Microsoft Defender for Office 365 中的“电子邮件”实体页

提示

你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 在此处了解谁可以注册和试用条款。

Microsoft订阅中包含 Microsoft Defender for Office 365 或作为加载项购买的 365 个组织具有 “电子邮件”实体页。 Microsoft Defender 门户中的“电子邮件”实体页包含有关电子邮件和任何相关实体的高度详细信息。

本文介绍“电子邮件”实体页上的信息和操作。

“电子邮件”实体页的权限和许可

若要使用“电子邮件”实体页,需要分配权限。 权限和许可与威胁资源管理器 (资源管理器) 和实时检测相同。 有关详细信息,请参阅 威胁资源管理器的权限和许可和实时检测

“电子邮件”实体页的查找位置

从 Defender 门户的顶层没有指向 “电子邮件”实体 页的直接链接。 相反,许多 Defender for Office 365 功能中的电子邮件详细信息浮出控件顶部提供了“打开电子邮件实体”操作。 此电子邮件详细信息浮出控件称为 “电子邮件摘要”面板,包含“电子邮件”实体页上信息的汇总子集。 电子邮件摘要面板在 Defender for Office 365 功能中是相同的。 有关详细信息,请参阅本文后面的 电子邮件摘要面板 部分。

以下位置提供了包含 “打开电子邮件实体 ”操作的电子邮件摘要面板:

  • 在“ 高级搜寻 ”页 https://security.microsoft.com/v2/advanced-hunting中,在与电子邮件相关的查询的“ 结果 ”选项卡中,单击表中某个条目的 NetworkMessageId 值。

  • *在“ 警报 ”页中 https://security.microsoft.com/alerts:对于具有 “检测源 ”值 MDO 或“ 产品名称” 值的警报 ,Microsoft Defender for Office 365,单击“ 警报名称 ”值选择条目。 在打开的警报详细信息页中,从“ 邮件列表 ”部分选择邮件。

  • 的威胁防护状态 报告中 https://security.microsoft.com/reports/TPSEmailPhishReportATP

    • 选择“ 通过电子邮件 > 网络钓鱼查看数据 ”和任何可用的 图表细分 选项。 在图表下方的详细信息表中,单击第一列旁边的复选框以外的行中的任意位置,选择条目。
    • 选择“ 按电子邮件 > 恶意软件查看数据 ”和任何可用的 图表细分 选项。 在图表下方的详细信息表中,单击第一列旁边的复选框以外的行中的任意位置,选择条目。
    • 选择“ 按电子邮件 > 垃圾邮件查看数据 ”和任何可用的 图表细分 选项。 在图表下方的详细信息表中,单击第一列旁边的复选框以外的行中的任意位置,选择条目。
  • 从 (“威胁资源管理器”https://security.microsoft.com/threatexplorerv3 的“资源管理器”页) 或从 位于 https://security.microsoft.com/realtimereportsv3“实时检测”页中。 请使用以下方法之一:

    • 在“威胁资源管理器”中,验证“ 所有电子邮件 ”视图是否已选中 > ,验证“ 电子邮件 ”选项卡 (视图) 详细信息区域中的选中 > 状态,单击条目中的 “主题” 值。
    • 在“威胁资源管理器”或“实时检测”中,选择“ 恶意软件 ”视图 > ,验证“ 电子邮件 ”选项卡 (视图) 详细信息区域中的选中 > ,单击条目中的 “主题” 值。
    • 在“威胁资源管理器”或“实时检测”中,选择“ 网络钓鱼 ”视图 > ,验证“ 电子邮件 ”选项卡 (视图) 在详细信息区域中选中 > ,单击条目中的 “主题” 值。
  • 在“ 事件 ”页 https://security.microsoft.com/incidents中:对于具有“ 产品名称”Microsoft Defender for Office 365 的事件,单击“ 事件名称 ”值选择事件。 在打开的事件详细信息页中,选择“ 证据和响应 ”选项卡, (视图) 。 在“ 所有证据 ”选项卡和 “实体类型 ”值 “电子邮件 ”或“ 电子邮件 ”选项卡中,单击该行中除复选框以外的任意位置来选择条目。

