne szczegóły wiadomości e-mail przed przypisaniem werdyktu. Na przykład wiadomość e-mail może zostać sklasyfikowana jako wyłudzająca informacje lub spam, ale żadne adresy URL w wiadomości nie są opatrzone werdyktem wyłudzania informacji lub spamu.

Wybierz pozycję Otwórz jednostkę poczty e-mail w górnej części wysuwanego menu, aby wyświetlić wyczerpujące szczegóły dotyczące wiadomości e-mail. Aby uzyskać więcej informacji, zobacz stronę jednostki Email w Ochrona usługi Office 365 w usłudze Microsoft Defender.

Zrzut ekranu przedstawiający wysuwane szczegóły wiadomości e-mail po wybraniu wartości tematu na karcie Email obszaru szczegółów w widoku Wszystkie wiadomości e-mail.

Rozszerzone możliwości w Eksploratorze zagrożeń

Poniższe podsekcje opisują filtry, które są wyłączne dla Eksploratora zagrożeń.

Reguły przepływu poczty programu Exchange (reguły transportu)

Aby znaleźć wiadomości, na które miały wpływ reguły przepływu poczty programu Exchange (nazywane również regułami transportu), dostępne są następujące opcje w widokach Wszystkie wiadomości e-mail, Złośliwe oprogramowanie i Phish w Eksploratorze zagrożeń (nie w przypadku wykrywania w czasie rzeczywistym):

  • Reguła transportu programu Exchange jest wartością, którą można wybrać dla właściwości Źródła przesłonięcia podstawowego, Przesłonięcia źródła i Typ zasad , które można filtrować.
  • Reguła transportu programu Exchange jest właściwością z możliwością filtrowania. Wprowadź częściową wartość tekstową nazwy reguły.

Aby uzyskać więcej informacji, zobacz następujące linki:

Karta Email (widok) dla obszaru szczegółów widoków Wszystkie wiadomości e-mail, Złośliwe oprogramowanie i Phish w Eksploratorze zagrożeń ma również regułę transportu programu Exchange jako dostępną kolumnę, która nie jest domyślnie wybrana. Ta kolumna zawiera nazwę reguły transportu. Aby uzyskać więcej informacji, zobacz następujące linki:

Porada

Aby uzyskać uprawnienia wymagane do wyszukiwania reguł przepływu poczty według nazwy w Eksploratorze zagrożeń, zobacz Uprawnienia i licencjonowanie dla Eksploratora zagrożeń i wykrywania w czasie rzeczywistym. Nie są wymagane żadne specjalne uprawnienia, aby wyświetlać nazwy reguł w wysuwanych szczegółach wiadomości e-mail, tabelach szczegółów i wyeksportowanych wynikach.

Łączniki przychodzące

Łączniki przychodzące określają określone ustawienia dla źródeł poczty e-mail dla platformy Microsoft 365. Aby uzyskać więcej informacji, zobacz Konfigurowanie przepływu poczty przy użyciu łączników w Exchange Online.

Aby znaleźć komunikaty, na które miały wpływ łączniki przychodzące, możesz użyć właściwości Filtrowalne łączniki , aby wyszukać łączniki według nazwy w widokach Wszystkie wiadomości e-mail, Złośliwe oprogramowanie i Phish w Eksploratorze zagrożeń (nie w przypadku wykrywania w czasie rzeczywistym). Wprowadź częściową wartość tekstową nazwy łącznika. Aby uzyskać więcej informacji, zobacz następujące linki:

Karta Email (widok) dla obszaru szczegółów widoków Wszystkie wiadomości e-mail, Złośliwe oprogramowanie i Phish w Eksploratorze zagrożeń ma również łącznik jako dostępną kolumnę, która nie jest domyślnie zaznaczona. Ta kolumna zawiera nazwę łącznika. Aby uzyskać więcej informacji, zobacz następujące linki:

Email scenariuszy zabezpieczeń w Eksploratorze zagrożeń i wykrywaniu w czasie rzeczywistym

Aby zapoznać się z konkretnymi scenariuszami, zobacz następujące artykuły:

Więcej sposobów korzystania z Eksploratora zagrożeń i wykrywania w czasie rzeczywistym

Oprócz scenariuszy opisanych w tym artykule masz więcej opcji w Eksploratorze lub wykrywaniu w czasie rzeczywistym. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami: