A página da entidade Email no Microsoft Defender para Office 365
Sugestão
Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
As organizações do Microsoft 365 que Microsoft Defender para Office 365 incluídas na subscrição ou compradas como suplemento têm a página de entidade Email. A página Email entidade no portal do Microsoft Defender contém informações altamente detalhadas sobre uma mensagem de e-mail e quaisquer entidades relacionadas.
Este artigo explica as informações e as ações na página da entidade Email.
Permissões e licenciamento para a página da entidade Email
Para utilizar a página Email entidade, tem de lhe ser atribuídas permissões. As permissões e o licenciamento são os mesmos que o Explorador de Ameaças (Explorador) e as deteções em tempo real. Para obter mais informações, veja Permissões e licenciamento para o Explorador de Ameaças e Deteções em tempo real.
Onde encontrar a página da entidade Email
Não existem ligações diretas para a página de entidade Email a partir dos níveis superiores do portal do Defender. Em vez disso, a ação Abrir entidade de e-mail está disponível na parte superior da lista de opções de detalhes de e-mail em muitas funcionalidades Defender para Office 365. Esta lista de opções de detalhes de e-mail é conhecida como o painel de resumo Email e contém um subconjunto resumido das informações na página de entidade Email. O painel de resumo de e-mail é idêntico em todas as funcionalidades Defender para Office 365. Para obter mais informações, consulte a secção O painel de resumo Email mais à frente neste artigo.
O painel de resumo Email com a ação Abrir entidade de e-mail está disponível nas seguintes localizações:
Na página Investigação avançada em https://security.microsoft.com/v2/advanced-hunting: No separador Resultados de uma consulta relacionada com o e-mail, clique no valor NetworkMessageId de uma entrada na tabela.
*Na página Alertas em https://security.microsoft.com/alerts: Para alertas com o valor de origem de deteção MDO ou o valor Nomes de produtoMicrosoft Defender para Office 365, selecione a entrada ao clicar no valor Nome do alerta. Na página de detalhes do alerta que é aberta, selecione a mensagem na secção Lista de mensagens .
No relatório Estado da proteção contra ameaças em https://security.microsoft.com/reports/TPSEmailPhishReportATP:
- Selecione Ver dados Email > Phish e qualquer uma das seleções de divisão de Gráficos disponíveis. Na tabela de detalhes abaixo do gráfico, selecione a entrada ao clicar em qualquer parte da linha que não seja a caixa de verificação junto à primeira coluna.
- Selecione Ver dados Email > Software Maligno e qualquer uma das seleções de divisão de Gráficos disponíveis. Na tabela de detalhes abaixo do gráfico, selecione a entrada ao clicar em qualquer parte da linha que não seja a caixa de verificação junto à primeira coluna.
- Selecione Ver dados Email > Spam e qualquer uma das seleções de divisão do Gráfico disponíveis. Na tabela de detalhes abaixo do gráfico, selecione a entrada ao clicar em qualquer parte da linha que não seja a caixa de verificação junto à primeira coluna.
Na página Do Explorador em https://security.microsoft.com/threatexplorerv3 (Explorador de Ameaças) ou na página Deteções em tempo real em https://security.microsoft.com/realtimereportsv3. Utilize um dos seguintes métodos:
- No Explorador de Ameaças, verifique se a vista Todos os e-mails está selecionada>, verifique se o separador Email (vista) na área de detalhes está selecionado>, clique no valor Assunto numa entrada.
- No Explorador de Ameaças ou deteções em tempo real, selecione a vista >Software Maligno para verificar se o separador Email (vista) na área de detalhes está selecionado>, clique no valor Assunto numa entrada.
- No Explorador de Ameaças ou deteções em tempo real, selecione a vista >Phish verificar se o separador Email (vista) na área de detalhes está selecionado>, clique no valor Assunto numa entrada.
Na página Incidentes em https://security.microsoft.com/incidents: Para incidentes com o valor Nomes de produto Microsoft Defender para Office 365, selecione o incidente ao clicar no valor Nome do incidente. Na página de detalhes do incidente que é aberta, selecione o separador Provas e respostas (vista). No separador Todas as provas e no valor Tipo de entidadeEmail ou no separador E-mails, selecione a entrada clicando em qualquer parte da linha que não seja a caixa de verificação.
Na página Quarentena em https://security.microsoft.com/quarantine: Verifique se o separador Email está selecionado>, selecione uma entrada ao clicar em qualquer parte da linha que não seja a caixa de verificação.
Na página Submissões em https://security.microsoft.com/reportsubmission:
- Selecione o separador >E-mails selecione uma entrada ao clicar em qualquer parte da linha que não seja a caixa de verificação.
- Selecione o separador >Utilizador comunicado selecione uma entrada ao clicar em qualquer parte da linha que não seja a caixa de verificação.
