Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложений электронной почты.

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 plan 1 and plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365 с почтовыми ящиками Exchange Online администраторы могут использовать страницу Отправки на портале Microsoft Defender для отправки сообщений, URL-адресов и вложений в корпорацию Майкрософт для анализа. Существует два основных типа отправки администратором:

• Администратор отправки. Администраторы определяют сообщения, вложения или URL-адреса (сущности) и сообщают о ней, выбрав Отправить в Корпорацию Майкрософт для анализа на вкладках на странице Отправки, как описано в разделе Администратор отправки.

  После того как администратор сообщит сущность, на соответствующей вкладке на странице Отправки (в любом месте, кроме вкладки Пользователь сообщил ).

• Администратор отправки сообщений, сообщаемых пользователем: встроенные пользовательские отчеты включено и настроено. Сообщения, сообщаемые пользователем, отображаются на вкладке Пользователь сообщается на странице Отправки , а администраторы могут отправлять или повторно отправлять сообщения в Корпорацию Майкрософт с вкладки Пользователь сообщил.

  После того как администратор отправит сообщение с вкладки Пользователь сообщается , на соответствующей вкладке на странице Отправки также создается запись (например, на вкладке Электронная почта ). Эти типы отправки администратора описаны в разделе Администратор параметры сообщений, сообщаемых пользователями.

Когда администраторы передают сообщения в Корпорацию Майкрософт для анализа, мы делаем следующие проверки:

• Email проверки подлинности проверка (только сообщения электронной почты). Указывает, пройдена ли проверка подлинности электронной почты или завершилась сбоем при доставке.
• Попадания в политику. Сведения о любых политиках или переопределениях, которые могли разрешить или заблокировать входящие сообщения электронной почты в организацию, тем самым переопределяя наши решения фильтрации.
• Репутация полезных данных или детонация. Актуальные сведения о любых URL-адресах и вложениях в сообщении.
• Анализ оценщиков. Проверка, выполненная людьми-оценщиками, чтобы подтвердить, являются ли сообщения вредоносными.

Важно!

В государственных организациях США (Microsoft 365 GCC, GCC High и DoD) администраторы могут отправлять сообщения электронной почты в корпорацию Майкрософт для анализа, но сообщения анализируются только на предмет проверки подлинности электронной почты и попаданий в политику. Анализ репутации полезных данных, детонации и оценки не выполняются по соображениям соответствия требованиям (данные не могут покидать границы организации).

Просмотрите это короткое видео, чтобы узнать, как использовать отправки администратора в Microsoft Defender для Office 365 для отправки сообщений в Корпорацию Майкрософт для оценки.

Дополнительные сведения о том, как пользователи могут отправлять сообщения и файлы в корпорацию Майкрософт, см. в статье Отправка сообщений и файлов в корпорацию Майкрософт.

Сведения о других способах отправки сообщений в Корпорацию Майкрософт на портале Defender см. в разделе Связанные параметры отчетов для администраторов.

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com/. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • & Email разрешения на совместную работу на портале Microsoft Defender: членство в группах ролей "Администратор безопасности" или "Читатель безопасности".
  • Microsoft Entra разрешений. Членство в ролях "Администратор безопасности" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

• Администраторы могут отправлять сообщения электронной почты старше 30 дней, если они по-прежнему доступны в почтовом ящике и не были очищены пользователем или администратором.

• Администратор отправки регулируются по следующим тарифам:

  • Максимальное количество заявок за любой 15-минутный период: 150 заявок
  • Одни и те же отправки в течение 24-часового периода: три отправки
  • Одни и те же отправки за 15-минутный период: одна отправка

• Если пользователь сообщил параметры в организации отправлять сообщения пользователя (электронная почта и Microsoft Teams) в корпорацию Майкрософт (исключительно или в дополнение к почтовому ящику отчетов), мы делаем те же проверки, что и при отправке администраторами сообщений в Корпорацию Майкрософт для анализа со страницы Отправки . Таким образом, отправка или повторная отправка сообщений в корпорацию Майкрософт полезна администраторам только для сообщений, которые никогда не отправлялись в корпорацию Майкрософт, или если вы не согласны с первоначальным вердиктом.

• Вкладка Файлы доступна на странице Отправки только в организациях с Microsoft Defender XDR или Microsoft Defender для конечной точки план 2. Сведения и инструкции по отправке файлов с вкладки Файлы см. в разделе Отправка файлов в Microsoft Defender для конечной точки.

