關於威脅總管和 適用於 Office 365 的 Microsoft Defender 中的即時偵測

• 適用於:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用 Office 365 方案 2 Microsoft Defender 全面偵測回應 中的功能嗎？ 在 Microsoft Defender 入口網站試用中樞使用 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

已在其訂用帳戶中包含 適用於 Office 365 的 Microsoft Defender 或以附加元件方式購買的 Microsoft 365 組織具有 Explorer (也稱為威脅總管) 或即時偵測。 這些功能是功能強大、近乎即時的報告工具，可協助安全性作業 (SecOps) 小組調查和回應威脅。

根據您的訂用帳戶，Microsoft Defender 入口網站的 [Email & 共同作業] 區段中提供威脅總管或即時偵測https://security.microsoft.com：

• 適用於 Office 365 的 Defender方案 1 提供即時偵測。 即時偵測頁面可直接在 https://security.microsoft.com/realtimereportsv3取得。

  

• 適用於 Office 365 的 Defender方案 2 提供威脅總管。 [總管] 頁面可直接在 https://security.microsoft.com/threatexplorerv3取得。

  

威脅總管包含與即時偵測相同的資訊和功能，但具有下列其他功能：

• 更多檢視。
• 更多屬性篩選選項，包括儲存查詢的選項。
• 其他動作。

如需 適用於 Office 365 的 Defender 方案 1 和方案 2 之間差異的詳細資訊，請參閱 適用於 Office 365 的 Defender 方案 1 與計劃 2 小秘技。

本文的其餘部分說明威脅總管和即時偵測中可用的檢視和功能。

提示

如需使用威脅總管和即時偵測的電子郵件案例，請參閱下列文章：

• 威脅總管中的威脅搜捕和 適用於 Office 365 的 Microsoft Defender 中的即時偵測
• 在 適用於 Office 365 的 Microsoft Defender 中使用威脅總管和即時偵測來 Email 安全性
• 調查 Microsoft 365 中傳遞的惡意電子郵件

威脅總管和即時偵測的許可權和授權

若要使用 Explorer 或即時偵測，您必須獲指派許可權。 您有下列選項：

• Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) (只會影響Defender入口網站，而不會影響PowerShell) ：
  • 電子郵件和 Teams 訊息標頭的讀取許可權：安全性作業/原始資料 (電子郵件 & 共同作業) /Email & 共同作業元數據， (讀取) 。
  • 預覽和下載電子郵件訊息：安全性作業/原始數據 (電子郵件 & 共同作業) /Email & 共同作業內容， (讀取) 。
  • 補救惡意電子郵件：安全性作業/安全性資料/Email & 共同作業進階動作 (管理) 。
• 在 Microsoft Defender 入口網站中 Email & 共同作業許可權：
  • 完整存取： 組織管理 或安全性 系統管理員 角色群組中的成員資格。 需要更多權限才能執行所有可用的動作：
    • 預覽和下載訊息：需要 預覽 角色，預設只會指派給 數據 處理者或 電子檔探索管理員 角色群組。 或者，您可以建立已指派預覽角色的新角色群組，並將使用者新增至自定義角色群組。
    • 將郵件移入信箱並從信箱中刪除郵件：需要預設僅指派給數據管理或組織管理角色群組的 搜尋 和清除角色。 或者，您可以建立已指派 搜尋 和清除角色的新角色群組，並將使用者新增至自定義角色群組。
  • 唯讀存取： 安全性讀取者 角色群組中的成員資格。
• Microsoft Entra 權限：這些角色的成員資格會為使用者提供 Microsoft 365 中其他功能的必要許可權和許可權：
  • 完整存取：全域 管理員 或 安全性系統管理員 角色中的成員資格。
  • 搜尋：安全性系統管理員或安全性讀取者角色中的成員資格中，Exchange 郵件流程規則 (傳輸規則) 名稱。
  • 唯讀存取： 全域讀取者 或 安全性讀取者 角色中的成員資格。

提示

稽核記錄專案會在系統管理員預覽或下載電子郵件訊息時產生。 您可以依使用者搜尋系統管理員稽核記錄，以取得 AdminMailAccess 活動。 如需指示，請參閱稽核新 搜尋。

若要使用威脅總管或即時偵測，您必須獲指派訂用帳戶中包含 適用於 Office 365 的 Defender (的授權，或附加元件授權) 。

威脅總管或即時偵測包含指派 適用於 Office 365 的 Defender 授權的用戶數據。

威脅總管和即時偵測的元素

威脅總管和即時偵測包含下列元素：

• 檢視：頁面頂端的索引標籤，可組織依威脅的偵測。 檢視會影響頁面上其餘的數據和選項。

  下表列出威脅總管和即時偵測中的可用檢視：

  檢視	威脅 總管	即時 檢測	描述
  所有電子郵件	✔		威脅總管的預設檢視。 外部使用者傳送至組織的所有電子郵件訊息，或組織內部用戶之間傳送電子郵件的相關信息。
  惡意程式碼	✔	✔	即時偵測的預設檢視。 包含惡意代碼的電子郵件訊息相關信息。
  網路釣魚	✔	✔	包含網路釣魚威脅的電子郵件訊息相關信息。
  活動	✔		適用於 Office 365 的 Defender 方案 2 識別為協調網路釣魚或惡意代碼營銷活動的一部分之惡意電子郵件的相關信息。
  內容惡意代碼	✔	✔	下列功能所偵測到惡意檔案的相關信息： SharePoint、OneDrive 和 Microsoft Teams 中的內建病毒防護 Sharepoint、OneDrive 和 Microsoft Teams 的安全附件
  URL 點選	✔		用戶在電子郵件訊息、Teams 訊息、SharePoint 檔案和 OneDrive 檔案中按兩下 URL 的相關信息。

  本文將詳細說明這些檢視，包括威脅總管與即時偵測之間的差異。

• 日期/時間篩選：根據預設，檢視會依昨天和今天進行篩選。 若要變更日期篩選，請選取日期範圍，然後選取 [ 開始日期 ] 和 [ 結束日期 ] 值，最多 30 天前。

  

• 屬性篩選 (查詢) ：依可用的訊息、檔案或威脅屬性篩選檢視中的結果。 可用的可篩選屬性取決於檢視。 某些屬性可在許多檢視中使用，而其他屬性則僅限於特定檢視。

  本文列出每個檢視的可用屬性篩選，包括威脅總管與即時偵測之間的差異。

  如需建立屬性篩選的指示，請參閱威脅總管 中的屬性篩選和即時偵測

  威脅總管可讓您儲存查詢以供稍後使用，如在 威脅總管中儲存的查詢一節中 所述。

• 圖表：每個檢視都包含已篩選或未篩選數據的視覺、匯總表示。 您可以使用可用的樞紐，以不同的方式組織圖表。

  您通常可以使用 匯出圖表數據 ，將篩選或未篩選的圖表數據匯出至 CSV 檔案。

  本文將詳細說明圖表和可用的數據透視表，包括威脅總管與即時偵測之間的差異。

  提示

  若要從頁面移除圖表 (將詳細數據區域大小最大化) ，請使用下列其中一種方法：

  • 選取頁面頂端的 [圖表檢視>列表檢視]。
  • 選取 [顯示 圖表與詳細數據區域之間的列表檢視]。

• 詳細數據區域：檢視的詳細數據區域通常會顯示包含已篩選或未篩選數據的數據表。 您可以使用可用的檢視 (索引標籤) ，以不同的方式組織詳細數據區域中的數據。 例如，檢視可能包含圖表、地圖或不同的數據表。

  如果詳細數據區域包含數據表，您通常可以使用 Export 選擇性地將最多 200,000 個篩選或未篩選的結果匯出至 CSV 檔案。

  提示

  在 [ 匯出 ] 飛出視窗中，您可以選取要匯出的部分或所有可用屬性。 每個用戶都會儲存選取專案。 在關閉網頁瀏覽器之前，會儲存 Incognito 或 InPrivate 流覽模式中的選取專案。

威脅總管中的所有電子郵件檢視

[威脅總管] 中的 [ 所有電子郵件 ] 檢視會顯示外部使用者傳送至組織的所有電子郵件訊息，以及組織中內部用戶之間所傳送電子郵件的相關信息。 此檢視會顯示惡意和非惡意電子郵件。 例如：

• Email識別網路釣魚或惡意代碼。
• Email 識別為垃圾郵件或大量垃圾郵件。
• Email 識別沒有威脅。

此檢視是威脅總管中的預設值。 若要在 Defender https://security.microsoft.com入口網站的 [總管] 頁面上開啟 [所有電子郵件] 檢視，請移至 [Email & 共同作業>總管>所有電子郵件] 索引卷標。或者，使用 https://security.microsoft.com/threatexplorerv3直接移至 [總管] 頁面，然後確認已選取 [所有電子郵件] 索引卷標。

威脅總管中 [所有電子郵件] 檢視中的可篩選屬性

根據預設，不會將任何屬性篩選套用至數據。 The steps to create filters (queries) are described in the Filters in Threat Explorer and Real-time detections section later in this article.

