Om Hotutforskaren och realtidsidentifieringar i Microsoft Defender för Office 365

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 Abonnemang 2 kostnadsfritt? Använd den 90 dagar långa utvärderingsversionen av Defender för Office 365 på utvärderingshubben för Microsoft Defender-portalen. Lär dig mer om vem som kan registrera dig och testa villkoren i Prova Microsoft Defender för Office 365.

Microsoft 365-organisationer som har Microsoft Defender för Office 365 inkluderat i sin prenumeration eller köpt som ett tillägg har Explorer (även kallat Hotutforskaren) eller realtidsidentifieringar. De här funktionerna är kraftfulla rapporteringsverktyg i nära realtid som hjälper SecOps-team (Security Operations) att undersöka och reagera på hot.

Beroende på din prenumeration är Hotutforskaren eller Realtidsidentifieringar tillgängliga i avsnittet E-post & samarbete i Microsoft Defender-portalen på https://security.microsoft.com:

• Realtidsidentifieringar är tillgängliga i Defender för Office 365 Plan 1. Sidan Realtidsidentifieringar är tillgänglig direkt på https://security.microsoft.com/realtimereportsv3.

  

• Threat Explorer är tillgängligt i Defender för Office 365 Plan 2. Explorer-sidan är tillgänglig direkt på https://security.microsoft.com/threatexplorerv3.

  

Threat Explorer innehåller samma information och funktioner som realtidsidentifieringar, men med följande ytterligare funktioner:

• Fler vyer.
• Fler alternativ för egenskapsfiltrering, inklusive alternativet för att spara frågor.
• Fler åtgärder.

Mer information om skillnaderna mellan Defender för Office 365 Plan 1 och Plan 2 finns i översiktsbladet för Defender för Office 365 Plan 1 jämfört med plan 2.

Resten av den här artikeln beskriver de vyer och funktioner som är tillgängliga i Hotutforskaren och Realtidsidentifieringar.

Tips

Information om e-postscenarier med hotutforskaren och realtidsidentifieringar finns i följande artiklar:

• Hotjakt i Threat Explorer och realtidsidentifieringar i Microsoft Defender för Office 365
• E-postsäkerhet med Hotutforskaren och realtidsidentifieringar i Microsoft Defender för Office 365
• Undersöka skadlig e-post som levererades i Microsoft 365

Behörigheter och licensiering för Hotutforskaren och realtidsidentifieringar

Om du vill använda Explorer eller realtidsidentifieringar måste du tilldelas behörigheter. Du har även följande alternativ:

• Microsoft Defender XDR Unified rollbaserad åtkomstkontroll (RBAC) ( Om e-post & samarbete>defender för Office 365-behörigheter är aktiv. Påverkar endast Defender-portalen, inte PowerShell):
  • Läsåtkomst för e-post- och Teams-meddelandehuvuden: Säkerhetsåtgärder/Rådata (e-post & samarbete)/E-post & samarbetsmetadata (läs).
  • Förhandsgranska och ladda ned e-postmeddelanden: Säkerhetsåtgärder/Rådata (e-post & samarbete)/E-post & samarbetsinnehåll (läs).
  • Åtgärda skadlig e-post: Säkerhetsåtgärder/Säkerhetsdata/E-post & avancerade åtgärder för samarbete (hantera).
• E-post & samarbetsbehörigheter i Microsoft Defender-portalen:
  • Fullständig åtkomst: Medlemskap i rollgrupperna Organisationshantering eller Säkerhetsadministratör . Fler behörigheter krävs för att utföra alla tillgängliga åtgärder:
    • Förhandsgranska och ladda ned meddelanden: Kräver förhandsgranskningsrollen , som endast tilldelas rollgrupperna DataDetektiv eller eDiscovery Manager som standard. Eller så kan du skapa en ny rollgrupp med rollen Förhandsversion tilldelad och lägga till användarna i den anpassade rollgruppen.
    • Flytta meddelanden i och ta bort meddelanden från postlådor: Kräver sök- och rensningsrollen , som endast tilldelas rollgrupperna DataDetektiv eller Organisationshantering som standard. Eller så kan du skapa en ny rollgrupp med rollen Sök och Rensa tilldelad och lägga till användarna i den anpassade rollgruppen.
  • Skrivskyddad åtkomst: Medlemskap i rollgruppen Säkerhetsläsare .
• Microsoft Entra-behörigheter: Medlemskap i dessa roller ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365:

  • Fullständig åtkomst: Medlemskap i rollerna Global administratör^* eller Säkerhetsadministratör .

  • Sök efter Exchange-e-postflödesregler (transportregler) efter namn i Hotutforskaren: Medlemskap i rollerna Säkerhetsadministratör eller Säkerhetsläsare .

  • Skrivskyddad åtkomst: Medlemskap i rollerna Global läsare eller Säkerhetsläsare .

    Viktigt

    ^* Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

Tips

Slutanvändarnas skräppostmeddelanden och systemgenererade meddelanden är inte avaialble i Threat Explorer. De här typerna av meddelanden är tillgängliga om det finns en regel för e-postflöde (även kallad transportregel) som ska åsidosättas.

Granskningsloggposter genereras när administratörer förhandsgranskar eller laddar ned e-postmeddelanden. Du kan söka i administratörsgranskningsloggen efter adminMailAccess-aktivitet . Anvisningar finns i Granska ny sökning.

Om du vill använda Hotutforskaren eller realtidsidentifieringar måste du tilldelas en licens för Defender för Office 365 (ingår i din prenumeration eller en tilläggslicens).

Hotutforskaren eller realtidsidentifieringar innehåller data för användare med Defender för Office 365-licenser tilldelade.

Element i Hotutforskaren och realtidsidentifieringar

Hotutforskaren och realtidsidentifieringar innehåller följande element:

• Vyer: Flikar överst på sidan som organiserar identifieringar efter hot. Vyn påverkar resten av data och alternativ på sidan.

  I följande tabell visas tillgängliga vyer i Hotutforskaren och Realtidsidentifieringar:

  Visa	Hot Explorer	Realtid Upptäckter	Beskrivning
  All e-post	✔		Standardvy för Threat Explorer. Information om alla e-postmeddelanden som skickas av externa användare till din organisation eller e-post som skickas mellan interna användare i din organisation.
  Skadlig kod	✔	✔	Standardvy för realtidsidentifieringar. Information om e-postmeddelanden som innehåller skadlig kod.
  Nätfiske	✔	✔	Information om e-postmeddelanden som innehåller nätfiskehot.
  Kampanjer	✔		Information om skadlig e-post som Defender för Office 365 Plan 2 har identifierat som en del av en samordnad kampanj för nätfiske eller skadlig kod.
  Skadlig kod för innehåll	✔	✔	Information om skadliga filer som identifieras av följande funktioner: Inbyggt virusskydd i SharePoint, OneDrive och Microsoft Teams Säkra bifogade filer för Sharepoint, OneDrive och Microsoft Teams
  URL-klick	✔		Information om användaren klickar på URL:er i e-postmeddelanden, Teams-meddelanden, SharePoint-filer och OneDrive-filer.

  Dessa vyer beskrivs i detalj i den här artikeln, inklusive skillnaderna mellan Hotutforskaren och Realtidsidentifieringar.

• Datum-/tidsfilter: Som standard filtreras vyn efter igår och i dag. Om du vill ändra datumfiltret väljer du datumintervallet och sedan Startdatum och Slutdatum för upp till 30 dagar sedan.

  

• Egenskapsfilter (frågor): Filtrera resultatet i vyn efter det tillgängliga meddelandet, filen eller hotegenskaperna. Vilka filterbara egenskaper som är tillgängliga beror på vyn. Vissa egenskaper är tillgängliga i många vyer, medan andra egenskaper är begränsade till en specifik vy.

  De tillgängliga egenskapsfiltren för varje vy visas i den här artikeln, inklusive skillnaderna mellan Hotutforskaren och Realtidsidentifieringar.

  Anvisningar för att skapa egenskapsfilter finns i Egenskapsfilter i Hotutforskaren och Realtidsidentifieringar

  Med Threat Explorer kan du spara frågor för senare användning enligt beskrivningen i avsnittet Sparade frågor i Hotutforskaren .

• Diagram: Varje vy innehåller ett visuellt objekt, en sammanställd representation av filtrerade eller ofiltrerade data. Du kan använda tillgängliga pivoter för att organisera diagrammet på olika sätt.

  Du kan ofta använda Exportera diagramdata för att exportera filtrerade eller ofiltrerade diagramdata till en CSV-fil.

  Diagrammen och tillgängliga pivoter beskrivs i detalj i den här artikeln, inklusive skillnaderna mellan Hotutforskaren och realtidsidentifieringar.

  Tips

  Om du vill ta bort diagrammet från sidan (som maximerar storleken på informationsområdet) använder du någon av följande metoder:

  • Välj Listvy för diagram> överst på sidan.
  • Välj Visa listvy mellan diagrammet och informationsområdet.

• Informationsområde: Informationsområdet för en vy visar vanligtvis en tabell som innehåller filtrerade eller ofiltrerade data. Du kan använda tillgängliga vyer (flikar) för att organisera data i informationsområdet på olika sätt. En vy kan till exempel innehålla diagram, kartor eller olika tabeller.

  Om informationsområdet innehåller en tabell kan du ofta använda Exportera för att selektivt exportera upp till 200 000 filtrerade eller ofiltrerade resultat till en CSV-fil.

  Tips

  I den utfällbara menyn Exportera kan du välja några eller alla tillgängliga egenskaper som ska exporteras. Valen sparas per användare. Markeringar i Incognito- eller InPrivate-webbläsarläge sparas tills du stänger webbläsaren.

All e-postvy i Threat Explorer

Vyn Alla e-postmeddelanden i Threat Explorer visar information om alla e-postmeddelanden som skickas av externa användare till din organisation och e-post som skickas mellan interna användare i din organisation. Vyn visar skadlig och icke-skadlig e-post. Till exempel:

• Email identifierat nätfiske eller skadlig kod.
• Email identifieras som skräppost eller massutskick.
• Email identifierad utan hot.

Den här vyn är standard i Threat Explorer. Om du vill öppna vyn Alla e-postmeddelanden på sidan Utforskaren i Defender-portalen på https://security.microsoft.comgår du till fliken Email &samarbetsutforskaren>>Alla e-postmeddelanden. Eller gå direkt till sidan Utforskaren med och https://security.microsoft.com/threatexplorerv3kontrollera sedan att fliken Alla e-postmeddelanden är markerad.

Filterbara egenskaper i vyn Alla e-postmeddelanden i Hotutforskaren

Som standard tillämpas inga egenskapsfilter på data. Stegen för att skapa filter (frågor) beskrivs i avsnittet Filter i Hotutforskaren och Identifieringar i realtid senare i den här artikeln.

