Sidan Email entitet i Microsoft Defender för Office 365

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Microsoft 365-organisationer som har Microsoft Defender för Office 365 ingår i sin prenumeration eller köpt som ett tillägg har Email entitetssida. Sidan Email entitet i Microsoft Defender-portalen innehåller mycket detaljerad information om ett e-postmeddelande och eventuella relaterade entiteter.

Den här artikeln beskriver informationen och åtgärderna på Email entitetssidan.

Behörigheter och licensiering för Email entitetssida

Om du vill använda Email entitetssida måste du tilldelas behörigheter. Behörigheter och licensiering är samma som Hotutforskaren (Explorer) och realtidsidentifieringar. Mer information finns i Behörigheter och licensiering för Hotutforskaren och Realtidsidentifieringar.

Här hittar du entitetssidan för Email

Det finns inga direkta länkar till Email entitetssida från de översta nivåerna i Defender-portalen. I stället är åtgärden Öppna e-postentitet tillgänglig överst i den utfällbara menyn med e-postinformation i många Defender för Office 365 funktioner. Den här utfällbara menyn med e-postinformation kallas Email sammanfattningspanel och innehåller en sammanfattad delmängd av informationen på sidan Email entitet. Panelen för e-postsammanfattning är identisk med Defender för Office 365 funktioner. Mer information finns i avsnittet Sammanfattningspanel för Email senare i den här artikeln.

Den Email sammanfattningspanelen med åtgärden Öppna e-postentitet är tillgänglig på följande platser:

• På sidan Avancerad jakt på https://security.microsoft.com/v2/advanced-hunting: På fliken Resultat i en e-postrelaterad fråga klickar du på värdet NetworkMessageId för en post i tabellen.

• *På sidan Aviseringar på https://security.microsoft.com/alerts: För aviseringar med värdet IdentifieringskällaMDO eller värdet ProduktnamnMicrosoft Defender för Office 365 markerar du posten genom att klicka på värdet Aviseringsnamn. På sidan med aviseringsinformation som öppnas väljer du meddelandet i avsnittet Meddelandelista .

• Från rapporten hotskyddsstatus på https://security.microsoft.com/reports/TPSEmailPhishReportATP:

  • Välj Visa data efter Email > Phish och någon av de tillgängliga diagramuppdelningsvalen. I informationstabellen under diagrammet markerar du posten genom att klicka någon annanstans på raden än kryssrutan bredvid den första kolumnen.
  • Välj Visa data efter Email > Skadlig kod och något av de tillgängliga diagramuppdelningsvalen. I informationstabellen under diagrammet markerar du posten genom att klicka någon annanstans på raden än kryssrutan bredvid den första kolumnen.
  • Välj Visa data efter Email > Skräppost och något av de tillgängliga diagramuppdelningsvalen. I informationstabellen under diagrammet markerar du posten genom att klicka någon annanstans på raden än kryssrutan bredvid den första kolumnen.

• Från Explorer-sidan på https://security.microsoft.com/threatexplorerv3 (Threat Explorer) eller från sidan Realtidsidentifieringar på https://security.microsoft.com/realtimereportsv3. Detta gör du genom att använda någon av följande metoder.

  • I Hotutforskaren kontrollerar du att vyn Alla e-postmeddelanden är markerad>. Kontrollera att fliken Email (vy) i informationsområdet är markerad > klickar du på värdet Ämne i en post.
  • I Hotutforskaren eller Realtidsidentifieringar väljer du vyn >Skadlig kod för att kontrollera att fliken Email (vy) i informationsområdet har valts > klicka på värdet Ämne i en post.
  • I Hotutforskaren eller Realtidsidentifieringar väljer du vyn >Nätfiske kontrollera att fliken Email (vy) i informationsområdet är markerad > klickar du på värdet Ämne i en post.

• På sidan Incidenter på https://security.microsoft.com/incidents: För incidenter med värdet ProduktnamnMicrosoft Defender för Office 365 väljer du incidenten genom att klicka på värdet Incidentnamn. På sidan incidentinformation som öppnas väljer du fliken Bevis och svar (vy). På fliken Alla bevis och värdet EntitetstypEmail eller fliken E-postmeddelanden markerar du posten genom att klicka någon annanstans på raden än kryssrutan.

• På sidan Karantän på https://security.microsoft.com/quarantine: Kontrollera att fliken Email är markerad > markerar du en post genom att klicka någon annanstans på raden än kryssrutan.

• Från sidan Inskickade filer på https://security.microsoft.com/reportsubmission:

  • Välj fliken >E-post och markera en post genom att klicka var som helst på raden förutom kryssrutan.
  • Välj fliken >Användarrapporterad markera en post genom att klicka någon annanstans på raden än kryssrutan.

Vad finns på sidan Email entitet

Informationsfönstret till vänster på sidan innehåller komprimerbara avsnitt med information om meddelandet. De här avsnitten förblir konstanta så länge du är på sidan. De tillgängliga avsnitten är:

• Avsnittet Taggar . Visar alla användartaggar (inklusive prioritetskonto) som har tilldelats till avsändare eller mottagare. Mer information om användartaggar finns i Användartaggar i Microsoft Defender för Office 365.

• Informationsavsnitt för identifiering :

  • Ursprungliga hot

  • Ursprunglig leveransplats:

    • Mappen Borttagna objekt
    • Tappade
    • Levererad misslyckades
    • Inkorgsmapp
    • Mappen Skräppost Email
    • Extern
    • Karantän
    • Okänd

  • Senaste hot

  • Senaste leveransplats: Platsen för meddelandet efter systemåtgärder för meddelandet (till exempel ZAP) eller administratörsåtgärder för meddelandet ( till exempel Flytta till borttagna objekt). Användaråtgärder för meddelandet (till exempel att ta bort eller arkivera meddelandet) visas inte, så det här värdet garanterar inte meddelandets aktuella plats .

    Tips

    Det finns scenarier där den ursprungliga leveransplatsen/Senaste leveransplatsen och/eller leveransåtgärden har värdet Okänd. Till exempel:

    • Meddelandet levererades (leveransåtgärdenär Levererad), men en inkorgsregel flyttade meddelandet till en annan standardmapp än mappen Inkorgen eller Skräppost Email (till exempel mappen Utkast eller Arkiv).
    • ZAP försökte flytta meddelandet efter leveransen, men meddelandet hittades inte (till exempel flyttade eller tog användaren bort meddelandet).

  • Identifieringsteknik:

    • Avancerat filter: Nätfiskesignaler baserade på maskininlärning.
    • Kampanj: Meddelanden som identifieras som en del av en kampanj.
    • Fil detonation: Säkra bifogade filer identifierade en skadlig bifogad fil under detonationsanalysen.
    • Rykte om fildetonation: Filbilagor som tidigare identifierats av säkra bifogade filer detonationer i andra Microsoft 365-organisationer.
    • Filrykte: Meddelandet innehåller en fil som tidigare har identifierats som skadlig i andra Microsoft 365-organisationer.
    • Matchning av fingeravtryck: Meddelandet liknar ett tidigare identifierat skadligt meddelande.
    • Allmänt filter: Nätfiskesignaler baserade på analytikerregler.
    • Personifieringsmärke: Avsändarpersonifiering av välkända varumärken.
    • Personifieringsdomän: Personifiering av avsändardomäner som du äger eller har angett för skydd i principer för skydd mot nätfiske.
    • Personifieringsanvändare: Personifiering av skyddade avsändare som du har angett i principer för skydd mot nätfiske eller som du har lärt dig via postlådeinformation.
    • Personifiering av postlådeinformation: Personifieringsidentifieringar från postlådeinformation i principer för skydd mot nätfiske.
    • Identifiering av blandad analys: Flera filter bidrog till meddelandeutfallet.
    • Förfalskning av DMARC: Meddelandet misslyckades med DMARC-autentisering.
    • Förfalskning av extern domän: Avsändarens e-postadress förfalskning med hjälp av en domän som är extern för din organisation.
    • Förfalskning inom organisationen: Avsändarens e-postadress förfalskning med hjälp av en domän som är intern för din organisation.
    • URL-detonation: Säkra länkar identifierade en skadlig URL i meddelandet under detonationsanalysen.
    • Url-detonationsrykte: URL:er som tidigare identifierats av safe links-detonationer i andra Microsoft 365-organisationer.
    • Skadligt URL-rykte: Meddelandet innehåller en URL som tidigare har identifierats som skadlig i andra Microsoft 365-organisationer.

  • Leveransåtgärd:

    • Levereras
    • Skräppost
    • Blockeras

  • Primär åsidosättning: Källa

    • Värden för primär åsidosättning:
      • Tillåts av organisationsprincip
      • Tillåts av användarprincip
      • Blockerad av organisationsprincip
      • Blockerad av användarprincip
      • Ingen
    • Värden för primär åsidosättningskälla:
      • Filter från tredje part
      • Admin initierad tidsresa (ZAP)
      • Principblock för program mot skadlig kod efter filtyp
      • Principinställningar för antispam
      • Anslutningsprincip
      • Exchange-transportregel
      • Exklusivt läge (åsidosättning av användare)
      • Filtreringen hoppades över på grund av lokal organisation
      • IP-regionfilter från princip
      • Språkfilter från princip
      • Nätfiskesimulering
      • Karantänversion
      • SecOps-postlåda
      • Adresslista för avsändare (Admin åsidosättning)
      • Adresslista för avsändare (åsidosättning av användare)
      • Avsändardomänlista (Admin åsidosättning)
      • Avsändardomänlista (åsidosättning av användare)
      • Tillåt/blockera filblock för klientorganisationslista
      • E-postadressblocket Tillåt/blockera lista för klientorganisation
      • Tillåt/blockera förfalskningsblock för klientorganisationslista
      • Tillåt/blockera url-blockering för klientorganisation
      • Betrodd kontaktlista (åsidosättning av användare)
      • Betrodd domän (åsidosättning av användare)
      • Betrodd mottagare (åsidosättning av användare)
      • Endast betrodda avsändare (åsidosättning av användare)

