提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
Microsoft订阅中包含Microsoft Defender for Office 365或作为加载项购买的 365 个组织具有Email实体页。 Microsoft Defender门户中的Email实体页包含有关电子邮件和任何相关实体的非常详细的信息。
本文介绍Email实体页上的信息和操作。
若要使用Email实体页,需要分配权限。 权限和许可与威胁资源管理器 (资源管理器) 和实时检测相同。 有关详细信息,请参阅 威胁资源管理器的权限和许可和实时检测。
从 Defender 门户的顶层没有指向 Email 实体页的直接链接。 在许多Defender for Office 365功能中,
“打开电子邮件实体”操作位于电子邮件详细信息浮出控件的顶部。 此电子邮件详细信息浮出控件称为“Email摘要面板”,包含Email实体页上汇总的信息子集。 电子邮件摘要面板Defender for Office 365功能相同。 有关详细信息,请参阅本文后面的“Email摘要面板”部分。
以下位置提供了包含“打开电子邮件实体”操作的Email摘要面板:
在“ 高级搜寻 ”页 https://security.microsoft.com/v2/advanced-hunting中,在与电子邮件相关的查询的“ 结果 ”选项卡中,单击表中某个条目的 NetworkMessageId 值。
*在“警报”页https://security.microsoft.com/alerts中:对于“检测源”值MDO或“产品名称”值Microsoft Defender for Office 365的警报,单击“警报名称”值选择条目。 在打开的警报详细信息页中,从“ 邮件列表 ”部分选择邮件。
在 的威胁防护状态 报告中 https://security.microsoft.com/reports/TPSEmailPhishReportATP:
从 (“威胁资源管理器”https://security.microsoft.com/threatexplorerv3 的“资源管理器”页) 或从 位于 https://security.microsoft.com/realtimereportsv3的“实时检测”页中。 请使用以下方法之一:
在“事件”页https://security.microsoft.com/incidents中:对于“产品名称”值Microsoft Defender for Office 365的事件,单击“事件名称”值选择该事件。 在打开的事件详细信息页中,选择“ 证据和响应 ”选项卡, (视图) 。 在“所有证据”选项卡和“实体类型”值Email或“电子邮件”选项卡中,单击行中除“检查”框以外的任意位置来选择条目。
在“隔离”页https://security.microsoft.com/quarantine中,单击“检查”框以外的任意位置,验证是否选择了>“Email”选项卡,选择条目。
在 的 “提交” 页中 https://security.microsoft.com/reportsubmission:
页面左侧的详细信息窗格包含可折叠部分,其中包含有关邮件的详细信息。 只要你在页面上,这些部分就保持不变。 可用部分包括:
标记 部分。 显示 (包括分配给发件人或收件人的优先级帐户) 的任何用户标记。 有关用户标记的详细信息,请参阅 Microsoft Defender for Office 365 中的用户标记。
“检测详细信息 ”部分:
原始威胁
原始交付位置:
最新威胁
最新传递位置:对邮件执行系统操作后邮件的位置, (例如 ZAP) ,或对邮件 (的管理员操作(例如, 移动到已删除邮件) )。 例如,不会显示对邮件 (的用户操作,删除或存档消息) ,因此此值不保证消息的 当前位置 。
提示
在某些情况下 ,原始交付位置/最新交付位置和 /或 传递操作 具有值 未知。 例如:
检测技术:
传递操作:
主重写:源
Email详细信息部分:
<08f1e0f6806a47b4ac103961109ae6ef@server.domain> 记下尖括号) 。
* “ 
复制到剪贴板” 操作可用于复制值。
页面顶部 (视图) 选项卡可让你有效地调查电子邮件。 以下小节介绍了这些视图。
“时间线”视图显示发生在邮件上的传递和传递后事件。
视图中提供了以下消息事件信息。 选择列标题以按该列排序。 若要添加或删除列,请选择“ 
自定义列”。 默认情况下,选择所有可用列。
如果邮件在传递后未发生任何事件,则 邮件在时间线 视图中可能只有一行,其 事件类型 值为 “原始传递”。 例如:
用户、管理员或 Microsoft 365 对消息的后续操作会向视图添加更多行。 例如:
使用“ 
搜索 ”框在页面上查找信息。 在框中键入文本,然后按 Enter 键。
使用 
“导出” 将视图中的数据导出到 CSV 文件。 默认文件名为 - Microsoft Defender.csv ,默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 -) Microsoft Defender (1) .csv 。
“ 分析 ”视图包含有助于深入分析消息的信息。 此视图中提供了以下信息:
威胁检测详细信息 部分:有关消息中检测到的威胁的信息:
主要威胁指示。Email检测详细信息部分:有关影响消息的保护功能或替代的信息:
所有替代:有可能更改邮件的预期传递位置的所有组织或用户设置。 例如,如果邮件与 “租户允许/阻止列表”中的邮件流规则和阻止项匹配,则会在此处列出这两个设置。 “ 主要替代:源 ”属性值标识实际影响邮件传递的设置。
主要替代:源:显示组织或用户设置,该设置更改了邮件的预期传递位置, (允许而不是阻止,或阻止而不是允许) 。 例如:
Exchange 传输规则 (邮件流规则) :如果邮件受到邮件流规则的影响,则会显示规则名称和 GUID vales。 邮件流规则对邮件执行的操作发生在垃圾邮件和钓鱼判决之前。
“ 复制到剪贴板” 操作可用于复制规则 GUID。 有关邮件流规则的详细信息,请参阅 Mail flow rules (transport rules) in Exchange Online。
“转到 Exchange 管理中心”链接打开位于 的新 Exchange 管理中心https://admin.exchange.microsoft.com/#/transportrules中的“规则”页。
连接器:如果邮件是通过入站连接器传递的,则会显示连接器名称。 有关连接器的详细信息,请参阅在 Exchange Online 中使用连接器配置邮件流。
批量投诉级别 (BCL) :较高的 BCL 值表示邮件更有可能是垃圾邮件。 有关详细信息,请参阅 EOP 中的批量投诉级别 (BCL) 。
策略:如果此处列出了策略类型 (例如“垃圾邮件) ”,请选择“配置”以打开相关策略页, (例如) 处的https://security.microsoft.com/antispam“反垃圾邮件策略”页。
策略操作
警报 ID:选择“警报 ID”值,打开警报 (详细信息页,就像从) 的“ 警报 ”页 https://security.microsoft.com/alerts 中找到并选择了警报一样。 “ 复制到剪贴板” 操作还可用于复制“警报 ID”值。
策略类型
客户端类型:显示 (发送消息的客户端类型,例如 REST)
Email大小
数据丢失防护规则
发件人-收件人详细信息 部分:有关邮件发件人的详细信息和某些收件人信息:
* “ 复制到剪贴板” 操作可用于复制值。
身份验证 部分:有关 电子邮件身份验证 结果的详细信息:
Pass:传递的消息的 DMARC 检查。Fail:消息的 DMARC 检查失败。BestGuessPass:域的 DMARC TXT 记录不存在,但如果存在,则消息的 DMARC 检查已传递。Pass:传递的消息的 DKIM 检查。Fail (reason):消息的 DKIM 检查失败。 例如,消息未进行 DKIM 签名或未验证 DKIM 签名。None:消息未进行 DKIM 签名。 此结果可能指示域具有 DKIM 记录,或者 DKIM 记录的计算结果不为结果。 此结果仅指示此消息未签名。Pass (IP address):SPF 检查发现消息源对域有效。Fail (IP address):SPF 检查发现消息源对域无效,并且 SPF 记录-all中的强制规则 (硬失败) 。SoftFail (reason):SPF 检查发现消息源对域无效,并且 SPF 记录中的强制规则 (~all 软失败) 。Neutral:SPF 检查发现消息源对域无效,并且 SPF 记录中的强制规则 (?all 非特定) 。None:域没有 SPF 记录,或者 SPF 记录的计算结果。TempError:SPF 检查遇到临时错误 (例如 DNS 错误) 。 相同的检查稍后可能会成功。PermError:SPF 检查遇到永久性错误。 例如,域具有 格式错误的 SPF 记录。相关实体 部分:有关邮件中的附件和 URL 的信息:
邮件详细信息区域:
以复制邮件头。 选择“ Microsoft消息标头分析器 ”以在 https://mha.azurewebsites.net/pages/mha.html打开消息标头分析器。 将复制的邮件标头粘贴到页面中,然后选择“ 分析标头 ”,详细了解邮件头和值。
“ 附件” 视图显示邮件中所有文件附件的相关信息,以及这些附件的扫描结果。
此视图中提供了以下附件信息。 选择列标题以按该列排序。 若要添加或删除列,请选择“ 自定义列”。 默认情况下,选择所有可用列。
复制到剪贴板” 操作可用于复制 SHA256 值。使用“ 搜索 ”框在页面上查找信息。 在框中键入文本,然后按 Enter 键。
使用 “导出” 将视图中的数据导出到 CSV 文件。 默认文件名为 - Microsoft Defender.csv ,默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 -) Microsoft Defender (1) .csv 。
如果通过单击“附件文件名”值在“附件”视图中选择某个条目,则会打开一个详细信息浮出控件,其中包含以下信息:
“深入分析 ”选项卡:如果安全 附件 扫描 (附件) 引爆,则此选项卡上的信息可用。 可以在威胁资源管理器中使用查询筛选器 检测技术 以及值 “文件引爆”来识别这些消息。
引爆链 部分:单个文件的安全附件引爆可以触发多个引爆。 引爆链跟踪引爆路径,包括导致判决的原始恶意文件,以及受引爆影响的所有其他文件。 电子邮件中可能不会直接显示这些附加文件。 但是,包括分析对于确定文件被发现为恶意的原因非常重要。
如果没有可用的引爆链信息,则显示值 “无引爆树 ”。 否则,可以选择“导出”将引爆链信息下载到 CSV 文件。 默认文件名为 “引爆 chain.csv 默认位置为 ”下载“ 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 ,引爆链 (1) .csv) 。 CSV 文件包含以下信息:
如果未发现链接到引爆链的实体有问题或引爆,则引爆链和 CSV 文件可能只显示顶级项。
摘要 部分:如果没有爆炸摘要信息可用,则显示值 “无引爆摘要 ”。 否则,可以使用以下引爆摘要信息:
屏幕截图部分:显示引爆期间捕获的任何屏幕截图。 对于包含其他文件的容器文件(如 ZIP 或 RAR)不会捕获屏幕截图。
如果没有可用的引爆屏幕截图,则显示值 “没有要显示的屏幕截图 ”。 否则,请选择链接以查看屏幕截图。
行为详细信息 部分:显示引爆期间发生的确切事件,以及包含引爆期间发现的 URL、IP、域和文件的问题或良性观察。 对于包含其他文件的容器文件(如 ZIP 或 RAR),可能没有任何行为详细信息。
如果没有行为详细信息可用,则显示值 “无引爆行为 ”。 否则,可以选择“导出”,将行为详细信息下载到 CSV 文件。 默认文件名为 “行为”details.csv 默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 行为详细信息 (1) .csv) 。 CSV 文件包含以下信息:
“文件信息 ”选项卡:“ 文件详细信息 ”部分包含以下信息:
完成文件详细信息浮出控件后,选择“关闭”。
如果通过选择文件名旁边的“检查”框在“附件”视图中选择某个条目,则“阻止”
操作可用。 此操作将文件添加为 租户允许/阻止列表中的阻止条目。 选择“ 阻止 ”将启动 “执行操作 ”向导:
在 “选择操作” 页上,在 “阻止文件 ”部分中配置以下设置之一:
。
”,然后在“ 删除 日期”框中选择一个日期。完成“ 选择操作 ”页后,选择“ 下一步”。
在 “选择目标实体 ”页上,验证要阻止的文件是否已选中,然后选择“ 下一步”。
在“ 查看并提交 ”页上,配置以下设置:
在“ 审阅和提交 ”页上完成操作后,选择“ 提交”。
URL 视图显示有关消息中所有 URL 的信息,以及这些 URL 的扫描结果。
此视图中提供了以下附件信息。 选择列标题以按该列排序。 若要添加或删除列,请选择“ 自定义列”。 默认情况下,选择所有可用列。
