Microsoft Defender for Office 365 中的Email实体页
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。
Microsoft Defender for Office 365包含在订阅中或作为加载项购买的 Microsoft 365 组织具有Email实体页。 Microsoft Defender门户中的Email实体页包含有关电子邮件和任何相关实体的非常详细的信息。
本文介绍Email实体页上的信息和操作。
Email实体页的权限和许可
若要使用Email实体页,需要分配权限。 权限和许可与威胁资源管理器 (资源管理器) 和实时检测相同。 有关详细信息,请参阅 威胁资源管理器的权限和许可和实时检测。
在何处查找Email实体页
从 Defender 门户的顶层没有指向 Email 实体页的直接链接。 在许多Defender for Office 365功能中,“打开电子邮件实体”操作位于电子邮件详细信息浮出控件的顶部。 此电子邮件详细信息浮出控件称为“Email摘要面板”,包含Email实体页上汇总的信息子集。 电子邮件摘要面板Defender for Office 365功能相同。 有关详细信息,请参阅本文后面的“Email摘要面板”部分。
以下位置提供了包含“打开电子邮件实体”操作的Email摘要面板:
在“ 高级搜寻 ”页 https://security.microsoft.com/v2/advanced-hunting中,在与电子邮件相关的查询的“ 结果 ”选项卡中,单击表中某个条目的 NetworkMessageId 值。
*在“警报”页https://security.microsoft.com/alerts中:对于“检测源”值MDO或“产品名称”值Microsoft Defender for Office 365的警报,单击“警报名称”值选择条目。 在打开的警报详细信息页中,从“ 邮件列表 ”部分选择邮件。
在 的威胁防护状态 报告中 https://security.microsoft.com/reports/TPSEmailPhishReportATP:
- 选择“按Email>网络钓鱼”和任何可用的图表细分选择来查看数据。 在图表下方的详细信息表中,单击行中除第一列旁边的“检查”框以外的任意位置,选择条目。
- 选择“按Email>恶意软件查看数据”和任何可用的图表细分选项。 在图表下方的详细信息表中,单击行中除第一列旁边的“检查”框以外的任意位置,选择条目。
- 选择“按Email>垃圾邮件查看数据”和任何可用的图表细分选项。 在图表下方的详细信息表中,单击行中除第一列旁边的“检查”框以外的任意位置,选择条目。
从 (“威胁资源管理器”https://security.microsoft.com/threatexplorerv3 的“资源管理器”页) 或从 位于 https://security.microsoft.com/realtimereportsv3的“实时检测”页中。 请使用以下方法之一:
- 在“威胁资源管理器”中,验证“所有电子邮件”视图是否已选中>,验证“Email”选项卡 (详细信息区域中的视图) 是否已选中>,单击条目中的“主题”值。
- 在“威胁资源管理器”或“实时检测”中,选择“恶意软件视图>验证Email”选项卡, (详细信息区域中的视图) 选中>,单击条目中的“主题”值。
- 在“威胁资源管理器”或“实时检测”中,选择“网络钓鱼”视图>“”验证Email“选项卡 (视图) 详细信息区域中的选中>,单击条目中的”主题“值。
在“事件”页https://security.microsoft.com/incidents中:对于“产品名称”值Microsoft Defender for Office 365的事件,单击“事件名称”值选择该事件。 在打开的事件详细信息页中,选择“ 证据和响应 ”选项卡, (视图) 。 在“所有证据”选项卡和“实体类型”值Email或“电子邮件”选项卡中,单击行中除“检查”框以外的任意位置来选择条目。
在“隔离”页https://security.microsoft.com/quarantine中,单击“检查”框以外的任意位置,验证是否选择了>“Email”选项卡,选择条目。
在 的 “提交” 页中 https://security.microsoft.com/reportsubmission:
