電子郵件實體頁面

  • 發行項

提示

您知道您可以免費試用Office 365方案 2 的Microsoft 365 Defender功能嗎? 使用 Microsoft 365 Defender 入口網站試用中樞的 90 天適用於 Office 365 的 Defender試用版。 在這裡瞭解誰可以註冊和 試用條款

適用於:

本文內容:

適用於 Office 365 的 Microsoft Defender E5 和適用于 Office P1 和 P2 的 Defender 的系統管理員會使用Email 實體頁面來檢視 360 度的電子郵件。 建立此前往電子郵件頁面是為了增強適用於 Office 365 的 Microsoft Defender和Microsoft 365 Defender傳遞的資訊。

請參閱以下體驗中的電子郵件詳細資料,包括 預覽和下載電子郵件具有複製選項的電子郵件標頭、偵測詳細資料、偵測到的威脅、最新和原始傳遞位置、傳遞動作,以及警示識別碼、網路訊息識別碼等識別碼。

如何前往電子郵件實體頁面

您在整個適用於 Office 365 的 Microsoft Defender中找到電子郵件詳細資料的任何位置,都可以使用電子郵件實體詳細資料。 這包括:

  • 威脅總管
  • 進階搜捕
  • 警示
  • 隔離
  • 提交
  • 報告
  • 重要訊息中心

前往電子郵件實體頁面的其中一種方式是威脅總管,但無論您在哪裡找到電子郵件詳細資料,步驟都會保持不變。 流覽至 Microsoft 365 Defender 入口網站,Email https://security.microsoft.com& 共同作業>總管] 。 或者,若要直接移至 [ 總管] 頁面,請使用 https://security.microsoft.com/threatexplorer

  1. [總管]中,選取您正在調查的電子郵件主旨。
  2. 該郵件的電子郵件飛出視窗隨即開啟。
  3. 您會看到 [開啟電子郵件實體]
  4. 選取它以進行您的電子郵件深入探討。

選取電子郵件後,您會看到包含詳細資料的飛出視窗,並在頂端看到電子郵件的 [開啟實體] 頁面。

電子郵件實體頁面的圖形,其著重于您會看到的標題

注意事項

檢視和使用此頁面所需的許可權與檢視總管的權 相同。 系統管理員必須是全域管理員或全域讀取者的成員,或是安全性系統管理員或安全性讀取者的成員。 如需詳細資訊,請參閱 Microsoft 365 Defender 入口網站中的權限

如何讀取電子郵件實體頁面

結構的設計可讓您輕鬆閱讀,並一目了然地流覽。 頁面頂端的各種索引標籤可讓您更詳細地調查。 以下是版面配置的運作方式:

  1. 最需要的欄位位於飛出視窗的左側。這些詳細資料是「黏性」,這表示無論您在飛出視窗的其餘部分巡覽至哪一個索引標籤,這些詳細資料都會錨定在左邊。

    醒目提示左側的電子郵件實體頁面圖形

  2. 右上角是可以在電子郵件上採取的動作。 您可以透過 Explorer 採取的任何動作,也可以透過電子郵件實體頁面取得。

    醒目提示右側的電子郵件實體頁面圖形

  3. 您可以透過頁面的其餘部分進行排序來完成更深入的分析。 檢查電子郵件偵測詳細資料、電子郵件驗證狀態和標頭。 此區域應該逐一查看,但這些索引標籤中的資訊適用于任何電子郵件。

    頁面的主面板,其中包含電子郵件標頭和驗證狀態

如何使用電子郵件實體頁面索引標籤

實體頁面頂端的索引標籤可讓您有效率地調查電子郵件。

  1. 時間軸:每個 Explorer 時程表 (電子郵件的時程表檢視) 顯示電子郵件上發生的傳遞後事件的原始傳遞。 對於沒有傳遞後動作的電子郵件,檢視會在時程表檢視中顯示原始的傳遞資料列。 例如:零時差自動清除 (ZAP) 、補救、使用者和管理員提交、隔離資訊、URL 點選等事件,來自下列來源:系統、系統管理員和使用者,依其發生順序顯示于此處。
  2. 分析:分析會顯示可協助系統管理員深入分析電子郵件的欄位。 如果系統管理員需要深入瞭解偵測、寄件者/收件者和電子郵件驗證詳細資料,則應使用 [分析] 索引標籤。[相關實體] 底下的此頁面上也可找到附件和 URL 的連結。 附件和已識別的威脅都會在此編號,按一下會直接帶您前往 [附件] 和 [URL] 頁面。 此索引標籤也有 [檢視標頭] 選項,可 顯示電子郵件頭。 為了清楚起見,系統管理員可以比較電子郵件標頭中的任何詳細資料,以及主面板上的資訊。
  3. 附件:這會檢查電子郵件中找到的附件,以及在附件上找到的其他詳細資料。 顯示的附件數目目前限制為 10 個。 請注意,此處也會顯示發現為惡意附件的入侵詳細資料。
  4. URL:此索引標籤會列出電子郵件中找到的 URL,以及 URL 的其他詳細資料。 URL 數目目前限制為 10 個,但這 10 個會 優先顯示惡意 URL。 優先順序可為您節省時間和猜測工作。 此處也會顯示發現為惡意和已遭入侵的 URL。
  5. 類似的電子郵件:此索引標籤會列出與此電子郵件特定的 網路訊息識別碼 + 收件者 組合類似的所有電子郵件。 相似度僅以 訊息本文為基礎。 對將郵件分類為「類似」之郵件所做的判斷不包含 附件的考慮。

可在電子郵件實體頁面上使用

以下是開始使用的一些實用細節。

Email雲端信箱的預覽和下載

如果Microsoft 仍可在Exchange Online信箱中存取郵件,系統管理員可以在雲端信箱中預覽和下載電子郵件。 如果系統管理員或使用者) 或 ZAP (虛刪除 (隔離) ,Exchange Online信箱中就不會再出現電子郵件。 在此情況下,系統管理員將無法預覽或下載這些特定的電子郵件。 已卸載或傳遞失敗的電子郵件永遠不會進入信箱,因此系統管理員也無法預覽或下載這些電子郵件。

警告

預覽和下載電子郵件需要稱為 預覽的特殊角色。 您可以在 Microsoft 365 Defender 入口網站中新增此角色,如Microsoft 365 Defender入口網站中Email & 共同作業角色中所述。 您可能需要在該處建立新的Email & 共同作業角色群組,並將預覽角色新增至該新角色群組,或將預覽角色新增至可讓組織中的系統管理員在Explorer中工作的角色群組。

隔離詳細資料

這些詳細資料專屬於電子郵件附件和 URL。 使用者可以移至 [總管] 並套用偵測 技術 篩選集以進行檔案擷取或 URL 擷取,以查看這些詳細資料。 針對檔案洩露篩選的電子郵件會包含具有惡意詳細資料的惡意檔案,而針對 URL 篩選的電子郵件會包含惡意 URL 及其惡意詳細資料。

使用者會在其電子郵件中看到已知惡意附件或 URL 的擴充入侵詳細資料,這些內容已針對其特定租使用者遭到入侵。 其中將包含事件鏈結、事件摘要、螢幕擷取畫面和觀察到的行為詳細資料,以協助客戶瞭解為何將附件或 URL 視為惡意和遭到入侵。

  1. 雷射鏈結。 單一檔案或 URL 擷取可能會觸發多個入侵。 防彈鏈結會追蹤入侵的路徑,包括造成決策的原始惡意檔案或 URL,以及受危害影響的所有其他檔案或 URL。 這些 URL 或附加的檔案可能不會直接出現在電子郵件中,但包含該分析對於判斷為何發現檔案或 URL 是惡意的非常重要。

    注意事項

    如果找不到任何連結到最上層專案的實體有問題,或已遭到刪除,這可能只會顯示最上層專案。

  2. [共用摘要 ] 提供基本摘要,以瞭解如 分析時間、發生失效的時間、OS 和應用程式、發生失效的作業系統和應用程式、檔案大小和決策原因。

  3. 螢幕擷取畫面 顯示在隔離期間擷取的螢幕擷取畫面。 在擷取期間可以有多個螢幕擷取畫面。 未擷取的螢幕擷取畫面

    • 容器類型檔案,例如.zip或.rar。
    • 如果 URL 開啟到直接下載檔案的連結。 不過,您會看到下載的檔案位於中斷鏈結中。

  4. 行為詳細 資料是一種匯出,會顯示行為詳細資料,例如在損耗期間發生的確切事件,以及包含 URL、IP、網域和檔案的可觀察專案,這些 URL、IP、網域和檔案在 (期間找到,而且可能是有問題或良性的) 。 請注意,可能沒有下列行為詳細資料:

    • 容器檔案,例如.zip或保存其他檔案的.rar。

事件摘要,顯示標題 *深度分析* 下的鏈、摘要、失效詳細資料和螢幕擷取畫面

讓Email實體頁面有所説明的其他功能

標籤:這些是套用至使用者的標記。 如果使用者是收件者,系統管理員會看到 收件者 標籤。 同樣地,如果使用者是寄件者,則為 寄件者 標籤。 這會出現在電子郵件實體頁面的左側, (在描述為 񣐛性 的部分中,因此錨定在頁面) 。

最新的傳遞位置:最新的傳遞位置是在 ZAP 等系統動作或 [移至已刪除的專案] 等系統管理員動作完成後,電子郵件進入的位置。 最新的傳遞位置並非要通知系統管理員訊息的 目前 位置。 例如,如果使用者刪除訊息,或將其移至封存,則不會更新傳遞位置。 不過,如果已執行系統動作並更新位置, (如 ZAP,導致電子郵件移至隔離) 這會將最新的傳遞位置更新為隔離。

Email詳細資料:深入瞭解 [分析] 索引標籤中可用電子郵件所需的詳細資料。

  • Exchange 傳輸規則 (也稱為郵件流程規則或 ETR) :這些規則會套用至傳輸層的郵件,優先于網路釣魚和垃圾郵件決策。 郵件流程規則會在 的 Exchange 系統管理中心 https://admin.exchange.microsoft.com/#/transportrules 建立和修改,但如果有任何郵件流程規則套用至郵件,規則名稱和 GUID 會顯示在這裡。 用於追蹤用途的寶貴資訊。

  • 主要覆寫:來源:主要覆寫和來源是指影響電子郵件傳遞的租使用者或使用者設定,覆寫系統 (根據威脅和偵測技術) 提供的傳遞位置。 例如,這可能是因為租使用者已設定傳輸規則而封鎖的電子郵件,或因為安全寄件者的使用者設定而允許的電子郵件。

  • 所有覆寫:所有覆寫都會參考已套用至電子郵件 (租使用者或使用者設定) 的覆寫清單,這可能會影響電子郵件的傳遞。 例如,如果租使用者設定的傳輸規則,以及租使用者設定的原則設定 (例如,從租使用者允許封鎖清單) 套用到電子郵件,則這兩者都會列在此欄位中。 您可以檢查主要覆寫欄位,以判斷影響電子郵件傳遞的設定。

  • 大量抱怨層級 (BCL) :訊息的大量 (BCL) 層級。 較高的 BCL 表示如果電子郵件可能是垃圾郵件) ,則大宗郵件訊息較可能 (自然結果產生抱怨。

  • 垃圾郵件信賴等級 (SCL) :郵件的垃圾郵件信賴等級 (SCL) 。 此值越高,表示郵件越有可能是垃圾郵件。

  • 用戶端類型:指出電子郵件從中傳送的用戶端類型,例如 REST。

  • 轉送:針對自動轉送的案例,它會指出轉送使用者以及轉送類型,例如 ETR 或 SMTP 轉送。

  • 通訊群組清單:如果收件者以清單成員的身分收到電子郵件,則顯示通訊群組清單。 如果涉及巢狀通訊群組清單,則會顯示最上層通訊群組清單。

  • 至 [副本]:指出電子郵件的 [至]、[副本] 欄位中所列的位址。 這些欄位中的資訊限制為 5000 個字元。

  • 功能變數名稱:這是寄件者功能變數名稱。

  • 網域擁有者:指定傳送網域的擁有者。

  • 網域位置:指定傳送網域的位置。

  • 網域建立日期:指定傳送網域的建立日期。 如果其他訊號指出某些可疑行為,您可能會謹慎處理新建立的網域。

Email驗證:Microsoft 365 所使用的Email驗證方法包括 SPF、DKIM 和 DMARC。

  • 傳送者原則架構 (SPF) :描述 SPF 檢查訊息的結果。 可能的值可以是:

    • 傳遞 (IP 位址) :傳遞的訊息 SPF 檢查,並包含寄件者的 IP 位址。 用戶端獲得授權,可代表寄件者的網域傳送或轉送電子郵件。
    • 失敗 (IP 位址) :SPF 檢查訊息失敗,並包含寄件者的 IP 位址。 這有時也稱為 hard fail。
    • 虛線 (原因) :SPF 記錄將主機指定為不允許傳送,但正在轉換中。
    • 中性:SPF 記錄會明確指出它不會判斷 IP 位址是否已獲授權傳送。
    • 無:網域沒有 SPF 記錄,或 SPF 記錄不會評估為結果。
    • 緩和:發生暫時性錯誤。 例如,DNS 錯誤。 相同檢查可能稍後會成功。
    • Permerror:發生永久錯誤。 例如,網域有格式錯誤的 SPF 記錄時。

  • DomainKeys 識別的郵件 (DKIM) :

    • 傳遞:指出所傳遞訊息的 DKIM 檢查。
    • 失敗 (原因) :指出訊息的 DKIM 檢查失敗和原因。 例如,郵件未簽署或簽章未經過驗證。
    • 無:表示訊息未簽署。 這可能或可能不會指出網域具有 DKIM 記錄,或 DKIM 記錄未評估為結果,只表示此訊息未簽署。

  • 以網域為基礎的訊息驗證、報告和一致性 (DMARC) :

    • 傳遞:指出所傳遞訊息的 DMARC 檢查。
    • 失敗:指出訊息的 DMARC 檢查失敗。
    • Bestguesspass:指出網域沒有 DMARC TXT 記錄存在,但如果有記錄存在,就會通過訊息的 DMARC 檢查。
    • 無:表示 DNS 中的傳送網域沒有 DMARC TXT 記錄。

複合驗證:這是 Microsoft 365 用來結合 SPF、DKIM 和 DMARC 等電子郵件驗證的值,以判斷郵件是否為驗證。 它會使用郵件的 From: 網域作為評估的基礎。

您可以對Email實體頁面採取的動作

安全性小組現在可以採取電子郵件動作,例如虛刪除和實刪除、移至垃圾郵件、移至收件匣、觸發調查、提交給 Microsoft 進行線上檢閱,以及等 cetera。 您也可以從Email實體頁面觸發租使用者層級封鎖動作,例如檔案和 URL 或寄件者。

您將能夠從實體頁面右上角選取 [ 採取動作 ],這會開啟 [動作精靈],讓您選取所需的特定動作。 從實體頁面採取動作。

在 [動作精靈] 中,您可以採取電子郵件動作、電子郵件提交、封鎖寄件者和寄件者網域、調查動作和兩個步驟核准, (將 新增至相同側邊窗格中的補救) 。 這會遵循一致的流程,以方便使用。 例如,[動作精靈] 使用的系統與檔案總管動作 (針對 [刪除]、[提交] 和 [調查] 動作) 使用的系統相同。 您可以在 整合控制中心 (中查看並追蹤這些動作,以取得已刪除的電子郵件) 、提交入口 網站 (中的提交) ,以及在 (TABL 區塊的 [租使用者 允許/封鎖清單 ] 頁面中) 。

我們也會將租使用者層級區塊 URL 和附件帶入個別的Email實體 URL 和附件索引標籤。 核准之後,即可在 TABL/URL 和 TABL/檔案頁面下追蹤所有租使用者允許和封鎖清單 (或 TABL) 區塊 URL 和區塊附件。 從實體頁面採取封鎖 URL 動作。

請參閱採取這些動作所需的許可權。

Email摘要面板

電子郵件摘要面板是完整電子郵件實體頁面的摘要檢視。 其中包含有關電子郵件 (的標準化詳細資料,例如偵測) ,以及內容特定資訊 (例如隔離或提交中繼資料) 。 電子郵件摘要面板會取代整個適用於 Office 365 的 Microsoft Defender的傳統電子郵件飛出視窗。

開啟電子郵件實體連結。

注意事項

若要檢視所有元件,請按一下 [ 開啟電子郵件實體 ] 連結以開啟完整的電子郵件實體頁面。

電子郵件摘要面板分成下列各節:

  • 傳遞詳細資料:包含威脅和對應的信賴等級、偵測技術,以及原始和最新傳遞位置的相關資訊。

  • Email詳細資料:包含電子郵件屬性的相關資訊,例如寄件者名稱、寄件者位址、接收時間、驗證詳細資料和其他數個其他詳細資料。

  • URL:根據預設,您會看到 3 個 URL 及其對應的威脅。 您一律可以選 取 [檢視所有 URL] 來展開並查看所有 URL 並加以匯出。

  • 附件:根據預設,您會看到 3 個附件。 您一律可以選 取 [檢視所有附件 ] 以展開並查看所有附件。

除了上述章節之外,您也會看到與摘要面板整合的少數體驗特定區段:

  • 提交:

    • 提交詳細資料:包含特定提交的相關資訊,例如:

      • 提交日期
      • 主旨
      • 提交類型
      • 提交的原因
      • 提交識別碼
      • 提交者

    • 結果詳細資料:會檢閱提交的訊息。 您可以查看提交的結果,以及任何建議的後續步驟。

  • 檢疫:

    • 隔離詳細資料:包含隔離特定的詳細資料。 如需詳細資訊,請 參閱管理隔離的郵件

      • 到期:郵件會自動從隔離區永久刪除的日期/時間。
      • 已釋出給:該封郵件曾釋出至的所有電子郵件地址 (如果有的話)。
      • 尚未釋出給:該封郵件尚未釋出至的所有電子郵件地址 (如果有的話)。

    • 隔離動作:如需不同隔離動作的詳細資訊,請 參閱管理隔離的郵件