Страница сущности электронной почты в Microsoft Defender для Office 365

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

В организациях Microsoft 365, в которых Microsoft Defender для Office 365 включена в подписку или приобретена в качестве надстройки, есть страница сущностей Email. Страница сущности Электронной почты на портале Microsoft Defender содержит подробные сведения о сообщении электронной почты и любых связанных сущностях.

В этой статье описаны сведения и действия на странице сущности "Электронная почта".

Разрешения и лицензирование для страницы сущности электронной почты

Чтобы использовать страницу сущности "Электронная почта", вам должны быть назначены разрешения. Разрешения и лицензирование совпадают с обнаружением угроз (обозреватель) и обнаружением в режиме реального времени. Дополнительные сведения см. в разделе Разрешения и лицензирование для обозревателя угроз и обнаружения в режиме реального времени.

Где найти страницу сущности электронной почты

Прямых ссылок на страницу сущности "Электронная почта " на верхних уровнях портала Defender нет. Вместо этого действие Открыть сущность электронной почты доступно в верхней части всплывающего окна сведений о электронной почте во многих функциях Defender для Office 365. Это всплывающее окно сведений об электронной почте называется панелью "Сводка по электронной почте" и содержит сводное подмножество сведений на странице сущности электронной почты. Панель сводки по электронной почте идентична функциям Defender для Office 365. Дополнительные сведения см. в разделе Сводка по электронной почте далее в этой статье.

Панель Сводка по электронной почте с действием Открыть сущность электронной почты доступна в следующих расположениях:

• На странице Расширенный поиск по адресу https://security.microsoft.com/v2/advanced-hunting: На вкладке Результаты запроса, связанного с электронной почтой, щелкните значение NetworkMessageId записи в таблице.

• *На странице Оповещения по адресу https://security.microsoft.com/alerts: Для оповещений с исходным значением обнаружения MDO или значением Названия продуктовMicrosoft Defender для Office 365 выберите запись, щелкнув имя оповещения. На открывающейся странице сведений об оповещении выберите сообщение в разделе Список сообщений .

• Из отчета о состоянии защиты от угроз по адресу https://security.microsoft.com/reports/TPSEmailPhishReportATP:

  • Выберите Просмотреть данные по электронной почте > Фишинг и любой из доступных вариантов разбивки диаграммы . В таблице сведений под диаграммой выберите запись, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом.
  • Выберите Просмотр данных по электронной почте > вредоносных программ и любой из доступных вариантов разбивки диаграммы . В таблице сведений под диаграммой выберите запись, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом.
  • Выберите Просмотр данных по спаму по электронной почте > и любой из доступных вариантов разбивки диаграммы. В таблице сведений под диаграммой выберите запись, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом.

• Со страницы проводника по адресу https://security.microsoft.com/threatexplorerv3 (Обозреватель угроз) или со страницы обнаружения в режиме реального времени по адресу https://security.microsoft.com/realtimereportsv3. Используйте один из следующих способов:

  • В обозревателе угроз убедитесь, что выбрано > представление Все сообщения электронной почты, убедитесь, что выбрана вкладка Электронная почта (представление) в области > сведений, щелкните значение Тема в записи.
  • В обозревателе угроз или обнаружения в режиме реального времени выберите представление >Вредоносные программы убедитесь, что выбрана вкладка Электронная почта (представление) в области > сведений, щелкните значение Тема в записи.
  • В обозревателе угроз или обнаружения в режиме реального времени выберите представление >Фишинг, убедитесь, что выбрана >вкладка Электронная почта (представление) в области сведений, щелкните значение Тема в записи.

• На странице Инциденты по адресу https://security.microsoft.com/incidents: Для инцидентов со значением Названия продуктовMicrosoft Defender для Office 365 выберите инцидент, щелкнув значение Имя инцидента . На открывающейся странице сведений об инциденте выберите вкладку Доказательства и ответы (представление). На вкладке Все доказательства и значении Тип сущностиЭлектронная почта или Электронная почта выберите запись, щелкнув в любом месте строки, кроме флажка.

• На странице Карантин по адресуhttps://security.microsoft.com/quarantine: убедитесь, что выбрана > вкладка Электронная почта, выберите запись, щелкнув в любом месте строки, кроме флажка.

• На странице Отправки по адресу https://security.microsoft.com/reportsubmission:

  • На вкладке >Электронная почта выберите запись, щелкнув в любом месте строки, кроме флажка.
  • На вкладке >Пользователь сообщил, выберите запись, щелкнув в любом месте строки, кроме флажка.

Что находится на странице сущности электронной почты

Область сведений в левой части страницы содержит сворачиваемые разделы с подробными сведениями о сообщении. Эти разделы остаются постоянными, пока вы находитесь на странице. Доступные разделы:

• Раздел "Теги ". Отображает все теги пользователей (включая учетную запись с приоритетом), назначенные отправителям или получателям. Дополнительные сведения о тегах пользователей см . в статье Теги пользователей в Microsoft Defender для Office 365.

• Раздел сведений об обнаружении:

  • Исходные угрозы

  • Исходное расположение доставки:

    • папка "Удаленные"
    • Упал
    • Не удалось выполнить доставку
    • ����� "��������"
    • Папка нежелательной почты
    • Внешняя
    • Карантин
    • Unknown

  • Последние угрозы

  • Расположение последней доставки: расположение сообщения после системных действий в сообщении (например, ZAP) или действий администратора в сообщении (например, Перемещение к удаленным элементам). Действия пользователя с сообщением (например, удаление или архивация сообщения) не отображаются, поэтому это значение не гарантирует текущее расположение сообщения.

    Совет

    Существуют сценарии, в которых исходное расположение/ доставкиПоследнее расположение доставки и (или) действие доставки имеют значение Неизвестно. Например:

    • Сообщение было доставлено (действие доставкидоставлено), но правило папки "Входящие" переместило сообщение в папку по умолчанию, кроме папки "Входящие" или "Нежелательная почта" (например, в папку "Черновик" или "Архив").
    • ZAP пытался переместить сообщение после доставки, но сообщение не было найдено (например, пользователь переместил или удалил сообщение).

  • Технология обнаружения:

    • Расширенный фильтр: фишинговые сигналы на основе машинного обучения.
    • Кампания: сообщения, определенные как часть кампании.
    • Детонация файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
    • Репутация детонации файлов. Вложения файлов, ранее обнаруженные детонациями безопасных вложений в других организациях Microsoft 365.
    • Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
    • Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
    • Общий фильтр: фишинговые сигналы на основе правил аналитика.
    • Бренд олицетворения: олицетворение отправителя известных брендов.
    • Домен олицетворения: олицетворение доменов отправителей, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга.
    • Пользователь олицетворения: олицетворение защищенных отправителей, указанных в политиках защиты от фишинга или полученных с помощью аналитики почтовых ящиков.
    • Олицетворение аналитики почтовых ящиков. Обнаружение олицетворения из аналитики почтовых ящиков в политиках защиты от фишинга.
    • Обнаружение смешанного анализа: несколько фильтров способствовали вердикту сообщения.
    • Spoof DMARC: сообщение не удалось выполнить проверку подлинности DMARC.
    • Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации.
    • Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации.
    • Детонация URL-адреса. Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении во время анализа детонации.
    • Репутация детонации URL-адресов: URL-адреса, ранее обнаруженные детонациями безопасных ссылок в других организациях Microsoft 365.
    • Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.

  • Действие доставки:

    • Доставлено
    • Нежелательное
    • Заблокировано

  • Основное переопределение: источник

    • Значения для первичного переопределения:
      • Разрешено политикой организации
      • Разрешено политикой пользователя
      • Заблокировано политикой организации
      • Заблокировано политикой пользователя
      • Нет
    • Значения для источника первичного переопределения:
      • Сторонний фильтр
      • Перемещение времени, инициированное администратором (ZAP)
      • Блок политики защиты от вредоносных программ по типу файла
      • Параметры политики защиты от нежелательнойam
      • Политика подключения
      • Правило транспорта Exchange
      • Монопольный режим (переопределение пользователя)
      • Фильтрация пропущена из-за локальной организации
      • Фильтр ip-регионов из политики
      • Языковой фильтр из политики
      • Моделирование фишинга
      • Выпуск карантина
      • Почтовый ящик SecOps
      • Список адресов отправителей (переопределение администратора)
      • Список адресов отправителей (переопределение пользователей)
      • Список доменов отправителей (переопределение администратора)
      • Список доменов отправителей (переопределение пользователей)
      • Блок файлов списка разрешенных и заблокированных клиентов
      • Блок адреса отправителя списка разрешенных и заблокированных клиентов
      • Подделаный блок списка разрешений и блокировок клиента
      • Блок URL-адресов списка разрешенных и заблокированных клиентов
      • Список доверенных контактов (переопределение пользователей)
      • Доверенный домен (переопределение пользователя)
      • Доверенный получатель (переопределение пользователя)
      • Только доверенные отправители (переопределение пользователей)

• Раздел сведений о электронной почте:

  • Направленность:
    • Прибывающий
    • Intra-irg
    • Исходящий
  • Получатель (до)^*
  • Отправитель^*
  • Время получения
  • Идентификатор ^*сообщения в Интернете. Доступен в поле Заголовок message-ID в заголовке сообщения. Пример значения: <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (обратите внимание на угловые скобки).
  • Идентификатор ^*сетевого сообщения. Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.
  • Идентификатор кластера
  • Language

  ^*Для копирования значения доступно действие Копировать в буфер обмена.

Вкладки (представления) в верхней части страницы позволяют эффективно исследовать электронную почту. Эти представления описаны в следующих подразделах.

Timeline view

В представлении Временная шкала отображаются события доставки и после доставки, произошедшие с сообщением.

В представлении доступны следующие сведения о событии сообщения. Выберите заголовок столбца для сортировки по столбцу. Чтобы добавить или удалить столбцы, выберите Настроить столбцы. По умолчанию выбираются все доступные столбцы.

• Временная шкала (дата и время события)
• Источник: например : System, **Admin или User.
• Типы событий
• Результат
• Threats
• Сведения

Если с сообщением после доставки ничего не произошло, скорее всего, в представлении временной шкалы будет только одна строка со значением Типы событийИсходная доставка. Например:

• Значением Result является папка "Входящие" - Доставлено.
• Значением Result является папка нежелательной почты — доставлено в нежелательную папку.
• Значение Результата — Карантин — Заблокировано.

Последующие действия пользователей, администраторов или Microsoft 365 добавляют в представление дополнительные строки. Например:

• Значение Типы событий — ZAP , а значение Result — Сообщение, перемещенное в карантин по ZAP.
• Значение Типы событий — Выпуск карантина , а значение Результата — Сообщение успешно освобождено из карантина.

Используйте поле Поиск, чтобы найти сведения на странице. Введите текст в поле и нажмите клавишу ВВОД.

Экспорт используется для экспорта данных в представлении в CSV-файл. Имя файла по умолчанию — Microsoft Defender.csv , а расположением по умолчанию является папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, Microsoft Defender(1).csv).

Представление анализа

Представление Анализ содержит сведения, которые помогают глубоко проанализировать сообщение. В этом представлении доступны следующие сведения:

• Раздел сведений об обнаружении угроз. Сведения об угрозах, обнаруженных в сообщении:

  • Угрозы. Основная угроза обозначается основной угрозой.
  • Уровень достоверности. Значения: Высокий, Средний или Низкий.
  • Защита учетных записей с приоритетом. Значения: "Да" или "Нет". Дополнительные сведения см . в статье Настройка и проверка защиты приоритетных учетных записей в Microsoft Defender для Office 365.

• Раздел Сведений об обнаружении электронной почты. Сведения о функциях защиты или переопределениях, которые повлияли на сообщение:

  • Все переопределения: все параметры организации или пользователя, которые имели возможность изменить предполагаемое расположение доставки сообщения. Например, если сообщение совпадает с правилом потока обработки почты и записью блока в списке разрешенных и заблокированных клиентов, здесь перечислены оба параметра. Значение свойства Primary Override : Source определяет параметр, который фактически повлиял на доставку сообщения.

  • Основное переопределение: источник. Отображает параметр организации или пользователя, изменив предполагаемое расположение доставки сообщения (разрешено, а не заблокировано, или заблокировано вместо разрешенного). Например:

    • Сообщение было заблокировано правилом потока обработки почты.
    • Сообщение было разрешено из-за записи в списке надежных отправителей пользователя.

  • Правила транспорта Exchange (правила потока обработки почты). Если на сообщение повлияли правила потока обработки почты, отображаются имена правил и guid vales. Действия, выполняемые с сообщениями правилами потока обработки почты, происходят до спама и фишинга.

    Для копирования GUID правила доступно действие Копировать в буфер обмена. Дополнительные сведения о правилах для потока обработки почты см. в статье Mail flow rules (transport rules) in Exchange Online.

    Ссылка Перейти в Центр администрирования Exchange открывает страницу Правила в новом Центре администрирования Exchange по адресу https://admin.exchange.microsoft.com/#/transportrules.

  • Соединитель. Если сообщение было доставлено через входящий соединитель, отображается имя соединителя. Дополнительные сведения о соединителях см . в статье Настройка потока обработки почты с помощью соединителей в Exchange Online.

  • Уровень массовой жалобы (BCL): более высокое значение BCL указывает, что сообщение с большей вероятностью будет спамом. Дополнительные сведения см. в разделе Уровень массовой жалобы (BCL) в EOP.

  • Политика. Если здесь указан тип политики (например, Спам), выберите Настроить , чтобы открыть страницу связанной политики (например, на странице Политики защиты от нежелательной почты по адресу https://security.microsoft.com/antispam).

  • Действие политики

  • Идентификатор оповещения. Выберите значение Идентификатор оповещения, чтобы открыть страницу сведений об оповещении (как если бы вы нашли и выбрали оповещение на странице Оповещения по адресу https://security.microsoft.com/alerts). Действие Копировать в буфер обмена также доступно для копирования значения идентификатора оповещения.

  • Тип политики

  • Тип клиента: отображает тип клиента, отправляющего сообщение (например, REST).

  • Размер электронной почты

  • Правила защиты от потери данных

• Раздел Сведения об отправителе и получателе. Сведения об отправителе сообщения и некоторые сведения о получателе:

  • Отображаемое имя отправителя
  • Адрес отправителя^*
  • IP-адрес отправителя
  • Доменное имя отправителя^*
  • Дата создания домена. Недавно созданный домен и другие сигналы сообщения могут идентифицировать сообщение как подозрительное.
  • Владелец домена
  • Отправитель MAIL с адреса^*
  • Имя домена SENDER MAIL FROM^*
  • Return-Path
  • Домен return-Path
  • Location
  • Домен получателя^*
  • Кому: отображает первые 5000 символов любых адресов электронной почты в поле Кому сообщения.
  • Копия: первые 5000 символов любых адресов электронной почты в поле Копия сообщения.
  • Список рассылки. Показывает группу рассылки (список рассылки), если получатель получил сообщение электронной почты в качестве участника списка. Для вложенных групп рассылки отображается группа рассылки верхнего уровня.
  • Пересылка. Указывает, было ли сообщение автоматически пересылаться на внешний адрес электронной почты. Отображаются пользователь переадресации и тип переадресации (правила потока обработки почты, правила папки "Входящие" или перенаправление SMTP).

  ^*Для копирования значения доступно действие Копировать в буфер обмена.

• Раздел проверки подлинности. Сведения о результатах проверки подлинности по электронной почте:

  • Проверка подлинности сообщений на основе домена (DMARC)
    • Pass: DMARC проверяет переданное сообщение.
    • Fail: ошибка проверки DMARC на наличие сообщения.
    • BestGuessPass: запись DMARC TXT для домена не выполняется, но если бы она существовала, проверка DMARC на наличие сообщения прошла бы.
    • Нет. Указывает, что для отправляющего домена в DNS не существует записи DMARC TXT.
  • DomainKeys identified mail (DKIM): следующие значения:
    • Pass: DKIM проверяет переданное сообщение.
    • Fail (reason): не удалось проверить сообщение DKIM. Например, сообщение не было подписано DKIM или подпись DKIM не была проверена.
    • None: сообщение не было подписано DKIM. Этот результат может указывать на то, что домен имеет запись DKIM или что запись DKIM не вычисляет результат. Этот результат указывает только на то, что это сообщение не было подписано.
  • Платформа политики отправителя (SPF): следующие значения:
    • Pass (IP address): проверка SPF обнаружила, что источник сообщения является допустимым для домена.
    • Fail (IP address): проверка SPF обнаружила, что источник сообщения недопустим для домена, а правило принудительного применения в записи SPF — -all (жесткий сбой).
    • SoftFail (reason): проверка SPF обнаружила, что источник сообщения недопустим для домена, а правило принудительного применения в записи SPF — (обратимый ~all сбой).
    • Neutral: проверка SPF обнаружила, что источник сообщения недопустим для домена, а правило принудительного применения в записи SPF — ?all (нейтральное).
    • None: у домена нет записи SPF или запись SPF не вычисляет результат.
    • TempError: при проверке SPF возникла временная ошибка (например, ошибка DNS). В дальнейшем проверка может быть пройдена.
    • PermError: при проверке SPF обнаружена постоянная ошибка. Например, домен имеет неправильно отформатированную запись SPF.
  • Составная проверка подлинности: SPF, DKIM, DMARC и другие сведения определяют, является ли отправитель сообщения (адрес From) подлинным. Дополнительные сведения см. в разделе Составная проверка подлинности.

• Раздел Связанных сущностей. Сведения о вложениях и URL-адресах в сообщении:

  • Сущность. Если выбрать вложения или URL-адреса , вы перейдете в представление "Вложения" или в представление URL-адреса страницы сущности "Электронная почта" для сообщения.
  • Общее число
  • Обнаруженные угрозы. Значения: Да или Нет.

• Область сведений о сообщении:

  • Вкладка "Заголовок электронной почты в виде обычного текста ": содержит весь заголовок сообщения в виде обычного текста. Выберите Копировать заголовок сообщения , чтобы скопировать заголовок сообщения. Выберите Анализатор заголовков сообщений Майкрософт , чтобы открыть анализатор заголовков сообщений по адресу https://mha.azurewebsites.net/pages/mha.html. Вставьте скопированный заголовок сообщения на страницу, а затем выберите Анализ заголовков для получения сведений о заголовках и значениях сообщений.
  • Вкладка Кому . Отображает первые 5000 символов любых адресов электронной почты в поле Кому сообщения.
  • Вкладка Копия: первые 5000 символов любых адресов электронной почты в поле Копия сообщения.

Представление "Вложения"

В представлении Вложения отображаются сведения обо всех вложенных файлах в сообщении и результаты сканирования этих вложений.

В этом представлении доступны следующие сведения о вложении. Выберите заголовок столбца для сортировки по столбцу. Чтобы добавить или удалить столбцы, выберите Настроить столбцы. По умолчанию выбираются все доступные столбцы.

• Имя файла вложения: если щелкнуть значение имени файла.
• Тип файла
• Размер файла
• Расширение файла
• Угроза
• Семейство вредоносных программ
• Вложение SHA256. Для копирования значения SHA256 доступно действие Копировать в буфер обмена.
• Сведения

Используйте поле Поиск, чтобы найти сведения на странице. Введите текст в поле и нажмите клавишу ВВОД.

Экспорт используется для экспорта данных в представлении в CSV-файл. Имя файла по умолчанию — Microsoft Defender.csv , а расположением по умолчанию является папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, Microsoft Defender(1).csv).

Сведения о вложениях

Если выбрать запись в представлении Вложения , щелкнув значение имя файла вложения , откроется всплывающее окно сведений, содержащее следующие сведения:

• Вкладка "Глубокий анализ". Сведения доступны на этой вкладке, если безопасные вложения сканировали (взорвали) вложение. Эти сообщения можно идентифицировать в обозревателе угроз с помощью технологии обнаружения фильтра запросов с детонацией файла.

  • Раздел цепочки детонации. Детонация безопасных вложений одного файла может привести к нескольким детонациям. Цепочка детонации отслеживает путь к детонациям, включая исходный вредоносный файл, который вызвал вердикт, и все другие файлы, затронутые детонацией. Эти вложенные файлы могут не присутствовать непосредственно в сообщении электронной почты. Но, в том числе анализ, важно определить, почему файл был признан вредоносным.

    Если нет сведений о цепочке детонации, отображается значение Без детонации дерева . В противном случае можно выбрать Экспорт , чтобы скачать сведения о цепочке детонации в CSV-файл. Имя файла по умолчанию — Detonation chain.csv , а расположение по умолчанию — папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, цепочка детонации(1).csv). CSV-файл содержит следующие сведения:

    • Вверху: файл верхнего уровня.
    • Level1: файл следующего уровня.
    • Level2: файл следующего уровня.
    • и так далее.

    В цепочке детонации и CSV-файле может отображаться только элемент верхнего уровня, если ни одна из связанных с ней сущностей не оказалась проблемной или не была взорвачена.

  • Раздел сводки . Если сводные сведения о детонации не доступны, отображается значение No detonation summary (Сводка по детонации не отображается). В противном случае доступны следующие сводные сведения о детонации:

    • Время анализа
    • Вердикт: Вердикт по самому вложению.
    • Дополнительные сведения: Размер файла в байтах.
    • Индикаторы компрометации

  • Раздел "Снимки экрана": отображение всех снимков экрана, которые были сняты во время детонации. Снимки экрана для файлов контейнеров, таких как ZIP или RAR, которые содержат другие файлы, не создаются.

    Если снимки экрана детонации недоступны, отображается значение Нет отображаемых снимков экрана . В противном случае щелкните ссылку, чтобы просмотреть снимок экрана.

  • Раздел сведений о поведении. Показывает точные события, произошедшие во время детонации, а также проблемные или неопасные наблюдения, содержащие URL-адреса, IP-адреса, домены и файлы, обнаруженные во время детонации. Может не быть никаких сведений о поведении для файлов контейнеров, таких как ZIP или RAR, которые содержат другие файлы.

    Если сведения о поведении отсутствуют, отображается значение Без детонации . В противном случае можно выбрать Экспорт , чтобы скачать сведения о поведении в CSV-файл. Имя файла по умолчанию — Behavior details.csv , а расположением по умолчанию является папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, сведения о поведении(1).csv). CSV-файл содержит следующие сведения:

    • Time
    • Поведение
    • Свойство Behavior
    • Процесс (PID)
    • Операция
    • Target (Целевое значение)
    • Сведения
    • Результат

• Вкладка Сведения о файле: раздел Сведения о файле содержит следующие сведения:

  • Имя файла
  • SHA256
  • Размер файла (в байтах)

Завершив работу во всплывающем меню сведений о файле, нажмите кнопку Закрыть.

Блокировка вложений из представления "Вложения"

Если выбрать запись в представлении Вложений, установив флажок рядом с именем файла, будет доступно действие Блокировать. Это действие добавляет файл в качестве записи блока в список разрешенных и заблокированных клиентов. При выборе параметра Блокировать запускается мастер выполнения действий :

1. На странице Выбор действий настройте один из следующих параметров в разделе Файл блокировки :

   • Срок действия не истекает : это значение по умолчанию.
   • Никогда не истекает . Установите переключатель в положение "Выкл .", а затем выберите дату в поле Удалить .

   Завершив работу на странице Выбор действий , нажмите кнопку Далее.

2. На странице Выбор целевых сущностей убедитесь, что выбран файл, который нужно заблокировать, и нажмите кнопку Далее.

3. На странице Проверка и отправка настройте следующие параметры:

   • Имя исправления. Введите уникальное имя для отслеживания состояния в центре уведомлений.
   • Описание: введите необязательное описание.

   Завершив работу на странице Проверка и отправка , нажмите кнопку Отправить.

Представление URL-адреса

В представлении URL-адреса отображаются сведения обо всех URL-адресах сообщения и результатах проверки этих URL-адресов.

В этом представлении доступны следующие сведения о вложении. Выберите заголовок столбца для сортировки по столбцу. Чтобы добавить или удалить столбцы, выберите Настроить столбцы. По умолчанию выбираются все доступные столбцы.

• URL-адрес
• Угроза
• Source
• Сведения

Используйте поле Поиск, чтобы найти сведения на странице. Введите текст в поле и нажмите клавишу ВВОД.

Экспорт используется для экспорта данных в представлении в CSV-файл. Имя файла по умолчанию — Microsoft Defender.csv , а расположением по умолчанию является папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, Microsoft Defender(1).csv).

Сведения о URL-адресе

Если выбрать запись в представлении URL-адреса , щелкнув значение URL-адреса , откроется всплывающее окно сведений, содержащее следующие сведения:

• Вкладка "Глубокий анализ". Сведения доступны на этой вкладке, если безопасные ссылки сканировали (взорвали) URL-адрес. Эти сообщения можно идентифицировать в обозревателе угроз с помощью технологии обнаружения фильтра запросов с детонацией URL-адреса значения.

  • Раздел цепочки детонации. Детонация безопасных ссылок одного URL-адреса может привести к нескольким детонациям. Цепочка детонации отслеживает путь детонации, включая исходный вредоносный URL-адрес, вызвавшего вердикт, и все другие URL-адреса, затронутые детонацией. Эти URL-адреса могут не присутствовать непосредственно в сообщении электронной почты. Но, в том числе анализ, важно определить, почему URL-адрес был признан вредоносным.

    Если нет сведений о цепочке детонации, отображается значение Без детонации дерева . В противном случае можно выбрать Экспорт , чтобы скачать сведения о цепочке детонации в CSV-файл. Имя файла по умолчанию — Detonation chain.csv , а расположение по умолчанию — папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, цепочка детонации(1).csv). CSV-файл содержит следующие сведения:

    • Вверху: файл верхнего уровня.
    • Level1: файл следующего уровня.
    • Level2: файл следующего уровня.
    • и так далее.

    В цепочке детонации и CSV-файле может отображаться только элемент верхнего уровня, если ни одна из связанных с ней сущностей не оказалась проблемной или не была взорвачена.

  • Раздел сводки . Если сводные сведения о детонации не доступны, отображается значение No detonation summary (Сводка по детонации не отображается). В противном случае доступны следующие сводные сведения о детонации:

    • Время анализа
    • Вердикт: вердикт по самому URL-адресу.

  • Раздел "Снимки экрана": отображение всех снимков экрана, которые были сняты во время детонации. Снимки экрана не записываются, если URL-адрес открывается по ссылке, которая напрямую загружает файл. Однако скачанный файл отображается в цепочке детонации.

    Если снимки экрана детонации недоступны, отображается значение Нет отображаемых снимков экрана . В противном случае щелкните ссылку, чтобы просмотреть снимок экрана.

  • Раздел сведений о поведении. Показывает точные события, произошедшие во время детонации, а также проблемные или неопасные наблюдения, содержащие URL-адреса, IP-адреса, домены и файлы, обнаруженные во время детонации.

    Если сведения о поведении отсутствуют, отображается значение Без детонации . В противном случае можно выбрать Экспорт , чтобы скачать сведения о поведении в CSV-файл. Имя файла по умолчанию — Behavior details.csv , а расположением по умолчанию является папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, сведения о поведении(1).csv). CSV-файл содержит следующие сведения:

    • Time
    • Поведение
    • Свойство Behavior
    • Процесс (PID)
    • Операция
    • Target (Целевое значение)
    • Сведения
    • Результат

• Вкладка СВЕДЕНИЯ о URL-адресе. Раздел сведения о URL-адресе содержит следующие сведения:

  • URL-адрес
  • Угроза

Завершив работу во всплывающем меню сведений о файле, нажмите кнопку Закрыть.

Блокировка URL-адресов в представлении URL-адресов

Если выбрать запись в представлении URL-адреса, установив флажок рядом с именем файла, будет доступно действие Блокировать. Это действие добавляет URL-адрес в качестве блок-записи в список разрешенных и заблокированных клиентов. При выборе параметра Блокировать запускается мастер выполнения действий :

1. На странице Выбор действий настройте один из следующих параметров в разделе URL-адрес блокировки :

   • Срок действия не истекает : это значение по умолчанию.
   • Никогда не истекает . Установите переключатель в положение "Выкл .", а затем выберите дату в поле Удалить .

   Завершив работу на странице Выбор действий , нажмите кнопку Далее.

2. На странице Выбор целевых сущностей убедитесь, что выбран URL-адрес, который нужно заблокировать, и нажмите кнопку Далее.

3. На странице Проверка и отправка настройте следующие параметры:

   • Имя исправления. Введите уникальное имя для отслеживания состояния в центре уведомлений.
   • Описание: введите необязательное описание.

   Завершив работу на странице Проверка и отправка , нажмите кнопку Отправить.

Представление похожих сообщений электронной почты

В представлении Аналогичные сообщения электронной почты отображаются другие сообщения электронной почты с тем же отпечатком текста сообщения, что и это сообщение. Критерии соответствия в других сообщениях не применяются к этому представлению (например, отпечатки файловых вложений).

В этом представлении доступны следующие сведения о вложении. Выберите заголовок столбца для сортировки по столбцу. Чтобы добавить или удалить столбцы, выберите Настроить столбцы. По умолчанию выбираются все доступные столбцы.

• Date
• Тема
• Получатель
• Sender
• IP-адрес отправителя
• Override
• Действие доставки
• Расположение доставки

Используйте фильтр для фильтрации записей по дате начала и дате окончания.

Используйте поле Поиск, чтобы найти сведения на странице. Введите текст в поле и нажмите клавишу ВВОД.

Экспорт используется для экспорта данных в представлении в CSV-файл. Имя файла по умолчанию — Microsoft Defender.csv , а расположением по умолчанию является папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, Microsoft Defender(1).csv).

Действия на странице сущности электронной почты

В верхней части страницы сущности "Электронная почта" доступны следующие действия:

• Принять меры. Дополнительные сведения см. в разделе Охота на угрозы: мастер принятия действий.
• Предварительная версия электронной почты¹ 2
• Дополнительные варианты:

  • Перейдите к электронной почте в карантине: доступно, только если сообщение было помещено в карантин. При выборе этого действия откроется вкладка Электронная почта на странице Карантин по адресу https://security.microsoft.com/quarantine, отфильтрованная по уникальному значению идентификатора сообщения . Дополнительные сведения см. в разделе Просмотр электронной почты в карантине.

  • Скачать электронную почту¹ ²

    Совет

    Скачать сообщение электронной почты недоступно для сообщений, которые были помещены в карантин. Вместо этого скачайте копию сообщения, защищенную паролем, из карантина.

