Sdílet prostřednictvím


Informace o Průzkumníku hrozeb a detekcích v reálném čase v Microsoft Defender pro Office 365

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Organizace Microsoft 365, které mají Microsoft Defender pro Office 365 zahrnuté ve svém předplatném nebo zakoupené jako doplněk, mají Průzkumníka (označovaného také jako Průzkumník hrozeb) nebo detekci v reálném čase. Tyto funkce jsou výkonné nástroje pro vytváření sestav téměř v reálném čase, které pomáhají týmům se zabezpečením (SecOps) prošetřovat hrozby a reagovat na ně.

V závislosti na vašem předplatném je Průzkumník hrozeb nebo detekce v reálném čase k dispozici v části Email & spolupráce na portálu Microsoft Defender na adrese https://security.microsoft.com:

Průzkumník hrozeb obsahuje stejné informace a funkce jako detekce v reálném čase, ale s následujícími dalšími funkcemi:

  • Další zobrazení
  • Další možnosti filtrování vlastností, včetně možnosti ukládání dotazů
  • Další akce

Další informace o rozdílech mezi Defender pro Office 365 Plán 1 a Plán 2 najdete ve stručné nápovědě Defender pro Office 365 Plán 1 a Plán 2.

Zbytek tohoto článku vysvětluje zobrazení a funkce, které jsou k dispozici v Průzkumníku hrozeb a detekcích v reálném čase.

Oprávnění a licencování pro Průzkumníka hrozeb a detekce v reálném čase

Pokud chcete používat průzkumníka nebo zjišťování v reálném čase, musíte mít přiřazená oprávnění. Budete mít také následující možnosti:

  • Microsoft Defender XDR Jednotné řízení přístupu na základě role (RBAC) (Pokud Email & spolupráce>Defender pro Office 365 oprávnění jsou aktivní. Ovlivňuje jenom portál Defender, ne PowerShell:
    • Přístup pro čtení pro záhlaví e-mailu a zpráv v Teams: Operace zabezpečení / Nezpracovaná data (spolupráce & e-mailu)/Email & metadata spolupráce (čtení).
    • Náhled a stahování e-mailových zpráv: Operace zabezpečení / Nezpracovaná data (e-mailová & spolupráce)/Email & obsah spolupráce (čtení).
    • Náprava škodlivých e-mailů: Operace zabezpečení / Data zabezpečení / Email & pokročilé akce spolupráce (správa).
  • Email & oprávnění ke spolupráci na portálu Microsoft Defender:
    • Úplný přístup: Členství ve skupinách rolí Správa organizace nebo Správce zabezpečení . K provedení všech dostupných akcí se vyžadují další oprávnění:
      • Náhled a stahování zpráv: Vyžaduje roli Preview , která je ve výchozím nastavení přiřazená jenom skupinám rolí Vyšetřovatel dat nebo eDiscovery Manager . Nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Preview a přidat uživatele do vlastní skupiny rolí.
      • Přesouvání a odstraňování zpráv z poštovních schránek: Vyžaduje roli Hledat a vyprázdnit , která je ve výchozím nastavení přiřazená jenom skupinám rolí Vyšetřovatel dat nebo Správa organizace . Nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Hledat a Vymazat a přidat uživatele do vlastní skupiny rolí.
    • Přístup jen pro čtení: Členství ve skupině rolí Čtenář zabezpečení .
  • Microsoft Entra oprávnění: Členství v těchto rolích poskytuje uživatelům požadovaná oprávnění a oprávnění pro další funkce v Microsoftu 365:
    • Úplný přístup: Členství v rolích globálního správce* nebo správce zabezpečení .

    • V Průzkumníku hrozeb: Členství v rolích Správce zabezpečení nebo Čtenářzabezpečení vyhledejte pravidla toku pošty Exchange (pravidla přenosu) podle názvu.

    • Přístup jen pro čtení: Členství v rolích Globální čtenář nebo Čtenář zabezpečení .

      Důležité

      * Microsoft doporučuje používat role s nejmenším oprávněním. Používání účtů s nižším oprávněním pomáhá zlepšit zabezpečení vaší organizace. Globální správce je vysoce privilegovaná role, která by měla být omezená na nouzové scénáře, když nemůžete použít existující roli.

Tip

Oznámení spamu koncovým uživatelům a zprávy vygenerované systémem nejsou v Průzkumníku hrozeb dostupné. Tyto typy zpráv jsou k dispozici, pokud existuje pravidlo toku pošty (označované také jako pravidlo přenosu), které chcete přepsat.

Položky protokolu auditu se generují, když správci stahují náhled nebo stahují e-mailové zprávy. V protokolu auditování správce můžete podle uživatele vyhledat aktivitu AdminMailAccess . Pokyny najdete v tématu Audit nového hledání.

Pokud chcete používat Průzkumníka hrozeb nebo detekce v reálném čase, musíte mít přiřazenou licenci pro Defender pro Office 365 (která je součástí vašeho předplatného nebo doplňkové licence).

Průzkumník hrozeb nebo detekce v reálném čase obsahují data pro uživatele, kteří mají přiřazené Defender pro Office 365 licence.

Prvky Průzkumníka hrozeb a detekce v reálném čase

Průzkumník hrozeb a detekce v reálném čase obsahují následující prvky:

  • Zobrazení: Karty v horní části stránky, které organizují detekce podle hrozeb. Zobrazení má vliv na zbývající data a možnosti na stránce.

    Následující tabulka uvádí dostupná zobrazení v Průzkumníku hrozeb a detekcích v reálném čase:

    Zobrazení Hrozba
    Průzkumník
    Real-time
    Detekcí
    Popis
    Všechny e-maily Výchozí zobrazení pro Průzkumníka hrozeb. Informace o všech e-mailových zprávách odesílaných externími uživateli do vaší organizace (příchozí), e-mailových zprávách odeslaných interními uživateli ve vaší organizaci externím uživatelům (odchozí) a e-mailových zprávách posílaných mezi interními uživateli ve vaší organizaci (uvnitř organizace).
    Malware Výchozí zobrazení pro detekce v reálném čase Informace o e-mailových zprávách, které obsahují malware.
    Phish Informace o e-mailových zprávách, které obsahují phishingové hrozby
    Kampaně Informace o škodlivých e-mailech, které Defender pro Office 365 Plán 2 identifikované jako součást koordinované phishingové nebo malwarové kampaně.
    Malware obsahu Informace o škodlivých souborech zjištěných následujícími funkcemi:
    Kliknutí na adresu URL Informace o tom, jak uživatel klikne na adresy URL v e-mailových zprávách, zprávách Teams, sharepointových souborech a souborech OneDrivu.

    Tato zobrazení jsou podrobně popsaná v tomto článku, včetně rozdílů mezi Průzkumníkem hrozeb a detekcemi v reálném čase.

  • Filtry data a času: Ve výchozím nastavení se zobrazení filtruje podle včerejška a dnešek. Pokud chcete změnit filtr kalendářních dat, vyberte rozsah dat a pak vyberte Počáteční datum a Koncové datum až před 30 dny.

    Snímek obrazovky s filtrem data použitým v Průzkumníku hrozeb a detekcemi v reálném čase na portálu Defender

  • Filtry vlastností (dotazy): Výsledky v zobrazení můžete filtrovat podle dostupných vlastností zprávy, souboru nebo hrozby. Dostupné filtrovatelné vlastnosti závisí na zobrazení. Některé vlastnosti jsou k dispozici v mnoha zobrazeních, zatímco jiné jsou omezené na konkrétní zobrazení.

    Dostupné filtry vlastností pro každé zobrazení jsou uvedeny v tomto článku, včetně rozdílů mezi Průzkumníkem hrozeb a detekcemi v reálném čase.

    Pokyny k vytvoření filtrů vlastností najdete v tématech Filtry vlastností v Průzkumníku hrozeb a Detekce v reálném čase.

    Průzkumník hrozeb umožňuje ukládat dotazy pro pozdější použití, jak je popsáno v části Uložené dotazy v Průzkumníku hrozeb .

  • Grafy: Každé zobrazení obsahuje vizuální agregovanou reprezentaci filtrovaných nebo nefiltrovaných dat. Dostupné pivoty můžete použít k uspořádání grafu různými způsoby.

    Často můžete použít export dat grafu k exportu filtrovaných nebo nefiltrovaných dat grafu do souboru CSV.

    Grafy a dostupné pivoty jsou podrobně popsané v tomto článku, včetně rozdílů mezi Průzkumníkem hrozeb a detekcemi v reálném čase.

    Tip

    Pokud chcete graf ze stránky odebrat (čímž se maximalizuje velikost oblasti podrobností), použijte některou z následujících metod:

    • V horní části stránky vyberte Zobrazení> seznamu zobrazení grafu.
    • Vyberte Zobrazit zobrazení seznamu mezi grafem a oblastí podrobností.
  • Oblast podrobností: Oblast podrobností pro zobrazení obvykle zobrazuje tabulku, která obsahuje filtrovaná nebo nefiltrovaná data. Dostupná zobrazení (karty) můžete použít k uspořádání dat v oblasti podrobností různými způsoby. Zobrazení může například obsahovat grafy, mapy nebo jiné tabulky.

    Pokud oblast podrobností obsahuje tabulku, můžete často použít export k selektivnímu exportu až 200 000 filtrovaných nebo nefiltrovaných výsledků do souboru CSV.

    Tip

    V rozevíracím rámečku Exportovat můžete vybrat některé nebo všechny dostupné vlastnosti, které chcete exportovat. Výběry se ukládají pro jednotlivé uživatele. Výběry v anonymním nebo inprivate režimu procházení se ukládají, dokud nezavřete webový prohlížeč.

Snímek obrazovky s hlavní stránkou v Průzkumníku hrozeb zobrazující data sestavy v reálném čase na portálu Defender pro Office 365

Zobrazení Všech e-mailů v Průzkumníku hrozeb

Zobrazení Všechny e-maily v Průzkumníku hrozeb zobrazuje informace o všech příchozích, odchozích e-mailových zprávách a e-mailových zprávách uvnitř organizace. V zobrazení se zobrazují škodlivé a nezlými e-maily. Příklady:

  • Email identifikované útoky phishing nebo malware.
  • Email identifikovány jako spam nebo hromadně.
  • Email identifikovaný bez hrozeb.

Toto zobrazení je v Průzkumníku hrozeb výchozí. Pokud chcete otevřít zobrazení Všechny e-maily na stránce Průzkumník na portálu Defender na adrese https://security.microsoft.com, přejděte na kartu Email & spolupráce>Průzkumník>všech e-mailů. Nebo přejděte přímo na stránku Průzkumník pomocí https://security.microsoft.com/threatexplorerv3a ověřte, že je vybraná karta Všechny e-maily.

Snímek obrazovky se zobrazením Všechny e-maily v Průzkumníku hrozeb zobrazující graf, dostupné pivoty grafu a zobrazení tabulky podrobností

Filtrovatelné vlastnosti v zobrazení Všechny e-maily v Průzkumníku hrozeb

Ve výchozím nastavení se na data nepoužijí žádné filtry vlastností. Postup vytvoření filtrů (dotazů) je popsaný v části Filtry v Průzkumníku hrozeb a detekce v reálném čase dále v tomto článku.

Filtrovatelné vlastnosti, které jsou k dispozici v poli Akce doručení v zobrazení Všechny e-maily , jsou popsány v následující tabulce:

Vlastnost Typ
Basic
Adresa odesílatele Text. Více hodnot oddělte čárkami.
Příjemci Text. Více hodnot oddělte čárkami.
Doména odesílatele Text. Více hodnot oddělte čárkami.
Doména příjemce Text. Více hodnot oddělte čárkami.
Předmět Text. Více hodnot oddělte čárkami.
Zobrazované jméno odesílatele Text. Více hodnot oddělte čárkami.
E-mail odesílatele z adresy Text. Více hodnot oddělte čárkami.
Pošta odesílatele z domény Text. Více hodnot oddělte čárkami.
Návratová cesta Text. Více hodnot oddělte čárkami.
Doména návratové cesty Text. Více hodnot oddělte čárkami.
Řada malwaru Text. Více hodnot oddělte čárkami.
Značky Text. Více hodnot oddělte čárkami.