下表說明 [所有電子郵件] 檢視中 [傳遞] 動作方塊中可用的可篩選屬性：

屬性	類型
基本
寄件者位址	文字。 以逗號分隔多個值。
收件者	文字。 以逗號分隔多個值。
寄件者網域	文字。 以逗號分隔多個值。
收件者網域	文字。 以逗號分隔多個值。
主旨	文字。 以逗號分隔多個值。
寄件者顯示名稱	文字。 以逗號分隔多個值。
寄件者郵件寄件者位址	文字。 以逗號分隔多個值。
來自網域的寄件者郵件	文字。 以逗號分隔多個值。
傳回路徑	文字。 以逗號分隔多個值。
傳回路徑網域	文字。 以逗號分隔多個值。
惡意代碼系列	文字。 以逗號分隔多個值。
標記	文字。 以逗號分隔多個值。 如需使用者標籤的詳細資訊，請參閱 使用者標籤。
模擬網域	文字。 以逗號分隔多個值。
模擬使用者	文字。 以逗號分隔多個值。
Exchange 傳輸規則	文字。 以逗號分隔多個值。
數據外泄防護規則	文字。 以逗號分隔多個值。
上下文	選取一或多個值： 評估 優先順序帳戶保護
連接器	文字。 以逗號分隔多個值。
傳遞動作	選取一或多個值： 已封鎖：Email 已隔離、傳遞失敗或已卸除的訊息。 已傳遞：Email 傳遞至使用者的 [收件匣] 或其他使用者可以存取訊息的資料夾。 傳遞至垃圾郵件：Email 傳遞至使用者可存取郵件的垃圾郵件 Email資料夾或 [刪除的郵件] 資料夾。 已取代：在安全附件原則 中由動態傳遞取代的訊息附件。
其他動作	選取一或多個值： 自動化補救 動態傳遞：如需詳細資訊，請參閱 安全附件原則中的動態傳遞。 手動補救 無 隔離發行 重新處理：訊息已追溯識別為良好。 ZAP：如需詳細資訊，請參閱 適用於 Office 365 的 Microsoft Defender 中的零時差自動清除 (ZAP) 。
Directionality	選取一或多個值： 入境 Intra-irg 出埠
偵測技術	選取一或多個值： 進階篩選：以機器學習為基礎的訊號。 反惡意程式碼保護 大量 行銷活動 網域信譽 檔案損毀： 安全附件在 惡意分析期間偵測到惡意附件。 檔案損毀信譽：其他 Microsoft 365 組織中安全附件先前偵測到 的檔案附件 。 檔案信譽：此訊息包含先前在其他 Microsoft 365 組織中識別為惡意的檔案。 指紋比對：此訊息與先前偵測到的惡意訊息非常類似。 一般篩選 模擬品牌：傳送者模擬知名品牌。 模擬網域：模擬您在反網路釣魚原則中擁有或指定保護的發件者網域 模擬使用者 IP 信譽 信箱智慧模擬：反網路釣魚原則中來自信箱智慧的模擬 偵測。 混合分析偵測：多個篩選條件對訊息決策有貢獻。 詐騙 DMARC：訊息 DMARC 驗證失敗。 詐騙外部網域：發件者電子郵件位址是使用組織外部的網域進行詐騙。 詐騙組織內部：寄件者電子郵件位址使用組織內部的網域進行詐騙。 URL 損毀信譽：先前由其他 Microsoft 365 組織 的安全連結 入侵所偵測到的 URL。 URL 惡意信譽：此訊息包含先前在其他 Microsoft 365 組織中識別為惡意的 URL。
原始傳遞位置	選取一或多個值： [刪除的郵件] 資料夾 下降 已失敗 收件匣/資料夾 垃圾郵件資料夾 內部部署/外部 隔離區 Unknown
最新的傳遞位置¹	與原始傳遞位置相同的值
網路釣魚信賴等級	選取一或多個值： High 一般
主要覆寫	選取一或多個值： 組織原則允許 用戶原則允許 組織原則封鎖 遭到使用者原則封鎖 無
主要覆寫來源	訊息可以有多個允許或封鎖覆寫，如 覆寫來源中所識別。 最終允許或封鎖訊息的覆寫會在 主要覆寫來源中識別。 選取一或多個值： 第三方篩選 管理員 起始的時間移動 (ZAP) 依文件類型封鎖反惡意代碼原則 反垃圾郵件原則設定 線上原則 Exchange 傳輸規則 使用者覆寫) (獨佔模式 因為內部部署組織而略過篩選 來自原則的IP區域篩選 來自原則的語言篩選 網路釣魚模擬 隔離發行 SecOps 信箱 覆寫) (管理員 發件者位址清單 使用者覆寫) (寄件者位址清單 覆寫) (管理員 發件者網域清單 寄件者網域清單 (用戶覆寫) 租用戶允許/封鎖清單檔案區塊 租用戶允許/封鎖清單發件者電子郵件位址區塊 租用戶允許/封鎖清單詐騙區塊 租用戶允許/封鎖清單 URL 區塊 受信任的聯繫人清單 (用戶覆寫) 受信任的網域 (用戶覆寫) 受信任的收件者 (用戶覆寫) 受信任的寄件者僅 (用戶覆寫)
覆寫來源	與主要覆寫來源相同的值
原則類型	選取一或多個值： 反惡意程式碼原則 防網路釣魚原則 Exchange 傳輸規則 (郵件流程規則) 、 託管內容篩選 原則 (反垃圾郵件原則) 、託管 輸出垃圾郵件篩選原則 (輸出垃圾郵件原則) 、 安全附件原則 Unknown
原則動作	選取一或多個值： 新增 x 標頭 密件抄送訊息 刪除郵件 修改主旨 移至垃圾 Email資料夾 未採取任何動作 重新導向訊息 傳送至隔離
威脅類型	選取一或多個值： 惡意程式碼 網路釣魚 垃圾郵件
轉寄的訊息	選取一或多個值： True False
通訊群組清單	文字。 以逗號分隔多個值。
Email 大小	整數。 以逗號分隔多個值。
進階
因特網訊息標識碼	文字。 以逗號分隔多個值。 可在訊息標頭的 [訊息標識 符標頭] 欄位中取得。 範例值是 <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (記下角括弧) 。
網路訊息標識碼	文字。 以逗號分隔多個值。 在訊息標頭的 X-MS-Exchange-Organization-Network-Message-Id 標頭字段中可用的 GUID 值。
寄件者 IP	文字。 以逗號分隔多個值。
附件SHA256	文字。 以逗號分隔多個值。
叢集標識碼	文字。 以逗號分隔多個值。
警示標識碼	文字。 以逗號分隔多個值。
警示原則標識碼	文字。 以逗號分隔多個值。
營銷活動標識碼	文字。 以逗號分隔多個值。
ZAP URL 訊號	文字。 以逗號分隔多個值。
Urls
URL 計數	整數。 以逗號分隔多個值。
URL 網域²	文字。 以逗號分隔多個值。
URL 網域和路徑²	文字。 以逗號分隔多個值。
URL²	文字。 以逗號分隔多個值。
URL 路徑²	文字。 以逗號分隔多個值。
URL 來源	選取一或多個值： 附件 雲端附件 Email 主體 Email標頭 QR 代碼 主旨 Unknown
按兩下決策	選取一或多個值： 允許：允許用戶開啟 URL。 封鎖覆寫：已封鎖使用者直接開啟 URL，但他們會覆寫區塊以開啟 URL。 已封鎖：已封鎖用戶開啟 URL。 錯誤：使用者看到錯誤頁面，或擷取決策時發生錯誤。 失敗：擷取決策時發生未知的例外狀況。 使用者可能已開啟 URL。 無：無法擷取 URL 的決策。 使用者可能已開啟 URL。 暫止的決策：使用者看到擱置中的擱置頁面。 略過暫止的決策：使用者看到遭到竊聽的頁面，但他們會覆寫訊息以開啟 URL。
URL 威脅	選取一或多個值： 惡意程式碼 網路釣魚 垃圾郵件
檔案
附件計數	整數。 以逗號分隔多個值。
附件檔名	文字。 以逗號分隔多個值。
檔案類型	文字。 以逗號分隔多個值。
副檔名	文字。 以逗號分隔多個值。
檔案大小	整數。 以逗號分隔多個值。
驗證
SPF	選取一或多個值： 失敗 中性 無 通過 永久錯誤 Soft fail 暫時性錯誤
DKIM	選取一或多個值： 錯誤 失敗 Ignore 無 通過 Test Timeout Unknown
DMARC	選取一或多個值： 最佳猜測傳遞 失敗 無 通過 永久錯誤 選取器通過 暫時性錯誤 Unknown
複合	選取一或多個值： 失敗 無 通過 軟傳遞

提示

¹ 最新的傳遞位置 不包含訊息上的用戶動作。 例如，如果使用者刪除訊息，或將訊息移至封存或 PST 檔案。

在某些情況下，原始傳遞位置最新傳遞位置/和/或傳遞動作的值為 Unknown。 例如：

• 郵件是在傳遞動作 (傳遞) 傳遞，但收件匣規則會將郵件移至 [收件匣] 或 [壟 Email 圾郵件] 資料夾以外的預設資料夾 (例如，[草稿] 或 [封存] 資料夾) 。
• ZAP 嘗試在傳遞之後移動訊息，但找不到訊息 (例如，使用者已移動或刪除訊息) 。

² 除非明確指定另一個值，否則 URL 搜尋預設會對應至 http。 例如：

• http://在 URL、URL 網域和 URL網域和路徑中搜尋前置詞時，應該會顯示相同的結果。
• URL 中前置詞的 https:// 搜尋。 未指定任何值時， http:// 會假設前置詞。
• / 在 URL路徑的開頭和結尾， 會忽略URL網域、 URL網域和路徑字 段。
• /忽略 URL 欄位結尾處的 。

威脅總管中 [所有電子郵件] 檢視中圖表的數據透視表

圖表具有預設檢視，但您可以從 [選取直 方圖的樞紐 ] 中選取值，以變更已篩選或未篩選圖表數據的組織和顯示方式。

下列小節說明可用的圖表樞紐。

威脅總管中 [所有電子郵件] 檢視中的傳遞動作圖表樞紐

雖然預設不會選取此樞紐，但 [傳遞] 動作 是 [ 所有電子郵件 ] 檢視中的預設圖表樞紐。

傳遞動作樞紐會依針對指定日期/時間範圍和屬性篩選器的訊息所採取的動作來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個傳遞動作的計數。

威脅總管中 [所有電子郵件] 檢視中的發件者網域圖表樞紐

寄件者網域樞紐會依訊息中的網域，針對指定的日期/時間範圍和屬性篩選來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個發件者網域的計數。

威脅總管中 [所有電子郵件] 檢視中的寄件者 IP 圖表樞紐

寄件者 IP 樞紐會依指定日期/時間範圍和屬性篩選的訊息來源 IP 位址來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個寄件者IP位址的計數。

威脅總管中 [所有電子郵件] 檢視中的偵測技術圖表樞紐

偵 測技術 樞紐會依識別指定日期/時間範圍和屬性篩選之訊息的功能來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個偵測技術的計數。

威脅總管中 [所有電子郵件] 檢視中的完整 URL 圖表樞紐

完整 URL 樞紐會依據訊息中指定日期/時間範圍和屬性篩選條件的完整 URL 來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個完整 URL 的計數。

威脅總管中 [所有電子郵件] 檢視中的 URL 網域圖表樞紐

URL 網域樞紐會依訊息中URL中的網域，針對指定的日期/時間範圍和屬性篩選來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個URL網域的計數。

威脅總管中 [所有電子郵件] 檢視中的 URL 網域和路徑圖表樞紐

URL 網域和路徑樞紐會依指定日期/時間範圍和屬性篩選條件之訊息中 URL 中的網域和路徑來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個URL網域和路徑的計數。

威脅總管中 [所有電子郵件] 檢視詳細數據區域的檢視

下列小節說明 [ 所有電子郵件 檢視] 詳細數據區域中) 的可用檢視 (索引標籤。

Email 威脅總管中 [所有電子郵件] 檢視的詳細數據區域檢視

Email 是 [所有電子郵件] 檢視中詳細數據區域的預設檢視。

Email 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (^*)：

• 日期^*
• 主題^*
• 收件者^*
• 收件者網域
• 標籤^*
• 寄件者位址^*
• 寄件者顯示名稱
• 寄件者網域^*
• 寄件者 IP
• 寄件者郵件寄件者位址
• 來自網域的寄件者郵件
• 其他動作^*
• 傳遞動作
• 最新的傳遞位置^*
• 原始傳遞位置^*
• 系統覆寫來源
• 系統覆寫
• 警示標識碼
• 因特網訊息標識碼
• 網路訊息標識碼
• 郵件語言
• Exchange 傳輸規則
• Connector
• 上下文
• 數據外泄防護規則
• 威脅類型^*
• 偵測技術
• 附件計數
• URL 計數
• Email 大小

提示

若要查看所有資料行，您可能需要執行下列一或多個步驟：

• 在網頁瀏覽器中水平捲動。
• 縮小適當數據行的寬度。
• 從檢視中移除數據行。
• 縮小網頁瀏覽器。

每個用戶都會儲存自定義的數據行設定。 在關閉網頁瀏覽器之前，會儲存 Incognito 或 InPrivate 流覽模式中的自訂資料行設定。

當您選取第一個數據行旁邊的複選框，從清單中選取一或多個專案時，可以使用 [訊息動作 ]。 如需詳細資訊，請參閱威脅搜捕：Email 補救。

在專案的 [主旨] 值中，可以使用 [在新視窗中開啟] 動作。 此動作會在 Email 實體頁面中開啟訊息。

當您按下專案中的 [ 主旨 ] 或 [ 收件者 ] 值時，會開啟詳細數據飛出視窗。 下列小節說明這些飛出視窗。

從 [所有電子郵件] 檢視中詳細數據區域的 Email 檢視 Email 詳細數據

當您選取資料表中專案的 [ 主旨 ] 值時，會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板，並包含訊息 Email 實體頁面上也提供的標準化摘要資訊。

如需 Email 摘要面板中資訊的詳細資訊，請參閱 Defender 中的 Email 摘要面板。

下列動作位於威脅總管和即時偵測 Email 摘要面板頂端：

• 開啟電子郵件實體
• 檢視標頭
• 採取動作：如需詳細資訊，請參閱 使用採取動作進行補救。
• 其他選項：
  • Email preview¹ ²
  • 下載電子郵件¹ ² ³
  • 在總管中檢視
  • Go 搜捕⁴

¹ Email 預覽和下載電子郵件動作需要 Email & 共同作業許可權中的預覽角色。 根據預設，此角色會指派給 數據 處理者和 電子檔探索管理員 角色群組。 根據預設， 組織管理 或 安全性系統管理員 角色群組的成員無法執行這些動作。 若要允許這些群組成員的這些動作，您有下列選項：

• 將使用者新增至 數據 處理者或 電子檔探索管理員 角色群組。
• Create 指派 搜尋 和清除角色的新角色群組，並將使用者新增至自定義角色群組。

² 您可以預覽或下載 Microsoft 365 信箱中提供的電子郵件訊息。 信箱中不再提供郵件的範例包括：

• 訊息在傳遞或傳遞失敗之前已卸除。
• 郵件已 虛刪除 (從 [刪除的專案] 資料夾中刪除，這會將訊息移至 [可復原的專案\刪除] 資料夾) 。
• ZAP 已將郵件移至隔離區。

³ 下載電子郵件 不適用於已隔離的郵件。 請 改為從隔離區下載受密碼保護的郵件複本。

⁴ Go 搜尋 僅適用於威脅總管。 它無法在即時偵測中使用。

[所有電子郵件] 檢視中詳細數據區域 Email 檢視中的收件者詳細數據

當您按下 [ 收件者 ] 值來選取專案時，會開啟詳細數據飛出視窗，其中包含下列資訊：

提示

若要查看其他收件者的詳細數據而不離開詳細數據飛出視窗，請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

• 摘要 區段：

  • 角色：收件者是否已指派任何系統管理員角色。
  • 原則：
    • 使用者是否有許可權查看封存資訊。
    • 使用者是否有許可權查看保留資訊。
    • 數據外洩防護 (DLP) 是否涵蓋使用者。
    • 行動 管理 是否涵蓋使用者，請參 https://portal.office.com/EAdmin/Device/IntuneInventory.aspx閱 。

• Email 節：顯示下列傳送給收件者之郵件相關信息的數據表：

  • Date
  • 主旨
  • 收件者

  選 取 [檢視所有電子郵件 ]，以在收件者篩選的新索引卷標中開啟 [威脅總管]。

• 最近的警示 區段：顯示下列相關最近警示相關信息的數據表：

  • 嚴重性
  • 警示原則
  • 類別
  • 活動

  如果有三個以上的最近警示，請選取 [ 檢視所有最近的警示 ] 以查看所有警示。

  • 最近的活動 區段：顯示收件者稽核 記錄搜尋 的摘要結果：

    • Date
    • IP 位址
    • 活動
    • 項目

    如果收件者有三個以上的稽核記錄專案，請選 取 [檢視所有最近的活動 ] 以查看所有專案。

  提示

  Email & 共同作業許可權中的安全性系統管理員角色群組成員無法展開 [最近的活動] 區段。 您必須是已指派稽核記錄、資訊保護分析師或 資訊保護 處理者角色 Exchange Online 許可權中的角色群組成員。 根據預設，這些角色會指派給記錄管理、合規性管理、資訊保護、資訊保護 分析師、資訊保護 調查人員和組織管理角色群組。 您可以將安全性系統管理員的成員新增至這些角色群組，也可以使用指派的稽核記錄角色來建立新的角色群組。

URL 按兩下 [威脅總管] 中 [所有電子郵件] 檢視詳細資料區域的檢視

[URL 點選] 檢視會顯示可使用樞紐進行組織的圖表。 圖表具有預設檢視，但您可以從 [選取直 方圖的樞紐 ] 中選取值，以變更已篩選或未篩選圖表數據的組織和顯示方式。

下列小節說明圖表樞紐。

提示

在 [威脅總管] 中，URL 中的每個樞紐 點選 檢視都有 [ 檢視全部點選 ] 動作，可在新的索引卷標中開啟 URL 點選檢視 。

URL 的 URL 網域樞紐按兩下 [威脅總管] 中 [所有電子郵件] 檢視詳細資料區域的檢視

雖然未選取此圖表樞紐，但 URL網域 是 URL點選 檢視中的預設圖表樞紐。

URL 網域樞紐會針對指定的日期/時間範圍和屬性篩選器，在電子郵件訊息的 URL 中顯示不同的網域。

將滑鼠停留在圖表中的數據點上，會顯示每個URL網域的計數。

針對 [威脅總管] 中 [所有電子郵件] 檢視的詳細數據區域，單擊 [URL] 的決策樞紐

[單擊] 決策樞紐會針對指定的日期/時間範圍和屬性篩選器，顯示電子郵件訊息中所按 URL 的不同決策。

將滑鼠停留在圖表中的數據點上，會顯示每個點選決策的計數。

URL 的 URL 樞紐會按兩下 [威脅總管] 中 [所有電子郵件] 檢視詳細數據區域的檢視

URL 樞紐會顯示針對指定日期/時間範圍和屬性篩選器，在電子郵件訊息中按兩下的不同 URL。

將滑鼠停留在圖表中的數據點上會顯示每個 URL 的計數。

URL 的 URL 網域和路徑樞紐按兩下 [威脅總管] 中 [所有電子郵件] 檢視詳細資料區域的檢視

URL 網域和路徑樞紐會針對指定的日期/時間範圍和屬性篩選器，顯示在電子郵件訊息中按兩下的不同網域和 URL 檔案路徑。

將滑鼠停留在圖表中的數據點上，會顯示每個URL網域和檔案路徑的計數。

威脅總管中 [所有電子郵件] 檢視詳細數據區域的頂端URL檢視

[最上層 URL] 檢視會顯示詳細數據表。 您可以按下可用的資料列標頭來排序專案：

• URL
• 已封鎖的訊息
• 郵件已垃圾
• 傳遞的訊息

[所有電子郵件] 檢視的前一個URL詳細數據

當您按下第一欄旁邊複選框以外的任何數據列來選取專案時，會開啟詳細數據飛出視窗，其中包含下列資訊：

提示

若要在不離開詳細數據飛出視窗的情況下查看其他 URL 的詳細數據，請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

• 飛出視窗頂端有下列動作可用：

  • 開啟 URL 頁面

  • 提交以進行分析：

    • 報表清除
    • 報告網路釣魚
    • 報告惡意代碼

  • 管理指標：

    • 新增指標
    • 在租用戶區塊清單中管理

    選取其中任一選項會帶您前往 Defender 入口網站中的 [ 提交 ] 頁面。

  • 其他：

    • 在總管中檢視
    • Go 搜捕
• 原始 URL
• 偵測 區段：
  • 威脅情報決策
  • x 作用中警示 y 事件：水平條形圖，顯示與此連結相關的 高、 中、 低和 資訊 警示數目。
  • 在 URL 頁面中檢視所有事件 & 警示的連結。
• 網域詳細數據 區段：
  • 功能變數名稱 和 [ 檢視網域] 頁面的連結。
  • 註冊
  • 註冊於
  • 更新日期
  • 到期日
• 註冊連絡人資訊 區段：
  • 處長
  • 國家/地區
  • 郵寄地址
  • 電子郵件
  • 電話
  • 詳細資訊：在 Whois 開啟的連結。
• 過去 30 天的 URL 普遍 () 節：包含裝置、Email 和點選次數。 選取每個值以檢視完整清單。
• 裝置：顯示受影響的裝置：

  • 日期 (第一個/最後一個)

  • 裝置

    如果涉及兩個以上的裝置，請選 取 [檢視所有裝置 ] 以查看所有裝置。

威脅總管中 [所有電子郵件] 檢視詳細數據區域的 [最上層按兩下] 檢視

[按滑鼠頂端] 檢視會顯示詳細數據表。 您可以按下可用的資料列標頭來排序專案：

• URL
• 封鎖
• 允許
• 區塊覆寫
• 暫止的決策
• 略過暫止的決策
• 無
• 錯誤頁面
• 失敗

提示

已選取所有可用的數據行。 如果您選取 [自定義數據行]，就無法取消選取任何數據行。

若要查看所有資料行，您可能需要執行下列一或多個步驟：

• 在網頁瀏覽器中水平捲動。
• 縮小適當數據行的寬度。
• 縮小網頁瀏覽器。

當您按下第一個數據行旁複選框以外的任何數據列來選取專案時，會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 [ 所有電子郵件] 檢視的 [熱門 URL] 詳細數據中所述相同。

威脅總管中 [所有電子郵件] 檢視詳細數據區域的主要目標用戶檢視

[ 熱門目標使用者 ] 檢視會將數據組織成最常受到威脅之前五位收件者的數據表。 資料表包含下列資訊：

• 主要目標使用者：收件者的電子郵件位址。 如果您選取收件者位址，將會開啟詳細資料飛出視窗。 飛出視窗中的資訊與 [所有電子郵件] 檢視中詳細數據區域 Email 檢視中的 [收件者詳細數據] 中所述相同。

• 嘗試次數：如果您選取嘗試次數，威脅總管會在收件者篩選的新索引標籤中開啟。

提示

使用 Export 匯出最多 3000 位使用者的清單和對應的嘗試。

Email 威脅總管中 [所有電子郵件] 檢視詳細數據區域的原始檢視

Email 原點檢視會顯示世界地圖上的訊息來源。

威脅總管中 [所有電子郵件] 檢視詳細數據區域的營銷活動檢視

[ 營銷活動 ] 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。

數據表中的資訊與 [活動] 頁面上詳細數據表中所述的資訊相同。

當您按下 [名稱] 旁邊複選框以外的數據列中的任何位置來選取專案時，會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 營銷活動詳細數據中所述的相同。

威脅總管和即時偵測中的惡意代碼檢視

[威脅總管] 和 [即時偵測] 中的 [ 惡意代碼 ] 檢視會顯示找到包含惡意代碼的電子郵件訊息相關信息。 此檢視是即時偵測中的預設值。

若要開啟 [惡意代碼] 檢視 ，請執行下列其中一個步驟：

• 威脅總管：在Defenderhttps://security.microsoft.com入口網站的 [總管] 頁面上，移至 [Email & 共同作業>總管>惡意代碼] 索引標籤。或者，使用 https://security.microsoft.com/threatexplorerv3直接移至 [總管] 頁面，然後選取 [惡意代碼] 索引標籤。
• 即時偵測：在 Defender https://security.microsoft.com入口網站的 [即時偵測] 頁面上，移至 [Email & 共同作業>總管惡意代碼] >索引卷標。或者，使用 https://security.microsoft.com/realtimereportsv3直接移至 [實時偵測] 頁面，然後確認已選取 [惡意代碼] 索引卷標。

威脅總管和即時偵測中惡意代碼檢視中的可篩選屬性

根據預設，不會將任何屬性篩選套用至數據。 The steps to create filters (queries) are described in the Filters in Threat Explorer and Real-time detections section later in this article.

