关于 Microsoft Defender for Office 365 中的威胁资源管理器和实时检测
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
Microsoft Microsoft Defender for Office 365包含在订阅中或作为加载项购买的 365 个组织具有 Explorer (也称为威胁资源管理器) 或实时检测。 这些功能是功能强大的准实时报告工具,可帮助安全运营 (SecOps) 团队调查和响应威胁。
根据你的订阅,威胁资源管理器或实时检测可在 Microsoft Defender 门户中https://security.microsoft.com的Email &协作部分中使用:
Defender for Office 365计划 1 中提供了实时检测。 “ 实时检测 ”页直接在 中 https://security.microsoft.com/realtimereportsv3可用。
威胁资源管理器Defender for Office 365计划 2 中提供。 “资源管理器”页直接在 https://security.microsoft.com/threatexplorerv3中可用。
威胁资源管理器包含与实时检测相同的信息和功能,但具有以下附加功能:
- 更多视图。
- 更多属性筛选选项,包括用于保存查询的选项。
- 更多操作。
有关Defender for Office 365计划 1 和计划 2 之间的差异的详细信息,请参阅Defender for Office 365计划 1 与计划 2 备忘单。
本文的其余部分介绍了威胁资源管理器和实时检测中可用的视图和功能。
提示
有关使用威胁资源管理器和实时检测的电子邮件方案,请参阅以下文章:
威胁资源管理器和实时检测的权限和许可
若要使用资源管理器或实时检测,需要分配权限。 可以选择下列选项:
-
Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为
活动。仅影响 Defender 门户,而不会影响 PowerShell) :- 电子邮件和 Teams 邮件头的读取访问权限:安全操作/原始数据 (电子邮件 & 协作) /Email &协作元数据 (读取) 。
- 预览和下载电子邮件:安全操作/原始数据 (电子邮件 & 协作) /Email &协作内容 (读取) 。
- 修正恶意电子邮件:安全操作/安全数据/Email &协作高级操作 (管理) 。
- Email & Microsoft Defender门户中的协作权限:
-
Microsoft Entra权限:这些角色的成员身份为用户提供Microsoft 365 中其他功能所需的权限和权限:
完全访问权限:全局管理员或安全管理员*角色的成员身份。
在威胁资源管理器中按名称) 搜索 Exchange 邮件流规则 (传输规则: 安全管理员 或 安全读取者 角色的成员身份。
只读访问权限: 全局读取者 角色或 安全读取者 角色的成员身份。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
提示
最终用户垃圾邮件通知和系统生成的邮件在威胁资源管理器中不可用。 如果有邮件流规则 (也称为传输规则) 重写,则这些类型的邮件可用。
管理员预览或下载电子邮件时会生成审核日志条目。 可以按用户搜索管理员审核日志,了解 AdminMailAccess 活动。 有关说明,请参阅 审核新搜索。
若要使用威胁资源管理器或实时检测,需要为订阅中包含的Defender for Office 365 (分配许可证或附加许可证) 。
威胁资源管理器或实时检测包含分配给他们的Defender for Office 365许可证的用户的数据。
威胁资源管理器和实时检测的元素
威胁资源管理器和实时检测包含以下元素:
视图:页面顶部的选项卡,用于按威胁组织检测。 视图会影响页面上的其余数据和选项。
下表列出了威胁资源管理器和实时检测中的可用视图:
查看 威胁
资源管理器实时
检测说明 所有电子邮件 ✔ 威胁资源管理器的默认视图。 有关外部用户发送到组织的所有电子邮件的信息,或组织内部用户之间发送的电子邮件。 恶意软件 ✔ ✔ 实时检测的默认视图。 有关包含恶意软件的电子邮件的信息。 网络钓鱼 ✔ ✔ 有关包含钓鱼威胁的电子邮件的信息。 活动 ✔ 有关Defender for Office 365计划 2 标识为协调网络钓鱼或恶意软件活动的一部分的恶意电子邮件的信息。 内容恶意软件 ✔ ✔ 有关以下功能检测到的恶意文件的信息: URL 单击次数 ✔ 有关用户单击电子邮件、Teams 邮件、SharePoint 文件和 OneDrive 文件中的 URL 的信息。 本文详细介绍了这些视图,包括威胁资源管理器和实时检测之间的差异。
日期/时间筛选器:默认情况下,视图按昨天和今天进行筛选。 若要更改日期筛选器,请选择日期范围,然后选择 “开始日期 ”和“ 结束日期 值”,时间最长为 30 天。
属性筛选器 (查询) :按可用消息、文件或威胁属性筛选视图中的结果。 可用的可筛选属性取决于视图。 某些属性在许多视图中可用,而其他属性仅限于特定视图。
本文列出了每个视图的可用属性筛选器,包括威胁资源管理器和实时检测之间的差异。
有关创建属性筛选器的说明,请参阅 威胁资源管理器中的属性筛选器和实时检测
威胁资源管理器允许保存查询以供以后使用,如 在威胁资源管理器中保存的查询 部分中所述。
图表:每个视图都包含筛选或未筛选数据的视觉对象聚合表示形式。 可以使用可用的透视以不同的方式组织图表。
通常可以使用
导出图表数据 将筛选或未筛选的图表数据导出到 CSV 文件。本文详细介绍了图表和可用透视表,包括威胁资源管理器和实时检测之间的差异。
提示
若要从页中删除图表 (以最大化) 详细信息区域的大小,请使用以下方法之一:
- 选择页面顶部的“
图表视图>
列表视图 ”。 - 选择“
在图表和详细信息区域之间显示列表视图”。
- 选择页面顶部的“
详细信息区域:视图的详细信息区域通常显示包含筛选或未筛选数据的表。 可以使用可用视图 (选项卡) 以不同的方式组织详细信息区域中的数据。 例如,视图可能包含图表、地图或其他表。
如果详细信息区域包含表,通常
可以使用“导出”选择性地将最多 200,000 个筛选或未筛选的结果导出到 CSV 文件。提示
在 “导出” 浮出控件中,可以选择部分或全部可用属性进行导出。 所选内容按用户保存。 在关闭 Web 浏览器之前,将保存 Incognito 或 InPrivate 浏览模式下的选项。
威胁资源管理器中的所有电子邮件视图
威胁资源管理器中的 “所有电子邮件 ”视图显示有关外部用户发送到组织的所有电子邮件以及组织内部用户之间发送的电子邮件的信息。 视图显示恶意和非恶意电子邮件。 例如:
- Email标识的网络钓鱼或恶意软件。
- Email标识为垃圾邮件或批量。
- Email标识无威胁。
此视图是威胁资源管理器中的默认值。 若要在 Defender 门户中https://security.microsoft.com的“资源管理器”页上打开“所有电子邮件”视图,请转到“Email &协作>资源管理器>所有电子邮件”选项卡。或者,使用 https://security.microsoft.com/threatexplorerv3直接转到“资源管理器”页面,然后验证是否已选中“所有电子邮件”选项卡。
威胁资源管理器中“所有电子邮件”视图中的可筛选属性
默认情况下,不会对数据应用任何属性筛选器。 本文后面的 威胁资源管理器中的筛选器和实时检测 部分介绍了创建筛选器 (查询) 的步骤。
下表描述了“所有电子邮件”视图的“传递”操作框中可用的可筛选属性:
| 属性 | 类型 |
|---|---|
| 基本 | |
| 发件人地址 | 文本。 用逗号分隔多个值。 |
| 收件人 | 文本。 用逗号分隔多个值。 |
| 发件人域 | 文本。 用逗号分隔多个值。 |
| 收件人域 | 文本。 用逗号分隔多个值。 |
| 主题 | 文本。 用逗号分隔多个值。 |
| 发件人显示名称 | 文本。 用逗号分隔多个值。 |
| 发件人邮件发件人地址 | 文本。 用逗号分隔多个值。 |
| 来自域的发件人邮件 | 文本。 用逗号分隔多个值。 |
| 返回路径 | 文本。 用逗号分隔多个值。 |
| 返回路径域 | 文本。 用逗号分隔多个值。 |
| 恶意软件系列 | 文本。 用逗号分隔多个值。 |
| 标记 | 文本。 用逗号分隔多个值。 有关用户标记的详细信息,请参阅 用户标记。 |
| 模拟域 | 文本。 用逗号分隔多个值。 |
| 模拟用户 | 文本。 用逗号分隔多个值。 |
| Exchange 传输规则 | 文本。 用逗号分隔多个值。 |
| 数据丢失防护规则 | 文本。 用逗号分隔多个值。 |
| 上下文 | 选择一个或多个值:
|
| Connector | 文本。 用逗号分隔多个值。 |
| 传递操作 | 选择一个或多个值:
|
| 其他操作 | 选择一个或多个值:
|
| 方向性 | 选择一个或多个值:
|
| 检测技术 | 选择一个或多个值:
|
| 原始交付位置 | 选择一个或多个值:
|
| 最新交付位置¹ | 与原始交付位置相同的值 |
| 网络钓鱼置信度 | 选择一个或多个值:
|
| 主要替代 | 选择一个或多个值:
|
| 主重写源 | 消息可以有多个允许或阻止替代,如 替代源中标识。 最终允许或阻止消息的替代在 主要重写源中标识。 选择一个或多个值:
|
| 重写源 | 与主重写源相同的值 |
| 策略类型 | 选择一个或多个值:
|
| 策略操作 | 选择一个或多个值:
|
| 威胁类型 | 选择一个或多个值:
|
| 转发的邮件 | 选择一个或多个值:
|
| 通讯组列表 | 文本。 用逗号分隔多个值。 |
