Automatiska användarmeddelanden för användarrapporterade nätfiskeresultat i AIR

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

När en användare rapporterar ett meddelande som nätfiske i Microsoft 365-organisationer med Microsoft Defender för Office 365 abonnemang 2 skapas automatiskt en undersökning i automatisk undersökning och svar (AIR). Administratörer kan konfigurera de användarrapporterade meddelandeinställningarna för att skicka ett e-postmeddelande till den användare som rapporterade meddelandet baserat på domen från AIR. Det här meddelandet kallas även för automatiskt feedbacksvar. Mer information finns i Användarrapporterade inställningar.

Den här artikeln beskriver hur du aktiverar och anpassar automatiskt feedbacksvar för specifika AIR-domar, hur e-postmeddelandena skickas och hur meddelandena ser ut.

Vad behöver jag veta innan jag börjar?

• Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till sidan Användarrapporterade inställningar använder du https://security.microsoft.com/securitysettings/userSubmission.

• Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har följande alternativ:

  • Email & samarbetsbehörigheter i Microsoft Defender-portalen: Medlemskap i rollgrupperna Organisationshantering eller Säkerhetsadministratör.
  • Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör eller Säkerhetsadministratör ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

Använd Microsoft Defender-portalen för att konfigurera automatiskt feedbacksvar

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till fliken Inställningar>Email & samarbete>Användarrapporterade inställningar. Om du vill gå direkt till sidan Användarrapporterade inställningar använder du https://security.microsoft.com/securitysettings/userSubmission.

2. På sidan Användarrapporterade inställningar kontrollerar du att Övervaka rapporterade meddelanden i Outlook har valts.

3. I avsnittet Email meddelanden>Resultat-e-post väljer du Automatiskt e-postanvändare resultatet av undersökningen och väljer sedan ett eller flera av följande alternativ som visas:

   • Nätfiske eller skadlig kod: Ett e-postmeddelande skickas till användaren som rapporterade meddelandet som nätfiske när AIR identifierar hotet som nätfiske, nätfiske med hög konfidens eller skadlig kod.
   • Skräppost: Ett e-postmeddelande skickas till den användare som rapporterade meddelandet som nätfiske när AIR identifierar hotet som skräppost.
   • Inga hot hittades: Ett e-postmeddelande skickas till användaren som rapporterade meddelandet som nätfiske när AIR inte identifierar något hot.

   

4. E-postmeddelandet använder samma mall som när en administratör väljer Markera som och meddelar på sidan Inskickade filer på https://security.microsoft.com/reportsubmission.

   Du kan anpassa e-postmeddelandet genom att välja länken Anpassa resultat via e-post .

   I den utfällbara menyn Anpassa administratörsgranskning av e-postaviseringar som öppnas konfigurerar du följande inställningar för nätfiske (vilket motsvarar alternativet För automatisk feedback om nätfiske eller skadlig kod ), flikarna Skräppost och Inga hot hittades :

   • Email brödtext: Ange den anpassade text som ska användas. Du kan använda annan text för Nätfiske, Skräppost och Inga hot hittades.
   • Email sidfotstext: Ange den anpassade meddelandesidfotstexten som ska användas. Samma text används för nätfiske, skräppost och inga hot hittades.

   

   När du är klar med den utfällbara menyn Anpassa administratörsgranskningsmeddelanden väljer du Bekräfta för att återgå till sidan Användarrapporterade inställningar .

Så här fungerar automatiserat feedbacksvar

När du har aktiverat automatiserat feedbacksvar får den användare som rapporterade meddelandet som nätfiske ett e-postmeddelande baserat på AIR-domen och den valda e-postanvändaren automatiskt resultatet av undersökningsalternativen :

Tips

Följande skärmbilder visar exempel på e-postmeddelanden som skickas till användare. Som tidigare beskrivits kan du anpassa e-postmeddelandet med hjälp av alternativen i Anpassa resultat-e-post i de användarrapporterade inställningarna.

• Inga hot hittades: Om en användare rapporterar ett meddelande som nätfiske utlöser sändningen AIR på det rapporterade meddelandet. Om undersökningen inte hittar några hot får användaren som rapporterade meddelandet ett e-postmeddelande som ser ut så här:

  

• Skräppost: Om en användare rapporterar ett meddelande som nätfiske utlöser sändningen AIR på det rapporterade meddelandet. Om undersökningen upptäcker att meddelandet är skräppost får användaren som rapporterade meddelandet ett e-postmeddelande som ser ut så här:

  

• Nätfiske eller skadlig kod: Om en användare rapporterar ett meddelande som nätfiske utlöser sändningen AIR på det rapporterade meddelandet. Vad som händer härnäst beror på resultatet av undersökningen:

  • Nätfiske med hög konfidens eller skadlig kod: Meddelandet måste åtgärdas med någon av följande åtgärder:

    • Godkänn den rekommenderade åtgärden (visas som väntande åtgärder i undersökningen eller i Åtgärdscenter).
    • Åtgärder på andra sätt (till exempel Hotutforskaren).

    När meddelandet har åtgärdats stängs undersökningen som Reparerad eller Delvis reparerad. Endast när undersökningsstatusen är ett av dessa värden skickas e-postmeddelandet till den användare som rapporterade meddelandet.

    Tips

    För nätfiske med hög konfidens eller skadlig kod kan undersökningen stängas omedelbart som Åtgärdad om meddelandet inte hittas i postlådan (meddelandet har tagits bort). Det finns ingen väntande undersökning att stänga, så inget e-postmeddelande skickas till användaren som rapporterade meddelandet.

  • Nätfiske: Undersökningen skapar inga väntande åtgärder, men användaren får fortfarande ett e-postmeddelande om att meddelandet har visat sig vara nätfiske. E-postmeddelandet ser ut så här:

    

När AIR når en dom och e-postmeddelandet skickas till den användare som rapporterade meddelandet som nätfiske visas följande egenskapsvärden för posten på fliken Användarrapporterade på sidan Inskickade i Defender-portalen:

• Markerad som: Innehåller domen.
• Markerad av: Värdet är Automation.

Oavsett om meddelandet skickades automatiskt eller manuellt till Microsoft för granskning, eller om meddelandet undersöktes av AIR, visas domen i egenskapen Markerad som . Mer information om fliken Användarrapporterad på sidan Inskickade meddelanden finns i Admin alternativ för användarrapporterade meddelanden.

Läs mer

Mer information om inlämningar och undersökningar i Defender för Microsoft 365 finns i följande artiklar:

• Automatiserad undersökning och svar i Microsoft Defender för Office 365
• Visa resultatet av en automatiserad undersökning i Microsoft 365
• Administratörsgranskning för rapporterade meddelanden
• Så här fungerar automatiserad undersökning och svar i Microsoft Defender för Office 365