Microsoft Defender for Office 365 Sähköposti-entiteetti -sivu
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Microsoft 365 -organisaatioilla, jotka ovat Microsoft Defender for Office 365 sisältyvät tilaukseensa tai jotka on ostettu lisäosana, on Sähköposti-entiteetti -sivu. Microsoft Defender-portaalin Sähköposti-entiteettisivu sisältää erittäin yksityiskohtaisia tietoja sähköpostiviestistä ja siihen liittyvistä entiteeteistä.
Tässä artikkelissa kerrotaan sähköpostientiteettisivun tiedoista ja toiminnoista.
Sähköpostientiteettisivun käyttöoikeudet ja käyttöoikeudet
Jos haluat käyttää Sähköposti-entiteettisivua, sinulla on oltava käyttöoikeudet. Käyttöoikeudet ja käyttöoikeudet ovat samat kuin Threat Explorer (Explorer) ja reaaliaikaiset tunnistuksia. Lisätietoja on artikkelissa Uhkienhallinnan käyttöoikeudet ja reaaliaikaisten tunnistusten käyttöoikeudet.
Sähköposti-entiteettisivun sijainti
Defender-portaalin ylätasoilta sähköpostientiteettisivulle ei ole suoria linkkejä. Sen sijaan Avaa sähköposti -entiteetti -toiminto on käytettävissä sähköpostitietojen pikaikkunan yläosassa useissa Defender for Office 365 ominaisuuksissa. Tämä sähköpostitietojen pikaikkuna tunnetaan sähköpostin yhteenvetopaneelina, ja se sisältää yhteenvedon alijoukon tiedoista Sähköposti-entiteettisivulla. Sähköpostin yhteenvetopaneeli on sama kaikissa Defender for Office 365 ominaisuuksissa. Lisätietoja on tämän artikkelin Kohdassa Sähköpostin yhteenvetopaneeli .
Sähköpostin yhteenveto -paneeli, jossa on Avaa sähköposti - entiteetti -toiminto, on käytettävissä seuraavissa sijainneissa:
Lisämetsästyksen lisäasetukset -sivulla https://security.microsoft.com/v2/advanced-huntingosoitteessa : Napsauta sähköpostiin liittyvän kyselyn Tulokset-välilehdessä taulukon merkinnän NetworkMessageId-arvoa.
*Ilmoitusten sivulta kohdassa https://security.microsoft.com/alerts: Jos hälytykset, joiden tunnistuslähteen arvo on MDO tai Tuotenimet-arvoMicrosoft Defender for Office 365, valitse merkintä napsauttamalla Ilmoituksen nimi -arvoa. Valitse avautuvalta ilmoituksen tietosivulta viesti Viestit-luettelo-osasta .
Uhkien suojauksen tilaraportista osoitteessa https://security.microsoft.com/reports/TPSEmailPhishReportATP:
- Valitse Näytä tiedot sähköpostin > tietojenkalastelun mukaan ja mikä tahansa käytettävissä olevista kaavion erittelyvalinnuksista. Valitse arvo kaavion alla olevasta tietotaulukosta napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua.
- Valitse Näytä tiedot sähköpostin > mukaan Haittaohjelma ja mikä tahansa käytettävissä olevista kaavion erittelyvalinnuksista. Valitse arvo kaavion alla olevasta tietotaulukosta napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua.
- Valitse Näytä tiedot sähköpostin > roskapostin mukaan ja mikä tahansa käytettävissä olevista kaavion erittelyvalinnuksista. Valitse arvo kaavion alla olevasta tietotaulukosta napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua.
Resurssienhallinta-sivullahttps://security.microsoft.com/threatexplorerv3 (Threat Explorer) tai Reaaliaikaiset tunnistuksia -sivulla osoitteessa https://security.microsoft.com/realtimereportsv3. Käytä jotakin seuraavista menetelmistä:
- Tarkista Uhkien hallinnassa, että Kaikki sähköpostit -näkymä on valittuna > , varmista, että Tiedot-alueen Sähköposti-välilehti (näkymä) on valittuna > ja napsauta merkinnän Aihe-arvoa .
- Valitse Uhkien hallinnassa tai Reaaliaikaiset tunnistuksia -kohdassa Haittaohjelma-näkymä> tarkista, että Tietoalueen Sähköposti-välilehti (näkymä) on valittuna > , napsauta merkinnän Aihe-arvoa .
- Valitse Uhkien hallinnassa tai Reaaliaikaiset tunnisteet -kohdassa Tietojenkalastelu -näkymä > varmista, että Tietoalueen Sähköposti-välilehti (näkymä) on valittuna > , napsauta merkinnän Aihe-arvoa .
Tapahtumat-sivulta kohdassa https://security.microsoft.com/incidents: Jos tapahtuma sisältää Tuotenimet-arvonMicrosoft Defender for Office 365, valitse tapaus napsauttamalla Tapahtuman nimi -arvoa. Valitse avautuvalta Tapauksen tiedot -sivulta Todisteet ja vastaukset -välilehti (näkymä). Valitse Kaikki todisteet -välilehdessä ja Entiteettityypin arvo Sähköposti tai Sähköpostit-välilehdessä merkintä napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.
Aseta karanteenisivunhttps://security.microsoft.com/quarantinekohtaan : Tarkista, että Sähköposti-välilehti on valittuna>, valitse merkintä napsauttamalla mitä tahansa muuta rivin kohtaa kuin valintaruutua.
Lähetykset-sivulta osoitteessa https://security.microsoft.com/reportsubmission:
- Valitse Sähköpostiviestit-välilehti> ja valitse merkintä napsauttamalla mitä tahansa muuta riviä kuin valintaruutua.
- Valitse Käyttäjän ilmoittama -välilehti > valitsemalla merkintä napsauttamalla mitä tahansa muuta rivin kohtaa kuin valintaruutua.