Администратор отправки

Совет

Вкладка, на которой вы выбираете команду Отправить в Майкрософт для анализа , не имеет особого значения, если для параметра Выберите тип отправки задано правильное значение.

Сообщить о сомнительной электронной почте в Корпорацию Майкрософт

1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Действия & отправки>отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

2. На странице Отправки убедитесь, что выбрана вкладка Электронная почта .

3. На вкладке Электронная почта выберите Отправить в Корпорацию Майкрософт для анализа.

4. В открывавшемся всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:

   • Выберите тип отправки: проверьте значение, Email выбрано.

   • Добавьте идентификатор сетевого сообщения или отправьте файл электронной почты. Выберите один из следующих параметров:

     • Добавьте идентификатор сетевого сообщения электронной почты. Значение GUID доступно в заголовке X-MS-Exchange-Organization-Network-Message-Id в сообщении или в заголовке X-MS-Office365-Filtering-Correlation-Id в сообщениях, помещенных в карантин.
     • Отправьте файл электронной почты (MSG или EML): выберите Обзор файлов. В открывшемся диалоговом окне найдите и выберите EML- или MSG-файл, а затем нажмите кнопку Открыть.

   • Выберите получателя, у которого возникла проблема. Укажите получателей для запуска политики проверка. Политика проверка определяет, было ли сообщение электронной почты обходить проверку из-за политик пользователя или организации или переопределения.

   • Выберите причину отправки в Корпорацию Майкрософт: выбран параметр Проверить, должен ли быть заблокирован (ложноотрицательный).

     • Сообщение электронной почты должно быть классифицировано как: Выберите Фишинг, Вредоносная программа или Спам. Если вы не уверены, используйте свое наилучшее решение.

     • Блокировать все сообщения электронной почты от этого отправителя или домена. Выберите этот параметр, чтобы создать запись блокировки для домена отправителя или адреса электронной почты в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

       После выбора этого параметра будут доступны следующие параметры:

       • По умолчанию выбран параметр Отправитель , но вместо него можно выбрать Домен .
       • Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
         • 1 день
         • 7 дней
         • 30 дней
         • 90 дней
         • Срок действия не истекает
         • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.
       • Примечание о блокировке. Введите необязательные сведения о том, почему вы блокируете это сообщение электронной почты.

   По завершении во всплывающем окне Отправить в Майкрософт для анализа выберите Отправить, а затем — Готово.

Через несколько секунд запись блока будет доступна на вкладке Домены & адреса на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=Sender.

Отчеты о сомнительных вложениях электронной почты в Корпорацию Майкрософт

1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Действия & отправки>отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

2. На странице Отправки выберите вкладку Email вложения.

3. На вкладке вложения Email выберите Отправить в Корпорацию Майкрософт для анализа.

4. Во всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:

   • Выберите тип отправки: убедитесь, что выбрано значение, Email вложение.

   • Файл: выберите Обзор файлов , чтобы найти и выбрать файл для отправки.

   • Выберите причину отправки в Корпорацию Майкрософт: выбран параметр Проверить, должен ли быть заблокирован (ложноотрицательный).

     • Адрес электронной почты должен быть классифицирован как: Выберите Фишинг или Вредоносная программа. Если вы не уверены, используйте свое наилучшее решение.

     • Блокировать этот файл. Выберите этот параметр, чтобы создать запись блока для файла в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

       После выбора этого параметра будут доступны следующие параметры:

       • Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:

         • 1 день
         • 7 дней
         • 30 дней
         • 90 дней
         • Срок действия не истекает
         • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.

       • Примечание о блокировке. Введите необязательные сведения о том, почему вы блокируете этот файл.

   По завершении во всплывающем окне Отправить в Майкрософт для анализа выберите Отправить, а затем — Готово.

Через несколько секунд запись блока будет доступна на вкладке Файлы на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash.

Сообщить о сомнительных URL-адресах в корпорацию Майкрософт

1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Действия & отправки>отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

2. На странице Отправки выберите вкладку URL-адреса .

3. На вкладке URL-адреса выберите Отправить в Корпорацию Майкрософт для анализа.

4. В открывавшемся всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:

   • Выберите тип отправки: убедитесь, что выбран URL-адрес значения.

   • URL-адрес: введите полный URL-адрес (например, https://www.fabrikam.com/marketing.html), а затем выберите его в появившемся поле. Одновременно можно ввести до 50 URL-адресов.

   • Выберите причину отправки в Корпорацию Майкрософт: выбран параметр Проверить, должен ли быть заблокирован (ложноотрицательный).

     • Адрес электронной почты должен быть классифицирован как: Выберите Фишинг или Вредоносная программа. Если вы не уверены, используйте свое наилучшее решение.

