Поиск угроз в Обозреватель угроз и обнаружение в режиме реального времени в Microsoft Defender для Office 365

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Организации Microsoft 365, которые Microsoft Defender для Office 365 включены в свою подписку или приобрели в качестве надстройки, имеют Обозреватель (также известный как Обозреватель угроз) или обнаружение в режиме реального времени. Эти функции представляют собой мощные средства практически в режиме реального времени, помогающие командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них. Дополнительные сведения см. в статье Об обнаружении угроз Обозреватель и обнаружении в режиме реального времени в Microsoft Defender для Office 365.

Обнаружение угроз Обозреватель или обнаружение в режиме реального времени позволяет выполнять следующие действия:

• Видеть вредоносные программы, обнаруженные функциями безопасности Microsoft 365.
• Просмотрите URL-адрес фишинга и щелкните данные вердикта.
• Запустите автоматизированный процесс исследования и реагирования (только Обозреватель угроз).
• Исследуйте вредоносные сообщения электронной почты.
• Другие возможности.

Просмотрите это короткое видео, чтобы узнать, как охотиться и исследовать угрозы электронной почты и совместной работы с помощью Defender для Office 365.

Совет

Расширенная охота в Microsoft Defender XDR поддерживает простой в использовании построитель запросов, который не использует язык запросов Kusto (KQL). Дополнительные сведения см. в статье Создание запросов в интерактивном режиме.

В этой статье приведены следующие сведения:

• Общее пошаговое руководство по Обозреватель угроз и обнаружению в режиме реального времени
• Опыт поиска угроз с помощью Обозреватель угроз и обнаружения в режиме реального времени
• Расширенные возможности в Обозреватель угроз

Совет

Сценарии электронной почты с использованием Обозреватель угроз и обнаружения в режиме реального времени см. в следующих статьях:

• Email безопасности с помощью Обозреватель угроз и обнаружения в режиме реального времени в Microsoft Defender для Office 365
• Исследование вредоносных сообщений электронной почты, доставленных в Microsoft 365

Если вы ищете атаки, основанные на вредоносных URL-адресах, внедренных в QR-коды, url Source фильтрQR-код в представлениях Все сообщения электронной почты, вредоносные программы и фишинга в Обозреватель угроз или в режиме реального времени позволяет искать сообщения электронной почты с URL-адресами, извлеченными из QR-кодов.

Что нужно знать перед началом работы

• Обозреватель угроз включен в план 2 Defender для Office 365. Обнаружения в режиме реального времени включены в Defender для Office плана 1:

  • Различия между обнаружением угроз Обозреватель и обнаружением в режиме реального времени описаны в разделе Сведения об обнаружении угроз Обозреватель и обнаружение в режиме реального времени в Microsoft Defender для Office 365.
  • Различия между Defender для Office 365 планом 2 и Defender для Office 1 описаны в памятке Defender для Office 365 план 1 и план 2.

• Разрешения и требования к лицензированию для Обозреватель угроз и обнаружения в режиме реального времени см. в разделе Разрешения и лицензирование для Обозреватель угроз и обнаружения в режиме реального времени.

Пошаговое руководство по обнаружению угроз Обозреватель и в режиме реального времени

Обнаружение Обозреватель угроз или обнаружение в режиме реального времени доступно в разделе совместной работы Email & на портале Microsoft Defender по адресу https://security.microsoft.com:

• Обнаружение в режиме реального времени доступно в Defender для Office 365 плане 1. Страница обнаружения в режиме реального времени доступна непосредственно по адресу https://security.microsoft.com/realtimereportsv3.

  

• Обозреватель угроз доступен в Defender для Office 365 план 2. Страница Обозреватель доступна непосредственно по адресу https://security.microsoft.com/threatexplorerv3.

  

Обозреватель угроз содержит те же сведения и возможности, что и обнаружение в режиме реального времени, но со следующими дополнительными функциями:

• Дополнительные представления.
• Дополнительные параметры фильтрации свойств, включая параметр для сохранения запросов.
• Действия по поиску и исправлению угроз.

