Om Trusselsoversigt og registreringer i realtid i Microsoft Defender for Office 365

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender for Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

Microsoft 365-organisationer, der har Microsoft Defender for Office 365 inkluderet i deres abonnement eller købt som et tilføjelsesprogram, har Explorer (også kendt som Threat Explorer) eller registreringer i realtid. Disse funktioner er effektive rapporteringsværktøjer i næsten realtid, der hjælper SecOps-teams (Security Operations) med at undersøge og reagere på trusler.

Afhængigt af dit abonnement er Trusselsoversigt eller Registreringer i realtid tilgængelig i afsnittet Mail & samarbejde i Microsoft Defender-portalen påhttps://security.microsoft.com:

• Registreringer i realtid er tilgængelige i Defender for Office 365 Plan 1. Siden Registreringer i realtid er tilgængelig direkte på https://security.microsoft.com/realtimereportsv3.

  

• Threat Explorer er tilgængelig i Defender for Office 365 Plan 2. Siden Stifinder er tilgængelig direkte på https://security.microsoft.com/threatexplorerv3.

  

Threat Explorer indeholder de samme oplysninger og funktioner som registreringer i realtid, men med følgende yderligere funktioner:

• Flere visninger.
• Flere indstillinger for egenskabsfiltrering, herunder muligheden for at gemme forespørgsler.
• Flere handlinger.

Du kan få flere oplysninger om forskellene mellem Defender for Office 365 Plan 1 og Plan 2 i snydearket Defender for Office 365 Plan 1 vs. Plan 2.

I resten af denne artikel forklares de visninger og funktioner, der er tilgængelige i Threat Explorer og registreringer i realtid.

Tip

I følgende artikler kan du se mailscenarier, der bruger Threat Explorer og registreringer i realtid:

• Trusselsjagt i Threat Explorer og registreringer i realtid i Microsoft Defender for Office 365
• Mailsikkerhed med Threat Explorer og registreringer i realtid i Microsoft Defender for Office 365
• Undersøg skadelig mail, der blev leveret i Microsoft 365

Tilladelser og licenser til Threat Explorer og registreringer i realtid

Hvis du vil bruge Stifinder- eller realtidsregistreringer, skal du have tildelt tilladelser. Du har følgende muligheder:

• Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (Hvis mail & samarbejde>Defender for Office 365 tilladelser er aktive. Påvirker kun Defender-portalen, ikke PowerShell):
  • Læseadgang for mail- og Teams-meddelelsesheadere: Sikkerhedshandlinger/Rådata (mail & samarbejde)/Mail & metadata for samarbejde (læs).
  • Vis og download mails: Sikkerhedshandlinger/rådata (mail & samarbejde)/Mail & samarbejdsindhold (læse).
  • Afhjælp ondsindet mail: Sikkerhedshandlinger/Sikkerhedsdata/Mail & avancerede handlinger til samarbejde (administrer).
• Mail & samarbejdstilladelser på Microsoft Defender-portalen:
  • Fuld adgang: Medlemskab af rollegrupperne Organisationsadministration eller Sikkerhedsadministrator . Der kræves flere tilladelser for at udføre alle tilgængelige handlinger:
    • Meddelelser om forhåndsvisning og download: Kræver rollen Prøveversion , som som standard kun er tildelt til rollegrupperne Data investigator eller eDiscovery Manager . Du kan også oprette en ny rollegruppe med rollen Eksempel tildelt og føje brugerne til den brugerdefinerede rollegruppe.
    • Flyt meddelelser ind og slet meddelelser fra postkasser: Kræver rollen Søg og Fjern , som som standard kun er tildelt til rollegrupperne Dataforsker eller Organisationsadministration . Du kan også oprette en ny rollegruppe med rollen Søg og Fjern tildelt og føje brugerne til den brugerdefinerede rollegruppe.
  • Skrivebeskyttet adgang: Medlemskab af rollegruppen Sikkerhedslæser .
• Microsoft Entra tilladelser: Medlemskab af disse roller giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365:

  • Fuld adgang: Medlemskab af rollerne Global administrator^* eller Sikkerhedsadministrator .

  • Søg efter regler for Exchange-mailflow (transportregler) efter navn i Threat Explorer: Medlemskab af rollerne Sikkerhedsadministrator eller Sikkerhedslæser .

  • Skrivebeskyttet adgang: Medlemskab af rollerne Global læser eller Sikkerhedslæser .

    Vigtigt!

    ^* Microsoft anbefaler, at du bruger roller med færrest tilladelser. Brug af konti med lavere tilladelser hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.

Tip

Meddelelser om uønsket post fra slutbrugere og systemoprettede meddelelser er ikke tilgængelige i Threat Explorer. Disse typer meddelelser er tilgængelige, hvis der er en regel for mailflow (også kendt som en transportregel), der skal tilsidesættes.

Overvågningslogposter genereres, når administratorer får vist eller downloader mails. Du kan søge i administratorens overvågningslog efter administratorMailAccess-aktivitet . Du kan finde instruktioner under Overvåg ny søgning.

Hvis du vil bruge Trusselsoversigt eller Registreringer i realtid, skal du have tildelt en licens til Defender for Office 365 (inkluderet i dit abonnement eller en licens til et tilføjelsesprogram).

Trusselsoversigt eller registreringer i realtid indeholder data for brugere med Defender for Office 365 licenser, der er tildelt dem.

Elementer af Trusselsoversigt og registreringer i realtid

Trusselsoversigt og registreringer i realtid indeholder følgende elementer:

• Visninger: Faner øverst på siden, der organiserer registreringer efter trussel. Visningen påvirker resten af dataene og indstillingerne på siden.

  I følgende tabel vises de tilgængelige visninger i Threat Explorer og registreringer i realtid:

  Vis	Trussel Opdagelsesrejsende	Realtid Opdagelser	Beskrivelse
  Alle mails	✔		Standardvisning for Threat Explorer. Oplysninger om alle mails, der sendes af eksterne brugere til din organisation (indgående), mails, der er sendt af interne brugere i din organisation til eksterne brugere (udgående) og mailmeddelelser, der er sendt mellem interne brugere i din organisation (intern organisation).
  Malware	✔	✔	Standardvisning for registreringer i realtid. Oplysninger om mails, der indeholder malware.
  Phish	✔	✔	Oplysninger om mails, der indeholder phishingtrusler.
  Kampagner	✔		Oplysninger om skadelig mail, som Defender for Office 365 Plan 2 identificerede som en del af en koordineret phishing- eller malwarekampagne.
  Indholdsmalware	✔	✔	Oplysninger om skadelige filer, der er registreret af følgende funktioner: Indbygget virusbeskyttelse i SharePoint, OneDrive og Microsoft Teams Sikre vedhæftede filer til SharePoint, OneDrive og Microsoft Teams
  Klik på URL-adresser	✔		Oplysninger om bruger klik på URL-adresser i mails, Teams-meddelelser, SharePoint-filer og OneDrive-filer.

  Disse visninger er beskrevet detaljeret i denne artikel, herunder forskellene mellem Trusselsoversigt og registreringer i realtid.

• Filtre for dato/klokkeslæt: Som standard filtreres visningen efter i går og i dag. Hvis du vil ændre datofilteret, skal du vælge datointervallet og derefter vælge Værdier for Startdato og Slutdato for op til 30 dage siden.

  

• Egenskabsfiltre (forespørgsler): Filtrer resultaterne i visningen efter de tilgængelige egenskaber for meddelelse, fil eller trussel. De tilgængelige egenskaber, der kan filtreres, afhænger af visningen. Nogle egenskaber er tilgængelige i mange visninger, mens andre egenskaber er begrænset til en bestemt visning.

  De tilgængelige egenskabsfiltre for hver visning er angivet i denne artikel, herunder forskellene mellem trusselsoversigt og registreringer i realtid.

  Du kan finde oplysninger om, hvordan du opretter egenskabsfiltre, under Egenskabsfiltre i Threat Explorer og registreringer i realtid

  Threat Explorer giver dig mulighed for at gemme forespørgsler til senere brug som beskrevet i afsnittet Gemte forespørgsler i Threat Explorer .

• Diagrammer: Hver visning indeholder en visualisering, en samlet repræsentation af de filtrerede eller ufiltrerede data. Du kan bruge tilgængelige pivots til at organisere diagrammet på forskellige måder.

  Du kan ofte bruge Eksportér diagramdata til at eksportere filtrerede eller ufiltrerede diagramdata til en CSV-fil.

  Diagrammerne og de tilgængelige pivots er beskrevet detaljeret i denne artikel, herunder forskellene mellem Trusselsoversigt og registreringer i realtid.

  Tip

  Hvis du vil fjerne diagrammet fra siden (hvilket maksimerer størrelsen af detaljeområdet), skal du bruge en af følgende metoder:

  • Vælg Listevisning> af diagramøverst på siden.
  • Vælg Vis listevisning mellem diagrammet og detaljeområdet.

• Detaljeområde: Detaljeområdet for en visning viser typisk en tabel, der indeholder de filtrerede eller ufiltrerede data. Du kan bruge de tilgængelige visninger (faner) til at organisere dataene i detaljeområdet på forskellige måder. En visning kan f.eks. indeholde diagrammer, kort eller forskellige tabeller.

  Hvis detaljeområdet indeholder en tabel, kan du ofte bruge Eksportér til selektivt at eksportere op til 200.000 filtrerede eller ufiltrerede resultater til en CSV-fil.

  Tip

  I pop op-vinduet Eksportér kan du vælge nogle eller alle de tilgængelige egenskaber, der skal eksporteres. Valgene gemmes pr. bruger. Valg i Incognito- eller InPrivate-browsertilstand gemmes, indtil du lukker webbrowseren.

Alle mailvisning i Threat Explorer

Visningen Alle mail i Threat Explorer viser oplysninger om alle indgående, udgående og interne mails i organisationen. Visningen viser skadelige og ikke-skadelige mails. Det kan f.eks. være:

• Mailidentificeret phishing eller malware.
• Mail, der er identificeret som spam eller masse.
• Mail, der er identificeret uden trusler.

Denne visning er standard i Threat Explorer. Hvis du vil åbne visningen Alle mails på siden Stifinder på Defender-portalen på https://security.microsoft.com, skal du gå til Mail & samarbejdsoversigt>> fanenAlle mails. Du kan også gå direkte til siden Stifinder ved hjælp af https://security.microsoft.com/threatexplorerv3og derefter kontrollere, at fanen Alle mails er valgt.

Egenskaber, der kan filtreres, i mailvisningen Alle i Threat Explorer

Der anvendes som standard ingen egenskabsfiltre på dataene. Trinnene til oprettelse af filtre (forespørgsler) er beskrevet i afsnittet Filtre i Threat Explorer og registreringer i realtid senere i denne artikel.

