A página entidade Email no Microsoft Defender para Office 365

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

As organizações do Microsoft 365 que têm Microsoft Defender para Office 365 incluídas em sua assinatura ou compradas como complemento têm a página de entidade Email. A página da entidade Email no portal Microsoft Defender contém informações altamente detalhadas sobre uma mensagem de email e quaisquer entidades relacionadas.

Este artigo explica as informações e as ações na página Email entidade.

Permissões e licenciamento para a página da entidade Email

Para usar a página Email entidade, você precisa receber permissões. As permissões e o licenciamento são os mesmos que detecções de Explorer de ameaças (Explorer) e em tempo real. Para obter mais informações, consulte Permissões e licenciamento para detecções de Explorer de ameaças e em tempo real.

Onde encontrar a página da entidade Email

Não há links diretos para a página Email entidade dos níveis superiores do portal do Defender. Em vez disso, a ação Abrir entidade de email está disponível na parte superior do flyout de detalhes de email em muitos recursos Defender para Office 365. Esse flyout de detalhes de email é conhecido como o painel de resumo Email e contém um subconjunto resumido das informações na página de entidade Email. O painel de resumo de email é idêntico entre Defender para Office 365 recursos. Para obter mais informações, confira a seção Painel de resumo do Email mais tarde neste artigo.

O painel de resumo Email com a ação Abrir entidade de email está disponível nos seguintes locais:

• Na página De busca avançada em : Na https://security.microsoft.com/v2/advanced-huntingguia Resultados de uma consulta relacionada a email, clique no valor NetworkMessageId de uma entrada na tabela.

• *Na página Alertas em https://security.microsoft.com/alerts: Para alertas com o valor de origem de detecçãoMDO ou o valor nomes de produto Microsoft Defender para Office 365, selecione a entrada clicando no valor nome do alerta. Na página de detalhes do alerta que é aberta, selecione a mensagem na seção Lista de mensagens .

• No relatório status proteção contra ameaças em https://security.microsoft.com/reports/TPSEmailPhishReportATP:

  • Selecione Exibir dados por Email > Phish e qualquer uma das seleções de divisão do Gráfico disponíveis. Na tabela de detalhes abaixo do gráfico, selecione a entrada clicando em qualquer lugar da linha diferente da caixa marcar ao lado da primeira coluna.
  • Selecione Exibir dados por Email > Malware e qualquer uma das seleções de divisão de gráficos disponíveis. Na tabela de detalhes abaixo do gráfico, selecione a entrada clicando em qualquer lugar da linha diferente da caixa marcar ao lado da primeira coluna.
  • Selecione Exibir dados Email > Spam e qualquer uma das seleções de divisão do Gráfico disponíveis. Na tabela de detalhes abaixo do gráfico, selecione a entrada clicando em qualquer lugar da linha diferente da caixa marcar ao lado da primeira coluna.

• Na página Explorer em https://security.microsoft.com/threatexplorerv3 (Explorer contra ameaças) ou na página detecções em tempo real em https://security.microsoft.com/realtimereportsv3. Use um dos seguintes métodos:

  • Em Ameaça Explorer, verifique se a exibição De todos os emails está selecionada>, verifique se a guia Email (exibição) na área de detalhes é selecionada > clique no valor Assunto em uma entrada.
  • Em Detecções de Explorer de ameaças ou em tempo real, selecione a exibição >Malware para verificar se a guia Email (exibição) na área de detalhes é selecionada > clique no valor Assunto em uma entrada.
  • Em Detecções de Explorer de ameaças ou em tempo real, selecione a exibição >Phish para verificar se a guia Email (exibição) na área de detalhes é selecionada > clique no valor Assunto em uma entrada.

• Na página Incidentes em https://security.microsoft.com/incidents: Para incidentes com o valor nomes do produtoMicrosoft Defender para Office 365, selecione o incidente clicando no valor nome do incidente. Na página de detalhes do incidente que é aberta, selecione a guia Evidências e respostas (exibição). Na guia Todas as evidências e no valor de tipo de entidadeEmail ou na guia Emails, selecione a entrada clicando em qualquer lugar da linha diferente da caixa marcar.

• Na página Quarentena em https://security.microsoft.com/quarantine: Verifique se a guia Email está selecionada>, selecione uma entrada clicando em qualquer lugar da linha diferente da caixa marcar.

• Na página Envios em https://security.microsoft.com/reportsubmission:

  • Selecione a guia >Emails selecione uma entrada clicando em qualquer lugar da linha diferente da caixa marcar.
  • Selecione a guia >Usuário relatado selecione uma entrada clicando em qualquer lugar da linha que não seja a caixa marcar.