De filterbara egenskaper som är tillgängliga i åtgärdsrutan Leverans i vyn Alla e-postmeddelanden beskrivs i följande tabell:

Egenskap	Typ
Basic
Avsändarens adress	SMS. Avgränsa flera värden med kommatecken.
Mottagare	SMS. Avgränsa flera värden med kommatecken.
Avsändningsdomän	SMS. Avgränsa flera värden med kommatecken.
Mottagardomän	SMS. Avgränsa flera värden med kommatecken.
Ämne	SMS. Avgränsa flera värden med kommatecken.
Avsändarens visningsnamn	SMS. Avgränsa flera värden med kommatecken.
Avsändarens e-postadress från adressen	SMS. Avgränsa flera värden med kommatecken.
Avsändarens e-post från domänen	SMS. Avgränsa flera värden med kommatecken.
Retursökväg	SMS. Avgränsa flera värden med kommatecken.
Domän för retursökväg	SMS. Avgränsa flera värden med kommatecken.
Familj med skadlig kod	SMS. Avgränsa flera värden med kommatecken.
Taggar	SMS. Avgränsa flera värden med kommatecken. Mer information om användartaggar finns i Användartaggar.
Personifierad domän	SMS. Avgränsa flera värden med kommatecken.
Personifierad användare	SMS. Avgränsa flera värden med kommatecken.
Exchange-transportregel	SMS. Avgränsa flera värden med kommatecken.
Regel för dataförlustskydd	SMS. Avgränsa flera värden med kommatecken.
Sammanhang	Välj ett eller flera värden: Utvärdering Prioritetskontoskydd
Kontakt	SMS. Avgränsa flera värden med kommatecken.
Leveransåtgärd	Välj ett eller flera värden: Blockerad: Email meddelanden som satts i karantän, som misslyckades med leveransen eller som togs bort. Levereras: Email levereras till användarens inkorg eller annan mapp där användaren kan komma åt meddelandet. Levereras till skräppost: Email levereras till användarens mapp för skräppost Email eller borttagna objekt där användaren kan komma åt meddelandet. Ersatt: Meddelandebilagor som har ersatts av principer för dynamisk leverans i säkra bifogade filer.
Ytterligare åtgärd	Välj ett eller flera värden: Automatiserad reparation Dynamisk leverans: Mer information finns i Dynamic Delivery in Safe Attachments policies (Dynamisk leverans i principer för säkra bifogade filer). Manuell reparation Ingen Karantänversion Ombearbetad: Meddelandet identifierades retroaktivt som bra. ZAP: Mer information finns i Automatisk rensning av nolltimmar (ZAP) i Microsoft Defender för Office 365.
Riktning	Välj ett eller flera värden: Inkommande Intra-irg Utgående
Identifieringsteknik	Välj ett eller flera värden: Avancerat filter: Signaler baserade på maskininlärning. Skydd mot skadlig kod Massutskick Kampanj Domänens rykte Fil detonation: Säkra bifogade filer identifierade en skadlig bifogad fil under detonationsanalysen. Rykte om fildetonation: Filbilagor som tidigare identifierats av säkra bifogade filer detonationer i andra Microsoft 365-organisationer. Filrykte: Meddelandet innehåller en fil som tidigare har identifierats som skadlig i andra Microsoft 365-organisationer. Matchning av fingeravtryck: Meddelandet liknar ett tidigare identifierat skadligt meddelande. Allmänt filter Personifieringsmärke: Avsändarpersonifiering av välkända varumärken. Personifieringsdomän: Personifiering av avsändardomäner som du äger eller har angett för skydd i principer för skydd mot nätfiske Personifieringsanvändare IP-rykte Personifiering av postlådeinformation: Personifieringsidentifieringar från postlådeinformation i principer för skydd mot nätfiske. Identifiering av blandad analys: Flera filter bidrog till meddelandeutfallet. förfalskning av DMARC: Meddelandet misslyckades med DMARC-autentisering. Förfalskning av extern domän: Avsändarens e-postadress förfalskning med hjälp av en domän som är extern för din organisation. Förfalskning inom organisationen: Avsändarens e-postadress förfalskning med hjälp av en domän som är intern för din organisation. Url-detonationsrykte: URL:er som tidigare identifierats av safe links-detonationer i andra Microsoft 365-organisationer. Skadligt URL-rykte: Meddelandet innehåller en URL som tidigare har identifierats som skadlig i andra Microsoft 365-organisationer.
Ursprunglig leveransplats	Välj ett eller flera värden: Mappen Borttagna objekt Tappade Misslyckades Inkorg/mapp Skräppostmapp Lokalt/externt Karantän Okänd
Senaste leveransplats 13	Samma värden som ursprunglig leveransplats
Phish-konfidensnivå	Välj ett eller flera värden: Högsta Normal
Primär åsidosättning	Välj ett eller flera värden: Tillåts av organisationsprincip Tillåts av användarprincip Blockerad av organisationsprincip Blockerad av användarprincip Ingen
Primär åsidosättningskälla	Meddelanden kan ha flera tillåtna eller blockera åsidosättningar som identifieras i Åsidosätt källa. Åsidosättningen som slutligen tillät eller blockerade meddelandet identifieras i primär åsidosättningskälla. Välj ett eller flera värden: Filter från tredje part Admin initierad tidsresa (ZAP) Principblock för program mot skadlig kod efter filtyp Principinställningar för antispam Anslutningsprincip Exchange-transportregel Exklusivt läge (åsidosättning av användare) Filtreringen hoppades över på grund av lokal organisation IP-regionfilter från princip Språkfilter från princip Nätfiskesimulering Karantänversion SecOps-postlåda Adresslista för avsändare (Admin åsidosättning) Adresslista för avsändare (åsidosättning av användare) Avsändardomänlista (Admin åsidosättning) Avsändardomänlista (åsidosättning av användare) Tillåt/blockera filblock för klientorganisationslista E-postadressblocket Tillåt/blockera lista för klientorganisation Tillåt/blockera förfalskningsblock för klientorganisationslista Tillåt/blockera url-blockering för klientorganisation Betrodd kontaktlista (åsidosättning av användare) Betrodd domän (åsidosättning av användare) Betrodd mottagare (åsidosättning av användare) Endast betrodda avsändare (åsidosättning av användare)
Åsidosätt källa	Samma värden som primär åsidosättningskälla
Typ av princip	Välj ett eller flera värden: Princip för skydd mot skadlig programvara Princip för skydd mot nätfiske Exchange-transportregel (e-postflödesregel), princip för värdbaserat innehållsfilter (princip för skräppostskydd), värdbaserad princip för utgående skräppostfilter (utgående skräppostprincip), princip för säkra bifogade filer Okänd
Principåtgärd	Välj ett eller flera värden: Lägg till x-header Hemlig kopia Ta bort meddelande Ändra ämne Flytta till mappen Skräppost Email Ingen åtgärd har vidtagits Omdirigeringsmeddelande Skicka till karantän
Hottyp	Välj ett eller flera värden: Skadlig kod Nätfiske Skräppost
Vidarebefordrat meddelande	Välj ett eller flera värden: Sant Falskt
Distributionslista	SMS. Avgränsa flera värden med kommatecken.
Email storlek	Heltal. Avgränsa flera värden med kommatecken.
Avancerat
Internet Message ID	SMS. Avgränsa flera värden med kommatecken. Tillgängligt i fältet Meddelande-ID-huvud i meddelandehuvudet. Ett exempelvärde är <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (observera vinkelparenteserna).
Nätverksmeddelande-ID	SMS. Avgränsa flera värden med kommatecken. Ett GUID-värde som är tillgängligt i rubrikfältet X-MS-Exchange-Organization-Network-Message-Id i meddelandehuvudet.
Avsändarens IP-adress	SMS. Avgränsa flera värden med kommatecken.
Bifogad fil SHA256	SMS. Avgränsa flera värden med kommatecken.
Kluster-ID	SMS. Avgränsa flera värden med kommatecken.
Aviserings-ID	SMS. Avgränsa flera värden med kommatecken.
Princip-ID för avisering	SMS. Avgränsa flera värden med kommatecken.
Kampanj-ID	SMS. Avgränsa flera värden med kommatecken.
ZAP URL-signal	SMS. Avgränsa flera värden med kommatecken.
Url:ar
Antal URL:ar	Heltal. Avgränsa flera värden med kommatecken.
URL-domän²	SMS. Avgränsa flera värden med kommatecken.
URL-domän och sökväg²	SMS. Avgränsa flera värden med kommatecken.
URL²	SMS. Avgränsa flera värden med kommatecken.
URL-sökväg²	SMS. Avgränsa flera värden med kommatecken.
URL-källa	Välj ett eller flera värden: Bifogade filer Molnbilaga Email brödtext Email sidhuvud QR-kod Ämne Okänd
Klicka på domslut	Välj ett eller flera värden: Tillåten: Användaren tilläts öppna URL:en. Blockera åsidosatt: Användaren blockerades från att öppna URL:en direkt, men de överskred blocket för att öppna URL:en. Blockerad: Användaren blockerades från att öppna URL:en. Fel: Användaren har presenterats med felsidan eller ett fel uppstod när domen skulle hämtas. Fel: Ett okänt undantag inträffade när domen hämtades. Användaren kan ha öppnat URL:en. Ingen: Det går inte att fånga domen för URL:en. Användaren kan ha öppnat URL:en. Väntar på dom: Användaren presenterades med den väntande sidan för detonation. Väntande dom kringgås: Användaren presenterades med detonationssidan, men de körde över meddelandet för att öppna URL:en.
URL-hot	Välj ett eller flera värden: Skadlig kod Nätfiske Skräppost
Fil
Antal bifogade filer	Heltal. Avgränsa flera värden med kommatecken.
Filnamn för bifogad fil	SMS. Avgränsa flera värden med kommatecken.
Filtyp	SMS. Avgränsa flera värden med kommatecken.
Filnamnstillägg	SMS. Avgränsa flera värden med kommatecken.
Filstorlek	Heltal. Avgränsa flera värden med kommatecken.
Autentisering
SPF	Välj ett eller flera värden: Misslyckas Neutral Ingen Passera Permanent fel Mjukt fel Tillfälligt fel
DKIM	Välj ett eller flera värden: Fel Misslyckas Bortse från Ingen Passera Test Timeout Okänd
DMARC	Välj ett eller flera värden: Bästa gissningspass Misslyckas Ingen Passera Permanent fel Väljare skickas Tillfälligt fel Okänd
Sammansättning	Välj ett eller flera värden: Misslyckas Ingen Passera Mjukt pass

Tips

² Den senaste leveransplatsen innehåller inte slutanvändaråtgärder för meddelanden. Om användaren till exempel har tagit bort meddelandet eller flyttat meddelandet till ett arkiv eller en PST-fil.

Det finns scenarier där den ursprungliga leveransplatsen/Senaste leveransplatsen och/eller leveransåtgärden har värdet Okänd. Till exempel:

• Meddelandet levererades (leveransåtgärdenär Levererad), men en inkorgsregel flyttade meddelandet till en annan standardmapp än mappen Inkorgen eller Skräppost Email (till exempel mappen Utkast eller Arkiv).
• ZAP försökte flytta meddelandet efter leveransen, men meddelandet hittades inte (till exempel flyttade eller tog användaren bort meddelandet).

² Som standard mappas en URL-sökning till http, såvida inte ett annat värde uttryckligen anges. Till exempel:

• Om du söker med och utan prefixet http:// i URL, URL-domän och URL-domän och -sökväg bör samma resultat visas.
• Sök efter prefixet https:// i URL:en. När inget värde anges antas prefixet http:// .
• / I början och slutet av URL-sökvägen ignoreras URL-domän, URL-domän och sökvägsfält .
• / i slutet av URL-fältet ignoreras.

Pivoter för diagrammet i vyn Alla e-postmeddelanden i Hotutforskaren

Diagrammet har en standardvy, men du kan välja ett värde i Välj pivot för histogramdiagram för att ändra hur filtrerade eller ofiltrerade diagramdata ordnas och visas.

De tillgängliga diagrampivoterna beskrivs i följande underavsnitt.

Diagram för leveransåtgärd i vyn Alla e-postmeddelanden i Threat Explorer

Även om den här pivoten inte ser markerad ut som standard är leveransåtgärden standarddiagramspivoten i vyn Alla e-postmeddelanden .

Pivot för leveransåtgärden organiserar diagrammet efter de åtgärder som vidtas för meddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje leveransåtgärd.

Pivot för avsändardomändiagram i vyn Alla e-postmeddelanden i Hotutforskaren

Pivoten Avsändardomän ordnar diagrammet efter domänerna i meddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje avsändardomän.

Avsändar-IP-diagram pivot i vyn Alla e-postmeddelanden i Threat Explorer

Ip-pivoten Avsändare ordnar diagrammet efter källans IP-adresser för meddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje avsändar-IP-adress.

Diagram för identifieringsteknik i vyn Alla e-postmeddelanden i Hotutforskaren

Pivoten Identifieringsteknik organiserar diagrammet efter funktionen som identifierade meddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje identifieringsteknik.

Pivot för fullständigt URL-diagram i vyn Alla e-postmeddelanden i Threat Explorer

Pivoten Fullständig URL ordnar diagrammet efter fullständiga URL:er i meddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje fullständig URL.

