AIR 中用戶回報網路釣魚結果的自動使用者通知
在具有 適用於 Office 365 的 Microsoft Defender 方案 2 的 Microsoft 365 組織中,當使用者將訊息回報為網路釣魚時,系統會自動在自動化調查和回應中建立調查, (AIR) 。 系統管理員可以設定使用者回報的訊息設定,以根據 AIR 的決策,將電子郵件通知傳送給報告訊息的使用者。 此通知也稱為 自動意見反應回應。 如需詳細資訊,請參閱 使用者報告設定。
本文說明如何針對特定 AIR 決策啟用和自定義自動意見反應回應、如何傳送通知電子郵件訊息,以及通知的外觀。
開始之前有哪些須知?
您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [使用者報告設定] 頁面,請使用 https://security.microsoft.com/securitysettings/userSubmission。
您必須獲得指派許可權,才能執行本文中的程式。 您有下列選項:
- Email & Microsoft Defender 入口網站中的共同作業許可權:組織管理或安全性系統管理員角色群組中的成員資格。
- Microsoft Entra 權限:全域管理員或安全性系統管理員角色的成員資格會為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。
使用 Microsoft Defender 入口網站設定自動意見反應回應
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [設定>Email & 共同作業>[用戶報告設定] 索引卷標。若要直接移至 [使用者報告設定] 頁面,請使用 https://security.microsoft.com/securitysettings/userSubmission。
在 [ 用戶報告設定] 頁面上,確認已選取 [監視 Outlook 中報告的訊息 ]。
在 [Email 通知>結果電子郵件] 區段中,選取 [自動將調查結果傳送電子郵件給使用者],然後選取下列出現的一或多個選項:
- 網路釣魚或惡意代碼:當 AIR 將威脅識別為網路釣魚、高信賴度網路釣魚或惡意代碼時,會將電子郵件通知傳送給回報為網路釣魚的使用者。
- 垃圾郵件:當 AIR 將威脅識別為垃圾郵件時,會將電子郵件通知傳送給將郵件回報為網路釣魚的使用者。
- 找不到任何威脅:當 AIR 識別出沒有威脅時,會將電子郵件通知傳送給將郵件回報為網路釣魚的使用者。
通知電子郵件會使用與系統管理員在 提交頁面https://security.microsoft.com/reportsubmission上選取 [標記為] 並通知時相同的範本。
您可以選取[ 自訂結果 電子郵件] 連結來自定義通知電子郵件。
在開啟的 [自定義系統管理員檢閱電子郵件通知 ] 飛出視窗中,在 網络 釣魚 (上設定下列設定,其對應至 [ 網络釣魚或惡意代碼 自動回饋回應] 選項) [ 垃圾郵件 ] 和 [ 找不到威脅] 索引卷標:
- Email 本文結果文字:輸入要使用的自定義文字。 您可以使用不同的文字來進行 網路釣魚、 垃圾郵件 和 找不到任何威脅。
- Email 頁尾文字:輸入要使用的自定義訊息頁尾文字。 相同的文字用於 網路釣魚、 垃圾郵件 和 找不到任何威脅。
當您在 [ 自定義系統管理員檢閱電子郵件通知 ] 飛出視窗中完成時,請選取 [ 確認 ] 以返回 [ 使用者報告設定 ] 頁面。
自動化意見反應回應的運作方式
啟用自動意見反應回應之後,回報郵件為網路釣魚的用戶會根據 AIR 決策收到電子郵件通知,而選取的 [自動傳送電子郵件給使用者] 調查結果 選項:
提示
下列螢幕快照顯示傳送給使用者的通知電子郵件訊息範例。 如先前所述,您可以使用自定義使用者報告設定中 的結果電子郵件 中的選項來自定義通知電子郵件。
找不到任何威脅:如果使用者將訊息回報為網路釣魚,提交會在報告的訊息上觸發AIR。 如果調查未發現任何威脅,則回報訊息的使用者會收到如下所示的通知電子郵件:
垃圾郵件:如果使用者將郵件回報為網路釣魚,提交會在報告的郵件上觸發AIR。 如果調查發現郵件是垃圾郵件,則報告郵件的使用者會收到如下所示的通知電子郵件:
網路釣魚或惡意代碼:如果使用者將訊息回報為網路釣魚,提交會在報告的訊息上觸發AIR。 接下來會發生什麼事取決於調查的結果:
高信賴度網路釣魚或惡意代碼:必須使用下列其中一個動作來補救訊息:
- 核准建議的動作 (在調查或控制中心) 中顯示為擱置動作。
- 透過其他方法進行補救 (例如威脅總 管) 。
修復訊息之後,調查會關閉為 [ 已補救 ] 或 [ 部分補救]。 只有在調查狀態為其中一個值時,才會傳送電子郵件通知給報告郵件的使用者。
提示
針對高信賴度網路釣魚或惡意代碼,如果在信箱中找不到郵件, (郵件已刪除) ,調查可能會立即關閉為 [ 已補救 ]。 沒有待處理的調查可關閉,因此不會傳送電子郵件通知給報告郵件的使用者。
網路釣魚:調查不會建立任何擱置動作,但使用者仍會收到通知電子郵件,指出該郵件已發現網路釣魚。 通知電子郵件看起來像這樣:
當 AIR 到達決策,並將通知電子郵件傳送給將郵件回報為網路釣魚的使用者時,Defender 入口網站 [提交] 頁面上 [用戶報告] 索引卷標上的專案會顯示下列屬性值:
- 標示為:包含決策。
- 標示為:此值為 Automation。
無論訊息是自動傳送或手動傳送給 Microsoft 以供檢閱,或是 AIR 已調查訊息,結果都會顯示在 [標示為 ] 屬性中。 如需 [提交] 頁面上 [用戶回報] 索引標籤的詳細資訊,請參閱 管理員 用戶回報訊息的選項。
深入瞭解
若要深入瞭解適用於 Microsoft 365 的 Defender 中的提交和調查,請參閱下列文章: