Informationen zu bedrohungsbasierten Explorer und Echtzeiterkennungen in Microsoft Defender for Office 365
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Microsoft 365-Organisationen, die Microsoft Defender for Office 365 in ihrem Abonnement enthalten oder als Add-On erworben haben, verfügen über Explorer (auch als Bedrohungs-Explorer bezeichnet) oder Echtzeiterkennungen. Diese Features sind leistungsstarke Berichterstellungstools nahezu in Echtzeit, mit denen Security Operations-Teams (SecOps) Bedrohungen untersuchen und darauf reagieren können.
Abhängig von Ihrem Abonnement sind Explorer Bedrohungserkennungen oder Echtzeiterkennungen im Abschnitt Email & Zusammenarbeit im Microsoft Defender-Portal unter https://security.microsoft.comverfügbar:
Echtzeiterkennungen sind in Defender for Office 365 Plan 1 verfügbar. Die Seite Echtzeiterkennungen ist direkt unter https://security.microsoft.com/realtimereportsv3verfügbar.
Threat Explorer ist in Defender for Office 365 Plan 2 verfügbar. Die Seite Explorer ist direkt unter https://security.microsoft.com/threatexplorerv3verfügbar.
Threat Explorer enthält die gleichen Informationen und Funktionen wie Echtzeiterkennungen, aber mit den folgenden zusätzlichen Features:
- Weitere Ansichten.
- Weitere Optionen zum Filtern von Eigenschaften, einschließlich der Option zum Speichern von Abfragen.
- Weitere Aktionen.
Weitere Informationen zu den Unterschieden zwischen Defender for Office 365 Plan 1 und Plan 2 finden Sie im Spickzettel Defender for Office 365 Plan 1 vs. Plan 2.
Im weiteren Verlauf dieses Artikels werden die Ansichten und Features erläutert, die unter Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar sind.
Tipp
Informationen zu E-Mail-Szenarien mit Bedrohungserkennungen Explorer und Echtzeiterkennungen finden Sie in den folgenden Artikeln:
Berechtigungen und Lizenzierung für Bedrohungserkennungen Explorer und Echtzeiterkennungen
Um Explorer- oder Echtzeiterkennungen verwenden zu können, müssen Ihnen Berechtigungen zugewiesen werden. Sie haben folgende Optionen:
-
Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell):
- Lesezugriff für E-Mail- und Teams-Nachrichtenheader: Sicherheitsvorgänge/Rohdaten (E-Mail & Zusammenarbeit)/Email & Metadaten für die Zusammenarbeit (lesen).
- Vorschau und Herunterladen von E-Mail-Nachrichten: Sicherheitsvorgänge/Rohdaten (E-Mail & Zusammenarbeit)/Email & Zusammenarbeitsinhalte (lesen).
- Beheben schädlicher E-Mails: Sicherheitsvorgänge/Sicherheitsdaten/Email & erweiterte Aktionen für die Zusammenarbeit (Verwalten).
-
Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal:
-
Vollzugriff: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator . Für alle verfügbaren Aktionen sind weitere Berechtigungen erforderlich:
- Vorschau und Herunterladen von Nachrichten: Erfordert die Vorschaurolle , die standardmäßig nur den Rollengruppen Datenermittler oder eDiscovery-Manager zugewiesen ist. Alternativ können Sie eine neue Rollengruppe mit zugewiesener Vorschaurolle erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
- Verschieben von Nachrichten in Postfächern und Löschen von Nachrichten aus Postfächern: Erfordert die Rolle Suchen und Bereinigen , die standardmäßig nur den Rollengruppen Datenermittler oder Organisationsverwaltung zugewiesen ist. Alternativ können Sie eine neue Rollengruppe mit zugewiesener Rolle Suchen und Löschen erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
- Schreibgeschützter Zugriff: Mitgliedschaft in der Rollengruppe "Sicherheitsleseberechtigter ".
-
Vollzugriff: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator . Für alle verfügbaren Aktionen sind weitere Berechtigungen erforderlich:
-
Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in diesen Rollen erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365:
Vollzugriff: Mitgliedschaft in der Rolle "Globaler Administrator* " oder "Sicherheitsadministrator ".
Suchen Sie nach Exchange-Nachrichtenflussregeln (Transportregeln) anhand des Namens in Threat Explorer: Mitgliedschaft in den Rollen "Sicherheitsadministrator" oder "Sicherheitsleseberechtigter".
Schreibgeschützter Zugriff: Mitgliedschaft in der Rolle "Globaler Leser " oder "Sicherheitsleseberechtigter ".
Wichtig
* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Tipp
Spambenachrichtigungen von Endbenutzern und vom System generierte Nachrichten sind in Threat Explorer nicht verfügbar. Diese Nachrichtentypen sind verfügbar, wenn eine Nachrichtenflussregel (auch als Transportregel bezeichnet) überschrieben werden soll.
Überwachungsprotokolleinträge werden generiert, wenn Administratoren eine Vorschau anzeigen oder E-Mail-Nachrichten herunterladen. Sie können das Administratorüberwachungsprotokoll nach Benutzer nach AdminMailAccess-Aktivität durchsuchen. Anweisungen finden Sie unter Überwachen der neuen Suche.
Um Bedrohungs- Explorer- oder Echtzeiterkennungen verwenden zu können, muss Ihnen eine Lizenz für Defender for Office 365 zugewiesen werden (in Ihrem Abonnement oder in einer Add-On-Lizenz enthalten).
Bedrohungserkennungen Explorer oder Echtzeiterkennungen enthalten Daten für Benutzer, denen Defender for Office 365 Lizenzen zugewiesen sind.
Elemente von Bedrohungs- Explorer und Echtzeiterkennungen
Bedrohungserkennungen Explorer und Echtzeiterkennungen enthalten die folgenden Elemente:
Ansichten: Registerkarten oben auf der Seite, die Erkennungen nach Bedrohung organisieren. Die Ansicht wirkt sich auf die restlichen Daten und Optionen auf der Seite aus.
In der folgenden Tabelle sind die verfügbaren Ansichten unter Bedrohungserkennungen Explorer und Echtzeiterkennungen aufgeführt:
Anzeigen Bedrohung
ExplorerEchtzeit
EntdeckungenBeschreibung Alle E-Mails ✔ Standardansicht für threat Explorer. Informationen zu allen E-Mail-Nachrichten, die von externen Benutzern an Ihre organization (eingehend) gesendet werden, E-Mail-Nachrichten, die von internen Benutzern in Ihrem organization an externe Benutzer (ausgehend) gesendet werden, und E-Mail-Nachrichten, die zwischen internen Benutzern in Ihrem organization (organisationsintern) gesendet werden. Schadsoftware ✔ ✔ Standardansicht für Echtzeiterkennungen. Informationen zu E-Mail-Nachrichten, die Schadsoftware enthalten. Phishing ✔ ✔ Informationen zu E-Mail-Nachrichten, die Phishing-Bedrohungen enthalten. Feldzüge ✔ Informationen zu schädlichen E-Mails, die Defender for Office 365 Plan 2 als Teil einer koordinierten Phishing- oder Schadsoftwarekampagne identifiziert wurden. Schadsoftware für Inhalte ✔ ✔ Informationen zu schädlichen Dateien, die von den folgenden Features erkannt werden: URL-Klicks ✔ Informationen zu Benutzerklicks auf URLs in E-Mail-Nachrichten, Teams-Nachrichten, SharePoint-Dateien und OneDrive-Dateien. Diese Ansichten werden in diesem Artikel ausführlich beschrieben, einschließlich der Unterschiede zwischen Bedrohungserkennungen Explorer und Echtzeiterkennungen.
Datums-/Uhrzeitfilter: Standardmäßig wird die Ansicht nach gestern und heute gefiltert. Um den Datumsfilter zu ändern, wählen Sie den Datumsbereich und dann Startdatum und Enddatum werte vor 30 Tagen aus.
Eigenschaftenfilter (Abfragen):Filtern Sie die Ergebnisse in der Ansicht nach den verfügbaren Nachrichten-, Datei- oder Bedrohungseigenschaften. Die verfügbaren filterbaren Eigenschaften hängen von der Ansicht ab. Einige Eigenschaften sind in vielen Ansichten verfügbar, während andere Eigenschaften auf eine bestimmte Ansicht beschränkt sind.
Die verfügbaren Eigenschaftenfilter für jede Ansicht sind in diesem Artikel aufgeführt, einschließlich der Unterschiede zwischen Bedrohungserkennungen Explorer und Echtzeiterkennungen.
Anweisungen zum Erstellen von Eigenschaftenfiltern finden Sie unter Eigenschaftenfilter in Bedrohungs- Explorer und Echtzeiterkennungen.
Mit Threat Explorer können Sie Abfragen zur späteren Verwendung speichern, wie im Abschnitt Gespeicherte Abfragen in Threat Explorer beschrieben.
Diagramme: Jede Ansicht enthält eine visuelle, aggregierte Darstellung der gefilterten oder ungefilterten Daten. Sie können verfügbare Pivots verwenden, um das Diagramm auf unterschiedliche Weise zu organisieren.
Häufig können Sie Diagrammdaten exportieren verwenden, um gefilterte oder ungefilterte Diagrammdaten in eine CSV-Datei zu exportieren.
Die Diagramme und verfügbaren Pivots werden in diesem Artikel ausführlich beschrieben, einschließlich der Unterschiede zwischen Bedrohungserkennungen Explorer und Echtzeiterkennungen.
Tipp
Um das Diagramm von der Seite zu entfernen (wodurch die Größe des Detailbereichs maximiert wird), verwenden Sie eine der folgenden Methoden:
- Wählen Sie oben auf der Seite Diagrammansicht>Listenansicht aus.
- Wählen Sie Listenansicht zwischen dem Diagramm und dem Detailbereich anzeigen aus.
Detailbereich: Der Detailbereich für eine Ansicht zeigt in der Regel eine Tabelle an, die die gefilterten oder ungefilterten Daten enthält. Sie können die verfügbaren Ansichten (Registerkarten) verwenden, um die Daten im Detailbereich auf unterschiedliche Weise zu organisieren. Beispielsweise kann eine Ansicht Diagramme, Karten oder andere Tabellen enthalten.
Wenn der Detailbereich eine Tabelle enthält, können Sie häufig exportieren , um bis zu 200.000 gefilterte oder ungefilterte Ergebnisse selektiv in eine CSV-Datei zu exportieren.
Tipp
Im Export-Flyout können Sie einige oder alle verfügbaren Eigenschaften für den Export auswählen. Die Auswahl wird pro Benutzer gespeichert. Auswahlen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.
Ansicht "Alle E-Mails" in threat Explorer
Die Ansicht Alle E-Mails in Threat Explorer zeigt Informationen zu allen eingehenden, ausgehenden und organisationsinternen E-Mail-Nachrichten an. Die Ansicht zeigt schädliche und nicht schädliche E-Mails an. Zum Beispiel:
- Email Phishing oder Schadsoftware identifiziert.
- Email als Spam oder Massenvorgang identifiziert.
- Email ohne Bedrohungen identifiziert.
Diese Ansicht ist die Standardansicht in Threat Explorer. Um die Ansicht Alle E-Mails auf der Seite Explorer im Defender-Portal unter https://security.microsoft.comzu öffnen, wechseln Sie zu Email & Registerkarte Zusammenarbeit>Explorer>Alle E-Mails. Oder wechseln Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und überprüfen Sie dann, ob die Registerkarte Alle E-Mails ausgewählt ist.
Filterbare Eigenschaften in der Ansicht Alle E-Mails in Threat Explorer
Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.
Die filterbaren Eigenschaften, die im Aktionsfeld Übermittlung in der Ansicht Alle E-Mails verfügbar sind, werden in der folgenden Tabelle beschrieben:
Eigenschaft | Typ |
---|---|
Basic | |
Absenderadresse | Text Trennen Sie mehrere Werte durch Kommas. |
Empfänger | Text Trennen Sie mehrere Werte durch Kommas. |
Absenderdomäne | Text Trennen Sie mehrere Werte durch Kommas. |
Empfängerdomäne | Text Trennen Sie mehrere Werte durch Kommas. |
Betreff | Text Trennen Sie mehrere Werte durch Kommas. |
Anzeigename des Absenders | Text Trennen Sie mehrere Werte durch Kommas. |
Absender-E-Mail von Adresse | Text Trennen Sie mehrere Werte durch Kommas. |
Absender-E-Mail aus Domäne | Text Trennen Sie mehrere Werte durch Kommas. |
Rückgabepfad | Text Trennen Sie mehrere Werte durch Kommas. |
Rückgabepfaddomäne | Text Trennen Sie mehrere Werte durch Kommas. |
Malware-Familie | Text Trennen Sie mehrere Werte durch Kommas. |
Tags | Text Trennen Sie mehrere Werte durch Kommas. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags. |
Identitätswechseldomäne | Text Trennen Sie mehrere Werte durch Kommas. |
Angenommener Benutzer | Text Trennen Sie mehrere Werte durch Kommas. |
Exchange-Transportregel | Text Trennen Sie mehrere Werte durch Kommas. |
Regel zur Verhinderung von Datenverlust | Text Trennen Sie mehrere Werte durch Kommas. |
Kontext | Wählen Sie einen oder mehrere Werte aus:
|
Connector | Text Trennen Sie mehrere Werte durch Kommas. |
Übermittlungsaktion | Wählen Sie einen oder mehrere Werte aus:
|
Zusätzliche Aktion | Wählen Sie einen oder mehrere Werte aus:
|
Directionality | Wählen Sie einen oder mehrere Werte aus:
|
Erkennungstechnologie | Wählen Sie einen oder mehrere Werte aus:
|
Ursprünglicher Lieferort | Wählen Sie einen oder mehrere Werte aus:
|
Letzter Lieferort¹ | Dieselben Werte wie der ursprüngliche Lieferort |
Phish-Konfidenzniveau | Wählen Sie einen oder mehrere Werte aus:
|
Primäre Außerkraftsetzung | Wählen Sie einen oder mehrere Werte aus:
|
Primäre Außerkraftsetzungsquelle | Nachrichten können mehrere Zulassungs- oder Blocküberschreibungen aufweisen, wie unter Außerkraftsetzungsquelle angegeben. Die Außerkraftsetzung, die die Nachricht letztendlich zugelassen oder blockiert hat, wird in der primären Außerkraftsetzungsquelle identifiziert. Wählen Sie einen oder mehrere Werte aus:
|
Quelle außer Kraft setzen | Dieselben Werte wie primäre Außerkraftsetzungsquelle |
Richtlinientyp | Wählen Sie einen oder mehrere Werte aus:
|
Richtlinienaktion | Wählen Sie einen oder mehrere Werte aus:
|
Bedrohungstyp | Wählen Sie einen oder mehrere Werte aus:
|
Weitergeleitete Nachricht | Wählen Sie einen oder mehrere Werte aus:
|
Verteilerliste | Text Trennen Sie mehrere Werte durch Kommas. |
Email Größe | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. |
Erweitert | |
Internetnachrichten-ID | Text Trennen Sie mehrere Werte durch Kommas. Verfügbar im Feld Message-ID header im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern). |
Netzwerknachrichten-ID | Text Trennen Sie mehrere Werte durch Kommas. Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist. |
Sender-IP | Text Trennen Sie mehrere Werte durch Kommas. |
Anlage SHA256 | Text Trennen Sie mehrere Werte durch Kommas. |
Cluster-ID | Text Trennen Sie mehrere Werte durch Kommas. |
Warnungs-ID | Text Trennen Sie mehrere Werte durch Kommas. |
Warnungsrichtlinien-ID | Text Trennen Sie mehrere Werte durch Kommas. |
Kampagnen-ID | Text Trennen Sie mehrere Werte durch Kommas. |
ZAP-URL-Signal | Text Trennen Sie mehrere Werte durch Kommas. |
Urls | |
URL-Anzahl | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. |
URL-Domäne² | Text Trennen Sie mehrere Werte durch Kommas. |
URL-Domäne und Pfad² | Text Trennen Sie mehrere Werte durch Kommas. |
URL² | Text Trennen Sie mehrere Werte durch Kommas. |
URL-Pfad² | Text Trennen Sie mehrere Werte durch Kommas. |
URL-Quelle | Wählen Sie einen oder mehrere Werte aus:
|
Klicken Sie auf "Urteil". | Wählen Sie einen oder mehrere Werte aus:
|
URL-Bedrohung | Wählen Sie einen oder mehrere Werte aus:
|
Datei | |
Anlagenanzahl | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. |
Dateiname der Anlage | Text Trennen Sie mehrere Werte durch Kommas. |
Dateityp | Text Trennen Sie mehrere Werte durch Kommas. |
Dateinamenerweiterung | Text Trennen Sie mehrere Werte durch Kommas. |
Dateigröße | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. |
Authentifizierung | |
SPF | Wählen Sie einen oder mehrere Werte aus:
|
DKIM | Wählen Sie einen oder mehrere Werte aus:
|
DMARC | Wählen Sie einen oder mehrere Werte aus:
|
Zusammengesetzt | Wählen Sie einen oder mehrere Werte aus:
|
Tipp
¹ Der letzte Übermittlungsspeicherort enthält keine Endbenutzeraktionen für Nachrichten. Beispielsweise, wenn der Benutzer die Nachricht gelöscht oder die Nachricht in ein Archiv oder eine PST-Datei verschoben hat.
Es gibt Szenarien, in denen der ursprüngliche Zustellungsort/Der letzte Zustellungsort und/oder die Übermittlungsaktion den Wert Unbekannt aufweisen. Zum Beispiel:
- Die Nachricht wurde zugestellt (Übermittlungsaktion ist Zugestellt), aber eine Posteingangsregel hat die Nachricht in einen anderen Standardordner als den Ordner Posteingang oder Junk-Email verschoben (z. B. den Ordner Entwurf oder Archiv).
- ZAP hat versucht, die Nachricht nach der Zustellung zu verschieben, aber die Nachricht wurde nicht gefunden (z. B. der Benutzer hat die Nachricht verschoben oder gelöscht).
² Standardmäßig wird eine URL-Suche zugeordnet http
, es sei denn, es wird explizit ein anderer Wert angegeben. Zum Beispiel:
- Bei der Suche mit und ohne präfix
http://
in URL, URL-Domäneund URL-Domäne und Pfad sollten die gleichen Ergebnisse angezeigt werden. - Suchen Sie in der URL nach dem
https://
Präfix. Wenn kein Wert angegeben wird, wird dashttp://
Präfix angenommen. -
/
am Anfang und Ende der Felder URL-Pfad, URL-Domäne, URL-Domäne und Pfad werden ignoriert. -
/
am Ende des URL-Felds wird ignoriert.
Pivots für das Diagramm in der Ansicht Alle E-Mails in Threat Explorer
Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.
Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.
Pivotieren des Übermittlungsaktionsdiagramms in der Ansicht "Alle E-Mails" in Threat Explorer
Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Übermittlungsaktion der Standarddiagramm-Pivot in der Ansicht Alle E-Mails .
Der Pivot "Übermittlungsaktion " organisiert das Diagramm nach den Aktionen, die für Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter ausgeführt werden.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Übermittlungsaktionen angezeigt.
Pivotieren des Absenderdomänendiagramms in der Ansicht Alle E-Mails in Threat Explorer
Der Pivot Absenderdomäne organisiert das Diagramm nach den Domänen in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absenderdomänen angezeigt.
Pivotieren des Absender-IP-Diagramms in der Ansicht "Alle E-Mails" in Threat Explorer
Der Pivot Absender-IP organisiert das Diagramm nach den Quell-IP-Adressen von Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absender-IP-Adressen angezeigt.
Pivotieren des Erkennungstechnologiediagramms in der Ansicht "Alle E-Mails" in "Threat Explorer
Der Pivot "Erkennungstechnologie " organisiert das Diagramm nach dem Feature, das Meldungen für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.
Pivot für das Vollständige URL-Diagramm in der Ansicht Alle E-Mails in Threat Explorer
Der Pivot Vollständige URL organisiert das Diagramm nach den vollständigen URLs in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen vollständigen URLs angezeigt.
Url-Domänendiagramm in der Ansicht Alle E-Mails in Threat Explorer
Der URL-Domänen-Pivot organisiert das Diagramm nach den Domänen in URLs in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.