     • Блокировать этот URL-адрес. Выберите этот параметр, чтобы создать запись блока для URL-адреса в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

       После выбора этого параметра будут доступны следующие параметры:

       • Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:

         • 1 день
         • 7 дней
         • 30 дней
         • 90 дней
         • Срок действия не истекает
         • Конкретная дата: максимальное значение — 90 дней с сегодняшнего дня.

       • Примечание о блокировке. Введите необязательные сведения о том, почему вы блокируете этот URL-адрес.

   По завершении во всплывающем окне Отправить в Майкрософт для анализа выберите Отправить, а затем — Готово.

Через несколько секунд запись блока будет доступна на вкладке URL-адрес на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Сообщить о хорошем сообщении электронной почты в Корпорацию Майкрософт

1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Действия & отправки>отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

2. На странице Отправки убедитесь, что выбрана вкладка Электронная почта .

3. На вкладке Электронная почта выберите Отправить в Корпорацию Майкрософт для анализа.

4. В открывавшемся всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:

   • Выберите тип отправки: проверьте значение, Email выбрано.

   • Добавьте идентификатор сетевого сообщения или отправьте файл электронной почты. Выберите один из следующих параметров:

     • Добавьте идентификатор сетевого сообщения электронной почты. Значение GUID доступно в заголовке X-MS-Exchange-Organization-Network-Message-Id в сообщении или в заголовке X-MS-Office365-Filtering-Correlation-Id в сообщениях, помещенных в карантин.
     • Отправьте файл электронной почты (MSG или EML): выберите Обзор файлов. В открывшемся диалоговом окне найдите и выберите EML- или MSG-файл, а затем нажмите кнопку Открыть.

   • Выберите получателя, у которого возникла проблема. Укажите получателей для запуска политики проверка. Политика проверка определяет, был ли адрес электронной почты заблокирован из-за политик или переопределений пользователя или организации.

   • Выберите причину отправки в Корпорацию Майкрософт: выберите Не должен быть заблокирован (ложноположительный результат) и настройте следующие параметры:

     • Разрешить сообщения электронной почты с похожими атрибутами (URL-адрес, отправитель и т. д.): включите этот параметр .

       • Удалить разрешенную запись после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:

         • 1 день
         • 7 дней
         • 30 дней
         • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.

         Для подделанных отправителей это значение не имеет смысла, так как срок действия записей для подделанных отправителей никогда не истекает.

       • Разрешить ввод. Введите необязательные сведения о том, почему вы разрешаете и отправляете это сообщение электронной почты.

         Для подделанных отправителей любое введенное здесь значение не отображается в записи разрешения на вкладке Спуфинированные отправители на странице Списки разрешенных и заблокированных клиентов .

   По завершении во всплывающем окне Отправить в Майкрософт для анализа выберите Отправить, а затем — Готово.

   

Через несколько секунд связанные записи разрешений появятся на вкладках Адреса доменов&, подделанные отправители, URL-адреса или Файлы на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList.

Важно!

• Разрешенные записи добавляются во время потока обработки почты на основе фильтров, которые определили, что сообщение было вредоносным. Например, если адрес электронной почты отправителя и URL-адрес в сообщении были определены как недопустимые, для отправителя (адрес электронной почты или домен) и URL-адреса создается запись разрешения.
• Если адрес электронной почты отправителя не найден вредоносным в нашей системе фильтрации, отправка сообщения электронной почты в Корпорацию Майкрософт не приведет к созданию разрешенной записи в списке разрешенных и заблокированных клиентов.
• При повторном обнаружении разрешенного домена или адреса электронной почты, подделанного отправителя, URL-адреса или файла (сущности) все фильтры, связанные с сущностью, пропускаются. Для сообщений электронной почты все остальные сущности по-прежнему оцениваются системой фильтрации перед принятием решения.
• Если во время потока обработки почты сообщения из разрешенного домена или адреса электронной почты проходят другие проверки в стеке фильтрации, сообщения доставляются. Например, если сообщение проходит проверку подлинности по электронной почте, доставляется сообщение с разрешенного адреса электронной почты отправителя.
• По умолчанию разрешенные записи для доменов и адресов электронной почты существуют в течение 30 дней. В течение этих 30 дней корпорация Майкрософт учится на разрешенных записях и удаляет их или автоматически расширяет их. После того как корпорация Майкрософт узнает из удаленных разрешенных записей, сообщения из этих доменов или адресов электронной почты доставляются, если только что-то другое в сообщении не будет обнаружено как вредоносное. По умолчанию срок действия записей для подделанных отправителей не истечет.
• Для сообщений, которые были неправильно заблокированы защитой олицетворения домена или пользователя, запись разрешения для домена или отправителя не создается в списке разрешений и блокировок клиента. Вместо этого домен или отправитель добавляется в раздел Доверенные отправители и доменыв политике защиты от фишинга , которая обнаружила сообщение.
• При переопределении вердикта в анализе спуфинга аналитики спуфинг становится записью разрешения или блокировки вручную, которая отображается только в подделанных отправителях на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.

Отчет о хороших вложениях электронной почты в Корпорацию Майкрософт

1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Действия & отправки>отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

2. На странице Отправки выберите вкладку Email вложения.

3. На вкладке вложения Email выберите Отправить в Корпорацию Майкрософт для анализа.

4. Во всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:

   • Выберите тип отправки: убедитесь, что выбрано значение, Email вложение.

   • Файл: выберите Обзор файлов , чтобы найти и выбрать файл для отправки.

   • Выберите причину отправки в Корпорацию Майкрософт: выберите Не должен быть заблокирован (ложноположительный результат) и настройте следующие параметры:

     • Разрешить этот файл: включите этот параметр .

       • Удалить разрешенную запись после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:

         • 1 день
         • 7 дней
         • 30 дней
         • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.

       • Примечание о разрешенных записях. Введите необязательные сведения о том, почему вы разрешаете и отправляете этот файл.

   По завершении во всплывающем окне Отправить в Майкрософт для анализа выберите Отправить, а затем — Готово.

   

Через несколько секунд запись разрешить будет доступна на вкладке Файлы на странице Список разрешенных и заблокированных клиентов . Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

Важно!

• По умолчанию разрешить записи для файлов существуют в течение 30 дней. В течение этих 30 дней корпорация Майкрософт учится на разрешенных записях и удаляет их или автоматически расширяет их. После того как корпорация Майкрософт узнает из удаленных разрешенных записей, сообщения, содержащие эти файлы, доставляются, если только что-то другое в сообщении не будет обнаружено как вредоносное.
• При повторном обнаружении файла во время потока обработки почты переопределяются детонация безопасных вложений или проверка репутации файла, а также все остальные фильтры на основе файлов. Если система фильтрации определяет, что все остальные сущности в сообщении электронной почты чисты, сообщение доставляется.
• Во время выбора все фильтры на основе файлов, включая детонацию безопасных вложений или проверки репутации файла, переопределяются, что позволяет пользователю получить доступ к файлу.

Отчет о хороших URL-адресах в Корпорацию Майкрософт

Для URL-адресов, сообщаемых как ложноположительные, мы разрешаем последующие сообщения, содержащие варианты исходного URL-адреса. Например, вы используете страницу Отправки , чтобы сообщить о неправильно заблокированном URL-адресе www.contoso.com/abc. Если ваша организация позже получит сообщение, содержащее URL-адрес (напримерwww.contoso.com/abcwww.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5, или www.contoso.com/abc/whatever), сообщение не будет заблокировано на основе URL-адреса. Иными словами, вам не нужно сообщать корпорации Майкрософт о нескольких вариантах одного и того же URL-адреса.

1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Действия & отправки>отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

2. На странице Отправки выберите вкладку URL-адреса .

3. На вкладке URL-адреса выберите Отправить в Корпорацию Майкрософт для анализа.

4. В открывавшемся всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:

   • Выберите тип отправки: убедитесь, что выбран URL-адрес значения.

   • URL-адрес: введите полный URL-адрес (например, https://www.fabrikam.com/marketing.html), а затем выберите его в появившемся поле. Можно также указать домен верхнего уровня (например, https://www.fabrikam.com/*), а затем выбрать его в появившемся поле. Одновременно можно ввести до 50 URL-адресов.

   • Выберите причину отправки в Корпорацию Майкрософт: выберите Не должен быть заблокирован (ложноположительный результат) и настройте следующие параметры:

     • Разрешить этот URL-адрес: включите этот параметр .

       • Удалить разрешенную запись после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:

         • 1 день
         • 7 дней
         • 30 дней
         • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.

       • Примечание о разрешенной записи. Введите необязательные сведения о том, почему вы разрешаете и отправляете этот URL-адрес.

   По завершении во всплывающем окне Отправить в Майкрософт для анализа выберите Отправить, а затем — Готово.

   

Через несколько секунд запись разрешения будет доступна на вкладке URL-адрес на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Примечание.