• Email informationsavsnitt:

  • Riktning:
    • Inkommande
    • Intra-irg
    • Utgående
  • Mottagare (till)^*
  • Avsändare^*
  • Mottagen
  • Internet Message ID^*: Tillgängligt i fältet Meddelande-ID-huvud i meddelandehuvudet. Ett exempelvärde är <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (observera vinkelparenteserna).
  • Nätverksmeddelande-ID^*: Ett GUID-värde som är tillgängligt i rubrikfältet X-MS-Exchange-Organization-Network-Message-ID i meddelandehuvudet.
  • Kluster-ID
  • Språk

  ^* Åtgärden Kopiera till Urklipp är tillgänglig för att kopiera värdet.

Med flikarna (vyerna) överst på sidan kan du undersöka e-post effektivt. Dessa vyer beskrivs i följande underavsnitt.

Tidslinjevy

Vyn Tidslinje visar de leverans- och efterleveranshändelser som har inträffat i meddelandet.

Följande meddelandehändelseinformation är tillgänglig i vyn. Välj en kolumnrubrik som ska sorteras efter den kolumnen. Om du vill lägga till eller ta bort kolumner väljer du Anpassa kolumner. Som standard är alla tillgängliga kolumner markerade.

• Tidslinje (datum/tid för händelsen)
• Källa: Till exempel System, **Admin eller Användare.
• Händelsetyper
• Result
• Hot
• Information

Om inget hände med meddelandet efter leveransen kommer meddelandet sannolikt bara att ha en rad i tidslinjevyn med värdet Händelsetyperursprunglig leverans. Till exempel:

• Resultatvärdet är Mappen Inkorg – Levereras.
• Resultatvärdet är mappen Skräppost – levereras till skräppost
• Resultatvärdet är Quarantine – Blockerad.

Efterföljande åtgärder i meddelandet från användare, administratörer eller Microsoft 365 lägger till fler rader i vyn. Till exempel:

• Värdet för Händelsetyper är ZAP och resultatvärdet är Meddelande som flyttas till Karantän av ZAP.
• Värdet för Händelsetyper är Quarantine Release (Karantänversion) och result-värdet är Message (Meddelande) har släppts från Karantän.

Använd rutan Search för att hitta information på sidan. Skriv text i rutan och tryck sedan på RETUR.

Använd Exportera för att exportera data i vyn till en CSV-fil. Standardfilnamnet är – Microsoft Defender.csv och standardplatsen är mappen Nedladdningar . Om det redan finns en fil med det namnet läggs filnamnet till med ett tal (till exempel - Microsoft Defender(1).csv).

Analysvy

Analysvyn innehåller information som hjälper dig att analysera meddelandet på djupet. Följande information är tillgänglig i den här vyn:

• Informationsavsnitt om hotidentifiering : Information om hot som identifieras i meddelandet:

  • Hot: Det primära hotet indikeras av primärt hot.
  • Konfidensnivå: Värdena är Hög, Medel eller Låg.
  • Prioritetskontoskydd: Värdena är Ja eller Nej. Mer information finns i Konfigurera och granska prioritetskontoskydd i Microsoft Defender för Office 365.

• Email informationsavsnitt om identifiering: Information om skyddsfunktioner eller åsidosättningar som påverkade meddelandet:

  • Alla åsidosättningar: Alla organisations- eller användarinställningar som hade möjlighet att ändra meddelandets avsedda leveransplats. Om meddelandet till exempel matchade en e-postflödesregel och en blockpost i listan Tillåt/blockera klientorganisation visas båda inställningarna här. Egenskapen Primär åsidosättning: Värdet för källegenskapen identifierar inställningen som faktiskt påverkade leveransen av meddelandet.

  • Primär åsidosättning: Källa: Visar organisationen eller användarinställningen som ändrade meddelandets avsedda leveransplats (tillåts i stället för blockerad eller blockerad i stället för tillåten). Till exempel:

    • Meddelandet blockerades av en e-postflödesregel.
    • Meddelandet tilläts på grund av en post i användarens lista över betrodda avsändare.

  • Regler för Exchange-transport (e-postflödesregler): Om meddelandet påverkades av e-postflödesregler visas regelnamnen och GUID-dalen. Åtgärder som vidtas för meddelanden via e-postflödesregler sker före utfall av skräppost och nätfiske.

