Автоматические уведомления пользователей о результатах фишинга в AIR
В организациях Microsoft 365 с Microsoft Defender для Office 365 план 2, когда пользователь сообщает о сообщении как о фишинге, при автоматическом расследовании и реагировании (AIR) автоматически создается исследование. Администраторы могут настроить параметры сообщения, сообщаемого пользователем, чтобы отправить уведомление по электронной почте пользователю, который сообщил о сообщении на основе вердикта air. Это уведомление также называется автоматическим ответом обратной связи. Дополнительные сведения см. в разделе Параметры, сообщаемые пользователем.
В этой статье объясняется, как включить и настроить автоматический ответ обратной связи для конкретных вердиктов AIR, как отправляются уведомления по электронной почте и как выглядят уведомления.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу параметров, сообщаемые пользователем, используйте .https://security.microsoft.com/securitysettings/userSubmission
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
- Email & разрешения на совместную работу на портале Microsoft Defender: членство в группах ролей "Управление организацией" или "Администратор безопасности".
- Microsoft Entra разрешения. Членство в ролях глобального администратора или администратора безопасности предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.
Настройка автоматического ответа на отзывы с помощью портала Microsoft Defender
На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Параметры>Email & совместной работы>Пользователь сообщил о параметрах. Чтобы перейти непосредственно на страницу параметров, сообщаемые пользователем, используйте .https://security.microsoft.com/securitysettings/userSubmission
На странице Параметры, сообщаемые пользователем , убедитесь, что выбран параметр Монитор сообщений, сообщаемые в Outlook .
В разделе электронная почта Email уведомления>Результаты выберите Автоматически отправлять пользователям результаты исследования, а затем выберите один или несколько из указанных ниже параметров:
- Фишинг или вредоносные программы. Пользователю, который сообщил о фишинге, отправляется уведомление по электронной почте, когда AIR определяет угрозу как фишинг, фишинг с высокой степенью достоверности или вредоносные программы.
- Спам. Пользователю, который сообщил, что сообщение было фишинговым, отправляется уведомление по электронной почте, когда AIR идентифицирует угрозу как спам.
- Угрозы не найдены. Уведомление по электронной почте отправляется пользователю, который сообщил об этом сообщении как о фишинге, когда AIR не обнаруживает угрозы.
В сообщении с уведомлением используется тот же шаблон, что и при выборе администратором пометить как и уведомить на странице Отправки по адресу https://security.microsoft.com/reportsubmission.
Вы можете настроить сообщение электронной почты с уведомлением, щелкнув ссылку Настроить результаты электронной почты .
В открывавшемся всплывающем окне Настройка проверки администратора Уведомления по электронной почте настройте следующие параметры на вкладках Фишинг (соответствующий параметру Автоматический ответ обратной связи с фишингом или вредоносными программами), Нежелательная почта и Нет угроз:
- Email текст результатов: введите пользовательский текст для использования. Вы можете использовать разные тексты для фишинга, нежелательной почты и нет обнаруженных угроз.
- Email текст нижнего колонтитула. Введите текст пользовательского нижнего колонтитула сообщения. Тот же текст используется для фишинга, нежелательной почты и не найдены угрозы.
Завершив работу во всплывающем окне Настройка проверки администратора Уведомления по электронной почте, выберите Подтвердить, чтобы вернуться на страницу параметров, сообщаемых пользователем.
Принцип работы автоматического ответа на обратную связь
После включения автоматического ответа обратной связи пользователь, сообщивший о сообщении как о фишинге, получает уведомление по электронной почте на основе вердикта AIR и выбранного параметра Автоматически отправлять пользователям результаты исследования :
Совет
На следующих снимках экрана показаны примеры сообщений электронной почты с уведомлениями, которые отправляются пользователям. Как упоминалось ранее, вы можете настроить уведомление, используя параметры, описанные в разделе Настройка электронной почты с результатами в параметрах, сообщающихся пользователем.
Угрозы не найдены. Если пользователь сообщает сообщение как фишинговое, отправка активирует AIR для сообщения. Если расследование не обнаруживает угроз, пользователь, который сообщил об этом сообщении, получает уведомление по электронной почте, которое выглядит следующим образом:
Спам. Если пользователь сообщает сообщение как фишинговое, отправка активирует AIR для сообщаемого сообщения. Если исследование обнаружит, что сообщение является спамом, пользователь, который сообщил о сообщении, получает уведомление, которое выглядит следующим образом:
Фишинг или вредоносные программы. Если пользователь сообщает о сообщении как фишинговое, отправка активирует AIR для сообщаемого сообщения. Дальнейшие действия зависят от результатов исследования:
Фишинг с высокой степенью достоверности или вредоносные программы: сообщение должно быть исправлено с помощью одного из следующих действий:
- Утвердить рекомендуемое действие (отображается как ожидающие действия в расследовании или центре уведомлений).
- Исправление с помощью других средств (например, Обозреватель угроз).
После исправления сообщения расследование закрывается как Исправлено или Частично исправлено. Уведомление, отправленное пользователю, отправляющему сообщение, отправляется по электронной почте только в том случае, если состояние исследования является одним из этих значений.
Совет
Для фишинга с высокой степенью достоверности или вредоносных программ исследование может немедленно закрыться как Исправлено , если сообщение не найдено в почтовом ящике (сообщение было удалено). Ожидающее расследование не завершено, поэтому пользователю, отправившему сообщение, не отправляется уведомление по электронной почте.
Фишинг. При расследовании не создаются ожидающие действия, но пользователь по-прежнему получает уведомление о том, что сообщение было обнаружено как фишинговое. Сообщение электронной почты с уведомлением выглядит следующим образом:
Когда AIR достигает вердикта и уведомление отправляется пользователю, который сообщил сообщение как фишинговое, для записи на вкладке Пользователь сообщается на странице Отправки на портале Defender отображаются следующие значения свойств:
- Помечено как : содержит вердикт.
- Отмечено: Значение — Automation.
Независимо от того, было ли сообщение автоматически или вручную отправлено в корпорацию Майкрософт для проверки, или сообщение было расследовано AIR, вердикт отображается в свойстве Помечено как . Дополнительные сведения о вкладке Пользователь сообщил на странице Отправки см. в разделе параметры Администратор для сообщений, сообщаемые пользователем.
Подробнее
Дополнительные сведения об отправке и исследованиях в Defender для Microsoft 365 см. в следующих статьях:
- Автоматическое исследование и реагирование в Microsoft Defender для Office 365
- Просмотр результатов автоматизированного исследования в Microsoft 365
- Административная проверка сообщений, на которые получены жалобы
- Принцип работы автоматизированного исследования и реагирования в Microsoft Defender для Office 365