关于 Microsoft Defender for Office 365 中的威胁资源管理器和实时检测

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

Microsoft Defender for Office 365包含在订阅中或作为加载项购买的 Microsoft 365 组织具有 Explorer (也称为威胁资源管理器) 或实时检测。 这些功能是功能强大的准实时报告工具,可帮助安全运营 (SecOps) 团队调查和响应威胁。

根据你的订阅,威胁资源管理器或实时检测可在 Microsoft Defender 门户中https://security.microsoft.comEmail &协作部分中使用:

威胁资源管理器包含与实时检测相同的信息和功能,但具有以下附加功能:

  • 更多视图。
  • 更多属性筛选选项,包括用于保存查询的选项。
  • 更多操作。

有关Defender for Office 365计划 1 和计划 2 之间的差异的详细信息,请参阅Defender for Office 365计划 1 与计划 2 备忘单

本文的其余部分介绍了威胁资源管理器和实时检测中可用的视图和功能。

威胁资源管理器和实时检测的权限和许可

若要使用资源管理器或实时检测,需要分配权限。 可以选择下列选项:

  • Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (仅影响 Defender 门户,而不会影响 PowerShell) :
    • 电子邮件和 Teams 邮件头的读取访问权限安全操作/原始数据 (电子邮件 & 协作) /Email 邮件头 (读取)
    • 预览和下载电子邮件安全操作/原始数据 (电子邮件 & 协作) /Email 内容 (读取)
    • 修正恶意电子邮件安全操作/安全数据/Email高级操作 (管理)
  • Email & Microsoft Defender门户中的协作权限
    • 完全访问权限组织管理安全管理员 角色组中的成员身份。 执行所有可用操作需要更多权限:
      • 预览和下载消息数据调查员电子数据展示管理器 角色组中的成员身份。 或者,使用与组织管理安全管理员相同的角色创建一个新角色组,然后添加预览角色。
      • 在邮箱中移动邮件和删除邮件数据调查员组织管理 角色组中的成员身份。 或者,使用与安全管理员相同的角色创建一个新角色组,然后添加“搜索和清除”角色。
    • 只读访问权限安全读取者 角色组中的成员身份。
  • Microsoft Entra权限:这些角色的成员身份为用户提供 Microsoft 365 中其他功能所需的权限权限:
    • 完全访问权限全局管理员安全管理员 角色的成员身份。
    • 在威胁资源管理器中搜索 Exchange 邮件流规则 (传输规则) 名称安全管理员成员身份或安全读取者角色。
    • 只读访问权限全局读取者 角色或 安全读取者 角色的成员身份。

提示

管理员预览或下载电子邮件时会生成审核日志条目。 可以按用户搜索管理员审核日志,了解 AdminMailAccess 活动。 有关说明,请参阅 审核新搜索

若要使用威胁资源管理器或实时检测,需要为订阅中包含的Defender for Office 365 (分配许可证或附加许可证) 。

威胁资源管理器或实时检测包含分配给他们的Defender for Office 365许可证的用户的数据。

威胁资源管理器和实时检测的元素

威胁资源管理器和实时检测包含以下元素:

  • 视图:页面顶部的选项卡,用于按威胁组织检测。 视图会影响页面上的其余数据和选项。

    下表列出了威胁资源管理器和实时检测中的可用视图:

    View 威胁
    资源管理器
    实时
    检测
    说明
    所有电子邮件 威胁资源管理器的默认视图。 有关外部用户发送到组织的所有电子邮件的信息,或组织内部用户之间发送的电子邮件。
    恶意软件 实时检测的默认视图。 有关包含恶意软件的电子邮件的信息。
    网络钓鱼 有关包含钓鱼威胁的电子邮件的信息。
    活动 有关Defender for Office 365计划 2 标识为协调网络钓鱼或恶意软件活动的一部分的恶意电子邮件的信息。
    内容恶意软件 有关以下功能检测到的恶意文件的信息:
    URL 单击次数 有关用户单击电子邮件、Teams 邮件、SharePoint 文件和 OneDrive 文件中的 URL 的信息。

    本文详细介绍了这些视图,包括威胁资源管理器和实时检测之间的差异。

  • 日期/时间筛选器:默认情况下,视图按昨天和今天进行筛选。 若要更改日期筛选器,请选择日期范围,然后选择 “开始日期 ”和“ 结束日期 值”,时间最长为 30 天。

    威胁资源管理器中使用的日期筛选器和 Defender 门户中的实时检测的屏幕截图。

  • 属性筛选器 (查询) :按可用消息、文件或威胁属性筛选视图中的结果。 可用的可筛选属性取决于视图。 某些属性在许多视图中可用,而其他属性仅限于特定视图。

    本文列出了每个视图的可用属性筛选器,包括威胁资源管理器和实时检测之间的差异。

    有关创建属性筛选器的说明,请参阅 威胁资源管理器中的属性筛选器和实时检测

    威胁资源管理器允许保存查询以供以后使用,如 在威胁资源管理器中保存的查询 部分中所述。

  • 图表:每个视图都包含筛选或未筛选数据的视觉对象聚合表示形式。 可以使用可用的透视以不同的方式组织图表。

    通常可以使用 导出图表数据 将筛选或未筛选的图表数据导出到 CSV 文件。

    本文详细介绍了图表和可用透视表,包括威胁资源管理器和实时检测之间的差异。

    提示

    若要从页中删除图表 (以最大化) 详细信息区域的大小,请使用以下方法之一:

    • 选择页面顶部的“ 图表视图>列表视图 ”。
    • 选择“在图表和详细信息区域之间显示列表视图”。
  • 详细信息区域:视图的详细信息区域通常显示包含筛选或未筛选数据的表。 可以使用可用视图 (选项卡) 以不同的方式组织详细信息区域中的数据。 例如,视图可能包含图表、地图或其他表。

    如果详细信息区域包含表,通常可以使用“导出”选择性地将最多 200,000 个筛选或未筛选的结果导出到 CSV 文件。

    提示

    “导出” 浮出控件中,可以选择部分或全部可用属性进行导出。 所选内容按用户保存。 在关闭 Web 浏览器之前,将保存 Incognito 或 InPrivate 浏览模式下的选项。

威胁资源管理器中“main”页的屏幕截图,其中显示了Defender for Office 365门户中的实时报表数据。

威胁资源管理器中的所有电子邮件视图

威胁资源管理器中的 “所有电子邮件 ”视图显示有关外部用户发送到组织的所有电子邮件以及组织内部用户之间发送的电子邮件的信息。 视图显示恶意和非恶意电子邮件。 例如:

  • Email标识的网络钓鱼或恶意软件。
  • Email标识为垃圾邮件或批量。
  • Email标识无威胁。

此视图是威胁资源管理器中的默认值。 若要在 Defender 门户中https://security.microsoft.com“资源管理器”页上打开“所有电子邮件”视图,请转到“Email &协作>资源管理器>所有电子邮件”选项卡。或者,使用 https://security.microsoft.com/threatexplorerv3直接转到“资源管理器”页面,然后验证是否已选中“所有电子邮件”选项卡。

威胁资源管理器中“所有电子邮件”视图的屏幕截图,其中显示了图表、图表的可用透视以及详细信息表的视图。

威胁资源管理器中“所有电子邮件”视图中的可筛选属性

默认情况下,不会对数据应用任何属性筛选器。 本文后面的 威胁资源管理器中的筛选器和实时检测 部分介绍了创建筛选器 (查询) 的步骤。

下表描述了“所有电子邮件”视图的“传递”操作框中可用的可筛选属性:

属性 类型
基本
发件人地址 文本。 用逗号分隔多个值。
收件人 文本。 用逗号分隔多个值。
发件人域 文本。 用逗号分隔多个值。
收件人域 文本。 用逗号分隔多个值。
主题 文本。 用逗号分隔多个值。
发件人显示名称 文本。 用逗号分隔多个值。
发件人邮件发件人地址 文本。 用逗号分隔多个值。
来自域的发件人邮件 文本。 用逗号分隔多个值。
返回路径 文本。 用逗号分隔多个值。
返回路径域 文本。 用逗号分隔多个值。
恶意软件系列 文本。 用逗号分隔多个值。
标记 文本。 用逗号分隔多个值。

有关用户标记的详细信息,请参阅 用户标记
模拟域 文本。 用逗号分隔多个值。
模拟用户 文本。 用逗号分隔多个值。
Exchange 传输规则 文本。 用逗号分隔多个值。
数据丢失防护规则 文本。 用逗号分隔多个值。
上下文 选择一个或多个值:
  • 评估
  • 优先帐户保护
Connector 文本。 用逗号分隔多个值。
传递操作 选择一个或多个值:
  • 已阻止:Email已隔离、传递失败或已删除的邮件。
  • 已送达:Email传递到用户的收件箱或其他用户可以访问邮件的文件夹。
  • 已传递到垃圾邮件:Email传递到用户可以访问邮件的“垃圾邮件Email”文件夹或“已删除邮件”文件夹。
  • 已替换安全附件策略中被动态传递替换的邮件附件。
其他操作 选择一个或多个值:
方向性 选择一个或多个值:
  • 入境
  • irg 内部
  • 出站
检测技术 选择一个或多个值:
  • 高级筛选器:基于机器学习的信号。
  • 反恶意软件保护
  • 大量邮件
  • 市场活动
  • 域信誉
  • 文件引爆安全附件在 爆炸分析过程中检测到恶意附件。
  • 文件引爆信誉:以前在其他 Microsoft 365 组织中由 安全附件 引爆检测到的文件附件。
  • 文件信誉:该消息包含以前在其他 Microsoft 365 组织中标识为恶意的文件。
  • 指纹匹配:该消息与以前检测到的恶意消息非常相似。
  • 常规筛选器
  • 模拟品牌:发送者模拟知名品牌。
  • 模拟域:模拟你拥有或指定用于在防钓鱼策略中保护的发件人域
  • 模拟用户
  • IP 信誉
  • 邮箱智能模拟:反 网络钓鱼策略中来自邮箱智能的模拟检测。
  • 混合分析检测:多个筛选器促成了消息判决。
  • 欺骗 DMARC:消息 DMARC 身份验证失败。
  • 欺骗外部域:发件人电子邮件地址欺骗使用组织外部的域。
  • 组织内部欺骗:使用组织内部域的发件人电子邮件地址欺骗。
  • URL 引爆信誉:以前在其他 Microsoft 365 组织中的 安全链接 引爆检测到的 URL。
  • URL 恶意信誉:邮件包含以前在其他 Microsoft 365 组织中标识为恶意的 URL。
原始交付位置 选择一个或多个值:
  • “已删除邮件”文件夹
  • 下降
  • 失败
  • 收件箱/文件夹
  • 垃圾邮件文件夹
  • 本地/外部
  • 隔离
  • Unknown
最新交付位置¹ 原始交付位置相同的值
网络钓鱼置信度 选择一个或多个值:
  • High
  • Normal
主要替代 选择一个或多个值:
  • 组织策略允许
  • 用户策略允许
  • 被组织策略阻止
  • 被用户策略阻止
主重写源 消息可以有多个允许或阻止替代,如 替代源中标识。 最终允许或阻止消息的替代在 主要重写源中标识。
选择一个或多个值:
  • 第三方筛选器
  • 管理员 ZAP) 启动 (时间行程
  • 反恶意软件策略阻止(按文件类型)
  • 反垃圾邮件策略设置
  • 连接策略
  • Exchange 传输规则
  • 独占模式 (用户替代)
  • 由于本地组织而跳过筛选
  • 从策略筛选 IP 区域
  • 策略中的语言筛选器
  • 钓鱼模拟
  • 隔离发布
  • SecOps 邮箱
  • 发件人地址列表 (管理员 替代)
  • 发件人地址列表 (用户替代)
  • 发件人域列表 (管理员 重写)
  • 发件人域列表 (用户替代)
  • 租户允许/阻止列表文件块
  • 租户允许/阻止列表发件人电子邮件地址阻止
  • 租户允许/阻止列表欺骗块
  • 租户允许/阻止列表 URL 块
  • 受信任的联系人列表 (用户替代)
  • 受信任的域 (用户重写)
  • 受信任的收件人 (用户替代)
  • 受信任的发件人仅 (用户替代)
重写源 主重写源相同的值
策略类型 选择一个或多个值:
  • 反恶意软件策略
  • 反钓鱼策略
  • Exchange 传输规则 (邮件流规则) 、 托管内容筛选器策略 (反垃圾邮件策略) 、 托管出站垃圾邮件筛选策略 (出站垃圾邮件策略) 、 安全附件策略
  • Unknown
策略操作 选择一个或多个值:
  • 添加 x-header
  • 密件抄送消息
  • 删除邮件
  • 修改主题
  • 移动到垃圾邮件Email文件夹
  • 未执行任何操作
  • 重定向消息
  • 发送到隔离区
威胁类型 选择一个或多个值:
  • 恶意软件
  • 网络钓鱼
  • 垃圾邮件
转发的邮件 选择一个或多个值:
  • True
  • False
通讯组列表 文本。 用逗号分隔多个值。
Email大小 整数。 用逗号分隔多个值。
高级
Internet 邮件 ID 文本。 用逗号分隔多个值。

在邮件头的 “消息 ID 标头”字段中可用。 示例值 (<08f1e0f6806a47b4ac103961109ae6ef@server.domain> 记下尖括号) 。
网络消息 ID 文本。 用逗号分隔多个值。

在邮件头的 X-MS-Exchange-Organization-Network-Message-Id 标头字段中可用的 GUID 值。
发件人 IP 文本。 用逗号分隔多个值。
附件 SHA256 文本。 用逗号分隔多个值。
群集 ID 文本。 用逗号分隔多个值。
警报 ID 文本。 用逗号分隔多个值。
警报策略 ID 文本。 用逗号分隔多个值。
市场活动 ID 文本。 用逗号分隔多个值。
ZAP URL 信号 文本。 用逗号分隔多个值。
Urls
URL 计数 整数。 用逗号分隔多个值。
URL 域² 文本。 用逗号分隔多个值。
URL 域和路径² 文本。 用逗号分隔多个值。
URL² 文本。 用逗号分隔多个值。
URL 路径² 文本。 用逗号分隔多个值。
URL 源 选择一个或多个值:
  • 附件
  • 云附件
  • Email正文
  • Email标头
  • QR 码
  • 主题
  • Unknown
单击“判决” 选择一个或多个值:
  • 允许:允许用户打开 URL。
  • 被重写的块:用户被阻止直接打开 URL,但他们覆盖块以打开 URL。
  • 已阻止:阻止用户打开 URL。
  • 错误:向用户显示错误页,或者在捕获判决时出错。
  • 失败:捕获判决时发生未知异常。 用户可能已打开 URL。
  • :无法捕获 URL 的判决。 用户可能已打开 URL。
  • 待定判决:向用户显示引爆待定页面。
  • 未决判决被绕过:用户已看到引爆页面,但他们覆盖了消息以打开 URL。
URL 威胁 选择一个或多个值:
  • 恶意软件
  • 网络钓鱼
  • 垃圾邮件
文件
附件计数 整数。 用逗号分隔多个值。
附件的文件名 文本。 用逗号分隔多个值。
文件类型 文本。 用逗号分隔多个值。
File Extension 文本。 用逗号分隔多个值。
文件大小 整数。 用逗号分隔多个值。
身份验证
SPF 选择一个或多个值:
  • 失败
  • 中性
  • 通过
  • 永久性错误
  • Soft fail
  • 临时错误
DKIM 选择一个或多个值:
  • 错误
  • 失败
  • 忽略
  • 通过
  • Test
  • Timeout
  • Unknown
DMARC 选择一个或多个值:
  • 最佳猜测传递
  • 失败
  • 通过
  • 永久性错误
  • 选择器传递
  • 临时错误
  • Unknown
复合 选择一个或多个值:
  • 失败
  • 通过
  • 软传递

提示

¹ 最新传递位置 不包括对邮件的最终用户操作。 例如,如果用户删除了邮件或将邮件移动到存档或 PST 文件。

在某些情况下 ,原始交付位置/最新交付位置和 /或 传递操作 具有值 未知。 例如:

  • 邮件已送达 (投递操作为“传递) ”,但收件箱规则将邮件移动到默认文件夹,而不是“收件箱”或“垃圾邮件Email”文件夹 (,例如“草稿”或“存档”文件夹) 。
  • ZAP 尝试在传递后移动邮件,但未找到邮件 (例如,用户移动或删除了邮件) 。

² 默认情况下,除非显式指定了另一个值,否则 URL 搜索映射到 http。 例如:

  • URLURL 域、URL 域路径中使用前缀和不带http://前缀的搜索应显示相同的结果。
  • URL 中搜索https://前缀。 如果未指定任何值,则 http:// 假定前缀。
  • /URL 路径的开头和末尾,将忽略 URL 域URL 域和路径 字段。
  • / 忽略 URL 字段末尾的 。

威胁资源管理器中“所有电子邮件”视图中图表的透视表

图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。

以下小节介绍了可用的图表透视表。

威胁资源管理器中“所有电子邮件”视图中的传递操作图表透视表

尽管默认情况下此透视表看起来未选中,但 “传递”操作“所有电子邮件 ”视图中的默认图表透视表。

传递操作透视按针对指定日期/时间范围和属性筛选器的邮件执行的操作来组织图表。

使用传递操作透视透视的“威胁资源管理器”中“所有电子邮件”视图中的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个传递操作的计数。

威胁资源管理器中“所有电子邮件”视图中的发件人域图表透视

发件人域透视按指定日期/时间范围和属性筛选器的邮件中的域组织图表。

威胁资源管理器中“所有电子邮件”视图中使用发件人域透视的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个发送方域的计数。

威胁资源管理器中“所有电子邮件”视图中的发件人 IP 图表透视

发件人 IP 透视表按指定日期/时间范围和属性筛选器的消息的源 IP 地址组织图表。

使用发件人 IP 透视透视的“威胁资源管理器”中“所有电子邮件”视图中图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个发送方 IP 地址的计数。

威胁资源管理器中“所有电子邮件”视图中的检测技术图表透视

检测技术透视按识别指定日期/时间范围和属性筛选器的消息的功能来组织图表。

使用检测技术透视的“威胁资源管理器”中“所有电子邮件”视图中图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每种检测技术的计数。

威胁资源管理器中“所有电子邮件”视图中的完整 URL 图表透视

完整 URL 透视表按指定日期/时间范围和属性筛选器的邮件中的完整 URL 来组织图表。

威胁资源管理器中“所有电子邮件”视图中使用“完整 URL”透视的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个完整 URL 的计数。

威胁资源管理器中“所有电子邮件”视图中的 URL 域图表透视

URL 域透视按指定日期/时间范围和属性筛选器的消息中 URL 中的域组织图表。

使用 URL 域透视的“威胁资源管理器”中“所有电子邮件”视图中图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个 URL 域的计数。

威胁资源管理器中“所有电子邮件”视图中的 URL 域和路径图透视

URL 域和路径透视按指定日期/时间范围和属性筛选器的消息中 URL 中的域和路径来组织图表。

威胁资源管理器中“所有电子邮件”视图中使用 URL 域和路径透视的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个 URL 域和路径的计数。

威胁资源管理器中“所有电子邮件”视图详细信息区域视图的视图

以下小节介绍了 “所有电子邮件 ”视图详细信息区域中) 的可用视图 (选项卡。

威胁资源管理器中“所有电子邮件”视图的详细信息区域Email视图

Email“所有电子邮件”视图中详细信息区域的默认视图。

Email视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。 默认值标有星号(*):