Pivot för URL-domändiagram i vyn Alla e-postmeddelanden i Threat Explorer

URL-domänens pivot ordnar diagrammet efter domänerna i URL:er i meddelanden för det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje URL-domän.

PIVOT för URL-domän och sökvägsdiagram i vyn Alla e-postmeddelanden i Threat Explorer

URL-domänen och sökvägspivoten ordnar diagrammet efter domäner och sökvägar i URL:er i meddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje URL-domän och sökväg.

Vyer för informationsområdet i vyn Alla e-postmeddelanden i Threat Explorer

Tillgängliga vyer (flikar) i informationsområdet i vyn Alla e-postmeddelanden beskrivs i följande underavsnitt.

Email vy för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren

Email är standardvyn för informationsområdet i e-postvyn Alla.

Vyn Email visar en informationstabell. Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardvärdena är markerade med en asterisk (^*):

• Datum^*
• Subjekt^*
• Mottagare^*
• Mottagardomän
• Taggar^*
• Avsändaradress^*
• Avsändarens visningsnamn
• Avsändardomän^*
• Avsändarens IP-adress
• Avsändarens e-postadress från adressen
• Avsändarens e-post från domänen
• Ytterligare åtgärder^*
• Leveransåtgärd
• Senaste leveransplats^*
• Ursprunglig leveransplats^*
• System åsidosätter källa
• System åsidosättningar
• Aviserings-ID
• Internetmeddelande-ID
• Nätverksmeddelande-ID
• E-postspråk
• Exchange-transportregel
• Kontakt
• Sammanhang
• Regel för dataförlustskydd
• Hottyp^*
• Identifieringsteknik
• Antal bifogade filer
• Antal URL:ar
• E-poststorlek

Tips

Om du vill se alla kolumner måste du förmodligen göra ett eller flera av följande steg:

• Rulla vågrätt i webbläsaren.
• Begränsa bredden på lämpliga kolumner.
• Ta bort kolumner från vyn.
• Zooma ut i webbläsaren.

Anpassade kolumninställningar sparas per användare. Anpassade kolumninställningar i Incognito- eller InPrivate-webbläsarläge sparas tills du stänger webbläsaren.

När du markerar en eller flera poster i listan genom att markera kryssrutan bredvid den första kolumnen är åtgärden Vidta tillgänglig. Mer information finns i Hotjakt: E-postreparation.

I ämnesvärdet för posten är åtgärden Öppna i nytt fönster tillgänglig. Den här åtgärden öppnar meddelandet på sidan E-postentitet.

När du klickar på ämnes- eller mottagarvärdena i en post öppnas utfällbara informationsutfällbara objekt. Dessa utfällbara objekt beskrivs i följande underavsnitt.

E-postinformation från e-postvyn för informationsområdet i vyn Alla e-postmeddelanden

När du väljer ämnesvärdet för en post i tabellen öppnas en utfälld utfällning av e-postinformation. Den här utfällbara menyn för information kallas panelen E-postsammanfattning och innehåller standardiserad sammanfattningsinformation som också är tillgänglig på sidan E-postentitet för meddelandet.

Mer information om informationen i panelen E-postsammanfattning finns i panelen E-postsammanfattning i Defender.

Följande åtgärder är tillgängliga överst i panelen e-postsammanfattning för Hotutforskaren och realtidsidentifieringar:

• Öppna entitet för e-post
• Visa sidhuvud
• Vidta åtgärder: Mer information finns i Hotjakt: E-postreparation.
• Fler alternativ:
  • Förhandsversion av e-post för ²
  • Ladda ned e-post ² ² ²
  • Visa i Utforskaren
  • Go hunt⁴

️E-postförhandsgranskningen och åtgärderna Ladda ned e-post kräver förhandsgranskningsrollen i E-post & samarbetsbehörigheter. Som standard tilldelas den här rollen till rollgrupperna Datadetektiv och eDiscovery Manager . Som standard kan medlemmar i rollgrupperna Organisationshantering eller Säkerhetsadministratörer inte utföra dessa åtgärder. Om du vill tillåta dessa åtgärder för medlemmarna i dessa grupper har du följande alternativ:

• Lägg till användarna i rollgrupperna Datadetektiv eller eDiscovery Manager .
• Skapa en ny rollgrupp med rollen Sök och Rensa tilldelad och lägg till användarna i den anpassade rollgruppen.

² Du kan förhandsgranska eller ladda ned e-postmeddelanden som är tillgängliga i Microsoft 365-postlådor. Exempel på när meddelanden inte längre är tillgängliga i postlådor är:

• Meddelandet togs bort innan leveransen eller leveransen misslyckades.
• Meddelandet togs bort mjukt (togs bort från mappen Borttaget, vilket flyttar meddelandet till mappen Återställningsbara objekt\Borttagningar).
• ZAP flyttade meddelandet till karantän.

³ Ladda ned e-post är inte tillgängligt för meddelanden som har placerats i karantän. Ladda i stället ned en lösenordsskyddad kopia av meddelandet från karantänen.

⁴ Go hunt är endast tillgängligt i Threat Explorer. Den är inte tillgänglig i realtidsidentifieringar.

Mottagarinformation från e-postvyn för informationsområdet i vyn Alla e-postmeddelanden

När du väljer en post genom att klicka på värdet Mottagare öppnas en utfälld utfällning med följande information:

Tips

Om du vill se information om andra mottagare utan att lämna den utfällbara menyn använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

• Sammanfattningsavsnitt :

  • Roll: Om mottagaren har tilldelats några administratörsroller.
  • Principer:
    • Om användaren har behörighet att visa arkivinformation.
    • Om användaren har behörighet att se kvarhållningsinformation.
    • Om användaren omfattas av dataförlustskydd (DLP).
    • Om användaren omfattas av mobilhantering på https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.

• E-postavsnitt : En tabell som visar följande relaterade information för meddelanden som skickas till mottagaren:

  • Datum
  • Ämne
  • Mottagare

  Välj Visa all e-post för att öppna Hotutforskaren på en ny flik som filtrerats av mottagaren.

• Avsnittet Senaste aviseringar : En tabell som visar följande relaterade information för relaterade senaste aviseringar:

  • Allvarlighetsgrad
  • Varningsprincip
  • Kategori
  • Verksamhet

  Om det finns fler än tre senaste aviseringar väljer du Visa alla senaste aviseringar för att se dem alla.

  • Senaste aktivitetsavsnitt : Visar de sammanfattade resultaten av en granskningsloggsökning för mottagaren:

    • Datum
    • IP-adress
    • Aktivitet
    • Objekt

    Om mottagaren har fler än tre granskningsloggposter väljer du Visa alla senaste aktiviteter för att se alla.

  Tips

  Medlemmar i rollgruppen Säkerhetsadministratörer i Email & samarbetsbehörigheter kan inte expandera avsnittet Senaste aktivitet. Du måste vara medlem i en rollgrupp i Exchange Online behörigheter som har tilldelats granskningsloggar, Information Protection analytiker eller Information Protection utredare. Som standard tilldelas dessa roller till rollgrupperna Hantering av arkivhandlingar, efterlevnadshantering, Information Protection, Information Protection analytiker, Information Protection utredare och organisationshantering. Du kan lägga till medlemmar i säkerhetsadministratörer i dessa rollgrupper, eller så kan du skapa en ny rollgrupp med rollen Granskningsloggar tilldelad.

URL klickar på vy för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren

Vyn URL-klick visar ett diagram som kan ordnas med hjälp av pivoter. Diagrammet har en standardvy, men du kan välja ett värde i Välj pivot för histogramdiagram för att ändra hur filtrerade eller ofiltrerade diagramdata ordnas och visas.

Diagrampivoterna beskrivs i följande underavsnitt.

Tips

I Hotutforskaren har varje pivot i URL-klickvyn åtgärden Visa alla klick som öppnar vyn URL-klick på en ny flik.

URL-domänens pivot för URL-klickvyn för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren

Även om den här diagrampivoten inte verkar vara markerad är URL-domänen standarddiagramspivoten i vyn URL-klick .

Url-domänens pivot visar de olika domänerna i URL:er i e-postmeddelanden för det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje URL-domän.

Klicka på bedömningspivot för vyn URL-klick för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren

Pivoten Klicka på bedömning visar de olika utfallen för klickade URL:er i e-postmeddelanden för det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje klickutslag.

URL-pivot för URL-klickvyn för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren

URL-pivoten visar de olika URL:er som klickades i e-postmeddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje URL.

URL-domän och sökvägspivot för URL-klickvyn för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren

URL-domänen och sökvägspivoten visar de olika domänerna och filsökvägarna för URL:er som klickades i e-postmeddelanden för det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje URL-domän och filsökväg.

Vyn Översta URL:er för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren

Vyn Översta URL:er visar en informationstabell. Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik:

• URL
• Meddelanden har blockerats
• Meddelanden som har skräppost
• Meddelanden som levereras

Information om de vanligaste URL:erna för e-postvyn Alla

När du markerar en post genom att klicka någon annanstans på raden än kryssrutan bredvid den första kolumnen öppnas en utfälld informationsutfällning med följande information:

Tips

Om du vill se information om andra URL:er utan att lämna informationen utfälld använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

• Följande åtgärder är tillgängliga överst i den utfällbara menyn:

  • Öppna URL-sida

  • Skicka för analys:

    • Rensa rapport
    • Rapportera nätfiske
    • Rapportera skadlig kod

  • Hantera indikator:

    • Lägg till indikator
    • Hantera i listan över klientblockering

    Om du väljer något av de här alternativen kommer du till sidan Inskickade filer i Defender-portalen.

  • Mer:

    • Visa i Utforskaren
    • Gå och jaga
• Ursprunglig URL
• Identifieringsavsnitt :
  • Hotinformationsutslag
  • x aktiva aviseringar y incidenter: Ett vågrätt stapeldiagram som visar antalet aviseringar med hög, medel, låg och information som är relaterade till den här länken.
  • En länk till Visa alla incidenter & aviseringar på URL-sidan.
• Avsnittet Domäninformation :
  • Domännamn och en länk till sidan Visa domän.
  • Registranten
  • Registrerad den
  • Uppdaterad den
  • Upphör att gälla
• Registrantens kontaktinformationsavsnitt :
  • Registrar
  • Land/region
  • Postadress
  • E-post
  • Telefon
  • Mer information: En länk till Öppna på Whois.
• AVSNITTET URL-prevalens (senaste 30 dagarna): Innehåller antalet enheter, Email och klick. Välj varje värde för att visa den fullständiga listan.
• Enheter: Visar de berörda enheterna:

  • Datum (första/sista)

  • Enheter

    Om fler än två enheter är inblandade väljer du Visa alla enheter för att se alla.

Vy med de översta klicken för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren

Vyn Översta klick visar en informationstabell . Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik:

• URL
• Blockeras
• Tillåts
• Blockera åsidosatt
• Väntar på dom
• Väntande dom kringgås
• Ingen
• Felsida
• Misslyckande

Tips

Alla tillgängliga kolumner är markerade. Om du väljer Anpassa kolumner kan du inte avmarkera några kolumner.

Om du vill se alla kolumner måste du förmodligen göra ett eller flera av följande steg:

• Rulla vågrätt i webbläsaren.
• Begränsa bredden på lämpliga kolumner.
• Zooma ut i webbläsaren.

När du markerar en post genom att klicka någon annanstans på raden än kryssrutan bredvid den första kolumnen öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i information om de översta URL:erna för e-postvyn Alla.

De vanligaste målgruppsvyerna för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren

Vyn De mest riktade användarna ordnar data i en tabell med de fem främsta mottagarna som har flest hot. Tabellen innehåller följande information:

• Främsta målanvändare: Mottagarens e-postadress. Om du väljer en mottagaradress öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i Mottagarinformation från Email vy av informationsområdet i vyn Alla e-postmeddelanden.