Url-Domänen- und Pfaddiagramm pivotieren in der Ansicht Alle E-Mails in Threat Explorer
Die URL-Domäne und der Pfad-Pivot organisiert das Diagramm nach den Domänen und Pfaden in URLs in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede URL-Domäne und jeden Pfad angezeigt.
Ansichten für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Ansicht Alle E-Mails werden in den folgenden Unterabschnitten beschrieben.
Email Ansicht für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
Email ist die Standardansicht für den Detailbereich in der Ansicht Alle E-Mails.
Die ansicht Email zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:
- Datum*
- Betreff*
- Empfänger*
- Empfängerdomäne
- Schilder*
- Absenderadresse*
- Anzeigename des Absenders
- Absenderdomäne*
- Sender-IP
- Absender-E-Mail von Adresse
- Absender-E-Mail aus Domäne
- Zusätzliche Aktionen*
- Übermittlungsaktion
- Letzter Lieferort*
- Ursprünglicher Lieferort*
- Quelle für Systemüberschreibungen
- Systemüberschreibungen
- Warnungs-ID
- Internetnachrichten-ID
- Netzwerknachrichten-ID
- E-Mail-Sprache
- Exchange-Transportregel
- Connector
- Context
- Regel zur Verhinderung von Datenverlust
- Bedrohungstyp*
- Erkennungstechnologie
- Anlagenanzahl
- URL-Anzahl
- Email Größe
Tipp
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Entfernen Sie Spalten aus der Ansicht.
- Verkleineren Sie in Ihrem Webbrowser.
Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.
Wenn Sie einen oder mehrere Einträge aus der Liste auswählen, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, ist aktion ausführen verfügbar. Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung.
Im Wert Betreff für den Eintrag ist die Aktion In neuem Fenster öffnen verfügbar. Durch diese Aktion wird die Nachricht auf der Entitätsseite Email geöffnet.
Wenn Sie in einem Eintrag auf die Werte Betreff oder Empfänger klicken, werden Details-Flyouts geöffnet. Diese Flyouts werden in den folgenden Unterabschnitten beschrieben.
Email Details aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails
Wenn Sie den Betreffwert eines Eintrags in der Tabelle auswählen, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält standardisierte Zusammenfassungsinformationen, die auch auf der Entitätsseite Email für die Nachricht verfügbar sind.
Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Der Email Zusammenfassungsbereich in Defender.
Die folgenden Aktionen sind oben im Email Zusammenfassungsbereich für Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar:
- E-Mail-Entität öffnen
- Kopfzeile anzeigen
- Maßnahmen ergreifen: Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung.
-
Weitere Optionen:
- Email Preview¹ ²
- E-Mail herunterladen ² ² ¹
- Anzeigen in Explorer
- Gehe jagen⁴
¹ Die Aktionen Email Vorschau und E-Mail herunterladen erfordern die Vorschaurolle in Email & Berechtigungen für die Zusammenarbeit. Standardmäßig wird diese Rolle den Rollengruppen Datenermittler und eDiscovery-Manager zugewiesen. Standardmäßig können Mitglieder der Rollengruppen Organisationsverwaltung oder Sicherheitsadministratoren diese Aktionen nicht ausführen. Um diese Aktionen für die Mitglieder dieser Gruppen zuzulassen, haben Sie die folgenden Optionen:
- Fügen Sie die Benutzer den Rollengruppen Datenermittler oder eDiscovery-Manager hinzu.
- Erstellen Sie eine neue Rollengruppe mit zugewiesener Rolle Suchen und Bereinigen , und fügen Sie die Benutzer der benutzerdefinierten Rollengruppe hinzu.
² Sie können eine Vorschau von E-Mail-Nachrichten anzeigen oder herunterladen, die in Microsoft 365-Postfächern verfügbar sind. Beispiele für Nachrichten, die nicht mehr in Postfächern verfügbar sind, sind:
- Die Nachricht wurde verworfen, bevor die Übermittlung fehlgeschlagen war.
- Die Nachricht wurde vorläufig gelöscht (aus dem Ordner "Gelöschte Elemente", wodurch die Nachricht in den Ordner "Wiederherstellbare Elemente\Löschungen" verschoben wird).
- ZAP hat die Nachricht in Quarantäne verschoben.
¹ E-Mail herunterladen ist für Nachrichten, die unter Quarantäne gestellt wurden, nicht verfügbar. Laden Sie stattdessen eine kennwortgeschützte Kopie der Nachricht aus der Quarantäne herunter.
⁴ Go-Suche ist nur in Threat Explorer verfügbar. Sie ist in Echtzeiterkennungen nicht verfügbar.
Empfängerdetails aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails
Wenn Sie einen Eintrag auswählen, indem Sie auf den Wert Empfänger klicken, wird ein Details-Flyout mit den folgenden Informationen geöffnet:
Tipp
Um Details zu anderen Empfängern anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element am oberen Rand des Flyouts.
Zusammenfassungsabschnitt :
- Rolle: Gibt an, ob dem Empfänger Administratorrollen zugewiesen sind.
-
Richtlinien:
- Gibt an, ob der Benutzer über die Berechtigung zum Anzeigen von Archivinformationen verfügt.
- Gibt an, ob der Benutzer über die Berechtigung zum Anzeigen von Aufbewahrungsinformationen verfügt.
- Gibt an, ob der Benutzer durch die Verhinderung von Datenverlust (Data Loss Prevention, DLP) abgedeckt ist.
- Gibt an, ob der Benutzer von der Mobile-Verwaltung unter https://portal.office.com/EAdmin/Device/IntuneInventory.aspxabgedeckt wird.
Email Abschnitt: Eine Tabelle mit den folgenden verwandten Informationen für Nachrichten, die an den Empfänger gesendet werden:
- Date
- Subject
- Empfänger
Wählen Sie Alle E-Mails anzeigen aus, um threat Explorer auf einer neuen Registerkarte zu öffnen, die nach dem Empfänger gefiltert ist.
Abschnitt "Zuletzt verwendete Warnungen": Eine Tabelle mit den folgenden verwandten Informationen für verwandte aktuelle Warnungen:
- Schweregrad
- Warnungsrichtlinie
- Kategorie
- Aktivitäten
Wenn mehr als drei aktuelle Warnungen vorhanden sind, wählen Sie Alle zuletzt angezeigten Warnungen anzeigen aus, um alle anzuzeigen.
Abschnitt "Letzte Aktivität": Zeigt die zusammengefassten Ergebnisse einer Überwachungsprotokollsuche für den Empfänger an:
- Date
- IP-Adresse
- Aktivität
- Item
Wenn der Empfänger über mehr als drei Überwachungsprotokolleinträge verfügt, wählen Sie Alle zuletzt ausgeführten Aktivitäten anzeigen aus, um alle anzuzeigen.
Tipp
Mitglieder der Rollengruppe Sicherheitsadministratoren in Email & Berechtigungen für die Zusammenarbeit können den Abschnitt Letzte Aktivität nicht erweitern. Sie müssen Mitglied einer Rollengruppe in Exchange Online Berechtigungen sein, denen die Rollen Überwachungsprotokolle, Information Protection Analyst oder Information Protection Prüfer zugewiesen sind. Standardmäßig werden diese Rollen den Rollengruppen Datensatzverwaltung, Complianceverwaltung, Information Protection, Information Protection Analysts, Information Protection Investigators und Organization Management zugewiesen. Sie können die Mitglieder von Sicherheitsadministratoren diesen Rollengruppen hinzufügen oder eine neue Rollengruppe mit der zugewiesenen Rolle Überwachungsprotokolle erstellen.
Ansicht "URL-Klicks" für den Detailbereich der Ansicht "Alle E-Mails" in "Threat Explorer
In der Ansicht URL-Klicks wird ein Diagramm angezeigt, das mithilfe von Pivots organisiert werden kann. Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.
Die Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.
Tipp
In Threat Explorer verfügt jeder Pivot in der Ansicht URL-Klicks über die Aktion Alle Klicks anzeigen, mit der die Ansicht URL-Klicks auf einer neuen Registerkarte geöffnet wird.
URL-Domänen-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
Obwohl dieser Diagramm-Pivot nicht ausgewählt zu sein scheint, ist die URL-Domäne der Standard-Diagramm-Pivot in der Ansicht URL-Klicks .
Der URL-Domänen-Pivot zeigt die verschiedenen Domänen in URLs in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter an.
Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.
Klicken Sie für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
Der Pivot Klickbewertung zeigt die verschiedenen Bewertungen für angeklickte URLs in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter an.
Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Klickbewertungen angezeigt.
URL-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
Der URL-Pivot zeigt die verschiedenen URLs an, auf die in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und eigenschaftenfilter geklickt wurde.
Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen URLs angezeigt.
URL-Domäne und Pfad-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
Der Url-Domänen- und Pfad-Pivot zeigt die verschiedenen Domänen und Dateipfade von URLs an, auf die in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter geklickt wurden.
Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede URL-Domäne und jeden Dateipfad angezeigt.
Ansicht "Top URLs" für den Detailbereich der Ansicht "Alle E-Mails" in Threat Explorer
In der Ansicht Top URLs wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:
- URL
- Blockierte Nachrichten
- Nachrichten mit Junk-E-Mail
- Übermittelte Nachrichten
Details zu den wichtigsten URLs für die Ansicht "Alle E-Mails"
Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout mit den folgenden Informationen geöffnet:
Tipp
Um Details zu anderen URLs anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.
- Die folgenden Aktionen sind oben im Flyout verfügbar:
URL-Seite öffnen
Zur Analyse übermitteln:
- Berichts-sauber
- Phishing melden
- Melden von Schadsoftware
Indikator verwalten:
- Indikator hinzufügen
- Verwalten in Mandantenblockierungsliste
Wenn Sie eine dieser Optionen auswählen, gelangen Sie im Defender-Portal zur Seite Übermittlungen .
Mehr:
- Anzeigen in Explorer
- Gehen Sie auf die Jagd
- Ursprüngliche URL
-
Abschnitt "Erkennung ":
- Threat Intelligence-Bewertung
- x aktive Warnungen y Incidents: Ein horizontales Balkendiagramm, das die Anzahl der Warnungen "Hoch", " Mittel", " Niedrig" und " Info " anzeigt, die sich auf diesen Link beziehen.
