共用方式為

適用於 Office 365 的 Microsoft Defender 中的Email實體頁面

提示

您是否知道您可以免費試用適用於 Office 365 的 Microsoft Defender 方案 2 中的功能?Microsoft Defender 入口網站試用中樞使用 90 天適用於 Office 365 的 Defender 試用版。 瞭解誰可以在試用適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

Microsoft 365 組織的訂閱中包含適用於 Office 365 的 Microsoft Defender或作為附加元件購買,其組織具有Email實體頁面。 Microsoft Defender入口網站中的Email實體頁面包含有關電子郵件訊息和任何相關實體的詳細資訊。

本文說明 Email 實體頁面上的資訊和動作。

Email 實體頁面的許可權和授權

若要使用 Email 實體頁面,您必須獲指派權限。 許可權和授權與威脅總管 (總管) 和即時偵測相同。 如需詳細資訊,請參閱 威脅總管的許可權和授權 和 即時偵測

在哪裡可以找到 Email 實體頁面

沒有從 Defender 入口網站最上層的 Email 實體頁面的直接連結。 相反地,在許多適用於 Office 365 的 Defender功能中,[開啟電子郵件實體] 動作位於電子郵件詳細資料飛出視窗頂端。 此電子郵件詳細數據飛出視窗稱為 [Email 摘要] 面板,並包含 [Email] 實體頁面上資訊的摘要子集。 電子郵件摘要面板在適用於 Office 365 的 Defender 功能中相同。 如需詳細資訊,請參閱本文稍後的 The Email 摘要面板一節。

具有 開啟電子郵件實體動作的 Email 摘要面板可在下列位置使用:

  • 從 [ 進階搜捕 ] 頁面 https://security.microsoft.com/v2/advanced-hunting:在電子郵件相關查詢的 [結果] 索引標籤中,按兩下資料表中專案的 NetworkMessageId 值。

  • *從 [警示] 頁面https://security.microsoft.com/alerts:針對具有 [偵測來源] 值 MDO[產品名稱] 值適用於 Office 365 的 Microsoft Defender 的警示,按兩下 [警示名稱] 值來選取專案。 在開啟的警示詳細資料頁面中,從 [訊息清單] 區段中選取訊息。

  • 威脅防護狀態 報告,網址為 https://security.microsoft.com/reports/TPSEmailPhishReportATP

    • 選取 [依 Email > Phish 檢視資料] 和任何可用的 [圖表劃分] 選項。 在圖表下方的詳細資料表中,按一下第一欄旁核取方塊以外的任何列中的任何位置來選取項目。
    • 選取 [依惡意代碼Email>檢視資料] 和任何可用的 [圖表] 明細選項。 在圖表下方的詳細資料表中,按一下第一欄旁核取方塊以外的任何列中的任何位置來選取項目。
    • 選取 [按 Email > Spam 檢視資料] 和任何可用的 [圖表劃分] 選項。 在圖表下方的詳細資料表中,按一下第一欄旁核取方塊以外的任何列中的任何位置來選取項目。

  • 從 (威脅總管) 的 https://security.microsoft.com/threatexplorerv3[總管] 頁面,或從 的 [即時偵測] 頁面https://security.microsoft.com/realtimereportsv3。 請使用下列其中一種方法:

    • 在 [威脅總管] 中,確認已選取 > [所有電子郵件] 檢視,確認已選取 > [詳細數據] 區域中的 [Email] 索引標籤 (檢視) ,然後按一下專案中的 [主旨] 值。
    • 在 [威脅總管] 或 [即時偵測] 中,選取 [惡意代碼] 檢視>,確認 [Email] 索引標籤 (檢視 [詳細數據] 區域中的) 已選取>,按兩下專案中的 [主旨] 值。
    • 在 [威脅總管] 或 [即時偵測] 中,選取 [網路釣魚] 檢視>,確認 [Email] 索引標籤 (檢視已選取>詳細數據區域中的) ,然後按兩下專案中的 [主旨] 值。

  • [事件] 頁面https://security.microsoft.com/incidents,針對產品名稱適用於 Office 365 的 Microsoft Defender 的事件,按兩下 [事件名稱] 值來選取事件。 在開啟的事件詳細數據頁面中,選取 [ 辨識項和回應 ] 索引標籤 (檢視) 。 在 [所有辨識項] 索引標籤和 [實體類型] 值 [Email] 或 [電子郵件] 索引標籤中,按一下核取方塊以外的資料列中的任何位置,以選取專案。

  • 從 [隔離] 頁面https://security.microsoft.com/quarantine中,確認已選取 >[Email] 索引標籤,按一下列中除核取方塊以外的任何位置,以選取專案。

  • 提交 頁面 https://security.microsoft.com/reportsubmission

    • 選取 [電子郵件] 索引標籤 > ,按一下列中除核取方塊以外的任何位置來選取專案。
    • 選取 [使用者報告 ] 索引標籤 > ,按一下列中除勾選框以外的任何位置,以選取項目。

Email 實體頁面上的內容

Email 實體頁面的螢幕擷取畫面,顯示可用的詳細資料窗格和索引標籤。

頁面左側的詳細資料窗格包含可摺疊的區段,其中包含訊息的詳細資料。 只要您在頁面上,這些部分就會保持不變。 可用的部分包括:

  • 標籤區 段。 顯示任何使用者標籤 (包括指派給寄件者或收件者的優先帳戶) 。 如需使用者標籤的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的使用者標籤

  • 偵測詳細資料區 段:

    • 原始威脅

    • 原送貨地點

      • [刪除的郵件] 資料夾
      • 已丟棄
      • 傳遞失敗
      • 收件匣資料夾
      • [垃圾郵件] 資料夾
      • 外部
      • 隔離區
      • Unknown

    • 最新威脅

    • 最新傳遞位置:訊息 (上系統動作之後的訊息位置,例如 ZAP) ,或 (訊息上的系統管理員動作,例如 [移至 刪除的郵件) ]。 例如,不會顯示訊息 (的使用者動作,例如刪除或封存訊息) ,因此此值不保證訊息的 目前位置

      提示

      在某些情況下, 原始傳遞位置/、最新傳遞位置 和/或 傳遞動作 的值為 未知。 例如:

      • 郵件是在 [傳遞] 動作[傳遞) ] (傳遞的,但收件匣規則將郵件移至收件匣或垃圾郵件Email資料夾以外的預設資料夾 (例如,草稿或封存資料夾) 。
      • ZAP 嘗試在傳遞之後移動訊息,但找不到訊息,例如,使用者 (移動或刪除訊息) 。

    • 檢測技術

      • 進階篩選器:基於機器學習的網路釣魚訊號。
      • 行銷活動:識別為 行銷活動一部分的訊息。
      • 檔案爆炸安全附件 在爆炸分析期間偵測到惡意附件。
      • 檔案引爆信譽:先前在其他 Microsoft 365 組織中 安全附件 引爆所偵測到的檔案附件。
      • 檔案信譽:郵件包含先前在其他 Microsoft 365 組織中識別為惡意的檔案。
      • 指紋比對:該郵件與先前偵測到的惡意郵件非常相似。
      • 一般篩選器:根據分析師規則的網路釣魚訊號。
      • 充品牌:寄件者冒充知名品牌。
      • 模擬網域:模擬您擁有或指定用於 在反網路釣魚原則中保護的寄件者網域。
      • 模擬使用者:模擬您在 網路釣魚防護原則 中指定或透過信箱智慧學習的受保護寄件者。
      • LLM 內容分析: 通過 Microsoft 專門構建的大型語言模型進行分析,以檢測有害電子郵件。
      • 郵件轟炸:一種分散式阻斷服務 (DDoS) 攻擊,通常會讓收件者訂閱大量合法的電子報和服務。 幾分鐘內產生的大量傳入電子郵件旨在使收件人的郵箱和電子郵件安全系統不堪重負,並成為惡意軟體、勒索軟體或資料外洩的前兆。
      • 信箱智慧模擬從反網路釣魚原則中信箱智慧的模擬偵測。
      • 混合分析偵測:多個篩選器對訊息判定有貢獻。
      • 詐騙 DMARC:郵件未通過 DMARC 驗證
      • 詐騙外部網域:使用組織外部的網域詐騙寄件者電子郵件地址。
      • 組織內詐騙:使用組織內部的網域來詐騙寄件者電子郵件地址。
      • URL 引爆安全連結 在引爆分析期間偵測到訊息中的惡意 URL。
      • URL 引爆信譽:先前在其他 Microsoft 365 組織中 安全連結 引爆偵測到的 URL。
      • URL 惡意信譽:郵件包含先前在其他 Microsoft 365 組織中識別為惡意的 URL。