Дополнительные сведения о различиях между Defender для Office 365 планом 1 и планом 2 см. в памятку Defender для Office 365 план 1 и план 2.

Используйте вкладки (представления) в верхней части страницы, чтобы начать исследование.

Доступные представления в Обозреватель угроз и обнаружения в режиме реального времени описаны в следующей таблице:

Просмотр	Угрозы Обозреватель	В режиме реального времени Обнаружения	Описание
Все сообщения электронной почты	✔		Представление по умолчанию для Обозреватель угроз. Сведения обо всех сообщениях электронной почты, отправляемых внешними пользователями в вашу организацию, или сообщениях электронной почты, отправляемых между внутренними пользователями в вашей организации.
Вредоносная программа	✔	✔	Представление по умолчанию для обнаружения в режиме реального времени. Сведения о сообщениях электронной почты, содержащих вредоносные программы.
Фишинг	✔	✔	Сведения о сообщениях электронной почты, содержащих фишинговые угрозы.
Кампании	✔		Сведения о вредоносных сообщениях электронной почты, которые Defender для Office 365 плане 2, выявленные в рамках скоординированной кампании фишинга или вредоносных программ.
Вредоносные программы содержимого	✔	✔	Сведения о вредоносных файлах, обнаруженных следующими функциями: Встроенная защита от вирусов в SharePoint, OneDrive и Microsoft Teams Безопасные вложения для SharePoint, OneDrive и Microsoft Teams
Переходы по URL-адресу	✔		Сведения о щелчках пользователем URL-адресов в сообщениях электронной почты, сообщениях Teams, файлах SharePoint и файлах OneDrive.

Используйте фильтр даты и времени и доступные свойства фильтра в представлении, чтобы уточнить результаты:

• Инструкции по созданию фильтров см. в разделе Фильтры свойств в статье Обозреватель угроз и обнаружение в режиме реального времени.
• Доступные свойства фильтра для каждого представления описаны в следующих расположениях:
  • Фильтруемые свойства в представлении Все сообщения электронной почты в Обозреватель угроз
  • Фильтруемые свойства в представлении вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени
  • Фильтруемые свойства в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени
  • Фильтруемые свойства в представлении Кампании в Обозреватель угроз
  • Фильтруемые свойства в представлении содержимого вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени
  • Фильтруемые свойства в представлении щелчков URL-адреса в Обозреватель угроз

Совет

Не забудьте выбрать Обновить после создания или обновления фильтра. Фильтры влияют на сведения на диаграмме и область сведений в представлении.

Вы можете подумать о уточнении фокуса в Обозреватель угроз или обнаружения в режиме реального времени в качестве слоев, чтобы упростить отмену действий:

• Первый слой — это используемое представление.
• Второй — фильтры, которые вы используете в этом представлении.

Например, вы можете отозвать шаги, предпринятые для поиска угрозы, зафиксируя свои решения, например: Чтобы найти проблему в Обозреватель угроз, я использовал представление вредоносных программ и фокус фильтра получателей.

Кроме того, обязательно протестируйте параметры отображения. Разные аудитории (например, управление) могут лучше или хуже реагировать на различные представления одних и того же данных.

Например, в Обозреватель представлении "Все сообщения электронной почты" Email представления "Источник" и "Кампании" (вкладки) доступны в области сведений в нижней части страницы:

• Для некоторых аудиторий карта мира на вкладке Email источник может лучше показать, насколько широко распространены обнаруженные угрозы.

  

• Другие могут найти подробные сведения в таблице на вкладке Кампании более полезными для передачи информации.

  

Эти сведения можно использовать для получения следующих результатов:

• Чтобы показать необходимость обеспечения безопасности и защиты.
• Для последующей демонстрации эффективности любых действий.

исследование Email

В представлениях Все сообщения электронной почты, Вредоносные программы или Фишинг в Обозреватель угроз или обнаружения в режиме реального времени результаты сообщений электронной почты отображаются в таблице на вкладке Email (представление) области сведений под диаграммой.

