Dela via


Använd sidan Inskickade filer för att skicka misstänkt skräppost, nätfiske, URL:er, legitim e-post som blockeras och e-postbilagor till Microsoft

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

Mer information om hur Microsoft lagrar och hanterar dina inskickade filer finns i det här avsnittet.

I Microsoft 365-organisationer med Exchange Online postlådor kan administratörer använda sidan Inlämningar i Microsoft Defender-portalen för att skicka meddelanden, URL:er och bifogade filer till Microsoft för analys. Det finns två grundläggande typer av administratörsöverföringar:

  • Admin inskickade inlämningar: Administratörer identifierar och rapporterar meddelanden, bifogade filer eller URL:er (entiteter) genom att välja Skicka till Microsoft för analys från flikarna på sidan Inskickade filer enligt beskrivningen i avsnittet Admin inskickade inlämningar.

    När administratören har rapporterat entiteten visas en post på motsvarande flik på sidan Inskickade filer (var som helst utom fliken Användarrapporterad ).

  • Admin sändning av användarrapporterade meddelanden: Den inbyggda användarrapporteringsupplevelsen är aktiverad och konfigurerad. Användarrapporterade meddelanden visas på fliken Användarrapporterade på sidan Inskickade meddelanden och administratörer skickar eller skickar om meddelandena till Microsoft från fliken Användarrapporterad .

    När en administratör har skickat meddelandet från fliken Användarrapporterad skapas även en post på motsvarande flik på sidan Inskickade filer (till exempel fliken E-postmeddelanden ). Dessa typer av administratörsöverföringar beskrivs i avsnittet Admin alternativ för användarrapporterade meddelanden.

När administratörer eller användare skickar meddelanden till Microsoft för analys gör vi följande kontroller:

  • Email autentiseringskontroll (endast e-postmeddelanden): Om e-postautentiseringen godkändes eller misslyckades när den levererades.
  • Principträffar: Information om principer eller åsidosättningar som kan ha tillåtit eller blockerat inkommande e-post i organisationen, vilket åsidosätter våra filtreringsutlåtanden.
  • Nyttolastrykte/detonation: Uppdaterad undersökning av url:er och bifogade filer i meddelandet.
  • Graderanalys: Granska utförd av humana väghyvlar för att bekräfta om meddelanden är skadliga eller inte.

Viktigt

I amerikanska myndighetsorganisationer (Microsoft 365 GCC, GCC High och DoD) kan administratörer skicka e-postmeddelanden till Microsoft för analys, men meddelandena analyseras endast för e-postautentisering och principträffar. Nyttolastens rykte, detonation och graderanalys görs inte av efterlevnadsskäl (data får inte lämna organisationens gräns).

Titta på den här korta videon om du vill lära dig hur du använder administratörsöverföringar i Microsoft Defender för Office 365 för att skicka meddelanden till Microsoft för utvärdering.

Mer information om hur användare kan skicka meddelanden och filer till Microsoft finns i Rapportera meddelanden och filer till Microsoft.

Andra sätt som administratörer kan rapportera meddelanden till Microsoft på i Defender-portalen finns i Relaterade rapporteringsinställningar för administratörer.

Vad behöver jag veta innan jag börjar?

  • Du öppnar Microsoft Defender-portalen på https://security.microsoft.com/. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

  • Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:

  • Administratörer kan skicka e-postmeddelanden så gamla som 30 dagar om de fortfarande är tillgängliga i postlådan och inte har rensats av användaren eller en administratör.

  • Admin inlämningar begränsas enligt följande priser:

    • Maximalt antal inlämningar under en 15-minutersperiod: 150 inlämningar
    • Samma inlämningar under en 24-timmarsperiod: Tre inlämningar
    • Samma inlämningar under en 15-minutersperiod: En sändning
  • Om de användarrapporterade inställningarna i organisationen skickar användarrapporterade meddelanden (e-post och Microsoft Teams) till Microsoft (exklusivt eller utöver rapportpostlådan) gör vi samma kontroller som när administratörer skickar meddelanden till Microsoft för analys från sidan Inskickade meddelanden. Att skicka eller skicka meddelanden till Microsoft på nytt är därför användbart för administratörer endast för meddelanden som aldrig har skickats till Microsoft, eller när du inte håller med om den ursprungliga domen.

  • Fliken Filer är endast tillgänglig på sidan Inskickade filer i organisationer med Microsoft Defender XDR eller Microsoft Defender för Endpoint plan 2. Information och instruktioner för att skicka filer från fliken Filer finns i Skicka filer i Microsoft Defender för Endpoint.

Admin inlämningar

Tips

Fliken där du väljer Skicka till Microsoft för analys spelar ingen roll, så länge du anger Välj överföringstyp till rätt värde.

Rapportera tvivelaktig e-post till Microsoft

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Åtgärder & inskickade>inlämningar. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

  2. På sidan Inskickade filer kontrollerar du att fliken E-postmeddelanden är markerad.

  3. På fliken E-postmeddelanden väljer du Skicka till Microsoft för analys.

  4. På den första sidan i den utfällbara menyn Skicka till Microsoft för analys som öppnas anger du följande information:

    • Välj sändningstyp: Kontrollera att värdet Email är markerat.

    • Lägg till nätverksmeddelande-ID:t eller ladda upp e-postfilen: Välj något av följande alternativ:

      • Lägg till e-postnätverksmeddelandets ID: GUID-värdet är tillgängligt i rubriken X-MS-Exchange-Organization-Network-Message-ID eller i rubriken X-MS-Office365-Filtering-Correlation-Id i meddelanden.
      • Ladda upp e-postfilen (.msg eller .eml): Välj Bläddra bland filer. I dialogrutan som öppnas letar du upp och väljer filen .eml eller .msg och väljer sedan Öppna.
    • Välj minst en mottagare som har problem: Ange vilka mottagare som en principkontroll ska köras mot. Principkontrollen avgör om e-postmeddelandet förbigick genomsökningen på grund av användar- eller organisationsprinciper eller åsidosättning.

    • Varför skickar du det här meddelandet till Microsoft?: Välj något av följande värden:

      • Det verkar misstänkt: Välj endast det här värdet när du inte vet eller om du är osäker på meddelandets bedömning och du vill få en dom från Microsoft. Välj Skicka och gå sedan till Steg 6.

      eller

      • Jag har bekräftat att det är ett hot: I alla andra fall väljer du det här värdet när du redan har fastställt meddelandeutfallet som skadligt. Välj något av följande värden i avsnittet Välj en kategori som visas:

        • Nätfiske
        • Skadlig kod
        • Skräppost

        Välj Nästa.

        Skicka ett falskt negativt (dåligt) e-postmeddelande till Microsoft för analys på sidan Inskickade filer i Defender-portalen.

  5. Gör något av följande på den andra sidan i den utfällbara menyn Skicka till Microsoft för analys som öppnas:

    • Välj Skicka.

    eller

    • Välj Blockera alla e-postmeddelanden från den här avsändaren eller domänen: Det här alternativet skapar en blockpost för avsändardomänen eller e-postadressen i listan Tillåt/blockera klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

      När du har valt det här alternativet är följande inställningar tillgängliga:

      • Som standard är Avsändaren markerad, men du kan välja Domän i stället.
      • Ta bort blockpost efter: Standardvärdet är 30 dagar, men du kan välja mellan följande värden:
        • 1 dag
        • 7 dagar
        • 30 dagar
        • Upphör aldrig att gälla
        • Specifikt datum: Det maximala värdet är 30 dagar från idag.
      • Block entry note (optional): Ange valfri information om varför du blockerar det här objektet.