- Ein Link zur Seite Alle Incidents & Warnungen in URL anzeigen.
-
Abschnitt "Domänendetails ":
- Domänenname und ein Link zur Seite Domäne anzeigen.
- Registrant
- Registriert am
- Aktualisiert am
- Läuft ab am
- Kontaktinformationen für Registranten:
- Registrator
- Land/Region
- Postanschrift
- Telefon
- Weitere Informationen: Ein Link zum Öffnen bei Whois.
- Abschnitt URL-Prävalenz (letzte 30 Tage): Enthält die Anzahl von Geräten, Email und Klicks. Wählen Sie jeden Wert aus, um die vollständige Liste anzuzeigen.
-
Geräte: Zeigt die betroffenen Geräte an:
Datum (First/Last)
Geräte
Wenn mehr als zwei Geräte beteiligt sind, wählen Sie Alle Geräte anzeigen aus, um alle geräte anzuzeigen.
Ansicht mit den ersten Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
In der Ansicht Mit den höchsten Klicks wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:
- URL
- Gesperrt
- Allowed
- Block überschrieben
- Ausstehendes Urteil
- Ausstehendes Urteil umgangen
- Keine
- Fehlerseite
- Versagen
Tipp
Alle verfügbaren Spalten sind ausgewählt. Wenn Sie Spalten anpassen auswählen, können Sie die Auswahl von Spalten nicht aufheben.
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Verkleineren Sie in Ihrem Webbrowser.
Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.
Ansicht mit den wichtigsten Zielbenutzern für den Detailbereich der Ansicht "Alle E-Mails" in Threat Explorer
In der Ansicht Am häufigsten ausgerichtete Benutzer werden die Daten in einer Tabelle mit den fünf wichtigsten Empfängern organisiert, die von den meisten Bedrohungen betroffen sind. Die Tabelle enthält die folgenden Informationen:
Am häufigsten ausgerichtete Benutzer: Die E-Mail-Adresse des Empfängers. Wenn Sie eine Empfängeradresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Empfängerdetails aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.
Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Empfänger gefiltert wird.
Tipp
Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.
Email Ursprungsansicht für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
Die Email-Ursprungsansicht zeigt Nachrichtenquellen auf einer Weltkarte an.
Kampagnenansicht für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
Die Ansicht Kampagne zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.
Die Informationen in der Tabelle sind die gleichen wie in der Detailtabelle auf der Seite Kampagnen beschrieben.
Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Kampagnendetails beschrieben.
Ansicht "Schadsoftware" in bedrohungsbasierten Explorer und Echtzeiterkennungen
Die Ansicht Schadsoftware unter Bedrohungserkennungen Explorer und Echtzeit-Erkennungen zeigt Informationen zu E-Mail-Nachrichten an, die gefunden wurden, dass sie Schadsoftware enthalten. Diese Ansicht ist die Standardansicht in Echtzeiterkennungen.
Führen Sie zum Öffnen der Ansicht Schadsoftware einen der folgenden Schritte aus:
- Bedrohungs-Explorer: Navigieren Sie auf der Seite Explorer im Defender-Portal unter zur https://security.microsoft.comRegisterkarte Email & Zusammenarbeit> Explorer >Malware. Oder wechseln Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte Schadsoftware aus.
- Echtzeiterkennungen: Navigieren Sie im Defender-Portal auf der Seite Echtzeiterkennungen unter https://security.microsoft.comzu Email & Registerkarte Zusammenarbeit>Explorer>Malware. Oder wechseln Sie mit direkt zur Seite https://security.microsoft.com/realtimereportsv3Echtzeiterkennungen, und überprüfen Sie dann, ob die Registerkarte Schadsoftware ausgewählt ist.
Filterbare Eigenschaften in der Ansicht Schadsoftware in Bedrohungserkennungen Explorer und Echtzeiterkennungen
Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.
Die filterbaren Eigenschaften, die im Feld Absenderadresse in der Ansicht Schadsoftware verfügbar sind, werden in der folgenden Tabelle beschrieben:
Eigenschaft | Typ | Bedrohung Explorer |
Echtzeit Entdeckungen |
---|---|---|---|
Basic | |||
Absenderadresse | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Empfänger | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Absenderdomäne | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Empfängerdomäne | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Betreff | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Anzeigename des Absenders | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Absender-E-Mail von Adresse | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Absender-E-Mail aus Domäne | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Rückgabepfad | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Rückgabepfaddomäne | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Malware-Familie | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Tags | Text Trennen Sie mehrere Werte durch Kommas. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags. |
✔ | |
Exchange-Transportregel | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | |
Regel zur Verhinderung von Datenverlust | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | |
Kontext | Wählen Sie einen oder mehrere Werte aus:
|
✔ | |
Connector | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | |
Übermittlungsaktion | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Zusätzliche Aktion | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Directionality | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Erkennungstechnologie | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Ursprünglicher Lieferort | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Letzter Lieferort | Dieselben Werte wie der ursprüngliche Lieferort | ✔ | ✔ |
Primäre Außerkraftsetzung | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Primäre Außerkraftsetzungsquelle | Nachrichten können mehrere Zulassungs- oder Blocküberschreibungen aufweisen, wie unter Außerkraftsetzungsquelle angegeben. Die Außerkraftsetzung, die die Nachricht letztendlich zugelassen oder blockiert hat, wird in der primären Außerkraftsetzungsquelle identifiziert. Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Quelle außer Kraft setzen | Dieselben Werte wie primäre Außerkraftsetzungsquelle | ✔ | ✔ |
Richtlinientyp | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Richtlinienaktion | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Email Größe | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Erweitert | |||
Internetnachrichten-ID | Text Trennen Sie mehrere Werte durch Kommas. Verfügbar im Feld Message-ID header im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern). |
✔ | ✔ |
Netzwerknachrichten-ID | Text Trennen Sie mehrere Werte durch Kommas. Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist. |
✔ | ✔ |
Sender-IP | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Anlage SHA256 | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Cluster-ID | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Warnungs-ID | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Warnungsrichtlinien-ID | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Kampagnen-ID | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
ZAP-URL-Signal | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Urls | |||
URL-Anzahl | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
URL-Domäne | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
URL-Domäne und -Pfad | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
URL | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
URL-Pfad | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
URL-Quelle | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Klicken Sie auf "Urteil". | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
URL-Bedrohung | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Datei | |||
Anlagenanzahl | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Dateiname der Anlage | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Dateityp | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Dateinamenerweiterung | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Dateigröße | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Authentifizierung | |||
SPF | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
DKIM | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
DMARC | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Zusammengesetzt | Wählen Sie einen oder mehrere Werte aus:
|
Pivots für das Diagramm in der Ansicht Schadsoftware in Bedrohungs- Explorer und Echtzeiterkennungen
Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.
Die Diagramm-Pivots, die in der Ansicht Schadsoftware unter Bedrohungs Explorer erkennungen und Echtzeiterkennungen verfügbar sind, sind in der folgenden Tabelle aufgeführt:
Pivot | Bedrohung Explorer |
Echtzeit Entdeckungen |
---|---|---|
Malware-Familie | ✔ | |
Absenderdomäne | ✔ | |
Sender-IP | ✔ | |
Übermittlungsaktion | ✔ | ✔ |
Erkennungstechnologie | ✔ | ✔ |
Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.
Diagramm zur Schadsoftwarefamilie in der Ansicht "Schadsoftware" in "Bedrohung" Explorer
Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Schadsoftwarefamilie der Standarddiagramm-Pivot in der Ansicht Schadsoftware in Threat Explorer.
Der Pivot malware family organisiert das Diagramm nach der Schadsoftwarefamilie, die in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter erkannt wurde.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Schadsoftwarefamilien angezeigt.
Sender domain chart pivot in the Malware view in Threat Explorer
Der Pivot Absenderdomäne organisiert das Diagramm nach der Absenderdomäne von Nachrichten, die schadsoftware für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter enthalten.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absenderdomänen angezeigt.
Pivot des Absender-IP-Diagramms in der Ansicht Schadsoftware in Threat Explorer
Der Pivot Absender-IP organisiert das Diagramm nach der Quell-IP-Adresse von Nachrichten, die schadsoftware für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter enthalten.
Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen Quell-IP-Adressen angezeigt.
Pivotieren des Übermittlungsaktionsdiagramms in der Ansicht "Schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen
Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Übermittlungsaktion der Standarddiagramm-Pivot in der Ansicht Schadsoftware in Echtzeiterkennungen.
Der Pivot "Übermittlungsaktion " organisiert das Diagramm nach den Vorgängen von Nachrichten, die Schadsoftware für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter enthalten.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Übermittlungsaktionen angezeigt.
Diagramm "Erkennungstechnologie" in der Ansicht "Schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen
Der Pivot Erkennungstechnologie organisiert das Diagramm nach dem Feature, das Schadsoftware in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.
Ansichten für den Detailbereich der Ansicht Schadsoftware in Bedrohungs- Explorer und Echtzeiterkennungen
Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Schadsoftwareansicht sind in der folgenden Tabelle aufgeführt und in den folgenden Unterabschnitten beschrieben.
Anzeigen | Bedrohung Explorer |
Echtzeit Entdeckungen |
---|---|---|
✔ | ✔ | |
Top-Schadsoftwarefamilien | ✔ | |
Am häufigsten ausgerichtete Benutzer | ✔ | |
Email Ursprung | ✔ | |
Kampagnen | ✔ |
Email Ansicht für den Detailbereich der Ansicht Schadsoftware unter Bedrohungserkennungen Explorer und Echtzeiterkennungen
Email ist die Standardansicht für den Detailbereich der Ansicht Schadsoftware unter Bedrohungserkennungen Explorer und Echtzeiterkennungen.
Die ansicht Email zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern.
In der folgenden Tabelle sind die Spalten aufgeführt, die unter Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar sind. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet.
Spalte | Bedrohung Explorer |
Echtzeit Entdeckungen |
---|---|---|
Datum* | ✔ | ✔ |
Betreff* | ✔ | ✔ |
Empfänger* | ✔ | ✔ |
Empfängerdomäne | ✔ | ✔ |
Schilder* | ✔ | |
Absenderadresse* | ✔ | ✔ |
Anzeigename des Absenders | ✔ | ✔ |
Absenderdomäne* | ✔ | ✔ |
Sender-IP | ✔ | ✔ |
Absender-E-Mail von Adresse | ✔ | ✔ |
Absender-E-Mail aus Domäne | ✔ | ✔ |
Zusätzliche Aktionen* | ✔ | ✔ |
Übermittlungsaktion | ✔ | ✔ |
Letzter Lieferort* | ✔ | ✔ |
Ursprünglicher Lieferort* | ✔ | ✔ |
Quelle für Systemüberschreibungen | ✔ | ✔ |
Systemüberschreibungen | ✔ | ✔ |
Warnungs-ID | ✔ | ✔ |
Internetnachrichten-ID | ✔ | ✔ |
Netzwerknachrichten-ID | ✔ | ✔ |
E-Mail-Sprache | ✔ | ✔ |
Exchange-Transportregel | ✔ | |
Connector | ✔ | |
Context | ✔ | ✔ |
Regel zur Verhinderung von Datenverlust | ✔ | ✔ |
Bedrohungstyp* | ✔ | ✔ |
Erkennungstechnologie | ✔ | ✔ |
Anlagenanzahl | ✔ | ✔ |
URL-Anzahl | ✔ | ✔ |
Email Größe | ✔ | ✔ |
Tipp
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Entfernen Sie Spalten aus der Ansicht.
- Verkleineren Sie in Ihrem Webbrowser.
Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.
Wenn Sie einen oder mehrere Einträge aus der Liste auswählen, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, ist aktion ausführen verfügbar. Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung.
Wenn Sie in einem Eintrag auf die Werte Betreff oder Empfänger klicken, werden Details-Flyouts geöffnet. Diese Flyouts werden in den folgenden Unterabschnitten beschrieben.
Email Details aus der Email Ansicht des Detailbereichs in der Schadsoftwareansicht
Wenn Sie den Betreffwert eines Eintrags in der Tabelle auswählen, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält standardisierte Zusammenfassungsinformationen, die auch auf der Entitätsseite Email für die Nachricht verfügbar sind.
Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Die Email Zusammenfassungspanels.
Die verfügbaren Aktionen am oberen Rand des Email Zusammenfassungsbereichs für Explorer Bedrohungserkennungen und Echtzeiterkennungen werden in den Email Details aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.
Empfängerdetails aus der Email Ansicht des Detailbereichs in der Schadsoftwareansicht
Wenn Sie einen Eintrag auswählen, indem Sie auf den Wert Empfänger klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Empfängerdetails aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.
Ansicht der wichtigsten Schadsoftwarefamilien für den Detailbereich der Ansicht "Schadsoftware" in "Threat Explorer
Die Ansicht Top Malware Familien für den Detailbereich organisiert die Daten in einer Tabelle der wichtigsten Malware-Familien. Die Tabelle zeigt Folgendes:
Top Malware Familien Spalte: Der Name der Malware-Familie.
Wenn Sie einen Malware-Familiennamen auswählen, wird ein Details-Flyout geöffnet, das die folgenden Informationen enthält:
Email Abschnitt: Eine Tabelle mit den folgenden verwandten Informationen für Nachrichten, die die Schadsoftwaredatei enthalten:
- Date
- Subject
- Empfänger
Wählen Sie Alle E-Mails anzeigen aus, um threat Explorer auf einer neuen Registerkarte zu öffnen, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.
Abschnitt "Technische Details"
Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.
Ansicht der am häufigsten betroffenen Benutzer für den Detailbereich der Ansicht Schadsoftware in Threat Explorer
Die Ansicht Am häufigsten zielorientierte Benutzer organisiert die Daten in einer Tabelle mit den fünf wichtigsten Empfängern, die von Schadsoftware betroffen sind. Die Tabelle zeigt Folgendes:
Benutzer mit den höchsten Zielzielen: Die E-Mail-Adresse des Am häufigsten betroffenen Benutzers. Wenn Sie eine E-Mail-Adresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind identisch mit den Informationen, die in der Ansicht "Am häufigsten zielorientierte Benutzer" für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer beschrieben werden.
Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.
Tipp
Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.
Email Ursprungsansicht für den Detailbereich der Ansicht Schadsoftware in Threat Explorer
Die Email-Ursprungsansicht zeigt Nachrichtenquellen auf einer Weltkarte an.
Kampagnenansicht für den Detailbereich der Ansicht Schadsoftware in Threat Explorer
Die Ansicht Kampagne zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.
Die Detailtabelle ist mit der Detailtabelle auf der Seite Kampagnen identisch.
Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Kampagnendetails beschrieben.
Phishingansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen
Die Ansicht "Phishing" in "Bedrohungserkennungen Explorer" und "Echtzeiterkennungen" zeigt Informationen zu E-Mail-Nachrichten an, die als Phishing identifiziert wurden.
Führen Sie zum Öffnen der Phish-Ansicht einen der folgenden Schritte aus:
- Bedrohungs-Explorer: Navigieren Sie auf der Seite Explorer im Defender-Portal unter zur https://security.microsoft.comRegisterkarte Email & Registerkarte Zusammenarbeit> Explorer >Phish. Oder wechseln Sie mit direkt zur seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte Phish aus.
- Echtzeiterkennungen: Wechseln Sie im Defender-Portal auf der Seite Echtzeiterkennungen unter https://security.microsoft.comzur Registerkarte Email & Zusammenarbeit>Explorer>Phish. Oder navigieren Sie mit direkt zur Seite https://security.microsoft.com/realtimereportsv3Echtzeiterkennungen, und wählen Sie dann die Registerkarte Phish aus.
Filterbare Eigenschaften in der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen
Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.
Die filterbaren Eigenschaften, die im Feld Absenderadresse in der Ansicht Schadsoftware verfügbar sind, werden in der folgenden Tabelle beschrieben:
Eigenschaft | Typ | Bedrohung Explorer |
Echtzeit Entdeckungen |
---|---|---|---|
Basic | |||
Absenderadresse | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Empfänger | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Absenderdomäne | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Empfängerdomäne | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Betreff | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Anzeigename des Absenders | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Absender-E-Mail von Adresse | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Absender-E-Mail aus Domäne | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Rückgabepfad | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Rückgabepfaddomäne | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Tags | Text Trennen Sie mehrere Werte durch Kommas. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags. |
✔ | |
Identitätswechseldomäne | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Angenommener Benutzer | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Exchange-Transportregel | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | |
Regel zur Verhinderung von Datenverlust | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | |
Kontext | Wählen Sie einen oder mehrere Werte aus:
|
✔ | |
Connector | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | |
Übermittlungsaktion | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Zusätzliche Aktion | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Directionality | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Erkennungstechnologie | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Ursprünglicher Lieferort | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Letzter Lieferort | Dieselben Werte wie der ursprüngliche Lieferort | ✔ | ✔ |
Phish-Konfidenzniveau | Wählen Sie einen oder mehrere Werte aus:
|
✔ | |
Primäre Außerkraftsetzung | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Primäre Außerkraftsetzungsquelle | Nachrichten können mehrere Zulassungs- oder Blocküberschreibungen aufweisen, wie unter Außerkraftsetzungsquelle angegeben. Die Außerkraftsetzung, die die Nachricht letztendlich zugelassen oder blockiert hat, wird in der primären Außerkraftsetzungsquelle identifiziert. Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Quelle außer Kraft setzen | Dieselben Werte wie primäre Außerkraftsetzungsquelle | ✔ | ✔ |
Richtlinientyp | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Richtlinienaktion | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Email Größe | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Erweitert | |||
Internetnachrichten-ID | Text Trennen Sie mehrere Werte durch Kommas. Verfügbar im Feld Message-ID header im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern). |
✔ | ✔ |
Netzwerknachrichten-ID | Text Trennen Sie mehrere Werte durch Kommas. Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist. |
✔ | ✔ |
Sender-IP | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Anlage SHA256 | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Cluster-ID | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Warnungs-ID | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Warnungsrichtlinien-ID | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Kampagnen-ID | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
ZAP-URL-Signal | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | |
Urls | |||
URL-Anzahl | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
URL-Domäne | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
URL-Domäne und -Pfad | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | |
URL | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | |
URL-Pfad | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | |
URL-Quelle | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Klicken Sie auf "Urteil". | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
URL-Bedrohung | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Datei | |||
Anlagenanzahl | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Dateiname der Anlage | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Dateityp | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Dateinamenerweiterung | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Dateigröße | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Authentifizierung | |||
SPF | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
DKIM | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
DMARC | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Zusammengesetzt | Wählen Sie einen oder mehrere Werte aus:
|
Pivots für das Diagramm in der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen
Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.
Die diagrammbasierten Pivots, die in der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar sind, sind in der folgenden Tabelle aufgeführt:
Pivot | Bedrohung Explorer |
Echtzeit Entdeckungen |
---|---|---|
Absenderdomäne | ✔ | ✔ |
Sender-IP | ✔ | |
Übermittlungsaktion | ✔ | ✔ |
Erkennungstechnologie | ✔ | ✔ |
Vollständige URL | ✔ | |
URL-Domäne | ✔ | ✔ |
URL-Domäne und -Pfad | ✔ |
Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.
Sender domain chart pivot in the Phish view in Threat Explorer and Real-time detections
Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Absenderdomäne der Standarddiagramm-Pivot in der Phish-Ansicht in Echtzeiterkennungen.
Der Pivot Absenderdomäne organisiert das Diagramm nach den Domänen in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absenderdomänen angezeigt.
Pivot des Absender-IP-Diagramms in der Phish-Ansicht in Threat Explorer
Der Pivot Absender-IP organisiert das Diagramm nach den Quell-IP-Adressen von Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen Quell-IP-Adressen angezeigt.
Bereitstellungsaktionsdiagramm in der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen
Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Übermittlungsaktion der Standard-Diagramm-Pivot in der Phish-Ansicht in Threat Explorer.
Der Pivot "Übermittlungsaktion " organisiert das Diagramm nach den Aktionen, die für Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter ausgeführt werden.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Übermittlungsaktionen angezeigt.
Erkennungstechnologie-Diagramm in der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen
Der Pivot "Erkennungstechnologie " organisiert das Diagramm nach dem Feature, das die Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.