Další informace o značkách uživatelů najdete v tématu Značky uživatelů.
Zosobněná doména Text. Více hodnot oddělte čárkami.
Zosobněný uživatel Text. Více hodnot oddělte čárkami.
Pravidlo přenosu exchange Text. Více hodnot oddělte čárkami.
Pravidlo ochrany před únikem informací Text. Více hodnot oddělte čárkami.
Kontext Vyberte jednu nebo více hodnot:
  • Vyhodnocení
  • Ochrana prioritního účtu
Konektor Text. Více hodnot oddělte čárkami.
Akce doručení Vyberte jednu nebo více hodnot:
  • Blokováno: Email zprávy, které byly v karanténě, které se nepodařilo doručit nebo byly vyřazeny.
  • Doručeno: Email doručeno do složky Doručená pošta uživatele nebo do jiné složky, kde má uživatel přístup ke zprávě.
  • Doručeno na nevyžádanou poštu: Email doručeno do složky Nevyžádaná Email pošta uživatele nebo do složky Odstraněná pošta, kde má uživatel přístup ke zprávě.
  • Nahrazeno: Přílohy zpráv, které byly nahrazeny zásadami dynamického doručování v bezpečných přílohách.
Další akce Vyberte jednu nebo více hodnot:
Směrovost Vyberte jednu nebo více hodnot:
  • Směřující sem
  • Uvnitř organizace
  • Odchozí
Technologie detekce Vyberte jednu nebo více hodnot:
  • Rozšířený filtr: Signály založené na strojovém učení.
  • Antimalwarová ochrana
  • Množství
  • Kampaň
  • Reputace domény
  • Detonace souborů: Bezpečné přílohy detekovaly škodlivou přílohu během analýzy detonace.
  • Reputace detonace souborů: Přílohy souborů dříve detekované detonacemi bezpečných příloh v jiných organizacích Microsoftu 365.
  • Reputace souboru: Zpráva obsahuje soubor, který byl dříve identifikován jako škodlivý v jiných organizacích Microsoft 365.
  • Párování otisků prstů: Zpráva se podobá předchozí zjištěné škodlivé zprávě.
  • Obecný filtr
  • Značka zosobnění: Zosobnění odesílatelem známých značek.
  • Zosobnění domény: Zosobnění domén odesílatele, které vlastníte nebo které jste zadali pro ochranu v zásadách ochrany proti útokům phishing
  • Uživatel zosobnění
  • Reputace IP adres
  • Zosobnění inteligentních poštovních schránek: Detekce zosobnění z inteligentních funkcí poštovní schránky v zásadách ochrany proti útokům phishing.
  • Detekce smíšené analýzy: K verdiktu zprávy přispělo několik filtrů.
  • spoof DMARC: Zpráva selhala při ověřování DMARC.
  • Falšování externí domény: Falšování e-mailové adresy odesílatele pomocí domény, která je pro vaši organizaci externí.
  • Falšování identity uvnitř organizace: Falšování e-mailové adresy odesílatele pomocí domény, která je interní pro vaši organizaci.
  • Reputace detonace adresy URL: Adresy URL dříve detekované detonacemi bezpečných odkazů v jiných organizacích Microsoft 365.
  • Škodlivá reputace adresy URL: Zpráva obsahuje adresu URL, která byla dříve identifikována jako škodlivá v jiných organizacích Microsoft 365.
Původní místo doručení Vyberte jednu nebo více hodnot:
  • Složka Odstraněná pošta
  • Upuštěný
  • Selhalo
  • Doručená pošta nebo složka
  • Nevyžádaná pošta
  • Místní/externí
  • Karanténa
  • Unknown (neznámý)
Nejnovější místo doručení¹ Stejné hodnoty jako původní umístění doručení
Úroveň spolehlivosti phish Vyberte jednu nebo více hodnot:
  • High (Vysoká)
  • Normální
Primární přepsání Vyberte jednu nebo více hodnot:
  • Povolené zásadami organizace
  • Povolené zásadami uživatele
  • Blokováno zásadami organizace
  • Blokováno zásadami uživatele
  • Žádné
Primární zdroj přepsání Zprávy můžou mít několik přepsání povolení nebo blokování, jak je uvedeno ve zdroji přepsání. Přepsání, které zprávu nakonec povolilo nebo zablokovalo, je identifikováno v primárním zdroji přepsání.
Vyberte jednu nebo více hodnot:
  • Filtr třetí strany
  • Správa zahájené cestování časem (ZAP)
  • Blokování antimalwarových zásad podle typu souboru
  • Nastavení antispamových zásad
  • Zásady připojení
  • Pravidlo přenosu exchange
  • Výhradní režim (přepsání uživatelem)
  • Filtrování se přeskočí kvůli místní organizaci
  • Filtr oblastí IP adres ze zásad
  • Filtr jazyka ze zásad
  • Simulace útoků phishing
  • Uvolnění do karantény
  • Poštovní schránka SecOps
  • Seznam adres odesílatele (Správa přepsání)
  • Seznam adres odesílatele (přepsání uživatelem)
  • Seznam domén odesílatelů (Správa přepsání)
  • Seznam domén odesílatelů (přepsání uživatelem)
  • Blokování souboru seznamu povolených nebo blokovaných tenantů
  • Blok e-mailové adresy odesílatele v seznamu povolených nebo blokovaných tenantů
  • Blok falšování povolených nebo blokovaných položek v seznamu povolených tenantů
  • Blok adresy URL seznamu povolených nebo blokovaných tenantů
  • Seznam důvěryhodných kontaktů (přepsání uživatelem)
  • Důvěryhodná doména (přepsání uživatelem)
  • Důvěryhodný příjemce (přepsání uživatelem)
  • Pouze důvěryhodní odesílatelé (přepsání uživatelem)
Přepsat zdroj Stejné hodnoty jako primární zdroj přepsání
Typ zásady Vyberte jednu nebo více hodnot:
  • Antimalwarové zásady
  • Zásady ochrany proti útokům phishing
  • Pravidlo přenosu exchange (pravidlo toku pošty), zásady filtru hostovaného obsahu (zásady ochrany před spamem), zásady filtru odchozích spamů (zásady odchozího spamu), zásady bezpečných příloh
  • Unknown (neznámý)
Akce zásad Vyberte jednu nebo více hodnot:
  • Přidání záhlaví x
  • Skrytá zpráva
  • Odstranit zprávu
  • Upravit předmět
  • Přesunout do složky Nevyžádaná pošta Email
  • Nebyla provedena žádná akce
  • Zpráva o přesměrování
  • Odeslat do karantény
Typ hrozby Vyberte jednu nebo více hodnot:
  • Malware
  • Phish
  • Spam
Přeposlaná zpráva Vyberte jednu nebo více hodnot:
  • Pravda
  • Nepravda
Distribuční seznam Text. Více hodnot oddělte čárkami.
velikost Email Celé číslo. Více hodnot oddělte čárkami.
Upřesnit
ID internetové zprávy Text. Více hodnot oddělte čárkami.

K dispozici v poli Hlavička ID zprávy v záhlaví zprávy. Příklad hodnoty je <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (všimněte si úhlových závorek).
ID síťové zprávy Text. Více hodnot oddělte čárkami.

Hodnota GUID, která je k dispozici v poli hlavičky X-MS-Exchange-Organization-Network-Message-Id v záhlaví zprávy.
IP adresa odesílatele Text. Více hodnot oddělte čárkami.
Příloha SHA256 Text. Více hodnot oddělte čárkami.
ID clusteru Text. Více hodnot oddělte čárkami.
ID upozornění Text. Více hodnot oddělte čárkami.
ID zásad upozornění Text. Více hodnot oddělte čárkami.
ID kampaně Text. Více hodnot oddělte čárkami.
Signál ADRESY URL zap Text. Více hodnot oddělte čárkami.
Adresy URL
Počet adres URL Celé číslo. Více hodnot oddělte čárkami.
Adresa URL doména² Text. Více hodnot oddělte čárkami.
Doména adresy URL a cesta² Text. Více hodnot oddělte čárkami.
URL² Text. Více hodnot oddělte čárkami.
Cesta URL² Text. Více hodnot oddělte čárkami.
Zdroj adresy URL Vyberte jednu nebo více hodnot:
  • Přílohy
  • Cloudová příloha
  • Email text
  • záhlaví Email
  • Kód QR
  • Předmět
  • Unknown (neznámý)
Klikněte na verdikt. Vyberte jednu nebo více hodnot:
  • Povoleno: Uživateli bylo povoleno otevřít adresu URL.
  • Přepsání bloku: Uživateli se zablokovalo přímé otevření adresy URL, ale blok přepsal, aby otevřel adresu URL.
  • Blokováno: Uživateli se zablokovalo otevření adresy URL.
  • Chyba: Uživateli se zobrazila chybová stránka nebo došlo k chybě při zaznamenání verdiktu.
  • Selhání: Při zachycení verdiktu došlo k neznámé výjimce. Uživatel pravděpodobně otevřel adresu URL.
  • Žádné: Nelze zachytit verdikt pro adresu URL. Uživatel pravděpodobně otevřel adresu URL.
  • Čekající verdikt: Uživateli se zobrazila stránka čekající na detonaci.
  • Nevyřízený verdikt byl obejit: Uživateli se zobrazila stránka s detonací, ale zprávu přehlušil, aby otevřel adresu URL.
Hrozba adresy URL Vyberte jednu nebo více hodnot:
  • Malware
  • Phish
  • Spam
Soubor
Počet příloh Celé číslo. Více hodnot oddělte čárkami.
Název souboru přílohy Text. Více hodnot oddělte čárkami.
Typ souboru Text. Více hodnot oddělte čárkami.
Přípona souboru Text. Více hodnot oddělte čárkami.
Velikost souboru Celé číslo. Více hodnot oddělte čárkami.
Ověřování
SPF Vyberte jednu nebo více hodnot:
  • Selhat
  • Neutrální
  • Žádné
  • Projít
  • Trvalá chyba
  • Měkké selhání
  • Dočasná chyba
DKIM Vyberte jednu nebo více hodnot:
  • Chyba
  • Selhat
  • Ignorovat
  • Žádné
  • Projít
  • Test
  • Přerušení zápasu
  • Unknown (neznámý)
DMARC Vyberte jednu nebo více hodnot:
  • Nejlepší odhad pass
  • Selhat
  • Žádné
  • Projít
  • Trvalá chyba
  • Selektor pass
  • Dočasná chyba
  • Unknown (neznámý)
Složený Vyberte jednu nebo více hodnot:
  • Selhat
  • Žádné
  • Projít
  • Soft pass

Tip

¹ Nejnovější umístění pro doručení nezahrnuje akce koncových uživatelů u zpráv. Například pokud uživatel zprávu odstranil nebo ji přesunul do archivu nebo souboru PST.

Existují scénáře, kdy původní umístění/ doručeníNejnovější místo doručení a/nebo Akce doručení mají hodnotu Neznámé. Příklady:

  • Zpráva byla doručena (akce doručení je Doručená), ale pravidlo doručené pošty ji přesunulo do jiné výchozí složky, než je složka Doručená pošta nebo Nevyžádaná Email pošta (například do složky Koncept nebo Archiv).
  • Zap se pokusil zprávu po doručení přesunout, ale zpráva se nenašla (například uživatel zprávu přesunul nebo odstranil).

² Ve výchozím nastavení se vyhledávání adresy URL mapuje na http, pokud není explicitně zadána jiná hodnota. Příklady:

  • Při hledání s a bez předpony http:// v adrese URL, doméně adresy URL a doméně a cestě adresy URL by se měly zobrazit stejné výsledky.
  • Vyhledejte předponu https:// v adrese URL. Pokud není zadána žádná hodnota, http:// předpokládá se předpona.
  • / na začátku a konci cesty URL, doména adresy URL, doména adresy URL a pole cesty se ignorují.
  • / na konci pole adresy URL se ignoruje.

Pivoty pro graf v zobrazení Všechny e-maily v Průzkumníku hrozeb

Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Dostupné pivoty grafu jsou popsány v následujících pododdílech.

Kontingenční graf akcí doručení v zobrazení Všechny e-maily v Průzkumníku hrozeb

I když tento kontingenční graf ve výchozím nastavení nevypadá jako vybraný, akce Doručení je výchozím kontingenčním grafem v zobrazení Všechny e-maily .

Pivot Akce doručení uspořádá graf podle akcí provedených u zpráv pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Všechny e-maily v Průzkumníku hrozeb pomocí pivotu Akce doručení

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých akcí doručení.

Kontingenční graf domény odesílatele v zobrazení Všechny e-maily v Průzkumníku hrozeb

Pivot Doména odesílatele uspořádá graf podle domén ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Všechny e-maily v Průzkumníku hrozeb pomocí pivotu Doména odesílatele

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu odesílatele.

Kontingenční graf IP adresy odesílatele v zobrazení Všechny e-maily v Průzkumníku hrozeb

Pivot Ip adresa odesílatele uspořádá graf podle zdrojových IP adres zpráv pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Všechny e-maily v Průzkumníku hrozeb pomocí pivotu IP adresa odesílatele

Když najedete myší na datový bod v grafu, zobrazí se počet IP adres jednotlivých odesílatelů.

Graf technologie detekce v zobrazení Všechny e-maily v Průzkumníku hrozeb

Pivot Technologie detekce uspořádá graf podle funkce, která identifikovala zprávy pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Všechny e-maily v Průzkumníku hrozeb pomocí pivotu Technologie detekce

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých technologií detekce.