      När du är klar på den andra sidan i den utfällbara menyn Skicka till Microsoft för analys väljer du Skicka.

      Välj om du vill skapa en motsvarande blockpost för avsändardomänen eller e-postadressen i listan Tillåt/blockera klientorganisation.

  6. Välj Klar.

Efter en liten stund är blockposten tillgänglig på fliken Domäner & adresser på sidan Tillåt/blockera Listor klientorganisation på .https://security.microsoft.com/tenantAllowBlockList?viewid=Sender

Rapportera tvivelaktiga e-postbilagor till Microsoft

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Åtgärder & inskickade>inlämningar. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

  2. På sidan Inskickade filer väljer du fliken Email bifogade filer.

  3. På fliken Email bifogade filer väljer du Skicka till Microsoft för analys.

  4. På den första sidan i den utfällbara menyn Skicka till Microsoft för analys som öppnas anger du följande information:

    • Välj sändningstyp: Kontrollera att värdet Email bifogad fil är markerat.

    • Fil: Välj Bläddra bland filer för att hitta och välj den fil som ska skickas.

    • Varför skickar du den här e-postbilagan till Microsoft?: Välj något av följande värden:

      • Det verkar misstänkt: Välj det här värdet om du är osäker och vill ha en bedömning från Microsoft, välj Skicka och gå sedan till Steg 6.

      eller

      • Jag har bekräftat att det är ett hot: Välj det här värdet om du är säker på att objektet är skadligt och välj sedan något av följande värden i avsnittet Välj en kategori som visas:

        • Nätfiske
        • Skadlig kod

        Välj Nästa.

        Skicka en falsk negativ (felaktig) e-postbilaga till Microsoft för analys på sidan Inskickade filer i Defender-portalen.

  5. Gör något av följande på den andra sidan i den utfällbara menyn Skicka till Microsoft för analys som öppnas:

    • Välj Skicka.

    eller

    • Välj Blockera den här filen: Det här alternativet skapar en blockpost för filen i listan Tillåt/blockera klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

      När du har valt det här alternativet är följande inställningar tillgängliga:

      • Ta bort blockpost efter: Standardvärdet är 30 dagar, men du kan välja mellan följande värden:
        • 1 dag
        • 7 dagar
        • 30 dagar
        • Upphör aldrig att gälla
        • Specifikt datum: Det maximala värdet är 30 dagar från idag.
      • Block entry note (optional): Ange valfri information om varför du blockerar det här objektet.

      När du är klar med den utfällbara menyn Skicka till Microsoft för analys väljer du Skicka.

    Välj om du vill skapa en motsvarande blockpost för filen i listan Tillåt/blockera klientorganisation.

  6. Välj Klar.

Efter en liten stund är blockposten tillgänglig på fliken Filer på sidan Tillåt/blockera klientorganisation/blockera Listorhttps://security.microsoft.com/tenantAllowBlockList?viewid=FileHash.

Rapportera tvivelaktiga URL:er till Microsoft

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Åtgärder & inskickade>inlämningar. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

  2. På sidan Inskickade filer väljer du fliken URL:er .

  3. På fliken URL:er väljer du Skicka till Microsoft för analys.

  4. I den utfällbara menyn Skicka till Microsoft för analys som öppnas anger du följande information:

    • Välj sändningstyp: Kontrollera att värdets URL är markerad.

    • URL: Ange den fullständiga URL:en (till exempel https://www.fabrikam.com/marketing.html) och välj den sedan i rutan som visas. Du kan ange upp till 50 URL:er samtidigt.

    • Varför skickar du den här URL:en till Microsoft?: Välj något av följande värden:

      • Det verkar misstänkt: Välj det här värdet om du är osäker och vill ha en bedömning från Microsoft, välj Skicka och gå sedan till Steg 6.

      eller

      • Jag har bekräftat att det är ett hot: Välj det här värdet om du är säker på att objektet är skadligt och välj sedan något av följande värden i avsnittet Välj en kategori som visas:

        • Nätfiske
        • Skadlig kod

        Välj Nästa.

        Skicka en falsk negativ (felaktig) URL till Microsoft för analys på sidan Inskickade filer i Defender-portalen.

  5. Gör något av följande på den andra sidan i den utfällbara menyn Skicka till Microsoft för analys som öppnas:

    • Välj Skicka.

    eller

    • Välj Blockera den här URL:en: Det här alternativet skapar en blockpost för URL:en i listan Tillåt/blockera klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

      När du har valt det här alternativet är följande inställningar tillgängliga:

      • Ta bort blockpost efter: Standardvärdet är 30 dagar, men du kan välja mellan följande värden:
        • 1 dag
        • 7 dagar
        • 30 dagar
        • Upphör aldrig att gälla
        • Specifikt datum: Det maximala värdet är 30 dagar från idag.
      • Blockera postanteckning (valfritt): Ange valfri information om varför du blockerar det här itme-objektet.

      När du är klar med den utfällbara menyn Skicka till Microsoft för analys väljer du Skicka.

    Välj om du vill skapa en motsvarande blockpost för URL:en i listan Tillåt/blockera klientorganisation.

  6. Välj Klar.

Efter en liten stund är blockposten tillgänglig på fliken URL på sidan https://security.microsoft.com/tenantAllowBlockList?viewid=UrlTillåt/blockera klientorganisation Listor på .

Rapportera bra e-post till Microsoft

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Åtgärder & inskickade>inlämningar. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

  2. På sidan Inskickade filer kontrollerar du att fliken E-postmeddelanden är markerad.

  3. På fliken E-postmeddelanden väljer du Skicka till Microsoft för analys.

  4. På den första sidan i den utfällbara menyn Skicka till Microsoft för analys som öppnas anger du följande information:

    • Välj sändningstyp: Kontrollera att värdet Email är markerat.

    • Lägg till nätverksmeddelande-ID:t eller ladda upp e-postfilen: Välj något av följande alternativ:

      • Lägg till e-postnätverksmeddelandets ID: GUID-värdet är tillgängligt i rubriken X-MS-Exchange-Organization-Network-Message-ID i meddelandet eller i rubriken X-MS-Office365-Filtering-Correlation-Id i meddelanden i karantän.
      • Ladda upp e-postfilen (.msg eller .eml): Välj Bläddra bland filer. I dialogrutan som öppnas letar du upp och väljer filen .eml eller .msg och väljer sedan Öppna.
    • Välj minst en mottagare som har problem: Ange vilka mottagare som en principkontroll ska köras mot. Principkontrollen avgör om e-postmeddelandet blockerades på grund av användar- eller organisationsprinciper eller åsidosättningar.

    • Varför skickar du det här meddelandet till Microsoft?: Välj något av följande värden:

      • Det verkar rent: Välj det här värdet endast när du inte vet eller om du är osäker på meddelandets utlåtande och du vill få en dom från Microsoft. Välj Skicka och gå sedan till Steg 6.

      eller

      • Jag har bekräftat att det är rent: I alla andra fall väljer du det här värdet när du redan har fastställt meddelandets dom som ren. Välj Nästa.

    Skicka ett falskt positivt (bra) e-postmeddelande till Microsoft för analys på sidan Inlämningar i Defender-portalen.

  5. Gör något av följande på den andra sidan i den utfällbara menyn Skicka till Microsoft för analys som öppnas:

    • Välj Skicka.

    eller

    • Välj Tillåt det här meddelandet: Det här alternativet skapar en tillåt-post för elementen i meddelandet i listan Tillåt/blockera klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

      När du har valt det här alternativet är följande inställningar tillgängliga:

      • Ta bort tillåt post efter: Standardvärdet är 45 dagar efter det senast använda datumet, men du kan välja mellan följande värden:

        • 1 dag
        • 7 dagar
        • 30 dagar
        • Specifikt datum: Det maximala värdet är 30 dagar från idag.