Sähköpostientiteetti-sivun tiedot
Sivun vasemmassa reunassa oleva tietoruutu sisältää tiivistettäviä osia, joissa on viestin tietoja. Nämä osat pysyvät vakioina niin kauan kuin olet sivulla. Käytettävissä olevat osat ovat:
Tunnisteet-osa . Näyttää kaikki käyttäjätunnisteet (mukaan lukien Prioriteetti-tili), jotka on määritetty lähettäjille tai vastaanottajille. Lisätietoja käyttäjätunnisteista on Microsoft Defender for Office 365 kohdassa Käyttäjätunnisteet.
Tunnistuksen tiedot -osa:
Alkuperäiset uhat
Alkuperäinen toimituspaikka:
- Poistetut-kansio
- Pudonnut
- Toimitus epäonnistui
- Saapuneet-kansio
- Roskapostikansio
- Ulkoinen
- Karanteeni
- tuntematon
Uusimmat uhat
Viimeisin toimitussijainti: Viestin sijainti järjestelmän toimintojen jälkeen viestissä (esimerkiksi ZAP) tai järjestelmänvalvojan toiminnot viestissä (esimerkiksi Siirrä poistettuihin kohteisiin). Käyttäjän toimia viestissä (esimerkiksi viestin poistaminen tai arkistoiminen) ei näytetä, joten tämä arvo ei takaa viestin nykyistä sijaintia .
Vihje
On tilanteita, joissa alkuperäisen toimitussijainnin/uusimman toimituksen sijainnin ja/tai toimitustoiminnon arvo on Tuntematon. Esimerkki:
- Viesti toimitettiin (Toimitus-toiminto on Toimitettu), mutta Saapuneet-kansion sääntö siirsi viestin muuhun oletuskansioon kuin Saapuneet- tai Roskaposti-kansioon (esimerkiksi Luonnos- tai Arkisto-kansioon).
- ZAP yritti siirtää viestin toimituksen jälkeen, mutta viestiä ei löytynyt (esimerkiksi käyttäjä siirsi tai poisti viestin).
Tunnistustekniikka:
- Kehittynyt suodatin: Koneoppimiseen perustuvat tietojenkalastelusignaasit.
- Kampanja: Kampanjan osana tunnistetut viestit.
- Tiedoston räjähdys: Turvalliset liitteet havaitsivat pahan liitteen räjähdysanalyysin aikana.
- Tiedoston räjähdyksen maine: Muiden Microsoft 365 -organisaatioiden turvalliset liitteet -räjähdyksen aiemmin havaitsemat liitetiedostot.
- Tiedoston maine: Viesti sisältää tiedoston, joka on aiemmin tunnistettu haitallisiksi muissa Microsoft 365 -organisaatioissa.
- Sormenjälkien vastaavuus: Viesti muistuttaa läheisesti aiemmin havaittua haitallista viestiä.
- Yleinen suodatin: Tietojenkalastelun signaalit analyytikkosääntöjen perusteella.
- Tekeytymismerkki: Tunnetuista brändeistä tekeytyminen.
- Tekeytymistoimialue: Tekeytyminen omistamistasi tai tietojenkalastelun vastaisissa käytännöissä määritetyistä lähettäjätoimialueista.
- Tekeytymisen käyttäjä: Tekeytyminen suojatuille lähettäjille, jotka olet määrittänyt tietojenkalastelun vastaisissa käytännöissä tai oppinut postilaatikon älykkyyden kautta.
- Postilaatikon älykkyyden tekeytyminen: Tekeytymistunnistuksia postilaatikon älykkyydestä tietojenkalastelun vastaisissa käytännöissä.
- Yhdistelmäanalyysin tunnistaminen: Useat suodattimet vaikuttivat viestin päätökseen.
- Spoof DMARC: Viesti epäonnistui DMARC-todennuksessa.
- Spoof ulkoinen toimialue: Lähettäjän sähköpostiosoitteen väärentäminen käyttämällä organisaatiosi ulkopuolista toimialuetta.
- Spoof organisaationsisäinen: Lähettäjän sähköpostiosoitteen väärentäminen organisaatiosi sisäisessä toimialueessa.
- URL-räjähdys: Turvalliset linkit havaitsivat vahingollisen URL-osoitteen viestissä räjäytysanalyysin aikana.
- URL-räjähdyksen maine: Muiden Microsoft 365 -organisaatioiden Safe Links -räjäytysten aiemmin havaitsemat URL-osoitteet.
- URL-osoitteen haitallinen maine: Viesti sisältää URL-osoitteen, joka on aiemmin tunnistettu haitallisiksi muissa Microsoft 365 -organisaatioissa.
Toimitustoiminto:
- Toimitetaan
- Roskaposti
- Tukossa
Ensisijainen ohitus: Lähde
-
Ensisijaisen ohituksen arvot:
- Organisaation käytännön sallima
- Käyttäjäkäytännön sallima
- Organisaation käytännön estämä
- Käyttäjäkäytännön estämä
- Ei mitään
-
Ensisijaisen ohituslähteen arvot:
- Kolmannen osapuolen suodatin
- Hallinta aloitettu aikamatkustus (ZAP)
- Haittaohjelmien torjuntakäytännön estäminen tiedostotyypin mukaan
- Antispam-käytäntöasetukset
- Yhteyskäytäntö
- Exchange-siirtosääntö
- Poissulkemistila (käyttäjän ohitus)
- Suodatus ohitettiin organisaation ennakkotoiminnon vuoksi
- IP-alueen suodatin käytännöstä
- Kielisuodatin käytännöstä
- Tietojenkalastelun simulointi
- Karanteenin vapauttaminen
- Avaa postilaatikko
- Lähettäjän osoiteluettelo (ohituksen Hallinta)
- Lähettäjän osoiteluettelo (käyttäjän ohitus)
- Lähettäjän toimialueluettelo (ohita Hallinta)
- Lähettäjän toimialueluettelo (käyttäjän ohitus)
- Palveltavan kohteen Salli/Estä luettelo -tiedostolohko
- Palveltavan kohteen sallittujen tai estettyjen luetteloiden lähettäjän sähköpostiosoitelohko
- Palveltavan kohteen sallittujen ja estettyjen luetteloiden spoof-lohko
- Palveltavan kohteen sallittujen ja estettyjen luetteloiden URL-lohko
- Luotettu yhteystietoluettelo (käyttäjän ohitus)
- Luotettu toimialue (käyttäjän ohitus)
- Luotettu vastaanottaja (käyttäjän ohitus)
- Vain luotetut lähettäjät (käyttäjän ohitus)
-
Ensisijaisen ohituksen arvot:
Sähköpostin tiedot -osa:
-
Suunta:
- Saapuva
- Intra-irg
- Lähtevä
- Vastaanottaja (vastaanottaja)*
- Lähettäjä*
- Vastaanottoaika
-
Internet-viestin tunnus*: Käytettävissä Viestin tunnus - otsikossa viestin otsikossa. Esimerkkiarvo on
<08f1e0f6806a47b4ac103961109ae6ef@server.domain>
(huomioi kulmasulkeet). - Verkkoviestin tunnus*: GUID-arvo, joka on käytettävissä viestin otsikon X-MS-Exchange-Organization-Network-Message-Id-otsikossa .
- Klusterin tunnus
- Kieli
* Kopioi leikepöydälle -toiminto on käytettävissä arvon kopioimista varten.
-
Suunta:
Sivun yläreunassa olevien välilehtien (näkymien) avulla voit tutkia sähköpostia tehokkaasti. Nämä näkymät on kuvattu seuraavissa alakohdissa.
Aikajananäkymä
Aikajana-näkymässä näkyvät viestissä tapahtuneet toimitus- ja jälkitoimitustapahtumat.
Seuraavat sanomatapahtumatiedot ovat käytettävissä näkymässä. Valitse sarakeotsikko, jonka mukaan lajitellaan kyseisen sarakkeen mukaan. Jos haluat lisätä tai poistaa sarakkeita, valitse Mukauta sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina.
- Aikajana (tapahtuman päivämäärä/aika)
- Lähde: Esimerkiksi Järjestelmä, **Hallinta tai Käyttäjä.
- Tapahtumatyypit
- Tulos
- Uhkia
- Tiedot
Jos viestille ei tapahtunut mitään toimituksen jälkeen, viestillä on todennäköisesti vain yksi rivi aikajananäkymässä, jonka Tapahtumatyypit-arvo on Alkuperäinen toimitus. Esimerkki:
- Tulosarvo on Saapuneet-kansio – Toimitettu.
- Tulosarvo on Roskapostikansio - Toimitetaan Roskaposti-kansioon
- Tulosarvo on Karanteeni - estetty.
Käyttäjien, järjestelmänvalvojien tai Microsoft 365:n myöhemmät toiminnot lisäävät rivejä näkymään. Esimerkki:
- Tapahtumatyyppien arvo on ZAP ja ZAP on siirtänyttulosarvon Viesti karanteeniin.
- Tapahtumatyyppien arvo on Karanteenin vapautus ja tulosarvo on Viesti vapautui karanteenista onnistuneesti.
Etsi tietoja sivulta hakuruudun avulla. Kirjoita teksti ruutuun ja paina ENTER-näppäintä.
Vie näkymän tiedot CSV-tiedostoon Vie-toiminnolla. Oletustiedostonimi on Microsoft Defender.csv ja oletussijainti on Lataukset-kansio . Jos samanniminen tiedosto on jo olemassa, tiedostonimeen liitetään numero (esimerkiksi - Microsoft Defender(1).csv).
Analyysinäkymä
Analyysi-näkymä sisältää tietoja, joiden avulla voit analysoida viestiä perusteellisesti. Seuraavat tiedot ovat käytettävissä tässä näkymässä:
Uhkien tunnistamisen tiedot -osio: Tietoja viestissä havaituista uhista:
- Uhat: Ensisijainen uhka on ensisijaisen uhan osoittama.
- Luotettavuustaso: Arvot ovat suuret, keskitasoiset tai alhaiset.
- Prioriteettitilin suojaus: Arvot ovat Kyllä tai Ei. Lisätietoja on artikkelissa Prioriteettitilin suojauksen määrittäminen ja tarkistaminen Microsoft Defender for Office 365.
Sähköpostin tunnistamisen tiedot -osio: Tietoja suojausominaisuuksista tai ohituksista, jotka vaikuttivat viestiin:
Kaikki ohitukset: Kaikki organisaation tai käyttäjän asetukset, joilla oli mahdollisuus muuttaa viestin aiottua toimitussijaintia. Jos viesti vastaa esimerkiksi postinkulun sääntöä ja palveltavan kohteen sallittujen ja estettyjen luettelon estomerkintää, molemmat asetukset näkyvät tässä. Ensisijainen ohitus : Lähde-ominaisuuden arvo tunnistaa asetuksen, joka todella vaikutti viestin toimittamiseen.
Ensisijainen ohitus: Lähde: Näyttää organisaation tai käyttäjän asetuksen, joka muutti viestin aiottua toimitussijaintia (sallittu sen sijaan, että se olisi estetty tai estetty). Esimerkki:
- Postinkulun sääntö esti viestin lähettämisen.
- Viesti sallittiin käyttäjän Turvallisten lähettäjien luettelossa olevan merkinnän vuoksi.
Exchange-siirtosäännöt (postinkulun säännöt): Jos postinkulun säännöt ovat vaikuttaneet viestiin, näytetään sääntöjen nimet ja GUID-tunnukset. Postinkulun sääntöjen avulla viesteihin tehdyt toimet suoritetaan ennen roskaposti- ja tietojenkalastelutuomioita.