下表說明 [惡意代碼] 檢視中 [寄件者位址] 方塊中可用的可篩選屬性：

屬性	類型	威脅 總管	即時 檢測
基本
寄件者位址	文字。 以逗號分隔多個值。	✔	✔
收件者	文字。 以逗號分隔多個值。	✔	✔
寄件者網域	文字。 以逗號分隔多個值。	✔	✔
收件者網域	文字。 以逗號分隔多個值。	✔	✔
主旨	文字。 以逗號分隔多個值。	✔	✔
寄件者顯示名稱	文字。 以逗號分隔多個值。	✔	✔
寄件者郵件寄件者位址	文字。 以逗號分隔多個值。	✔	✔
來自網域的寄件者郵件	文字。 以逗號分隔多個值。	✔	✔
傳回路徑	文字。 以逗號分隔多個值。	✔	✔
傳回路徑網域	文字。 以逗號分隔多個值。	✔	✔
惡意代碼系列	文字。 以逗號分隔多個值。	✔	✔
標記	文字。 以逗號分隔多個值。 如需使用者標籤的詳細資訊，請參閱 使用者標籤。	✔
Exchange 傳輸規則	文字。 以逗號分隔多個值。	✔
數據外泄防護規則	文字。 以逗號分隔多個值。	✔
上下文	選取一或多個值： 評估 優先順序帳戶保護	✔
連接器	文字。 以逗號分隔多個值。	✔
傳遞動作	選取一或多個值： 封鎖 已傳遞 傳遞至垃圾郵件 已取代：在安全附件原則 中由動態傳遞取代的訊息附件。	✔	✔
其他動作	選取一或多個值： 自動化補救 動態傳遞：如需詳細資訊，請參閱 安全附件原則中的動態傳遞。 手動補救 無 隔離發行 重新處理 ZAP：如需詳細資訊，請參閱 適用於 Office 365 的 Microsoft Defender 中的零時差自動清除 (ZAP) 。	✔	✔
Directionality	選取一或多個值： 入境 Intra-irg 出埠	✔	✔
偵測技術	選取一或多個值： 進階篩選：以機器學習為基礎的訊號。 反惡意程式碼保護 大量 行銷活動 網域信譽 檔案損毀： 安全附件在 惡意分析期間偵測到惡意附件。 檔案損毀信譽：其他 Microsoft 365 組織中安全附件先前偵測到 的檔案附件 。 檔案信譽：此訊息包含先前在其他 Microsoft 365 組織中識別為惡意的檔案。 指紋比對：此訊息與先前偵測到的惡意訊息非常類似。 一般篩選 模擬品牌：傳送者模擬知名品牌。 模擬網域：模擬您在反網路釣魚原則中擁有或指定保護的發件者網域 模擬使用者 IP 信譽 信箱智慧模擬：反網路釣魚原則中來自信箱智慧的模擬 偵測。 混合分析偵測：多個篩選條件對訊息決策有貢獻。 詐騙 DMARC：訊息 DMARC 驗證失敗。 詐騙外部網域：發件者電子郵件位址是使用組織外部的網域進行詐騙。 詐騙組織內部：寄件者電子郵件位址使用組織內部的網域進行詐騙。 URL 擷取： 安全連結 在入侵分析期間偵測到訊息中的惡意 URL。 URL 損毀信譽：先前由其他 Microsoft 365 組織 的安全連結 入侵所偵測到的 URL。 URL 惡意信譽：此訊息包含先前在其他 Microsoft 365 組織中識別為惡意的 URL。	✔	✔
原始傳遞位置	選取一或多個值： [刪除的郵件] 資料夾 下降 已失敗 收件匣/資料夾 垃圾郵件資料夾 內部部署/外部 隔離區 Unknown	✔	✔
最新的傳遞位置	與原始傳遞位置相同的值	✔	✔
主要覆寫	選取一或多個值： 組織原則允許 用戶原則允許 組織原則封鎖 遭到使用者原則封鎖 無	✔	✔
主要覆寫來源	訊息可以有多個允許或封鎖覆寫，如 覆寫來源中所識別。 最終允許或封鎖訊息的覆寫會在 主要覆寫來源中識別。 選取一或多個值： 第三方篩選 管理員 起始的時間移動 (ZAP) 依文件類型封鎖反惡意代碼原則 反垃圾郵件原則設定 線上原則 Exchange 傳輸規則 使用者覆寫) (獨佔模式 因為內部部署組織而略過篩選 來自原則的IP區域篩選 來自原則的語言篩選 網路釣魚模擬 隔離發行 SecOps 信箱 覆寫) (管理員 發件者位址清單 使用者覆寫) (寄件者位址清單 (管理員 覆寫) 的發件者網域清單 寄件者網域清單 (用戶覆寫) 租用戶允許/封鎖清單檔案區塊 租用戶允許/封鎖清單發件者電子郵件位址區塊 租用戶允許/封鎖清單詐騙區塊 租用戶允許/封鎖清單 URL 區塊 受信任的聯繫人清單 (用戶覆寫) 受信任的網域 (用戶覆寫) 受信任的收件者 (用戶覆寫) 受信任的寄件者僅 (用戶覆寫)	✔	✔
覆寫來源	與主要覆寫來源相同的值	✔	✔
原則類型	選取一或多個值： 反惡意程式碼原則 防網路釣魚原則 Exchange 傳輸規則 (郵件流程規則) 、 託管內容篩選 原則 (反垃圾郵件原則) 、託管 輸出垃圾郵件篩選原則 (輸出垃圾郵件原則) 、 安全附件原則 Unknown	✔	✔
原則動作	選取一或多個值： 新增 x 標頭 密件抄送訊息 刪除郵件 修改主旨 移至垃圾 Email資料夾 未採取任何動作 重新導向訊息 傳送至隔離	✔	✔
Email 大小	整數。 以逗號分隔多個值。	✔	✔
進階
因特網訊息標識碼	文字。 以逗號分隔多個值。 可在訊息標頭的 [訊息標識 符標頭] 欄位中取得。 範例值是 <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (記下角括弧) 。	✔	✔
網路訊息標識碼	文字。 以逗號分隔多個值。 在訊息標頭的 X-MS-Exchange-Organization-Network-Message-Id 標頭字段中可用的 GUID 值。	✔	✔
寄件者 IP	文字。 以逗號分隔多個值。	✔	✔
附件SHA256	文字。 以逗號分隔多個值。	✔	✔
叢集標識碼	文字。 以逗號分隔多個值。	✔	✔
警示標識碼	文字。 以逗號分隔多個值。	✔	✔
警示原則標識碼	文字。 以逗號分隔多個值。	✔	✔
營銷活動標識碼	文字。 以逗號分隔多個值。	✔	✔
ZAP URL 訊號	文字。 以逗號分隔多個值。	✔	✔
Urls
URL 計數	整數。 以逗號分隔多個值。	✔	✔
URL 網域	文字。 以逗號分隔多個值。	✔	✔
URL 網域和路徑	文字。 以逗號分隔多個值。	✔	✔
URL	文字。 以逗號分隔多個值。	✔	✔
URL 路徑	文字。 以逗號分隔多個值。	✔	✔
URL 來源	選取一或多個值： 附件 雲端附件 Email 主體 Email標頭 QR 代碼 主旨 Unknown	✔	✔
按兩下決策	選取一或多個值： 允許 區塊覆寫 封鎖 錯誤 失敗 無 暫止的決策 略過暫止的決策	✔	✔
URL 威脅	選取一或多個值： 惡意程式碼 網路釣魚 垃圾郵件	✔	✔
檔案
附件計數	整數。 以逗號分隔多個值。	✔	✔
附件檔名	文字。 以逗號分隔多個值。	✔	✔
檔案類型	文字。 以逗號分隔多個值。	✔	✔
副檔名	文字。 以逗號分隔多個值。	✔	✔
檔案大小	整數。 以逗號分隔多個值。	✔	✔
驗證
SPF	選取一或多個值： 失敗 中性 無 通過 永久錯誤 Soft fail 暫時性錯誤	✔	✔
DKIM	選取一或多個值： 錯誤 失敗 Ignore 無 通過 Test Timeout Unknown	✔	✔
DMARC	選取一或多個值： 最佳猜測傳遞 失敗 無 通過 永久錯誤 選取器通過 暫時性錯誤 Unknown	✔	✔
複合	選取一或多個值： 失敗 無 通過 軟傳遞

威脅總管和即時偵測中惡意代碼檢視中圖表的數據透視表

圖表具有預設檢視，但您可以從 [選取直 方圖的樞紐 ] 中選取值，以變更已篩選或未篩選圖表數據的組織和顯示方式。

下表列出 [威脅總管] 和 [實時偵測] 中 [ 惡意代碼 ] 檢視中可用的圖表樞紐：

Pivot	威脅 總管	即時 檢測
惡意代碼系列	✔
寄件者網域	✔
寄件者 IP	✔
傳遞動作	✔	✔
偵測技術	✔	✔

下列小節說明可用的圖表樞紐。

威脅總管中惡意代碼檢視中的惡意代碼系列圖表樞紐

雖然預設不會選取此樞紐，但 惡意代碼系列 是 [威脅總管] 中 [ 惡意代碼 ] 檢視中的默認圖表樞紐。

惡意代碼系列樞紐會依在訊息中偵測到的指定日期/時間範圍和屬性篩選器中偵測到的惡意代碼系列來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個惡意代碼系列的計數。

[威脅總管] 中 [惡意代碼] 檢視中的發件者網域圖表樞紐

寄件者網域樞紐會依訊息的寄件者網域組織圖表，這些訊息的網域發現包含指定日期/時間範圍和屬性篩選器的惡意代碼。

將滑鼠停留在圖表中的數據點上，會顯示每個發件者網域的計數。

威脅總管中 [惡意代碼] 檢視中的寄件者 IP 圖表樞紐

寄件者 IP 樞紐會依找到的訊息來源 IP 位址來組織圖表，這些訊息包含指定日期/時間範圍和屬性篩選器的惡意代碼。

將滑鼠停留在圖表中的數據點上，會顯示每個來源IP位址的計數。

威脅總管和即時偵測中惡意代碼檢視中的傳遞動作圖表樞紐

雖然預設不會選取此樞紐，但 傳遞動作 是即時偵測中 [惡意代碼 ] 檢視中的默認圖表樞紐。

傳遞動作樞紐會根據找到包含指定日期/時間範圍和屬性篩選之惡意代碼的訊息所發生的狀況來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個傳遞動作的計數。

威脅總管和即時偵測中惡意代碼檢視中的偵測技術圖表樞紐

偵 測技術 樞紐會依識別訊息中所指定日期/時間範圍和屬性篩選器惡意代碼的功能來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個偵測技術的計數。