    Åtgärden Kopiera till Urklipp är tillgänglig för att kopiera regelns GUID. Mer information om e-postflödesregler finns i E-postflödesregler (transportregler) i Exchange Online.

    Länken Gå till Administrationscenter för Exchange öppnar sidan Regler i det nya administrationscentret för Exchange på https://admin.exchange.microsoft.com/#/transportrules.

  • Anslutningsapp: Om meddelandet levererades via en inkommande anslutningsapp visas anslutningsappens namn. Mer information om anslutningsappar finns i Konfigurera e-postflöde med anslutningsappar i Exchange Online.

  • Massklagomålsnivå (BCL): Ett högre BCL-värde anger att meddelandet är mer sannolikt skräppost. Mer information finns i Massklagomålsnivå (BCL) i EOP.

  • Princip: Om en principtyp visas här (till exempel Skräppost) väljer du Konfigurera för att öppna den relaterade principsidan (till exempel sidan Principer för skräppostskydd på https://security.microsoft.com/antispam).

  • Principåtgärd

  • Aviserings-ID: Välj aviserings-ID-värdet för att öppna informationssidan för aviseringen (som om du hittade och valde aviseringen på sidan Aviseringar på https://security.microsoft.com/alerts). Åtgärden Kopiera till Urklipp är också tillgänglig för att kopiera aviserings-ID-värdet.

  • Principtyp

  • Klienttyp: Visar typen av klient som skickade meddelandet (till exempel REST)

  • Email storlek

  • Regler för dataförlustskydd

• Avsnittet Information om avsändare och mottagare: Information om meddelandesändaren och viss mottagarinformation:

  • Avsändarens visningsnamn
  • Avsändaradress^*
  • Avsändarens IP-adress
  • Avsändarens domännamn^*
  • Skapandedatum för domän: En nyligen skapad domän och andra meddelandesignaler kan identifiera meddelandet som misstänkt.
  • Domänägare
  • Avsändarens MAIL FROM-adress^*
  • Avsändarens MAIL FROM-domännamn^*
  • Returväg
  • Domän för returväg
  • Plats
  • Mottagardomän^*
  • Till: Visar de första 5 000 tecknen i alla e-postadresser i fältet Till i meddelandet.
  • Kopia: Visar de första 5 000 tecknen i alla e-postadresser i fältet Kopia i meddelandet.
  • Distributionslista: Visar distributionsgruppen (distributionslista) om mottagaren fick e-postmeddelandet som medlem i listan. Distributionsgruppen på den översta nivån visas för kapslade distributionsgrupper.
  • Vidarebefordran: Anger om meddelandet vidarebefordrades automatiskt till en extern e-postadress. Vidarebefordringsanvändaren och vidarebefordringstypen visas (e-postflödesregler, inkorgsregler eller SMTP-vidarebefordring).

  ^* Åtgärden Kopiera till Urklipp är tillgänglig för att kopiera värdet.

• Autentiseringsavsnitt : Information om resultat för e-postautentisering :

  • Domänbaserad meddelandeautentisering (DMARC)
    • Pass: DMARC-kontrollen för meddelandet som skickades.
    • Fail: DMARC-kontrollen för meddelandet misslyckades.
    • BestGuessPass: DMARC TXT-posten för domänen har inte gjort det, men om det fanns någon skulle DMARC-kontrollen för meddelandet ha skickats.
    • Ingen: Anger att det inte finns någon DMARC TXT-post för den sändande domänen i DNS.
  • DomainKeys identifierade e-post (DKIM): Värden är:
    • Pass: DKIM-kontrollen för meddelandet som skickades.
    • Fail (reason): DKIM-kontrollen för meddelandet misslyckades. Meddelandet var till exempel inte DKIM-signerat eller så verifierades inte DKIM-signaturen.
    • None: Meddelandet var inte DKIM-signerat. Det här resultatet kan tyda på att domänen har en DKIM-post eller att DKIM-posten inte utvärderas till ett resultat. Det här resultatet anger bara att det här meddelandet inte har signerats.
  • SPF (Sender Policy Framework): Värden är:
    • Pass (IP address): SPF-kontrollen upptäckte att meddelandekällan är giltig för domänen.
    • Fail (IP address): SPF-kontrollen fann att meddelandekällan inte är giltig för domänen, och tvingande regeln i SPF-posten är -all (hårt fel).
    • SoftFail (reason): SPF-kontrollen upptäckte att meddelandekällan inte är giltig för domänen, och tvingande regeln i SPF-posten är ~all (mjuk misslyckas).
    • Neutral: SPF-kontrollen visade att meddelandekällan inte är giltig för domänen och att tvingande regeln i SPF-posten är ?all (neutral).
    • None: Domänen har ingen SPF-post eller så utvärderas inte SPF-posten till ett resultat.
    • TempError: SPF-kontrollen påträffade ett tillfälligt fel (till exempel ett DNS-fel). Samma kontroll kan senare lyckas.
    • PermError: SPF-kontrollen påträffade ett permanent fel. Domänen har till exempel en felaktigt formaterad SPF-post.
  • Sammansatt autentisering: SPF, DKIM, DMARC och annan information avgör om meddelandesändaren (Från-adressen) är autentiserad. Mer information finns i Sammansatt autentisering.