Pivot für vollständige URL-Diagramme in der Ansicht "Phish" in Threat Explorer
Der Pivot "Vollständige URL " organisiert das Diagramm nach den vollständigen URLs in Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen vollständigen URLs angezeigt.
URL-Domänendiagramm in der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen
Der URL-Domänen-Pivot organisiert das Diagramm nach den Domänen in URLs in Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.
Url-Domänen- und Pfaddiagramm-Pivot in der Phish-Ansicht in Threat Explorer
Der URL-Domänen- und Pfad-Pivot organisiert das Diagramm nach den Domänen und Pfaden in URLs in Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede URL-Domäne und jeden Pfad angezeigt.
Ansichten für den Detailbereich der Phish-Ansicht in Threat Explorer
Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Phish-Ansicht sind in der folgenden Tabelle aufgeführt und in den folgenden Unterabschnitten beschrieben.
Anzeigen | Bedrohung Explorer |
Echtzeit Entdeckungen |
---|---|---|
✔ | ✔ | |
URL-Klicks | ✔ | ✔ |
Top-URLs | ✔ | ✔ |
Top-Klicks | ✔ | ✔ |
Am häufigsten ausgerichtete Benutzer | ✔ | |
Email Ursprung | ✔ | |
Kampagnen | ✔ |
Email Ansicht für den Detailbereich der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen
Email ist die Standardansicht für den Detailbereich der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen.
Die ansicht Email zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern.
In der folgenden Tabelle sind die Spalten aufgeführt, die unter Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar sind. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet.
Spalte | Bedrohung Explorer |
Echtzeit Entdeckungen |
---|---|---|
Datum* | ✔ | ✔ |
Betreff* | ✔ | ✔ |
Empfänger* | ✔ | ✔ |
Empfängerdomäne | ✔ | ✔ |
Schilder* | ✔ | |
Absenderadresse* | ✔ | ✔ |
Anzeigename des Absenders | ✔ | ✔ |
Absenderdomäne* | ✔ | ✔ |
Sender-IP | ✔ | ✔ |
Absender-E-Mail von Adresse | ✔ | ✔ |
Absender-E-Mail aus Domäne | ✔ | ✔ |
Zusätzliche Aktionen* | ✔ | ✔ |
Übermittlungsaktion | ✔ | ✔ |
Letzter Lieferort* | ✔ | ✔ |
Ursprünglicher Lieferort* | ✔ | ✔ |
Quelle für Systemüberschreibungen | ✔ | ✔ |
Systemüberschreibungen | ✔ | ✔ |
Warnungs-ID | ✔ | ✔ |
Internetnachrichten-ID | ✔ | ✔ |
Netzwerknachrichten-ID | ✔ | ✔ |
E-Mail-Sprache | ✔ | ✔ |
Exchange-Transportregel | ✔ | |
Connector | ✔ | |
Phish-Konfidenzniveau | ✔ | |
Context | ✔ | |
Regel zur Verhinderung von Datenverlust | ✔ | |
Bedrohungstyp* | ✔ | ✔ |
Erkennungstechnologie | ✔ | ✔ |
Anlagenanzahl | ✔ | ✔ |
URL-Anzahl | ✔ | ✔ |
Email Größe | ✔ | ✔ |
Tipp
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Entfernen Sie Spalten aus der Ansicht.
- Verkleineren Sie in Ihrem Webbrowser.
Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.
Wenn Sie einen oder mehrere Einträge aus der Liste auswählen, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, ist aktion ausführen verfügbar. Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung.
Wenn Sie in einem Eintrag auf die Werte Betreff oder Empfänger klicken, werden Details-Flyouts geöffnet. Diese Flyouts werden in den folgenden Unterabschnitten beschrieben.
Email Details aus der Email Ansicht des Detailbereichs in der Phish-Ansicht
Wenn Sie den Betreffwert eines Eintrags in der Tabelle auswählen, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält standardisierte Zusammenfassungsinformationen, die auch auf der Entitätsseite Email für die Nachricht verfügbar sind.
Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Der Email-Zusammenfassungsbereich in Defender for Office 365 Features.
Die verfügbaren Aktionen am oberen Rand des Email Zusammenfassungsbereichs für Explorer Bedrohungserkennungen und Echtzeiterkennungen werden in den Email Details aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.
Empfängerdetails aus der Email Ansicht des Detailbereichs in der Phish-Ansicht
Wenn Sie einen Eintrag auswählen, indem Sie auf den Wert Empfänger klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Empfängerdetails aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.
Url-Klickansicht für den Detailbereich der Phish-Ansicht in Bedrohungs- Explorer und Echtzeiterkennungen
In der Ansicht URL-Klicks wird ein Diagramm angezeigt, das mithilfe von Pivots organisiert werden kann. Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.
Die Diagramm-Pivots, die in der Ansicht Schadsoftware unter Bedrohungs Explorer erkennungen und Echtzeiterkennungen verfügbar sind, werden in der folgenden Tabelle beschrieben:
Pivot | Bedrohung Explorer |
Echtzeit Entdeckungen |
---|---|---|
URL-Domäne | ✔ | ✔ |
Klicken Sie auf "Urteil". | ✔ | ✔ |
URL | ✔ | |
URL-Domäne und -Pfad | ✔ |
Die gleichen Diagramm-Pivots sind verfügbar und werden für die Ansicht Alle E-Mails in Threat Explorer beschrieben:
- URL-Domänen-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
- Klicken Sie für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
- URL-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
- URL-Domäne und Pfad-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer
Tipp
In Threat Explorer verfügt jeder Pivot in der Ansicht URL-Klicks über die Aktion Alle Klicks anzeigen, die die Ansicht URL-Klicks in Bedrohungs-Explorer auf einer neuen Registerkarte öffnet. Diese Aktion ist in Echtzeiterkennungen nicht verfügbar, da die Ansicht URL-Klicks in Echtzeiterkennungen nicht verfügbar ist.
Ansicht "Top URLs" für den Detailbereich der Ansicht "Phish" in "Threat Explorer" und "Echtzeiterkennungen"
In der Ansicht Top URLs wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:
- URL
- Blockierte Nachrichten
- Nachrichten mit Junk-E-Mail
- Übermittelte Nachrichten
Details zu den wichtigsten URLs für die Phish-Ansicht
Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.
Tipp
Die Aktion Go hunt ist nur in Threat Explorer verfügbar.The Go hunt action is only available in Threat Explorer. Sie ist in Echtzeiterkennungen nicht verfügbar.
Ansicht mit den höchsten Klicks für den Detailbereich der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen
In der Ansicht Mit den höchsten Klicks wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:
- URL
- Gesperrt
- Allowed
- Block überschrieben
- Ausstehendes Urteil
- Ausstehendes Urteil umgangen
- Keine
- Fehlerseite
- Versagen
Tipp
Alle verfügbaren Spalten sind ausgewählt. Wenn Sie Spalten anpassen auswählen, können Sie die Auswahl von Spalten nicht aufheben.
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Verkleineren Sie in Ihrem Webbrowser.
Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.
Ansicht der am häufigsten betroffenen Benutzer für den Detailbereich der Phish-Ansicht in Threat Explorer
In der Ansicht Am häufigsten ausgerichtete Benutzer werden die Daten in einer Tabelle mit den fünf wichtigsten Empfängern organisiert, die von Phishingversuchen betroffen waren. Die Tabelle zeigt Folgendes:
Benutzer mit den höchsten Zielzielen: Die E-Mail-Adresse des Am häufigsten betroffenen Benutzers. Wenn Sie eine E-Mail-Adresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind identisch mit den Informationen, die in der Ansicht "Am häufigsten zielorientierte Benutzer" für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer beschrieben werden.
Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.
Tipp
Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.
Email Ursprungsansicht für den Detailbereich der Phish-Ansicht in Threat Explorer
Die Email-Ursprungsansicht zeigt Nachrichtenquellen auf einer Weltkarte an.
Kampagnenansicht für den Detailbereich der Phish-Ansicht in Threat Explorer
Die Ansicht Kampagne zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.
Die Informationen in der Tabelle sind die gleichen wie in der Detailtabelle auf der Seite Kampagnen beschrieben.
Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Kampagnendetails beschrieben.
Ansicht "Kampagnen" in "Threat Explorer"
Die Ansicht Kampagnen in Threat Explorer enthält Informationen zu Bedrohungen, die als koordinierte Phishing- und Schadsoftwareangriffe identifiziert wurden, entweder speziell für Ihre organization oder für andere Organisationen in Microsoft 365.
Um die Ansicht Kampagnen auf der Seite Explorer im Defender-Portal unter https://security.microsoft.comzu öffnen, wechseln Sie zu Email & Registerkarte Zusammenarbeit>Explorer>Campaigns. Oder navigieren Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte Kampagnen aus.
Alle verfügbaren Informationen und Aktionen sind mit den Informationen und Aktionen auf der Seite Kampagnen unter https://security.microsoft.com/campaignsv3identisch. Weitere Informationen finden Sie auf der Seite Kampagnen im Microsoft Defender-Portal.
Ansicht von Schadsoftware in Bedrohungs- Explorer und Echtzeiterkennungen
Die Ansicht Inhalt schadsoftware in Bedrohungs- Explorer und Echtzeiterkennungen zeigt Informationen zu Dateien an, die von als Schadsoftware identifiziert wurden:
- Integrierter Virenschutz in SharePoint, OneDrive und Microsoft Teams
- Sichere Anlagen für SharePoint, OneDrive und Microsoft Teams.
Führen Sie einen der folgenden Schritte aus, um die Ansicht Schadsoftware inhalt zu öffnen:
- Bedrohungs-Explorer: Wechseln Sie auf der Seite Explorer im Defender-Portal unter zur https://security.microsoft.comRegisterkarte Schadsoftware für Email & Zusammenarbeit>Explorer>Inhalt. Oder wechseln Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte Schadsoftware inhalt aus.
- Echtzeiterkennungen: Navigieren Sie im Defender-Portal auf der Seite Echtzeiterkennungen unter zu https://security.microsoft.comEmail & Registerkarte Schadsoftware für zusammenarbeit>Explorer>Inhalt. Oder wechseln Sie mit direkt zur Seite https://security.microsoft.com/realtimereportsv3Echtzeiterkennungen, und wählen Sie dann die Registerkarte Schadsoftware inhalt aus.