• Antal försök: Om du väljer antalet försök öppnas Hotutforskaren på en ny flik som filtrerats av mottagaren.

Tips

Använd Exportera för att exportera listan över upp till 3 000 användare och motsvarande försök.

Email ursprungsvy för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren

Vyn Email ursprung visar meddelandekällor på en karta över världen.

Kampanjvy för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren

I vyn Kampanj visas en informationstabell. Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik.

Informationen i tabellen är densamma som beskrivs i informationstabellen på sidan Kampanjer.

När du markerar en post genom att klicka någon annanstans på raden än kryssrutan bredvid Namn öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i Kampanjinformation.

Vyn Skadlig kod i Hotutforskaren och identifieringar i realtid

Vyn Skadlig kod i Hotutforskaren och Realtidsidentifieringar visar information om e-postmeddelanden som har visat sig innehålla skadlig kod. Den här vyn är standard i realtidsidentifieringar.

Öppna vyn Skadlig kod genom att utföra något av följande steg:

• Hotutforskaren: På sidan Utforskaren i Defender-portalen på https://security.microsoft.comgår du till fliken Email &samarbetsutforskarens>>skadlig kod. Eller gå direkt till sidan Utforskaren med och https://security.microsoft.com/threatexplorerv3välj sedan fliken Skadlig kod.
• Realtidsidentifieringar: På sidan Realtidsidentifieringar i Defender-portalen på https://security.microsoft.comgår du till fliken Email &samarbetsutforskaren>>Skadlig kod. Eller gå direkt till sidan Realtidsidentifieringar med hjälp av https://security.microsoft.com/realtimereportsv3och kontrollera sedan att fliken Skadlig kod är markerad.

Filterbara egenskaper i vyn Skadlig kod i Hotutforskaren och identifieringar i realtid

Som standard tillämpas inga egenskapsfilter på data. Stegen för att skapa filter (frågor) beskrivs i avsnittet Filter i Hotutforskaren och Identifieringar i realtid senare i den här artikeln.

De filterbara egenskaper som är tillgängliga i rutan Avsändaradress i vyn Skadlig kod beskrivs i följande tabell:

Egenskap	Typ	Hot Explorer	Realtid Upptäckter
Basic
Avsändarens adress	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Mottagare	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Avsändningsdomän	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Mottagardomän	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Ämne	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Avsändarens visningsnamn	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Avsändarens e-postadress från adressen	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Avsändarens e-post från domänen	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Retursökväg	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Domän för retursökväg	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Familj med skadlig kod	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Taggar	SMS. Avgränsa flera värden med kommatecken. Mer information om användartaggar finns i Användartaggar.	✔
Exchange-transportregel	SMS. Avgränsa flera värden med kommatecken.	✔
Regel för dataförlustskydd	SMS. Avgränsa flera värden med kommatecken.	✔
Sammanhang	Välj ett eller flera värden: Utvärdering Prioritetskontoskydd	✔
Kontakt	SMS. Avgränsa flera värden med kommatecken.	✔
Leveransåtgärd	Välj ett eller flera värden: Blockeras Levereras Levereras till skräp Ersatt: Meddelandebilagor som har ersatts av principer för dynamisk leverans i säkra bifogade filer.	✔	✔
Ytterligare åtgärd	Välj ett eller flera värden: Automatiserad reparation Dynamisk leverans: Mer information finns i Dynamic Delivery in Safe Attachments policies (Dynamisk leverans i principer för säkra bifogade filer). Manuell reparation Ingen Karantänversion Ombearbetad ZAP: Mer information finns i Automatisk rensning utan timme (ZAP) i Microsoft Defender för Office 365.	✔	✔
Riktning	Välj ett eller flera värden: Inkommande Intra-irg Utgående	✔	✔
Identifieringsteknik	Välj ett eller flera värden: Avancerat filter: Signaler baserade på maskininlärning. Skydd mot skadlig kod Massutskick Kampanj Domänens rykte Fil detonation: Säkra bifogade filer identifierade en skadlig bifogad fil under detonationsanalysen. Rykte om fildetonation: Filbilagor som tidigare identifierats av säkra bifogade filer detonationer i andra Microsoft 365-organisationer. Filrykte: Meddelandet innehåller en fil som tidigare har identifierats som skadlig i andra Microsoft 365-organisationer. Matchning av fingeravtryck: Meddelandet liknar ett tidigare identifierat skadligt meddelande. Allmänt filter Personifieringsmärke: Avsändarpersonifiering av välkända varumärken. Personifieringsdomän: Personifiering av avsändardomäner som du äger eller har angett för skydd i principer för skydd mot nätfiske Personifieringsanvändare IP-rykte Personifiering av postlådeinformation: Personifieringsidentifieringar från postlådeinformation i principer för skydd mot nätfiske. Identifiering av blandad analys: Flera filter bidrog till meddelandeutfallet. förfalskning av DMARC: Meddelandet misslyckades med DMARC-autentisering. Förfalskning av extern domän: Avsändarens e-postadress förfalskning med hjälp av en domän som är extern för din organisation. Förfalskning inom organisationen: Avsändarens e-postadress förfalskning med hjälp av en domän som är intern för din organisation. URL-detonation: Säkra länkar identifierade en skadlig URL i meddelandet under detonationsanalysen. Url-detonationsrykte: URL:er som tidigare identifierats av safe links-detonationer i andra Microsoft 365-organisationer. Skadligt URL-rykte: Meddelandet innehåller en URL som tidigare har identifierats som skadlig i andra Microsoft 365-organisationer.	✔	✔
Ursprunglig leveransplats	Välj ett eller flera värden: Mappen Borttagna objekt Tappade Misslyckades Inkorg/mapp Skräppostmapp Lokalt/externt Karantän Okänd	✔	✔
Senaste leveransplats	Samma värden som ursprunglig leveransplats	✔	✔
Primär åsidosättning	Välj ett eller flera värden: Tillåts av organisationsprincip Tillåts av användarprincip Blockerad av organisationsprincip Blockerad av användarprincip Ingen	✔	✔
Primär åsidosättningskälla	Meddelanden kan ha flera tillåtna eller blockera åsidosättningar som identifieras i Åsidosätt källa. Åsidosättningen som slutligen tillät eller blockerade meddelandet identifieras i primär åsidosättningskälla. Välj ett eller flera värden: Filter från tredje part Administratörsinitierad tidsresa (ZAP) Principblock för program mot skadlig kod efter filtyp Principinställningar för antispam Anslutningsprincip Exchange-transportregel Exklusivt läge (åsidosättning av användare) Filtreringen hoppades över på grund av lokal organisation IP-regionfilter från princip Språkfilter från princip Nätfiskesimulering Karantänversion SecOps-postlåda Adresslista för avsändare (Admin åsidosättning) Adresslista för avsändare (åsidosättning av användare) Avsändardomänlista (Admin åsidosättning) Avsändardomänlista (åsidosättning av användare) Tillåt/blockera filblock för klientorganisationslista E-postadressblocket Tillåt/blockera lista för klientorganisation Tillåt/blockera förfalskningsblock för klientorganisationslista Tillåt/blockera url-blockering för klientorganisation Betrodd kontaktlista (åsidosättning av användare) Betrodd domän (åsidosättning av användare) Betrodd mottagare (åsidosättning av användare) Endast betrodda avsändare (åsidosättning av användare)	✔	✔
Åsidosätt källa	Samma värden som primär åsidosättningskälla	✔	✔
Typ av princip	Välj ett eller flera värden: Princip för skydd mot skadlig programvara Princip för skydd mot nätfiske Exchange-transportregel (e-postflödesregel), princip för värdbaserat innehållsfilter (princip för skräppostskydd), värdbaserad princip för utgående skräppostfilter (utgående skräppostprincip), princip för säkra bifogade filer Okänd	✔	✔
Principåtgärd	Välj ett eller flera värden: Lägg till x-header Hemlig kopia Ta bort meddelande Ändra ämne Flytta till mappen Skräppost Email Ingen åtgärd har vidtagits Omdirigeringsmeddelande Skicka till karantän	✔	✔
Email storlek	Heltal. Avgränsa flera värden med kommatecken.	✔	✔
Avancerat
Internet Message ID	SMS. Avgränsa flera värden med kommatecken. Tillgängligt i fältet Meddelande-ID-huvud i meddelandehuvudet. Ett exempelvärde är <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (observera vinkelparenteserna).	✔	✔
Nätverksmeddelande-ID	SMS. Avgränsa flera värden med kommatecken. Ett GUID-värde som är tillgängligt i rubrikfältet X-MS-Exchange-Organization-Network-Message-Id i meddelandehuvudet.	✔	✔
Avsändarens IP-adress	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Bifogad fil SHA256	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Kluster-ID	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Aviserings-ID	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Princip-ID för avisering	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Kampanj-ID	SMS. Avgränsa flera värden med kommatecken.	✔	✔
ZAP URL-signal	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Url:ar
Antal URL:ar	Heltal. Avgränsa flera värden med kommatecken.	✔	✔
URL-domän	SMS. Avgränsa flera värden med kommatecken.	✔	✔
URL-domän och sökväg	SMS. Avgränsa flera värden med kommatecken.	✔	✔
URL	SMS. Avgränsa flera värden med kommatecken.	✔	✔
URL-sökväg	SMS. Avgränsa flera värden med kommatecken.	✔	✔
URL-källa	Välj ett eller flera värden: Bifogade filer Molnbilaga Email brödtext Email sidhuvud QR-kod Ämne Okänd	✔	✔
Klicka på domslut	Välj ett eller flera värden: Tillåts Blockera åsidosatt Blockeras Fel Misslyckande Ingen Väntar på dom Väntande dom kringgås	✔	✔
URL-hot	Välj ett eller flera värden: Skadlig kod Nätfiske Skräppost	✔	✔
Fil
Antal bifogade filer	Heltal. Avgränsa flera värden med kommatecken.	✔	✔
Filnamn för bifogad fil	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Filtyp	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Filnamnstillägg	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Filstorlek	Heltal. Avgränsa flera värden med kommatecken.	✔	✔
Autentisering
SPF	Välj ett eller flera värden: Misslyckas Neutral Ingen Passera Permanent fel Mjukt fel Tillfälligt fel	✔	✔
DKIM	Välj ett eller flera värden: Fel Misslyckas Bortse från Ingen Passera Test Timeout Okänd	✔	✔
DMARC	Välj ett eller flera värden: Bästa gissningspass Misslyckas Ingen Passera Permanent fel Väljare skickas Tillfälligt fel Okänd	✔	✔
Sammansättning	Välj ett eller flera värden: Misslyckas Ingen Passera Mjukt pass

Pivoter för diagrammet i vyn Skadlig kod i Hotutforskaren och Realtidsidentifieringar

Diagrammet har en standardvy, men du kan välja ett värde i Välj pivot för histogramdiagram för att ändra hur filtrerade eller ofiltrerade diagramdata ordnas och visas.

Diagrammets pivoter som är tillgängliga i vyn Skadlig kod i Hotutforskaren och Realtidsidentifieringar visas i följande tabell:

Pivot	Hot Explorer	Realtid Upptäckter
Familj med skadlig kod	✔
Avsändningsdomän	✔
Avsändarens IP-adress	✔
Leveransåtgärd	✔	✔
Identifieringsteknik	✔	✔

De tillgängliga diagrampivoterna beskrivs i följande underavsnitt.

Diagram över skadlig kod i vyn Skadlig kod i Hotutforskaren

Även om den här pivoten inte ser markerad ut som standard är malwarefamiljen standarddiagrammet i vyn Skadlig kod i Hotutforskaren.

Pivoten Malware family ordnar diagrammet efter den skadliga familj som identifieras i meddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje skadlig kodfamilj.

Pivot för avsändardomändiagram i vyn Skadlig kod i Threat Explorer

Pivoten Avsändardomän organiserar diagrammet efter avsändardomänen för meddelanden som visade sig innehålla skadlig kod för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje avsändardomän.