При появлении подозрительного сообщения электронной почты щелкните значение Тема записи в таблице. Откроется всплывающее окно сведений, содержащее сущность Open email в верхней части всплывающего окна.

Страница сущности Email объединяет все, что вам нужно знать о сообщении и его содержимом, чтобы вы могли определить, является ли сообщение угрозой. Дополнительные сведения см. в статье Общие сведения о Email странице сущностей.

исправление Email

После того как вы определите, что сообщение электронной почты является угрозой, следующим шагом будет устранение угрозы. Вы устраняете угрозу в Обозреватель угроз или обнаружения в режиме реального времени с помощью действия .

Действие доступно в представлении Все сообщения электронной почты, вредоносные программы или фишинга в Обозреватель угроз или обнаружение в режиме реального времени на вкладке Email (представление) области сведений под диаграммой.

• Выберите одну или несколько записей в таблице, выбрав поле проверка рядом с первым столбцом. Действие "Выполнить " доступно непосредственно на вкладке .

  

  Совет

  Действие "Выполнить" заменяет раскрывающийся список Действия сообщения .

  Если выбрать не более 100 записей, можно выполнить несколько действий с сообщениями в мастере выполнения действий .

  Если выбрать от 101 до 200 000 записей, в мастере выполнения действий доступны только следующие действия:

  • Угрозы Обозреватель: доступны переход к почтовому ящику и предложение по исправлению, но они являются взаимоисключающими (вы можете выбрать один или другой).
  • Обнаружение в режиме реального времени. Доступны только отправка в Корпорацию Майкрософт для проверки и создание соответствующих записей разрешений и блокировок в списке разрешенных и заблокированных клиентов.

• Щелкните значение Subject записи в таблице. Откроется всплывающий элемент Сведений, содержащий Действие в верхней части всплывающего элемента.

  

Мастер выполнения действий

При выборе действия открывается мастер выполнения действий во всплывающем элементе. Доступные действия в мастере принятия действий в Defender для Office 365 план 2 и Defender для Office 365 план 1 перечислены в следующей таблице:

Действие	Defender для Office 365 план 2	Defender для Office 365 план 1
Перемещение в папку почтового ящика	✔¹
Освобождение сообщений, помещенных в карантин, для некоторых или всех исходных получателей 2	✔
Отправить в Корпорацию Майкрософт для проверки	✔	✔
Разрешить или заблокировать записи в списке разрешенных и заблокированных клиентов	✔	✔
Запуск автоматического исследования	✔
Предложение исправления	✔

¹ Для этого действия требуется роль поиска и очистки в Email & разрешения на совместную работу. По умолчанию эта роль назначается только группам ролей "Исследователь данных " и "Управление организацией ". Вы можете добавить пользователей в эти группы ролей или создать новую группу ролей с назначенной ролью Поиск и очистка , а также добавить пользователей в настраиваемую группу ролей.

2 Этот параметр доступен для сообщений в карантине при выборе папки "Входящие" в качестве места перемещения.

³ Это действие доступно в разделе Отправить в Корпорацию Майкрософт для проверки.

Мастер принятия действий описан в следующем списке:

1. На странице Выбор действий ответа доступны следующие параметры:

   • Показать все действия ответа. Этот параметр доступен только в Обозреватель угроз.

     По умолчанию некоторые действия недоступны или неактивны в зависимости от значения последнего расположения доставки сообщения. Чтобы отобразить все доступные действия ответа, переместите переключатель в положение Вкл.

   • Переместить в папку почтового ящика. Выберите одно из отображаемых доступных значений:

     • Нежелательная почта. Переместите сообщение в папку "Нежелательная Email".

     • Папка "Входящие". Переместите сообщение в папку "Входящие". При выборе этого значения также могут отображаться следующие параметры:

       • Вернуться в папку Отправленные. Если сообщение было отправлено внутренним отправителем, а сообщение было обратимо удалено (перемещено в папку "Элементы с возможностью восстановления\Удаления"), при выборе этого параметра сообщение пытается переместить его обратно в папку Отправленные. Этот параметр отменяется, если ранее вы выбрали Переместить в папку> почтового ящикаОбратимо удаленные элементы, а также выбрали Удалить копию отправителя в сообщении.