• По умолчанию разрешенные записи для URL-адресов существуют в течение 30 дней. В течение этих 30 дней корпорация Майкрософт учится на разрешенных записях и удаляет их или автоматически расширяет их. После того как корпорация Майкрософт узнает из удаленных записей allow, сообщения, содержащие эти URL-адреса, доставляются, если что-то еще в сообщении не будет обнаружено как вредоносное.
• При повторном обнаружении URL-адреса во время потока обработки почты проверка детонации безопасных ссылок или проверки репутации URL-адреса, а также все остальные фильтры на основе URL-адресов переопределяются. Если система фильтрации определяет, что все остальные сущности в сообщении электронной почты чисты, сообщение доставляется.
• Во время выбора все фильтры на основе URL-адресов, включая детонацию безопасных ссылок или проверки репутации URL-адресов, переопределяются, что позволяет пользователю получить доступ к содержимому по URL-адресу.

Отправка сообщений Teams в Корпорацию Майкрософт

Вы не можете отправлять сообщения Teams с вкладки Сообщения Teams на странице Отправки . Единственный способ отправить сообщение Teams в Корпорацию Майкрософт для анализа — отправить сообщение пользователя Teams с вкладки Пользователь сообщил , как описано в разделе Отправка сообщений о сообщениях пользователя в корпорацию Майкрософт для анализа далее в этой статье.

Записи на вкладке "Сообщения Teams " являются результатом отправки пользователем сообщения Teams в Корпорацию Майкрософт. Дополнительные сведения см. в разделе Просмотр преобразованных отправлений администратора далее в этой статье.

Просмотр отправки администратором электронной почты в Корпорацию Майкрософт

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Действия & отправки>отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

На странице Отправки убедитесь, что выбрана вкладка Электронная почта .

На вкладке Электронная почта можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:

• Pending
• Выполнено

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Имя отправки^*
• Отправителя^*
• Получатель
• Дата отправки^*
• Причина отправки^*
• Оригинальный вердикт^*
• Статус^*
• Результат^*
• Причина доставки или блокировки
• Идентификатор отправки
• Идентификатор сетевого сообщения
• Направление
• IP-адрес отправителя
• Уровень массового соответствия (BCL)
• Destination
• Действие политики
• Отправлено
• Имитация фишинга
• Теги^*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Действие

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

• Причина
• Оригинальный вердикт
• Состояние
• Результат
• Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Дата отправки: значения даты начала и даты окончания .
• Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
• Идентификатор сетевого сообщения
• Sender
• Получатель
• Имя отправки
• Отправлено
• Причина отправки: любое из следующих значений:
  • Не является нежелательным
  • Фишинг
  • Вредоносная программа
  • Спам.
• Состояние: Ожидание и Завершено.
• Теги: все или выберите теги пользователей в раскрывающемся списке.

Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Просмотр отправки администраторов Teams в Майкрософт

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Отправки в разделе Действия & отправки>. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

На странице Отправки выберите вкладку Сообщения Teams .

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Имя отправки^*
• Отправительsup>*
• Дата отправки^*
• Причина отправки^*
• Отправлено
• Статус^*
• Результат^*
• Получатель
• Идентификатор отправки
• Идентификатор сообщения Teams
• Destination
• Имитация фишинга
• Теги^*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

• Причина
• Оригинальный вердикт
• Состояние
• Результат
• Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Дата отправки: дата начала и дата окончания.
• Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
• Сообщение Teams
• Отправлено
• Причина отправки: любое из следующих значений:
  • Не является нежелательным
  • Фишинг
  • Вредоносная программа
• Состояние: Ожидание и Завершено.
• Теги: все или выберите теги пользователей в раскрывающемся списке.

Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Просмотр отправки администраторов вложений электронной почты в Корпорацию Майкрософт

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Отправки в разделе Действия & отправки>. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

На странице Отправки выберите вкладку Email вложения.

На вкладке Email вложений можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:

• Pending
• Выполнено

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Имя файла вложения^*
• Дата отправки^*
• Причина отправки^*
• Статус^*
• Результат^*
• Фильтр вердикта
• Причина доставки или блокировки
• Идентификатор отправки
• Идентификатор объекта
• Действие политики
• Отправлено
• Теги^*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Действие

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

• Причина
• Оригинальный вердикт
• Состояние
• Результат
• Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Дата отправки: дата начала и дата окончания.
• Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
• Имя файла вложения
• Отправлено
• Причина отправки: любое из следующих значений:
  • Не является нежелательным
  • Фишинг
  • Вредоносная программа
  • Спам.
• Состояние: Ожидание и Завершено.
• Теги: все или выберите теги пользователей в раскрывающемся списке.

Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Просмотр отправки администратором URL-адресов в Корпорацию Майкрософт

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Отправки в разделе Действия & отправки>. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

На странице Отправки выберите вкладку URL-адреса .

На вкладке URL-адреса можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:

• Pending
• Выполнено

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• URL^*
• Дата отправки^*
• Причина отправки^*
• Статус^*
• Результат^*
• Фильтр вердикта
• Причина доставки или блокировки
• Идентификатор отправки
• Идентификатор объекта
• Действие политики
• Отправлено
• Теги^*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Действие

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

• Причина
• Оригинальный вердикт
• Состояние
• Результат
• Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Дата отправки: дата начала и дата окончания.
• Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
• URL-адрес
• Отправлено
• Причина отправки: любое из следующих значений:
  • Не является нежелательным
  • Фишинг
  • Вредоносная программа
  • Спам
• Состояние: Ожидание и Завершено.
• Теги: все или выберите теги пользователей в раскрывающемся списке.

Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

сведения о результатах отправки Администратор

Email сообщения, сообщения Teams, вложения электронной почты и URL-адреса, которые администраторы отправляют в Корпорацию Майкрософт для анализа, доступны на соответствующих вкладках на странице Отправки.

При выборе записи на вкладке путем щелчка в любом месте строки, кроме поля проверка рядом с первым столбцом, в открывавшемся всплывающем меню отображаются полные сведения об исходном элементе, состоянии сообщаемого элемента и результаты анализа сообщаемого элемента:

• Возникновение сбоя при проверке подлинности электронной почты отправителя в момент доставки.
• Сведения о любых политиках или переопределениях, которые могли повлиять или переопределить вердикт сообщения из системы фильтрации.
• Результаты текущей детонации, чтобы узнать, были ли URL-адреса или файлы в сообщении вредоносными или нет.
• Отзывы от оценок.

При обнаружении переопределения или конфигурации политики результат должен быть доступен через несколько минут. Если не возникла проблема с проверкой подлинности электронной почты или доставка не была затронута переопределением или политикой, детонация и отзывы от оценщиков могут занять до дня.

Действия для отправки администратором в Defender для Office 365 план 2

В организациях с Microsoft Defender для Office 365 плана 2 (лицензиями на надстройки или подписками, такими как Microsoft 365 E5), во всплывающем окне сведений, открывающемся после выбора записи в списке, щелкнув в любом месте строки, кроме проверка, доступны следующие действия:

• Открыть сущность электронной почты: доступно только во всплывающем элементе сведений на вкладке Электронная почта . Дополнительные сведения см. в разделе Как прочитать страницу сущности электронной почты.

• Действия: доступно только во всплывающем элементе сведений на вкладке Электронная почта . Это действие запускает тот же мастер действий, который доступен на странице сущности электронной почты. Дополнительные сведения см. в разделе Действия, которые можно выполнить на странице сущностей Email.

• Просмотреть оповещение. Оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.

• В разделе Сведения о результатах также могут быть доступны следующие ссылки на Обозреватель угрозы в зависимости от состояния и результата сообщаемого элемента:

  • Просмотрите это сообщение на вкладке Обозреватель: Только сообщения электронной почты.
  • Поиск похожих сообщений в Обозреватель: только на вкладке "Сообщения электронной почты".
  • Поиск ПО URL-адресу или файлу: Email только вложения или вкладки URL-адресов.

Администратор параметры сообщений, сообщаемые пользователем

Администраторы могут видеть, какие пользователи сообщают, на вкладке Пользователь сообщил на странице Отправки , если выполняются следующие инструкции:

• Параметры , о которых сообщил пользователь , включены.
• Email сообщений. Вы используете поддерживаемые методы, чтобы пользователи сообщали о сообщениях:
  • Надстройки Microsoft Report Message или Report Phishing.
  • Встроенная кнопка "Отчет" в Outlook в Интернете.
  • Поддерживаемые сторонние средства создания отчетов
• Сообщения Teams. Параметры пользовательских отчетов для сообщений Teams включено.

Примечания.

• Сообщения, сообщаемые пользователем, которые отправляются только в корпорацию Майкрософт или в корпорацию Майкрософт, а почтовый ящик отчетов отображаются на вкладке Пользователь сообщил . Хотя эти сообщения уже были зарегистрированы в корпорации Майкрософт, администраторы могут повторно отправить сообщения.
• Сообщения, сообщаемые пользователем, которые отправляются только в почтовый ящик отчетов, отображаются на вкладке Пользователь сообщил со значением Неотправлено в Корпорацию Майкрософт. Администраторы должны сообщать об этих сообщениях в корпорацию Майкрософт для анализа.

