Автоматические уведомления пользователей о результатах фишинга в AIR

В организациях Microsoft 365 с Exchange Online почтовыми ящиками администраторы могут настроить серверную часть для сообщений, которые пользователи сообщают в Outlook как вредоносные или не вредоносные (отправлять в Корпорацию Майкрософт, отправлять в почтовый ящик отчетов или и то, и другое), а также настраивать различные параметры уведомлений для сообщений, сообщающихся пользователем. Дополнительные сведения см. в разделе Параметры, сообщаемые пользователем.

В организациях Microsoft 365 с Microsoft Defender для Office 365 план 2, когда пользователь сообщает о сообщении как о фишинге, при автоматическом расследовании и реагировании (AIR) автоматически создается исследование. Администраторы могут настроить параметры сообщения, сообщаемого пользователем, чтобы отправить уведомление по электронной почте пользователю, который сообщил о сообщении на основе вердикта air. Это уведомление также называется автоматическим ответом обратной связи.

В этой статье объясняется, как включить и настроить автоматический ответ обратной связи для конкретных вердиктов AIR, как отправляются уведомления по электронной почте и как выглядят уведомления.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу параметров, сообщаемые пользователем, используйте .https://security.microsoft.com/securitysettings/userSubmission

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

Настройка автоматического ответа на отзывы с помощью портала Microsoft Defender

  1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Параметры>Email & совместной работы>Пользователь сообщил о параметрах. Чтобы перейти непосредственно на страницу параметров, сообщаемые пользователем, используйте .https://security.microsoft.com/securitysettings/userSubmission

  2. На странице Параметры, сообщаемые пользователем , убедитесь, что выбран параметр Монитор сообщений, сообщаемые в Outlook .

  3. В разделе электронная почта Email уведомления>Результаты выберите Автоматически отправлять пользователям результаты исследования, а затем выберите один или несколько из указанных ниже параметров:

    • Фишинг или вредоносные программы. Пользователю, который сообщил о фишинге, отправляется уведомление по электронной почте, когда AIR определяет угрозу как фишинг, фишинг с высокой степенью достоверности или вредоносные программы.
    • Спам. Пользователю, который сообщил, что сообщение было фишинговым, отправляется уведомление по электронной почте, когда AIR идентифицирует угрозу как спам.
    • Угрозы не найдены. Уведомление по электронной почте отправляется пользователю, который сообщил об этом сообщении как о фишинге, когда AIR не обнаруживает угрозы.

    Параметры автоматического ответа обратной связи на странице параметров, сообщаемые пользователем.

  4. В сообщении с уведомлением используется тот же шаблон, что и при выборе администратором пометить как и уведомить на странице Отправки по адресу https://security.microsoft.com/reportsubmission.

    Вы можете настроить сообщение электронной почты с уведомлением, щелкнув ссылку Настроить результаты электронной почты .

    В открывавшемся всплывающем окне Настройка проверки администратора Уведомления по электронной почте настройте следующие параметры на вкладках Фишинг (соответствующий параметру Автоматический ответ обратной связи с фишингом или вредоносными программами), Нежелательная почта и Нет угроз:

    • Email текст результатов: введите пользовательский текст для использования. Вы можете использовать разные тексты для фишинга, нежелательной почты и нет обнаруженных угроз.
    • Email текст нижнего колонтитула. Введите текст пользовательского нижнего колонтитула сообщения. Тот же текст используется для фишинга, нежелательной почты и не найдены угрозы.

    Параметры настройки уведомления пользователя по электронной почте на странице параметров, сообщаемые пользователем.

    Завершив работу во всплывающем окне Настройка проверки администратора Уведомления по электронной почте, выберите Подтвердить, чтобы вернуться на страницу параметров, сообщаемых пользователем.

Принцип работы автоматического ответа на обратную связь

После включения автоматического ответа обратной связи пользователь, сообщивший о сообщении как о фишинге, получает уведомление по электронной почте на основе вердикта AIR и выбранного параметра Автоматически отправлять пользователям результаты исследования :

Совет

На следующих снимках экрана показаны примеры сообщений электронной почты с уведомлениями, которые отправляются пользователям. Как упоминалось ранее, вы можете настроить уведомление, используя параметры, описанные в разделе Настройка электронной почты с результатами в параметрах, сообщающихся пользователем.

  • Угрозы не найдены. Если пользователь сообщает сообщение как фишинговое, отправка активирует AIR для сообщения. Если расследование не обнаруживает угроз, пользователь, который сообщил об этом сообщении, получает уведомление по электронной почте, которое выглядит следующим образом:

    Пример сообщения электронной почты с уведомлением о том, что угрозы не найдены.

  • Спам. Если пользователь сообщает сообщение как фишинговое, отправка активирует AIR для сообщаемого сообщения. Если исследование обнаружит, что сообщение является спамом, пользователь, который сообщил о сообщении, получает уведомление, которое выглядит следующим образом:

    Пример сообщения электронной почты с уведомлением о обнаружении нежелательной почты.

  • Фишинг или вредоносные программы. Если пользователь сообщает о сообщении как фишинговое, отправка активирует AIR для сообщаемого сообщения. Дальнейшие действия зависят от результатов исследования:

    • Фишинг с высокой степенью достоверности или вредоносные программы: сообщение должно быть исправлено с помощью одного из следующих действий:

      • Утвердить рекомендуемое действие (отображается как ожидающие действия в расследовании или центре уведомлений).
      • Исправление с помощью других средств (например, Обозреватель угроз).

      После исправления сообщения расследование закрывается как Исправлено или Частично исправлено. Уведомление, отправленное пользователю, отправляющему сообщение, отправляется по электронной почте только в том случае, если состояние исследования является одним из этих значений.

      Совет

      Для фишинга с высокой степенью достоверности или вредоносных программ исследование может немедленно закрыться как Исправлено , если сообщение не найдено в почтовом ящике (сообщение было удалено). Ожидающее расследование не завершено, поэтому пользователю, отправившему сообщение, не отправляется уведомление по электронной почте.

    • Фишинг. При расследовании не создаются ожидающие действия, но пользователь по-прежнему получает уведомление о том, что сообщение было обнаружено как фишинговое. Сообщение электронной почты с уведомлением выглядит следующим образом:

      Пример сообщения электронной почты с уведомлением об обнаружении фишинга или вредоносного ПО.

Когда AIR достигает вердикта и уведомление отправляется пользователю, который сообщил сообщение как фишинговое, для записи на вкладке Пользователь сообщается на странице Отправки на портале Defender отображаются следующие значения свойств:

  • Помечено как : содержит вердикт.
  • Отмечено: Значение — Automation.

Независимо от того, было ли сообщение автоматически или вручную отправлено в корпорацию Майкрософт для проверки, или сообщение было расследовано AIR, вердикт отображается в свойстве Помечено как . Дополнительные сведения о вкладке Пользователь сообщил на странице Отправки см. в разделе параметры Администратор для сообщений, сообщаемые пользователем.

Подробнее

Дополнительные сведения об отправке и исследованиях в Defender для Microsoft 365 см. в следующих статьях: