Dela via


Kampanjer i Microsoft Defender för Office 365

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

I Microsoft 365-organisationer med Microsoft Defender för Office 365 Plan 2 identifierar och kategoriserar kampanjfunktionen samordnade nätfiske- och e-postattacker mot skadlig kod. Microsofts kategorisering av e-postattacker i diskreta kampanjer hjälper dig att:

  • Undersöka och reagera effektivt på e-postattacker.
  • Bättre förstå omfattningen av den e-postattack som riktar sig mot din organisation.
  • Visa värdet av Microsoft Defender för Office 365 för beslutsfattare när det gäller att förhindra e-posthot.

Med kampanjfunktionen kan du se den övergripande bilden av en e-postattack snabbare och mer fullständigt än någon människa.

Titta på den här korta videon om hur kampanjer i Microsoft Defender för Office 365 hjälpa dig att förstå samordnade e-postattacker som riktar sig mot din organisation.

Vad är en kampanj?

En kampanj är en samordnad e-postattack mot en eller flera organisationer. Email attacker som stjäl autentiseringsuppgifter och företagsdata är en stor och lukrativ bransch. När teknikerna ökar för att stoppa attacker ändrar angripare sina metoder för att säkerställa fortsatt framgång.

Microsoft använder stora mängder data för skydd mot nätfiske, skräppostskydd och skadlig kod från hela tjänsten för att identifiera kampanjer. Vi analyserar och klassificerar attackinformationen enligt flera faktorer. Till exempel:

  • Attackkälla: Källans IP-adresser och e-postdomäner för avsändaren.
  • Meddelandeegenskaper: Innehållet, formatet och tonen i meddelandena.
  • Meddelandemottagare: Hur mottagare är relaterade. Till exempel mottagardomäner, funktioner för mottagarjobb (administratörer, chefer osv.), företagstyper (stora, små, offentliga, privata osv.) och branscher.
  • Attacknyttolast: Skadliga länkar, bifogade filer eller andra nyttolaster i meddelandena.

En kampanj kan vara kortvarig eller kan sträcka sig över flera dagar, veckor eller månader med aktiva och inaktiva perioder. En kampanj kan startas specifikt mot din organisation, eller så kan din organisation ingå i en större kampanj i flera företag.

Obligatoriska licenser och behörigheter

  • Kampanjfunktionen är tillgänglig i organisationer med Defender för Office 365 Plan 2 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5).
  • Du måste tilldelas behörigheter för att visa information om kampanjer enligt beskrivningen i den här artikeln. Du har även följande alternativ:
    • Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (Om Email & samarbete>Defender för Office 365 behörigheter är Aktiva. Påverkar endast Defender-portalen, inte PowerShell): Säkerhetsåtgärder/rådata (e-post & samarbete)/Email meddelandehuvuden (läs).

    • Email & samarbetsbehörigheter i Microsoft Defender-portalen: Medlemskap i rollgruppen Organisationshantering, Säkerhetsadministratör eller Säkerhetsläsare.

    • Microsoft Entra behörigheter: Medlemskap i rollerna Global administratör*, Säkerhetsadministratör eller Säkerhetsläsare ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365.

      Viktigt

      * Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Sidan Kampanjer i Microsoft Defender-portalen

Om du vill öppna sidan Kampanjer i Microsoft Defender-portalen på https://security.microsoft.comgår du till Email & samarbetskampanjer>. Om du vill gå direkt till sidan Kampanjer använder du https://security.microsoft.com/campaigns.

Sidan Kampanjer består av följande element:

  • Ett filter/frågeverktyget överst på sidan.
  • Ett diagramområde där du kan använda tillgängliga pivoter för att organisera diagrammet på olika sätt. Som standard använder diagrammet pivoten Kampanjtyp , även om pivoten inte verkar vara markerad.
  • Ett informationsområde som är inställt på fliken Kampanj som standard

Skärmbild som visar kampanjerna i Microsoft Defender-portalen.

Tips

  • Om du inte ser några kampanjdata eller mycket begränsade data kan du prova att ändra datumintervallet eller filtren.

  • Du kan också visa samma information om kampanjer i Threat Explorerhttps://security.microsoft.com/threatexplorerv3:

    • Kampanjvy .
    • Alla e-postvyer>Fliken Kampanj i informationsområdet under diagrammet.
    • Fliken >Kampanj för skadligkod visas i informationsområdet under diagrammet.
    • Fliken Phish view Campaign (Nätfiske) >i informationsområdet under diagrammet.
  • Om du har en Microsoft Defender för Endpoint prenumeration är kampanjinformationen kopplad till Microsoft Defender för Endpoint.

Diagramområde på sidan Kampanjer

På sidan Kampanjer visar diagramområdet ett stapeldiagram som visar antalet mottagare per dag. Som standard visar diagrammet både skadlig kod och nätfiskedata .

Om du vill filtrera den information som visas i diagrammet och i informationstabellen ändrar du filtren.

Ändra diagrammets organisation genom att välja Kampanjtyp och sedan välja något av följande värden i listrutan:

  • Kampanjnamn
  • Kampanjundertyp
  • Avsändningsdomän
  • Avsändarens IP-adress
  • Leveransåtgärd
  • Identifieringsteknik
  • Fullständig URL
  • URL-domän
  • URL-domän och sökväg

Använd Exportera diagramdata för att exportera data i diagrammet till en CSV-fil.

Om du vill ta bort diagrammet från sidan (vilket maximerar storleken på informationsområdet) gör du något av följande steg:

  • Välj Listvy för diagram> överst på sidan.
  • Välj Visa listvy mellan diagrammet och vyerna för informationstabellen.

Informationsområde på sidan Kampanjer

Om du vill filtrera den information som visas i diagrammet och i informationstabellen ändrar du filtren.

På sidan Kampanjer visar fliken Kampanj under diagrammet följande information i informationstabellen:

  • Namn
  • Exempelämne: Ämnesraden i ett av meddelandena i kampanjen. Alla meddelanden i kampanjen har inte nödvändigtvis samma ämne.
  • Mål: Den procentandel som beräknas av: (antalet kampanjmottagare i din organisation) / (det totala antalet mottagare i kampanjen för alla organisationer i tjänsten). Det här värdet anger i vilken grad kampanjen endast riktas mot din organisation (ett högre värde) jämfört med andra organisationer i tjänsten (ett lägre värde).
  • Typ: Värdet är antingen Nätfiske eller Skadlig kod.
  • Undertyp: Värdet innehåller mer information om kampanjen. Till exempel:
    • Nätfiske: Om tillgängligt, varumärket som nätas av denna kampanj. Till exempel Microsoft, 365, Unknown, Outlookeller DocuSign. När identifieringen drivs av Defender för Office 365 teknik läggs prefixet ATP till i undertypsvärdet.
    • Skadlig kod: Till exempel W32/<MalwareFamilyName> eller VBS/<MalwareFamilyName>.
  • Taggar: Mer information om användartaggar finns i Användartaggar.
  • Mottagare: Antalet användare som kampanjen har riktat in sig på.
  • Inkorg: Antalet användare som tog emot meddelanden från den här kampanjen i inkorgen (levereras inte till mappen Junk Email).
  • Klickade: Antalet användare som valde URL:en eller öppnade den bifogade filen i nätfiskemeddelandet.
  • Klickfrekvens: I nätfiskekampanjer beräknas procentandelen med "Klickad / inkorg". Det här värdet är en indikator på kampanjens effektivitet. Med andra ord, kunde mottagarna identifiera meddelandet som nätfiske och därmed undvika nyttolastens URL? Klickfrekvens används inte i kampanjer för skadlig kod.
  • Besökt: Hur många användare som faktiskt tog sig till nyttolastwebbplatsen. Om det finns klickade värden, men säkra länkar blockerade åtkomsten till webbplatsen, är det här värdet noll.

Välj en kolumnrubrik som ska sorteras efter den kolumnen. Om du vill ta bort kolumner väljer du Anpassa kolumner. Som standard är alla tillgängliga kolumner markerade.

Använd Exportera för att exportera data i informationstabellen till en CSV-fil.

På sidan Kampanjer visar fliken Kampanj ursprung under diagrammet meddelandekällorna på en världskarta.

Filter på sidan Kampanjer

Överst på kampanjsidan finns det flera filterinställningar som hjälper dig att hitta och isolera specifika kampanjer. De filter du väljer påverkar diagrammet och informationstabellen.

Som standard filtreras vyn efter igår och i dag. Om du vill ändra datumfiltret väljer du datumintervallet och sedan Startdatum och Slutdatum för upp till 30 dagar sedan.

Kampanjfilter på sidan Kampanjer.

Du kan också filtrera resultatet efter ett eller flera meddelande- eller kampanjegenskaper. Den grundläggande syntaxen är:

<Egenskap><lika med något av | lika med inget egenskapsvärde><eller -värden>

  • Välj meddelande- eller kampanjegenskapen i listrutan Kampanjtyp (Kampanjtyp är det standardvärde som har valts).
  • De egenskapsvärden som du behöver ange är helt beroende av egenskapen. Vissa egenskaper tillåter frihandstext med flera värden avgränsade med kommatecken, och vissa egenskaper tillåter flera värden som valts från en lista.

De tillgängliga egenskaperna och deras associerade värden beskrivs i följande tabell:

Egenskap Typ
Basic
Kampanjtyp Välj ett eller flera värden,Y:
  • Skadlig kod
  • Nätfiske
Kampanjnamn SMS. Avgränsa flera värden med kommatecken.
Kampanjundertyp SMS. Avgränsa flera värden med kommatecken.
Avsändarens adress SMS. Avgränsa flera värden med kommatecken.
Mottagare SMS. Avgränsa flera värden med kommatecken.
Avsändningsdomän SMS. Avgränsa flera värden med kommatecken.
Mottagardomän SMS. Avgränsa flera värden med kommatecken.
Ämne SMS. Avgränsa flera värden med kommatecken.
Avsändarens visningsnamn SMS. Avgränsa flera värden med kommatecken.
Avsändarens e-postadress från adressen SMS. Avgränsa flera värden med kommatecken.
Avsändarens e-post från domänen SMS. Avgränsa flera värden med kommatecken.
Familj med skadlig kod SMS. Avgränsa flera värden med kommatecken.
Taggar SMS. Avgränsa flera värden med kommatecken.