Avsändar-IP-diagram pivoteras i vyn Skadlig kod i Threat Explorer

Ip-pivoten Avsändare ordnar diagrammet efter källans IP-adress för meddelanden som visade sig innehålla skadlig kod för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje käll-IP-adress.

Diagram för leveransåtgärd i vyn Skadlig kod i Hotutforskaren och realtidsidentifieringar

Även om den här pivoten inte ser markerad ut som standard är leveransåtgärden standarddiagramspivoten i vyn Skadlig kod i realtidsidentifieringar.

I pivoten Leverans ordnas diagrammet efter vad som hände med meddelanden som visade sig innehålla skadlig kod för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje leveransåtgärd.

Diagram för identifieringsteknik i vyn Skadlig kod i Hotutforskaren och realtidsidentifieringar

Pivoten Identifieringsteknik ordnar diagrammet efter funktionen som identifierade skadlig kod i meddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje identifieringsteknik.

Vyer för informationsområdet i vyn Skadlig kod i Hotutforskaren och realtidsidentifieringar

Tillgängliga vyer (flikar) i informationsområdet i vyn Skadlig kod visas i följande tabell och beskrivs i följande underavsnitt.

Visa	Hot Explorer	Realtid Upptäckter
E-post	✔	✔
Populära familjer med skadlig kod	✔
De mest riktade användarna	✔
Email ursprung	✔
Kampanj	✔

Email vy för informationsområdet i vyn Skadlig kod i Hotutforskaren och Realtidsidentifieringar

Email är standardvyn för informationsområdet i vyn Skadlig kod i Hotutforskaren och Realtidsidentifieringar.

Vyn Email visar en informationstabell. Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas.

I följande tabell visas de kolumner som är tillgängliga i Hotutforskaren och Realtidsidentifieringar. Standardvärdena markeras med en asterisk (^*).

Kolumn	Hot Explorer	Realtid Upptäckter
Datum*	✔	✔
Subjekt*	✔	✔
Mottagare*	✔	✔
Mottagardomän	✔	✔
Taggar*	✔
Avsändaradress*	✔	✔
Avsändarens visningsnamn	✔	✔
Avsändardomän*	✔	✔
Avsändarens IP-adress	✔	✔
Avsändarens e-postadress från adressen	✔	✔
Avsändarens e-post från domänen	✔	✔
Ytterligare åtgärder*	✔	✔
Leveransåtgärd	✔	✔
Senaste leveransplats*	✔	✔
Ursprunglig leveransplats*	✔	✔
System åsidosätter källa	✔	✔
System åsidosättningar	✔	✔
Aviserings-ID	✔	✔
Internetmeddelande-ID	✔	✔
Nätverksmeddelande-ID	✔	✔
E-postspråk	✔	✔
Exchange-transportregel	✔
Kontakt	✔
Sammanhang	✔	✔
Regel för dataförlustskydd	✔	✔
Hottyp*	✔	✔
Identifieringsteknik	✔	✔
Antal bifogade filer	✔	✔
Antal URL:ar	✔	✔
E-poststorlek	✔	✔

Tips

Om du vill se alla kolumner måste du förmodligen göra ett eller flera av följande steg:

• Rulla vågrätt i webbläsaren.
• Begränsa bredden på lämpliga kolumner.
• Ta bort kolumner från vyn.
• Zooma ut i webbläsaren.

Anpassade kolumninställningar sparas per användare. Anpassade kolumninställningar i Incognito- eller InPrivate-webbläsarläge sparas tills du stänger webbläsaren.

När du markerar en eller flera poster i listan genom att markera kryssrutan bredvid den första kolumnen är åtgärden Vidta tillgänglig. Mer information finns i Hotjakt: E-postreparation.

När du klickar på ämnes- eller mottagarvärdena i en post öppnas utfällbara informationsutfällbara objekt. Dessa utfällbara objekt beskrivs i följande underavsnitt.

E-postinformation från e-postvyn för informationsområdet i vyn Skadlig kod

När du väljer ämnesvärdet för en post i tabellen öppnas en utfälld utfällning av e-postinformation. Den här utfällbara menyn för information kallas Email sammanfattningspanel och innehåller standardiserad sammanfattningsinformation som också är tillgänglig på Email entitetssidan för meddelandet.

Mer information om informationen i Email sammanfattningspanel finns i Email sammanfattningspaneler.

Tillgängliga åtgärder överst i Email sammanfattningspanelen för Hotutforskaren och Realtidsidentifieringar beskrivs i Email information från Email vy av informationsområdet i e-postvyn Alla.

Mottagarinformation från Email vy över informationsområdet i vyn Skadlig kod

När du väljer en post genom att klicka på värdet Mottagare öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i Mottagarinformation från Email vy av informationsområdet i vyn Alla e-postmeddelanden.

Vyn Familjer med mest skadlig kod för informationsområdet i vyn Skadlig kod i Hotutforskaren

Vyn De främsta familjerna för skadlig kod för informationsområdet organiserar data i en tabell med de främsta familjerna för skadlig kod. Tabellen visar:

• Den främsta kolumnen för familjer med skadlig kod : Namnet på den skadliga koden.

  Om du väljer ett familjenamn för skadlig kod öppnas en utfälld informationsutfällning som innehåller följande information:

  • Email avsnitt: En tabell som visar följande relaterade information för meddelanden som innehåller filen med skadlig kod:

    • Datum
    • Ämne
    • Mottagare

    Välj Visa all e-post för att öppna Hotutforskaren på en ny flik filtrerad efter namnet på den skadliga koden.

  • Avsnittet Teknisk information

  

• Antal försök: Om du väljer antalet försök öppnas Hotutforskaren på en ny flik filtrerad efter namnet på den skadliga koden.

De mest riktade användarna visar informationsområdet i vyn Skadlig kod i Hotutforskaren

Vyn De mest riktade användarna ordnar data i en tabell med de fem främsta mottagarna som har utsatts för skadlig kod. Tabellen visar:

• De mest riktade användarna: E-postadressen för den mest riktade användaren. Om du väljer en e-postadress öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i vyn Toppinriktade användare för informationsområdet i vyn Alla e-postmeddelanden i Threat Explorer.

• Antal försök: Om du väljer antalet försök öppnas Hotutforskaren på en ny flik filtrerad efter namnet på den skadliga koden.

Tips

Använd Exportera för att exportera listan över upp till 3 000 användare och motsvarande försök.

Email ursprungsvyn för informationsområdet i vyn Skadlig kod i Hotutforskaren

Vyn Email ursprung visar meddelandekällor på en karta över världen.

Kampanjvy för informationsområdet i vyn Skadlig kod i Hotutforskaren

I vyn Kampanj visas en informationstabell. Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik.

Informationstabellen är identisk med informationstabellen på sidan Kampanjer.

När du markerar en post genom att klicka någon annanstans på raden än kryssrutan bredvid Namn öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i Kampanjinformation.

Nätfiskevy i Hotutforskaren och realtidsidentifieringar

Phish-vyn i Hotutforskaren och Realtidsidentifieringar visar information om e-postmeddelanden som har identifierats som nätfiske.

Öppna vyn Nätfiske genom att utföra något av följande steg:

• Hotutforskaren: På sidan Utforskaren i Defender-portalen på https://security.microsoft.comgår du till fliken Email & samarbete>explorer>phish. Eller gå direkt till sidan Utforskaren med hjälp av https://security.microsoft.com/threatexplorerv3och välj sedan fliken Nätfiske.
• Realtidsidentifieringar: På sidan Realtidsidentifieringar i Defender-portalen på https://security.microsoft.comgår du till fliken Email & samarbete>> ExplorerPhish. Eller gå direkt till sidan Realtidsidentifieringar med hjälp av https://security.microsoft.com/realtimereportsv3och välj sedan fliken Nätfiske.

Filterbara egenskaper i phish-vyn i Hotutforskaren och realtidsidentifieringar

Som standard tillämpas inga egenskapsfilter på data. Stegen för att skapa filter (frågor) beskrivs i avsnittet Filter i Hotutforskaren och Identifieringar i realtid senare i den här artikeln.

De filterbara egenskaper som är tillgängliga i rutan Avsändaradress i vyn Skadlig kod beskrivs i följande tabell:

Egenskap	Typ	Hot Explorer	Realtid Upptäckter
Basic
Avsändarens adress	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Mottagare	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Avsändningsdomän	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Mottagardomän	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Ämne	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Avsändarens visningsnamn	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Avsändarens e-postadress från adressen	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Avsändarens e-post från domänen	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Retursökväg	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Domän för retursökväg	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Taggar	SMS. Avgränsa flera värden med kommatecken. Mer information om användartaggar finns i Användartaggar.	✔
Personifierad domän	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Personifierad användare	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Exchange-transportregel	SMS. Avgränsa flera värden med kommatecken.	✔
Regel för dataförlustskydd	SMS. Avgränsa flera värden med kommatecken.	✔
Sammanhang	Välj ett eller flera värden: Utvärdering Prioritetskontoskydd	✔
Kontakt	SMS. Avgränsa flera värden med kommatecken.	✔
Leveransåtgärd	Välj ett eller flera värden: Blockeras Levereras Levereras till skräp Ersatt: Meddelandebilagor som har ersatts av principer för dynamisk leverans i säkra bifogade filer.	✔	✔
Ytterligare åtgärd	Välj ett eller flera värden: Automatiserad reparation Dynamisk leverans Manuell reparation Ingen Karantänversion Ombearbetad ZAP	✔	✔
Riktning	Välj ett eller flera värden: Inkommande Intra-irg Utgående	✔	✔
Identifieringsteknik	Välj ett eller flera värden: Avancerat filter Skydd mot skadlig kod Massutskick Kampanj Domänens rykte Fildetonation Fildetonationsrykte Filrykte Matchning av fingeravtryck Allmänt filter Personifieringsmärke Personifieringsdomän Personifieringsanvändare IP-rykte Personifiering av postlådeinformation Identifiering av blandad analys förfalskning av DMARC Förfalskning av extern domän Förfalskning inom organisationen URL-detonation URL-detonationsrykte Url:ens skadliga rykte	✔	✔
Ursprunglig leveransplats	Välj ett eller flera värden: Mappen Borttagna objekt Tappade Misslyckades Inkorg/mapp Skräppostmapp Lokalt/externt Karantän Okänd	✔	✔
Senaste leveransplats	Samma värden som ursprunglig leveransplats	✔	✔
Phish-konfidensnivå	Välj ett eller flera värden: Högsta Normal	✔
Primär åsidosättning	Välj ett eller flera värden: Tillåts av organisationsprincip Tillåts av användarprincip Blockerad av organisationsprincip Blockerad av användarprincip Ingen	✔	✔
Primär åsidosättningskälla	Meddelanden kan ha flera tillåtna eller blockera åsidosättningar som identifieras i Åsidosätt källa. Åsidosättningen som slutligen tillät eller blockerade meddelandet identifieras i primär åsidosättningskälla. Välj ett eller flera värden: Filter från tredje part Admin initierad tidsresa (ZAP) Principblock för program mot skadlig kod efter filtyp Principinställningar för antispam Anslutningsprincip Exchange-transportregel Exklusivt läge (åsidosättning av användare) Filtreringen hoppades över på grund av lokal organisation IP-regionfilter från princip Språkfilter från princip Nätfiskesimulering Karantänversion SecOps-postlåda Adresslista för avsändare (Admin åsidosättning) Adresslista för avsändare (åsidosättning av användare) Avsändardomänlista (Admin åsidosättning) Avsändardomänlista (åsidosättning av användare) Tillåt/blockera filblock för klientorganisationslista E-postadressblocket Tillåt/blockera lista för klientorganisation Tillåt/blockera förfalskningsblock för klientorganisationslista Tillåt/blockera url-blockering för klientorganisation Betrodd kontaktlista (åsidosättning av användare) Betrodd domän (åsidosättning av användare) Betrodd mottagare (åsidosättning av användare) Endast betrodda avsändare (åsidosättning av användare)	✔	✔
Åsidosätt källa	Samma värden som primär åsidosättningskälla	✔	✔
Typ av princip	Välj ett eller flera värden: Princip för skydd mot skadlig programvara Princip för skydd mot nätfiske Exchange-transportregel (e-postflödesregel), princip för värdbaserat innehållsfilter (princip för skräppostskydd), värdbaserad princip för utgående skräppostfilter (utgående skräppostprincip), princip för säkra bifogade filer Okänd	✔	✔
Principåtgärd	Välj ett eller flera värden: Lägg till x-header Hemlig kopia Ta bort meddelande Ändra ämne Flytta till mappen Skräppost Email Ingen åtgärd har vidtagits Omdirigeringsmeddelande Skicka till karantän	✔	✔
Email storlek	Heltal. Avgränsa flera värden med kommatecken.	✔	✔
Avancerat
Internet Message ID	SMS. Avgränsa flera värden med kommatecken. Tillgängligt i fältet Meddelande-ID-huvud i meddelandehuvudet. Ett exempelvärde är <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (observera vinkelparenteserna).	✔	✔
Nätverksmeddelande-ID	SMS. Avgränsa flera värden med kommatecken. Ett GUID-värde som är tillgängligt i rubrikfältet X-MS-Exchange-Organization-Network-Message-Id i meddelandehuvudet.	✔	✔
Avsändarens IP-adress	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Bifogad fil SHA256	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Kluster-ID	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Aviserings-ID	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Princip-ID för avisering	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Kampanj-ID	SMS. Avgränsa flera värden med kommatecken.	✔	✔
ZAP URL-signal	SMS. Avgränsa flera värden med kommatecken.	✔
Url:ar
Antal URL:ar	Heltal. Avgränsa flera värden med kommatecken.	✔	✔
URL-domän	SMS. Avgränsa flera värden med kommatecken.	✔	✔
URL-domän och sökväg	SMS. Avgränsa flera värden med kommatecken.	✔
URL	SMS. Avgränsa flera värden med kommatecken.	✔
URL-sökväg	SMS. Avgränsa flera värden med kommatecken.	✔
URL-källa	Välj ett eller flera värden: Bifogade filer Molnbilaga Email brödtext Email sidhuvud QR-kod Ämne Okänd	✔	✔
Klicka på domslut	Välj ett eller flera värden: Tillåts Blockera åsidosatt Blockeras Fel Misslyckande Ingen Väntar på dom Väntande dom kringgås	✔	✔
URL-hot	Välj ett eller flera värden: Skadlig kod Nätfiske Skräppost	✔	✔
Fil
Antal bifogade filer	Heltal. Avgränsa flera värden med kommatecken.	✔	✔
Filnamn för bifogad fil	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Filtyp	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Filnamnstillägg	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Filstorlek	Heltal. Avgränsa flera värden med kommatecken.	✔	✔
Autentisering
SPF	Välj ett eller flera värden: Misslyckas Neutral Ingen Passera Permanent fel Mjukt fel Tillfälligt fel	✔	✔
DKIM	Välj ett eller flera värden: Fel Misslyckas Bortse från Ingen Passera Test Timeout Okänd	✔	✔
DMARC	Välj ett eller flera värden: Bästa gissningspass Misslyckas Ingen Passera Permanent fel Väljare skickas Tillfälligt fel Okänd	✔	✔
Sammansättning	Välj ett eller flera värden: Misslyckas Ingen Passera Mjukt pass