De egenskaber, der kan filtreres, og som er tilgængelige i feltet Leveringshandling i mailvisningen Alle , er beskrevet i følgende tabel:

Egenskab	Type
Basic
Afsenderadresse	Tekst. Adskil flere værdier med kommaer.
Modtagere	Tekst. Adskil flere værdier med kommaer.
Afsenderdomæne	Tekst. Adskil flere værdier med kommaer.
Modtagerdomæne	Tekst. Adskil flere værdier med kommaer.
Emne	Tekst. Adskil flere værdier med kommaer.
Afsenders viste navn	Tekst. Adskil flere værdier med kommaer.
Afsenderpost fra adresse	Tekst. Adskil flere værdier med kommaer.
Afsenderpost fra domæne	Tekst. Adskil flere værdier med kommaer.
Retursti	Tekst. Adskil flere værdier med kommaer.
Returner stidomæne	Tekst. Adskil flere værdier med kommaer.
Malwarefamilie	Tekst. Adskil flere værdier med kommaer.
Mærker	Tekst. Adskil flere værdier med kommaer. Du kan få flere oplysninger om brugerkoder under Brugerkoder.
Repræsenteret domæne	Tekst. Adskil flere værdier med kommaer.
Repræsenteret bruger	Tekst. Adskil flere værdier med kommaer.
Exchange-transportregel	Tekst. Adskil flere værdier med kommaer.
Regel for forebyggelse af datatab	Tekst. Adskil flere værdier med kommaer.
Sammenhæng	Vælg en eller flere værdier: Evaluering Prioritet til kontobeskyttelse
Stik	Tekst. Adskil flere værdier med kommaer.
Leveringshandling	Vælg en eller flere værdier: Blokeret: Mailmeddelelser, der er sat i karantæne, som ikke blev leveret, eller som blev droppet. Leveret: Mail leveres til brugerens indbakke eller en anden mappe, hvor brugeren kan få adgang til meddelelsen. Leveret til uønsket mail: Mail leveret til brugerens mappe med uønsket mail eller Mappen Slettet post, hvor brugeren kan få adgang til meddelelsen. Erstattet: Vedhæftede filer i meddelelser, der blev erstattet af Dynamisk levering i politikker for sikre vedhæftede filer.
Yderligere handling	Vælg en eller flere værdier: Automatiseret afhjælpning Dynamisk levering: Du kan få flere oplysninger under Dynamisk levering i Politikker for vedhæftede filer, der er tillid til. Manuel afhjælpning Ingen Karantænefrigivelse Genbehandlet: Meddelelsen blev identificeret med tilbagevirkende kraft som god. ZAP: Du kan få flere oplysninger under Automatisk rensning på nul timer (ZAP) i Microsoft Defender for Office 365.
Retningsbestemthed	Vælg en eller flere værdier: Indgående Intern organisation Udgående
Registreringsteknologi	Vælg en eller flere værdier: Avanceret filter: Signaler baseret på maskinel indlæring. Beskyttelse modmalware Bulk Kampagne Domæneomdømme Fildeonation: Sikre vedhæftede filer registrerede en skadelig vedhæftet fil under detonationsanalyse. Omdømme for fildeonation: Vedhæftede filer, der tidligere er registreret af detonationer for sikre vedhæftede filer i andre Microsoft 365-organisationer. Filomdømme: Meddelelsen indeholder en fil, der tidligere blev identificeret som skadelig i andre Microsoft 365-organisationer. Matchning af fingeraftryk: Meddelelsen ligner en tidligere registreret skadelig meddelelse. Generelt filter Repræsentationsmærke: Sender repræsentation af velkendte mærker. Repræsentationsdomæne: Repræsentation af afsenderdomæner, som du ejer eller har angivet til beskyttelse i politikker til bekæmpelse af phishing Repræsentationsbruger IP-omdømme Repræsentation af postkasseintelligens: Repræsentationsregistreringer fra postkasseintelligens i politikker til bekæmpelse af phishing. Registrering af blandet analyse: Flere filtre bidrog til meddelelsens dom. spoof DMARC: Meddelelsen mislykkedes DMARC-godkendelse. Spoof eksternt domæne: Afsendermailadresse spoofing ved hjælp af et domæne, der er eksternt for din organisation. Spoof intra-org: Afsendermailadresse spoofing ved hjælp af et domæne, der er internt i din organisation. Omdømme for URL-detonation: URL-adresser, der tidligere er registreret af Safe Links-detonationer i andre Microsoft 365-organisationer. Skadelig URL-adresse: Meddelelsen indeholder en URL-adresse, der tidligere blev identificeret som skadelig i andre Microsoft 365-organisationer.
Oprindelig leveringsplacering	Vælg en eller flere værdier: Mappen Slettet post Faldt Mislykkedes Indbakke/mappe Mappen Uønsket mail I det lokale miljø/eksternt Karantæne Unknown
Seneste leveringsplacering¹	De samme værdier som den oprindelige leveringsplacering
Phish konfidensniveau	Vælg en eller flere værdier: Høj Normal
Primær tilsidesættelse	Vælg en eller flere værdier: Tilladt efter organisationspolitik Tilladt af brugerpolitik Blokeret af organisationspolitik Blokeret af brugerpolitik Ingen
Primær tilsidesættelseskilde	Meddelelser kan have flere tilsidesættelser af tilladelser eller blokeringer, som er identificeret i Kilden Tilsidesæt. Den tilsidesættelse, der i sidste ende tillod eller blokerede meddelelsen, identificeres i den primære tilsidesættelseskilde. Vælg en eller flere værdier: Tredjepartsfilter Administration påbegyndte tidsrejser Antimalwarepolitikblokering efter filtype Indstillinger for antispampolitik Forbindelsespolitik Exchange-transportregel Udelt tilstand (brugertilsidesættelse) Filtreringen blev sprunget over pga. organisationen i det lokale miljø IP-områdefilter fra politik Sprogfilter fra politik Phishingsimulering Karantænefrigivelse SecOps-postkasse Afsenderadresseliste (tilsidesættelse af Administration) Afsenderadresseliste (tilsidesættelse af bruger) Afsenderdomæneliste (tilsidesættelse Administration) Afsenderdomæneliste (tilsidesættelse af bruger) Bloker listefilblokering for lejer Mailadresseblok for tilladelse/blokering af lejerliste Lejerens tillad/bloker liste-spoof-blok URL-adresseblok for lejer-/blokeringsliste Liste over kontakter, der er tillid til (tilsidesættelse af bruger) Domæne, der er tillid til (tilsidesættelse af bruger) Modtager, der er tillid til (brugertilsidesættelse) Kun afsendere, der er tillid til (tilsidesættelse af bruger)
Tilsidesæt kilde	De samme værdier som den primære tilsidesættelseskilde
Politiktype	Vælg en eller flere værdier: Politik for antimalware Politik til bekæmpelse af phishing Exchange-transportregel (regel for mailflow), politik for filter for hostet indhold (politik til bekæmpelse af spam), Politik for udgående spam-filter (politik for udgående spam), politik for vedhæftede filer, der er tillid til Unknown
Politikhandling	Vælg en eller flere værdier: Tilføj x-header Bcc-meddelelse Slet meddelelse Rediger emne Flyt til mappen Uønsket mail Der er ikke foretaget nogen handling Omdirigeringsmeddelelse Send til karantæne
Trusselstype	Vælg en eller flere værdier: Malware Phish Spam
Videresendt meddelelse	Vælg en eller flere værdier: Sand Falsk
Distributionsliste	Tekst. Adskil flere værdier med kommaer.
Mailstørrelse	Heltal. Adskil flere værdier med kommaer.
Avanceret
Id for internetmeddelelse	Tekst. Adskil flere værdier med kommaer. Tilgængelig i headerfeltet Meddelelses-id i brevhovedet. Et eksempel på en værdi er <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (bemærk vinkelparenteserne).
Netværksmeddelelses-id	Tekst. Adskil flere værdier med kommaer. En GUID-værdi, der er tilgængelig i headerfeltet X-MS-Exchange-Organization-Network-Message-Id i brevhovedet.
Afsenders IP	Tekst. Adskil flere værdier med kommaer.
Vedhæftet fil SHA256	Tekst. Adskil flere værdier med kommaer.
Klynge-id	Tekst. Adskil flere værdier med kommaer.
Besked-id	Tekst. Adskil flere værdier med kommaer.
Beskedpolitik-id	Tekst. Adskil flere værdier med kommaer.
Kampagne-id	Tekst. Adskil flere værdier med kommaer.
ZAP URL-signal	Tekst. Adskil flere værdier med kommaer.
URL-adresser
Antal URL-adresser	Heltal. Adskil flere værdier med kommaer.
URL-domæne²	Tekst. Adskil flere værdier med kommaer.
URL-domæne og sti²	Tekst. Adskil flere værdier med kommaer.
URL-adresse²	Tekst. Adskil flere værdier med kommaer.
URL-sti²	Tekst. Adskil flere værdier med kommaer.
URL-kilde	Vælg en eller flere værdier: Vedhæftede filer Vedhæftet fil i skyen Brødtekst i mail Mailheader QR-kode Emne Unknown
Klik på dom	Vælg en eller flere værdier: Tilladt: Brugeren fik tilladelse til at åbne URL-adressen. Blok tilsidesat: Brugeren blev blokeret fra at åbne URL-adressen direkte, men brugeren tilsidesætter blokken for at åbne URL-adressen. Blokeret: Brugeren blev blokeret fra at åbne URL-adressen. Fejl: Brugeren blev præsenteret for fejlsiden, eller der opstod en fejl under hentning af dommen. Fejl: Der opstod en ukendt undtagelse under hentning af dommen. Brugeren har muligvis åbnet URL-adressen. Ingen: Dommen for URL-adressen kunne ikke registreres. Brugeren har muligvis åbnet URL-adressen. Afventer dom: Brugeren blev præsenteret for den ventende side med detonation. Afventende dom blev tilsidesat: Brugeren blev præsenteret for detonationssiden, men de tilsidesætter meddelelsen for at åbne URL-adressen.
URL-trussel	Vælg en eller flere værdier: Malware Phish Spam
Filer
Antal vedhæftede filer	Heltal. Adskil flere værdier med kommaer.
Navn på vedhæftet fil	Tekst. Adskil flere værdier med kommaer.
Filtype	Tekst. Adskil flere værdier med kommaer.
Filtypenavn	Tekst. Adskil flere værdier med kommaer.
Filstørrelse	Heltal. Adskil flere værdier med kommaer.
Godkendelse
SPF	Vælg en eller flere værdier: Svigte Neutral Ingen Pas Permanent fejl Blød fejl Midlertidig fejl
DKIM	Vælg en eller flere værdier: Error Svigte Ignorere Ingen Pas Test Timeout Unknown
DMARC	Vælg en eller flere værdier: Bestået bedste gæt Svigte Ingen Pas Permanent fejl Selektorpas Midlertidig fejl Unknown
Sammensat	Vælg en eller flere værdier: Svigte Ingen Pas Blød gennemløb

Tip

¹ Den seneste leveringsplacering indeholder ikke slutbrugerhandlinger på meddelelser. Hvis brugeren f.eks. har slettet meddelelsen eller flyttet meddelelsen til et arkiv eller en PST-fil.

Der er scenarier, hvor Den oprindelige leveringsplacering/Seneste leveringsplacering og/eller Leveringshandling har værdien Ukendt. Det kan f.eks. være:

• Meddelelsen blev leveret (handlingen Levering er Leveret), men en indbakkeregel flyttede meddelelsen til en anden standardmappe end mappen Indbakke eller Uønsket mail (f.eks. mappen Kladde eller Arkivér).
• ZAP forsøgte at flytte meddelelsen efter levering, men meddelelsen blev ikke fundet (f.eks. har brugeren flyttet eller slettet meddelelsen).

² Som standard knyttes en URL-søgning til http, medmindre der udtrykkeligt er angivet en anden værdi. Det kan f.eks. være:

• Hvis du søger med og uden præfikset http:// i URL-adresse, URL-domæne og URL-domæne og -sti , skal der vises de samme resultater.
• Søg efter præfikset https:// i URL-adressen. Når der ikke er angivet en værdi, antages præfikset http:// .
• / i starten og slutningen af URL-stien ignoreres FELTERNE URL-domæne, URL-domæne og sti .
• / i slutningen af FELTET URL-adresse ignoreres.

Pivoter diagrammet i visningen Alle mail i Threat Explorer

Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

De tilgængelige diagrampivots er beskrevet i følgende underafsnit.

Pivot for leveringshandlingsdiagram i visningen Alle mail i Threat Explorer

Selvom denne pivot ikke ser ud som standard, er handlingen Levering standarddiagrampivot i mailvisningen Alle .

Pivothandlingen Levering organiserer diagrammet efter de handlinger, der udføres på meddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver leveringshandling.

Pivot for afsenderens domænediagram i visningen Alle mail i Threat Explorer

Pivotpunktet Afsenderdomæne organiserer diagrammet efter domænerne i meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert afsenderdomæne.

Afsenderens IP-diagrampivot i visningen Alle mails i Threat Explorer

Pivot'en Afsenders IP organiserer diagrammet efter kilde-IP-adresserne for meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver afsenders IP-adresse.

Pivotér teknologidiagram til registrering i mailvisningen Alle i Threat Explorer

Pivotken Registreringsteknologi organiserer diagrammet efter den funktion, der identificerede meddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver registreringsteknologi.

Pivot for komplet URL-diagram i visningen Alle mail i Threat Explorer

Pivotlen Fuld URL-adresse organiserer diagrammet efter de fulde URL-adresser i meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver fulde URL-adresse.

Pivot for URL-domænediagram i visningen Alle mail i Threat Explorer

Pivoten URL-domæne organiserer diagrammet efter domænerne i URL-adresser i meddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne.

Pivot for URL-domæne og stidiagram i visningen Alle mails i Threat Explorer

Url-domænet og stipivottet organiserer diagrammet efter domæner og stier i URL-adresser i meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne og hver sti.