Mer information om användartaggar finns i Användartaggar.
Leveransåtgärd Välj ett eller flera värden,Y:
  • Blockeras
  • Levereras
  • Levereras till skräp
  • Ersatt
Ytterligare åtgärd Välj ett eller flera värden,Y:
Riktning Välj ett eller flera värden,Y:
  • Inkommande
  • Intra-irg
  • Utgående
Identifieringsteknik Välj ett eller flera värden,Y:
  • Avancerat filter: Signaler baserade på maskininlärning.
  • Skydd mot skadlig kod
  • Massutskick
  • Kampanj
  • Domänens rykte
  • Fil detonation: Säkra bifogade filer identifierade en skadlig bifogad fil under detonationsanalysen.
  • Rykte om fildetonation: Filbilagor som tidigare identifierats av säkra bifogade filer detonationer i andra Microsoft 365-organisationer.
  • Filrykte: Meddelandet innehåller en fil som tidigare har identifierats som skadlig i andra Microsoft 365-organisationer.
  • Matchning av fingeravtryck: Meddelandet liknar ett tidigare identifierat skadligt meddelande.
  • Allmänt filter
  • Personifieringsmärke: Avsändarpersonifiering av välkända varumärken.
  • Personifieringsdomän: Personifiering av avsändardomäner som du äger eller har angett för skydd i principer för skydd mot nätfiske
  • Personifieringsanvändare
  • IP-rykte
  • Personifiering av postlådeinformation: Personifieringsidentifieringar från postlådeinformation i principer för skydd mot nätfiske.
  • Identifiering av blandad analys: Flera filter bidrog till meddelandeutfallet.
  • förfalskning av DMARC: Meddelandet misslyckades med DMARC-autentisering.
  • Förfalskning av extern domän: Avsändarens e-postadress förfalskning med hjälp av en domän som är extern för din organisation.
  • Förfalskning inom organisationen: Avsändarens e-postadress förfalskning med hjälp av en domän som är intern för din organisation.
  • URL-detonation: Säkra länkar identifierade en skadlig URL i meddelandet under detonationsanalysen.
  • URL-detonationsrykte
  • URL-skadligt rykte: URL:er som tidigare identifierats av safe links-detonationer i andra Microsoft 365-organisationer.
Ursprunglig leveransplats Välj ett eller flera värden,Y:
  • Mappen Borttagna objekt
  • Tappade
  • Misslyckades
  • Inkorg/mapp
  • Skräppostmapp
  • Lokalt/externt
  • Karantän
  • Okänd
Senaste leveransplats Samma värden som ursprunglig leveransplats
System åsidosättningar Välj ett eller flera värden,Y:
  • Tillåts av användarprincip
  • Blockerad av användarprincip
  • Tillåts av organisationsprincip
  • Blockerad av organisationsprincip
  • Filnamnstillägg blockeras av organisationsprincip
  • Ingen
System åsidosättningskälla Välj ett eller flera värden,Y:
  • Filter från tredje part
  • Admin initierad tidsresa (ZAP)
  • Principblock för skydd mot skadlig kod efter filtyp
  • Principinställningar för skräppostskydd
  • Anslutningsprincip
  • Exchange-transportregel (e-postflödesregel)
  • Filtreringen hoppades över på grund av lokal organisation
  • IP-regionfilter från princip
  • Språkfilter från princip
  • Nätfiskesimulering
  • Karantänversion
  • SecOPS-postlåda
  • Adresslista för avsändare (åsidosättning av administratör)
  • Adresslista för avsändare (åsidosättning av användare)
  • Avsändardomänlista (åsidosättning av administratör)
Avancerat
Internet Message ID SMS. Avgränsa flera värden med kommatecken.

Tillgängligt i fältet Meddelande-ID-huvud i meddelandehuvudet. Ett exempelvärde är <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (observera vinkelparenteserna).
Meddelande-ID för nätverk SMS. Avgränsa flera värden med kommatecken.

Ett GUID-värde som är tillgängligt i rubrikfältet X-MS-Exchange-Organization-Network-Message-Id i meddelandehuvudet.
Avsändarens IP-adress SMS. Avgränsa flera värden med kommatecken.
Bifogad fil SHA256 SMS. Avgränsa flera värden med kommatecken.

Om du vill hitta SHA256-hashvärdet för en fil i Windows kör du följande kommando i en kommandotolk: certutil.exe -hashfile "<Path>\<Filename>" SHA256.
Kluster-ID SMS. Avgränsa flera värden med kommatecken.
Aviserings-ID SMS. Avgränsa flera värden med kommatecken.
Princip-ID för avisering SMS. Avgränsa flera värden med kommatecken.
Kampanj-ID SMS. Avgränsa flera värden med kommatecken.
ZAP URL-signal SMS. Avgränsa flera värden med kommatecken.
Url:ar
URL-domän SMS. Avgränsa flera värden med kommatecken.
URL-domän och sökväg SMS. Avgränsa flera värden med kommatecken.
URL SMS. Avgränsa flera värden med kommatecken.
URL-sökväg SMS. Avgränsa flera värden med kommatecken.
Klicka på domslut Välj ett eller flera värden,Y:
  • Tillåts
  • Blockera åsidosatt
  • Blockeras
  • Fel
  • Misslyckande
  • Ingen
  • Väntar på dom
  • Väntande dom kringgås
Fil
Filnamn för bifogad fil SMS. Avgränsa flera värden med kommatecken.

² Att inte använda det här egenskapsfiltret eller använda det här egenskapsfiltret utan valda värden har samma resultat som att använda det här egenskapsfiltret med alla värden markerade.