- 选择“电子邮件”选项卡>,单击行中除“检查”框以外的任意位置选择条目。
- 单击行中除“检查”框以外的任意位置,选择“用户报告”选项卡>选择条目。
Email实体页上的内容
页面左侧的详细信息窗格包含可折叠部分,其中包含有关邮件的详细信息。 只要你在页面上,这些部分就保持不变。 可用部分包括:
标记 部分。 显示 (包括分配给发件人或收件人的优先级帐户) 的任何用户标记。 有关用户标记的详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记。
“检测详细信息 ”部分:
原始威胁
原始交付位置:
- “已删除邮件”文件夹
- 下降
- 传递失败
- 收件箱文件夹
- "垃圾邮件"文件夹
- 外部
- 隔离
- Unknown
最新威胁
最新传递位置:对邮件执行系统操作后邮件的位置, (例如 ZAP) ,或对邮件 (的管理员操作(例如, 移动到已删除邮件) )。 例如,不会显示对邮件 (的用户操作,删除或存档消息) ,因此此值不保证消息的 当前位置 。
提示
在某些情况下 ,原始交付位置/最新交付位置和 /或 传递操作 具有值 未知。 例如:
- 邮件已送达 (投递操作为“传递) ”,但收件箱规则将邮件移动到默认文件夹,而不是“收件箱”或“垃圾邮件Email”文件夹 (,例如“草稿”或“存档”文件夹) 。
- ZAP 尝试在传递后移动邮件,但未找到邮件 (例如,用户移动或删除了邮件) 。
检测技术:
- 高级筛选器:基于机器学习的网络钓鱼信号。
- 市场活动:标识为 市场活动一部分的消息。
- 文件引爆: 安全附件在 爆炸分析过程中检测到恶意附件。
- 文件引爆信誉:以前在其他 Microsoft 365 组织中由 安全附件 引爆检测到的文件附件。
- 文件信誉:该消息包含以前在其他 Microsoft 365 组织中标识为恶意的文件。
- 指纹匹配:该消息与以前检测到的恶意消息非常相似。
- 常规筛选器:基于分析规则的网络钓鱼信号。
- 模拟品牌:发送者模拟知名品牌。
- 模拟域:模拟你拥有或指定用于 在防钓鱼策略中保护的发件人域。
- 模拟用户:模拟在 反钓鱼策略 中指定的或通过邮箱智能了解到的受保护发件人。
- 邮箱智能模拟:反 网络钓鱼策略中来自邮箱智能的模拟检测。
- 混合分析检测:多个筛选器促成了消息判决。
- 欺骗 DMARC:消息 DMARC 身份验证失败。
- 欺骗外部域:发件人电子邮件地址欺骗使用组织外部的域。
- 组织内部欺骗:使用组织内部域的发件人电子邮件地址欺骗。
- URL 引爆: 安全链接 在爆炸分析期间检测到邮件中的恶意 URL。
- URL 引爆信誉:以前在其他 Microsoft 365 组织中的 安全链接 引爆检测到的 URL。
- URL 恶意信誉:邮件包含以前在其他 Microsoft 365 组织中标识为恶意的 URL。
传递操作:
- 已送达
- 垃圾
- 阻止
主重写:源
- 主要替代的值:
- 组织策略允许
- 用户策略允许
- 被组织策略阻止
- 被用户策略阻止
- 无
- 主要重写源的值:
- 第三方筛选器
- 管理员 ZAP) 启动 (时间行程
- 反恶意软件策略阻止(按文件类型)
- 反垃圾邮件策略设置
- 连接策略
- Exchange 传输规则
- 独占模式 (用户替代)
- 由于本地组织而跳过筛选
- 从策略筛选 IP 区域
- 策略中的语言筛选器
- 钓鱼模拟
- 隔离发布
- SecOps 邮箱
- 发件人地址列表 (管理员 替代)
- 发件人地址列表 (用户替代)
- 发件人域列表 (管理员 重写)
- 发件人域列表 (用户替代)
- 租户允许/阻止列表文件块
- 租户允许/阻止列表发件人电子邮件地址阻止
- 租户允许/阻止列表欺骗块
- 租户允许/阻止列表 URL 块
- 受信任的联系人列表 (用户替代)
- 受信任的域 (用户重写)
- 受信任的收件人 (用户替代)
- 受信任的发件人仅 (用户替代)
- 主要替代的值:
Email详细信息部分:
- 方向性:
- 入境
- irg 内部
- 出站
- 收件人 () *
- 发送*
- 接收时间
- Internet 消息 ID*:在邮件头的 “消息 ID 标头”字段中可用。 示例值 (
<08f1e0f6806a47b4ac103961109ae6ef@server.domain>
记下尖括号) 。 - 网络邮件 ID*:邮件头的 X-MS-Exchange-Organization-Network-Message-Id 标头字段中可用的 GUID 值。
- 群集 ID
- 语言
* “ 复制到剪贴板” 操作可用于复制值。
- 方向性:
页面顶部 (视图) 选项卡可让你有效地调查电子邮件。 以下小节介绍了这些视图。
Timeline view
“时间线”视图显示发生在邮件上的传递和传递后事件。
视图中提供了以下消息事件信息。 选择列标题以按该列排序。 若要添加或删除列,请选择“ 自定义列”。 默认情况下,选择所有可用列。
- 时间线 (事件) 的日期/时间
- 源:例如:System、**管理员 或 User。
- 事件类型
- 结果
- 威胁
- 详细信息
如果邮件在传递后未发生任何事件,则 邮件在时间线 视图中可能只有一行,其 事件类型 值为 “原始传递”。 例如:
- “结果”值为“收件箱文件夹 - 已送达”。
- “结果”值为“垃圾邮件文件夹 - 传递到垃圾邮件”
- “结果”值为“隔离 - 已阻止”。
用户、管理员或 Microsoft 365 对消息的后续操作会向视图添加更多行。 例如:
- “事件类型”值为“ZAP”,“结果”值为“已由 ZAP 移动到隔离区的消息”。
- “事件类型”值为“隔离发布”,“结果”值为“消息已成功从隔离区释放”。
使用“搜索”框查找页面上的信息。 在框中键入文本,然后按 Enter 键。
使用 “导出” 将视图中的数据导出到 CSV 文件。 默认文件名为 - Microsoft Defender.csv 默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 -) Microsoft Defender (1) .csv 。
分析视图
“ 分析 ”视图包含有助于深入分析消息的信息。 此视图中提供了以下信息:
威胁检测详细信息 部分:有关消息中检测到的威胁的信息:
- 威胁:主要威胁由 主要威胁指示。
- 置信度:值为 “高”、“ 中”或 “低”。
- 优先级帐户保护:值为 “是” 或 “否”。 有关详细信息,请参阅在 Microsoft Defender for Office 365 中配置和查看优先级帐户保护。
Email检测详细信息部分:有关影响消息的保护功能或替代的信息:
所有替代:有可能更改邮件的预期传递位置的所有组织或用户设置。 例如,如果邮件与 “租户允许/阻止列表”中的邮件流规则和阻止项匹配,则会在此处列出这两个设置。 “ 主要替代:源 ”属性值标识实际影响邮件传递的设置。
主要替代:源:显示组织或用户设置,该设置更改了邮件的预期传递位置, (允许而不是阻止,或阻止而不是允许) 。 例如:
- 邮件流规则阻止了邮件。
- 由于用户 的安全发件人列表中的条目,允许该邮件。
Exchange 传输规则 (邮件流规则) :如果邮件受到邮件流规则的影响,则会显示规则名称和 GUID vales。 邮件流规则对邮件执行的操作发生在垃圾邮件和钓鱼判决之前。
“ 复制到剪贴板” 操作可用于复制规则 GUID。 有关邮件流规则的详细信息,请参阅 Mail flow rules (transport rules) in Exchange Online。
“转到 Exchange 管理中心”链接打开位于 的新 Exchange 管理中心https://admin.exchange.microsoft.com/#/transportrules中的“规则”页。
连接器:如果邮件是通过入站连接器传递的,则会显示连接器名称。 有关连接器的详细信息,请参阅在 Exchange Online 中使用连接器配置邮件流。
批量投诉级别 (BCL) :较高的 BCL 值表示邮件更有可能是垃圾邮件。 有关详细信息,请参阅 EOP 中的批量投诉级别 (BCL) 。
策略:如果此处列出了策略类型 (例如“垃圾邮件) ”,请选择“配置”以打开相关策略页, (例如) 处的https://security.microsoft.com/antispam“反垃圾邮件策略”页。
策略操作
警报 ID:选择“警报 ID”值,打开警报 (详细信息页,就像从) 的“ 警报 ”页 https://security.microsoft.com/alerts 中找到并选择了警报一样。 “ 复制到剪贴板” 操作还可用于复制“警报 ID”值。
策略类型
客户端类型:显示 (发送消息的客户端类型,例如 REST)
