使用“提交”页面向 Microsoft 提交可疑的垃圾邮件、网络钓鱼、URL、合法电子邮件被阻止和电子邮件附件
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。
在具有Exchange Online邮箱的 Microsoft 365 组织中,管理员可以使用Microsoft Defender门户中的“提交”页将邮件、URL 和附件提交到 Microsoft 进行分析。 管理员提交有两种基本类型:
管理员发起的提交:管理员标识和报告) 实体 (的邮件、附件或 URL,方法是从“提交”页面上的选项卡中选择“提交到 Microsoft 进行分析”,如管理员发起的提交部分中所述。
管理员报告实体后,“ 提交 ”页上的相应选项卡上会显示一个条目, (除 “用户报告 ”选项卡) 之外的任何位置。
管理员提交用户报告的消息:已打开并配置内置用户报告体验。 用户报告的消息显示在“提交”页上的“用户报告”选项卡上,管理员将从“用户报告”选项卡提交或重新提交邮件到 Microsoft。
管理员从“ 用户报告 ”选项卡提交邮件后,还会在 “提交 ”页上的相应选项卡上创建一个条目 (,例如,“ 电子邮件 ”选项卡) 。 用户报告的消息的管理员选项部分中介绍了这些类型的管理员提交。
当管理员向 Microsoft 提交消息进行分析时,我们会执行以下检查:
- Email身份验证检查仅 (电子邮件) :电子邮件身份验证在传递时是通过还是失败。
- 策略命中数:有关可能允许或阻止传入电子邮件进入组织的任何策略或替代的信息,从而覆盖我们的筛选判决。
- 有效负载信誉/引爆:对邮件中任何 URL 和附件进行最新检查。
- 评分器分析:人工评分员进行的评审,以确认邮件是否是恶意邮件。
重要
在 (Microsoft 365 GCC、GCC High 和 DoD) 的美国政府组织中,管理员可以将电子邮件提交到 Microsoft 进行分析,但仅针对电子邮件身份验证和策略命中情况分析邮件。 由于符合性原因,不执行有效负载信誉、引爆和分级器分析, (不允许数据离开组织边界) 。
观看此简短视频,了解如何使用Microsoft Defender for Office 365中的管理员提交将邮件提交到 Microsoft 进行评估。
有关 用户 如何向 Microsoft 提交邮件和文件的详细信息,请参阅 向 Microsoft 报告邮件和文件。
有关 管理员 可在 Defender 门户中向 Microsoft 报告邮件的其他方法,请参阅 管理员的相关报告设置。
开始前,有必要了解什么?
在 中打开Microsoft Defender门户https://security.microsoft.com/。 若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
需要先分配权限,然后才能执行本文中的过程。 可以选择下列选项:
- Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (仅影响 Defender 门户,而不会影响 PowerShell) :安全操作/安全数据/响应 (管理) 或安全操作/安全数据/只读。
- Email & Microsoft Defender门户中的协作权限:安全管理员或安全读取者角色组中的成员身份。
- Microsoft Entra权限:安全管理员或安全读取者角色的成员身份为用户提供 Microsoft 365 中其他功能所需的权限和权限。
如果电子邮件在邮箱中仍可用且用户或管理员尚未清除,则管理员可以提交 30 天以前的电子邮件。
管理员提交按以下速率限制:
- 任意 15 分钟期间的最大提交数:150 个提交
- 24 小时内的相同提交:三次提交
- 15 分钟内的相同提交:一个提交
如果组织中的 用户报告设置 将用户报告的邮件 (电子邮件发送, Microsoft Teams) Microsoft (,或者除了报告邮箱) 之外,我们还会执行与管理员从 “提交 ”页面向 Microsoft 提交邮件以供分析时相同的检查。 因此,仅对于从未提交给 Microsoft 的邮件或不同意原始判决时,向 Microsoft 提交或重新提交邮件的管理员才有用。
“文件”选项卡仅在具有Microsoft Defender XDR或计划 2 Microsoft Defender for Endpoint的组织中提供“提交”页。 有关从“文件”选项卡提交文件的信息和说明,请参阅在 Microsoft Defender for Endpoint 中提交文件。
管理员发起的提交
提示
选择“ 提交到 Microsoft 进行分析 ”的选项卡并不特别重要,前提是将 “选择提交类型” 设置为正确的值。
向 Microsoft 报告可疑电子邮件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交” 页上,验证“ 电子邮件 ”选项卡是否已选中。
在“ 电子邮件 ”选项卡上,选择“ 提交到 Microsoft 进行分析”。
在打开的 “提交到 Microsoft 进行分析 ”浮出控件的第一页上,输入以下信息:
选择提交类型:验证是否选择了Email值。
添加网络消息 ID 或上传电子邮件文件:选择以下选项之一:
- 添加电子邮件网络邮件 ID:GUID 值在邮件的 X-MS-Exchange-Organization-Network-Message-Id 标头或隔离邮件中的 X-MS-Office365-Filtering-Correlation-Id 标头中可用。
- 上传电子邮件文件 (.msg 或.eml) :选择 “浏览文件”。 在打开的对话框中,找到并选择.eml或.msg文件,然后选择“ 打开”。
至少选择一个有问题的收件人:指定要对其运行策略检查的收件人。 策略检查确定电子邮件是否由于用户或组织策略或替代而绕过了扫描。
为什么要将此消息提交到 Microsoft?:选择以下值之一:
- 它看起来可疑:如果你不确定并且希望 Microsoft 做出判决,请选择此值,选择“ 提交”,然后转到“步骤 6”。
或
在打开的 “提交到 Microsoft 进行分析 ”浮出控件的第二页上,执行以下步骤之一:
- 选择“提交”。
或
选择 “阻止来自此发件人或域的所有电子邮件:此选项为”租户允许/阻止列表“中的发件人域或电子邮件地址创建阻止条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
- 默认情况下, “发件人” 处于选中状态,但你可以改为选择 “域 ”。
- 删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 永不过期
- 特定日期:最大值为从今天开始的 30 天。
- 阻止条目注释 (可选) :输入有关阻止此项原因的可选信息。
在“ 提交到 Microsoft 以供分析 ”浮出控件的第二页上完成后,选择“ 提交”。
选择“完成”。
片刻后,“租户允许/阻止Lists”页上https://security.microsoft.com/tenantAllowBlockList?viewid=Sender的“域 & 地址”选项卡上提供了阻止条目。
向 Microsoft 报告可疑的电子邮件附件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在“提交”页上,选择“Email附件”选项卡。
在“Email附件”选项卡上,选择“提交到 Microsoft 进行分析”。
在打开的 “提交到 Microsoft 进行分析 ”浮出控件的第一页上,输入以下信息:
在打开的 “提交到 Microsoft 进行分析 ”浮出控件的第二页上,执行以下步骤之一:
- 选择“提交”。
或
选择“ 阻止此文件:此选项为租户允许/阻止列表中的文件创建阻止条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
- 删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 永不过期
- 特定日期:最大值为从今天开始的 30 天。
- 阻止条目注释 (可选) :输入有关阻止此项原因的可选信息。
完成“ 提交到 Microsoft 进行分析 ”浮出控件后,选择“ 提交”。
- 删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
选择“完成”。
片刻后,“租户允许/阻止Lists”页上https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash的“文件”选项卡上提供了阻止条目。
向 Microsoft 报告可疑 URL
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交 ”页上,选择“ URL” 选项卡。
在“ URL ”选项卡上,选择“ 提交到 Microsoft 进行分析”。
在打开 的“提交到 Microsoft 进行分析 ”浮出控件中,输入以下信息:
在打开的 “提交到 Microsoft 进行分析 ”浮出控件的第二页上,执行以下步骤之一:
- 选择“提交”。
或
选择“ 阻止此 URL:此选项为租户允许/阻止列表中的 URL 创建阻止条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
- 删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 永不过期
- 特定日期:最大值为从今天开始的 30 天。
- 阻止条目注释 (可选) :输入有关阻止此 itme 的原因的可选信息。
完成“ 提交到 Microsoft 进行分析 ”浮出控件后,选择“ 提交”。
- 删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
选择“完成”。
片刻后,“租户允许/阻止Lists”页上https://security.microsoft.com/tenantAllowBlockList?viewid=Url的“URL”选项卡上提供了阻止条目。