       • Для сообщений со значением Карантин для свойства Последнее расположение доставки при выборе папки "Входящие" сообщение освобождается из карантина, поэтому также доступны следующие параметры:

         • Освободить одного или нескольких исходных получателей сообщения электронной почты. Если выбрать это значение, появится поле, в котором можно выбрать или отменить выбор исходных получателей сообщения, помещенного в карантин.
         • Выпуск для всех получателей

     • Удаленные элементы. Переместите сообщение в папку Удаленные.

     • Обратимо удаленные элементы. Переместите сообщение в папку "Элементы с возможностью восстановления\Удаления", что эквивалентно удалению сообщения из папки "Удаленные". Сообщение может быть восстановлено пользователем и администраторами.

       Удалить копию отправителя. Если сообщение было отправлено внутренним отправителем, также попробуйте обратимо удалить сообщение из папки Отправленные.

     • Жестко удаленные элементы: очистка удаленного сообщения. Администраторы могут восстанавливать жестко удаленные элементы с помощью восстановления с одним элементом. Дополнительные сведения о жестко удаленных и обратимо удаленных элементах см. в разделе Обратимо удаленные и жестко удаленные элементы.

   • Отправить в Майкрософт для проверки. Выберите одно из отображаемых доступных значений:

     • Я подтвердил, что оно чисто: выберите это значение, если вы уверены, что сообщение чисто. Отобразятся следующие параметры:

       • Разрешить такие сообщения: если вы выберете это значение, в список разрешенных и заблокированных клиентов добавляются записи разрешения для отправителя и все связанные URL-адреса или вложения в сообщении. Также отображаются следующие параметры:
         • Удалить запись после. Значение по умолчанию — 1 день, но можно также выбрать 7 дней, 30 дней или конкретную дату , которая меньше 30 дней.
         • Разрешить ввод. Введите необязательное примечание, содержащее дополнительные сведения.

     • Оно отображается как чистое или подозрительное. Выберите одно из этих значений, если вы не уверены и хотите получить вердикт от корпорации Майкрософт.

     • Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :

       • Фишинг
       • Вредоносная программа
       • Спам

       После выбора одного из этих значений откроется всплывающее окно Выбор сущностей для блокировки , в котором можно выбрать одну или несколько сущностей, связанных с сообщением (адрес отправителя, домен отправителя, URL-адреса или вложения файлов), чтобы добавить в список разрешенных и заблокированных клиентов в качестве блок-записей.

       Выбрав блокированные элементы, выберите Добавить правило блокировки , чтобы закрыть всплывающее окно Выбрать сущности для блокировки . Или не выберите элементы, а затем нажмите кнопку Отмена.

       Вернитесь на страницу Выбор действий ответа и выберите параметр окончания срока действия для записей блока:

       • Срок действия: выберите дату окончания срока действия записей блокировки.
       • Срок действия не истекает

       Отображается количество заблокированных сущностей (например, 4/4 сущностей, которые нужно заблокировать). Выберите Изменить , чтобы снова открыть правило Добавить в блок и внести изменения.

   • Запуск автоматического исследования: только Обозреватель угроз. Выберите одно из указанных ниже значений:

     • Изучение электронной почты
     • Исследование получателя
     • Исследовать отправителя. Это значение применяется только к отправителям в вашей организации.
     • Контакты получателей

   • Предложить исправление. Выберите одно из указанных ниже значений.

     • Создать новый. Это значение активирует ожидающее обратимое удаление сообщения электронной почты, которое должно быть утверждено администратором в центре уведомлений. Этот результат также называется двухфакторным утверждением.

     • Добавить к существующему. Используйте это значение для применения действий к этому сообщению электронной почты из существующего исправления. В поле Отправить сообщение электронной почты в следующие исправления выберите существующее исправление.

       Совет

       Сотрудники SecOps, у которых недостаточно разрешений, могут использовать этот параметр для создания исправления, но кто-то с разрешениями должен утвердить действие в центре уведомлений.

