Сведения об обнаружении угроз Обозреватель и обнаружении в режиме реального времени в Microsoft Defender для Office 365

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Организации Microsoft 365, которые Microsoft Defender для Office 365 включены в свою подписку или приобрели в качестве надстройки, имеют Обозреватель (также известный как Обозреватель угроз) или обнаружение в режиме реального времени. Эти функции представляют собой мощные средства отчетности практически в реальном времени, которые помогают командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них.

В зависимости от подписки обнаружение угроз Обозреватель или в режиме реального времени доступно в разделе совместной работы Email & на портале Microsoft Defender по адресу https://security.microsoft.com:

• Обнаружение в режиме реального времени доступно в Defender для Office 365 плане 1. Страница обнаружения в режиме реального времени доступна непосредственно по адресу https://security.microsoft.com/realtimereportsv3.

  

• Обозреватель угроз доступен в Defender для Office 365 план 2. Страница Обозреватель доступна непосредственно по адресу https://security.microsoft.com/threatexplorerv3.

  

Обозреватель угроз содержит те же сведения и возможности, что и обнаружение в режиме реального времени, но со следующими дополнительными функциями:

• Дополнительные представления.
• Дополнительные параметры фильтрации свойств, включая параметр для сохранения запросов.
• Дополнительные действия.

Дополнительные сведения о различиях между Defender для Office 365 планом 1 и планом 2 см. в памятку Defender для Office 365 план 1 и план 2.

В оставшейся части этой статьи описываются представления и функции, доступные в Обозреватель угроз и обнаружения в режиме реального времени.

Совет

Сценарии электронной почты с использованием Обозреватель угроз и обнаружения в режиме реального времени см. в следующих статьях:

• Поиск угроз в Обозреватель угроз и обнаружение в режиме реального времени в Microsoft Defender для Office 365
• Email безопасности с помощью Обозреватель угроз и обнаружения в режиме реального времени в Microsoft Defender для Office 365
• Исследование вредоносных сообщений электронной почты, доставленных в Microsoft 365

Разрешения и лицензирование для Обозреватель угроз и обнаружения в режиме реального времени

Чтобы использовать обнаружение Обозреватель или в режиме реального времени, необходимо назначить разрешения. Возможны следующие варианты:

• Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (влияет только на портал Defender, а не На PowerShell):
  • Доступ на чтение для заголовков сообщений электронной почты и сообщений Teams: операции безопасности/необработанные данные (электронная почта & совместной работы)/Email & метаданные совместной работы (чтение).
  • Предварительный просмотр и скачивание сообщений электронной почты: Операции безопасности/Необработанные данные (электронная почта & совместной работы)/Email & содержимое для совместной работы (чтение).
  • Исправление вредоносных сообщений электронной почты: операции безопасности,данные безопасности/Email & расширенные действия совместной работы (управление).
• Email & разрешения на совместную работу на портале Microsoft Defender:
  • Полный доступ. Членство в группах ролей "Управление организацией " или "Администратор безопасности ". Для выполнения всех доступных действий требуются дополнительные разрешения:
    • Предварительный просмотр и скачивание сообщений. Требуется роль предварительного просмотра , которая по умолчанию назначается только группам ролей "Исследователь данных " или "Диспетчер обнаружения электронных данных". Кроме того, можно создать новую группу ролей с назначенной ролью предварительной версии и добавить пользователей в настраиваемую группу ролей.
    • Перемещение и удаление сообщений из почтовых ящиков. Требуется роль Поиск и очистка, которая по умолчанию назначается только группам ролей "Следователь данных" или "Управление организацией". Кроме того, можно создать новую группу ролей с назначенными ролями Поиск и очистки, а также добавить пользователей в настраиваемую группу ролей.
  • Доступ только для чтения. Членство в группе ролей Читатель безопасности .
• Microsoft Entra разрешений. Членство в следующих ролях предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365:
  • Полный доступ: членство в ролях глобального администратора или администратора безопасности .
  • Поиск для правил потока обработки почты Exchange (правил транспорта) по имени в Обозреватель угроз: членство в ролях "Администратор безопасности" или "Читатель безопасности".
  • Доступ только для чтения. Членство в ролях "Глобальный читатель" или "Читатель безопасности ".

Совет

Записи журнала аудита создаются при предварительном просмотре или скачивании сообщений электронной почты администраторами. Вы можете выполнить поиск действий AdminMailAccess в журнале аудита администратора по пользователю. Инструкции см. в статье Аудит нового Поиск.

Для использования Обозреватель угроз или обнаружения в режиме реального времени необходимо назначить лицензию на Defender для Office 365 (включенную в подписку или лицензию надстройки).

Обнаружение угроз Обозреватель или обнаружение в режиме реального времени содержит данные для пользователей, которым назначены Defender для Office 365 лицензии.

Элементы Обозреватель угроз и обнаружения в режиме реального времени

Обнаружение угроз Обозреватель и обнаружение в режиме реального времени содержат следующие элементы:

• Представления: вкладки в верхней части страницы, которые упорядочивают обнаружение по угрозам. Представление влияет на остальные данные и параметры на странице.

  В следующей таблице перечислены доступные представления в Обозреватель угроз и обнаружения в режиме реального времени.

  View	Угрозы Обозреватель	В режиме реального времени Обнаружения	Описание
  Все сообщения электронной почты	✔		Представление по умолчанию для Обозреватель угроз. Сведения обо всех сообщениях электронной почты, отправляемых внешними пользователями в вашу организацию, или сообщениях электронной почты, отправляемых между внутренними пользователями в вашей организации.
  Вредоносная программа	✔	✔	Представление по умолчанию для обнаружения в режиме реального времени. Сведения о сообщениях электронной почты, содержащих вредоносные программы.
  Фишинг	✔	✔	Сведения о сообщениях электронной почты, содержащих фишинговые угрозы.
  Кампании	✔		Сведения о вредоносных сообщениях электронной почты, которые Defender для Office 365 плане 2, выявленные в рамках скоординированной кампании фишинга или вредоносных программ.
  Вредоносные программы содержимого	✔	✔	Сведения о вредоносных файлах, обнаруженных следующими функциями: Встроенная защита от вирусов в SharePoint, OneDrive и Microsoft Teams Безопасные вложения для SharePoint, OneDrive и Microsoft Teams
  Переходы по URL-адресу	✔		Сведения о щелчках пользователем URL-адресов в сообщениях электронной почты, сообщениях Teams, файлах SharePoint и файлах OneDrive.

  Эти представления подробно описаны в этой статье, включая различия между Обозреватель угроз и обнаружением в режиме реального времени.

• Фильтры даты и времени. По умолчанию представление фильтруется по вчерашней и сегодняшней дате. Чтобы изменить фильтр дат, выберите диапазон дат, а затем выберите значения даты начала и окончания до 30 дней назад.

  

• Фильтры свойств (запросы): фильтруйте результаты в представлении по доступным свойствам сообщения, файла или угрозы. Доступные фильтруемые свойства зависят от представления. Некоторые свойства доступны во многих представлениях, в то время как другие свойства ограничены определенным представлением.

  Доступные фильтры свойств для каждого представления перечислены в этой статье, в том числе различия между обнаружением угроз Обозреватель и обнаружением в режиме реального времени.

  Инструкции по созданию фильтров свойств см. в разделе Фильтры свойств в статье Обнаружение Обозреватель угроз и обнаружение в режиме реального времени.

  Обозреватель угроз позволяет сохранять запросы для последующего использования, как описано в разделе Сохраненные запросы в Обозреватель угроз.

• Диаграммы. Каждое представление содержит визуальное статистическое представление отфильтрованных или нефильтрованных данных. Доступные сводки можно использовать для организации диаграммы различными способами.

  Экспорт данных диаграммы часто можно использовать для экспорта отфильтрованных или нефильтрованных данных диаграммы в CSV-файл.

  Диаграммы и доступные сводки подробно описаны в этой статье, включая различия между Обозреватель угроз и обнаружением в режиме реального времени.

  Совет

  Чтобы удалить диаграмму со страницы (что увеличивает размер области сведений), используйте один из следующих методов:

  • Выберите Представлениесписка в представлении> диаграммы в верхней части страницы.
  • Выберите Показать представление списка между диаграммой и областью сведений.

• Область сведений. Область сведений для представления обычно отображает таблицу, содержащую отфильтрованные или нефильтрованные данные. Доступные представления (вкладки) можно использовать для организации данных в области сведений различными способами. Например, представление может содержать диаграммы, карты или другие таблицы.

  Если область сведений содержит таблицу, часто можно использовать экспорт для выборочного экспорта до 200 000 отфильтрованных или нефильтрованных результатов в CSV-файл.

  Совет

  Во всплывающем окне Экспорт можно выбрать некоторые или все доступные свойства для экспорта. Выбранные значения сохраняются для каждого пользователя. Выбранные значения в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

Представление "Все сообщения электронной почты" в Обозреватель угроз

В представлении Все сообщения электронной почты в Обозреватель угрозы отображаются сведения обо всех сообщениях электронной почты, отправленных внешними пользователями в вашу организацию, и сообщениях электронной почты, отправляемых между внутренними пользователями в вашей организации. В представлении отображаются вредоносные и не вредоносные сообщения электронной почты. Например:

• Email обнаружен фишинг или вредоносные программы.
• Email определяется как спам или массовая рассылка.
• Email без угроз.

Это представление используется по умолчанию в Обозреватель угроз. Чтобы открыть представление Все сообщения электронной почты на странице Обозреватель на портале Defender по адресу , перейдите на https://security.microsoft.comвкладку Email & совместная работа>Обозреватель>Все сообщения электронной почты. Или перейдите непосредственно на страницу Обозреватель с помощью https://security.microsoft.com/threatexplorerv3и убедитесь, что выбрана вкладка Все сообщения электронной почты.