Email大小
数据丢失防护规则
发件人-收件人详细信息 部分:有关邮件发件人的详细信息和某些收件人信息:
- 发件人显示名称
- 发件人地址*
- 发件人 IP
- 发件人域名*
- 域创建日期:最近创建的域和其他消息信号可以将邮件标识为可疑消息。
- 域所有者
- 发件人邮件发件人地址*
- 发件人邮件发件人域名*
- Return-Path
- Return-Path 域
- Location
- 收件人域*
- To:显示邮件的“To”字段中任何电子邮件地址的前 5,000 个字符。
- 抄送:显示邮件的“抄送”字段中任何电子邮件地址的前 5,000 个字符。
- 通讯组列表:显示通讯组 (通讯组列表) 收件人是否以列表成员身份收到电子邮件。 显示嵌套通讯组的顶级通讯组。
- 转发:指示邮件是否已 自动转发到外部电子邮件地址。 转发用户和转发类型 (邮件流规则、收件箱规则或 SMTP 转发) 显示。
* “ 复制到剪贴板” 操作可用于复制值。
身份验证 部分:有关 电子邮件身份验证 结果的详细信息:
- 基于域的消息身份验证 (DMARC)
Pass
:传递的消息的 DMARC 检查。Fail
:消息的 DMARC 检查失败。BestGuessPass
:域的 DMARC TXT 记录不存在,但如果存在,则消息的 DMARC 检查已传递。- 无:指示 DNS 中不存在发送域的 DMARC TXT 记录。
- 域密钥标识的邮件 (DKIM) :值为:
Pass
:传递的消息的 DKIM 检查。Fail (reason)
:消息的 DKIM 检查失败。 例如,消息未进行 DKIM 签名或未验证 DKIM 签名。None
:消息未进行 DKIM 签名。 此结果可能指示域具有 DKIM 记录,或者 DKIM 记录的计算结果不为结果。 此结果仅指示此消息未签名。
- 发送方策略框架 (SPF) :值为:
Pass (IP address)
:SPF 检查发现消息源对域有效。Fail (IP address)
:SPF 检查发现消息源对域无效,并且 SPF 记录-all
中的强制规则 (硬失败) 。SoftFail (reason)
:SPF 检查发现消息源对域无效,并且 SPF 记录中的强制规则 (~all
软失败) 。Neutral
:SPF 检查发现消息源对域无效,并且 SPF 记录中的强制规则 (?all
非特定) 。None
:域没有 SPF 记录,或者 SPF 记录的计算结果。TempError
:SPF 检查遇到临时错误 (例如 DNS 错误) 。 相同的检查稍后可能会成功。PermError
:SPF 检查遇到永久性错误。 例如,域具有 格式错误的 SPF 记录。
- 复合身份验证:SPF、DKIM、DMARC 和其他信息确定发件人 (发件人地址) 是否可信。 有关详细信息,请参阅 复合身份验证。
- 基于域的消息身份验证 (DMARC)
相关实体 部分:有关邮件中的附件和 URL 的信息:
- 实体:选择“附件”或“URL”可转到邮件Email实体页的“附件”视图或 URL 视图。
- 总计计数
- 发现的威胁:值为 “是” 或 “否”。
邮件详细信息区域:
- 纯文本电子邮件标头 选项卡:包含整个纯文本邮件头。 选择“复制邮件头”以复制邮件头。 选择“ Microsoft 消息标头分析器 ”以在 https://mha.azurewebsites.net/pages/mha.html打开消息标头分析器。 将复制的邮件标头粘贴到页面中,然后选择“ 分析标头 ”,详细了解邮件头和值。
- “To ”选项卡:显示邮件的“To”字段中任何电子邮件地址的前 5,000 个字符。
- “抄送 ”选项卡:显示邮件的“抄送”字段中任何电子邮件地址的前 5,000 个字符。
附件视图
“ 附件” 视图显示邮件中所有文件附件的相关信息,以及这些附件的扫描结果。
此视图中提供了以下附件信息。 选择列标题以按该列排序。 若要添加或删除列,请选择“ 自定义列”。 默认情况下,选择所有可用列。
- 附件文件名:如果单击文件名值
- 文件类型
- 文件大小
- 文件扩展名
- 威胁
- 恶意软件系列
- 附件 SHA256:“ 复制到剪贴板” 操作可用于复制 SHA256 值。
- 详细信息
使用“搜索”框查找页面上的信息。 在框中键入文本,然后按 Enter 键。