Visninger for detaljeområdet i visningen Alle mail i Threat Explorer

De tilgængelige visninger (faner) i detaljeområdet i mailvisningen Alle er beskrevet i følgende underafsnit.

Mailvisning for detaljeområdet i visningen Alle mails i Threat Explorer

Mail er standardvisningen for detaljeområdet i visningen Alle mails .

Visningen Mail viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (^*):

• Dato^*
• Emne^*
• Modtager^*
• Modtagerdomæne
• Tags^*
• Afsenderadresse^*
• Afsenders viste navn
• Afsenderdomæne^*
• Afsenders IP
• Afsenderpost fra adresse
• Afsenderpost fra domæne
• Yderligere handlinger^*
• Leveringshandling
• Seneste leveringsplacering^*
• Oprindelig leveringsplacering^*
• Systemet tilsidesætter kilden
• Systemtilsidesættelser
• Besked-id
• Id for internetmeddelelse
• Netværksmeddelelses-id
• Mailsprog
• Exchange-transportregel
• Stik
• Sammenhæng
• Regel for forebyggelse af datatab
• Trusselstype^*
• Registreringsteknologi
• Antal vedhæftede filer
• Antal URL-adresser
• Mailstørrelse

Tip

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

• Rul vandret i webbrowseren.
• Begræns bredden af de relevante kolonner.
• Fjern kolonner fra visningen.
• Zoom ud i webbrowseren.

Brugerdefinerede kolonneindstillinger gemmes pr. bruger. Brugerdefinerede kolonneindstillinger i Incognito- eller InPrivate-browsertilstand gemmes, indtil du lukker webbrowseren.

Når du vælger en eller flere poster på listen ved at markere afkrydsningsfeltet ud for den første kolonne, er handlingen Udfør tilgængelig. Du kan finde flere oplysninger under Trusselsjagt: E-mailafhjælpning.

I emneværdien for posten er handlingen Åbn i nyt vindue tilgængelig. Denne handling åbner meddelelsen på siden Mailobjekt.

Når du klikker på værdierne Emne eller Modtager i en post, åbnes der detaljerede pop op-vinduet. Disse pop op-vindue er beskrevet i følgende underafsnit.

Mailoplysninger fra visningen Mail i detaljeområdet i visningen Alle mails

Når du vælger emneværdien for en post i tabellen, åbnes der et pop op-vindue med mailoplysninger. Dette pop op-vindue med detaljer er kendt som panelet Mailoversigt og indeholder standardiserede oversigtsoplysninger, der også er tilgængelige på enhedssiden Mail for meddelelsen.

Du kan finde oplysninger om oplysningerne i panelet Mailoversigt under Panelet Mailoversigt i Defender.

Følgende handlinger er tilgængelige øverst i panelet Mailoversigt for Trusselsoversigt og registreringer i realtid:

• Åbn mailobjekt
• Vis sidehoved
• Tag handling: Du kan finde flere oplysninger under Trusselsjagt: Afhjælpning via mail.
• Flere indstillinger:
  • Eksempelvisning af mail¹ ²
  • Download email¹ ² ³
  • Vis i Stifinder
  • Gå på jagt⁴

¹ Handlingerne Eksempel på mail og Download mail kræver rollen Eksempel i Mail & samarbejdstilladelser. Denne rolle tildeles som standard til rollegrupperne Data investigator og eDiscovery Manager . Medlemmer af rollegrupperne Organisationsadministration eller Sikkerhedsadministratorer kan som standard ikke udføre disse handlinger. Hvis du vil tillade disse handlinger for medlemmerne af disse grupper, har du følgende indstillinger:

• Føj brugerne til rollegrupperne Data investigator eller eDiscovery Manager .
• Opret en ny rollegruppe med rollen Søg og Fjern tildelt, og føj brugerne til den brugerdefinerede rollegruppe.

² Du kan få vist eller downloade mails, der er tilgængelige i Microsoft 365-postkasser. Eksempler på, hvornår meddelelser ikke længere er tilgængelige i postkasser, omfatter:

• Meddelelsen blev droppet, før leveringen mislykkedes.
• Meddelelsen blev slettet som blød (slettet fra mappen Slettet post, hvilket flytter meddelelsen til mappen Gendan elementer\Sletninger).
• ZAP flyttede meddelelsen til karantæne.

³ Downloadmail er ikke tilgængelig for meddelelser, der er sat i karantæne. Download i stedet en adgangskodebeskyttet kopi af meddelelsen fra karantæne.

⁴ Gå på jagt er kun tilgængelig i Threat Explorer. Den er ikke tilgængelig i realtidsregistreringer.

Modtageroplysninger fra mailvisningen i detaljeområdet i visningen Alle mails

Når du vælger en post ved at klikke på værdien Modtager , åbnes der et pop op-vindue med følgende oplysninger:

Tip

Hvis du vil se oplysninger om andre modtagere uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

• Oversigtssektion :

  • Rolle: Om modtageren har fået tildelt administratorroller.
  • Politikker:
    • Angiver, om brugeren har tilladelse til at se arkivoplysninger.
    • Angiver, om brugeren har tilladelse til at se opbevaringsoplysninger.
    • Angiver, om brugeren er dækket af forebyggelse af datatab (DLP).
    • Angiver, om brugeren er dækket af Administration af mobil på https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.

• Mailsektion : En tabel, der viser følgende relaterede oplysninger for meddelelser, der er sendt til modtageren:

  • Dato
  • Emne
  • Modtager

  Vælg Vis alle mails for at åbne Threat Explorer på en ny fane, der er filtreret af modtageren.

• Sektionen Seneste beskeder: En tabel, der viser følgende relaterede oplysninger for relaterede seneste beskeder:

  • Alvorlighed
  • Beskedpolitik
  • Kategori
  • Aktiviteter

  Hvis der er mere end tre seneste beskeder, skal du vælge Få vist alle de seneste beskeder for at se dem alle.

  • Afsnittet Seneste aktivitet: Viser de opsummerede resultater af en søgning i overvågningsloggen for modtageren:

    • Dato
    • IP-adresse
    • Aktivitet
    • Element

    Hvis modtageren har mere end tre overvågningslogposter, skal du vælge Vis alle seneste aktiviteter for at se dem alle.

  Tip

  Medlemmer af rollegruppen Sikkerhedsadministratorer i Mail & samarbejdstilladelser kan ikke udvide sektionen Seneste aktivitet . Du skal være medlem af en rollegruppe i Exchange Online tilladelser, der har tildelt rollerne Overvågningslogge, Information Protection analytiker eller Information Protection Efterforsker. Disse roller tildeles som standard til rollegrupperne Datastyring, Overholdelsesstyring, Information Protection, Information Protection Analytikere, Information Protection Efterforskere og Organisationsadministration. Du kan føje medlemmer af sikkerhedsadministratorer til disse rollegrupper, eller du kan oprette en ny rollegruppe med rollen Overvågningslogge tildelt.

Url-klikvisning for detaljeområdet i visningen Alle mails i Threat Explorer

Visningen MED URL-klik viser et diagram, der kan organiseres ved hjælp af pivots. Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

Diagrampivotsene er beskrevet i følgende underafsnit.

Tip

I Threat Explorer har hver pivot i visning af URL-klik handlingen Vis alle klik , der åbner VISNINGEN URL-klik på en ny fane.

Url-domænepivot for VISNINGEN URL-klik for detaljeområdet i visningen Alle mail i Threat Explorer

Selvom dette diagrampivot ikke ser ud til at være markeret, er URL-domænet standarddiagrampivot i VISNINGEN URL-klik .

I URL-domænepivottet vises de forskellige domæner i URL-adresser i mails for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne.

Pivot for klik på dom for visning af URL-klik for detaljeområdet i visningen Alle mails i Threat Explorer

Pivotken Klik på dom viser de forskellige domme for url-adresser, der er klikket på, i mails for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver click-dom.

URL-pivot for visning af URL-klik for detaljeområdet i visningen Alle mails i Threat Explorer

I PIVOT'en for URL-adressen vises de forskellige URL-adresser, der blev klikket på i mails, for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver URL-adresse.

URL-domæne og stipivot for visning af URL-klik for detaljeområdet i visningen Alle mail i Threat Explorer

Url-domænet og stipivottet viser de forskellige domæner og filstier for URL-adresser, der blev klikket på i mails for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne og hver filsti.

Øverste visning af URL-adresser for detaljeområdet i visningen Alle mails i Threat Explorer

Visningen Øverste URL-adresser viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift:

• URL-adresse
• Blokerede meddelelser
• Meddelelser, der er uønsket
• Meddelelser er leveret

Oplysninger om de vigtigste URL-adresser til mailvisningen Alle

Når du markerer en post ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for den første kolonne, åbnes der et detaljeret pop op-vindue med følgende oplysninger:

Tip

Hvis du vil se detaljer om andre URL-adresser uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

• Følgende handlinger er tilgængelige øverst i pop op-vinduet:

  • Åbn SIDEN URL-adresse

  • Send til analyse:

    • Rapport ren
    • Rapport phishing
    • Rapportér malware

  • Administrer indikator:

    • Tilføj indikator
    • Administrer på lejerblokeringslisten

    Hvis du vælger en af disse indstillinger, kommer du til siden Indsendelser på Defender-portalen.

  • Flere:

    • Vis i Stifinder
    • Gå på jagt
• Oprindelig URL-adresse
• Registreringssektion :
  • Dom over trusselsintelligens
  • x aktive beskeder y-hændelser: Et vandret søjlediagram, der viser antallet af vigtige, mellem- og lave beskeder samt oplysningsbeskeder , der er relateret til dette link.
  • Et link til Få vist alle hændelser & beskeder på URL-siden.
• Afsnittet Domæneoplysninger :
  • Domænenavn og et link til siden Vis domæne.
  • Registrant
  • Registreret den
  • Opdateret den
  • Udløber den
• Afsnittet Med oplysninger om registrantkontakt:
  • Registrator
  • Land/område
  • Postadresse
  • E-mail
  • Telefon
  • Flere oplysninger: Et link til Åbn på Whois.
• Prævalens af URL-adresser (seneste 30 dage): Indeholder antallet af enheder, mail og klik. Vælg hver værdi for at få vist den komplette liste.
• Enheder: Viser de berørte enheder:

  • Dato (første/sidste)

  • Enheder

    Hvis der er tale om mere end to enheder, skal du vælge Få vist alle enheder for at se dem alle.

Visning med de mest populære klik for detaljeområdet i visningen Alle mails i Threat Explorer

Visningen Top clicks viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift:

• URL-adresse
• Blokeret
• Tilladt
• Blok tilsidesat
• Afventer dom
• Afventer dom omgået
• Ingen
• Fejlside
• Fiasko

Tip

Alle tilgængelige kolonner er markeret. Hvis du vælger Tilpas kolonner, kan du ikke fravælge nogen kolonner.

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

• Rul vandret i webbrowseren.
• Begræns bredden af de relevante kolonner.
• Zoom ud i webbrowseren.

Når du markerer en post ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet i Oplysninger om de øverste URL-adresser for visningen Alle mail.

Visning af de mest målrettede brugere for detaljeområdet i visningen Alle mails i Threat Explorer

Visningen De mest målrettede brugere organiserer dataene i en tabel med de øverste fem modtagere, der var målrettet efter de fleste trusler. Tabellen indeholder følgende oplysninger:

• Mest målrettede brugere: Modtagerens mailadresse. Hvis du vælger en modtageradresse, åbnes der et pop op-vindue med detaljer. Oplysningerne i pop op-vinduet er de samme som beskrevet i Modtageroplysninger fra visningen Mail i detaljeområdet i visningen Alle mails.

• Antallet af forsøg: Hvis du vælger antallet af forsøg, åbnes Threat Explorer på en ny fane, der er filtreret af modtageren.

Tip

Brug Eksportér til at eksportere listen over op til 3000 brugere og de tilsvarende forsøg.

Visning med oprindelse for mail for detaljeområdet i visningen Alle mails i Threat Explorer

Visningen Mail oprindelse viser meddelelseskilder på et kort over verden.

Kampagnevisning for detaljeområdet i visningen Alle mails i Threat Explorer

Visningen Kampagne viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift.

Oplysningerne i tabellen er de samme som beskrevet i detaljetabellen på siden Kampagner.

Når du vælger en post ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for Navn, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet under Kampagneoplysninger.

