Acerca do Explorer de Ameaças e deteções em tempo real no Microsoft Defender para Office 365

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Dica

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

As organizações do Microsoft 365 que Microsoft Defender para Office 365 incluídas na subscrição ou compradas como um suplemento têm Explorer (também conhecido como Explorer de Ameaças) ou deteções em tempo real. Estas funcionalidades são ferramentas de relatórios poderosas e quase em tempo real que ajudam as equipas de Operações de Segurança (SecOps) a investigar e a responder a ameaças.

Dependendo da sua subscrição, a Explorer de Ameaças ou as deteções em tempo real estão disponíveis na secção colaboração Email & no portal do Microsoft Defender em https://security.microsoft.com:

• As deteções em tempo real estão disponíveis no Defender para Office 365 Plano 1. A página Deteções em tempo real está disponível diretamente em https://security.microsoft.com/realtimereportsv3.

  

• O Explorer de ameaças está disponível no plano 2 do Defender para Office 365. A página Explorer está disponível diretamente em https://security.microsoft.com/threatexplorerv3.

  

O Explorer de ameaças contém as mesmas informações e capacidades que as deteções em tempo real, mas com as seguintes funcionalidades adicionais:

• Mais vistas.
• Mais opções de filtragem de propriedades, incluindo a opção para guardar consultas.
• Mais ações.

Para obter mais informações sobre as diferenças entre Defender para Office 365 Plano 1 e Plano 2, consulte a folha de truques e dicas Defender para Office 365 Plano 1 vs. Plano 2.

O resto deste artigo explica as vistas e funcionalidades que estão disponíveis em Deteções de ameaças Explorer e em tempo real.

Dica

Para cenários de e-mail com o Explorer de Ameaças e deteções em tempo real, veja os seguintes artigos:

• Investigação de ameaças no Explorer de Ameaças e deteções em tempo real no Microsoft Defender para Office 365
• Email segurança com a Explorer de Ameaças e deteções em tempo real no Microsoft Defender para Office 365
• Investigar e-mails maliciosos que foram entregues no Microsoft 365

Permissões e licenciamento para deteções de ameaças Explorer e em tempo real

Para utilizar Explorer ou deteções em tempo real, tem de ter permissões atribuídas. Você tem as seguintes opções:

• Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender e não o PowerShell):
  • Acesso de leitura para e-mail e cabeçalhos de mensagens do Teams: Operações de segurança/Dados não processados (colaboração & de e-mail)/Email & metadados de colaboração (leitura).
  • Pré-visualizar e transferir mensagens de e-mail: Operações de segurança/Dados não processados (colaboração & de e-mail)/Email & conteúdo de colaboração (leitura).
  • Remediar e-mail malicioso: operações de segurança/Dados de segurança/Email & ações avançadas de colaboração (gerir).
• Email & permissões de colaboração no portal do Microsoft Defender:
  • Acesso total: associação aos grupos de funções Gestão da Organização ou Administrador de Segurança . São necessárias mais permissões para realizar todas as ações disponíveis:
    • Pré-visualizar e transferir mensagens: requer a função de Pré-visualização , que é atribuída apenas aos grupos de funções Investigador de Dados ou Gestor de Deteção de Dados Eletrónicos por predefinição. Em alternativa, pode criar um novo grupo de funções com a função Pré-visualização atribuída e adicionar os utilizadores ao grupo de funções personalizada.
    • Mover mensagens e eliminar mensagens de caixas de correio: requer a função Procurar e Remover , que é atribuída apenas aos grupos de funções Investigador de Dados ou Gestão da Organização por predefinição. Em alternativa, pode criar um novo grupo de funções com a função Procurar e Remover atribuída e adicionar os utilizadores ao grupo de funções personalizado.
  • Acesso só de leitura: associação ao grupo de funções Leitor de Segurança .
• Microsoft Entra permissões: associar estas funções dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365:

  • Acesso total: associação às funções Administrador Global ou Administrador^*de Segurança .

  • Procure regras de fluxo de correio do Exchange (regras de transporte) por nome em Explorer de Ameaças: Associação nas funções Administrador de Segurança ou Leitor de Segurança.

  • Acesso só de leitura: associação nas funções Leitor Global ou Leitor de Segurança .

    Importante

    ^* A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Dica

As notificações de spam do utilizador final e as mensagens geradas pelo sistema não são disponíveis no Explorer de Ameaças. Estes tipos de mensagens estão disponíveis se existir uma regra de fluxo de correio (também conhecida como regra de transporte) para substituir.

As entradas do registo de auditoria são geradas quando os administradores pré-visualizam ou transferem mensagens de e-mail. Pode procurar no registo de auditoria de administrador por utilizador a atividade AdminMailAccess . Para obter instruções, consulte Auditar Nova Pesquisa.

Para utilizar o Explorer de Ameaças ou deteções em tempo real, tem de lhe ser atribuída uma licença para Defender para Office 365 (incluído na sua subscrição ou numa licença de suplemento).

As Explorer de ameaças ou deteções em tempo real contêm dados para utilizadores com licenças Defender para Office 365 atribuídas.

Elementos da Explorer de Ameaças e deteções em tempo real

As Explorer de ameaças e as deteções em tempo real contêm os seguintes elementos:

• Vistas: separadores na parte superior da página que organizam as deteções por ameaça. A vista afeta os restantes dados e opções na página.

  A tabela seguinte lista as vistas disponíveis em Explorer de Ameaças e Deteções em tempo real:

  Exibir	Ameaça Explorador	Tempo real deteções	Descrição
  Todos os e-mails	✔		Vista predefinida para Explorer de Ameaças. Informações sobre todas as mensagens de e-mail enviadas por utilizadores externos para a sua organização ou e-mails enviados entre utilizadores internos na sua organização.
  Malware	✔	✔	Vista predefinida para deteções em tempo real. Informações sobre mensagens de e-mail que contêm software maligno.
  Golpe	✔	✔	Informações sobre mensagens de e-mail que contêm ameaças de phishing.
  Campanhas	✔		Informações sobre e-mails maliciosos que Defender para Office 365 Plano 2 identificados como parte de uma campanha coordenada de phishing ou software maligno.
  Software maligno de conteúdo	✔	✔	Informações sobre ficheiros maliciosos detetados pelas seguintes funcionalidades: Proteção contra vírus incorporada no SharePoint, OneDrive e Microsoft Teams Anexos Seguros para Sharepoint, OneDrive e Microsoft Teams
  Cliques na URL	✔		Informações sobre o utilizador clica em URLs em mensagens de e-mail, mensagens do Teams, ficheiros do SharePoint e ficheiros do OneDrive.

  Estas vistas são descritas detalhadamente neste artigo, incluindo as diferenças entre as deteções de ameaças Explorer e em tempo real.

• Filtros de data/hora: por predefinição, a vista é filtrada por ontem e hoje. Para alterar o filtro de data, selecione o intervalo de datas e, em seguida, selecione Data de Início e Valores de data de fim até 30 dias atrás.

  

• Filtros de propriedade (consultas): filtre os resultados na vista pelas propriedades de mensagem, ficheiro ou ameaça disponíveis. As propriedades filtráveis disponíveis dependem da vista. Algumas propriedades estão disponíveis em muitas vistas, enquanto outras propriedades estão limitadas a uma vista específica.

  Os filtros de propriedade disponíveis para cada vista estão listados neste artigo, incluindo as diferenças entre as deteções de ameaças Explorer e em tempo real.

  Para obter instruções para criar filtros de propriedades, veja Filtros de propriedade em Explorer de ameaças e Deteções em tempo real

  O Explorer de ameaças permite-lhe guardar consultas para utilização posterior, conforme descrito na secção Consultas guardadas no Explorer de Ameaças.

• Gráficos: cada vista contém um elemento visual, representação agregada dos dados filtrados ou não filtrados. Pode utilizar os pivôs disponíveis para organizar o gráfico de formas diferentes.

  Muitas vezes, pode utilizar Exportar dados de gráficos para exportar dados de gráficos filtrados ou não filtrados para um ficheiro CSV.

  Os gráficos e os pivôs disponíveis são descritos em detalhe neste artigo, incluindo as diferenças entre as deteções de ameaças Explorer e em tempo real.

  Dica

  Para remover o gráfico da página (que maximiza o tamanho da área de detalhes), utilize um dos seguintes métodos:

  • Selecione Vista de Lista de Vista> de Gráfico na parte superior da página.
  • Selecione Mostrar vista de lista entre o gráfico e a área de detalhes.

• Área de detalhes: a área de detalhes de uma vista mostra normalmente uma tabela que contém os dados filtrados ou não filtrados. Pode utilizar as vistas disponíveis (separadores) para organizar os dados na área de detalhes de formas diferentes. Por exemplo, uma vista pode conter gráficos, mapas ou tabelas diferentes.

  Se a área de detalhes contiver uma tabela, muitas vezes pode utilizar Exportar para exportar seletivamente até 200 000 resultados filtrados ou não filtrados para um ficheiro CSV.

  Dica

  Na lista de opções Exportar , pode selecionar algumas ou todas as propriedades disponíveis a exportar. As seleções são guardadas por utilizador. As seleções no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.

Todas as vistas de e-mail no Explorer de Ameaças

A vista Todos os e-mails no Explorer Ameaças mostra informações sobre todas as mensagens de e-mail enviadas por utilizadores externos para a sua organização e e-mails enviados entre utilizadores internos na sua organização. A vista mostra e-mails maliciosos e não maliciosos. Por exemplo:

• Email identificado phishing ou software maligno.
• Email identificados como spam ou em massa.
• Email identificados sem ameaças.

Esta vista é a predefinição no Explorer De ameaças. Para abrir a vista Todos os e-mails na página Explorer no portal do Defender em https://security.microsoft.com, aceda a Email & colaboração>Explorer Todos> os separadores de e-mail. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, verifique se o separador Todos os e-mails está selecionado.

Propriedades filtráveis na vista Todos os e-mails no Explorer Ameaças

Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.

As propriedades filtráveis que estão disponíveis na caixa Ação de entrega na vista Todos os e-mails estão descritas na seguinte tabela:

Propriedade	Tipo
Básica
Endereço do remetente.	Texto. Separe múltiplos valores por vírgulas.
Destinatários	Texto. Separe múltiplos valores por vírgulas.
Domínio do remetente	Texto. Separe múltiplos valores por vírgulas.
Domínio do destinatário	Texto. Separe múltiplos valores por vírgulas.
Assunto	Texto. Separe múltiplos valores por vírgulas.
Nome a apresentar do remetente	Texto. Separe múltiplos valores por vírgulas.
E-mail do remetente do endereço	Texto. Separe múltiplos valores por vírgulas.
E-mail do remetente do domínio	Texto. Separe múltiplos valores por vírgulas.
Caminho de retorno	Texto. Separe múltiplos valores por vírgulas.
Domínio do caminho de retorno	Texto. Separe múltiplos valores por vírgulas.
Família de software maligno	Texto. Separe múltiplos valores por vírgulas.
Marcações	Texto. Separe múltiplos valores por vírgulas. Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador.
Domínio representado	Texto. Separe múltiplos valores por vírgulas.
Utilizador representado	Texto. Separe múltiplos valores por vírgulas.
Regra de transporte do Exchange	Texto. Separe múltiplos valores por vírgulas.
Regra de prevenção de perda de dados	Texto. Separe múltiplos valores por vírgulas.
Contexto	Selecione um ou mais valores: Avaliação Proteção de conta prioritária
Conector	Texto. Separe múltiplos valores por vírgulas.
Ação de entrega	Selecione um ou mais valores: Bloqueado: Email mensagens que foram colocadas em quarentena, que falharam a entrega ou que foram removidas. Entregue: Email entregues na Caixa de Entrada do utilizador ou noutra pasta onde o utilizador possa aceder à mensagem. Entregue em lixo: Email entregues na pasta Email de Lixo do utilizador ou na pasta Itens Eliminados onde o utilizador pode aceder à mensagem. Substituído: anexos de mensagens que foram substituídos pela Entrega Dinâmica em políticas de Anexos Seguros.
Ação adicional	Selecione um ou mais valores: Correção automatizada Entrega Dinâmica: para obter mais informações, veja Dynamic Delivery in Safe Attachments policies (Entrega Dinâmica em Políticas de Anexos Seguros). Remediação manual Nenhum Versão de quarentena Reprocessado: a mensagem foi identificada retroativamente como boa. ZAP: Para obter mais informações, veja Remoção automática de zero horas (ZAP) no Microsoft Defender para Office 365.
Directionality	Selecione um ou mais valores: Entrada Intra-irg Saída
Tecnologia de deteção	Selecione um ou mais valores: Filtro avançado: sinais baseados na aprendizagem automática. Proteção antimalware Em massa Campanha Reputação de domínio Detonação de ficheiros: os Anexos Seguros detetaram um anexo malicioso durante a análise de detonação. Reputação de detonação de ficheiros: anexos de ficheiros anteriormente detetados por detonações de Anexos Seguros noutras organizações do Microsoft 365. Reputação de ficheiros: a mensagem contém um ficheiro que foi anteriormente identificado como malicioso noutras organizações do Microsoft 365. Correspondência de impressões digitais: a mensagem assemelha-se a uma mensagem maliciosa detetada anteriormente. Filtro geral Marca de representação: Representação de remetentes de marcas conhecidas. Domínio de representação: representação de domínios do remetente que possui ou especificou para proteção em políticas anti-phishing Usuário de usurpação de identidade Reputação de IP Representação de informações de caixa de correio: deteções de representação de informações de caixas de correio em políticas anti-phishing. Deteção de análise mista: vários filtros contribuíram para o veredicto da mensagem. spoof DMARC: a mensagem falhou na autenticação DMARC. Spoof external domain (Spoof external domain): spoofing de endereços de e-mail do remetente com um domínio externo à sua organização. Spoof intra-org: spoofing de endereços de e-mail do remetente através de um domínio interno para a sua organização. Reputação de detonação de URL: URLs anteriormente detetados por detonações de Ligações Seguras noutras organizações do Microsoft 365. Reputação maliciosa de URL: a mensagem contém um URL que foi anteriormente identificado como malicioso noutras organizações do Microsoft 365.
Localização de entrega original	Selecione um ou mais valores: pasta Itens Excluídos Largado Falhou Caixa de Entrada/pasta Pasta Lixo Eletrônico No local/externo Quarentena Unknown
Localização de entrega mais recente¹	Os mesmos valores da localização de entrega original
Nível de confiança phish	Selecione um ou mais valores: High Normal
Substituição primária	Selecione um ou mais valores: Permitido pela política da organização Permitido pela política de utilizador Bloqueado pela política da organização Bloqueado pela política de utilizador Nenhum
Origem de substituição primária	As mensagens podem ter várias substituições de permissão ou bloqueio, conforme identificado em Substituir origem. A substituição que acabou por permitir ou bloquear a mensagem é identificada na origem de substituição primária. Selecione um ou mais valores: Filtro de Terceiros Administração viagem no tempo iniciada (ZAP) Bloco de política antimalware por tipo de ficheiro Definições de política antisspam Política de ligação Regra de transporte do Exchange Modo exclusivo (Substituição do utilizador) Filtragem ignorada devido a organização no local Filtro de região ip da política Filtro de idioma da política Simulação de Phishing Versão de quarentena Caixa de Correio secOps Lista de endereços do remetente (Administração Substituir) Lista de endereços do remetente (Substituição do utilizador) Lista de domínios do remetente (substituição de Administração) Lista de domínios do remetente (Substituição do utilizador) Bloco de ficheiros Permitir/Bloquear Lista de Inquilinos Bloco de endereço de e-mail do remetente Permitir/Bloquear Lista de Inquilinos Bloco spoof Permitir/Bloquear Lista de Inquilinos Bloco de URL de Lista de Permissões/Blocos de Inquilinos Lista de contactos fidedigna (Substituição do utilizador) Domínio fidedigno (Substituição do utilizador) Destinatário fidedigno (Substituição do utilizador) Apenas remetentes fidedignos (Substituição do utilizador)
Substituir origem	Os mesmos valores que a origem de substituição primária
Tipo de política	Selecione um ou mais valores: Política anti-malware Política anti-phishing Regra de transporte do Exchange (regra de fluxo de correio), política de filtro de conteúdo alojado (política antisspessoal), Política de filtro de spam de saída alojada (política de spam de saída), política de Anexos Seguros Unknown
Ação de política	Selecione um ou mais valores: Adicionar cabeçalho x Mensagem Bcc Excluir mensagem Modificar assunto Mover para a pasta Email de Lixo Nenhuma ação tomada Redirecionar mensagem Enviar para quarentena
Tipo de ameaça	Selecione um ou mais valores: Malware Golpe Spam
Mensagem reencaminhada	Selecione um ou mais valores: Verdadeiro Falso
Lista de distribuição	Texto. Separe múltiplos valores por vírgulas.
Email tamanho	Número inteiro. Separe múltiplos valores por vírgulas.
Avançado
ID da Mensagem da Internet	Texto. Separe múltiplos valores por vírgulas. Disponível no campo cabeçalho Message-ID no cabeçalho da mensagem. Um valor de exemplo é <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenha em atenção os parênteses angulares).
ID da mensagem de rede	Texto. Separe múltiplos valores por vírgulas. Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem.
IP do remetente	Texto. Separe múltiplos valores por vírgulas.
Anexo SHA256	Texto. Separe múltiplos valores por vírgulas.
Cluster ID	Texto. Separe múltiplos valores por vírgulas.
ID do Alerta	Texto. Separe múltiplos valores por vírgulas.
ID da Política de Alerta	Texto. Separe múltiplos valores por vírgulas.
ID da Campanha	Texto. Separe múltiplos valores por vírgulas.
Sinal de URL do ZAP	Texto. Separe múltiplos valores por vírgulas.
URLs
Contagem de URLs	Número inteiro. Separe múltiplos valores por vírgulas.
Domínio de URL²	Texto. Separe múltiplos valores por vírgulas.
Domínio de URL e path²	Texto. Separe múltiplos valores por vírgulas.
URL²	Texto. Separe múltiplos valores por vírgulas.
Caminho do URL²	Texto. Separe múltiplos valores por vírgulas.
Origem do URL	Selecione um ou mais valores: Anexos Anexo na nuvem Email corpo cabeçalho Email Código QR Assunto Unknown
Clique no veredicto	Selecione um ou mais valores: Permitido: o utilizador foi autorizado a abrir o URL. Bloqueio substituído: o utilizador foi impedido de abrir diretamente o URL, mas ultrapassou o bloco para abrir o URL. Bloqueado: o utilizador foi impedido de abrir o URL. Erro: O utilizador foi apresentado com a página de erro ou ocorreu um erro ao capturar o veredicto. Falha: ocorreu uma exceção desconhecida ao capturar o veredicto. O utilizador pode ter aberto o URL. Nenhum: não é possível capturar o veredicto do URL. O utilizador pode ter aberto o URL. Veredicto pendente: O utilizador foi apresentado com a página de detonação pendente. Veredicto pendente ignorado: o utilizador foi apresentado com a página de detonação, mas anularam a mensagem para abrir o URL.
Ameaça de URL	Selecione um ou mais valores: Malware Golpe Spam
Arquivo
Contagem de Anexos	Número inteiro. Separe múltiplos valores por vírgulas.
Nome do arquivo anexo	Texto. Separe múltiplos valores por vírgulas.
Tipo de arquivo	Texto. Separe múltiplos valores por vírgulas.
Extensão de Arquivo	Texto. Separe múltiplos valores por vírgulas.
Tamanho do Arquivo	Número inteiro. Separe múltiplos valores por vírgulas.
Autenticação
SPF	Selecione um ou mais valores: Falha Neutro Nenhum Passagem Erro permanente Falha suave Erro temporário
DKIM	Selecione um ou mais valores: Erro Falha Ignore Nenhum Passagem Test Timeout Unknown
DMARCDMARC	Selecione um ou mais valores: Melhor passe de estimativa Falha Nenhum Passagem Erro permanente Passe do seletor Erro temporário Unknown
Composto	Selecione um ou mais valores: Falha Nenhum Passagem Passagem suave

Dica

¹ A localização de entrega mais recente não inclui ações do utilizador final nas mensagens. Por exemplo, se o utilizador tiver eliminado a mensagem ou movido a mensagem para um ficheiro PST ou arquivo.

Existem cenários em que localização de entrega Original Localização/de entrega mais recente e/ou Ação de entrega têm o valor Desconhecido. Por exemplo:

• A mensagem foi entregue (a ação de entrega é Entregue), mas uma regra da Caixa de Entrada moveu a mensagem para uma pasta predefinida que não a pasta Caixa de Entrada ou Email de Lixo (por exemplo, a pasta Rascunho ou Arquivo).
• O ZAP tentou mover a mensagem após a entrega, mas a mensagem não foi encontrada (por exemplo, o utilizador moveu ou eliminou a mensagem).

² Por predefinição, uma pesquisa de URL mapeia para http, a menos que seja especificado explicitamente outro valor. Por exemplo:

• Procurar com e sem o http:// prefixo em URL, Domínio de URL e Domínio de URL e Caminho deve mostrar os mesmos resultados.
• Procure o https:// prefixo no URL. Quando não é especificado nenhum valor, é assumido o http:// prefixo.
• / no início e no fim do caminho do URL, o Domínio do URL, o domínio do URL e os campos de caminho são ignorados.
• / no final do campo URL é ignorado.

Pivots for the chart in the All email view in Threat Explorer

O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.

Tabela dinâmica do gráfico de ações de entrega na vista Todos os e-mails no Explorer Ameaças

Embora este pivô não pareça selecionado por predefinição, a ação Entrega é o pivô de gráfico predefinido na vista Todos os e-mails .

O pivô da ação Entrega organiza o gráfico pelas ações executadas nas mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada ação de entrega.

Sender domain chart pivot in the All email view in Threat Explorer

O sender domain pivot organiza o gráfico pelos domínios em mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio do remetente.

Pivô do gráfico IP do remetente na vista Todos os e-mails no Explorer Ameaças

O pivô IP do Remetente organiza o gráfico pelos endereços IP de origem das mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada endereço IP do remetente.