Kontingenční graf s celou adresou URL v zobrazení Všechny e-maily v Průzkumníku hrozeb

Pivot Úplná adresa URL uspořádá graf podle úplných adres URL ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Všechny e-maily v Průzkumníku hrozeb s kontingenčním grafem Úplná adresa URL

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou úplnou adresu URL.

Kontingenční graf domény adresy URL v zobrazení Všechny e-maily v Průzkumníku hrozeb

Kontingenční adresa URL domény uspořádá graf podle domén v adresách URL ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Všechny e-maily v Průzkumníku hrozeb pomocí pivotu doména adresy URL

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu adresy URL.

Doména adresy URL a graf cest v zobrazení Všechny e-maily v Průzkumníku hrozeb

Kontingenční adresa URL domény a cesty uspořádá graf podle domén a cest v adresách URL ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Všechny e-maily v Průzkumníku hrozeb pomocí pivotu Doména adresy URL a cesta

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu url a cestu.

Zobrazení pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Dostupná zobrazení (karty) v oblasti podrobností zobrazení Všechny e-maily jsou popsána v následujících pododdílech.

Email zobrazení podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Email je výchozí zobrazení pro oblast podrobností v zobrazení Všechny e-maily.

Zobrazení Email zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Výchozí hodnoty jsou označené hvězdičkou (*):

  • Rande*
  • Předmět*
  • Příjemce*
  • Doména příjemce
  • Visačky*
  • Adresa odesílatele*
  • Zobrazované jméno odesílatele
  • Doména odesílatele*
  • IP adresa odesílatele
  • E-mail odesílatele z adresy
  • Pošta odesílatele z domény
  • Další akce*
  • Akce doručení
  • Nejnovější místo doručení*
  • Původní místo doručení*
  • Systém přepisuje zdroj
  • Přepsání systému
  • ID upozornění
  • ID internetové zprávy
  • ID síťové zprávy
  • Jazyk pošty
  • Pravidlo přenosu exchange
  • Konektor
  • Kontext
  • Pravidlo ochrany před únikem informací
  • Typ hrozby*
  • Technologie detekce
  • Počet příloh
  • Počet adres URL
  • velikost Email

Tip

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

  • Vodorovné posouvání ve webovém prohlížeči
  • Zužte šířku příslušných sloupců.
  • Odeberte sloupce ze zobrazení.
  • Oddálení ve webovém prohlížeči

Přizpůsobená nastavení sloupců se ukládají pro jednotlivé uživatele. Přizpůsobená nastavení sloupců v anonymním režimu nebo režimu procházení InPrivate se ukládají, dokud nezavřete webový prohlížeč.

Když vyberete jednu nebo více položek ze seznamu zaškrtnutím políčka vedle prvního sloupce, bude k dispozici akce Provést. Informace najdete v tématu Proaktivní vyhledávání hrozeb: Email náprava.

Snímek obrazovky se zobrazením Email (karta) tabulky podrobností s vybranou zprávou a aktivní akcí

V hodnotě Předmět položky je k dispozici akce Otevřít v novém okně. Tato akce otevře zprávu na stránce Email entity.

Když v položce kliknete na hodnoty Předmět nebo Příjemce , otevřou se informační rámečky podrobností. Tyto informační rámečky jsou popsány v následujících pododdílech.

Email podrobnosti ze zobrazení Email oblasti podrobností v zobrazení Všechny e-maily

Když vyberete hodnotu Předmět položky v tabulce, otevře se informační panel s podrobnostmi e-mailu. Tento informační panel podrobností se označuje jako panel souhrnu Email a obsahuje standardizované souhrnné informace, které jsou k dispozici také na stránce Email entity pro danou zprávu.

Podrobnosti o informacích na panelu souhrnu Email najdete v tématu Panel souhrnu Email v Programu Defender.

V horní části panelu souhrnu Email jsou k dispozici následující akce pro Průzkumníka hrozeb a detekce v reálném čase:

  • Otevřít entitu e-mailu
  • Zobrazit záhlaví
  • Provedení akce: Informace najdete v tématu Proaktivní vyhledávání hrozeb: Email náprava.
  • Další možnosti:
    • Email preview¹ ²
    • Stáhnout e-mail¹ ² ³
    • Zobrazit v Průzkumníkovi
    • Běžte lovit

¹ Akce Email Preview a Stáhnout e-mail vyžadují v Email & oprávnění ke spolupráci roli Preview. Ve výchozím nastavení je tato role přiřazená skupinám rolí Vyšetřovatel dat a eDiscovery Manager . Ve výchozím nastavení nemůžou tyto akce provádět členové skupin rolí Správa organizace nebo Správci zabezpečení . Pokud chcete povolit tyto akce pro členy těchto skupin, máte následující možnosti:

  • Přidejte uživatele do skupin rolí Vyšetřovatel dat nebo eDiscovery Manager .
  • Vytvořte novou skupinu rolí s přiřazenou rolí Hledat a vyprázdnit a přidejte uživatele do vlastní skupiny rolí.

² E-mailové zprávy, které jsou dostupné v poštovních schránkách Microsoftu 365, si můžete zobrazit náhled nebo si je stáhnout. Mezi příklady, kdy už zprávy nejsou dostupné v poštovních schránkách, patří:

  • Zpráva byla vyřazena před doručením nebo doručením se nezdařilo.
  • Zpráva byla obnovitelně odstraněna (odstraněna ze složky Odstraněná pošta, čímž se zpráva přesune do složky Obnovitelné položky\Odstraněné položky).
  • ZAP zprávu přesunula do karantény.

³ E-mail ke stažení není k dispozici pro zprávy, které byly v karanténě. Místo toho stáhněte kopii zprávy chráněnou heslem z karantény.

Go hunt je k dispozici pouze v Průzkumníku hrozeb. Není k dispozici v detekcích v reálném čase.

Podrobnosti o příjemci ze zobrazení Email oblasti podrobností v zobrazení Všechny e-maily

Když vyberete položku kliknutím na hodnotu Příjemce , otevře se informační panel podrobností s následujícími informacemi:

Tip

Pokud chcete zobrazit podrobnosti o ostatních příjemcích, aniž byste opustili informační panel podrobností, použijte možnost Předchozí položka a Další položka v horní části informačního rámečku.

  • Oddíl souhrnu :

    • Role: Určuje, jestli má příjemce přiřazené nějaké role správce.
    • Zásady:
      • Určuje, jestli má uživatel oprávnění k zobrazení informací o archivu.
      • Určuje, jestli má uživatel oprávnění k zobrazení informací o uchovávání informací.
      • Jestli se na uživatele vztahuje ochrana před únikem informací
      • Jestli se na uživatele vztahuje správa mobilních zařízení na adrese https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.
  • Email oddíl: Tabulka zobrazující následující související informace o zprávách odeslaných příjemci:

    • Date
    • Předmět
    • Příjemce

    Vyberte Zobrazit všechny e-maily a otevřete Průzkumníka hrozeb na nové kartě filtrované příjemcem.

  • Oddíl Poslední výstrahy: Tabulka zobrazující následující související informace o souvisejících nedávných výstrahách:

    • Závažnost
    • Zásady upozornění
    • Kategorie
    • Činnosti

    Pokud existují více než tři poslední výstrahy, vyberte Zobrazit všechna poslední upozornění a zobrazte je všechny.

    • Oddíl Nedávná aktivita : Zobrazuje souhrnné výsledky hledání v protokolu auditování pro příjemce:

      • Date
      • IP adresa
      • Activity
      • Položka

      Pokud má příjemce více než tři položky protokolu auditu, vyberte Zobrazit všechny nedávné aktivity , aby se zobrazily všechny.

    Tip

    Členové skupiny rolí Správci zabezpečení v Email & oprávnění ke spolupráci nemůžou rozbalit oddíl Nedávná aktivita. Musíte být členem skupiny rolí v Exchange Online oprávnění, která má přiřazené role Protokoly auditu, analytik Information Protection nebo Information Protection Vyšetřovatel. Ve výchozím nastavení se tyto role přiřazují skupinám rolí Správa záznamů, Správa dodržování předpisů, Information Protection, Analytici Information Protection, vyšetřovatelé Information Protection a Správa organizace. Do těchto skupin rolí můžete přidat členy skupiny Správci zabezpečení nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Protokoly auditu .

Snímek obrazovky s vysouvacím rámečkem podrobností příjemce po výběru hodnoty Příjemce na kartě Email v oblasti podrobností v zobrazení Všechny e-maily

Adresa URL klikne na zobrazení podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb.

Zobrazení kliknutí na adresu URL zobrazuje graf, který je možné uspořádat pomocí kontingenčních panelů. Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Kontingenční grafy jsou popsány v následujících pododdílech.

Snímek obrazovky s oblastí podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb s vybranou kartou Kliknutí na adresu URL a zobrazující dostupné kontingenční tabulky bez vybrané kontingenční tabulky

Tip

V Průzkumníku hrozeb má každý pivot v zobrazení kliknutí na adresu URL akci Zobrazit všechna kliknutí, která otevře zobrazení kliknutí na adresu URL na nové kartě.

Pivot domény adresy URL pro zobrazení s kliknutími na adresu URL pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

I když se zdá, že tento kontingenční graf není vybraný, doména URL je výchozím kontingenčním grafem v zobrazení url kliknutí .

V pivotu domén adresy URL se v e-mailových zprávách zobrazují různé domény v adresách URL pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s oblastí podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb s kartou kliknutí na adresu URL a vybranou pivotem doména adresy URL

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu adresy URL.

Kliknutím na pivot verdict (Verdict) pro zobrazení adresy URL kliknete na oblast podrobností zobrazení Všech e-mailů v Průzkumníku hrozeb.

Pivot Click verdict (Kliknout na verdikt ) zobrazuje různé verdikty pro klikané adresy URL v e-mailových zprávách pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s oblastí podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb s kartou Kliknutí na adresu URL a vybranou pivotem Kliknout na verdikt

Když najedete myší na datový bod v grafu, zobrazí se počet pro každý verdikt kliknutí.

Pivot adresy URL pro zobrazení kliknutí na adresu URL pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

V pivotu adresy URL se zobrazují různé adresy URL, na které jste klikli v e-mailových zprávách pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s oblastí podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb s kartou kliknutí na adresu URL a vybranou kontingenční adresou URL

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých adres URL.

Doména adresy URL a pivot cesty pro zobrazení kliknutí na adresu URL pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Doména adresy URL a pivot cesty zobrazují různé domény a cesty k souborům adres URL, na které jste klikli v e-mailových zprávách pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s oblastí podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb s kartou kliknutí na adresu URL a vybranou pivotem Doména adresy URL a cesta

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu url a cestu k souboru.

Zobrazení hlavních adres URL pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

V zobrazení Horní adresy URL se zobrazuje tabulka podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce:

  • URL
  • Blokované zprávy
  • Nevyžádané zprávy
  • Doručené zprávy
Podrobnosti o hlavních adresách URL pro zobrazení Všechny e-maily

Když vyberete položku kliknutím na jiný řádek než zaškrtávací políčko vedle prvního sloupce, otevře se informační rámeček podrobností s následujícími informacemi:

Tip

Pokud chcete zobrazit podrobnosti o jiných adresách URL, aniž byste opustili vysouvací panel podrobností, použijte předchozí položku a další položku v horní části informačního rámečku.

  • V horní části informačního rámečku jsou k dispozici následující akce:
    • Otevřít stránku URL

    • Odeslání k analýze:

      • Vyčištění sestavy
      • Nahlásit útok phishing
      • Nahlásit malware
    • Ukazatel správy:

      • Přidat indikátor
      • Správa v seznamu blokovaných tenantů

      Výběrem některé z těchto možností přejdete na stránku Odeslání na portálu Defender.

    • Další informace:

      • Zobrazit v Průzkumníkovi
      • Běžte lovit
  • Původní adresa URL
  • Oddíl detekce :
    • Verdikt analýzy hrozeb
    • x aktivních výstrah y incidentů: Vodorovný pruhový graf zobrazující počet upozornění na vysokou, střední, nízkou a informační výstrahu související s tímto odkazem.
    • Odkaz na zobrazení všech incidentů & upozornění na stránce URL.
  • Část s podrobnostmi o doméně:
    • Název domény a odkaz na stránku Zobrazit doménu.
    • Žadatel o registraci
    • Registrováno dne
    • Aktualizováno
    • Platnost vyprší dne
  • Oddíl kontaktních údajů žadatele o registraci:
    • Registrátor
    • Země nebo oblast
    • Poštovní adresa
    • E-mail
    • Phone
    • Další informace: Odkaz na Otevřít v Whois.
  • Část Rozšíření adres URL (posledních 30 dní): Obsahuje počet zařízení, Email a kliknutí. Výběrem jednotlivých hodnot zobrazíte úplný seznam.
  • Zařízení: Zobrazuje ovlivněná zařízení:
    • Datum (první/poslední)

    • Zařízení

      Pokud se jedná o více než dvě zařízení, vyberte Zobrazit všechna zařízení a zobrazte je všechna.