Visning af malware i Threat Explorer og registreringer i realtid

Visningen Malware i Threat Explorer og registreringer i realtid viser oplysninger om mails, der blev fundet at indeholde malware. Denne visning er standard i realtidsregistreringer.

Benyt en af følgende fremgangsmåder for at åbne visningen Malware :

• Threat Explorer: På siden Stifinder på Defender-portalen på https://security.microsoft.comskal du gå til fanen Email & collaboration>Explorer>Malware . Du kan også gå direkte til siden Stifinder ved hjælp af https://security.microsoft.com/threatexplorerv3og derefter vælge fanen Malware .
• Registreringer i realtid: Gå til fanen Mail & samarbejde> medExplorer>Malware på siden Registreringer i realtid på Defender-portalen på https://security.microsoft.com. Du kan også gå direkte til siden Registreringer i realtid ved hjælp af https://security.microsoft.com/realtimereportsv3og derefter kontrollere, at fanen Malware er valgt.

Egenskaber, der kan filtreres, i visningen Malware i Threat Explorer og registreringer i realtid

Der anvendes som standard ingen egenskabsfiltre på dataene. Trinnene til oprettelse af filtre (forespørgsler) er beskrevet i afsnittet Filtre i Threat Explorer og registreringer i realtid senere i denne artikel.

De egenskaber, der kan filtreres, og som er tilgængelige i feltet Afsenderadresse i visningen Malware , er beskrevet i følgende tabel:

Egenskab	Type	Trussel Opdagelsesrejsende	Realtid Opdagelser
Basic
Afsenderadresse	Tekst. Adskil flere værdier med kommaer.	✔	✔
Modtagere	Tekst. Adskil flere værdier med kommaer.	✔	✔
Afsenderdomæne	Tekst. Adskil flere værdier med kommaer.	✔	✔
Modtagerdomæne	Tekst. Adskil flere værdier med kommaer.	✔	✔
Emne	Tekst. Adskil flere værdier med kommaer.	✔	✔
Afsenders viste navn	Tekst. Adskil flere værdier med kommaer.	✔	✔
Afsenderpost fra adresse	Tekst. Adskil flere værdier med kommaer.	✔	✔
Afsenderpost fra domæne	Tekst. Adskil flere værdier med kommaer.	✔	✔
Retursti	Tekst. Adskil flere værdier med kommaer.	✔	✔
Returner stidomæne	Tekst. Adskil flere værdier med kommaer.	✔	✔
Malwarefamilie	Tekst. Adskil flere værdier med kommaer.	✔	✔
Mærker	Tekst. Adskil flere værdier med kommaer. Du kan få flere oplysninger om brugerkoder under Brugerkoder.	✔
Exchange-transportregel	Tekst. Adskil flere værdier med kommaer.	✔
Regel for forebyggelse af datatab	Tekst. Adskil flere værdier med kommaer.	✔
Sammenhæng	Vælg en eller flere værdier: Evaluering Prioritet til kontobeskyttelse	✔
Stik	Tekst. Adskil flere værdier med kommaer.	✔
Leveringshandling	Vælg en eller flere værdier: Blokeret Leveret Leveret til uønsket mail Erstattet: Vedhæftede filer i meddelelser, der blev erstattet af Dynamisk levering i politikker for sikre vedhæftede filer.	✔	✔
Yderligere handling	Vælg en eller flere værdier: Automatiseret afhjælpning Dynamisk levering: Du kan få flere oplysninger under Dynamisk levering i Politikker for vedhæftede filer, der er tillid til. Manuel afhjælpning Ingen Karantænefrigivelse Genbehandlet ZAP: Du kan få flere oplysninger under Automatisk rensning på nul timer (ZAP) i Microsoft Defender for Office 365.	✔	✔
Retningsbestemthed	Vælg en eller flere værdier: Indgående Intern organisation Udgående	✔	✔
Registreringsteknologi	Vælg en eller flere værdier: Avanceret filter: Signaler baseret på maskinel indlæring. Beskyttelse modmalware Bulk Kampagne Domæneomdømme Fildeonation: Sikre vedhæftede filer registrerede en skadelig vedhæftet fil under detonationsanalyse. Omdømme for fildeonation: Vedhæftede filer, der tidligere er registreret af detonationer for sikre vedhæftede filer i andre Microsoft 365-organisationer. Filomdømme: Meddelelsen indeholder en fil, der tidligere blev identificeret som skadelig i andre Microsoft 365-organisationer. Matchning af fingeraftryk: Meddelelsen ligner en tidligere registreret skadelig meddelelse. Generelt filter Repræsentationsmærke: Sender repræsentation af velkendte mærker. Repræsentationsdomæne: Repræsentation af afsenderdomæner, som du ejer eller har angivet til beskyttelse i politikker til bekæmpelse af phishing Repræsentationsbruger IP-omdømme Repræsentation af postkasseintelligens: Repræsentationsregistreringer fra postkasseintelligens i politikker til bekæmpelse af phishing. Registrering af blandet analyse: Flere filtre bidrog til meddelelsens dom. spoof DMARC: Meddelelsen mislykkedes DMARC-godkendelse. Spoof eksternt domæne: Afsendermailadresse spoofing ved hjælp af et domæne, der er eksternt for din organisation. Spoof intra-org: Afsendermailadresse spoofing ved hjælp af et domæne, der er internt i din organisation. URL-detonation: Safe Links registrerede en skadelig URL-adresse i meddelelsen under detonationsanalyse. Omdømme for URL-detonation: URL-adresser, der tidligere er registreret af Safe Links-detonationer i andre Microsoft 365-organisationer. Skadelig URL-adresse: Meddelelsen indeholder en URL-adresse, der tidligere blev identificeret som skadelig i andre Microsoft 365-organisationer.	✔	✔
Oprindelig leveringsplacering	Vælg en eller flere værdier: Mappen Slettet post Faldt Mislykkedes Indbakke/mappe Mappen Uønsket mail I det lokale miljø/eksternt Karantæne Unknown	✔	✔
Seneste leveringsplacering	De samme værdier som den oprindelige leveringsplacering	✔	✔
Primær tilsidesættelse	Vælg en eller flere værdier: Tilladt efter organisationspolitik Tilladt af brugerpolitik Blokeret af organisationspolitik Blokeret af brugerpolitik Ingen	✔	✔
Primær tilsidesættelseskilde	Meddelelser kan have flere tilsidesættelser af tilladelser eller blokeringer, som er identificeret i Kilden Tilsidesæt. Den tilsidesættelse, der i sidste ende tillod eller blokerede meddelelsen, identificeres i den primære tilsidesættelseskilde. Vælg en eller flere værdier: Tredjepartsfilter Administration påbegyndte tidsrejser Antimalwarepolitikblokering efter filtype Indstillinger for antispampolitik Forbindelsespolitik Exchange-transportregel Udelt tilstand (brugertilsidesættelse) Filtreringen blev sprunget over pga. organisationen i det lokale miljø IP-områdefilter fra politik Sprogfilter fra politik Phishingsimulering Karantænefrigivelse SecOps-postkasse Afsenderadresseliste (tilsidesættelse af Administration) Afsenderadresseliste (tilsidesættelse af bruger) Afsenderdomæneliste (tilsidesættelse Administration) Afsenderdomæneliste (tilsidesættelse af bruger) Bloker listefilblokering for lejer Mailadresseblok for tilladelse/blokering af lejerliste Lejerens tillad/bloker liste-spoof-blok URL-adresseblok for lejer-/blokeringsliste Liste over kontakter, der er tillid til (tilsidesættelse af bruger) Domæne, der er tillid til (tilsidesættelse af bruger) Modtager, der er tillid til (brugertilsidesættelse) Kun afsendere, der er tillid til (tilsidesættelse af bruger)	✔	✔
Tilsidesæt kilde	De samme værdier som den primære tilsidesættelseskilde	✔	✔
Politiktype	Vælg en eller flere værdier: Politik for antimalware Politik til bekæmpelse af phishing Exchange-transportregel (regel for mailflow), politik for filter for hostet indhold (politik til bekæmpelse af spam), Politik for udgående spam-filter (politik for udgående spam), politik for vedhæftede filer, der er tillid til Unknown	✔	✔
Politikhandling	Vælg en eller flere værdier: Tilføj x-header Bcc-meddelelse Slet meddelelse Rediger emne Flyt til mappen Uønsket mail Der er ikke foretaget nogen handling Omdirigeringsmeddelelse Send til karantæne	✔	✔
Mailstørrelse	Heltal. Adskil flere værdier med kommaer.	✔	✔
Avanceret
Id for internetmeddelelse	Tekst. Adskil flere værdier med kommaer. Tilgængelig i headerfeltet Meddelelses-id i brevhovedet. Et eksempel på en værdi er <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (bemærk vinkelparenteserne).	✔	✔
Netværksmeddelelses-id	Tekst. Adskil flere værdier med kommaer. En GUID-værdi, der er tilgængelig i headerfeltet X-MS-Exchange-Organization-Network-Message-Id i brevhovedet.	✔	✔
Afsenders IP	Tekst. Adskil flere værdier med kommaer.	✔	✔
Vedhæftet fil SHA256	Tekst. Adskil flere værdier med kommaer.	✔	✔
Klynge-id	Tekst. Adskil flere værdier med kommaer.	✔	✔
Besked-id	Tekst. Adskil flere værdier med kommaer.	✔	✔
Beskedpolitik-id	Tekst. Adskil flere værdier med kommaer.	✔	✔
Kampagne-id	Tekst. Adskil flere værdier med kommaer.	✔	✔
ZAP URL-signal	Tekst. Adskil flere værdier med kommaer.	✔	✔
URL-adresser
Antal URL-adresser	Heltal. Adskil flere værdier med kommaer.	✔	✔
URL-domæne	Tekst. Adskil flere værdier med kommaer.	✔	✔
URL-domæne og -sti	Tekst. Adskil flere værdier med kommaer.	✔	✔
URL-adresse	Tekst. Adskil flere værdier med kommaer.	✔	✔
URL-sti	Tekst. Adskil flere værdier med kommaer.	✔	✔
URL-kilde	Vælg en eller flere værdier: Vedhæftede filer Vedhæftet fil i skyen Brødtekst i mail Mailheader QR-kode Emne Unknown	✔	✔
Klik på dom	Vælg en eller flere værdier: Tilladt Blok tilsidesat Blokeret Error Fiasko Ingen Afventer dom Afventer dom omgået	✔	✔
URL-trussel	Vælg en eller flere værdier: Malware Phish Spam	✔	✔
Filer
Antal vedhæftede filer	Heltal. Adskil flere værdier med kommaer.	✔	✔
Navn på vedhæftet fil	Tekst. Adskil flere værdier med kommaer.	✔	✔
Filtype	Tekst. Adskil flere værdier med kommaer.	✔	✔
Filtypenavn	Tekst. Adskil flere værdier med kommaer.	✔	✔
Filstørrelse	Heltal. Adskil flere værdier med kommaer.	✔	✔
Godkendelse
SPF	Vælg en eller flere værdier: Svigte Neutral Ingen Pas Permanent fejl Blød fejl Midlertidig fejl	✔	✔
DKIM	Vælg en eller flere værdier: Error Svigte Ignorere Ingen Pas Test Timeout Unknown	✔	✔
DMARC	Vælg en eller flere værdier: Bestået bedste gæt Svigte Ingen Pas Permanent fejl Selektorpas Midlertidig fejl Unknown	✔	✔
Sammensat	Vælg en eller flere værdier: Svigte Ingen Pas Blød gennemløb

Pivoter diagrammet i visningen Malware i Threat Explorer og registreringer i realtid

Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

De diagrampivots, der er tilgængelige i visningen Malware i Threat Explorer og registreringer i realtid, er angivet i følgende tabel:

Pivot	Trussel Opdagelsesrejsende	Realtid Opdagelser
Malwarefamilie	✔
Afsenderdomæne	✔
Afsenders IP	✔
Leveringshandling	✔	✔
Registreringsteknologi	✔	✔

De tilgængelige diagrampivots er beskrevet i følgende underafsnit.

Pivotdiagrammet malwarefamiliediagram i visningen Malware i Threat Explorer

Selvom denne pivot ikke ser ud som standard, er Malware-serien standarddiagrampivot i visningen Malware i Threat Explorer.