   Завершив работу на странице Выбор действий ответа , нажмите кнопку Далее.

2. На странице Выбор целевых сущностей настройте следующие параметры:

   • Имя и описание. Введите уникальное описательное имя и необязательное описание для отслеживания и идентификации выбранного действия.

   Остальная часть страницы — это таблица, в которую перечислены затронутые ресурсы. Таблица организована по следующим столбцам:

   • Затронутый ресурс. Затронутые ресурсы с предыдущей страницы. Например:
     • Адрес электронной почты получателя
     • Весь клиент
   • Действие: выбранные действия для ресурсов с предыдущей страницы. Например:
     • Значения из отправки в Майкрософт для проверки:
       • Отчет как чистый
       • Report
       • Отчет как вредоносная программа, отчет как спам или отчет как фишинг
       • Блокировка отправителя
       • Блокировка домена отправителя
       • URL-адрес блока
       • Вложение блока
     • Значения из запуска автоматического исследования:
       • Изучение электронной почты
       • Исследование получателя
       • Изучение отправителя
       • Контакты получателей
     • Значения из предложения исправления:
       • Создание исправления
       • Добавление к существующему исправлению
   • Целевая сущность: например:
     • Значение идентификатора сетевого сообщения сообщения электронной почты.
     • Адрес электронной почты заблокированного отправителя.
     • Домен заблокированного отправителя.
     • Заблокированный URL-адрес.
     • Заблокированное вложение.
   • Срок действия истекает: значения существуют только для разрешенных или блокировочных записей в списке клиентов или разрешенных блокировок. Например:
     • Никогда не истечет срок действия для записей блока.
     • Дата окончания срока действия разрешенных или заблокированных записей.
   • Область. Как правило, это значение MDO.

   На этом этапе можно также отменить некоторые действия. Например, если вы хотите создать запись блока в списке разрешенных и заблокированных клиентов без отправки сущности в корпорацию Майкрософт, это можно сделать здесь.

   Завершив работу на странице Выбор целевых сущностей , нажмите кнопку Далее.

3. На странице Проверка и отправка просмотрите предыдущие выбранные варианты.

   Выберите Экспорт , чтобы экспортировать затронутые ресурсы в CSV-файл. По умолчанию имя файла — Затронуто, assets.csv находится в папке Загрузки .

   Нажмите кнопку Назад , чтобы вернуться и изменить выбранные параметры.

   Завершив работу на странице Проверка и отправка , нажмите кнопку Отправить.

Совет

Для отображения действий на связанных страницах может потребоваться время, но скорость исправления не влияет.

Опыт поиска угроз с помощью Обозреватель угроз и обнаружения в режиме реального времени

Обнаружение угроз Обозреватель или обнаружение в режиме реального времени помогает вашей группе по операциям безопасности эффективно исследовать угрозы и реагировать на них. В следующих подразделах объясняется, как Обозреватель угроз и обнаружение в режиме реального времени могут помочь найти угрозы.

Поиск угроз из оповещений

Страница Оповещения доступна на портале Defender по адресу Инциденты & оповещения оповещения>или непосредственно по адресу https://security.microsoft.com/alerts.

Для многих оповещений со значением источника обнаруженияMDO в верхней части всплывающего окна сведения об оповещении доступно действие Просмотр сообщений в Обозреватель.

Всплывающее окно сведений об оповещении открывается, когда вы щелкаете в любом месте оповещения, кроме проверка рядом с первым столбцом. Например:

• Обнаружен потенциально вредоносный url-адрес щелчка
• Администратор результат отправки завершен
• Email сообщения, содержащие вредоносный URL-адрес, удалены после доставки
• Сообщения электронной почты удаляются после доставки
• Сообщения, содержащие вредоносную сущность, не удалены после доставки
• Фишинг не затмлен, так как ZAP отключен

При выборе пункта Просмотреть сообщения в Обозреватель откроется Обозреватель угрозы в представлении Все сообщения электронной почты с выбранным для оповещения фильтром свойств идентификатором оповещения. Значение идентификатора оповещения — это уникальное значение GUID для оповещения (например, 89e00cdc-4312-7774-6000-08dc33a24419).