• Avsnittet Relaterade entiteter : Information om bifogade filer och URL:er i meddelandet:

  • Entitet: Om du väljer Bifogade filer eller URL:er kommer du till vyn Bifogade filer eller URL-vyn för Email entitetssidan för meddelandet.
  • Totalt antal
  • Hot hittades: Värdena är Ja eller Nej.

• Meddelandeinformationsområde:

  • E-postrubrikflik i oformaterad text : Innehåller hela meddelanderubriken i oformaterad text. Välj Kopiera meddelandehuvud för att kopiera meddelandehuvudet. Välj Microsoft Message Header Analyzer för att öppna Analysverktyg för meddelandehuvud på https://mha.azurewebsites.net/pages/mha.html. Klistra in det kopierade meddelandehuvudet på sidan och välj sedan Analysera rubriker för mer information om meddelandehuvuden och värden.
  • Fliken Till : Visar de första 5 000 tecknen i alla e-postadresser i fältet Till i meddelandet.
  • Fliken Kopia: Visar de första 5 000 tecknen i alla e-postadresser i fältet Kopia i meddelandet.

Vyn Bifogade filer

Vyn Bifogade filer visar information om alla bifogade filer i meddelandet och genomsökningsresultaten för de bifogade filerna.

Följande information om bifogade filer är tillgänglig i den här vyn. Välj en kolumnrubrik som ska sorteras efter den kolumnen. Om du vill lägga till eller ta bort kolumner väljer du Anpassa kolumner. Som standard är alla tillgängliga kolumner markerade.

• Filnamn för bifogade filer: Om du klickar på filnamnsvärdet
• Filtyp
• Filstorlek
• Filnamnstillägg
• Hot
• Familj med skadlig kod
• Bifogad fil SHA256: Åtgärden Kopiera till Urklipp är tillgänglig för att kopiera SHA256-värdet.
• Information

Använd rutan Search för att hitta information på sidan. Skriv text i rutan och tryck sedan på RETUR.

Använd Exportera för att exportera data i vyn till en CSV-fil. Standardfilnamnet är – Microsoft Defender.csv och standardplatsen är mappen Nedladdningar . Om det redan finns en fil med det namnet läggs filnamnet till med ett tal (till exempel - Microsoft Defender(1).csv).

Information om bifogade filer

Om du väljer en post i vyn Bifogade filer genom att klicka på värdet För filnamn för bifogade filer öppnas en utfällbar utfällbar information som innehåller följande information:

• Fliken Djupanalys : Information finns på den här fliken om säkra bifogade filer genomsökte (detonerade) den bifogade filen. Du kan identifiera dessa meddelanden i Threat Explorer med hjälp av teknik för identifiering av frågefilter med värdet Fil detonation.

  • Detonationskedja avsnitt: Säkra bifogade filer detonation av en enda fil kan utlösa flera detonationer. Detonationskedjan spårar sökvägen till detonationer, inklusive den ursprungliga skadliga filen som orsakade domen och alla andra filer som påverkas av detonationen. Dessa bifogade filer kanske inte finns direkt i e-postmeddelandet. Men att inkludera analysen är viktigt för att avgöra varför filen befanns vara skadlig.

    Om det inte finns någon information om detonationskedjan visas värdet Inget detonationsträd . Annars kan du välja Exportera för att ladda ned detonationskedjans information till en CSV-fil. Standardfilnamnet är Detonation chain.csv och standardplatsen är mappen Nedladdningar . Om det redan finns en fil med det namnet läggs filnamnet till med ett tal (till exempel Detonationskedja(1).csv). CSV-filen innehåller följande information:

    • Överst: Filen på den översta nivån.
    • Nivå1: Nästa nivåfil.
    • Nivå 2: Nästa nivåfil.
    • och så vidare.

    Detonationskedjan och CSV-filen kan bara visa objektet på den översta nivån om ingen av de entiteter som är kopplade till den befanns vara problematiska eller detonerade.

  • Sammanfattningsavsnitt : Om det inte finns någon sammanfattningsinformation om detonation visas värdet Ingen detonationssammanfattning . I annat fall finns följande sammanfattningsinformation om detonation tillgänglig:

    • Analystid
    • Dom: Domen på själva bilagan.
    • Mer information: Filstorleken i byte.
    • Indikatorer på kompromisser

  • Avsnittet Skärmbilder: Visa alla skärmbilder som har fångats under detonationen. Inga skärmbilder hämtas för containerfiler som ZIP eller RAR som innehåller andra filer.