Snímek obrazovky s vysouvacím rámečkem podrobností po výběru položky na kartě Hlavní adresy URL v zobrazení Všechny e-maily v Průzkumníku hrozeb

Zobrazení horních kliknutí pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Zobrazení Horní kliknutí zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce:

  • URL
  • Blokovaný
  • Povolený
  • Přepsaný blok
  • Čekající verdikt
  • Nevyřízený verdikt se obešel
  • Žádné
  • Chybová stránka
  • Selhání

Tip

Jsou vybrány všechny dostupné sloupce. Pokud vyberete Přizpůsobit sloupce, nebudete moct zrušit výběr žádných sloupců.

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

  • Vodorovné posouvání ve webovém prohlížeči
  • Zužte šířku příslušných sloupců.
  • Oddálení ve webovém prohlížeči

Když vyberete položku kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle prvního sloupce, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o hlavních adresách URL v zobrazení Všechny e-maily.

Zobrazení nejčastějších cílových uživatelů pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Zobrazení Nejaktivnější cíloví uživatelé uspořádá data do tabulky s pěti nejlepšími příjemci, na které cílilo nejvíce hrozeb. Tabulka obsahuje následující informace:

Tip

Pomocí exportu můžete exportovat seznam až 3 000 uživatelů a odpovídající pokusy.

Email zobrazení původu pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Zobrazení Email původu zobrazuje zdroje zpráv na mapě světa.

Snímek obrazovky mapy světa v zobrazení Email původu v oblasti podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Zobrazení kampaně pro oblast podrobností v zobrazení Všechny e-maily v Průzkumníku hrozeb

Zobrazení Kampaň zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce.

Informace v tabulce jsou stejné jako v tabulce podrobností na stránce Kampaně.

Když vyberete položku kliknutím na jiné místo v řádku, než je zaškrtávací políčko vedle názvu, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o kampani.

Zobrazení malwaru v Průzkumníku hrozeb a detekcích v reálném čase

Zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase zobrazuje informace o e-mailových zprávách, u které bylo zjištěno, že obsahují malware. Toto zobrazení je výchozí v detekcích v reálném čase.

Pokud chcete otevřít zobrazení Malware , proveďte jeden z následujících kroků:

Snímek obrazovky se zobrazením Malware v Průzkumníku hrozeb s grafem, dostupnými pivoty grafu a zobrazeními tabulky podrobností

Filtrovatelné vlastnosti v zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase

Ve výchozím nastavení se na data nepoužijí žádné filtry vlastností. Postup vytvoření filtrů (dotazů) je popsaný v části Filtry v Průzkumníku hrozeb a detekce v reálném čase dále v tomto článku.

Filtrovatelné vlastnosti, které jsou k dispozici v poli Adresa odesílatele v zobrazení Malware , jsou popsány v následující tabulce:

Vlastnost Typ Hrozba
Průzkumník
Real-time
Detekcí
Basic
Adresa odesílatele Text. Více hodnot oddělte čárkami.
Příjemci Text. Více hodnot oddělte čárkami.
Doména odesílatele Text. Více hodnot oddělte čárkami.
Doména příjemce Text. Více hodnot oddělte čárkami.
Předmět Text. Více hodnot oddělte čárkami.
Zobrazované jméno odesílatele Text. Více hodnot oddělte čárkami.
E-mail odesílatele z adresy Text. Více hodnot oddělte čárkami.
Pošta odesílatele z domény Text. Více hodnot oddělte čárkami.
Návratová cesta Text. Více hodnot oddělte čárkami.
Doména návratové cesty Text. Více hodnot oddělte čárkami.
Řada malwaru Text. Více hodnot oddělte čárkami.
Značky Text. Více hodnot oddělte čárkami.

Další informace o značkách uživatelů najdete v tématu Značky uživatelů.
Pravidlo přenosu exchange Text. Více hodnot oddělte čárkami.
Pravidlo ochrany před únikem informací Text. Více hodnot oddělte čárkami.
Kontext Vyberte jednu nebo více hodnot:
  • Vyhodnocení
  • Ochrana prioritního účtu
Konektor Text. Více hodnot oddělte čárkami.
Akce doručení Vyberte jednu nebo více hodnot:
Další akce Vyberte jednu nebo více hodnot:
Směrovost Vyberte jednu nebo více hodnot:
  • Směřující sem
  • Uvnitř organizace
  • Odchozí
Technologie detekce Vyberte jednu nebo více hodnot:
  • Rozšířený filtr: Signály založené na strojovém učení.
  • Antimalwarová ochrana
  • Množství
  • Kampaň
  • Reputace domény
  • Detonace souborů: Bezpečné přílohy detekovaly škodlivou přílohu během analýzy detonace.
  • Reputace detonace souborů: Přílohy souborů dříve detekované detonacemi bezpečných příloh v jiných organizacích Microsoftu 365.
  • Reputace souboru: Zpráva obsahuje soubor, který byl dříve identifikován jako škodlivý v jiných organizacích Microsoft 365.
  • Párování otisků prstů: Zpráva se podobá předchozí zjištěné škodlivé zprávě.
  • Obecný filtr
  • Značka zosobnění: Zosobnění odesílatelem známých značek.
  • Zosobnění domény: Zosobnění domén odesílatele, které vlastníte nebo které jste zadali pro ochranu v zásadách ochrany proti útokům phishing
  • Uživatel zosobnění
  • Reputace IP adres
  • Zosobnění inteligentních poštovních schránek: Detekce zosobnění z inteligentních funkcí poštovní schránky v zásadách ochrany proti útokům phishing.
  • Detekce smíšené analýzy: K verdiktu zprávy přispělo několik filtrů.
  • spoof DMARC: Zpráva selhala při ověřování DMARC.
  • Falšování externí domény: Falšování e-mailové adresy odesílatele pomocí domény, která je pro vaši organizaci externí.
  • Falšování identity uvnitř organizace: Falšování e-mailové adresy odesílatele pomocí domény, která je interní pro vaši organizaci.
  • Detonace adresy URL: Bezpečné odkazy detekovaly škodlivou adresu URL ve zprávě během analýzy detonace.
  • Reputace detonace adresy URL: Adresy URL dříve detekované detonacemi bezpečných odkazů v jiných organizacích Microsoft 365.
  • Škodlivá reputace adresy URL: Zpráva obsahuje adresu URL, která byla dříve identifikována jako škodlivá v jiných organizacích Microsoft 365.
Původní místo doručení Vyberte jednu nebo více hodnot:
  • Složka Odstraněná pošta
  • Upuštěný
  • Selhalo
  • Doručená pošta nebo složka
  • Nevyžádaná pošta
  • Místní/externí
  • Karanténa
  • Unknown (neznámý)
Nejnovější místo doručení Stejné hodnoty jako původní umístění doručení
Primární přepsání Vyberte jednu nebo více hodnot:
  • Povolené zásadami organizace
  • Povolené zásadami uživatele
  • Blokováno zásadami organizace
  • Blokováno zásadami uživatele
  • Žádné
Primární zdroj přepsání Zprávy můžou mít několik přepsání povolení nebo blokování, jak je uvedeno ve zdroji přepsání. Přepsání, které zprávu nakonec povolilo nebo zablokovalo, je identifikováno v primárním zdroji přepsání.
Vyberte jednu nebo více hodnot:
  • Filtr třetí strany
  • Správa zahájené cestování časem (ZAP)
  • Blokování antimalwarových zásad podle typu souboru
  • Nastavení antispamových zásad
  • Zásady připojení
  • Pravidlo přenosu exchange
  • Výhradní režim (přepsání uživatelem)
  • Filtrování se přeskočí kvůli místní organizaci
  • Filtr oblastí IP adres ze zásad
  • Filtr jazyka ze zásad
  • Simulace útoků phishing
  • Uvolnění do karantény
  • Poštovní schránka SecOps
  • Seznam adres odesílatele (Správa přepsání)
  • Seznam adres odesílatele (přepsání uživatelem)
  • Seznam domén odesílatelů (Správa přepsání)
  • Seznam domén odesílatelů (přepsání uživatelem)
  • Blokování souboru seznamu povolených nebo blokovaných tenantů
  • Blok e-mailové adresy odesílatele v seznamu povolených nebo blokovaných tenantů
  • Blok falšování povolených nebo blokovaných položek v seznamu povolených tenantů
  • Blok adresy URL seznamu povolených nebo blokovaných tenantů
  • Seznam důvěryhodných kontaktů (přepsání uživatelem)
  • Důvěryhodná doména (přepsání uživatelem)
  • Důvěryhodný příjemce (přepsání uživatelem)
  • Pouze důvěryhodní odesílatelé (přepsání uživatelem)
Přepsat zdroj Stejné hodnoty jako primární zdroj přepsání
Typ zásady Vyberte jednu nebo více hodnot:
  • Antimalwarové zásady
  • Zásady ochrany proti útokům phishing
  • Pravidlo přenosu exchange (pravidlo toku pošty), zásady filtru hostovaného obsahu (zásady ochrany před spamem), zásady filtru odchozích spamů (zásady odchozího spamu), zásady bezpečných příloh
  • Unknown (neznámý)
Akce zásad Vyberte jednu nebo více hodnot:
  • Přidání záhlaví x
  • Skrytá zpráva
  • Odstranit zprávu
  • Upravit předmět
  • Přesunout do složky Nevyžádaná pošta Email
  • Nebyla provedena žádná akce
  • Zpráva o přesměrování
  • Odeslat do karantény
velikost Email Celé číslo. Více hodnot oddělte čárkami.
Upřesnit
ID internetové zprávy Text. Více hodnot oddělte čárkami.

K dispozici v poli Hlavička ID zprávy v záhlaví zprávy. Příklad hodnoty je <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (všimněte si úhlových závorek).
ID síťové zprávy Text. Více hodnot oddělte čárkami.

Hodnota GUID, která je k dispozici v poli hlavičky X-MS-Exchange-Organization-Network-Message-Id v záhlaví zprávy.
IP adresa odesílatele Text. Více hodnot oddělte čárkami.
Příloha SHA256 Text. Více hodnot oddělte čárkami.
ID clusteru Text. Více hodnot oddělte čárkami.
ID upozornění Text. Více hodnot oddělte čárkami.
ID zásad upozornění Text. Více hodnot oddělte čárkami.
ID kampaně Text. Více hodnot oddělte čárkami.
Signál ADRESY URL zap Text. Více hodnot oddělte čárkami.
Adresy URL
Počet adres URL Celé číslo. Více hodnot oddělte čárkami.
Doména adresy URL Text. Více hodnot oddělte čárkami.
Doména adresy URL a cesta Text. Více hodnot oddělte čárkami.
URL Text. Více hodnot oddělte čárkami.
Cesta url Text. Více hodnot oddělte čárkami.
Zdroj adresy URL Vyberte jednu nebo více hodnot:
  • Přílohy
  • Cloudová příloha
  • Email text
  • záhlaví Email
  • Kód QR
  • Předmět
  • Unknown (neznámý)
Klikněte na verdikt. Vyberte jednu nebo více hodnot:
  • Povolený
  • Přepsaný blok
  • Blokovaný
  • Chyba
  • Selhání
  • Žádné
  • Čekající verdikt
  • Nevyřízený verdikt se obešel
Hrozba adresy URL Vyberte jednu nebo více hodnot:
  • Malware
  • Phish
  • Spam
Soubor
Počet příloh Celé číslo. Více hodnot oddělte čárkami.
Název souboru přílohy Text. Více hodnot oddělte čárkami.
Typ souboru Text. Více hodnot oddělte čárkami.
Přípona souboru Text. Více hodnot oddělte čárkami.
Velikost souboru Celé číslo. Více hodnot oddělte čárkami.
Ověřování
SPF Vyberte jednu nebo více hodnot:
  • Selhat
  • Neutrální
  • Žádné
  • Projít
  • Trvalá chyba
  • Měkké selhání
  • Dočasná chyba
DKIM Vyberte jednu nebo více hodnot:
  • Chyba
  • Selhat
  • Ignorovat
  • Žádné
  • Projít
  • Test
  • Přerušení zápasu
  • Unknown (neznámý)
DMARC Vyberte jednu nebo více hodnot:
  • Nejlepší odhad pass
  • Selhat
  • Žádné
  • Projít
  • Trvalá chyba
  • Selektor pass
  • Dočasná chyba
  • Unknown (neznámý)
Složený Vyberte jednu nebo více hodnot:
  • Selhat
  • Žádné
  • Projít
  • Soft pass

Pivots for the chart in the Malware view in Threat Explorer and Real-time Detections

Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Kontingenční grafy, které jsou k dispozici v zobrazení Malware v Průzkumníku hrozeb a detekce v reálném čase, jsou uvedeny v následující tabulce:

Pivot Hrozba
Průzkumník
Real-time
Detekcí
Řada malwaru
Doména odesílatele
IP adresa odesílatele
Akce doručení
Technologie detekce

Dostupné pivoty grafu jsou popsány v následujících pododdílech.