Pivoter för diagrammet i vyn Nätfiske i Hotutforskaren och Realtidsidentifieringar

Diagrammet har en standardvy, men du kan välja ett värde i Välj pivot för histogramdiagram för att ändra hur filtrerade eller ofiltrerade diagramdata ordnas och visas.

Diagrampivoterna som är tillgängliga i vyn Nätfiske i Hotutforskaren och Realtidsidentifieringar visas i följande tabell:

Pivot	Hot Explorer	Realtid Upptäckter
Avsändningsdomän	✔	✔
Avsändarens IP-adress	✔
Leveransåtgärd	✔	✔
Identifieringsteknik	✔	✔
Fullständig URL	✔
URL-domän	✔	✔
URL-domän och sökväg	✔

De tillgängliga diagrampivoterna beskrivs i följande underavsnitt.

Pivotering av avsändardomändiagram i vyn Nätfiske i Hotutforskaren och Identifieringar i realtid

Även om den här pivoten inte ser markerad ut som standard är avsändardomänen standarddiagrammet i vyn Nätfiske i realtidsidentifieringar.

Pivoten Avsändardomän ordnar diagrammet efter domänerna i meddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje avsändardomän.

Avsändar-IP-diagram pivot i vyn Nätfiske i Hotutforskaren

Ip-pivoten Avsändare ordnar diagrammet efter källans IP-adresser för meddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje käll-IP-adress.

Diagram för leveransåtgärd i phish-vyn i Hotutforskaren och realtidsidentifieringar

Även om den här pivoten inte ser markerad ut som standard är leveransåtgärden standarddiagramspivoten i vyn Phish i Threat Explorer.

Pivot för leveransåtgärden organiserar diagrammet efter de åtgärder som vidtas för meddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje leveransåtgärd.

Diagrampivot för identifieringsteknik i vyn Nätfiske i Hotutforskaren och realtidsidentifieringar

Pivoten Identifieringsteknik organiserar diagrammet efter den funktion som identifierade nätfiskemeddelandena för det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje identifieringsteknik.

Pivot för fullständigt URL-diagram i vyn Nätfiske i Hotutforskaren

Pivoten Fullständig URL organiserar diagrammet efter de fullständiga URL:erna i nätfiskemeddelanden för det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje fullständig URL.

Pivot för URL-domändiagram i vyn Nätfiske i Hotutforskaren och identifieringar i realtid

URL-domänens pivot ordnar diagrammet efter domänerna i URL:er i nätfiskemeddelanden för det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje URL-domän.

Pivot för URL-domän och sökvägsdiagram i vyn Phish i Threat Explorer

URL-domänen och sökvägspivoten ordnar diagrammet efter domäner och sökvägar i URL:er i nätfiskemeddelanden för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje URL-domän och sökväg.

Vyer för informationsområdet i nätfiskevyn i Hotutforskaren

De tillgängliga vyerna (flikarna) i informationsområdet i nätfiskevyn visas i följande tabell och beskrivs i följande underavsnitt.

Visa	Hot Explorer	Realtid Upptäckter
E-post	✔	✔
URL-klick	✔	✔
Översta URL:er	✔	✔
Övre klickningar	✔	✔
De mest riktade användarna	✔
Email ursprung	✔
Kampanj	✔

Email vy för informationsområdet i vyn Nätfiske i Hotutforskaren och Realtidsidentifieringar

Email är standardvyn för informationsområdet i nätfiskevyn i Hotutforskaren och realtidsidentifieringar.

Vyn Email visar en informationstabell. Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas.

I följande tabell visas de kolumner som är tillgängliga i Hotutforskaren och Realtidsidentifieringar. Standardvärdena markeras med en asterisk (^*).

Kolumn	Hot Explorer	Realtid Upptäckter
Datum*	✔	✔
Subjekt*	✔	✔
Mottagare*	✔	✔
Mottagardomän	✔	✔
Taggar*	✔
Avsändaradress*	✔	✔
Avsändarens visningsnamn	✔	✔
Avsändardomän*	✔	✔
Avsändarens IP-adress	✔	✔
Avsändarens e-postadress från adressen	✔	✔
Avsändarens e-post från domänen	✔	✔
Ytterligare åtgärder*	✔	✔
Leveransåtgärd	✔	✔
Senaste leveransplats*	✔	✔
Ursprunglig leveransplats*	✔	✔
System åsidosätter källa	✔	✔
System åsidosättningar	✔	✔
Aviserings-ID	✔	✔
Internetmeddelande-ID	✔	✔
Nätverksmeddelande-ID	✔	✔
E-postspråk	✔	✔
Exchange-transportregel	✔
Kontakt	✔
Phish-konfidensnivå	✔
Sammanhang	✔
Regel för dataförlustskydd	✔
Hottyp*	✔	✔
Identifieringsteknik	✔	✔
Antal bifogade filer	✔	✔
Antal URL:ar	✔	✔
Email storlek	✔	✔

Tips

Om du vill se alla kolumner måste du förmodligen göra ett eller flera av följande steg:

• Rulla vågrätt i webbläsaren.
• Begränsa bredden på lämpliga kolumner.
• Ta bort kolumner från vyn.
• Zooma ut i webbläsaren.

Anpassade kolumninställningar sparas per användare. Anpassade kolumninställningar i Incognito- eller InPrivate-webbläsarläge sparas tills du stänger webbläsaren.

När du markerar en eller flera poster i listan genom att markera kryssrutan bredvid den första kolumnen är åtgärden Vidta tillgänglig. Mer information finns i Hotjakt: Email reparation.

När du klickar på ämnes- eller mottagarvärdena i en post öppnas utfällbara informationsutfällbara objekt. Dessa utfällbara objekt beskrivs i följande underavsnitt.

Email information från Email vy över informationsområdet i phish-vyn

När du väljer ämnesvärdet för en post i tabellen öppnas en utfälld utfällning av e-postinformation. Den här utfällbara menyn för information kallas Email sammanfattningspanel och innehåller standardiserad sammanfattningsinformation som också är tillgänglig på Email entitetssidan för meddelandet.

Mer information om informationen i Email sammanfattningspanelen finns i panelen Email sammanfattning i Defender för Office 365 funktioner.

Tillgängliga åtgärder överst i Email sammanfattningspanelen för Hotutforskaren och Realtidsidentifieringar beskrivs i Email information från Email vy av informationsområdet i e-postvyn Alla.

Mottagarinformation från Email vy över informationsområdet i nätfiskevyn

När du väljer en post genom att klicka på värdet Mottagare öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i Mottagarinformation från Email vy av informationsområdet i vyn Alla e-postmeddelanden.

URL-klickvyn för informationsområdet i vyn Nätfiske i Hotutforskaren och Realtidsidentifieringar

Vyn URL-klick visar ett diagram som kan ordnas med hjälp av pivoter. Diagrammet har en standardvy, men du kan välja ett värde i Välj pivot för histogramdiagram för att ändra hur filtrerade eller ofiltrerade diagramdata ordnas och visas.

Diagrammets pivoter som är tillgängliga i vyn Skadlig kod i Threat Explorer och realtidsidentifieringar beskrivs i följande tabell:

Pivot	Hot Explorer	Realtid Upptäckter
URL-domän	✔	✔
Klicka på domslut	✔	✔
URL	✔
URL-domän och sökväg	✔

Samma diagrampivot är tillgängliga och beskrivs för e-postvyn Alla i Threat Explorer:

• URL-domänens pivot för URL-klickvyn för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren
• Klicka på bedömningspivot för vyn URL-klick för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren
• URL-pivot för URL-klickvyn för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren
• URL-domän och sökvägspivot för URL-klickvyn för informationsområdet i vyn Alla e-postmeddelanden i Hotutforskaren

Tips

I Hotutforskaren har varje pivot i URL-klickvyn åtgärden Visa alla klick som öppnar vyn URL-klick i Threat Explorer på en ny flik. Den här åtgärden är inte tillgänglig i realtidsidentifieringar eftersom url-klickvyn inte är tillgänglig i realtidsidentifieringar.

Vyn Översta URL:er för informationsområdet i nätfiskevyn i Hotutforskaren och Realtidsidentifieringar

Vyn Översta URL:er visar en informationstabell. Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik:

• URL
• Meddelanden har blockerats
• Meddelanden som har skräppost
• Meddelanden som levereras

Information om de främsta URL:erna för nätfiskevyn

När du markerar en post genom att klicka någon annanstans på raden än kryssrutan bredvid den första kolumnen öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i information om de översta URL:erna för e-postvyn Alla.

Tips

Åtgärden Go hunt är endast tillgänglig i Threat Explorer. Den är inte tillgänglig i realtidsidentifieringar.