使用“ 搜索 ”框在页面上查找信息。 在框中键入文本,然后按 Enter 键。
使用 “导出” 将视图中的数据导出到 CSV 文件。 默认文件名为 - Microsoft Defender.csv ,默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 -) Microsoft Defender (1) .csv 。
如果通过单击 URL 值在URL 视图中选择条目,则会打开包含以下信息的详细信息浮出控件:
“深入分析 ”选项卡:如果安全 链接 扫描 () URL 引爆,则此选项卡上的信息可用。 可以在威胁资源管理器中使用具有值 URL 引爆的查询筛选器检测技术来识别这些消息。
引爆链 部分:单个 URL 的安全链接引爆可以触发多个引爆。 引爆链跟踪引爆路径,包括导致判决的原始恶意 URL,以及受爆炸影响的所有其他 URL。 电子邮件中可能不会直接显示这些 URL。 但是,包括分析对于确定 URL 被发现为恶意的原因非常重要。
如果没有可用的引爆链信息,则显示值 “无引爆树 ”。 否则,可以选择“导出”将引爆链信息下载到 CSV 文件。 默认文件名为 “引爆 chain.csv 默认位置为 ”下载“ 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 ,引爆链 (1) .csv) 。 CSV 文件包含以下信息:
如果未发现链接到引爆链的实体有问题或引爆,则引爆链和 CSV 文件可能只显示顶级项。
摘要 部分:如果没有爆炸摘要信息可用,则显示值 “无引爆摘要 ”。 否则,可以使用以下引爆摘要信息:
屏幕截图部分:显示引爆期间捕获的任何屏幕截图。 如果 URL 打开到直接下载文件的链接中,则不会捕获屏幕截图。 但是,可以在引爆链中看到下载的文件。
如果没有可用的引爆屏幕截图,则显示值 “没有要显示的屏幕截图 ”。 否则,请选择链接以查看屏幕截图。
行为详细信息 部分:显示引爆期间发生的确切事件,以及包含引爆期间发现的 URL、IP、域和文件的问题或良性观察。
如果没有行为详细信息可用,则显示值 “无引爆行为 ”。 否则,可以选择“导出”,将行为详细信息下载到 CSV 文件。 默认文件名为 “行为”details.csv 默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 行为详细信息 (1) .csv) 。 CSV 文件包含以下信息:
“URL 信息 ”选项卡:“ URL 详细信息 ”部分包含以下信息:
完成文件详细信息浮出控件后,选择“关闭”。
如果通过选择文件名旁边的“检查”框在 URL 视图中选择条目,则“阻止”操作可用。 此操作会将 URL 添加为 租户允许/阻止列表中的阻止条目。 选择“ 阻止 ”将启动 “执行操作 ”向导:
在 “选择操作” 页上,在 “阻止 URL ”部分中配置以下设置之一:
。 ”,然后在“ 删除 日期”框中选择一个日期。完成“ 选择操作 ”页后,选择“ 下一步”。
在 “选择目标实体 ”页上,验证已选中要阻止的 URL,然后选择“ 下一步”。
在“ 查看并提交 ”页上,配置以下设置:
在“ 审阅和提交 ”页上完成操作后,选择“ 提交”。
“ 类似电子邮件 ”视图显示与此邮件具有相同邮件正文指纹的其他电子邮件。 其他邮件中的匹配条件不适用于此视图 (例如文件附件指纹) 。
此视图中提供了以下附件信息。 选择列标题以按该列排序。 若要添加或删除列,请选择“ 自定义列”。 默认情况下,选择所有可用列。
使用 
“筛选器” 按 “开始日期 ”和“ 结束日期”筛选条目。
使用“ 搜索 ”框在页面上查找信息。 在框中键入文本,然后按 Enter 键。
使用 “导出” 将视图中的数据导出到 CSV 文件。 默认文件名为 - Microsoft Defender.csv ,默认位置为 “下载” 文件夹。 如果已存在具有该名称的文件,则会在文件名后面追加数字 (例如 -) Microsoft Defender (1) .csv 。
Email实体页顶部提供以下操作:
采取措施:有关信息,请参阅 威胁搜寻:执行操作向导。
Email预览版¹ ²
更多选项:
转到隔离的电子邮件:仅当邮件已隔离时才可用。 选择此操作将打开“隔离”页上https://security.microsoft.com/quarantine的“Email”选项卡,并按邮件的唯一邮件 ID 值进行筛选。 有关详细信息,请参阅 查看隔离的电子邮件。