Kontingenční graf rodiny malwaru v zobrazení Malware v Průzkumníku hrozeb

I když tento pivot ve výchozím nastavení nevypadá jako vybraný, je rodina malwaru výchozím kontingenčním grafem v zobrazení Malware v Průzkumníku hrozeb.

Pivot Rodina malwaru uspořádá graf podle rodiny malwaru zjištěného ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Malware v Průzkumníku hrozeb pomocí pivotu Rodina malwaru

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou rodinu malwaru.

Kontingenční graf domény odesílatele v zobrazení Malware v Průzkumníku hrozeb

Pivot Doména odesílatele uspořádá graf podle domény odesílatele zpráv, u které bylo zjištěno, že obsahují malware pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Malware v Průzkumníku hrozeb pomocí pivotu Doména odesílatele

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu odesílatele.

Kontingenční graf IP adresy odesílatele v zobrazení Malware v Průzkumníku hrozeb

Pivot Ip adresa odesílatele uspořádá graf podle zdrojové IP adresy zpráv, u které bylo zjištěno, že obsahují malware pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Malware v Průzkumníku hrozeb pomocí pivotu IP adresa odesílatele

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou zdrojovou IP adresu.

Kontingenční graf akcí doručení v zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase

I když tento kontingenční graf ve výchozím nastavení nevypadá jako vybraný, je akce doručení výchozím kontingenčním grafem v zobrazení Malware v detekcích v reálném čase.

Pivot Akce doručení uspořádá graf podle toho, co se stalo se zprávami, u které bylo zjištěno, že obsahují malware pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Malware v Průzkumníku hrozeb pomocí pivotu Akce doručení

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých akcí doručení.

Graf technologie detekce v zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase

Pivot Technologie detekce uspořádá graf podle funkce, která identifikovala malware ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Malware v Průzkumníku hrozeb pomocí pivotu Technologie detekce

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých technologií detekce.

Zobrazení pro oblast podrobností v zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase

Dostupná zobrazení (karty) v oblasti podrobností zobrazení Malware jsou uvedena v následující tabulce a jsou popsána v následujících pododdílech.

Zobrazení Hrozba
Průzkumník
Real-time
Detekcí
E-mail
Hlavní skupiny malwaru
Nejčastější cílení uživatelé
Email původ
Kampaň

Email zobrazení podrobností v zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase

Email je výchozí zobrazení pro oblast podrobností zobrazení Malware v Průzkumníku hrozeb a detekcích v reálném čase.

Zobrazení Email zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce.

Následující tabulka uvádí sloupce, které jsou k dispozici v Průzkumníku hrozeb a detekcích v reálném čase. Výchozí hodnoty jsou označené hvězdičkou (*).

Sloupec Hrozba
Průzkumník
Real-time
Detekcí
Rande*
Předmět*
Příjemce*
Doména příjemce
Visačky*
Adresa odesílatele*
Zobrazované jméno odesílatele
Doména odesílatele*
IP adresa odesílatele
E-mail odesílatele z adresy
Pošta odesílatele z domény
Další akce*
Akce doručení
Nejnovější místo doručení*
Původní místo doručení*
Systém přepisuje zdroj
Přepsání systému
ID upozornění
ID internetové zprávy
ID síťové zprávy
Jazyk pošty
Pravidlo přenosu exchange
Konektor
Kontext
Pravidlo ochrany před únikem informací
Typ hrozby*
Technologie detekce
Počet příloh
Počet adres URL
velikost Email

Tip

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

  • Vodorovné posouvání ve webovém prohlížeči
  • Zužte šířku příslušných sloupců.
  • Odeberte sloupce ze zobrazení.
  • Oddálení ve webovém prohlížeči

Přizpůsobená nastavení sloupců se ukládají pro jednotlivé uživatele. Přizpůsobená nastavení sloupců v anonymním režimu nebo režimu procházení InPrivate se ukládají, dokud nezavřete webový prohlížeč.

Když vyberete jednu nebo více položek ze seznamu zaškrtnutím políčka vedle prvního sloupce, bude k dispozici akce Provést. Informace najdete v tématu Proaktivní vyhledávání hrozeb: Email náprava.

Snímek obrazovky se zobrazením Email (karta) tabulky podrobností s vybranou zprávou a aktivní akcí

Když v položce kliknete na hodnoty Předmět nebo Příjemce , otevřou se informační rámečky podrobností. Tyto informační rámečky jsou popsány v následujících pododdílech.

Email podrobnosti ze zobrazení Email oblasti podrobností v zobrazení Malware

Když vyberete hodnotu Předmět položky v tabulce, otevře se informační panel s podrobnostmi e-mailu. Tento informační panel podrobností se označuje jako panel souhrnu Email a obsahuje standardizované souhrnné informace, které jsou k dispozici také na stránce Email entity pro danou zprávu.

Podrobnosti o informacích na panelu souhrnu Email najdete v tématu Souhrnné panely Email.

Dostupné akce v horní části panelu souhrnu Email pro Průzkumníka hrozeb a detekce v reálném čase jsou popsané v Email podrobnosti z Email zobrazení podrobností v zobrazení Všechny e-maily.

Podrobnosti o příjemci v zobrazení Email oblasti podrobností v zobrazení Malware

Když vyberete položku kliknutím na hodnotu Příjemce , otevře se vysouvací nabídka podrobností. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o příjemci v zobrazení Email oblasti podrobností v zobrazení Všechny e-maily.

Zobrazení nejčastějších skupin malwaru pro oblast podrobností zobrazení Malware v Průzkumníku hrozeb

Zobrazení Nejčastější rodiny malwaru pro oblast podrobností uspořádá data do tabulky s nejčastějšími rodinami malwaru. V tabulce jsou uvedené:

  • Sloupec s nejčastějšími rodinami malwaru : Název rodiny malwaru.

    Pokud vyberete název rodiny malwaru, otevře se informační panel podrobností s následujícími informacemi:

    • Email oddíl: Tabulka zobrazující následující související informace o zprávách, které obsahují soubor malwaru:

      • Date
      • Předmět
      • Příjemce

      Vyberte Zobrazit všechny e-maily a otevřete Průzkumníka hrozeb na nové kartě filtrované podle názvu rodiny malwaru.

    • Oddíl s technickými podrobnostmi

    Snímek obrazovky s vysouvacím rámečkem podrobností po výběru rodiny malwaru na kartě Nejčastější rodiny malwaru v oblasti podrobností v zobrazení Malware v Průzkumníku hrozeb

  • Počet pokusů: Pokud vyberete počet pokusů, Otevře se Průzkumník hrozeb na nové kartě filtrované podle názvu rodiny malwaru.

Zobrazení nejčastějších cílových uživatelů pro oblast podrobností v zobrazení Malware v Průzkumníku hrozeb

Zobrazení Uživatelé s nejvyšším cílem uspořádá data do tabulky s pěti hlavními příjemci, na které se zaměřuje malware. V tabulce jsou uvedené:

Tip

Pomocí exportu můžete exportovat seznam až 3 000 uživatelů a odpovídající pokusy.

Email zobrazení původu pro oblast podrobností zobrazení Malware v Průzkumníku hrozeb

Zobrazení Email původu zobrazuje zdroje zpráv na mapě světa.

Zobrazení kampaně pro oblast podrobností zobrazení Malware v Průzkumníku hrozeb

Zobrazení Kampaň zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce.

Tabulka podrobností je shodná s tabulkou podrobností na stránce Kampaně.

Když vyberete položku kliknutím na jiné místo v řádku, než je zaškrtávací políčko vedle názvu, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o kampani.

Zobrazení phish v Průzkumníku hrozeb a detekcích v reálném čase

Zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase zobrazuje informace o e-mailových zprávách, které byly identifikovány jako phishing.

Pokud chcete otevřít zobrazení Phish , proveďte jeden z následujících kroků:

Snímek obrazovky se zobrazením Phish v Průzkumníku hrozeb s grafem, dostupnými pivoty grafu a zobrazeními tabulky podrobností

Filtrovatelné vlastnosti v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

Ve výchozím nastavení se na data nepoužijí žádné filtry vlastností. Postup vytvoření filtrů (dotazů) je popsaný v části Filtry v Průzkumníku hrozeb a detekce v reálném čase dále v tomto článku.

Filtrovatelné vlastnosti, které jsou k dispozici v poli Adresa odesílatele v zobrazení Malware , jsou popsány v následující tabulce:

Vlastnost Typ Hrozba
Průzkumník
Real-time
Detekcí
Basic
Adresa odesílatele Text. Více hodnot oddělte čárkami.
Příjemci Text. Více hodnot oddělte čárkami.
Doména odesílatele Text. Více hodnot oddělte čárkami.
Doména příjemce Text. Více hodnot oddělte čárkami.
Předmět Text. Více hodnot oddělte čárkami.
Zobrazované jméno odesílatele Text. Více hodnot oddělte čárkami.
E-mail odesílatele z adresy Text. Více hodnot oddělte čárkami.
Pošta odesílatele z domény Text. Více hodnot oddělte čárkami.
Návratová cesta Text. Více hodnot oddělte čárkami.
Doména návratové cesty Text. Více hodnot oddělte čárkami.
Značky Text. Více hodnot oddělte čárkami.

Další informace o značkách uživatelů najdete v tématu Značky uživatelů.
Zosobněná doména Text. Více hodnot oddělte čárkami.
Zosobněný uživatel Text. Více hodnot oddělte čárkami.
Pravidlo přenosu exchange Text. Více hodnot oddělte čárkami.
Pravidlo ochrany před únikem informací Text. Více hodnot oddělte čárkami.
Kontext Vyberte jednu nebo více hodnot:
  • Vyhodnocení
  • Ochrana prioritního účtu
Konektor Text. Více hodnot oddělte čárkami.
Akce doručení Vyberte jednu nebo více hodnot:
Další akce Vyberte jednu nebo více hodnot:
  • Automatizovaná náprava
  • Dynamické doručování
  • Ruční náprava
  • Žádné
  • Uvolnění do karantény
  • Znovu zpracováno
  • ODPRÁSKNOUT
Směrovost Vyberte jednu nebo více hodnot:
  • Směřující sem
  • Uvnitř organizace
  • Odchozí
Technologie detekce Vyberte jednu nebo více hodnot:
  • Rozšířený filtr
  • Antimalwarová ochrana
  • Množství
  • Kampaň
  • Reputace domény
  • Detonace souboru
  • Reputace detonace souboru
  • Reputace souboru
  • Porovnávání otisků prstů
  • Obecný filtr
  • Značka zosobnění
  • Doména zosobnění
  • Uživatel zosobnění
  • Reputace IP adres
  • Zosobnění inteligentních poštovních schránek
  • Detekce smíšených analýz
  • spoof DMARC
  • Falšování externí domény
  • Falšování identity uvnitř organizace
  • Detonace adresy URL
  • Reputace detonace adresy URL
  • Škodlivá reputace adresy URL
Původní místo doručení Vyberte jednu nebo více hodnot:
  • Složka Odstraněná pošta
  • Upuštěný
  • Selhalo
  • Doručená pošta nebo složka
  • Nevyžádaná pošta
  • Místní/externí
  • Karanténa
  • Unknown (neznámý)
Nejnovější místo doručení Stejné hodnoty jako původní umístění doručení
Úroveň spolehlivosti phish Vyberte jednu nebo více hodnot:
  • High (Vysoká)
  • Normální
Primární přepsání Vyberte jednu nebo více hodnot:
  • Povolené zásadami organizace
  • Povolené zásadami uživatele
  • Blokováno zásadami organizace
  • Blokováno zásadami uživatele
  • Žádné
Primární zdroj přepsání Zprávy můžou mít několik přepsání povolení nebo blokování, jak je uvedeno ve zdroji přepsání. Přepsání, které zprávu nakonec povolilo nebo zablokovalo, je identifikováno v primárním zdroji přepsání.
Vyberte jednu nebo více hodnot:
  • Filtr třetí strany
  • Správa zahájené cestování časem (ZAP)
  • Blokování antimalwarových zásad podle typu souboru
  • Nastavení antispamových zásad
  • Zásady připojení
  • Pravidlo přenosu exchange
  • Výhradní režim (přepsání uživatelem)
  • Filtrování se přeskočí kvůli místní organizaci
  • Filtr oblastí IP adres ze zásad
  • Filtr jazyka ze zásad
  • Simulace útoků phishing
  • Uvolnění do karantény
  • Poštovní schránka SecOps
  • Seznam adres odesílatele (Správa přepsání)
  • Seznam adres odesílatele (přepsání uživatelem)
  • Seznam domén odesílatelů (Správa přepsání)
  • Seznam domén odesílatelů (přepsání uživatelem)
  • Blokování souboru seznamu povolených nebo blokovaných tenantů
  • Blok e-mailové adresy odesílatele v seznamu povolených nebo blokovaných tenantů
  • Blok falšování povolených nebo blokovaných položek v seznamu povolených tenantů
  • Blok adresy URL seznamu povolených nebo blokovaných tenantů
  • Seznam důvěryhodných kontaktů (přepsání uživatelem)
  • Důvěryhodná doména (přepsání uživatelem)
  • Důvěryhodný příjemce (přepsání uživatelem)
  • Pouze důvěryhodní odesílatelé (přepsání uživatelem)
Přepsat zdroj Stejné hodnoty jako primární zdroj přepsání
Typ zásady Vyberte jednu nebo více hodnot:
  • Antimalwarové zásady
  • Zásady ochrany proti útokům phishing
  • Pravidlo přenosu exchange (pravidlo toku pošty), zásady filtru hostovaného obsahu (zásady ochrany před spamem), zásady filtru odchozích spamů (zásady odchozího spamu), zásady bezpečných příloh
  • Unknown (neznámý)
Akce zásad Vyberte jednu nebo více hodnot:
  • Přidání záhlaví x
  • Skrytá zpráva
  • Odstranit zprávu
  • Upravit předmět
  • Přesunout do složky Nevyžádaná pošta Email
  • Nebyla provedena žádná akce
  • Zpráva o přesměrování
  • Odeslat do karantény
velikost Email Celé číslo. Více hodnot oddělte čárkami.
Upřesnit
ID internetové zprávy Text. Více hodnot oddělte čárkami.