När du har valt en egenskap i listrutan Kampanjtyp väljer du Lika med något av eller Inte lika med något av, och anger eller väljer sedan ett värde i egenskapsrutan, visas filterfrågan under filterområdet.

Skärmbild som visar ett valt kampanjfilter.

Om du vill lägga till fler villkor väljer du ett annat egenskaps-/värdepar och sedan AND eller OR. Upprepa de här stegen så många gånger det behövs.

Om du vill ta bort befintliga egenskaps-/värdepar väljer du bredvid posten.

När du är klar med att skapa filterfrågan väljer du Uppdatera.

Om du vill spara filterfrågan väljer du Spara fråga>Spara fråga. I den utfällbara menyn Spara fråga som öppnas konfigurerar du följande inställningar:

  • Frågenamn: Ange ett unikt värde.
  • Välj något av följande värden:
    • Exakta datum: Välj datumintervallet.
    • Relativa datum: Välj mellan en och 30 dagar.
  • Spåra den här frågan

När du är klar med den utfällbara menyn Spara fråga väljer du Spara och sedan OK i bekräftelsedialogrutan.

När du går tillbaka till sidan Kampanjer kan du läsa in ett sparat filter genom att välja Spara fråga>Sparade frågeinställningar.

Kampanjinformation

När du väljer en post i informationstabellen genom att klicka någon annanstans på raden än kryssrutan bredvid namnet öppnas en utfälld meny som innehåller information om kampanjen.

Det som visas i den utfällbara menyn kampanjinformation beskrivs i följande underavsnitt.

Kampanjinformation

Överst i den utfällbara menyn kampanjinformation finns följande kampanjinformation tillgänglig:

  • Kampanj-ID: Den unika kampanjidentifieraren.
  • Aktivitet: Varaktighet och aktivitet för kampanjen.
  • Följande data för datumintervallfiltret som du har valt (eller som du väljer i tidslinjen):
    • Påverkan
    • Meddelanden: Det totala antalet mottagare.
    • Inkorg: Antalet meddelanden som levererades till inkorgen, inte till mappen Junk Email.
    • Länk som klickades: Hur många användare som valde nyttolast-URL:en i nätfiskemeddelandet.
    • Besökt länk: Hur många användare som besökte URL:en.
    • Targeted(%): Den procentandel som beräknas av: (antalet kampanjmottagare i din organisation) / (det totala antalet mottagare i kampanjen för alla organisationer i tjänsten). Det här värdet beräknas under hela kampanjens livslängd och ändras inte av datumfilter.
  • Startdatum/tids- och slutdata/tidsfilter för kampanjflödet enligt beskrivningen i nästa avsnitt.
  • En interaktiv tidslinje för kampanjaktivitet: Tidslinjen visar aktivitet under hela kampanjens livstid. Du kan hovra över datapunkterna i diagrammet för att se antalet identifierade meddelanden.

Kampanjinformationen

Kampanjflöde

I mitten av den utfällbara menyn med kampanjinformation visas viktig information om kampanjen i ett vågrätt flödesdiagram (kallas ett Sankey-diagram ). Den här informationen hjälper dig att förstå elementen i kampanjen och den potentiella effekten i din organisation.

Tips

Informationen som visas i flödesdiagrammet styrs av datumintervallfiltret på tidslinjen enligt beskrivningen i föregående avsnitt.

Kampanjinformationen som inte innehåller användarens URL-klick

Om du hovra över ett vågrätt band i diagrammet ser du antalet relaterade meddelanden (till exempel meddelanden från en viss käll-IP, meddelanden från käll-IP-adressen med den angivna avsändardomänen osv.).