使用 “导出” 将视图中的数据导出到 CSV 文件。 默认文件名为 - Microsoft Defender.csv 默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 -) Microsoft Defender (1) .csv 。
附件详细信息
如果通过单击“附件文件名”值在“附件”视图中选择某个条目,则会打开一个详细信息浮出控件,其中包含以下信息:
“深入分析 ”选项卡:如果安全 附件 扫描 (附件) 引爆,则此选项卡上的信息可用。 可以在威胁资源管理器中使用查询筛选器 检测技术 以及值 “文件引爆”来识别这些消息。
引爆链 部分:单个文件的安全附件引爆可以触发多个引爆。 引爆链跟踪引爆路径,包括导致判决的原始恶意文件,以及受引爆影响的所有其他文件。 电子邮件中可能不会直接显示这些附加文件。 但是,包括分析对于确定文件被发现为恶意的原因非常重要。
如果没有可用的引爆链信息,则显示值 “无引爆树 ”。 否则,可以选择“导出”将引爆链信息下载到 CSV 文件。 默认文件名为 “引爆 chain.csv 默认位置为 ”下载“ 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 ,引爆链 (1) .csv) 。 CSV 文件包含以下信息:
- 顶部:顶级文件。
- Level1:下一级文件。
- Level2:下一级文件。
- 等等。
如果未发现链接到引爆链的实体有问题或引爆,则引爆链和 CSV 文件可能只显示顶级项。
摘要 部分:如果没有爆炸摘要信息可用,则显示值 “无引爆摘要 ”。 否则,可以使用以下引爆摘要信息:
- 分析时间
- 判决:对附件本身的判决。
- 详细信息:文件大小(以字节为单位)。
- 泄露指标
屏幕截图部分:显示引爆期间捕获的任何屏幕截图。 对于包含其他文件的容器文件(如 ZIP 或 RAR)不会捕获屏幕截图。
如果没有可用的引爆屏幕截图,则显示值 “没有要显示的屏幕截图 ”。 否则,请选择链接以查看屏幕截图。
行为详细信息 部分:显示引爆期间发生的确切事件,以及包含引爆期间发现的 URL、IP、域和文件的问题或良性观察。 对于包含其他文件的容器文件(如 ZIP 或 RAR),可能没有任何行为详细信息。
如果没有行为详细信息可用,则显示值 “无引爆行为 ”。 否则,可以选择“导出”,将行为详细信息下载到 CSV 文件。 默认文件名为 “行为”details.csv 默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 行为详细信息 (1) .csv) 。 CSV 文件包含以下信息:
- Time
- 行为
- Behavior 属性
- 进程 (PID)
- 操作
- 目标
- 详细信息
- 结果
“文件信息 ”选项卡:“ 文件详细信息 ”部分包含以下信息:
- 文件名
- SHA256
- 文件大小 ((以字节为单位))
完成文件详细信息浮出控件后,选择“关闭”。
阻止附件视图中的附件
如果通过选择文件名旁边的“检查”框在“附件”视图中选择某个条目,则“阻止”操作可用。 此操作将文件添加为 租户允许/阻止列表中的阻止条目。 选择“ 阻止 ”将启动 “执行操作 ”向导:
在 “选择操作” 页上,在 “阻止文件 ”部分中配置以下设置之一:
- 永不过期 :这是默认值 。
- 永不过期 :将切换开关滑动到“关闭 ”,然后在“ 删除 日期”框中选择一个日期。
完成“ 选择操作 ”页后,选择“ 下一步”。
在 “选择目标实体 ”页上,验证要阻止的文件是否已选中,然后选择“ 下一步”。
在“ 查看并提交 ”页上,配置以下设置:
- 修正名称:输入唯一名称以在操作中心跟踪状态。
- 说明:输入可选说明。
在“ 审阅和提交 ”页上完成操作后,选择“ 提交”。
URL 视图
URL 视图显示有关消息中所有 URL 的信息,以及这些 URL 的扫描结果。
此视图中提供了以下附件信息。 选择列标题以按该列排序。 若要添加或删除列,请选择“ 自定义列”。 默认情况下,选择所有可用列。
- URL
- 威胁
- Source
- 详细信息
使用“搜索”框查找页面上的信息。 在框中键入文本,然后按 Enter 键。
使用 “导出” 将视图中的数据导出到 CSV 文件。 默认文件名为 - Microsoft Defender.csv 默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 -) Microsoft Defender (1) .csv 。