O que está na página da entidade Email
O painel de detalhes no lado esquerdo da página contém secções minimizáveis com detalhes sobre a mensagem. Estas secções permanecem constantes enquanto estiver na página. As secções disponíveis são:
Secção Etiquetas . Mostra as etiquetas de utilizador (incluindo a Conta de prioridade) atribuídas a remetentes ou destinatários. Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador no Microsoft Defender para Office 365.
Secção de detalhes da deteção :
Ameaças Originais
Localização de entrega original:
- Pasta Itens Eliminados
- Largado
- A entrega falhou
- Pasta caixa de entrada
- Pasta de Email de lixo
- Externo
- Quarentena
- Unknown
Ameaças Mais Recentes
Localização de entrega mais recente: a localização da mensagem após as ações do sistema na mensagem (por exemplo, ZAP) ou ações de administrador na mensagem (por exemplo, Mover para Itens Eliminados). As ações do utilizador na mensagem (por exemplo, eliminar ou arquivar a mensagem) não são apresentadas, pelo que este valor não garante a localização atual da mensagem.
Sugestão
Existem cenários em que localização de entrega Original Localização/de entrega mais recente e/ou Ação de entrega têm o valor Desconhecido. Por exemplo:
- A mensagem foi entregue (a ação de entrega é Entregue), mas uma regra da Caixa de Entrada moveu a mensagem para uma pasta predefinida que não a pasta Caixa de Entrada ou Email de Lixo (por exemplo, a pasta Rascunho ou Arquivo).
- O ZAP tentou mover a mensagem após a entrega, mas a mensagem não foi encontrada (por exemplo, o utilizador moveu ou eliminou a mensagem).
Tecnologia de deteção:
- Filtro avançado: sinais de phishing baseados na aprendizagem automática.
- Campanha: mensagens identificadas como parte de uma campanha.
- Detonação de ficheiros: os Anexos Seguros detetaram um anexo malicioso durante a análise de detonação.
- Reputação de detonação de ficheiros: anexos de ficheiros anteriormente detetados por detonações de Anexos Seguros noutras organizações do Microsoft 365.
- Reputação de ficheiros: a mensagem contém um ficheiro que foi anteriormente identificado como malicioso noutras organizações do Microsoft 365.
- Correspondência de impressões digitais: a mensagem assemelha-se a uma mensagem maliciosa detetada anteriormente.
- Filtro geral: sinais de phishing com base nas regras dos analistas.
- Marca de representação: Representação de remetentes de marcas conhecidas.
- Domínio de representação: representação de domínios do remetente que possui ou especificou para proteção em políticas anti-phishing.
- Utilizador de representação: representação de remetentes protegidos que especificou em políticas anti-phishing ou aprendeu através de informações da caixa de correio.
- Representação de informações de caixa de correio: deteções de representação de informações de caixas de correio em políticas anti-phishing.
- Deteção de análise mista: vários filtros contribuíram para o veredicto da mensagem.
- Spoof DMARC: a mensagem falhou na autenticação DMARC.
- Spoof external domain (Spoof external domain): spoofing de endereços de e-mail do remetente com um domínio externo à sua organização.
- Spoof intra-org: spoofing de endereços de e-mail do remetente através de um domínio interno para a sua organização.
- Detonação de URL: as Ligações Seguras detetaram um URL malicioso na mensagem durante a análise de detonação.
- Reputação de detonação de URL: URLs anteriormente detetados por detonações de Ligações Seguras noutras organizações do Microsoft 365.
- Reputação maliciosa de URL: a mensagem contém um URL que foi anteriormente identificado como malicioso noutras organizações do Microsoft 365.
Ação de entrega:
- Entregue
- Lixo
- Bloqueado
Substituição Primária: Origem
- Valores para Substituição primária:
- Permitido pela política da organização
- Permitido pela política de utilizador
- Bloqueado pela política da organização
- Bloqueado pela política de utilizador
- Nenhum
- Valores para a origem de substituição primária:
- Filtro de Terceiros
- Administração viagem no tempo iniciada (ZAP)
- Bloco de política antimalware por tipo de ficheiro
- Definições de política antisspam
- Política de ligação
- Regra de transporte do Exchange
- Modo exclusivo (Substituição do utilizador)
- Filtragem ignorada devido a organização no local
- Filtro de região ip da política
- Filtro de idioma da política
- Simulação de Phishing
- Versão de quarentena
- Caixa de Correio secOps
- Lista de endereços do remetente (Administração Substituir)
- Lista de endereços do remetente (Substituição do utilizador)
- Lista de domínios do remetente (substituição de Administração)
- Lista de domínios do remetente (Substituição do utilizador)
- Bloco de ficheiros Permitir/Bloquear Lista de Inquilinos
- Bloco de endereço de e-mail do remetente Permitir/Bloquear Lista de Inquilinos
- Bloco spoof Permitir/Bloquear Lista de Inquilinos
- Bloco de URL de Lista de Permissões/Blocos de Inquilinos
- Lista de contactos fidedigna (Substituição do utilizador)
- Domínio fidedigno (Substituição do utilizador)
- Destinatário fidedigno (Substituição do utilizador)
- Apenas remetentes fidedignos (Substituição do utilizador)
- Valores para Substituição primária:
Email secção de detalhes:
-
Direcionalidade:
- Entrada
- Intra-irg
- Saída
- Destinatário (Para)*
- Remetente*
- Hora de receção
-
ID* da Mensagem da Internet: disponível no campo cabeçalho Message-ID no cabeçalho da mensagem. Um valor de exemplo é
<08f1e0f6806a47b4ac103961109ae6ef@server.domain>
(tenha em atenção os parênteses angulares). - ID* da Mensagem de Rede: um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem.
- Cluster ID
- Idioma
* A ação Copiar para a área de transferência está disponível para copiar o valor.
-
Direcionalidade:
Os separadores (vistas) na parte superior da página permitem-lhe investigar o e-mail de forma eficiente. Estas vistas estão descritas nas seguintes subsecções.
Vista de linha cronológica
A vista Linha Cronológica mostra os eventos de entrega e pós-entrega que ocorreram à mensagem.
As seguintes informações do evento de mensagem estão disponíveis na vista. Selecione um cabeçalho de coluna para ordenar por essa coluna. Para adicionar ou remover colunas, selecione Personalizar colunas. Por predefinição, todas as colunas disponíveis estão selecionadas.
- Linha cronológica (data/hora do evento)
- Origem: por exemplo: Sistema, **Administração ou Utilizador.
- Tipos de eventos
- Result
- Ameaças
- Detalhes
Se nada tiver acontecido à mensagem após a entrega, é provável que a mensagem tenha apenas uma linha na vista Linha Cronológica com o valor Tipos de eventoEntrega original. Por exemplo:
- O valor Resultado é a pasta Caixa de Entrada – Entregue.
- O valor Resultado é a pasta E-mail de Lixo – Entregue em Lixo
- O valor Resultado é Quarentena – Bloqueado.
As ações subsequentes à mensagem por utilizadores, administradores ou Microsoft 365 adicionam mais linhas à vista. Por exemplo:
- O valor Tipos de evento é ZAP e o valor Resultado é Mensagem movida para Quarentena por ZAP.
- O valor Tipos de eventos é Libertação de Quarentena e o valor Resultado é Mensagem que foi lançada com êxito da Quarentena.
Utilize a caixa Procurar para encontrar informações na página. Escreva texto na caixa e, em seguida, prima a tecla ENTER.
Utilize Exportar para exportar os dados na vista para um ficheiro CSV. O nome de ficheiro predefinido é - Microsoft Defender.csv e a localização predefinida é a pasta Transferências . Se já existir um ficheiro com esse nome, o nome do ficheiro é acrescentado a um número (por exemplo, - Microsoft Defender(1).csv).
Vista de análise
A vista Análise contém informações que o ajudam a analisar a mensagem em profundidade. As seguintes informações estão disponíveis nesta vista:
Secção detalhes da deteção de ameaças: Informações sobre ameaças detetadas na mensagem:
- Ameaças: a principal ameaça é indicada pela Ameaça primária.
- Nível de confiança: os valores são Alto, Médio ou Baixo.
- Proteção de conta prioritária: os valores são Sim ou Não. Para obter mais informações, veja Configurar e rever a proteção de conta prioritária no Microsoft Defender para Office 365.
Email secção de detalhes da deteção: Informações sobre as funcionalidades de proteção ou substituições que afetaram a mensagem:
Todas as Substituições: todas as definições da organização ou do utilizador que tinham a possibilidade de alterar a localização de entrega pretendida da mensagem. Por exemplo, se a mensagem corresponder a uma regra de fluxo de correio e a uma entrada de bloco na Lista de Permissões/Bloqueios de Inquilinos, ambas as definições são listadas aqui. O valor da propriedade Substituição Primária: Origem identifica a definição que realmente afetou a entrega da mensagem.
Substituição Principal: Origem: mostra a definição da organização ou do utilizador que alterou a localização de entrega pretendida da mensagem (permitida em vez de bloqueada ou bloqueada em vez de permitida). Por exemplo:
- A mensagem foi bloqueada por uma regra de fluxo de correio.
- A mensagem foi permitida devido a uma entrada na lista de Remetentes Seguros do utilizador.
Regras de transporte do Exchange (regras de fluxo de correio): se a mensagem tiver sido afetada pelas regras de fluxo de correio, os nomes das regras e os vales GUID são apresentados. As ações executadas em mensagens por regras de fluxo de correio ocorrem antes de veredictos de spam e phishing.