        För falska avsändare är det här värdet meningslöst, eftersom poster för falska avsändare aldrig upphör att gälla.

        När 45 dagar efter det senast använda datumet har valts uppdateras det senast använda datumet för den tillåtna posten när det skadliga e-postmeddelandet påträffas under e-postflödet. Tillåt-posten sparas i 45 dagar efter att filtreringssystemet har fastställt att e-postmeddelandet är rent.

      • Tillåt postanteckning (valfritt): Ange valfri information om varför du tillåter det här objektet. För falska avsändare visas inget värde som du anger här i tillåt-posten på fliken Falska avsändare på sidan Tillåt/blockera klientorganisation Listor.

      När du är klar på den andra sidan i den utfällbara menyn Skicka till Microsoft för analys väljer du Skicka.

      Välj om du vill skapa en motsvarande tillåten post för elementen i meddelandet i listan Tillåt/blockera klientorganisation.

  6. Välj Klar.

Efter en liten stund visas de associerade tillåtna posterna på sidan Domäner & adresser, falska avsändare, URL:er eller filer på sidan https://security.microsoft.com/tenantAllowBlockListTillåt/blockera Listor klientorganisation på .

Viktigt

  • Tillåt poster läggs till under e-postflödet baserat på de filter som fastställde att meddelandet var skadligt. Om till exempel avsändarens e-postadress och en URL i meddelandet har bedömts vara felaktiga skapas en tillåten post för avsändaren (e-postadress eller domän) och URL:en.
  • Om avsändarens e-postadress inte befinns vara skadlig av vårt filtreringssystem kommer det inte att skapas någon tillåten post i listan Tillåt/blockera för klientorganisation om e-postmeddelandet skickas till Microsoft.
  • När en tillåten domän eller e-postadress, förfalskad avsändare, URL eller fil (entitet) påträffas igen, hoppas alla filter som är associerade med entiteten över. För e-postmeddelanden utvärderas alla andra entiteter fortfarande av filtreringssystemet innan de fattar ett beslut.
  • Om meddelanden från den tillåtna domänen eller e-postadressen passerar andra kontroller i filtreringsstacken under e-postflödet levereras meddelandena. Om ett meddelande till exempel skickar e-postautentiseringskontroller levereras ett meddelande från en tillåten e-postadress för avsändaren.
  • Som standard sparas tillåtna poster för domäner och e-postadresser i 45 dagar efter att filtreringssystemet har fastställt att entiteten är ren och sedan tas tillåten post bort. Du kan också ange att tillåt att poster upphör att gälla upp till 30 dagar efter att du har skapat dem. Tillåt som standard poster för falska avsändare upphör aldrig att gälla.
  • För meddelanden som har blockerats felaktigt av domän- eller användarpersonifieringsskydd skapas inte tillåten post för domänen eller avsändaren i listan Tillåt/blockera för klientorganisation. I stället läggs domänen eller avsändaren till i avsnittet Betrodda avsändare och domäner i principen för skydd mot nätfiske som identifierade meddelandet.
  • När du åsidosätter domen i insikten om förfalskningsinformation blir den falska avsändaren en manuell tillåten eller blockerad post som bara visas på förfalskningsavsändare på sidan https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItemTillåt/blockera Listor klientorganisation på .

Rapportera bra e-postbilagor till Microsoft

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Åtgärder & inskickade>inlämningar. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

  2. På sidan Inskickade filer väljer du fliken Email bifogade filer.

  3. På fliken Email bifogade filer väljer du Skicka till Microsoft för analys.

  4. I den utfällbara menyn Skicka till Microsoft för analys som öppnas anger du följande information:

    • Välj sändningstyp: Kontrollera att värdet Email bifogad fil är markerat.

    • Fil: Välj Bläddra bland filer för att hitta och välj den fil som ska skickas.

    • Varför skickar du meddelandet till Microsoft?: Välj något av följande värden:

      • Det verkar rent: Välj det här värdet om du är osäker och vill ha en bedömning från Microsoft, välj Skicka och gå sedan till Steg 6.

      eller

      • Jag har bekräftat att det är rent: Välj det här värdet om du är säker på att objektet är rent och välj sedan Nästa.

    Skicka en falsk positiv (bra) e-postbilaga till Microsoft för analys på sidan Inskickade filer i Defender-portalen.

  5. Gör något av följande på den andra sidan i den utfällbara menyn Skicka till Microsoft för analys som öppnas:

    • Välj Skicka.

    eller

    • Välj Tillåt den här filen: Det här alternativet skapar en tillåt-post för filen i listan Tillåt/blockera klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

      När du har valt det här alternativet är följande inställningar tillgängliga:

      • Ta bort tillåt post efter: Standardvärdet är 45 dagar efter det senast använda datumet, men du kan välja mellan följande värden:

        • 1 dag
        • 7 dagar
        • 30 dagar
        • Specifikt datum: Det maximala värdet är 30 dagar från idag.

        När 45 dagar efter det senast använda datumet har valts uppdateras det senast använda datumet för den tillåtna posten när den skadliga e-postbilagan påträffas under e-postflödet. Tillåt-posten sparas i 45 dagar efter att filtreringssystemet har fastställt att e-postbilagan är ren.

      • Tillåt postanteckning (valfritt): Ange valfri information om varför du tillåter det här objektet.

      När du är klar på den andra sidan i den utfällbara menyn Skicka till Microsoft för analys väljer du Skicka.

    Välj om du vill skapa en motsvarande tillåten post för filen i listan Tillåt/blockera klientorganisation.

  6. Välj Klar.

Efter en liten stund är tillåt-posten tillgänglig på fliken Filer på sidan Tillåt/blockera klientorganisation . Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

Viktigt

  • Som standard sparas tillåtna poster för filer i 45 dagar efter att filtreringssystemet har fastställt att entiteten är ren och sedan tas tillåten post bort. Du kan också ange att tillåt att poster upphör att gälla upp till 30 dagar efter att du har skapat dem.
  • När filen påträffas igen under e-postflödet detoneras säkra bifogade filer eller filryktekontroller och alla andra filbaserade filter åsidosätts. Om filtreringssystemet fastställer att alla andra entiteter i e-postmeddelandet är rena levereras meddelandet.
  • Under markeringen åsidosättas alla filbaserade filter, inklusive säker detonation av bifogade filer eller kontroller av filrykte, vilket ger användaren åtkomst till filen.

Rapportera bra URL:er till Microsoft

För URL:er som rapporterats som falska positiva identifieringar tillåter vi efterföljande meddelanden som innehåller varianter av den ursprungliga URL:en. Du kan till exempel använda sidan Inskickade filer för att rapportera den felaktigt blockerade URL:en www.contoso.com/abc. Om din organisation senare får ett meddelande som innehåller URL:en (till exempel men inte begränsat till: www.contoso.com/abc, www.contoso.com/abc?id=1, www.contoso.com/abc/def/gty/uyt?id=5eller www.contoso.com/abc/whatever), blockeras inte meddelandet baserat på URL:en. Med andra ord behöver du inte rapportera flera varianter av samma URL som är bra för Microsoft.

  1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Åtgärder & inskickade>inlämningar. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

  2. På sidan Inskickade filer väljer du fliken URL:er

  3. På fliken URL:er väljer du Skicka till Microsoft för analys.

  4. I den utfällbara menyn Skicka till Microsoft för analys som öppnas anger du följande information:

    • Välj sändningstyp: Kontrollera att värdets URL är markerad.