  • 在“ 隔离” 页中 https://security.microsoft.com/quarantine,单击复选框以外的行中的任意位置,以选中“ 电子邮件 ”选项卡 > ,选择条目。

  • 在 的 “提交” 页中 https://security.microsoft.com/reportsubmission

    • 选择“ 电子邮件 ”选项卡 > ,单击该复选框以外的行中的任意位置,选择一个条目。
    • 选择“ 用户报告 ”选项卡 > ,单击该复选框以外的行中的任意位置,选择一个条目。

“电子邮件”实体页上的内容

“电子邮件”实体页的屏幕截图,其中显示了可用的详细信息窗格和选项卡。

页面左侧的详细信息窗格包含可折叠部分,其中包含有关邮件的详细信息。 只要你在页面上,这些部分就保持不变。 可用部分包括:

  • 标记 部分。 显示 (包括分配给发件人或收件人的优先级帐户) 的任何用户标记。 有关用户标记的详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记

  • “检测详细信息 ”部分:

    • 原始威胁

    • 原始交付位置

      • “已删除邮件”文件夹
      • 下降
      • 传递失败
      • 收件箱文件夹
      • "垃圾邮件"文件夹
      • 外部
      • 隔离
      • Unknown
    • 最新威胁

    • 最新传递位置:对邮件执行系统操作后邮件的位置, (例如 ZAP) ,或对邮件 (的管理员操作(例如, 移动到已删除邮件) )。 例如,不会显示对邮件 (的用户操作,删除或存档消息) ,因此此值不保证消息的 当前位置

      提示

      在某些情况下 ,原始交付位置/最新交付位置和 /或 传递操作 具有值 未知。 例如:

      • 邮件已送达 (“传递”操作 为“ 传递) ”,但“收件箱”规则将邮件移动到“收件箱”或“垃圾邮件”文件夹以外的默认文件夹, (例如“草稿”或“存档”文件夹) 。
      • ZAP 尝试在传递后移动邮件,但未找到邮件 (例如,用户移动或删除了邮件) 。
    • 检测技术

      • 高级筛选器:基于机器学习的网络钓鱼信号。
      • 市场活动:标识为 市场活动一部分的消息。
      • 文件引爆安全附件在 爆炸分析过程中检测到恶意附件。
      • 文件引爆信誉:以前在其他Microsoft 365 组织中由 安全附件 引爆检测到的文件附件。
      • 文件信誉:该消息包含以前在其他 Microsoft 365 组织中标识为恶意的文件。
      • 指纹匹配:该消息与以前检测到的恶意消息非常相似。
      • 常规筛选器:基于分析规则的网络钓鱼信号。
      • 模拟品牌:发送者模拟知名品牌。
      • 模拟域:模拟你拥有或指定用于 在防钓鱼策略中保护的发件人域。
      • 模拟用户:模拟在 反钓鱼策略 中指定的或通过邮箱智能了解到的受保护发件人。
      • 邮箱智能模拟:反 网络钓鱼策略中来自邮箱智能的模拟检测。
      • 混合分析检测:多个筛选器促成了消息判决。
      • 欺骗 DMARC:消息 DMARC 身份验证失败。
      • 欺骗外部域:发件人电子邮件地址欺骗使用组织外部的域。
      • 组织内部欺骗:使用组织内部域的发件人电子邮件地址欺骗。
      • URL 引爆安全链接 在爆炸分析期间检测到邮件中的恶意 URL。
      • URL 引爆信誉:以前在其他Microsoft 365 组织中的 安全链接 引爆检测到的 URL。
      • URL 恶意信誉:邮件包含以前在其他Microsoft 365 组织中标识为恶意的 URL。
    • 传递操作

      • 已送达
      • 垃圾
      • 阻止
    • 主重写:源

      • 主要替代的值:
        • 组织策略允许
        • 用户策略允许
        • 被组织策略阻止
        • 被用户策略阻止
      • 主要重写源的值:
        • 第三方筛选器
        • 管理员启动的时间行程 (ZAP)
        • 反恶意软件策略阻止(按文件类型)
        • 反垃圾邮件策略设置
        • 连接策略
        • Exchange 传输规则
        • 独占模式 (用户替代)
        • 由于本地组织而跳过筛选
        • 从策略筛选 IP 区域
        • 策略中的语言筛选器
        • 钓鱼模拟
        • 隔离发布
        • SecOps 邮箱
        • 发件人地址列表 (管理员替代)
        • 发件人地址列表 (用户替代)
        • 发件人域列表 (管理员替代)
        • 发件人域列表 (用户替代)
        • 租户允许/阻止列表文件块
        • 租户允许/阻止列表发件人电子邮件地址阻止
        • 租户允许/阻止列表欺骗块
        • 租户允许/阻止列表 URL 块
        • 受信任的联系人列表 (用户替代)
        • 受信任的域 (用户重写)
        • 受信任的收件人 (用户替代)
        • 受信任的发件人仅 (用户替代)
  • 电子邮件详细信息 部分:

    • 方向性
      • 入境
      • irg 内部
      • 出站
    • 收件人 () *
    • 寄件人*
    • 接收时间
    • Internet 消息 ID*:在邮件头的 “消息 ID 标头”字段中可用。 示例值 (<08f1e0f6806a47b4ac103961109ae6ef@server.domain> 记下尖括号) 。
    • 网络邮件 ID*:邮件头的 X-MS-Exchange-Organization-Network-Message-Id 标头字段中可用的 GUID 值。
    • 群集 ID
    • 语言

    *复制到剪贴板” 操作可用于复制值。

页面顶部 (视图) 选项卡可让你有效地调查电子邮件。 以下小节介绍了这些视图。

Timeline view

“时间线”视图显示发生在邮件上的传递和传递后事件。

视图中提供了以下消息事件信息。 选择列标题以按该列排序。 若要添加或删除列,请选择“ 自定义列”。 默认情况下,选择所有可用列。

  • 时间线 (事件) 的日期/时间
  • :例如: System、**Admin 或 User
  • 事件类型
  • 结果
  • 威胁
  • 详细信息

如果邮件在传递后未发生任何事件,则 邮件在时间线 视图中可能只有一行,其 事件类型 值为 “原始传递”。 例如:

  • “结果”值为“收件箱文件夹 - 已送达”。
  • “结果”值为“垃圾邮件文件夹 - 传递到垃圾邮件”
  • “结果”值为“隔离 - 已阻止”。

用户、管理员或 Microsoft 365 对消息的后续操作会向视图添加更多行。 例如:

  • “事件类型”值为“ZAP”,“结果”值为“已由 ZAP 移动到隔离区的消息”。
  • “事件类型”值为“隔离发布”,“结果”值为“消息已成功从隔离区释放”。

使用“ 搜索 ”框在页面上查找信息。 在框中键入文本,然后按 Enter 键。

使用 “导出” 将视图中的数据导出到 CSV 文件。 默认文件名为 - Microsoft Defender.csv 默认位置为 Downloads 文件夹。 如果已存在具有该名称的文件,则文件名后面附加数字 (例如 - Microsoft Defender (1) .csv) 。

“电子邮件”实体页上“时间线”视图的屏幕截图。

分析视图

分析 ”视图包含有助于深入分析消息的信息。 此视图中提供了以下信息:

  • 威胁检测详细信息 部分:有关消息中检测到的威胁的信息:

  • 电子邮件检测详细信息 部分:有关影响邮件的保护功能或替代的信息:

    • 所有替代:有可能更改邮件的预期传递位置的所有组织或用户设置。 例如,如果邮件与 “租户允许/阻止列表”中的邮件流规则和阻止项匹配,则会在此处列出这两个设置。 “ 主要替代:源 ”属性值标识实际影响邮件传递的设置。

    • 主要替代:源:显示组织或用户设置,该设置更改了邮件的预期传递位置, (允许而不是阻止,或阻止而不是允许) 。 例如:

    • Exchange 传输规则 (邮件流规则) :如果邮件受到邮件流规则的影响,则会显示规则名称和 GUID vales。 邮件流规则对邮件执行的操作发生在垃圾邮件和钓鱼判决之前。

      复制到剪贴板” 操作可用于复制规则 GUID。 有关邮件流规则的详细信息,请参阅 Mail flow rules (transport rules) in Exchange Online

      转到 Exchange 管理中心”链接打开位于 的新 Exchange 管理中心https://admin.exchange.microsoft.com/#/transportrules中的“规则”页。

    • 连接器:如果邮件是通过入站连接器传递的,则会显示连接器名称。 有关连接器的详细信息,请参阅 在 Exchange Online 中使用连接器配置邮件流

    • 批量投诉级别 (BCL) :较高的 BCL 值表示邮件更有可能是垃圾邮件。 有关详细信息,请参阅 EOP 中的批量投诉级别 (BCL)

    • 策略:如果此处列出了策略类型 (例如“垃圾邮件) ”,请选择“配置”以打开相关策略页, (例如) 处的https://security.microsoft.com/antispam“反垃圾邮件策略”页。

    • 策略操作

    • 警报 ID:选择“警报 ID”值,打开警报 (详细信息页,就像从) 的“ 警报 ”页 https://security.microsoft.com/alerts 中找到并选择了警报一样。 “ 复制到剪贴板” 操作还可用于复制“警报 ID”值。

    • 策略类型

    • 客户端类型:显示 (发送消息的客户端类型,例如 REST)

    • 电子邮件大小

    • 数据丢失防护规则

  • 发件人-收件人详细信息 部分:有关邮件发件人的详细信息和某些收件人信息:

    • 发件人显示名称
    • 发件人地址*
    • 发件人 IP
    • 发件人域名*
    • 域创建日期:最近创建的域和其他消息信号可以将邮件标识为可疑消息。
    • 域所有者
    • 发件人邮件发件人地址*
    • 发件人邮件发件人域名*
    • Return-Path
    • Return-Path 域
    • Location
    • 收件人域*
    • To:显示邮件的“To”字段中任何电子邮件地址的前 5,000 个字符。
    • 抄送:显示邮件的“抄送”字段中任何电子邮件地址的前 5,000 个字符。
    • 通讯组列表:显示通讯组 (通讯组列表) 收件人是否以列表成员身份收到电子邮件。 显示嵌套通讯组的顶级通讯组。
    • 转发:指示邮件是否已 自动转发到外部电子邮件地址。 转发用户和转发类型 (邮件流规则、收件箱规则或 SMTP 转发) 显示。

    *复制到剪贴板” 操作可用于复制值。

  • 身份验证 部分:有关 电子邮件身份验证 结果的详细信息:

    • 基于域的消息身份验证 (DMARC)
      • Pass:DMARC 检查传递的消息。
      • Fail:消息的 DMARC 检查失败。
      • BestGuessPass:域的 DMARC TXT 记录没有,但如果存在,则消息的 DMARC 检查已通过。
      • 无:指示 DNS 中不存在发送域的 DMARC TXT 记录。
    • 域密钥标识的邮件 (DKIM) :值为:
      • Pass:DKIM 检查传递的消息。
      • Fail (reason):消息的 DKIM 检查失败。 例如,消息未进行 DKIM 签名或未验证 DKIM 签名。
      • None:消息未进行 DKIM 签名。 此结果可能指示域具有 DKIM 记录,或者 DKIM 记录的计算结果不为结果。 此结果仅指示此消息未签名。
    • 发送方策略框架 (SPF) :值为:
      • Pass (IP address):SPF 检查发现消息源对域有效。
      • Fail (IP address):SPF 检查发现消息源对域无效,并且 SPF 记录 -all 中的强制规则 (硬失败) 。
      • SoftFail (reason):SPF 检查发现消息源对域无效,并且 SPF 记录 ~all 中的强制规则 (软失败) 。
      • Neutral:SPF 检查发现消息源对域无效,并且 SPF 记录中的强制规则 (?all 非特定) 。
      • None:域没有 SPF 记录,或者 SPF 记录的计算结果。
      • TempError:SPF 检查遇到临时错误 (例如 DNS 错误) 。 相同的检查稍后可能会成功。
      • PermError:SPF 检查遇到永久错误。 例如,域具有 格式错误的 SPF 记录
    • 复合身份验证:SPF、DKIM、DMARC 和其他信息确定发件人 (发件人地址) 是否可信。 有关详细信息,请参阅 复合身份验证
  • 相关实体 部分:有关邮件中的附件和 URL 的信息:

    • 实体:选择 “附件 ”或 “URL” 可转到邮件的“附件”视图或“电子邮件”实体页的 URL 视图。
    • 总计计数
    • 发现的威胁:值为 “是”“否”。
  • 邮件详细信息区域:

    • 纯文本电子邮件标头 选项卡:包含整个纯文本邮件头。 选择“复制邮件头以复制邮件头。 选择“ Microsoft消息标头分析器 ”以在 https://mha.azurewebsites.net/pages/mha.html打开消息标头分析器。 将复制的邮件标头粘贴到页面中,然后选择“ 分析标头 ”,详细了解邮件头和值。
    • “To ”选项卡:显示邮件的“To”字段中任何电子邮件地址的前 5,000 个字符。
    • “抄送 ”选项卡:显示邮件的“抄送”字段中任何电子邮件地址的前 5,000 个字符。

“电子邮件”实体页上“分析”视图的屏幕截图。

附件视图

附件” 视图显示邮件中所有文件附件的相关信息,以及这些附件的扫描结果。

此视图中提供了以下附件信息。 选择列标题以按该列排序。 若要添加或删除列,请选择“ 自定义列”。 默认情况下,选择所有可用列。

  • 附件文件名:如果单击文件名值
  • 文件类型
  • 文件大小
  • 文件扩展名
  • 威胁
  • 恶意软件系列
  • 附件 SHA256:“ 复制到剪贴板” 操作可用于复制 SHA256 值。
  • 详细信息

使用“ 搜索 ”框在页面上查找信息。 在框中键入文本,然后按 Enter 键。

使用 “导出” 将视图中的数据导出到 CSV 文件。 默认文件名为 - Microsoft Defender.csv 默认位置为 Downloads 文件夹。 如果已存在具有该名称的文件,则文件名后面附加数字 (例如 - Microsoft Defender (1) .csv) 。

“电子邮件”实体页上“附件”视图的屏幕截图。

附件详细信息

如果通过单击“附件文件名”值在“附件”视图中选择某个条目,则会打开一个详细信息浮出控件,其中包含以下信息:

  • “深入分析 ”选项卡:如果安全 附件 扫描 (附件) 引爆,则此选项卡上的信息可用。 可以在威胁资源管理器中使用查询筛选器 检测技术 以及值 “文件引爆”来识别这些消息。

    • 引爆链 部分:单个文件的安全附件引爆可以触发多个引爆。 引爆链跟踪引爆路径,包括导致判决的原始恶意文件,以及受引爆影响的所有其他文件。 电子邮件中可能不会直接显示这些附加文件。 但是,包括分析对于确定文件被发现为恶意的原因非常重要。

      如果没有可用的引爆链信息,则显示值 “无引爆树 ”。 否则,可以选择“导出将引爆链信息下载到 CSV 文件。 默认文件名为 “引爆 chain.csv 默认位置为 ”下载“ 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 ,引爆链 (1) .csv) 。 CSV 文件包含以下信息:

      • 顶部:顶级文件。
      • Level1:下一级文件。
      • Level2:下一级文件。
      • 等等。

      如果未发现链接到引爆链的实体有问题或引爆,则引爆链和 CSV 文件可能只显示顶级项。

    • 摘要 部分:如果没有爆炸摘要信息可用,则显示值 “无引爆摘要 ”。 否则,可以使用以下引爆摘要信息:

      • 分析时间
      • 判决:对附件本身的判决。
      • 详细信息:文件大小(以字节为单位)。
      • 泄露指标
    • 屏幕截图部分:显示引爆期间捕获的任何屏幕截图。 对于包含其他文件的容器文件(如 ZIP 或 RAR)不会捕获屏幕截图。

      如果没有可用的引爆屏幕截图,则显示值 “没有要显示的屏幕截图 ”。 否则,请选择链接以查看屏幕截图。

    • 行为详细信息 部分:显示引爆期间发生的确切事件,以及包含引爆期间发现的 URL、IP、域和文件的问题或良性观察。 对于包含其他文件的容器文件(如 ZIP 或 RAR),可能没有任何行为详细信息。

      如果没有行为详细信息可用,则显示值 “无引爆行为 ”。 否则,可以选择“导出,将行为详细信息下载到 CSV 文件。 默认文件名为 “行为”details.csv 默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 行为详细信息 (1) .csv) 。 CSV 文件包含以下信息:

      • Time
      • 行为
      • Behavior 属性
      • 进程 (PID)
      • 操作
      • 目标
      • 详细信息
      • 结果
  • “文件信息 ”选项卡:“ 文件详细信息 ”部分包含以下信息:

    • 文件名
    • SHA256
    • 文件大小 ((以字节为单位))

完成文件详细信息浮出控件后,选择“关闭”。

“电子邮件”实体页上“附件”视图中的文件详细信息浮出控件的屏幕截图。

阻止附件视图中的附件

如果通过选中文件名旁边的复选框在“附件”视图中选择某个条目,则“阻止操作可用。 此操作将文件添加为 租户允许/阻止列表中的阻止条目。 选择“ 阻止 ”将启动 “执行操作 ”向导:

  1. “选择操作” 页上,在 “阻止文件 ”部分中配置以下设置之一:

    • 永不过期 :这是默认值
    • 永不过期 :将切换开关滑动到“关闭 ”,然后在“ 删除 日期”框中选择一个日期。

    完成“ 选择操作 ”页后,选择“ 下一步”。

  2. “选择目标实体 ”页上,验证要阻止的文件是否已选中,然后选择“ 下一步”。

  3. 在“ 查看并提交 ”页上,配置以下设置:

    • 修正名称:输入唯一名称以在操作中心跟踪状态。
    • 说明:输入可选说明。

    在“ 审阅和提交 ”页上完成操作后,选择“ 提交”。

URL 视图

URL 视图显示有关消息中所有 URL 的信息,以及这些 URL 的扫描结果。

此视图中提供了以下附件信息。 选择列标题以按该列排序。 若要添加或删除列,请选择“ 自定义列”。 默认情况下,选择所有可用列。

  • URL
  • 威胁
  • Source
  • 详细信息

使用“ 搜索 ”框在页面上查找信息。 在框中键入文本,然后按 Enter 键。

使用 “导出” 将视图中的数据导出到 CSV 文件。 默认文件名为 - Microsoft Defender.csv 默认位置为 Downloads 文件夹。 如果已存在具有该名称的文件,则文件名后面附加数字 (例如 - Microsoft Defender (1) .csv) 。

“电子邮件”实体页上 URL 视图的屏幕截图。

URL 详细信息

如果通过单击 URL 值在URL 视图中选择条目,则会打开包含以下信息的详细信息浮出控件:

  • “深入分析 ”选项卡:如果安全 链接 扫描 () URL 引爆,则此选项卡上的信息可用。 可以在威胁资源管理器中使用具有值 URL 引爆的查询筛选器检测技术来识别这些消息。

    • 引爆链 部分:单个 URL 的安全链接引爆可以触发多个引爆。 引爆链跟踪引爆路径,包括导致判决的原始恶意 URL,以及受爆炸影响的所有其他 URL。 电子邮件中可能不会直接显示这些 URL。 但是,包括分析对于确定 URL 被发现为恶意的原因非常重要。

      如果没有可用的引爆链信息,则显示值 “无引爆树 ”。 否则,可以选择“导出将引爆链信息下载到 CSV 文件。 默认文件名为 “引爆 chain.csv 默认位置为 ”下载“ 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 ,引爆链 (1) .csv) 。 CSV 文件包含以下信息:

      • 顶部:顶级文件。
      • Level1:下一级文件。
      • Level2:下一级文件。
      • 等等。

      如果未发现链接到引爆链的实体有问题或引爆,则引爆链和 CSV 文件可能只显示顶级项。

    • 摘要 部分:如果没有爆炸摘要信息可用,则显示值 “无引爆摘要 ”。 否则,可以使用以下引爆摘要信息:

      • 分析时间
      • 判决:对 URL 本身的判决。
    • 屏幕截图部分:显示引爆期间捕获的任何屏幕截图。 如果 URL 打开到直接下载文件的链接中,则不会捕获屏幕截图。 但是,可以在引爆链中看到下载的文件。

      如果没有可用的引爆屏幕截图,则显示值 “没有要显示的屏幕截图 ”。 否则,请选择链接以查看屏幕截图。

    • 行为详细信息 部分:显示引爆期间发生的确切事件,以及包含引爆期间发现的 URL、IP、域和文件的问题或良性观察。

      如果没有行为详细信息可用,则显示值 “无引爆行为 ”。 否则,可以选择“导出,将行为详细信息下载到 CSV 文件。 默认文件名为 “行为”details.csv 默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 行为详细信息 (1) .csv) 。 CSV 文件包含以下信息:

      • Time
      • 行为
      • Behavior 属性
      • 进程 (PID)
      • 操作
      • 目标
      • 详细信息
      • 结果
  • “URL 信息 ”选项卡:“ URL 详细信息 ”部分包含以下信息:

    • URL
    • 威胁

完成文件详细信息浮出控件后,选择“关闭”。

“电子邮件”实体页上 URL 视图中的 URL 详细信息浮出控件的屏幕截图。

阻止 URL 视图中的 URL

如果在 URL 视图中通过选中文件名旁边的复选框来选择某个条目,则“阻止”操作可用。 此操作会将 URL 添加为 租户允许/阻止列表中的阻止条目。 选择“ 阻止 ”将启动 “执行操作 ”向导:

  1. “选择操作” 页上,在 “阻止 URL ”部分中配置以下设置之一:

    • 永不过期 :这是默认值
    • 永不过期 :将切换开关滑动到“关闭 ”,然后在“ 删除 日期”框中选择一个日期。

    完成“ 选择操作 ”页后,选择“ 下一步”。

  2. “选择目标实体 ”页上,验证已选中要阻止的 URL,然后选择“ 下一步”。

  3. 在“ 查看并提交 ”页上,配置以下设置:

    • 修正名称:输入唯一名称以在操作中心跟踪状态。
    • 说明:输入可选说明。

    在“ 审阅和提交 ”页上完成操作后,选择“ 提交”。

类似电子邮件视图

类似电子邮件 ”视图显示与此邮件具有相同邮件正文指纹的其他电子邮件。 其他邮件中的匹配条件不适用于此视图 (例如文件附件指纹) 。

此视图中提供了以下附件信息。 选择列标题以按该列排序。 若要添加或删除列,请选择“ 自定义列”。 默认情况下,选择所有可用列。

  • Date
  • 主题
  • 收件人
  • Sender
  • 发件人 IP
  • Override
  • 传递操作
  • 送货位置

使用 “筛选器”“开始日期 ”和“ 结束日期”筛选条目。

使用“ 搜索 ”框在页面上查找信息。 在框中键入文本,然后按 Enter 键。

使用 “导出” 将视图中的数据导出到 CSV 文件。 默认文件名为 - Microsoft Defender.csv 默认位置为 Downloads 文件夹。 如果已存在具有该名称的文件,则文件名后面附加数字 (例如 - Microsoft Defender (1) .csv) 。