Vy med de översta klicken för informationsområdet i vyn Nätfiske i Hotutforskaren och Realtidsidentifieringar

Vyn Översta klick visar en informationstabell . Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik:

• URL
• Blockeras
• Tillåts
• Blockera åsidosatt
• Väntar på dom
• Väntande dom kringgås
• Ingen
• Felsida
• Misslyckande

Tips

Alla tillgängliga kolumner är markerade. Om du väljer Anpassa kolumner kan du inte avmarkera några kolumner.

Om du vill se alla kolumner måste du förmodligen göra ett eller flera av följande steg:

• Rulla vågrätt i webbläsaren.
• Begränsa bredden på lämpliga kolumner.
• Zooma ut i webbläsaren.

När du markerar en post genom att klicka någon annanstans på raden än kryssrutan bredvid den första kolumnen öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i information om de översta URL:erna för e-postvyn Alla.

De mest riktade användarna visar informationsområdet i vyn Nätfiske i Hotutforskaren

Vyn De mest riktade användarna ordnar data i en tabell med de fem främsta mottagarna som har utsatts för nätfiskeförsök. Tabellen visar:

• De mest riktade användarna: E-postadressen för den mest riktade användaren. Om du väljer en e-postadress öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i vyn Toppinriktade användare för informationsområdet i vyn Alla e-postmeddelanden i Threat Explorer.

• Antal försök: Om du väljer antalet försök öppnas Hotutforskaren på en ny flik filtrerad efter namnet på den skadliga koden.

Tips

Använd Exportera för att exportera listan över upp till 3 000 användare och motsvarande försök.

Email ursprungsvyn för informationsområdet i vyn Nätfiske i Hotutforskaren

Vyn Email ursprung visar meddelandekällor på en karta över världen.

Kampanjvy för informationsområdet i nätfiskevyn i Hotutforskaren

I vyn Kampanj visas en informationstabell. Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik.

Informationen i tabellen är densamma som beskrivs i informationstabellen på sidan Kampanjer.

När du markerar en post genom att klicka någon annanstans på raden än kryssrutan bredvid Namn öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i Kampanjinformation.

Kampanjvy i Hotutforskaren

Vyn Kampanjer i Hotutforskaren visar information om hot som har identifierats som samordnade nätfiske- och malwareattacker, antingen specifika för din organisation eller för andra organisationer i Microsoft 365.

Om du vill öppna vyn Kampanjer på sidan Utforskaren i Defender-portalen på https://security.microsoft.comgår du till fliken Email & samarbetsutforskarens>>kampanjer. Eller gå direkt till sidan Utforskaren med hjälp av https://security.microsoft.com/threatexplorerv3och välj sedan fliken Kampanjer.

All tillgänglig information och alla åtgärder är identiska med informationen och åtgärderna på sidan Kampanjer på https://security.microsoft.com/campaignsv3. Mer information finns på sidan Kampanjer i Microsoft Defender-portalen.

Vy över skadlig kod i Hotutforskaren och identifieringar i realtid

Vyn Skadlig kod i Hotutforskaren och Realtidsidentifieringar visar information om filer som har identifierats som skadlig kod av:

• Inbyggt virusskydd i SharePoint, OneDrive och Microsoft Teams
• Säkra bifogade filer för SharePoint, OneDrive och Microsoft Teams.

Öppna vyn Skadlig kod för innehåll genom att utföra något av följande steg:

• Hotutforskaren: På sidan Utforskaren i Defender-portalen på https://security.microsoft.comgår du till fliken Email & samarbete>explorer>innehåll skadlig kod. Du kan också gå direkt till sidan Utforskaren med hjälp av https://security.microsoft.com/threatexplorerv3och sedan välja fliken Skadlig kod för innehåll.
• Realtidsidentifieringar: På sidan Realtidsidentifieringar i Defender-portalen på https://security.microsoft.comgår du till fliken Email & samarbete>explorer>innehåll skadlig kod. Eller gå direkt till sidan Identifieringar i realtid med hjälp av https://security.microsoft.com/realtimereportsv3och välj sedan fliken Skadlig kod för innehåll.

Filterbara egenskaper i vyn Skadlig kod för innehåll i Hotutforskaren och realtidsidentifieringar

Som standard tillämpas inga egenskapsfilter på data. Stegen för att skapa filter (frågor) beskrivs i avsnittet Filter i Hotutforskaren och Identifieringar i realtid senare i den här artikeln.

De filterbara egenskaper som är tillgängliga i rutan Filnamn i vyn Innehåll skadlig kod i Hotutforskaren och Realtidsidentifieringar beskrivs i följande tabell:

Egenskap	Typ	Hot Explorer	Realtid Upptäckter
Fil
Filnamn	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Arbetsbelastning	Välj ett eller flera värden: OneDrive SharePoint Teams	✔	✔
Plats	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Filägare	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Senast ändrad av	SMS. Avgränsa flera värden med kommatecken.	✔	✔
SHA256	Heltal. Avgränsa flera värden med kommatecken. Om du vill hitta SHA256-hashvärdet för en fil i Windows kör du följande kommando i en kommandotolk: certutil.exe -hashfile "<Path>\<Filename>" SHA256.	✔	✔
Familj med skadlig kod	SMS. Avgränsa flera värden med kommatecken.	✔	✔
Identifieringsteknik	Välj ett eller flera värden: Avancerat filter Skydd mot skadlig kod Massutskick Kampanj Domänens rykte Fildetonation Fildetonationsrykte Filrykte Matchning av fingeravtryck Allmänt filter Personifieringsmärke Personifieringsdomän Personifieringsanvändare IP-rykte Personifiering av postlådeinformation Identifiering av blandad analys förfalskning av DMARC Förfalskning av extern domän Förfalskning inom organisationen URL-detonation URL-detonationsrykte Url:ens skadliga rykte	✔	✔
Hottyp	Välj ett eller flera värden: Blockera Skadlig kod Nätfiske Skräppost	✔	✔

Pivoter för diagrammet i vyn Innehåll skadlig kod i Hotutforskaren och Realtidsidentifieringar

Diagrammet har en standardvy, men du kan välja ett värde i Välj pivot för histogramdiagram för att ändra hur filtrerade eller ofiltrerade diagramdata ordnas och visas.

Diagrampivoterna som är tillgängliga i vyn Innehåll skadlig kod i Threat Explorer och Realtidsidentifieringar visas i följande tabell:

Pivot	Hot Explorer	Realtid Upptäckter
Familj med skadlig kod	✔	✔
Identifieringsteknik	✔	✔
Arbetsbelastning	✔	✔

De tillgängliga diagrampivoterna beskrivs i följande underavsnitt.

Diagram över skadlig kod i vyn Innehåll för skadlig kod i Hotutforskaren och realtidsidentifieringar

Även om den här pivoten inte ser ut som standard är malwarefamiljen standarddiagrammet i vyn Innehåll skadlig kod i Hotutforskaren och Realtidsidentifieringar.

Pivoten För familjen Skadlig kod ordnas diagrammet efter den skadliga kod som identifieras i filer i SharePoint, OneDrive och Microsoft Teams med hjälp av det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje skadlig kodfamilj.

Diagram för identifieringsteknik i vyn Innehåll för skadlig kod i Hotutforskaren och identifieringar i realtid

Pivoten Identifieringsteknik ordnar diagrammet efter funktionen som identifierade skadlig kod i filer i SharePoint, OneDrive och Microsoft Teams för det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje identifieringsteknik.

Pivotering av arbetsbelastningsdiagram i vyn Skadlig kod för innehåll i Hotutforskaren och realtidsidentifieringar

Pivoten Workload ordnar diagrammet efter var den skadliga koden identifierades (SharePoint, OneDrive eller Microsoft Teams) för det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje arbetsbelastning.

Vyer för informationsområdet i vyn Innehåll för skadlig kod i Hotutforskaren och Identifieringar i realtid

I Hotutforskaren och Realtidsidentifieringar innehåller informationsområdet i vyn Innehåll skadlig kod endast en vy (flik) med namnet Dokument. Den här vyn beskrivs i följande underavsnitt.

Dokumentvy för informationsområdet i vyn Innehåll skadlig kod i Hotutforskaren och Realtidsidentifieringar

Dokumentet är standard och endast vyn för informationsområdet i vyn Skadlig kod för innehåll .

Dokumentvyn visar en informationstabell. Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardvärdena är markerade med en asterisk (^*):

• Datum^*
• Namn^*
• Arbetsbörda^*
• Hot^*
• Identifieringsteknik^*
• Senast ändrande användare^*
• Filägare^*
• Storlek (byte)^*
• Senast ändrad tid
• Webbplatssökväg
• Filsökväg
• Dokument-ID
• SHA256
• Identifierat datum
• Familj med skadlig kod
• Sammanhang

Tips

Om du vill se alla kolumner måste du förmodligen göra ett eller flera av följande steg:

• Rulla vågrätt i webbläsaren.
• Begränsa bredden på lämpliga kolumner.
• Ta bort kolumner från vyn.
• Zooma ut i webbläsaren.

Anpassade kolumninställningar sparas per användare. Anpassade kolumninställningar i Incognito- eller InPrivate-webbläsarläge sparas tills du stänger webbläsaren.

När du väljer ett filnamnsvärde i kolumnen Namn öppnas en utfällbar informationsutfällning. Den utfällbara menyn innehåller följande information:

• Sammanfattningsavsnitt :

  • Filnamn
  • Webbplatssökväg
  • Filsökväg
  • Dokument-ID
  • SHA256
  • Senaste ändringsdatum
  • Senast ändrad av
  • Hot
  • Identifieringsteknik

• Informationsavsnitt :

  • Identifierat datum
  • Identifierad av
  • Namn på skadlig kod
  • Senast ändrad av
  • Filstorlek
  • Filägare

• Email listavsnitt: En tabell som visar följande relaterade information för meddelanden som innehåller filen med skadlig kod:

  • Datum
  • Ämne
  • Mottagare

  Välj Visa all e-post för att öppna Hotutforskaren på en ny flik filtrerad efter namnet på den skadliga koden.

• Senaste aktivitet: Visar de sammanfattade resultaten av en granskningsloggsökning för mottagaren:

  • Datum
  • IP-adress
  • Aktivitet
  • Objekt

  Om mottagaren har fler än tre granskningsloggposter väljer du Visa alla senaste aktiviteter för att se alla.

  Tips

  Medlemmar i rollgruppen Säkerhetsadministratörer i Email & samarbetsbehörigheter kan inte expandera avsnittet Senaste aktivitet. Du måste vara medlem i en rollgrupp i Exchange Online behörigheter som har tilldelats granskningsloggar, Information Protection analytiker eller Information Protection utredare. Som standard tilldelas dessa roller till rollgrupperna Hantering av arkivhandlingar, efterlevnadshantering, Information Protection, Information Protection analytiker, Information Protection utredare och organisationshantering. Du kan lägga till medlemmar i säkerhetsadministratörer i dessa rollgrupper, eller så kan du skapa en ny rollgrupp med rollen Granskningsloggar tilldelad.

URL klickar på vyn i Hotutforskaren

I vyn URL-klick i Threat Explorer visas alla användarklick på URL:er i e-post, i Office-filer som stöds i SharePoint och OneDrive samt i Microsoft Teams.

Om du vill öppna URL-klickvyn på sidan Utforskaren i Defender-portalen på https://security.microsoft.comgår du till fliken Email & klickapå fliken Församarbetsutforskaren>>. Eller gå direkt till sidan Utforskaren med och https://security.microsoft.com/threatexplorerv3välj sedan fliken URL-klick.

Filterbara egenskaper i URL:en klickar på vyn i Hotutforskaren

Som standard tillämpas inga egenskapsfilter på data. Stegen för att skapa filter (frågor) beskrivs i avsnittet Filter i Hotutforskaren och Identifieringar i realtid senare i den här artikeln.