向 Microsoft 报告良好的电子邮件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交” 页上,验证“ 电子邮件 ”选项卡是否已选中。
在“ 电子邮件 ”选项卡上,选择“ 提交到 Microsoft 进行分析”。
在打开的 “提交到 Microsoft 进行分析 ”浮出控件的第一页中,输入以下信息:
选择提交类型:验证是否选择了Email值。
添加网络消息 ID 或上传电子邮件文件:选择以下选项之一:
- 添加电子邮件网络邮件 ID:GUID 值在邮件的 X-MS-Exchange-Organization-Network-Message-Id 标头或隔离邮件中的 X-MS-Office365-Filtering-Correlation-Id 标头中可用。
- 上传电子邮件文件 (.msg 或.eml) :选择 “浏览文件”。 在打开的对话框中,找到并选择.eml或.msg文件,然后选择“ 打开”。
至少选择一个有问题的收件人:指定要对其运行策略检查的收件人。 策略检查确定电子邮件是否因用户或组织策略或替代而被阻止。
为什么要将此消息提交到 Microsoft?:选择以下值之一:
- 它看起来干净:如果你不确定并且希望 Microsoft 做出判决,请选择此值,选择“ 提交”,然后转到“步骤 6”。
或
- 我已确认它已清理:如果确定该项目干净,请选择此值,然后选择“下一步”
在打开的 “提交到 Microsoft 进行分析 ”浮出控件的第二页上,执行以下步骤之一:
- 选择“提交”。
或
选择“ 允许此消息:此选项为租户允许/阻止列表中的消息元素创建允许条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
删除允许条目后:默认值为 30 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值为从今天开始的 30 天。
对于欺骗发件人,此值毫无意义,因为欺骗发件人的条目永远不会过期。
允许输入注释 (可选) :输入有关允许此项的原因的可选信息。 对于欺骗发件人,此处输入的任何值不会显示在“租户允许/阻止Lists”页上“欺骗发件人”选项卡上的“允许”条目中。
在“ 提交到 Microsoft 以供分析 ”浮出控件的第二页上完成后,选择“ 提交”。
选择“完成”。
片刻后,关联的允许条目会显示在“租户允许/阻止Lists”页上的“域 & 地址”、“欺骗发件人”、“URL”或“文件”选项卡上https://security.microsoft.com/tenantAllowBlockList。
重要
- 允许条目在邮件流期间根据确定邮件是恶意邮件的筛选器添加的。 例如,如果确定发件人电子邮件地址和邮件中的 URL 是错误的,则会为发件人创建允许条目, (电子邮件地址或域) 和 URL。
- 如果筛选系统未发现发件人电子邮件地址是恶意的,则向 Microsoft 提交电子邮件不会在租户允许/阻止列表中创建允许条目。
- 当再次遇到允许的域或电子邮件地址、欺骗发件人、URL 或文件 (实体) 时,将跳过与实体关联的所有筛选器。 对于电子邮件,在做出决策之前,筛选系统仍会评估所有其他实体。
- 在邮件流期间,如果来自允许的域或电子邮件地址的邮件通过筛选堆栈中的其他检查,则会传递邮件。 例如,如果邮件通过了 电子邮件身份验证检查,则会传递来自允许发件人电子邮件地址的邮件。
- 默认情况下,允许域和电子邮件地址的条目存在 30 天。 在这 30 天内,Microsoft 会从允许条目中学习并 删除它们或自动扩展它们。 Microsoft 从已删除的允许条目中得知后,将传递来自这些域或电子邮件地址的邮件,除非邮件中的其他内容被检测为恶意邮件。 默认情况下,允许欺骗发件人的条目永不过期。
- 对于被 域或用户模拟保护错误阻止的消息,不会在租户允许/阻止列表中创建域或发件人的允许条目。 相反,域或发件人会添加到检测到邮件的反钓鱼策略中的“受信任的发件人和域”部分。
- 当覆盖欺骗智能见解中的判决时,欺骗发件人将成为手动允许或阻止条目,仅出现在 的租户允许/阻止Lists页上的欺骗发件人上https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem。
向 Microsoft 报告良好的电子邮件附件
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在“提交”页上,选择“Email附件”选项卡。
在“Email附件”选项卡上,选择“提交到 Microsoft 进行分析”。
在打开的 “提交到 Microsoft 进行分析 ”浮出控件上,输入以下信息:
选择提交类型:验证是否已选择附件Email值。
文件:选择“ 浏览文件 ”以查找并选择要提交的文件。
为什么要向 Microsoft 提交邮件?:选择以下值之一:
- 它看起来干净:如果你不确定并且希望 Microsoft 做出判决,请选择此值,选择“ 提交”,然后转到“步骤 6”。