| Email大小 | 整数。 用逗号分隔多个值。 |
| 高级 | |
| Internet 邮件 ID | 文本。 用逗号分隔多个值。 在邮件头的 “消息 ID 标头”字段中可用。 示例值 ( <08f1e0f6806a47b4ac103961109ae6ef@server.domain> 记下尖括号) 。 |
| 网络消息 ID | 文本。 用逗号分隔多个值。 在邮件头的 X-MS-Exchange-Organization-Network-Message-Id 标头字段中可用的 GUID 值。 |
| 发件人 IP | 文本。 用逗号分隔多个值。 |
| 附件 SHA256 | 文本。 用逗号分隔多个值。 |
| 群集 ID | 文本。 用逗号分隔多个值。 |
| 警报 ID | 文本。 用逗号分隔多个值。 |
| 警报策略 ID | 文本。 用逗号分隔多个值。 |
| 市场活动 ID | 文本。 用逗号分隔多个值。 |
| ZAP URL 信号 | 文本。 用逗号分隔多个值。 |
| Urls | |
| URL 计数 | 整数。 用逗号分隔多个值。 |
| URL 域² | 文本。 用逗号分隔多个值。 |
| URL 域和路径² | 文本。 用逗号分隔多个值。 |
| URL² | 文本。 用逗号分隔多个值。 |
| URL 路径² | 文本。 用逗号分隔多个值。 |
| URL 源 | 选择一个或多个值:
|
| 单击“判决” | 选择一个或多个值:
|
| URL 威胁 | 选择一个或多个值:
|
| 文件 | |
| 附件计数 | 整数。 用逗号分隔多个值。 |
| 附件的文件名 | 文本。 用逗号分隔多个值。 |
| 文件类型 | 文本。 用逗号分隔多个值。 |
| File Extension | 文本。 用逗号分隔多个值。 |
| 文件大小 | 整数。 用逗号分隔多个值。 |
| 身份验证 | |
| SPF | 选择一个或多个值:
|
| DKIM | 选择一个或多个值:
|
| DMARC | 选择一个或多个值:
|
| 复合 | 选择一个或多个值:
|
提示
¹ 最新传递位置 不包括对邮件的最终用户操作。 例如,如果用户删除了邮件或将邮件移动到存档或 PST 文件。
在某些情况下 ,原始交付位置/最新交付位置和 /或 传递操作 具有值 未知。 例如:
- 邮件已送达 (投递操作为“传递) ”,但收件箱规则将邮件移动到默认文件夹,而不是“收件箱”或“垃圾邮件Email”文件夹 (,例如“草稿”或“存档”文件夹) 。
- ZAP 尝试在传递后移动邮件,但未找到邮件 (例如,用户移动或删除了邮件) 。
² 默认情况下,除非显式指定了另一个值,否则 URL 搜索映射到 http。 例如:
- 在 URL、URL 域、URL 域和路径中使用前缀和不带
http://前缀的搜索应显示相同的结果。 - 在 URL 中搜索
https://前缀。 如果未指定任何值,则http://假定前缀。 -
/在 URL 路径的开头和末尾,将忽略 URL 域、 URL 域和路径 字段。 -
/忽略 URL 字段末尾的 。
威胁资源管理器中“所有电子邮件”视图中图表的透视表
图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。
以下小节介绍了可用的图表透视表。
威胁资源管理器中“所有电子邮件”视图中的传递操作图表透视表
尽管默认情况下此透视表看起来未选中,但 “传递”操作 是 “所有电子邮件 ”视图中的默认图表透视表。
传递操作透视按针对指定日期/时间范围和属性筛选器的邮件执行的操作来组织图表。
将鼠标悬停在图表中的数据点上会显示每个传递操作的计数。
威胁资源管理器中“所有电子邮件”视图中的发件人域图表透视
发件人域透视按指定日期/时间范围和属性筛选器的邮件中的域组织图表。
将鼠标悬停在图表中的数据点上会显示每个发送方域的计数。
威胁资源管理器中“所有电子邮件”视图中的发件人 IP 图表透视
发件人 IP 透视表按指定日期/时间范围和属性筛选器的消息的源 IP 地址组织图表。
将鼠标悬停在图表中的数据点上会显示每个发送方 IP 地址的计数。
威胁资源管理器中“所有电子邮件”视图中的检测技术图表透视
检测技术透视按识别指定日期/时间范围和属性筛选器的消息的功能来组织图表。
将鼠标悬停在图表中的数据点上会显示每种检测技术的计数。
威胁资源管理器中“所有电子邮件”视图中的完整 URL 图表透视
完整 URL 透视表按指定日期/时间范围和属性筛选器的邮件中的完整 URL 来组织图表。
将鼠标悬停在图表中的数据点上会显示每个完整 URL 的计数。
威胁资源管理器中“所有电子邮件”视图中的 URL 域图表透视
URL 域透视按指定日期/时间范围和属性筛选器的消息中 URL 中的域组织图表。
将鼠标悬停在图表中的数据点上会显示每个 URL 域的计数。
威胁资源管理器中“所有电子邮件”视图中的 URL 域和路径图透视
URL 域和路径透视按指定日期/时间范围和属性筛选器的消息中 URL 中的域和路径来组织图表。
将鼠标悬停在图表中的数据点上会显示每个 URL 域和路径的计数。
威胁资源管理器中“所有电子邮件”视图详细信息区域视图的视图
以下小节介绍了 “所有电子邮件 ”视图详细信息区域中) 的可用视图 (选项卡。
威胁资源管理器中“所有电子邮件”视图的详细信息区域Email视图
Email是“所有电子邮件”视图中详细信息区域的默认视图。
Email视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。 选择“自定义列”
以更改显示的列。 默认值标有星号(*):
- 日期*
- 主题*
- 收件人*
- 收件人域
- 标签*
- 发件人地址*
- 发件人显示名称
- 发件人域*
- 发件人 IP
- 发件人邮件发件人地址
- 来自域的发件人邮件
- 其他操作*
- 传递操作
- 最新交付位置*
- 原始交付位置*
- 系统替代源
- 系统替代
- 警报 ID
- Internet 消息 ID
- 网络消息 ID
- 邮件语言
- Exchange 传输规则
- Connector
- Context
- 数据丢失防护规则
- 威胁类型*
- 检测技术
- 附件计数
- URL 计数
- Email大小
提示
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 从视图中删除列。
- 在 Web 浏览器中缩小字体功能。
自定义列设置按用户保存。 在关闭 Web 浏览器之前,将保存 Incognito 或 InPrivate 浏览模式下的自定义列设置。
通过选择第一列旁边的检查框从列表中选择一个或多个条目时,
“执行操作”可用。 有关信息,请参阅威胁搜寻:Email修正。
在条目的“主题”值中
,“在新窗口中打开”操作可用。 此操作将在 Email 实体页中打开消息。
单击条目中的 “主题” 或“ 收件人” 值时,将打开详细信息浮出控件。 以下小节介绍了这些浮出控件。
从“所有电子邮件”视图中详细信息区域的Email视图中Email详细信息
选择表中某个条目的 “主题” 值时,将打开电子邮件详细信息浮出控件。 此详细信息浮出控件称为“Email摘要面板”,包含邮件的Email实体页上也提供的标准化摘要信息。
有关Email摘要面板中的信息的详细信息,请参阅 Defender 中的Email摘要面板。
威胁资源管理器和实时检测的Email摘要面板顶部提供了以下操作:
-
打开电子邮件实体
-
查看标头 -
采取措施:有关信息,请参阅威胁搜寻:Email修正。
-
更多选项:-
Email预览版¹ ²
-
下载电子邮件 ² ²
-
在资源管理器中查看
-
围棋搜寻⁴
-
¹ Email预览和下载电子邮件操作需要Email &协作权限中的预览角色。 默认情况下,此角色分配给 数据调查员 和 电子数据展示管理员 角色组。 默认情况下, 组织管理 或 安全管理员 角色组的成员无法执行这些操作。 若要允许这些组的成员执行这些操作,可以使用以下选项:
- 将用户添加到 数据调查员 或 电子数据展示管理器 角色组。
- 创建分配 有 “搜索”和“清除” 角色的新角色组,并将用户添加到自定义角色组。
² 可以预览或下载Microsoft 365 个邮箱中提供的电子邮件。 邮件在邮箱中不再可用的示例包括:
- 邮件在传递或传递失败之前已删除。
- 邮件已 软删除 (从“已删除邮件”文件夹中删除,这会将邮件移动到“可恢复的项目”\“删除”文件夹) 。
- ZAP 已将邮件移动到隔离区。
2 下载电子邮件 不适用于已隔离的邮件。 请 改为从隔离区下载受密码保护的邮件副本。
⁴ Go 搜寻 仅在威胁资源管理器中可用。 它在实时检测中不可用。
“所有电子邮件”视图中详细信息区域Email视图中的收件人详细信息
通过单击“ 收件人 ”值选择条目时,将打开详细信息浮出控件,其中包含以下信息:
提示
若要在不离开详细信息浮出控件的情况下查看其他收件人的详细信息,请使用
浮出控件顶部的“上一项”和“下一项”。
摘要 部分:
- 角色:收件人是否分配了任何管理员角色。
-
策略:
- 用户是否有权查看存档信息。
- 用户是否有权查看保留信息。
- 数据丢失防护 (DLP) 是否涵盖用户。
- 上的移动管理https://portal.office.com/EAdmin/Device/IntuneInventory.aspx是否涵盖用户。
Email部分:显示发送给收件人的邮件的以下相关信息的表:
- Date
- 主题
- 收件人
选择“ 查看所有电子邮件 ”,在按收件人筛选的新选项卡中打开“威胁资源管理器”。
“最近警报 ”部分:一个表,其中显示了有关最近相关警报的以下相关信息:
- 严重性
- 警报策略
- 类别
- 活动
