Caça a ameaças em detecções de Explorer de ameaças e em tempo real em Microsoft Defender para Office 365
Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
As organizações do Microsoft 365 que têm Microsoft Defender para Office 365 incluídas em sua assinatura ou compradas como complemento têm Explorer (também conhecido como Explorer de Ameaças) ou detecções em tempo real. Esses recursos são ferramentas poderosas e quase em tempo real para ajudar as equipes de Operações de Segurança (SecOps) a investigar e responder a ameaças. Para obter mais informações, consulte Sobre detecções de Explorer de ameaças e em tempo real no Microsoft Defender para Office 365.
Detecções de Explorer de ameaças ou em tempo real permitem que você tome as seguintes ações:
- Veja o malware detectado pelos Microsoft 365 de segurança.
- Exibir URL de phishing e clicar em dados de veredicto.
- Inicie um processo automatizado de investigação e resposta (somente ameaças Explorer).
- Investigue email mal-intencionado.
- E mais.
Assista a este pequeno vídeo para saber como caçar e investigar ameaças baseadas em email e colaboração usando Defender para Office 365.
Dica
A caça avançada no Microsoft Defender XDR dá suporte a um construtor de consultas fácil de usar que não usa o Linguagem de Consulta Kusto (KQL). Para obter mais informações, consulte Criar consultas usando o modo guiado.
As seguintes informações estão disponíveis neste artigo:
- Um passo a passo geral das detecções de Explorer de ameaças e em tempo real
- A experiência de caça a ameaças usando detecções de Explorer e em tempo real
- Recursos estendidos no Explorer de Ameaças
Dica
Para cenários de email usando detecções de Explorer de ameaças e em tempo real, confira os seguintes artigos:
- Email segurança com detecções de Explorer de ameaças e em tempo real no Microsoft Defender para Office 365
- Investigar email mal-intencionado que foi entregue no Microsoft 365
Se você estiver procurando ataques com base em URLs mal-intencionadas inseridas em códigos QR, o código QR de valor de filtro de URL no código QRde todos os emails, Malware e Phish em detecções de Explorer de ameaças ou em tempo real permite que você pesquise mensagens de email com URLs extraídas de códigos QR.
Do que você precisa saber para começar?
O Explorer de ameaças está incluído no plano 2 do Defender para Office 365. As detecções em tempo real estão incluídas no Plano 1 do Defender para Office:
- As diferenças entre detecções de Explorer de ameaças e em tempo real são descritas em Sobre Explorer de Ameaças e detecções em tempo real em Microsoft Defender para Office 365.
- As diferenças entre Defender para Office 365 Plano 2 e o Plano 1 do Defender para o Office são descritas na folha de fraudes plano 1 vs. Plano 2 Defender para Office 365.
Para obter permissões e requisitos de licenciamento para detecções de Explorer e em tempo real, consulte Permissões e licenciamento para detecções de Explorer de ameaças e em tempo real.
Passo a passo Explorer de ameaças e detecções em tempo real
As detecções de Explorer ou em tempo real estão disponíveis na seção colaboração Email & no portal Microsoft Defender em https://security.microsoft.com:
As detecções em tempo real estão disponíveis no Plano 1 Defender para Office 365. A página detecções em tempo real está disponível diretamente em https://security.microsoft.com/realtimereportsv3.
O Explorer de ameaças está disponível no plano 2 do Defender para Office 365. A página Explorer está disponível diretamente em https://security.microsoft.com/threatexplorerv3.
O Explorer de ameaças contém as mesmas informações e recursos que as detecções em tempo real, mas com os seguintes recursos adicionais:
- Mais exibições.
- Mais opções de filtragem de propriedades, incluindo a opção de salvar consultas.
- Ações de busca e correção de ameaças.
Para obter mais informações sobre as diferenças entre Defender para Office 365 Plano 1 e Plano 2, consulte a folha de fraudes Defender para Office 365 Plano 1 vs. Plano 2.
Use as guias (exibições) na parte superior da página para iniciar sua investigação.