Pivoten Malwarefamilie organiserer diagrammet efter den malwarefamilie, der registreres i meddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver malwarefamilie.

Pivotering af domænediagram for afsender i visningen Malware i Threat Explorer

Pivoten Afsenderdomæne organiserer diagrammet efter afsenderens domæne for meddelelser, der blev fundet at indeholde malware for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert afsenderdomæne.

Afsenderens IP-diagrampivot i visningen Malware i Threat Explorer

Pivoten Afsender-IP organiserer diagrammet efter kildens IP-adresse for meddelelser, der blev fundet at indeholde malware for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver kilde-IP-adresse.

Diagrampivot om leveringshandling i visningen Malware i Threat Explorer og registreringer i realtid

Selvom denne pivot ikke ser ud som standard, er leveringshandlingen standarddiagrampivottet i visningen Malware i realtidsregistreringer.

Pivoten Leveringshandling organiserer diagrammet efter, hvad der skete med meddelelser, der blev fundet at indeholde malware for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver leveringshandling.

Diagram over registreringsteknologi i visningen Malware i Threat Explorer og registreringer i realtid

Pivotken Registreringsteknologi organiserer diagrammet efter den funktion, der identificerede malware i meddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver registreringsteknologi.

Visninger for detaljeområdet i visningen Malware i Threat Explorer og registreringer i realtid

De tilgængelige visninger (faner) i detaljeområdet i visningen Malware er angivet i følgende tabel og er beskrevet i følgende underafsnit.

Vis	Trussel Opdagelsesrejsende	Realtid Opdagelser
E-mail	✔	✔
Mest populære malwarefamilier	✔
Mest målrettede brugere	✔
Oprindelse af mail	✔
Kampagne	✔

Mailvisning for detaljeområdet i visningen Malware i Threat Explorer og registreringer i realtid

Mail er standardvisningen for detaljeområdet i visningen Malware i Threat Explorer og registreringer i realtid.

Visningen Mail viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises.

I følgende tabel vises de kolonner, der er tilgængelige i Threat Explorer og registreringer i realtid. Standardværdierne er markeret med en stjerne (^*).

Kolonne	Trussel Opdagelsesrejsende	Realtid Opdagelser
Dato*	✔	✔
Emne*	✔	✔
Modtager*	✔	✔
Modtagerdomæne	✔	✔
Tags*	✔
Afsenderadresse*	✔	✔
Afsenders viste navn	✔	✔
Afsenderdomæne*	✔	✔
Afsenders IP	✔	✔
Afsenderpost fra adresse	✔	✔
Afsenderpost fra domæne	✔	✔
Yderligere handlinger*	✔	✔
Leveringshandling	✔	✔
Seneste leveringsplacering*	✔	✔
Oprindelig leveringsplacering*	✔	✔
Systemet tilsidesætter kilden	✔	✔
Systemtilsidesættelser	✔	✔
Besked-id	✔	✔
Id for internetmeddelelse	✔	✔
Netværksmeddelelses-id	✔	✔
Mailsprog	✔	✔
Exchange-transportregel	✔
Stik	✔
Sammenhæng	✔	✔
Regel for forebyggelse af datatab	✔	✔
Trusselstype*	✔	✔
Registreringsteknologi	✔	✔
Antal vedhæftede filer	✔	✔
Antal URL-adresser	✔	✔
Mailstørrelse	✔	✔

Tip

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

• Rul vandret i webbrowseren.
• Begræns bredden af de relevante kolonner.
• Fjern kolonner fra visningen.
• Zoom ud i webbrowseren.

Brugerdefinerede kolonneindstillinger gemmes pr. bruger. Brugerdefinerede kolonneindstillinger i Incognito- eller InPrivate-browsertilstand gemmes, indtil du lukker webbrowseren.

Når du vælger en eller flere poster på listen ved at markere afkrydsningsfeltet ud for den første kolonne, er handlingen Udfør tilgængelig. Du kan finde flere oplysninger under Trusselsjagt: E-mailafhjælpning.

Når du klikker på værdierne Emne eller Modtager i en post, åbnes der detaljerede pop op-vinduet. Disse pop op-vindue er beskrevet i følgende underafsnit.

Mailoplysninger fra visningen Mail i detaljeområdet i visningen Malware

Når du vælger emneværdien for en post i tabellen, åbnes der et pop op-vindue med mailoplysninger. Dette pop op-vindue med detaljer er kendt som panelet Mailoversigt og indeholder standardiserede oversigtsoplysninger, der også er tilgængelige på enhedssiden Mail for meddelelsen.

Du kan finde oplysninger om oplysningerne i panelet Mailoversigt under Paneler med mailoversigt.

De tilgængelige handlinger øverst i panelet Mailoversigt for Trusselsstifinder og registreringer i realtid er beskrevet i mailoplysningerne fra visningen Mail i detaljeområdet i visningen Alle mails.

Modtageroplysninger fra mailvisningen i detaljeområdet i visningen Malware

Når du vælger en post ved at klikke på værdien Modtager , åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet i Modtageroplysninger fra visningen Mail i detaljeområdet i visningen Alle mails.

Mest populære visning af malwarefamilier for detaljeområdet i visningen Malware i Threat Explorer

Visningen Top malwarefamilier for detaljeområdet organiserer dataene i en tabel over de mest populære malwarefamilier. Tabellen viser:

• Øverste kolonne for malwarefamilier : Navnet på malwarefamilien.

  Hvis du vælger et malwarefamilienavn, åbnes der et pop op-vindue med oplysninger, der indeholder følgende oplysninger:

  • Mailsektion : En tabel, der viser følgende relaterede oplysninger for meddelelser, der indeholder malwarefilen:

    • Dato
    • Emne
    • Modtager

    Vælg Vis alle mails for at åbne Threat Explorer på en ny fane, der er filtreret efter malwarefamilienavnet.

  • Afsnittet Tekniske detaljer

  

• Antallet af forsøg: Hvis du vælger antallet af forsøg, åbnes Threat Explorer i en ny fane, der er filtreret af malwarefamilienavnet.

Visning af de mest målrettede brugere for detaljeområdet i visningen Malware i Threat Explorer

Visningen De mest målrettede brugere organiserer dataene i en tabel med de øverste fem modtagere, der blev målrettet af malware. Tabellen viser:

• Mest målrettede brugere: Mailadressen på den mest målrettede bruger. Hvis du vælger en mailadresse, åbnes der et pop op-vindue med detaljer. Oplysningerne i pop op-vinduet er de samme som beskrevet i visningen Topmålbrugere for detaljeområdet i mailvisningen Alle i Threat Explorer.

• Antallet af forsøg: Hvis du vælger antallet af forsøg, åbnes Threat Explorer i en ny fane, der er filtreret af malwarefamilienavnet.

Tip

Brug Eksportér til at eksportere listen over op til 3000 brugere og de tilsvarende forsøg.

Mailoprindelsesvisning for detaljeområdet i malwarevisningen i Threat Explorer

Visningen Mail oprindelse viser meddelelseskilder på et kort over verden.

Kampagnevisning for detaljeområdet i visningen Malware i Threat Explorer

Visningen Kampagne viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift.

Detaljetabellen er identisk med detaljetabellen på siden Kampagner.

Når du vælger en post ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for Navn, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet under Kampagneoplysninger.

Phish-visning i Threat Explorer og registreringer i realtid

Phish-visningen i Threat Explorer og registreringer i realtid viser oplysninger om mails, der blev identificeret som phishing.

Benyt en af følgende fremgangsmåder for at åbne Phish-visningen :

• Threat Explorer: På siden Stifinder på Defender-portalen på https://security.microsoft.comskal du gå til Fanen Mail & samarbejde>Explorer>Phish . Du kan også gå direkte til siden Stifinder ved hjælp af https://security.microsoft.com/threatexplorerv3og derefter vælge fanen Phish .
• Registreringer i realtid: Gå til Mail & fanen>>Phish på https://security.microsoft.comsiden Registreringer i realtid på Defender-portalen på . Du kan også gå direkte til siden Registreringer i realtid ved hjælp af https://security.microsoft.com/realtimereportsv3og derefter vælge fanen Phish.

Egenskaber, der kan filtreres, i Phish-visningen i Threat Explorer og registreringer i realtid

Der anvendes som standard ingen egenskabsfiltre på dataene. Trinnene til oprettelse af filtre (forespørgsler) er beskrevet i afsnittet Filtre i Threat Explorer og registreringer i realtid senere i denne artikel.

De egenskaber, der kan filtreres, og som er tilgængelige i feltet Afsenderadresse i visningen Malware , er beskrevet i følgende tabel:

Egenskab	Type	Trussel Opdagelsesrejsende	Realtid Opdagelser
Basic
Afsenderadresse	Tekst. Adskil flere værdier med kommaer.	✔	✔
Modtagere	Tekst. Adskil flere værdier med kommaer.	✔	✔
Afsenderdomæne	Tekst. Adskil flere værdier med kommaer.	✔	✔
Modtagerdomæne	Tekst. Adskil flere værdier med kommaer.	✔	✔
Emne	Tekst. Adskil flere værdier med kommaer.	✔	✔
Afsenders viste navn	Tekst. Adskil flere værdier med kommaer.	✔	✔
Afsenderpost fra adresse	Tekst. Adskil flere værdier med kommaer.	✔	✔
Afsenderpost fra domæne	Tekst. Adskil flere værdier med kommaer.	✔	✔
Retursti	Tekst. Adskil flere værdier med kommaer.	✔	✔
Returner stidomæne	Tekst. Adskil flere værdier med kommaer.	✔	✔
Mærker	Tekst. Adskil flere værdier med kommaer. Du kan få flere oplysninger om brugerkoder under Brugerkoder.	✔
Repræsenteret domæne	Tekst. Adskil flere værdier med kommaer.	✔	✔
Repræsenteret bruger	Tekst. Adskil flere værdier med kommaer.	✔	✔
Exchange-transportregel	Tekst. Adskil flere værdier med kommaer.	✔
Regel for forebyggelse af datatab	Tekst. Adskil flere værdier med kommaer.	✔
Sammenhæng	Vælg en eller flere værdier: Evaluering Prioritet til kontobeskyttelse	✔
Stik	Tekst. Adskil flere værdier med kommaer.	✔
Leveringshandling	Vælg en eller flere værdier: Blokeret Leveret Leveret til uønsket mail Erstattet: Vedhæftede filer i meddelelser, der blev erstattet af Dynamisk levering i politikker for sikre vedhæftede filer.	✔	✔
Yderligere handling	Vælg en eller flere værdier: Automatiseret afhjælpning Dynamisk levering Manuel afhjælpning Ingen Karantænefrigivelse Genbehandlet ZAP	✔	✔
Retningsbestemthed	Vælg en eller flere værdier: Indgående Intern organisation Udgående	✔	✔
Registreringsteknologi	Vælg en eller flere værdier: Avanceret filter Beskyttelse modmalware Bulk Kampagne Domæneomdømme Fildeonation Omdømme for fildeonation Filomdømme Matchende fingeraftryk Generelt filter Repræsentationsmærke Repræsentationsdomæne Repræsentationsbruger IP-omdømme Repræsentation af postkasseintelligens Registrering af blandet analyse spoof DMARC Spoof eksternt domæne Spoof intra-org URL-detonation URL-detonationsomdømme Skadeligt omdømme for URL-adresse	✔	✔
Oprindelig leveringsplacering	Vælg en eller flere værdier: Mappen Slettet post Faldt Mislykkedes Indbakke/mappe Mappen Uønsket mail I det lokale miljø/eksternt Karantæne Unknown	✔	✔
Seneste leveringsplacering	De samme værdier som den oprindelige leveringsplacering	✔	✔
Phish konfidensniveau	Vælg en eller flere værdier: Høj Normal	✔
Primær tilsidesættelse	Vælg en eller flere værdier: Tilladt efter organisationspolitik Tilladt af brugerpolitik Blokeret af organisationspolitik Blokeret af brugerpolitik Ingen	✔	✔
Primær tilsidesættelseskilde	Meddelelser kan have flere tilsidesættelser af tilladelser eller blokeringer, som er identificeret i Kilden Tilsidesæt. Den tilsidesættelse, der i sidste ende tillod eller blokerede meddelelsen, identificeres i den primære tilsidesættelseskilde. Vælg en eller flere værdier: Tredjepartsfilter Administration påbegyndte tidsrejser Antimalwarepolitikblokering efter filtype Indstillinger for antispampolitik Forbindelsespolitik Exchange-transportregel Udelt tilstand (brugertilsidesættelse) Filtreringen blev sprunget over pga. organisationen i det lokale miljø IP-områdefilter fra politik Sprogfilter fra politik Phishingsimulering Karantænefrigivelse SecOps-postkasse Afsenderadresseliste (tilsidesættelse af Administration) Afsenderadresseliste (tilsidesættelse af bruger) Afsenderdomæneliste (tilsidesættelse Administration) Afsenderdomæneliste (tilsidesættelse af bruger) Bloker listefilblokering for lejer Mailadresseblok for tilladelse/blokering af lejerliste Lejerens tillad/bloker liste-spoof-blok URL-adresseblok for lejer-/blokeringsliste Liste over kontakter, der er tillid til (tilsidesættelse af bruger) Domæne, der er tillid til (tilsidesættelse af bruger) Modtager, der er tillid til (brugertilsidesættelse) Kun afsendere, der er tillid til (tilsidesættelse af bruger)	✔	✔
Tilsidesæt kilde	De samme værdier som den primære tilsidesættelseskilde	✔	✔
Politiktype	Vælg en eller flere værdier: Politik for antimalware Politik til bekæmpelse af phishing Exchange-transportregel (regel for mailflow), politik for filter for hostet indhold (politik til bekæmpelse af spam), Politik for udgående spam-filter (politik for udgående spam), politik for vedhæftede filer, der er tillid til Unknown	✔	✔
Politikhandling	Vælg en eller flere værdier: Tilføj x-header Bcc-meddelelse Slet meddelelse Rediger emne Flyt til mappen Uønsket mail Der er ikke foretaget nogen handling Omdirigeringsmeddelelse Send til karantæne	✔	✔
Mailstørrelse	Heltal. Adskil flere værdier med kommaer.	✔	✔
Avanceret
Id for internetmeddelelse	Tekst. Adskil flere værdier med kommaer. Tilgængelig i headerfeltet Meddelelses-id i brevhovedet. Et eksempel på en værdi er <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (bemærk vinkelparenteserne).	✔	✔
Netværksmeddelelses-id	Tekst. Adskil flere værdier med kommaer. En GUID-værdi, der er tilgængelig i headerfeltet X-MS-Exchange-Organization-Network-Message-Id i brevhovedet.	✔	✔
Afsenders IP	Tekst. Adskil flere værdier med kommaer.	✔	✔
Vedhæftet fil SHA256	Tekst. Adskil flere værdier med kommaer.	✔	✔
Klynge-id	Tekst. Adskil flere værdier med kommaer.	✔	✔
Besked-id	Tekst. Adskil flere værdier med kommaer.	✔	✔
Beskedpolitik-id	Tekst. Adskil flere værdier med kommaer.	✔	✔
Kampagne-id	Tekst. Adskil flere værdier med kommaer.	✔	✔
ZAP URL-signal	Tekst. Adskil flere værdier med kommaer.	✔
URL-adresser
Antal URL-adresser	Heltal. Adskil flere værdier med kommaer.	✔	✔
URL-domæne	Tekst. Adskil flere værdier med kommaer.	✔	✔
URL-domæne og -sti	Tekst. Adskil flere værdier med kommaer.	✔
URL-adresse	Tekst. Adskil flere værdier med kommaer.	✔
URL-sti	Tekst. Adskil flere værdier med kommaer.	✔
URL-kilde	Vælg en eller flere værdier: Vedhæftede filer Vedhæftet fil i skyen Brødtekst i mail Mailheader QR-kode Emne Unknown	✔	✔
Klik på dom	Vælg en eller flere værdier: Tilladt Blok tilsidesat Blokeret Error Fiasko Ingen Afventer dom Afventer dom omgået	✔	✔
URL-trussel	Vælg en eller flere værdier: Malware Phish Spam	✔	✔
Filer
Antal vedhæftede filer	Heltal. Adskil flere værdier med kommaer.	✔	✔
Navn på vedhæftet fil	Tekst. Adskil flere værdier med kommaer.	✔	✔
Filtype	Tekst. Adskil flere værdier med kommaer.	✔	✔
Filtypenavn	Tekst. Adskil flere værdier med kommaer.	✔	✔
Filstørrelse	Heltal. Adskil flere værdier med kommaer.	✔	✔
Godkendelse
SPF	Vælg en eller flere værdier: Svigte Neutral Ingen Pas Permanent fejl Blød fejl Midlertidig fejl	✔	✔
DKIM	Vælg en eller flere værdier: Error Svigte Ignorere Ingen Pas Test Timeout Unknown	✔	✔
DMARC	Vælg en eller flere værdier: Bestået bedste gæt Svigte Ingen Pas Permanent fejl Selektorpas Midlertidig fejl Unknown	✔	✔
Sammensat	Vælg en eller flere værdier: Svigte Ingen Pas Blød gennemløb

Pivoter for diagrammet i Phish-visningen i Threat Explorer og registreringer i realtid

Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

De diagrampivots, der er tilgængelige i Phish-visningen i Threat Explorer og registreringer i realtid, er angivet i følgende tabel:

Pivot	Trussel Opdagelsesrejsende	Realtid Opdagelser
Afsenderdomæne	✔	✔
Afsenders IP	✔
Leveringshandling	✔	✔
Registreringsteknologi	✔	✔
Fuldstændig URL-adresse	✔
URL-domæne	✔	✔
URL-domæne og -sti	✔

De tilgængelige diagrampivots er beskrevet i følgende underafsnit.

Pivotering af afsenderens domænediagram i Phish-visningen i Threat Explorer og registreringer i realtid

Selvom denne pivot ikke ser ud som standard, er domænet Afsender det diagrampivot, der er standard i Phish-visningen i realtidsregistreringer.

Pivotpunktet Afsenderdomæne organiserer diagrammet efter domænerne i meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert afsenderdomæne.

Afsenderens IP-diagrampivot i Phish-visningen i Threat Explorer

Pivot'en Afsenders IP organiserer diagrammet efter kilde-IP-adresserne for meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver kilde-IP-adresse.

Diagrampivot om levering i Phish-visningen i Threat Explorer og registreringer i realtid

Selvom denne pivot ikke ser ud som standard, er Leveringshandling standarddiagrampivottet i Visningen Phish i Threat Explorer.

Pivothandlingen Levering organiserer diagrammet efter de handlinger, der udføres på meddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver leveringshandling.

Pivoter teknologidiagram til registrering i Phish-visningen i Threat Explorer og registreringer i realtid

Pivotken Registreringsteknologi organiserer diagrammet efter den funktion, der identificerede phishing-meddelelserne for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver registreringsteknologi.

Komplet URL-diagrampivot i Phish-visningen i Threat Explorer

Pivotlen Fuld URL-adresse organiserer diagrammet efter de fulde URL-adresser i phishing-meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver fulde URL-adresse.

Pivot for URL-domænediagram i Phish-visningen i Threat Explorer og registreringer i realtid

Pivoten URL-domæne organiserer diagrammet efter domæner i URL-adresser i phishingmeddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne.

Pivot for URL-domæne og stidiagram i Phish-visningen i Threat Explorer

Url-domænet og stipivottet organiserer diagrammet efter domæner og stier i URL-adresser i phishing-meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne og hver sti.

Visninger for detaljeområdet i Phish-visningen i Threat Explorer

De tilgængelige visninger (faner) i detaljeområdet i Phish-visningen er angivet i følgende tabel og er beskrevet i følgende underafsnit.

Vis	Trussel Opdagelsesrejsende	Realtid Opdagelser
E-mail	✔	✔
Klik på URL-adresser	✔	✔
Mest populære URL-adresser	✔	✔
Mest populære klik	✔	✔
Mest målrettede brugere	✔
Oprindelse af mail	✔
Kampagne	✔

Mailvisning for detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid

Mail er standardvisningen for detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid.

Visningen Mail viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises.

I følgende tabel vises de kolonner, der er tilgængelige i Threat Explorer og registreringer i realtid. Standardværdierne er markeret med en stjerne (^*).

Kolonne	Trussel Opdagelsesrejsende	Realtid Opdagelser
Dato*	✔	✔
Emne*	✔	✔
Modtager*	✔	✔
Modtagerdomæne	✔	✔
Tags*	✔
Afsenderadresse*	✔	✔
Afsenders viste navn	✔	✔
Afsenderdomæne*	✔	✔
Afsenders IP	✔	✔
Afsenderpost fra adresse	✔	✔
Afsenderpost fra domæne	✔	✔
Yderligere handlinger*	✔	✔
Leveringshandling	✔	✔
Seneste leveringsplacering*	✔	✔
Oprindelig leveringsplacering*	✔	✔
Systemet tilsidesætter kilden	✔	✔
Systemtilsidesættelser	✔	✔
Besked-id	✔	✔
Id for internetmeddelelse	✔	✔
Netværksmeddelelses-id	✔	✔
Mailsprog	✔	✔
Exchange-transportregel	✔
Stik	✔
Phish konfidensniveau	✔
Sammenhæng	✔
Regel for forebyggelse af datatab	✔
Trusselstype*	✔	✔
Registreringsteknologi	✔	✔
Antal vedhæftede filer	✔	✔
Antal URL-adresser	✔	✔
Mailstørrelse	✔	✔

Tip

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

• Rul vandret i webbrowseren.
• Begræns bredden af de relevante kolonner.
• Fjern kolonner fra visningen.
• Zoom ud i webbrowseren.

Brugerdefinerede kolonneindstillinger gemmes pr. bruger. Brugerdefinerede kolonneindstillinger i Incognito- eller InPrivate-browsertilstand gemmes, indtil du lukker webbrowseren.

Når du vælger en eller flere poster på listen ved at markere afkrydsningsfeltet ud for den første kolonne, er handlingen Udfør tilgængelig. Du kan finde flere oplysninger under Trusselsjagt: E-mailafhjælpning.

Når du klikker på værdierne Emne eller Modtager i en post, åbnes der detaljerede pop op-vinduet. Disse pop op-vindue er beskrevet i følgende underafsnit.

Mailoplysninger fra mailvisningen i detaljeområdet i Phish-visningen

Når du vælger emneværdien for en post i tabellen, åbnes der et pop op-vindue med mailoplysninger. Dette pop op-vindue med detaljer er kendt som panelet Mailoversigt og indeholder standardiserede oversigtsoplysninger, der også er tilgængelige på enhedssiden Mail for meddelelsen.

Du kan finde oplysninger om oplysningerne i panelet Mailoversigt i panelet Mailoversigt i Defender for Office 365 funktioner.

De tilgængelige handlinger øverst i panelet Mailoversigt for Trusselsstifinder og registreringer i realtid er beskrevet i mailoplysningerne fra visningen Mail i detaljeområdet i visningen Alle mails.

Modtageroplysninger fra mailvisningen i detaljeområdet i Phish-visningen

Når du vælger en post ved at klikke på værdien Modtager , åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet i Modtageroplysninger fra visningen Mail i detaljeområdet i visningen Alle mails.

URL-klikvisning for detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid

Visningen MED URL-klik viser et diagram, der kan organiseres ved hjælp af pivots. Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

De diagrampivots, der er tilgængelige i visningen Malware i Threat Explorer og registreringer i realtid, er beskrevet i følgende tabel:

Pivot	Trussel Opdagelsesrejsende	Realtid Opdagelser
URL-domæne	✔	✔
Klik på dom	✔	✔
URL-adresse	✔
URL-domæne og -sti	✔

De samme diagrampivots er tilgængelige og beskrevet for mailvisningen Alle i Threat Explorer:

• Url-domænepivot for VISNINGEN URL-klik for detaljeområdet i visningen Alle mail i Threat Explorer
• Pivot for klik på dom for visning af URL-klik for detaljeområdet i visningen Alle mails i Threat Explorer
• URL-pivot for visning af URL-klik for detaljeområdet i visningen Alle mails i Threat Explorer
• URL-domæne og stipivot for visning af URL-klik for detaljeområdet i visningen Alle mail i Threat Explorer

Tip

I Threat Explorer har hver pivot i visning af URL-klik handlingen Vis alle klik , der åbner visningen URL-klik i Threat Explorer på en ny fane. Denne handling er ikke tilgængelig i realtidsregistreringer, fordi URL-klikvisningen ikke er tilgængelig i registreringer i realtid.