URL 详细信息
如果通过单击 URL 值在URL 视图中选择条目,则会打开包含以下信息的详细信息浮出控件:
“深入分析 ”选项卡:如果安全 链接 扫描 () URL 引爆,则此选项卡上的信息可用。 可以在威胁资源管理器中使用具有值 URL 引爆的查询筛选器检测技术来识别这些消息。
引爆链 部分:单个 URL 的安全链接引爆可以触发多个引爆。 引爆链跟踪引爆路径,包括导致判决的原始恶意 URL,以及受爆炸影响的所有其他 URL。 电子邮件中可能不会直接显示这些 URL。 但是,包括分析对于确定 URL 被发现为恶意的原因非常重要。
如果没有可用的引爆链信息,则显示值 “无引爆树 ”。 否则,可以选择“导出”将引爆链信息下载到 CSV 文件。 默认文件名为 “引爆 chain.csv 默认位置为 ”下载“ 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 ,引爆链 (1) .csv) 。 CSV 文件包含以下信息:
- 顶部:顶级文件。
- Level1:下一级文件。
- Level2:下一级文件。
- 等等。
如果未发现链接到引爆链的实体有问题或引爆,则引爆链和 CSV 文件可能只显示顶级项。
摘要 部分:如果没有爆炸摘要信息可用,则显示值 “无引爆摘要 ”。 否则,可以使用以下引爆摘要信息:
- 分析时间
- 判决:对 URL 本身的判决。
屏幕截图部分:显示引爆期间捕获的任何屏幕截图。 如果 URL 打开到直接下载文件的链接中,则不会捕获屏幕截图。 但是,可以在引爆链中看到下载的文件。
如果没有可用的引爆屏幕截图,则显示值 “没有要显示的屏幕截图 ”。 否则,请选择链接以查看屏幕截图。
行为详细信息 部分:显示引爆期间发生的确切事件,以及包含引爆期间发现的 URL、IP、域和文件的问题或良性观察。
如果没有行为详细信息可用,则显示值 “无引爆行为 ”。 否则,可以选择“导出”,将行为详细信息下载到 CSV 文件。 默认文件名为 “行为”details.csv 默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 行为详细信息 (1) .csv) 。 CSV 文件包含以下信息:
- Time
- 行为
- Behavior 属性
- 进程 (PID)
- 操作
- 目标
- 详细信息
- 结果
“URL 信息 ”选项卡:“ URL 详细信息 ”部分包含以下信息:
- URL
- 威胁
完成文件详细信息浮出控件后,选择“关闭”。
阻止 URL 视图中的 URL
如果通过选择文件名旁边的“检查”框在 URL 视图中选择条目,则“阻止”操作可用。 此操作会将 URL 添加为 租户允许/阻止列表中的阻止条目。 选择“ 阻止 ”将启动 “执行操作 ”向导:
在 “选择操作” 页上,在 “阻止 URL ”部分中配置以下设置之一:
- 永不过期 :这是默认值 。
- 永不过期 :将切换开关滑动到“关闭 ”,然后在“ 删除 日期”框中选择一个日期。
完成“ 选择操作 ”页后,选择“ 下一步”。
在 “选择目标实体 ”页上,验证已选中要阻止的 URL,然后选择“ 下一步”。
在“ 查看并提交 ”页上,配置以下设置:
- 修正名称:输入唯一名称以在操作中心跟踪状态。
- 说明:输入可选说明。
在“ 审阅和提交 ”页上完成操作后,选择“ 提交”。
类似电子邮件视图
“ 类似电子邮件 ”视图显示与此邮件具有相同邮件正文指纹的其他电子邮件。 其他邮件中的匹配条件不适用于此视图 (例如文件附件指纹) 。
此视图中提供了以下附件信息。 选择列标题以按该列排序。 若要添加或删除列,请选择“ 自定义列”。 默认情况下,选择所有可用列。
- Date
- 主题
- 收件人
- Sender
- 发件人 IP
- Override
- 传递操作
- 送货位置
使用 “筛选器” 按 “开始日期 ”和“ 结束日期”筛选条目。
使用“搜索”框查找页面上的信息。 在框中键入文本,然后按 Enter 键。
使用 “导出” 将视图中的数据导出到 CSV 文件。 默认文件名为 - Microsoft Defender.csv 默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 -) Microsoft Defender (1) .csv 。
Email实体页上的操作