“电子邮件”实体页上“类似电子邮件”视图的屏幕截图。

“电子邮件”实体页上的操作

“电子邮件”实体页顶部提供了以下操作:

¹ 电子邮件预览下载电子邮件 操作需要 预览 角色。 可以在以下位置分配此角色:

² 可以预览或下载Microsoft 365 个邮箱中提供的电子邮件。 邮件在邮箱中不再可用的示例包括:

  • 邮件在传递或传递失败之前已删除。
  • 邮件已 软删除 (从“已删除邮件”文件夹中删除,这会将邮件移动到“可恢复的项目”\“删除”文件夹) 。
  • ZAP 已将邮件移动到隔离区。

“电子邮件”实体页顶部的可用操作的屏幕截图。

“电子邮件摘要”面板

电子邮件摘要面板是 Exchange Online Protection (EOP) 和 Defender for Office 365 中的许多功能中提供的电子邮件详细信息浮出控件。 “电子邮件摘要”面板包含有关电子邮件的标准化摘要信息,这些信息取自 Defender for Office 365 中的“电子邮件”实体页上提供的完整详细信息。

本文前面的“ 在何处查找电子邮件实体页”部分介绍了在何处查找电子邮件 摘要面板。 本部分的其余部分介绍所有功能的电子邮件摘要面板上可用的信息。

提示

“电子邮件摘要”面板可从 “操作中心 ”页面 https://security.microsoft.com/action-center/ 的“ 挂起 ”或“ 历史记录 ”选项卡上获取。 单击复选框或调查 ID 值以外的行中的任意位置,选择具有“实体类型”值“电子邮件”的操作。 打开的详细信息浮出控件是“电子邮件摘要”面板,但 “打开电子邮件”实体 在浮出控件顶部不可用。

电子邮件摘要面板顶部提供了以下邮件信息:

  • 浮出控件的标题是消息“主题”值。
  • 邮件中的附件和链接数 (并不出现在) 的所有功能中。
  • 分配给邮件收件人的任何用户标记 (包括优先级帐户标记) 。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记
  • 浮出控件顶部可用的操作取决于打开电子邮件摘要面板的位置。 各个功能文章中介绍了可用的操作。

提示

若要在不离开当前邮件的电子邮件摘要面板的情况下查看其他邮件的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。

“电子邮件摘要”面板上提供了以下部分,适用于所有功能 (从) 打开电子邮件摘要面板并不重要:

  • 交付详细信息 部分:

    • 原始威胁
    • 最新威胁
    • 原始位置
    • 最新交付位置
    • 传递操作
    • 检测技术
    • 主重写:源
  • 电子邮件详细信息 部分:

    • 发件人显示名称
    • 发件人地址
    • 发件人来自地址的电子邮件
    • 代表发送
    • 返回路径
    • 发件人 IP
    • Location
    • 收件人 ()
    • 接收时间
    • 方向性
    • 网络消息 ID
    • Internet 消息 ID
    • 市场活动 ID
    • DMARC
    • DKIM
    • SPF
    • 复合身份验证
  • URL 部分:有关消息中任何 URL 的详细信息:

    • URL
    • 威胁 状态

    如果邮件包含三个以上的 URL,请选择“ 查看所有 URL ”,查看所有 URL。

  • 附件 部分:邮件中任何文件附件的详细信息:

    • 附件名称
    • 威胁
    • 检测技术/恶意软件系列

    如果邮件包含三个以上的附件,请选择“ 查看所有附件 ”,查看所有附件。

在受支持的 Defender for Office 365 功能中选择电子邮件后的电子邮件摘要面板的屏幕截图。