Фильтруемые свойства в представлении Все сообщения электронной почты в Обозреватель угроз

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в Обозреватель угроз и обнаружение в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле действия Доставка в представлении Все сообщения электронной почты , описаны в следующей таблице:

Свойство	Тип
Базовый
Адрес отправителя	Текст. Разделите несколько значений запятыми.
Recipients	Текст. Разделите несколько значений запятыми.
домен отправителя;	Текст. Разделите несколько значений запятыми.
домен получателя;	Текст. Разделите несколько значений запятыми.
Subject	Текст. Разделите несколько значений запятыми.
Отображаемое имя отправителя	Текст. Разделите несколько значений запятыми.
Отправитель почты с адреса	Текст. Разделите несколько значений запятыми.
Отправитель почты из домена	Текст. Разделите несколько значений запятыми.
Путь к возврату	Текст. Разделите несколько значений запятыми.
Домен возвращаемого пути	Текст. Разделите несколько значений запятыми.
Семейство вредоносных программ	Текст. Разделите несколько значений запятыми.
Tags	Текст. Разделите несколько значений запятыми. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Олицетворенный домен	Текст. Разделите несколько значений запятыми.
Олицетворенный пользователь	Текст. Разделите несколько значений запятыми.
Правило транспорта Exchange	Текст. Разделите несколько значений запятыми.
Правило защиты от потери данных	Текст. Разделите несколько значений запятыми.
Контекст	Выберите одно или несколько значений: Evaluation Защита учетных записей с приоритетом
Connector	Текст. Разделите несколько значений запятыми.
Действие доставки	Выберите одно или несколько значений: Заблокировано: Email сообщения, которые были помещены в карантин, которые не были доставлены или были удалены. Доставлено: Email доставлен в папку "Входящие" или другую папку пользователя, в которой пользователь может получить доступ к сообщению. Доставка в нежелательную папку: Email доставлена в папку "Нежелательная Email" пользователя или папку "Удаленные", где пользователь может получить доступ к сообщению. Заменено: вложения сообщений, которые были заменены динамической доставкой в политиках безопасных вложений.
Дополнительное действие	Выберите одно или несколько значений: Автоматическое исправление Динамическая доставка. Дополнительные сведения см. в разделе Динамическая доставка в политиках безопасных вложений. Исправление вручную Нет Выпуск карантина Повторно обработано: сообщение было задним числом идентифицировано как хорошее. ZAP: Дополнительные сведения см. в разделе Автоматическая очистка нулевого часа (ZAP) в Microsoft Defender для Office 365.
Направление	Выберите одно или несколько значений: Входящих Intra-irg Исходящий
Технология обнаружения	Выберите одно или несколько значений: Расширенный фильтр: сигналы на основе машинного обучения. Защита от вредоносных программ Массовая рассылка Кампания Репутация домена Детонация файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации. Репутация детонации файлов. Вложения файлов, ранее обнаруженные детонациями безопасных вложений в других организациях Microsoft 365. Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365. Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение. Общий фильтр Бренд олицетворения: олицетворение отправителя известных брендов. Домен олицетворения: олицетворение доменов отправителей, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга Олицетворение пользователя Репутация IP-адресов Олицетворение аналитики почтовых ящиков. Обнаружение олицетворения из аналитики почтовых ящиков в политиках защиты от фишинга. Обнаружение смешанного анализа: несколько фильтров способствовали вердикту сообщения. spoof DMARC: сообщение не удалось выполнить проверку подлинности DMARC. Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации. Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации. Репутация детонации URL-адресов: URL-адреса, ранее обнаруженные детонациями безопасных ссылок в других организациях Microsoft 365. Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
Исходное расположение доставки	Выберите одно или несколько значений: папка "Удаленные" Упал Не удалось выполнить Папка "Входящие" Нежелательная почта Локальный/внешний Карантин Unknown
Последнее расположение доставки¹	Те же значения, что и исходное расположение доставки
Уровень достоверности фишинга	Выберите одно или несколько значений: Высокий Normal
Основное переопределение	Выберите одно или несколько значений: Разрешено политикой организации Разрешено политикой пользователя Заблокировано политикой организации Заблокировано политикой пользователя Нет
Источник первичного переопределения	Сообщения могут иметь несколько разрешенных или заблокированных переопределений, определенных в источнике переопределения. Переопределение, которое в конечном итоге разрешило или заблокировало сообщение, идентифицируется в источнике первичного переопределения. Выберите одно или несколько значений: Сторонний фильтр Администратор инициированные поездки по времени (ZAP) Блок политики защиты от вредоносных программ по типу файла Параметры политики защиты от нежелательнойam Политика подключения Правило транспорта Exchange Монопольный режим (переопределение пользователя) Фильтрация пропущена из-за локальной организации Фильтр ip-регионов из политики Языковой фильтр из политики Моделирование фишинга Выпуск карантина Почтовый ящик SecOps Список адресов отправителей (Администратор переопределение) Список адресов отправителей (переопределение пользователей) Список доменов отправителей (Администратор переопределение) Список доменов отправителей (переопределение пользователей) Блок файлов списка разрешенных и заблокированных клиентов Блок адреса отправителя списка разрешенных и заблокированных клиентов Подделаный блок списка разрешений и блокировок клиента Блок URL-адресов списка разрешенных и заблокированных клиентов Список доверенных контактов (переопределение пользователей) Доверенный домен (переопределение пользователя) Доверенный получатель (переопределение пользователя) Только доверенные отправители (переопределение пользователей)
Переопределение источника	Те же значения, что и источник первичного переопределения
Тип политики	Выберите одно или несколько значений: Политика защиты от вредоносных программ Политика защиты от фишинга Правило транспорта Exchange (правило потока обработки почты), политика фильтра размещенного содержимого (политика защиты от нежелательной почты), политика фильтра размещенной исходящей нежелательной почты (политика исходящей нежелательной почты), политика безопасных вложений Unknown
Действие политики	Выберите одно или несколько значений: Добавление X-заголовка Сообщение ск Удалить сообщение Изменение темы Перемещение в папку "Нежелательная Email" Никаких действий не было предпринят Сообщение перенаправления Отправка в карантин
Тип угрозы	Выберите одно или несколько значений: Вредоносная программа Фишинг Спам
Пересылаемое сообщение	Выберите одно или несколько значений: True False
Список рассылки	Текст. Разделите несколько значений запятыми.
размер Email	Целое число. Разделите несколько значений запятыми.
Дополнительные
Идентификатор сообщения Интернета	Текст. Разделите несколько значений запятыми. Доступно в поле Заголовок Message-ID в заголовке сообщения. Пример значения: <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (обратите внимание на угловые скобки).
Идентификатор сетевого сообщения	Текст. Разделите несколько значений запятыми. Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.
IP-адрес отправителя	Текст. Разделите несколько значений запятыми.
Вложение SHA256	Текст. Разделите несколько значений запятыми.
Идентификатор кластера	Текст. Разделите несколько значений запятыми.
Идентификатор оповещения	Текст. Разделите несколько значений запятыми.
Идентификатор политики оповещений	Текст. Разделите несколько значений запятыми.
Идентификатор кампании	Текст. Разделите несколько значений запятыми.
Сигнал URL-адреса ZAP	Текст. Разделите несколько значений запятыми.
Urls
Число URL-адресов	Целое число. Разделите несколько значений запятыми.
Домен URL-адреса 2	Текст. Разделите несколько значений запятыми.
Домен и путь URL-адреса 2	Текст. Разделите несколько значений запятыми.
URL-адрес 2	Текст. Разделите несколько значений запятыми.
URL-путь 2	Текст. Разделите несколько значений запятыми.
Источник URL-адреса	Выберите одно или несколько значений: Вложения Облачное вложение тело Email заголовок Email QR-код Тема Unknown
Щелкните вердикт	Выберите одно или несколько значений: Разрешено: пользователю было разрешено открыть URL-адрес. Блокировка переопределена: пользователю было запрещено открывать URL-адрес напрямую, но он переопределяет этот блок, чтобы открыть URL-адрес. Заблокировано: пользователю было запрещено открывать URL-адрес. Ошибка: пользователю была представлена страница ошибки или произошла ошибка при записи вердикта. Сбой. При записи вердикта произошло неизвестное исключение. Возможно, пользователь открыл URL-адрес. Нет: не удается записать вердикт для URL-адреса. Возможно, пользователь открыл URL-адрес. Ожидающий вердикт. Пользователю была представлена страница ожидания детонации. Ожидающий вердикт обошел стороной: пользователю была представлена страница детонации, но он перечеркнул сообщение, чтобы открыть URL-адрес.
Угроза URL-адресов	Выберите одно или несколько значений: Вредоносная программа Фишинг Спам
Файл
Количество вложений	Целое число. Разделите несколько значений запятыми.
Имя файла вложения	Текст. Разделите несколько значений запятыми.
Тип файла	Текст. Разделите несколько значений запятыми.
Расширение файла	Текст. Разделите несколько значений запятыми.
Размер файла	Целое число. Разделите несколько значений запятыми.
Проверка подлинности
SPF	Выберите одно или несколько значений: Не Нейтральных Нет Пройти Постоянная ошибка Soft fail. Временная ошибка
DKIM	Выберите одно или несколько значений: Ошибка Не Ignore Нет Пройти Test Timeout Unknown
DMARC	Выберите одно или несколько значений: Лучший проход догадки Не Нет Пройти Постоянная ошибка Передача селектора Временная ошибка Unknown
Композитных	Выберите одно или несколько значений: Не Нет Пройти Обратимый проход

Совет

¹ Последнее расположение доставки не включает действия пользователей с сообщениями. Например, если пользователь удалил сообщение или переместил его в архив или PST-файл.

Существуют сценарии, в которых исходное расположение/ доставкиПоследнее расположение доставки и (или) действие доставки имеют значение Неизвестно. Например:

• Сообщение было доставлено (действие доставкидоставлено), но правило папки "Входящие" переместило сообщение в папку по умолчанию, кроме папки "Входящие" или "Нежелательная Email" (например, в папку "Черновик" или "Архив").
• ZAP пытался переместить сообщение после доставки, но сообщение не было найдено (например, пользователь переместил или удалил сообщение).

2 По умолчанию поиск ПО URL-адресу сопоставляется с http, если явно не указано другое значение. Например:

• Поиск с префиксом и без http:// префикса в url-адресе, домене URL-адреса и url-адресе домен и путь должен показывать одни и те же результаты.
• https:// Поиск префикса в URL-адресе. Если значение не указано, http:// предполагается префикс.
• / в начале и конце URL-пути поля URL-адреса домен, домен URL-адреса и путь игнорируются.
• / в конце поля URL-адреса не учитывается.

Сводные сведения для диаграммы в представлении Все сообщения электронной почты в Обозреватель угроз

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Доступные сводки диаграмм описаны в следующих подразделах.

Сводная диаграмма действий доставки в представлении Все сообщения электронной почты в Обозреватель угроз

Хотя эта сводка не выглядит выбранной по умолчанию, действие Доставка является сводной диаграммой по умолчанию в представлении Все сообщения электронной почты .

Сводка действия доставки упорядочивает диаграмму по действиям, выполняемым с сообщениями для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого действия доставки.

Сводная таблица доменов отправителей в представлении Все сообщения электронной почты в Обозреватель угроз

Сводка домена отправителя упорядочивает диаграмму по доменам в сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена отправителя.

Сводка IP-диаграммы отправителей в представлении Все сообщения электронной почты в Обозреватель угроз

Сводка IP-адресов отправителя упорядочивает диаграмму по исходным IP-адресам сообщений для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество IP-адресов каждого отправителя.

Сводка технологической диаграммы обнаружения в представлении Все сообщения электронной почты в Обозреватель угроз

Сводка технологии обнаружения упорядочивает диаграмму по признаку, который идентифицирует сообщения для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Сводка полной диаграммы URL-адресов в представлении Все сообщения электронной почты в Обозреватель угрозы

Сводка полных URL-адресов упорядочивает диаграмму по полным URL-адресам в сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого полного URL-адреса.

Сводная диаграмма доменов URL-адресов в представлении Все сообщения электронной почты в Обозреватель угроз

Сводка доменов URL-адресов упорядочивает диаграмму по доменам в URL-адресах в сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена URL-адресов.

Сводная таблица доменов и путей URL-адресов в представлении Все сообщения электронной почты в Обозреватель угрозы

Сводка домена и пути URL-адреса упорядочивает диаграмму по доменам и путям в URL-адресах в сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается счетчик для каждого домена URL-адреса и пути.

Представления для области сведений в представлении Все сообщения электронной почты в Обозреватель угрозы

Доступные представления (вкладки) в области сведений представления Все сообщения электронной почты описаны в следующих подразделах.