De filterbara egenskaper som är tillgängliga i rutan Mottagare i vyn URL-klick i Threat Explorer beskrivs i följande tabell:

Egenskap	Typ
Basic
Mottagare	SMS. Avgränsa flera värden med kommatecken.
Taggar	SMS. Avgränsa flera värden med kommatecken. Mer information om användartaggar finns i Användartaggar.
Nätverksmeddelande-ID	SMS. Avgränsa flera värden med kommatecken. Ett GUID-värde som är tillgängligt i rubrikfältet X-MS-Exchange-Organization-Network-Message-Id i meddelandehuvudet.
URL	SMS. Avgränsa flera värden med kommatecken.
Klicka på åtgärd	Välj ett eller flera värden: Tillåts Blockera sida Åsidosättning av blocksida Felsida Misslyckande Ingen Väntande detonationssida Väntande åsidosättning av detonationssida
Hottyp	Välj ett eller flera värden: Tillåt Blockera Skadlig kod Nätfiske Skräppost
Identifieringsteknik	Välj ett eller flera värden: URL-detonation URL-detonationsrykte Url:ens skadliga rykte
Klicka på ID	SMS. Avgränsa flera värden med kommatecken.
Klient-IP	SMS. Avgränsa flera värden med kommatecken.

Pivoter för diagrammet i URL:en klickar på vyn i Hotutforskaren

Diagrammet har en standardvy, men du kan välja ett värde i Välj pivot för histogramdiagram för att ändra hur filtrerade eller ofiltrerade diagramdata ordnas och visas.

De tillgängliga diagrampivoterna beskrivs i följande underavsnitt.

Pivot för URL-domändiagram i vyn URL-klick i Hotutforskaren

Även om den här pivoten inte ser markerad ut som standard är URL-domänen standarddiagramspivoten i vyn URL-klick .

Url-domänens pivot ordnar diagrammet efter domänerna i URL:er som användarna klickade på i e-post, Office-filer eller Microsoft Teams för det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje URL-domän.

Pivot för arbetsbelastningsdiagram i URL:en klickar på vyn i Hotutforskaren

Pivoten Workload ordnar diagrammet efter platsen för den klickade URL:en (e-post, Office-filer eller Microsoft Teams) för det angivna datum-/tidsintervallet och egenskapsfiltren.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje arbetsbelastning.

Pivot för identifieringsteknikdiagram i vyn URL-klick i Hotutforskaren

Pivoten Identifieringsteknik ordnar diagrammet efter den funktion som identifierade URL-klick i e-post, Office-filer eller Microsoft Teams för det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje identifieringsteknik.

Pivot för diagram av hottyp i vyn URL-klick i Hotutforskaren

Pivoten Hottyp ordnar diagrammet efter resultaten för klickade URL:er i e-post, Office-filer eller Microsoft Teams för det angivna datum-/tidsintervallet och egenskapsfilter.

Om du hovrar över en datapunkt i diagrammet visas antalet för varje teknik av hottyp.

Vyer för informationsområdet för URL-klickvyn i Hotutforskaren

Tillgängliga vyer (flikar) i informationsområdet i vyn URL-klick beskrivs i följande underavsnitt.

Resultatvyn för informationsområdet för URL-klickvyn i Hotutforskaren

Resultatet är standardvyn för informationsområdet i vyn URL-klick .

Vyn Resultat visar en informationstabell. Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla kolumner markerade:

• Klickad tid
• Mottagare
• Url-klickåtgärd
• URL
• Taggar
• Nätverksmeddelande-ID
• Klicka på ID
• Klient-IP
• URL-kedja
• Hottyp
• Identifieringsteknik

Tips

Om du vill se alla kolumner måste du förmodligen göra ett eller flera av följande steg:

• Rulla vågrätt i webbläsaren.
• Begränsa bredden på lämpliga kolumner.
• Ta bort kolumner från vyn.
• Zooma ut i webbläsaren.

Anpassade kolumninställningar sparas per användare. Anpassade kolumninställningar i Incognito- eller InPrivate-webbläsarläge sparas tills du stänger webbläsaren.

Markera en eller poster genom att markera kryssrutan bredvid den första kolumnen på raden och välj sedan Visa alla e-postmeddelanden för att öppna Hotutforskaren i vyn Alla e-postmeddelanden på en ny flik filtrerad efter värdena för nätverksmeddelande-ID för de valda meddelandena.

Vy med de översta klicken för informationsområdet i vyn URL-klick i Hotutforskaren

Vyn Översta klick visar en informationstabell . Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik:

• URL
• Blockeras
• Tillåts
• Blockera åsidosatt
• Väntar på dom
• Väntande dom kringgås
• Ingen
• Felsida
• Misslyckande

Tips

Alla tillgängliga kolumner är markerade. Om du väljer Anpassa kolumner kan du inte avmarkera några kolumner.

Om du vill se alla kolumner måste du förmodligen göra ett eller flera av följande steg:

• Rulla vågrätt i webbläsaren.
• Begränsa bredden på lämpliga kolumner.
• Zooma ut i webbläsaren.

Markera en post genom att markera kryssrutan bredvid den första kolumnen på raden och välj sedan Visa alla klick för att öppna Hotutforskaren på en ny flik i vyn URL-klick.

När du markerar en post genom att klicka någon annanstans på raden än kryssrutan bredvid den första kolumnen öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i information om de översta URL:erna för e-postvyn Alla.

Vyn För de främsta målgrupperna för informationsområdet för URL-klickvyn i Hotutforskaren

Vyn De mest riktade användarna ordnar data i en tabell med de fem främsta mottagarna som klickade på URL:er. Tabellen visar:

• De mest riktade användarna: E-postadressen för den mest riktade användaren. Om du väljer en e-postadress öppnas en utfälld informationsutfällning. Informationen i den utfällbara menyn är densamma som beskrivs i vyn Toppinriktade användare för informationsområdet i vyn Alla e-postmeddelanden i Threat Explorer.

• Antal försök: Om du väljer antalet försök öppnas Hotutforskaren på en ny flik filtrerad efter namnet på den skadliga koden.

Tips

Använd Exportera för att exportera listan över upp till 3 000 användare och motsvarande försök.

Egenskapsfilter i Threat Explorer och realtidsidentifieringar

Den grundläggande syntaxen för ett egenskapsfilter/en fråga är:

Villkor = <FilteregenskapEns><egenskapsvärde eller värden för filteregenskapen><>

Flera villkor använder följande syntax:

<Villkor1><OCH | OR><Condition2><AND | ELLER><Villkor3>... <OCH | OR><ConditionN>

Tips

Jokerteckensökningar (**** eller ?) stöds inte i text- eller heltalsvärden. Egenskapen Subject använder partiell textmatchning och ger resultat som liknar en jokerteckensökning.

Stegen för att skapa egenskapsfilter/frågevillkor är desamma i alla vyer i Threat Explorer och realtidsidentifieringar:

1. Identifiera filteregenskapen med hjälp av tabellerna i avsnitten för beskrivning av förhandsgranskningsvyn tidigare i den här artikeln.

2. Välj en tillgänglig filteroperator. Tillgängliga filteroperatorer beror på egenskapstypen enligt beskrivningen i följande tabell:

   Filteroperator	Egenskapstyp
   Lika med någon av	Text Heltal Diskreta värden
   Lika med inget av	Text Diskreta värden
   Större än	Heltal
   Mindre än	Heltal

3. Ange eller välj ett eller flera egenskapsvärden. För textvärden och heltal kan du ange flera värden avgränsade med kommatecken.

   Flera värden i egenskapsvärdet använder den logiska operatorn OR. Till exempel Avsändaradress Lika med>någon av>bob@fabrikam.com,cindy@fabrikam.com medel AvsändaradressLika med> någon av >bob@fabrikam.com OR cindy@fabrikam.com.

   När du har angett eller valt ett eller flera egenskapsvärden visas det slutförda filtervillkoret under rutorna för att skapa filter.

   Tips

   För egenskaper som kräver att du väljer ett eller flera tillgängliga värden har egenskapen i filtervillkoret med alla värden markerade samma resultat som att inte använda egenskapen i filtervillkoret.

4. Om du vill lägga till ett annat villkor upprepar du de föregående tre stegen.

   Villkoren under rutorna för att skapa filter avgränsas med den logiska operator som valdes när du skapade det andra eller efterföljande villkoret. Standardvärdet är AND, men du kan också välja OR.

   Samma logiska operator används mellan alla villkor: de är alla OCH eller de är alla ELLER. Om du vill ändra befintliga logiska operatorer markerar du rutan logisk operator och väljer sedan AND eller OR.

   Om du vill redigera ett befintligt villkor dubbelklickar du på det för att få tillbaka den valda egenskapen, filteroperatorn och värdena i motsvarande rutor.

   Om du vill ta bort ett befintligt villkor väljer du villkoret .

5. Om du vill tillämpa filtret på diagrammet och informationstabellen väljer du Uppdatera

   

Sparade frågor i Threat Explorer

Tips

Spara fråga är en del av hotspårare och är inte tillgängligt i realtidsidentifieringar. Sparade frågor och hotspårare är endast tillgängliga i Defender för Office 365 plan 2.

Det går inte att spara frågan i vyn Skadlig kod för innehåll.

De flesta vyer i Threat Explorer gör att du kan spara filter (frågor) för senare användning. Sparade frågor är tillgängliga på sidan Hotspårare i Defender-portalen på https://security.microsoft.com/threattrackerv2. Mer information om hotspårare finns i Hotspårare i Microsoft Defender för Office 365 plan 2.

Gör följande för att spara frågor i Threat Explorer:

1. När du har skapat filtret/frågan enligt föregående beskrivning väljer du Spara fråga>Spara fråga.

2. I den utfällbara menyn Spara fråga som öppnas konfigurerar du följande alternativ:

   • Frågenamn: Ange ett unikt namn för frågan.
   • Använd någon av följande metoder:
     • Exakta datum: Välj ett startdatum och slutdatum i rutorna. Det äldsta startdatumet som du kan välja är 30 dagar före idag. Det senaste slutdatumet som du kan välja är i dag.
     • Relativa datum: Välj antalet dagar i Visa de senaste nn dagarna när sökningen körs. Standardvärdet är 7, men du kan välja mellan 1 och 30.
   • Spåra fråga: Som standard är det här alternativet inte markerat. Det här alternativet påverkar om frågan körs automatiskt:
     • Spåra en fråga som inte är markerad: Frågan är tillgänglig så att du kan köra den manuellt i Hotutforskaren. Frågan sparas på fliken Sparade frågor på sidan Hotspårare med egenskapsvärdet Spårad frågaNej.
     • Spåra vald fråga : Frågan körs regelbundet i bakgrunden. Frågan är tillgänglig på fliken Sparade frågor på sidan Hotspårare med egenskapsvärdet Spårad frågaJa. De periodiska resultaten av frågan visas på fliken Spårade frågor på sidan Hotspårare .

   När du är klar med den utfällbara menyn Spara fråga väljer du Spara och sedan OK i bekräftelsedialogrutan.

På flikarna Sparad fråga eller Spårad fråga på sidan Hotspårare i Defender-portalen på https://security.microsoft.com/threattrackerv2kan du välja Utforska i kolumnen Åtgärder för att öppna och använda frågan i Threat Explorer.

När du öppnar frågan genom att välja Utforska från sidan Hotspårare är Spara fråga som och Sparade frågeinställningar nu tillgängliga i Spara fråga på Explorer-sidan:

• Om du väljer Spara fråga som öppnas den utfällbara menyn Spara fråga med alla tidigare valda inställningar. Om du gör ändringar väljer du Spara och sedan OK i dialogrutan Lyckades , den uppdaterade frågan sparas som en ny fråga på sidan Hotspårare (du kan behöva välja Uppdatera för att se den).

• Om du väljer Sparade frågeinställningar öppnas den utfällbara menyn Sparade frågeinställningar där du kan uppdatera datum- och spåra frågeinställningar för den befintliga frågan.

Mer information

• Hotutforskaren samlar in e-postinformation på Email entitetssida
• Hitta och undersöka skadlig e-post som levererades
• Visa skadliga filer som identifierats i SharePoint Online, OneDrive och Microsoft Teams
• Statusrapport för hotskydd
• Automatiserad undersökning och svar i Microsoft Threat Protection