Kopioi leikepöydälle -toiminto on käytettävissä säännön GUID-tunnuksen kopioimiseen. Lisätietoja postinkulun säännöistä on Exchange Online kohdassa Postinkulun säännöt (siirtosäännöt).
Siirry Exchange-hallintakeskukseen -linkki avaa Säännöt-sivun uudessa Exchange-hallintakeskuksessa osoitteessa https://admin.exchange.microsoft.com/#/transportrules.
Yhdistin: Jos viesti toimitettiin saapuvan liittimen kautta, liittimen nimi näytetään. Lisätietoja liittimiä on artikkelissa Postinkulun määrittäminen liittimien avulla Exchange Online.
Valitusten joukkotaso: Suurempi BCL-arvo tarkoittaa, että viesti on todennäköisemmin roskaposti. Lisätietoja on kohdassa Joukkovalitustaso (BCL) EOP:ssä.
Käytäntö: Jos käytäntötyyppi on luettelossa (esimerkiksi roskaposti), valitse Määritä avataksesi liittyvän käytäntösivun (esimerkiksi roskapostin torjuntakäytännöt -sivu osoitteessa https://security.microsoft.com/antispam).
Käytäntötoiminto
Ilmoitustunnus: Avaa ilmoituksen tietosivu valitsemalla ilmoitustunnus (aivan kuin olisit löytänyt ja valinnut ilmoituksen Ilmoitukset-sivulla kohteessa https://security.microsoft.com/alerts). Kopioi leikepöydälle -toiminto on myös käytettävissä ilmoituksen tunnuksen arvon kopioimista varten.
Käytäntötyyppi
Asiakastyyppi: Näyttää viestin lähettäneen asiakkaan tyypin (esimerkiksi REST)
Sähköpostin koko
Tietojen menetyksen estämistä koskevat säännöt
Lähettäjän ja vastaanottajan tiedot -osio: Lisätietoja viestin lähettäjästä ja joitakin vastaanottajatietoja:
- Lähettäjän näyttönimi
- Lähettäjän osoite*
- Lähettäjän IP
- Lähettäjän toimialueen nimi*
- Toimialueen luontipäivämäärä: Äskettäin luotu toimialue ja muut viestien signaalit voivat tunnistaa viestin epäilyttäväksi.
- Toimialueen omistaja
- Lähettäjän SÄHKÖPOSTIN LÄHETTÄJÄn osoite*
- Lähettäjän SÄHKÖPOSTI toimialuenimestä*
- Paluupolku
- Palautuspolun toimialue
- Sijainti
- Vastaanottajan toimialue*
- Vastaanottaja: Näyttää kaikkien sähköpostiosoitteiden ensimmäiset 5 000 merkkiä viestin Vastaanottaja-kentässä.
- Kopio: Näyttää kaikkien sähköpostiosoitteiden ensimmäiset 5 000 merkkiä viestin Kopio-kentässä.
- Jakeluluettelo: Näyttää jakeluryhmän (jakeluluettelon), jos vastaanottaja on vastaanottanut sähköpostiviestin luettelon jäsenenä. Ylimmän tason jakeluryhmä näytetään sisäkkäisille jakeluryhmille.
- Edelleenlähetys: Ilmaisee, välitettiinkö viesti automaattisesti ulkoiseen sähköpostiosoitteeseen. Näytetään edelleenlähetyskäyttäjä ja edelleenlähetystyyppi (postinkulun säännöt, Saapuneet-kansion säännöt tai SMTP-edelleenlähetys).
* Kopioi leikepöydälle -toiminto on käytettävissä arvon kopioimista varten.
Todennusosio : Sähköpostin todennustulosten tiedot:
-
Toimialueeseen perustuva viestitodentaminen (DMARC)
-
Pass
: DMARC-tarkistus välitettyjen viestien osalta. -
Fail
: Viestin DMARC-tarkistus epäonnistui. -
BestGuessPass
: Toimialueen DMARC TXT -tietuetta ei, mutta jos sellainen olisi ollut olemassa, viestin DMARC-tarkistus olisi välitetty. - Ei mitään: Ilmaisee, että DNS:n lähettävälle toimialueelle ei ole DMARC TXT -tietuetta.
-
-
Toimialueen näppäimet, joiden sähköposti (DKIM) on määritetty: Arvot ovat:
-
Pass
: Välitettyjen viestien DKIM-tarkistus. -
Fail (reason)
: Viestin DKIM-tarkistus epäonnistui. Viestiä ei esimerkiksi ollut DKIM-allekirjoitettu tai DKIM-allekirjoitusta ei vahvistettu. -
None
: Viestiä ei ole allekirjoitettu DKIM:n kanssa. Tämä tulos voi olla merkki siitä, että toimialueella on DKIM-tietue tai että DKIM-tietue ei tuota tulosta. Tämä tulos ilmaisee vain, että viestiä ei ole allekirjoitettu.
-
-
Lähettäjän käytäntökehys (SPF): Arvot ovat:
-
Pass (IP address)
: SPF-tarkistus havaitsi, että viestilähde on kelvollinen toimialueelle. -
Fail (IP address)
: SPF-tarkistus havaitsi, että viestilähde ei kelpaa toimialueelle, ja SPF-tietueen pakotussääntö on-all
(kova epäonnistuminen). -
SoftFail (reason)
: SPF-tarkistus havaitsi, että viestilähde ei kelpaa toimialueelle ja SPF-tietueen pakotussääntö on~all
(pehmeä virhe). -
Neutral
: SPF-tarkistus havaitsi, että viestilähde ei kelpaa toimialueelle ja SPF-tietueen pakotussääntö on?all
(neutraali). -
None
: Toimialueella ei ole SPF-tietuetta tai SPF-tietue ei anna tulokseksi tulosta. -
TempError
: SPF-tarkistus kohtasi väliaikaisen virheen (esimerkiksi DNS-virheen). Sama tarkistus myöhemmin saattaa onnistua. -
PermError
: SPF-tarkistus kohtasi pysyvän virheen. Esimerkiksi toimialueella on väärin muotoiltu SPF-tietue.