A ação Copiar para a área de transferência está disponível para copiar o GUID da regra. Para obter mais informações sobre as regras de fluxo de correio, consulte Regras de fluxo de correio (regras de transporte) no Exchange Online.
A ligação Ir para o Centro de administração do Exchange abre a página Regras no novo centro de administração do Exchange em https://admin.exchange.microsoft.com/#/transportrules.
Conector: se a mensagem tiver sido entregue através de um conector de Entrada, o nome do conector é apresentado. Para obter mais informações sobre conectores, consulte Configurar o fluxo de correio com conectores no Exchange Online.
Nível de reclamação em massa (BCL): um valor BCL mais elevado indica que é mais provável que a mensagem seja spam. Para obter mais informações, veja Nível de reclamação em massa (BCL) na EOP.
Política: se um tipo de política estiver listado aqui (por exemplo, Spam), selecione Configurar para abrir a página de política relacionada (por exemplo, a página Políticas antisspam em https://security.microsoft.com/antispam).
Ação de política
ID do Alerta: selecione o valor ID do Alerta para abrir a página de detalhes do alerta (como se tivesse encontrado e selecionado o alerta na página Alertas em https://security.microsoft.com/alerts). A ação Copiar para a área de transferência também está disponível para copiar o valor do ID de Alerta.
Tipo de política
Tipo de cliente: mostra o tipo de cliente que enviou a mensagem (por exemplo, REST)
Email tamanho
Regras de prevenção de perda de dados
Secção Detalhes do Remetente-Destinatário : Detalhes sobre o remetente da mensagem e algumas informações do destinatário:
- Nome a apresentar do remetente
- Endereço do remetente*
- IP do Remetente
- Nome de domínio do remetente*
- Data de criação do domínio: um domínio criado recentemente e outros sinais de mensagem podem identificar a mensagem como suspeita.
- Proprietário do domínio
- Endereço MAIL FROM do Remetente*
- Remetente MAIL FROM nome de domínio*
- Caminho de Retorno
- Domínio return-path
- Localização
- Domínio do destinatário*
- Para: Mostra os primeiros 5000 carateres de quaisquer endereços de e-mail no campo Para da mensagem.
- Cc: Mostra os primeiros 5000 carateres de quaisquer endereços de e-mail no campo Cc da mensagem.
- Lista de distribuição: mostra o grupo de distribuição (lista de distribuição) se o destinatário recebeu o e-mail como membro da lista. O grupo de distribuição de nível superior é apresentado para grupos de distribuição aninhados.
- Reencaminhamento: indica se a mensagem foi reencaminhada automaticamente para um endereço de e-mail externo. O utilizador de reencaminhamento e o tipo de reencaminhamento são apresentados (regras de fluxo de correio, regras da Caixa de Entrada ou reencaminhamento SMTP).
* A ação Copiar para a área de transferência está disponível para copiar o valor.
Secção autenticação : Detalhes sobre os resultados da autenticação de e-mail :
-
Autenticação de Mensagens Baseada em Domínio (DMARC)
-
Pass
: A verificação DMARC da mensagem foi transmitida. -
Fail
: A verificação DMARC da mensagem falhou. -
BestGuessPass
: o registo TXT DMARC para o domínio não, mas se existir um, a verificação DMARC da mensagem teria passado. - Nenhum: indica que não existe nenhum registo TXT DMARC para o domínio de envio no DNS.
-
-
DomainKeys identified mail (DKIM): Os valores são:
-
Pass
: A verificação DKIM da mensagem foi transmitida. -
Fail (reason)
: A verificação de DKIM da mensagem falhou. Por exemplo, a mensagem não foi assinada pelo DKIM ou a assinatura DKIM não foi verificada. -
None
: a mensagem não era DKIM assinada. Este resultado pode ou não indicar que o domínio tem um registo DKIM ou que o registo DKIM não é avaliado como um resultado. Este resultado indica apenas que esta mensagem não foi assinada.
-
-
Sender Policy Framework (SPF): os valores são:
-
Pass (IP address)
: A verificação SPF descobriu que a origem da mensagem é válida para o domínio. -
Fail (IP address)
: a verificação SPF detetou que a origem da mensagem não é válida para o domínio e a regra de imposição no registo SPF é-all
(falha grave). -
SoftFail (reason)
: a verificação SPF descobriu que a origem da mensagem não é válida para o domínio e a regra de imposição no registo SPF é~all
(falha recuperável). -
Neutral
: a verificação SPF descobriu que a origem da mensagem não é válida para o domínio e a regra de imposição no registo SPF é?all
(neutra). -
None
: o domínio não tem um registo SPF ou o registo SPF não é avaliado como um resultado. -
TempError
: A verificação do SPF encontrou um erro temporário (por exemplo, um erro de DNS). A mesma verificação mais tarde poderá ser bem-sucedida. -
PermError
: A verificação SPF encontrou um erro permanente. Por exemplo, o domínio tem um registo SPF mal formatado.