Diagrammet innehåller följande information:

  • Avsändar-IP-adresser

  • Avsändardomäner

  • Filtrera omdömen: Bedömningsvärden är relaterade till de tillgängliga domarna för nätfiske och skräppostfiltrering enligt beskrivningen i Meddelandehuvuden för skräppostskydd. De tillgängliga värdena beskrivs i följande tabell:

    Värde Bedömning av skräppostfilter Beskrivning
    Tillåts SFV:SKN
    <Br/ SFV:SKI
    Meddelandet markerades som inte skräppost och/eller hoppades över filtrering innan det utvärderades av skräppostfiltrering. Meddelandet har till exempel markerats som inte skräppost av en e-postflödesregel (kallas även transportregel).
    <br/ Meddelandet hoppades över skräppostfiltrering av andra skäl. Avsändaren och mottagaren verkar till exempel vara i samma organisation.
    Blockeras SFV:SKS Meddelandet markerades som skräppost innan det utvärderades av skräppostfiltreringen. Till exempel av en e-postflödesregel.
    Upptäckt SFV:SPM Meddelandet markerades som skräppost av skräppostfiltret.
    Har inte identifierats SFV:NSPM Meddelandet markerades som inte skräppost genom skräppostfiltrering.
    Frisläpptes SFV:SKQ Meddelandet hoppades över skräppostfiltreringen eftersom det släpptes från karantänen.
    Tillåt klientorganisation 1 SFV:SKA Meddelandet hoppades över skräppostfiltreringen på grund av inställningarna i en princip för skräppostskydd. Avsändaren fanns till exempel i listan över tillåtna avsändare eller listan över tillåtna domäner.
    Klientorganisationsblock² SFV:SKA Meddelandet blockerades av skräppostfiltrering på grund av inställningarna i en princip för skräppostskydd. Avsändaren fanns till exempel i listan över tillåtna avsändare eller listan över tillåtna domäner.
    Tillåt användare 1 SFV:SFE Meddelandet hoppades över skräppostfiltreringen eftersom avsändaren fanns i en användares lista över säkra avsändare.
    Användarblock² SFV:BLK Meddelandet blockerades av skräppostfiltrering eftersom avsändaren fanns i en användares lista över blockerade avsändare.
    ZAP Saknas Automatisk rensning i noll timmar (ZAP) flyttade det levererade meddelandet till mappen Junk Email eller karantän. Du konfigurerar åtgärden i principer för skräppostskydd.

    ² Granska dina principer för skräppostskydd eftersom det tillåtna meddelandet troligen skulle ha blockerats av tjänsten.

    ² Granska dina principer för skräppostskydd eftersom dessa meddelanden ska placeras i karantän och inte levereras.

  • Meddelandemål: Undersök meddelanden som har levererats till mottagare (antingen till inkorgen eller mappen Skräppost Email), även om användarna inte valde nyttolast-URL:en i meddelandet. Du kan också ta bort meddelanden i karantän från karantänen. Mer information finns i e-postmeddelanden i karantän i EOP.

    • Borttagen mapp
    • Tappade
    • Extern: Mottagaren finns i din lokala e-postorganisation i hybridmiljöer.
    • Misslyckades
    • Vidarebefordras
    • Inkorg
    • Skräppostmapp
    • Karantän
    • Okänd
  • URL-klick: Dessa värden beskrivs i nästa avsnitt.

Obs!

I alla lager som innehåller fler än 10 objekt visas de 10 översta objekten, medan resten paketeras tillsammans i Andra.

URL-klick

När ett nätfiskemeddelande levereras till en mottagares inkorg eller skräppostmapp Email finns det alltid en chans att användaren väljer nyttolast-URL:en. Att inte välja URL är ett litet mått på framgång, men du måste ta reda på varför nätfiskemeddelandet levererades till postlådan i första hand.

Om en användare har valt nyttolast-URL:en i nätfiskemeddelandet visas åtgärderna i området URL-klick i diagrammet i vyn kampanjinformation.