-
- Yhdistelmätodennus: SPF, DKIM, DMARC ja muut tiedot määrittävät, onko viestin lähettäjä (Lähettäjän osoite) aito. Lisätietoja on artikkelissa Yhdistelmätodentaminen.
-
Toimialueeseen perustuva viestitodentaminen (DMARC)
Aiheeseen liittyvät entiteetit -osio: Tietoja viestin liitteistä ja URL-osoitteista:
- Entiteetti: Liitteiden tai URL-osoitteiden valitseminen vie sinut viestin Liitenäkymään tai Sähköposti-entiteettisivun URL-näkymään.
- Kokonaismäärä
- Löytyneet uhat: Arvot ovat Kyllä tai Ei.
Viestin tiedot -alue:
- Vain teksti -sähköpostiotsikon välilehti: Sisältää koko viestin otsikon vain teksti -muodossa. Kopioi viestin otsikko valitsemalla Kopioi viestin otsikko . Valitse Microsoft Message Header Analyzer avataksesi viestin otsikon analysoinnin osoitteessa https://mha.azurewebsites.net/pages/mha.html. Liitä kopioidun viestin otsikko sivulle ja valitse sitten Analysoi otsikot , jos haluat lisätietoja viestin otsikoista ja arvoista.
- Välilehti : Näyttää kaikkien sähköpostiosoitteiden ensimmäiset 5 000 merkkiä viestin Vastaanottaja-kentässä.
- Kopio-välilehti : Näyttää kaikkien sähköpostiosoitteiden ensimmäiset 5 000 merkkiä viestin Kopio-kentässä.
Liitenäkymä
Liitteet-näkymässä näkyvät tiedot kaikista viestin liitetiedostoista ja kyseisten liitteiden skannaustulokset.
Seuraavat liitetiedot ovat käytettävissä tässä näkymässä. Valitse sarakeotsikko, jonka mukaan lajitellaan kyseisen sarakkeen mukaan. Jos haluat lisätä tai poistaa sarakkeita, valitse Mukauta sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina.
- Liitetiedostonimi: Jos napsautat tiedostonimen arvoa
- Tiedostotyyppi
- Tiedostokoko
- Tiedostopääte
- Uhka
- Haittaohjelmaperhe
- Liitteen SHA256: Kopioi leikepöydälle -toiminto on käytettävissä SHA256-arvon kopioimiseksi.
- Tiedot
Etsi tietoja sivulta hakuruudun avulla. Kirjoita teksti ruutuun ja paina ENTER-näppäintä.
Vie näkymän tiedot CSV-tiedostoon Vie-toiminnolla. Oletustiedostonimi on Microsoft Defender.csv ja oletussijainti on Lataukset-kansio . Jos samanniminen tiedosto on jo olemassa, tiedostonimeen liitetään numero (esimerkiksi - Microsoft Defender(1).csv).
Liitteen tiedot
Jos valitset merkinnän Liitteet-näkymässä napsauttamalla Liitetiedostonimi-arvoa , näyttöön avautuu tietojen pikaikkuna, joka sisältää seuraavat tiedot:
Syväanalyysi-välilehti : Tiedot ovat saatavilla tässä välilehdessä, jos Turvalliset liitteet skannasivat (räjäytti) liitteen. Voit tunnistaa nämä viestit Threat Explorerissa käyttämällä kyselysuodattimen tunnistustekniikkaa arvolla Tiedoston räjähdys.
Räjähdysketjun osa: Yhden tiedoston turvalliset liitteet voivat laukaista useita räjähdyksiä. Räjähdysketju seuraa räjäytysten polkua, mukaan lukien alkuperäinen vahingollinen tiedosto, joka aiheutti tuomion, ja kaikki muut tiedostot, joihin räjähdys vaikutti. Näitä liitettyjä tiedostoja ei ehkä ole suoraan sähköpostiviestissä. Analyysin sisällyttäminen on kuitenkin tärkeää, jotta voidaan määrittää, miksi tiedosto todettiin haitalliseksi.
Jos räjähdysketjun tietoja ei ole saatavilla, näytetään arvo Ei räjähdyspuuta . Muussa tapauksessa voit ladata räjähdysketjun tiedot CSV-tiedostoon valitsemalla Vie . Oletustiedostonimi on Räjäytys-chain.csv ja oletussijainti on Lataukset-kansio . Jos samanniminen tiedosto on jo olemassa, tiedostonimeen liitetään numero (esimerkiksi Detonation chain(1).csv). CSV-tiedosto sisältää seuraavat tiedot:
- Ylin: Ylimmän tason tiedosto.
- Taso 1: Seuraavan tason tiedosto.
- Taso 2: Seuraavan tason tiedosto.
- ja niin edelleen.
Räjähdysketju ja CSV-tiedosto saattavat näyttää vain ylimmän tason kohteen, jos mitään siihen linkitetyistä entiteeteistä ei todettu ongelmalliseksi tai jos ne räjähtivät.
Yhteenveto-osa : Jos yhteenvetotietoja ei ole saatavilla, näytetään arvo Ei räjähdyksen yhteenvetoa . Muussa tapauksessa saatavilla on seuraavat yhteenvetotiedot räjähdyksestä:
- Analyysiaika
- Tuomio: Tuomio itse liitteestä.
- Lisätietoja: Tiedoston koko tavuina.