O que está na página entidade Email

O painel de detalhes no lado esquerdo da página contém seções dobráveis com detalhes sobre a mensagem. Essas seções permanecem constantes enquanto você estiver na página. As seções disponíveis são:

• Seção Marcas . Mostra todas as marcas de usuário (incluindo a conta prioritária) atribuídas a remetentes ou destinatários. Para obter mais informações sobre marcas de usuário, consulte Marcas de usuário em Microsoft Defender para Office 365.

• Seção Detalhes da detecção :

  • Ameaças originais

  • Local de entrega original:

    • pasta Itens Excluídos
    • Deixou cair
    • Falha na entrega
    • Pasta caixa de entrada
    • Pasta junk Email
    • Externo
    • Quarentena
    • Unknown

  • Ameaças mais recentes

  • Local de entrega mais recente: o local da mensagem após as ações do sistema na mensagem (por exemplo, ZAP) ou ações de administrador na mensagem (por exemplo, Mover para Itens Excluídos). As ações do usuário na mensagem (por exemplo, exclusão ou arquivamento da mensagem) não são mostradas, portanto, esse valor não garante o local atual da mensagem.

    Dica

    Há cenários em que o local/ de entrega originalLocal de entrega mais recente e/ou ação de entrega têm o valor Desconhecido. Por exemplo:

    • A mensagem foi entregue (a ação Entrega é Entregue), mas uma regra da Caixa de Entrada moveu a mensagem para uma pasta padrão diferente da pasta Caixa de Entrada ou Lixo Email (por exemplo, a pasta Rascunho ou Arquivo).
    • O ZAP tentou mover a mensagem após a entrega, mas a mensagem não foi encontrada (por exemplo, o usuário moveu ou excluiu a mensagem).

  • Tecnologia de detecção:

    • Filtro avançado: sinais de phishing com base no machine learning.
    • Campanha: Mensagens identificadas como parte de uma campanha.
    • Detonação de arquivo: Anexos seguros detectaram um anexo mal-intencionado durante a análise de detonação.
    • Reputação de detonação de arquivo: anexos de arquivo detectados anteriormente por detonações de Anexos Seguros em outras organizações do Microsoft 365.
    • Reputação do arquivo: a mensagem contém um arquivo que foi identificado anteriormente como mal-intencionado em outras organizações do Microsoft 365.
    • Correspondência de impressões digitais: a mensagem se assemelha muito a uma mensagem mal-intencionada detectada anteriormente.
    • Filtro geral: sinais de phishing com base em regras de analista.
    • Marca de representação: representação de remetente de marcas conhecidas.
    • Domínio de representação: representação de domínios de remetente que você possui ou especificados para proteção em políticas anti-phishing.
    • Usuário de representação: representação de remetentes protegidos que você especificou em políticas anti-phishing ou aprendeu por meio da inteligência da caixa de correio.
    • Representação de inteligência de caixa de correio: detecções de representação de inteligência de caixa de correio em políticas anti-phishing.
    • Detecção de análise misturada: vários filtros contribuíram para o veredicto da mensagem.
    • Spoof DMARC: a mensagem falhou na autenticação DMARC.
    • Domínio externo falsificado: falsificação de endereço de email do remetente usando um domínio externo à sua organização.
    • Spoof intra-org: falsificação de endereço de email do remetente usando um domínio interno para sua organização.
    • Detonação de URL: links seguros detectaram uma URL mal-intencionada na mensagem durante a análise de detonação.
    • Reputação de detonação de URL: URLs detectadas anteriormente por detonações de Links Seguros em outras organizações do Microsoft 365.
    • Reputação mal-intencionada de URL: a mensagem contém uma URL que foi identificada anteriormente como mal-intencionada em outras organizações do Microsoft 365.

  • Ação de entrega:

    • Entregue:
    • Junked
    • Bloqueado

  • Substituição primária: origem

    • Valores para substituição primária:
      • Permitido pela política de organização
      • Permitido pela política de usuário
      • Bloqueado pela política de organização
      • Bloqueado pela política de usuário
      • Nenhum
    • Valores para fonte de substituição primária:
      • Filtro de terceiros
      • Administração ZAP (viagem no tempo iniciada)
      • Bloco de política antimalware por tipo de arquivo
      • Configurações de política antispam
      • Política de conexão
      • Regra de transporte do Exchange
      • Modo exclusivo (substituição de usuário)
      • Filtragem ignorada devido à organização on-prem
      • Filtro de região de IP da política
      • Filtro de linguagem da política
      • Simulação de phishing
      • Versão de quarentena
      • Caixa de correio SecOps
      • Lista de endereços do remetente (substituição de Administração)
      • Lista de endereços do remetente (substituição de usuário)
      • Lista de domínio do remetente (substituição de Administração)
      • Lista de domínio do remetente (substituição de usuário)
      • Bloco de arquivos Permitir/Bloquear Lista de Locatários
      • Bloco de endereços de email do remetente Permitir/Bloquear Lista de Locatários
      • Bloco spoof Allow/Block List do locatário
      • Bloco url de permissão/bloco de locatário
      • Lista de contatos confiáveis (substituição de usuário)
      • Domínio confiável (substituição de usuário)
      • Destinatário confiável (substituição de usuário)
      • Remetentes confiáveis somente (substituição de usuário)

• Email seção de detalhes:

  • Direcionalidade:
    • Entrada
    • Intra-irg
    • Saída
  • Destinatário (Para)^*
  • Remetente^*
  • Horário do recebimento
  • ID^* da Mensagem da Internet: disponível no campo cabeçalho ID de mensagem no cabeçalho da mensagem. Um valor de exemplo é <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (observe os colchetes de ângulo).
  • ID^* da Mensagem de Rede: um valor GUID disponível no campo cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem.
  • Cluster ID
  • Idioma

  ^*A ação Copiar para área de transferência está disponível para copiar o valor.

As guias (exibições) ao longo da parte superior da página permitem que você investigue o email com eficiência. Essas exibições são descritas nas subseções a seguir.

Timeline view

A exibição linha do tempo mostra os eventos de entrega e pós-entrega que aconteceram com a mensagem.

As informações do evento de mensagem a seguir estão disponíveis no modo de exibição. Selecione um cabeçalho de coluna para classificar por essa coluna. Para adicionar ou remover colunas, selecione Personalizar colunas. Por padrão, todas as colunas disponíveis são selecionadas.

• Linha do tempo (data/hora do evento)
• Fonte: Por exemplo: Sistema, **Administração ou Usuário.
• Tipos de eventos
• Resultado
• Ameaças
• Detalhes

Se nada aconteceu com a mensagem após a entrega, é provável que a mensagem tenha apenas uma linha na exibição Linha do Tempo com o valor de tipos de eventoEntrega original. Por exemplo:

• O valor resultado é a pasta Caixa de Entrada – Entregue.
• O valor resultado é pasta lixo eletrônico – Entregue ao Lixo Eletrônico
• O valor resultado é Quarentena – Bloqueado.

Ações subsequentes à mensagem por usuários, administradores ou Microsoft 365 adicionam mais linhas ao modo de exibição. Por exemplo:

• O valor dos tipos de evento é ZAP e o valor resultado é Mensagem movida para Quarentena por ZAP.
• O valor dos tipos de evento é Versão de Quarentena e o valor resultado é Mensagem foi lançada com êxito da Quarentena.

Use a caixa Pesquisa para encontrar informações na página. Digite texto na caixa e pressione a tecla ENTER.

Use Exportar para exportar os dados na exibição para um arquivo CSV. O nome de arquivo padrão é - Microsoft Defender.csv e o local padrão é a pasta Downloads . Se um arquivo com esse nome já existir, o nome do arquivo será acrescentado com um número (por exemplo, - Microsoft Defender(1).csv).

Exibição de análise

A exibição Análise contém informações que ajudam você a analisar a mensagem em profundidade. As seguintes informações estão disponíveis neste modo de exibição:

• Seção Detalhes da detecção de ameaças: informações sobre ameaças detectadas na mensagem:

  • Ameaças: a ameaça primária é indicada pela ameaça primária.
  • Nível de confiança: os valores são altos, médios ou baixos.
  • Proteção de conta de prioridade: os valores são Sim ou Não. Para obter mais informações, consulte Configurar e examinar a proteção de conta de prioridade no Microsoft Defender para Office 365.

• Email seção de detalhes de detecção: informações sobre recursos de proteção ou substituições que afetaram a mensagem:

  • Todas as substituições: todas as configurações de organização ou usuário que tiveram a possibilidade de alterar o local de entrega pretendido da mensagem. Por exemplo, se a mensagem correspondeu a uma regra de fluxo de email e uma entrada de bloco na Lista de Permissões/Blocos do Locatário, ambas as configurações serão listadas aqui. A Substituição Primária : valor da propriedade de origem identifica a configuração que realmente afetou a entrega da mensagem.

  • Substituição primária : Fonte: mostra a organização ou a configuração do usuário que alterou o local de entrega pretendido da mensagem (permitido em vez de bloqueado ou bloqueado em vez de permitido). Por exemplo:

    • A mensagem foi bloqueada por uma regra de fluxo de email.
    • A mensagem foi permitida devido a uma entrada na lista de Remetentes Seguros do usuário.

  • Regras de transporte de troca (regras de fluxo de email): se a mensagem foi afetada pelas regras de fluxo de email, os nomes de regra e os vales GUID serão mostrados. As ações executadas em mensagens por regras de fluxo de email ocorrem antes dos veredictos de spam e phishing.