    Om inga skärmbilder av detonation är tillgängliga visas värdet Inga skärmbilder att visa . Annars väljer du länken för att visa skärmbilden.

  • Avsnittet Beteendeinformation : Visar de exakta händelser som ägde rum under detonationen och problematiska eller godartade observationer som innehåller URL:er, IP-adresser, domäner och filer som hittades under detonationen. Det kanske inte finns någon beteendeinformation för containerfiler som ZIP eller RAR som innehåller andra filer.

    Om ingen information om beteendeinformation är tillgänglig visas värdet Inga detonationsbeteenden . Annars kan du välja Exportera för att ladda ned information om beteendeinformation till en CSV-fil. Standardfilnamnet är Beteende details.csv och standardplatsen är mappen Nedladdningar . Om det redan finns en fil med det namnet läggs filnamnet till med ett tal (till exempel Beteendeinformation(1).csv). CSV-filen innehåller följande information:

    • Tid
    • Beteende
    • Beteendeegenskap
    • Process (PID)
    • Åtgärd
    • Mål
    • Information
    • Result

• Fliken Filinformation : Avsnittet Filinformation innehåller följande information:

  • Filnamn
  • SHA256
  • Filstorlek (i byte)

När du är klar med den utfällbara menyn med filinformation väljer du Stäng.

Blockera bifogade filer från vyn Bifogade filer

Om du väljer en post i vyn Bifogade filer genom att markera kryssrutan bredvid filnamnet är åtgärden Blockera tillgänglig. Den här åtgärden lägger till filen som en blockpost i listan Tillåt/blockera klientorganisation. Om du väljer Blockera startas åtgärdsguiden Vidta :

1. På sidan Välj åtgärder konfigurerar du någon av följande inställningar i avsnittet Blockera fil :

   • Upphör aldrig att gälla : Det här är standardvärdet .
   • Upphör aldrig att gälla : Dra växlingsknappen till av och välj sedan ett datum i rutan Ta bort på .

   När du är klar på sidan Välj åtgärder väljer du Nästa.

2. På sidan Välj målentiteter kontrollerar du att filen som du vill blockera är markerad och väljer sedan Nästa.

3. Konfigurera följande inställningar på sidan Granska och skicka :

   • Reparationsnamn: Ange ett unikt namn för att spåra statusen i Åtgärdscenter.
   • Beskrivning: Ange en valfri beskrivning.

   När du är klar på sidan Granska och skicka väljer du Skicka.

URL-vy

URL-vyn visar information om alla URL:er i meddelandet och genomsökningsresultaten för dessa URL:er.

Följande information om bifogade filer är tillgänglig i den här vyn. Välj en kolumnrubrik som ska sorteras efter den kolumnen. Om du vill lägga till eller ta bort kolumner väljer du Anpassa kolumner. Som standard är alla tillgängliga kolumner markerade.

• URL
• Hot
• Source
• Information

Använd rutan Search för att hitta information på sidan. Skriv text i rutan och tryck sedan på RETUR.

Använd Exportera för att exportera data i vyn till en CSV-fil. Standardfilnamnet är – Microsoft Defender.csv och standardplatsen är mappen Nedladdningar . Om det redan finns en fil med det namnet läggs filnamnet till med ett tal (till exempel - Microsoft Defender(1).csv).

URL-information

Om du väljer en post i URL-vyn genom att klicka på URL-värdet öppnas en utfälld informationsutfällning som innehåller följande information:

• Fliken Djupanalys : Information är tillgänglig på den här fliken om Säkra länkar genomsökte (detonerade) URL:en. Du kan identifiera dessa meddelanden i Threat Explorer med hjälp av teknik för identifiering av frågefilter med värdet URL-detonation.

  • Detonationskedjans avsnitt: Detonation av säkra länkar för en enda URL kan utlösa flera detonationer. Detonationskedjan spårar sökvägen till detonationer, inklusive den ursprungliga skadliga URL:en som orsakade domen och alla andra URL:er som påverkas av detonationen. Dessa URL:er kanske inte finns direkt i e-postmeddelandet. Men det är viktigt att ta med analysen för att avgöra varför URL:en visade sig vara skadlig.

    Om det inte finns någon information om detonationskedjan visas värdet Inget detonationsträd . Annars kan du välja Exportera för att ladda ned detonationskedjans information till en CSV-fil. Standardfilnamnet är Detonation chain.csv och standardplatsen är mappen Nedladdningar . Om det redan finns en fil med det namnet läggs filnamnet till med ett tal (till exempel Detonationskedja(1).csv). CSV-filen innehåller följande information:

    • Överst: Filen på den översta nivån.
    • Nivå1: Nästa nivåfil.
    • Nivå 2: Nästa nivåfil.
    • och så vidare.