Øverste VISNING af URL-adresser for detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid

Visningen Øverste URL-adresser viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift:

• URL-adresse
• Blokerede meddelelser
• Meddelelser, der er uønsket
• Meddelelser er leveret

Oplysninger om de vigtigste URL-adresser til Phish-visningen

Når du markerer en post ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet i Oplysninger om de øverste URL-adresser for visningen Alle mail.

Tip

Handlingen Gå på jagt er kun tilgængelig i Threat Explorer. Den er ikke tilgængelig i realtidsregistreringer.

Visning med de mest populære klik for detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid

Visningen Top clicks viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift:

• URL-adresse
• Blokeret
• Tilladt
• Blok tilsidesat
• Afventer dom
• Afventer dom omgået
• Ingen
• Fejlside
• Fiasko

Tip

Alle tilgængelige kolonner er markeret. Hvis du vælger Tilpas kolonner, kan du ikke fravælge nogen kolonner.

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

• Rul vandret i webbrowseren.
• Begræns bredden af de relevante kolonner.
• Zoom ud i webbrowseren.

Når du markerer en post ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet i Oplysninger om de øverste URL-adresser for visningen Alle mail.

Visning af de mest målrettede brugere for detaljeområdet i Phish-visningen i Threat Explorer

Visningen De mest målrettede brugere organiserer dataene i en tabel med de øverste fem modtagere, der blev målrettet efter phishingforsøg. Tabellen viser:

• Mest målrettede brugere: Mailadressen på den mest målrettede bruger. Hvis du vælger en mailadresse, åbnes der et pop op-vindue med detaljer. Oplysningerne i pop op-vinduet er de samme som beskrevet i visningen Topmålbrugere for detaljeområdet i mailvisningen Alle i Threat Explorer.

• Antallet af forsøg: Hvis du vælger antallet af forsøg, åbnes Threat Explorer i en ny fane, der er filtreret af malwarefamilienavnet.

Tip

Brug Eksportér til at eksportere listen over op til 3000 brugere og de tilsvarende forsøg.

Mail oprindelsesvisning for detaljeområdet i Phish-visningen i Threat Explorer

Visningen Mail oprindelse viser meddelelseskilder på et kort over verden.

Kampagnevisning for detaljeområdet i Phish-visningen i Threat Explorer

Visningen Kampagne viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift.

Oplysningerne i tabellen er de samme som beskrevet i detaljetabellen på siden Kampagner.

Når du vælger en post ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for Navn, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet under Kampagneoplysninger.

Visningen Kampagner i Threat Explorer

Visningen Kampagner i Threat Explorer viser oplysninger om trusler, der blev identificeret som koordinerede phishing- og malwareangreb, enten specifikke for din organisation eller for andre organisationer i Microsoft 365.

Hvis du vil åbne visningen Kampagner på siden Stifinder på Defender-portalen på https://security.microsoft.com, skal du gå til fanen Mail & samarbejde>MedExplorer-kampagner>. Du kan også gå direkte til siden Stifinder ved hjælp af https://security.microsoft.com/threatexplorerv3og derefter vælge fanen Kampagner.

Alle tilgængelige oplysninger og handlinger er identiske med oplysningerne og handlingerne på siden Kampagner på https://security.microsoft.com/campaignsv3. Du kan få flere oplysninger på siden Kampagner på portalen Microsoft Defender.

Indholdsmalwarevisning i Threat Explorer og registreringer i realtid

Visningen Indholdsmalware i Threat Explorer og registreringer i realtid viser oplysninger om filer, der blev identificeret som malware af:

• Indbygget virusbeskyttelse i SharePoint, OneDrive og Microsoft Teams
• Sikre vedhæftede filer til SharePoint, OneDrive og Microsoft Teams.

Benyt en af følgende fremgangsmåder for at åbne visningen Indholdsmalware :

• Threat Explorer: På siden Stifinder på Defender-portalen på https://security.microsoft.comskal du gå til fanen Mail &samarbejdsstifinder>>indholdsmalware. Du kan også gå direkte til siden Stifinder ved hjælp af https://security.microsoft.com/threatexplorerv3og derefter vælge fanen Indholdsmalware.
• Registreringer i realtid: Gå til fanen Mail & samarbejde>explorer>indholdsmalware på siden Registreringer i realtid på Defender-portalen på https://security.microsoft.com. Du kan også gå direkte til siden Registreringer i realtid ved hjælp af https://security.microsoft.com/realtimereportsv3og derefter vælge fanen Indholdsmalware.

Egenskaber, der kan filtreres, i visningen Indholdsmalware i Threat Explorer og registreringer i realtid

Der anvendes som standard ingen egenskabsfiltre på dataene. Trinnene til oprettelse af filtre (forespørgsler) er beskrevet i afsnittet Filtre i Threat Explorer og registreringer i realtid senere i denne artikel.

De egenskaber, der kan filtreres, og som er tilgængelige i feltet Filnavn i visningen Indholdsmalware i Threat Explorer og registreringer i realtid, er beskrevet i følgende tabel:

Egenskab	Type	Trussel Opdagelsesrejsende	Realtid Opdagelser
Filer
Filnavn	Tekst. Adskil flere værdier med kommaer.	✔	✔
Arbejdsbyrde	Vælg en eller flere værdier: OneDrive SharePoint Teams	✔	✔
Websted	Tekst. Adskil flere værdier med kommaer.	✔	✔
Filejer	Tekst. Adskil flere værdier med kommaer.	✔	✔
Senest ændret af	Tekst. Adskil flere værdier med kommaer.	✔	✔
SHA256	Heltal. Adskil flere værdier med kommaer. Hvis du vil finde SHA256-hashværdien for en fil, skal du køre følgende kommando i PowerShell: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256.	✔	✔
Malwarefamilie	Tekst. Adskil flere værdier med kommaer.	✔	✔
Registreringsteknologi	Vælg en eller flere værdier: Avanceret filter Beskyttelse modmalware Bulk Kampagne Domæneomdømme Fildeonation Omdømme for fildeonation Filomdømme Matchende fingeraftryk Generelt filter Repræsentationsmærke Repræsentationsdomæne Repræsentationsbruger IP-omdømme Repræsentation af postkasseintelligens Registrering af blandet analyse spoof DMARC Spoof eksternt domæne Spoof intra-org URL-detonation URL-detonationsomdømme Skadeligt omdømme for URL-adresse	✔	✔
Trusselstype	Vælg en eller flere værdier: Bloker Malware Phish Spam	✔	✔

Pivoter for diagrammet i visningen Indholdsmalware i Threat Explorer og registreringer i realtid

Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

De diagrampivots, der er tilgængelige i visningen Indholdsmalware i Threat Explorer og registreringer i realtid, er angivet i følgende tabel:

Pivot	Trussel Opdagelsesrejsende	Realtid Opdagelser
Malwarefamilie	✔	✔
Registreringsteknologi	✔	✔
Arbejdsbyrde	✔	✔

De tilgængelige diagrampivots er beskrevet i følgende underafsnit.

Diagram over malwarefamiliediagram i visningen Indholdsmalware i Threat Explorer og registreringer i realtid

Selvom denne pivot ikke ser ud som standard, er malwarefamilie standarddiagrampivottet i visningen Indholdsmalware i Threat Explorer og registreringer i realtid.

Pivottabellen Malwarefamilie organiserer diagrammet efter den malware, der er identificeret i filer i SharePoint, OneDrive og Microsoft Teams, ved hjælp af det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver malwarefamilie.

Registrering af teknologidiagram pivoteres i visningen indholdsmalware i Threat Explorer og registreringer i realtid

I teknologipivotten Registrering organiseres diagrammet efter den funktion, der identificerer malware i filer i SharePoint, OneDrive og Microsoft Teams for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver registreringsteknologi.

Pivotering af arbejdsbelastningsdiagram i visningen indholdsmalware i Threat Explorer og registreringer i realtid

Pivoten Arbejdsbelastning organiserer diagrammet efter, hvor malwaren blev identificeret (SharePoint, OneDrive eller Microsoft Teams) for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver arbejdsbelastning.

Visninger for detaljeområdet i visningen indholdsmalware i Threat Explorer og registreringer i realtid

I Threat Explorer og registreringer i realtid indeholder detaljeområdet i visningen indholdsmalware kun én visning (fane) med navnet Dokumenter. Denne visning er beskrevet i følgende undersektion.

Dokumentvisning for detaljeområdet i indholdsmalwarevisningen i Threat Explorer og registreringer i realtid

Dokumentet er standardvisning og kun visning for detaljeområdet i visningen Indholdsmalware .

Visningen Dokument viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (^*):

• Dato^*
• Navn^*
• Arbejdsbyrde^*
• Trussel^*
• Registreringsteknologi^*
• Seneste ændring af bruger^*
• Filejer^*
• Størrelse (byte)^*
• Tidspunkt for seneste ændring
• Sti til websted
• Filsti
• Dokument-id
• SHA256
• Registreret dato
• Malwarefamilie
• Sammenhæng

Tip

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

• Rul vandret i webbrowseren.
• Begræns bredden af de relevante kolonner.
• Fjern kolonner fra visningen.
• Zoom ud i webbrowseren.

Brugerdefinerede kolonneindstillinger gemmes pr. bruger. Brugerdefinerede kolonneindstillinger i Incognito- eller InPrivate-browsertilstand gemmes, indtil du lukker webbrowseren.

Når du vælger en værdi for filnavnet i kolonnen Navn , åbnes der et detaljeret pop op-vindue. Pop op-vinduet indeholder følgende oplysninger:

• Oversigtssektion :

  • Filnavn
  • Sti til websted
  • Filsti
  • Dokument-id
  • SHA256
  • Seneste ændringsdato
  • Senest ændret af
  • Trussel
  • Registreringsteknologi

• Detaljesektion :

  • Registreret dato
  • Registreret af
  • Malwarenavn
  • Senest ændret af
  • Filstørrelse
  • Filejer

• Maillistesektion : En tabel, der viser følgende relaterede oplysninger for meddelelser, der indeholder malwarefilen:

  • Dato
  • Emne
  • Modtager

  Vælg Vis alle mails for at åbne Threat Explorer på en ny fane, der er filtreret efter malwarefamilienavnet.

• Seneste aktivitet: Viser de opsummerede resultater af en søgning i overvågningsloggen for modtageren:

  • Dato
  • IP-adresse
  • Aktivitet
  • Element

  Hvis modtageren har mere end tre overvågningslogposter, skal du vælge Vis alle seneste aktiviteter for at se dem alle.

  Tip

  Medlemmer af rollegruppen Sikkerhedsadministratorer i Mail & samarbejdstilladelser kan ikke udvide sektionen Seneste aktivitet . Du skal være medlem af en rollegruppe i Exchange Online tilladelser, der har tildelt rollerne Overvågningslogge, Information Protection analytiker eller Information Protection Efterforsker. Disse roller tildeles som standard til rollegrupperne Datastyring, Overholdelsesstyring, Information Protection, Information Protection Analytikere, Information Protection Efterforskere og Organisationsadministration. Du kan føje medlemmer af sikkerhedsadministratorer til disse rollegrupper, eller du kan oprette en ny rollegruppe med rollen Overvågningslogge tildelt.

Visning af URL-klik i Threat Explorer

Visningen MED URL-klik i Threat Explorer viser alle bruger klik på URL-adresser i mail, i understøttede Office-filer i SharePoint og OneDrive og i Microsoft Teams.

Hvis du vil åbne URL-adressens klikvisning på siden Stifinder i Defender-portalen på https://security.microsoft.com, skal du gå til Mail &klikpå URL-adresse tilsamarbejdsstifinder>>. Du kan også gå direkte til siden Stifinder ved hjælp af https://security.microsoft.com/threatexplorerv3og derefter vælge fanen URL-adresser klik.

Egenskaber, der kan filtreres, i visningen med URL-klik i Threat Explorer

Der anvendes som standard ingen egenskabsfiltre på dataene. Trinnene til oprettelse af filtre (forespørgsler) er beskrevet i afsnittet Filtre i Threat Explorer og registreringer i realtid senere i denne artikel.