    • 傳遞動作

      • 已傳遞
      • 已標示為垃圾郵件
      • 封鎖

    • 主要覆寫:來源

      • 主要覆寫的值:
        • 組織原則允許
        • 使用者原則允許
        • 被組織策略封鎖
        • 被使用者原則封鎖
      • 主要覆寫來源的值:
        • 第三方過濾器
        • 管理員 (ZAP) 發起的時間旅行
        • 依檔案類型封鎖的反惡意程式碼原則
        • 垃圾郵件防護原則設定
        • 連線原則
        • Exchange 傳輸規則
        • 獨佔模式 (使用者覆寫)
        • 由於內部部署組織而略過篩選
        • 從原則篩選的 IP 區域
        • 原則中的語言篩選器
        • 網路釣魚模擬
        • 隔離釋放
        • SecOps 信箱
        • 寄件者通訊清單 (管理員 覆寫)
        • 寄件者位址清單 (使用者覆寫)
        • 寄件者網域清單 (管理員 覆寫)
        • 寄件者網域清單 (使用者覆寫)
        • 租用戶允許/封鎖清單檔案區塊
        • 租用戶允許/封鎖清單寄件者電子郵件地址封鎖
        • 租用戶允許/封鎖清單詐騙區塊
        • 租用戶允許/封鎖清單 URL 區塊
        • 受信任的聯絡人清單 (使用者覆寫)
        • 受信任網域 (使用者覆寫)
        • 信任的收件者 (使用者覆寫)
        • 僅受信任的寄件者 (使用者覆寫)

  • Email 詳細資料區段:

    • 方向性
      • 入庫
      • 內部
      • 出埠
    • 收件人 () *
    • 寄件者*
    • 收到時間
    • 網際網路訊息 ID*:可在訊息標頭的 [訊息識別碼 ] 標頭欄位中使用。 一個範例值 (<08f1e0f6806a47b4ac103961109ae6ef@server.domain> 注意尖括號) 。
    • 網路訊息識別碼*:訊息標頭中 X-MS-Exchange-Organization-Network-Message-Id 標頭欄位中可用的 GUID 值。
    • 叢集識別碼
    • Language

    *複製到剪貼簿動作可用於複製值。

頁面頂端的索引標籤 (檢視) 可讓您有效率地調查電子郵件。 下列小節會說明這些檢視。

Timeline view

「時間表」檢視會顯示訊息發生的傳遞和傳遞後事件。

視圖中提供下列訊息事件資訊。 選取要依該欄排序的欄標題。 若要新增或移除欄,請選取自訂欄。 依預設,會選取所有可用的欄。

  • 時間軸 (事件) 的日期/時間
  • 來源:例如:系統、**管理員或使用者
  • 事件類型
  • 結果
  • 威脅
  • 詳細資料

如果訊息在傳遞後沒有任何反應,則訊息在 「時間軸 」檢視中可能只有一列,其 事件 型別原始傳遞。 例如:

  • 結果 為收 件匣資料夾 - 已傳遞
  • 結果 為垃圾 郵件電子郵件資料夾 - 傳遞至垃圾郵件
  • 結果值為隔離 - 已封鎖

使用者、系統管理員或 Microsoft 365 對訊息的後續動作會將更多資料列新增至檢視。 例如:

  • [事件類型] 值為 [ZAP],而 [結果] 值為 [ZAP 移至隔離區的訊息]。
  • 事件型別 」值為 「隔離釋放 」,而 「結果」 值為 「訊息已成功從隔離區釋放」。

使用 [搜尋] 方塊來尋找頁面上的資訊。 在方塊中輸入文字,然後按 Enter 鍵。

使用 匯出將 視圖中的資料匯出至 CSV 檔案。 預設檔案名稱為 - Microsoft Defender.csv ,預設位置為 下載 資料夾。 如果具有該名稱的檔案已存在,則檔案名稱會附加一個數字 (例如,- Microsoft Defender (1) .csv) 。

Email 實體頁面上 Timeline 檢視的螢幕擷取畫面。

分析視圖

分析」 視圖包含可協助您深入分析訊息的資訊。 此視圖中提供下列資訊:

  • 威脅偵測詳細資料 區段:訊息中偵測到的威脅相關資訊:

  • Email detection details 區段:影響郵件之保護功能或覆寫的相關資訊:

    • 所有覆寫:所有組織或使用者設定,這些設定可能會變更訊息的預期傳遞位置。 例如,如果郵件符合 租用戶允許/封鎖清單中的郵件流程規則和封鎖專案,則會列在這裡這兩個設定。 主要覆寫:來源屬性值會識別影響訊息傳遞的設定。

    • 主要覆寫:來源:顯示變更訊息預期傳遞位置的組織或使用者設定 (允許而不是封鎖,或封鎖而不是允許) 。 例如:

      • 郵件流程規則封鎖了郵件。
      • 使用者安全 寄件者清單 中的專案允許郵件。

    • Exchange 傳輸規則 (郵件流程規則) :如果郵件流程規則影響郵件,則會顯示規則名稱和 GUID 值。 郵件流程規則對郵件採取的動作會在垃圾郵件和網路釣魚判定之前發生。

      [複製到剪貼簿] 動作可用來複製規則 GUID。 如需郵件流程規則的詳細資訊,請參閱 郵件流程規則 (Exchange Online 中的傳輸規則)

      [ 移至 Exchange 系統管理中心 ] 連結會在新的 Exchange 系統管理中心開啟 [ 規則] 頁面,網址為 https://admin.exchange.microsoft.com/#/transportrules

    • 連接器:如果訊息是透過輸入連接器傳遞的,則會顯示連接器名稱。 如需連接器的詳細資訊,請參閱 使用 Exchange Online 中的連接器設定郵件流程

    • 大量投訴層級 (BCL) :較高的 BCL 值表示郵件更有可能是垃圾郵件。 如需詳細資訊,請參閱大量相容層級 (BCL)

    • 原則:如果此處列出原則類型 (例如垃圾郵件) ,請選取 [設定] 以開啟相關的原則頁面,例如,) 的 https://security.microsoft.com/antispam [反垃圾郵件原則] 頁面 (。

    • 原則動作

    • 警示識別碼:選取警示識別碼值以開啟警示 (的詳細資料頁面,就像您在) 的https://security.microsoft.com/alerts警示頁面找到並選取警示一樣。 複製到剪貼簿動作也可用於複製警示識別碼值。

    • 原則類型

    • 用戶端類型:顯示傳送訊息的用戶端類型 (例如,REST)

    • Email 大小

    • 資料外洩防護規則

  • 件者-收件者詳細資料區段:郵件寄件者和一些收件者資訊的詳細資料:

    • 寄件者顯示名稱
    • 寄件者地址*
    • 寄件者 IP
    • 寄件者網域名稱*
    • 網域建立日期:最近建立的網域和其他訊息訊號可以將訊息識別為可疑訊息。
    • 網域擁有者
    • 寄件者 MAIL FROM 地址*
    • 寄件人 MAIL FROM 網域名稱*
    • Return-Path
    • 傳回路徑網域
    • 位置
    • 收件者網域*
    • 收件者:在郵件的「收件者」欄位中顯示任何電子郵件地址的前 5,000 個字元。
    • 抄送:顯示郵件 [抄送] 欄位中任何電子郵件地址的前 5,000 個字元。
    • 通訊群組清單:顯示通訊群組 (通訊群組,) 收件者是否以清單成員身分收到電子郵件。 巢狀通訊群組會顯示最上層通訊群組。
    • 轉寄:指出郵件是否 自動轉寄至外部電子郵件地址。 轉送使用者和轉送類型會顯示 (郵件流程規則、收件匣規則或 SMTP 轉送) 。

    *複製到剪貼簿動作可用於複製值。

  • 驗證 區段: 電子郵件驗證 結果的詳細資訊:

    • 基於網域的訊息驗證 (DMARC)
      • Pass:DMARC檢查已傳遞的訊息。
      • Fail:訊息的DMARC檢查失敗。
      • BestGuessPass:網域的 DMARC TXT 記錄不存在。 如果存在,則訊息的 DMARC 檢查將通過。
      • 無:表示 DNS 中傳送網域不存在 DMARC TXT 記錄。
    • 網域金鑰識別的郵件 (DKIM) :值為:
      • Pass:DKIM檢查已通過的郵件。
      • Fail (reason):訊息的DKIM檢查失敗。 例如,郵件未經過 DKIM 簽署,或未驗證 DKIM 簽章。
      • None:該訊息未經過 DKIM 簽署。 此結果可能表示也可能不表示網域具有 DKIM 記錄,或 DKIM 記錄未評估為結果。 此結果僅表示此訊息未簽署。
    • SPF) (寄件者原則架構 :值為:
      • Pass (IP address):SPF 檢查發現郵件來源對網域有效。
      • Fail (IP address):SPF 檢查發現郵件來源對網域無效,且 SPF 記錄中的強制執行規則 (-all 硬失敗) 。
      • SoftFail (reason):SPF 檢查發現郵件來源對網域無效,且 SPF 記錄中的強制執行規則 (~all 軟失敗) 。
      • Neutral:SPF 檢查發現郵件來源對網域無效,且 SPF 記錄中的強制執行規則 (?all 中性) 。
      • None:網域沒有 SPF 記錄,或 SPF 記錄未評估為結果。
      • TempError:SPF 檢查遇到臨時錯誤 (例如,DNS 錯誤) 。 相同檢查可能稍後會成功。
      • PermError:SPF 檢查遇到永久錯誤。 例如,網域的 SPF 記錄格式不正確
    • 複合驗證:SPF、DKIM、DMARC 和其他資訊會判斷郵件寄件者 (寄件者位址) 是否真實。 如需詳細資訊,請參閱 複合驗證

    提示

    如需電子郵件驗證結果以及如何更正失敗的詳細資訊,請參閱 Microsoft 365 中電子郵件驗證的安全性作業指南

  • 相關實體 區段:訊息中附件和URL的相關資訊:

    • 實體:選取 [附件] 或 [URL] 會帶您前往郵件的 [Email] 實體頁面的 [附件] 檢視或 [URL] 檢視。
    • 總計數
    • 找到的威脅:值為 [是][否]。

  • 訊息詳細資料區域:

    • 純文字電子郵件標頭 索引標籤:包含純文字的整個郵件標頭。 選取 [ 複製郵件標頭] 以複製郵件標頭。 選取 [Microsoft 訊息標頭分析器] 以開啟位於 https://mha.azurewebsites.net/pages/mha.html的訊息標頭分析器。 將複製的郵件標頭貼到頁面中,然後選取 [分析標頭] 以 取得郵件標頭和值的詳細資訊。
    • [收件者 ] 索引標籤:在郵件的 [收件者] 欄位中顯示任何電子郵件地址的前 5,000 個字元。
    • [抄送] 索引標籤:顯示郵件 [抄送] 欄位中任何電子郵件地址的前 5,000 個字元。

[Email] 實體頁面上 [分析] 檢視的螢幕擷取畫面。

附件視圖

附件」 視圖會顯示訊息中所有檔案附件的相關資訊,以及這些附件的掃描結果。

此視圖中提供下列附件資訊。 選取要依該欄排序的欄標題。 若要新增或移除欄,請選取自訂欄。 依預設,會選取所有可用的欄。

  • 附件檔名:如果您按一下檔案名稱值
  • 檔案類型
  • 檔案大小
  • 檔案副檔名
  • 威脅
  • 惡意軟體家族
  • 附件 SHA256:「 複製到剪貼簿」 動作可用於複製 SHA256 值。
  • 詳細資料

使用 [搜尋] 方塊來尋找頁面上的資訊。 在方塊中輸入文字,然後按 Enter 鍵。

使用 匯出將 視圖中的資料匯出至 CSV 檔案。 預設檔案名稱為 - Microsoft Defender.csv ,預設位置為 下載 資料夾。 如果具有該名稱的檔案已存在,則檔案名稱會附加一個數字 (例如,- Microsoft Defender (1) .csv) 。

Email 實體頁面上 [附件] 檢視的螢幕擷取畫面。

附件詳細資料

如果您按一下 [附件檔名] 值,在 [附件] 檢視中選取專案,則會開啟包含下列資訊的詳細資料飛出視窗:

  • 深層分析 索引標籤:如果附件掃描 (引爆的安全 附件) 透過引爆將其識別為惡意,則此索引標籤上會提供資訊。 您可以使用下列方法在威脅總管中識別這些訊息:

    • 偵測技術查詢過濾器, 值為 File detonation

    • 詳細資料」欄中的「爆炸可用」指示器。

    • [Email Summary] 面板中顯示的引爆計數。

    • 引爆鏈 部分:安全附件單個文件的引爆可以觸發多次引爆。 引爆鏈會追蹤引爆的路徑,包括導致判定的原始惡意檔案,以及受引爆影響的所有其他檔案。 這些附加檔案可能不會直接出現在電子郵件中。 但是,包括分析對於確定文件被發現為惡意的原因很重要。

      如果沒有可用的引爆鏈資訊,則會顯示值 無引爆樹狀結構 。 否則,您可以選取 [匯出] ,將引爆鏈結資訊下載至 CSV 檔案。 預設檔案名稱為 Detonation chain.csv ,預設位置為 Downloads 資料夾。 如果具有該名稱的檔案已存在,則檔案名稱會附加一個數字 (例如,引 爆鏈結 (1) .csv) 。 CSV 檔案包含下列資訊:

      • 頂端:最上層檔案。
      • Level1:下一層檔案。
      • 層級 2:下一個層級檔案。
      • 等等。

      如果未發現任何連結的實體有問題或被引爆,則引爆鏈和 CSV 檔案可能只顯示最上層項目。

    • 摘要區 段:如果沒有可用的爆炸摘要資訊,則會顯示值無 爆炸摘要 。 否則,可以使用下列引爆摘要資訊:

      • 分析時間
      • 判決:對附件本身的判決。
      • 其他資訊:檔案大小 (以位元組為單位)。
      • 妥協指標

    • 螢幕截圖部分:顯示在爆炸期間捕獲的任何螢幕截圖。 不會針對包含其他檔案的容器檔案(例如ZIP或RAR)擷取螢幕擷取畫面。

      如果沒有可用的引爆螢幕擷取畫面,則會顯示值 [沒有要顯示的螢幕擷取畫面]。 否則,請選取連結以檢視螢幕擷取畫面。

    • 行為詳細資料區 段:顯示引爆期間發生的確切事件,以及包含引爆期間找到的 URL、IP、網域和檔案的問題或良性觀察。 容器檔案 (例如包含其他檔案的 ZIP 或 RAR) 可能沒有任何行為詳細資料。

      如果沒有可用的行為詳細資料資訊,則會顯示 值 無爆炸行為 。 否則,您可以選取 [匯出] ,將行為詳細資料資訊下載至 CSV 檔案。 預設檔案名稱為 「行為 details.csv 」,預設位置為 「下載」 資料夾。 如果具有該名稱的檔案已存在,則檔案名稱會附加一個數字 (例如, 行為詳細資料 (1) .csv) 。 CSV 檔案包含下列資訊:

      • Time
      • 行為
      • 行為屬性
      • PID) (過程
      • 作業
      • Target
      • 詳細資料
      • 結果
  • 檔案資訊 索引標籤: 檔案詳細資料 區段包含下列資訊:
    • 檔案名稱
    • SHA256
    • 檔案大小 (以位元組為單位)

當您完成檔案詳細數據飛出視窗時,請選取 [關閉]。

[Email] 實體頁面上 [附件] 檢視的檔案詳細數據飛出視窗螢幕擷取畫面。

從「附件」視圖封鎖附件

如果您選取檔案名稱旁邊的勾選框,在「附件」視圖中選取項目,則可以使用「封鎖」動作。 此動作會將檔案新增為 租戶允許/封鎖清單中的封鎖專案。 選取 [封鎖] 會啟動 [採取動作 精靈]:

  1. 在 [ 選擇動作 ] 頁面上,在 [封鎖檔案] 區段中設定下列其中一個設定:

    • 永不過期 日期:預設值
    • 永不過期: 將切換滑動至關閉 ,然後在 [移除日期] 方塊中選取日期。

    當您在 [選擇動作 ] 頁面上完成時,請選取 [ 下一步]。

  2. 在 [ 選擇目標實體 ] 頁面上,確認已選取您要封鎖的檔案,然後選取 [ 下一步]。

  3. 在 [ 檢閱並提交 ] 頁面上,設定下列設定:

    • 救名稱:輸入唯一名稱,以追蹤控制中心中的狀態。
    • 描述:輸入選擇性描述。

    當您在 [ 檢閱並提交 ] 頁面上完成時,請選取 [ 提交]。

URL 視圖

URL 檢視會顯示訊息中所有原始或重寫 URL 的相關資訊,以及每個 URL 的掃描結果。

此視圖中提供下列附件資訊。 選取要依該欄排序的欄標題。 若要新增或移除欄,請選取自訂欄。 依預設,會選取所有可用的欄。

  • URL
  • 威脅
  • Source
  • 詳細資料

使用 [搜尋] 方塊來尋找頁面上的資訊。 在方塊中輸入文字,然後按 Enter 鍵。

使用 匯出將 視圖中的資料匯出至 CSV 檔案。 預設檔案名稱為 - Microsoft Defender.csv ,預設位置為 下載 資料夾。 如果具有該名稱的檔案已存在,則檔案名稱會附加一個數字 (例如,- Microsoft Defender (1) .csv) 。

Email 實體頁面上 URL 檢視的螢幕擷取畫面。

網址詳細資料

如果您按一下 URL 值來選取 URL 檢視中的專案,則會開啟包含下列資訊的詳細數據飛出視窗:

  • 深度分析索引 標籤:如果 URL 掃描 (引爆的安全 連結) 透過引爆將其識別為惡意,則此索引標籤上會提供資訊。 您可以使用下列方法在威脅總管中識別這些訊息:

