Сведения об обозревателе угроз и обнаружениях в режиме реального времени в Microsoft Defender для Office 365

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Организации Microsoft 365, в которых microsoft Defender для Office 365 включены в подписку или приобретены в качестве надстройки, имеют обозреватель (также известный как обозреватель угроз) или обнаружение в режиме реального времени. Эти функции представляют собой мощные средства отчетности практически в реальном времени, которые помогают командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них.

В зависимости от подписки обозреватель угроз или обнаружение в режиме реального времени доступно в разделе Совместная работа по электронной почте & на портале Microsoft Defender по адресу https://security.microsoft.com:

• Обнаружения в режиме реального времени доступны в Defender для Office 365 (план 1). Страница обнаружения в режиме реального времени доступна непосредственно по адресу https://security.microsoft.com/realtimereportsv3.

  

• Обозреватель угроз доступен в Defender для Office 365 (план 2). Страница проводника доступна непосредственно по адресу https://security.microsoft.com/threatexplorerv3.

  

Обозреватель угроз содержит те же сведения и возможности, что и обнаружение в режиме реального времени, но со следующими дополнительными функциями:

• Дополнительные представления.
• Дополнительные параметры фильтрации свойств, включая параметр для сохранения запросов.
• Дополнительные действия.

Дополнительные сведения о различиях между Defender для Office 365 (план 1) и планом 2 см . в памятку Defender для Office 365 (план 1 и план 2).

В оставшейся части этой статьи описываются представления и функции, доступные в обозревателе угроз и обнаружения в режиме реального времени.

Совет

Сценарии электронной почты с помощью обозревателя угроз и обнаружения в режиме реального времени см. в следующих статьях:

• Поиск угроз в обозревателе угроз и обнаружение в режиме реального времени в Microsoft Defender для Office 365
• Безопасность электронной почты с помощью обозревателя угроз и обнаружения в режиме реального времени в Microsoft Defender для Office 365
• Исследование вредоносных сообщений электронной почты, доставленных в Microsoft 365

Разрешения и лицензирование для обозревателя угроз и обнаружения в режиме реального времени

Чтобы использовать обозреватель или обнаружение в режиме реального времени, необходимо назначить разрешения. Возможны следующие варианты:

• Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR (если активны разрешения Microsoft Defender & совместной работы>Defender для Office 365. Влияет только на портал Defender, а не На PowerShell:
  • Доступ на чтение для заголовков сообщений электронной почты и Сообщений Teams: операции безопасности/Необработанные данные (электронная почта & совместной работы)/Электронная почта & метаданные совместной работы (чтение).
  • Предварительный просмотр и скачивание сообщений электронной почты: операции безопасности/Необработанные данные (электронная почта & совместной работы)/Электронная почта & содержимое для совместной работы (чтение).
  • Исправление вредоносных сообщений электронной почты: операции безопасности,данные безопасности/электронная почта & расширенные действия совместной работы (управление).
• Электронная почта & разрешения на совместную работу на портале Microsoft Defender:
  • Полный доступ. Членство в группах ролей "Управление организацией " или "Администратор безопасности ". Для выполнения всех доступных действий требуются дополнительные разрешения:
    • Предварительный просмотр и скачивание сообщений. Требуется роль предварительного просмотра , которая по умолчанию назначается только группам ролей "Исследователь данных " или "Диспетчер обнаружения электронных данных". Кроме того, можно создать новую группу ролей с назначенной ролью предварительной версии и добавить пользователей в настраиваемую группу ролей.
    • Перемещение сообщений в почтовые ящики и их удаление. Требуется роль поиска и очистки , которая по умолчанию назначается только группам ролей "Исследователь данных " или "Управление организацией ". Кроме того, можно создать новую группу ролей с назначенной ролью "Поиск и очистка " и добавить пользователей в настраиваемую группу ролей.
  • Доступ только для чтения. Членство в группе ролей Читатель безопасности .
• Разрешения Microsoft Entra. Членство в следующих ролях предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365:

  • Полный доступ: членство в ролях глобального администратора^* или администратора безопасности .

  • Найдите правила потока обработки почты Exchange (правила транспорта) по имени в обозревателе угроз: членство в ролях "Администратор безопасности " или "Читатель безопасности ".

  • Доступ только для чтения. Членство в ролях "Глобальный читатель" или "Читатель безопасности ".

    Важно!

    ^* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Совет

Уведомления о спаме конечных пользователей и сообщения, созданные системой, недоступны в обозревателе угроз. Эти типы сообщений доступны при наличии правила потока обработки почты (также известного как правило транспорта) для переопределения.

Записи журнала аудита создаются при предварительном просмотре или скачивании сообщений электронной почты администраторами. Вы можете выполнить поиск действий AdminMailAccess в журнале аудита администратора по пользователю. Инструкции см. в разделе Аудит нового поиска.

Чтобы использовать обозреватель угроз или обнаружение в режиме реального времени, необходимо назначить лицензию на Defender для Office 365 (включенную в подписку или лицензию надстройки).

Обозреватель угроз или обнаружение в режиме реального времени содержит данные для пользователей, которым назначены лицензии Defender для Office 365.

Элементы обозревателя угроз и обнаружения в режиме реального времени

Обозреватель угроз и обнаружение в режиме реального времени содержат следующие элементы:

• Представления: вкладки в верхней части страницы, которые упорядочивают обнаружение по угрозам. Представление влияет на остальные данные и параметры на странице.

  В следующей таблице перечислены доступные представления в обозревателе угроз и обнаружения в режиме реального времени.

  Просмотр	Угрозы Обозреватель	В режиме реального времени Обнаружения	Описание
  Все сообщения электронной почты	✔		Представление по умолчанию для обозревателя угроз. Сведения обо всех сообщениях электронной почты, отправляемых внешними пользователями в вашу организацию, или сообщениях электронной почты, отправляемых между внутренними пользователями в вашей организации.
  Вредоносная программа	✔	✔	Представление по умолчанию для обнаружения в режиме реального времени. Сведения о сообщениях электронной почты, содержащих вредоносные программы.
  Фишинг	✔	✔	Сведения о сообщениях электронной почты, содержащих фишинговые угрозы.
  Кампании	✔		Сведения о вредоносной электронной почте, которую Defender для Office 365 (план 2) идентифицировал как часть скоординированной кампании фишинга или вредоносных программ.
  Вредоносные программы содержимого	✔	✔	Сведения о вредоносных файлах, обнаруженных следующими функциями: Встроенная защита от вирусов в SharePoint, OneDrive и Microsoft Teams Безопасные вложения для SharePoint, OneDrive и Microsoft Teams
  Переходы по URL-адресу	✔		Сведения о щелчках пользователем URL-адресов в сообщениях электронной почты, сообщениях Teams, файлах SharePoint и файлах OneDrive.

  Эти представления подробно описаны в этой статье, включая различия между обозревателем угроз и обнаружением в режиме реального времени.

• Фильтры даты и времени. По умолчанию представление фильтруется по вчерашней и сегодняшней дате. Чтобы изменить фильтр дат, выберите диапазон дат, а затем выберите значения даты начала и окончания до 30 дней назад.

  

• Фильтры свойств (запросы): фильтруйте результаты в представлении по доступным свойствам сообщения, файла или угрозы. Доступные фильтруемые свойства зависят от представления. Некоторые свойства доступны во многих представлениях, в то время как другие свойства ограничены определенным представлением.

  Доступные фильтры свойств для каждого представления перечислены в этой статье, включая различия между обозревателем угроз и обнаружением в режиме реального времени.

  Инструкции по созданию фильтров свойств см. в разделе Фильтры свойств в обозревателе угроз и обнаружения в режиме реального времени.

  Обозреватель угроз позволяет сохранять запросы для последующего использования, как описано в разделе Сохраненные запросы в обозревателе угроз .

• Диаграммы. Каждое представление содержит визуальное статистическое представление отфильтрованных или нефильтрованных данных. Доступные сводки можно использовать для организации диаграммы различными способами.

  Экспорт данных диаграммы часто можно использовать для экспорта отфильтрованных или нефильтрованных данных диаграммы в CSV-файл.

  Диаграммы и доступные сводки подробно описаны в этой статье, включая различия между обозревателем угроз и обнаружением в режиме реального времени.

  Совет

  Чтобы удалить диаграмму со страницы (что увеличивает размер области сведений), используйте один из следующих методов:

  • Выберите Представлениесписка в представлении> диаграммы в верхней части страницы.
  • Выберите Показать представление списка между диаграммой и областью сведений.

• Область сведений. Область сведений для представления обычно отображает таблицу, содержащую отфильтрованные или нефильтрованные данные. Доступные представления (вкладки) можно использовать для организации данных в области сведений различными способами. Например, представление может содержать диаграммы, карты или другие таблицы.

  Если область сведений содержит таблицу, часто можно использовать экспорт для выборочного экспорта до 200 000 отфильтрованных или нефильтрованных результатов в CSV-файл.

  Совет

  Во всплывающем окне Экспорт можно выбрать некоторые или все доступные свойства для экспорта. Выбранные значения сохраняются для каждого пользователя. Выбранные значения в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

Представление "Все сообщения электронной почты" в обозревателе угроз

В представлении Все сообщения электронной почты в обозревателе угроз отображаются сведения обо всех сообщениях электронной почты, отправляемых внешними пользователями в вашу организацию, и сообщениях электронной почты, отправляемых между внутренними пользователями в вашей организации. В представлении отображаются вредоносные и не вредоносные сообщения электронной почты. Например:

• По электронной почте обнаружен фишинг или вредоносная программа.
• Электронная почта, определяемая как спам или массовая рассылка.
• Сообщение электронной почты без угроз.

Это представление используется по умолчанию в обозревателе угроз. Чтобы открыть представление Все сообщения электронной почты на странице Проводника на портале Defender по адресу , перейдите на https://security.microsoft.comвкладку Электронная почта & совместной работы>Обозреватель>Все сообщения электронной почты . Или перейдите непосредственно на страницу проводника с помощью https://security.microsoft.com/threatexplorerv3и убедитесь, что выбрана вкладка Все сообщения электронной почты .

Фильтруемые свойства в представлении "Все сообщения электронной почты" в обозревателе угроз

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в обозревателе угроз и обнаружения в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле действия Доставка в представлении Все сообщения электронной почты , описаны в следующей таблице:

Свойство	Тип
Базовый
Адрес отправителя	СМС. Разделите несколько значений запятыми.
Recipients	СМС. Разделите несколько значений запятыми.
домен отправителя;	СМС. Разделите несколько значений запятыми.
домен получателя;	СМС. Разделите несколько значений запятыми.
Subject	СМС. Разделите несколько значений запятыми.
Отображаемое имя отправителя	СМС. Разделите несколько значений запятыми.
Отправитель почты с адреса	СМС. Разделите несколько значений запятыми.
Отправитель почты из домена	СМС. Разделите несколько значений запятыми.
Путь к возврату	СМС. Разделите несколько значений запятыми.
Домен возвращаемого пути	СМС. Разделите несколько значений запятыми.
Семейство вредоносных программ	СМС. Разделите несколько значений запятыми.
Tags	СМС. Разделите несколько значений запятыми. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Олицетворенный домен	СМС. Разделите несколько значений запятыми.
Олицетворенный пользователь	СМС. Разделите несколько значений запятыми.
Правило транспорта Exchange	СМС. Разделите несколько значений запятыми.
Правило защиты от потери данных	СМС. Разделите несколько значений запятыми.
Контекст	Выберите одно или несколько значений: Evaluation Защита учетных записей с приоритетом
Connector	СМС. Разделите несколько значений запятыми.
Действие доставки	Выберите одно или несколько значений: Заблокировано: сообщения электронной почты, которые были помещены в карантин, не удалось выполнить доставку или были удалены. Доставлено: сообщение электронной почты доставлено в папку "Входящие" или другую папку пользователя, в которую пользователь может получить доступ к сообщению. Доставлено в нежелательную папку: электронная почта, доставленная в папку нежелательной почты пользователя или папку "Удаленные", где пользователь может получить доступ к сообщению. Заменено: вложения сообщений, которые были заменены динамической доставкой в политиках безопасных вложений.
Дополнительное действие	Выберите одно или несколько значений: Автоматическое исправление Динамическая доставка. Дополнительные сведения см. в разделе Динамическая доставка в политиках безопасных вложений. Исправление вручную Нет Выпуск карантина Повторно обработано: сообщение было задним числом идентифицировано как хорошее. ZAP. Дополнительные сведения см. в статье Автоматическая очистка нулевого часа (ZAP) в Microsoft Defender для Office 365.
Направление	Выберите одно или несколько значений: Прибывающий Intra-irg Исходящий
Технология обнаружения	Выберите одно или несколько значений: Расширенный фильтр: сигналы на основе машинного обучения. Защита от вредоносных программ Массовая рассылка Кампания Репутация домена Детонация файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации. Репутация детонации файлов. Вложения файлов, ранее обнаруженные детонациями безопасных вложений в других организациях Microsoft 365. Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365. Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение. Общий фильтр Бренд олицетворения: олицетворение отправителя известных брендов. Домен олицетворения: олицетворение доменов отправителей, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга Олицетворение пользователя Репутация IP-адресов Олицетворение аналитики почтовых ящиков. Обнаружение олицетворения из аналитики почтовых ящиков в политиках защиты от фишинга. Обнаружение смешанного анализа: несколько фильтров способствовали вердикту сообщения. spoof DMARC: сообщение не удалось выполнить проверку подлинности DMARC. Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации. Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации. Репутация детонации URL-адресов: URL-адреса, ранее обнаруженные детонациями безопасных ссылок в других организациях Microsoft 365. Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
Исходное расположение доставки	Выберите одно или несколько значений: папка "Удаленные" Упал Не удалось выполнить Папка "Входящие" Нежелательная почта Локальный/внешний Карантин Unknown
Последнее расположение доставки¹	Те же значения, что и исходное расположение доставки
Уровень достоверности фишинга	Выберите одно или несколько значений: Высокий Normal
Основное переопределение	Выберите одно или несколько значений: Разрешено политикой организации Разрешено политикой пользователя Заблокировано политикой организации Заблокировано политикой пользователя Нет
Источник первичного переопределения	Сообщения могут иметь несколько разрешенных или заблокированных переопределений, определенных в источнике переопределения. Переопределение, которое в конечном итоге разрешило или заблокировало сообщение, идентифицируется в источнике первичного переопределения. Выберите одно или несколько значений: Сторонний фильтр Перемещение времени, инициированное администратором (ZAP) Блок политики защиты от вредоносных программ по типу файла Параметры политики защиты от нежелательнойam Политика подключения Правило транспорта Exchange Монопольный режим (переопределение пользователя) Фильтрация пропущена из-за локальной организации Фильтр ip-регионов из политики Языковой фильтр из политики Моделирование фишинга Выпуск карантина Почтовый ящик SecOps Список адресов отправителей (переопределение администратора) Список адресов отправителей (переопределение пользователей) Список доменов отправителей (переопределение администратора) Список доменов отправителей (переопределение пользователей) Блок файлов списка разрешенных и заблокированных клиентов Блок адреса отправителя списка разрешенных и заблокированных клиентов Подделаный блок списка разрешений и блокировок клиента Блок URL-адресов списка разрешенных и заблокированных клиентов Список доверенных контактов (переопределение пользователей) Доверенный домен (переопределение пользователя) Доверенный получатель (переопределение пользователя) Только доверенные отправители (переопределение пользователей)
Переопределение источника	Те же значения, что и источник первичного переопределения
Тип политики	Выберите одно или несколько значений: Политика защиты от вредоносных программ Политика защиты от фишинга Правило транспорта Exchange (правило потока обработки почты), политика фильтра размещенного содержимого (политика защиты от нежелательной почты), политика фильтра размещенной исходящей нежелательной почты (политика исходящей нежелательной почты), политика безопасных вложений Unknown
Действие политики	Выберите одно или несколько значений: Добавление X-заголовка Сообщение ск Удалить сообщение Изменение темы Перемещение в папку "Нежелательная почта" Никаких действий не было предпринят Сообщение перенаправления Отправка в карантин
Тип угрозы	Выберите одно или несколько значений: Вредоносная программа Фишинг Спам
Пересылаемое сообщение	Выберите одно или несколько значений: True False
Список рассылки	СМС. Разделите несколько значений запятыми.
Размер электронной почты	Целое число. Разделите несколько значений запятыми.
Дополнительные
Идентификатор сообщения Интернета	СМС. Разделите несколько значений запятыми. Доступно в поле Заголовок Message-ID в заголовке сообщения. Пример значения: <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (обратите внимание на угловые скобки).
Идентификатор сетевого сообщения	СМС. Разделите несколько значений запятыми. Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.
IP-адрес отправителя	СМС. Разделите несколько значений запятыми.
Вложение SHA256	СМС. Разделите несколько значений запятыми.
Идентификатор кластера	СМС. Разделите несколько значений запятыми.
Идентификатор оповещения	СМС. Разделите несколько значений запятыми.
Идентификатор политики оповещений	СМС. Разделите несколько значений запятыми.
Идентификатор кампании	СМС. Разделите несколько значений запятыми.
Сигнал URL-адреса ZAP	СМС. Разделите несколько значений запятыми.
Urls
Число URL-адресов	Целое число. Разделите несколько значений запятыми.
Домен URL-адреса 2	СМС. Разделите несколько значений запятыми.
Домен и путь URL-адреса 2	СМС. Разделите несколько значений запятыми.
URL-адрес 2	СМС. Разделите несколько значений запятыми.
URL-путь 2	СМС. Разделите несколько значений запятыми.
Источник URL-адреса	Выберите одно или несколько значений: Вложения Облачное вложение Текст сообщения электронной почты Заголовок электронной почты QR-код Тема Unknown
Щелкните вердикт	Выберите одно или несколько значений: Разрешено: пользователю было разрешено открыть URL-адрес. Блокировка переопределена: пользователю было запрещено открывать URL-адрес напрямую, но он переопределяет этот блок, чтобы открыть URL-адрес. Заблокировано: пользователю было запрещено открывать URL-адрес. Ошибка: пользователю была представлена страница ошибки или произошла ошибка при записи вердикта. Сбой. При записи вердикта произошло неизвестное исключение. Возможно, пользователь открыл URL-адрес. Нет: не удается записать вердикт для URL-адреса. Возможно, пользователь открыл URL-адрес. Ожидающий вердикт. Пользователю была представлена страница ожидания детонации. Ожидающий вердикт обошел стороной: пользователю была представлена страница детонации, но он перечеркнул сообщение, чтобы открыть URL-адрес.
Угроза URL-адресов	Выберите одно или несколько значений: Вредоносная программа Фишинг Спам
Файл
Количество вложений	Целое число. Разделите несколько значений запятыми.
Имя файла вложения	СМС. Разделите несколько значений запятыми.
Тип файла	СМС. Разделите несколько значений запятыми.
Расширение файла	СМС. Разделите несколько значений запятыми.
Размер файла	Целое число. Разделите несколько значений запятыми.
Проверка подлинности
SPF	Выберите одно или несколько значений: Провалить Нейтральный Нет Проходить Постоянная ошибка Soft fail. Временная ошибка
DKIM	Выберите одно или несколько значений: Ошибка Провалить Ignore Нет Проходить Test Timeout Unknown
DMARC	Выберите одно или несколько значений: Лучший проход догадки Провалить Нет Проходить Постоянная ошибка Передача селектора Временная ошибка Unknown
Составной	Выберите одно или несколько значений: Провалить Нет Проходить Обратимый проход

Совет

¹ Последнее расположение доставки не включает действия пользователей с сообщениями. Например, если пользователь удалил сообщение или переместил его в архив или PST-файл.

Существуют сценарии, в которых исходное расположение/ доставкиПоследнее расположение доставки и (или) действие доставки имеют значение Неизвестно. Например:

• Сообщение было доставлено (действие доставкидоставлено), но правило папки "Входящие" переместило сообщение в папку по умолчанию, кроме папки "Входящие" или "Нежелательная почта" (например, в папку "Черновик" или "Архив").
• ZAP пытался переместить сообщение после доставки, но сообщение не было найдено (например, пользователь переместил или удалил сообщение).

2 По умолчанию поиск ПО URL-адресу сопоставляется с http, если явно не указано другое значение. Например:

• Поиск с префиксом и без http:// префикса в url-адресе, домене URL-адреса и url-адресе домен и путь должен показывать одни и те же результаты.
• Найдите https:// префикс в URL-адресе. Если значение не указано, http:// предполагается префикс.
• / в начале и конце URL-пути поля URL-адреса домен, домен URL-адреса и путь игнорируются.
• / в конце поля URL-адреса не учитывается.

Сводные сведения для диаграммы в представлении Все сообщения электронной почты в обозревателе угроз

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Доступные сводки диаграмм описаны в следующих подразделах.

Сводная диаграмма действий доставки в представлении Все сообщения электронной почты в обозревателе угроз

Хотя эта сводка не выглядит выбранной по умолчанию, действие Доставка является сводной диаграммой по умолчанию в представлении Все сообщения электронной почты .

Сводка действия доставки упорядочивает диаграмму по действиям, выполняемым с сообщениями для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого действия доставки.

Сводная диаграмма доменов отправителей в представлении "Все сообщения электронной почты" в обозревателе угроз

Сводка домена отправителя упорядочивает диаграмму по доменам в сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена отправителя.

Сводка IP-диаграммы отправителя в представлении "Все сообщения электронной почты" в обозревателе угроз

Сводка IP-адресов отправителя упорядочивает диаграмму по исходным IP-адресам сообщений для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество IP-адресов каждого отправителя.

Сводка технологической диаграммы обнаружения в представлении "Все сообщения электронной почты" в обозревателе угроз

Сводка технологии обнаружения упорядочивает диаграмму по признаку, который идентифицирует сообщения для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Сводка полной диаграммы URL-адресов в представлении "Все сообщения электронной почты" в обозревателе угроз

Сводка полных URL-адресов упорядочивает диаграмму по полным URL-адресам в сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого полного URL-адреса.

Сводка диаграммы доменов URL-адресов в представлении "Все сообщения электронной почты" в обозревателе угроз

Сводка доменов URL-адресов упорядочивает диаграмму по доменам в URL-адресах в сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена URL-адресов.

Сводка по домену и пути URL-адреса в представлении "Все сообщения электронной почты" в обозревателе угроз

Сводка домена и пути URL-адреса упорядочивает диаграмму по доменам и путям в URL-адресах в сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается счетчик для каждого домена URL-адреса и пути.

Представления области сведений в представлении "Все сообщения электронной почты" в обозревателе угроз

Доступные представления (вкладки) в области сведений представления Все сообщения электронной почты описаны в следующих подразделах.

Представление электронной почты для области сведений в представлении Все сообщения электронной почты в обозревателе угроз

Электронная почта — это представление по умолчанию для области сведений в представлении Все сообщения электронной почты .

В представлении Электронная почта отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Дата^*
• Тема^*
• Получатель^*
• домен получателя;
• Теги^*
• Адрес отправителя^*
• Отображаемое имя отправителя
• Домен отправителя^*
• IP-адрес отправителя
• Отправитель почты с адреса
• Отправитель почты из домена
• Дополнительные действия^*
• Действие доставки
• Последнее расположение доставки^*
• Исходное расположение доставки^*
• Источник переопределений системы
• Системные переопределения
• Идентификатор оповещения
• Идентификатор сообщения в Интернете
• Идентификатор сетевого сообщения
• Язык почты
• Правило транспорта Exchange
• Соединитель
• Context
• Правило защиты от потери данных
• Тип угрозы^*
• Технология обнаружения
• Количество вложений
• Число URL-адресов
• Размер электронной почты

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Удалите столбцы из представления.
• Уменьшение масштаба в веб-браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

При выборе одной или нескольких записей в списке, установив флажок рядом с первым столбцом, будет доступно действие Выполнить. Дополнительные сведения см. в разделе Охота на угрозы: исправление электронной почты.

В значении Тема для записи доступно действие Открыть в новом окне. Это действие открывает сообщение на странице сущности Электронной почты.

При выборе значений Тема или Получатель в записи открываются всплывающие элементы сведений. Эти всплывающие элементы описаны в следующих подразделах.

Сведения об электронной почте из представления "Электронная почта" в области сведений в представлении "Все сообщения электронной почты"

При выборе значения Subject для записи в таблице откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью Сводка по электронной почте и содержит стандартизованную сводную информацию, которая также доступна на странице Сущности электронной почты для сообщения.

Дополнительные сведения о панели "Сводка по электронной почте" см. в разделе Сводная панель "Электронная почта" в Defender.

В верхней части панели "Сводка по электронной почте" доступны следующие действия для обозревателя угроз и обнаружения в режиме реального времени:

• Открытие сущности электронной почты
• Заголовок view
• Принять меры. Дополнительные сведения см. в статье Охота на угрозы: исправление электронной почты.
• Дополнительные варианты:
  • Предварительная версия электронной почты¹ 2
  • Скачать электронную почту¹ 2 ³
  • Просмотр в обозревателе
  • Go hunt⁴

¹ Действия предварительного просмотра электронной почты и Скачивания электронной почты требуют роли предварительной версии в разделе Электронная почта & разрешения на совместную работу. По умолчанию эта роль назначается группам ролей "Исследователь данных " и "Диспетчер обнаружения электронных данных". По умолчанию члены групп ролей "Управление организацией " или "Администраторы безопасности " не могут выполнять эти действия. Чтобы разрешить эти действия для членов этих групп, можно выбрать следующие варианты:

• Добавьте пользователей в группы ролей "Исследователь данных " или "Диспетчер обнаружения электронных данных ".
• Создайте новую группу ролей с назначенной ролью "Поиск и очистка " и добавьте пользователей в настраиваемую группу ролей.

2 Вы можете просматривать или скачивать сообщения электронной почты, доступные в почтовых ящиках Microsoft 365. Примеры, когда сообщения больше не доступны в почтовых ящиках:

• Сообщение было удалено до того, как доставка или доставка завершилась ошибкой.
• Сообщение было обратимо удалено (удалено из папки Удаленные, которая перемещает сообщение в папку "Элементы с возможностью восстановления\Удаления").
• ZAP переместил сообщение в карантин.

³ Скачать сообщение электронной почты недоступно для сообщений, которые были помещены в карантин. Вместо этого скачайте копию сообщения, защищенную паролем, из карантина.

⁴ Go hunt доступен только в обозревателе угроз. Он недоступен в функциях обнаружения в режиме реального времени.

Сведения о получателе из представления "Электронная почта" в области сведений в представлении "Все сообщения электронной почты"

При выборе записи, щелкнув значение Recipient , откроется всплывающее окно сведений со следующими сведениями:

Совет

Чтобы просмотреть сведения о других получателях, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

• Раздел сводки :

  • Роль. Указывает, назначены ли получателю какие-либо роли администратора.
  • Политики:
    • Имеет ли пользователь разрешение на просмотр архивных сведений.
    • Имеет ли пользователь разрешение на просмотр сведений о хранении.
    • Покрывается ли пользователь защитой от потери данных (DLP).
    • Распространяется ли на пользователя управление мобильными устройствами по адресу https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.

• Раздел электронной почты: таблица со следующими связанными сведениями о сообщениях, отправляемых получателю:

  • Date
  • Тема
  • Получатель

  Выберите Просмотреть все сообщения электронной почты , чтобы открыть обозреватель угроз на новой вкладке, отфильтрованной по получателю.

• Раздел последних оповещений: таблица со следующими связанными сведениями о последних оповещениях:

  • Серьезность
  • Политика оповещения
  • Категория
  • Действия

  Если есть более трех последних оповещений, выберите Просмотреть все последние оповещения , чтобы просмотреть все из них.

  • Раздел "Последние действия": отображаются сводные результаты поиска получателя в журнале аудита:

    • Date
    • IP-адрес.
    • Действия
    • Элемент

    Если у получателя более трех записей журнала аудита, выберите Просмотреть все последние действия , чтобы просмотреть все из них.

  Совет

  Члены группы ролей "Администраторы безопасности " в службе "Электронная почта & разрешения на совместную работу " не могут развернуть раздел Последние действия . Вы должны быть членом группы ролей в разрешениях Exchange Online , которым назначены роли журналов аудита, аналитика Information Protection или следователя Information Protection . По умолчанию эти роли назначаются группам ролей "Управление записями", "Управление соответствием", "Защита информации", "Аналитики информационной защиты", "Следователи информационной защиты" и "Управление организацией ". В эти группы ролей можно добавить членов администраторов безопасности или создать новую группу ролей с назначенной ролью Журналы аудита .

Просмотр URL-адресов для области сведений в представлении Все сообщения электронной почты в обозревателе угроз

В представлении url-адреса щелкается диаграмма, которую можно упорядочить с помощью сводных данных. Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводки диаграмм описаны в следующих подразделах.

Совет

В обозревателе угроз для каждой сводной таблицы в представлении переходов URL-адреса есть действие Просмотреть все щелчки, которое открывает представление щелчков URL-адреса на новой вкладке.

Сводка домена URL-адреса для представления щелчков URL-адресов для области сведений в представлении Все сообщения электронной почты в обозревателе угроз

Хотя эта сводная диаграмма не выбрана, домен URL-адреса является сводной диаграммой по умолчанию в представлении щелчков URL-адресов .

В сводке доменов URL-адресов отображаются различные домены в URL-адресах в сообщениях электронной почты для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена URL-адресов.

Щелкните сводку вердикта для представления щелчков URL-адресов для области сведений в представлении Все сообщения электронной почты в обозревателе угроз

В сводной таблице Click вердиктов отображаются различные вердикты для URL-адресов, щелкнув их в сообщениях электронной почты для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого вердикта щелчка.

Сводка URL-адресов для представления щелчков URL-адресов для области сведений в представлении Все сообщения электронной почты в обозревателе угроз

В сводке URL-адресов отображаются различные URL-адреса, которые были щелканы в сообщениях электронной почты для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого URL-адреса.

Домен URL-адреса и сводка пути для представления щелчков URL-адресов для области сведений в представлении "Все сообщения электронной почты" в обозревателе угроз

В сводке доменов и путей URL-адресов отображаются различные домены и пути к файлам URL-адресов, которые были выбраны в сообщениях электронной почты для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена URL-адреса и пути к файлу.

Представление "Основные URL-адреса" в области сведений в представлении "Все сообщения электронной почты" в обозревателе угроз

В представлении Верхние URL-адреса отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

• URL-адрес
• Сообщения заблокированы
• Сообщения, передаваемые нежелательной почтой
• Доставленные сообщения

Основные сведения о URL-адресах для представления "Все сообщения электронной почты"

При выборе записи, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений со следующими сведениями:

Совет

Чтобы просмотреть сведения о других URL-адресах, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

• В верхней части всплывающего окна доступны следующие действия:

  • Страница "Открыть URL-адрес"

  • Отправить на анализ:

    • Отчет очистки
    • Сообщение о фишинге
    • Сообщить о вредоносных программах

  • Управление индикатором:

    • Добавление индикатора
    • Управление в списке блокировок клиента

    Если выбрать любой из этих параметров, вы перейдете на страницу Отправки на портале Defender.

  • Дополнительные сведения:

    • Просмотр в обозревателе
    • Охота
• Исходный URL-адрес
• Раздел обнаружения:
  • Вердикт аналитики угроз
  • X активных оповещений y: горизонтальная линейчатая диаграмма, показывающая количество оповещений "Высокий", "Средний", "Низкий" и "Информация", связанных с этой ссылкой.
  • Ссылка на просмотр всех инцидентов & оповещения на странице URL-адреса.
• Раздел сведений о домене :
  • Доменное имя и ссылка на страницу Просмотр домена.
  • Лицо
  • Зарегистрировано в
  • Обновлено
  • Срок действия истекает
• Раздел контактных данных регистратора:
  • Архивариус
  • Страна или регион
  • Почтовый адрес
  • Электронная почта
  • Phone
  • Дополнительные сведения: Ссылка на Открыть в Whois.
• Раздел Распространенность URL-адресов (за последние 30 дней): содержит количество устройств, электронной почты и щелчков. Выберите каждое значение, чтобы просмотреть полный список.
• Устройства: отображаются затронутые устройства:

  • Дата (первая/последняя)

  • Устройства

    Если задействовано более двух устройств, выберите Просмотреть все устройства , чтобы просмотреть все устройства.

Первые щелчки для области сведений в представлении Все сообщения электронной почты в обозревателе угроз

В представлении Верхний щелчок отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

• URL-адрес
• Заблокировано
• Разрешено
• Переопределение блока
• Ожидается вердикт
• Ожидающий вердикт обошел
• Нет
• Страница ошибки
• Неудача

Совет

Выбраны все доступные столбцы. Если выбрать параметр Настроить столбцы, вы не сможете отменить выбор столбцов.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Уменьшение масштаба в веб-браузере.

При выборе записи, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений. Сведения во всплывающем меню такие же, как описано в разделе Основные СВЕДЕНИЯ о URL-адресах для представления "Все сообщения электронной почты".

Представление "Основные целевые пользователи" для области сведений в представлении "Все сообщения электронной почты" в обозревателе угроз

В представлении "Основные целевые пользователи " данные упорядочиваются в таблицу пяти основных получателей, на которых нацеливались самые угрозы. Таблица содержит следующие сведения:

• Наиболее целевые пользователи: адрес электронной почты получателя. Если выбрать адрес получателя, откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о получателе в представлении Электронная почта области сведений в представлении Все сообщения электронной почты.

• Количество попыток. Если выбрать количество попыток, обозреватель угроз откроется на новой вкладке, отфильтрованной получателем.

Совет

Экспорт используется для экспорта списка до 3000 пользователей и соответствующих попыток.

Представление источника электронной почты для области сведений в представлении Все сообщения электронной почты в обозревателе угроз

В представлении Источник электронной почты отображаются источники сообщений на карте мира.

Представление кампании для области сведений в представлении Все сообщения электронной почты в обозревателе угроз

В представлении Кампания отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца.

Сведения в таблице такие же, как описано в таблице подробных сведений на странице Кампании.

При выборе записи, щелкнув в любом месте строки, кроме флажка рядом с именем, откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о кампании.

Представление вредоносных программ в обозревателе угроз и обнаружение в режиме реального времени

В представлении Вредоносные программы в обозревателе угроз и обнаружения в режиме реального времени отображаются сведения о сообщениях электронной почты, содержащих вредоносные программы. Это представление используется по умолчанию при обнаружении в режиме реального времени.

Чтобы открыть представление Вредоносные программы , выполните одно из следующих действий.

• Обозреватель угроз. На странице проводника на портале Defender перейдите на https://security.microsoft.comвкладку Электронная почта & совместной работы>Обозреватель>вредоносных программ . Или перейдите непосредственно на страницу проводника с помощью https://security.microsoft.com/threatexplorerv3, а затем выберите вкладку Вредоносные программы .
• Обнаружение в режиме реального времени. На странице Обнаружения в режиме реального времени на портале Defender перейдите на https://security.microsoft.comвкладку Электронная почта & совместной работы>Обозреватель>вредоносных программ . Или перейдите непосредственно на страницу Обнаружения в режиме реального времени с помощью https://security.microsoft.com/realtimereportsv3и убедитесь, что выбрана вкладка Вредоносные программы .

Фильтруемые свойства в представлении вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в обозревателе угроз и обнаружения в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле Адрес отправителя в представлении Вредоносные программы , описаны в следующей таблице:

Свойство	Тип	Угрозы Обозреватель	В режиме реального времени Обнаружения
Базовый
Адрес отправителя	СМС. Разделите несколько значений запятыми.	✔	✔
Recipients	СМС. Разделите несколько значений запятыми.	✔	✔
домен отправителя;	СМС. Разделите несколько значений запятыми.	✔	✔
домен получателя;	СМС. Разделите несколько значений запятыми.	✔	✔
Subject	СМС. Разделите несколько значений запятыми.	✔	✔
Отображаемое имя отправителя	СМС. Разделите несколько значений запятыми.	✔	✔
Отправитель почты с адреса	СМС. Разделите несколько значений запятыми.	✔	✔
Отправитель почты из домена	СМС. Разделите несколько значений запятыми.	✔	✔
Путь к возврату	СМС. Разделите несколько значений запятыми.	✔	✔
Домен возвращаемого пути	СМС. Разделите несколько значений запятыми.	✔	✔
Семейство вредоносных программ	СМС. Разделите несколько значений запятыми.	✔	✔
Tags	СМС. Разделите несколько значений запятыми. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.	✔
Правило транспорта Exchange	СМС. Разделите несколько значений запятыми.	✔
Правило защиты от потери данных	СМС. Разделите несколько значений запятыми.	✔
Контекст	Выберите одно или несколько значений: Evaluation Защита учетных записей с приоритетом	✔
Connector	СМС. Разделите несколько значений запятыми.	✔
Действие доставки	Выберите одно или несколько значений: Заблокировано Доставлено Доставлено в нежелательные Заменено: вложения сообщений, которые были заменены динамической доставкой в политиках безопасных вложений.	✔	✔
Дополнительное действие	Выберите одно или несколько значений: Автоматическое исправление Динамическая доставка. Дополнительные сведения см. в разделе Динамическая доставка в политиках безопасных вложений. Исправление вручную Нет Выпуск карантина Повторно обработано ZAP. Дополнительные сведения см. в статье Автоматическая очистка нулевого часа (ZAP) в Microsoft Defender для Office 365.	✔	✔
Направление	Выберите одно или несколько значений: Прибывающий Intra-irg Исходящий	✔	✔
Технология обнаружения	Выберите одно или несколько значений: Расширенный фильтр: сигналы на основе машинного обучения. Защита от вредоносных программ Массовая рассылка Кампания Репутация домена Детонация файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации. Репутация детонации файлов. Вложения файлов, ранее обнаруженные детонациями безопасных вложений в других организациях Microsoft 365. Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365. Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение. Общий фильтр Бренд олицетворения: олицетворение отправителя известных брендов. Домен олицетворения: олицетворение доменов отправителей, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга Олицетворение пользователя Репутация IP-адресов Олицетворение аналитики почтовых ящиков. Обнаружение олицетворения из аналитики почтовых ящиков в политиках защиты от фишинга. Обнаружение смешанного анализа: несколько фильтров способствовали вердикту сообщения. spoof DMARC: сообщение не удалось выполнить проверку подлинности DMARC. Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации. Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации. Детонация URL-адреса. Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении во время анализа детонации. Репутация детонации URL-адресов: URL-адреса, ранее обнаруженные детонациями безопасных ссылок в других организациях Microsoft 365. Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.	✔	✔
Исходное расположение доставки	Выберите одно или несколько значений: папка "Удаленные" Упал Не удалось выполнить Папка "Входящие" Нежелательная почта Локальный/внешний Карантин Unknown	✔	✔
Последнее расположение доставки	Те же значения, что и исходное расположение доставки	✔	✔
Основное переопределение	Выберите одно или несколько значений: Разрешено политикой организации Разрешено политикой пользователя Заблокировано политикой организации Заблокировано политикой пользователя Нет	✔	✔
Источник первичного переопределения	Сообщения могут иметь несколько разрешенных или заблокированных переопределений, определенных в источнике переопределения. Переопределение, которое в конечном итоге разрешило или заблокировало сообщение, идентифицируется в источнике первичного переопределения. Выберите одно или несколько значений: Сторонний фильтр Перемещение времени, инициированное администратором (ZAP) Блок политики защиты от вредоносных программ по типу файла Параметры политики защиты от нежелательнойam Политика подключения Правило транспорта Exchange Монопольный режим (переопределение пользователя) Фильтрация пропущена из-за локальной организации Фильтр ip-регионов из политики Языковой фильтр из политики Моделирование фишинга Выпуск карантина Почтовый ящик SecOps Список адресов отправителей (переопределение администратора) Список адресов отправителей (переопределение пользователей) Список доменов отправителей (переопределение администратора) Список доменов отправителей (переопределение пользователей) Блок файлов списка разрешенных и заблокированных клиентов Блок адреса отправителя списка разрешенных и заблокированных клиентов Подделаный блок списка разрешений и блокировок клиента Блок URL-адресов списка разрешенных и заблокированных клиентов Список доверенных контактов (переопределение пользователей) Доверенный домен (переопределение пользователя) Доверенный получатель (переопределение пользователя) Только доверенные отправители (переопределение пользователей)	✔	✔
Переопределение источника	Те же значения, что и источник первичного переопределения	✔	✔
Тип политики	Выберите одно или несколько значений: Политика защиты от вредоносных программ Политика защиты от фишинга Правило транспорта Exchange (правило потока обработки почты), политика фильтра размещенного содержимого (политика защиты от нежелательной почты), политика фильтра размещенной исходящей нежелательной почты (политика исходящей нежелательной почты), политика безопасных вложений Unknown	✔	✔
Действие политики	Выберите одно или несколько значений: Добавление X-заголовка Сообщение ск Удалить сообщение Изменение темы Перемещение в папку "Нежелательная почта" Никаких действий не было предпринят Сообщение перенаправления Отправка в карантин	✔	✔
Размер электронной почты	Целое число. Разделите несколько значений запятыми.	✔	✔
Дополнительные
Идентификатор сообщения Интернета	СМС. Разделите несколько значений запятыми. Доступно в поле Заголовок Message-ID в заголовке сообщения. Пример значения: <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (обратите внимание на угловые скобки).	✔	✔
Идентификатор сетевого сообщения	СМС. Разделите несколько значений запятыми. Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.	✔	✔
IP-адрес отправителя	СМС. Разделите несколько значений запятыми.	✔	✔
Вложение SHA256	СМС. Разделите несколько значений запятыми.	✔	✔
Идентификатор кластера	СМС. Разделите несколько значений запятыми.	✔	✔
Идентификатор оповещения	СМС. Разделите несколько значений запятыми.	✔	✔
Идентификатор политики оповещений	СМС. Разделите несколько значений запятыми.	✔	✔
Идентификатор кампании	СМС. Разделите несколько значений запятыми.	✔	✔
Сигнал URL-адреса ZAP	СМС. Разделите несколько значений запятыми.	✔	✔
Urls
Число URL-адресов	Целое число. Разделите несколько значений запятыми.	✔	✔
Домен URL-адреса	СМС. Разделите несколько значений запятыми.	✔	✔
Домен и путь URL-адреса	СМС. Разделите несколько значений запятыми.	✔	✔
URL-адрес	СМС. Разделите несколько значений запятыми.	✔	✔
URL-путь	СМС. Разделите несколько значений запятыми.	✔	✔
Источник URL-адреса	Выберите одно или несколько значений: Вложения Облачное вложение Текст сообщения электронной почты Заголовок электронной почты QR-код Тема Unknown	✔	✔
Щелкните вердикт	Выберите одно или несколько значений: Дозволенный Переопределение блока Заблокировано Ошибка Неудача Нет Ожидается вердикт Ожидающий вердикт обошел	✔	✔
Угроза URL-адресов	Выберите одно или несколько значений: Вредоносная программа Фишинг Спам	✔	✔
Файл
Количество вложений	Целое число. Разделите несколько значений запятыми.	✔	✔
Имя файла вложения	СМС. Разделите несколько значений запятыми.	✔	✔
Тип файла	СМС. Разделите несколько значений запятыми.	✔	✔
Расширение файла	СМС. Разделите несколько значений запятыми.	✔	✔
Размер файла	Целое число. Разделите несколько значений запятыми.	✔	✔
Проверка подлинности
SPF	Выберите одно или несколько значений: Провалить Нейтральный Нет Проходить Постоянная ошибка Soft fail. Временная ошибка	✔	✔
DKIM	Выберите одно или несколько значений: Ошибка Провалить Ignore Нет Проходить Test Timeout Unknown	✔	✔
DMARC	Выберите одно или несколько значений: Лучший проход догадки Провалить Нет Проходить Постоянная ошибка Передача селектора Временная ошибка Unknown	✔	✔
Составной	Выберите одно или несколько значений: Провалить Нет Проходить Обратимый проход

Сводные сведения для диаграммы в представлении вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводки диаграмм, доступные в представлении вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени, перечислены в следующей таблице:

Pivot	Угрозы Обозреватель	В режиме реального времени Обнаружения
Семейство вредоносных программ	✔
Домен отправителя	✔
IP-адрес отправителя	✔
Действие доставки	✔	✔
Технология обнаружения	✔	✔

Доступные сводки диаграмм описаны в следующих подразделах.

Сводная диаграмма семейства вредоносных программ в представлении Вредоносные программы в обозревателе угроз

Хотя эта сводка не выбрана по умолчанию, семейство вредоносных программ является сводной диаграммой по умолчанию в представлении Вредоносные программы в обозревателе угроз.

Сводка семейства вредоносных программ упорядочивает диаграмму по семейству вредоносных программ, обнаруженных в сообщениях, для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого семейства вредоносных программ.

Сводная диаграмма домена отправителя в представлении вредоносных программ в обозревателе угроз

Сводка домена отправителя упорядочивает диаграмму по домену отправителя сообщений, которые были найдены для вредоносных программ для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена отправителя.

Сводка ip-диаграммы отправителя в представлении вредоносных программ в обозревателе угроз

Сводка IP-адресов отправителя упорядочивает диаграмму по исходному IP-адресу сообщений, содержащих вредоносные программы для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается число для каждого исходного IP-адреса.

Сводная диаграмма действий доставки в представлении вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени

Хотя эта сводка не выглядит выбранной по умолчанию, действие "Доставка " является сводной диаграммой по умолчанию в представлении Вредоносные программы в режиме обнаружения в режиме реального времени.

Сводка действия доставки упорядочивает диаграмму по тому, что произошло с сообщениями, которые были найдены вредоносными программами для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого действия доставки.

Сводка технологической диаграммы обнаружения в представлении вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени

Сводка технологии обнаружения упорядочивает диаграмму по признаку, который идентифицировал вредоносные программы в сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Представления для области сведений о представлении вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени

Доступные представления (вкладки) в области сведений представления "Вредоносные программы " перечислены в следующей таблице и описаны в следующих подразделах.

Просмотр	Угрозы Обозреватель	В режиме реального времени Обнаружения
Электронная почта	✔	✔
Основные семейства вредоносных программ	✔
Основные целевые пользователи	✔
Источник электронной почты	✔
Кампания	✔

Представление электронной почты для области сведений о представлении вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени

Электронная почта — это представление по умолчанию для области сведений в представлении вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени.

В представлении Электронная почта отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы.

В следующей таблице показаны столбцы, доступные в обозревателе угроз и обнаружения в режиме реального времени. Значения по умолчанию помечаются звездочкой (^*).

Столбец	Угрозы Обозреватель	В режиме реального времени Обнаружения
Дата*	✔	✔
Тема*	✔	✔
Получатель*	✔	✔
домен получателя;	✔	✔
Теги*	✔
Адрес отправителя*	✔	✔
Отображаемое имя отправителя	✔	✔
Домен отправителя*	✔	✔
IP-адрес отправителя	✔	✔
Отправитель почты с адреса	✔	✔
Отправитель почты из домена	✔	✔
Дополнительные действия*	✔	✔
Действие доставки	✔	✔
Последнее расположение доставки*	✔	✔
Исходное расположение доставки*	✔	✔
Источник переопределений системы	✔	✔
Системные переопределения	✔	✔
Идентификатор оповещения	✔	✔
Идентификатор сообщения в Интернете	✔	✔
Идентификатор сетевого сообщения	✔	✔
Язык почты	✔	✔
Правило транспорта Exchange	✔
Соединитель	✔
Context	✔	✔
Правило защиты от потери данных	✔	✔
Тип угрозы*	✔	✔
Технология обнаружения	✔	✔
Количество вложений	✔	✔
Число URL-адресов	✔	✔
Размер электронной почты	✔	✔

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Удалите столбцы из представления.
• Уменьшение масштаба в веб-браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

При выборе одной или нескольких записей в списке, установив флажок рядом с первым столбцом, будет доступно действие Выполнить. Дополнительные сведения см. в разделе Охота на угрозы: исправление электронной почты.

При выборе значений Тема или Получатель в записи открываются всплывающие элементы сведений. Эти всплывающие элементы описаны в следующих подразделах.

Сведения о сообщениях электронной почты из представления "Электронная почта" в области сведений в представлении "Вредоносные программы"

При выборе значения Subject для записи в таблице откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью Сводка по электронной почте и содержит стандартизованную сводную информацию, которая также доступна на странице Сущности электронной почты для сообщения.

Дополнительные сведения о панели "Сводка по электронной почте" см. в разделе Сводные панели электронной почты.

Доступные действия в верхней части панели "Сводка по электронной почте" для обнаружения угроз и обнаружения в режиме реального времени описаны в разделе Сведения о сообщениях электронной почты в представлении Электронная почта области сведений в представлении Все сообщения электронной почты.

Сведения о получателе из представления "Электронная почта" области сведений в представлении "Вредоносные программы"

При выборе записи, щелкнув значение Recipient , откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о получателе в представлении Электронная почта области сведений в представлении Все сообщения электронной почты.

Представление "Основные семейства вредоносных программ" для области сведений в представлении "Вредоносные программы" в обозревателе угроз

В представлении Основные семейства вредоносных программ в области сведений данные упорядочиваются в таблицу основных семейств вредоносных программ. В таблице представлены следующие компоненты:

• Столбец "Основные семейства вредоносных программ": имя семейства вредоносных программ.

  Если выбрать имя семейства вредоносных программ, откроется всплывающее окно сведений, содержащее следующие сведения:

  • Раздел электронной почты: таблица со следующими связанными сведениями для сообщений, содержащих файл вредоносных программ:

    • Date
    • Тема
    • Получатель

    Выберите Просмотреть все сообщения электронной почты , чтобы открыть обозреватель угроз на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

  • Раздел технических сведений

  

• Количество попыток. Если выбрать количество попыток, обозреватель угроз откроется на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

Представление "Основные целевые пользователи" для области сведений в представлении "Вредоносные программы" в обозревателе угроз

В представлении Основные целевые пользователи данные упорядочиваются в таблицу пяти основных получателей, на которых нацелились вредоносные программы. В таблице представлены следующие компоненты:

• Основные целевые пользователи: адрес электронной почты наиболее целевого пользователя. Если выбрать адрес электронной почты, откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Основные целевые пользователи для области сведений в представлении Все сообщения электронной почты в обозревателе угроз.

• Количество попыток. Если выбрать количество попыток, обозреватель угроз откроется на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

Совет

Экспорт используется для экспорта списка до 3000 пользователей и соответствующих попыток.

Представление источника электронной почты для области сведений в представлении "Вредоносные программы" в обозревателе угроз

В представлении Источник электронной почты отображаются источники сообщений на карте мира.

Представление кампании для области сведений в представлении вредоносных программ в обозревателе угроз

В представлении Кампания отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца.

Таблица сведений идентична таблице сведений на странице Кампании.

При выборе записи, щелкнув в любом месте строки, кроме флажка рядом с именем, откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о кампании.

Представление фишинга в обозревателе угроз и обнаружения в режиме реального времени

В представлении Фишинг в обозревателе угроз и обнаружения в режиме реального времени отображаются сведения о сообщениях электронной почты, которые были определены как фишинговые.

Чтобы открыть представление фишинга , выполните одно из следующих действий.

• Обозреватель угроз. На странице Обозревателя на портале Defender по адресу перейдите на https://security.microsoft.comвкладкуФишинг & совместной работы>обозревателя> электронной почты. Или перейдите непосредственно на страницу проводника с помощью https://security.microsoft.com/threatexplorerv3, а затем выберите вкладку Фишинг.
• Обнаружение в режиме реального времени. На странице Обнаружения в режиме реального времени на портале Defender по адресу перейдите на https://security.microsoft.comвкладкуФишинг вобозревателе>электронной почты & совместной работы>. Или перейдите непосредственно на страницу обнаружения в режиме реального времени с помощью https://security.microsoft.com/realtimereportsv3и выберите вкладку Фишинг.

Фильтруемые свойства в представлении фишинга в обозревателе угроз и обнаружения в режиме реального времени

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в обозревателе угроз и обнаружения в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле Адрес отправителя в представлении Вредоносные программы , описаны в следующей таблице:

Свойство	Тип	Угрозы Обозреватель	В режиме реального времени Обнаружения
Базовый
Адрес отправителя	СМС. Разделите несколько значений запятыми.	✔	✔
Recipients	СМС. Разделите несколько значений запятыми.	✔	✔
домен отправителя;	СМС. Разделите несколько значений запятыми.	✔	✔
домен получателя;	СМС. Разделите несколько значений запятыми.	✔	✔
Subject	СМС. Разделите несколько значений запятыми.	✔	✔
Отображаемое имя отправителя	СМС. Разделите несколько значений запятыми.	✔	✔
Отправитель почты с адреса	СМС. Разделите несколько значений запятыми.	✔	✔
Отправитель почты из домена	СМС. Разделите несколько значений запятыми.	✔	✔
Путь к возврату	СМС. Разделите несколько значений запятыми.	✔	✔
Домен возвращаемого пути	СМС. Разделите несколько значений запятыми.	✔	✔
Tags	СМС. Разделите несколько значений запятыми. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.	✔
Олицетворенный домен	СМС. Разделите несколько значений запятыми.	✔	✔
Олицетворенный пользователь	СМС. Разделите несколько значений запятыми.	✔	✔
Правило транспорта Exchange	СМС. Разделите несколько значений запятыми.	✔
Правило защиты от потери данных	СМС. Разделите несколько значений запятыми.	✔
Контекст	Выберите одно или несколько значений: Evaluation Защита учетных записей с приоритетом	✔
Connector	СМС. Разделите несколько значений запятыми.	✔
Действие доставки	Выберите одно или несколько значений: Заблокировано Доставлено Доставлено в нежелательные Заменено: вложения сообщений, которые были заменены динамической доставкой в политиках безопасных вложений.	✔	✔
Дополнительное действие	Выберите одно или несколько значений: Автоматическое исправление Динамическая доставка Исправление вручную Нет Выпуск карантина Повторно обработано ZAP	✔	✔
Направление	Выберите одно или несколько значений: Прибывающий Intra-irg Исходящий	✔	✔
Технология обнаружения	Выберите одно или несколько значений: Расширенный фильтр Защита от вредоносных программ Массовая рассылка Кампания Репутация домена Отключение файла Репутация отключения файла Репутация файла Сопоставление отпечатков Общий фильтр Олицетворение фирменной символики Олицетворение домена Олицетворение пользователя Репутация IP-адресов Олицетворение на основе аналитики почтовых ящиков Обнаружение с помощью смешанного анализа spoof DMARC Спуфинг внешнего домена Спуфинг внутри организации Отключение URL-адресов Репутация отключения URL-адресов Репутация вредоносного URL-адреса	✔	✔
Исходное расположение доставки	Выберите одно или несколько значений: папка "Удаленные" Упал Не удалось выполнить Папка "Входящие" Нежелательная почта Локальный/внешний Карантин Unknown	✔	✔
Последнее расположение доставки	Те же значения, что и исходное расположение доставки	✔	✔
Уровень достоверности фишинга	Выберите одно или несколько значений: Высокий Normal	✔
Основное переопределение	Выберите одно или несколько значений: Разрешено политикой организации Разрешено политикой пользователя Заблокировано политикой организации Заблокировано политикой пользователя Нет	✔	✔
Источник первичного переопределения	Сообщения могут иметь несколько разрешенных или заблокированных переопределений, определенных в источнике переопределения. Переопределение, которое в конечном итоге разрешило или заблокировало сообщение, идентифицируется в источнике первичного переопределения. Выберите одно или несколько значений: Сторонний фильтр Перемещение времени, инициированное администратором (ZAP) Блок политики защиты от вредоносных программ по типу файла Параметры политики защиты от нежелательнойam Политика подключения Правило транспорта Exchange Монопольный режим (переопределение пользователя) Фильтрация пропущена из-за локальной организации Фильтр ip-регионов из политики Языковой фильтр из политики Моделирование фишинга Выпуск карантина Почтовый ящик SecOps Список адресов отправителей (переопределение администратора) Список адресов отправителей (переопределение пользователей) Список доменов отправителей (переопределение администратора) Список доменов отправителей (переопределение пользователей) Блок файлов списка разрешенных и заблокированных клиентов Блок адреса отправителя списка разрешенных и заблокированных клиентов Подделаный блок списка разрешений и блокировок клиента Блок URL-адресов списка разрешенных и заблокированных клиентов Список доверенных контактов (переопределение пользователей) Доверенный домен (переопределение пользователя) Доверенный получатель (переопределение пользователя) Только доверенные отправители (переопределение пользователей)	✔	✔
Переопределение источника	Те же значения, что и источник первичного переопределения	✔	✔
Тип политики	Выберите одно или несколько значений: Политика защиты от вредоносных программ Политика защиты от фишинга Правило транспорта Exchange (правило потока обработки почты), политика фильтра размещенного содержимого (политика защиты от нежелательной почты), политика фильтра размещенной исходящей нежелательной почты (политика исходящей нежелательной почты), политика безопасных вложений Unknown	✔	✔
Действие политики	Выберите одно или несколько значений: Добавление X-заголовка Сообщение ск Удалить сообщение Изменение темы Перемещение в папку "Нежелательная почта" Никаких действий не было предпринят Сообщение перенаправления Отправка в карантин	✔	✔
Размер электронной почты	Целое число. Разделите несколько значений запятыми.	✔	✔
Дополнительные
Идентификатор сообщения Интернета	СМС. Разделите несколько значений запятыми. Доступно в поле Заголовок Message-ID в заголовке сообщения. Пример значения: <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (обратите внимание на угловые скобки).	✔	✔
Идентификатор сетевого сообщения	СМС. Разделите несколько значений запятыми. Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.	✔	✔
IP-адрес отправителя	СМС. Разделите несколько значений запятыми.	✔	✔
Вложение SHA256	СМС. Разделите несколько значений запятыми.	✔	✔
Идентификатор кластера	СМС. Разделите несколько значений запятыми.	✔	✔
Идентификатор оповещения	СМС. Разделите несколько значений запятыми.	✔	✔
Идентификатор политики оповещений	СМС. Разделите несколько значений запятыми.	✔	✔
Идентификатор кампании	СМС. Разделите несколько значений запятыми.	✔	✔
Сигнал URL-адреса ZAP	СМС. Разделите несколько значений запятыми.	✔
Urls
Число URL-адресов	Целое число. Разделите несколько значений запятыми.	✔	✔
Домен URL-адреса	СМС. Разделите несколько значений запятыми.	✔	✔
Домен и путь URL-адреса	СМС. Разделите несколько значений запятыми.	✔
URL-адрес	СМС. Разделите несколько значений запятыми.	✔
URL-путь	СМС. Разделите несколько значений запятыми.	✔
Источник URL-адреса	Выберите одно или несколько значений: Вложения Облачное вложение Текст сообщения электронной почты Заголовок электронной почты QR-код Тема Unknown	✔	✔
Щелкните вердикт	Выберите одно или несколько значений: Дозволенный Переопределение блока Заблокировано Ошибка Неудача Нет Ожидается вердикт Ожидающий вердикт обошел	✔	✔
Угроза URL-адресов	Выберите одно или несколько значений: Вредоносная программа Фишинг Спам	✔	✔
Файл
Количество вложений	Целое число. Разделите несколько значений запятыми.	✔	✔
Имя файла вложения	СМС. Разделите несколько значений запятыми.	✔	✔
Тип файла	СМС. Разделите несколько значений запятыми.	✔	✔
Расширение файла	СМС. Разделите несколько значений запятыми.	✔	✔
Размер файла	Целое число. Разделите несколько значений запятыми.	✔	✔
Проверка подлинности
SPF	Выберите одно или несколько значений: Провалить Нейтральный Нет Проходить Постоянная ошибка Soft fail. Временная ошибка	✔	✔
DKIM	Выберите одно или несколько значений: Ошибка Провалить Ignore Нет Проходить Test Timeout Unknown	✔	✔
DMARC	Выберите одно или несколько значений: Лучший проход догадки Провалить Нет Проходить Постоянная ошибка Передача селектора Временная ошибка Unknown	✔	✔
Составной	Выберите одно или несколько значений: Провалить Нет Проходить Обратимый проход

Сводные сведения для диаграммы в представлении фишинга в обозревателе угроз и обнаружения в режиме реального времени

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводки диаграмм, доступные в представлении фишинга в обозревателе угроз и обнаружения в режиме реального времени, перечислены в следующей таблице:

Pivot	Угрозы Обозреватель	В режиме реального времени Обнаружения
Домен отправителя	✔	✔
IP-адрес отправителя	✔
Действие доставки	✔	✔
Технология обнаружения	✔	✔
Полный URL-адрес	✔
Домен URL-адреса	✔	✔
Домен и путь URL-адреса	✔

Доступные сводки диаграмм описаны в следующих подразделах.

Сводка доменной диаграммы отправителя в представлении фишинга в обозревателе угроз и обнаружения в режиме реального времени

Хотя эта сводка не выбрана по умолчанию, домен отправителя является сводной диаграммой по умолчанию в представлении фишинга в обнаружении в режиме реального времени.

Сводка домена отправителя упорядочивает диаграмму по доменам в сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена отправителя.

Сводка IP-диаграммы отправителя в представлении фишинга в обозревателе угроз

Сводка IP-адресов отправителя упорядочивает диаграмму по исходным IP-адресам сообщений для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается число для каждого исходного IP-адреса.

Сводная диаграмма действий доставки в представлении фишинга в обозревателе угроз и обнаружения в режиме реального времени

Хотя эта сводка не выглядит выбранной по умолчанию, действие доставки является сводной диаграммой по умолчанию в представлении фишинга в обозревателе угроз.

Сводка действия доставки упорядочивает диаграмму по действиям, выполняемым с сообщениями для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого действия доставки.

Сводка технологической диаграммы обнаружения в представлении фишинга в обозревателе угроз и обнаружения в режиме реального времени

Сводка технологии обнаружения упорядочивает диаграмму по признаку, который идентифицирует фишинговые сообщения для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Полная сводка диаграммы URL-адресов в представлении фишинга в обозревателе угроз

Сводка полных URL-адресов упорядочивает диаграмму по полным URL-адресам в фишинговых сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого полного URL-адреса.

Сводка диаграммы доменов URL-адресов в представлении фишинга в обозревателе угроз и обнаружения в режиме реального времени

Сводка доменов URL-адресов упорядочивает диаграмму по доменам в URL-адресах в фишинговых сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена URL-адресов.

Сводка по домену URL-адреса и диаграмме пути в представлении фишинга в обозревателе угроз

Сводная таблица домена URL-адреса и пути упорядочивает диаграмму по доменам и путям в URL-адресах в фишинговых сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается счетчик для каждого домена URL-адреса и пути.

Представления для области сведений в представлении фишинга в обозревателе угроз

Доступные представления (вкладки) в области сведений представления Фишинг перечислены в следующей таблице и описаны в следующих подразделах.

Просмотр	Угрозы Обозреватель	В режиме реального времени Обнаружения
Электронная почта	✔	✔
Переходы по URL-адресу	✔	✔
Основные URL-адреса	✔	✔
Первые щелчки	✔	✔
Основные целевые пользователи	✔
Источник электронной почты	✔
Кампания	✔

Представление электронной почты для области сведений о представлении фишинга в обозревателе угроз и обнаружения в режиме реального времени

Электронная почта — это представление по умолчанию для области сведений в представлении фишинга в обозревателе угроз и обнаружения в режиме реального времени.

В представлении Электронная почта отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы.

В следующей таблице показаны столбцы, доступные в обозревателе угроз и обнаружения в режиме реального времени. Значения по умолчанию помечаются звездочкой (^*).

Столбец	Угрозы Обозреватель	В режиме реального времени Обнаружения
Дата*	✔	✔
Тема*	✔	✔
Получатель*	✔	✔
домен получателя;	✔	✔
Теги*	✔
Адрес отправителя*	✔	✔
Отображаемое имя отправителя	✔	✔
Домен отправителя*	✔	✔
IP-адрес отправителя	✔	✔
Отправитель почты с адреса	✔	✔
Отправитель почты из домена	✔	✔
Дополнительные действия*	✔	✔
Действие доставки	✔	✔
Последнее расположение доставки*	✔	✔
Исходное расположение доставки*	✔	✔
Источник переопределений системы	✔	✔
Системные переопределения	✔	✔
Идентификатор оповещения	✔	✔
Идентификатор сообщения в Интернете	✔	✔
Идентификатор сетевого сообщения	✔	✔
Язык почты	✔	✔
Правило транспорта Exchange	✔
Соединитель	✔
Уровень достоверности фишинга	✔
Context	✔
Правило защиты от потери данных	✔
Тип угрозы*	✔	✔
Технология обнаружения	✔	✔
Количество вложений	✔	✔
Число URL-адресов	✔	✔
Размер электронной почты	✔	✔

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Удалите столбцы из представления.
• Уменьшение масштаба в веб-браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

При выборе одной или нескольких записей в списке, установив флажок рядом с первым столбцом, будет доступно действие Выполнить. Дополнительные сведения см. в разделе Охота на угрозы: исправление электронной почты.

При выборе значений Тема или Получатель в записи открываются всплывающие элементы сведений. Эти всплывающие элементы описаны в следующих подразделах.

Сведения об электронной почте из представления "Электронная почта" области сведений в представлении "Фишинг"

При выборе значения Subject для записи в таблице откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью Сводка по электронной почте и содержит стандартизованную сводную информацию, которая также доступна на странице Сущности электронной почты для сообщения.

Дополнительные сведения о панели "Сводка по электронной почте" см. в разделе Сводная панель "Электронная почта" в функциях Defender для Office 365.

Доступные действия в верхней части панели "Сводка по электронной почте" для обнаружения угроз и обнаружения в режиме реального времени описаны в разделе Сведения о сообщениях электронной почты в представлении Электронная почта области сведений в представлении Все сообщения электронной почты.

Сведения о получателе из представления "Электронная почта" в области сведений в представлении "Фишинг"

При выборе записи, щелкнув значение Recipient , откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о получателе в представлении Электронная почта области сведений в представлении Все сообщения электронной почты.

Просмотр URL-адресов для области сведений в представлении фишинга в обозревателе угроз и обнаружения в режиме реального времени

В представлении url-адреса щелкается диаграмма, которую можно упорядочить с помощью сводных данных. Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводки диаграмм, доступные в представлении вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени, описаны в следующей таблице:

Pivot	Угрозы Обозреватель	В режиме реального времени Обнаружения
Домен URL-адреса	✔	✔
Щелкните вердикт	✔	✔
URL-адрес	✔
Домен и путь URL-адреса	✔

Одни и те же сводки диаграмм доступны и описаны в представлении Все сообщения электронной почты в обозревателе угроз:

• Сводка домена URL-адреса для представления щелчков URL-адресов для области сведений в представлении Все сообщения электронной почты в обозревателе угроз
• Щелкните сводку вердикта для представления щелчков URL-адресов для области сведений в представлении Все сообщения электронной почты в обозревателе угроз
• Сводка URL-адресов для представления щелчков URL-адресов для области сведений в представлении Все сообщения электронной почты в обозревателе угроз
• Домен URL-адреса и сводка пути для представления щелчков URL-адресов для области сведений в представлении "Все сообщения электронной почты" в обозревателе угроз

Совет

В обозревателе угроз каждая сводная таблица в представлении щелчков URL-адресов имеет действие Просмотреть все щелчки, которое открывает представление щелчков URL-адреса в обозревателе угроз на новой вкладке. Это действие недоступно при обнаружении в режиме реального времени, так как представление щелчков URL-адреса недоступно при обнаружении в режиме реального времени.

Представление "Основные URL-адреса" для области сведений о представлении фишинга в обозревателе угроз и обнаружения в режиме реального времени

В представлении Верхние URL-адреса отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

• URL-адрес
• Сообщения заблокированы
• Сообщения, передаваемые нежелательной почтой
• Доставленные сообщения

Основные сведения о URL-адресах для представления фишинга

При выборе записи, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений. Сведения во всплывающем меню такие же, как описано в разделе Основные СВЕДЕНИЯ о URL-адресах для представления "Все сообщения электронной почты".

Совет

Действие Go hunt доступно только в обозревателе угроз. Он недоступен в функциях обнаружения в режиме реального времени.

Первые щелчки для области сведений в представлении фишинга в обозревателе угроз и обнаружения в режиме реального времени

В представлении Верхний щелчок отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

• URL-адрес
• Заблокировано
• Разрешено
• Переопределение блока
• Ожидается вердикт
• Ожидающий вердикт обошел
• Нет
• Страница ошибки
• Неудача

Совет

Выбраны все доступные столбцы. Если выбрать параметр Настроить столбцы, вы не сможете отменить выбор столбцов.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Уменьшение масштаба в веб-браузере.

При выборе записи, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений. Сведения во всплывающем меню такие же, как описано в разделе Основные СВЕДЕНИЯ о URL-адресах для представления "Все сообщения электронной почты".

Представление наиболее целевых пользователей для области сведений в представлении фишинга в обозревателе угроз

В представлении "Основные целевые пользователи " данные упорядочиваются в таблицу пяти основных получателей, на которых были направлены попытки фишинга. В таблице представлены следующие компоненты:

• Основные целевые пользователи: адрес электронной почты наиболее целевого пользователя. Если выбрать адрес электронной почты, откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Основные целевые пользователи для области сведений в представлении Все сообщения электронной почты в обозревателе угроз.

• Количество попыток. Если выбрать количество попыток, обозреватель угроз откроется на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

Совет

Экспорт используется для экспорта списка до 3000 пользователей и соответствующих попыток.

Представление источника электронной почты для области сведений о представлении фишинга в обозревателе угроз

В представлении Источник электронной почты отображаются источники сообщений на карте мира.

Представление кампании для области сведений в представлении фишинга в обозревателе угроз

В представлении Кампания отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца.

Сведения в таблице такие же, как описано в таблице подробных сведений на странице Кампании.

При выборе записи, щелкнув в любом месте строки, кроме флажка рядом с именем, откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о кампании.

Представление "Кампании" в обозревателе угроз

В представлении Кампании в обозревателе угроз отображаются сведения об угрозах, которые были определены как скоординированные фишинговые и вредоносные атаки, относящиеся к вашей организации или другим организациям в Microsoft 365.

Чтобы открыть представление Кампании на странице Обозревателя на портале Defender по адресу , перейдите на https://security.microsoft.comвкладку Электронная почта & обозревателькампаний для совместной работы>>. Или перейдите непосредственно на страницу проводника с помощью https://security.microsoft.com/threatexplorerv3и перейдите на вкладку Кампании.

Все доступные сведения и действия идентичны информации и действиям на странице Кампании по адресу https://security.microsoft.com/campaignsv3. Дополнительные сведения см. на странице Кампании на портале Microsoft Defender.

Представление вредоносных программ содержимого в обозревателе угроз и обнаружения в режиме реального времени

В представлении Содержимое вредоносных программ в обозревателе угроз и в режиме реального времени отображаются сведения о файлах, которые были определены как вредоносные программы:

• Встроенная защита от вирусов в SharePoint, OneDrive и Microsoft Teams
• Безопасные вложения для SharePoint, OneDrive и Microsoft Teams.

Чтобы открыть представление Содержимое вредоносных программ , выполните одно из следующих действий.

• Обозреватель угроз. На странице проводника на портале Defender по адресу перейдите на https://security.microsoft.comвкладку Электронная почта & совместной работы>Обозреватель>содержимого вредоносных программ . Или перейдите непосредственно на страницу проводника с помощью https://security.microsoft.com/threatexplorerv3, а затем выберите вкладку Содержимое вредоносных программ .
• Обнаружение в режиме реального времени. На странице Обнаружения в режиме реального времени на портале Defender перейдите на https://security.microsoft.comвкладку Электронная почта &обозреватель> совместной работы >Вредоносные программы. Или перейдите непосредственно на страницу обнаружения в режиме реального времени с помощью https://security.microsoft.com/realtimereportsv3и выберите вкладку Содержимое вредоносных программ.

Фильтруемые свойства в представлении содержимого вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в обозревателе угроз и обнаружения в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле Имя файла в представлении Содержимое вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени, описаны в следующей таблице:

Свойство	Тип	Угрозы Обозреватель	В режиме реального времени Обнаружения
Файл
Имя файла	СМС. Разделите несколько значений запятыми.	✔	✔
Workload	Выберите одно или несколько значений: OneDrive SharePoint Teams	✔	✔
Site	СМС. Разделите несколько значений запятыми.	✔	✔
Владелец файла	СМС. Разделите несколько значений запятыми.	✔	✔
Автор последнего изменения	СМС. Разделите несколько значений запятыми.	✔	✔
SHA256	Целое число. Разделите несколько значений запятыми. Чтобы найти хэш-значение SHA256 файла в Windows, выполните в командной строке следующую команду: certutil.exe -hashfile "<Path>\<Filename>" SHA256.	✔	✔
Семейство вредоносных программ	СМС. Разделите несколько значений запятыми.	✔	✔
Технология обнаружения	Выберите одно или несколько значений: Расширенный фильтр Защита от вредоносных программ Массовая рассылка Кампания Репутация домена Отключение файла Репутация отключения файла Репутация файла Сопоставление отпечатков Общий фильтр Олицетворение фирменной символики Олицетворение домена Олицетворение пользователя Репутация IP-адресов Олицетворение на основе аналитики почтовых ящиков Обнаружение с помощью смешанного анализа spoof DMARC Спуфинг внешнего домена Спуфинг внутри организации Отключение URL-адресов Репутация отключения URL-адресов Репутация вредоносного URL-адреса	✔	✔
Тип угрозы	Выберите одно или несколько значений: Блокировка Вредоносная программа Фишинг Спам	✔	✔

Сводные сведения для диаграммы в представлении Содержимое вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводки диаграмм, доступные в представлении Содержимое вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени, перечислены в следующей таблице:

Pivot	Угрозы Обозреватель	В режиме реального времени Обнаружения
Семейство вредоносных программ	✔	✔
Технология обнаружения	✔	✔
Workload	✔	✔

Доступные сводки диаграмм описаны в следующих подразделах.

Сводная диаграмма семейства вредоносных программ в представлении Содержимое вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени

Хотя эта сводка не выбрана по умолчанию, семейство вредоносных программ является сводной диаграммой по умолчанию в представлении Содержимое вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени.

Сводка семейства вредоносных программ упорядочивает диаграмму по вредоносным программам, обнаруженным в файлах в SharePoint, OneDrive и Microsoft Teams, используя указанный диапазон даты и времени и фильтры свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого семейства вредоносных программ.

Сводка технологической диаграммы обнаружения в представлении содержимого вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени

Сводка технологии обнаружения упорядочивает диаграмму по признаку, который идентифицирует вредоносные программы в файлах в SharePoint, OneDrive и Microsoft Teams для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Сводка диаграммы рабочей нагрузки в представлении вредоносных программ содержимого в обозревателе угроз и обнаружения в режиме реального времени

Сводка рабочей нагрузки упорядочивает диаграмму по месту обнаружения вредоносной программы (SharePoint, OneDrive или Microsoft Teams) для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой рабочей нагрузки.

Представления для области сведений в представлении содержимого вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени

В обозревателе угроз и обнаружениях в режиме реального времени область сведений в представлении Содержимое вредоносных программ содержит только одно представление (вкладка) с именем Документы. Это представление описано в следующем подразделе.

Представление документа для области сведений о вредоносных программах содержимого в обозревателе угроз и обнаружения в режиме реального времени

Документ является представлением по умолчанию и только для области сведений в представлении Содержимое вредоносных программ .

В представлении "Документ" отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Дата^*
• Имя^*
• Загруженность^*
• Угроза^*
• Технология обнаружения^*
• Последнее изменение пользователя^*
• Владелец файла^*
• Размер (байт)^*
• Время последнего изменения
• Путь к сайту
• Путь к файлу
• Идентификатор документа
• SHA256
• Дата обнаружения
• Семейство вредоносных программ
• Context

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Удалите столбцы из представления.
• Уменьшение масштаба в веб-браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

При выборе значения имени файла в столбце Имя откроется всплывающее окно сведений. Всплывающее окно содержит следующие сведения:

• Раздел сводки :

  • Filename
  • Путь к сайту
  • Путь к файлу
  • Идентификатор документа
  • SHA256
  • Дата последнего изменения
  • Автор последнего изменения
  • Угроза
  • Технология обнаружения

• Раздел сведений :

  • Дата обнаружения
  • Обнаружено
  • Имя вредоносной программы
  • Автор последнего изменения
  • Размер файла
  • Владелец файла

• Раздел списка электронной почты: таблица со следующими связанными сведениями для сообщений, содержащих файл вредоносных программ:

  • Date
  • Тема
  • Получатель

  Выберите Просмотреть все сообщения электронной почты , чтобы открыть обозреватель угроз на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

• Последние действия: отображаются сводные результаты поиска получателя в журнале аудита :

  • Date
  • IP-адрес.
  • Действия
  • Элемент

  Если у получателя более трех записей журнала аудита, выберите Просмотреть все последние действия , чтобы просмотреть все из них.

  Совет

  Члены группы ролей "Администраторы безопасности " в службе "Электронная почта & разрешения на совместную работу " не могут развернуть раздел Последние действия . Вы должны быть членом группы ролей в разрешениях Exchange Online , которым назначены роли журналов аудита, аналитика Information Protection или следователя Information Protection . По умолчанию эти роли назначаются группам ролей "Управление записями", "Управление соответствием", "Защита информации", "Аналитики информационной защиты", "Следователи информационной защиты" и "Управление организацией ". В эти группы ролей можно добавить членов администраторов безопасности или создать новую группу ролей с назначенной ролью Журналы аудита .

Представление щелчков URL-адресов в обозревателе угроз

В представлении URL-адресов в обозревателе угроз отображается, как все пользователи щелкают URL-адреса в электронной почте, в поддерживаемых файлах Office в SharePoint и OneDrive, а также в Microsoft Teams.

Чтобы открыть представление щелкающих URL-адресов на странице проводника на портале Defender по адресу , перейдите на https://security.microsoft.comвкладку Электронная почта &url-адресобозревателя> для совместной работы>. Или перейдите непосредственно на страницу проводника с помощью https://security.microsoft.com/threatexplorerv3, а затем выберите вкладку URL-адреса щелчков.

Фильтруемые свойства в представлении переходов URL-адреса в обозревателе угроз

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в обозревателе угроз и обнаружения в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле Получатели в представлении переходов URL-адреса в обозревателе угроз, описаны в следующей таблице.

