AIR 中用戶回報網路釣魚結果的自動使用者通知

• 適用於:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

在具有 適用於 Office 365 的 Microsoft Defender 方案 2 的 Microsoft 365 組織中，當使用者將訊息回報為網路釣魚時，系統會自動在自動化調查和回應中建立調查， (AIR) 。 系統管理員可以設定使用者回報的訊息設定，以根據 AIR 的決策，將電子郵件通知傳送給報告訊息的使用者。 此通知也稱為 自動意見反應回應。 如需詳細資訊，請參閱 使用者報告設定。

本文說明如何針對特定 AIR 決策啟用和自定義自動意見反應回應、如何傳送通知電子郵件訊息，以及通知的外觀。

開始之前有哪些須知？

• 您會在 開啟 Microsoft Defender 入口網站https://security.microsoft.com。 若要直接移至 [使用者報告設定] 頁面，請使用 https://security.microsoft.com/securitysettings/userSubmission。

• 您必須獲得指派許可權，才能執行本文中的程式。 您有下列選項：

  • Email & Microsoft Defender 入口網站中的共同作業許可權：組織管理或安全性系統管理員角色群組中的成員資格。
  • Microsoft Entra 權限：全域管理員或安全性系統管理員角色的成員資格會為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權。

使用 Microsoft Defender 入口網站設定自動意見反應回應

1. 在 Microsoft Defender 入口網站中https://security.microsoft.com，移至 [設定>Email & 共同作業>[用戶報告設定] 索引卷標。若要直接移至 [使用者報告設定] 頁面，請使用 https://security.microsoft.com/securitysettings/userSubmission。

2. 在 [ 用戶報告設定] 頁面上，確認已選取 [監視 Outlook 中報告的訊息 ]。

3. 在 [Email 通知>結果電子郵件] 區段中，選取 [自動將調查結果傳送電子郵件給使用者]，然後選取下列出現的一或多個選項：

   • 網路釣魚或惡意代碼：當 AIR 將威脅識別為網路釣魚、高信賴度網路釣魚或惡意代碼時，會將電子郵件通知傳送給回報為網路釣魚的使用者。
   • 垃圾郵件：當 AIR 將威脅識別為垃圾郵件時，會將電子郵件通知傳送給將郵件回報為網路釣魚的使用者。
   • 找不到任何威脅：當 AIR 識別出沒有威脅時，會將電子郵件通知傳送給將郵件回報為網路釣魚的使用者。

   

4. 通知電子郵件會使用與系統管理員在 提交頁面https://security.microsoft.com/reportsubmission上選取 [標記為] 並通知時相同的範本。

   您可以選取[ 自訂結果 電子郵件] 連結來自定義通知電子郵件。

   在開啟的 [自定義系統管理員檢閱電子郵件通知 ] 飛出視窗中，在 網络 釣魚 (上設定下列設定，其對應至 [ 網络釣魚或惡意代碼 自動回饋回應] 選項) [ 垃圾郵件 ] 和 [ 找不到威脅] 索引卷標：

   • Email 本文結果文字：輸入要使用的自定義文字。 您可以使用不同的文字來進行 網路釣魚、 垃圾郵件 和 找不到任何威脅。
   • Email 頁尾文字：輸入要使用的自定義訊息頁尾文字。 相同的文字用於 網路釣魚、 垃圾郵件 和 找不到任何威脅。

   

   當您在 [ 自定義系統管理員檢閱電子郵件通知 ] 飛出視窗中完成時，請選取 [ 確認 ] 以返回 [ 使用者報告設定 ] 頁面。

自動化意見反應回應的運作方式

啟用自動意見反應回應之後，回報郵件為網路釣魚的用戶會根據 AIR 決策收到電子郵件通知，而選取的 [自動傳送電子郵件給使用者] 調查結果 選項：

提示

下列螢幕快照顯示傳送給使用者的通知電子郵件訊息範例。 如先前所述，您可以使用自定義使用者報告設定中 的結果電子郵件 中的選項來自定義通知電子郵件。

• 找不到任何威脅：如果使用者將訊息回報為網路釣魚，提交會在報告的訊息上觸發AIR。 如果調查未發現任何威脅，則回報訊息的使用者會收到如下所示的通知電子郵件：

  

• 垃圾郵件：如果使用者將郵件回報為網路釣魚，提交會在報告的郵件上觸發AIR。 如果調查發現郵件是垃圾郵件，則報告郵件的使用者會收到如下所示的通知電子郵件：

  

• 網路釣魚或惡意代碼：如果使用者將訊息回報為網路釣魚，提交會在報告的訊息上觸發AIR。 接下來會發生什麼事取決於調查的結果：

  • 高信賴度網路釣魚或惡意代碼：必須使用下列其中一個動作來補救訊息：

    • 核准建議的動作 (在調查或控制中心) 中顯示為擱置動作。
    • 透過其他方法進行補救 (例如威脅總 管) 。

    修復訊息之後，調查會關閉為 [ 已補救 ] 或 [ 部分補救]。 只有在調查狀態為其中一個值時，才會傳送電子郵件通知給報告郵件的使用者。

    提示

    針對高信賴度網路釣魚或惡意代碼，如果在信箱中找不到郵件， (郵件已刪除) ，調查可能會立即關閉為 [ 已補救 ]。 沒有待處理的調查可關閉，因此不會傳送電子郵件通知給報告郵件的使用者。

  • 網路釣魚：調查不會建立任何擱置動作，但使用者仍會收到通知電子郵件，指出該郵件已發現網路釣魚。 通知電子郵件看起來像這樣：

    

當 AIR 到達決策，並將通知電子郵件傳送給將郵件回報為網路釣魚的使用者時，Defender 入口網站 [提交] 頁面上 [用戶報告] 索引卷標上的專案會顯示下列屬性值：

• 標示為：包含決策。
• 標示為：此值為 Automation。

無論訊息是自動傳送或手動傳送給 Microsoft 以供檢閱，或是 AIR 已調查訊息，結果都會顯示在 [標示為 ] 屬性中。 如需 [提交] 頁面上 [用戶回報] 索引標籤的詳細資訊，請參閱 管理員 用戶回報訊息的選項。

深入瞭解

若要深入瞭解適用於 Microsoft 365 的 Defender 中的提交和調查，請參閱下列文章：

• 在適用於 Office 365 的 Microsoft Defender 中自動化調查和回應
• 在 Microsoft 365 中檢視自動化調查的結果
• 已報告訊息的系統管理員檢閱
• 自動化調查和回應在 適用於 Office 365 的 Microsoft Defender 中的運作方式