Email представление для области сведений в представлении Все сообщения электронной почты в Обозреватель угроз

Email — это представление по умолчанию для области сведений в представлении Все сообщения электронной почты.

В представлении Email показана таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Дата^*
• Тема^*
• Получателя^*
• домен получателя;
• Теги^*
• Адрес отправителя^*
• Отображаемое имя отправителя
• Домен отправителя^*
• IP-адрес отправителя
• Отправитель почты с адреса
• Отправитель почты из домена
• Дополнительные действия^*
• Действие доставки
• Последнее расположение доставки^*
• Исходное расположение доставки^*
• Источник переопределений системы
• Системные переопределения
• Идентификатор оповещения
• Идентификатор сообщения в Интернете
• Идентификатор сетевого сообщения
• Язык почты
• Правило транспорта Exchange
• Соединитель
• Context
• Правило защиты от потери данных
• Тип угрозы^*
• Технология обнаружения
• Количество вложений
• Число URL-адресов
• размер Email

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Удалите столбцы из представления.
• Уменьшение масштаба в веб-браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

При выборе одной или нескольких записей в списке, выбрав поле проверка рядом с первым столбцом, доступны действия сообщения. Дополнительные сведения см. в разделе Охота на угрозы: Email исправление.

В значении Тема для записи доступно действие Открыть в новом окне. Это действие открывает сообщение на странице сущности Email.

При выборе значений Тема или Получатель в записи открываются всплывающие элементы сведений. Эти всплывающие элементы описаны в следующих подразделах.

Email сведения из представления Email области сведений в представлении Все сообщения электронной почты

При выборе значения Subject для записи в таблице откроется всплывающее окно сведений о сообщении электронной почты. Этот всплывающий элемент сведений называется панелью сводки Email и содержит стандартизированную сводную информацию, которая также доступна на странице Email сущности сообщения.

Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email в Defender.

В верхней части панели сводки Email доступны следующие действия для Обозреватель угроз и обнаружения в режиме реального времени.

• Открытие сущности электронной почты
• Заголовок view
• Принять меры. Дополнительные сведения см. в разделе Исправление с помощью действия "Принять".
• Дополнительные варианты:
  • Email preview¹ 2
  • Скачать электронную почту¹ 2 ³
  • Просмотр в Обозреватель
  • Go hunt⁴

¹ Действия предварительного просмотра Email и скачивания электронной почты требуют роли предварительной версии в Email & разрешения на совместную работу. По умолчанию эта роль назначается группам ролей "Исследователь данных " и "Диспетчер обнаружения электронных данных". По умолчанию члены групп ролей "Управление организацией " или "Администраторы безопасности " не могут выполнять эти действия. Чтобы разрешить эти действия для членов этих групп, можно выбрать следующие варианты:

• Добавьте пользователей в группы ролей "Исследователь данных " или "Диспетчер обнаружения электронных данных ".
• Создайте новую группу ролей с назначенными Поиск и Purge и добавьте пользователей в настраиваемую группу ролей.

2 Вы можете просматривать или скачивать сообщения электронной почты, доступные в почтовых ящиках Microsoft 365. Примеры, когда сообщения больше не доступны в почтовых ящиках:

• Сообщение было удалено до того, как доставка или доставка завершилась ошибкой.
• Сообщение было обратимо удалено (удалено из папки Удаленные, которая перемещает сообщение в папку "Элементы с возможностью восстановления\Удаления").
• ZAP переместил сообщение в карантин.

³ Скачать сообщение электронной почты недоступно для сообщений, которые были помещены в карантин. Вместо этого скачайте копию сообщения, защищенную паролем, из карантина.

⁴ Охота на Go доступна только в Обозреватель угроз. Он недоступен в функциях обнаружения в режиме реального времени.

Сведения о получателе из представления Email области сведений в представлении Все сообщения электронной почты

При выборе записи, щелкнув значение Recipient , откроется всплывающее окно сведений со следующими сведениями:

Совет

Чтобы просмотреть сведения о других получателях, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

• Раздел сводки :

  • Роль. Указывает, назначены ли получателю какие-либо роли администратора.
  • Политики:
    • Имеет ли пользователь разрешение на просмотр архивных сведений.
    • Имеет ли пользователь разрешение на просмотр сведений о хранении.
    • Покрывается ли пользователь защитой от потери данных (DLP).
    • Распространяется ли на пользователя управление мобильными устройствами по адресу https://portal.office.com/EAdmin/Device/IntuneInventory.aspx. <-- администратор безопасности не может открыть страницу--->

• Email разделе: таблица, в которой содержатся следующие связанные сведения о сообщениях, отправляемых получателю:

  • Date
  • Тема
  • Получатель

  Выберите Просмотреть все сообщения электронной почты, чтобы открыть Обозреватель угрозы на новой вкладке, отфильтрованной по получателю.

• Раздел последних оповещений: таблица со следующими связанными сведениями о последних оповещениях:

  • Серьезность
  • Политика оповещения
  • Категория
  • Действия

  Если есть более трех последних оповещений, выберите Просмотреть все последние оповещения , чтобы просмотреть все из них.

  • Раздел "Последние действия": отображаются сводные результаты поиска получателя в журнале аудита:

    • Date
    • IP-адрес.
    • Действия
    • Элемент

    Если у получателя более трех записей журнала аудита, выберите Просмотреть все последние действия , чтобы просмотреть все из них.

  Совет

  Члены группы ролей "Администраторы безопасности" в Email & разрешения на совместную работу не могут развернуть раздел Последние действия. Необходимо быть членом группы ролей в Exchange Online разрешениях, которым назначены роли журналов аудита, аналитика Information Protection или следователя Information Protection. По умолчанию эти роли назначаются группам ролей Управление записями, Управление соответствием требованиям, Information Protection, Аналитики Information Protection, Information Protection Следователи и Управление организацией. В эти группы ролей можно добавить членов администраторов безопасности или создать новую группу ролей с назначенной ролью Журналы аудита .

Url-адрес щелкает представление сведений в представлении "Все сообщения электронной почты" в Обозреватель

В представлении url-адреса щелкается диаграмма, которую можно упорядочить с помощью сводных данных. Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводки диаграмм описаны в следующих подразделах.

Совет

В Обозреватель угроза каждая сводка в представлении переходов URL-адреса имеет действие Просмотреть все щелчки, которое открывает представление щелчков URL-адреса на новой вкладке.

Сводка доменов URL-адресов для представления щелчков URL-адресов для области сведений в представлении Все сообщения электронной почты в Обозреватель

Хотя эта сводная диаграмма не выбрана, домен URL-адреса является сводной диаграммой по умолчанию в представлении щелчков URL-адресов .

В сводке доменов URL-адресов отображаются различные домены в URL-адресах в сообщениях электронной почты для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена URL-адресов.

Щелкните сводку вердикта в представлении URL-адресов, чтобы получить сведения в представлении Все сообщения электронной почты в Обозреватель

В сводной таблице Click вердиктов отображаются различные вердикты для URL-адресов, щелкнув их в сообщениях электронной почты для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого вердикта щелчка.

Сводка URL-адресов для представления щелчков URL-адресов для области сведений представления "Все сообщения электронной почты" в Обозреватель

В сводке URL-адресов отображаются различные URL-адреса, которые были щелканы в сообщениях электронной почты для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого URL-адреса.

Сводные сведения о домене URL-адреса и пути для представления щелчков URL-адресов в области сведений представления "Все сообщения электронной почты" в Обозреватель

В сводке доменов и путей URL-адресов отображаются различные домены и пути к файлам URL-адресов, которые были выбраны в сообщениях электронной почты для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена URL-адреса и пути к файлу.

Представление "Основные URL-адреса" для области сведений в представлении "Все сообщения электронной почты" в Обозреватель

В представлении Верхние URL-адреса отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

• URL-адрес
• Сообщения заблокированы
• Сообщения, передаваемые нежелательной почтой
• Доставленные сообщения

Основные сведения о URL-адресах для представления "Все сообщения электронной почты"

При выборе записи, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений со следующими сведениями:

Совет

Чтобы просмотреть сведения о других URL-адресах, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

• В верхней части всплывающего окна доступны следующие действия:

  • Страница "Открыть URL-адрес"

  • Отправить на анализ:

    • Отчет очистки
    • Сообщение о фишинге
    • Сообщить о вредоносных программах

  • Управление индикатором:

    • Добавление индикатора
    • Управление в списке блокировок клиента

    Если выбрать любой из этих параметров, вы перейдете на страницу Отправки на портале Defender.

  • Дополнительные сведения:

    • Просмотр в Обозреватель
    • Охота
• Исходный URL-адрес
• Раздел обнаружения:
  • Вердикт аналитики угроз
  • X активных оповещений y: горизонтальная линейчатая диаграмма, показывающая количество оповещений "Высокий", "Средний", "Низкий" и "Информация", связанных с этой ссылкой.
  • Ссылка на просмотр всех инцидентов & оповещения на странице URL-адреса.
• Раздел сведений о домене :
  • Доменное имя и ссылка на страницу Просмотр домена.
  • Регистранта
  • Зарегистрировано в
  • Обновлено
  • Срок действия истекает
• Раздел контактных данных регистратора:
  • Регистратора
  • Страна или регион
  • Почтовый адрес
  • Отправить сообщение
  • Phone
  • Дополнительные сведения: Ссылка на Открыть в Whois.
• Раздел Распространенность URL-адресов (за последние 30 дней): содержит количество устройств, Email и щелчков. Выберите каждое значение, чтобы просмотреть полный список.
• Устройства: отображаются затронутые устройства:

  • Дата (первая/последняя)

  • Устройства

    Если задействовано более двух устройств, выберите Просмотреть все устройства , чтобы просмотреть все устройства.

Первые щелчки в области сведений в представлении Все сообщения электронной почты в Обозреватель

В представлении Верхний щелчок отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

• URL-адрес
• Заблокировано
• Разрешено
• Переопределение блока
• Ожидается вердикт
• Ожидающий вердикт обошел
• Нет
• Страница ошибки
• Сбоя

Совет

Выбраны все доступные столбцы. Если выбрать параметр Настроить столбцы, вы не сможете отменить выбор столбцов.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Уменьшение масштаба в веб-браузере.

При выборе записи, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений. Сведения во всплывающем меню такие же, как описано в разделе Основные СВЕДЕНИЯ о URL-адресах для представления "Все сообщения электронной почты".

Представление "Основные целевые пользователи" для области сведений в представлении "Все сообщения электронной почты" в Обозреватель

В представлении "Основные целевые пользователи " данные упорядочиваются в таблицу пяти основных получателей, на которых нацеливались самые угрозы. Таблица содержит следующие сведения:

• Наиболее целевые пользователи: адрес электронной почты получателя. Если выбрать адрес получателя, откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о получателе из Email области сведений в представлении Все сообщения электронной почты.

• Количество попыток. Если выбрать количество попыток, Обозреватель угрозы откроется на новой вкладке, отфильтрованной получателем.

Совет

Экспорт используется для экспорта списка до 3000 пользователей и соответствующих попыток.

Email представление источника для области сведений в представлении Все сообщения электронной почты в Обозреватель угроз

В представлении источника Email отображаются источники сообщений на карте мира.

Представление кампании для области сведений в представлении Все сообщения электронной почты в Обозреватель угроз

В представлении Кампания отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца.

Сведения в таблице такие же, как описано в таблице подробных сведений на странице Кампании.

При выборе записи, щелкнув в любом месте строки, кроме поля проверка рядом с именем, откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о кампании.

Представление вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

В представлении Вредоносные программы в Обозреватель угроз и обнаружения в режиме реального времени отображаются сведения о сообщениях электронной почты, содержащих вредоносные программы. Это представление используется по умолчанию при обнаружении в режиме реального времени.

Чтобы открыть представление Вредоносные программы , выполните одно из следующих действий.

• Обозреватель угроз. На странице Обозреватель на портале Defender перейдите на https://security.microsoft.comвкладку Email & совместная работа>Обозреватель>Вреду. Или перейдите непосредственно на страницу Обозреватель с помощью https://security.microsoft.com/threatexplorerv3и выберите вкладку Вредоносные программы.
• Обнаружение в режиме реального времени. На странице Обнаружения в режиме реального времени на портале Defender перейдите на https://security.microsoft.comвкладку Email & совместная работа>Обозреватель>Вредоносное поверх. Или перейдите непосредственно на страницу Обнаружения в режиме реального времени с помощью https://security.microsoft.com/realtimereportsv3и убедитесь, что выбрана вкладка Вредоносные программы.

Фильтруемые свойства в представлении вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в Обозреватель угроз и обнаружение в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле Адрес отправителя в представлении Вредоносные программы , описаны в следующей таблице:

Свойство	Тип	Угрозы Обозреватель	В режиме реального времени Обнаружения
Базовый
Адрес отправителя	Текст. Разделите несколько значений запятыми.	✔	✔
Recipients	Текст. Разделите несколько значений запятыми.	✔	✔
домен отправителя;	Текст. Разделите несколько значений запятыми.	✔	✔
домен получателя;	Текст. Разделите несколько значений запятыми.	✔	✔
Subject	Текст. Разделите несколько значений запятыми.	✔	✔
Отображаемое имя отправителя	Текст. Разделите несколько значений запятыми.	✔	✔
Отправитель почты с адреса	Текст. Разделите несколько значений запятыми.	✔	✔
Отправитель почты из домена	Текст. Разделите несколько значений запятыми.	✔	✔
Путь к возврату	Текст. Разделите несколько значений запятыми.	✔	✔
Домен возвращаемого пути	Текст. Разделите несколько значений запятыми.	✔	✔
Семейство вредоносных программ	Текст. Разделите несколько значений запятыми.	✔	✔
Tags	Текст. Разделите несколько значений запятыми. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.	✔
Правило транспорта Exchange	Текст. Разделите несколько значений запятыми.	✔
Правило защиты от потери данных	Текст. Разделите несколько значений запятыми.	✔
Контекст	Выберите одно или несколько значений: Evaluation Защита учетных записей с приоритетом	✔
Connector	Текст. Разделите несколько значений запятыми.	✔
Действие доставки	Выберите одно или несколько значений: Заблокировано Доставлено Доставлено в нежелательные Заменено: вложения сообщений, которые были заменены динамической доставкой в политиках безопасных вложений.	✔	✔
Дополнительное действие	Выберите одно или несколько значений: Автоматическое исправление Динамическая доставка. Дополнительные сведения см. в разделе Динамическая доставка в политиках безопасных вложений. Исправление вручную Нет Выпуск карантина Повторно обработано ZAP: Дополнительные сведения см. в разделе Автоматическая очистка нулевого часа (ZAP) в Microsoft Defender для Office 365.	✔	✔
Направление	Выберите одно или несколько значений: Входящих Intra-irg Исходящий	✔	✔
Технология обнаружения	Выберите одно или несколько значений: Расширенный фильтр: сигналы на основе машинного обучения. Защита от вредоносных программ Массовая рассылка Кампания Репутация домена Детонация файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации. Репутация детонации файлов. Вложения файлов, ранее обнаруженные детонациями безопасных вложений в других организациях Microsoft 365. Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365. Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение. Общий фильтр Бренд олицетворения: олицетворение отправителя известных брендов. Домен олицетворения: олицетворение доменов отправителей, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга Олицетворение пользователя Репутация IP-адресов Олицетворение аналитики почтовых ящиков. Обнаружение олицетворения из аналитики почтовых ящиков в политиках защиты от фишинга. Обнаружение смешанного анализа: несколько фильтров способствовали вердикту сообщения. spoof DMARC: сообщение не удалось выполнить проверку подлинности DMARC. Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации. Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации. Детонация URL-адреса. Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении во время анализа детонации. Репутация детонации URL-адресов: URL-адреса, ранее обнаруженные детонациями безопасных ссылок в других организациях Microsoft 365. Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.	✔	✔
Исходное расположение доставки	Выберите одно или несколько значений: папка "Удаленные" Упал Не удалось выполнить Папка "Входящие" Нежелательная почта Локальный/внешний Карантин Unknown	✔	✔
Последнее расположение доставки	Те же значения, что и исходное расположение доставки	✔	✔
Основное переопределение	Выберите одно или несколько значений: Разрешено политикой организации Разрешено политикой пользователя Заблокировано политикой организации Заблокировано политикой пользователя Нет	✔	✔
Источник первичного переопределения	Сообщения могут иметь несколько разрешенных или заблокированных переопределений, определенных в источнике переопределения. Переопределение, которое в конечном итоге разрешило или заблокировало сообщение, идентифицируется в источнике первичного переопределения. Выберите одно или несколько значений: Сторонний фильтр Администратор инициированные поездки по времени (ZAP) Блок политики защиты от вредоносных программ по типу файла Параметры политики защиты от нежелательнойam Политика подключения Правило транспорта Exchange Монопольный режим (переопределение пользователя) Фильтрация пропущена из-за локальной организации Фильтр ip-регионов из политики Языковой фильтр из политики Моделирование фишинга Выпуск карантина Почтовый ящик SecOps Список адресов отправителей (Администратор переопределение) Список адресов отправителей (переопределение пользователей) Список доменов отправителей (Администратор переопределение) Список доменов отправителей (переопределение пользователей) Блок файлов списка разрешенных и заблокированных клиентов Блок адреса отправителя списка разрешенных и заблокированных клиентов Подделаный блок списка разрешений и блокировок клиента Блок URL-адресов списка разрешенных и заблокированных клиентов Список доверенных контактов (переопределение пользователей) Доверенный домен (переопределение пользователя) Доверенный получатель (переопределение пользователя) Только доверенные отправители (переопределение пользователей)	✔	✔
Переопределение источника	Те же значения, что и источник первичного переопределения	✔	✔
Тип политики	Выберите одно или несколько значений: Политика защиты от вредоносных программ Политика защиты от фишинга Правило транспорта Exchange (правило потока обработки почты), политика фильтра размещенного содержимого (политика защиты от нежелательной почты), политика фильтра размещенной исходящей нежелательной почты (политика исходящей нежелательной почты), политика безопасных вложений Unknown	✔	✔
Действие политики	Выберите одно или несколько значений: Добавление X-заголовка Сообщение ск Удалить сообщение Изменение темы Перемещение в папку "Нежелательная Email" Никаких действий не было предпринят Сообщение перенаправления Отправка в карантин	✔	✔
размер Email	Целое число. Разделите несколько значений запятыми.	✔	✔
Дополнительные
Идентификатор сообщения Интернета	Текст. Разделите несколько значений запятыми. Доступно в поле Заголовок Message-ID в заголовке сообщения. Пример значения: <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (обратите внимание на угловые скобки).	✔	✔
Идентификатор сетевого сообщения	Текст. Разделите несколько значений запятыми. Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.	✔	✔
IP-адрес отправителя	Текст. Разделите несколько значений запятыми.	✔	✔
Вложение SHA256	Текст. Разделите несколько значений запятыми.	✔	✔
Идентификатор кластера	Текст. Разделите несколько значений запятыми.	✔	✔
Идентификатор оповещения	Текст. Разделите несколько значений запятыми.	✔	✔
Идентификатор политики оповещений	Текст. Разделите несколько значений запятыми.	✔	✔
Идентификатор кампании	Текст. Разделите несколько значений запятыми.	✔	✔
Сигнал URL-адреса ZAP	Текст. Разделите несколько значений запятыми.	✔	✔
Urls
Число URL-адресов	Целое число. Разделите несколько значений запятыми.	✔	✔
Домен URL-адреса	Текст. Разделите несколько значений запятыми.	✔	✔
Домен и путь URL-адреса	Текст. Разделите несколько значений запятыми.	✔	✔
URL-адрес	Текст. Разделите несколько значений запятыми.	✔	✔
URL-путь	Текст. Разделите несколько значений запятыми.	✔	✔
Источник URL-адреса	Выберите одно или несколько значений: Вложения Облачное вложение тело Email заголовок Email QR-код Тема Unknown	✔	✔
Щелкните вердикт	Выберите одно или несколько значений: Разрешены Переопределение блока Заблокировано Ошибка Сбоя Нет Ожидается вердикт Ожидающий вердикт обошел	✔	✔
Угроза URL-адресов	Выберите одно или несколько значений: Вредоносная программа Фишинг Спам	✔	✔
Файл
Количество вложений	Целое число. Разделите несколько значений запятыми.	✔	✔
Имя файла вложения	Текст. Разделите несколько значений запятыми.	✔	✔
Тип файла	Текст. Разделите несколько значений запятыми.	✔	✔
Расширение файла	Текст. Разделите несколько значений запятыми.	✔	✔
Размер файла	Целое число. Разделите несколько значений запятыми.	✔	✔
Проверка подлинности
SPF	Выберите одно или несколько значений: Не Нейтральных Нет Пройти Постоянная ошибка Soft fail. Временная ошибка	✔	✔
DKIM	Выберите одно или несколько значений: Ошибка Не Ignore Нет Пройти Test Timeout Unknown	✔	✔
DMARC	Выберите одно или несколько значений: Лучший проход догадки Не Нет Пройти Постоянная ошибка Передача селектора Временная ошибка Unknown	✔	✔
Композитных	Выберите одно или несколько значений: Не Нет Пройти Обратимый проход

Сводные сведения для диаграммы в представлении вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводки диаграмм, доступные в представлении вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени, перечислены в следующей таблице:

Pivot	Угрозы Обозреватель	В режиме реального времени Обнаружения
Семейство вредоносных программ	✔
Домен отправителя	✔
IP-адрес отправителя	✔
Действие доставки	✔	✔
Технология обнаружения	✔	✔

Доступные сводки диаграмм описаны в следующих подразделах.

Сводная диаграмма семейства вредоносных программ в представлении Вредоносные программы в Обозреватель угроз

Хотя эта сводка не выбрана по умолчанию, семейство вредоносных программ является сводной диаграммой по умолчанию в представлении Вредоносные программы в Обозреватель угроз.

Сводка семейства вредоносных программ упорядочивает диаграмму по семейству вредоносных программ, обнаруженных в сообщениях, для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого семейства вредоносных программ.

Сводная таблица доменов отправителей в представлении вредоносных программ в Обозреватель угроз

Сводка домена отправителя упорядочивает диаграмму по домену отправителя сообщений, которые были найдены для вредоносных программ для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена отправителя.

Сводка IP-диаграммы отправителей в представлении вредоносных программ в Обозреватель угроз

Сводка IP-адресов отправителя упорядочивает диаграмму по исходному IP-адресу сообщений, содержащих вредоносные программы для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается число для каждого исходного IP-адреса.

Сводная диаграмма действий доставки в представлении вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

Хотя эта сводка не выглядит выбранной по умолчанию, действие "Доставка " является сводной диаграммой по умолчанию в представлении Вредоносные программы в режиме обнаружения в режиме реального времени.

Сводка действия доставки упорядочивает диаграмму по тому, что произошло с сообщениями, которые были найдены вредоносными программами для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого действия доставки.

Сводка технологической диаграммы обнаружения в представлении вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

Сводка технологии обнаружения упорядочивает диаграмму по признаку, который идентифицировал вредоносные программы в сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Представления для области сведений в представлении вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

Доступные представления (вкладки) в области сведений представления "Вредоносные программы " перечислены в следующей таблице и описаны в следующих подразделах.

View	Угрозы Обозреватель	В режиме реального времени Обнаружения
Отправить сообщение	✔	✔
Основные семейства вредоносных программ	✔
Основные целевые пользователи	✔
источник Email	✔
Кампания	✔

Email представление сведений в представлении вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

Email — это представление по умолчанию для области сведений о вредоносных программах в Обозреватель угроз и обнаружения в режиме реального времени.

В представлении Email показана таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы.

В следующей таблице показаны столбцы, доступные в Обозреватель угроз и обнаружения в режиме реального времени. Значения по умолчанию помечаются звездочкой (^*).

Столбец	Угрозы Обозреватель	В режиме реального времени Обнаружения
Дата*	✔	✔
Тема*	✔	✔
Получателя*	✔	✔
домен получателя;	✔	✔
Теги*	✔
Адрес отправителя*	✔	✔
Отображаемое имя отправителя	✔	✔
Домен отправителя*	✔	✔
IP-адрес отправителя	✔	✔
Отправитель почты с адреса	✔	✔
Отправитель почты из домена	✔	✔
Дополнительные действия*	✔	✔
Действие доставки	✔	✔
Последнее расположение доставки*	✔	✔
Исходное расположение доставки*	✔	✔
Источник переопределений системы	✔	✔
Системные переопределения	✔	✔
Идентификатор оповещения	✔	✔
Идентификатор сообщения в Интернете	✔	✔
Идентификатор сетевого сообщения	✔	✔
Язык почты	✔	✔
Правило транспорта Exchange	✔
Соединитель	✔
Context	✔	✔
Правило защиты от потери данных	✔	✔
Тип угрозы*	✔	✔
Технология обнаружения	✔	✔
Количество вложений	✔	✔
Число URL-адресов	✔	✔
размер Email	✔	✔

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Удалите столбцы из представления.
• Уменьшение масштаба в веб-браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

При выборе одной или нескольких записей в списке, выбрав поле проверка рядом с первым столбцом, доступны действия сообщения. Дополнительные сведения см. в разделе Охота на угрозы: Email исправление.

При выборе значений Тема или Получатель в записи открываются всплывающие элементы сведений. Эти всплывающие элементы описаны в следующих подразделах.

Email сведения из представления Email области сведений в представлении вредоносных программ

При выборе значения Subject для записи в таблице откроется всплывающее окно сведений о сообщении электронной почты. Этот всплывающий элемент сведений называется панелью сводки Email и содержит стандартизированную сводную информацию, которая также доступна на странице Email сущности сообщения.

Дополнительные сведения о панели сводки Email см. в разделе Панели сводки Email.

Доступные действия в верхней части панели сводки Email для обнаружения угроз Обозреватель и обнаружения в режиме реального времени описаны в разделе Email сведения из Email области сведений в представлении Все сообщения электронной почты.

Сведения о получателе из представления Email области сведений в представлении вредоносных программ

При выборе записи, щелкнув значение Recipient , откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о получателе из Email области сведений в представлении Все сообщения электронной почты.

Представление "Основные семейства вредоносных программ" для подробной области представления "Вредоносные программы" в Обозреватель

В представлении Основные семейства вредоносных программ в области сведений данные упорядочиваются в таблицу основных семейств вредоносных программ. В таблице представлены следующие компоненты:

• Столбец "Основные семейства вредоносных программ": имя семейства вредоносных программ.

  Если выбрать имя семейства вредоносных программ, откроется всплывающее окно сведений, содержащее следующие сведения:

  • Email разделе: таблица, содержащая следующие связанные сведения для сообщений, содержащих файл вредоносной программы:

    • Date
    • Тема
    • Получатель

    Выберите Просмотреть все сообщения электронной почты, чтобы открыть Обозреватель угрозы на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

  • Раздел технических сведений

  

• Количество попыток. Если выбрать количество попыток, Обозреватель угроза откроется на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

В представлении "Основные целевые пользователи" в области сведений о вредоносных программах в Обозреватель

В представлении Основные целевые пользователи данные упорядочиваются в таблицу пяти основных получателей, на которых нацелились вредоносные программы. В таблице представлены следующие компоненты:

• Основные целевые пользователи: адрес электронной почты наиболее целевого пользователя. Если выбрать адрес электронной почты, откроется всплывающее окно сведений. Информация во всплывающем элементе аналогична описанной в разделе Основные целевые пользователи для области сведений в представлении Все сообщения электронной почты в Обозреватель угрозы.

• Количество попыток. Если выбрать количество попыток, Обозреватель угроза откроется на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

Совет

Экспорт используется для экспорта списка до 3000 пользователей и соответствующих попыток.

Email представление источника для области сведений в представлении вредоносных программ в Обозреватель угроз

В представлении источника Email отображаются источники сообщений на карте мира.

Представление кампании для области сведений в представлении вредоносных программ в Обозреватель угроз

В представлении Кампания отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца.

Таблица сведений идентична таблице сведений на странице Кампании.

При выборе записи, щелкнув в любом месте строки, кроме поля проверка рядом с именем, откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о кампании.

Представление фишинга в Обозреватель угроз и обнаружения в режиме реального времени

В представлении Фишинг в Обозреватель угроз и обнаружения в режиме реального времени отображаются сведения о сообщениях электронной почты, которые были определены как фишинговые.

Чтобы открыть представление фишинга , выполните одно из следующих действий.

• Обозреватель угроз. На странице Обозреватель на портале Defender перейдите на https://security.microsoft.comвкладку Email & совместная работа>Обозреватель>Фиш. Или перейдите непосредственно на страницу Обозреватель с помощью https://security.microsoft.com/threatexplorerv3и выберите вкладку Фишинг.
• Обнаружение в режиме реального времени. На странице Обнаружения в режиме реального времени на портале Defender перейдите на https://security.microsoft.comвкладку Email & совместная работа>Обозреватель>Фиш. Или перейдите непосредственно на страницу обнаружения в режиме реального времени с помощью https://security.microsoft.com/realtimereportsv3и выберите вкладку Фишинг.

Фильтруемые свойства в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в Обозреватель угроз и обнаружение в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле Адрес отправителя в представлении Вредоносные программы , описаны в следующей таблице:

Свойство	Тип	Угрозы Обозреватель	В режиме реального времени Обнаружения
Базовый
Адрес отправителя	Текст. Разделите несколько значений запятыми.	✔	✔
Recipients	Текст. Разделите несколько значений запятыми.	✔	✔
домен отправителя;	Текст. Разделите несколько значений запятыми.	✔	✔
домен получателя;	Текст. Разделите несколько значений запятыми.	✔	✔
Subject	Текст. Разделите несколько значений запятыми.	✔	✔
Отображаемое имя отправителя	Текст. Разделите несколько значений запятыми.	✔	✔
Отправитель почты с адреса	Текст. Разделите несколько значений запятыми.	✔	✔
Отправитель почты из домена	Текст. Разделите несколько значений запятыми.	✔	✔
Путь к возврату	Текст. Разделите несколько значений запятыми.	✔	✔
Домен возвращаемого пути	Текст. Разделите несколько значений запятыми.	✔	✔
Tags	Текст. Разделите несколько значений запятыми. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.	✔
Олицетворенный домен	Текст. Разделите несколько значений запятыми.	✔	✔
Олицетворенный пользователь	Текст. Разделите несколько значений запятыми.	✔	✔
Правило транспорта Exchange	Текст. Разделите несколько значений запятыми.	✔
Правило защиты от потери данных	Текст. Разделите несколько значений запятыми.	✔
Контекст	Выберите одно или несколько значений: Evaluation Защита учетных записей с приоритетом	✔
Connector	Текст. Разделите несколько значений запятыми.	✔
Действие доставки	Выберите одно или несколько значений: Заблокировано Доставлено Доставлено в нежелательные Заменено: вложения сообщений, которые были заменены динамической доставкой в политиках безопасных вложений.	✔	✔
Дополнительное действие	Выберите одно или несколько значений: Автоматическое исправление Динамическая доставка Исправление вручную Нет Выпуск карантина Повторно обработано ZAP	✔	✔
Направление	Выберите одно или несколько значений: Входящих Intra-irg Исходящий	✔	✔
Технология обнаружения	Выберите одно или несколько значений: Расширенный фильтр Защита от вредоносных программ Массовая рассылка Кампания Репутация домена Отключение файла Репутация отключения файла Репутация файла Сопоставление отпечатков Общий фильтр Олицетворение фирменной символики Олицетворение домена Олицетворение пользователя Репутация IP-адресов Олицетворение на основе аналитики почтовых ящиков Обнаружение с помощью смешанного анализа spoof DMARC Спуфинг внешнего домена Спуфинг внутри организации Отключение URL-адресов Репутация отключения URL-адресов Репутация вредоносного URL-адреса	✔	✔
Исходное расположение доставки	Выберите одно или несколько значений: папка "Удаленные" Упал Не удалось выполнить Папка "Входящие" Нежелательная почта Локальный/внешний Карантин Unknown	✔	✔
Последнее расположение доставки	Те же значения, что и исходное расположение доставки	✔	✔
Уровень достоверности фишинга	Выберите одно или несколько значений: Высокий Normal	✔
Основное переопределение	Выберите одно или несколько значений: Разрешено политикой организации Разрешено политикой пользователя Заблокировано политикой организации Заблокировано политикой пользователя Нет	✔	✔
Источник первичного переопределения	Сообщения могут иметь несколько разрешенных или заблокированных переопределений, определенных в источнике переопределения. Переопределение, которое в конечном итоге разрешило или заблокировало сообщение, идентифицируется в источнике первичного переопределения. Выберите одно или несколько значений: Сторонний фильтр Администратор инициированные поездки по времени (ZAP) Блок политики защиты от вредоносных программ по типу файла Параметры политики защиты от нежелательнойam Политика подключения Правило транспорта Exchange Монопольный режим (переопределение пользователя) Фильтрация пропущена из-за локальной организации Фильтр ip-регионов из политики Языковой фильтр из политики Моделирование фишинга Выпуск карантина Почтовый ящик SecOps Список адресов отправителей (Администратор переопределение) Список адресов отправителей (переопределение пользователей) Список доменов отправителей (Администратор переопределение) Список доменов отправителей (переопределение пользователей) Блок файлов списка разрешенных и заблокированных клиентов Блок адреса отправителя списка разрешенных и заблокированных клиентов Подделаный блок списка разрешений и блокировок клиента Блок URL-адресов списка разрешенных и заблокированных клиентов Список доверенных контактов (переопределение пользователей) Доверенный домен (переопределение пользователя) Доверенный получатель (переопределение пользователя) Только доверенные отправители (переопределение пользователей)	✔	✔
Переопределение источника	Те же значения, что и источник первичного переопределения	✔	✔
Тип политики	Выберите одно или несколько значений: Политика защиты от вредоносных программ Политика защиты от фишинга Правило транспорта Exchange (правило потока обработки почты), политика фильтра размещенного содержимого (политика защиты от нежелательной почты), политика фильтра размещенной исходящей нежелательной почты (политика исходящей нежелательной почты), политика безопасных вложений Unknown	✔	✔
Действие политики	Выберите одно или несколько значений: Добавление X-заголовка Сообщение ск Удалить сообщение Изменение темы Перемещение в папку "Нежелательная Email" Никаких действий не было предпринят Сообщение перенаправления Отправка в карантин	✔	✔
размер Email	Целое число. Разделите несколько значений запятыми.	✔	✔
Дополнительные
Идентификатор сообщения Интернета	Текст. Разделите несколько значений запятыми. Доступно в поле Заголовок Message-ID в заголовке сообщения. Пример значения: <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (обратите внимание на угловые скобки).	✔	✔
Идентификатор сетевого сообщения	Текст. Разделите несколько значений запятыми. Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.	✔	✔
IP-адрес отправителя	Текст. Разделите несколько значений запятыми.	✔	✔
Вложение SHA256	Текст. Разделите несколько значений запятыми.	✔	✔
Идентификатор кластера	Текст. Разделите несколько значений запятыми.	✔	✔
Идентификатор оповещения	Текст. Разделите несколько значений запятыми.	✔	✔
Идентификатор политики оповещений	Текст. Разделите несколько значений запятыми.	✔	✔
Идентификатор кампании	Текст. Разделите несколько значений запятыми.	✔	✔
Сигнал URL-адреса ZAP	Текст. Разделите несколько значений запятыми.	✔
Urls
Число URL-адресов	Целое число. Разделите несколько значений запятыми.	✔	✔
Домен URL-адреса	Текст. Разделите несколько значений запятыми.	✔	✔
Домен и путь URL-адреса	Текст. Разделите несколько значений запятыми.	✔
URL-адрес	Текст. Разделите несколько значений запятыми.	✔
URL-путь	Текст. Разделите несколько значений запятыми.	✔
Источник URL-адреса	Выберите одно или несколько значений: Вложения Облачное вложение тело Email заголовок Email QR-код Тема Unknown	✔	✔
Щелкните вердикт	Выберите одно или несколько значений: Разрешены Переопределение блока Заблокировано Ошибка Сбоя Нет Ожидается вердикт Ожидающий вердикт обошел	✔	✔
Угроза URL-адресов	Выберите одно или несколько значений: Вредоносная программа Фишинг Спам	✔	✔
Файл
Количество вложений	Целое число. Разделите несколько значений запятыми.	✔	✔
Имя файла вложения	Текст. Разделите несколько значений запятыми.	✔	✔
Тип файла	Текст. Разделите несколько значений запятыми.	✔	✔
Расширение файла	Текст. Разделите несколько значений запятыми.	✔	✔
Размер файла	Целое число. Разделите несколько значений запятыми.	✔	✔
Проверка подлинности
SPF	Выберите одно или несколько значений: Не Нейтральных Нет Пройти Постоянная ошибка Soft fail. Временная ошибка	✔	✔
DKIM	Выберите одно или несколько значений: Ошибка Не Ignore Нет Пройти Test Timeout Unknown	✔	✔
DMARC	Выберите одно или несколько значений: Лучший проход догадки Не Нет Пройти Постоянная ошибка Передача селектора Временная ошибка Unknown	✔	✔
Композитных	Выберите одно или несколько значений: Не Нет Пройти Обратимый проход

Сводные сведения для диаграммы в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводки диаграмм, доступные в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени, перечислены в следующей таблице:

Pivot	Угрозы Обозреватель	В режиме реального времени Обнаружения
Домен отправителя	✔	✔
IP-адрес отправителя	✔
Действие доставки	✔	✔
Технология обнаружения	✔	✔
Полный URL-адрес	✔
Домен URL-адреса	✔	✔
Домен и путь URL-адреса	✔

Доступные сводки диаграмм описаны в следующих подразделах.

Сводная диаграмма домена отправителей в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

Хотя эта сводка не выбрана по умолчанию, домен отправителя является сводной диаграммой по умолчанию в представлении фишинга в обнаружении в режиме реального времени.

Сводка домена отправителя упорядочивает диаграмму по доменам в сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена отправителя.

Сводка IP-диаграммы отправителей в представлении фишинга в Обозреватель угроз

Сводка IP-адресов отправителя упорядочивает диаграмму по исходным IP-адресам сообщений для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается число для каждого исходного IP-адреса.

Сводка диаграммы действий доставки в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

Хотя эта сводка не выглядит выбранной по умолчанию, действие доставки является сводной диаграммой по умолчанию в представлении фишинга в Обозреватель угрозы.

Сводка действия доставки упорядочивает диаграмму по действиям, выполняемым с сообщениями для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого действия доставки.

Сводка технологической диаграммы обнаружения в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

Сводка технологии обнаружения упорядочивает диаграмму по признаку, который идентифицирует фишинговые сообщения для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Полная сводка диаграммы URL-адресов в представлении фишинга в Обозреватель угроз

Сводка полных URL-адресов упорядочивает диаграмму по полным URL-адресам в фишинговых сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого полного URL-адреса.

Сводка диаграммы доменов URL-адресов в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

Сводка доменов URL-адресов упорядочивает диаграмму по доменам в URL-адресах в фишинговых сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена URL-адресов.

Сводка области доменов и путей URL-адресов в представлении фишинга в Обозреватель угроз

Сводная таблица домена URL-адреса и пути упорядочивает диаграмму по доменам и путям в URL-адресах в фишинговых сообщениях для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается счетчик для каждого домена URL-адреса и пути.

Представления для области сведений в представлении фишинга в Обозреватель угроз

Доступные представления (вкладки) в области сведений представления Фишинг перечислены в следующей таблице и описаны в следующих подразделах.

View	Угрозы Обозреватель	В режиме реального времени Обнаружения
Отправить сообщение	✔	✔
Переходы по URL-адресу	✔	✔
Основные URL-адреса	✔	✔
Первые щелчки	✔	✔
Основные целевые пользователи	✔
источник Email	✔
Кампания	✔

Email представление сведений о представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

Email — это представление по умолчанию для области сведений в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени.

В представлении Email показана таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы.

В следующей таблице показаны столбцы, доступные в Обозреватель угроз и обнаружения в режиме реального времени. Значения по умолчанию помечаются звездочкой (^*).

Столбец	Угрозы Обозреватель	В режиме реального времени Обнаружения
Дата*	✔	✔
Тема*	✔	✔
Получателя*	✔	✔
домен получателя;	✔	✔
Теги*	✔
Адрес отправителя*	✔	✔
Отображаемое имя отправителя	✔	✔
Домен отправителя*	✔	✔
IP-адрес отправителя	✔	✔
Отправитель почты с адреса	✔	✔
Отправитель почты из домена	✔	✔
Дополнительные действия*	✔	✔
Действие доставки	✔	✔
Последнее расположение доставки*	✔	✔
Исходное расположение доставки*	✔	✔
Источник переопределений системы	✔	✔
Системные переопределения	✔	✔
Идентификатор оповещения	✔	✔
Идентификатор сообщения в Интернете	✔	✔
Идентификатор сетевого сообщения	✔	✔
Язык почты	✔	✔
Правило транспорта Exchange	✔
Соединитель	✔
Уровень достоверности фишинга	✔
Context	✔
Правило защиты от потери данных	✔
Тип угрозы*	✔	✔
Технология обнаружения	✔	✔
Количество вложений	✔	✔
Число URL-адресов	✔	✔
размер Email	✔	✔

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Удалите столбцы из представления.
• Уменьшение масштаба в веб-браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

При выборе одной или нескольких записей в списке, выбрав поле проверка рядом с первым столбцом, доступны действия сообщения. Дополнительные сведения см. в разделе Охота на угрозы: Email исправление.

При выборе значений Тема или Получатель в записи открываются всплывающие элементы сведений. Эти всплывающие элементы описаны в следующих подразделах.

Email сведения из представления Email области сведений в представлении Фишинг

При выборе значения Subject для записи в таблице откроется всплывающее окно сведений о сообщении электронной почты. Этот всплывающий элемент сведений называется панелью сводки Email и содержит стандартизированную сводную информацию, которая также доступна на странице Email сущности сообщения.

Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email в Defender для Office 365 функции.

Доступные действия в верхней части панели сводки Email для обнаружения угроз Обозреватель и обнаружения в режиме реального времени описаны в разделе Email сведения из Email области сведений в представлении Все сообщения электронной почты.

Сведения о получателе из представления Email области сведений в представлении фишинга

При выборе записи, щелкнув значение Recipient , откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о получателе из Email области сведений в представлении Все сообщения электронной почты.

Просмотр URL-адресов для области сведений в представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

В представлении url-адреса щелкается диаграмма, которую можно упорядочить с помощью сводных данных. Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводки диаграмм, доступные в представлении вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени, описаны в следующей таблице:

Pivot	Угрозы Обозреватель	В режиме реального времени Обнаружения
Домен URL-адреса	✔	✔
Щелкните вердикт	✔	✔
URL-адрес	✔
Домен и путь URL-адреса	✔

Одни и те же сводки диаграмм доступны и описаны в представлении Все сообщения электронной почты в Обозреватель угрозы:

• Сводка доменов URL-адресов для представления щелчков URL-адресов для области сведений в представлении Все сообщения электронной почты в Обозреватель
• Щелкните сводку вердикта в представлении URL-адресов, чтобы получить сведения в представлении Все сообщения электронной почты в Обозреватель
• Сводка URL-адресов для представления щелчков URL-адресов для области сведений представления "Все сообщения электронной почты" в Обозреватель
• Сводные сведения о домене URL-адреса и пути для представления щелчков URL-адресов в области сведений представления "Все сообщения электронной почты" в Обозреватель

Совет

В Обозреватель угроза каждая сводка в представлении переходов URL-адреса имеет действие Просмотреть все щелчки, которое открывает представление щелчков URL-адреса в Обозреватель угрозы на новой вкладке. Это действие недоступно при обнаружении в режиме реального времени, так как представление щелчков URL-адреса недоступно при обнаружении в режиме реального времени.

Представление "Основные URL-адреса" для области сведений о представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

В представлении Верхние URL-адреса отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

• URL-адрес
• Сообщения заблокированы
• Сообщения, передаваемые нежелательной почтой
• Доставленные сообщения

Основные сведения о URL-адресах для представления фишинга

При выборе записи, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений. Сведения во всплывающем меню такие же, как описано в разделе Основные СВЕДЕНИЯ о URL-адресах для представления "Все сообщения электронной почты".