或
- 我已确认它已清理:如果确定该项目干净,请选择此值,然后选择“ 下一步”。
在打开的 “提交到 Microsoft 进行分析 ”浮出控件的第二页上,执行以下步骤之一:
- 选择“提交”。
或
选择“ 允许此文件:此选项为租户允许/阻止列表中的文件创建允许条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
- 删除允许条目后:默认值为 30 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值为从今天开始的 30 天。
- 阻止条目注释 (可选) :输入有关阻止此项原因的可选信息。
在“ 提交到 Microsoft 以供分析 ”浮出控件的第二页上完成后,选择“ 提交”。
- 删除允许条目后:默认值为 30 天,但可以从以下值中进行选择:
选择“完成”。
片刻后,“租户允许/阻止列表”页上的“文件”选项卡上提供了允许条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
重要
- 默认情况下,允许文件的条目存在 30 天。 在这 30 天内,Microsoft 会从允许条目中学习并 删除它们或自动扩展它们。 Microsoft 从已删除的允许条目中得知后,将传递包含这些文件的消息,除非消息中的其他内容被检测为恶意内容。
- 在邮件流期间再次遇到文件时, 安全附件 引爆或文件信誉检查和所有其他基于文件的筛选器将被重写。 如果筛选系统确定电子邮件中的所有其他实体都是干净的,则会传递邮件。
- 在选择过程中,将重写所有基于文件的筛选器,包括 安全附件 引爆或文件信誉检查,从而允许用户访问该文件。
向 Microsoft 报告正确的 URL
对于报告为误报的 URL,我们允许包含原始 URL 变体的后续消息。 例如,使用 “提交” 页报告错误阻止的 URL www.contoso.com/abc
。 如果组织以后收到包含 URL 的消息 (但不限于: www.contoso.com/abc
、 www.contoso.com/abc?id=1
、 www.contoso.com/abc/def/gty/uyt?id=5
或 www.contoso.com/abc/whatever
) ,则不会基于 URL 阻止该消息。 换句话说,无需向 Microsoft 报告相同 URL 的多个变体。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交 ”页上,选择“ URL” 选项卡
在“ URL ”选项卡上,选择“ 提交到 Microsoft 进行分析”。
在打开 的“提交到 Microsoft 进行分析 ”浮出控件中,输入以下信息:
选择提交类型:验证是否已选择值 URL 。
URL:输入完整的 URL (例如
https://www.fabrikam.com/marketing.html
,) ,然后在出现的框中选中它。 还可以提供顶级域 (例如,https://www.fabrikam.com/*
) ,然后在显示的框中选择它。 最多可以同时输入 50 个 URL。为什么要将此 URL 提交到 Microsoft?:选择以下值之一:
- 它看起来干净:如果你不确定并且希望 Microsoft 做出判决,请选择此值,选择“ 提交”,然后转到“步骤 6”。
或
在打开的 “提交到 Microsoft 进行分析 ”浮出控件的第二页上,执行以下步骤之一:
- 选择“提交”。
或
选择“ 允许此 URL:此选项为租户允许/阻止列表中的 URL 创建允许条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
- 删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值为从今天开始的 30 天。
- 允许输入注释 (可选) :输入有关允许此项的原因的可选信息。
在“ 提交到 Microsoft 以供分析 ”浮出控件的第二页上完成后,选择“ 提交”。
- 删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
选择“完成”。
片刻后,“租户允许/阻止Lists”页上https://security.microsoft.com/tenantAllowBlockList?viewid=Url的“URL”选项卡上提供了允许条目。
注意
- 默认情况下,允许 URL 的条目存在 30 天。 在这 30 天内,Microsoft 会从允许条目中学习并 删除它们或自动扩展它们。 Microsoft 从已删除的允许条目中得知后,将传递包含这些 URL 的消息,除非邮件中的其他内容被检测为恶意。
- 当在邮件流期间再次遇到 URL 时, 将重写安全链接 引爆或 URL 信誉检查以及所有其他基于 URL 的筛选器。 如果筛选系统确定电子邮件中的所有其他实体都是干净的,则会传递邮件。