¹ Для действий предварительного просмотра электронной почты и Скачивания электронной почты требуется роль предварительного просмотра . Эту роль можно назначить в следующих расположениях:

• Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR (если активны разрешения Microsoft Defender & совместной работы>Defender для Office 365. Затрагивает только портал Defender, а не PowerShell: операции безопасности/Необработанные данные (электронная почта & совместной работы)/Электронная почта & содержимое для совместной работы (чтение).
• Электронная почта & разрешения на совместную работу на портале Microsoft Defender: членство в группах ролей "Исследователь данных " или "Диспетчер обнаружения электронных данных ". Кроме того, можно создать новую группу ролей с назначенной ролью предварительной версии и добавить пользователей в настраиваемую группу ролей.

2 Вы можете просматривать или скачивать сообщения электронной почты, доступные в почтовых ящиках Microsoft 365. Примеры, когда сообщения больше не доступны в почтовых ящиках:

• Сообщение было удалено до того, как доставка или доставка завершилась ошибкой.
• Сообщение было удалено.
• Сообщение имеет расположение доставки On-prem/External.
• ZAP переместил сообщение в карантин.

Панель "Сводка по электронной почте"

Панель Сводка по электронной почте — это всплывающее окно сведений об электронной почте, доступное во многих функциях Exchange Online Protection (EOP) и Defender для Office 365. Панель "Сводка по электронной почте" содержит стандартизированные сводные сведения о сообщении электронной почты, взятые из полных сведений, доступных на странице Сущность электронной почты в Defender для Office 365.

Где найти панель Сводка по электронной почте, описано в разделе Где найти сущность электронной почты ранее в этой статье. В оставшейся части этого раздела описываются сведения, доступные на панели Сводка по электронной почте для всех функций.

Совет

Панель Сводка по электронной почте доступна на странице Центра уведомлений на https://security.microsoft.com/action-center/ вкладках Ожидание или Журнал . Выберите действие со значением Тип сущностиПо электронной почте , щелкнув в любом месте строки, кроме флажка или значения Идентификатор исследования . Откроется всплывающее окно сведений на панели "Сводка по электронной почте", но сущность "Открыть электронную почту " недоступна в верхней части всплывающего окна.

В верхней части панели "Сводка по электронной почте" доступны следующие сведения о сообщении:

• Заголовок всплывающего элемента — это значение сообщения Subject.
• Количество вложений и ссылок в сообщении (не во всех функциях).
• Все теги пользователей, назначенные получателям сообщения (включая тег учетной записи Priority). Дополнительные сведения см. в статье Теги пользователей в Microsoft Defender для Office 365.
• Действия, доступные в верхней части всплывающего окна, зависят от того, где вы открыли панель Сводка по электронной почте. Доступные действия описаны в отдельных статьях о функциях.

Совет

Чтобы просмотреть сведения о других сообщениях, не выходя из панели Сводка по электронной почте текущего сообщения, используйте предыдущий элемент и Следующий элемент в верхней части всплывающего окна.

На панели "Сводка по электронной почте" доступны следующие разделы для всех функций (не имеет значения, где вы открыли панель "Сводка по электронной почте"):

• Раздел сведений о доставке:

  • Исходные угрозы
  • Последние угрозы
  • Исходное расположение
  • Последнее расположение доставки
  • Действие доставки
  • Технологии обнаружения
  • Основное переопределение: источник

• Раздел сведений о электронной почте:

  • Отображаемое имя отправителя
  • Адрес отправителя
  • Адрес электронной почты отправителя с адреса
  • Отправлено от имени
  • Путь к возврату
  • IP-адрес отправителя
  • Location
  • Получатели
  • Время получения
  • Направление
  • Идентификатор сетевого сообщения
  • Идентификатор сообщения в Интернете
  • Идентификатор кампании
  • DMARC
  • DKIM
  • SPF
  • Многофакторная аутентификация

• Раздел URL-адресов. Сведения о любых URL-адресах в сообщении:

  • URL-адрес
  • Состояние угрозы

  Если в сообщении более трех URL-адресов, выберите Просмотреть все URL-адреса , чтобы просмотреть их все.

• Раздел вложений. Сведения о любых вложениях файлов в сообщении:

  • Имя вложения
  • Угроза
  • Технология обнаружения и семейство вредоносных программ

  Если сообщение содержит более трех вложений, выберите Просмотреть все вложения , чтобы просмотреть все вложения.