Совет

Действие Go hunt доступно только в Обозреватель угроз. Он недоступен в функциях обнаружения в режиме реального времени.

Первые щелчки для области сведений о представлении фишинга в Обозреватель угроз и обнаружения в режиме реального времени

В представлении Верхний щелчок отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

• URL-адрес
• Заблокировано
• Разрешено
• Переопределение блока
• Ожидается вердикт
• Ожидающий вердикт обошел
• Нет
• Страница ошибки
• Сбоя

Совет

Выбраны все доступные столбцы. Если выбрать параметр Настроить столбцы, вы не сможете отменить выбор столбцов.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Уменьшение масштаба в веб-браузере.

При выборе записи, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений. Сведения во всплывающем меню такие же, как описано в разделе Основные СВЕДЕНИЯ о URL-адресах для представления "Все сообщения электронной почты".

Представление наиболее целевых пользователей для области сведений в представлении фишинга в Обозреватель угроз

В представлении "Основные целевые пользователи " данные упорядочиваются в таблицу пяти основных получателей, на которых были направлены попытки фишинга. В таблице представлены следующие компоненты:

• Основные целевые пользователи: адрес электронной почты наиболее целевого пользователя. Если выбрать адрес электронной почты, откроется всплывающее окно сведений. Информация во всплывающем элементе аналогична описанной в разделе Основные целевые пользователи для области сведений в представлении Все сообщения электронной почты в Обозреватель угрозы.

• Количество попыток. Если выбрать количество попыток, Обозреватель угроза откроется на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

Совет

Экспорт используется для экспорта списка до 3000 пользователей и соответствующих попыток.

Email представление источника для области сведений о представлении фишинга в Обозреватель угроз

В представлении источника Email отображаются источники сообщений на карте мира.

Представление кампании для области сведений о представлении фишинга в Обозреватель угроз

В представлении Кампания отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца.

Сведения в таблице такие же, как описано в таблице подробных сведений на странице Кампании.

При выборе записи, щелкнув в любом месте строки, кроме поля проверка рядом с именем, откроется всплывающее окно сведений. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о кампании.

Представление кампаний в Обозреватель угроз

В представлении Кампании в Обозреватель угрозы отображаются сведения об угрозах, которые были определены как скоординированные фишинговые и вредоносные атаки, относящиеся к вашей организации или другим организациям в Microsoft 365.

Чтобы открыть представление Кампании на странице Обозреватель на портале Defender по адресу , перейдите на https://security.microsoft.comвкладку Email & совместная работа>Обозреватель>Campaigns. Или перейдите непосредственно на страницу Обозреватель с помощью https://security.microsoft.com/threatexplorerv3и выберите вкладку Кампании.

Все доступные сведения и действия идентичны информации и действиям на странице Кампании по адресу https://security.microsoft.com/campaignsv3. Дополнительные сведения см. на странице Кампании на портале Microsoft Defender.

Представление вредоносных программ содержимого в Обозреватель угроз и обнаружения в режиме реального времени

В представлении Содержимое вредоносных программ в Обозреватель угроз и в режиме реального времени отображаются сведения о файлах, которые были определены как вредоносные программы:

• Встроенная защита от вирусов в SharePoint, OneDrive и Microsoft Teams
• Безопасные вложения для SharePoint, OneDrive и Microsoft Teams.

Чтобы открыть представление Содержимое вредоносных программ , выполните одно из следующих действий.

• Обозреватель угроз. На странице Обозреватель на портале Defender перейдите на https://security.microsoft.comвкладку Email & совместная работа>Обозреватель>Выбор вредоносных программ. Или перейдите непосредственно на страницу Обозреватель с помощью https://security.microsoft.com/threatexplorerv3, а затем перейдите на вкладку Содержимое вредоносных программ.
• Обнаружение в режиме реального времени. На странице Обнаружения в режиме реального времени на портале Defender перейдите на https://security.microsoft.comвкладку Email & совместной работы>Обозреватель>Контент вредоносных программ. Или перейдите непосредственно на страницу обнаружения в режиме реального времени с помощью https://security.microsoft.com/realtimereportsv3и выберите вкладку Содержимое вредоносных программ.

Фильтруемые свойства в представлении содержимого вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в Обозреватель угроз и обнаружение в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле Имя файла в представлении Содержимое вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени, описаны в следующей таблице:

Свойство	Тип	Угрозы Обозреватель	В режиме реального времени Обнаружения
Файл
Имя файла	Текст. Разделите несколько значений запятыми.	✔	✔
Workload	Выберите одно или несколько значений: OneDrive SharePoint Teams	✔	✔
Site	Текст. Разделите несколько значений запятыми.	✔	✔
Владелец файла	Текст. Разделите несколько значений запятыми.	✔	✔
Автор последнего изменения	Текст. Разделите несколько значений запятыми.	✔	✔
SHA256	Целое число. Разделите несколько значений запятыми. Чтобы найти хэш-значение SHA256 файла в Windows, выполните в командной строке следующую команду: certutil.exe -hashfile "<Path>\<Filename>" SHA256.	✔	✔
Семейство вредоносных программ	Текст. Разделите несколько значений запятыми.	✔	✔
Технология обнаружения	Выберите одно или несколько значений: Расширенный фильтр Защита от вредоносных программ Массовая рассылка Кампания Репутация домена Отключение файла Репутация отключения файла Репутация файла Сопоставление отпечатков Общий фильтр Олицетворение фирменной символики Олицетворение домена Олицетворение пользователя Репутация IP-адресов Олицетворение на основе аналитики почтовых ящиков Обнаружение с помощью смешанного анализа spoof DMARC Спуфинг внешнего домена Спуфинг внутри организации Отключение URL-адресов Репутация отключения URL-адресов Репутация вредоносного URL-адреса	✔	✔
Тип угрозы	Выберите одно или несколько значений: Блокировка Вредоносная программа Фишинг Спам	✔	✔

Сводные сведения для диаграммы в представлении Содержимое вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводки диаграмм, доступные в представлении Содержимое вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени, перечислены в следующей таблице:

Pivot	Угрозы Обозреватель	В режиме реального времени Обнаружения
Семейство вредоносных программ	✔	✔
Технология обнаружения	✔	✔
Workload	✔	✔

Доступные сводки диаграмм описаны в следующих подразделах.

Сводная диаграмма семейства вредоносных программ в представлении Содержимое вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

Хотя эта сводка не выбрана по умолчанию, семейство вредоносных программ является сводной диаграммой по умолчанию в представлении Содержимое вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени.

Сводка семейства вредоносных программ упорядочивает диаграмму по вредоносным программам, обнаруженным в файлах в SharePoint, OneDrive и Microsoft Teams, используя указанный диапазон даты и времени и фильтры свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого семейства вредоносных программ.

Сводка технологической диаграммы обнаружения в представлении вредоносных программ содержимого в Обозреватель угроз и обнаружения в режиме реального времени

Сводка технологии обнаружения упорядочивает диаграмму по признаку, который идентифицирует вредоносные программы в файлах в SharePoint, OneDrive и Microsoft Teams для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Сводка диаграммы рабочей нагрузки в представлении Содержимое вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

Сводка рабочей нагрузки упорядочивает диаграмму по месту обнаружения вредоносной программы (SharePoint, OneDrive или Microsoft Teams) для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой рабочей нагрузки.

Представления для области сведений в представлении содержимого вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

В области обнаружения угроз Обозреватель и в режиме реального времени область сведений в представлении вредоносных программ содержимого содержит только одно представление (вкладка) с именем Документы. Это представление описано в следующем подразделе.

Представление документа для области сведений в представлении содержимого вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени

Документ является представлением по умолчанию и только для области сведений в представлении Содержимое вредоносных программ .

В представлении "Документ" отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Дата^*
• Имя^*
• Рабочей нагрузки^*
• Угрозу^*
• Технология обнаружения^*
• Последнее изменение пользователя^*
• Владелец файла^*
• Размер (байт)^*
• Время последнего изменения
• Путь к сайту
• Путь к файлу
• Идентификатор документа
• SHA256
• Дата обнаружения
• Семейство вредоносных программ
• Context

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Удалите столбцы из представления.
• Уменьшение масштаба в веб-браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

При выборе значения имени файла в столбце Имя откроется всплывающее окно сведений. Всплывающее окно содержит следующие сведения:

• Раздел сводки :

  • Filename
  • Путь к сайту
  • Путь к файлу
  • Идентификатор документа
  • SHA256
  • Дата последнего изменения
  • Автор последнего изменения
  • Угроза
  • Технология обнаружения

• Раздел сведений :

  • Дата обнаружения
  • Обнаружено
  • Имя вредоносной программы
  • Автор последнего изменения
  • Размер файла
  • Владелец файла

• Email раздел списка: таблица со следующими связанными сведениями для сообщений, содержащих файл вредоносных программ.

  • Date
  • Тема
  • Получатель

  Выберите Просмотреть все сообщения электронной почты, чтобы открыть Обозреватель угрозы на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

• Последние действия: отображаются сводные результаты поиска получателя в журнале аудита :

  • Date
  • IP-адрес.
  • Действия
  • Элемент

  Если у получателя более трех записей журнала аудита, выберите Просмотреть все последние действия , чтобы просмотреть все из них.

  Совет

  Члены группы ролей "Администраторы безопасности" в Email & разрешения на совместную работу не могут развернуть раздел Последние действия. Необходимо быть членом группы ролей в Exchange Online разрешениях, которым назначены роли журналов аудита, аналитика Information Protection или следователя Information Protection. По умолчанию эти роли назначаются группам ролей Управление записями, Управление соответствием требованиям, Information Protection, Аналитики Information Protection, Information Protection Следователи и Управление организацией. В эти группы ролей можно добавить членов администраторов безопасности или создать новую группу ролей с назначенной ролью Журналы аудита .

Представление щелчков URL-адреса в Обозреватель угроз

Url-адрес щелкает представление в Обозреватель угрозы показывает, что все пользователи щелкают URL-адреса в электронной почте, в поддерживаемых файлах Office в SharePoint и OneDrive, а также в Microsoft Teams.

Чтобы открыть представление щелчков URL-адреса на странице Обозреватель на портале Defender по адресу , перейдите на https://security.microsoft.comвкладку Email & совместной работы>Обозреватель>URL щелкает вкладку . Или перейдите непосредственно на страницу Обозреватель с помощью https://security.microsoft.com/threatexplorerv3и выберите вкладку URL-адреса.

Фильтруемые свойства в представлении щелчков URL-адреса в Обозреватель угроз

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в Обозреватель угроз и обнаружение в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле Получатели в представлении переходов URL-адреса в Обозреватель угрозы, описаны в следующей таблице:

Свойство	Тип
Базовый
Recipients	Текст. Разделите несколько значений запятыми.
Tags	Текст. Разделите несколько значений запятыми. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Идентификатор сетевого сообщения	Текст. Разделите несколько значений запятыми. Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.
URL-адрес	Текст. Разделите несколько значений запятыми.
Действие щелчка	Выберите одно или несколько значений: Разрешены Страница блокировки Переопределение страницы блокировки Страница ошибки Сбоя Нет Страница ожидания детонации Переопределение страницы ожидания детонации
Тип угрозы	Выберите одно или несколько значений: Allow Блокировка Вредоносная программа Фишинг Спам
Технология обнаружения	Выберите одно или несколько значений: Отключение URL-адресов Репутация отключения URL-адресов Репутация вредоносного URL-адреса
Щелкните Идентификатор	Текст. Разделите несколько значений запятыми.
IP-адрес клиента	Текст. Разделите несколько значений запятыми.