-
- Autenticação composta: SPF, DKIM, DMARC e outras informações determinam se o remetente da mensagem (o endereço De) é autêntico. Para obter mais informações, veja Autenticação composta.
-
Autenticação de Mensagens Baseada em Domínio (DMARC)
Secção Entidades relacionadas : Informações sobre anexos e URLs na mensagem:
- Entidade: selecionar Anexos ou URLs leva-o para a vista Anexos ou para a vista de URL da página da entidade Email da mensagem.
- Contagem total
- Ameaças encontradas: os valores são Sim ou Não.
Área de detalhes da mensagem:
- Separador de cabeçalho de e-mail de texto simples: contém o cabeçalho completo da mensagem em texto simples. Selecione Copiar cabeçalho da mensagem para copiar o cabeçalho da mensagem. Selecione Analisador de Cabeçalhos de Mensagens da Microsoft para abrir o Analisador de Cabeçalhos de Mensagens em https://mha.azurewebsites.net/pages/mha.html. Cole o cabeçalho da mensagem copiada na página e, em seguida, selecione Analisar cabeçalhos para obter detalhes sobre os cabeçalhos e valores da mensagem.
- Separador Para : mostra os primeiros 5000 carateres de quaisquer endereços de e-mail no campo Para da mensagem.
- Separador Cc : mostra os primeiros 5000 carateres de quaisquer endereços de e-mail no campo Cc da mensagem.
Vista anexos
A vista Anexos mostra informações sobre todos os anexos de ficheiros na mensagem e os resultados da análise desses anexos.
As seguintes informações de anexo estão disponíveis nesta vista. Selecione um cabeçalho de coluna para ordenar por essa coluna. Para adicionar ou remover colunas, selecione Personalizar colunas. Por predefinição, todas as colunas disponíveis estão selecionadas.
- Nome do ficheiro de anexo: se clicar no valor do nome de ficheiro
- Tipo de ficheiro
- Tamanho do ficheiro
- Extensão de ficheiro
- Ameaça
- Família de software maligno
- Anexo SHA256: a ação Copiar para a área de transferência está disponível para copiar o valor SHA256.
- Detalhes
Utilize a caixa Procurar para encontrar informações na página. Escreva texto na caixa e, em seguida, prima a tecla ENTER.
Utilize Exportar para exportar os dados na vista para um ficheiro CSV. O nome de ficheiro predefinido é - Microsoft Defender.csv e a localização predefinida é a pasta Transferências . Se já existir um ficheiro com esse nome, o nome do ficheiro é acrescentado a um número (por exemplo, - Microsoft Defender(1).csv).
Detalhes do anexo
Se selecionar uma entrada na vista Anexos ao clicar no valor Nome de ficheiro de anexo , é aberta uma lista de opções de detalhes que contém as seguintes informações:
Separador Análise aprofundada: as informações estão disponíveis neste separador se os Anexos Seguros analisarem (detonaram) o anexo. Pode identificar estas mensagens no Explorador de Ameaças com a tecnologia de Deteção do filtro de consulta com o valor Detonação de ficheiros.
Secção da cadeia de detonação: a detonação de Anexos Seguros de um único ficheiro pode desencadear várias detonações. A cadeia de detonação segue o caminho das detonações, incluindo o ficheiro malicioso original que causou o veredicto, e todos os outros ficheiros afectados pela detonação. Estes ficheiros anexados podem não estar diretamente presentes no e-mail. No entanto, incluir a análise é importante para determinar por que motivo o ficheiro foi considerado malicioso.
Se não estiverem disponíveis informações sobre a cadeia de detonação, será apresentado o valor Nenhuma árvore de detonação . Caso contrário, pode selecionar Exportar para transferir as informações da cadeia de detonação para um ficheiro CSV. O nome de ficheiro predefinido é Detonação chain.csv e a localização predefinida é a pasta Transferências . Se já existir um ficheiro com esse nome, o nome do ficheiro é acrescentado a um número (por exemplo, Cadeia de detonação(1).csv). O ficheiro CSV contém as seguintes informações:
- Superior: o ficheiro de nível superior.
- Nível1: o ficheiro de nível seguinte.
- Nível2: o ficheiro de nível seguinte.
- e assim sucessivamente.
A cadeia de detonação e o ficheiro CSV podem mostrar apenas o item de nível superior se nenhuma das entidades ligadas ao mesmo for considerada problemática ou tiver sido detonada.
Secção de resumo : se não estiverem disponíveis informações de resumo de detonação, o valor Não é apresentado Nenhum resumo de detonação . Caso contrário, estão disponíveis as seguintes informações de resumo de detonação:
- Tempo de análise
- Veredicto: O veredicto sobre o próprio anexo.
- Mais informações: O tamanho do ficheiro em bytes.