Свойство	Тип
Базовый
Recipients	СМС. Разделите несколько значений запятыми.
Tags	СМС. Разделите несколько значений запятыми. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Идентификатор сетевого сообщения	СМС. Разделите несколько значений запятыми. Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.
URL-адрес	СМС. Разделите несколько значений запятыми.
Действие щелчка	Выберите одно или несколько значений: Дозволенный Страница блокировки Переопределение страницы блокировки Страница ошибки Неудача Нет Страница ожидания детонации Переопределение страницы ожидания детонации
Тип угрозы	Выберите одно или несколько значений: Allow Блокировка Вредоносная программа Фишинг Спам
Технология обнаружения	Выберите одно или несколько значений: Отключение URL-адресов Репутация отключения URL-адресов Репутация вредоносного URL-адреса
Щелкните Идентификатор	СМС. Разделите несколько значений запятыми.
IP-адрес клиента	СМС. Разделите несколько значений запятыми.

Сводные сведения для диаграммы в представлении переходов URL-адреса в обозревателе угроз

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Доступные сводки диаграмм описаны в следующих подразделах.

Сводка диаграммы доменов URL-адресов в представлении щелчков URL-адресов в обозревателе угроз

Хотя эта сводка не выглядит выбранной по умолчанию, домен URL-адреса является сводной диаграммой по умолчанию в представлении щелчков URL-адресов .

Сводка доменов URL-адресов упорядочивает диаграмму по доменам в URL-адресах, которые пользователи щелкнули в электронной почте, файлах Office или Microsoft Teams для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена URL-адресов.

Сводка диаграммы рабочей нагрузки в представлении щелчков URL-адресов в обозревателе угроз

Сводная рабочая нагрузка упорядочивает диаграмму по расположению выбранного URL-адреса (электронная почта, файлы Office или Microsoft Teams) для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой рабочей нагрузки.

Сводка технологической диаграммы обнаружения в представлении щелчков URL-адресов в обозревателе угроз

Сводка технологии обнаружения упорядочивает диаграмму по компоненту, который определяет url-адреса щелчков в электронной почте, файлах Office или Microsoft Teams для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Сводка диаграммы типов угроз в представлении переходов URL-адреса в обозревателе угроз

Сводная таблица типа угрозы упорядочивает диаграмму по результатам поиска URL-адресов в электронной почте, файлах Office или Microsoft Teams для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии типа угроз.

Представления для области сведений в представлении щелчков URL-адресов в обозревателе угроз

Доступные представления (вкладки) в области сведений представления щелчков URL-адресов описаны в следующих подразделах.

Представление результатов для области сведений в представлении щелчков URL-адресов в обозревателе угроз

Результаты — это представление по умолчанию для области сведений в представлении щелчков URL-адреса .

В представлении Результаты отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбраны все столбцы:

• Время нажатия
• Получатель
• Действие щелчка URL-адреса
• URL-адрес
• Tags
• Идентификатор сетевого сообщения
• Щелкните Идентификатор
• IP-адрес клиента
• Цепочка URL-адресов
• Тип угрозы
• Технология обнаружения

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Удалите столбцы из представления.
• Уменьшение масштаба в веб-браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

Установите флажок рядом с первым столбцом в строке, а затем выберите Просмотреть все сообщения электронной почты , чтобы открыть обозреватель угроз в представлении Все сообщения электронной почты на новой вкладке, отфильтрованной по значениям идентификаторов сетевых сообщений выбранных сообщений.

Представление верхних щелчков для области сведений в представлении щелчков URL-адресов в обозревателе угроз

В представлении Верхний щелчок отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

• URL-адрес
• Заблокировано
• Разрешено
• Переопределение блока
• Ожидается вердикт
• Ожидающий вердикт обошел
• Нет
• Страница ошибки
• Неудача

Совет

Выбраны все доступные столбцы. Если выбрать параметр Настроить столбцы, вы не сможете отменить выбор столбцов.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Уменьшение масштаба в веб-браузере.

Установите флажок рядом с первым столбцом в строке, а затем выберите Просмотреть все щелчки , чтобы открыть обозреватель угроз на новой вкладке в представлении щелчков URL-адресов .

При выборе записи, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений. Сведения во всплывающем меню такие же, как описано в разделе Основные СВЕДЕНИЯ о URL-адресах для представления "Все сообщения электронной почты".

Представление наиболее целевых пользователей для области сведений в представлении щелчков URL-адресов в обозревателе угроз

В представлении Топ целевых пользователей данные упорядочиваются в таблицу пяти основных получателей, щелкнувших URL-адреса. В таблице представлены следующие компоненты:

• Основные целевые пользователи: адрес электронной почты наиболее целевого пользователя. Если выбрать адрес электронной почты, откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Основные целевые пользователи для области сведений в представлении Все сообщения электронной почты в обозревателе угроз.

• Количество попыток. Если выбрать количество попыток, обозреватель угроз откроется на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

Совет

Экспорт используется для экспорта списка до 3000 пользователей и соответствующих попыток.

Фильтры свойств в обозревателе угроз и обнаружения в режиме реального времени

Базовый синтаксис фильтра свойств или запроса:

Условие = <Значение свойства фильтра><оператор><фильтра Значение свойства или значения свойства>

В нескольких условиях используется следующий синтаксис:

<Условие1><И | OR><Condition2><AND | ИЛИ><Условие 3>... <AND | OR><ConditionN>

Совет

Поиск с подстановочными знаками (*** или ?) не поддерживается в текстовых или целых значениях. Свойство Subject использует частичное сопоставление текста и выдает результаты, аналогичные поиску с подстановочными знаками.

Действия по созданию условий фильтра свойств или запроса одинаковы во всех представлениях обозревателя угроз и обнаружения в режиме реального времени:

1. Определите свойство фильтра с помощью таблиц в разделах описания представления предварительного просмотра ранее в этой статье.

2. Выберите доступный оператор фильтра. Доступные операторы фильтра зависят от типа свойства, как описано в следующей таблице:

   Оператор filter	Тип свойства
   Равный любой из	Текст Integer Дискретные значения
   Значение равно ни одному из	Текст Дискретные значения
   Больше	Integer
   Менее	Integer

3. Введите или выберите одно или несколько значений свойств. Для текстовых значений и целых чисел можно ввести несколько значений, разделенных запятыми.

   Несколько значений в значении свойства используют логический оператор OR. Например, адрес> отправителяРавен любому из означает>bob@fabrikam.com,cindy@fabrikam.com, что адрес> отправителяравен любому из>bob@fabrikam.com или cindy@fabrikam.com.

   После ввода или выбора одного или нескольких значений свойства под полями создания фильтра отображается условие завершенного фильтра.

   Совет

   Для свойств, для которых требуется выбрать одно или несколько доступных значений, использование свойства в условии фильтра со всеми выбранными значениями приводит к тому же результату, что и не использование свойства в условии фильтра.

4. Чтобы добавить еще одно условие, повторите предыдущие три шага.

   Условия под полями создания фильтра разделяются логическим оператором, выбранным во время создания второго или последующих условий. Значение по умолчанию — AND, но также можно выбрать ИЛИ.

   Один и тот же логический оператор используется для всех условий: все они И или ВСЕ ИЛИ. Чтобы изменить существующие логические операторы, выберите поле логический оператор, а затем выберите И или ИЛИ.

   Чтобы изменить существующее условие, дважды щелкните его, чтобы вернуть выбранное свойство, оператор фильтра и значения в соответствующие поля.

   Чтобы удалить существующее условие, выберите условие.

5. Чтобы применить фильтр к диаграмме и таблице сведений, выберите Обновить.

   

Сохраненные запросы в обозревателе угроз

Совет

Запрос на сохранение является частью средств отслеживания угроз и недоступен при обнаружении в режиме реального времени. Сохраненные запросы и средства отслеживания угроз доступны только в Defender для Office 365 плана 2.

Запрос на сохранение недоступен в представлении Содержимое вредоносных программ.

Большинство представлений в обозревателе угроз позволяют сохранять фильтры (запросы) для последующего использования. Сохраненные запросы доступны на странице Средства отслеживания угроз на портале Defender по адресу https://security.microsoft.com/threattrackerv2. Дополнительные сведения о средствах отслеживания угроз см. в статье Средства отслеживания угроз в Microsoft Defender для Office 365, план 2.

Чтобы сохранить запросы в обозревателе угроз, сделайте следующее:

1. После создания фильтра или запроса, как описано ранее, выберите Сохранить запрос>Сохранить запрос Сохранить запрос.

2. Во всплывающем окне Сохранить запрос настройте следующие параметры:

   • Имя запроса. Введите уникальное имя запроса.
   • Выберите один из приведенных ниже вариантов.
     • Точные даты. Выберите дату начала и дату окончания в полях. Самая старая дата начала, которую вы можете выбрать, составляет 30 дней до сегодняшнего дня. Самая новая дата окончания, которую можно выбрать, — сегодня.
     • Относительные даты. Выберите количество дней в разделе Показать последние дни при выполнении поиска. Значение по умолчанию — 7, но можно выбрать от 1 до 30.
   • Запрос отслеживания. По умолчанию этот параметр не выбран. Этот параметр влияет на то, выполняется ли запрос автоматически:
     • Отслеживание запроса не выбрано. Запрос доступен для выполнения вручную в обозревателе угроз. Запрос сохраняется на вкладке Сохраненные запросы на странице Средства отслеживания угроз со значением свойства Отслеживаемый запросNo.
     • Выбранный запрос отслеживания . Запрос периодически выполняется в фоновом режиме. Запрос доступен на вкладке Сохраненные запросы на странице Средства отслеживания угроз со значением свойства Отслеживаемый запросДа. Периодические результаты запроса отображаются на вкладке Отслеживаемые запросы на странице Средства отслеживания угроз .

   По завершении во всплывающем окне Сохранить запрос нажмите кнопку Сохранить, а затем нажмите кнопку ОК в диалоговом окне подтверждения.

На вкладках Сохраненный запрос или Отслеживаемый запрос на странице Средства отслеживания угроз на портале Defender по адресу https://security.microsoft.com/threattrackerv2можно выбрать Обзор в столбце Действия , чтобы открыть и использовать запрос в обозревателе угроз.

Когда вы откроете запрос, выбрав Обзор на странице Средство отслеживания угроз, теперь в разделе Сохранить запрос на странице Обозревателя доступны параметры сохранить запрос как и Сохраненные запросы:

• Если выбрать Сохранить запрос как, откроется всплывающее окно Сохранить запрос со всеми ранее выбранными параметрами. Если вы внесете изменения, нажмите кнопку Сохранить, а затем нажмите кнопку ОК в диалоговом окне Успешно , обновленный запрос будет сохранен как новый запрос на странице средства отслеживания угроз (для его просмотра может потребоваться выбрать Обновить ).

• Если выбрать Сохраненные параметры запроса, откроется всплывающее окно Сохраненные параметры запроса , где можно обновить дату и отслеживать параметры запроса существующего запроса.

Дополнительная информация

• Обозреватель угроз собирает сведения об электронной почте на странице сущности электронной почты
• Поиск и изучение доставленной нежелательной почты
• Просмотр вредоносных файлов, обнаруженных в SharePoint Online, OneDrive и Microsoft Teams
• отчет о состоянии защиты от угроз;
• Автоматизированный анализ угроз и реакция на угрозы в службе защиты от угроз (Майкрософт)