    • URL: Ange den fullständiga URL:en (till exempel https://www.fabrikam.com/marketing.html) och välj den sedan i rutan som visas. Du kan också ange en toppnivådomän (till exempel https://www.fabrikam.com/*) och sedan välja den i rutan som visas. Du kan ange upp till 50 URL:er samtidigt.

    • Varför skickar du den här URL:en till Microsoft?: Välj något av följande värden:

      • Det verkar rent: Välj det här värdet om du är osäker och vill ha en bedömning från Microsoft, välj Skicka och gå sedan till Steg 6.

      eller

      • Jag har bekräftat att det är rent: Välj det här värdet om du är säker på att objektet är rent och välj sedan Nästa.

        Skicka en falsk positiv (bra) URL till Microsoft för analys på sidan Inlämningar i Defender-portalen.

  5. Gör något av följande på den andra sidan i den utfällbara menyn Skicka till Microsoft för analys som öppnas:

    • Välj Skicka.

    eller

    • Välj Tillåt den här URL:en: Det här alternativet skapar en tillåt-post för URL:en i listan Tillåt/blockera klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

      När du har valt det här alternativet är följande inställningar tillgängliga:

      • Ta bort tillåt post efter: Standardvärdet är 45 dagar efter det senast använda datumet, men du kan välja mellan följande värden:

        • 1 dag
        • 7 dagar
        • 30 dagar
        • Specifikt datum: Det maximala värdet är 30 dagar från idag.

        När 45 dagar efter det senast använda datumet har valts uppdateras det senast använda datumet för den tillåtna posten när den skadliga URL:en påträffas under e-postflödet. Tillåt-posten sparas i 45 dagar efter att filtreringssystemet har fastställt att URL:en är ren.

      • Tillåt postanteckning (valfritt): Ange valfri information om varför du tillåter det här objektet.

      När du är klar på den andra sidan i den utfällbara menyn Skicka till Microsoft för analys väljer du Skicka.

    Välj om du vill skapa en motsvarande tillåten post för URL:en i listan Tillåt/blockera klientorganisation.

  6. Välj Klar.

Efter en liten stund är tillåt-posten tillgänglig på url-fliken på sidan Tillåt/blockera klientorganisation/blockera Listorhttps://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Obs!

  • Som standard behålls tillåtna poster för URL:er i 45 dagar efter att filtreringssystemet har fastställt att entiteten är ren och sedan tas tillåt-posten bort. Du kan också ange att tillåt att poster upphör att gälla upp till 30 dagar efter att du har skapat dem.
  • När URL:en påträffas igen under e-postflödet åsidosätts safe links-detonation eller URL-rykteskontroller och alla andra URL-baserade filter. Om filtreringssystemet fastställer att alla andra entiteter i e-postmeddelandet är rena levereras meddelandet.
  • Under markeringen åsidosättas alla URL-baserade filter, inklusive safe links-detonation eller URL-rykteskontroller, vilket ger användaren åtkomst till innehåll på URL:en.

Rapportera Teams-meddelanden till Microsoft i Defender för Office 365 plan 2

Tips

Sändning av Teams-meddelande till Microsoft är för närvarande i förhandsversion, är inte tillgängligt i alla organisationer och kan komma att ändras.

I Microsoft 365-organisationer som har Microsoft Defender för Office 365 Abonnemang 2 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5) kan du inte skicka Teams-meddelanden från fliken Teams-meddelanden på sidan Inskickade meddelanden. Det enda sättet att skicka ett Teams-meddelande till Microsoft för analys är att skicka ett användarrapporterat Teams-meddelande från fliken Användarrapporterad enligt beskrivningen i avsnittet Skicka användarrapporterade meddelanden till Microsoft för analys senare i den här artikeln.

Posterna på fliken Teams-meddelanden är resultatet av att skicka användarrapporterat Teams-meddelande till Microsoft. Mer information finns i avsnittet Visa konverterade administratörsöverföringar senare i den här artikeln.

Visa e-postadministratörsöverföringar till Microsoft

I Microsoft Defender-portalen på https://security.microsoft.comgår du till Åtgärder & inskickade>inlämningar. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

På sidan Inskickade filer kontrollerar du att fliken E-postmeddelanden är markerad.

På fliken E-postmeddelanden kan du snabbt filtrera vyn genom att välja ett av de tillgängliga snabbfiltren:

  • Avvaktan
  • Fullbordad

Snabbfiltren som är tillgängliga för administratörsöverföringar på fliken E-postmeddelanden på sidan Inlämningar.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardvärdena är markerade med en asterisk (*):

  • Överföringsnamn*
  • Avsändare*
  • Mottagare
  • Skickad av*
  • Inskickade datum*
  • Orsak till att skicka*
  • Status*
  • Resultat*
  • Orsak till leverans/blockering
  • Sändnings-ID
  • Meddelande-ID för nätverk
  • Riktning
  • Avsändarens IP-adress
  • Gruppkompatibel nivå (BCL)
  • Destination
  • Principåtgärd
  • Nätfiskesimulering
  • Taggar*: Mer information om användartaggar finns i Användartaggar.
  • Åtgärd

Gruppera posterna genom att välja Gruppera och sedan välja något av följande värden:

  • Orsak
  • Status
  • Result
  • Taggar

Om du vill dela upp posterna väljer du Ingen.

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

  • Inskickade datum: Startdatum och Slutdatumvärden .
  • Överförings-ID: Ett GUID-värde som tilldelas till varje sändning.
  • Meddelande-ID för nätverk
  • Avsändare
  • Mottagare
  • Överföringsnamn
  • Skickad av
  • Orsak till att skicka: Något av följande värden:
    • Inte skräp
    • Visas som ren
    • Verkar misstänkt
    • Nätfiske
    • Skadlig kod
    • Skräppost.
  • Status: Väntar och slutförs.
  • Taggar: Alla eller välj användartaggar i listrutan.

När du är klar med den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd Exportera för att exportera listan med poster till en CSV-fil.

Visa information om e-postadministratörsöverföring

Om du väljer en post på fliken E-postmeddelanden på sidan Inskickade meddelanden genom att klicka någonstans på raden, förutom kryssrutan bredvid den första kolumnen, öppnas en utfälld utfälld information.

Längst upp i den utfällbara menyn med information finns följande meddelandeinformation tillgänglig:

Tips

Om du vill se information om andra inlämningar utan att lämna utfällbara information använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Nästa avsnitt i den utfällbara menyn med information är relaterade till inskickade e-postmeddelanden:

  • Avsnitt om resultatinformation :

    • Resultat: Innehåller resultatvärdet för överföringen. Till exempel:
      • Borde inte ha blockerats
      • Tillåts på grund av åsidosättningar av användare
      • Tillåts på grund av en regel
    • Rekommenderade steg för e-postöverföringar: Innehåller länkar till relaterade åtgärder. Till exempel:
      • Visa e-postflödesregler för Exchange (transportregler)
      • Visa det här meddelandet i Explorer (hotutforskaren eller realtidsidentifieringar endast i Defender för Office 365)
      • Sök efter liknande meddelanden i Explorer (hotutforskaren eller realtidsidentifieringar endast i Defender för Office 365)
  • Avsnitt om inlämningsinformation:

    • Inskickade datum
    • Överföringsnamn
    • Sändningstyp: Värdet är Email.
    • Orsak till att skicka
    • Sändnings-ID
    • Skickad av
    • Sändningsstatus
  • Avsnittet Tillåt information: Endast tillgängligt för e-postöverföringar där resultatvärdet är Tillåtet på grund av åsidosättningar av användare eller Tillåten för en regel: Innehåller värdena Namn (e-postadress) och Typ (avsändare).