K dispozici v poli Hlavička ID zprávy v záhlaví zprávy. Příklad hodnoty je <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (všimněte si úhlových závorek).
ID síťové zprávy Text. Více hodnot oddělte čárkami.

Hodnota GUID, která je k dispozici v poli hlavičky X-MS-Exchange-Organization-Network-Message-Id v záhlaví zprávy.
IP adresa odesílatele Text. Více hodnot oddělte čárkami.
Příloha SHA256 Text. Více hodnot oddělte čárkami.
ID clusteru Text. Více hodnot oddělte čárkami.
ID upozornění Text. Více hodnot oddělte čárkami.
ID zásad upozornění Text. Více hodnot oddělte čárkami.
ID kampaně Text. Více hodnot oddělte čárkami.
Signál ADRESY URL zap Text. Více hodnot oddělte čárkami.
Adresy URL
Počet adres URL Celé číslo. Více hodnot oddělte čárkami.
Doména adresy URL Text. Více hodnot oddělte čárkami.
Doména adresy URL a cesta Text. Více hodnot oddělte čárkami.
URL Text. Více hodnot oddělte čárkami.
Cesta url Text. Více hodnot oddělte čárkami.
Zdroj adresy URL Vyberte jednu nebo více hodnot:
  • Přílohy
  • Cloudová příloha
  • Email text
  • záhlaví Email
  • Kód QR
  • Předmět
  • Unknown (neznámý)
Klikněte na verdikt. Vyberte jednu nebo více hodnot:
  • Povolený
  • Přepsaný blok
  • Blokovaný
  • Chyba
  • Selhání
  • Žádné
  • Čekající verdikt
  • Nevyřízený verdikt se obešel
Hrozba adresy URL Vyberte jednu nebo více hodnot:
  • Malware
  • Phish
  • Spam
Soubor
Počet příloh Celé číslo. Více hodnot oddělte čárkami.
Název souboru přílohy Text. Více hodnot oddělte čárkami.
Typ souboru Text. Více hodnot oddělte čárkami.
Přípona souboru Text. Více hodnot oddělte čárkami.
Velikost souboru Celé číslo. Více hodnot oddělte čárkami.
Ověřování
SPF Vyberte jednu nebo více hodnot:
  • Selhat
  • Neutrální
  • Žádné
  • Projít
  • Trvalá chyba
  • Měkké selhání
  • Dočasná chyba
DKIM Vyberte jednu nebo více hodnot:
  • Chyba
  • Selhat
  • Ignorovat
  • Žádné
  • Projít
  • Test
  • Přerušení zápasu
  • Unknown (neznámý)
DMARC Vyberte jednu nebo více hodnot:
  • Nejlepší odhad pass
  • Selhat
  • Žádné
  • Projít
  • Trvalá chyba
  • Selektor pass
  • Dočasná chyba
  • Unknown (neznámý)
Složený Vyberte jednu nebo více hodnot:
  • Selhat
  • Žádné
  • Projít
  • Soft pass

Pivots for the chart in the Phish view in Threat Explorer and Real-time Detections

Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Kontingenční grafy, které jsou k dispozici v zobrazení Phish v Průzkumníku hrozeb a detekce v reálném čase, jsou uvedeny v následující tabulce:

Pivot Hrozba
Průzkumník
Real-time
Detekcí
Doména odesílatele
IP adresa odesílatele
Akce doručení
Technologie detekce
Úplná adresa URL
Doména adresy URL
Doména adresy URL a cesta

Dostupné pivoty grafu jsou popsány v následujících pododdílech.

Kontingenční graf domény odesílatele v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

I když tento kontingenční graf ve výchozím nastavení nevypadá jako vybraný, je doména odesílatele výchozím kontingenčním grafem v zobrazení Phish v detekcích v reálném čase.

Pivot Doména odesílatele uspořádá graf podle domén ve zprávách pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Phish v Průzkumníku hrozeb pomocí pivotu Doména odesílatele

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu odesílatele.

Kontingenční graf IP adresy odesílatele v zobrazení Phish v Průzkumníku hrozeb

Pivot Ip adresa odesílatele uspořádá graf podle zdrojových IP adres zpráv pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Phish v Průzkumníku hrozeb pomocí pivotu IP adresa odesílatele

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou zdrojovou IP adresu.

Kontingenční graf akcí doručení v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

I když tento kontingenční graf ve výchozím nastavení nevypadá jako vybraný, akce Doručení je výchozím kontingenčním grafem v zobrazení Phish v Průzkumníku hrozeb.

Pivot Akce doručení uspořádá graf podle akcí provedených u zpráv pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Phish v Průzkumníku hrozeb pomocí pivotu Akce doručení

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých akcí doručení.

Graf technologie detekce v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

Pivot Technologie detekce uspořádá graf podle funkce, která identifikovala phishingové zprávy pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Phish v Průzkumníku hrozeb pomocí pivotu Technologie detekce

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých technologií detekce.

Kontingenční graf s celou adresou URL v zobrazení Phish v Průzkumníku hrozeb

Pivot Úplná adresa URL uspořádá graf podle úplných adres URL v phishingových zprávách pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Phish v Průzkumníku hrozeb pomocí pivotu Úplná adresa URL

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou úplnou adresu URL.

Kontingenční graf domény adresy URL v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

Kontingenční adresa URL domény uspořádá graf podle domén v adresách URL ve zprávách phishing pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Phish v Průzkumníku hrozeb pomocí pivotu domény adresy URL

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu adresy URL.

Kontingenční graf domény adresy URL a cesty v zobrazení Phish v Průzkumníku hrozeb

Kontingenční adresa URL domény a cesty uspořádá graf podle domén a cest v adresách URL ve zprávách phishing pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Phish v Průzkumníku hrozeb pomocí pivotu doména adresy URL a cesta

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu url a cestu.

Zobrazení pro oblast podrobností v zobrazení Phish v Průzkumníku hrozeb

Dostupná zobrazení (karty) v oblasti podrobností zobrazení Phish jsou uvedena v následující tabulce a jsou popsána v následujících pododdílech.

Zobrazení Hrozba
Průzkumník
Real-time
Detekcí
E-mail
Kliknutí na adresu URL
Hlavní adresy URL
Horní kliknutí
Nejčastější cílení uživatelé
Email původ
Kampaň

Email zobrazení podrobností v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

Email je výchozí zobrazení pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase.

Zobrazení Email zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce.

Následující tabulka uvádí sloupce, které jsou k dispozici v Průzkumníku hrozeb a detekcích v reálném čase. Výchozí hodnoty jsou označené hvězdičkou (*).

Sloupec Hrozba
Průzkumník
Real-time
Detekcí
Rande*
Předmět*
Příjemce*
Doména příjemce
Visačky*
Adresa odesílatele*
Zobrazované jméno odesílatele
Doména odesílatele*
IP adresa odesílatele
E-mail odesílatele z adresy
Pošta odesílatele z domény
Další akce*
Akce doručení
Nejnovější místo doručení*
Původní místo doručení*
Systém přepisuje zdroj
Přepsání systému
ID upozornění
ID internetové zprávy
ID síťové zprávy
Jazyk pošty
Pravidlo přenosu exchange
Konektor
Úroveň spolehlivosti phish
Kontext
Pravidlo ochrany před únikem informací
Typ hrozby*
Technologie detekce
Počet příloh
Počet adres URL
velikost Email

Tip

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

  • Vodorovné posouvání ve webovém prohlížeči
  • Zužte šířku příslušných sloupců.
  • Odeberte sloupce ze zobrazení.
  • Oddálení ve webovém prohlížeči

Přizpůsobená nastavení sloupců se ukládají pro jednotlivé uživatele. Přizpůsobená nastavení sloupců v anonymním režimu nebo režimu procházení InPrivate se ukládají, dokud nezavřete webový prohlížeč.

Když vyberete jednu nebo více položek ze seznamu zaškrtnutím políčka vedle prvního sloupce, bude k dispozici akce Provést. Informace najdete v tématu Proaktivní vyhledávání hrozeb: Email náprava.

Snímek obrazovky se zobrazením Email (karta) tabulky podrobností s vybranou zprávou a aktivní akcí

Když v položce kliknete na hodnoty Předmět nebo Příjemce , otevřou se informační rámečky podrobností. Tyto informační rámečky jsou popsány v následujících pododdílech.

Email podrobnosti ze zobrazení Email oblasti podrobností v zobrazení Phish

Když vyberete hodnotu Předmět položky v tabulce, otevře se informační panel s podrobnostmi e-mailu. Tento informační panel podrobností se označuje jako panel souhrnu Email a obsahuje standardizované souhrnné informace, které jsou k dispozici také na stránce Email entity pro danou zprávu.

Podrobnosti o informacích na panelu souhrnu Email najdete v tématu Panel souhrnu Email v Defender pro Office 365 funkcích.

Dostupné akce v horní části panelu souhrnu Email pro Průzkumníka hrozeb a detekce v reálném čase jsou popsané v Email podrobnosti z Email zobrazení podrobností v zobrazení Všechny e-maily.

Podrobnosti o příjemci ze zobrazení Email oblasti podrobností v zobrazení Phish

Když vyberete položku kliknutím na hodnotu Příjemce , otevře se vysouvací nabídka podrobností. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o příjemci v zobrazení Email oblasti podrobností v zobrazení Všechny e-maily.

Adresa URL klikne na zobrazení podrobností v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase.

Zobrazení kliknutí na adresu URL zobrazuje graf, který je možné uspořádat pomocí kontingenčních panelů. Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Kontingenční grafy, které jsou k dispozici v zobrazení Malware v Průzkumníku hrozeb a detekce v reálném čase, jsou popsány v následující tabulce:

Pivot Hrozba
Průzkumník
Real-time
Detekcí
Doména adresy URL
Klikněte na verdikt.
URL
Doména adresy URL a cesta

Stejné kontingenční grafy jsou k dispozici a popsané pro zobrazení Všechny e-maily v Průzkumníku hrozeb:

Snímek obrazovky s oblastí podrobností v zobrazení Phish v Průzkumníku hrozeb s vybranou kartou kliknutí na adresu URL a s dostupnými pivoty bez vybraného kontingenčního panelu

Tip

V Průzkumníku hrozeb má každý pivot v zobrazení kliknutí na adresu URL akci Zobrazit všechna kliknutí, která otevře zobrazení kliknutí na adresu URL v Průzkumníku hrozeb na nové kartě. Tato akce není dostupná v detekcích v reálném čase, protože zobrazení kliknutí na adresu URL není k dispozici v detekcích v reálném čase.

Zobrazení hlavních adres URL pro oblast podrobností v zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

V zobrazení Horní adresy URL se zobrazuje tabulka podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce:

  • URL
  • Blokované zprávy
  • Nevyžádané zprávy
  • Doručené zprávy
Podrobnosti o hlavních adresách URL pro zobrazení Phish

Když vyberete položku kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle prvního sloupce, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o hlavních adresách URL v zobrazení Všechny e-maily.

Tip

Akce Přejít proaktivní vyhledávání je dostupná jenom v Průzkumníku hrozeb. Není k dispozici v detekcích v reálném čase.

Zobrazení horních kliknutí pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb a detekcích v reálném čase

Zobrazení Horní kliknutí zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce:

  • URL
  • Blokovaný
  • Povolený
  • Přepsaný blok
  • Čekající verdikt
  • Nevyřízený verdikt se obešel
  • Žádné
  • Chybová stránka
  • Selhání

Tip

Jsou vybrány všechny dostupné sloupce. Pokud vyberete Přizpůsobit sloupce, nebudete moct zrušit výběr žádných sloupců.