Сводные данные для диаграммы в представлении переходов URL-адреса в Обозреватель угрозы

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Доступные сводки диаграмм описаны в следующих подразделах.

Сводка диаграммы доменов URL-адресов в представлении щелчков URL-адресов в Обозреватель

Хотя эта сводка не выглядит выбранной по умолчанию, домен URL-адреса является сводной диаграммой по умолчанию в представлении щелчков URL-адресов .

Сводка доменов URL-адресов упорядочивает диаграмму по доменам в URL-адресах, которые пользователи щелкнули в электронной почте, файлах Office или Microsoft Teams для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена URL-адресов.

Сводка диаграммы рабочей нагрузки в представлении щелчков URL-адреса в Обозреватель угрозы

Сводная рабочая нагрузка упорядочивает диаграмму по расположению выбранного URL-адреса (электронная почта, файлы Office или Microsoft Teams) для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой рабочей нагрузки.

Сводка технологической диаграммы обнаружения в представлении щелчков URL-адреса в Обозреватель угроз

Сводка технологии обнаружения упорядочивает диаграмму по компоненту, который определяет url-адреса щелчков в электронной почте, файлах Office или Microsoft Teams для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Сводка диаграммы типов угроз в представлении щелчков URL-адреса в Обозреватель угроз

Сводная таблица типа угрозы упорядочивает диаграмму по результатам поиска URL-адресов в электронной почте, файлах Office или Microsoft Teams для указанного диапазона даты и времени и фильтров свойств.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии типа угроз.

Представления области сведений в представлении щелчков URL-адресов в Обозреватель угрозы

Доступные представления (вкладки) в области сведений представления щелчков URL-адресов описаны в следующих подразделах.

Представление результатов для области сведений в представлении щелчков URL-адресов в Обозреватель

Результаты — это представление по умолчанию для области сведений в представлении щелчков URL-адреса .

В представлении Результаты отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбраны все столбцы:

• Время нажатия
• Получатель
• Действие щелчка URL-адреса
• URL-адрес
• Tags
• Идентификатор сетевого сообщения
• Щелкните Идентификатор
• IP-адрес клиента
• Цепочка URL-адресов
• Тип угрозы
• Технология обнаружения

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Удалите столбцы из представления.
• Уменьшение масштаба в веб-браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

Выберите одну или одну из записей, выбрав поле проверка рядом с первым столбцом в строке, а затем выберите Просмотреть все сообщения электронной почты, чтобы открыть Обозреватель угрозы в представлении Все сообщения электронной почты на новой вкладке, отфильтрованной по значениям идентификаторов сетевых сообщений выбранных сообщений.

Представление верхних щелчков для области сведений в представлении щелчков URL-адресов в Обозреватель

В представлении Верхний щелчок отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

• URL-адрес
• Заблокировано
• Разрешено
• Переопределение блока
• Ожидается вердикт
• Ожидающий вердикт обошел
• Нет
• Страница ошибки
• Сбоя

Совет

Выбраны все доступные столбцы. Если выбрать параметр Настроить столбцы, вы не сможете отменить выбор столбцов.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Уменьшение масштаба в веб-браузере.

Выберите запись, выбрав поле проверка рядом с первым столбцом в строке, а затем выберите Просмотреть все щелчки, чтобы открыть Обозреватель угрозы на новой вкладке в представлении щелчков URL-адресов.

При выборе записи, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений. Сведения во всплывающем меню такие же, как описано в разделе Основные СВЕДЕНИЯ о URL-адресах для представления "Все сообщения электронной почты".

Представление наиболее целевых пользователей для области сведений в представлении щелчков URL-адресов в Обозреватель

В представлении Топ целевых пользователей данные упорядочиваются в таблицу пяти основных получателей, щелкнувших URL-адреса. В таблице представлены следующие компоненты:

• Основные целевые пользователи: адрес электронной почты наиболее целевого пользователя. Если выбрать адрес электронной почты, откроется всплывающее окно сведений. Информация во всплывающем элементе аналогична описанной в разделе Основные целевые пользователи для области сведений в представлении Все сообщения электронной почты в Обозреватель угрозы.

• Количество попыток. Если выбрать количество попыток, Обозреватель угроза откроется на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

Совет

Экспорт используется для экспорта списка до 3000 пользователей и соответствующих попыток.

Фильтры свойств в Обозреватель угроз и обнаружения в режиме реального времени

Базовый синтаксис фильтра свойств или запроса:

Условие = <Значение свойства фильтра><оператор><фильтра Значение свойства или значения свойства>

В нескольких условиях используется следующий синтаксис:

<Условие1><И | OR><Condition2><AND | ИЛИ><Условие 3>... <AND | OR><ConditionN>

Совет

Поиск с подстановочными знаками (* или ?) не поддерживается в текстовых или целых значениях. Свойство Subject использует частичное сопоставление текста и выдает результаты, аналогичные поиску с подстановочными знаками.

Действия по созданию условий фильтра свойств или запроса одинаковы во всех представлениях в Обозреватель угроз и обнаружения в режиме реального времени.

1. Определите свойство фильтра с помощью таблиц в разделах описания представления предварительного просмотра ранее в этой статье.

2. Выберите доступный оператор фильтра. Доступные операторы фильтра зависят от типа свойства, как описано в следующей таблице:

   Оператор filter	Тип свойства
   Равный любой из	Текст Integer Дискретные значения
   Значение равно ни одному из	Текст Дискретные значения
   Больше	Integer
   Менее	Integer

3. Введите или выберите одно или несколько значений свойств. Для текстовых значений и целых чисел можно ввести несколько значений, разделенных запятыми.

   Несколько значений в значении свойства используют логический оператор OR. Например, адрес> отправителяРавен любому из означает>bob@fabrikam.com,cindy@fabrikam.com, что адрес> отправителяравен любому из>bob@fabrikam.com или cindy@fabrikam.com.

   После ввода или выбора одного или нескольких значений свойства под полями создания фильтра отображается условие завершенного фильтра.

   Совет

   Для свойств, для которых требуется выбрать одно или несколько доступных значений, использование свойства в условии фильтра со всеми выбранными значениями приводит к тому же результату, что и не использование свойства в условии фильтра.

4. Чтобы добавить еще одно условие, повторите предыдущие три шага.

   Условия под полями создания фильтра разделяются логическим оператором, выбранным во время создания второго или последующих условий. Значение по умолчанию — AND, но также можно выбрать ИЛИ.

   Один и тот же логический оператор используется для всех условий: все они И или ВСЕ ИЛИ. Чтобы изменить существующие логические операторы, выберите поле логический оператор, а затем выберите И или ИЛИ.

   Чтобы изменить существующее условие, дважды щелкните его, чтобы вернуть выбранное свойство, оператор фильтра и значения в соответствующие поля.

   Чтобы удалить существующее условие, выберите условие.

5. Чтобы применить фильтр к диаграмме и таблице сведений, выберите Обновить.

   

Сохраненные запросы в Обозреватель угроз

Совет

Запрос на сохранение является частью средств отслеживания угроз и недоступен при обнаружении в режиме реального времени. Сохраненные запросы и средства отслеживания угроз доступны только в Defender для Office 365 плане 2.

Запрос на сохранение недоступен в представлении Содержимое вредоносных программ.

Большинство представлений в Обозреватель угрозы позволяют сохранять фильтры (запросы) для последующего использования. Сохраненные запросы доступны на странице Средства отслеживания угроз на портале Defender по адресу https://security.microsoft.com/threattrackerv2. Дополнительные сведения о средствах отслеживания угроз см. в разделе Средства отслеживания угроз в Microsoft Defender для Office 365 план 2.

Чтобы сохранить запросы в Обозреватель угроз, сделайте следующее:

1. После создания фильтра или запроса, как описано ранее, выберите Сохранить запрос>Сохранить запрос Сохранить запрос.

2. Во всплывающем окне Сохранить запрос настройте следующие параметры:

   • Имя запроса. Введите уникальное имя запроса.
   • Выберите один из приведенных ниже вариантов.
     • Точные даты. Выберите дату начала и дату окончания в полях. Самая старая дата начала, которую вы можете выбрать, составляет 30 дней до сегодняшнего дня. Самая новая дата окончания, которую можно выбрать, — сегодня.
     • Относительные даты. Выберите количество дней в разделе Показать последние дни при выполнении поиска. Значение по умолчанию — 7, но можно выбрать от 1 до 30.
   • Запрос отслеживания. По умолчанию этот параметр не выбран. Этот параметр влияет на то, выполняется ли запрос автоматически:
     • Отслеживание запроса не выбрано. Запрос доступен для выполнения вручную в Обозреватель угроз. Запрос сохраняется на вкладке Сохраненные запросы на странице Средства отслеживания угроз со значением свойства Отслеживаемый запросNo.
     • Выбранный запрос отслеживания . Запрос периодически выполняется в фоновом режиме. Запрос доступен на вкладке Сохраненные запросы на странице Средства отслеживания угроз со значением свойства Отслеживаемый запросДа. Периодические результаты запроса отображаются на вкладке Отслеживаемые запросы на странице Средства отслеживания угроз .

   По завершении во всплывающем окне Сохранить запрос нажмите кнопку Сохранить, а затем нажмите кнопку ОК в диалоговом окне подтверждения.

На вкладках Сохраненный запрос или Отслеживаемый запрос на странице Средство отслеживания угроз на портале Defender по адресу https://security.microsoft.com/threattrackerv2можно выбрать Обзор в столбце Действия, чтобы открыть и использовать запрос в Обозреватель угроз.

При открытии запроса, выбрав Обзор на странице Средства отслеживания угроз, теперь в разделе Сохранить запрос на странице Обозреватель доступны параметры запроса Сохранить как и Сохраненные параметры запроса:

• Если выбрать Сохранить запрос как, откроется всплывающее окно Сохранить запрос со всеми ранее выбранными параметрами. Если вы внесете изменения, нажмите кнопку Сохранить, а затем нажмите кнопку ОК в диалоговом окне Успешно , обновленный запрос будет сохранен как новый запрос на странице средства отслеживания угроз (для его просмотра может потребоваться выбрать Обновить ).

• Если выбрать Сохраненные параметры запроса, откроется всплывающее окно Сохраненные параметры запроса , где можно обновить дату и отслеживать параметры запроса существующего запроса.

Дополнительная информация

• Обозреватель Обозреватель сбора сведений об электронной почте на странице сущности Email
• Поиск и изучение доставленной нежелательной почты
• Просмотр вредоносных файлов, обнаруженных в SharePoint Online, OneDrive и Microsoft Teams
• отчет о состоянии защиты от угроз;
• Автоматизированный анализ угроз и реакция на угрозы в службе защиты от угроз (Майкрософт)