Pivot do gráfico de tecnologia de deteção na vista Todos os e-mails no Explorer Deteção

O pivô Tecnologia de deteção organiza o gráfico pela funcionalidade que identificou mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.

Pivô de gráfico de URL completo na vista Todos os e-mails no Explorer Ameaças

O pivô URL Completo organiza o gráfico pelos URLs completos em mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada URL completo.

Pivô do gráfico de domínio do URL na vista Todos os e-mails no Explorer Ameaças

O pivô do domínio de URL organiza o gráfico pelos domínios em URLs em mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada domínio de URL.

Pivot do domínio do URL e do gráfico de caminhos na vista Todos os e-mails em Explorer de Ameaças

O domínio de URL e o pivot do caminho organizam o gráfico pelos domínios e caminhos em URLs em mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio e caminho de URL.

Vistas para a área de detalhes da vista Todos os e-mails em Explorer Ameaças

As vistas disponíveis (separadores) na área de detalhes da vista Todos os e-mails estão descritas nas seguintes subsecções.

Email vista para a área de detalhes da vista Todos os e-mails em Explorer de Ameaças

Email é a vista predefinida para a área de detalhes na vista Todos os e-mails.

A vista Email mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas. Os valores padrão são marcados com um asterisco (^*):

• Data^*
• Assunto^*
• Destinatário^*
• Domínio do destinatário
• Etiquetas^*
• Endereço do remetente^*
• Nome a apresentar do remetente
• Domínio do remetente^*
• IP do remetente
• E-mail do remetente do endereço
• E-mail do remetente do domínio
• Ações adicionais^*
• Ação de entrega
• Localização de entrega mais recente^*
• Localização de entrega original^*
• Origem das substituições do sistema
• Substituições do sistema
• ID do Alerta
• ID da mensagem da Internet
• ID da mensagem de rede
• Idioma do correio
• Regra de transporte do Exchange
• Connector
• Context
• Regra de prevenção de perda de dados
• Tipo de ameaça^*
• Tecnologia de deteção
• Contagem de Anexos
• Contagem de URLs
• Email tamanho

Dica

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

• Desloque-se horizontalmente no browser.
• Reduza a largura das colunas adequadas.
• Remover colunas da vista.
• Reduza o zoom no browser.

As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.

Quando seleciona uma ou mais entradas da lista ao selecionar a caixa de marcar junto à primeira coluna, a ação Tomar está disponível. Para obter informações, veja Investigação de ameaças: Email remediação.

No valor Assunto da entrada, a ação Abrir numa nova janela está disponível. Esta ação abre a mensagem na página Email entidade.

Quando clica nos valores Assunto ou Destinatário numa entrada, as listas de opções de detalhes são abertas. Estas listas de opções estão descritas nas seguintes subsecções.

Email detalhes da vista de Email da área de detalhes na vista Todos os e-mails

Quando seleciona o valor Assunto de uma entrada na tabela, é aberta uma lista de opções de detalhes de e-mail. Esta lista de opções de detalhes é conhecida como o painel de resumo Email e contém informações de resumo padronizadas que também estão disponíveis na página de entidade Email da mensagem.

Para obter detalhes sobre as informações no painel de resumo Email, consulte o painel de resumo Email no Defender.

As seguintes ações estão disponíveis na parte superior do painel de resumo Email para deteções de ameaças Explorer e em tempo real:

• Abrir entidade de e-mail
• Ver cabeçalho
• Tomar medidas: para obter informações, veja Investigação de ameaças: Email remediação.
• Mais opções:
  • Email pré-visualização¹ ²
  • Transferir e-mail¹ ² ³
  • Ver no Explorer
  • Go hunt⁴

¹ As ações de pré-visualização Email e Transferir e-mail requerem a função pré-visualização nas permissões de colaboração Email &. Por predefinição, esta função é atribuída aos grupos de funções Investigador de Dados e Gestor de Deteção de Dados Eletrónicos . Por predefinição, os membros dos grupos de funções Gestão da Organização ou Administradores de Segurança não podem efetuar estas ações. Para permitir estas ações para os membros desses grupos, tem as seguintes opções:

• Adicione os utilizadores aos grupos de funções Investigador de Dados ou Gestor de Deteção de Dados Eletrónicos .
• Crie um novo grupo de funções com a função Procurar e Remover atribuída e adicione os utilizadores ao grupo de funções personalizado.

² Pode pré-visualizar ou transferir mensagens de e-mail disponíveis nas caixas de correio do Microsoft 365. Exemplos de quando as mensagens já não estão disponíveis nas caixas de correio incluem:

• A mensagem foi removida antes da entrega ou da entrega falhar.
• A mensagem foi eliminada de forma recuperável (eliminada da pasta Itens eliminados, que move a mensagem para a pasta Itens Recuperáveis\Eliminações).
• ZAP moveu a mensagem para quarentena.

³ O e-mail de transferência não está disponível para mensagens que foram colocadas em quarentena. Em vez disso, transfira uma cópia protegida por palavra-passe da mensagem a partir da quarentena.

⁴ Go hunt está disponível apenas em Explorer de Ameaças. Não está disponível em Deteções em tempo real.

Detalhes do destinatário da vista de Email da área de detalhes na vista Todos os e-mails

Quando seleciona uma entrada ao clicar no valor Destinatário , é aberta uma lista de opções de detalhes com as seguintes informações:

Dica

Para ver detalhes sobre outros destinatários sem sair da lista de opções de detalhes, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.

• Secção resumo :

  • Função: se o destinatário tem alguma função de administrador atribuída.
  • Políticas:
    • Se o utilizador tem permissão para ver informações de arquivo.
    • Se o utilizador tem permissão para ver as informações de retenção.
    • Se o utilizador está abrangido pela prevenção de perda de dados (DLP).
    • Se o utilizador está abrangido pela Gestão de dispositivos móveis em https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.

• Email secção: uma tabela que mostra as seguintes informações relacionadas para as mensagens enviadas ao destinatário:

  • Date
  • Assunto
  • Recipiente

  Selecione Ver todos os e-mails para abrir o Explorer de Ameaças num novo separador filtrado pelo destinatário.

• Secção Alertas recentes : uma tabela que mostra as seguintes informações relacionadas para alertas recentes relacionados:

  • Gravidade
  • Política de alerta
  • Categoria
  • Atividades

  Se existirem mais de três alertas recentes, selecione Ver todos os alertas recentes para ver todos.

  • Secção Atividade recente : mostra os resultados resumidos de uma pesquisa de Registo de auditoria para o destinatário:

    • Date
    • Endereço IP
    • Atividades
    • Item

    Se o destinatário tiver mais de três entradas de registo de auditoria, selecione Ver todas as atividades recentes para ver todas.

  Dica

  Os membros do grupo de funções Administradores de Segurança no E-mail & permissões de colaboração não podem expandir a secção Atividade recente . Tem de ser membro de um grupo de funções nas permissões do Exchange Online que tenha as funções Registos de Auditoria, Analista de Proteção de Informações ou Investigador de Proteção de Informações atribuídas. Por predefinição, essas funções são atribuídas aos grupos de funções Gestão de Registos, Gestão de Conformidade, Proteção de Informações, Analistas de Proteção de Informações, Investigadores do Information Protection e Gestão de Organizações . Pode adicionar os membros dos Administradores de Segurança a esses grupos de funções ou pode criar um novo grupo de funções com a função Registos de Auditoria atribuída.

O URL clica na vista para a área de detalhes da vista Todos os e-mails no Explorador de Ameaças

A vista de cliques de URL mostra um gráfico que pode ser organizado através de pivôs. O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico são descritos nas seguintes subsecções.

Dica

No Explorador de Ameaças, cada pivot na vista de cliques em URL tem uma ação Ver todos os cliques que abre a vista de cliques de URL num novo separador.

Pivô de domínio de URL para a vista de cliques do URL para a área de detalhes da vista Todos os e-mails no Explorador de Ameaças

Embora este gráfico dinâmico não pareça estar selecionado, o domínio de URL é o pivô de gráfico predefinido na vista de cliques de URL .

O pivô do domínio do URL mostra os diferentes domínios em URLs em mensagens de e-mail para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada domínio de URL.

Clique no pivô do veredicto para a vista de cliques do URL para obter a área de detalhes da vista Todos os e-mails no Explorador de Ameaças

O pivô Clique no veredicto mostra os diferentes veredictos para URLs clicados em mensagens de e-mail para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada veredicto de clique.

O pivô de URL para o URL clica na vista de detalhes da vista Todos os e-mails no Explorador de Ameaças

O pivô do URL mostra os diferentes URLs que foram clicados nas mensagens de e-mail para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada URL.

Domínio de URL e pivot de caminho para a vista de cliques de URL para a área de detalhes da vista Todos os e-mails no Explorador de Ameaças

O domínio de URL e o pivot do caminho mostram os diferentes domínios e caminhos de ficheiro de URLs que foram clicados em mensagens de e-mail para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio de URL e caminho de ficheiro.

Vista de URLs principais para a área de detalhes da vista Todos os e-mails no Explorador de Ameaças

A vista UrLs Principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:

• URL
• Mensagens bloqueadas
• Mensagens de lixo
• Mensagens entregues

Principais detalhes de URLs para a vista Todos os e-mails

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de verificação junto à primeira coluna, é aberta uma lista de opções de detalhes com as seguintes informações:

Dica

Para ver detalhes sobre outros URLs sem deixar a lista de opções de detalhes, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.

• As seguintes ações estão disponíveis na parte superior da lista de opções:

  • Abrir página de URL

  • Submeter para análise:

    • Relatório limpo
    • Reportar phishing
    • Reportar software maligno

  • Indicador Gerir:

    • Adicionar indicador
    • Gerir na lista de blocos de inquilinos

    Selecionar qualquer uma destas opções leva-o para a página Submissões no portal do Defender.

  • Mais:

    • Ver no Explorador
    • Ir caçar
• Original URL
• Secção de deteção:
  • Veredicto das informações sobre ameaças
  • x incidentes de alertas ativos y: um gráfico de barras horizontal que mostra o número de alertas De Alto, Médio, Baixo e Informações que estão relacionados com esta ligação.
  • Uma ligação para Ver todos os incidentes & alertas na página de URL.
• Secção de detalhes do domínio :
  • Nome de domínio e uma ligação para Ver página de domínio.
  • Entidade de registo
  • Registado em
  • Atualizado em
  • Expira a
• Secção Informações de contacto do registo :
  • Entidade de registo
  • País/região
  • Endereço para correspondência
  • Email
  • Telefone
  • Mais informações: uma ligação para Abrir no Whois.
• Secção Prevalência de URL (últimos 30 dias): contém o número de Dispositivos, E-mail e Cliques. Selecione cada valor para ver a lista completa.
• Dispositivos: mostra os dispositivos afetados:

  • Data (Primeiro/Último)

  • Dispositivos

    Se estiverem envolvidos mais de dois dispositivos, selecione Ver todos os dispositivos para ver todos.

Vista de cliques superiores para a área de detalhes da vista Todos os e-mails no Explorador de Ameaças

A vista Cliques principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:

• URL
• Bloqueado
• Permitido
• Bloqueio substituído
• Veredicto pendente
• Veredicto pendente ignorado
• Nenhum
• Página de erro
• Falha

Dica

Todas as colunas disponíveis estão selecionadas. Se selecionar Personalizar colunas, não poderá desselecionar colunas.

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

• Desloque-se horizontalmente no browser.
• Reduza a largura das colunas adequadas.
• Reduza o zoom no browser.

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes dos URLs principais para a vista Todos os e-mails.

Vista de utilizadores principais direcionados para a área de detalhes da vista Todos os e-mails em Explorer De ameaças

A vista Utilizadores principais visados organiza os dados numa tabela dos cinco principais destinatários visados pela maioria das ameaças. A tabela contém as seguintes informações:

• Principais utilizadores visados: o endereço de e-mail do destinatário. Se selecionar um endereço de destinatário, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes do destinatário na vista de Email da área de detalhes na vista Todos os e-mails.

• O número de tentativas: se selecionar o número de tentativas, o Explorer De ameaças é aberto num novo separador filtrado pelo destinatário.

Dica

Utilize Exportar para exportar a lista de até 3000 utilizadores e as tentativas correspondentes.

Email vista de origem para a área de detalhes da vista Todos os e-mails em Explorer De ameaças

A vista de origem Email mostra origens de mensagens num mapa do mundo.

Vista de campanha para a área de detalhes da vista Todos os e-mails em Explorer De ameaças

A vista Campanha mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível.

As informações na tabela são as mesmas descritas na tabela de detalhes na página Campanhas.

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao Nome, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes da campanha.

Vista de software maligno no Explorer de Ameaças e deteções em tempo real

A vista Software Maligno no Explorer de Ameaças e deteções em tempo real mostra informações sobre mensagens de e-mail que foram encontradas com software maligno. Esta vista é a predefinição em Deteções em tempo real.

Para abrir a vista Software Maligno , siga um dos seguintes passos:

• Explorer de ameaças: na página Explorer no portal do Defender em https://security.microsoft.com, aceda ao separador colaboração> Email & Explorer>Malware. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, selecione o separador Software Maligno.
• Deteções em tempo real: na página Deteções em tempo real no portal do Defender em https://security.microsoft.com, aceda a Email & colaboração>ExplorerseparadorMalware>. Em alternativa, aceda diretamente à página Deteções em tempo real com https://security.microsoft.com/realtimereportsv3e, em seguida, verifique se o separador Software Maligno está selecionado.

Propriedades filtráveis na vista Software Maligno em Deteções de ameaças Explorer e em tempo real

Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.

As propriedades filtráveis que estão disponíveis na caixa Endereço do remetente na vista Software Maligno estão descritas na seguinte tabela:

Propriedade	Tipo	Ameaça Explorador	Tempo real deteções
Básica
Endereço do remetente.	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Destinatários	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Domínio do remetente	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Domínio do destinatário	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Assunto	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Nome a apresentar do remetente	Texto. Separe múltiplos valores por vírgulas.	✔	✔
E-mail do remetente do endereço	Texto. Separe múltiplos valores por vírgulas.	✔	✔
E-mail do remetente do domínio	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Caminho de retorno	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Domínio do caminho de retorno	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Família de software maligno	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Marcações	Texto. Separe múltiplos valores por vírgulas. Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador.	✔
Regra de transporte do Exchange	Texto. Separe múltiplos valores por vírgulas.	✔
Regra de prevenção de perda de dados	Texto. Separe múltiplos valores por vírgulas.	✔
Contexto	Selecione um ou mais valores: Avaliação Proteção de conta prioritária	✔
Conector	Texto. Separe múltiplos valores por vírgulas.	✔
Ação de entrega	Selecione um ou mais valores: Bloqueado Entregue: Entregue em lixo Substituído: anexos de mensagens que foram substituídos pela Entrega Dinâmica em políticas de Anexos Seguros.	✔	✔
Ação adicional	Selecione um ou mais valores: Correção automatizada Entrega Dinâmica: para obter mais informações, veja Dynamic Delivery in Safe Attachments policies (Entrega Dinâmica em Políticas de Anexos Seguros). Remediação manual Nenhum Versão de quarentena Reprocessado ZAP: Para obter mais informações, veja Remoção automática de zero horas (ZAP) no Microsoft Defender para Office 365.	✔	✔
Directionality	Selecione um ou mais valores: Entrada Intra-irg Saída	✔	✔
Tecnologia de deteção	Selecione um ou mais valores: Filtro avançado: sinais baseados na aprendizagem automática. Proteção antimalware Em massa Campanha Reputação de domínio Detonação de ficheiros: os Anexos Seguros detetaram um anexo malicioso durante a análise de detonação. Reputação de detonação de ficheiros: anexos de ficheiros anteriormente detetados por detonações de Anexos Seguros noutras organizações do Microsoft 365. Reputação de ficheiros: a mensagem contém um ficheiro que foi anteriormente identificado como malicioso noutras organizações do Microsoft 365. Correspondência de impressões digitais: a mensagem assemelha-se a uma mensagem maliciosa detetada anteriormente. Filtro geral Marca de representação: Representação de remetentes de marcas conhecidas. Domínio de representação: representação de domínios do remetente que possui ou especificou para proteção em políticas anti-phishing Usuário de usurpação de identidade Reputação de IP Representação de informações de caixa de correio: deteções de representação de informações de caixas de correio em políticas anti-phishing. Deteção de análise mista: vários filtros contribuíram para o veredicto da mensagem. spoof DMARC: a mensagem falhou na autenticação DMARC. Spoof external domain (Spoof external domain): spoofing de endereços de e-mail do remetente com um domínio externo à sua organização. Spoof intra-org: spoofing de endereços de e-mail do remetente através de um domínio interno para a sua organização. Detonação de URL: as Ligações Seguras detetaram um URL malicioso na mensagem durante a análise de detonação. Reputação de detonação de URL: URLs anteriormente detetados por detonações de Ligações Seguras noutras organizações do Microsoft 365. Reputação maliciosa de URL: a mensagem contém um URL que foi anteriormente identificado como malicioso noutras organizações do Microsoft 365.	✔	✔
Localização de entrega original	Selecione um ou mais valores: pasta Itens Excluídos Largado Falhou Caixa de Entrada/pasta Pasta Lixo Eletrônico No local/externo Quarentena Unknown	✔	✔
Localização de entrega mais recente	Os mesmos valores da localização de entrega original	✔	✔
Substituição primária	Selecione um ou mais valores: Permitido pela política da organização Permitido pela política de utilizador Bloqueado pela política da organização Bloqueado pela política de utilizador Nenhum	✔	✔
Origem de substituição primária	As mensagens podem ter várias substituições de permissão ou bloqueio, conforme identificado em Substituir origem. A substituição que acabou por permitir ou bloquear a mensagem é identificada na origem de substituição primária. Selecione um ou mais valores: Filtro de Terceiros Administração viagem no tempo iniciada (ZAP) Bloco de política antimalware por tipo de ficheiro Definições de política antisspam Política de ligação Regra de transporte do Exchange Modo exclusivo (Substituição do utilizador) Filtragem ignorada devido a organização no local Filtro de região ip da política Filtro de idioma da política Simulação de Phishing Versão de quarentena Caixa de Correio secOps Lista de endereços do remetente (Administração Substituir) Lista de endereços do remetente (Substituição do utilizador) Lista de domínios do remetente (substituição de Administração) Lista de domínios do remetente (Substituição do utilizador) Bloco de ficheiros Permitir/Bloquear Lista de Inquilinos Bloco de endereço de e-mail do remetente Permitir/Bloquear Lista de Inquilinos Bloco spoof Permitir/Bloquear Lista de Inquilinos Bloco de URL de Lista de Permissões/Blocos de Inquilinos Lista de contactos fidedigna (Substituição do utilizador) Domínio fidedigno (Substituição do utilizador) Destinatário fidedigno (Substituição do utilizador) Apenas remetentes fidedignos (Substituição do utilizador)	✔	✔
Substituir origem	Os mesmos valores que a origem de substituição primária	✔	✔
Tipo de política	Selecione um ou mais valores: Política anti-malware Política anti-phishing Regra de transporte do Exchange (regra de fluxo de correio), política de filtro de conteúdo alojado (política antisspessoal), Política de filtro de spam de saída alojada (política de spam de saída), política de Anexos Seguros Unknown	✔	✔
Ação de política	Selecione um ou mais valores: Adicionar cabeçalho x Mensagem Bcc Excluir mensagem Modificar assunto Mover para a pasta Email de Lixo Nenhuma ação tomada Redirecionar mensagem Enviar para quarentena	✔	✔
Email tamanho	Número inteiro. Separe múltiplos valores por vírgulas.	✔	✔
Avançado
ID da Mensagem da Internet	Texto. Separe múltiplos valores por vírgulas. Disponível no campo cabeçalho Message-ID no cabeçalho da mensagem. Um valor de exemplo é <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenha em atenção os parênteses angulares).	✔	✔
ID da mensagem de rede	Texto. Separe múltiplos valores por vírgulas. Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem.	✔	✔
IP do remetente	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Anexo SHA256	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Cluster ID	Texto. Separe múltiplos valores por vírgulas.	✔	✔
ID do Alerta	Texto. Separe múltiplos valores por vírgulas.	✔	✔
ID da Política de Alerta	Texto. Separe múltiplos valores por vírgulas.	✔	✔
ID da Campanha	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Sinal de URL do ZAP	Texto. Separe múltiplos valores por vírgulas.	✔	✔
URLs
Contagem de URLs	Número inteiro. Separe múltiplos valores por vírgulas.	✔	✔
Domínio de URL	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Domínio e caminho do URL	Texto. Separe múltiplos valores por vírgulas.	✔	✔
URL	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Caminho do URL	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Origem do URL	Selecione um ou mais valores: Anexos Anexo na nuvem Email corpo cabeçalho Email Código QR Assunto Unknown	✔	✔
Clique no veredicto	Selecione um ou mais valores: Permitido Bloqueio substituído Bloqueado Erro Falha Nenhum Veredicto pendente Veredicto pendente ignorado	✔	✔
Ameaça de URL	Selecione um ou mais valores: Malware Golpe Spam	✔	✔
Arquivo
Contagem de Anexos	Número inteiro. Separe múltiplos valores por vírgulas.	✔	✔
Nome do arquivo anexo	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Tipo de arquivo	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Extensão de Arquivo	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Tamanho do Arquivo	Número inteiro. Separe múltiplos valores por vírgulas.	✔	✔
Autenticação
SPF	Selecione um ou mais valores: Falha Neutro Nenhum Passagem Erro permanente Falha suave Erro temporário	✔	✔
DKIM	Selecione um ou mais valores: Erro Falha Ignore Nenhum Passagem Test Timeout Unknown	✔	✔
DMARCDMARC	Selecione um ou mais valores: Melhor passe de estimativa Falha Nenhum Passagem Erro permanente Passe do seletor Erro temporário Unknown	✔	✔
Composto	Selecione um ou mais valores: Falha Nenhum Passagem Passagem suave

Pivots for the chart in the Malware view in Threat Explorer and Real-time Detections (Pivots for the chart in the Malware view in Threat Explorer and Real-time Detections (Pivots for the chart in the Malware view in Threat Explorer and Real-time Detections

O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico que estão disponíveis na vista Software Maligno no Explorer de Ameaças e deteções em tempo real estão listados na seguinte tabela:

Pivot	Ameaça Explorador	Tempo real deteções
Família de software maligno	✔
Domínio do remetente	✔
IP do remetente	✔
Ação de entrega	✔	✔
Tecnologia de deteção	✔	✔

Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.

Gráfico de família de software maligno dinâmico na vista Software Maligno no Explorer De ameaças

Embora este pivô não pareça selecionado por predefinição, a família Malware é o gráfico predefinido na vista Software Maligno no Explorer De ameaças.

O pivô da família Malware organiza o gráfico pela família de software maligno detetado nas mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada família de software maligno.

Sender domain chart pivot in the Malware view in Threat Explorer

O sender domain pivot organiza o gráfico pelo domínio do remetente de mensagens que foram encontradas para conter software maligno para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio do remetente.

Pivô do gráfico IP do remetente na vista Software Maligno no Explorer Ameaças

O pivô IP do Remetente organiza o gráfico pelo endereço IP de origem das mensagens que foram encontradas para conter software maligno para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada endereço IP de origem.

Pivot do gráfico de ações de entrega na vista Software Maligno no Explorer de Ameaças e deteções em tempo real

Embora este pivô não pareça selecionado por predefinição, a ação entrega é o gráfico predefinido na vista Software Maligno em Deteções em tempo real.

O pivô da ação de entrega organiza o gráfico pelo que aconteceu às mensagens que foram encontradas para conter software maligno para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada ação de entrega.

Pivot do gráfico de tecnologia de deteção na vista Software Maligno no Explorer de Ameaças e deteções em tempo real

O pivô tecnologia de deteção organiza o gráfico pela funcionalidade que identificou software maligno em mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.

Vistas para a área de detalhes da vista Software Maligno em Deteções de ameaças Explorer e em tempo real

As vistas disponíveis (separadores) na área de detalhes da vista Software Maligno estão listadas na tabela seguinte e são descritas nas seguintes subsecções.

Exibir	Ameaça Explorador	Tempo real deteções
Email	✔	✔
Principais famílias de software maligno	✔
Principais utilizadores visados	✔
Email origem	✔
Campanha	✔

Email vista para a área de detalhes da vista Software Maligno em Deteções de ameaças Explorer e em tempo real

Email é a vista predefinida para a área de detalhes da vista Software Maligno em Deteções de ameaças Explorer e em tempo real.

A vista Email mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas.

A tabela seguinte mostra as colunas que estão disponíveis em Deteções de ameaças Explorer e em tempo real. Os valores predefinidos são marcados com um asterisco (^*).

Coluna	Ameaça Explorador	Tempo real deteções
Data*	✔	✔
Assunto*	✔	✔
Destinatário*	✔	✔
Domínio do destinatário	✔	✔
Etiquetas*	✔
Endereço do remetente*	✔	✔
Nome a apresentar do remetente	✔	✔
Domínio do remetente*	✔	✔
IP do remetente	✔	✔
E-mail do remetente do endereço	✔	✔
E-mail do remetente do domínio	✔	✔
Ações adicionais*	✔	✔
Ação de entrega	✔	✔
Localização de entrega mais recente*	✔	✔
Localização de entrega original*	✔	✔
Origem das substituições do sistema	✔	✔
Substituições do sistema	✔	✔
ID do Alerta	✔	✔
ID da mensagem da Internet	✔	✔
ID da mensagem de rede	✔	✔
Idioma do correio	✔	✔
Regra de transporte do Exchange	✔
Connector	✔
Context	✔	✔
Regra de prevenção de perda de dados	✔	✔
Tipo de ameaça*	✔	✔
Tecnologia de deteção	✔	✔
Contagem de Anexos	✔	✔
Contagem de URLs	✔	✔
Email tamanho	✔	✔

Dica

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

• Desloque-se horizontalmente no browser.
• Reduza a largura das colunas adequadas.
• Remover colunas da vista.
• Reduza o zoom no browser.

As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.

Quando seleciona uma ou mais entradas da lista ao selecionar a caixa de marcar junto à primeira coluna, a ação Tomar está disponível. Para obter informações, veja Investigação de ameaças: Email remediação.

Quando clica nos valores Assunto ou Destinatário numa entrada, as listas de opções de detalhes são abertas. Estas listas de opções estão descritas nas seguintes subsecções.

Email detalhes da vista de Email da área de detalhes na vista Software Maligno

Quando seleciona o valor Assunto de uma entrada na tabela, é aberta uma lista de opções de detalhes de e-mail. Esta lista de opções de detalhes é conhecida como o painel de resumo Email e contém informações de resumo padronizadas que também estão disponíveis na página de entidade Email da mensagem.

Para obter detalhes sobre as informações no painel de resumo Email, consulte Os painéis de resumo Email.

As ações disponíveis na parte superior do painel de resumo Email de deteções de Explorer Ameaças e Deteções em tempo real são descritas na Email detalhes da vista Email da área de detalhes na vista Todos os e-mails.

Detalhes do destinatário da vista Email da área de detalhes na vista Software Maligno

Quando seleciona uma entrada ao clicar no valor Destinatário , é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes do destinatário na vista de Email da área de detalhes na vista Todos os e-mails.

As principais famílias de software maligno veem a área de detalhes da vista Software Maligno em Explorer De software maligno

A vista Principais famílias de software maligno para a área de detalhes organiza os dados numa tabela das principais famílias de software maligno. A tabela mostra:

• Coluna principais famílias de software maligno : o nome da família de software maligno.

  Se selecionar um nome de família de software maligno, é aberta uma lista de opções de detalhes que contém as seguintes informações:

  • Email secção: uma tabela que mostra as seguintes informações relacionadas para mensagens que contêm o ficheiro de software maligno:

    • Date
    • Assunto
    • Recipiente

    Selecione Ver todos os e-mails para abrir o Explorer de Ameaças num novo separador filtrado pelo nome da família de software maligno.

  • Secção detalhes técnicos

  

• O número de tentativas: se selecionar o número de tentativas, a Explorer Ameaça é aberta num novo separador filtrado pelo nome da família de software maligno.

Vista de utilizadores principais direcionados para a área de detalhes da vista Software Maligno no Explorer

A vista Utilizadores principais visados organiza os dados numa tabela dos cinco principais destinatários visados por software maligno. A tabela mostra:

• Principais utilizadores visados: o endereço de e-mail do utilizador principal visado. Se selecionar um endereço de e-mail, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas na vista Utilizadores principais direcionados para a área de detalhes da vista Todos os e-mails em Explorer Ameaças.

• O número de tentativas: se selecionar o número de tentativas, a Explorer Ameaça é aberta num novo separador filtrado pelo nome da família de software maligno.

Dica

Utilize Exportar para exportar a lista de até 3000 utilizadores e as tentativas correspondentes.

Email vista de origem para a área de detalhes da vista Software Maligno em Explorer De ameaças

A vista de origem Email mostra origens de mensagens num mapa do mundo.

Vista de campanha para a área de detalhes da vista Software Maligno no Explorer De ameaças

A vista Campanha mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível.

A tabela de detalhes é idêntica à tabela de detalhes na página Campanhas.

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao Nome, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes da campanha.

Vista de phish no Explorer de Ameaças e deteções em tempo real

A vista Phish no Explorer de Ameaças e deteções em tempo real mostra informações sobre mensagens de e-mail que foram identificadas como phishing.

Para abrir a vista Phish , siga um dos seguintes passos:

• Explorer de ameaças: na página Explorer no portal do Defender em https://security.microsoft.com, aceda ao separador colaboração> Email & Explorer>Phish. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, selecione o separador Phish.
• Deteções em tempo real: na página Deteções em tempo real no portal do Defender em https://security.microsoft.com, aceda a Email & colaboração>Explorer>separadorPhish. Em alternativa, aceda diretamente à página Deteções em tempo real com https://security.microsoft.com/realtimereportsv3e, em seguida, selecione o separador Phish.

Propriedades filtráveis na vista Phish em Deteções de ameaças Explorer e em tempo real

Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.

As propriedades filtráveis que estão disponíveis na caixa Endereço do remetente na vista Software Maligno estão descritas na seguinte tabela:

Propriedade	Tipo	Ameaça Explorador	Tempo real deteções
Básica
Endereço do remetente.	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Destinatários	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Domínio do remetente	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Domínio do destinatário	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Assunto	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Nome a apresentar do remetente	Texto. Separe múltiplos valores por vírgulas.	✔	✔
E-mail do remetente do endereço	Texto. Separe múltiplos valores por vírgulas.	✔	✔
E-mail do remetente do domínio	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Caminho de retorno	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Domínio do caminho de retorno	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Marcações	Texto. Separe múltiplos valores por vírgulas. Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador.	✔
Domínio representado	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Utilizador representado	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Regra de transporte do Exchange	Texto. Separe múltiplos valores por vírgulas.	✔
Regra de prevenção de perda de dados	Texto. Separe múltiplos valores por vírgulas.	✔
Contexto	Selecione um ou mais valores: Avaliação Proteção de conta prioritária	✔
Conector	Texto. Separe múltiplos valores por vírgulas.	✔
Ação de entrega	Selecione um ou mais valores: Bloqueado Entregue: Entregue em lixo Substituído: anexos de mensagens que foram substituídos pela Entrega Dinâmica em políticas de Anexos Seguros.	✔	✔
Ação adicional	Selecione um ou mais valores: Correção automatizada Entrega Dinâmica Remediação manual Nenhum Versão de quarentena Reprocessado ZAP	✔	✔
Directionality	Selecione um ou mais valores: Entrada Intra-irg Saída	✔	✔
Tecnologia de deteção	Selecione um ou mais valores: Filtro avançado Proteção antimalware Em massa Campanha Reputação de domínio Detonação de arquivo Reputação da detonação de arquivo Reputação de arquivos Correspondência de impressão digital Filtro geral Marca de usurpação de identidade Domínio de usurpação de identidade Usuário de usurpação de identidade Reputação de IP Usurpação de identidade da inteligência de caixa de correio Detecção de análise mista spoof DMARC Domínio externo falso Falsificação dentro da organização Detonação de URL Reputação da detonação de URL Reputação mal-intencionada de URL	✔	✔
Localização de entrega original	Selecione um ou mais valores: pasta Itens Excluídos Largado Falhou Caixa de Entrada/pasta Pasta Lixo Eletrônico No local/externo Quarentena Unknown	✔	✔
Localização de entrega mais recente	Os mesmos valores da localização de entrega original	✔	✔
Nível de confiança phish	Selecione um ou mais valores: High Normal	✔
Substituição primária	Selecione um ou mais valores: Permitido pela política da organização Permitido pela política de utilizador Bloqueado pela política da organização Bloqueado pela política de utilizador Nenhum	✔	✔
Origem de substituição primária	As mensagens podem ter várias substituições de permissão ou bloqueio, conforme identificado em Substituir origem. A substituição que acabou por permitir ou bloquear a mensagem é identificada na origem de substituição primária. Selecione um ou mais valores: Filtro de Terceiros Administração viagem no tempo iniciada (ZAP) Bloco de política antimalware por tipo de ficheiro Definições de política antisspam Política de ligação Regra de transporte do Exchange Modo exclusivo (Substituição do utilizador) Filtragem ignorada devido a organização no local Filtro de região ip da política Filtro de idioma da política Simulação de Phishing Versão de quarentena Caixa de Correio secOps Lista de endereços do remetente (Administração Substituir) Lista de endereços do remetente (Substituição do utilizador) Lista de domínios do remetente (substituição de Administração) Lista de domínios do remetente (Substituição do utilizador) Bloco de ficheiros Permitir/Bloquear Lista de Inquilinos Bloco de endereço de e-mail do remetente Permitir/Bloquear Lista de Inquilinos Bloco spoof Permitir/Bloquear Lista de Inquilinos Bloco de URL de Lista de Permissões/Blocos de Inquilinos Lista de contactos fidedigna (Substituição do utilizador) Domínio fidedigno (Substituição do utilizador) Destinatário fidedigno (Substituição do utilizador) Apenas remetentes fidedignos (Substituição do utilizador)	✔	✔
Substituir origem	Os mesmos valores que a origem de substituição primária	✔	✔
Tipo de política	Selecione um ou mais valores: Política anti-malware Política anti-phishing Regra de transporte do Exchange (regra de fluxo de correio), política de filtro de conteúdo alojado (política antisspessoal), Política de filtro de spam de saída alojada (política de spam de saída), política de Anexos Seguros Unknown	✔	✔
Ação de política	Selecione um ou mais valores: Adicionar cabeçalho x Mensagem Bcc Excluir mensagem Modificar assunto Mover para a pasta Email de Lixo Nenhuma ação tomada Redirecionar mensagem Enviar para quarentena	✔	✔
Email tamanho	Número inteiro. Separe múltiplos valores por vírgulas.	✔	✔
Avançado
ID da Mensagem da Internet	Texto. Separe múltiplos valores por vírgulas. Disponível no campo cabeçalho Message-ID no cabeçalho da mensagem. Um valor de exemplo é <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenha em atenção os parênteses angulares).	✔	✔
ID da mensagem de rede	Texto. Separe múltiplos valores por vírgulas. Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem.	✔	✔
IP do remetente	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Anexo SHA256	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Cluster ID	Texto. Separe múltiplos valores por vírgulas.	✔	✔
ID do Alerta	Texto. Separe múltiplos valores por vírgulas.	✔	✔
ID da Política de Alerta	Texto. Separe múltiplos valores por vírgulas.	✔	✔
ID da Campanha	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Sinal de URL do ZAP	Texto. Separe múltiplos valores por vírgulas.	✔
URLs
Contagem de URLs	Número inteiro. Separe múltiplos valores por vírgulas.	✔	✔
Domínio de URL	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Domínio e caminho do URL	Texto. Separe múltiplos valores por vírgulas.	✔
URL	Texto. Separe múltiplos valores por vírgulas.	✔
Caminho do URL	Texto. Separe múltiplos valores por vírgulas.	✔
Origem do URL	Selecione um ou mais valores: Anexos Anexo na nuvem Email corpo cabeçalho Email Código QR Assunto Unknown	✔	✔
Clique no veredicto	Selecione um ou mais valores: Permitido Bloqueio substituído Bloqueado Erro Falha Nenhum Veredicto pendente Veredicto pendente ignorado	✔	✔
Ameaça de URL	Selecione um ou mais valores: Malware Golpe Spam	✔	✔
Arquivo
Contagem de Anexos	Número inteiro. Separe múltiplos valores por vírgulas.	✔	✔
Nome do arquivo anexo	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Tipo de arquivo	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Extensão de Arquivo	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Tamanho do Arquivo	Número inteiro. Separe múltiplos valores por vírgulas.	✔	✔
Autenticação
SPF	Selecione um ou mais valores: Falha Neutro Nenhum Passagem Erro permanente Falha suave Erro temporário	✔	✔
DKIM	Selecione um ou mais valores: Erro Falha Ignore Nenhum Passagem Test Timeout Unknown	✔	✔
DMARCDMARC	Selecione um ou mais valores: Melhor passe de estimativa Falha Nenhum Passagem Erro permanente Passe do seletor Erro temporário Unknown	✔	✔
Composto	Selecione um ou mais valores: Falha Nenhum Passagem Passagem suave

Pivots for the chart in the Phish view in Threat Explorer and Real-time Detections (Pivots for the chart in the Phish view in Threat Explorer and Real-time Detections) (Pivots for the chart in the Phish view in Threat Explorer and Real-time Detection

O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico que estão disponíveis na vista Phish em Deteções de ameaças Explorer e em tempo real estão listados na seguinte tabela:

Pivot	Ameaça Explorador	Tempo real deteções
Domínio do remetente	✔	✔
IP do remetente	✔
Ação de entrega	✔	✔
Tecnologia de deteção	✔	✔
URL Completo	✔
Domínio de URL	✔	✔
Domínio e caminho do URL	✔

Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.

Sender domain chart pivot in the Phish view in Threat Explorer and Real-time detections

Embora este pivô não pareça selecionado por predefinição, o domínio do Remetente é o pivô de gráfico predefinido na vista Phish em Deteções em tempo real.

O sender domain pivot organiza o gráfico pelos domínios em mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio do remetente.

Sender IP chart pivot in the Phish view in Threat Explorer

O pivô IP do Remetente organiza o gráfico pelos endereços IP de origem das mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada endereço IP de origem.

Tabela de gráficos de ações de entrega na vista Phish em Deteções de ameaças Explorer e em tempo real

Embora este pivô não pareça selecionado por predefinição, a ação entrega é o pivô de gráfico predefinido na vista Phish no Explorer De ameaças.

O pivô da ação Entrega organiza o gráfico pelas ações executadas nas mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada ação de entrega.

Gráfico de tecnologia de deteção dinâmico na vista Phish em Deteções de ameaças Explorer e em tempo real

O pivô tecnologia de deteção organiza o gráfico pela funcionalidade que identificou as mensagens de phishing para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.

Pivô de gráfico de URL completo na vista Phish no Explorer De Ameaças

O pivô URL Completo organiza o gráfico pelos URLs completos em mensagens de phishing para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada URL completo.

Pivô do gráfico de domínio de URL na vista Phish em Deteções de ameaças Explorer e em tempo real

O pivô do domínio de URL organiza o gráfico pelos domínios em URLs em mensagens de phishing para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada domínio de URL.

O domínio de URL e o gráfico de caminhos na vista Phish no Explorer

O domínio de URL e o pivot do caminho organizam o gráfico pelos domínios e caminhos em URLs em mensagens de phishing para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio e caminho de URL.

Vistas para a área de detalhes da vista Phish em Threat Explorer

As vistas disponíveis (separadores) na área de detalhes da vista Phish estão listadas na tabela seguinte e são descritas nas seguintes subsecções.

Exibir	Ameaça Explorador	Tempo real deteções
Email	✔	✔
Cliques na URL	✔	✔
URLs principais	✔	✔
Cliques principais	✔	✔
Principais utilizadores visados	✔
Email origem	✔
Campanha	✔

Email vista para a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real

Email é a vista predefinida para a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real.

A vista Email mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas.

A tabela seguinte mostra as colunas que estão disponíveis em Deteções de ameaças Explorer e em tempo real. Os valores predefinidos são marcados com um asterisco (^*).

Coluna	Ameaça Explorador	Tempo real deteções
Data*	✔	✔
Assunto*	✔	✔
Destinatário*	✔	✔
Domínio do destinatário	✔	✔
Etiquetas*	✔
Endereço do remetente*	✔	✔
Nome a apresentar do remetente	✔	✔
Domínio do remetente*	✔	✔
IP do remetente	✔	✔
E-mail do remetente do endereço	✔	✔
E-mail do remetente do domínio	✔	✔
Ações adicionais*	✔	✔
Ação de entrega	✔	✔
Localização de entrega mais recente*	✔	✔
Localização de entrega original*	✔	✔
Origem das substituições do sistema	✔	✔
Substituições do sistema	✔	✔
ID do Alerta	✔	✔
ID da mensagem da Internet	✔	✔
ID da mensagem de rede	✔	✔
Idioma do correio	✔	✔
Regra de transporte do Exchange	✔
Connector	✔
Nível de confiança phish	✔
Context	✔
Regra de prevenção de perda de dados	✔
Tipo de ameaça*	✔	✔
Tecnologia de deteção	✔	✔
Contagem de Anexos	✔	✔
Contagem de URLs	✔	✔
Email tamanho	✔	✔

Dica

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

• Desloque-se horizontalmente no browser.
• Reduza a largura das colunas adequadas.
• Remover colunas da vista.
• Reduza o zoom no browser.

As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.

Quando seleciona uma ou mais entradas da lista ao selecionar a caixa de marcar junto à primeira coluna, a ação Tomar está disponível. Para obter informações, veja Investigação de ameaças: Email remediação.

Quando clica nos valores Assunto ou Destinatário numa entrada, as listas de opções de detalhes são abertas. Estas listas de opções estão descritas nas seguintes subsecções.

Email detalhes da vista Email da área de detalhes na vista Phish

Quando seleciona o valor Assunto de uma entrada na tabela, é aberta uma lista de opções de detalhes de e-mail. Esta lista de opções de detalhes é conhecida como o painel de resumo Email e contém informações de resumo padronizadas que também estão disponíveis na página de entidade Email da mensagem.

Para obter detalhes sobre as informações no painel de resumo Email, consulte o painel de resumo Email nas funcionalidades Defender para Office 365.

As ações disponíveis na parte superior do painel de resumo Email de deteções de Explorer Ameaças e Deteções em tempo real são descritas na Email detalhes da vista Email da área de detalhes na vista Todos os e-mails.

Detalhes do destinatário da vista Email da área de detalhes na vista Phish

Quando seleciona uma entrada ao clicar no valor Destinatário , é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes do destinatário na vista de Email da área de detalhes na vista Todos os e-mails.

O URL clica na vista para obter a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real

A vista de cliques de URL mostra um gráfico que pode ser organizado através de pivôs. O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico que estão disponíveis na vista Software Maligno no Explorer de Ameaças e deteções em tempo real estão descritos na seguinte tabela:

Pivot	Ameaça Explorador	Tempo real deteções
Domínio de URL	✔	✔
Clique no veredicto	✔	✔
URL	✔
Domínio e caminho do URL	✔

Os mesmos pivôs do gráfico estão disponíveis e descritos para a vista Todos os e-mails no Explorer De ameaças:

• O pivô do domínio de URL para o URL clica na vista de detalhes da vista Todos os e-mails em Explorer
• Clique no pivô do veredicto para a vista de cliques do URL para obter a área de detalhes da vista Todos os e-mails em Explorer De ameaças
• O pivô de URL para o URL clica na vista de detalhes da vista Todos os e-mails no Explorer
• Domínio de URL e pivot de caminho para a vista de cliques de URL para a área de detalhes da vista Todos os e-mails em Explorer De ameaças

Dica

Em Explorer de Ameaças, cada pivô na vista de cliques de URL tem uma ação Ver todos os cliques que abre a vista de cliques de URL em Explorer de Ameaças num novo separador. Esta ação não está disponível em Deteções em tempo real, porque a vista de cliques em URL não está disponível em Deteções em tempo real.

Vista de URLs principais para a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real

A vista UrLs Principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:

• URL
• Mensagens bloqueadas
• Mensagens de lixo
• Mensagens entregues

Principais detalhes dos URLs para a vista Phish

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes dos URLs principais para a vista Todos os e-mails.

Dica

A ação de caça do Go só está disponível no Explorer de Ameaças. Não está disponível em Deteções em tempo real.

Vista de cliques principais para a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real

A vista Cliques principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:

• URL
• Bloqueado
• Permitido
• Bloqueio substituído
• Veredicto pendente
• Veredicto pendente ignorado
• Nenhum
• Página de erro
• Falha

Dica

Todas as colunas disponíveis estão selecionadas. Se selecionar Personalizar colunas, não poderá desselecionar colunas.

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

• Desloque-se horizontalmente no browser.
• Reduza a largura das colunas adequadas.
• Reduza o zoom no browser.

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes dos URLs principais para a vista Todos os e-mails.

Vista de utilizadores principais direcionados para a área de detalhes da vista Phish em Threat Explorer

A vista Utilizadores principais visados organiza os dados numa tabela dos cinco principais destinatários visados por tentativas de phishing. A tabela mostra:

• Principais utilizadores visados: o endereço de e-mail do utilizador principal visado. Se selecionar um endereço de e-mail, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas na vista Utilizadores principais direcionados para a área de detalhes da vista Todos os e-mails em Explorer Ameaças.

• O número de tentativas: se selecionar o número de tentativas, a Explorer Ameaça é aberta num novo separador filtrado pelo nome da família de software maligno.

Dica

Utilize Exportar para exportar a lista de até 3000 utilizadores e as tentativas correspondentes.

Email vista de origem para a área de detalhes da vista Phish em Threat Explorer

A vista de origem Email mostra origens de mensagens num mapa do mundo.

Vista de campanha para a área de detalhes da vista Phish em Threat Explorer

A vista Campanha mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível.

As informações na tabela são as mesmas descritas na tabela de detalhes na página Campanhas.

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao Nome, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes da campanha.

Vista de campanhas no Explorer de Ameaças

A vista Campanhas no Explorer Ameaças mostra informações sobre ameaças que foram identificadas como ataques coordenados de phishing e software maligno, específicos da sua organização ou de outras organizações no Microsoft 365.

Para abrir a vista Campanhas na página Explorer no portal do Defender em https://security.microsoft.com, aceda a Email & colaboração>Explorer>separadorCampaigns. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, selecione o separador Campanhas.

Todas as informações e ações disponíveis são idênticas às informações e ações na página Campanhas em https://security.microsoft.com/campaignsv3. Para obter mais informações, veja a página Campanhas no portal do Microsoft Defender.

Vista de software maligno de conteúdo em Deteções de ameaças Explorer e em tempo real

A vista Software maligno de conteúdo no Explorer de Ameaças e deteções em tempo real mostra informações sobre ficheiros que foram identificados como software maligno por:

• Proteção contra vírus incorporada no SharePoint, OneDrive e Microsoft Teams
• Anexos Seguros para SharePoint, OneDrive e Microsoft Teams.

Para abrir a vista Software maligno de conteúdo , siga um dos seguintes passos:

• Explorer de ameaças: na página Explorer no portal do Defender em https://security.microsoft.com, aceda ao separador software maligno Email & colaboração>Explorer>Content. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, selecione o separador Conteúdo maligno.
• Deteções em tempo real: na página Deteções em tempo real no portal do Defender em https://security.microsoft.com, aceda ao separador colaboração> Email & Explorer>Content malware. Em alternativa, aceda diretamente à página Deteções em tempo real com https://security.microsoft.com/realtimereportsv3e, em seguida, selecione o separador Conteúdo maligno.

Propriedades filtráveis na vista Software maligno de conteúdo em Deteções de Explorer e Em tempo real

Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.

As propriedades filtráveis que estão disponíveis na caixa Nome do ficheiro na vista Software maligno de conteúdo em Explorer de ameaças e deteções em tempo real estão descritas na seguinte tabela:

Propriedade	Tipo	Ameaça Explorador	Tempo real deteções
Arquivo
Nome do arquivo	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Workload	Selecione um ou mais valores: OneDrive SharePoint Teams	✔	✔
Site	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Proprietário do ficheiro	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Última modificação por	Texto. Separe múltiplos valores por vírgulas.	✔	✔
SHA256	Número inteiro. Separe múltiplos valores por vírgulas. Para localizar o valor hash SHA256 de um ficheiro no Windows, execute o seguinte comando numa Linha de Comandos: certutil.exe -hashfile "<Path>\<Filename>" SHA256.	✔	✔
Família de software maligno	Texto. Separe múltiplos valores por vírgulas.	✔	✔
Tecnologia de deteção	Selecione um ou mais valores: Filtro avançado Proteção antimalware Em massa Campanha Reputação de domínio Detonação de arquivo Reputação da detonação de arquivo Reputação de arquivos Correspondência de impressão digital Filtro geral Marca de usurpação de identidade Domínio de usurpação de identidade Usuário de usurpação de identidade Reputação de IP Usurpação de identidade da inteligência de caixa de correio Detecção de análise mista spoof DMARC Domínio externo falso Falsificação dentro da organização Detonação de URL Reputação da detonação de URL Reputação mal-intencionada de URL	✔	✔
Tipo de ameaça	Selecione um ou mais valores: Bloquear Malware Golpe Spam	✔	✔

Pivots for the chart in the Content malware view in Threat Explorer and Real-time Detections (Pivots for the chart in the Content malware view in Threat Explorer and Real-time Detections (Pivots for the chart in the Content malware view in Threat Explorer and Real-time Detections

O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico que estão disponíveis na vista Conteúdo de software maligno no Explorer de Ameaças e deteções em tempo real estão listados na seguinte tabela:

Pivot	Ameaça Explorador	Tempo real deteções
Família de software maligno	✔	✔
Tecnologia de deteção	✔	✔
Workload	✔	✔

Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.

Gráfico de família de software maligno dinâmico na vista Software maligno de conteúdo no Explorer de ameaças e deteções em tempo real

Embora este pivô não pareça selecionado por predefinição, a família Malware é o pivô de gráfico predefinido na vista Software maligno de conteúdo em Deteções de ameaças Explorer e em tempo real.

O pivô da família Software Maligno organiza o gráfico pelo software maligno identificado em ficheiros no SharePoint, OneDrive e Microsoft Teams com os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada família de software maligno.

Gráfico de tecnologia de deteção dinâmico na vista Software maligno de conteúdo em Deteções de Explorer e Em tempo real

O pivô Tecnologia de deteção organiza o gráfico pela funcionalidade que identificou software maligno em ficheiros no SharePoint, OneDrive e Microsoft Teams para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.

Tabela dinâmica do gráfico de cargas de trabalho na vista Software maligno de conteúdo em Deteções de ameaças Explorer e em tempo real

O pivot Carga de Trabalho organiza o gráfico pelo local onde o software maligno foi identificado (SharePoint, OneDrive ou Microsoft Teams) para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada carga de trabalho.

Vistas para a área de detalhes da vista Software maligno conteúdo em Deteções de software maligno Explorer e Em tempo real

Em Explorer de ameaças e deteções em tempo real, a área de detalhes da vista Software maligno conteúdo contém apenas uma vista (separador) denominada Documentos. Esta vista está descrita na seguinte subsecção.

Vista de documento para a área de detalhes da vista Conteúdo de software maligno em Deteções de software maligno Explorer e Em tempo real

O documento é a vista predefinida e apenas para a área de detalhes na vista Conteúdo de software maligno .

A vista Documento mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas. Os valores padrão são marcados com um asterisco (^*):

• Data^*
• Nome^*
• Carga de trabalho^*
• Ameaça^*
• Tecnologia de deteção^*
• Última modificação do utilizador^*
• Proprietário do ficheiro^*
• Tamanho (bytes)^*
• Hora da última modificação
• Caminho do site
• Caminho do arquivo
• ID do Documento
• SHA256
• Data detetada
• Família de software maligno
• Context

Dica

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

• Desloque-se horizontalmente no browser.
• Reduza a largura das colunas adequadas.
• Remover colunas da vista.
• Reduza o zoom no browser.

As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.

Quando seleciona um valor de nome de ficheiro na coluna Nome , é aberta uma lista de opções de detalhes. A lista de opções contém as seguintes informações:

• Secção resumo :

  • Filename
  • Caminho do site
  • Caminho do arquivo
  • ID do Documento
  • SHA256
  • Última data de modificação
  • Última modificação por
  • Ameaça
  • Tecnologia de deteção

• Secção de detalhes :

  • Data detetada
  • Detetado por
  • Nome do software maligno
  • Última modificação por
  • Tamanho do ficheiro
  • Proprietário do ficheiro

• Email secção de lista: uma tabela que mostra as seguintes informações relacionadas para mensagens que contêm o ficheiro de software maligno:

  • Date
  • Assunto
  • Recipiente

  Selecione Ver todos os e-mails para abrir o Explorer de Ameaças num novo separador filtrado pelo nome da família de software maligno.

• Atividade recente: mostra os resultados resumidos de uma pesquisa de Registo de auditoria para o destinatário:

  • Date
  • Endereço IP
  • Atividades
  • Item

  Se o destinatário tiver mais de três entradas de registo de auditoria, selecione Ver todas as atividades recentes para ver todas.

  Dica

  Os membros do grupo de funções Administradores de Segurança no Email & permissões de colaboração não podem expandir a secção Atividade recente. Tem de ser membro de um grupo de funções no Exchange Online permissões que tenha as funções Registos de Auditoria, Analista Proteção de Informações ou Proteção de Informações Investigador atribuídas. Por predefinição, essas funções são atribuídas aos grupos de funções Gestão de Registos, Gestão de Conformidade, Proteção de InformaçõesProteção de Informações AnalistasProteção de Informações e Gestão de Organizações. Pode adicionar os membros dos Administradores de Segurança a esses grupos de funções ou pode criar um novo grupo de funções com a função Registos de Auditoria atribuída.

Vista de cliques em URL no Explorer Ameaças

O URL clica na vista em Ameaça Explorer mostra todos os cliques de utilizador em URLs no e-mail, em ficheiros suportados do Office no SharePoint e no OneDrive e no Microsoft Teams.

Para abrir a vista de cliques de URL na página Explorer no portal do Defender em https://security.microsoft.com, aceda ao separador Email & colaboração>Explorer>URL clica no separador. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, selecione o separador Cliques do URL.

Propriedades filtráveis na vista de cliques do URL em Explorer de Ameaças

Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.