Идентификатор оповещения — это фильтруемое свойство в следующих представлениях в Обозреватель угроз и обнаружения в режиме реального времени:

• Представление Все сообщения электронной почты в Обозреватель угрозы.
• Представление вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени
• Представление **Фишинг в Обозреватель угроз и обнаружения в режиме реального времени

В этих представлениях идентификатор оповещения доступен как доступный для выбора столбец в области сведений под диаграммой на следующих вкладках (представлениях):

• Представление Email для области сведений в представлении Все сообщения электронной почты в Обозреватель
• Представление Email для области сведений в представлении вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени
• Представление Email для области сведений о представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

Во всплывающем окне сведений о сообщении электронной почты, открывающемся при щелчке значения "Тема" из одной из записей, ссылка "Идентификатор оповещения" доступна в разделе сведений о Email всплывающего элемента. Если щелкнуть ссылку Идентификатор оповещения , откроется страница Просмотр оповещений по адресу https://security.microsoft.com/viewalertsv2 с выбранным оповещением, а для оповещения откроется всплывающее окно сведений.

Теги в Обозреватель угроз

В Defender для Office 365 плане 2, если вы используете теги пользователей для маркировки учетных записей целевых объектов с высоким значением (например, тег учетной записи Priority), эти теги можно использовать в качестве фильтров. Этот метод показывает попытки фишинга, направленные на высокоценные целевые учетные записи в течение определенного периода времени. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Теги пользователей доступны в следующих расположениях в Обозреватель угроз:

• Представление "Все сообщения электронной почты ":
  • Как фильтруемое свойство.
  • Доступный столбец на вкладке Email (представление) области сведений.
  • Всплывающее окно сведений об электронной почте из записи на вкладке Email (представление)
• Представление вредоносных программ :
  • Как фильтруемое свойство.
  • Доступный столбец на вкладке Email (представление) области сведений в представлении Вредоносные программы.
  • [Всплывающее окно сведений об электронной почте из записи на вкладке Email (представление)
• Представление фишинга :
  • Как фильтруемое свойство.
  • Доступный столбец на вкладке Email (представление) сведений.
  • Всплывающее окно сведений об электронной почте из записи на вкладке Email (представление)
• Представление щелчков URL-адресов :
  • Как фильтруемое свойство.
  • Доступный столбец на вкладке Результаты (представление) области сведений в представлении url-адресов.

Сведения об угрозах для сообщений электронной почты

Действия перед доставкой и после доставки сообщений электронной почты объединяются в одну запись независимо от различных событий после доставки, которые повлияли на сообщение. Например:

• Автоматическая очистка за нулевой час (ZAP).
• Исправление вручную (действие администратора).
• Динамическая доставка.

Во всплывающем элементе сведений об электронной почте на вкладке Email (представление) в представлении Все сообщения электронной почты, вредоносные программы или фишинг отображаются связанные угрозы и соответствующие технологии обнаружения, связанные с сообщением электронной почты. Сообщение может содержать ноль, одну или несколько угроз.

• В разделе Сведения о доставке свойство Технология обнаружения показывает технологию обнаружения, которая идентифицировала угрозу. Технология обнаружения также доступна в виде сводной диаграммы или столбца в таблице сведений для многих представлений в Обозреватель угроз и обнаружения в режиме реального времени.

• В разделе URL-адреса отображаются конкретные сведения об угрозах для всех URL-адресов в сообщении. Например, вредоносные программы, фишинг, **Спам или Нет.

Совет

Анализ вердиктов может не обязательно быть привязан к сущностям. Перед назначением вердикта фильтры оценивают содержимое и другие сведения сообщения электронной почты. Например, сообщение электронной почты может быть классифицировано как фишинговое или нежелательное, но ни у каких URL-адресов в сообщении нет отметки с фишингом или спамом.