- 在选择过程中,将覆盖所有基于 URL 的筛选器,包括 安全链接 引爆或 URL 信誉检查,允许用户访问 URL 中的内容。
向 Microsoft 报告 Teams 消息
无法从“提交”页上的“ Teams 邮件 ”选项卡提交 Teams 消息 。 将 Teams 邮件提交到 Microsoft 进行分析的唯一方法是从“用户 报告”选项卡 提交用户报告的 Teams 邮件,如本文后面的 将用户报告的消息提交到 Microsoft 进行分析 部分中所述。
“Teams 消息”选项卡上的条目是将用户报告的 Teams 消息提交到 Microsoft 的结果。 有关详细信息,请参阅本文后面的 查看转换后的管理员提交 部分。
查看向 Microsoft 提交的电子邮件管理员
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交” 页上,验证“ 电子邮件 ”选项卡是否已选中。
在“ 电子邮件 ”选项卡上,可以通过选择一个可用的快速筛选器来快速筛选视图:
- Pending
- 已完成
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- 提交名称*
- 发送*
- 收件人
- 提交者*
- 提交日期*
- 提交原因*
- 地位*
- 结果*
- 传递/阻止原因
- 提交 ID
- 网络消息 ID
- 方向
- 发件人 IP
- 批量兼容级别 (BCL)
- 目标
- 策略操作
- 网络钓鱼模拟
- 标记*:有关用户标记的详细信息,请参阅 用户标记。
- 操作
若要对条目进行分组,请选择“分组”,然后选择以下值之一:
- 原因
- 状态
- 结果
- Tags
若要取消组合条目,请选择“ 无”。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 提交日期: 开始日期 和 结束日期 值。
- 提交 ID:分配给每个提交的 GUID 值。
- 网络消息 ID
- Sender
- 收件人
- 提交名称
- 提交者
- 提交原因:以下任何值:
- 不是垃圾
- 显示干净
- 出现可疑
- 网络钓鱼
- 恶意软件
- 垃圾邮件。
- 状态: 挂起 和 已完成。
- 标记: 从 下拉列表中选择“全部”或“ 选择用户标记 ”。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用 “导出” 将条目列表导出到 CSV 文件。
查看向 Microsoft 提交的 Teams 管理员
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作”& 提交“中的”提交>“页。 若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交” 页上,选择“ Teams 消息 ”选项卡。
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- 提交名称*
- 发件人sup>*
- 提交日期*
- 提交原因*
- 提交者
- 地位*
- 结果*
- 收件人
- 提交 ID
- Teams 消息 ID
- 目标
- 网络钓鱼模拟
- 标记*:有关用户标记的详细信息,请参阅 用户标记。
若要对条目进行分组,请选择“分组”,然后选择以下值之一:
- 原因
- 状态
- 结果
- Tags
若要取消组合条目,请选择“ 无”。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 提交日期: 开始日期 和 结束日期。
- 提交 ID:分配给每个提交的 GUID 值。
- Teams 消息 ID
- Sender
- 收件人
- Teams 消息
- 提交者
- 提交原因:以下任何值:
- 不是垃圾
- 显示干净
- 出现可疑
- 网络钓鱼
- 恶意软件
- 状态: 挂起 和 已完成。
- 标记: 从 下拉列表中选择“全部”或“ 选择用户标记 ”。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用 “导出” 将条目列表导出到 CSV 文件。
查看电子邮件附件管理员提交到 Microsoft
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作”& 提交“中的”提交>“页。 若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在“提交”页上,选择“Email附件”选项卡。
在“Email附件”选项卡上,可以通过选择一个可用的快速筛选器来快速筛选视图:
- Pending
- 已完成
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- 附件文件名*
- 提交日期*
- 提交原因*
- 地位*
- 结果*
- 筛选判决
- 传递/阻止原因
- 提交 ID
- 对象 ID
- 策略操作
- 提交者
- 标记*:有关用户标记的详细信息,请参阅 用户标记。
- 操作
若要对条目进行分组,请选择“分组”,然后选择以下值之一:
- 原因
- 状态
- 结果
- Tags
若要取消组合条目,请选择“ 无”。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 提交日期: 开始日期 和 结束日期。
- 提交 ID:分配给每个提交的 GUID 值。
- 附件的文件名
- 提交者
- 提交原因:以下任何值:
- 不是垃圾
- 显示干净
- 出现可疑
- 网络钓鱼
- 恶意软件
- 状态: 挂起 和 已完成。
- 标记: 从 下拉列表中选择“全部”或“ 选择用户标记 ”。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用 “导出” 将条目列表导出到 CSV 文件。
查看向 Microsoft 提交的 URL 管理员
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作”& 提交“中的”提交>“页。 若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交 ”页上,选择“ URL” 选项卡。
在“ URL ”选项卡上,可以通过选择一个可用的快速筛选器来快速筛选视图:
- Pending
- 已完成
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- Url*
- 提交日期*
- 提交原因*
- 地位*
- 结果*
- 筛选判决
- 传递/阻止原因
- 提交 ID
- 对象 ID
- 策略操作
- 提交者
- 标记*:有关用户标记的详细信息,请参阅 用户标记。
- 操作
若要对条目进行分组,请选择“分组”,然后选择以下值之一:
- 原因
- 状态
- 结果
- Tags
若要取消组合条目,请选择“ 无”。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 提交日期: 开始日期 和 结束日期。
- 提交 ID:分配给每个提交的 GUID 值。
- URL
- 提交者
- 提交原因:以下任何值:
- 不是垃圾
- 显示干净
- 出现可疑
- 网络钓鱼
- 恶意软件
- 状态: 挂起 和 已完成。
- 标记: 从 下拉列表中选择“全部”或“ 选择用户标记 ”。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用 “导出” 将条目列表导出到 CSV 文件。
管理员提交结果详细信息
Email邮件、Teams 邮件、电子邮件附件以及管理员提交给 Microsoft 以供分析的 URL 在“提交”页上的相应选项卡上可用。
单击第一列旁的“检查”框以外的任意位置选择选项卡上的条目时,将打开的详细信息浮出控件中显示有关原始报告项、报告项的状态以及报告项的分析结果的完整信息:
- 发件人的电子邮件身份验证是否在发送时验证失败。
- 有关可能已影响或重写筛选系统的消息判决的任何策略或替代的信息。
- 当前引爆结果,用于查看消息中的 URL 或文件是否是恶意的。
- 评分员的反馈。
如果找到替代或策略配置,结果应在几分钟内可用。 如果电子邮件身份验证中没有问题,或者传递不受替代或策略的影响,则分级机的引爆和反馈可能需要长达一天的时间。
Defender for Office 365计划 2 中的管理员提交操作
在具有 Microsoft Defender for Office 365 计划 2 (加载项许可证或包含在订阅(如 Microsoft 365 E5) )的组织中,在通过单击“检查”框以外的任何位置从列表中选择条目后,可在详细信息浮出控件中打开管理员提交以下操作:
打开电子邮件实体:仅在“ 电子邮件 ”选项卡上的条目的详细信息浮出控件中可用。 有关详细信息,请参阅 如何读取电子邮件实体页。
执行操作:仅在“ 电子邮件 ”选项卡上条目的详细信息浮出控件中可用。 此操作将启动电子邮件实体页上提供的相同操作向导。 有关详细信息,请参阅可在Email实体页上执行的操作。
查看警报。 创建或更新管理员提交时,将触发警报。 选择此操作可转到警报的详细信息。
在 “结果详细信息 ”部分中,威胁 资源管理器 的以下链接可能也可用,具体取决于报告项的状态和结果:
- 仅在“资源管理器: 电子邮件 ”选项卡中查看此邮件。
- 在“资源管理器:仅 电子邮件 ”选项卡中搜索类似邮件。
- 搜索 URL 或文件:仅Email附件或 URL 选项卡。
用户报告的消息的管理员选项
如果以下陈述为 true,则管理员可以在“提交”页上的“用户报告”选项卡上查看报告的用户:
- 用户报告的设置已打开。
- Email消息:用户使用支持的方法来报告邮件:
- Teams 消息:已启用 Teams 消息的用户报告设置 。
注意:
- 用户报告仅发送到 Microsoft 或 Microsoft 且 报告邮箱 的邮件显示在“ 用户报告 ”选项卡上。尽管这些消息已报告给 Microsoft,但管理员可以重新提交报告的消息。
- 仅发送到报告邮箱的用户报告邮件显示在“ 用户报告 ”选项卡上,“ 结果 ”值 “未提交到 Microsoft”。 管理员应将这些消息报告给 Microsoft 进行分析。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“操作 & 提交>提交”。 或者,若要直接转到 “提交” 页,请使用 https://security.microsoft.com/reportsubmission。
在 “提交” 页上,选择“ 用户报告 ”选项卡。
以下小节描述了“提交”页上的“用户报告”选项卡上可用的信息和操作。
查看用户向 Microsoft 报告的消息
在“ 用户报告 ”选项卡上,可以通过选择一个可用的快速筛选器来快速筛选视图:
- 威胁
- 垃圾邮件
- 无威胁
- 模拟
可以通过单击可用的列标题对条目进行排序。 选择“自定义列”以更改显示的列。 默认值标有星号(*):
- 名称和类型*
- 报告者*
- 报告日期*
- 发送*
- 报告原因*
- 结果*:包含基于 用户报告设置的报告消息的以下信息:
- 将报告的消息发送到>Microsoft 和我的报告邮箱 或 仅限 Microsoft:派生自以下分析的值:
- 策略命中数:有关可能已允许或阻止传入消息的任何策略或替代的信息,包括对筛选判决的替代。 结果应在几分钟内可用。 否则,引爆和评分员的反馈可能需要长达一天的时间。
- 有效负载信誉/引爆:对消息中任何 URL 和文件进行最新检查。
- 评分器分析:由人类评分员进行评审,以确认邮件是否是恶意邮件。
- 将报告的消息发送到>仅我的举报邮箱:该值始终 未提交到 Microsoft,因为 Microsoft 未分析邮件。
- 将报告的消息发送到>Microsoft 和我的报告邮箱 或 仅限 Microsoft:派生自以下分析的值:
- 消息报告 ID
- 网络消息 ID
- Teams 消息 ID
- 发件人 IP
- 报告自
- 网络钓鱼模拟
- 已转换为管理员提交
- 标记为*
- 标记者*
- 标记为的日期
- 标记*:有关用户标记的详细信息,请参阅 用户标记。
若要对条目进行分组,请选择“分组”,然后选择以下值之一:
- Sender
- 报告者
- 结果
- 报告自
- 已转换为管理员提交
- Tags
若要取消组合条目,请选择“ 无”。
若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:
- 报告日期: 开始日期 和 结束日期。
- 报告者
- 名称
- 消息报告 ID
- 网络消息 ID
- Teams 消息 ID
- Sender
- 报告原因:值 “无威胁”、“ 网络钓鱼”和 “垃圾邮件”。
- 报告来源:值 Microsoft 和第 三方。
- 网络钓鱼模拟:值为 “是” 和 “否”。
- 转换为管理员提交:值 “是” 和 “否”。
- 消息类型:Email 和 Teams 的值。
- 标记: 从 下拉列表中选择“全部”或“ 选择用户标记 ”。
完成 “筛选器” 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。
使用 “导出” 将条目列表导出到 CSV 文件。
有关“ 用户报告 ”选项卡上的邮件可用的操作的详细信息,请参阅下一小节。
用户报告的消息的管理员操作
在“ 用户报告 ”选项卡上,用户报告的消息的操作在选项卡本身或所选条目的详细信息浮出控件中可用:
通过选择第一列旁边的“检查”框,从列表中选择邮件。 “ 用户报告 ”选项卡上提供了以下操作:
- 提交到 Microsoft 进行分析
- 标记为 并通知
- 仅) 触发调查 (Defender for Office 365 计划 2
单击行中除“检查”框以外的任意位置,从列表中选择邮件。 打开的详细信息浮出控件*中提供了以下操作:
- 提交到 Microsoft 进行分析
- 标记为 并通知
- 查看转换后的管理员提交
- 仅Microsoft Defender for Office 365计划 2 中的操作:
- 打开电子邮件实体
- 执行操作
- 查看警报
提示
若要查看详细信息或对其他用户报告的邮件执行操作而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。
*根据邮件的性质和状态,某些操作可能不可用,可以直接在浮出控件顶部使用,或者在浮出控件顶部的“更多操作”下提供。
以下小节介绍了这些操作。
注意
在用户报告可疑邮件后,无论报告邮件 (到报告邮箱、Microsoft 或两者) ,用户或管理员都无法撤消邮件的报告。 用户可以从其“已删除邮件”或“垃圾邮件”Email文件夹中恢复报告的邮件。
将用户报告的消息提交到 Microsoft 进行分析
在“ 用户报告 ”选项卡上选择邮件后,使用以下方法之一将邮件提交到 Microsoft:
在“用户报告”选项卡上,选择“ 提交到 Microsoft 进行分析*”。
在所选邮件的详细信息浮出控件中:选择“提交到 Microsoft 进行分析”或浮出控件顶部的“提交到 Microsoft 以供分析的更多”选项>。
在打开的 “提交到 Microsoft 进行分析 ”浮出控件中,根据邮件是电子邮件还是 Teams 邮件执行以下步骤:
Email消息:
- 为什么要将此消息提交到 Microsoft?:选择以下值之一:
它看起来干净 或 可疑:如果你不确定并且需要 Microsoft 的判决,请选择以下值之一。
选择“ 提交”,然后选择“ 完成”。
我已确认它已清理:如果确定该项目干净,请选择此值,然后选择“ 下一步”。
在浮出控件的下一页上,执行以下步骤之一:
- 选择“ 提交”,然后选择“ 完成”。
或
- 选择“ 允许此消息:此选项为租户允许/阻止列表中的消息元素创建允许条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
删除允许条目后:默认值为 30 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 特定日期:最大值为从今天开始的 30 天。
允许输入注释 (可选) :输入有关允许此项的原因的可选信息。 对于欺骗发件人,此处输入的任何值不会显示在“租户允许/阻止Lists”页上“欺骗发件人”选项卡上的“允许”条目中。
完成浮出控件后,选择“ 提交”,然后选择“ 完成”。
我已确认存在威胁:如果确定该项目是恶意的,请选择此值,然后在显示的“ 选择类别” 部分中选择以下值之一:
- 网络钓鱼
- 恶意软件
- 垃圾邮件
选择“下一步”。
在浮出控件的下一页上,执行以下步骤之一:
- 选择“ 提交”,然后选择“ 完成”。
或
- 选择 “阻止来自此发件人或域的所有电子邮件:此选项为”租户允许/阻止列表“中的发件人域或电子邮件地址创建阻止条目。 有关租户允许/阻止列表的详细信息,请参阅 管理租户允许/阻止列表中的允许和块。
选择此选项后,以下设置可用:
- 默认情况下, “发件人” 处于选中状态,但你可以改为选择 “域 ”。
- 删除块条目后:默认值为 30 天,但可以从以下值中进行选择:
- 1 天
- 7 天
- 30 天
- 永不过期
- 特定日期:最大值为从今天开始的 30 天。
- 阻止条目注释 (可选) :输入有关阻止此项原因的可选信息。
完成浮出控件后,选择“ 提交”,然后选择“ 完成”。
- 为什么要将此消息提交到 Microsoft?:选择以下值之一:
Teams 消息:选择以下值之一:
- 我已确认其干净
- 它看起来干净
- 它看起来可疑
选择其中一个值后,选择“ 提交”,然后选择“ 完成”。
我已确认存在威胁:如果确定该项目是恶意的,请选择此值,然后在显示的“ 选择类别” 部分中选择以下值之一:
网络钓鱼
恶意软件
选择“ 提交”,然后选择“ 完成”。
从“用户报告”选项卡向 Microsoft 提交用户 报告 邮件后, “转换为管理员提交 ”的值将从 “否 ”变为 “是”,并在“ 提交 ”页上的相应选项卡上创建相应的管理员提交条目 (例如“ 电子邮件 ”选项卡) 。
在 Defender for Office 365 计划 2 中触发调查
- 在“用户报告”选项卡上,在“提交到 Microsoft 进行分析*”的下拉列表中选择“触发调查”。
有关详细信息,请参阅 触发调查。
通知用户有关管理员向 Microsoft 提交的邮件
管理员 从“用户 报告”选项卡将用户报告的消息提交到 Microsoft 后,管理员可以使用 “标记为并通知 ”操作将邮件标记为判决,并向报告该消息的用户发送模板通知消息。
电子邮件的可用判决:
- 未发现威胁
- 钓鱼
- 垃圾邮件
Teams 消息的可用判决:
- 未发现威胁
- 钓鱼
有关详细信息,请参阅 从门户内通知用户。
查看转换后的管理员提交
管理员从“用户报告”选项卡向 Microsoft 提交用户报告 的消息后, “转换为管理员提交 ”的值为 “是”。
如果通过单击名称旁边的检查框以外的任何位置选择其中一条消息,详细信息浮出控件包含“更多操作>”查看转换后的管理员提交。
此操作会将你带到相应选项卡上的相应管理员提交条目 (例如“ 电子邮件 ”选项卡) 。
Defender for Office 365计划 2 中用户报告的消息的操作
在具有 Microsoft Defender for Office 365 计划 2 (加载项许可证或包含在订阅(如 Microsoft 365 E5) )的组织中,还可以在“用户报告”选项卡上的用户报告消息的详细信息浮出控件中使用以下操作:
仅) 打开电子邮件实体 (电子邮件:有关详细信息,请参阅 如何读取电子邮件实体页。
仅) (电子邮件执行操作:此操作将启动电子邮件实体页上提供的相同操作向导。 有关详细信息,请参阅可在Email实体页上执行的操作。
查看警报。 创建或更新管理员提交时,将触发警报。 选择此操作可转到警报的详细信息。
反馈
https://aka.ms/ContentUserFeedback。
即将推出:在整个 2024 年,我们将逐步取消以“GitHub 问题”作为内容的反馈机制,并将其替换为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