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Действия & отправки>отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

На странице Отправки выберите вкладку Пользователь сообщил .

В следующих подразделах описаны сведения и действия, доступные на вкладке Пользователь сообщил на странице Отправки .

Просмотр сообщений, отправляемых пользователями в Корпорацию Майкрософт

На вкладке Пользователь сообщил , чтобы быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:

• Threats
• Спам
• Нет угроз
• Моделирования

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Имя и тип^*
• Сообщает^*
• Дата сообщения^*
• Отправителя^*
• Сообщаемая причина^*
• Оригинальный вердикт^*
• Результат^*. Содержит следующие сведения для сообщений, сообщаемых пользователем:
  • Отправка сообщений, сообщаемые по>Корпорация Майкрософт и мой почтовый ящик отчетов или только майкрософт: значения, полученные из следующего анализа:
    • Попадания в политику. Сведения о любых политиках или переопределениях, которые могли разрешать или блокировать входящие сообщения, включая переопределения для наших решений фильтрации. Результат должен быть доступен в течение нескольких минут. В противном случае детонация и отзывы от оценщиков могут занять до одного дня.
    • Репутация полезных данных или детонация. Актуальные сведения о любых URL-адресах и файлах в сообщении.
    • Анализ оценщиков. Проверка, выполненная людьми-оценщиками, чтобы подтвердить, являются ли сообщения вредоносными.
  • Отправка сообщений, сообщаемые по>Только мой почтовый ящик отчетов. Значение всегда не отправляется в Корпорацию Майкрософт, так как сообщения не были проанализированы корпорацией Майкрософт.
• Идентификатор сообщения
• Идентификатор сетевого сообщения
• Идентификатор сообщения Teams
• IP-адрес отправителя
• Сообщается из
• Имитация фишинга
• Преобразовано в отправку администратором
• Помечено как^*
• Отмечено
• Дата, помеченная
• Теги^*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

• Sender
• Reported by (Сообщил)
• Оригинальный вердикт
• Результат
• Сообщается из
• Преобразовано в отправку администратором
• Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Дата сообщения: дата начала и дата окончания.
• Reported by (Сообщил)
• Название
• Идентификатор сообщения
• Идентификатор сетевого сообщения
• Идентификатор сообщения Teams
• Sender
• Сообщаемая причина: значения Нет угроз, фишинга и спама.
• Сообщается из: значения Майкрософт и стороннего производителя.
• Имитация фишинга: значения Да и Нет.
• Преобразовано в отправку администратора: значения Да и Нет.
• Тип сообщения: значения Email и Teams.
• Теги: все или выберите теги пользователей в раскрывающемся списке.

Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Дополнительные сведения о действиях, доступных для сообщений на вкладке Пользователь сообщается , см. в следующем подразделе.

действия Администратор для сообщений, сообщаемого пользователем

На вкладке Пользователь сообщил действия для сообщений, сообщаемых пользователем, доступны на самой вкладке или во всплывающем меню сведений выбранной записи:

• Выберите сообщение из списка, выбрав поле проверка рядом с первым столбцом. На вкладке Пользователь сообщил , доступны следующие действия:

  • Отправка в Корпорацию Майкрософт для анализа
  • Пометка как и уведомление

• Выберите сообщение из списка, щелкнув в любом месте строки, кроме поля проверка. В открываемом^* всплывающем окне сведений доступны следующие действия:

  • Отправка в Корпорацию Майкрософт для анализа
  • Пометка как и уведомление
  • Просмотр преобразованной отправки администратора
  • Действия только в Microsoft Defender для Office 365 плане 2:
    • Открытие сущности электронной почты
    • Выполнение действий
    • Просмотр оповещений

  Совет

  Чтобы просмотреть сведения или выполнить действия с сообщениями других пользователей, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

^* В зависимости от характера и состояния сообщения некоторые действия могут быть недоступны, доступны непосредственно в верхней части всплывающего окна или доступны в разделе Дополнительные действия в верхней части всплывающего окна.

Эти действия описаны в следующих подразделах.

Примечание.

После того как пользователь сообщит о подозрительном сообщении, пользователь или администраторы не могут отменить отчет о сообщении, независимо от того, куда отправляется сообщение (в почтовый ящик отчетов, в корпорацию Майкрософт или и то, и другое). Пользователь может восстановить сообщение из папок "Удаленные" или "Нежелательная Email".