如果最近警报超过三个,请选择“ 查看所有最近的警报 ”,查看所有警报。
最近的活动 部分:显示收件人的 审核日志搜索 的汇总结果:
- Date
- IP 地址
- 活动
- 项目
如果收件人具有三个以上的审核日志条目,请选择“ 查看所有最近的活动 ”,查看所有这些条目。
提示
Email &协作权限中“安全管理员”角色组的成员无法展开“最近活动”部分。 你需要是分配有审核日志、信息保护分析师或信息保护调查员角色Exchange Online权限的角色组的成员。 默认情况下,这些角色分配给记录管理、合规性管理、信息保护、信息保护分析师、信息保护调查员和组织管理角色组。 可以将 安全管理员 的成员添加到这些角色组,也可以 创建一个新角色组 ,其中分配了 “审核日志” 角色。
威胁资源管理器中“所有电子邮件”视图详细信息区域的 URL 单击视图
URL 单击视图显示可以使用透视表组织的图表。 图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。
以下小节介绍了图表透视表。
提示
在威胁资源管理器中, URL 单击 视图中的每个透视都有一个 
“查看所有单击” 操作,用于在新选项卡中打开 URL 单击视图 。
威胁资源管理器中“所有电子邮件”视图详细信息区域 URL 单击视图的 URL 域透视
尽管未选择此图表透视, 但 URL 域 是 URL 单击 视图中的默认图表透视。
URL 域透视显示指定日期/时间范围和属性筛选器的电子邮件 URL 中的不同域。
将鼠标悬停在图表中的数据点上会显示每个 URL 域的计数。
单击“URL 单击”视图的“判决透视”,获取威胁资源管理器中“所有电子邮件”视图的详细信息区域
Click 判决透视显示电子邮件中针对指定日期/时间范围和属性筛选器单击的 URL 的不同判决。
将鼠标悬停在图表中的数据点上会显示每次单击判决的计数。
威胁资源管理器中“所有电子邮件”视图详细信息区域 URL 透视表的 URL 单击视图
URL 透视显示指定日期/时间范围和属性筛选器在电子邮件中单击的不同 URL。
将鼠标悬停在图表中的数据点上会显示每个 URL 的计数。
威胁资源管理器中“所有电子邮件”视图详细信息区域 URL 单击视图的 URL 域和路径透视
URL 域和路径透视显示指定日期/时间范围和属性筛选器在电子邮件中单击的不同域和 URL 的文件路径。
将鼠标悬停在图表中的数据点上会显示每个 URL 域和文件路径的计数。
威胁资源管理器中“所有电子邮件”视图详细信息区域顶部 URL 视图
“ 顶部 URL” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序:
- URL
- 消息被阻止
- 邮件被垃圾邮件
- 传递的消息
“所有电子邮件”视图的顶级 URL 详细信息
通过单击第一列旁边的检查框以外的任何位置选择条目时,将打开详细信息浮出控件,其中包含以下信息:
提示
若要在不离开详细信息浮出控件的情况下查看有关其他 URL 的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。
- 浮出控件顶部提供以下操作:
打开 URL 页
提交以供分析:-
报表清理
-
报告钓鱼
-
报告恶意软件
-
管理指示器:-
添加指示器 -
在租户阻止列表中管理
选择这些选项中的任何一个会转到 Defender 门户中 的“提交” 页。
-
-
更多:
-
在资源管理器中查看 -
Go 搜寻
-
- 原始 URL
-
“检测 ”部分:
- 威胁情报判决
- x 活动警报 y 事件:一个水平条形图,显示与此链接相关的 “高”、“ 中”、“ 低”和 “信息” 警报数。
- 在 URL 页中查看所有事件 & 警报的链接。
-
域详细信息 部分:
- 域名 和 “查看域”页的链接。
- 注册
- 注册日期
- 更新日期
- 到期时间
-
注册联系人信息 部分:
- 登记员
- 国家/地区
- 通讯地址
- 电子邮件
- 电话
- 详细信息:在 Whois 处打开链接。
- URL 流行 (最近 30 天) 部分:包含设备数、Email和点击数。 选择每个值以查看完整列表。
-
设备:显示受影响的设备:
日期 (第一个/上次)
Devices
如果涉及两个以上的设备,请选择“ 查看所有设备 ”,查看所有设备。
威胁资源管理器中“所有电子邮件”视图详细信息区域的点击次数靠前视图
“ 顶部单击次数” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序:
- URL
- 阻止
- Allowed
- 被重写的块
- 待决判决
- 未决判决已绕过
- 无
- 错误页
- 失败
提示
已选择所有可用列。 如果选择“自定义列”,则无法取消选择任何列。
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
通过单击第一列旁边的检查框以外的任何位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 “所有电子邮件”视图的“热门 URL 详细信息”中所述相同。
威胁资源管理器中“所有电子邮件”视图详细信息区域的主要目标用户视图
“ 排名靠前的目标用户 ”视图将数据整理到受威胁最多的前五名收件人的表中。 该表包含以下信息:
排名靠前的目标用户:收件人的电子邮件地址。 如果选择收件人地址,则会打开详细信息浮出控件。 浮出控件中的信息与“所有电子邮件”视图中详细信息区域Email的收件人详细信息中所述相同。
尝试次数:如果选择尝试次数,威胁资源管理器将在按收件人筛选的新选项卡中打开。
提示
使用 “导出” 可导出最多 3000 个用户的列表以及相应的尝试。
威胁资源管理器中“所有电子邮件”视图的详细信息区域Email源视图
Email源视图在世界地图上显示消息源。
威胁资源管理器中“所有电子邮件”视图详细信息区域的活动视图
市场 活动 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。
表中的信息与 “市场活动”页上的详细信息表中所述相同。
单击行中除“名称”旁边的“检查”框以外的任意位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 市场活动详细信息中所述的信息相同。
威胁资源管理器和实时检测中的恶意软件视图
威胁资源管理器和实时检测中的 “恶意软件 ”视图显示有关发现包含恶意软件的电子邮件的信息。 此视图是实时检测中的默认值。
若要打开 “恶意软件” 视图,请执行以下步骤之一:
- 威胁资源管理器:在 Defender 门户中https://security.microsoft.com的“资源管理器”页上,转到“Email &协作>资源管理器>恶意软件”选项卡。或者,使用 https://security.microsoft.com/threatexplorerv3直接转到“资源管理器”页,然后选择“恶意软件”选项卡。
- 实时检测:在 Defender 门户中https://security.microsoft.com的“实时检测”页上,转到“Email &协作>资源管理器>恶意软件”选项卡。或者,使用 https://security.microsoft.com/realtimereportsv3直接转到“实时检测”页,然后验证“恶意软件”选项卡是否已选中。
威胁资源管理器和实时检测中恶意软件视图中的可筛选属性
默认情况下,不会对数据应用任何属性筛选器。 本文后面的 威胁资源管理器中的筛选器和实时检测 部分介绍了创建筛选器 (查询) 的步骤。
下表描述了“恶意软件”视图中的“发件人地址”框中可用的可筛选属性:
| 属性 | 类型 | 威胁 资源管理器 |
实时 检测 |
|---|---|---|---|
| 基本 | |||
| 发件人地址 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 收件人 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 发件人域 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 收件人域 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 主题 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 发件人显示名称 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 发件人邮件发件人地址 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 来自域的发件人邮件 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 返回路径 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 返回路径域 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 恶意软件系列 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 标记 | 文本。 用逗号分隔多个值。 有关用户标记的详细信息,请参阅 用户标记。 |
✔ | |
| Exchange 传输规则 | 文本。 用逗号分隔多个值。 | ✔ | |
| 数据丢失防护规则 | 文本。 用逗号分隔多个值。 | ✔ | |
| 上下文 | 选择一个或多个值:
|
✔ | |
| Connector | 文本。 用逗号分隔多个值。 | ✔ | |