Filterbare Eigenschaften in der Ansicht "Inhalt schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen
Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.
Die filterbaren Eigenschaften, die im Feld Dateiname in der Ansicht Schadsoftware inhalt unter Explorer Bedrohungserkennungen und Echtzeiterkennungen verfügbar sind, werden in der folgenden Tabelle beschrieben:
Eigenschaft | Typ | Bedrohung Explorer |
Echtzeit Entdeckungen |
---|---|---|---|
Datei | |||
Dateiname | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Arbeitslast | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Website | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Dateibesitzer | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Zuletzt geändert von | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
SHA256 | Ganze Zahl. Trennen Sie mehrere Werte durch Kommas. Führen Sie den folgenden Befehl in PowerShell aus, um den SHA256-Hashwert einer Datei zu ermitteln: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256 . |
✔ | ✔ |
Malware-Familie | Text Trennen Sie mehrere Werte durch Kommas. | ✔ | ✔ |
Erkennungstechnologie | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Bedrohungstyp | Wählen Sie einen oder mehrere Werte aus:
|
✔ | ✔ |
Pivots für das Diagramm in der Ansicht "Inhalt schadsoftware" unter Bedrohungserkennungen Explorer und Echtzeiterkennungen
Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.
Die diagrammbasierten Pivots, die in der Ansicht Schadsoftware für Inhalt in bedrohungsbasierten Explorer und Echtzeiterkennungen verfügbar sind, sind in der folgenden Tabelle aufgeführt:
Pivot | Bedrohung Explorer |
Echtzeit Entdeckungen |
---|---|---|
Malware-Familie | ✔ | ✔ |
Erkennungstechnologie | ✔ | ✔ |
Arbeitslast | ✔ | ✔ |
Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.
Diagramm zur Schadsoftwarefamilie in der Ansicht "Inhalt schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen
Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Schadsoftwarefamilie der Standarddiagramm-Pivot in der Ansicht Schadsoftware inhalt in Bedrohungs- Explorer und Echtzeiterkennungen.
Der Pivot der Schadsoftwarefamilie organisiert das Diagramm anhand der schadsoftware, die in Dateien in SharePoint, OneDrive und Microsoft Teams identifiziert wurde, indem der angegebene Datums-/Uhrzeitbereich und Eigenschaftenfilter verwendet werden.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Schadsoftwarefamilien angezeigt.
Diagramm "Erkennungstechnologie" in der Ansicht "Schadsoftware" in "Bedrohungs- Explorer" und "Echtzeiterkennungen"
Der Pivot Erkennungstechnologie organisiert das Diagramm nach dem Feature, das Schadsoftware in Dateien in SharePoint, OneDrive und Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.
Pivotieren des Arbeitsauslastungsdiagramms in der Ansicht "Inhalt schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen
Der Pivot Workload organisiert das Diagramm nach dem Ort, an dem die Schadsoftware identifiziert wurde (SharePoint, OneDrive oder Microsoft Teams) für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede Workload angezeigt.
Ansichten für den Detailbereich der Ansicht "Inhalt schadsoftware" unter Bedrohungserkennungen Explorer und Echtzeiterkennungen
Unter Bedrohungs Explorer erkennungen und Echtzeiterkennungen enthält der Detailbereich der Ansicht Schadsoftware inhalt nur eine Ansicht (Registerkarte) mit dem Namen Dokumente. Diese Ansicht wird im folgenden Unterabschnitt beschrieben.
Dokumentansicht für den Detailbereich der Ansicht "Inhalt schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen
Dokument ist die standard- und einzige Ansicht für den Detailbereich in der Ansicht Schadsoftware inhalt .
In der Dokumentansicht wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:
- Datum*
- Name*
- Arbeitsbelastung*
- Bedrohung*
- Erkennungstechnologie*
- Zuletzt geänderter Benutzer*
- Dateibesitzer*
- Größe (Bytes)*
- Zeitpunkt der letzten Änderung
- Websitepfad
- Dateipfad
- Dokument-ID
- SHA256
- Erkanntes Datum
- Malware-Familie
- Context
Tipp
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Entfernen Sie Spalten aus der Ansicht.
- Verkleineren Sie in Ihrem Webbrowser.
Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.
Wenn Sie in der Spalte Name einen Dateinamenwert auswählen, wird ein Details-Flyout geöffnet. Das Flyout enthält die folgenden Informationen:
Zusammenfassungsabschnitt :
- Filename
- Websitepfad
- Dateipfad
- Dokument-ID
- SHA256
- Datum der letzten Änderung
- Zuletzt geändert von
- Bedrohung
- Erkennungstechnologie
Detailabschnitt :
- Erkanntes Datum
- Erkannt von
- Name der Schadsoftware
- Zuletzt geändert von
- Dateigröße
- Dateibesitzer
Email Listenabschnitt: Eine Tabelle mit den folgenden verwandten Informationen für Nachrichten, die die Schadsoftwaredatei enthalten:
- Date
- Subject
- Empfänger
Wählen Sie Alle E-Mails anzeigen aus, um threat Explorer auf einer neuen Registerkarte zu öffnen, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.
Letzte Aktivität: Zeigt die zusammengefassten Ergebnisse einer Überwachungsprotokollsuche für den Empfänger an:
- Date
- IP-Adresse
- Aktivität
- Item
Wenn der Empfänger über mehr als drei Überwachungsprotokolleinträge verfügt, wählen Sie Alle zuletzt ausgeführten Aktivitäten anzeigen aus, um alle anzuzeigen.
Tipp
Mitglieder der Rollengruppe Sicherheitsadministratoren in Email & Berechtigungen für die Zusammenarbeit können den Abschnitt Letzte Aktivität nicht erweitern. Sie müssen Mitglied einer Rollengruppe in Exchange Online Berechtigungen sein, denen die Rollen Überwachungsprotokolle, Information Protection Analyst oder Information Protection Prüfer zugewiesen sind. Standardmäßig werden diese Rollen den Rollengruppen Datensatzverwaltung, Complianceverwaltung, Information Protection, Information Protection Analysts, Information Protection Investigators und Organization Management zugewiesen. Sie können die Mitglieder von Sicherheitsadministratoren diesen Rollengruppen hinzufügen oder eine neue Rollengruppe mit der zugewiesenen Rolle Überwachungsprotokolle erstellen.
Ansicht "URL-Klicks" in "Threat Explorer
Die Ansicht URL-Klicks in Threat Explorer zeigt alle Benutzerklicks auf URLs in E-Mails, in unterstützten Office-Dateien in SharePoint und OneDrive und in Microsoft Teams an.
Um die Ansicht URL-Klicks auf der Seite Explorer im Defender-Portal unter https://security.microsoft.comzu öffnen, wechseln Sie zu Email & Registerkarte "Collaboration>Explorer>URL clicks". Oder navigieren Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte URL-Klicks aus.
Filterbare Eigenschaften in der Ansicht "URL-Klicks" in Threat Explorer
Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.
Die filterbaren Eigenschaften, die im Feld Empfänger in der Ansicht URL-Klicks in Threat Explorer verfügbar sind, werden in der folgenden Tabelle beschrieben:
Eigenschaft | Typ |
---|---|
Basic | |
Empfänger | Text Trennen Sie mehrere Werte durch Kommas. |
Tags | Text Trennen Sie mehrere Werte durch Kommas. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags. |
Netzwerknachrichten-ID | Text Trennen Sie mehrere Werte durch Kommas. Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist. |
URL | Text Trennen Sie mehrere Werte durch Kommas. |
Klickaktion | Wählen Sie einen oder mehrere Werte aus:
|
Bedrohungstyp | Wählen Sie einen oder mehrere Werte aus:
|
Erkennungstechnologie | Wählen Sie einen oder mehrere Werte aus:
|
Klicken Sie auf ID. | Text Trennen Sie mehrere Werte durch Kommas. |
Client-IP | Text Trennen Sie mehrere Werte durch Kommas. |
Pivots für das Diagramm in der Ansicht "URL-Klicks" in Threat Explorer
Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.
Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.
Url-Domänendiagramm in der Ansicht "URL-Klicks" in "Threat Explorer
Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die URL-Domäne der Standarddiagramm-Pivot in der Ansicht URL-Klicks .
Der URL-Domänen-Pivot organisiert das Diagramm nach den Domänen in URLs, auf die Benutzer in E-Mails, Office-Dateien oder Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter geklickt haben.
Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.
Workloaddiagramm-Pivot in der Ansicht "URL-Klicks" in Threat Explorer
Der Pivot Workload organisiert das Diagramm nach der Position der angeklickten URL (E-Mail, Office-Dateien oder Microsoft Teams) für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede Workload angezeigt.
Pivotieren des Erkennungstechnologiediagramms in der Ansicht "URL-Klicks" in Threat Explorer
Der Pivot Erkennungstechnologie organisiert das Diagramm nach dem Feature, das die URL-Klicks in E-Mails, Office-Dateien oder Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.
Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.
Diagramm "Bedrohungstyp" in der Ansicht "URL-Klicks" in "Threat Explorer
Der Pivot Bedrohungstyp organisiert das Diagramm nach den Ergebnissen der urLs in E-Mails, Office-Dateien oder Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.
Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen Bedrohungstypen angezeigt.
Ansichten für den Detailbereich der Ansicht "URL-Klicks" in Threat Explorer
Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Ansicht URL-Klicks werden in den folgenden Unterabschnitten beschrieben.
Ergebnisansicht für den Detailbereich der Ansicht "URL-Klicks" in Threat Explorer
Ergebnisse ist die Standardansicht für den Detailbereich in der Ansicht URL-Klicks .
In der Ansicht Ergebnisse wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle Spalten ausgewählt:
- Angeklickte Uhrzeit
- Empfänger
- URL-Klickaktion
- URL
- Tags
- Netzwerknachrichten-ID
- Klicken Sie auf ID.
- Client-IP
- URL-Kette
- Bedrohungstyp
- Erkennungstechnologie
Tipp
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Entfernen Sie Spalten aus der Ansicht.
- Verkleineren Sie in Ihrem Webbrowser.
Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.
Wählen Sie einen Eintrag oder einen Eintrag aus, indem Sie das Kontrollkästchen neben der ersten Spalte in der Zeile aktivieren, und wählen Sie dann Alle E-Mails anzeigen aus, um threat Explorer in der Ansicht Alle E-Mails auf einer neuen Registerkarte zu öffnen, die nach den Netzwerknachrichten-ID-Werten der ausgewählten Nachrichten gefiltert wird.