    Detonationskedjan och CSV-filen kan bara visa objektet på den översta nivån om ingen av de entiteter som är kopplade till den befanns vara problematiska eller detonerade.

  • Sammanfattningsavsnitt : Om det inte finns någon sammanfattningsinformation om detonation visas värdet Ingen detonationssammanfattning . I annat fall finns följande sammanfattningsinformation om detonation tillgänglig:

    • Analystid
    • Dom: Domen på själva URL:en.

  • Avsnittet Skärmbilder: Visa alla skärmbilder som har fångats under detonationen. Inga skärmbilder hämtas om URL:en öppnas i en länk som laddar ned en fil direkt. Du ser dock den nedladdade filen i detonationskedjan.

    Om inga skärmbilder av detonation är tillgängliga visas värdet Inga skärmbilder att visa . Annars väljer du länken för att visa skärmbilden.

  • Avsnittet Beteendeinformation : Visar de exakta händelser som ägde rum under detonationen och problematiska eller godartade observationer som innehåller URL:er, IP-adresser, domäner och filer som hittades under detonationen.

    Om ingen information om beteendeinformation är tillgänglig visas värdet Inga detonationsbeteenden . Annars kan du välja Exportera för att ladda ned information om beteendeinformation till en CSV-fil. Standardfilnamnet är Beteende details.csv och standardplatsen är mappen Nedladdningar . Om det redan finns en fil med det namnet läggs filnamnet till med ett tal (till exempel Beteendeinformation(1).csv). CSV-filen innehåller följande information:

    • Tid
    • Beteende
    • Beteendeegenskap
    • Process (PID)
    • Åtgärd
    • Mål
    • Information
    • Result

• Fliken URL-information: Avsnittet URL-information innehåller följande information:

  • URL
  • Hot

När du är klar med den utfällbara menyn med filinformation väljer du Stäng.

Blockera URL:er från URL-vyn

Om du väljer en post i URL-vyn genom att markera kryssrutan bredvid filnamnet är åtgärden Blockera tillgänglig. Den här åtgärden lägger till URL:en som en blockpost i listan Tillåt/blockera klientorganisation. Om du väljer Blockera startas åtgärdsguiden Vidta :

1. På sidan Välj åtgärder konfigurerar du någon av följande inställningar i avsnittet Blockera URL :

   • Upphör aldrig att gälla : Det här är standardvärdet .
   • Upphör aldrig att gälla : Dra växlingsknappen till av och välj sedan ett datum i rutan Ta bort på .

   När du är klar på sidan Välj åtgärder väljer du Nästa.

2. På sidan Välj målentiteter kontrollerar du att den URL som du vill blockera är markerad och väljer sedan Nästa.

3. Konfigurera följande inställningar på sidan Granska och skicka :

   • Reparationsnamn: Ange ett unikt namn för att spåra statusen i Åtgärdscenter.
   • Beskrivning: Ange en valfri beskrivning.

   När du är klar på sidan Granska och skicka väljer du Skicka.

Liknande e-postvy

Vyn Liknande e-postmeddelanden visar andra e-postmeddelanden som har samma fingeravtryck för meddelandetext som det här meddelandet. Matchande villkor i andra meddelanden gäller inte för den här vyn (till exempel fingeravtryck för bifogade filer).

Följande information om bifogade filer är tillgänglig i den här vyn. Välj en kolumnrubrik som ska sorteras efter den kolumnen. Om du vill lägga till eller ta bort kolumner väljer du Anpassa kolumner. Som standard är alla tillgängliga kolumner markerade.

• Datum
• Ämne
• Mottagare
• Avsändare
• Avsändarens IP-adress
• Åsidosätta
• Leveransåtgärd
• Leveransplats

Använd Filter för att filtrera posterna efter Startdatum och Slutdatum.

Använd rutan Search för att hitta information på sidan. Skriv text i rutan och tryck sedan på RETUR.

Använd Exportera för att exportera data i vyn till en CSV-fil. Standardfilnamnet är – Microsoft Defender.csv och standardplatsen är mappen Nedladdningar . Om det redan finns en fil med det namnet läggs filnamnet till med ett tal (till exempel - Microsoft Defender(1).csv).

Åtgärder på sidan Email entitet

Följande åtgärder är tillgängliga överst på sidan Email entitet:

• Vidta åtgärder: Mer information finns i Hotjakt: Email reparation.
• Email preview ²
• Fler alternativ:

  • Gå till e-post i karantän: Endast tillgängligt om meddelandet har satts i karantän. Om du väljer den här åtgärden öppnas fliken Email på sidan Karantän på https://security.microsoft.com/quarantine, filtrerat efter det unika meddelande-ID-värdet för meddelandet. Mer information finns i Visa e-post i karantän.