| 传递操作 | 选择一个或多个值:
|
✔ | ✔ |
| 其他操作 | 选择一个或多个值:
|
✔ | ✔ |
| 方向性 | 选择一个或多个值:
|
✔ | ✔ |
| 检测技术 | 选择一个或多个值:
|
✔ | ✔ |
| 原始交付位置 | 选择一个或多个值:
|
✔ | ✔ |
| 最新交付位置 | 与原始交付位置相同的值 | ✔ | ✔ |
| 主要替代 | 选择一个或多个值:
|
✔ | ✔ |
| 主重写源 | 消息可以有多个允许或阻止替代,如 替代源中标识。 最终允许或阻止消息的替代在 主要重写源中标识。 选择一个或多个值:
|
✔ | ✔ |
| 重写源 | 与主重写源相同的值 | ✔ | ✔ |
| 策略类型 | 选择一个或多个值:
|
✔ | ✔ |
| 策略操作 | 选择一个或多个值:
|
✔ | ✔ |
| Email大小 | 整数。 用逗号分隔多个值。 | ✔ | ✔ |
| 高级 | |||
| Internet 邮件 ID | 文本。 用逗号分隔多个值。 在邮件头的 “消息 ID 标头”字段中可用。 示例值 ( <08f1e0f6806a47b4ac103961109ae6ef@server.domain> 记下尖括号) 。 |
✔ | ✔ |
| 网络消息 ID | 文本。 用逗号分隔多个值。 在邮件头的 X-MS-Exchange-Organization-Network-Message-Id 标头字段中可用的 GUID 值。 |
✔ | ✔ |
| 发件人 IP | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 附件 SHA256 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 群集 ID | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 警报 ID | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 警报策略 ID | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 市场活动 ID | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| ZAP URL 信号 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| Urls | |||
| URL 计数 | 整数。 用逗号分隔多个值。 | ✔ | ✔ |
| URL 域 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| URL 域和路径 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| URL | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| URL 路径 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| URL 源 | 选择一个或多个值:
|
✔ | ✔ |
| 单击“判决” | 选择一个或多个值:
|
✔ | ✔ |
| URL 威胁 | 选择一个或多个值:
|
✔ | ✔ |
| 文件 | |||
| 附件计数 | 整数。 用逗号分隔多个值。 | ✔ | ✔ |
| 附件的文件名 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 文件类型 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| File Extension | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 文件大小 | 整数。 用逗号分隔多个值。 | ✔ | ✔ |
| 身份验证 | |||
| SPF | 选择一个或多个值:
|
✔ | ✔ |
| DKIM | 选择一个或多个值:
|
✔ | ✔ |
| DMARC | 选择一个或多个值:
|
✔ | ✔ |
| 复合 | 选择一个或多个值:
|
威胁资源管理器和实时检测中恶意软件视图中图表的透视表
图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。
下表列出了“威胁资源管理器”和“实时检测 ”中的“恶意软件 ”视图中提供的图表透视:
| Pivot | 威胁 资源管理器 |
实时 检测 |
|---|---|---|
| 恶意软件系列 | ✔ | |
| 发件人域 | ✔ | |
| 发件人 IP | ✔ | |
| 传递操作 | ✔ | ✔ |
| 检测技术 | ✔ | ✔ |
以下小节介绍了可用的图表透视表。
威胁资源管理器中恶意软件视图中的恶意软件系列图表透视
尽管此透视在默认情况下看起来未选中, 但恶意软件系列 是威胁资源管理器中 恶意软件 视图中的默认图表透视表。
恶意软件系列透视表按在邮件中检测到的指定日期/时间范围和属性筛选器的恶意软件系列来组织图表。
将鼠标悬停在图表中的数据点上会显示每个恶意软件系列的计数。
威胁资源管理器中恶意软件视图中的发件人域图表透视
发件人域透视按发件人域组织图表,这些邮件已发现包含指定日期/时间范围和属性筛选器的恶意软件。
将鼠标悬停在图表中的数据点上会显示每个发送方域的计数。
威胁资源管理器中恶意软件视图中的发件人 IP 图表透视
发件人 IP 透视表按找到的邮件的源 IP 地址组织图表,这些邮件包含指定日期/时间范围和属性筛选器的恶意软件。
将鼠标悬停在图表中的数据点上会显示每个源 IP 地址的计数。
威胁资源管理器和实时检测中恶意软件视图中的传递操作图表透视
尽管此透视在默认情况下看起来未选中,但 “传递”操作 是“实时检测”中 恶意软件 视图中的默认图表透视。
传递操作透视表按发现包含指定日期/时间范围和属性筛选器的恶意软件的邮件所发生的情况来组织图表。
将鼠标悬停在图表中的数据点上会显示每个传递操作的计数。
威胁资源管理器和实时检测中恶意软件视图中的检测技术图表透视
检测技术透视按在指定日期/时间范围和属性筛选器的邮件中标识恶意软件的功能来组织图表。
将鼠标悬停在图表中的数据点上会显示每种检测技术的计数。
威胁资源管理器和实时检测中恶意软件视图详细信息区域的视图
下表列出了 恶意软件 视图详细信息区域中) 的可用视图 (选项卡,并在以下小节中介绍。
| 查看 | 威胁 资源管理器 |
实时 检测 |
|---|---|---|
| 电子邮件 | ✔ | ✔ |
| 热门恶意软件系列 | ✔ | |
| 排名靠前的目标用户 | ✔ | |
| Email源 | ✔ | |
| 市场活动 | ✔ |
威胁资源管理器和实时检测中恶意软件视图详细信息区域的Email视图
Email是威胁资源管理器和实时检测中恶意软件视图的详细信息区域的默认视图。
Email视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。
下表显示了威胁资源管理器和实时检测中可用的列。 默认值标有星号 () * 。
| Column | 威胁 资源管理器 |
实时 检测 |
|---|---|---|
| 日期* | ✔ | ✔ |
| 主题* | ✔ | ✔ |
| 收件人* | ✔ | ✔ |
| 收件人域 | ✔ | ✔ |
| 标签* | ✔ | |
| 发件人地址* | ✔ | ✔ |
| 发件人显示名称 | ✔ | ✔ |
| 发件人域* | ✔ | ✔ |
| 发件人 IP | ✔ | ✔ |
| 发件人邮件发件人地址 | ✔ | ✔ |
| 来自域的发件人邮件 | ✔ | ✔ |
| 其他操作* | ✔ | ✔ |
| 传递操作 | ✔ | ✔ |
| 最新交付位置* | ✔ | ✔ |
| 原始交付位置* | ✔ | ✔ |
| 系统替代源 | ✔ | ✔ |
| 系统替代 | ✔ | ✔ |
| 警报 ID | ✔ | ✔ |
| Internet 消息 ID | ✔ | ✔ |
| 网络消息 ID | ✔ | ✔ |
| 邮件语言 | ✔ | ✔ |
| Exchange 传输规则 | ✔ | |
| Connector | ✔ | |
| Context | ✔ | ✔ |
| 数据丢失防护规则 | ✔ | ✔ |
| 威胁类型* | ✔ | ✔ |
| 检测技术 | ✔ | ✔ |
| 附件计数 | ✔ | ✔ |
| URL 计数 | ✔ | ✔ |
| Email大小 | ✔ | ✔ |
提示
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 从视图中删除列。
- 在 Web 浏览器中缩小字体功能。
自定义列设置按用户保存。 在关闭 Web 浏览器之前,将保存 Incognito 或 InPrivate 浏览模式下的自定义列设置。
通过选择第一列旁边的检查框从列表中选择一个或多个条目时,“执行操作”可用。 有关信息,请参阅威胁搜寻:Email修正。
单击条目中的 “主题” 或“ 收件人” 值时,将打开详细信息浮出控件。 以下小节介绍了这些浮出控件。
从“恶意软件”视图中详细信息区域的Email视图中Email详细信息
选择表中某个条目的 “主题” 值时,将打开电子邮件详细信息浮出控件。 此详细信息浮出控件称为“Email摘要面板”,包含邮件的Email实体页上也提供的标准化摘要信息。
有关Email摘要面板中的信息的详细信息,请参阅Email摘要面板。
威胁资源管理器和实时检测Email摘要面板顶部的可用操作在“所有电子邮件”视图中详细信息区域Email视图中Email详细信息中介绍。
“恶意软件”视图中详细信息区域Email视图中的收件人详细信息
通过单击“ 收件人 ”值选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与“所有电子邮件”视图中详细信息区域Email的收件人详细信息中所述相同。
威胁资源管理器中恶意软件视图详细信息区域的热门恶意软件系列视图
详细信息区域的“ 热门恶意软件系列 ”视图将数据组织到排名靠前的恶意软件系列表中。 下表显示了:
“热门恶意软件系列 ”列:恶意软件系列名称。
如果选择恶意软件系列名称,则会打开一个详细信息浮出控件,其中包含以下信息:
Email部分:显示包含恶意软件文件的邮件的以下相关信息的表:
- Date
- 主题
- 收件人
选择“ 查看所有电子邮件 ”,在按恶意软件系列名称筛选的新选项卡中打开“威胁资源管理器”。
技术详细信息 部分
尝试次数:如果选择尝试次数,则威胁资源管理器将在按恶意软件系列名称筛选的新选项卡中打开。
威胁资源管理器中“恶意软件”视图详细信息区域的热门目标用户视图
“ 排名靠前的目标用户 ”视图将数据整理到受恶意软件攻击的前五名收件人的表中。 下表显示了:
排名靠前的目标用户:排名靠前的目标用户的电子邮件地址。 如果选择电子邮件地址,则会打开详细信息浮出控件。 浮出控件中的信息与 威胁资源管理器中“所有电子邮件”视图详细信息区域的主要目标用户视图中所述的相同。
尝试次数:如果选择尝试次数,则威胁资源管理器将在按恶意软件系列名称筛选的新选项卡中打开。
提示
使用 “导出” 可导出最多 3000 个用户的列表以及相应的尝试。
威胁资源管理器中恶意软件视图详细信息区域Email源视图
Email源视图在世界地图上显示消息源。
威胁资源管理器中恶意软件视图详细信息区域的活动视图
市场 活动 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。
详细信息表与 “市场活动”页上的详细信息表相同。
单击行中除“名称”旁边的“检查”框以外的任意位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 市场活动详细信息中所述的信息相同。
威胁资源管理器和实时检测中的网络钓鱼视图
威胁资源管理器和实时检测中的 “网络钓鱼 ”视图显示有关标识为钓鱼的电子邮件的信息。
若要打开 “钓鱼” 视图,请执行以下步骤之一:
- 威胁资源管理器:在 Defender 门户中https://security.microsoft.com的“资源管理器”页上,转到“Email &协作>资源管理器>钓鱼”选项卡。或者,使用 https://security.microsoft.com/threatexplorerv3直接转到资源管理器页面,然后选择“钓鱼”选项卡。
- 实时检测:在 Defender 门户中https://security.microsoft.com的“实时检测”页上,转到“Email &协作>资源管理器>网络钓鱼”选项卡。或者,使用 https://security.microsoft.com/realtimereportsv3直接转到“实时检测”页,然后选择“钓鱼”选项卡。
威胁资源管理器和实时检测中“网络钓鱼”视图中的可筛选属性
默认情况下,不会对数据应用任何属性筛选器。 本文后面的 威胁资源管理器中的筛选器和实时检测 部分介绍了创建筛选器 (查询) 的步骤。
下表描述了“恶意软件”视图中的“发件人地址”框中可用的可筛选属性:
| 属性 | 类型 | 威胁 资源管理器 |
实时 检测 |
|---|---|---|---|
| 基本 | |||
| 发件人地址 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 收件人 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 发件人域 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 收件人域 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 主题 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 发件人显示名称 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 发件人邮件发件人地址 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 来自域的发件人邮件 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 返回路径 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 返回路径域 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 标记 | 文本。 用逗号分隔多个值。 有关用户标记的详细信息,请参阅 用户标记。 |
✔ | |
| 模拟域 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 模拟用户 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| Exchange 传输规则 | 文本。 用逗号分隔多个值。 | ✔ | |
| 数据丢失防护规则 | 文本。 用逗号分隔多个值。 | ✔ | |
| 上下文 | 选择一个或多个值:
|
✔ | |
| Connector | 文本。 用逗号分隔多个值。 | ✔ | |
| 传递操作 | 选择一个或多个值:
|
✔ | ✔ |
| 其他操作 | 选择一个或多个值:
|
✔ | ✔ |
| 方向性 | 选择一个或多个值:
|
✔ | ✔ |
| 检测技术 | 选择一个或多个值:
|
✔ | ✔ |
| 原始交付位置 | 选择一个或多个值:
|
✔ | ✔ |
| 最新交付位置 | 与原始交付位置相同的值 | ✔ | ✔ |
| 网络钓鱼置信度 | 选择一个或多个值:
|
✔ | |
| 主要替代 | 选择一个或多个值:
|
✔ | ✔ |
| 主重写源 | 消息可以有多个允许或阻止替代,如 替代源中标识。 最终允许或阻止消息的替代在 主要重写源中标识。 选择一个或多个值:
|
✔ | ✔ |
| 重写源 | 与主重写源相同的值 | ✔ | ✔ |
| 策略类型 | 选择一个或多个值:
|
✔ | ✔ |
| 策略操作 | 选择一个或多个值:
|
✔ | ✔ |
| Email大小 | 整数。 用逗号分隔多个值。 | ✔ | ✔ |
| 高级 | |||
| Internet 邮件 ID | 文本。 用逗号分隔多个值。 在邮件头的 “消息 ID 标头”字段中可用。 示例值 ( <08f1e0f6806a47b4ac103961109ae6ef@server.domain> 记下尖括号) 。 |
✔ | ✔ |
| 网络消息 ID | 文本。 用逗号分隔多个值。 在邮件头的 X-MS-Exchange-Organization-Network-Message-Id 标头字段中可用的 GUID 值。 |
✔ | ✔ |
| 发件人 IP | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 附件 SHA256 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 群集 ID | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 警报 ID | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 警报策略 ID | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 市场活动 ID | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| ZAP URL 信号 | 文本。 用逗号分隔多个值。 | ✔ | |
| Urls | |||
| URL 计数 | 整数。 用逗号分隔多个值。 | ✔ | ✔ |
| URL 域 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| URL 域和路径 | 文本。 用逗号分隔多个值。 | ✔ | |
| URL | 文本。 用逗号分隔多个值。 | ✔ | |
| URL 路径 | 文本。 用逗号分隔多个值。 | ✔ | |
| URL 源 | 选择一个或多个值:
|
✔ | ✔ |
| 单击“判决” | 选择一个或多个值:
|
✔ | ✔ |
| URL 威胁 | 选择一个或多个值:
|
✔ | ✔ |
| 文件 | |||
| 附件计数 | 整数。 用逗号分隔多个值。 | ✔ | ✔ |
| 附件的文件名 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 文件类型 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| File Extension | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 文件大小 | 整数。 用逗号分隔多个值。 | ✔ | ✔ |
| 身份验证 | |||
| SPF | 选择一个或多个值:
|
✔ | ✔ |
| DKIM | 选择一个或多个值:
|
✔ | ✔ |
| DMARC | 选择一个或多个值:
|
✔ | ✔ |
| 复合 | 选择一个或多个值:
|
威胁资源管理器和实时检测中“网络钓鱼”视图中图表的透视表
图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。
下表列出了“威胁资源管理器”和“实时检测 ”中的“网络钓鱼 ”视图中提供的图表透视:
| Pivot | 威胁 资源管理器 |
实时 检测 |
|---|---|---|
| 发件人域 | ✔ | ✔ |
| 发件人 IP | ✔ | |
| 传递操作 | ✔ | ✔ |
| 检测技术 | ✔ | ✔ |
| 完整 URL | ✔ | |
| URL 域 | ✔ | ✔ |
| URL 域和路径 | ✔ |
以下小节介绍了可用的图表透视表。
威胁资源管理器和实时检测中“网络钓鱼”视图中的发件人域图表透视
尽管此透视在默认情况下看起来未选中,但 “发件人”域 是实时检测中 “网络钓鱼” 视图中的默认图表透视。
发件人域透视按指定日期/时间范围和属性筛选器的邮件中的域组织图表。
将鼠标悬停在图表中的数据点上会显示每个发送方域的计数。
威胁资源管理器中“网络钓鱼”视图中的发件人 IP 图表透视
发件人 IP 透视表按指定日期/时间范围和属性筛选器的消息的源 IP 地址组织图表。
将鼠标悬停在图表中的数据点上会显示每个源 IP 地址的计数。
威胁资源管理器和实时检测中“网络钓鱼”视图中的传递操作图表透视
尽管默认情况下此透视表看起来未选中, 但“传递操作 ”是威胁资源管理器中 “网络钓鱼 ”视图中的默认图表透视。
传递操作透视按针对指定日期/时间范围和属性筛选器的邮件执行的操作来组织图表。
将鼠标悬停在图表中的数据点上会显示每个传递操作的计数。
威胁资源管理器和实时检测中“网络钓鱼”视图中的检测技术图表透视
检测技术透视按识别指定日期/时间范围和属性筛选器的网络钓鱼邮件的功能来组织图表。
将鼠标悬停在图表中的数据点上会显示每种检测技术的计数。
威胁资源管理器中“网络钓鱼”视图中的完整 URL 图表透视表
完整 URL 透视表按网络钓鱼邮件中指定日期/时间范围和属性筛选器的完整 URL 来组织图表。
将鼠标悬停在图表中的数据点上会显示每个完整 URL 的计数。
威胁资源管理器和实时检测中“网络钓鱼”视图中的 URL 域图表透视
URL 域透视按网络钓鱼邮件中 URL 中指定日期/时间范围和属性筛选器的域来组织图表。
将鼠标悬停在图表中的数据点上会显示每个 URL 域的计数。
威胁资源管理器中“网络钓鱼”视图中的 URL 域和路径图透视
URL 域和路径透视按网络钓鱼邮件中指定日期/时间范围和属性筛选器的域和路径来组织图表。
将鼠标悬停在图表中的数据点上会显示每个 URL 域和路径的计数。
威胁资源管理器中“网络钓鱼”视图详细信息区域的视图
下表列出了 “钓鱼” 视图详细信息区域中 (选项卡) 的可用视图,并在以下小节中介绍。
| 查看 | 威胁 资源管理器 |
实时 检测 |
|---|---|---|
| 电子邮件 | ✔ | ✔ |
| URL 单击次数 | ✔ | ✔ |
| 热门 URL | ✔ | ✔ |
| 点击次数 | ✔ | ✔ |
| 排名靠前的目标用户 | ✔ | |
| Email源 | ✔ | |
| 市场活动 | ✔ |
威胁资源管理器和实时检测中“网络钓鱼”视图详细信息区域的Email视图
Email是威胁资源管理器和实时检测中“钓鱼”视图的详细信息区域的默认视图。
Email视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。
下表显示了威胁资源管理器和实时检测中可用的列。 默认值标有星号 () * 。
| Column | 威胁 资源管理器 |
实时 检测 |
|---|---|---|
| 日期* | ✔ | ✔ |
| 主题* | ✔ | ✔ |
| 收件人* | ✔ | ✔ |
| 收件人域 | ✔ | ✔ |
| 标签* | ✔ | |
| 发件人地址* | ✔ | ✔ |
| 发件人显示名称 | ✔ | ✔ |
| 发件人域* | ✔ | ✔ |
| 发件人 IP | ✔ | ✔ |
| 发件人邮件发件人地址 | ✔ | ✔ |
| 来自域的发件人邮件 | ✔ | ✔ |
| 其他操作* | ✔ | ✔ |
| 传递操作 | ✔ | ✔ |
| 最新交付位置* | ✔ | ✔ |
| 原始交付位置* | ✔ | ✔ |
| 系统替代源 | ✔ | ✔ |
| 系统替代 | ✔ | ✔ |
| 警报 ID | ✔ | ✔ |
| Internet 消息 ID | ✔ | ✔ |
| 网络消息 ID | ✔ | ✔ |
| 邮件语言 | ✔ | ✔ |
| Exchange 传输规则 | ✔ | |
| Connector | ✔ | |
| 网络钓鱼置信度 | ✔ | |
| Context | ✔ | |
| 数据丢失防护规则 | ✔ | |
| 威胁类型* | ✔ | ✔ |
| 检测技术 | ✔ | ✔ |
| 附件计数 | ✔ | ✔ |
| URL 计数 | ✔ | ✔ |
| Email大小 | ✔ | ✔ |
提示
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 从视图中删除列。
- 在 Web 浏览器中缩小字体功能。
自定义列设置按用户保存。 在关闭 Web 浏览器之前,将保存 Incognito 或 InPrivate 浏览模式下的自定义列设置。
通过选择第一列旁边的检查框从列表中选择一个或多个条目时,“执行操作”可用。 有关信息,请参阅威胁搜寻:Email修正。
单击条目中的 “主题” 或“ 收件人” 值时,将打开详细信息浮出控件。 以下小节介绍了这些浮出控件。
从“钓鱼”视图中的详细信息区域Email视图中Email详细信息
选择表中某个条目的 “主题” 值时,将打开电子邮件详细信息浮出控件。 此详细信息浮出控件称为“Email摘要面板”,包含邮件的Email实体页上也提供的标准化摘要信息。
有关Email摘要面板中的信息的详细信息,请参阅Defender for Office 365功能中的Email摘要面板。
威胁资源管理器和实时检测Email摘要面板顶部的可用操作在“所有电子邮件”视图中详细信息区域Email视图中Email详细信息中介绍。
“钓鱼”视图中详细信息区域Email视图中的收件人详细信息
通过单击“ 收件人 ”值选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与“所有电子邮件”视图中详细信息区域Email的收件人详细信息中所述相同。
威胁资源管理器和实时检测中“网络钓鱼”视图详细信息区域的 URL 单击视图
URL 单击视图显示可以使用透视表组织的图表。 图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。
下表描述了“威胁资源管理器”和“实时检测”中的 “恶意软件 ”视图中提供的图表透视:
| Pivot | 威胁 资源管理器 |
实时 检测 |
|---|---|---|
| URL 域 | ✔ | ✔ |
| 单击“判决” | ✔ | ✔ |
| URL | ✔ | |
| URL 域和路径 | ✔ |
威胁资源管理器中的 “所有电子邮件 ”视图提供了相同的图表透视数据透视并已进行说明:
- 威胁资源管理器中“所有电子邮件”视图详细信息区域 URL 单击视图的 URL 域透视
- 单击“URL 单击”视图的“判决透视”,获取威胁资源管理器中“所有电子邮件”视图的详细信息区域
- 威胁资源管理器中“所有电子邮件”视图详细信息区域 URL 透视表的 URL 单击视图
- 威胁资源管理器中“所有电子邮件”视图详细信息区域 URL 单击视图的 URL 域和路径透视
提示
在“威胁资源管理器”中, URL 单击 视图中的每个透视都有一个 “查看所有单击” 操作,用于在新选项卡中打开 “威胁资源管理器”中的“URL 单击”视图 。此操作在实时检测中不可用,因为 URL 单击 视图在实时检测中不可用。
威胁资源管理器和实时检测中“网络钓鱼”视图详细信息区域的顶部 URL 视图
“ 顶部 URL” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序:
- URL
- 消息被阻止
- 邮件被垃圾邮件
- 传递的消息
“网络钓鱼”视图的顶级 URL 详细信息
通过单击第一列旁边的检查框以外的任何位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 “所有电子邮件”视图的“热门 URL 详细信息”中所述相同。
提示
Go 搜寻操作仅在威胁资源管理器中可用。 它在实时检测中不可用。
威胁资源管理器和实时检测中“网络钓鱼”视图详细信息区域的热门单击视图
“ 顶部单击次数” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序:
- URL
- 阻止
- Allowed
- 被重写的块
- 待决判决
- 未决判决已绕过
- 无
- 错误页
- 失败
提示
已选择所有可用列。 如果选择“自定义列”,则无法取消选择任何列。
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
通过单击第一列旁边的检查框以外的任何位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 “所有电子邮件”视图的“热门 URL 详细信息”中所述相同。
威胁资源管理器中“网络钓鱼”视图详细信息区域的热门目标用户视图
“ 排名靠前的目标用户 ”视图将数据整理到成为网络钓鱼尝试目标的前五名收件人的表中。 下表显示了:
排名靠前的目标用户:排名靠前的目标用户的电子邮件地址。 如果选择电子邮件地址,则会打开详细信息浮出控件。 浮出控件中的信息与 威胁资源管理器中“所有电子邮件”视图详细信息区域的主要目标用户视图中所述的相同。
尝试次数:如果选择尝试次数,则威胁资源管理器将在按恶意软件系列名称筛选的新选项卡中打开。
提示
使用 “导出” 可导出最多 3000 个用户的列表以及相应的尝试。
威胁资源管理器中“钓鱼”视图详细信息区域Email源视图
Email源视图在世界地图上显示消息源。
威胁资源管理器中“网络钓鱼”视图详细信息区域的“市场活动”视图
市场 活动 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。
表中的信息与 “市场活动”页上的详细信息表中所述相同。
单击行中除“名称”旁边的“检查”框以外的任意位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 市场活动详细信息中所述的信息相同。
威胁资源管理器中的市场活动视图
威胁资源管理器中的 “市场活动 ”视图显示有关标识为协调网络钓鱼和恶意软件攻击的威胁的信息,这些威胁特定于你的组织或 Microsoft 365 中的其他组织。
若要在 Defender 门户中https://security.microsoft.com的“资源管理器”页上打开“市场活动”视图,请转到“Email &协作>资源管理器>市场活动”选项卡。或者,使用 https://security.microsoft.com/threatexplorerv3直接转到资源管理器页面,然后选择“市场活动”选项卡。
所有可用信息和操作都与 的https://security.microsoft.com/campaignsv3“市场活动”页上的信息和操作相同。 有关详细信息,请参阅Microsoft Defender门户中的“市场活动”页。
威胁资源管理器和实时检测中的内容恶意软件视图
威胁资源管理器和实时检测中的 “内容恶意软件 ”视图显示有关通过以下方式标识为恶意软件的文件的信息:
若要打开 “内容恶意软件 ”视图,请执行以下步骤之一:
- 威胁资源管理器:在 Defender 门户中https://security.microsoft.com的“资源管理器”页上,转到“Email &协作>资源管理器>内容恶意软件”选项卡。或者,使用 https://security.microsoft.com/threatexplorerv3直接转到“资源管理器”页面,然后选择“内容恶意软件”选项卡。
- 实时检测:在 Defender 门户中https://security.microsoft.com的“实时检测”页上,转到“Email &协作>资源管理器>内容恶意软件”选项卡。或者,使用 https://security.microsoft.com/realtimereportsv3直接转到“实时检测”页,然后选择“内容恶意软件”选项卡。
威胁资源管理器和实时检测中内容恶意软件视图中的可筛选属性
默认情况下,不会对数据应用任何属性筛选器。 本文后面的 威胁资源管理器中的筛选器和实时检测 部分介绍了创建筛选器 (查询) 的步骤。
下表介绍了威胁资源管理器中“内容恶意软件”视图中的“文件名”框中提供的可筛选属性和实时检测:
| 属性 | 类型 | 威胁 资源管理器 |
实时 检测 |
|---|---|---|---|
| 文件 | |||
| 文件名 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| Workload | 选择一个或多个值:
|
✔ | ✔ |
| Site | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 文件所有者 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 最后一次修改者 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| SHA256 | 整数。 用逗号分隔多个值。 若要在 Windows 中查找文件的 SHA256 哈希值,请在命令提示符中运行以下命令: certutil.exe -hashfile "<Path>\<Filename>" SHA256。 |
✔ | ✔ |
| 恶意软件系列 | 文本。 用逗号分隔多个值。 | ✔ | ✔ |
| 检测技术 | 选择一个或多个值:
|
✔ | ✔ |
| 威胁类型 | 选择一个或多个值:
|
✔ | ✔ |
威胁资源管理器和实时检测中“内容恶意软件”视图中图表的透视表
图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。
下表列出了威胁资源管理器中 内容恶意软件 视图中可用的图表透视表和实时检测:
| Pivot | 威胁 资源管理器 |
实时 检测 |
|---|---|---|
| 恶意软件系列 | ✔ | ✔ |
| 检测技术 | ✔ | ✔ |
| Workload | ✔ | ✔ |
以下小节介绍了可用的图表透视表。
威胁资源管理器和实时检测中“内容恶意软件”视图中的恶意软件系列图表透视
尽管此透视在默认情况下看起来未选中, 但恶意软件系列 是威胁资源管理器和实时检测中 内容恶意软件 视图中的默认图表透视。
恶意软件系列透视使用指定的日期/时间范围和属性筛选器,按 SharePoint、OneDrive 和 Microsoft Teams 中的文件中标识的恶意软件来组织图表。
将鼠标悬停在图表中的数据点上会显示每个恶意软件系列的计数。
威胁资源管理器和实时检测中“内容恶意软件”视图中的检测技术图表透视
检测技术透视按在 SharePoint、OneDrive 和 Microsoft Teams 中标识指定日期/时间范围和属性筛选器文件中的恶意软件的功能来组织图表。
将鼠标悬停在图表中的数据点上会显示每种检测技术的计数。
威胁资源管理器和实时检测中内容恶意软件视图中的工作负载图表透视
工作负载透视表根据指定日期/时间范围和属性筛选器 (SharePoint、OneDrive 或 Microsoft Teams) 标识恶意软件的位置来组织图表。
将鼠标悬停在图表中的数据点上会显示每个工作负荷的计数。
威胁资源管理器和实时检测中内容恶意软件视图详细信息区域视图的视图
在“威胁资源管理器”和“实时检测”中,“内容恶意软件”视图的详细信息区域仅包含一个视图, (选项卡) 名为“文档”。 此视图在以下小节中介绍。
威胁资源管理器和实时检测中内容恶意软件视图详细信息区域的文档视图
文档 是 内容恶意软件 视图中详细信息区域的默认视图,并且仅显示该视图。
“ 文档” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- 日期*
- 名字*
- 工作量*
- 威胁*
- 检测技术*
- 上次修改用户*
- 文件所有者*
- ) (字节的大小 *
- 上次修改时间
- 站点路径
- 文件路径
- 文档 ID
- SHA256
- 检测到的日期
- 恶意软件系列
- Context
提示
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 从视图中删除列。
- 在 Web 浏览器中缩小字体功能。
自定义列设置按用户保存。 在关闭 Web 浏览器之前,将保存 Incognito 或 InPrivate 浏览模式下的自定义列设置。
从“ 名称” 列中选择文件名值时,将打开详细信息浮出控件。 浮出控件包含以下信息:
摘要 部分:
- Filename
- 站点路径
- 文件路径
- 文档 ID
- SHA256
- 上次修改日期
- 最后一次修改者
- 威胁
- 检测技术
详细信息 部分:
- 检测到的日期
- 检测者
- 恶意软件名称
- 最后一次修改者
- 文件大小
- 文件所有者
Email列表部分:显示包含恶意软件文件的邮件的以下相关信息的表:
- Date
- 主题
- 收件人
选择“ 查看所有电子邮件 ”,在按恶意软件系列名称筛选的新选项卡中打开“威胁资源管理器”。
最近的活动:显示收件人的 审核日志搜索 的汇总结果:
- Date
- IP 地址
- 活动
- 项目
如果收件人具有三个以上的审核日志条目,请选择“ 查看所有最近的活动 ”,查看所有这些条目。
提示
Email &协作权限中“安全管理员”角色组的成员无法展开“最近活动”部分。 你需要是分配有审核日志、信息保护分析师或信息保护调查员角色Exchange Online权限的角色组的成员。 默认情况下,这些角色分配给记录管理、合规性管理、信息保护、信息保护分析师、信息保护调查员和组织管理角色组。 可以将 安全管理员 的成员添加到这些角色组,也可以 创建一个新角色组 ,其中分配了 “审核日志” 角色。
威胁资源管理器中的 URL 单击视图
威胁资源管理器中的 URL 单击 视图显示所有用户单击电子邮件、SharePoint 和 OneDrive 中支持的 Office 文件以及 Microsoft Teams 中的 URL。
若要在 Defender 门户中https://security.microsoft.com的“资源管理器”页上打开 URL 单击视图,请转到Email &协作>资源管理器>URL 单击选项卡。或者,使用 https://security.microsoft.com/threatexplorerv3直接转到“资源管理器”页,然后选择“URL 单击”选项卡。
威胁资源管理器中 URL 单击视图中的可筛选属性
默认情况下,不会对数据应用任何属性筛选器。 本文后面的 威胁资源管理器中的筛选器和实时检测 部分介绍了创建筛选器 (查询) 的步骤。