    A ação Copiar para área de transferência está disponível para copiar o GUID da regra. Para obter mais informações sobre regras de fluxo de email, consulte Regras de fluxo de email (regras de transporte) em Exchange Online.

    O link Do centro de administração do Go to Exchange abre a página Regras no novo centro de administração do Exchange em https://admin.exchange.microsoft.com/#/transportrules.

  • Conector: se a mensagem foi entregue por meio de um conector de entrada, o nome do conector será mostrado. Para obter mais informações sobre conectores, consulte Configurar fluxo de email usando conectores no Exchange Online.

  • Nível de reclamação em massa (BCL): um valor BCL mais alto indica que a mensagem é mais provável que seja spam. Para obter mais informações, consulte BCL (nível de reclamação em massa) no EOP.

  • Política: se um tipo de política estiver listado aqui (por exemplo, Spam), selecione Configurar para abrir a página de política relacionada (por exemplo, a página Políticas anti-spam em https://security.microsoft.com/antispam).

  • Ação de política

  • ID do alerta: selecione o valor da ID de Alerta para abrir a página de detalhes do alerta (como se você tivesse encontrado e selecionado o alerta na página Alertas em https://security.microsoft.com/alerts). A ação Copiar para área de transferência também está disponível para copiar o valor da ID do alerta.

  • Tipo de política

  • Tipo de cliente: mostra o tipo de cliente que enviou a mensagem (por exemplo, REST)

  • Email tamanho

  • Regras de prevenção contra perda de dados

• Seção Detalhes do remetente-destinatário: detalhes sobre o remetente de mensagens e algumas informações do destinatário:

  • Nome da exibição do remetente
  • Endereço do remetente^*
  • IP do remetente
  • Nome do domínio do remetente^*
  • Data de criação do domínio: um domínio criado recentemente e outros sinais de mensagem podem identificar a mensagem como suspeita.
  • Proprietário do domínio
  • Endereço MAIL FROM do remetente^*
  • Nome de domínio MAIL FROM do remetente^*
  • Return-Path
  • Domínio Return-Path
  • Location
  • Domínio destinatário^*
  • Para: mostra os primeiros 5.000 caracteres de qualquer endereço de email no campo Para da mensagem.
  • Cc: mostra os primeiros 5.000 caracteres de qualquer endereço de email no campo Cc da mensagem.
  • Lista de distribuição: mostra o grupo de distribuição (lista de distribuição) se o destinatário recebeu o email como membro da lista. O grupo de distribuição de nível superior é mostrado para grupos de distribuição aninhados.
  • Encaminhamento: indica se a mensagem foi encaminhada automaticamente para um endereço de email externo. O usuário de encaminhamento e o tipo de encaminhamento são mostrados (regras de fluxo de email, regras de caixa de entrada ou encaminhamento SMTP).

  ^*A ação Copiar para área de transferência está disponível para copiar o valor.

• Seção autenticação : detalhes sobre os resultados da autenticação por email :

  • DMARC (Autenticação de Mensagem baseada em domínio)
    • Pass: o DMARC marcar para a mensagem passada.
    • Fail: falha no marcar DMARC para a mensagem.
    • BestGuessPass: O registro DMARC TXT para o domínio não, mas se existisse, o DMARC marcar para a mensagem teria passado.
    • Nenhum: indica que nenhum registro DMARC TXT existe para o domínio de envio no DNS.
  • DKIM (email identificado do DomainKeys): Os valores são:
    • Pass: o DKIM marcar para a mensagem passada.
    • Fail (reason): falha no marcar DKIM da mensagem. Por exemplo, a mensagem não foi assinada pelo DKIM ou a assinatura DKIM não foi verificada.
    • None: a mensagem não foi assinada pelo DKIM. Esse resultado pode ou não indicar que o domínio tem um registro DKIM ou que o registro DKIM não é avaliado como um resultado. Esse resultado indica apenas que essa mensagem não foi assinada.
  • Estrutura de Política do Remetente (SPF): Os valores são:
    • Pass (IP address): o SPF marcar descobriu que a fonte da mensagem é válida para o domínio.
    • Fail (IP address): o SPF marcar descobriu que a fonte da mensagem não é válida para o domínio e a regra de imposição no registro SPF é -all (falha dura).
    • SoftFail (reason): O SPF marcar descobriu que a fonte da mensagem não é válida para o domínio e a regra de imposição no registro SPF é ~all (falha suave).
    • Neutral: O SPF marcar descobriu que a fonte da mensagem não é válida para o domínio e a regra de imposição no registro SPF é ?all (neutra).
    • None: o domínio não tem um registro SPF ou o registro SPF não é avaliado como um resultado.
    • TempError: o SPF marcar encontrou um erro temporário (por exemplo, um erro DNS). A mesma verificação mais tarde pode ter êxito.
    • PermError: o SPF marcar encontrou um erro permanente. Por exemplo, o domínio tem um registro SPF mal formatado.
  • Autenticação composta: SPF, DKIM, DMARC e outras informações determinam se o remetente de mensagens (o endereço De) é autêntico. Para obter mais informações, consulte Autenticação composta.