Resten av den utfällbara menyn innehåller avsnitten Leveransinformation, Email information, URL:er och bifogade filer som ingår i Email sammanfattningspanelen. Mer information finns i panelen Email sammanfattning.

När du är klar med den utfällbara menyn med information väljer du Stäng.

Visa Teams-administratörsöverföringar till Microsoft i Defender för Office 365 plan 2

Tips

Sändning av Teams-meddelande till Microsoft är för närvarande i förhandsversion, är inte tillgängligt i alla organisationer och kan komma att ändras.

I Microsoft Defender-portalen på https://security.microsoft.comgår du till sidan Inskickade filer på Åtgärder & inskickade inlämningar>. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

På sidan Inskickade meddelanden väljer du fliken Teams-meddelanden .

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardvärdena är markerade med en asterisk (*):

  • Överföringsnamn*
  • Avsändare*
  • Inskickade datum*
  • Orsak till att skicka*
  • Skickad av
  • Status*
  • Resultat*
  • Mottagare
  • Sändnings-ID
  • Teams meddelande-ID
  • Destination
  • Nätfiskesimulering
  • Taggar*: Mer information om användartaggar finns i Användartaggar.

Gruppera posterna genom att välja Gruppera och sedan välja något av följande värden:

  • Orsak
  • Status
  • Result
  • Taggar

Om du vill dela upp posterna väljer du Ingen.

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

  • Inskickade datum: Startdatum och Slutdatum.
  • Överförings-ID: Ett GUID-värde som tilldelas till varje sändning.
  • Teams meddelande-ID
  • Avsändare
  • Mottagare
  • Teams-meddelande
  • Skickad av
  • Orsak till att skicka: Något av följande värden:
    • Inte skräp
    • Visas som ren
    • Verkar misstänkt
    • Nätfiske
    • Skadlig kod
  • Status: Väntar och slutförs.
  • Taggar: Alla eller välj användartaggar i listrutan.

När du är klar med den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd Exportera för att exportera listan med poster till en CSV-fil.

Visa information om teams-administratörsöverföring

Om du väljer en post på fliken Teams-meddelanden på sidan Inskickade meddelanden genom att klicka någonstans på raden förutom kryssrutan bredvid den första kolumnen, öppnas en utfälld utfälld information.

Längst upp i den utfällbara menyn med information finns följande meddelandeinformation tillgänglig:

  • Rubriken på den utfällbara menyn är ämnet eller de första 100 tecknen i Teams-meddelandet.
  • Den aktuella meddelandedomen.
  • Antalet länkar i meddelandet.
  • Visa avisering. En avisering utlöses när en administratörsöverföring skapas eller uppdateras. Om du väljer den här åtgärden visas information om aviseringen.

Tips

Om du vill se information om andra inlämningar utan att lämna utfällbara information använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Nästa avsnitt i den utfällbara menyn med information är relaterade till Teams-inlämningar:

  • Avsnittet Sändningsresultat :

    • Resultat: Innehåller resultatvärdet för överföringen. Till exempel:
      • Borde ha blockerats
      • Vi har inte fått inskickat, åtgärda problemet och skicka det igen
    • Rekommenderade steg för e-postöverföringar: Innehåller länkar till relaterade åtgärder. Till exempel:
      • Visa e-postflödesregler för Exchange (transportregler)
  • Avsnitt om inlämningsinformation:

    • Inskickade datum
    • Överföringsnamn
    • Sändningstyp: Värdet är Teams
    • Orsak till att skicka
    • Sändnings-ID
    • Skickad av
    • Sändningsstatus

Resten av den utfällbara menyn innehåller avsnitten Meddelandeinformation, Avsändare, Deltagare, Kanalinformation och URL:er som ingår i panelen Teams-meddelandeentitet. Mer information finns i entitetspanelen teams mMessage i Microsoft Defender för Office 365 plan 2.

När du är klar med den utfällbara menyn med information väljer du Stäng.

Visa administratörsöverföringar för e-postbilagor till Microsoft

I Microsoft Defender-portalen på https://security.microsoft.comgår du till sidan Inskickade filer på Åtgärder & inskickade inlämningar>. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

På sidan Inskickade filer väljer du fliken Email bifogade filer.

På fliken Email bifogade filer kan du snabbt filtrera vyn genom att välja ett av de tillgängliga snabbfiltren:

  • Avvaktan
  • Fullbordad

Snabbfiltren som är tillgängliga för administratörsöverföringar på fliken Email bifogade filer på sidan Inskickade filer.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardvärdena är markerade med en asterisk (*):

  • Filnamn för bifogad fil*
  • Inskickade datum*
  • Orsak till att skicka*
  • Status*
  • Resultat*
  • Filtrera omdöme
  • Orsak till leverans/blockering
  • Sändnings-ID
  • Objekt-ID
  • Principåtgärd
  • Skickad av
  • Taggar*: Mer information om användartaggar finns i Användartaggar.
  • Åtgärd

Gruppera posterna genom att välja Gruppera och sedan välja något av följande värden:

  • Orsak
  • Status
  • Result
  • Taggar

Om du vill dela upp posterna väljer du Ingen.

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

  • Inskickade datum: Startdatum och Slutdatum.
  • Överförings-ID: Ett GUID-värde som tilldelas till varje sändning.
  • Filnamn för bifogad fil
  • Skickad av
  • Orsak till att skicka: Något av följande värden:
    • Inte skräp
    • Visas som ren
    • Verkar misstänkt
    • Nätfiske
    • Skadlig kod
  • Status: Väntar och slutförs.
  • Taggar: Alla eller välj användartaggar i listrutan.

När du är klar med den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd Exportera för att exportera listan med poster till en CSV-fil.

Visa information om administratörsöverföring för e-postbilaga

Om du väljer en post på fliken Email bifogade filer på sidan Inskickade filer genom att klicka var som helst på raden förutom kryssrutan bredvid den första kolumnen, öppnas en utfälld utfällning med information.

Längst upp i den utfällbara menyn med information finns följande meddelandeinformation tillgänglig:

  • Rubriken på den utfällbara menyn är filnamnet för den bifogade filen.
  • Status- och resultatvärdena för överföringen.
  • Visa avisering. I Defender för Office 365 utlöses en avisering när en administratörsöverföring skapas eller uppdateras. Om du väljer den här åtgärden visas information om aviseringen.

Tips

Om du vill se information om andra inlämningar utan att lämna utfällbara information använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Nästa avsnitt i den utfällbara menyn med information gäller sändning av e-postbilagor:

  • Avsnitt om resultatinformation :

    • Resultat: Innehåller resultatvärdet för överföringen. Till exempel:
      • Borde ha blockerats
      • Borde inte ha blockerats
    • Rekommenderade steg för e-postöverföringar: Innehåller länkar till relaterade åtgärder. Till exempel:
      • Blockera URL/fil i listan Tillåt/blockera klientorganisation
  • Avsnitt om inlämningsinformation:

    • Inskickade datum
    • Överföringsnamn
    • Överföringstyp: Värdet är Fil.
    • Orsak till att skicka
    • Sändnings-ID
    • Skickad av
    • Sändningsstatus

När du är klar med den utfällbara menyn med information väljer du Stäng.

Visa URL-administratörsöverföringar till Microsoft

I Microsoft Defender-portalen på https://security.microsoft.comgår du till sidan Inskickade filer på Åtgärder & inskickade inlämningar>. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

På sidan Inskickade filer väljer du fliken URL:er .