下表描述了威胁资源管理器中 URL 单击视图中的“收件人”框中提供的可筛选属性:
| 属性 | 类型 |
|---|---|
| 基本 | |
| 收件人 | 文本。 用逗号分隔多个值。 |
| 标记 | 文本。 用逗号分隔多个值。 有关用户标记的详细信息,请参阅 用户标记。 |
| 网络消息 ID | 文本。 用逗号分隔多个值。 在邮件头的 X-MS-Exchange-Organization-Network-Message-Id 标头字段中可用的 GUID 值。 |
| URL | 文本。 用逗号分隔多个值。 |
| 单击操作 | 选择一个或多个值:
|
| 威胁类型 | 选择一个或多个值:
|
| 检测技术 | 选择一个或多个值:
|
| 单击“ID” | 文本。 用逗号分隔多个值。 |
| 客户端 IP | 文本。 用逗号分隔多个值。 |
威胁资源管理器中 URL 单击视图中图表的透视表
图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。
以下小节介绍了可用的图表透视表。
威胁资源管理器中 URL 单击视图中的 URL 域图表透视
尽管此透视在默认情况下看起来未选中, 但 URL 域 是 URL 单击 视图中的默认图表透视。
URL 域透视按用户针对指定日期/时间范围和属性筛选器在电子邮件、Office 文件或Microsoft Teams 中单击的 URL 中的域来组织图表。
将鼠标悬停在图表中的数据点上会显示每个 URL 域的计数。
威胁资源管理器中 URL 单击视图中的工作负载图表透视
工作负载透视表按指定日期/时间范围和属性筛选器 (电子邮件、Office 文件或Microsoft Teams) 单击的 URL 的位置来组织图表。
将鼠标悬停在图表中的数据点上会显示每个工作负荷的计数。
威胁资源管理器中 URL 单击视图中的检测技术图表透视
检测技术透视按功能组织图表,该功能标识电子邮件、Office 文件或Microsoft Teams 中指定日期/时间范围和属性筛选器的 URL 单击次数。
将鼠标悬停在图表中的数据点上会显示每种检测技术的计数。
威胁资源管理器中 URL 单击视图中的威胁类型图表透视
威胁类型透视表按电子邮件、Office 文件或Microsoft Teams 中指定日期/时间范围和属性筛选器中单击的 URL 的结果来组织图表。
将鼠标悬停在图表中的数据点上会显示每种威胁类型技术的计数。
威胁资源管理器中 URL 单击视图详细信息区域视图的视图
以下小节介绍了 URL 单击 视图详细信息区域中) 的可用视图 (选项卡。
威胁资源管理器中 URL 单击视图的详细信息区域的结果视图
结果 是 URL 单击 视图中详细信息区域的默认视图。
“ 结果” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认情况下,选择所有列:
- 单击时间
- 收件人
- URL 单击操作
- URL
- Tags
- 网络消息 ID
- 单击“ID”
- 客户端 IP
- URL 链
- 威胁类型
- 检测技术
提示
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 从视图中删除列。
- 在 Web 浏览器中缩小字体功能。
自定义列设置按用户保存。 在关闭 Web 浏览器之前,将保存 Incognito 或 InPrivate 浏览模式下的自定义列设置。
选择一个或多个条目,方法是选择行中第一列旁边的检查框,然后选择“查看所有电子邮件”,在按所选邮件的网络邮件 ID 值筛选的新选项卡中打开“所有电子邮件”视图中的威胁资源管理器。
威胁资源管理器中 URL 单击视图的详细信息区域顶部单击视图
“ 顶部单击次数” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序:
- URL
- 阻止
- Allowed
- 被重写的块
- 待决判决
- 未决判决已绕过
- 无
- 错误页
- 失败
提示
已选择所有可用列。 如果选择“自定义列”,则无法取消选择任何列。
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
通过选择行中第一列旁边的检查框来选择条目,然后选择“查看所有单击”以在 URL 单击视图中的新选项卡中打开“威胁资源管理器”。
通过单击第一列旁边的检查框以外的任何位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 “所有电子邮件”视图的“热门 URL 详细信息”中所述相同。
威胁资源管理器中 URL 单击视图的详细信息区域的热门目标用户视图
“ 排名靠前的目标用户 ”视图将数据整理到单击 URL 的前五位收件人的表中。 下表显示了:
排名靠前的目标用户:排名靠前的目标用户的电子邮件地址。 如果选择电子邮件地址,则会打开详细信息浮出控件。 浮出控件中的信息与 威胁资源管理器中“所有电子邮件”视图详细信息区域的主要目标用户视图中所述的相同。
尝试次数:如果选择尝试次数,则威胁资源管理器将在按恶意软件系列名称筛选的新选项卡中打开。
提示
使用 “导出” 可导出最多 3000 个用户的列表以及相应的尝试。
威胁资源管理器和实时检测中的属性筛选器
属性筛选器/查询的基本语法为:
Condition = <Filter 属性><Filter 运算符><属性值或值>
多个条件使用以下语法:
<Condition1><AND |OR><Condition2><AND |OR><Condition3>... <AND |OR><ConditionN>
提示
文本或整数值不支持通配符搜索 (**** 或 ?) 。 Subject 属性使用部分文本匹配,并生成类似于通配符搜索的结果。
在威胁资源管理器和实时检测的所有视图中,创建属性筛选器/查询条件的步骤相同:
使用本文前面预览视图说明部分中的表标识筛选器属性。
选择可用的筛选器运算符。 可用的筛选器运算符取决于属性类型,如下表所述:
筛选器运算符 属性类型 等于 的任意 Text
整数
离散值等于无 Text
离散值大于 整数 小于 整数 输入或选择一个或多个属性值。 对于文本值和整数,可以输入用逗号分隔的多个值。
属性值中的多个值使用 OR 逻辑运算符。 例如,“发件人地址>等于任意”>
bob@fabrikam.com,cindy@fabrikam.com表示发件人地址>等于 ORcindy@fabrikam.com的任何>bob@fabrikam.com地址。输入或选择一个或多个属性值后,筛选器创建框下方会显示已完成的筛选条件。
提示
对于需要选择一个或多个可用值的属性,在筛选条件中使用 属性时,选择的所有值与在筛选条件中使用 属性的结果相同。
若要添加另一个条件,请重复前面的三个步骤。
筛选器创建框下面的条件由在创建第二个或后续条件时选择的逻辑运算符分隔。 默认值为 “AND”,但也可以选择“ OR”。
所有条件之间使用相同的逻辑运算符:它们全部为 AND 或全部 为 OR。 若要更改现有逻辑运算符,请选择逻辑运算符框,然后选择 AND 或 OR。
若要编辑现有条件,请双击该条件,将所选属性、筛选器运算符和值重新放入相应的框中。
若要删除现有条件,请选择
条件。若要将筛选器应用于图表和详细信息表,请选择“刷新”
威胁资源管理器中保存的查询
威胁资源管理器中的大多数视图都允许保存筛选器 (查询) 以供以后使用。 已保存的查询位于 Defender 门户https://security.microsoft.com/threattrackerv2的“威胁跟踪器”页上。。 有关威胁跟踪器的详细信息,请参阅Microsoft Defender for Office 365计划 2 中的威胁跟踪器。
若要在威胁资源管理器中保存查询,请执行以下步骤:
按照前面所述创建筛选器/查询后,选择“ 保存查询>
”“保存查询”。在打开的 “保存查询” 浮出控件中,配置以下选项:
- 查询名称:输入查询的唯一名称。
- 选择下列选项之一:
- 确切日期:在框中选择开始日期和结束日期。 可以选择的最早开始日期是今天之前的 30 天。 可以选择的最新结束日期是今天。
- 相对日期:在 “运行搜索时显示过去 nn 天”中选择天数。 默认值为 7,但可以选择 1 到 30。
-
跟踪查询:默认情况下,此选项未选中。 此选项会影响查询是否自动运行:
- 未选择“跟踪查询”:可在威胁资源管理器中手动运行查询。 查询保存在“威胁跟踪器”页上的“已保存查询”选项卡上,其“跟踪的查询”属性值为“否”。
- 已选择跟踪查询 :查询定期在后台运行。 “威胁跟踪器”页上的“已保存查询”选项卡上提供了查询,其中“跟踪的查询”属性值为“是”。 查询的周期性结果显示在“威胁跟踪器”页上的“跟踪查询”选项卡上。
完成 “保存查询” 浮出控件后,选择“ 保存”,然后在确认对话框中选择“ 确定 ”。
在 Defender 门户https://security.microsoft.com/threattrackerv2的“威胁跟踪器”页上的“已保存查询”或“跟踪的查询”选项卡上,可以在“操作”列中选择“浏览”以打开并使用威胁资源管理器中的查询。
通过从“威胁跟踪器”页中选择“浏览”打开查询时,“资源管理器”页上的“保存查询”中现提供“另存为”和
“保存查询”设置:
如果选择“
将查询另存为”,则会打开 “保存查询 ”浮出控件,其中包含以前选择的所有设置。 如果进行更改,请选择“保存”,然后在“成功”对话框中选择“确定”,更新的查询将保存为“威胁跟踪器”页上的新查询, (可能需要选择“刷新”
才能) 查看它。如果选择“
保存的查询设置”,则会打开 “保存的查询设置 ”浮出控件,你可以在其中更新现有查询的日期和 跟踪查询 设置。