- Indicadores de compromisso
Secção Capturas de ecrã: mostrar quaisquer capturas de ecrã capturadas durante a detonação. Não são capturadas capturas de ecrã para ficheiros de contentor como ZIP ou RAR que contenham outros ficheiros.
Se não estiverem disponíveis capturas de ecrã de detonação, o valor Sem capturas de ecrã a apresentar é apresentado. Caso contrário, selecione a ligação para ver a captura de ecrã.
Secção Detalhes do comportamento : mostra os eventos exatos que ocorreram durante a detonação e observações problemáticas ou benignas que contêm URLs, IPs, domínios e ficheiros que foram encontrados durante a detonação. Podem não existir detalhes de comportamento para ficheiros de contentor, como ZIP ou RAR, que contenham outros ficheiros.
Se não estiverem disponíveis informações de detalhes de comportamento, o valor Não são apresentados comportamentos de detonação . Caso contrário, pode selecionar Exportar para transferir as informações de detalhes comportamentais para um ficheiro CSV. O nome de ficheiro predefinido é Comportamento details.csv e a localização predefinida é a pasta Transferências . Se já existir um ficheiro com esse nome, o nome do ficheiro é acrescentado a um número (por exemplo, Detalhes do comportamento (1).csv). O ficheiro CSV contém as seguintes informações:
- Hora
- Comportamento
- Propriedade Comportamento
- Processo (PID)
- Operação
- Target
- Detalhes
- Result
Separador Informações do ficheiro : a secção Detalhes do ficheiro contém as seguintes informações:
- Nome de ficheiro
- SHA256
- Tamanho do ficheiro (em bytes)
Quando terminar a lista de opções de detalhes do ficheiro, selecione Fechar.
Bloquear anexos a partir da vista Anexos
Se selecionar uma entrada na vista Anexos ao selecionar a caixa de verificação junto ao nome do ficheiro, a ação Bloquear está disponível. Esta ação adiciona o ficheiro como uma entrada de bloco na Lista de Permissões/Bloqueios do Inquilino. Selecionar Bloquear inicia o assistente Tomar ações :
Na página Escolher ações , configure uma das seguintes definições na secção Bloquear ficheiro :
- Nunca expire em: este é o valor predefinido .
- Nunca expirar : deslize o botão de alternar para desativado e, em seguida, selecione uma data na caixa Remover ativado .
Quando tiver terminado na página Escolher ações , selecione Seguinte.
Na página Escolher entidades de destino, verifique se o ficheiro que pretende bloquear está selecionado e, em seguida, selecione Seguinte.
Na página Rever e submeter , configure as seguintes definições:
- Nome da remediação: introduza um nome exclusivo para controlar o estado no Centro de ação.
- Descrição: introduza uma descrição opcional.
Quando tiver terminado na página Rever e submeter , selecione Submeter.
Vista de URL
A vista de URL mostra informações sobre todos os URLs na mensagem e os resultados da análise desses URLs.
As seguintes informações de anexo estão disponíveis nesta vista. Selecione um cabeçalho de coluna para ordenar por essa coluna. Para adicionar ou remover colunas, selecione Personalizar colunas. Por predefinição, todas as colunas disponíveis estão selecionadas.
- URL
- Ameaça
- Source (Origem)
- Detalhes
Utilize a caixa Procurar para encontrar informações na página. Escreva texto na caixa e, em seguida, prima a tecla ENTER.
Utilize Exportar para exportar os dados na vista para um ficheiro CSV. O nome de ficheiro predefinido é - Microsoft Defender.csv e a localização predefinida é a pasta Transferências . Se já existir um ficheiro com esse nome, o nome do ficheiro é acrescentado a um número (por exemplo, - Microsoft Defender(1).csv).
Detalhes do URL
Se selecionar uma entrada na vista de URL ao clicar no valor do URL , é aberta uma lista de opções de detalhes que contém as seguintes informações:
Separador Análise aprofundada: as informações estão disponíveis neste separador se as Ligações Seguras analisarem (detonaram) o URL. Pode identificar estas mensagens no Explorador de Ameaças com a tecnologia de deteção do filtro de consulta com a detonação do URL de valor.
Secção da cadeia de detonação: a detonação de Ligações Seguras de um único URL pode desencadear várias detonações. A cadeia de detonação segue o caminho das detonações, incluindo o URL malicioso original que causou o veredicto, e todos os outros URLs afectados pela detonação. Estes URLs podem não estar diretamente presentes no e-mail. No entanto, incluir a análise é importante para determinar por que motivo o URL foi considerado malicioso.