• Seção entidades relacionadas : informações sobre anexos e URLs na mensagem:

  • Entidade: a seleção de anexos ou URLs leva você à exibição Anexos ou à exibição de URL da página Email entidade para a mensagem.
  • Contagem total
  • Ameaças encontradas: os valores são Sim ou Não.

• Área de detalhes da mensagem:

  • Guia cabeçalho de email de texto simples: contém o cabeçalho inteiro da mensagem em texto sem formatação. Selecione Copiar cabeçalho de mensagem para copiar o cabeçalho da mensagem. Selecione Analisador de Cabeçalho de Mensagem da Microsoft para abrir o Analisador de Cabeçalho de Mensagem em https://mha.azurewebsites.net/pages/mha.html. Cole o cabeçalho da mensagem copiada na página e selecione Analisar cabeçalhos para obter detalhes sobre os cabeçalhos e valores da mensagem.
  • Para guia: mostra os primeiros 5.000 caracteres de qualquer endereço de email no campo Para da mensagem.
  • Guia CC : mostra os primeiros 5.000 caracteres de qualquer endereço de email no campo Cc da mensagem.

Exibição de anexos

A exibição Anexos mostra informações sobre todos os anexos de arquivo na mensagem e os resultados de verificação desses anexos.

As informações de anexo a seguir estão disponíveis neste modo de exibição. Selecione um cabeçalho de coluna para classificar por essa coluna. Para adicionar ou remover colunas, selecione Personalizar colunas. Por padrão, todas as colunas disponíveis são selecionadas.

• Nome do arquivo de anexo: se você clicar no valor do nome do arquivo
• Tipo de arquivo
• Tamanho do arquivo
• Extensão do arquivo
• Ameaça
• Família malware
• Anexo SHA256: a ação Copiar para área de transferência está disponível para copiar o valor SHA256.
• Detalhes

Use a caixa Pesquisa para encontrar informações na página. Digite texto na caixa e pressione a tecla ENTER.

Use Exportar para exportar os dados na exibição para um arquivo CSV. O nome de arquivo padrão é - Microsoft Defender.csv e o local padrão é a pasta Downloads . Se um arquivo com esse nome já existir, o nome do arquivo será acrescentado com um número (por exemplo, - Microsoft Defender(1).csv).

Detalhes de anexo

Se você selecionar uma entrada na exibição Anexos clicando no valor nome do arquivo anexo, será aberto um flyout de detalhes que contém as seguintes informações:

• Guia análise profunda : as informações estão disponíveis nesta guia se anexos seguros digitalizados (detonados) o anexo. Você pode identificar essas mensagens no Threat Explorer usando a tecnologia de detecção de filtro de consulta com o valor Detonação de arquivo.

  • Seção Cadeia de detonação: a detonação de Anexos Seguros de um único arquivo pode disparar várias detonações. A cadeia de detonação rastreia o caminho das detonações, incluindo o arquivo mal-intencionado original que causou o veredicto, e todos os outros arquivos afetados pela detonação. Esses arquivos anexados podem não estar diretamente presentes no email. Mas, incluindo a análise é importante para determinar por que o arquivo foi considerado mal-intencionado.

    Se nenhuma informação da cadeia de detonação estiver disponível, o valor Nenhuma árvore de detonação será mostrada. Caso contrário, você pode selecionar Exportar para baixar as informações da cadeia de detonação em um arquivo CSV. O nome de arquivo padrão é Detonação chain.csv e o local padrão é a pasta Downloads . Se um arquivo com esse nome já existir, o nome do arquivo será acrescentado com um número (por exemplo, cadeia de detonação(1).csv). O arquivo CSV contém as seguintes informações:

    • Superior: o arquivo de nível superior.
    • Level1: o próximo arquivo de nível.
    • Level2: o próximo arquivo de nível.
    • e assim por diante.

    A cadeia de detonação e o arquivo CSV podem mostrar apenas o item de nível superior se nenhuma das entidades ligadas a ela fosse considerada problemática ou tivesse sido detonada.

  • Seção resumo : se nenhuma informação de resumo de detonação estiver disponível, o valor Nenhum resumo de detonação será mostrado. Caso contrário, as seguintes informações de resumo de detonação estão disponíveis:

    • Tempo de análise
    • Veredicto: O veredicto sobre o anexo em si.
    • Mais informações: o tamanho do arquivo em bytes.
    • Indicadores de comprometimento

  • Seção Capturas de tela: mostrar todas as capturas de tela que foram capturadas durante a detonação. Nenhuma captura de tela é capturada para arquivos de contêiner como ZIP ou RAR que contêm outros arquivos.

    Se nenhuma captura de tela de detonação estiver disponível, o valor Nenhuma captura de tela a ser exibida será mostrada. Caso contrário, selecione o link para exibir a captura de tela.

  • Seção Detalhes do comportamento: mostra os eventos exatos que ocorreram durante a detonação e observações problemáticas ou benignas que contêm URLs, IPs, domínios e arquivos encontrados durante a detonação. Talvez não haja detalhes de comportamento para arquivos de contêiner como ZIP ou RAR que contenham outros arquivos.

    Se nenhuma informação de detalhes de comportamento estiver disponível, o valor Nenhum comportamento de detonação será mostrado. Caso contrário, você pode selecionar Exportar para baixar as informações de detalhes comportamentais em um arquivo CSV. O nome de arquivo padrão é Behavior details.csv e o local padrão é a pasta Downloads . Se um arquivo com esse nome já existir, o nome do arquivo será acrescentado com um número (por exemplo, detalhes de comportamento(1).csv). O arquivo CSV contém as seguintes informações:

    • Time
    • Comportamento
    • Propriedade Behavior
    • Processo (PID)
    • Operação
    • Destino
    • Detalhes
    • Resultado

• Guia informações do arquivo : a seção Detalhes do arquivo contém as seguintes informações:

  • Nome do arquivo
  • SHA256
  • Tamanho do arquivo (em bytes)

Quando você terminar no flyout de detalhes do arquivo, selecione Fechar.

Bloquear anexos da exibição Anexos

Se você selecionar uma entrada na exibição Anexos selecionando a caixa marcar ao lado do nome do arquivo, a ação Bloquear estará disponível. Essa ação adiciona o arquivo como uma entrada de bloco na Lista de Permissões/Blocos do Locatário. Selecionar Bloco inicia o assistente de ação Tomar :

1. Na página Escolher ações , configure uma das seguintes configurações na seção Bloquear arquivo :

   • Nunca expire em: este é o valor padrão .
   • Nunca expire : deslize o alternância para desativar e selecione uma data na caixa Remover ativado .

   Quando terminar na página Escolher ações , selecione Avançar.

2. Na página Escolher entidades de destino , verifique se o arquivo que você deseja bloquear está selecionado e selecione Avançar.

3. Na página Examinar e enviar , configure as seguintes configurações:

   • Nome da correção: insira um nome exclusivo para acompanhar o status no Centro de Ações.
   • Descrição: insira uma descrição opcional.

   Quando terminar na página Examinar e enviar , selecione Enviar.

Exibição de URL

A exibição de URL mostra informações sobre todas as URLs na mensagem e os resultados de verificação dessas URLs.

As informações de anexo a seguir estão disponíveis neste modo de exibição. Selecione um cabeçalho de coluna para classificar por essa coluna. Para adicionar ou remover colunas, selecione Personalizar colunas. Por padrão, todas as colunas disponíveis são selecionadas.

• URL
• Ameaça
• Fonte
• Detalhes

Use a caixa Pesquisa para encontrar informações na página. Digite texto na caixa e pressione a tecla ENTER.

Use Exportar para exportar os dados na exibição para um arquivo CSV. O nome de arquivo padrão é - Microsoft Defender.csv e o local padrão é a pasta Downloads . Se um arquivo com esse nome já existir, o nome do arquivo será acrescentado com um número (por exemplo, - Microsoft Defender(1).csv).

Detalhes da URL

Se você selecionar uma entrada na exibição de URL clicando no valor da URL , será aberto um flyout de detalhes que contém as seguintes informações:

• Guia análise profunda : as informações estão disponíveis nesta guia se links seguros digitalizados (detonados) a URL. Você pode identificar essas mensagens no Threat Explorer usando a tecnologia de detecção de filtro de consulta com a detonação da URL de valor.

  • Seção Cadeia de detonação: a detonação de Links Seguros de uma única URL pode disparar várias detonações. A cadeia de detonação rastreia o caminho das detonações, incluindo a URL mal-intencionada original que causou o veredicto e todas as outras URLs afetadas pela detonação. Essas URLs podem não estar diretamente presentes no email. Mas, incluindo a análise é importante para determinar por que a URL foi considerada mal-intencionada.