- Kompromissi-indikaattorit
Näyttökuvat-osa: Näytä kaikki räjähdyksen aikana tallennukset näyttökuvat. Mitään näyttökuvia ei tallenneta säilötiedostoista, kuten ZIP- tai RAR-tiedostoista, jotka sisältävät muita tiedostoja.
Jos räjähdenäyttökuvia ei ole käytettävissä, näkyviin tulee arvo Ei näytettäviä näyttökuvia . Muussa tapauksessa valitse linkki näyttökuvan tarkastelemiseksi.
Toiminnan tiedot -osa: Näyttää tarkat räjähdyksen aikana tapahtuneet tapahtumat sekä ongelmalliset tai hyvänlaatuiset havainnot, jotka sisältävät räjähdyksen aikana löydettyjä URL-osoitteita, URL-osoitteita, toimialueita ja tiedostoja. Säilötiedostoille, kuten ZIP- tai RAR-tiedostoille, ei ehkä ole mitään toimintatietoja, jotka sisältävät muita tiedostoja.
Jos toiminnan tietoja ei ole saatavilla, näytetään arvo Ei räjähdyksen toimintaa . Muussa tapauksessa voit valita Vie ladataksesi toimintatiedot CSV-tiedostoon. Oletustiedostonimi on Behavior details.csv ja oletussijainti on Lataukset-kansio . Jos samanniminen tiedosto on jo olemassa, tiedostonimeen liitetään numero (esimerkiksi Toiminnan tiedot(1).csv). CSV-tiedosto sisältää seuraavat tiedot:
- Aika
- Toiminta
- Toimintaominaisuus
- Prosessi (PID)
- Operaatio
- Kohde
- Tiedot
- Tulos
Tiedoston tiedot -välilehti: Tiedoston tiedot -osassa on seuraavat tiedot:
- Tiedoston nimi
- SHA256
- Tiedoston koko (tavuina)
Kun tiedostotiedot-pikaikkuna on valmis, valitse Sulje.
Estä liitteet Liitteet-näkymästä
Jos valitset merkinnän Liitteet-näkymässä valitsemalla tiedostonimen vieressä olevan valintaruudun, Estä-toiminto on käytettävissä. Tämä toiminto lisää tiedoston lohkomerkintänä vuokraajan sallittujen ja estettyjen luetteloon. Estä-vaihtoehdon valitseminen käynnistää ohjatun toiminnon:
Määritä Valitse toiminnot -sivulla jokin seuraavista asetuksista Estä tiedosto -osassa:
- Ei vanhene koskaan : Tämä on oletusarvo .
- Älä koskaan vanhene : Siirrä valitsin pois käytöstä -kohtaan ja valitse sitten päivämäärä Poista käytössä -ruudusta.
Kun olet valmis Valitse toiminnot -sivulla, valitse Seuraava.
Tarkista Valitse kohdeentiteetit -sivulla, että tiedosto, jonka haluat estää, on valittuna, ja valitse sitten Seuraava.
Määritä Tarkista ja lähetä -sivulla seuraavat asetukset:
- Korjauksen nimi: Kirjoita yksilöllinen nimi, jotta voit seurata tilaa toimintokeskuksessa.
- Kuvaus: Kirjoita valinnainen kuvaus.
Kun olet valmis Tarkista ja lähetä -sivulla, valitse Lähetä.
URL-näkymä
URL-näkymässä näkyvät tiedot kaikista viestin URL-osoitteista ja kyseisten URL-osoitteiden skannaustulokset.
Seuraavat liitetiedot ovat käytettävissä tässä näkymässä. Valitse sarakeotsikko, jonka mukaan lajitellaan kyseisen sarakkeen mukaan. Jos haluat lisätä tai poistaa sarakkeita, valitse Mukauta sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina.
- URL
- Uhka
- Lähde
- Tiedot
Etsi tietoja sivulta hakuruudun avulla. Kirjoita teksti ruutuun ja paina ENTER-näppäintä.
Vie näkymän tiedot CSV-tiedostoon Vie-toiminnolla. Oletustiedostonimi on Microsoft Defender.csv ja oletussijainti on Lataukset-kansio . Jos samanniminen tiedosto on jo olemassa, tiedostonimeen liitetään numero (esimerkiksi - Microsoft Defender(1).csv).
URL-osoitteen tiedot
Jos valitset merkinnän URL-näkymässä napsauttamalla URL-arvoa , näyttöön avautuu tietoikkuna, joka sisältää seuraavat tiedot:
Syväanalyysi-välilehti : Tiedot ovat saatavilla tässä välilehdessä, jos Turvalliset linkit skannasivat (räjäytti) URL-osoitteen. Voit tunnistaa nämä viestit Threat Explorerissa käyttämällä kyselysuodattimen tunnistustekniikkaa arvon URL-räjähdyksen kanssa.
Räjähdysketjun osa: Yhden URL-osoitteen turvalliset linkit voivat laukaista useita räjähdyksiä. Räjähdysketju seuraa räjähdysten polkua, mukaan lukien alkuperäinen vahingollinen URL-osoite, joka aiheutti tuomion, ja kaikki muut URL-osoitteet, joihin räjähdys vaikutti. Näitä URL-osoitteita ei ehkä ole suoraan sähköpostiviestissä. Analyysin sisällyttäminen on kuitenkin tärkeää sen määrittämiseksi, miksi URL-osoite todettiin haitalliseksi.
Jos räjähdysketjun tietoja ei ole saatavilla, näytetään arvo Ei räjähdyspuuta . Muussa tapauksessa voit ladata räjähdysketjun tiedot CSV-tiedostoon valitsemalla Vie . Oletustiedostonimi on Räjäytys-chain.csv ja oletussijainti on Lataukset-kansio . Jos samanniminen tiedosto on jo olemassa, tiedostonimeen liitetään numero (esimerkiksi Detonation chain(1).csv). CSV-tiedosto sisältää seuraavat tiedot:
- Ylin: Ylimmän tason tiedosto.