Email实体页顶部提供以下操作:
- 采取措施:有关信息,请参阅威胁搜寻:Email修正。
- Email预览版¹ ²
- 更多选项:
转到隔离的电子邮件:仅当邮件已隔离时才可用。 选择此操作将打开“隔离”页上https://security.microsoft.com/quarantine的“Email”选项卡,并按邮件的唯一邮件 ID 值进行筛选。 有关详细信息,请参阅 查看隔离的电子邮件。
下载电子邮件 ²
提示
下载电子邮件 不适用于已隔离的邮件。 请 改为从隔离区下载受密码保护的邮件副本。
¹ Email预览和下载电子邮件操作需要预览角色。 可以在以下位置分配此角色:
- Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (仅影响 Defender 门户,而不会影响 PowerShell) :安全操作/原始数据 (电子邮件 & 协作) /Email &协作内容 (读取) 。
- Email & Microsoft Defender门户中的协作权限:数据调查员或电子数据展示管理员角色组中的成员身份。 或者,可以创建分配有预览角色的新角色组,并将用户添加到自定义角色组。
² 可以预览或下载 Microsoft 365 邮箱中提供的电子邮件。 邮件在邮箱中不再可用的示例包括:
- 邮件在传递或传递失败之前已删除。
- 邮件已 软删除 (从“已删除邮件”文件夹中删除,这会将邮件移动到“可恢复的项目”\“删除”文件夹) 。
- ZAP 已将邮件移动到隔离区。
Email摘要面板
Email摘要面板是电子邮件详细信息浮出控件,可在 Exchange Online Protection (EOP) 和 Defender for Office 365 中的许多功能中使用。 Email摘要面板包含有关电子邮件的标准化摘要信息,这些信息取自 Defender for Office 365 Email 实体页上提供的完整详细信息。
本文前面的在何处查找Email实体页部分介绍了在何处查找Email摘要面板。 本部分的其余部分介绍所有功能Email摘要面板上提供的信息。
提示
Email摘要面板可从“挂起”或“历史记录”选项卡上的“操作中心”页https://security.microsoft.com/action-center/获取。 单击行中除“检查”框或“调查 ID”值以外的任意位置,选择具有“实体类型”值Email的操作。 打开的详细信息浮出控件是Email摘要面板,但“打开电子邮件”实体在浮出控件顶部不可用。
以下消息信息位于Email摘要面板顶部:
- 浮出控件的标题是消息“主题”值。
- 邮件中的附件和链接数 (并不出现在) 的所有功能中。
- 分配给邮件收件人的任何用户标记 (包括优先级帐户标记) 。 有关详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记
- 浮出控件顶部可用的操作取决于打开Email摘要面板的位置。 各个功能文章中介绍了可用的操作。
提示
若要在不离开当前邮件的Email摘要面板的情况下查看有关其他邮件的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
Email摘要面板上提供了以下部分,适用于所有功能, (从) 打开Email摘要面板并不重要:
交付详细信息 部分:
- 原始威胁
- 最新威胁
- 原始位置
- 最新交付位置
- 传递操作
- 检测技术
- 主重写:源
Email详细信息部分:
- 发件人显示名称
- 发件人地址
- 发件人来自地址的电子邮件
- 代表发送
- 返回路径
- 发件人 IP
- Location
- 收件人 ()
- 接收时间
- 方向性
- 网络消息 ID
- Internet 消息 ID
- 市场活动 ID
- DMARC
- DKIM
- SPF
- 复合身份验证
URL 部分:有关消息中任何 URL 的详细信息:
- URL
- 威胁 状态
如果邮件包含三个以上的 URL,请选择“ 查看所有 URL ”,查看所有 URL。
附件 部分:邮件中任何文件附件的详细信息:
- 附件名称
- 威胁
- 检测技术/恶意软件系列
如果邮件包含三个以上的附件,请选择“ 查看所有附件 ”,查看所有附件。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