    Se nenhuma informação da cadeia de detonação estiver disponível, o valor Nenhuma árvore de detonação será mostrada. Caso contrário, você pode selecionar Exportar para baixar as informações da cadeia de detonação em um arquivo CSV. O nome de arquivo padrão é Detonação chain.csv e o local padrão é a pasta Downloads . Se um arquivo com esse nome já existir, o nome do arquivo será acrescentado com um número (por exemplo, cadeia de detonação(1).csv). O arquivo CSV contém as seguintes informações:

    • Superior: o arquivo de nível superior.
    • Level1: o próximo arquivo de nível.
    • Level2: o próximo arquivo de nível.
    • e assim por diante.

    A cadeia de detonação e o arquivo CSV podem mostrar apenas o item de nível superior se nenhuma das entidades ligadas a ela fosse considerada problemática ou tivesse sido detonada.

  • Seção resumo : se nenhuma informação de resumo de detonação estiver disponível, o valor Nenhum resumo de detonação será mostrado. Caso contrário, as seguintes informações de resumo de detonação estão disponíveis:

    • Tempo de análise
    • Veredicto: O veredicto sobre a PRÓPRIA URL.

  • Seção Capturas de tela: mostrar todas as capturas de tela que foram capturadas durante a detonação. Nenhuma captura de tela será capturada se a URL for aberta em um link que baixe diretamente um arquivo. No entanto, você verá o arquivo baixado na cadeia de detonação.

    Se nenhuma captura de tela de detonação estiver disponível, o valor Nenhuma captura de tela a ser exibida será mostrada. Caso contrário, selecione o link para exibir a captura de tela.

  • Seção Detalhes do comportamento: mostra os eventos exatos que ocorreram durante a detonação e observações problemáticas ou benignas que contêm URLs, IPs, domínios e arquivos encontrados durante a detonação.

    Se nenhuma informação de detalhes de comportamento estiver disponível, o valor Nenhum comportamento de detonação será mostrado. Caso contrário, você pode selecionar Exportar para baixar as informações de detalhes comportamentais em um arquivo CSV. O nome de arquivo padrão é Behavior details.csv e o local padrão é a pasta Downloads . Se um arquivo com esse nome já existir, o nome do arquivo será acrescentado com um número (por exemplo, detalhes de comportamento(1).csv). O arquivo CSV contém as seguintes informações:

    • Time
    • Comportamento
    • Propriedade Behavior
    • Processo (PID)
    • Operação
    • Destino
    • Detalhes
    • Resultado

• Guia informações de URL : a seção detalhes da URL contém as seguintes informações:

  • URL
  • Ameaça

Quando você terminar no flyout de detalhes do arquivo, selecione Fechar.

Bloquear URLs da exibição de URL

Se você selecionar uma entrada na exibição de URL selecionando a caixa marcar ao lado do nome do arquivo, a ação Bloquear estará disponível. Essa ação adiciona a URL como uma entrada de bloco na Lista de Permissões/Blocos do Locatário. Selecionar Bloco inicia o assistente de ação Tomar :

1. Na página Escolher ações , configure uma das seguintes configurações na seção URL de Bloco :

   • Nunca expire em: este é o valor padrão .
   • Nunca expire : deslize o alternância para desativar e selecione uma data na caixa Remover ativado .

   Quando terminar na página Escolher ações , selecione Avançar.

2. Na página Escolher entidades de destino , verifique se a URL que você deseja bloquear está selecionada e selecione Avançar.

3. Na página Examinar e enviar , configure as seguintes configurações:

   • Nome da correção: insira um nome exclusivo para acompanhar o status no Centro de Ações.
   • Descrição: insira uma descrição opcional.

   Quando terminar na página Examinar e enviar , selecione Enviar.

Exibição de emails semelhante

A exibição de emails semelhante mostra outras mensagens de email que têm a mesma impressão digital do corpo da mensagem. Critérios correspondentes em outras mensagens não se aplicam a essa exibição (por exemplo, impressões digitais de anexo de arquivo).

As informações de anexo a seguir estão disponíveis neste modo de exibição. Selecione um cabeçalho de coluna para classificar por essa coluna. Para adicionar ou remover colunas, selecione Personalizar colunas. Por padrão, todas as colunas disponíveis são selecionadas.

• Date
• Assunto
• Recipiente
• Sender
• IP do remetente
• Override
• Ação de entrega
• Local de entrega

Use Filtro para filtrar as entradas por data de início e data de término.

Use a caixa Pesquisa para encontrar informações na página. Digite texto na caixa e pressione a tecla ENTER.

Use Exportar para exportar os dados na exibição para um arquivo CSV. O nome de arquivo padrão é - Microsoft Defender.csv e o local padrão é a pasta Downloads . Se um arquivo com esse nome já existir, o nome do arquivo será acrescentado com um número (por exemplo, - Microsoft Defender(1).csv).