威脅總管和即時偵測中惡意代碼檢視詳細數據區域的檢視

下表列出 [ 惡意 代碼] 檢視詳細數據區域中) 的可用檢視 (索引標籤，如下列小節所述。

檢視	威脅 總管	即時 檢測
電子郵件	✔	✔
主要惡意代碼系列	✔
熱門目標使用者	✔
Email 原點	✔
行銷活動	✔

Email 威脅總管和即時偵測中惡意代碼檢視詳細數據區域的檢視

Email 是威脅總管和即時偵測中惡意代碼檢視詳細數據區域的預設檢視。

Email 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。

下表顯示威脅總管和即時偵測中可用的數據行。 預設值會標示星號 () ^* 。

欄	威脅 總管	即時 檢測
日期*	✔	✔
主題*	✔	✔
收件者*	✔	✔
收件者網域	✔	✔
標籤*	✔
寄件者位址*	✔	✔
寄件者顯示名稱	✔	✔
寄件者網域*	✔	✔
寄件者 IP	✔	✔
寄件者郵件寄件者位址	✔	✔
來自網域的寄件者郵件	✔	✔
其他動作*	✔	✔
傳遞動作	✔	✔
最新的傳遞位置*	✔	✔
原始傳遞位置*	✔	✔
系統覆寫來源	✔	✔
系統覆寫	✔	✔
警示標識碼	✔	✔
因特網訊息標識碼	✔	✔
網路訊息標識碼	✔	✔
郵件語言	✔	✔
Exchange 傳輸規則	✔
Connector	✔
上下文	✔	✔
數據外泄防護規則	✔	✔
威脅類型*	✔	✔
偵測技術	✔	✔
附件計數	✔	✔
URL 計數	✔	✔
Email 大小	✔	✔

提示

若要查看所有資料行，您可能需要執行下列一或多個步驟：

• 在網頁瀏覽器中水平捲動。
• 縮小適當數據行的寬度。
• 從檢視中移除數據行。
• 縮小網頁瀏覽器。

每個用戶都會儲存自定義的數據行設定。 在關閉網頁瀏覽器之前，會儲存 Incognito 或 InPrivate 流覽模式中的自訂資料行設定。

當您選取第一個數據行旁邊的複選框，從清單中選取一或多個專案時，可以使用 [訊息動作 ]。 如需詳細資訊，請參閱威脅搜捕：Email 補救。

當您按下專案中的 [ 主旨 ] 或 [ 收件者 ] 值時，會開啟詳細數據飛出視窗。 下列小節說明這些飛出視窗。

從惡意代碼檢視中詳細數據區域的 Email 檢視 Email 詳細數據

當您選取資料表中專案的 [ 主旨 ] 值時，會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板，且包含訊息 Email 實體頁面上也提供的標準化摘要資訊。

如需 Email 摘要面板中資訊的詳細資訊，請參閱 Email 摘要面板。

威脅總管和即時偵測 Email 摘要面板頂端的可用動作，會在 [所有電子郵件] 檢視中詳細數據區域 Email 檢視的 Email 詳細數據中說明。

惡意代碼檢視中詳細數據區域 Email 檢視中的收件者詳細數據

當您按下 [ 收件者 ] 值來選取專案時，會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 [所有電子郵件] 檢視中詳細數據區域 Email 檢視中的 [收件者詳細數據] 中所述相同。

威脅總管中惡意代碼檢視詳細數據區域的常見惡意代碼系列檢視

詳細數據區域的 [最上層惡意代碼系列 ] 檢視會將數據組織成最上層惡意代碼系列的數據表。 下表顯示：

• 主要惡意代碼系列 數據行：惡意代碼系列名稱。

  如果您選取惡意代碼系列名稱，則會開啟詳細資料飛出視窗，其中包含下列資訊：

  • Email 節：顯示包含惡意代碼檔案之訊息的下列相關信息的數據表：

    • Date
    • 主旨
    • 收件者

    選 取 [檢視所有電子郵件 ]，在依惡意代碼系列名稱篩選的新索引標籤中開啟 [威脅總管]。

  • 技術詳細數據 區段

  

• 嘗試次數：如果您選取嘗試次數，威脅總管會在依惡意代碼系列名稱篩選的新索引卷標中開啟。

威脅總管中惡意代碼檢視詳細數據區域的主要目標用戶檢視

[ 熱門目標使用者 ] 檢視會將數據組織成惡意代碼設為目標的前五個收件者數據表。 下表顯示：

• 主要目標使用者：最上層目標用戶的電子郵件位址。 如果您選取電子郵件位址，將會開啟詳細資料飛出視窗。 飛出視窗中的資訊與威脅總管中 [ 所有電子郵件] 檢視詳細數據區域的 [熱門目標使用者] 檢視中所述相同。

• 嘗試次數：如果您選取嘗試次數，威脅總管會在依惡意代碼系列名稱篩選的新索引卷標中開啟。

提示

使用 Export 匯出最多 3000 位使用者的清單和對應的嘗試。

Email 威脅總管中惡意代碼檢視詳細數據區域的原始檢視

Email 源檢視會顯示世界地圖上的訊息來源。

威脅總管中惡意代碼檢視詳細數據區域的活動檢視

[ 營銷活動 ] 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。

詳細數據數據表與 [ 活動] 頁面上的詳細數據數據表相同。

當您按下 [名稱] 旁邊複選框以外的數據列中的任何位置來選取專案時，會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 營銷活動詳細數據中所述的相同。

威脅總管和即時偵測中的網路釣魚檢視

威脅總管和即時偵測中的 網路釣魚 檢視會顯示已識別為網路釣魚的電子郵件訊息相關信息。

若要開啟 網路釣魚 檢視，請執行下列其中一個步驟：

• 威脅總管：在Defenderhttps://security.microsoft.com入口網站的 [總管] 頁面上，移至 [Email & 共同作業>總管>網络釣魚] 索引卷標。或者，使用 https://security.microsoft.com/threatexplorerv3直接移至 [總管] 頁面，然後選取 [網络釣魚] 索引卷標。
• 即時偵測：在Defenderhttps://security.microsoft.com入口網站的 [即時偵測] 頁面上，移至 [Email & 共同作業>總管網络釣魚] > 索引卷標。或者，使用 https://security.microsoft.com/realtimereportsv3直接移至 [實時偵測] 頁面，然後選取 [網络釣魚] 索引卷標。

威脅總管和即時偵測中網路釣魚檢視中的可篩選屬性

根據預設，不會將任何屬性篩選套用至數據。 The steps to create filters (queries) are described in the Filters in Threat Explorer and Real-time detections section later in this article.

下表說明 [惡意代碼] 檢視中 [寄件者位址] 方塊中可用的可篩選屬性：

屬性	類型	威脅 總管	即時 檢測
基本
寄件者位址	文字。 以逗號分隔多個值。	✔	✔
收件者	文字。 以逗號分隔多個值。	✔	✔
寄件者網域	文字。 以逗號分隔多個值。	✔	✔
收件者網域	文字。 以逗號分隔多個值。	✔	✔
主旨	文字。 以逗號分隔多個值。	✔	✔
寄件者顯示名稱	文字。 以逗號分隔多個值。	✔	✔
寄件者郵件寄件者位址	文字。 以逗號分隔多個值。	✔	✔
來自網域的寄件者郵件	文字。 以逗號分隔多個值。	✔	✔
傳回路徑	文字。 以逗號分隔多個值。	✔	✔
傳回路徑網域	文字。 以逗號分隔多個值。	✔	✔
標記	文字。 以逗號分隔多個值。 如需使用者標籤的詳細資訊，請參閱 使用者標籤。	✔
模擬網域	文字。 以逗號分隔多個值。	✔	✔
模擬使用者	文字。 以逗號分隔多個值。	✔	✔
Exchange 傳輸規則	文字。 以逗號分隔多個值。	✔
數據外泄防護規則	文字。 以逗號分隔多個值。	✔
上下文	選取一或多個值： 評估 優先順序帳戶保護	✔
連接器	文字。 以逗號分隔多個值。	✔
傳遞動作	選取一或多個值： 封鎖 已傳遞 傳遞至垃圾郵件 已取代：在安全附件原則 中由動態傳遞取代的訊息附件。	✔	✔
其他動作	選取一或多個值： 自動化補救 動態傳遞 手動補救 無 隔離發行 重新處理 幹掉	✔	✔
Directionality	選取一或多個值： 入境 Intra-irg 出埠	✔	✔
偵測技術	選取一或多個值： 進階篩選 反惡意程式碼保護 大量 行銷活動 網域信譽 檔案擷取 檔案擷取信譽 檔案信譽 指紋比對 一般篩選 模擬品牌 模擬網域 模擬使用者 IP 信譽 信箱智能模擬 混合分析偵測 詐騙 DMARC 詐騙外部網域 詐騙組織內部 URL 引爆 URL 擷取信譽 URL 惡意信譽	✔	✔
原始傳遞位置	選取一或多個值： [刪除的郵件] 資料夾 下降 已失敗 收件匣/資料夾 垃圾郵件資料夾 內部部署/外部 隔離區 Unknown	✔	✔
最新的傳遞位置	與原始傳遞位置相同的值	✔	✔
網路釣魚信賴等級	選取一或多個值： High 一般	✔
主要覆寫	選取一或多個值： 組織原則允許 用戶原則允許 組織原則封鎖 遭到使用者原則封鎖 無	✔	✔
主要覆寫來源	訊息可以有多個允許或封鎖覆寫，如 覆寫來源中所識別。 最終允許或封鎖訊息的覆寫會在 主要覆寫來源中識別。 選取一或多個值： 第三方篩選 管理員 起始的時間移動 (ZAP) 依文件類型封鎖反惡意代碼原則 反垃圾郵件原則設定 線上原則 Exchange 傳輸規則 使用者覆寫) (獨佔模式 因為內部部署組織而略過篩選 來自原則的IP區域篩選 來自原則的語言篩選 網路釣魚模擬 隔離發行 SecOps 信箱 覆寫) (管理員 發件者位址清單 使用者覆寫) (寄件者位址清單 (管理員 覆寫) 傳送者網域清單 寄件者網域清單 (用戶覆寫) 租用戶允許/封鎖清單檔案區塊 租用戶允許/封鎖清單發件者電子郵件位址區塊 租用戶允許/封鎖清單詐騙區塊 租用戶允許/封鎖清單 URL 區塊 受信任的聯繫人清單 (用戶覆寫) 受信任的網域 (用戶覆寫) 受信任的收件者 (用戶覆寫) 受信任的寄件者僅 (用戶覆寫)	✔	✔
覆寫來源	與主要覆寫來源相同的值	✔	✔
原則類型	選取一或多個值： 反惡意程式碼原則 防網路釣魚原則 Exchange 傳輸規則 (郵件流程規則) 、 託管內容篩選 原則 (反垃圾郵件原則) 、託管 輸出垃圾郵件篩選原則 (輸出垃圾郵件原則) 、 安全附件原則 Unknown	✔	✔
原則動作	選取一或多個值： 新增 x 標頭 密件抄送訊息 刪除郵件 修改主旨 移至垃圾 Email資料夾 未採取任何動作 重新導向訊息 傳送至隔離	✔	✔
Email 大小	整數。 以逗號分隔多個值。	✔	✔
進階
因特網訊息標識碼	文字。 以逗號分隔多個值。 可在訊息標頭的 [訊息標識 符標頭] 欄位中取得。 範例值是 <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (記下角括弧) 。	✔	✔
網路訊息標識碼	文字。 以逗號分隔多個值。 在訊息標頭的 X-MS-Exchange-Organization-Network-Message-Id 標頭字段中可用的 GUID 值。	✔	✔
寄件者 IP	文字。 以逗號分隔多個值。	✔	✔
附件SHA256	文字。 以逗號分隔多個值。	✔	✔
叢集標識碼	文字。 以逗號分隔多個值。	✔	✔
警示標識碼	文字。 以逗號分隔多個值。	✔	✔
警示原則標識碼	文字。 以逗號分隔多個值。	✔	✔
營銷活動標識碼	文字。 以逗號分隔多個值。	✔	✔
ZAP URL 訊號	文字。 以逗號分隔多個值。	✔
Urls
URL 計數	整數。 以逗號分隔多個值。	✔	✔
URL 網域	文字。 以逗號分隔多個值。	✔	✔
URL 網域和路徑	文字。 以逗號分隔多個值。	✔
URL	文字。 以逗號分隔多個值。	✔
URL 路徑	文字。 以逗號分隔多個值。	✔
URL 來源	選取一或多個值： 附件 雲端附件 Email 主體 Email標頭 QR 代碼 主旨 Unknown	✔	✔
按兩下決策	選取一或多個值： 允許 區塊覆寫 封鎖 錯誤 失敗 無 暫止的決策 略過暫止的決策	✔	✔
URL 威脅	選取一或多個值： 惡意程式碼 網路釣魚 垃圾郵件	✔	✔
檔案
附件計數	整數。 以逗號分隔多個值。	✔	✔
附件檔名	文字。 以逗號分隔多個值。	✔	✔
檔案類型	文字。 以逗號分隔多個值。	✔	✔
副檔名	文字。 以逗號分隔多個值。	✔	✔
檔案大小	整數。 以逗號分隔多個值。	✔	✔
驗證
SPF	選取一或多個值： 失敗 中性 無 通過 永久錯誤 Soft fail 暫時性錯誤	✔	✔
DKIM	選取一或多個值： 錯誤 失敗 Ignore 無 通過 Test Timeout Unknown	✔	✔
DMARC	選取一或多個值： 最佳猜測傳遞 失敗 無 通過 永久錯誤 選取器通過 暫時性錯誤 Unknown	✔	✔
複合	選取一或多個值： 失敗 無 通過 軟傳遞