På fliken URL:er kan du snabbt filtrera vyn genom att välja ett av de tillgängliga snabbfiltren:

  • Avvaktan
  • Fullbordad

Snabbfiltren som är tillgängliga för administratörsöverföringar på fliken URL:er på sidan Inskickade filer.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardvärdena är markerade med en asterisk (*):

  • URL*
  • Inskickade datum*
  • Orsak till att skicka*
  • Status*
  • Resultat*
  • Filtrera omdöme
  • Orsak till leverans/blockering
  • Sändnings-ID
  • Objekt-ID
  • Principåtgärd
  • Skickad av
  • Taggar*: Mer information om användartaggar finns i Användartaggar.
  • Åtgärd

Gruppera posterna genom att välja Gruppera och sedan välja något av följande värden:

  • Orsak
  • Status
  • Result
  • Taggar

Om du vill dela upp posterna väljer du Ingen.

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

  • Inskickade datum: Startdatum och Slutdatum.
  • Överförings-ID: Ett GUID-värde som tilldelas till varje sändning.
  • URL
  • Skickad av
  • Orsak till att skicka: Något av följande värden:
    • Inte skräp
    • Visas som ren
    • Verkar misstänkt
    • Nätfiske
    • Skadlig kod
  • Status: Väntar och slutförs.
  • Taggar: Alla eller välj användartaggar i listrutan.

När du är klar med den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd Exportera för att exportera listan med poster till en CSV-fil.

Visa information om url-administratörsöverföring

Om du väljer en post på fliken URL:er på sidan Inskickade filer genom att klicka var som helst på raden, förutom kryssrutan bredvid den första kolumnen, öppnas en utfälld utfälld information.

Längst upp i den utfällbara menyn med information finns följande meddelandeinformation tillgänglig:

  • Rubriken på den utfällbara menyn är domänen för URL:en.
  • Status- och resultatvärdena för överföringen.
  • Visa avisering. I Defender för Office 365 utlöses en avisering när en administratörsöverföring skapas eller uppdateras. Om du väljer den här åtgärden visas information om aviseringen.

Tips

Om du vill se information om andra inlämningar utan att lämna utfällbara information använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

De återstående avsnitten i den utfällbara menyn med information är relaterade till URL-inlämningar:

  • Avsnitt om resultatinformation :

    • Resultat: Innehåller resultatvärdet för överföringen. Till exempel:
      • Borde ha blockerats
      • Borde inte ha blockerats
    • Rekommenderade steg för e-postöverföringar: Innehåller länkar till relaterade åtgärder. Till exempel:
      • Blockera URL/fil i listan Tillåt/blockera klientorganisation
  • Avsnitt om inlämningsinformation:

    • Inskickade datum
    • URL
    • Sändningstyp: Värdet är URL.
    • Orsak till att skicka
    • Sändnings-ID
    • Skickad av
    • Sändningsstatus
  • Tillåter informations - eller blockinformationsavsnitt : Endast tillgängligt för URL-inskickningar där URL:en blockerades eller tilläts: Innehåller värdena Namn (URL-domän) och Typ (URL).

När du är klar med den utfällbara menyn med information väljer du Stäng.

Resultat från Microsoft

Analysresultaten för det rapporterade objektet visas i den utfällbara menyn med information som öppnas när du väljer en post på fliken E-postmeddelanden, Teams-meddelanden, Email bifogade filer eller URL:er på sidan Inskickade filer:

  • Om avsändarens e-postautentisering misslyckades vid leveransen.
  • Information om principer eller åsidosättningar som kan ha påverkat eller åsidosatt meddelandeutfallet från filtreringssystemet.
  • Aktuella detonationsresultat för att se om URL:erna eller filerna i meddelandet var skadliga eller inte.
  • Feedback från väghyvlar.

Om en åsidosättning eller principkonfiguration hittades bör resultatet vara tillgängligt på flera minuter. Om det inte fanns något problem med e-postautentisering eller om leveransen inte påverkades av en åsidosättning eller princip kan detonationen och feedbacken från väghyvlar ta upp till en dag.

Åtgärder för administratörsöverföringar i Defender för Office 365

I organisationer med Microsoft Defender för Office 365 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5 eller Microsoft 365 Business Premium) är följande åtgärder tillgängliga för administratörsöverföringar i den utfällbara menyn med information som öppnas när du har valt en post i listan genom att klicka någon annanstans på raden än kryssrutan:

  • Öppna e-postentitet: Tillgänglig i den utfällbara menyn med poster på fliken E-postmeddelanden . Mer information finns i Vad finns på sidan Email entitet.

  • Vidta åtgärder: Tillgänglig i den utfällbara menyn med poster på fliken E-postmeddelanden . Den här åtgärden startar samma åtgärdsguide som är tillgänglig på sidan Email entitet. Mer information finns i Åtgärder på sidan Email entitet.

  • Visa avisering. En avisering utlöses när en administratörsöverföring skapas eller uppdateras. Om du väljer den här åtgärden visas information om aviseringen.

  • I avsnittet Resultatinformation kan följande länkar för Threat Explorer också vara tillgängliga, beroende på status och resultat för det rapporterade objektet:

    • Visa det här meddelandet i Utforskaren: Endast fliken E-postmeddelanden .
    • Sök efter liknande meddelanden i Utforskaren: Endast fliken E-postmeddelanden .
    • Sök efter URL eller fil: endast Email bifogade filer eller URL-flikar.

Admin alternativ för användarrapporterade meddelanden

För e-postmeddelanden kan administratörer se vad användarna rapporterar på fliken Användarrapporterade på sidan Inskickade meddelanden om följande påståenden är sanna:

Anmärkningar:

  • Användarrapporterade meddelanden som endast skickas till Microsoft eller till Microsoft och rapportpostlådan visas på fliken Användarrapporterad .
  • Användarrapporterade meddelanden som endast skickas till rapporteringspostlådan visas på fliken Användarrapporterad med resultatvärdetInte skickat till Microsoft. Administratörer bör rapportera dessa meddelanden till Microsoft för analys.

I organisationer med Microsoft Defender för Office 365 abonnemang 2 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5) kan administratörer också se användarrapporterade meddelanden i Microsoft Teams i Defender för Office 365 plan 2 (för närvarande i förhandsversion).

I organisationer med Defender för Office 365 plan 2 (tillägg för användarrapporterade meddelanden i Microsoft Teams i Defender för Office 365 plan 2 (för närvarande i förhandsversion)

I Microsoft Defender-portalen på https://security.microsoft.comgår du till Åtgärder & inskickade>inlämningar. Om du vill gå direkt till sidan Inskickade filer använder du https://security.microsoft.com/reportsubmission.

På sidan Inskickade filer väljer du fliken Användarrapporterad .

Följande underavsnitt beskriver den information och de åtgärder som är tillgängliga på fliken Användarrapporterade på sidan Inskickade filer .