- Taso 1: Seuraavan tason tiedosto.
- Taso 2: Seuraavan tason tiedosto.
- ja niin edelleen.
Räjähdysketju ja CSV-tiedosto saattavat näyttää vain ylimmän tason kohteen, jos mitään siihen linkitetyistä entiteeteistä ei todettu ongelmalliseksi tai jos ne räjähtivät.
Yhteenveto-osa : Jos yhteenvetotietoja ei ole saatavilla, näytetään arvo Ei räjähdyksen yhteenvetoa . Muussa tapauksessa saatavilla on seuraavat yhteenvetotiedot räjähdyksestä:
- Analyysiaika
- Tuomio: Tuomio itse URL-osoitteessa.
Näyttökuvat-osa: Näytä kaikki räjähdyksen aikana tallennukset näyttökuvat. Näyttökuvia ei tallenneta, jos URL-osoite avautuu linkkiin, joka lataa tiedoston suoraan. Lataamasi tiedosto on kuitenkin räjähdeketjussa.
Jos räjähdenäyttökuvia ei ole käytettävissä, näkyviin tulee arvo Ei näytettäviä näyttökuvia . Muussa tapauksessa valitse linkki näyttökuvan tarkastelemiseksi.
Toiminnan tiedot -osa: Näyttää tarkat räjähdyksen aikana tapahtuneet tapahtumat sekä ongelmalliset tai hyvänlaatuiset havainnot, jotka sisältävät räjähdyksen aikana löydettyjä URL-osoitteita, URL-osoitteita, toimialueita ja tiedostoja.
Jos toiminnan tietoja ei ole saatavilla, näytetään arvo Ei räjähdyksen toimintaa . Muussa tapauksessa voit valita Vie ladataksesi toimintatiedot CSV-tiedostoon. Oletustiedostonimi on Behavior details.csv ja oletussijainti on Lataukset-kansio . Jos samanniminen tiedosto on jo olemassa, tiedostonimeen liitetään numero (esimerkiksi Toiminnan tiedot(1).csv). CSV-tiedosto sisältää seuraavat tiedot:
- Aika
- Toiminta
- Toimintaominaisuus
- Prosessi (PID)
- Operaatio
- Kohde
- Tiedot
- Tulos
URL-tiedot-välilehti : URL-tietojen osio sisältää seuraavat tiedot:
- URL
- Uhka
Kun tiedostotiedot-pikaikkuna on valmis, valitse Sulje.
Estä URL-osoitteet URL-näkymästä
Jos valitset merkinnän URL-näkymässä valitsemalla tiedostonimen vieressä olevan valintaruudun, Estä-toiminto on käytettävissä. Tämä toiminto lisää URL-osoitteen lohkomerkintänä vuokraajan sallittujen ja estettyjen luetteloon. Estä-vaihtoehdon valitseminen käynnistää ohjatun toiminnon:
Määritä Valitse toiminnot -sivulla jokin seuraavista asetuksista Estä URL-osoite - osassa:
- Ei vanhene koskaan : Tämä on oletusarvo .
- Älä koskaan vanhene : Siirrä valitsin pois käytöstä -kohtaan ja valitse sitten päivämäärä Poista käytössä -ruudusta.
Kun olet valmis Valitse toiminnot -sivulla, valitse Seuraava.
Tarkista Valitse kohdeentiteetit -sivulla, että url-osoite, jonka haluat estää, on valittuna, ja valitse sitten Seuraava.
Määritä Tarkista ja lähetä -sivulla seuraavat asetukset:
- Korjauksen nimi: Kirjoita yksilöllinen nimi, jotta voit seurata tilaa toimintokeskuksessa.
- Kuvaus: Kirjoita valinnainen kuvaus.
Kun olet valmis Tarkista ja lähetä -sivulla, valitse Lähetä.
Samankaltaisten sähköpostiviestien näkymä
Samankaltaiset sähköpostiviestit -näkymässä näkyvät muut sähköpostiviestit, joiden viestin leipätekstin tunniste on sama kuin tässä viestissä. Muiden viestien vastaavuusehdot eivät koske tätä näkymää (esimerkiksi tiedoston liitteiden tunnisteet).
Seuraavat liitetiedot ovat käytettävissä tässä näkymässä. Valitse sarakeotsikko, jonka mukaan lajitellaan kyseisen sarakkeen mukaan. Jos haluat lisätä tai poistaa sarakkeita, valitse Mukauta sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina.
- Päiväys
- Aihe
- Vastaanottaja
- Lähettäjä
- Lähettäjän IP
- Kumota
- Toimitustoiminto
- Toimituspaikka
Suodata merkinnät Suodattimen avulla alkamis- ja päättymispäivän mukaan.
Etsi tietoja sivulta hakuruudun avulla. Kirjoita teksti ruutuun ja paina ENTER-näppäintä.
Vie näkymän tiedot CSV-tiedostoon Vie-toiminnolla. Oletustiedostonimi on Microsoft Defender.csv ja oletussijainti on Lataukset-kansio . Jos samanniminen tiedosto on jo olemassa, tiedostonimeen liitetään numero (esimerkiksi - Microsoft Defender(1).csv).
Toiminnot Sähköposti-entiteettisivulla
Seuraavat toiminnot ovat käytettävissä Sähköposti-entiteettisivun yläosassa:
- Toimi: Lisätietoja on ohjeaiheessa Uhkien metsästys: Ohjattu toiminto.
- Sähköpostin esikatselu ²
-
Lisää vaihtoehtoja:
Siirry karanteeniin asetettuun sähköpostiin: Käytettävissä vain, jos viesti on karanteenissa. Tämän toiminnon valitseminen avaa Sähköposti-välilehden Karanteeni-sivulla osoitteessa https://security.microsoft.com/quarantine, suodatettuna viestin yksilöllisen viestitunnuksen arvon mukaan. Lisätietoja on kohdassa Näytä karanteeniin asetettu sähköposti.