威脅總管和即時偵測中網路釣魚檢視中圖表的數據透視

圖表具有預設檢視，但您可以從 [選取直 方圖的樞紐 ] 中選取值，以變更已篩選或未篩選圖表數據的組織和顯示方式。

下表列出威脅總管和即時偵測中 網路釣魚 檢視中可用的圖表樞紐：

Pivot	威脅 總管	即時 檢測
寄件者網域	✔	✔
寄件者 IP	✔
傳遞動作	✔	✔
偵測技術	✔	✔
完整 URL	✔
URL 網域	✔	✔
URL 網域和路徑	✔

下列小節說明可用的圖表樞紐。

威脅總管和即時偵測中網路釣魚檢視中的發件者網域圖表樞紐

雖然預設不會選取此樞紐，但 寄件者網域 是即時偵測中 網路釣魚 檢視中的默認圖表樞紐。

寄件者網域樞紐會依訊息中的網域，針對指定的日期/時間範圍和屬性篩選來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個發件者網域的計數。

威脅總管中網路釣魚檢視中的寄件者 IP 圖表樞紐

寄件者 IP 樞紐會依指定日期/時間範圍和屬性篩選的訊息來源 IP 位址來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個來源IP位址的計數。

威脅總管和即時偵測中網路釣魚檢視中的傳遞動作圖表樞紐

雖然預設不會選取此樞紐，但 傳遞動作 是威脅總管中 網路釣魚 檢視中的預設圖表樞紐。

傳遞動作樞紐會依針對指定日期/時間範圍和屬性篩選器的訊息所採取的動作來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個傳遞動作的計數。

威脅總管和即時偵測中網路釣魚檢視中的偵測技術圖表樞紐

偵 測技術 樞紐會依識別指定日期/時間範圍和屬性篩選之網路釣魚訊息的功能來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個偵測技術的計數。

威脅總管中網路釣魚檢視中的完整 URL 圖表樞紐

[完整 URL] 樞紐會依據指定日期/時間範圍和屬性篩選器的網路釣魚訊息中的完整 URL 來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個完整 URL 的計數。

威脅總管和即時偵測中網路釣魚檢視中的網域圖表樞紐

URL 網域樞紐會依網路釣魚訊息中 URL 中的網域，針對指定的日期/時間範圍和屬性篩選來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個URL網域的計數。

威脅總管中網路釣魚檢視中的 URL 網域和路徑圖表樞紐

URL 網域和路徑樞紐會依據指定日期/時間範圍和屬性篩選器的網路釣魚訊息中 URL 中的網域和路徑來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個URL網域和路徑的計數。

威脅總管中網路釣魚檢視詳細數據區域的檢視

下表列出網路釣魚 檢視詳細 數據區域中) 的可用檢視 (索引標籤，如下列小節所述。

檢視	威脅 總管	即時 檢測
電子郵件	✔	✔
URL 點選	✔	✔
前置 URL	✔	✔
最上層點擊數	✔	✔
熱門目標使用者	✔
Email 原點	✔
行銷活動	✔

Email 威脅總管和即時偵測中網路釣魚檢視詳細數據區域的檢視

Email 是威脅總管和即時偵測中網路釣魚檢視詳細數據區域的預設檢視。

Email 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。

下表顯示威脅總管和即時偵測中可用的數據行。 預設值會標示星號 () ^* 。

欄	威脅 總管	即時 檢測
日期*	✔	✔
主題*	✔	✔
收件者*	✔	✔
收件者網域	✔	✔
標籤*	✔
寄件者位址*	✔	✔
寄件者顯示名稱	✔	✔
寄件者網域*	✔	✔
寄件者 IP	✔	✔
寄件者郵件寄件者位址	✔	✔
來自網域的寄件者郵件	✔	✔
其他動作*	✔	✔
傳遞動作	✔	✔
最新的傳遞位置*	✔	✔
原始傳遞位置*	✔	✔
系統覆寫來源	✔	✔
系統覆寫	✔	✔
警示標識碼	✔	✔
因特網訊息標識碼	✔	✔
網路訊息標識碼	✔	✔
郵件語言	✔	✔
Exchange 傳輸規則	✔
Connector	✔
網路釣魚信賴等級	✔
上下文	✔
數據外泄防護規則	✔
威脅類型*	✔	✔
偵測技術	✔	✔
附件計數	✔	✔
URL 計數	✔	✔
Email 大小	✔	✔

提示

若要查看所有資料行，您可能需要執行下列一或多個步驟：

• 在網頁瀏覽器中水平捲動。
• 縮小適當數據行的寬度。
• 從檢視中移除數據行。
• 縮小網頁瀏覽器。

每個用戶都會儲存自定義的數據行設定。 在關閉網頁瀏覽器之前，會儲存 Incognito 或 InPrivate 流覽模式中的自訂資料行設定。

當您選取第一個數據行旁邊的複選框，從清單中選取一或多個專案時，可以使用 [訊息動作 ]。 如需詳細資訊，請參閱威脅搜捕：Email 補救。

當您按下專案中的 [ 主旨 ] 或 [ 收件者 ] 值時，會開啟詳細數據飛出視窗。 下列小節說明這些飛出視窗。

從網路釣魚檢視中詳細數據區域的 Email 檢視 Email 詳細數據

當您選取資料表中專案的 [ 主旨 ] 值時，會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板，並包含訊息 Email 實體頁面上也提供的標準化摘要資訊。

如需 Email 摘要面板中資訊的詳細資訊，請參閱 適用於 Office 365 的 Defender 功能中的 Email 摘要面板。

威脅總管和即時偵測 Email 摘要面板頂端的可用動作，會在 [所有電子郵件] 檢視中詳細數據區域 Email 檢視的 Email 詳細數據中說明。

網路釣魚檢視中詳細數據區域 Email 檢視中的收件者詳細數據

當您按下 [ 收件者 ] 值來選取專案時，會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 [所有電子郵件] 檢視中詳細數據區域 Email 檢視中的 [收件者詳細數據] 中所述相同。

URL 按兩下 [威脅總管] 中網路釣魚檢視詳細數據區域的檢視和即時偵測

[URL 點選] 檢視會顯示可使用樞紐進行組織的圖表。 圖表具有預設檢視，但您可以從 [選取直 方圖的樞紐 ] 中選取值，以變更已篩選或未篩選圖表數據的組織和顯示方式。

下表說明威脅總管和即時偵測中[ 惡意代碼 ] 檢視中可用的圖表樞紐：

Pivot	威脅 總管	即時 檢測
URL 網域	✔	✔
按兩下決策	✔	✔
URL	✔
URL 網域和路徑	✔

您可以針對威脅總管中的[ 所有電子郵件 ] 檢視使用並描述相同的圖表樞紐：

• URL 的 URL 網域樞紐按兩下 [威脅總管] 中 [所有電子郵件] 檢視詳細資料區域的檢視
• 針對 [威脅總管] 中 [所有電子郵件] 檢視的詳細數據區域，單擊 [URL] 的決策樞紐
• URL 的 URL 樞紐會按兩下 [威脅總管] 中 [所有電子郵件] 檢視詳細數據區域的檢視
• URL 的 URL 網域和路徑樞紐按兩下 [威脅總管] 中 [所有電子郵件] 檢視詳細資料區域的檢視

提示

在 [威脅總管] 中，URL 中的每個樞紐 點選 檢視都有 [ 檢視所有點選 ] 動作，可在新的索引卷標中開啟 [威脅總管] 中的 [URL 點擊 ] 檢視。即時偵測中無法使用此動作，因為即時偵測中無法使用 URL點選 檢視。

威脅總管和即時偵測中網路釣魚檢視詳細數據區域的頂端 URL 檢視

[最上層 URL] 檢視會顯示詳細數據表。 您可以按下可用的資料列標頭來排序專案：

• URL
• 已封鎖的訊息
• 郵件已垃圾
• 傳遞的訊息

網路釣魚檢視的前置 URL 詳細數據

當您按下第一個數據行旁複選框以外的任何數據列來選取專案時，會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 [ 所有電子郵件] 檢視的 [熱門 URL] 詳細數據中所述相同。

提示

Go 搜捕 動作只能在威脅總管中使用。 它無法在即時偵測中使用。

威脅總管和即時偵測中網路釣魚檢視詳細數據區域的按滑鼠頂端檢視

[按滑鼠頂端] 檢視會顯示詳細數據表。 您可以按下可用的資料列標頭來排序專案：

• URL
• 封鎖
• 允許
• 區塊覆寫
• 暫止的決策
• 略過暫止的決策
• 無
• 錯誤頁面
• 失敗

提示

已選取所有可用的數據行。 如果您選取 [自定義數據行]，就無法取消選取任何數據行。

若要查看所有資料行，您可能需要執行下列一或多個步驟：

• 在網頁瀏覽器中水平捲動。
• 縮小適當數據行的寬度。
• 縮小網頁瀏覽器。

當您按下第一個數據行旁複選框以外的任何數據列來選取專案時，會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 [ 所有電子郵件] 檢視的 [熱門 URL] 詳細數據中所述相同。