Visa användarrapporterade meddelanden till Microsoft

På fliken Användarrapporterad kan du snabbt filtrera vyn genom att välja ett av de tillgängliga snabbfiltren:

  • Hot
  • Skräppost
  • Inga hot
  • Simuleringar

Snabbfilter på fliken Användarrapporterad på sidan Inskickade filer.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardvärdena är markerade med en asterisk (*):

  • Namn och typ*
  • Rapporterad av*
  • Rapporterat datum*
  • Avsändare*
  • Rapporterad orsak*
  • Resultat*: Innehåller följande information för rapporterade meddelanden baserat på de användarrapporterade inställningarna:
    • Skicka de rapporterade meddelandena till>Microsoft och min rapporteringspostlåda eller endast Microsoft: Värden som härleds från följande analys:
      • Principträffar: Information om principer eller åsidosättningar som kan ha tillåtit eller blockerat inkommande meddelanden, inklusive åsidosättningar till våra filtreringsutlåtanden. Resultatet ska vara tillgängligt inom flera minuter. Annars kan detonation och feedback från väghyvlar ta upp till en dag.
      • Nyttolastrykte/detonation: Uppdaterad undersökning av url:er och filer i meddelandet.
      • Graderanalys: Granska utförd av humana väghyvlar för att bekräfta om meddelanden är skadliga eller inte.
    • Skicka de rapporterade meddelandena till>Endast min rapporteringspostlåda: Värdet skickas alltid inte till Microsoft eftersom meddelandena inte analyserades av Microsoft.
  • Meddelanderapporterat ID
  • Meddelande-ID för nätverk
  • Teams meddelande-ID
  • Avsändarens IP-adress
  • Rapporterad från
  • Nätfiskesimulering
  • Konverteras till administratörsöverföring
  • Markerad som*
  • Markerad av*
  • Datum markerat
  • Taggar*: Mer information om användartaggar finns i Användartaggar.

Gruppera posterna genom att välja Gruppera och sedan välja något av följande värden:

  • Avsändare
  • Rapporterad av
  • Result
  • Rapporterad från
  • Konverteras till administratörsöverföring
  • Taggar

Om du vill dela upp posterna väljer du Ingen.

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

  • Rapporterat datum: Startdatum och Slutdatum.
  • Rapporterad av
  • Namn
  • Meddelanderapporterat ID
  • Nätverksmeddelande-ID
  • Teams meddelande-ID
  • Avsändare
  • Rapporterad orsak: Värdena Inga hot, Nätfiske och Skräppost.
  • Rapporterat från: Värdena Microsoft och Tredje part.
  • Nätfiskesimulering: Värdena Ja och Nej.
  • Konverteras till administratörsöverföring: Värdena Ja och Nej.
  • Meddelandetyp: Tillgängliga värden är:
    • E-post
    • Teams-meddelande (endast Defender för Office 365 abonnemang 2, för närvarande i förhandsversion).
  • Taggar: Alla eller välj en eller flera användartaggar (inklusive prioritetskonto) som är tilldelade till användare. Mer information om användartaggar finns i Användartaggar i Microsoft Defender för Office 365.

När du är klar med den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd Exportera för att exportera listan med poster till en CSV-fil.

Mer information om de åtgärder som är tillgängliga för meddelanden på fliken Användarrapporterad finns i nästa underavsnitt.

Visa information om användarrapporterade e-postmeddelanden

Om du väljer en e-postrelaterad post på fliken Användarrapporterad på sidan Inskickade data genom att klicka någonstans på raden förutom kryssrutan bredvid den första kolumnen, öppnas en utfälld utfällning med information.

Längst upp i den utfällbara menyn med information finns följande meddelandeinformation tillgänglig:

Tips

Om du vill se information om andra inlämningar utan att lämna utfällbara information använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Nästa avsnitt i den utfällbara menyn med information är relaterade till användarrapporterade inlämningar:

  • Avsnitt om resultatinformation :

    • Resultat: Innehåller resultatvärdet för överföringen. Till exempel:
      • Borde inte ha blockerats
      • Tillåts på grund av åsidosättningar av användare
      • Tillåts på grund av en regel
    • Rekommenderade steg för e-postöverföringar: Innehåller länkar till relaterade åtgärder. Till exempel:
      • Visa e-postflödesregler för Exchange (transportregler)
      • Visa det här meddelandet i Explorer (hotutforskaren eller realtidsidentifieringar endast i Defender för Office 365)
      • Sök efter liknande meddelanden i Explorer (hotutforskaren eller realtidsidentifieringar endast i Defender för Office 365)
  • Avsnitt om rapporterad meddelandeinformation :

    • Inskickade datum
    • Överföringsnamn
    • Rapporterad orsak.
    • Meddelanderapporterat ID
    • Rapporterad av
    • Nätfiskesimulering: Värdet är Ja eller Nej.
    • Konverterad till administratörsöverföring: Värdet är Ja eller Nej. Mer information finns i Visa konverterade administratörsöverföringar.

Resten av den utfällbara menyn innehåller avsnitten Leveransinformation, Email information, URL:er och bifogade filer som ingår i Email sammanfattningspanelen. Mer information finns i panelen Email sammanfattning.

Tips

Om resultatvärdet är phish-simulering kan den utfällbara menyn med information endast innehålla följande information:

  • Avsnittet Resultatinformation
  • Avsnitt om rapporterad meddelandeinformation
  • Email informationsavsnittet med följande värden:
    • Meddelande-ID för nätverk
    • Avsändare
    • Skickat datum

När du är klar med den utfällbara menyn med information väljer du Stäng.

Visa information om användarrapporterade Teams-meddelanden i Defender för Office 365 plan 2

Tips

Användarrapportering av meddelanden i Microsoft Teams är för närvarande i förhandsversion, är inte tillgänglig i alla organisationer och kan komma att ändras.

I Microsoft 365-organisationer som har Microsoft Defender för Office 365 abonnemang 2 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5) är användarrapporterade Teams-meddelanden tillgängliga på fliken Användarrapporterade på sidan Inlämningar. Det är enkelt att hitta dem om du filtrerar resultatet efter värdet För MeddelandetypTeams-meddelande.

Om du väljer en Teams-meddelandepost på fliken Användarrapporterad genom att klicka någonstans på raden, förutom kryssrutan bredvid den första kolumnen, öppnas en utfälld utfällning med information.

Längst upp i den utfällbara menyn med information finns följande meddelandeinformation tillgänglig:

Tips

Om du vill se information om andra inlämningar utan att lämna utfällbara information använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Nästa avsnitt i den utfällbara menyn med information är relaterade till användarrapporterade Teams-inlämningar:

  • Avsnittet Sändningsresultat :

    • Resultat: Innehåller resultatvärdet för överföringen. Till exempel:
      • Borde inte ha blockerats
      • Skickas inte till Microsoft
    • Rekommenderade steg för e-postöverföringar: Innehåller länkar till relaterade åtgärder. Till exempel:
      • Visa e-postflödesregler för Exchange (transportregler)
  • Avsnitt om rapporterad meddelandeinformation :

    • Rapporterat datum
    • Överföringsnamn
    • Rapporterad orsak.
    • Meddelanderapporterat ID
    • Rapporterad av
    • Nätfiskesimulering: Värdet är Ja eller Nej.
    • Konverterad till administratörsöverföring: Värdet är Ja eller Nej. Mer information finns i Visa konverterade administratörsöverföringar.

Resten av den utfällbara menyn innehåller avsnitten Meddelandeinformation, Avsändare, Deltagare, Kanalinformation och URL:er som ingår i panelen Teams-meddelandeentitet. Mer information finns i entitetspanelen teams mMessage i Microsoft Defender för Office 365 plan 2.

Tips

Om resultatvärdet är phish-simulering kan den utfällbara menyn med information endast innehålla följande information:

  • Avsnittet Resultatinformation
  • Avsnitt om rapporterad meddelandeinformation
  • Email informationsavsnittet med följande värden:
    • Meddelande-ID för nätverk
    • Avsändare
    • Skickat datum

När du är klar med den utfällbara menyn med information väljer du Stäng.

Admin åtgärder för användarrapporterade meddelanden

På fliken Användarrapporterad finns åtgärder för användarrapporterade meddelanden tillgängliga på själva fliken eller i den utfällbara menyn med information om en vald post:

Åtgärder för användarrapporterade meddelanden i Defender för Office

Tips

Om du vill se information eller vidta åtgärder för andra användarrapporterade meddelanden utan att lämna utfällbara information använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

* Beroende på meddelandets natur och status kanske vissa åtgärder inte är tillgängliga, är tillgängliga direkt överst i den utfällbara menyn eller är tillgängliga under Fler åtgärder överst i den utfällbara menyn.