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

  • Vodorovné posouvání ve webovém prohlížeči
  • Zužte šířku příslušných sloupců.
  • Oddálení ve webovém prohlížeči

Když vyberete položku kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle prvního sloupce, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o hlavních adresách URL v zobrazení Všechny e-maily.

Zobrazení nejčastějších cílových uživatelů pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb

Zobrazení Uživatelé s nejvyšším cílem uspořádá data do tabulky s pěti hlavními příjemci, kteří byli cílem útoků phishing. V tabulce jsou uvedené:

Tip

Pomocí exportu můžete exportovat seznam až 3 000 uživatelů a odpovídající pokusy.

Email zobrazení původu pro oblast podrobností zobrazení Phish v Průzkumníku hrozeb

Zobrazení Email původu zobrazuje zdroje zpráv na mapě světa.

Zobrazení kampaně pro oblast podrobností v zobrazení Phish v Průzkumníku hrozeb

Zobrazení Kampaň zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce.

Informace v tabulce jsou stejné jako v tabulce podrobností na stránce Kampaně.

Když vyberete položku kliknutím na jiné místo v řádku, než je zaškrtávací políčko vedle názvu, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o kampani.

Zobrazení kampaně v Průzkumníku hrozeb

Zobrazení Kampaně v Průzkumníku hrozeb zobrazuje informace o hrozbách, které byly identifikovány jako koordinované phishingové a malwarové útoky, a to buď pro vaši organizaci, nebo pro jiné organizace v Microsoftu 365.

Pokud chcete otevřít zobrazení Kampaně na stránce Průzkumník na portálu Defender na adrese https://security.microsoft.com, přejděte na Email & spolupráci>na kartě Kampaně Průzkumníka>. Nebo přejděte přímo na stránku Průzkumník pomocí https://security.microsoft.com/threatexplorerv3a pak vyberte kartu Kampaně.

Všechny dostupné informace a akce jsou shodné s informacemi a akcemi na stránce Kampaně na adrese https://security.microsoft.com/campaignsv3. Další informace najdete na stránce Kampaně na portálu Microsoft Defender.

Snímek obrazovky se zobrazením Kampaně v Průzkumníku hrozeb s grafem, dostupnými pivoty grafu a zobrazeními tabulky podrobností

Zobrazení malwaru obsahu v Průzkumníku hrozeb a detekcích v reálném čase

Zobrazení Obsah pro malware v Průzkumníku hrozeb a detekcích v reálném čase zobrazuje informace o souborech, které byly identifikovány jako malware:

Pokud chcete otevřít zobrazení Obsah s malwarem , proveďte jeden z následujících kroků:

Snímek obrazovky se zobrazením malwaru Cotent v Průzkumníku hrozeb s grafem, dostupnými pivoty grafu a zobrazeními tabulky podrobností

Filtrovatelné vlastnosti v zobrazení Obsah pro malware v Průzkumníku hrozeb a detekce v reálném čase

Ve výchozím nastavení se na data nepoužijí žádné filtry vlastností. Postup vytvoření filtrů (dotazů) je popsaný v části Filtry v Průzkumníku hrozeb a detekce v reálném čase dále v tomto článku.

Filtrovatelné vlastnosti, které jsou k dispozici v poli Název souboru v zobrazení Obsah malware v Průzkumníku hrozeb a detekce v reálném čase, jsou popsány v následující tabulce:

Vlastnost Typ Hrozba
Průzkumník
Real-time
Detekcí
Soubor
Název souboru Text. Více hodnot oddělte čárkami.
Pracovní zátěž Vyberte jednu nebo více hodnot:
  • OneDrive
  • SharePoint
  • Teams
Poloha Text. Více hodnot oddělte čárkami.
Vlastník souboru Text. Více hodnot oddělte čárkami.
Naposledy upravil(a) Text. Více hodnot oddělte čárkami.
SHA256 Celé číslo. Více hodnot oddělte čárkami.

Pokud chcete najít hodnotu hash SOUBORU SHA256, spusťte v PowerShellu následující příkaz: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256.
Řada malwaru Text. Více hodnot oddělte čárkami.
Technologie detekce Vyberte jednu nebo více hodnot:
  • Rozšířený filtr
  • Antimalwarová ochrana
  • Množství
  • Kampaň
  • Reputace domény
  • Detonace souboru
  • Reputace detonace souboru
  • Reputace souboru
  • Porovnávání otisků prstů
  • Obecný filtr
  • Značka zosobnění
  • Doména zosobnění
  • Uživatel zosobnění
  • Reputace IP adres
  • Zosobnění inteligentních poštovních schránek
  • Detekce smíšených analýz
  • spoof DMARC
  • Falšování externí domény
  • Falšování identity uvnitř organizace
  • Detonace adresy URL
  • Reputace detonace adresy URL
  • Škodlivá reputace adresy URL
Typ hrozby Vyberte jednu nebo více hodnot:
  • Blokování
  • Malware
  • Phish
  • Spam

Pivots for the chart in the Content malware view in Threat Explorer and Real-time Detections

Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Kontingenční grafy, které jsou k dispozici v zobrazení Obsah malware v Průzkumníku hrozeb a detekce v reálném čase, jsou uvedeny v následující tabulce:

Pivot Hrozba
Průzkumník
Real-time
Detekcí
Řada malwaru
Technologie detekce
Pracovní zátěž

Dostupné pivoty grafu jsou popsány v následujících pododdílech.

Kontingenční graf rodiny malwaru v zobrazení obsahového malwaru v Průzkumníku hrozeb a detekcích v reálném čase

I když tento kontingenční graf ve výchozím nastavení nevypadá jako vybraný, je v zobrazení Obsah v Průzkumníku hrozeb a detekcích v reálném čase výchozím kontingenčním grafem rodina malwaru.

Pivot Rodina malwaru uspořádá graf podle malwaru identifikovaného v souborech v SharePointu, OneDrivu a Microsoft Teams pomocí zadaného rozsahu data a času a filtrů vlastností.

Snímek obrazovky s grafem v zobrazení Obsah pro malware v Průzkumníku hrozeb pomocí pivotu Rodina malwaru

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou rodinu malwaru.

Kontingenční graf technologie detekce v zobrazení Obsah pro malware v Průzkumníku hrozeb a detekcích v reálném čase

Pivot Technologie detekce uspořádá graf podle funkce, která identifikovala malware v souborech v SharePointu, OneDrivu a Microsoft Teams pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Malware obsahu v Průzkumníku hrozeb pomocí pivotu Technologie detekce

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých technologií detekce.

Pivot grafu úloh v zobrazení Malware obsahu v Průzkumníku hrozeb a detekcích v reálném čase

Pivot Úlohy uspořádá graf podle toho, kde byl malware identifikován (SharePoint, OneDrive nebo Microsoft Teams) pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení Malware v Průzkumníku hrozeb pomocí pivotu Úlohy

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých úloh.

Zobrazení pro oblast podrobností zobrazení Obsah o malwaru v Průzkumníku hrozeb a detekcích v reálném čase

V Průzkumníku hrozeb a detekcích v reálném čase obsahuje oblast podrobností zobrazení malware obsahu jenom jedno zobrazení (karta) s názvem Dokumenty. Toto zobrazení je popsáno v následujícím pododdílu.

Zobrazení dokumentu pro oblast podrobností v zobrazení Obsah o malwaru v Průzkumníku hrozeb a detekcích v reálném čase

Dokument je výchozí a pouze zobrazení pro oblast podrobností v zobrazení Malware obsahu .

V zobrazení Dokument se zobrazí tabulka podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Výchozí hodnoty jsou označené hvězdičkou (*):

  • Rande*
  • Jméno*
  • Pracovní zátěž*
  • Hrozba*
  • Technologie detekce*
  • Poslední změna uživatele*
  • Vlastník souboru*
  • Velikost (bajty)*
  • Čas poslední změny
  • Cesta k webu
  • Cesta k souboru
  • ID dokumentu
  • SHA256
  • Datum zjištění
  • Řada malwaru
  • Kontext

Tip

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

  • Vodorovné posouvání ve webovém prohlížeči
  • Zužte šířku příslušných sloupců.
  • Odeberte sloupce ze zobrazení.
  • Oddálení ve webovém prohlížeči

Přizpůsobená nastavení sloupců se ukládají pro jednotlivé uživatele. Přizpůsobená nastavení sloupců v anonymním režimu nebo režimu procházení InPrivate se ukládají, dokud nezavřete webový prohlížeč.

Když ve sloupci Název vyberete hodnotu názvu souboru, otevře se informační panel podrobností. Informační panel obsahuje následující informace:

  • Oddíl souhrnu :

    • Jméno souboru
    • Cesta k webu
    • Cesta k souboru
    • ID dokumentu
    • SHA256
    • Poslední datum změny
    • Naposledy upravil(a)
    • Hrozba
    • Technologie detekce
  • Oddíl Podrobnosti :

    • Datum zjištění
    • Zjistil(a)
    • Název malwaru
    • Naposledy upravil(a)
    • Velikost souboru
    • Vlastník souboru
  • oddíl Email seznamu: Tabulka zobrazující následující související informace o zprávách, které obsahují soubor malwaru:

    • Date
    • Předmět
    • Příjemce

    Vyberte Zobrazit všechny e-maily a otevřete Průzkumníka hrozeb na nové kartě filtrované podle názvu rodiny malwaru.

  • Nedávná aktivita: Zobrazuje souhrnné výsledky hledání v protokolu auditu pro příjemce:

    • Date
    • IP adresa
    • Activity
    • Položka

    Pokud má příjemce více než tři položky protokolu auditu, vyberte Zobrazit všechny nedávné aktivity , aby se zobrazily všechny.

    Tip

    Členové skupiny rolí Správci zabezpečení v Email & oprávnění ke spolupráci nemůžou rozbalit oddíl Nedávná aktivita. Musíte být členem skupiny rolí v Exchange Online oprávnění, která má přiřazené role Protokoly auditu, analytik Information Protection nebo Information Protection Vyšetřovatel. Ve výchozím nastavení se tyto role přiřazují skupinám rolí Správa záznamů, Správa dodržování předpisů, Information Protection, Analytici Information Protection, vyšetřovatelé Information Protection a Správa organizace. Do těchto skupin rolí můžete přidat členy skupiny Správci zabezpečení nebo můžete vytvořit novou skupinu rolí s přiřazenou rolí Protokoly auditu .

Snímek obrazovky s vysouvacím rámečkem podrobností v zobrazení Dokument pro oblast podrobností zobrazení Obsahu v Průzkumníku hrozeb a detekcí v reálném čase

Zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Zobrazení kliknutí na adresu URL v Průzkumníku hrozeb zobrazuje všechna kliknutí uživatelů na adresy URL v e-mailu, v podporovaných souborech Office na SharePointu a OneDrivu a v Microsoft Teams.

Pokud chcete otevřít zobrazení adresy URL kliknutí na stránce Průzkumník na portálu Defender na adrese https://security.microsoft.com, přejděte na kartu Email &adresa URL průzkumníka>pro spolupráci>. Nebo přejděte přímo na stránku Průzkumník pomocí https://security.microsoft.com/threatexplorerv3a pak vyberte kartu Url kliknutí.

Snímek obrazovky se zobrazením kliknutí na adresu URL v Průzkumníku hrozeb zobrazující graf, dostupné pivoty grafu a zobrazení tabulky podrobností

Filtrovatelné vlastnosti v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Ve výchozím nastavení se na data nepoužijí žádné filtry vlastností. Postup vytvoření filtrů (dotazů) je popsaný v části Filtry v Průzkumníku hrozeb a detekce v reálném čase dále v tomto článku.

Filtrovatelné vlastnosti, které jsou k dispozici v poli Příjemci v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb, jsou popsány v následující tabulce:

Vlastnost Typ
Basic
Příjemci Text. Více hodnot oddělte čárkami.
Značky Text. Více hodnot oddělte čárkami.

Další informace o značkách uživatelů najdete v tématu Značky uživatelů.
ID síťové zprávy Text. Více hodnot oddělte čárkami.

Hodnota GUID, která je k dispozici v poli hlavičky X-MS-Exchange-Organization-Network-Message-Id v záhlaví zprávy.
URL Text. Více hodnot oddělte čárkami.
Akce kliknutí Vyberte jednu nebo více hodnot:
  • Povolený
  • Blokovat stránku
  • Blokovat přepsání stránky
  • Chybová stránka
  • Selhání
  • Žádné
  • Stránka čekající na odpálení
  • Přepsání stránky čekající na detonaci
Typ hrozby Vyberte jednu nebo více hodnot:
  • Povolit
  • Blokování
  • Malware
  • Phish
  • Spam
Technologie detekce Vyberte jednu nebo více hodnot:
  • Detonace adresy URL
  • Reputace detonace adresy URL
  • Škodlivá reputace adresy URL
Klikněte na ID. Text. Více hodnot oddělte čárkami.
IP adresa klienta Text. Více hodnot oddělte čárkami.