  • Tillåts
  • BlockPage: Mottagaren valde nyttolastens URL, men deras åtkomst till den skadliga webbplatsen blockerades av en princip för säkra länkar i din organisation.
  • BlockPageOverride: Mottagaren valde nyttolast-URL:en i meddelandet, Säkra länkar försökte stoppa dem, men de tilläts åsidosätta blocket. Granska principerna för säkra länkar för att se varför användare tillåts åsidosätta domen säkra länkar och fortsätta till den skadliga webbplatsen.
  • PendingDetonationPage: Säkra bifogade filer i Microsoft Defender för Office 365 öppnar och undersöker nyttolastens URL i en virtuell miljö.
  • PendingDetonationPageOverride: Mottagaren tilläts åsidosätta nyttolast detonationsprocessen och öppna URL:en utan att vänta på resultatet.

Flikar

Tips

Informationen som visas på flikarna styrs av datumintervallfiltret i den utfällbara menyn kampanjinformation enligt beskrivningen i avsnittet Kampanjinformation .

Med flikarna i den utfällbara menyn med kampanjinformation kan du undersöka kampanjen ytterligare. Följande flikar är tillgängliga:

  • URL-klick: Om användarna inte valde nyttolast-URL:en i meddelandet är det här avsnittet tomt. Om en användare kunde välja URL:en fylls följande värden i:

    • Användare*
    • Taggar
    • URL*
    • Klicka på tid
    • Klicka på domslut
  • Avsändar-IP-adresser

    • Avsändarens IP-adress*
    • Totalt antal
    • Inkorg
    • Inte inkorg
    • SPF har godkänts: Avsändaren autentiserades av SPF (Sender Policy Framework). En avsändare som inte klarar SPF-validering anger en oautentiserad avsändare, eller så förfalskar meddelandet en legitim avsändare.
  • Avsändare

    • Avsändare: Det här är den faktiska avsändaradressen i SMTP MAIL FROM-kommandot , som inte nödvändigtvis är den Från: e-postadress som användarna ser i sina e-postklienter.
    • Totalt antal
    • Inkorg
    • Inte inkorg
    • DKIM godkändes: Avsändaren autentiserades av DKIM (Domain Keys Identified Mail). En avsändare som inte klarar DKIM-valideringen anger en oautentiserad avsändare, eller så förfalskar meddelandet en legitim avsändare.
    • DMARC godkändes: Avsändaren autentiserades av domänbaserad meddelandeautentisering, rapportering och överensstämmelse (DMARC). En avsändare som inte klarar DMARC-valideringen anger en oautentiserad avsändare, eller så förfalskar meddelandet en legitim avsändare.
  • Bifogade filer

    • Filnamn
    • SHA256
    • Familj med skadlig kod
    • Totalt antal
  • URL:er

    • URL*
    • Totalt antal

* Om du väljer det här värdet öppnas en ny utfällning som innehåller mer information om det angivna objektet (användare, URL osv.) ovanpå vyn med kampanjinformation. Om du vill återgå till den utfällbara menyn med kampanjinformation väljer du Klar i den nya utfällbara menyn.

På varje flik väljer du en kolumnrubrik för att sortera efter den kolumnen. Om du vill ta bort kolumner väljer du Anpassa kolumner. Som standard är alla tillgängliga kolumner på varje flik markerade.

Ytterligare åtgärder

Med åtgärderna längst ned i den utfällbara menyn med kampanjinformation kan du undersöka och registrera information om kampanjen:

  • Välj Ja eller Nej i Tror du att den här kampanjen har grupperat dessa meddelanden korrekt?.
  • Utforska meddelanden: Använd kraften i Threat Explorer för att undersöka kampanjen ytterligare genom att välja något av följande värden i listrutan:
    • Alla meddelanden: Öppnar en ny sökflik i Hotutforskaren med kampanj-ID-värdet som sökfilter.
    • Inkorgsmeddelanden: Öppnar en ny sökflik i Hotutforskaren med hjälp av kampanj-ID och leveransplats: Inkorg som sökfilter.
    • Interna meddelanden: Öppnar en ny sökflik i Hotutforskaren med kampanj-ID och riktning: Intra-org som sökfilter.
  • Ladda ned hotrapport: Ladda ned kampanjinformationen till ett Word dokument (som standard med namnet CampaignReport.docx). Nedladdningen innehåller information under hela kampanjens livslängd (inte bara det datumfilter som du har valt).