Lataa sähköposti ²
Vihje
Latauksen sähköpostiviesti ei ole käytettävissä karanteeniin asetetuille viesteille. Lataa sen sijaan salasanalla suojattu kopio viestistä karanteenista.
¹ Sähköpostin esikatselu - ja Lataa sähköpostiviesti -toiminnot edellyttävät esikatseluroolia . Voit määrittää tämän roolin seuraavissa sijainneissa:
- Microsoft Defender XDR RBAC (Unified Role Based Access Control) (If Email & collaboration>Defender for Office 365 permissions is Active. Vaikuttaa vain Defender-portaaliin, ei PowerShelliin: Suojaustoiminnot/Raakatiedot (sähköposti & yhteiskäyttö)/Sähköposti & yhteistyösisältö (luku).
- Sähköposti & yhteiskäyttöoikeudet Microsoft Defender portaalissa: Jäsenyys tietotutkija- tai eDiscovery Manager -rooliryhmissä. Voit myös luoda uuden rooliryhmän , jolle on määritetty Esiversio-rooli , ja lisätä käyttäjät mukautettuun rooliryhmään.
² Voit esikatsella tai ladata sähköpostiviestejä, jotka ovat käytettävissä Microsoft 365 -postilaatikoissa. Esimerkkejä siitä, milloin viestit eivät ole enää käytettävissä postilaatikoissa, ovat seuraavat:
- Viesti poistettiin, ennen kuin toimitus tai toimitus epäonnistui.
- Viesti poistettiin kiinteästi.
- Viestin toimitussijainti on on-prem/external.
- ZAP siirsi viestin karanteeniin.
Sähköpostin yhteenveto -paneeli
Sähköpostin yhteenveto -paneeli on sähköpostitietojen pikaikkuna, joka on saatavilla useissa Exchange Online Protection (EOP) ja Defender for Office 365 ominaisuuksissa. Sähköpostin yhteenveto -paneeli sisältää standardoituja yhteenvetotietoja sähköpostiviestistä, joka on otettu Defender for Office 365 Sähköposti-entiteetti -sivulla olevista kokonaistiedoista.
Sähköpostin yhteenveto -paneelin sijainti on tämän artikkelin osiossa Sähköposti-entiteetin sivun sijainti . Tämän osion loppuosassa kuvataan tiedot, jotka ovat käytettävissä Sähköpostin yhteenveto -paneelissa kaikissa ominaisuuksissa.
Vihje
Sähköpostin yhteenveto -paneeli on käytettävissä Toimintokeskus-sivullahttps://security.microsoft.com/action-center/Odottaa- tai Historia-välilehdissä. Valitse entiteettityypinarvoksi Toiminto Sähköposti napsauttamalla mitä tahansa muuta rivin kohtaa kuin valintaruutua tai Investigation ID - arvoa. Näyttöön avautuu tietojen pikaikkuna, joka on Sähköpostin yhteenveto -paneeli, mutta Avaa sähköposti -entiteetti ei ole käytettävissä pikaikkunan yläosassa.
Seuraavat viestitiedot ovat käytettävissä Sähköpostin yhteenveto -paneelin yläosassa:
- Pikaikkunan otsikko on viestin Aihe-arvo.
- Viestin liitteiden ja linkkien määrä (ei sisälly kaikkiin ominaisuuksiin).
- Kaikki käyttäjätunnisteet, jotka on määritetty viestin vastaanottajille (mukaan lukien Prioriteetti-tili -tunniste). Lisätietoja on artikkelissa Käyttäjätunnisteet Microsoft Defender for Office 365
- Toiminnot, jotka ovat käytettävissä pikaikkunan yläosassa, riippuvat siitä, missä avasit Sähköpostin yhteenveto -paneelin. Käytettävissä olevat toiminnot on kuvattu yksittäisissä ominaisuusartikkeleissa.
Vihje
Jos haluat nähdä lisätietoja muista viesteistä poistumatta nykyisen viestin Sähköpostin yhteenveto -paneelista, käytä Edellinen kohde - ja Seuraava-kohteita pikaikkunan yläosassa.
Seuraavat osiot ovat käytettävissä Sähköpostin yhteenveto -paneelissa kaikille ominaisuuksille (sillä ei ole väliä, mistä avasit Sähköpostin yhteenveto -paneelin):
Toimitustiedot-osio :
- Alkuperäiset uhat
- Uusimmat uhat
- Alkuperäinen sijainti
- Viimeisin toimituspaikka
- Toimitustoiminto
- Tunnistamistekniikat
- Ensisijainen ohitus: Lähde
Sähköpostin tiedot -osa:
- Lähettäjän näyttönimi
- Lähettäjän osoite
- Lähettäjän sähköpostiosoite
- Lähetetty käyttäjän puolesta
- Palautuspolku
- Lähettäjän IP
- Sijainti
- Vastaanottajat
- Vastaanottoaika
- Suuntaisuus
- Verkkoviestin tunnus
- Internet-viestin tunnus
- Kampanjan tunnus
- DMARC
- DKIM
- SPF
- Yhdistelmätodentaminen
URL-osoitteet-osa : Lisätietoja viestin URL-osoitteista:
- URL
- Uhan tila
Jos viestissä on enemmän kuin kolme URL-osoitetta, näet ne kaikki valitsemalla Näytä kaikki URL-osoitteet .
Liiteosa : Viestin liitetiedostojen tiedot:
- Liitteen nimi
- Uhka
- Tunnistamistekniikka / haittaohjelmaperhe
Jos viestissä on enemmän kuin kolme liitettä, näet ne kaikki valitsemalla Näytä kaikki liitteet .