  • 日期*
  • 主题*
  • 收件人*
  • 收件人域
  • 标签*
  • 发件人地址*
  • 发件人显示名称
  • 发件人域*
  • 发件人 IP
  • 发件人邮件发件人地址
  • 来自域的发件人邮件
  • 其他操作*
  • 传递操作
  • 最新交付位置*
  • 原始交付位置*
  • 系统替代源
  • 系统替代
  • 警报 ID
  • Internet 消息 ID
  • 网络消息 ID
  • 邮件语言
  • Exchange 传输规则
  • Connector
  • Context
  • 数据丢失防护规则
  • 威胁类型*
  • 检测技术
  • 附件计数
  • URL 计数
  • Email大小

提示

若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 从视图中删除列。
  • 在 Web 浏览器中缩小字体功能。

自定义列设置按用户保存。 在关闭 Web 浏览器之前,将保存 Incognito 或 InPrivate 浏览模式下的自定义列设置。

通过选择第一列旁边的检查框从列表中选择一个或多个条目时,“消息”操作可用。 有关信息,请参阅威胁搜寻:Email修正

威胁资源管理器中“所有电子邮件”视图的“Email”选项卡的屏幕截图,其中显示了所选邮件以及邮件操作中的可用操作。

在条目的“主题”值中,“在新窗口中打开”操作可用。 此操作将在 Email 实体页中打开消息。

单击条目中的 “主题” 或“ 收件人” 值时,将打开详细信息浮出控件。 以下小节介绍了这些浮出控件。

“所有电子邮件”视图中详细信息区域Email主题详细信息

单击“ 主题 ”值选择条目时,将打开详细信息浮出控件,其中包含以下信息:

提示

若要在不离开详细信息浮出控件的情况下查看有关其他邮件主题的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。

¹ Email预览下载电子邮件操作需要Email &协作权限中的预览角色。 默认情况下,此角色分配给 数据调查员电子数据展示管理员 角色组。 只有 组织管理安全管理员 角色组的成员才能打开这些操作。 可以将组的成员添加到“数据调查员”和“电子数据展示管理器”角色组,也可以创建与“组织管理”“安全管理员”角色相同的新角色组,然后将“搜索和清除”角色添加到自定义角色组。

  • 以下部分可用:
    • 交付详细信息 部分:

      • 原始威胁
      • 最新威胁
      • 原始位置
      • 最新交付位置
      • 传递操作
      • 检测技术
      • 主重写:源
    • Email详细信息部分:

      • 发件人显示名称
      • 发件人地址
      • 发件人来自地址的电子邮件
      • 代表发送
      • 返回路径
      • 发件人 IP
      • Location
      • 收件人 ()
      • 接收时间
      • 方向性
      • 网络消息 ID
      • Internet 消息 ID
      • 市场活动 ID
      • DMARC
      • DKIM
      • SPF
      • 复合身份验证
    • URL 部分:有关消息中任何 URL 的详细信息:

      • URL
      • 威胁 状态

      如果邮件包含三个以上的 URL,请选择“ 查看所有 URL ”,查看所有 URL。

    • 附件 部分:邮件中任何文件附件的详细信息:

      • 附件名称
      • 威胁
      • 检测技术/恶意软件系列

      如果邮件包含三个以上的附件,请选择“ 查看所有附件 ”,查看所有附件。

在“所有电子邮件”视图中详细信息区域的“Email”选项卡中选择主题后,详细信息选项卡的屏幕截图。

“所有电子邮件”视图中详细信息区域Email视图中的收件人详细信息

通过单击“ 收件人 ”值选择条目时,将打开详细信息浮出控件,其中包含以下信息:

提示

若要在不离开详细信息浮出控件的情况下查看其他收件人的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。

  • 摘要 部分:

    • 角色:收件人是否分配了任何管理员角色。
    • 策略
  • Email部分:显示发送给收件人的邮件的以下相关信息的表:

    • Date
    • 主题
    • 收件人

    选择“ 查看所有电子邮件 ”,在按收件人筛选的新选项卡中打开“威胁资源管理器”。

  • “最近警报 ”部分:一个表,其中显示了有关最近相关警报的以下相关信息:

    • 严重性
    • 警报策略
    • 类别
    • 活动

    如果最近警报超过三个,请选择“ 查看所有最近的警报 ”,查看所有警报。

    • 最近的活动 部分:显示收件人的 审核日志搜索 的汇总结果:

      • Date
      • IP 地址
      • 活动
      • 项目

      如果收件人具有三个以上的审核日志条目,请选择“ 查看所有最近的活动 ”,查看所有这些条目。

    提示

    Email &协作权限“安全管理员”角色组的成员无法展开“最近活动”部分。 你需要是分配有审核日志、信息保护分析师或信息保护调查员角色Exchange Online权限的角色组的成员。 默认情况下,这些角色分配给记录管理合规性管理信息保护信息保护分析师信息保护调查员和组织管理角色组。 可以将 安全管理员 的成员添加到这些角色组,也可以 创建一个新角色组 ,其中分配了 “审核日志” 角色。

在“所有电子邮件”视图中详细信息区域的“Email”选项卡中选择收件人后的详细信息浮出控件的屏幕截图。

威胁资源管理器中“所有电子邮件”视图详细信息区域的 URL 单击视图

URL 单击视图显示可以使用透视表组织的图表。 图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。

以下小节介绍了图表透视表。

威胁资源管理器中“所有电子邮件”视图的详细信息区域的屏幕截图,其中选择了“URL 单击”选项卡,并显示了未选择透视的可用透视。

提示

在威胁资源管理器中, URL 单击 视图中的每个透视都有一个 “查看所有单击” 操作,用于在新选项卡中打开 URL 单击视图

威胁资源管理器中“所有电子邮件”视图详细信息区域 URL 单击视图的 URL 域透视

尽管未选择此图表透视, 但 URL 域URL 单击 视图中的默认图表透视。

URL 域透视显示指定日期/时间范围和属性筛选器的电子邮件 URL 中的不同域。

威胁资源管理器中“所有电子邮件”视图的详细信息区域的屏幕截图,其中选择了“URL 单击”选项卡和 URL 域透视。

将鼠标悬停在图表中的数据点上会显示每个 URL 域的计数。

单击“URL 单击”视图的“判决透视”,获取威胁资源管理器中“所有电子邮件”视图的详细信息区域

Click 判决透视显示电子邮件中针对指定日期/时间范围和属性筛选器单击的 URL 的不同判决。

威胁资源管理器中“所有电子邮件”视图的详细信息区域的屏幕截图,其中选择了“URL 单击”选项卡和“单击判决”透视。

将鼠标悬停在图表中的数据点上会显示每次单击判决的计数。

威胁资源管理器中“所有电子邮件”视图详细信息区域 URL 透视表的 URL 单击视图

URL 透视显示指定日期/时间范围和属性筛选器在电子邮件中单击的不同 URL。

威胁资源管理器中“所有电子邮件”视图的详细信息区域的屏幕截图,其中选择了“URL 单击”选项卡和 URL 透视表。

将鼠标悬停在图表中的数据点上会显示每个 URL 的计数。

威胁资源管理器中“所有电子邮件”视图详细信息区域 URL 单击视图的 URL 域和路径透视

URL 域和路径透视显示指定日期/时间范围和属性筛选器在电子邮件中单击的不同域和 URL 的文件路径。

威胁资源管理器中“所有电子邮件”视图的详细信息区域的屏幕截图,其中显示了“URL 单击”选项卡,并选择了 URL 域和路径透视。

将鼠标悬停在图表中的数据点上会显示每个 URL 域和文件路径的计数。

威胁资源管理器中“所有电子邮件”视图详细信息区域顶部 URL 视图

顶部 URL” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序:

  • URL
  • 消息被阻止
  • 邮件被垃圾邮件
  • 传递的消息
“所有电子邮件”视图的顶级 URL 详细信息

通过单击第一列旁边的检查框以外的任何位置选择条目时,将打开详细信息浮出控件,其中包含以下信息:

提示

若要在不离开详细信息浮出控件的情况下查看有关其他 URL 的详细信息,请使用浮出控件顶部的“上一项”和“下一项”。

  • 浮出控件顶部提供以下操作:
    • 打开 URL 页

    • 提交以供分析

      • 报表清理
      • 报告钓鱼
      • 报告恶意软件
    • 管理指示器

      • 添加指示器
      • 在租户阻止列表中管理

      选择这些选项中的任何一个会转到 Defender 门户中 的“提交” 页。

    • 更多

      • 在资源管理器中查看
      • Go 搜寻
  • 原始 URL
  • “检测 ”部分:
    • 威胁情报判决
    • x 活动警报 y 事件:一个水平条形图,显示与此链接相关的 “高”、“ ”、“ ”和 “信息” 警报数。
    • URL 页中查看所有事件 & 警报的链接。
  • 域详细信息 部分:
    • 域名“查看域”页的链接。
    • 注册
    • 注册日期
    • 更新日期
    • 到期时间
  • 注册联系人信息 部分:
    • 处长
    • 国家/地区
    • 通讯地址
    • "电子邮件"
    • 电话
    • 详细信息:在 Whois 处打开链接。
  • URL 流行 (最近 30 天) 部分:包含设备数、Email点击数。 选择每个值以查看完整列表。
  • 设备:显示受影响的设备:
    • 日期 (第一个/上次)

    • Devices

      如果涉及两个以上的设备,请选择“ 查看所有设备 ”,查看所有设备。

在威胁资源管理器的“所有电子邮件”视图中的“热门 URL”选项卡中选择条目后的详细信息浮出控件的屏幕截图。

威胁资源管理器中“所有电子邮件”视图详细信息区域的点击次数靠前视图

顶部单击次数” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序:

  • URL
  • 阻止
  • Allowed
  • 被重写的块
  • 待决判决
  • 未决判决已绕过
  • 错误页
  • 失败

提示

已选择所有可用列。 如果选择“自定义列,则无法取消选择任何列。

若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 在 Web 浏览器中缩小字体功能。

通过单击第一列旁边的检查框以外的任何位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 “所有电子邮件”视图的“热门 URL 详细信息”中所述相同。

威胁资源管理器中“所有电子邮件”视图详细信息区域的主要目标用户视图

排名靠前的目标用户 ”视图将数据整理到受威胁最多的前五名收件人的表中。 该表包含以下信息:

提示

使用 “导出” 可导出最多 3000 个用户的列表以及相应的尝试。

威胁资源管理器中“所有电子邮件”视图的详细信息区域Email源视图

Email源视图在世界地图上显示消息源。

威胁资源管理器中“所有电子邮件”视图详细信息区域中Email源视图中的世界地图的屏幕截图。

威胁资源管理器中“所有电子邮件”视图详细信息区域的活动视图

市场 活动 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。

表中的信息与 “市场活动”页上的详细信息表中所述相同

单击行中除“名称”旁边的“检查”框以外的任意位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 市场活动详细信息中所述的信息相同。

威胁资源管理器和实时检测中的恶意软件视图

威胁资源管理器和实时检测中的 “恶意软件 ”视图显示有关发现包含恶意软件的电子邮件的信息。 此视图是实时检测中的默认值。

若要打开 “恶意软件” 视图,请执行以下步骤之一:

威胁资源管理器中恶意软件视图的屏幕截图,其中显示了图表、图表的可用透视以及详细信息表的视图。

威胁资源管理器和实时检测中恶意软件视图中的可筛选属性

默认情况下,不会对数据应用任何属性筛选器。 本文后面的 威胁资源管理器中的筛选器和实时检测 部分介绍了创建筛选器 (查询) 的步骤。

下表描述了“恶意软件”视图中的“发件人地址”框中可用的可筛选属性:

属性 类型 威胁
资源管理器
实时
检测
基本
发件人地址 文本。 用逗号分隔多个值。
收件人 文本。 用逗号分隔多个值。
发件人域 文本。 用逗号分隔多个值。
收件人域 文本。 用逗号分隔多个值。
主题 文本。 用逗号分隔多个值。
发件人显示名称 文本。 用逗号分隔多个值。
发件人邮件发件人地址 文本。 用逗号分隔多个值。
来自域的发件人邮件 文本。 用逗号分隔多个值。
返回路径 文本。 用逗号分隔多个值。
返回路径域 文本。 用逗号分隔多个值。
恶意软件系列 文本。 用逗号分隔多个值。
标记 文本。 用逗号分隔多个值。

有关用户标记的详细信息,请参阅 用户标记
Exchange 传输规则 文本。 用逗号分隔多个值。
数据丢失防护规则 文本。 用逗号分隔多个值。
上下文 选择一个或多个值:
  • 评估
  • 优先帐户保护
Connector 文本。 用逗号分隔多个值。
传递操作 选择一个或多个值:
其他操作 选择一个或多个值:
方向性 选择一个或多个值:
  • 入境
  • irg 内部
  • 出站
检测技术 选择一个或多个值:
  • 高级筛选器:基于机器学习的信号。
  • 反恶意软件保护
  • 大量邮件
  • 市场活动
  • 域信誉
  • 文件引爆安全附件在 爆炸分析过程中检测到恶意附件。
  • 文件引爆信誉:以前在其他 Microsoft 365 组织中由 安全附件 引爆检测到的文件附件。
  • 文件信誉:该消息包含以前在其他 Microsoft 365 组织中标识为恶意的文件。
  • 指纹匹配:该消息与以前检测到的恶意消息非常相似。
  • 常规筛选器
  • 模拟品牌:发送者模拟知名品牌。
  • 模拟域:模拟你拥有或指定用于在防钓鱼策略中保护的发件人域
  • 模拟用户
  • IP 信誉
  • 邮箱智能模拟:反 网络钓鱼策略中来自邮箱智能的模拟检测。
  • 混合分析检测:多个筛选器促成了消息判决。
  • 欺骗 DMARC:消息 DMARC 身份验证失败。
  • 欺骗外部域:发件人电子邮件地址欺骗使用组织外部的域。
  • 组织内部欺骗:使用组织内部域的发件人电子邮件地址欺骗。
  • URL 引爆安全链接 在爆炸分析期间检测到邮件中的恶意 URL。
  • URL 引爆信誉:以前在其他 Microsoft 365 组织中的 安全链接 引爆检测到的 URL。
  • URL 恶意信誉:邮件包含以前在其他 Microsoft 365 组织中标识为恶意的 URL。
原始交付位置 选择一个或多个值:
  • “已删除邮件”文件夹
  • 下降
  • 失败
  • 收件箱/文件夹
  • 垃圾邮件文件夹
  • 本地/外部
  • 隔离
  • Unknown
最新交付位置 原始交付位置相同的值
主要替代 选择一个或多个值:
  • 组织策略允许
  • 用户策略允许
  • 被组织策略阻止
  • 被用户策略阻止
主重写源 消息可以有多个允许或阻止替代,如 替代源中标识。 最终允许或阻止消息的替代在 主要重写源中标识。
选择一个或多个值:
  • 第三方筛选器
  • 管理员 ZAP) 启动 (时间行程
  • 反恶意软件策略阻止(按文件类型)
  • 反垃圾邮件策略设置
  • 连接策略
  • Exchange 传输规则
  • 独占模式 (用户替代)
  • 由于本地组织而跳过筛选
  • 从策略筛选 IP 区域
  • 策略中的语言筛选器
  • 钓鱼模拟
  • 隔离发布
  • SecOps 邮箱
  • 发件人地址列表 (管理员 替代)
  • 发件人地址列表 (用户替代)
  • 发件人域列表 (管理员 重写)
  • 发件人域列表 (用户替代)
  • 租户允许/阻止列表文件块
  • 租户允许/阻止列表发件人电子邮件地址阻止
  • 租户允许/阻止列表欺骗块
  • 租户允许/阻止列表 URL 块
  • 受信任的联系人列表 (用户替代)
  • 受信任的域 (用户重写)
  • 受信任的收件人 (用户替代)
  • 受信任的发件人仅 (用户替代)
重写源 主重写源相同的值
策略类型 选择一个或多个值:
  • 反恶意软件策略
  • 反钓鱼策略
  • Exchange 传输规则 (邮件流规则) 、 托管内容筛选器策略 (反垃圾邮件策略) 、 托管出站垃圾邮件筛选策略 (出站垃圾邮件策略) 、 安全附件策略
  • Unknown
策略操作 选择一个或多个值:
  • 添加 x-header
  • 密件抄送消息
  • 删除邮件
  • 修改主题
  • 移动到垃圾邮件Email文件夹
  • 未执行任何操作
  • 重定向消息
  • 发送到隔离区
Email大小 整数。 用逗号分隔多个值。
高级
Internet 邮件 ID 文本。 用逗号分隔多个值。

在邮件头的 “消息 ID 标头”字段中可用。 示例值 (<08f1e0f6806a47b4ac103961109ae6ef@server.domain> 记下尖括号) 。
网络消息 ID 文本。 用逗号分隔多个值。

在邮件头的 X-MS-Exchange-Organization-Network-Message-Id 标头字段中可用的 GUID 值。
发件人 IP 文本。 用逗号分隔多个值。
附件 SHA256 文本。 用逗号分隔多个值。
群集 ID 文本。 用逗号分隔多个值。
警报 ID 文本。 用逗号分隔多个值。
警报策略 ID 文本。 用逗号分隔多个值。
市场活动 ID 文本。 用逗号分隔多个值。
ZAP URL 信号 文本。 用逗号分隔多个值。
Urls
URL 计数 整数。 用逗号分隔多个值。
URL 域 文本。 用逗号分隔多个值。
URL 域和路径 文本。 用逗号分隔多个值。
URL 文本。 用逗号分隔多个值。
URL 路径 文本。 用逗号分隔多个值。
URL 源 选择一个或多个值:
  • 附件
  • 云附件
  • Email正文
  • Email标头
  • QR 码
  • 主题
  • Unknown
单击“判决” 选择一个或多个值:
  • 允许
  • 被重写的块
  • 已阻止
  • 错误
  • 失败
  • 待决判决
  • 未决判决已绕过
URL 威胁 选择一个或多个值:
  • 恶意软件
  • 网络钓鱼
  • 垃圾邮件
文件
附件计数 整数。 用逗号分隔多个值。
附件的文件名 文本。 用逗号分隔多个值。
文件类型 文本。 用逗号分隔多个值。
File Extension 文本。 用逗号分隔多个值。
文件大小 整数。 用逗号分隔多个值。
身份验证
SPF 选择一个或多个值:
  • 失败
  • 中性
  • 通过
  • 永久性错误
  • Soft fail
  • 临时错误
DKIM 选择一个或多个值:
  • 错误
  • 失败
  • 忽略
  • 通过
  • Test
  • Timeout
  • Unknown
DMARC 选择一个或多个值:
  • 最佳猜测传递
  • 失败
  • 通过
  • 永久性错误
  • 选择器传递
  • 临时错误
  • Unknown
复合 选择一个或多个值:
  • 失败
  • 通过
  • 软传递

威胁资源管理器和实时检测中恶意软件视图中图表的透视表

图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。

下表列出了“威胁资源管理器”和“实时检测 ”中的“恶意软件 ”视图中提供的图表透视:

Pivot 威胁
资源管理器
实时
检测
恶意软件系列
发件人域
发件人 IP
传递操作
检测技术

以下小节介绍了可用的图表透视表。

威胁资源管理器中恶意软件视图中的恶意软件系列图表透视

尽管此透视在默认情况下看起来未选中, 但恶意软件系列 是威胁资源管理器中 恶意软件 视图中的默认图表透视表。

恶意软件系列透视表按在邮件中检测到的指定日期/时间范围和属性筛选器的恶意软件系列来组织图表。

使用恶意软件系列透视透视的“威胁资源管理器”中“恶意软件”视图中的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个恶意软件系列的计数。