As exibições disponíveis em detecções de Explorer de ameaças e em tempo real são descritas na tabela a seguir:
Exibir | Ameaça Explorador |
Tempo real Detecções |
Descrição |
---|---|---|---|
Todos os emails | ✔ | Exibição padrão para Explorer de ameaças. Informações sobre todas as mensagens de email enviadas por usuários externos para sua organização ou email enviado entre usuários internos em sua organização. | |
Malware | ✔ | ✔ | Exibição padrão para detecções em tempo real. Informações sobre mensagens de email que contêm malware. |
Golpe | ✔ | ✔ | Informações sobre mensagens de email que contêm ameaças de phishing. |
Campanhas | ✔ | Informações sobre emails mal-intencionados que Defender para Office 365 Plano 2 identificaram como parte de uma campanha coordenada de phishing ou malware. | |
Malware de conteúdo | ✔ | ✔ | Informações sobre arquivos mal-intencionados detectados pelos seguintes recursos: |
Cliques na URL | ✔ | Informações sobre cliques do usuário em URLs em mensagens de email, mensagens do Teams, arquivos do SharePoint e arquivos do OneDrive. |
Use o filtro de data/hora e as propriedades de filtro disponíveis na exibição para refinar os resultados:
- Para obter instruções para criar filtros, consulte Filtros de propriedade em detecções de Explorer de ameaças e em tempo real.
- As propriedades de filtro disponíveis para cada exibição são descritas nos seguintes locais:
- Propriedades filtreáveis no modo de exibição All email no Threat Explorer
- Propriedades filtradas na exibição malware em detecções de Explorer de ameaças e em tempo real
- Propriedades filtradas na exibição phish em detecções de Explorer de ameaças e em tempo real
- Propriedades filtradas na exibição Campanhas no Explorer de Ameaças
- Propriedades filtradas na exibição de malware de conteúdo em detecções de Explorer de ameaças e em tempo real
- Propriedades filtradas na exibição de cliques de URL no Threat Explorer
Dica
Lembre-se de selecionar Atualizar depois de criar ou atualizar o filtro. Os filtros afetam as informações no gráfico e na área de detalhes da exibição.
Você pode pensar em refinar o foco em detecções de Explorer de ameaças ou em tempo real como camadas para facilitar o rastreamento de suas etapas:
- A primeira camada é a exibição que você está usando.
- O segundo posterior é os filtros que você está usando nesse modo de exibição.
Por exemplo, você pode refazer as etapas que tomou para encontrar uma ameaça gravando suas decisões assim: para encontrar o problema no Threat Explorer, usei a exibição malware e usei um foco de filtro do Destinatário.
Além disso, certifique-se de testar suas opções de exibição. Públicos diferentes (por exemplo, gerenciamento) podem reagir melhor ou pior a apresentações diferentes dos mesmos dados.
Por exemplo, em Ameaça Explorer a exibição Todos os emails, as exibições de origem Email e Campanhas (guias) estão disponíveis na área de detalhes na parte inferior da página:
Para alguns públicos, o mapa do mundo na guia de origem Email pode fazer um trabalho melhor para mostrar o quão generalizadas são as ameaças detectadas.
Outros podem encontrar as informações detalhadas na tabela na guia Campanhas mais úteis para transmitir as informações.
Você pode usar essas informações para os seguintes resultados:
- Para mostrar a necessidade de segurança e proteção.
- Para demonstrar posteriormente a eficácia de qualquer ação.
Email investigação
Nas exibições all email, Malware ou Phish em detecções de Explorer de ameaças ou em tempo real, os resultados da mensagem de email são mostrados em uma tabela na guia Email (exibição) da área de detalhes abaixo do gráfico.
Ao ver uma mensagem de email suspeita, clique no valor assunto de uma entrada na tabela. O flyout de detalhes que é aberto contém a entidade Open email na parte superior do flyout.
A página Email entidade reúne tudo o que você precisa saber sobre a mensagem e seu conteúdo para que você possa determinar se a mensagem é uma ameaça. Para obter mais informações, consulte Email visão geral da página da entidade.
Email correção
Depois de determinar que uma mensagem de email é uma ameaça, a próxima etapa é corrigir a ameaça. Você corrige a ameaça em detecções de Explorer de ameaças ou em tempo real usando a ação Tomar.
A ação está disponível nas exibições De email, Malware ou Phish em Detecções de ameaças Explorer ou em tempo real na guia Email (exibição) da área de detalhes abaixo do gráfico:
Selecione uma ou mais entradas na tabela selecionando a caixa marcar ao lado da primeira coluna. A ação está disponível diretamente na guia .
Dica
A ação substitui a lista suspensa Ações de mensagem.
Se você selecionar 100 ou menos entradas, poderá executar várias ações nas mensagens no assistente de ação Tomar .
Se você selecionar 101 a 200.000 entradas, somente as seguintes ações estarão disponíveis no assistente de ação Tomar :
- Ameaças Explorer: mover para a caixa de correio e Propor correção estão disponíveis, mas elas são mutuamente exclusivas (você pode selecionar uma ou outra).
- Detecções em tempo real: somente enviar à Microsoft para revisão e criar entradas de permissão/bloco correspondentes na lista Permissão/Bloco de Locatários estão disponíveis.
Clique no valor assunto de uma entrada na tabela. O flyout de detalhes que é aberto contém Tomar medidas na parte superior do flyout.
Selecionar A ação Tomar abre o assistente de ação Tomar em um flyout. As ações disponíveis no assistente de ação Tomar em Explorer de Ameaças (Defender para Office 365 Plano 2) e detecções em tempo real (Defender para Office 365 Plano 1) estão listadas na tabela a seguir:
Ação | Ameaça Explorador |
Tempo real Detections |
---|---|---|
Mover para a pasta caixa de correio | ✔¹ | |
Enviar à Microsoft para revisão | ✔ | ✔ |
Permitir ou bloquear entradas no Tenant Allow/Block List³ | ✔ | ✔ |
Iniciar investigação automatizada | ✔ | |
Propor correção | ✔ | ² |
¹ Essa ação requer a função Pesquisa e Purgação em Email & permissões de colaboração. Por padrão, essa função é atribuída apenas aos grupos de funções Pesquisador de Dados e Gerenciamento de Organizações . Você pode adicionar usuários a esses grupos de funções ou criar um novo grupo de funções com a função Pesquisa e Limpar atribuída e adicionar os usuários ao grupo de funções personalizado.
² Embora essa ação possa aparecer disponível em detecções em tempo real, ela não está disponível em Defender para Office 365 Plano 1.
³ Esta ação está disponível em Enviar à Microsoft para revisão.
O assistente de ação Take é descrito na seguinte lista:
Na página Escolher ações de resposta , faça as seguintes seleções:
Mostrar todas as ações de resposta: essa opção está disponível somente no Explorer de Ameaças.
Por padrão, algumas ações não estão disponíveis/esmaeçadas com base no local de entrega mais recente da mensagem. Para mostrar todas as ações de resposta disponíveis, deslize o alternância para Ativado.
Email seção ações de mensagem:
Você pode selecionar várias ações se tiver selecionado 100 ou menos mensagens na guia Email (exibição) da área de detalhes das exibições Todos os emails, Malware ou Phish quando você selecionou Tomar medidas.
Você também pode selecionar várias ações se tiver selecionado Tomar medidas no flyout de detalhes depois de clicar no valor assunto de uma entrada.
Selecione uma ou mais opções disponíveis:
Pasta Mover para a caixa de correio: selecione um dos valores disponíveis que aparecem:
- Lixo eletrônico: mova a mensagem para a pasta Junk Email.
- Caixa de entrada: mova a mensagem para a caixa de entrada.
- Itens excluídos: mova a mensagem para a pasta itens excluídos.
- Itens excluídos suavemente: exclua a mensagem da pasta itens excluídos (mova-se para a pasta Itens Recuperáveis\Exclusões). A mensagem é recuperável pelo usuário e pelos administradores.
- Itens excluídos com força: limpe a mensagem excluída. Os administradores podem recuperar itens excluídos com força usando a recuperação de um único item. Para obter mais informações sobre itens excluídos e excluídos, confira itens excluídos com exclusão suave e excluídos.
Enviar à Microsoft para revisão: selecione um dos valores disponíveis que aparecem:
Confirmei que é limpo: selecione esse valor se tiver certeza de que a mensagem está limpo. As seguintes opções aparecem:
- Permitir mensagens como esta: se você selecionar esse valor, permitir entradas serão adicionadas à Lista de Permissões/Blocos do Locatário para o remetente e quaisquer URLs ou anexos relacionados na mensagem. As seguintes opções também aparecem:
- Remova a entrada após: o valor padrão é de 1 dia, mas você também pode selecionar 7 dias, 30 dias ou uma data específica que seja menor que 30 dias.
- Permitir nota de entrada: insira uma nota opcional que contenha informações adicionais.
- Permitir mensagens como esta: se você selecionar esse valor, permitir entradas serão adicionadas à Lista de Permissões/Blocos do Locatário para o remetente e quaisquer URLs ou anexos relacionados na mensagem. As seguintes opções também aparecem:
Parece limpo ou parece suspeito: selecione um desses valores se você não tiver certeza e quiser um veredicto da Microsoft.