Pivoty grafu v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Graf má výchozí zobrazení, ale můžete vybrat hodnotu v části Vybrat kontingenční graf pro histogram a změnit způsob uspořádání a zobrazení filtrovaných nebo nefiltrovaných dat grafu.

Dostupné pivoty grafu jsou popsány v následujících pododdílech.

Kontingenční graf domény adresy URL v zobrazení url kliknutí v Průzkumníku hrozeb

I když tento kontingenční graf ve výchozím nastavení nevypadá jako vybraný, doména URL je výchozím kontingenčním grafem v zobrazení url kliknutí .

Kontingenční adresa URL domény uspořádá graf podle domén v adresách URL, na které uživatelé klikli v e-mailu, souborech Office nebo Microsoft Teams pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení url kliknutí v Průzkumníku hrozeb pomocí pivotu domény adresy URL

Když najedete myší na datový bod v grafu, zobrazí se počet pro každou doménu adresy URL.

Kontingenční graf úloh v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Pivot Úlohy uspořádá graf podle umístění adresy URL, na kterou jste klikli (e-mail, soubory Office nebo Microsoft Teams) pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení url kliknutí v Průzkumníku hrozeb pomocí pivotu Úlohy

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých úloh.

Graf technologie detekce v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Pivot Technologie detekce uspořádá graf podle funkce, která identifikovala kliknutí na adresu URL v e-mailu, souborech Office nebo Microsoft Teams pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení url kliknutí v Průzkumníku hrozeb pomocí pivotu Technologie detekce

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých technologií detekce.

Kontingenční graf typu hrozby v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Pivot Typ hrozby uspořádá graf podle výsledků pro klikané adresy URL v e-mailu, souborech Office nebo Microsoft Teams pro zadaný rozsah data a času a filtry vlastností.

Snímek obrazovky s grafem v zobrazení url kliknutí v Průzkumníku hrozeb pomocí pivotu Typ hrozby

Když najedete myší na datový bod v grafu, zobrazí se počet jednotlivých technologií typu hrozby.

Zobrazení pro oblast podrobností v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Dostupná zobrazení (karty) v oblasti podrobností zobrazení kliknutí na adresu URL jsou popsána v následujících pododdílech.

Zobrazení výsledků pro oblast podrobností v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Výsledky jsou výchozím zobrazením pro oblast podrobností v zobrazení kliknutí na adresu URL .

V zobrazení Výsledky se zobrazí tabulka podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce. Pokud chcete změnit zobrazené sloupce, vyberte Přizpůsobit sloupce. Ve výchozím nastavení jsou vybrané všechny sloupce:

  • Čas kliknutí
  • Příjemce
  • Akce kliknutí na adresu URL
  • URL
  • Značky
  • ID síťové zprávy
  • Klikněte na ID.
  • IP adresa klienta
  • Řetězec adres URL
  • Typ hrozby
  • Technologie detekce

Tip

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

  • Vodorovné posouvání ve webovém prohlížeči
  • Zužte šířku příslušných sloupců.
  • Odeberte sloupce ze zobrazení.
  • Oddálení ve webovém prohlížeči

Přizpůsobená nastavení sloupců se ukládají pro jednotlivé uživatele. Přizpůsobená nastavení sloupců v anonymním režimu nebo režimu procházení InPrivate se ukládají, dokud nezavřete webový prohlížeč.

Vyberte jednu položku nebo položky tak, že zaškrtnete políčko vedle prvního sloupce na řádku a pak vyberete Zobrazit všechny e-maily . Průzkumníka hrozeb otevřete v zobrazení Všechny e-maily na nové kartě filtrované podle hodnot ID síťových zpráv vybraných zpráv.

Zobrazení horních kliknutí pro oblast podrobností v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Zobrazení Horní kliknutí zobrazuje tabulku podrobností. Položky můžete seřadit kliknutím na dostupné záhlaví sloupce:

  • URL
  • Blokovaný
  • Povolený
  • Přepsaný blok
  • Čekající verdikt
  • Nevyřízený verdikt se obešel
  • Žádné
  • Chybová stránka
  • Selhání

Tip

Jsou vybrány všechny dostupné sloupce. Pokud vyberete Přizpůsobit sloupce, nebudete moct zrušit výběr žádných sloupců.

Pokud chcete zobrazit všechny sloupce, budete pravděpodobně muset provést jeden nebo více následujících kroků:

  • Vodorovné posouvání ve webovém prohlížeči
  • Zužte šířku příslušných sloupců.
  • Oddálení ve webovém prohlížeči

Vyberte položku tak, že zaškrtnete políčko vedle prvního sloupce na řádku a pak výběrem možnosti Zobrazit všechna kliknutí otevřete Průzkumníka hrozeb na nové kartě v zobrazení url kliknutí .

Když vyberete položku kliknutím na libovolné místo na jiném řádku, než je zaškrtávací políčko vedle prvního sloupce, otevře se informační rámeček s podrobnostmi. Informace v informačním rámečku jsou stejné jako informace popsané v části Podrobnosti o hlavních adresách URL v zobrazení Všechny e-maily.

Zobrazení nejčastějších cílových uživatelů pro oblast podrobností v zobrazení kliknutí na adresu URL v Průzkumníku hrozeb

Zobrazení Uživatelé s nejvyšším cílem uspořádá data do tabulky s pěti nejlepšími příjemci, kteří klikli na adresy URL. V tabulce jsou uvedené:

Tip

Pomocí exportu můžete exportovat seznam až 3 000 uživatelů a odpovídající pokusy.

Filtry vlastností v Průzkumníku hrozeb a detekcích v reálném čase

Základní syntaxe filtru nebo dotazu vlastností je:

Podmínka = <Vlastnost><Filtru Operátor><filtru Hodnota nebo hodnoty vlastnosti>

Více podmínek používá následující syntaxi:

<Podmínka1><AND | OR><Podmínka2><AND | OR><Podmínka3>... <AND | OR><ConditionN>

Tip

Hledání zástupných znaků (**** nebo ?) není podporováno v textových nebo celočíselných hodnotách. Vlastnost Subject používá částečné porovnávání textu a poskytuje výsledky podobné hledání se zástupnými cardy.

Postup vytvoření filtru vlastností nebo podmínek dotazu je stejný ve všech zobrazeních v Průzkumníku hrozeb a detekcích v reálném čase:

  1. Pomocí tabulek v částech s popisem zobrazení náhledu výše v tomto článku identifikujte vlastnost filtru.

  2. Vyberte dostupný operátor filtru. Dostupné operátory filtru závisí na typu vlastnosti, jak je popsáno v následující tabulce:

    Operátor filtru Typ vlastnosti
    Rovná se libovolnému z Text
    Celé číslo
    Diskrétní hodnoty
    Nerovná se Text
    Diskrétní hodnoty
    Větší než Celé číslo
    Méně než Celé číslo
  3. Zadejte nebo vyberte jednu nebo více hodnot vlastností. Pro textové hodnoty a celá čísla můžete zadat více hodnot oddělených čárkami.

    Více hodnot v hodnotě vlastnosti používá logický operátor OR. Například adresa> odesílateleRovná se libovolnému ze>bob@fabrikam.com,cindy@fabrikam.com znamená Adresa> odesílateleRovná se kterékoli z>bob@fabrikam.com NEBO cindy@fabrikam.com.

    Po zadání nebo výběru jedné nebo více hodnot vlastností se pod poli pro vytvoření filtru zobrazí dokončená podmínka filtru.

    Tip

    U vlastností, které vyžadují výběr jedné nebo více dostupných hodnot, má použití vlastnosti v podmínce filtru se všemi vybranými hodnotami stejný výsledek jako nepoužívání vlastnosti v podmínce filtru.

  4. Pokud chcete přidat další podmínku, opakujte předchozí tři kroky.

    Podmínky pod poli pro vytvoření filtru jsou oddělené logickým operátorem, který byl vybrán v době, kdy jste vytvořili druhou nebo následující podmínku. Výchozí hodnota je AND, ale můžete také vybrat OR.

    Mezi všemi podmínkami se používá stejný logický operátor: všechny jsou and nebo jsou všechny NEBO. Pokud chcete změnit existující logické operátory, vyberte pole logický operátor a pak vyberte A nebo NEBO.

    Pokud chcete upravit existující podmínku, poklikáním na ni přeneste vybranou vlastnost, operátor filtru a hodnoty zpět do odpovídajících polí.

    Pokud chcete odebrat existující podmínku, vyberte ji.

  5. Pokud chcete použít filtr na graf a tabulku podrobností, vyberte Aktualizovat.

    Snímek obrazovky s ukázkovým dotazem v Průzkumníku hrozeb nebo detekcemi v reálném čase zobrazující více podmínek

Uložené dotazy v Průzkumníku hrozeb

Tip

Uložit dotaz je součástí sledování hrozeb a není k dispozici v detekcích v reálném čase. Uložené dotazy a sledování hrozeb jsou dostupné jenom v Defender pro Office 365 Plan 2.

Uložit dotaz není k dispozici v zobrazení obsahového malwaru.

Většina zobrazení v Průzkumníku hrozeb umožňuje ukládat filtry (dotazy) pro pozdější použití. Uložené dotazy jsou k dispozici na stránce Sledování hrozeb na portálu Defender na adrese https://security.microsoft.com/threattrackerv2. Další informace o sledování hrozeb najdete v tématu Sledování hrozeb v plánu Microsoft Defender pro Office 365 Plan 2.

Pokud chcete uložit dotazy v Průzkumníku hrozeb, proveďte následující kroky:

  1. Po vytvoření filtru nebo dotazu, jak je popsáno výše, vyberte Uložit dotaz>Uložit dotaz.

  2. V rozevíracím rámečku Uložit dotaz , který se otevře, nakonfigurujte následující možnosti:

    • Název dotazu: Zadejte jedinečný název dotazu.
    • Vyberte jednu z následujících možností:
      • Přesná data: V polích vyberte počáteční a koncové datum. Nejstarší počáteční datum, které můžete vybrat, je 30 dní před dnešním dnem. Nejnovější datum ukončení, které můžete vybrat, je dnes.
      • Relativní data: Vyberte počet dní v zobrazení posledních nn dnů při spuštění hledání. Výchozí hodnota je 7, ale můžete vybrat 1 až 30.
    • Sledování dotazu: Ve výchozím nastavení není tato možnost vybraná. Tato možnost má vliv na to, jestli se dotaz spouští automaticky:
      • Sledování dotazu není vybráno: Dotaz můžete spustit ručně v Průzkumníku hrozeb. Dotaz se uloží na kartu Uložené dotazy na stránce Sledování hrozeb s hodnotou vlastnosti Sledovaný dotazNe.
      • Vybrané sledování dotazu : Dotaz se pravidelně spouští na pozadí. Dotaz je k dispozici na kartě Uložené dotazy na stránce Sledování hrozeb s hodnotou vlastnosti Sledovaný dotazAno. Pravidelné výsledky dotazu se zobrazují na kartě Sledované dotazy na stránce Sledování hrozeb .

    Až budete hotovi v rozevíracím rámečku Uložit dotaz , vyberte Uložit a pak v potvrzovacím dialogovém okně vyberte OK .

Snímek obrazovky s vysouvacím rámečkem Uložit dotaz v Průzkumníku hrozeb na portálu Defender

Na kartách Uložený dotaz nebo Sledovaný dotaz na stránce Sledování hrozeb na portálu Defender na https://security.microsoft.com/threattrackerv2adrese můžete vybrat Prozkoumat ve sloupci Akce a otevřít a použít dotaz v Průzkumníku hrozeb.

Když dotaz otevřete tak, že na stránce Sledování hrozebvyberete Prozkoumat, budou teď v části Uložit dotaz na stránce Průzkumníka dostupná nastavení Uložit dotaz jako a Uložený dotaz:

  • Pokud vyberete Uložit dotaz jako, otevře se informační panel Uložit dotaz se všemi dříve vybranými nastaveními. Pokud provedete změny, vyberete Uložit a pak v dialogovém okně Úspěch vyberete OK, aktualizovaný dotaz se uloží jako nový dotaz na stránce Sledování hrozeb (možná budete muset vybrat Aktualizovat, abyste ho viděli).

  • Pokud vyberete Uložená nastavení dotazu, otevře se vysouvací nabídka Nastavení uloženého dotazu , kde můžete aktualizovat datum a Sledovat nastavení dotazu existujícího dotazu.

Snímek obrazovky s možností Uložit dotaz v Průzkumníku hrozeb s dostupnými nastaveními Uložit dotaz jako a Uložený dotaz

Další informace