下载电子邮件 ²
提示
下载电子邮件 不适用于已隔离的邮件。 请 改为从隔离区下载受密码保护的邮件副本。
¹ Email预览和下载电子邮件操作需要预览角色。 可以在以下位置分配此角色:
活动。仅影响 Defender 门户,而不会影响 PowerShell) :安全操作/原始数据 (电子邮件 & 协作) /Email &协作内容 (读取) 。² 可以预览或下载Microsoft 365 个邮箱中提供的电子邮件。 邮件在邮箱中不再可用的示例包括:
Email摘要面板是电子邮件详细信息浮出控件,可在 Exchange Online Protection (EOP) 和 Defender for Office 365 中的许多功能中使用。 Email摘要面板包含有关电子邮件的标准化摘要信息,这些信息取自 Defender for Office 365 Email 实体页上提供的完整详细信息。
本文前面的在何处查找Email实体页部分介绍了在何处查找Email摘要面板。 本部分的其余部分介绍所有功能Email摘要面板上提供的信息。
提示
Email摘要面板可从“挂起”或“历史记录”选项卡上的“操作中心”页https://security.microsoft.com/action-center/获取。 单击行中除“检查”框或“调查 ID”值以外的任意位置,选择具有“实体类型”值Email的操作。 打开的详细信息浮出控件是Email摘要面板,但“打开电子邮件”实体在浮出控件顶部不可用。
以下消息信息位于Email摘要面板顶部:
提示
若要在不离开当前邮件的Email摘要面板的情况下查看有关其他邮件的详细信息,请使用
浮出控件顶部的“上一项”和“下一项”。
Email摘要面板上提供了以下部分,适用于所有功能, (从) 打开Email摘要面板并不重要:
交付详细信息 部分:
Email详细信息部分:
URL 部分:有关消息中任何 URL 的详细信息:
如果邮件包含三个以上的 URL,请选择“ 查看所有 URL ”,查看所有 URL。
附件 部分:邮件中任何文件附件的详细信息:
如果邮件包含三个以上的附件,请选择“ 查看所有附件 ”,查看所有附件。
培训
模块
Enhance your email protection using Microsoft Defender for Office 365 - Training
This module examines how Microsoft Defender for Office 365 extends EOP protection through various tools, including Safe Attachments, Safe Links, spoofed intelligence, spam filtering policies, and the Tenant Allow/Block List.
认证
Microsoft Certified: Security Operations Analyst Associate - Certifications
使用 Microsoft Sentinel、Microsoft Defender for Cloud 和 Microsoft 365 Defender 调查、搜索和缓解威胁。
文档
关于 Microsoft Defender for Office 365 中的威胁资源管理器和实时检测 - Microsoft Defender for Office 365
了解威胁资源管理器 (资源管理器中的可用视图、筛选器和作,) 或实时检测来调查和响应威胁。
威胁资源管理器和实时检测中的威胁搜寻 - Microsoft Defender for Office 365
在 Microsoft Defender 门户中使用威胁资源管理器或实时检测了解Microsoft Defender for Office 365中的威胁搜寻和修正。
Microsoft Defender门户中的Microsoft Defender for Office 365权限 - Microsoft Defender for Office 365
管理员可以了解如何在Microsoft Defender门户中管理Microsoft Defender for Office 365 (Email &协作) 权限。