Отправка сообщений, сообщаемого пользователем, в корпорацию Майкрософт для анализа

Выбрав сообщение на вкладке Пользователь сообщил , используйте один из следующих методов, чтобы отправить сообщение в корпорацию Майкрософт:

• На вкладке Пользователь сообщил: выберите Отправить в Майкрософт для анализа*.

• Во всплывающем окне сведений выбранного сообщения выберите Отправить в Майкрософт для анализа или Дополнительные параметры>Отправить в Майкрософт для анализа в верхней части всплывающего окна.

В раскрывающемся списке Отправить в Майкрософт для анализа выберите одно из следующих значений:

• Доступные значения для сообщений электронной почты:

  • Очистка отчета. В открывшемся диалоговом окне просмотрите или настройте следующие параметры:

    Разрешить электронную почту с похожими атрибутами (URL-адрес, отправитель и т. д.): выберите этот параметр, чтобы добавить соответствующие записи разрешений в список разрешенных и заблокированных клиентов. Доступны следующие параметры:

    • Удалить разрешенную запись после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
      • 1 день
      • 7 дней
      • 30 дней
      • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
    • Разрешить ввод. Введите необязательные сведения о том, почему вы блокируете это сообщение.

    Завершив работу в диалоговом окне Отправить сообщение как чистое в Майкрософт , нажмите кнопку Отправить.

  • Сообщить о фишинге, сообщить о вредоносных программах или сообщить о спаме. Эти параметры имеют те же параметры в открывшемся диалоговом окне:

    Блокировать все сообщения электронной почты от этого отправителя или домена. Выберите этот параметр, чтобы добавить запись блока отправителя или домена в список разрешенных и заблокированных клиентов. Доступны следующие параметры:

    • Выберите Отправитель или Домен.
    • Удалить разрешенную запись после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
      • 1 день
      • 7 дней
      • 30 дней
      • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.

    По завершении работы в диалоговом окне нажмите кнопку Отправить.

  • Исследование триггеров: только Defender для Office 365 план 2. Дополнительные сведения см. в разделе Запуск исследования.

  

• Доступные значения для сообщений Teams. Другие параметры недоступны при выборе одного из следующих значений:

  • Отчет очистки
  • Сообщение о фишинге
  • Сообщить о вредоносных программах

После отправки сообщения пользователя в Корпорацию Майкрософт на вкладке Пользователь сообщил, значение преобразовано в отправку администратора становится равным "Нет" на "Да", а соответствующая запись отправки администратора создается на соответствующей вкладке на странице Отправки (например, на вкладке "Сообщения электронной почты").

Уведомление пользователей о сообщениях, отправленных администратором в Майкрософт

После того как администратор отправит сообщение о пользователе в корпорацию Майкрософт с вкладки Пользователь сообщил, администраторы могут использовать действие Пометить как и уведомить, чтобы пометить сообщение вердиктом и отправить шаблонное уведомление пользователю, который сообщил о сообщении.

• Доступные вердикты для сообщений электронной почты:

  • Угрозы не найдены
  • Фишинг
  • Спам

• Доступные вердикты для сообщений Teams:

  • Угрозы не найдены
  • Фишинг

Дополнительные сведения см . в разделе Уведомление пользователей на портале.

Просмотр преобразованных отправок администратора

После отправки администратором сообщения о пользователе в корпорацию Майкрософт с вкладки Пользователь сообщил , значение Преобразовано в отправку администратора имеет значение Да.

Если выбрать одно из этих сообщений, щелкнув в любом месте строки, кроме поля проверка рядом с именем, всплывающее окно сведений содержит дополнительные действия>Просмотр преобразованной отправки администратора.

Это действие переместит вас на соответствующую запись отправки администратора на соответствующей вкладке (например, на вкладке Электронная почта ).

Действия для сообщений, сообщаемого пользователем в Defender для Office 365 план 2

В организациях с Microsoft Defender для Office 365 плана 2 (лицензиями на надстройки или подписками, такими как Microsoft 365 E5), во всплывающем всплывающем элементе сообщения с подробными сведениями на вкладке Пользователь сообщил:

• Открыть сущность электронной почты (только сообщения электронной почты). Дополнительные сведения см. в статье Как прочитать страницу сущности электронной почты.

• Выполнение действий (только сообщения электронной почты). Это действие запускает тот же мастер действий, который доступен на странице сущности электронной почты. Дополнительные сведения см. в разделе Действия, которые можно выполнить на странице сущностей Email.

• Просмотреть оповещение. Оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.