    • 偵測技術查詢篩選器, 其值為 URL detonation

    • 詳細資料」欄中的「爆炸可用」指示器。

    • [Email Summary] 面板中顯示的引爆計數。

    • 引爆鏈 部分:單個 URL 的安全鏈接引爆可以觸發多次引爆。 引爆鏈會追蹤引爆的路徑,包括導致判定的原始惡意 URL,以及受引爆影響的所有其他 URL。 這些 URL 可能不會直接出現在電子郵件中。 但是,包括分析對於確定 URL 被發現為惡意的原因非常重要。

      如果沒有可用的引爆鏈資訊,則會顯示值 無引爆樹狀結構 。 否則,您可以選取 [匯出] ,將引爆鏈結資訊下載至 CSV 檔案。 預設檔案名稱為 Detonation chain.csv ,預設位置為 Downloads 資料夾。 如果具有該名稱的檔案已存在,則檔案名稱會附加一個數字 (例如,引 爆鏈結 (1) .csv) 。 CSV 檔案包含下列資訊:

      • 頂端:最上層檔案。
      • Level1:下一層檔案。
      • 層級 2:下一個層級檔案。
      • 等等。

      如果未發現任何連結的實體有問題或被引爆,則引爆鏈和 CSV 檔案可能只顯示最上層項目。

    • 摘要區 段:如果沒有可用的爆炸摘要資訊,則會顯示值無 爆炸摘要 。 否則,可以使用下列引爆摘要資訊:

      • 分析時間
      • 判決:對 URL 本身的判決。

    • 螢幕截圖部分:顯示在爆炸期間捕獲的任何螢幕截圖。 如果 URL 開啟至直接下載檔案的連結,則不會擷取螢幕擷取畫面。 但是,您會在引爆鏈中看到下載的檔案。

      如果沒有可用的引爆螢幕擷取畫面,則會顯示值 [沒有要顯示的螢幕擷取畫面]。 否則,請選取連結以檢視螢幕擷取畫面。

    • 行為詳細資料區 段:顯示引爆期間發生的確切事件,以及包含引爆期間找到的 URL、IP、網域和檔案的問題或良性觀察。

      如果沒有可用的行為詳細資料資訊,則會顯示 值 無爆炸行為 。 否則,您可以選取 [匯出] ,將行為詳細資料資訊下載至 CSV 檔案。 預設檔案名稱為 「行為 details.csv 」,預設位置為 「下載」 資料夾。 如果具有該名稱的檔案已存在,則檔案名稱會附加一個數字 (例如, 行為詳細資料 (1) .csv) 。 CSV 檔案包含下列資訊:

      • Time
      • 行為
      • 行為屬性
      • PID) (過程
      • 作業
      • Target
      • 詳細資料
      • 結果
  • URL 資訊 索引標籤: URL 詳細資料 區段包含下列資訊:
    • URL
    • 威脅

當您完成檔案詳細數據飛出視窗時,請選取 [關閉]。

[Email] 實體頁面上 URL 檢視的 URL 詳細數據飛出視窗螢幕擷取畫面。

從 URL 檢視中封鎖 URL

如果您選取檔案名稱旁邊的核取方塊,以選取 URL 檢視中的項目,則可以使用封鎖動作。 此動作會將 URL 新增為 租戶允許/封鎖清單中的封鎖專案。 選取 [封鎖] 會啟動 [採取動作 精靈]:

  1. 在 [ 選擇動作 ] 頁面上,在 [封鎖 URL ] 區段中設定下列其中一個設定:

    • 永不過期 日期:預設值
    • 永不過期: 將切換滑動至關閉 ,然後在 [移除日期] 方塊中選取日期。

    當您在 [選擇動作 ] 頁面上完成時,請選取 [ 下一步]。

  2. 在 [ 選擇目標實體 ] 頁面上,確認已選取您要封鎖的 URL,然後選取 [下一步]。

  3. 在 [ 檢閱並提交 ] 頁面上,設定下列設定:

    • 救名稱:輸入唯一名稱,以追蹤控制中心中的狀態。
    • 描述:輸入選擇性描述。

    當您在 [ 檢閱並提交 ] 頁面上完成時,請選取 [ 提交]。

類似電子郵件檢視

[類似電子郵件] 檢視會顯示與此郵件具有相同郵件內文指紋的其他電子郵件訊息。 其他郵件中的比對準則不適用於此檢視 (例如,檔案附件指紋) 。

此視圖中提供下列附件資訊。 選取要依該欄排序的欄標題。 若要新增或移除欄,請選取自訂欄。 依預設,會選取所有可用的欄。

  • Date
  • 主旨
  • 收件者
  • Sender
  • 寄件者 IP
  • Override
  • 傳遞動作
  • 送貨地點

使用「篩選器」「開始日期」和「結束日期」篩選項目。

使用 [搜尋] 方塊來尋找頁面上的資訊。 在方塊中輸入文字,然後按 Enter 鍵。

使用 匯出將 視圖中的資料匯出至 CSV 檔案。 預設檔案名稱為 - Microsoft Defender.csv ,預設位置為 下載 資料夾。 如果具有該名稱的檔案已存在,則檔案名稱會附加一個數字 (例如,- Microsoft Defender (1) .csv) 。

[電子郵件] 實體頁面上的 [類似電子郵件] 檢視的螢幕擷取畫面 Email。

Email 實體頁面上的動作

下列動作可在 Email 實體頁面頂端使用:

¹ 「Email preview」和「Download email」動作需要「預覽」角色。 您可以在下列位置指派此角色:

² 您可以預覽或下載雲端信箱中可用的電子郵件。 郵件在信箱中不再可用的範例包括:

  • 訊息在傳遞或傳遞失敗之前已捨棄。
  • 該消息已被 硬刪除
  • 訊息的傳遞位置為 內部部署/外部
  • ZAP 將訊息移至隔離區。

Email 實體頁面頂端可用動作的螢幕擷取畫面。

Email 摘要面板

[Email 摘要] 面板是電子郵件詳細數據飛出視窗,可在雲端信箱的預設電子郵件保護和適用於 Office 365 的 Defender 中的許多功能中使用。 Email摘要面板包含有關電子郵件訊息的標準化摘要資訊,這些資訊取自適用於 Office 365 的 Defender中Email實體頁面上提供的完整詳細資訊。

在哪裡可以找到 Email 摘要面板,請參閱本文稍早的 Where to find the Email entity page 一節。 本節的其餘部分說明 Email 摘要面板上所有功能中可用的資訊。

提示

[Email 摘要] 面板可從 [擱置][歷程記錄] 索引標籤上的 [控制中心] 頁面https://security.microsoft.com/action-center/取得。 選取具有 [實體類型] 值為 Email 的動作,方法是按一下列中除核取方塊或 [調查識別碼] 值以外的任何位置。 開啟的詳細數據飛出視窗是 [Email 摘要] 面板,但 [開啟電子郵件] 實體無法在飛出視窗頂端使用。

下列訊息資訊位於 Email 摘要面板頂端:

  • 飛出視窗的標題是訊息 [主旨] 值。
  • 訊息中的附件和連結數目 (並非出現在所有功能) 中。
  • 指派給郵件收件者的任何使用者標籤 (包括優先順序帳戶標籤) 。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的使用者標籤
  • 飛出視窗頂端可用的動作取決於您開啟 [Email 摘要] 面板的位置。 可用的動作會在個別專題文章中說明。

提示

若要查看其他郵件的詳細數據,而不離開目前郵件的 Email 摘要面板,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

下列區段可在 Email 摘要面板上使用,適用於所有功能, (從何處開啟Email摘要面板並不重要) :

  • 送貨詳情 部分:

    • 原始威脅
    • 最新威脅
    • 原位置
    • 最新送貨地點
    • 傳遞動作
    • 檢測技術
    • 主要覆寫:來源
    • 威脅分類

  • Email 詳細資料區段:

    • 寄件者顯示名稱
    • 寄件者位址
    • 寄件者電子郵件地址
    • 代表發送
    • 返回路徑
    • 寄件者 IP
    • 位置
    • 收件者 ()
    • 收到時間
    • Directionality
    • 網路訊息 ID
    • 網際網路訊息 ID
    • 行銷活動ID
    • DMARC
    • DKIM
    • SPF
    • 複合驗證

  • URL 區段:訊息中任何 URL 的詳細資料:

    • URL
    • 威脅 狀態

    如果郵件有三個以上的 URL,請選取 [檢視所有 URL ] 以查看所有 URL。

  • 附件 區段:郵件中任何檔案附件的詳細資料:

    • 附件名稱
    • 威脅
    • 偵測技術/惡意軟體系列

    如果郵件有三個以上的附件,請選取 [檢視所有附件] 以查看所有附件。

在支援的適用於 Office 365 的 Defender功能中選取電子郵件訊息後Email摘要面板的螢幕擷取畫面。

  • Last updated on