As propriedades filtráveis que estão disponíveis na caixa Destinatários na vista de cliques de URL na vista Ameaças Explorer estão descritas na seguinte tabela:

Propriedade	Tipo
Básica
Destinatários	Texto. Separe múltiplos valores por vírgulas.
Marcações	Texto. Separe múltiplos valores por vírgulas. Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador.
ID da mensagem de rede	Texto. Separe múltiplos valores por vírgulas. Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem.
URL	Texto. Separe múltiplos valores por vírgulas.
Clicar na ação	Selecione um ou mais valores: Permitido Bloquear página Bloquear substituição de página Página de erro Falha Nenhum Página de detonação pendente Substituição pendente da página de detonação
Tipo de ameaça	Selecione um ou mais valores: Permitir Bloquear Malware Golpe Spam
Tecnologia de deteção	Selecione um ou mais valores: Detonação de URL Reputação da detonação de URL Reputação mal-intencionada de URL
Clique em ID	Texto. Separe múltiplos valores por vírgulas.
IP do Cliente	Texto. Separe múltiplos valores por vírgulas.

Pivots for the chart in the URL clicks view in Threat Explorer

O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.

Pivô do gráfico de domínio de URL na vista de cliques de URL no Explorer

Embora este pivô não pareça selecionado por predefinição, o domínio de URL é o pivô de gráfico predefinido na vista de cliques de URL .

O pivô do domínio de URL organiza o gráfico pelos domínios em URLs em que os utilizadores clicaram no e-mail, nos ficheiros do Office ou no Microsoft Teams para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada domínio de URL.

Tabela dinâmica do gráfico de carga de trabalho na vista de cliques do URL no Explorer Ameaças

O pivô Carga de Trabalho organiza o gráfico pela localização do URL clicado (e-mail, ficheiros do Office ou Microsoft Teams) para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada carga de trabalho.

Gráfico de tecnologia de deteção dinâmico na vista de cliques do URL em Explorer de Ameaças

O pivô Tecnologia de deteção organiza o gráfico pela funcionalidade que identificou os cliques do URL no e-mail, nos ficheiros do Office ou no Microsoft Teams para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.

Gráfico de tipo de ameaça na vista de cliques do URL em Explorer de Ameaças

O pivot Tipo de ameaça organiza o gráfico pelos resultados dos URLs clicados no e-mail, nos ficheiros do Office ou no Microsoft Teams para os filtros de propriedade e intervalo de data/hora especificados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada tecnologia de tipo de ameaça.

Vistas para a área de detalhes da vista de cliques do URL em Explorer de Ameaças

As vistas disponíveis (separadores) na área de detalhes da vista de cliques de URL são descritas nas seguintes subsecções.

Vista de resultados para a área de detalhes da vista de cliques do URL em Explorer de Ameaças

Os resultados são a vista predefinida para a área de detalhes na vista de cliques de URL .

A vista Resultados mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas. Por predefinição, todas as colunas estão selecionadas:

• Hora clicada
• Recipiente
• Ação de clique do URL
• URL
• Marcas
• ID da mensagem de rede
• Clique em ID
• IP do Cliente
• Cadeia de URL
• Tipo de ameaça
• Tecnologia de deteção

Dica

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

• Desloque-se horizontalmente no browser.
• Reduza a largura das colunas adequadas.
• Remover colunas da vista.
• Reduza o zoom no browser.

As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.

Selecione uma ou entradas ao selecionar a caixa de marcar junto à primeira coluna da linha e, em seguida, selecione Ver todos os e-mails para abrir a Explorer de Ameaças na vista Todos os e-mails num novo separador filtrado pelos valores de ID da mensagem de rede das mensagens selecionadas.

Vista de cliques superiores para a área de detalhes da vista de cliques de URL no Explorer

A vista Cliques principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:

• URL
• Bloqueado
• Permitido
• Bloqueio substituído
• Veredicto pendente
• Veredicto pendente ignorado
• Nenhum
• Página de erro
• Falha

Dica

Todas as colunas disponíveis estão selecionadas. Se selecionar Personalizar colunas, não poderá desselecionar colunas.

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

• Desloque-se horizontalmente no browser.
• Reduza a largura das colunas adequadas.
• Reduza o zoom no browser.

Selecione uma entrada ao selecionar a caixa de marcar junto à primeira coluna da linha e, em seguida, selecione Ver todos os cliques para abrir a Explorer de Ameaças num novo separador na vista cliques em URL.

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes dos URLs principais para a vista Todos os e-mails.

Vista de utilizadores principais direcionados para a área de detalhes da vista de cliques do URL em Explorer de Ameaças

A vista Utilizadores principais visados organiza os dados numa tabela dos cinco principais destinatários que clicaram nos URLs. A tabela mostra:

• Principais utilizadores visados: o endereço de e-mail do utilizador principal visado. Se selecionar um endereço de e-mail, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas na vista Utilizadores principais direcionados para a área de detalhes da vista Todos os e-mails em Explorer Ameaças.

• O número de tentativas: se selecionar o número de tentativas, a Explorer Ameaça é aberta num novo separador filtrado pelo nome da família de software maligno.

Dica

Utilize Exportar para exportar a lista de até 3000 utilizadores e as tentativas correspondentes.

Filtros de propriedade em Deteções de ameaças Explorer e em tempo real

A sintaxe básica de um filtro/consulta de propriedade é:

Condition = <Filter property><Filter operator><Property value or value or values>

Várias condições utilizam a seguinte sintaxe:

<Condição1><E | OU><Condição2><E | OU><Condição3>... <E | OU><ConditionN>

Dica

As pesquisas de carateres universais (**** ou ?) não são suportadas em valores de texto ou número inteiro. A propriedade Assunto utiliza correspondência de texto parcial e produz resultados semelhantes a uma pesquisa de carateres universais.

Os passos para criar condições de filtragem/consulta de propriedades são os mesmos em todas as vistas em Deteções de ameaças Explorer e em tempo real:

1. Identifique a propriedade filter com as tabelas nas secções de descrição da vista de pré-visualização anteriormente neste artigo.

2. Selecione um operador de filtro disponível. Os operadores de filtro disponíveis dependem do tipo de propriedade, conforme descrito na tabela seguinte:

   Operador de filtro	Tipo de propriedade
   Igual a qualquer um dos	Texto Número inteiro Valores discretos
   Igual a nenhum de	Texto Valores discretos
   Maior que	Número inteiro
   Menor que	Número inteiro

3. Introduza ou selecione um ou mais valores de propriedade. Para valores de texto e números inteiros, pode introduzir vários valores separados por vírgulas.

   Vários valores no valor da propriedade utilizam o operador lógico OR. Por exemplo, Endereço >do remetenteIgual a qualquer um dos meios Endereço> do >bob@fabrikam.com,cindy@fabrikam.com remetenteIgual a qualquer um de>bob@fabrikam.com OU cindy@fabrikam.com.

   Depois de introduzir ou selecionar um ou mais valores de propriedade, a condição de filtro concluída é apresentada abaixo das caixas de criação do filtro.

   Dica

   Para propriedades que exigem que selecione um ou mais valores disponíveis, utilizar a propriedade na condição de filtro com todos os valores selecionados tem o mesmo resultado que não utilizar a propriedade na condição de filtro.

4. Para adicionar outra condição, repita os três passos anteriores.

   As condições abaixo das caixas de criação do filtro são separadas pelo operador lógico que foi selecionado no momento em que criou as segundas condições ou condições subsequentes. O valor predefinido é E, mas também pode selecionar OU.

   O mesmo operador lógico é utilizado entre todas as condições: são todas E ou são todas OU. Para alterar os operadores lógicos existentes, selecione a caixa operador lógico e, em seguida, selecione E ou OU.

   Para editar uma condição existente, faça duplo clique na mesma para trazer a propriedade selecionada, o operador de filtro e os valores de volta para as caixas correspondentes.

   Para remover uma condição existente, selecione na condição.

5. Para aplicar o filtro ao gráfico e à tabela de detalhes, selecione Atualizar

   

Consultas guardadas no Explorer de Ameaças

Dica

A consulta Guardar faz parte dos Controladores de ameaças e não está disponível em Deteções em tempo real. As consultas guardadas e os Controladores de ameaças só estão disponíveis no Defender para Office 365 Plano 2.

A consulta Guardar não está disponível na vista Software maligno de conteúdo.

A maioria das vistas no Threat Explorer permitem-lhe guardar filtros (consultas) para utilização posterior. As consultas guardadas estão disponíveis na página Monitorização de ameaças no portal do Defender em https://security.microsoft.com/threattrackerv2. Para obter mais informações sobre os Controladores de ameaças, veja Controladores de ameaças no Microsoft Defender para Office 365 Plano 2.

Para guardar consultas no threat Explorer, siga os seguintes passos:

1. Depois de criar o filtro/consulta conforme descrito anteriormente, selecione Guardar consulta>Guardar consulta.

2. Na lista de opções Guardar consulta que é aberta, configure as seguintes opções:

   • Nome da consulta: introduza um nome exclusivo para a consulta.
   • Selecione uma das opções a seguir:
     • Datas exatas: selecione uma data de início e uma data de fim nas caixas. A data de início mais antiga que pode selecionar é 30 dias antes de hoje. A data de fim mais recente que pode selecionar é hoje.
     • Datas relativas: selecione o número de dias em Mostrar últimos nn dias quando a pesquisa é executada. O valor predefinido é 7, mas pode selecionar 1 a 30.
   • Controlar consulta: por predefinição, esta opção não está selecionada. Esta opção afeta se a consulta é executada automaticamente:
     • Controlar a consulta não selecionada: a consulta está disponível para ser executada manualmente no Explorer de Ameaças. A consulta é guardada no separador Consultas guardadas na página Monitorização de ameaças com o valor da propriedade Consulta monitorizadaNão.
     • Controlar a consulta selecionada: a consulta é executada periodicamente em segundo plano. A consulta está disponível no separador Consultas guardadas na página Monitorização de ameaças com o valor da propriedade Consulta monitorizadaSim. Os resultados periódicos da consulta são apresentados no separador Consultas registadas na página Monitorização de ameaças .

   Quando terminar na lista de opções Guardar consulta , selecione Guardar e, em seguida, selecione OK na caixa de diálogo de confirmação.

Nos separadores Consulta guardada ou Consulta monitorizada na página Monitorização de ameaças no portal do Defender em https://security.microsoft.com/threattrackerv2, pode selecionar Explorar na coluna Ações para abrir e utilizar a consulta no Explorer De ameaças.

Quando abre a consulta ao selecionar Explorarna página Monitorização de ameaças, as definições Guardar consulta como e Guardada estão agora disponíveis na consulta Guardar na página Explorer:

• Se selecionar Guardar consulta como, a lista de opções Guardar consulta é aberta com todas as definições selecionadas anteriormente. Se fizer alterações, selecione Guardar e, em seguida, selecione OK na caixa de diálogo Êxito , a consulta atualizada é guardada como uma nova consulta na página Monitorização de ameaças (poderá ter de selecionar Atualizar para a ver).

• Se selecionar Definições de consulta guardadas, a lista de opções Definições de consulta guardadas é aberta onde pode atualizar a data e Controlar as definições de consulta da consulta existente.

Mais informações

• Os Explorer de ameaças recolhem detalhes de e-mail na página da entidade Email
• Localizar e investigar emails mal-intencionados entregues
• Ver ficheiros maliciosos detetados no SharePoint Online, OneDrive e Microsoft Teams
• Relatório de status de proteção contra ameaças
• Investigação e resposta automatizadas na Proteção contra Ameaças da Microsoft