威脅總管中網路釣魚檢視詳細數據區域的主要目標用戶檢視

[ 熱門目標使用者 ] 檢視會將數據組織成網路釣魚嘗試目標前五個收件者的數據表。 下表顯示：

• 主要目標使用者：最上層目標用戶的電子郵件位址。 如果您選取電子郵件位址，將會開啟詳細資料飛出視窗。 飛出視窗中的資訊與威脅總管中 [ 所有電子郵件] 檢視詳細數據區域的 [熱門目標使用者] 檢視中所述相同。

• 嘗試次數：如果您選取嘗試次數，威脅總管會在依惡意代碼系列名稱篩選的新索引卷標中開啟。

提示

使用 Export 匯出最多 3000 位使用者的清單和對應的嘗試。

Email 威脅總管中網路釣魚檢視詳細數據區域的原始檢視

Email 源檢視會顯示世界地圖上的訊息來源。

威脅總管中網路釣魚檢視詳細數據區域的活動檢視

[ 營銷活動 ] 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。

數據表中的資訊與 [活動] 頁面上詳細數據表中所述的資訊相同。

當您按下 [名稱] 旁邊複選框以外的數據列中的任何位置來選取專案時，會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 營銷活動詳細數據中所述的相同。

威脅總管中的營銷活動檢視

威脅總管中的 [活動 ] 檢視會顯示已識別為協調網路釣魚和惡意代碼攻擊的威脅相關信息，這些威脅是貴組織或 Microsoft 365 中其他組織的特定攻擊。

若要在 Defender https://security.microsoft.com入口網站的 [總管] 頁面上開啟 [活動] 檢視，請移至 [Email & 共同作業>總管活動]>索引卷標。或者，使用 https://security.microsoft.com/threatexplorerv3直接移至 [總管] 頁面，然後選取 [營銷活動] 索引標籤。

所有可用的資訊和動作都與 上 [營銷活動] 頁面上的信息和動作相同。https://security.microsoft.com/campaignsv3 如需詳細資訊，請參閱 Microsoft Defender 入口網站中的 [活動] 頁面。

威脅總管中的內容惡意代碼檢視和即時偵測

[威脅總管] 和 [實時偵測] 中的 [ 內容惡意代碼 ] 檢視會透過下列方式顯示已識別為惡意代碼之檔案的相關信息：

• SharePoint、OneDrive 和 Microsoft Teams 中的內建病毒防護
• SharePoint、OneDrive 和 Microsoft Teams 的安全附件。

若要開啟 [內容惡意代碼 ] 檢視，請執行下列其中一個步驟：

• 威脅總管：在Defenderhttps://security.microsoft.com入口網站的 [總管] 頁面上，移至 [Email & 共同作業>總管>內容惡意代碼] 索引卷標。或者，使用 https://security.microsoft.com/threatexplorerv3直接移至 [總管] 頁面，然後選取 [內容惡意代碼] 索引標籤。
• 即時偵測：在 Defender https://security.microsoft.com入口網站的 [即時偵測] 頁面上，移至 [Email & 共同作業>總管>內容惡意代碼] 索引卷標。或者，使用 https://security.microsoft.com/realtimereportsv3直接移至 [實時偵測] 頁面，然後選取 [內容惡意代碼] 索引卷標。

威脅總管和即時偵測中內容惡意代碼檢視中的可篩選屬性

根據預設，不會將任何屬性篩選套用至數據。 The steps to create filters (queries) are described in the Filters in Threat Explorer and Real-time detections section later in this article.

下表說明 [威脅總管] 和 [實時偵測] 中 [內容惡意代碼] 檢視中 [檔名] 方塊中可用的可篩選屬性：

屬性	類型	威脅 總管	即時 檢測
檔案
檔案名稱	文字。 以逗號分隔多個值。	✔	✔
工作負載	選取一或多個值： OneDrive SharePoint Teams	✔	✔
網站	文字。 以逗號分隔多個值。	✔	✔
檔案擁有者	文字。 以逗號分隔多個值。	✔	✔
上次修改者	文字。 以逗號分隔多個值。	✔	✔
SHA256	整數。 以逗號分隔多個值。 若要在 Windows 中尋找檔案的 SHA256 哈希值，請在命令提示字元中執行下列命令： certutil.exe -hashfile "<Path>\<Filename>" SHA256。	✔	✔
惡意代碼系列	文字。 以逗號分隔多個值。	✔	✔
偵測技術	選取一或多個值： 進階篩選 反惡意程式碼保護 大量 行銷活動 網域信譽 檔案擷取 檔案擷取信譽 檔案信譽 指紋比對 一般篩選 模擬品牌 模擬網域 模擬使用者 IP 信譽 信箱智能模擬 混合分析偵測 詐騙 DMARC 詐騙外部網域 詐騙組織內部 URL 引爆 URL 擷取信譽 URL 惡意信譽	✔	✔
威脅類型	選取一或多個值： 封鎖 惡意程式碼 網路釣魚 垃圾郵件	✔	✔

威脅總管和即時偵測中內容惡意代碼檢視中圖表的數據透視表

圖表具有預設檢視，但您可以從 [選取直 方圖的樞紐 ] 中選取值，以變更已篩選或未篩選圖表數據的組織和顯示方式。

下表列出威脅總管中 [ 內容惡意代碼 ] 檢視中可用的圖表樞紐和即時偵測：

Pivot	威脅 總管	即時 檢測
惡意代碼系列	✔	✔
偵測技術	✔	✔
工作負載	✔	✔

下列小節說明可用的圖表樞紐。

威脅總管和即時偵測中內容惡意代碼檢視中的惡意代碼系列圖表樞紐

雖然預設不會選取此樞紐，但 惡意代碼系列 是 [威脅總管] 和 [實時偵測] 中 [ 內容惡意代碼 ] 檢視中的預設圖表樞紐。

惡意代碼系列樞紐會使用指定的日期/時間範圍和屬性篩選器，依 SharePoint、OneDrive 和 Microsoft Teams 檔案中識別的惡意代碼來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個惡意代碼系列的計數。

威脅總管和即時偵測中內容惡意代碼檢視中的偵測技術圖表樞紐

偵 測技術 樞紐會依據在 SharePoint、OneDrive 和 Microsoft Teams 中針對指定日期/時間範圍和屬性篩選器中檔案中識別惡意代碼的功能來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個偵測技術的計數。

威脅總管和即時偵測中內容惡意代碼檢視中的工作負載圖表樞紐

[ 工作負載 ] 樞紐會根據指定的日期/時間範圍和屬性篩選器， (SharePoint、OneDrive 或 Microsoft Teams) 識別惡意代碼的位置來組織圖表。

將滑鼠停留在圖表中的數據點上會顯示每個工作負載的計數。

威脅總管和即時偵測中內容惡意代碼檢視詳細數據區域的檢視

在 [威脅總管] 和 [實時偵測] 中，[ 內容惡意代碼 ] 檢視的詳細數據區域只包含一個檢視 (索引卷標) 名為 Documents。 下列小節說明此檢視。

威脅總管和即時偵測中內容惡意代碼檢視詳細數據區域的文件檢視

檔 是 [ 內容惡意 代碼] 檢視中詳細數據區域的預設和唯一檢視。

[檔案] 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (^*)：

• 日期^*
• 名字^*
• 工作量^*
• 威脅^*
• 偵測技術^*
• 上次修改使用者^*
• 檔案擁有者^*
• 大小 (位元組) ^*
• 上次修改時間
• 網站路徑
• 檔案路徑
• 文件識別碼
• SHA256
• 偵測到的日期
• 惡意代碼系列
• 上下文

提示

若要查看所有資料行，您可能需要執行下列一或多個步驟：

• 在網頁瀏覽器中水平捲動。
• 縮小適當數據行的寬度。
• 從檢視中移除數據行。
• 縮小網頁瀏覽器。

每個用戶都會儲存自定義的數據行設定。 在關閉網頁瀏覽器之前，會儲存 Incognito 或 InPrivate 流覽模式中的自訂資料行設定。

當您從 [ 名稱 ] 資料行選取檔名值時，會開啟詳細數據飛出視窗。 飛出視窗包含下列資訊：

• 摘要 區段：

  • Filename
  • 網站路徑
  • 檔案路徑
  • 文件識別碼
  • SHA256
  • 上次修改日期
  • 上次修改者
  • 威脅
  • 偵測技術

• 詳細 資料區段：

  • 偵測到的日期
  • 偵測到者
  • 惡意代碼名稱
  • 上次修改者
  • 檔案大小
  • 檔案擁有者

• Email 清單區段：顯示包含惡意代碼檔案之訊息的下列相關信息的數據表：

  • Date
  • 主旨
  • 收件者

  選 取 [檢視所有電子郵件 ]，在依惡意代碼系列名稱篩選的新索引標籤中開啟 [威脅總管]。

• 最近的活動：顯示收件者稽核 記錄搜尋 的摘要結果：

  • Date
  • IP 位址
  • 活動
  • 項目

  如果收件者有三個以上的稽核記錄專案，請選 取 [檢視所有最近的活動 ] 以查看所有專案。

  提示

  Email & 共同作業許可權中的安全性系統管理員角色群組成員無法展開 [最近的活動] 區段。 您必須是已指派稽核記錄、資訊保護分析師或 資訊保護 管理角色之 Exchange Online 許可權中的角色群組成員。 根據預設，這些角色會指派給記錄管理、合規性管理、資訊保護、資訊保護 分析師、資訊保護 調查人員和組織管理角色群組。 您可以將安全性系統管理員的成員新增至這些角色群組，也可以使用指派的稽核記錄角色來建立新的角色群組。

威脅總管中的 URL 點選檢視

[威脅總管] 中的 [URL 點選 ] 檢視會顯示所有使用者在電子郵件中、在 SharePoint 和 OneDrive 中支援的 Office 檔案中，以及在 Microsoft Teams 中按兩下 URL。

若要開啟 URL，請在 Defender https://security.microsoft.com入口網站的 [總管] 頁面上按兩下檢視，請移至 [Email & 共同作業>總管>URL 單擊] 索引卷標。或者，使用 https://security.microsoft.com/threatexplorerv3直接移至 [總管] 頁面，然後選取 [URL 單擊] 索引卷標。

[威脅總管] 中 URL 中可篩選的屬性單擊檢視

根據預設，不會將任何屬性篩選套用至數據。 The steps to create filters (queries) are described in the Filters in Threat Explorer and Real-time detections section later in this article.