Confirmei que é uma ameaça: selecione esse valor se você tiver certeza de que o item é mal-intencionado e selecione um dos seguintes valores na seção Escolher uma categoria que aparece:
- Golpe
- Malware
- Spam
Depois de selecionar um desses valores, uma entidade Select para bloquear o flyout é aberta, onde você pode selecionar uma ou mais entidades associadas à mensagem (endereço do remetente, domínio do remetente, URLs ou anexos de arquivo) para adicionar como entradas de bloco à lista Permissão/Bloqueio do Locatário.
Depois de selecionar os itens a serem bloqueados, selecione Adicionar à regra de bloco para fechar as entidades Selecionar para bloquear o flyout. Ou selecione nenhum item e selecione Cancelar.
De volta à página Escolher ações de resposta , selecione uma opção de expiração para as entradas do bloco:
- Expirando: selecione uma data para que as entradas de bloco expirem.
- Nunca expirar
O número de entidades bloqueadas é mostrado (por exemplo, 4/4 entidades a serem bloqueadas). Selecione Editar para reabrir a regra Adicionar ao bloco e fazer alterações.
Iniciar investigação automatizada: somente Explorer de ameaças. Selecione um dos seguintes valores que aparecem:
- Investigar email
- Investigar destinatário
- Investigar remetente: esse valor se aplica apenas a remetentes em sua organização.
- Contatar destinatários
Propor correção: selecione um dos seguintes valores que aparecem:
Create novo: esse valor dispara uma ação pendente de email de exclusão suave que precisa ser aprovada por um administrador no Centro de Ação. Esse resultado também é conhecido como aprovação em duas etapas.
Adicione ao existente: use esse valor para aplicar ações a essa mensagem de email de uma correção existente. Na caixa Enviar email para a seguinte caixa de correções , selecione a correção existente.
Dica
O pessoal do SecOps que não tem permsões suficientes pode usar essa opção para criar uma correção, mas alguém com permissões precisa aprovar a ação no Centro de Ação.
Quando terminar na página Escolher ações de resposta , selecione Avançar.
Na página Escolher entidades de destino , configure as seguintes opções:
- Nome e Descrição: insira um nome exclusivo e descritivo e uma descrição opcional para acompanhar e identificar a ação selecionada.
O restante da página é uma tabela que lista os ativos afetados. A tabela é organizada pelas seguintes colunas:
- Ativo afetado: os ativos afetados da página anterior. Por exemplo:
- Endereço de email do destinatário
- Locatário inteiro
- Ação: as ações selecionadas para os ativos da página anterior. Por exemplo:
- Valores de Enviar à Microsoft para revisão:
- Relatório como limpo
- Report
- Relatório como malware, Relatório como spam ou Relatório como phishing
- Bloquear remetente
- Bloquear domínio do remetente
- Bloquear URL
- Bloquear anexo
- Valores de Iniciar investigação automatizada:
- Investigar email
- Investigar destinatário
- Investigar remetente
- Contatar destinatários
- Valores de Propor correção:
- Create nova correção
- Adicionar à correção existente
- Valores de Enviar à Microsoft para revisão:
- Entidade de destino: por exemplo:
- O valor da ID da Mensagem de Rede da mensagem de email.
- O endereço de email do remetente bloqueado.
- O domínio do remetente bloqueado.
- A URL bloqueada.
- O anexo bloqueado.
- Expira em: os valores existem apenas para permitir ou bloquear entradas na Lista de Blocos de Locatário/Permissão. Por exemplo:
- Nunca expire para entradas de bloco.
- A data de validade para permitir ou bloquear entradas.
- Escopo: normalmente, esse valor é MDO.
Nesta fase, você também pode desfazer algumas ações. Por exemplo, se você quiser apenas criar uma entrada de bloco na Lista de Permissões/Blocos de Locatários sem enviar a entidade para a Microsoft, você poderá fazer isso aqui.
Quando terminar na página Escolher entidades de destino , selecione Avançar.
Na página Examinar e enviar , examine suas seleções anteriores.
Selecione Exportar para exportar os ativos afetados para um arquivo CSV. Por padrão, o nome do arquivo é Impacted assets.csv localizado na pasta Downloads .
Selecione Voltar para voltar e alterar suas seleções.
Quando terminar na página Examinar e enviar , selecione Enviar.
Dica
As ações podem levar tempo para aparecer nas páginas relacionadas, mas a velocidade da correção não é afetada.
A experiência de caça a ameaças usando detecções de Explorer e em tempo real
Detecções de Explorer de ameaças ou em tempo real ajudam sua equipe de operações de segurança a investigar e responder a ameaças com eficiência. As subseções a seguir explicam como detecções de Explorer de ameaças e em tempo real podem ajudá-lo a encontrar ameaças.
Caça de ameaças de alertas
A página Alertas está disponível no portal do Defender em Alertas de alertas de & de incidentes> ou diretamente no .https://security.microsoft.com/alerts
Muitos alertas com o valor de origem de detecçãoMDO têm as mensagens Exibir em Explorer ação disponíveis na parte superior do flyout de detalhes do alerta.
O flyout de detalhes do alerta é aberto quando você clica em qualquer lugar no alerta diferente da caixa marcar ao lado da primeira coluna. Por exemplo:
- Um clique de URL potencialmente mal-intencionado foi detectado
- Administração resultado de envio concluído
- Email mensagens que contêm URL mal-intencionada removidas após a entrega
- Mensagens de email removidas após a entrega
- Mensagens contendo entidade mal-intencionada não removidas após a entrega
- Phish não zapped porque ZAP está desabilitado
Selecionar Exibir mensagens no Explorer abre o Explorer de Ameaças no modo de exibição Todos os emails com a ID de Alerta do filtro de propriedade selecionada para o alerta. O valor da ID de Alerta é um valor GUID exclusivo para o alerta (por exemplo, 89e00cdc-4312-7774-6000-08dc33a24419).
A ID do alerta é uma propriedade filtrada nas seguintes exibições em detecções de Explorer de ameaças e em tempo real:
- A exibição Todos os emails no Explorer de Ameaças.
- A exibição de malware em detecções de Explorer de ameaças e em tempo real
- A exibição **Phish em detecções de Explorer de ameaças e em tempo real
Nessas exibições, a ID do Alerta está disponível como uma coluna selecionável na área de detalhes abaixo do gráfico nas seguintes guias (exibições):
- A exibição Email para a área de detalhes do modo de exibição Todos os emails no Explorer de Ameaças
- A exibição Email para a área de detalhes do modo de exibição malware em detecções de Explorer de ameaças e em tempo real
- A exibição Email para a área de detalhes do modo de exibição phish em detecções de Explorer de ameaças e em tempo real
No flyout de detalhes de email que é aberto quando você clica em um valor Subject de uma das entradas, o link ID de Alerta está disponível na seção Email detalhes do flyout. A seleção do link ID de Alerta abre a página Exibir alertas com https://security.microsoft.com/viewalertsv2 o alerta selecionado e o flyout de detalhes aberto para o alerta.
Marcas no Explorer de ameaças
Em Defender para Office 365 Plano 2, se você usar marcas de usuário para marcar contas de destino de alto valor (por exemplo, a marca de conta de prioridade) você poderá usar essas marcas como filtros. Esse método mostra tentativas de phishing direcionadas a contas de destino de alto valor durante um período de tempo específico. Para obter mais informações sobre marcas de usuário, consulte Marcas de usuário.
As marcas de usuário estão disponíveis nos seguintes locais no Explorer de Ameaças:
- Todas as exibições de email :
- Exibição de malware :
- Exibição de phish :
- Exibição de cliques de URL :
Informações sobre ameaças para mensagens de email
As ações de pré-entrega e pós-entrega em mensagens de email são consolidadas em um único registro, independentemente dos diferentes eventos pós-entrega que afetaram a mensagem. Por exemplo:
- ZAP (limpeza automática) de zero hora.
- Correção manual (ação de administrador).
- Entrega Dinâmica.
O sobrevoo de detalhes de email da guia Email (exibição) nas exibições De email, Malware ou Phish mostra as ameaças associadas e as tecnologias de detecção correspondentes associadas à mensagem de email. Uma mensagem pode ter zero, uma ou várias ameaças.
Na seção Detalhes de entrega , a propriedade tecnologia de detecção mostra a tecnologia de detecção que identificou a ameaça. A tecnologia de detecção também está disponível como um pivô de gráfico ou uma coluna na tabela de detalhes para muitas exibições em detecções de Explorer de ameaças e em tempo real.