Ansicht mit den höchsten Klicks für den Detailbereich der Ansicht "URL-Klicks" in Threat Explorer
In der Ansicht Mit den höchsten Klicks wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:
- URL
- Gesperrt
- Allowed
- Block überschrieben
- Ausstehendes Urteil
- Ausstehendes Urteil umgangen
- Keine
- Fehlerseite
- Versagen
Tipp
Alle verfügbaren Spalten sind ausgewählt. Wenn Sie Spalten anpassen auswählen, können Sie die Auswahl von Spalten nicht aufheben.
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Verkleineren Sie in Ihrem Webbrowser.
Wählen Sie einen Eintrag aus, indem Sie das Kontrollkästchen neben der ersten Spalte in der Zeile aktivieren, und wählen Sie dann Alle Klicks anzeigen aus, um bedrohungsbasierte Explorer in einer neuen Registerkarte in der Url-Klickansicht zu öffnen.
Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.
Ansicht mit den wichtigsten Zielbenutzern für den Detailbereich der Ansicht "URL-Klicks" in Threat Explorer
In der Ansicht Am häufigsten ausgerichtete Benutzer werden die Daten in einer Tabelle der fünf wichtigsten Empfänger organisiert, die auf URLs geklickt haben. Die Tabelle zeigt Folgendes:
Benutzer mit den höchsten Zielzielen: Die E-Mail-Adresse des Am häufigsten betroffenen Benutzers. Wenn Sie eine E-Mail-Adresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind identisch mit den Informationen, die in der Ansicht "Am häufigsten zielorientierte Benutzer" für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer beschrieben werden.
Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.
Tipp
Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.
Eigenschaftenfilter in Bedrohungs- Explorer und Echtzeiterkennungen
Die grundlegende Syntax eines Eigenschaftenfilters/einer -Abfrage lautet:
Bedingung = <Filtereigenschaft><Filteroperator><Eigenschaftswert oder -werte>
Für mehrere Bedingungen wird die folgende Syntax verwendet:
<Bedingung1><UND | OR><Bedingung2><AND | OR><Bedingung3>... <AND | OR><ConditionN>
Tipp
In Text- oder Ganzzahlwerten werden Keine Wildcardsuchen (**** oder ?) unterstützt. Die Subject-Eigenschaft verwendet partielle Textabgleiche und liefert Ergebnisse, die einer Wildcardsuche ähneln.
Die Schritte zum Erstellen von Eigenschaftenfilter-/Abfragebedingungen sind in allen Ansichten in Bedrohungserkennungen Explorer und Echtzeiterkennungen identisch:
Identifizieren Sie die Filtereigenschaft mithilfe der Tabellen in den Beschreibungsabschnitten der Vorschauansicht weiter oben in diesem Artikel.
Wählen Sie einen verfügbaren Filteroperator aus. Die verfügbaren Filteroperatoren hängen vom Eigenschaftentyp ab, wie in der folgenden Tabelle beschrieben:
Filteroperator Eigenschaftentyp Gleich "any" von Text
Ganze Zahl
Diskrete WerteGleich keine von Text
Diskrete WerteGrößer als Ganze Zahl Weniger als Ganze Zahl Geben Sie einen oder mehrere Eigenschaftswerte ein, oder wählen Sie sie aus. Für Textwerte und ganze Zahlen können Sie mehrere Werte durch Kommas getrennt eingeben.
Mehrere Werte im Eigenschaftswert verwenden den logischen OR-Operator. Absenderadresse>Gleich>
bob@fabrikam.com,cindy@fabrikam.com
bedeutet z. B. Absenderadresse>gleich oder>bob@fabrikam.com
cindy@fabrikam.com
.Nachdem Sie einen oder mehrere Eigenschaftswerte eingegeben oder ausgewählt haben, wird die abgeschlossene Filterbedingung unterhalb der Filtererstellungsfelder angezeigt.
Tipp
Bei Eigenschaften, bei denen Sie einen oder mehrere verfügbare Werte auswählen müssen, führt die Verwendung der Eigenschaft in der Filterbedingung mit allen ausgewählten Werten zu demselben Ergebnis wie die Verwendung der Eigenschaft in der Filterbedingung.
Um eine weitere Bedingung hinzuzufügen, wiederholen Sie die vorherigen drei Schritte.
Die Bedingungen unterhalb der Filtererstellungsfelder werden durch den logischen Operator getrennt, der zum Zeitpunkt der Erstellung der zweiten oder nachfolgenden Bedingungen ausgewählt wurde. Der Standardwert ist AND, Sie können aber auch ODER auswählen.
Derselbe logische Operator wird zwischen allen Bedingungen verwendet: Sie sind alle AND oder sind alle OR. Um die vorhandenen logischen Operatoren zu ändern, wählen Sie das Feld logischer Operator und dann AND oder OR aus.
Um eine vorhandene Bedingung zu bearbeiten, doppelklicken Sie darauf, um die ausgewählte Eigenschaft, den Filteroperator und die Werte wieder in die entsprechenden Felder zu bringen.
Um eine vorhandene Bedingung zu entfernen, wählen Sie die Bedingung aus.
Um den Filter auf das Diagramm und die Detailtabelle anzuwenden, wählen Sie Aktualisieren aus.
Gespeicherte Abfragen in Threat Explorer
Tipp
Die Speicherabfrage ist Teil von Bedrohungstrackern und nicht in Echtzeiterkennungen verfügbar. Gespeicherte Abfragen und Bedrohungstracker sind nur in Defender for Office 365 Plan 2 verfügbar.
Die Abfrage speichern ist in der Ansicht "Inhalt schadsoftware" nicht verfügbar.
Mit den meisten Ansichten in Threat Explorer können Sie Filter (Abfragen) zur späteren Verwendung speichern. Gespeicherte Abfragen sind auf der Seite Bedrohungsnachverfolgung im Defender-Portal unter https://security.microsoft.com/threattrackerv2verfügbar. Weitere Informationen zu Bedrohungstrackern finden Sie unter Bedrohungstracker in Microsoft Defender for Office 365 Plan 2.
Führen Sie die folgenden Schritte aus, um Abfragen in Threat Explorer zu speichern:
Nachdem Sie den Filter/die Abfrage wie zuvor beschrieben erstellt haben, wählen Sie Abfrage> speichernAbfrage speichern Aus.
Konfigurieren Sie im daraufhin geöffneten Flyout Abfrage speichern die folgenden Optionen:
- Abfragename: Geben Sie einen eindeutigen Namen für die Abfrage ein.
- Wählen Sie eine der folgenden Optionen aus:
- Genaue Datumsangaben: Wählen Sie in den Feldern ein Start- und Enddatum aus. Das älteste Startdatum, das Sie auswählen können, liegt 30 Tage vor dem heutigen Tag. Das neueste Enddatum, das Sie auswählen können, ist heute.
- Relative Datumsangaben: Wählen Sie die Anzahl der Tage in show last nn days when search is run (Letzte nn Tage anzeigen) aus. Der Standardwert ist 7, Aber Sie können 1 bis 30 auswählen.
-
Abfrage nachverfolgen: Diese Option ist standardmäßig nicht ausgewählt. Diese Option wirkt sich darauf aus, ob die Abfrage automatisch ausgeführt wird:
- Abfrage nachverfolgen nicht ausgewählt: Die Abfrage kann manuell in Threat Explorer ausgeführt werden. Die Abfrage wird auf der Registerkarte Gespeicherte Abfragen auf der Seite Bedrohungsnachverfolgung mit der Eigenschaft "Nachverfolgte Abfrage"gespeichert.
- Ausgewählte Abfrage nachverfolgen : Die Abfrage wird in regelmäßigen Abständen im Hintergrund ausgeführt. Die Abfrage ist auf der Registerkarte Gespeicherte Abfragen auf der Seite Bedrohungsnachverfolgung mit dem Wert der Eigenschaft "Nachverfolgte Abfrage " verfügbar. Die regelmäßigen Ergebnisse der Abfrage werden auf der Registerkarte Nachverfolgte Abfragen auf der Seite Bedrohungsnachverfolgung angezeigt.
Wenn Sie mit dem Flyout Abfrage speichern fertig sind, wählen Sie Speichern und dann im Bestätigungsdialogfeld OK aus.
Auf den Registerkarten Gespeicherte Abfrage oder Nachverfolgte Abfrage auf der Seite Bedrohungsnachverfolgung im Defender-Portal unter https://security.microsoft.com/threattrackerv2können Sie in der Spalte Aktionendie Option Durchsuchen auswählen, um die Abfrage in Threat Explorer zu öffnen und zu verwenden.
Wenn Sie die Abfrage öffnen, indem Sie auf der Seite Bedrohungsnachverfolgung die Option Durchsuchen auswählen, sind jetzt die Einstellungen Abfrage speichern unter und Gespeicherte Abfrage auf der Seite Explorer verfügbar:
Wenn Sie Abfrage speichern unter auswählen, wird das Flyout Abfrage speichern mit allen zuvor ausgewählten Einstellungen geöffnet. Wenn Sie Änderungen vornehmen, wählen Sie Speichern aus, und klicken Sie dann im Dialogfeld Erfolg auf OK. Die aktualisierte Abfrage wird als neue Abfrage auf der Seite Bedrohungsnachverfolgung gespeichert (Möglicherweise müssen Sie Aktualisieren auswählen, um sie anzuzeigen).
Wenn Sie Gespeicherte Abfrageeinstellungen auswählen, wird das Flyout Gespeicherte Abfrageeinstellungen geöffnet, in dem Sie die Datums- und Nachverfolgungsabfrageeinstellungen der vorhandenen Abfrage aktualisieren können.
Weitere Informationen
- Bedrohungs-Explorer Sammeln von E-Mail-Details auf der Email-Entitätsseite
- Suchen und Untersuchen von bösartigen E-Mails, die zugestellt wurden
- Anzeigen schädlicher Dateien, die in SharePoint Online, OneDrive und Microsoft Teams erkannt wurden
- Threat Protection-Statusbericht
- Automatische Untersuchung und Reaktion in Microsoft Threat Protection