Se não estiverem disponíveis informações sobre a cadeia de detonação, será apresentado o valor Nenhuma árvore de detonação . Caso contrário, pode selecionar Exportar para transferir as informações da cadeia de detonação para um ficheiro CSV. O nome de ficheiro predefinido é Detonação chain.csv e a localização predefinida é a pasta Transferências . Se já existir um ficheiro com esse nome, o nome do ficheiro é acrescentado a um número (por exemplo, Cadeia de detonação(1).csv). O ficheiro CSV contém as seguintes informações:
- Superior: o ficheiro de nível superior.
- Nível1: o ficheiro de nível seguinte.
- Nível2: o ficheiro de nível seguinte.
- e assim sucessivamente.
A cadeia de detonação e o ficheiro CSV podem mostrar apenas o item de nível superior se nenhuma das entidades ligadas ao mesmo for considerada problemática ou tiver sido detonada.
Secção de resumo : se não estiverem disponíveis informações de resumo de detonação, o valor Não é apresentado Nenhum resumo de detonação . Caso contrário, estão disponíveis as seguintes informações de resumo de detonação:
- Tempo de análise
- Veredicto: O veredicto sobre o próprio URL.
Secção Capturas de ecrã: mostrar quaisquer capturas de ecrã capturadas durante a detonação. Não são capturadas capturas de ecrã se o URL abrir numa ligação que transfere diretamente um ficheiro. No entanto, verá o ficheiro transferido na cadeia de detonação.
Se não estiverem disponíveis capturas de ecrã de detonação, o valor Sem capturas de ecrã a apresentar é apresentado. Caso contrário, selecione a ligação para ver a captura de ecrã.
Secção Detalhes do comportamento : mostra os eventos exatos que ocorreram durante a detonação e observações problemáticas ou benignas que contêm URLs, IPs, domínios e ficheiros que foram encontrados durante a detonação.
Se não estiverem disponíveis informações de detalhes de comportamento, o valor Não são apresentados comportamentos de detonação . Caso contrário, pode selecionar Exportar para transferir as informações de detalhes comportamentais para um ficheiro CSV. O nome de ficheiro predefinido é Comportamento details.csv e a localização predefinida é a pasta Transferências . Se já existir um ficheiro com esse nome, o nome do ficheiro é acrescentado a um número (por exemplo, Detalhes do comportamento (1).csv). O ficheiro CSV contém as seguintes informações:
- Hora
- Comportamento
- Propriedade Comportamento
- Processo (PID)
- Operação
- Target
- Detalhes
- Result
Separador Informações do URL : a secção Detalhes do URL contém as seguintes informações:
- URL
- Ameaça
Quando terminar a lista de opções de detalhes do ficheiro, selecione Fechar.
Bloquear URLs a partir da vista de URL
Se selecionar uma entrada na vista de URL ao selecionar a caixa de verificação junto ao nome do ficheiro, a ação Bloquear está disponível. Esta ação adiciona o URL como uma entrada de bloco na Lista de Permissões/Bloqueios do Inquilino. Selecionar Bloquear inicia o assistente Tomar ações :
Na página Escolher ações , configure uma das seguintes definições na secção BLOQUEAR URL :
- Nunca expire em: este é o valor predefinido .
- Nunca expirar : deslize o botão de alternar para desativado e, em seguida, selecione uma data na caixa Remover ativado .
Quando tiver terminado na página Escolher ações , selecione Seguinte.
Na página Escolher entidades de destino, verifique se o URL que pretende bloquear está selecionado e, em seguida, selecione Seguinte.
Na página Rever e submeter , configure as seguintes definições:
- Nome da remediação: introduza um nome exclusivo para controlar o estado no Centro de ação.
- Descrição: introduza uma descrição opcional.
Quando tiver terminado na página Rever e submeter , selecione Submeter.
Vista de e-mails semelhante
A vista E-mails semelhantes mostra outras mensagens de e-mail que têm a mesma impressão digital do corpo da mensagem que esta mensagem. Os critérios correspondentes noutras mensagens não se aplicam a esta vista (por exemplo, impressões digitais de anexos de ficheiros).
As seguintes informações de anexo estão disponíveis nesta vista. Selecione um cabeçalho de coluna para ordenar por essa coluna. Para adicionar ou remover colunas, selecione Personalizar colunas. Por predefinição, todas as colunas disponíveis estão selecionadas.
- Data
- Assunto
- Destinatário
- Remetente
- IP do Remetente
- Substituir
- Ação de entrega
- Localização da entrega
Utilize Filtrar para filtrar as entradas por Data de início e Data de fim.
Utilize a caixa Procurar para encontrar informações na página. Escreva texto na caixa e, em seguida, prima a tecla ENTER.
Utilize Exportar para exportar os dados na vista para um ficheiro CSV. O nome de ficheiro predefinido é - Microsoft Defender.csv e a localização predefinida é a pasta Transferências . Se já existir um ficheiro com esse nome, o nome do ficheiro é acrescentado a um número (por exemplo, - Microsoft Defender(1).csv).