Выберите Открыть сущность электронной почты в верхней части всплывающего окна, чтобы просмотреть исчерпывающие сведения о сообщении электронной почты. Дополнительные сведения см. на странице сущности Email в Microsoft Defender для Office 365.

Расширенные возможности в Обозреватель угроз

В следующих подразделах описываются фильтры, которые являются эксклюзивными для Обозреватель угроз.

Правила потока обработки почты для обмена (правила транспорта)

Чтобы найти сообщения, затронутые правилами потока обработки почты Exchange (также называемые правилами транспорта), в представлениях Все сообщения электронной почты, вредоносные программы и фишинга в Обозреватель угрозы (не в режиме обнаружения в режиме реального времени) доступны следующие параметры:

• Правило транспорта Exchange — это значение, которое можно выбрать для фильтруемых свойств основного источника переопределения, источника переопределения и типа политики .
• Правило транспорта Exchange — это фильтруемое свойство. Введите частичное текстовое значение для имени правила.

Дополнительные сведения см. по указанным ниже ссылкам.

• Представление "Все сообщения электронной почты" в Обозреватель угроз
• Представление вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени
• Представление фишинга в Обозреватель угроз и обнаружения в режиме реального времени

На вкладке Email (представление) для области сведений представлений Все сообщения электронной почты, вредоносных программ и фишинга в Обозреватель также есть правило транспорта Exchange в качестве доступного столбца, который не выбран по умолчанию. В этом столбце показано имя правила транспорта. Дополнительные сведения см. по указанным ниже ссылкам.

• Email представление для области сведений в представлении Все сообщения электронной почты в Обозреватель угроз
• Email представление сведений в представлении вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени
• Email представление сведений о представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

Совет

Разрешения, необходимые для поиска правил потока обработки почты по имени в Обозреватель угроз, см. в разделе Разрешения и лицензирование для Обозреватель угроз и обнаружения в режиме реального времени. Для просмотра имен правил во всплывающие элементы сведений по электронной почте, таблицы сведений и экспортированные результаты не требуются специальные разрешения.

Входящие соединители

Соединители для входящих подключений задают определенные параметры для источников электронной почты для Microsoft 365. Дополнительные сведения см. в разделе Настройка потока обработки почты с помощью соединителей в Exchange Online.

Чтобы найти сообщения, затронутые входящими соединителями, можно использовать свойство Connector filterable для поиска соединителей по имени в представлениях Все сообщения электронной почты, вредоносные программы и фишинговые сообщения в Обозреватель угроз (а не при обнаружении в режиме реального времени). Введите частичное текстовое значение для имени соединителя. Дополнительные сведения см. по указанным ниже ссылкам.

• Представление "Все сообщения электронной почты" в Обозреватель угроз
• Представление вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени
• Представление фишинга в Обозреватель угроз и обнаружения в режиме реального времени

На вкладке Email (представление) области сведений в представлениях Все сообщения электронной почты, вредоносных программ и фишинга в Обозреватель также есть доступный столбец Соединитель, который не выбран по умолчанию. В этом столбце показано имя соединителя. Дополнительные сведения см. по указанным ниже ссылкам.

• Email представление для области сведений в представлении Все сообщения электронной почты в Обозреватель угроз
• Email представление сведений в представлении вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени
• Email представление сведений о представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

Email сценарии безопасности в Обозреватель угроз и обнаружения в режиме реального времени

Конкретные сценарии см. в следующих статьях:

• Email безопасности с помощью Обозреватель угроз и обнаружения в режиме реального времени в Microsoft Defender для Office 365
• Исследование вредоносных сообщений электронной почты, доставленных в Microsoft 365

Другие способы использования Обозреватель угроз и обнаружения в режиме реального времени

В дополнение к сценариям, описанным в этой статье, у вас есть дополнительные возможности в Обозреватель или обнаружения в режиме реального времени. Дополнительные сведения см. в следующих статьях:

• отчет о состоянии защиты от угроз;
• Автоматическое исследование и реагирование в Microsoft Defender XDR
• Запуск исследования из Обозреватель угроз.