A seção URLs mostra informações específicassobre ameaças para quaisquer URLs na mensagem. Por exemplo, Malware, Phish, **Spam ou Nenhum.
Dica
A análise do veredicto pode não estar necessariamente ligada a entidades. Os filtros avaliam o conteúdo e outros detalhes de uma mensagem de email antes de atribuir um veredicto. Por exemplo, uma mensagem de email pode ser classificada como phishing ou spam, mas nenhuma URL na mensagem é carimbada com um veredicto de phishing ou spam.
Selecione Abrir entidade de email na parte superior do flyout para ver detalhes exaustivos sobre a mensagem de email. Para obter mais informações, consulte A página entidade Email no Microsoft Defender para Office 365.
Recursos estendidos no Explorer de Ameaças
As subseções a seguir descrevem filtros exclusivos do Threat Explorer.
Regras de fluxo de email do Exchange (regras de transporte)
Para encontrar mensagens afetadas pelas regras de fluxo de email do Exchange (também conhecidas como regras de transporte), você tem as seguintes opções nas exibições De email, Malware e Phish em Explorer de Ameaças (não em detecções em tempo real):
- A regra de transporte de troca é um valor selecionável para as propriedades filtraveis de origem de substituição primária, origem de substituição e tipo de política .
- A regra de transporte de troca é uma propriedade filtrada. Insira um valor de texto parcial para o nome da regra.
Para obter mais informações, consulte os seguintes links:
- Todas as exibições de email no Explorer de Ameaças
- Exibição de malware em detecções de Explorer de ameaças e em tempo real
- Exibição de phish em detecções de Explorer de ameaças e em tempo real
A guia Email (exibição) para a área de detalhes das exibições De email, Malware e Phish no Threat Explorer também tem a regra de transporte do Exchange como uma coluna disponível que não está selecionada por padrão. Esta coluna mostra o nome da regra de transporte. Para obter mais informações, consulte os seguintes links:
- Email exibição para a área de detalhes do modo de exibição Todos os emails no Explorer de Ameaças
- Email exibição para a área de detalhes do modo de exibição malware em detecções de Explorer de ameaças e em tempo real
- Email exibição para a área de detalhes do modo de exibição phish em detecções de Explorer de ameaças e em tempo real
Dica
Para obter as permissões necessárias para pesquisar regras de fluxo de email pelo nome em Explorer de Ameaças, consulte Permissões e licenciamento para detecções de Explorer de ameaças e em tempo real. Nenhuma permissão especial é necessária para ver nomes de regras em flyouts de detalhes de email, tabelas de detalhes e resultados exportados.
Conectores de entrada
Os conectores de entrada especificam configurações específicas para fontes de email para o Microsoft 365. Para obter mais informações, confira Configurar o fluxo de emails usando conectores no Exchange Online.
Para encontrar mensagens afetadas por conectores de entrada, você pode usar a propriedade filtre do Conector para pesquisar conectores pelo nome nas exibições All email, Malware e Phish no Threat Explorer (não em detecções em tempo real). Insira um valor de texto parcial para o nome do conector. Para obter mais informações, consulte os seguintes links:
- Todas as exibições de email no Explorer de Ameaças
- Exibição de malware em detecções de Explorer de ameaças e em tempo real
- Exibição de phish em detecções de Explorer de ameaças e em tempo real
A guia Email (exibição) para a área de detalhes das exibições De email, Malware e Phish no Threat Explorer também tem o Conector como uma coluna disponível que não está selecionada por padrão. Esta coluna mostra o nome do conector. Para obter mais informações, consulte os seguintes links:
- Email exibição para a área de detalhes do modo de exibição Todos os emails no Explorer de Ameaças
- Email exibição para a área de detalhes do modo de exibição malware em detecções de Explorer de ameaças e em tempo real
- Email exibição para a área de detalhes do modo de exibição phish em detecções de Explorer de ameaças e em tempo real
Email cenários de segurança em detecções de Explorer de ameaças e em tempo real
Para cenários específicos, confira os seguintes artigos:
- Email segurança com detecções de Explorer de ameaças e em tempo real no Microsoft Defender para Office 365
- Investigar email mal-intencionado que foi entregue no Microsoft 365
Mais maneiras de usar detecções de Explorer de ameaças e em tempo real
Além dos cenários descritos neste artigo, você tem mais opções em detecções de Explorer ou em tempo real. Para saber mais, confira os seguintes artigos:
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de