Ações na página entidade Email

As seguintes ações estão disponíveis na parte superior da página da entidade Email:

• Tome medidas: para obter informações, consulte Caça a ameaças: Email correção.
• Email versão prévia¹ ²
• Mais opções:

  • Vá para o email em quarentena: disponível somente se a mensagem tiver sido colocada em quarentena. Selecionar essa ação abre a guia Email na página Quarentena em https://security.microsoft.com/quarantine, filtrada pelo valor exclusivo da ID da mensagem. Para obter mais informações, confira Exibir email em quarentena.

  • Baixar email¹ ²

    Dica

    O email de download não está disponível para mensagens que foram colocadas em quarentena. Em vez disso, baixe uma cópia protegida por senha da mensagem da quarentena.

¹ As ações de visualização e download do Email exigem a função Visualização. Você pode atribuir essa função nos seguintes locais:

• Microsoft Defender XDR RBAC (controle de acesso baseado em função unificada) (afeta apenas o portal do Defender, não o PowerShell): operações de segurança/dados brutos (colaboração de email &)/Email & conteúdo de colaboração (leitura).
• Email & permissões de colaboração no portal Microsoft Defender: Associação nos grupos de funções do Pesquisador de Dados ou do Gerenciador de Descoberta Eletrônica. Ou você pode criar um novo grupo de funções com a função Preview atribuída e adicionar os usuários ao grupo de função personalizado.

² Você pode visualizar ou baixar mensagens de email disponíveis nas caixas de correio do Microsoft 365. Exemplos de quando as mensagens não estão mais disponíveis nas caixas de correio incluem:

• A mensagem foi descartada antes da entrega ou da entrega falhar.
• A mensagem foi excluída suavemente (excluída da pasta itens excluídos, que move a mensagem para a pasta Itens Recuperáveis\Exclusões).
• ZAP moveu a mensagem para quarentena.

O painel de resumo Email

O painel de resumo Email é o flyout de detalhes de email que está disponível em muitos recursos em Proteção do Exchange Online (EOP) e Defender para Office 365. O painel de resumo Email contém informações de resumo padronizadas sobre a mensagem de email tirada dos detalhes completos que estão disponíveis na página da entidade Email no Defender para Office 365.

Onde encontrar o painel de resumo Email é descrito na seção Onde encontrar a página de entidade Email anteriormente neste artigo. O restante desta seção descreve as informações disponíveis no painel de resumo Email em todos os recursos.

Dica

O painel de resumo Email está disponível na página centro de ações nas https://security.microsoft.com/action-center/ guias Pending ou History. Selecione uma ação com o valor dotipo Entity Email clicando em qualquer lugar da linha que não seja a caixa marcar ou o valor ID de investigação. O flyout de detalhes que é aberto é o painel de resumo Email, mas a entidade abrir email não está disponível na parte superior do flyout.

As seguintes informações de mensagem estão disponíveis na parte superior do painel de resumo do Email:

• O título do flyout é o valor da mensagem Assunto.
• O número de anexos e links na mensagem (não presentes em todos os recursos).
• Todas as marcas de usuário atribuídas aos destinatários da mensagem (incluindo a marca de conta de prioridade). Para obter mais informações, consulte Marcas de usuário no Microsoft Defender para Office 365
• As ações que estão disponíveis na parte superior do flyout dependem de onde você abriu o painel de resumo Email. As ações disponíveis são descritas nos artigos de recurso individuais.

Dica

Para ver detalhes sobre outras mensagens sem sair do painel de resumo Email da mensagem atual, use Item Anterior e Próximo item na parte superior do flyout.

As seções a seguir estão disponíveis no painel de resumo Email para todos os recursos (não importa de onde você abriu o painel de resumo Email):

• Seção Detalhes da entrega :

  • Ameaças originais
  • Ameaças mais recentes
  • Local original
  • Local de entrega mais recente
  • Ação de entrega
  • Tecnologias de detecção
  • Substituição primária: origem

• Email seção de detalhes:

  • Nome da exibição do remetente
  • Endereço do remetente.
  • Email do remetente do endereço
  • Enviado em nome de
  • Caminho de retorno
  • IP do remetente
  • Location
  • Destinatários
  • Horário do recebimento
  • Directionality
  • ID da mensagem de rede
  • ID de mensagem da Internet
  • ID da campanha
  • DMARCDMARC
  • DKIM
  • SPF
  • Autenticação composta

• Seção URLs : detalhes sobre quaisquer URLs na mensagem:

  • URL
  • status de ameaças

  Se a mensagem tiver mais de três URLs, selecione Exibir todas as URLs para ver todas elas.

• Seção Anexos: detalhes sobre todos os anexos de arquivo na mensagem:

  • Nome do anexo
  • Ameaça
  • Tecnologia de detecção /família malware

  Se a mensagem tiver mais de três anexos, selecione Exibir todos os anexos para ver todos eles.