下表說明 [威脅總管] 中 [URL 單擊] 檢視中 [收件者] 方塊中可用的可篩選屬性：

屬性	類型
基本
收件者	文字。 以逗號分隔多個值。
標記	文字。 以逗號分隔多個值。 如需使用者標籤的詳細資訊，請參閱 使用者標籤。
網路訊息標識碼	文字。 以逗號分隔多個值。 在訊息標頭的 X-MS-Exchange-Organization-Network-Message-Id 標頭字段中可用的 GUID 值。
URL	文字。 以逗號分隔多個值。
按兩下動作	選取一或多個值： 允許 封鎖頁面 封鎖頁面覆寫 錯誤頁面 失敗 無 擱置中的隔離頁面 擱置中的數據刪除頁面覆寫
威脅類型	選取一或多個值： Allow 封鎖 惡意程式碼 網路釣魚 垃圾郵件
偵測技術	選取一或多個值： URL 引爆 URL 擷取信譽 URL 惡意信譽
點選 [識別碼]	文字。 以逗號分隔多個值。
用戶端IP	文字。 以逗號分隔多個值。

URL 中圖表的數據透視表在威脅總管中單擊檢視

圖表具有預設檢視，但您可以從 [選取直 方圖的樞紐 ] 中選取值，以變更已篩選或未篩選圖表數據的組織和顯示方式。

下列小節說明可用的圖表樞紐。

威脅總管中 URL 單擊檢視中的 URL 網域圖表樞紐

雖然預設不會選取此樞紐，但 URL 網域 是 URL 點選 檢視中的預設圖表樞紐。

URL 網域樞紐會依使用者在電子郵件、Office 檔案或 Microsoft Teams 中針對指定日期/時間範圍和屬性篩選器單擊的 URL 網域來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個URL網域的計數。

威脅總管中 URL 點選檢視中的工作負載圖表樞紐

[ 工作負載 ] 樞紐會依據所點選 URL 的位置來組織圖表， (電子郵件、Office 檔案或 Microsoft Teams) 指定的日期/時間範圍和屬性篩選器。

將滑鼠停留在圖表中的數據點上會顯示每個工作負載的計數。

威脅總管中 URL 點選檢視中的偵測技術圖表樞紐

偵 測技術 樞紐會依識別電子郵件、Office 檔案或 Microsoft Teams 中所指定日期/時間範圍和屬性篩選器中 URL 點選的功能來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個偵測技術的計數。

威脅總管中 [URL 按兩下] 檢視中的威脅類型圖表樞紐

威脅 類型 樞紐會依據電子郵件、Office 檔案或 Microsoft Teams 中所點選 URL 的結果，針對指定的日期/時間範圍和屬性篩選器來組織圖表。

將滑鼠停留在圖表中的數據點上，會顯示每個威脅類型技術的計數。

URL 詳細數據區域的檢視在威脅總管中單擊檢視

下列小節說明 URL 點選 檢視詳細資料區域中) 的可用檢視 (索引標籤。

威脅總管中 URL 點選檢視詳細數據區域的結果檢視

結果 是 URL點選 檢視中詳細數據區域的預設檢視。

[ 結果] 檢視 會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設會選取所有資料列：

• 按下時間
• 收件者
• URL 按一下動作
• URL
• 標記
• 網路訊息標識碼
• 點選 [識別碼]
• 用戶端IP
• URL 鏈
• 威脅類型
• 偵測技術

提示

若要查看所有資料行，您可能需要執行下列一或多個步驟：

• 在網頁瀏覽器中水平捲動。
• 縮小適當數據行的寬度。
• 從檢視中移除數據行。
• 縮小網頁瀏覽器。

每個用戶都會儲存自定義的數據行設定。 在關閉網頁瀏覽器之前，會儲存 Incognito 或 InPrivate 流覽模式中的自訂資料行設定。

選取一或多個專案，方法是選取數據列中第一個數據行旁邊的複選框，然後選取 [檢視所有電子郵件] 以在新索引卷標中開啟 [所有電子郵件檢視中的威脅總管]，此索引卷標會依所選郵件的 [網络訊息標識符] 值進行篩選。

[威脅總管] 中 URL 點選檢視詳細數據區域的最上層點選檢視

[按滑鼠頂端] 檢視會顯示詳細數據表。 您可以按下可用的資料列標頭來排序專案：

• URL
• 封鎖
• 允許
• 區塊覆寫
• 暫止的決策
• 略過暫止的決策
• 無
• 錯誤頁面
• 失敗

提示

已選取所有可用的數據行。 如果您選取 [自定義數據行]，就無法取消選取任何數據行。

若要查看所有資料行，您可能需要執行下列一或多個步驟：

• 在網頁瀏覽器中水平捲動。
• 縮小適當數據行的寬度。
• 縮小網頁瀏覽器。

選取數據列中第一個數據行旁邊的複選框來選取專案，然後選取 [檢視所有點選] 以在 URL 單擊檢視的新索引卷標中開啟 [威脅總管]。

當您按下第一個數據行旁複選框以外的任何數據列來選取專案時，會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 [ 所有電子郵件] 檢視的 [熱門 URL] 詳細數據中所述相同。

威脅總管中 URL 點選檢視詳細數據區域的主要目標用戶檢視

[ 熱門目標使用者 ] 檢視會將數據組織成按下URL的前五個收件者數據表。 下表顯示：

• 主要目標使用者：最上層目標用戶的電子郵件位址。 如果您選取電子郵件位址，將會開啟詳細資料飛出視窗。 飛出視窗中的資訊與威脅總管中 [ 所有電子郵件] 檢視詳細數據區域的 [熱門目標使用者] 檢視中所述相同。

• 嘗試次數：如果您選取嘗試次數，威脅總管會在依惡意代碼系列名稱篩選的新索引卷標中開啟。

提示

使用 Export 匯出最多 3000 位使用者的清單和對應的嘗試。

威脅總管和即時偵測中的屬性篩選

屬性篩選/查詢的基本語法為：

條件 = <篩選屬性><篩選運算子><屬性值或值>

多個條件使用下列語法：

<Condition1><AND |OR><Condition2><AND |OR><條件3...><AND |OR><ConditionN>

提示

文字或整數值不支援 (* 或 ？) 的通配符搜尋。 Subject 屬性會使用部分文字比對，併產生類似通配符搜尋的結果。

在威脅總管和即時偵測中的所有檢視中，建立屬性篩選/查詢條件的步驟都相同：

1. 使用本文稍早預覽檢視描述章節中的數據表來識別篩選屬性。

2. 選取可用的篩選運算符。 可用的篩選運算子取決於屬性類型，如下表所述：

   篩選運算子	屬性類型
   等於任何	Text 整數 離散值
   等於無	Text 離散值
   大於	整數
   小於	整數

3. 輸入或選取一或多個屬性值。 對於文字值和整數，您可以輸入多個以逗號分隔的值。

   屬性值中的多個值會使用 OR 邏輯運算元。 例如，寄件者位址>等於任何一個>bob@fabrikam.com,cindy@fabrikam.com表示寄件者位址>等於 OR 的任何>bob@fabrikam.com一個。cindy@fabrikam.com

   輸入或選取一或多個屬性值之後，已完成的篩選條件會出現在篩選建立方塊下方。

   提示

   對於需要您選取一或多個可用值的屬性，在篩選條件中使用 屬性並選取所有值的結果與在篩選條件中不使用 屬性相同。

4. 若要新增另一個條件，請重複上述三個步驟。

   篩選建立方塊下的條件會以您建立第二個或後續條件時選取的邏輯運算符分隔。 默認值為 AND，但您也可以選取 OR。

   所有條件之間都會使用相同的邏輯運算符：它們全都是 AND ，或全部都是 OR。 若要變更現有的邏輯運算符，請選取邏輯運算符方塊，然後選取 AND 或 OR。

   若要編輯現有的條件，請按兩下它，將選取的屬性、篩選運算元和值帶回對應的方塊中。

   若要移除現有的條件，請在條件上選 取 。

5. 若要將篩選套用至圖表和詳細數據數據表，請選取 [ 重新整理]

   

在威脅總管中儲存的查詢

提示

儲存查詢 是 威脅追蹤器 的一部分，無法在即時偵測中使用。 儲存的查詢和威脅追蹤器僅適用於 適用於 Office 365 的 Defender 方案 2。

[內容惡意代碼] 檢視中無法使用 [儲存查詢]。

威脅總管中的大部分檢視都可讓您) 儲存篩選 (查詢，以供稍後使用。 已儲存的查詢位於 Defender https://security.microsoft.com/threattrackerv2入口網站的 [威脅追蹤器] 頁面上。 如需威脅追蹤器的詳細資訊，請參閱 適用於 Office 365 的 Microsoft Defender 方案 2 中的威脅追蹤器。

若要在威脅總管中儲存查詢，請執行下列步驟：

1. 如先前所述建立篩選/查詢之後，請選取 [儲存查詢][儲存查詢>]。

2. 在開啟的 [ 儲存查詢 ] 飛出視窗中，設定下列選項：

   • 查詢名稱：輸入查詢的唯一名稱。
   • 選取下列其中一個選項：
     • 確切日期：在方塊中選取開始日期和結束日期。 您可以選取的最舊開始日期是今天之前的 30 天。 您可以選取的最新結束日期是今天。
     • 相對日期：選取執行 搜尋時顯示最後 nn 天的天數。 默認值為 7，但您可以選取 1 到 30。
   • 追蹤查詢：預設不會選取此選項。 這個選項會影響查詢是否自動執行：
     • 追蹤 未選取的查詢：查詢可供您在威脅總管中手動執行。 查詢會儲存在 [威脅追蹤器] 頁面上的 [已儲存的查詢] 索引標籤上，且 [追蹤查詢] 屬性值為 [否]。
     • 追蹤 選取的查詢：查詢會定期在背景中執行。 查詢可在 [威脅追蹤器] 頁面上的 [已儲存的查詢] 索引標籤上使用，且 [追蹤查詢] 屬性值為 [是]。 查詢的定期結果會顯示在 [威脅追蹤器] 頁面上的 [追蹤查詢] 索引標籤上。

   當您在 [儲存 查詢 ] 飛出視窗中完成時 ，請選取 [儲存]，然後在確認對話框中選取 [ 確定 ]。

在 Defender https://security.microsoft.com/threattrackerv2入口網站之 [威脅追蹤器] 頁面上的 [已儲存的查詢] 或 [追蹤查詢] 索引標籤上，您可以在 [動作] 資料行中選取 [探索]，以在 [威脅總管] 中開啟並使用查詢。

當您從 [威脅追蹤器] 頁面選取 [探索] 來開啟查詢時，[檔案總管] 頁面上的 [儲存查詢] 頁面上現在可以使用 [將查詢另存為] 和 [已儲存的查詢設定]：

• 如果您選取 [ 另存查詢為]，[儲存 查詢 ] 飛出視窗隨即開啟，其中包含所有先前選取的設定。 如果您進行變更，請選取 [儲存]，然後在 [成功] 對話框中選取 [確定]，更新的查詢會儲存為 [威脅追蹤器] 頁面上的新查詢 (您可能需要選取 [重新整理] 才能) 。

• 如果您選取 [已儲存 的查詢設定]，[儲存 的查詢設定 ] 飛出視窗隨即開啟，您可以在其中更新現有查詢的日期和 追蹤查詢 設定。

其他相關資訊

• 威脅總管會在 Email 實體頁面上收集電子郵件詳細數據
• 尋找並調查傳送的惡意電子郵件
• 檢視在 SharePoint Online、OneDrive 和 Microsoft Teams 中偵測到的惡意檔案
• 威脅防護狀態報告
• Microsoft 威脅防護的自動化調查及回應