Dessa åtgärder beskrivs i följande underavsnitt.

Obs!

När en användare rapporterar ett misstänkt meddelande kan användaren eller administratörerna inte ångra rapporteringen av meddelandet, oavsett vart det rapporterade meddelandet hamnar (till rapportpostlådan, till Microsoft eller båda). Användaren kan återställa det rapporterade meddelandet från sina borttagna objekt eller skräppostmappar Email.

Skicka användarrapporterade meddelanden till Microsoft för analys

När du har valt meddelandet på fliken Användarrapporterad använder du någon av följande metoder för att skicka meddelandet till Microsoft:

  • På fliken Användarrapporterad: Välj Skicka till Microsoft för analys.

  • I den utfällbara menyn med information i det valda meddelandet: Välj Skicka till Microsoft för analys eller Fler alternativ>Skicka till Microsoft för analys överst i den utfällbara menyn.

I den utfällbara menyn Skicka till Microsoft för analys som öppnas utför du följande steg baserat på om meddelandet är ett e-postmeddelande eller ett Teams-meddelande:

  • Email meddelanden:

    • Varför skickar du det här meddelandet till Microsoft?: Välj något av följande värden:
      • Den verkar ren eller så verkar den misstänkt: Välj ett av dessa värden om du är osäker och du vill ha en bedömning från Microsoft.

        Välj Skicka och sedan Klar.

      • Jag har bekräftat att det är rent: Välj det här värdet om du är säker på att objektet är rent och välj sedan Nästa.

        Gör något av följande på nästa sida i den utfällbara menyn:

        • Välj Skicka och sedan Klar.

        eller

        • Välj Tillåt det här meddelandet: Det här alternativet skapar en tillåt-post för elementen i meddelandet i listan Tillåt/blockera klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

        När du har valt det här alternativet är följande inställningar tillgängliga:

        • Ta bort tillåt post efter: Standardvärdet är 45 dagar efter det senast använda datumet, men du kan välja mellan följande värden:
          • 1 dag
          • 7 dagar
          • 30 dagar
          • Specifikt datum: Det maximala värdet är 30 dagar från idag.

        När 45 dagar efter det senast använda datumet har valts uppdateras det senast använda datumet för den tillåtna posten när det skadliga e-postmeddelandet påträffas under e-postflödet. Tillåt-posten sparas i 45 dagar efter att filtreringssystemet har fastställt att e-postmeddelandet är rent.

        • Tillåt postanteckning (valfritt): Ange valfri information om varför du tillåter det här objektet. För falska avsändare visas inget värde som du anger här i tillåt-posten på fliken Falska avsändare på sidan Tillåt/blockera klientorganisation Listor.

        När du är klar i den utfällbara menyn väljer du Skicka och sedan Klar.

      • Jag har bekräftat att det är ett hot: Välj det här värdet om du är säker på att objektet är skadligt och välj sedan något av följande värden i avsnittet Välj en kategori som visas:

        • Nätfiske
        • Skadlig kod
        • Skräppost

        Välj Nästa.

        Gör något av följande på nästa sida i den utfällbara menyn:

        • Välj Skicka och sedan Klar.

        eller

        • Välj Blockera alla e-postmeddelanden från den här avsändaren eller domänen: Det här alternativet skapar en blockpost för avsändardomänen eller e-postadressen i listan Tillåt/blockera klientorganisation. Mer information om listan över tillåtna/blockerade klientorganisationer finns i Hantera tillåtna och block i listan Tillåt/blockera klientorganisation.

        När du har valt det här alternativet är följande inställningar tillgängliga:

        • Som standard är Avsändaren markerad, men du kan välja Domän i stället.
        • Ta bort blockpost efter: Standardvärdet är 30 dagar, men du kan välja mellan följande värden:
          • 1 dag
          • 7 dagar
          • 30 dagar
          • Upphör aldrig att gälla
          • Specifikt datum: Det maximala värdet är 30 dagar från idag.
        • Block entry note (optional): Ange valfri information om varför du blockerar det här objektet.

        När du är klar i den utfällbara menyn väljer du Skicka och sedan Klar.

    Tillgängliga åtgärder i listrutan Skicka till Microsoft för analys.

  • Teams-meddelanden: Välj något av följande värden:

    • Jag har bekräftat dess rena
    • Den verkar ren
    • Det verkar misstänkt

    När du har valt något av dessa värden väljer du Skicka och sedan Klar.

    • Jag har bekräftat att det är ett hot: Välj det här värdet om du är säker på att objektet är skadligt och välj sedan något av följande värden i avsnittet Välj en kategori som visas:

    • Nätfiske

    • Skadlig kod

      Välj Skicka och sedan Klar.

När du har skickat ett användarrapporterat meddelande till Microsoft från fliken Användarrapporterad ändras värdet för Konverterad till administratörsöverföring från Nej till Ja, och en motsvarande administratörsinlämningspost skapas på lämplig flik på sidan Inskickade filer (till exempel fliken E-postmeddelanden ).

Utlösa en undersökning i Defender för Office 365 plan 2

  • På fliken Användarrapporterad väljer du Utlös undersökning i listrutan i Skicka till Microsoft för analys.

Åtgärden Trigger investigation (Utlösa undersökning) i listrutan Skicka till Microsoft för analys.

Mer information finns i Utlösa en undersökning.

Meddela användare om administratören skickade meddelanden till Microsoft

När en administratör har skickat ett användarrapporterat meddelande till Microsoft från fliken Användarrapporterad kan administratörer använda åtgärden Markera som och meddela för att markera meddelandet med en bedömning och skicka ett mallmeddelande till den användare som rapporterade meddelandet.

  • Tillgängliga domar för e-postmeddelanden:

    • Inga hot hittades
    • Nätfiske
    • Skräppost
  • Tillgängliga domar för Teams-meddelanden:

    • Inga hot hittades
    • Nätfiske

Mer information finns i Meddela användare från portalen.

Visa konverterade administratörsöverföringar

När en administratör har skickat ett användarrapporterat meddelande till Microsoft från fliken Användarrapporterad är värdet för Konverterad till administratörsöverföringJa.

Om du markerar ett av dessa meddelanden genom att klicka någonstans på raden, förutom kryssrutan bredvid namnet, innehåller den utfällbara menyn Information Fler åtgärder>Visa den konverterade administratörsöverföringen.

Den här åtgärden tar dig till motsvarande administratörsinsändningspost på lämplig flik (till exempel fliken E-postmeddelanden ).

Åtgärder för användarrapporterade meddelanden i Defender för Office 365

I organisationer med Microsoft Defender för Office 365 (tilläggslicenser eller ingår i prenumerationer som Microsoft 365 E5 eller Microsoft 365 Business Premium) kan följande åtgärder också vara tillgängliga i den utfällbara menyn med information om ett användarrapporterat meddelande på användaren rapporterad flik:

  • Öppna e-postentitet (endast e-postmeddelanden): Mer information finns i Vad finns på sidan Email entitet.

  • Vidta åtgärder (endast e-postmeddelanden): Den här åtgärden startar samma åtgärdsguide som är tillgänglig på sidan Email entitet. Mer information finns i Åtgärder på sidan Email entitet.

  • Visa avisering. En avisering utlöses när en administratörsöverföring skapas eller uppdateras. Om du väljer den här åtgärden visas information om aviseringen.