AIR 中针对用户报告的钓鱼结果的自动用户通知

• 适用于:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

在具有 Microsoft Defender for Office 365 计划 2 的 Microsoft 365 组织中，当用户将邮件报告为网络钓鱼时，会在自动调查和响应中自动创建调查， (AIR) 。 管理员可以配置用户报告的邮件设置，以根据 AIR 的判决向报告邮件的用户发送电子邮件通知。 此通知也称为 自动反馈响应。 有关详细信息，请参阅 用户报告设置。

本文介绍如何为特定的 AIR 判决启用和自定义自动反馈响应、通知电子邮件的发送方式以及通知的外观。

开始前，有必要了解什么？

• 在 中打开Microsoft Defender门户https://security.microsoft.com。 若要直接转到 “用户报告设置 ”页，请使用 https://security.microsoft.com/securitysettings/userSubmission。

• 需要先分配权限，然后才能执行本文中的过程。 可以选择下列选项：

  • Email & Microsoft Defender门户中的协作权限：组织管理或安全管理员角色组中的成员身份。
  • Microsoft Entra权限：全局管理员或安全管理员角色的成员身份为用户提供 Microsoft 365 中其他功能所需的权限和权限。

使用Microsoft Defender门户配置自动反馈响应

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到“设置Email &>协作>用户报告的设置”选项卡。若要直接转到“用户报告设置”页，请使用 https://security.microsoft.com/securitysettings/userSubmission。

2. 在 “用户报告设置 ”页上，验证是否已选择“ 监视 Outlook 中的报告邮件 ”。

3. 在“Email通知>结果电子邮件”部分中，选择“自动向用户发送调查结果”，然后选择显示的以下一个或多个选项：

   • 网络钓鱼或恶意软件：当 AIR 将威胁识别为钓鱼、高置信度钓鱼或恶意软件时，将电子邮件通知发送给将邮件报告为钓鱼的用户。
   • 垃圾邮件：当 AIR 将威胁识别为垃圾邮件时，向将邮件报告为钓鱼的用户发送电子邮件通知。
   • 未发现威胁：当 AIR 未发现威胁时，将电子邮件通知发送给将邮件报告为钓鱼的用户。

   

4. 通知电子邮件使用的模板与管理员选择“标记为”并在“提交”页上通知时使用的https://security.microsoft.com/reportsubmission模板相同。

   可以通过选择“自定义结果电子邮件”链接 来自定义通知电子邮件 。

   在打开的“自定义管理员审阅电子邮件通知浮出控件”中，在“钓鱼” (配置以下设置，这些设置对应于“钓鱼”或“恶意软件自动反馈响应”选项) 、“垃圾邮件”和“找不到威胁”选项卡：

   • Email正文结果文本：输入要使用的自定义文本。 可以对 钓鱼、 垃圾邮件 和 未找到威胁使用不同的文本。
   • Email页脚文本：输入要使用的自定义邮件页脚文本。 相同的文本用于 钓鱼、 垃圾邮件 和 未找到威胁。

   

   完成“自定义管理员评审电子邮件通知浮出控件”后，选择“确认”以返回到“用户报告设置”页。

自动反馈响应的工作原理

启用自动反馈响应后，将邮件报告为钓鱼的用户会收到基于 AIR 判决和所选的“ 自动向用户发送调查结果 ”选项的电子邮件通知：

提示

以下屏幕截图显示了发送给用户的示例通知电子邮件。 如前所述，可以使用在用户报告设置中 自定义结果电子邮件 中的选项自定义通知电子邮件。

• 未发现威胁：如果用户将邮件报告为网络钓鱼，则提交会针对报告的邮件触发 AIR。 如果调查未发现任何威胁，则报告邮件的用户会收到如下所示的通知电子邮件：

  

• 垃圾邮件：如果用户将邮件报告为网络钓鱼，则提交会针对报告的邮件触发 AIR。 如果调查发现邮件是垃圾邮件，则报告邮件的用户会收到如下所示的通知电子邮件：

  

• 网络钓鱼或恶意软件：如果用户将邮件报告为钓鱼，则提交会针对报告的邮件触发 AIR。 接下来会发生什么情况取决于调查结果：

  • 高置信度钓鱼或恶意软件：需要使用以下操作之一修正邮件：

    • 批准建议的操作 (在调查或操作中心) 显示为挂起的操作。
    • 通过其他方式进行修正， (例如 威胁资源管理器) 。

    修正邮件后，调查将作为 “已修正 ”或 “部分修正”关闭。 仅当调查状态为其中一个值时，才会向报告邮件的用户发送电子邮件通知。

    提示

    对于高置信度钓鱼或恶意软件，如果在邮件) 删除 (邮箱中未找到邮件，则调查可能会立即结束为“ 修正 ”。 没有待处理的调查要关闭，因此不会向报告邮件的用户发送电子邮件通知。

  • 钓鱼：调查不会创建挂起的操作，但用户仍会收到一封通知电子邮件，指出邮件被发现是钓鱼邮件。 通知电子邮件如下所示：

    

当 AIR 到达判决时，通知电子邮件发送给将邮件报告为钓鱼的用户时，Defender 门户“提交”页上的“用户报告”选项卡上的条目将显示以下属性值：

• 标记为：包含判决。
• 标记者：值为 Automation。

无论邮件是自动还是手动发送给 Microsoft 以供审阅，还是 AIR 调查邮件，判决都会显示在 “标记为 ”属性中。 有关“提交”页上的“用户报告”选项卡的详细信息，请参阅用户报告邮件管理员选项。

了解详情

若要详细了解 Defender for Microsoft 365 中的提交和调查，请参阅以下文章：

• Microsoft Defender for Office 365 中的自动调查和响应
• 在 Microsoft 365 中查看自动调查的结果
• 管理员审阅报告邮件
• 自动调查和响应在 Microsoft Defender for Office 365 中的工作原理