威胁资源管理器中恶意软件视图中的发件人域图表透视

发件人域透视按发件人域组织图表,这些邮件已发现包含指定日期/时间范围和属性筛选器的恶意软件。

威胁资源管理器中“恶意软件”视图中的图表的屏幕截图,该图表使用发件人域透视。

将鼠标悬停在图表中的数据点上会显示每个发送方域的计数。

威胁资源管理器中恶意软件视图中的发件人 IP 图表透视

发件人 IP 透视表按找到的邮件的源 IP 地址组织图表,这些邮件包含指定日期/时间范围和属性筛选器的恶意软件。

威胁资源管理器中恶意软件视图中使用发件人 IP 透视表的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个源 IP 地址的计数。

威胁资源管理器和实时检测中恶意软件视图中的传递操作图表透视

尽管此透视在默认情况下看起来未选中,但 “传递”操作 是“实时检测”中 恶意软件 视图中的默认图表透视。

传递操作透视表按发现包含指定日期/时间范围和属性筛选器的恶意软件的邮件所发生的情况来组织图表。

威胁资源管理器中“恶意软件”视图中的图表的屏幕截图,该图表使用“传递”操作透视。

将鼠标悬停在图表中的数据点上会显示每个传递操作的计数。

威胁资源管理器和实时检测中恶意软件视图中的检测技术图表透视

检测技术透视按在指定日期/时间范围和属性筛选器的邮件中标识恶意软件的功能来组织图表。

使用检测技术透视透视的“威胁资源管理器”中“恶意软件”视图中图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每种检测技术的计数。

威胁资源管理器和实时检测中恶意软件视图详细信息区域的视图

下表列出了 恶意软件 视图详细信息区域中) 的可用视图 (选项卡,并在以下小节中介绍。

View 威胁
资源管理器
实时
检测
"电子邮件"
热门恶意软件系列
排名靠前的目标用户
Email源
市场活动

威胁资源管理器和实时检测中恶意软件视图详细信息区域的Email视图

Email是威胁资源管理器和实时检测中恶意软件视图的详细信息区域的默认视图。

Email视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。

下表显示了威胁资源管理器和实时检测中可用的列。 默认值标有星号 () *

Column 威胁
资源管理器
实时
检测
日期*
主题*
收件人*
收件人域
标签*
发件人地址*
发件人显示名称
发件人域*
发件人 IP
发件人邮件发件人地址
来自域的发件人邮件
其他操作*
传递操作
最新交付位置*
原始交付位置*
系统替代源
系统替代
警报 ID
Internet 消息 ID
网络消息 ID
邮件语言
Exchange 传输规则
Connector
Context
数据丢失防护规则
威胁类型*
检测技术
附件计数
URL 计数
Email大小

提示

若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 从视图中删除列。
  • 在 Web 浏览器中缩小字体功能。

自定义列设置按用户保存。 在关闭 Web 浏览器之前,将保存 Incognito 或 InPrivate 浏览模式下的自定义列设置。

通过选择第一列旁边的检查框从列表中选择一个或多个条目时,“消息”操作可用。 有关信息,请参阅威胁搜寻:Email修正

单击条目中的 “主题” 或“ 收件人” 值时,将打开详细信息浮出控件。 以下小节介绍了这些浮出控件。

“恶意软件”视图中详细信息区域Email视图中的主题详细信息

单击“ 主题 ”值选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与“所有电子邮件”视图中详细信息区域Email主题详细信息中所述相同。

提示

Go 搜寻操作仅在威胁资源管理器中可用。 它在实时检测中不可用。

“恶意软件”视图中详细信息区域Email视图中的收件人详细信息

通过单击“ 收件人 ”值选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与“所有电子邮件”视图中详细信息区域Email的收件人详细信息中所述相同。

威胁资源管理器中恶意软件视图详细信息区域的热门恶意软件系列视图

详细信息区域的“ 热门恶意软件系列 ”视图将数据组织到排名靠前的恶意软件系列表中。 下表显示了:

  • “热门恶意软件系列 ”列:恶意软件系列名称。

    如果选择恶意软件系列名称,则会打开一个详细信息浮出控件,其中包含以下信息:

    • Email部分:显示包含恶意软件文件的邮件的以下相关信息的表:

      • Date
      • 主题
      • 收件人

      选择“ 查看所有电子邮件 ”,在按恶意软件系列名称筛选的新选项卡中打开“威胁资源管理器”。

    • 技术详细信息 部分

    从威胁资源管理器的“恶意软件”视图中详细信息区域的“热门恶意软件系列”选项卡中选择恶意软件系列后的详细信息浮出控件的屏幕截图。

  • 尝试次数:如果选择尝试次数,则威胁资源管理器将在按恶意软件系列名称筛选的新选项卡中打开。

威胁资源管理器中“恶意软件”视图详细信息区域的热门目标用户视图

排名靠前的目标用户 ”视图将数据整理到受恶意软件攻击的前五名收件人的表中。 下表显示了:

提示

使用 “导出” 可导出最多 3000 个用户的列表以及相应的尝试。

威胁资源管理器中恶意软件视图详细信息区域Email源视图

Email源视图在世界地图上显示消息源。

威胁资源管理器中恶意软件视图详细信息区域的活动视图

市场 活动 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。

详细信息表与 “市场活动”页上的详细信息表相同。

单击行中除“名称”旁边的“检查”框以外的任意位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 市场活动详细信息中所述的信息相同。

威胁资源管理器和实时检测中的网络钓鱼视图

威胁资源管理器和实时检测中的 “网络钓鱼 ”视图显示有关标识为钓鱼的电子邮件的信息。

若要打开 “钓鱼” 视图,请执行以下步骤之一:

威胁资源管理器中“网络钓鱼”视图的屏幕截图,其中显示了图表、图表的可用透视表和详细信息表的视图。

威胁资源管理器和实时检测中“网络钓鱼”视图中的可筛选属性

默认情况下,不会对数据应用任何属性筛选器。 本文后面的 威胁资源管理器中的筛选器和实时检测 部分介绍了创建筛选器 (查询) 的步骤。

下表描述了“恶意软件”视图中的“发件人地址”框中可用的可筛选属性:

属性 类型 威胁
资源管理器
实时
检测
基本
发件人地址 文本。 用逗号分隔多个值。
收件人 文本。 用逗号分隔多个值。
发件人域 文本。 用逗号分隔多个值。
收件人域 文本。 用逗号分隔多个值。
主题 文本。 用逗号分隔多个值。
发件人显示名称 文本。 用逗号分隔多个值。
发件人邮件发件人地址 文本。 用逗号分隔多个值。
来自域的发件人邮件 文本。 用逗号分隔多个值。
返回路径 文本。 用逗号分隔多个值。
返回路径域 文本。 用逗号分隔多个值。
标记 文本。 用逗号分隔多个值。

有关用户标记的详细信息,请参阅 用户标记
模拟域 文本。 用逗号分隔多个值。
模拟用户 文本。 用逗号分隔多个值。
Exchange 传输规则 文本。 用逗号分隔多个值。
数据丢失防护规则 文本。 用逗号分隔多个值。
上下文 选择一个或多个值:
  • 评估
  • 优先帐户保护
Connector 文本。 用逗号分隔多个值。
传递操作 选择一个或多个值:
其他操作 选择一个或多个值:
  • 自动修正
  • 动态交付
  • 手动修正
  • 隔离发布
  • 重新处理
  • ZAP
方向性 选择一个或多个值:
  • 入境
  • irg 内部
  • 出站
检测技术 选择一个或多个值:
  • 高级筛选器
  • 反恶意软件保护
  • 大量邮件
  • 市场活动
  • 域信誉
  • 文件设置
  • 文件创建的信誉
  • 文件信誉
  • 指纹匹配
  • 常规筛选器
  • 模拟品牌
  • 模拟域
  • 模拟用户
  • IP 信誉
  • 邮箱智能模拟
  • 混合分析检测
  • 欺骗 DMARC
  • 欺骗外部域
  • 欺骗内部组织
  • URL 设置
  • URL 组织的信誉
  • URL 恶意声誉
原始交付位置 选择一个或多个值:
  • “已删除邮件”文件夹
  • 下降
  • 失败
  • 收件箱/文件夹
  • 垃圾邮件文件夹
  • 本地/外部
  • 隔离
  • Unknown
最新交付位置 原始交付位置相同的值
网络钓鱼置信度 选择一个或多个值:
  • High
  • Normal
主要替代 选择一个或多个值:
  • 组织策略允许
  • 用户策略允许
  • 被组织策略阻止
  • 被用户策略阻止
主重写源 消息可以有多个允许或阻止替代,如 替代源中标识。 最终允许或阻止消息的替代在 主要重写源中标识。
选择一个或多个值:
  • 第三方筛选器
  • 管理员 ZAP) 启动 (时间行程
  • 反恶意软件策略阻止(按文件类型)
  • 反垃圾邮件策略设置
  • 连接策略
  • Exchange 传输规则
  • 独占模式 (用户替代)
  • 由于本地组织而跳过筛选
  • 从策略筛选 IP 区域
  • 策略中的语言筛选器
  • 钓鱼模拟
  • 隔离发布
  • SecOps 邮箱
  • 发件人地址列表 (管理员 替代)
  • 发件人地址列表 (用户替代)
  • 发件人域列表 (管理员 重写)
  • 发件人域列表 (用户替代)
  • 租户允许/阻止列表文件块
  • 租户允许/阻止列表发件人电子邮件地址阻止
  • 租户允许/阻止列表欺骗块
  • 租户允许/阻止列表 URL 块
  • 受信任的联系人列表 (用户替代)
  • 受信任的域 (用户重写)
  • 受信任的收件人 (用户替代)
  • 受信任的发件人仅 (用户替代)
重写源 主重写源相同的值
策略类型 选择一个或多个值:
  • 反恶意软件策略
  • 反钓鱼策略
  • Exchange 传输规则 (邮件流规则) 、 托管内容筛选器策略 (反垃圾邮件策略) 、 托管出站垃圾邮件筛选策略 (出站垃圾邮件策略) 、 安全附件策略
  • Unknown
策略操作 选择一个或多个值:
  • 添加 x-header
  • 密件抄送消息
  • 删除邮件
  • 修改主题
  • 移动到垃圾邮件Email文件夹
  • 未执行任何操作
  • 重定向消息
  • 发送到隔离区
Email大小 整数。 用逗号分隔多个值。
高级
Internet 邮件 ID 文本。 用逗号分隔多个值。

在邮件头的 “消息 ID 标头”字段中可用。 示例值 (<08f1e0f6806a47b4ac103961109ae6ef@server.domain> 记下尖括号) 。
网络消息 ID 文本。 用逗号分隔多个值。

在邮件头的 X-MS-Exchange-Organization-Network-Message-Id 标头字段中可用的 GUID 值。
发件人 IP 文本。 用逗号分隔多个值。
附件 SHA256 文本。 用逗号分隔多个值。
群集 ID 文本。 用逗号分隔多个值。
警报 ID 文本。 用逗号分隔多个值。
警报策略 ID 文本。 用逗号分隔多个值。
市场活动 ID 文本。 用逗号分隔多个值。
ZAP URL 信号 文本。 用逗号分隔多个值。
Urls
URL 计数 整数。 用逗号分隔多个值。
URL 域 文本。 用逗号分隔多个值。
URL 域和路径 文本。 用逗号分隔多个值。
URL 文本。 用逗号分隔多个值。
URL 路径 文本。 用逗号分隔多个值。
URL 源 选择一个或多个值:
  • 附件
  • 云附件
  • Email正文
  • Email标头
  • QR 码
  • 主题
  • Unknown
单击“判决” 选择一个或多个值:
  • 允许
  • 被重写的块
  • 已阻止
  • 错误
  • 失败
  • 待决判决
  • 未决判决已绕过
URL 威胁 选择一个或多个值:
  • 恶意软件
  • 网络钓鱼
  • 垃圾邮件
文件
附件计数 整数。 用逗号分隔多个值。
附件的文件名 文本。 用逗号分隔多个值。
文件类型 文本。 用逗号分隔多个值。
File Extension 文本。 用逗号分隔多个值。
文件大小 整数。 用逗号分隔多个值。
身份验证
SPF 选择一个或多个值:
  • 失败
  • 中性
  • 通过
  • 永久性错误
  • Soft fail
  • 临时错误
DKIM 选择一个或多个值:
  • 错误
  • 失败
  • 忽略
  • 通过
  • Test
  • Timeout
  • Unknown
DMARC 选择一个或多个值:
  • 最佳猜测传递
  • 失败
  • 通过
  • 永久性错误
  • 选择器传递
  • 临时错误
  • Unknown
复合 选择一个或多个值:
  • 失败
  • 通过
  • 软传递

威胁资源管理器和实时检测中“网络钓鱼”视图中图表的透视表

图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。

下表列出了“威胁资源管理器”和“实时检测 ”中的“网络钓鱼 ”视图中提供的图表透视:

Pivot 威胁
资源管理器
实时
检测
发件人域
发件人 IP
传递操作
检测技术
完整 URL
URL 域
URL 域和路径

以下小节介绍了可用的图表透视表。

威胁资源管理器和实时检测中“网络钓鱼”视图中的发件人域图表透视

尽管此透视在默认情况下看起来未选中,但 “发件人”域 是实时检测中 “网络钓鱼” 视图中的默认图表透视。

发件人域透视按指定日期/时间范围和属性筛选器的邮件中的域组织图表。

威胁资源管理器中“网络钓鱼”视图中使用发件人域透视的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个发送方域的计数。

威胁资源管理器中“网络钓鱼”视图中的发件人 IP 图表透视

发件人 IP 透视表按指定日期/时间范围和属性筛选器的消息的源 IP 地址组织图表。

使用发件人 IP 透视透视的“威胁资源管理器”中“网络钓鱼”视图中的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个源 IP 地址的计数。

威胁资源管理器和实时检测中“网络钓鱼”视图中的传递操作图表透视

尽管默认情况下此透视表看起来未选中, 但“传递操作 ”是威胁资源管理器中 “网络钓鱼 ”视图中的默认图表透视。

传递操作透视按针对指定日期/时间范围和属性筛选器的邮件执行的操作来组织图表。

威胁资源管理器中“网络钓鱼”视图中使用“传递”操作透视的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个传递操作的计数。

威胁资源管理器和实时检测中“网络钓鱼”视图中的检测技术图表透视

检测技术透视按识别指定日期/时间范围和属性筛选器的网络钓鱼邮件的功能来组织图表。

使用检测技术透视的“威胁资源管理器”中“网络钓鱼”视图中图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每种检测技术的计数。

威胁资源管理器中“网络钓鱼”视图中的完整 URL 图表透视表

完整 URL 透视表按网络钓鱼邮件中指定日期/时间范围和属性筛选器的完整 URL 来组织图表。

威胁资源管理器中“网络钓鱼”视图中使用“完整 URL”透视的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个完整 URL 的计数。

威胁资源管理器和实时检测中“网络钓鱼”视图中的 URL 域图表透视

URL 域透视按网络钓鱼邮件中 URL 中指定日期/时间范围和属性筛选器的域来组织图表。

使用 URL 域透视在威胁资源管理器的“网络钓鱼”视图中的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个 URL 域的计数。

威胁资源管理器中“网络钓鱼”视图中的 URL 域和路径图透视

URL 域和路径透视按网络钓鱼邮件中指定日期/时间范围和属性筛选器的域和路径来组织图表。

使用 URL 域和路径透视在威胁资源管理器的“网络钓鱼”视图中的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个 URL 域和路径的计数。

威胁资源管理器中“网络钓鱼”视图详细信息区域的视图

下表列出了 “钓鱼” 视图详细信息区域中 (选项卡) 的可用视图,并在以下小节中介绍。

View 威胁
资源管理器
实时
检测
"电子邮件"
URL 单击次数
热门 URL
点击次数
排名靠前的目标用户
Email源
市场活动

威胁资源管理器和实时检测中“网络钓鱼”视图详细信息区域的Email视图

Email是威胁资源管理器和实时检测中“钓鱼”视图的详细信息区域的默认视图。

Email视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。

下表显示了威胁资源管理器和实时检测中可用的列。 默认值标有星号 () *

Column 威胁
资源管理器
实时
检测
日期*
主题*
收件人*
收件人域
标签*
发件人地址*
发件人显示名称
发件人域*
发件人 IP
发件人邮件发件人地址
来自域的发件人邮件
其他操作*
传递操作
最新交付位置*
原始交付位置*
系统替代源
系统替代
警报 ID
Internet 消息 ID
网络消息 ID
邮件语言
Exchange 传输规则
Connector
网络钓鱼置信度
Context
数据丢失防护规则
威胁类型*
检测技术
附件计数
URL 计数
Email大小

提示

若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 从视图中删除列。
  • 在 Web 浏览器中缩小字体功能。

自定义列设置按用户保存。 在关闭 Web 浏览器之前,将保存 Incognito 或 InPrivate 浏览模式下的自定义列设置。

通过选择第一列旁边的检查框从列表中选择一个或多个条目时,“消息”操作可用。 有关信息,请参阅威胁搜寻:Email修正

单击条目中的 “主题” 或“ 收件人” 值时,将打开详细信息浮出控件。 以下小节介绍了这些浮出控件。

“钓鱼”视图中详细信息区域Email视图中的主题详细信息

单击“ 主题 ”值选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与“所有电子邮件”视图中详细信息区域Email主题详细信息中所述相同。

提示

Go 搜寻操作仅在威胁资源管理器中可用。 它在实时检测中不可用。

“钓鱼”视图中详细信息区域Email视图中的收件人详细信息

通过单击“ 收件人 ”值选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与“所有电子邮件”视图中详细信息区域Email的收件人详细信息中所述相同。

威胁资源管理器和实时检测中“网络钓鱼”视图详细信息区域的 URL 单击视图

URL 单击视图显示可以使用透视表组织的图表。 图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。

下表描述了“威胁资源管理器”和“实时检测”中的 “恶意软件 ”视图中提供的图表透视:

Pivot 威胁
资源管理器
实时
检测
URL 域
单击“判决”
URL
URL 域和路径

威胁资源管理器中的 “所有电子邮件 ”视图提供了相同的图表透视数据透视并已进行说明:

威胁资源管理器中“网络钓鱼”视图的详细信息区域的屏幕截图,其中选择了“URL 单击”选项卡,并显示了未选择任何透视的可用透视。

提示

在“威胁资源管理器”中, URL 单击 视图中的每个透视都有一个 “查看所有单击” 操作,用于在新选项卡中打开 “威胁资源管理器”中的“URL 单击”视图 。此操作在实时检测中不可用,因为 URL 单击 视图在实时检测中不可用。

威胁资源管理器和实时检测中“网络钓鱼”视图详细信息区域的顶部 URL 视图

顶部 URL” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序:

  • URL
  • 消息被阻止
  • 邮件被垃圾邮件
  • 传递的消息
“网络钓鱼”视图的顶级 URL 详细信息

通过单击第一列旁边的检查框以外的任何位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 “所有电子邮件”视图的“热门 URL 详细信息”中所述相同。

提示

Go 搜寻操作仅在威胁资源管理器中可用。 它在实时检测中不可用。

威胁资源管理器和实时检测中“网络钓鱼”视图详细信息区域的热门单击视图

顶部单击次数” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序:

  • URL
  • 阻止
  • Allowed
  • 被重写的块
  • 待决判决
  • 未决判决已绕过
  • 错误页
  • 失败

提示

已选择所有可用列。 如果选择“自定义列,则无法取消选择任何列。

若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 在 Web 浏览器中缩小字体功能。

通过单击第一列旁边的检查框以外的任何位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 “所有电子邮件”视图的“热门 URL 详细信息”中所述相同。

威胁资源管理器中“网络钓鱼”视图详细信息区域的热门目标用户视图

排名靠前的目标用户 ”视图将数据整理到成为网络钓鱼尝试目标的前五名收件人的表中。 下表显示了:

提示

使用 “导出” 可导出最多 3000 个用户的列表以及相应的尝试。

威胁资源管理器中“钓鱼”视图详细信息区域Email源视图

Email源视图在世界地图上显示消息源。

威胁资源管理器中“网络钓鱼”视图详细信息区域的“市场活动”视图

市场 活动 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。

表中的信息与 “市场活动”页上的详细信息表中所述相同

单击行中除“名称”旁边的“检查”框以外的任意位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 市场活动详细信息中所述的信息相同。

威胁资源管理器中的市场活动视图

威胁资源管理器中的 “市场活动 ”视图显示有关标识为协调网络钓鱼和恶意软件攻击的威胁的信息,这些威胁特定于你的组织或 Microsoft 365 中的其他组织。

若要在 Defender 门户中https://security.microsoft.com“资源管理器”页上打开“市场活动”视图,请转到“Email &协作>资源管理器>市场活动”选项卡。或者,使用 https://security.microsoft.com/threatexplorerv3直接转到资源管理器页面,然后选择“市场活动”选项卡。

所有可用信息和操作都与 的https://security.microsoft.com/campaignsv3“市场活动”页上的信息和操作相同。 有关详细信息,请参阅Microsoft Defender门户中的“市场活动”页

威胁资源管理器中“市场活动”视图的屏幕截图,其中显示了图表、图表的可用透视表和详细信息表的视图。

威胁资源管理器和实时检测中的内容恶意软件视图

威胁资源管理器和实时检测中的 “内容恶意软件 ”视图显示有关通过以下方式标识为恶意软件的文件的信息:

若要打开 “内容恶意软件 ”视图,请执行以下步骤之一:

威胁资源管理器中“Cotent 恶意软件”视图的屏幕截图,其中显示了图表、图表的可用透视表以及详细信息表的视图。

威胁资源管理器和实时检测中内容恶意软件视图中的可筛选属性

默认情况下,不会对数据应用任何属性筛选器。 本文后面的 威胁资源管理器中的筛选器和实时检测 部分介绍了创建筛选器 (查询) 的步骤。

下表介绍了威胁资源管理器中“内容恶意软件”视图中的“文件名”框中提供的可筛选属性和实时检测:

属性 类型 威胁
资源管理器
实时
检测
文件
文件名 文本。 用逗号分隔多个值。
Workload 选择一个或多个值:
  • OneDrive
  • SharePoint
  • Teams
Site 文本。 用逗号分隔多个值。
文件所有者 文本。 用逗号分隔多个值。
最后一次修改者 文本。 用逗号分隔多个值。
SHA256 整数。 用逗号分隔多个值。

若要在 Windows 中查找文件的 SHA256 哈希值,请在命令提示符中运行以下命令: certutil.exe -hashfile "<Path>\<Filename>" SHA256
恶意软件系列 文本。 用逗号分隔多个值。
检测技术 选择一个或多个值:
  • 高级筛选器
  • 反恶意软件保护
  • 大量邮件
  • 市场活动
  • 域信誉
  • 文件设置
  • 文件创建的信誉
  • 文件信誉
  • 指纹匹配
  • 常规筛选器
  • 模拟品牌
  • 模拟域
  • 模拟用户
  • IP 信誉
  • 邮箱智能模拟
  • 混合分析检测
  • 欺骗 DMARC
  • 欺骗外部域
  • 欺骗内部组织
  • URL 设置
  • URL 组织的信誉
  • URL 恶意声誉
威胁类型 选择一个或多个值:
  • 阻止
  • 恶意软件
  • 网络钓鱼
  • 垃圾邮件

威胁资源管理器和实时检测中“内容恶意软件”视图中图表的透视表

图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。

下表列出了威胁资源管理器中 内容恶意软件 视图中可用的图表透视表和实时检测:

Pivot 威胁
资源管理器
实时
检测
恶意软件系列
检测技术
Workload

以下小节介绍了可用的图表透视表。

威胁资源管理器和实时检测中“内容恶意软件”视图中的恶意软件系列图表透视

尽管此透视在默认情况下看起来未选中, 但恶意软件系列 是威胁资源管理器和实时检测中 内容恶意软件 视图中的默认图表透视。

恶意软件系列透视使用指定的日期/时间范围和属性筛选器,按 SharePoint、OneDrive 和 Microsoft Teams 中的文件中标识的恶意软件来组织图表。

威胁资源管理器中“内容恶意软件”视图中使用“恶意软件系列”透视表的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个恶意软件系列的计数。

威胁资源管理器和实时检测中“内容恶意软件”视图中的检测技术图表透视

检测技术透视按在 SharePoint、OneDrive 和 Microsoft Teams 中标识指定日期/时间范围和属性筛选器文件中的恶意软件的功能来组织图表。

使用检测技术透视的“威胁资源管理器”中“内容恶意软件”视图中图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每种检测技术的计数。

威胁资源管理器和实时检测中内容恶意软件视图中的工作负载图表透视

工作负载透视表根据指定日期/时间范围和属性筛选器 (SharePoint、OneDrive 或 Microsoft Teams) 标识恶意软件的位置来组织图表。

使用工作负载透视透视的“威胁资源管理器”中“恶意软件”视图中图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个工作负荷的计数。

威胁资源管理器和实时检测中内容恶意软件视图详细信息区域视图的视图

在“威胁资源管理器”和“实时检测”中,“内容恶意软件”视图的详细信息区域仅包含一个视图, (选项卡) 名为“文档”。 此视图在以下小节中介绍。

威胁资源管理器和实时检测中内容恶意软件视图详细信息区域的文档视图

文档内容恶意软件 视图中详细信息区域的默认视图,并且仅显示该视图。

文档” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。 默认值标有星号(*):

  • 日期*
  • 名字*
  • 工作量*
  • 威胁*
  • 检测技术*
  • 上次修改用户*
  • 文件所有者*
  • ) (字节的大小 *
  • 上次修改时间
  • 站点路径
  • 文件路径
  • 文档 ID
  • SHA256
  • 检测到的日期
  • 恶意软件系列
  • Context

提示

若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 从视图中删除列。
  • 在 Web 浏览器中缩小字体功能。

自定义列设置按用户保存。 在关闭 Web 浏览器之前,将保存 Incognito 或 InPrivate 浏览模式下的自定义列设置。

从“ 名称” 列中选择文件名值时,将打开详细信息浮出控件。 浮出控件包含以下信息:

  • 摘要 部分:

    • Filename
    • 站点路径
    • 文件路径
    • 文档 ID
    • SHA256
    • 上次修改日期
    • 最后一次修改者
    • 威胁
    • 检测技术
  • 详细信息 部分:

    • 检测到的日期
    • 检测者
    • 恶意软件名称
    • 最后一次修改者
    • 文件大小
    • 文件所有者
  • Email列表部分:显示包含恶意软件文件的邮件的以下相关信息的表:

    • Date
    • 主题
    • 收件人

    选择“ 查看所有电子邮件 ”,在按恶意软件系列名称筛选的新选项卡中打开“威胁资源管理器”。

  • 最近的活动:显示收件人的 审核日志搜索 的汇总结果:

    • Date
    • IP 地址
    • 活动
    • 项目

    如果收件人具有三个以上的审核日志条目,请选择“ 查看所有最近的活动 ”,查看所有这些条目。

    提示

    Email &协作权限“安全管理员”角色组的成员无法展开“最近活动”部分。 你需要是分配有审核日志、信息保护分析师或信息保护调查员角色Exchange Online权限的角色组的成员。 默认情况下,这些角色分配给记录管理合规性管理信息保护信息保护分析师信息保护调查员和组织管理角色组。 可以将 安全管理员 的成员添加到这些角色组,也可以 创建一个新角色组 ,其中分配了 “审核日志” 角色。

“文档”视图中的详细信息浮出控件的屏幕截图,其中显示了威胁资源管理器和实时检测中“内容恶意软件”视图的详细信息区域。

威胁资源管理器中的 URL 单击视图

威胁资源管理器中的 URL 单击 视图显示所有用户单击电子邮件、SharePoint 和 OneDrive 中支持的 Office 文件以及 Microsoft Teams 中的 URL。

若要在 Defender 门户中https://security.microsoft.com“资源管理器”页上打开 URL 单击视图,请转到Email &协作>资源管理器>URL 单击选项卡。或者,使用 https://security.microsoft.com/threatexplorerv3直接转到“资源管理器”页,然后选择“URL 单击”选项卡。

威胁资源管理器中 URL 单击视图的屏幕截图,其中显示了图表、图表的可用透视表以及详细信息表的视图。

威胁资源管理器中 URL 单击视图中的可筛选属性

默认情况下,不会对数据应用任何属性筛选器。 本文后面的 威胁资源管理器中的筛选器和实时检测 部分介绍了创建筛选器 (查询) 的步骤。

下表描述了威胁资源管理器中 URL 单击视图中的“收件人”框中提供的可筛选属性:

属性 类型
基本
收件人 文本。 用逗号分隔多个值。
标记 文本。 用逗号分隔多个值。

有关用户标记的详细信息,请参阅 用户标记
网络消息 ID 文本。 用逗号分隔多个值。

在邮件头的 X-MS-Exchange-Organization-Network-Message-Id 标头字段中可用的 GUID 值。
URL 文本。 用逗号分隔多个值。
单击操作 选择一个或多个值:
  • 允许
  • 阻止页
  • 阻止页面替代
  • 错误页
  • 失败
  • “待爆”页
  • 待定引爆页替代
威胁类型 选择一个或多个值:
  • 允许
  • 阻止
  • 恶意软件
  • 网络钓鱼
  • 垃圾邮件
检测技术 选择一个或多个值:
  • URL 设置
  • URL 组织的信誉
  • URL 恶意声誉
单击“ID” 文本。 用逗号分隔多个值。
客户端 IP 文本。 用逗号分隔多个值。

威胁资源管理器中 URL 单击视图中图表的透视表

图表具有默认视图,但可以从 “选择直方图透视” 中选择一个值,以更改已筛选或未筛选图表数据的组织和显示方式。

以下小节介绍了可用的图表透视表。

威胁资源管理器中 URL 单击视图中的 URL 域图表透视

尽管此透视在默认情况下看起来未选中, 但 URL 域URL 单击 视图中的默认图表透视。

URL 域透视按用户在电子邮件、Office 文件或 Microsoft Teams 中针对指定日期/时间范围和属性筛选器单击的 URL 中的域来组织图表。

使用 URL 域透视在威胁资源管理器中单击 URL 视图中的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个 URL 域的计数。

威胁资源管理器中 URL 单击视图中的工作负载图表透视

工作负载透视表按指定的日期/时间范围和属性筛选器 (电子邮件、Office 文件或 Microsoft Teams) 单击的 URL 的位置来组织图表。

使用工作负载透视透视的“威胁资源管理器”中 URL 单击视图的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每个工作负荷的计数。

威胁资源管理器中 URL 单击视图中的检测技术图表透视

检测技术透视按功能组织图表,该功能标识电子邮件、Office 文件或 Microsoft Teams 中指定日期/时间范围和属性筛选器的 URL 单击次数。

使用检测技术透视的“威胁资源管理器”中 URL 单击视图中图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每种检测技术的计数。

威胁资源管理器中 URL 单击视图中的威胁类型图表透视

威胁类型透视表按电子邮件、Office 文件或 Microsoft Teams 中指定日期/时间范围和属性筛选器中单击的 URL 的结果来组织图表。

使用威胁类型透视透视的“威胁资源管理器”中 URL 单击视图的图表的屏幕截图。

将鼠标悬停在图表中的数据点上会显示每种威胁类型技术的计数。

威胁资源管理器中 URL 单击视图详细信息区域视图的视图

以下小节介绍了 URL 单击 视图详细信息区域中) 的可用视图 (选项卡。

威胁资源管理器中 URL 单击视图的详细信息区域的结果视图

结果URL 单击 视图中详细信息区域的默认视图。

结果” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有列:

  • 单击时间
  • 收件人
  • URL 单击操作
  • URL
  • Tags
  • 网络消息 ID
  • 单击“ID”
  • 客户端 IP
  • URL 链
  • 威胁类型
  • 检测技术

提示

若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 从视图中删除列。
  • 在 Web 浏览器中缩小字体功能。

自定义列设置按用户保存。 在关闭 Web 浏览器之前,将保存 Incognito 或 InPrivate 浏览模式下的自定义列设置。

选择一个或多个条目,方法是选择行中第一列旁边的检查框,然后选择“查看所有电子邮件,在按所选邮件的网络邮件 ID 值筛选的新选项卡中打开“所有电子邮件”视图中的威胁资源管理器。

威胁资源管理器中 URL 单击视图的详细信息区域顶部单击视图

顶部单击次数” 视图显示详细信息表。 可以通过单击可用的列标题对条目进行排序:

  • URL
  • 阻止
  • Allowed
  • 被重写的块
  • 待决判决
  • 未决判决已绕过
  • 错误页
  • 失败

提示

已选择所有可用列。 如果选择“自定义列,则无法取消选择任何列。

若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

  • 在 Web 浏览器中水平滚动。
  • 缩小相应列的宽度。
  • 在 Web 浏览器中缩小字体功能。

通过选择行中第一列旁边的检查框来选择条目,然后选择“查看所有单击”以在 URL 单击视图中的新选项卡中打开“威胁资源管理器”。

通过单击第一列旁边的检查框以外的任何位置选择条目时,将打开详细信息浮出控件。 浮出控件中的信息与 “所有电子邮件”视图的“热门 URL 详细信息”中所述相同。

威胁资源管理器中 URL 单击视图的详细信息区域的热门目标用户视图

排名靠前的目标用户 ”视图将数据整理到单击 URL 的前五位收件人的表中。 下表显示了:

提示

使用 “导出” 可导出最多 3000 个用户的列表以及相应的尝试。

威胁资源管理器和实时检测中的属性筛选器

属性筛选器/查询的基本语法为:

Condition = <Filter 属性><Filter 运算符><属性值或值>

多个条件使用以下语法:

<Condition1><AND |OR><Condition2><AND |OR><Condition3>... <AND |OR><ConditionN>

提示

文本或整数值不支持通配符搜索 (*) 。 Subject 属性使用部分文本匹配,并生成类似于通配符搜索的结果。

在威胁资源管理器和实时检测的所有视图中,创建属性筛选器/查询条件的步骤相同:

  1. 使用本文前面预览视图说明部分中的表标识筛选器属性。

  2. 选择可用的筛选器运算符。 可用的筛选器运算符取决于属性类型,如下表所述:

    筛选器运算符 属性类型
    等于 的任意 Text
    整数
    离散值
    等于无 Text
    离散值
    大于 整数
    少于 整数
  3. 输入或选择一个或多个属性值。 对于文本值和整数,可以输入用逗号分隔的多个值。

    属性值中的多个值使用 OR 逻辑运算符。 例如,“发件人地址>等于任意”>bob@fabrikam.com,cindy@fabrikam.com表示发件人地址>等于 OR cindy@fabrikam.com的任何>bob@fabrikam.com地址。

    输入或选择一个或多个属性值后,筛选器创建框下方会显示已完成的筛选条件。

    提示

    对于需要选择一个或多个可用值的属性,在筛选条件中使用 属性时,选择的所有值与在筛选条件中使用 属性的结果相同。

  4. 若要添加另一个条件,请重复前面的三个步骤。

    筛选器创建框下面的条件由在创建第二个或后续条件时选择的逻辑运算符分隔。 默认值为 “AND”,但也可以选择“ OR”。

    所有条件之间使用相同的逻辑运算符:它们全部为 AND 或全部 为 OR。 若要更改现有逻辑运算符,请选择逻辑运算符框,然后选择 ANDOR

    若要编辑现有条件,请双击该条件,将所选属性、筛选器运算符和值重新放入相应的框中。

    若要删除现有条件,请选择 条件。

  5. 若要将筛选器应用于图表和详细信息表,请选择“刷新

    威胁资源管理器或实时检测中示例查询的屏幕截图,其中显示了多个条件。

威胁资源管理器中保存的查询

提示

保存查询威胁跟踪器的 一部分,在实时检测中不可用。 保存的查询和威胁跟踪器仅在Defender for Office 365计划 2 中可用。

保存查询内容恶意软件视图中不可用。

威胁资源管理器中的大多数视图都允许保存筛选器 (查询) 以供以后使用。 已保存的查询位于 Defender 门户https://security.microsoft.com/threattrackerv2“威胁跟踪器”页上。。 有关威胁跟踪器的详细信息,请参阅Microsoft Defender for Office 365计划 2 中的威胁跟踪器

若要在威胁资源管理器中保存查询,请执行以下步骤:

  1. 按照前面所述创建筛选器/查询后,选择“ 保存查询>”“保存查询”。

  2. 在打开的 “保存查询” 浮出控件中,配置以下选项:

    • 查询名称:输入查询的唯一名称。
    • 选择下列选项之一:
      • 确切日期:在框中选择开始日期和结束日期。 可以选择的最早开始日期是今天之前的 30 天。 可以选择的最新结束日期是今天。
      • 相对日期:在 “运行搜索时显示过去 nn 天”中选择天数。 默认值为 7,但可以选择 1 到 30。
    • 跟踪查询:默认情况下,此选项未选中。 此选项会影响查询是否自动运行:
      • 未选择“跟踪查询”:可在威胁资源管理器中手动运行查询。 查询保存在“威胁跟踪器”页上的“已保存查询”选项卡上,其“跟踪的查询”属性值为“否”。
      • 已选择跟踪查询 :查询定期在后台运行。 “威胁跟踪器”页上的“已保存查询”选项卡上提供了查询,其中“跟踪的查询”属性值为“是”。 查询的周期性结果显示在“威胁跟踪器”页上的“跟踪查询”选项卡上。

    完成 “保存查询” 浮出控件后,选择“ 保存”,然后在确认对话框中选择“ 确定 ”。

Defender 门户中“威胁资源管理器”中“保存查询”浮出控件的屏幕截图。

在 Defender 门户https://security.microsoft.com/threattrackerv2的“威胁跟踪器”页上的“已保存查询”或“跟踪的查询”选项卡上,可以在“操作”列中选择“浏览”以打开并使用威胁资源管理器中的查询。

通过从“威胁跟踪器”页中选择“浏览”打开查询时,“资源管理器”页上的“保存查询”中现提供“另存为”和保存查询”设置

  • 如果选择“ 将查询另存为”,则会打开 “保存查询 ”浮出控件,其中包含以前选择的所有设置。 如果进行更改,请选择“保存”,然后在“成功”对话框中选择“确定”,更新的查询将保存为“威胁跟踪器”页上的新查询, (可能需要选择“刷新才能) 查看它。

  • 如果选择“ 保存的查询设置”,则会打开 “保存的查询设置 ”浮出控件,你可以在其中更新现有查询的日期和 跟踪查询 设置。

“在威胁资源管理器中保存查询”的屏幕截图,其中提供了“将查询另存为”和“保存的查询设置”。

更多信息