De egenskaber, der kan filtreres, og som er tilgængelige i feltet Modtagere i visningen URL-klik i Threat Explorer, er beskrevet i følgende tabel:

Egenskab	Type
Basic
Modtagere	Tekst. Adskil flere værdier med kommaer.
Mærker	Tekst. Adskil flere værdier med kommaer. Du kan få flere oplysninger om brugerkoder under Brugerkoder.
Netværksmeddelelses-id	Tekst. Adskil flere værdier med kommaer. En GUID-værdi, der er tilgængelig i headerfeltet X-MS-Exchange-Organization-Network-Message-Id i brevhovedet.
URL-adresse	Tekst. Adskil flere værdier med kommaer.
Klikhandling	Vælg en eller flere værdier: Tilladt Blokside Tilsidesættelse af blokside Fejlside Fiasko Ingen Ventende detonationsside Tilsidesættelse af ventende detonationsside
Trusselstype	Vælg en eller flere værdier: Tillad Bloker Malware Phish Spam
Registreringsteknologi	Vælg en eller flere værdier: URL-detonation URL-detonationsomdømme Skadeligt omdømme for URL-adresse
Klik på id	Tekst. Adskil flere værdier med kommaer.
Klient-IP	Tekst. Adskil flere værdier med kommaer.

Pivoter for diagrammet i visningen url-klik i Threat Explorer

Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

De tilgængelige diagrampivots er beskrevet i følgende underafsnit.

Pivot for URL-domænediagram i visningen URL-klik i Threat Explorer

Selvom denne pivot ikke ser ud som standard, er URL-domænet standarddiagrampivot i VISNINGEN URL-klik .

Pivotken for URL-domænet organiserer diagrammet efter domæner i URL-adresser, som brugerne har klikket på i mail, Office-filer eller Microsoft Teams for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne.

Pivot i arbejdsbelastningsdiagram i visningen URL-klik i Threat Explorer

Pivoten Arbejdsbelastning organiserer diagrammet efter placeringen af den url-adresse, der klikkes på (mail, Office-filer eller Microsoft Teams) for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver arbejdsbelastning.

Pivot for registrering af teknologidiagram i visningen af URL-klik i Threat Explorer

I teknologipivotten Registrering organiseres diagrammet efter den funktion, der identificerede URL-klik i mail, Office-filer eller Microsoft Teams for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver registreringsteknologi.

Pivot for trusselstypediagram i visningen URL-klik i Threat Explorer

Pivoten Trusselstype organiserer diagrammet efter resultaterne for url-adresser, der er klikket på, i mail, Office-filer eller Microsoft Teams for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver teknologi af trusselstypen.

Visninger for detaljeområdet for visningen af URL-klik i Threat Explorer

De tilgængelige visninger (faner) i detaljeområdet i URL-klikvisningen er beskrevet i følgende underafsnit.

Resultatvisning for detaljeområdet i visningen URL-klik i Threat Explorer

Resultater er standardvisningen for detaljeområdet i VISNINGEN URL-klik .

Visningen Resultater viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle kolonner er som standard markeret:

• Tidspunkt, der klikkes på
• Modtager
• Klikhandling for URL-adresse
• URL-adresse
• Mærker
• Netværksmeddelelses-id
• Klik på id
• Klient-IP
• URL-kæde
• Trusselstype
• Registreringsteknologi

Tip

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

• Rul vandret i webbrowseren.
• Begræns bredden af de relevante kolonner.
• Fjern kolonner fra visningen.
• Zoom ud i webbrowseren.

Brugerdefinerede kolonneindstillinger gemmes pr. bruger. Brugerdefinerede kolonneindstillinger i Incognito- eller InPrivate-browsertilstand gemmes, indtil du lukker webbrowseren.

Vælg en eller poster ved at markere afkrydsningsfeltet ud for den første kolonne i rækken, og vælg derefter Vis alle mails for at åbne Threat Explorer i visningen Alle mails i en ny fane, der er filtreret efter værdierne for netværksmeddelelses-id'et for de valgte meddelelser.

Visning af de mest populære klik for detaljeområdet i visningen URL-klik i Threat Explorer

Visningen Top clicks viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift:

• URL-adresse
• Blokeret
• Tilladt
• Blok tilsidesat
• Afventer dom
• Afventer dom omgået
• Ingen
• Fejlside
• Fiasko

Tip

Alle tilgængelige kolonner er markeret. Hvis du vælger Tilpas kolonner, kan du ikke fravælge nogen kolonner.

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

• Rul vandret i webbrowseren.
• Begræns bredden af de relevante kolonner.
• Zoom ud i webbrowseren.

Vælg en post ved at markere afkrydsningsfeltet ud for den første kolonne i rækken, og vælg derefter Vis alle klik for at åbne Threat Explorer på en ny fane i visningen URL-klik.

Når du markerer en post ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet i Oplysninger om de øverste URL-adresser for visningen Alle mail.

Visning af de mest målrettede brugere for detaljeområdet i visningen URL-klik i Threat Explorer

Visningen De mest målrettede brugere organiserer dataene i en tabel med de øverste fem modtagere, der har klikket på URL-adresser. Tabellen viser:

• Mest målrettede brugere: Mailadressen på den mest målrettede bruger. Hvis du vælger en mailadresse, åbnes der et pop op-vindue med detaljer. Oplysningerne i pop op-vinduet er de samme som beskrevet i visningen Topmålbrugere for detaljeområdet i mailvisningen Alle i Threat Explorer.

• Antallet af forsøg: Hvis du vælger antallet af forsøg, åbnes Threat Explorer i en ny fane, der er filtreret af malwarefamilienavnet.

Tip

Brug Eksportér til at eksportere listen over op til 3000 brugere og de tilsvarende forsøg.

Egenskabsfiltre i Trusselsoversigt og registreringer i realtid

Den grundlæggende syntaks for et egenskabsfilter/en egenskabsforespørgsel er:

Condition = <Filter property><Filter operator><Egenskabsværdi eller værdier>

Flere betingelser bruger følgende syntaks:

<Betingelse1><OG | OR-betingelse2><><OG | OR-betingelse3><>... <OG | OR-betingelsen><>

Tip

Jokertegnsøgninger (**** eller ?) understøttes ikke i tekst- eller heltalsværdier. Egenskaben Subject bruger delvis tekstmatch og giver resultater, der svarer til en jokertegnsøgning.

Trinnene til oprettelse af betingelser for egenskabsfilter/-forespørgsel er de samme i alle visninger i Threat Explorer og registreringer i realtid:

1. Identificer filteregenskaben ved hjælp af tabellerne i afsnittene med beskrivelse af eksempelvisning tidligere i denne artikel.

2. Vælg en tilgængelig filteroperator. De tilgængelige filteroperatorer afhænger af egenskabstypen som beskrevet i følgende tabel:

   Filteroperator	Egenskabstype
   Lig med en hvilken som helst af	Tekst Heltal Diskrete værdier
   Lig med ingen af	Tekst Diskrete værdier
   Større end	Heltal
   Mindre end	Heltal

3. Angiv eller vælg en eller flere egenskabsværdier. I forbindelse med tekstværdier og heltal kan du indtaste flere værdier adskilt af kommaer.

   Flere værdier i egenskabsværdien bruger den logiske operator OR. Afsenderadressen> er f.eks.lig med en hvilken som helst af>bob@fabrikam.com,cindy@fabrikam.com betyder Afsenderadresse>lig med eller>bob@fabrikam.comcindy@fabrikam.com.

   Når du har angivet eller valgt en eller flere egenskabsværdier, vises den fuldførte filterbetingelse under felterne til oprettelse af filtre.

   Tip

   For egenskaber, der kræver, at du vælger en eller flere tilgængelige værdier, har brugen af egenskaben i filterbetingelsen med alle de valgte værdier det samme resultat som ikke at bruge egenskaben i filterbetingelsen.

4. Gentag de forrige tre trin for at tilføje endnu en betingelse.

   Betingelserne under felterne til oprettelse af filtre er adskilt af den logiske operator, der blev valgt på det tidspunkt, du oprettede den anden eller efterfølgende betingelse. Standardværdien er AND, men du kan også vælge ELLER.

   Den samme logiske operator bruges mellem alle betingelser: De er alle AND , eller de er alle OR. Hvis du vil ændre de eksisterende logiske operatorer, skal du vælge det logiske operatorfelt og derefter vælge OG eller ELLER.

   Hvis du vil redigere en eksisterende betingelse, skal du dobbeltklikke på den for at hente den valgte egenskab, filteroperator og værdier tilbage til de tilsvarende felter.

   Hvis du vil fjerne en eksisterende betingelse, skal du vælge betingelsen.

5. Hvis du vil anvende filteret på diagrammet og detaljetabellen, skal du vælge Opdater

   

Gemte forespørgsler i Threat Explorer

Tip

Gem forespørgsel er en del af Trusselssporing og er ikke tilgængelig i registreringer i realtid. Gemte forespørgsler og Trusselssporing er kun tilgængelige i Defender for Office 365 Plan 2.

Lagringsforespørgslen er ikke tilgængelig i visningen Indholdsmalware.

De fleste visninger i Threat Explorer giver dig mulighed for at gemme filtre (forespørgsler) til senere brug. Gemte forespørgsler er tilgængelige på siden Threat tracker på Defender-portalen på https://security.microsoft.com/threattrackerv2. Du kan finde flere oplysninger om Trusselssporing i Trusselssporing i Microsoft Defender for Office 365 Plan 2.

Hvis du vil gemme forespørgsler i Threat Explorer, skal du gøre følgende:

1. Når du har oprettet filteret/forespørgslen som tidligere beskrevet, skal du vælge Gem forespørgsel Gem forespørgsel>.

2. Konfigurer følgende indstillinger i pop op-vinduet Gem forespørgsel , der åbnes:

   • Forespørgselsnavn: Angiv et entydigt navn til forespørgslen.
   • Vælg en af følgende indstillinger:
     • Nøjagtige datoer: Vælg en startdato og en slutdato i felterne. Den ældste startdato, du kan vælge, er 30 dage før dags dato. Den nyeste slutdato, du kan vælge, er i dag.
     • Relative datoer: Vælg antallet af dage i Vis seneste nn dage, når søgningen køres. Standardværdien er 7, men du kan vælge 1 til 30.
   • Spor forespørgsel: Denne indstilling er som standard ikke valgt. Denne indstilling påvirker, om forespørgslen kører automatisk:
     • Spor forespørgslen er ikke valgt: Forespørgslen er tilgængelig, så du kan køre den manuelt i Threat Explorer. Forespørgslen gemmes under fanen Gemte forespørgsler på siden Threat Tracker med egenskabsværdien Nej for sporede forespørgsler.
     • Spor den valgte forespørgsel : Forespørgslen kører jævnligt i baggrunden. Forespørgslen er tilgængelig på fanen Gemte forespørgsler på siden Threat Tracker med egenskabsværdien Sporet forespørgselJa. De periodiske resultater af forespørgslen vises på fanen Sporede forespørgsler på siden Trusselssporing .

   Når du er færdig i pop op-vinduet Gem forespørgsel , skal du vælge Gem og derefter vælge OK i bekræftelsesdialogboksen.

På fanerne Gemt forespørgsel eller Sporet forespørgsel på siden Trusselssporing på Defender-portalen på https://security.microsoft.com/threattrackerv2kan du vælge Udforsk i kolonnen Handlinger for at åbne og bruge forespørgslen i Threat Explorer.

Når du åbner forespørgslen ved at vælge Udforsk på siden Trusselssporing, er indstillingerne Gem forespørgsel som og Gemt forespørgsel nu tilgængelige i Gem forespørgsel på siden Stifinder:

• Hvis du vælger Gem forespørgsel som, åbnes pop op-vinduet Gem forespørgsel med alle tidligere valgte indstillinger. Hvis du foretager ændringer, vælger Gem og derefter vælger OK i dialogboksen Udført , gemmes den opdaterede forespørgsel som en ny forespørgsel på siden Trusselssporing (du skal muligvis vælge Opdater for at se den).

• Hvis du vælger Indstillinger for gemt forespørgsel, åbnes pop op-vinduet Gemte forespørgselsindstillinger , hvor du kan opdatere datoen og spore forespørgselsindstillingerne for den eksisterende forespørgsel.

Flere oplysninger

• Threat Explorer indsamler mailoplysninger på siden Mailobjekt
• Find og undersøg ondsindet mail, der blev leveret
• Få vist skadelige filer, der er registreret i SharePoint Online, OneDrive og Microsoft Teams
• Statusrapport om trusselsbeskyttelse
• Automatiseret undersøgelse og svar i Microsoft Threat Protection