  • Ladda ned e-post för ²

    Tips

    Ladda ned e-post är inte tillgängligt för meddelanden som har placerats i karantän. Ladda i stället ned en lösenordsskyddad kopia av meddelandet från karantänen.

² Åtgärderna Email förhandsversion och Ladda ned e-post kräver förhandsversionsrollen. Du kan tilldela den här rollen på följande platser:

• Microsoft Defender XDR Enhetlig rollbaserad åtkomstkontroll (RBAC) (påverkar endast Defender-portalen, inte PowerShell): Säkerhetsåtgärder/rådata (e-post & samarbete)/Email & samarbetsinnehåll (läs).
• Email & samarbetsbehörigheter i Microsoft Defender-portalen: Medlemskap i rollgrupperna Datadetektiv eller eDiscovery Manager. Eller så kan du skapa en ny rollgrupp med rollen Förhandsversion tilldelad och lägga till användarna i den anpassade rollgruppen.

² Du kan förhandsgranska eller ladda ned e-postmeddelanden som är tillgängliga i Microsoft 365-postlådor. Exempel på när meddelanden inte längre är tillgängliga i postlådor är:

• Meddelandet togs bort innan leveransen eller leveransen misslyckades.
• Meddelandet togs bort mjukt (togs bort från mappen Borttaget, vilket flyttar meddelandet till mappen Återställningsbara objekt\Borttagningar).
• ZAP flyttade meddelandet till karantän.

Panelen Email sammanfattning

Den Email sammanfattningspanelen är den utfällbara menyn med e-postinformation som är tillgänglig i många funktioner i Exchange Online Protection (EOP) och Defender för Office 365. Panelen Email sammanfattning innehåller standardiserad sammanfattningsinformation om e-postmeddelandet som hämtats från den fullständiga information som är tillgänglig på Email entitetssidan i Defender för Office 365.

Var du hittar Email sammanfattningspanelen beskrivs i avsnittet Var du hittar den Email entitetssidan tidigare i den här artikeln. Resten av det här avsnittet beskriver den information som är tillgänglig på Email sammanfattningspanel för alla funktioner.

Tips

Panelen Email sammanfattning finns på sidan Åtgärdscenter på https://security.microsoft.com/action-center/ flikarna Väntar eller Historik. Markera en åtgärd med värdet EntitetstypEmail genom att klicka var som helst på raden, förutom kryssrutan eller värdet för undersöknings-ID. Den utfällbara menyn med information är den Email sammanfattningspanelen, men Entiteten Öppna e-post är inte tillgänglig överst i den utfällbara menyn.

Följande meddelandeinformation är tillgänglig överst i Email sammanfattningspanel:

• Rubriken på den utfällbara menyn är meddelandet Ämnesvärde.
• Antalet bifogade filer och länkar i meddelandet (finns inte i alla funktioner).
• Alla användartaggar som har tilldelats till mottagarna av meddelandet (inklusive kontotaggen Prioritet). Mer information finns i Användartaggar i Microsoft Defender för Office 365
• Vilka åtgärder som är tillgängliga överst i den utfällbara menyn beror på var du öppnade Email sammanfattningspanelen. De tillgängliga åtgärderna beskrivs i de enskilda funktionsartiklarna.

Tips

Om du vill se information om andra meddelanden utan att lämna Email sammanfattningspanelen i det aktuella meddelandet använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Följande avsnitt är tillgängliga på Email sammanfattningspanel för alla funktioner (det spelar ingen roll var du öppnade Email sammanfattningspanel från):

• Avsnittet Leveransinformation :

  • Ursprungliga hot
  • Senaste hoten
  • Ursprunglig plats
  • Senaste leveransplats
  • Leveransåtgärd
  • Identifieringstekniker
  • Primär åsidosättning: Källa

• Email informationsavsnitt:

  • Avsändarens visningsnamn
  • Avsändarens adress
  • Avsändarens e-postadress från adress
  • Skickas för
  • Retursökväg
  • Avsändarens IP-adress
  • Plats
  • Mottagare
  • Mottagen
  • Riktning
  • Nätverksmeddelande-ID
  • Internetmeddelande-ID
  • Kampanj-ID
  • DMARC
  • DKIM
  • SPF
  • Sammansatt autentisering

• Avsnittet URL:er : Information om url:er i meddelandet:

  • URL
  • Hotstatus

  Om meddelandet har fler än tre URL:er väljer du Visa alla URL:er för att se alla.

• Avsnittet Bifogade filer : Information om eventuella bifogade filer i meddelandet:

  • Namn på bifogad fil
  • Hot
  • Teknik för identifiering/familj med skadlig kod

  Om meddelandet innehåller fler än tre bifogade filer väljer du Visa alla bifogade filer för att se alla.