Ações na página da entidade Email
As seguintes ações estão disponíveis na parte superior da página da entidade Email:
- Tomar medidas: para obter informações, consulte Investigação de ameaças: o assistente Tomar medidas.
- Email pré-visualização¹ ²
-
Mais opções:
Aceda ao e-mail em quarentena: disponível apenas se a mensagem tiver sido colocada em quarentena. Selecionar esta ação abre o separador Email na página Quarentena em https://security.microsoft.com/quarantine, filtrado pelo valor exclusivo ID da Mensagem da mensagem. Para obter mais informações, consulte Ver e-mail em quarentena.
Transferir e-mail¹ ²
Sugestão
O e-mail de transferência não está disponível para mensagens que foram colocadas em quarentena. Em vez disso, transfira uma cópia protegida por palavra-passe da mensagem a partir da quarentena.
¹ As ações de pré-visualização Email e Transferir e-mail requerem a função Pré-visualização. Pode atribuir esta função nas seguintes localizações:
- Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender, não o PowerShell): operações de segurança/Dados não processados (colaboração & de e-mail)/Email & conteúdo de colaboração (leitura).
- Email & permissões de colaboração no portal do Microsoft Defender: Associação nos grupos de funções Investigador de Dados ou Gestor de Deteção de Dados Eletrónicos. Em alternativa, pode criar um novo grupo de funções com a função Pré-visualização atribuída e adicionar os utilizadores ao grupo de funções personalizada.
² Pode pré-visualizar ou transferir mensagens de e-mail disponíveis nas caixas de correio do Microsoft 365. Exemplos de quando as mensagens já não estão disponíveis nas caixas de correio incluem:
- A mensagem foi removida antes da entrega ou da entrega falhar.
- A mensagem foi eliminada com força.
- A mensagem tem uma localização de entrega no local/Externa.
- ZAP moveu a mensagem para quarentena.
O painel de resumo Email
O painel de resumo Email é a lista de opções de detalhes de e-mail que está disponível em muitas funcionalidades em Proteção do Exchange Online (EOP) e Defender para Office 365. O painel de resumo Email contém informações de resumo padronizadas sobre a mensagem de e-mail obtida a partir dos detalhes completos disponíveis na página da entidade Email no Defender para Office 365.
Onde encontrar o painel de resumo Email está descrito na secção Onde encontrar a Email página de entidade anteriormente neste artigo. O resto desta secção descreve as informações disponíveis no painel de resumo Email em todas as funcionalidades.
Sugestão
O painel de resumo Email está disponível na página Centro de ação nos https://security.microsoft.com/action-center/ separadores Pendente ou Histórico. Selecione uma ação com o valor Tipo de entidadeEmail ao clicar em qualquer parte da linha que não seja a caixa de verificação ou o valor ID de Investigação. A lista de opções de detalhes que é aberta é a Email painel de resumo, mas a entidade Abrir e-mail não está disponível na parte superior da lista de opções.
As seguintes informações de mensagem estão disponíveis na parte superior do painel de resumo Email:
- O título da lista de opções é a mensagem Valor do assunto.
- O número de anexos e ligações na mensagem (não presente em todas as funcionalidades).
- Todas as etiquetas de utilizador atribuídas aos destinatários da mensagem (incluindo a etiqueta Conta de prioridade). Para obter mais informações, veja Etiquetas de utilizador no Microsoft Defender para Office 365
- As ações que estão disponíveis na parte superior da lista de opções dependem do local onde abriu o painel de resumo Email. As ações disponíveis são descritas nos artigos de funcionalidades individuais.
Sugestão
Para ver detalhes sobre outras mensagens sem sair do painel de resumo Email da mensagem atual, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.
As secções seguintes estão disponíveis no painel de resumo Email para todas as funcionalidades (não importa onde abriu o painel de resumo Email):
Secção de detalhes de entrega :
- Ameaças originais
- Ameaças mais recentes
- Localização original
- Localização de entrega mais recente
- Ação de entrega
- Tecnologias de deteção
- Substituição primária: Origem
Email secção de detalhes:
- Nome a apresentar do remetente
- Endereço do remetente
- E-mail do remetente do endereço
- Enviado em nome de
- Caminho de retorno
- IP do Remetente
- Localização
- Destinatários
- Hora de receção
- Direcionalidade
- ID da mensagem de rede
- ID da mensagem da Internet
- ID da Campanha
- DMARC
- DKIM
- SPF
- Autenticação composta
Secção URLs: Detalhes sobre quaisquer URLs na mensagem:
- URL
- Estado da ameaça
Se a mensagem tiver mais de três URLs, selecione Ver todos os URLs para ver todos.
Secção Anexos : detalhes sobre quaisquer anexos de ficheiro na mensagem:
- Nome do anexo
- Ameaça
- Tecnologia de deteção/Família de software maligno
Se a mensagem tiver mais de três anexos, selecione Ver todos os anexos para ver todos.