Del via

Om Trusselutforsker og sanntidsregistreringer i Microsoft Defender for Office 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Microsoft 365-organisasjoner som har Microsoft Defender for Office 365 inkludert i abonnementet eller kjøpt som et tillegg, har Explorer (også kjent som Trusselutforsker) eller Sanntidsgjenkjenning. Disse funksjonene er kraftige rapporteringsverktøy i nærheten av sanntid som hjelper Sikkerhetsoperasjoner (SecOps)-team med å undersøke og reagere på trusler.

Avhengig av abonnementet, er Trusselutforsker eller Sanntidsgjenkjenning tilgjengelig i delen E-& samarbeid i Microsoft Defender-portalen på https://security.microsoft.com:

Trusselutforsker inneholder samme informasjon og funksjoner som sanntidsregistreringer, men med følgende tilleggsfunksjoner:

  • Flere visninger.
  • Flere alternativer for egenskapsfiltrering, inkludert alternativet for å lagre spørringer.
  • Flere handlinger.

Hvis du vil ha mer informasjon om forskjellene mellom Defender for Office 365 Plan 1 og Plan 2, kan du se Defender for Office 365 Plan 1 kontra Jukselapp 2.

Resten av denne artikkelen forklarer visningene og funksjonene som er tilgjengelige i Trusselutforsker og Sanntidsgjenkjenninger.

Tips

For e-postscenarioer som bruker Trusselutforsker og Sanntidsgjenkjenning, kan du se følgende artikler:

Tillatelser og lisensiering for Trusselutforsker og Sanntidsregistreringer

Hvis du vil bruke Explorer eller sanntidsgjenkjenninger, må du være tilordnet tillatelser. Du har følgende alternativer:

  • Microsoft Defender XDR enhetlig rollebasert tilgangskontroll (RBAC) (hvis e-post & samarbeid>Defender for Office 365 tillatelser er aktive. Påvirker bare Defender-portalen, ikke PowerShell):
    • Lesetilgang for e-post- og Teams-meldingshoder: Sikkerhetsoperasjoner/rådata (e-post & samarbeid)/E-post & samarbeidsmetadata (lest).
    • Forhåndsvis og last ned e-postmeldinger: Sikkerhetsoperasjoner/rådata (e-post & samarbeid)/E-post & samarbeidsinnhold (lest).
    • Utbedr skadelig e-post: Sikkerhetsoperasjoner/sikkerhetsdata/e-post & avanserte handlinger for samarbeid (administrer).
  • E-post & samarbeidstillatelser i Microsoft Defender portalen:
    • Full tilgang: Medlemskap i rollegruppene Organisasjonsadministrasjon eller Sikkerhetsadministrator . Det kreves flere tillatelser for å utføre alle tilgjengelige handlinger:
      • Forhåndsvise og laste ned meldinger: Krever forhåndsvisningsrollen , som bare er tilordnet rollegruppene Data Investigator eller eDiscovery Manager som standard. Du kan også opprette en ny rollegruppe med forhåndsvisningsrollen tilordnet, og legge til brukerne i den egendefinerte rollegruppen.
      • Flytt meldinger inn og slett meldinger fra postbokser: Krever rollen Søk og tøm , som bare er tilordnet rollegruppene Data investigator eller Organization Management som standard. Du kan også opprette en ny rollegruppe med rollen Søk og tøm , og legge til brukerne i den egendefinerte rollegruppen.
    • Skrivebeskyttet tilgang: Medlemskap i rollegruppen Sikkerhetsleser .
  • Microsoft Entra tillatelser: Medlemskap i disse rollene gir brukerne de nødvendige tillatelsene og tillatelsene for andre funksjoner i Microsoft 365:

    • Full tilgang: Medlemskap i rollene som global administrator* eller sikkerhetsadministrator .

    • Søk etter regler for Exchange-e-postflyt (transportregler) etter navn i Trusselutforsker: Medlemskap i rollene sikkerhetsadministrator eller sikkerhetsleser .

    • Skrivebeskyttet tilgang: Medlemskap i rollene global leser eller sikkerhetsleser .

      Viktig

      * Microsoft anbefaler at du bruker roller med færrest tillatelser. Bruk av kontoer med lavere tillatelser bidrar til å forbedre sikkerheten for organisasjonen. Global administrator er en svært privilegert rolle som bør begrenses til nødscenarioer når du ikke kan bruke en eksisterende rolle.

Tips

Søppelpostvarsler for sluttbrukere og systemgenererte meldinger er ikke tilgjengelige i Trusselutforsker. Disse typene meldinger er tilgjengelige hvis det finnes en e-postflytregel (også kjent som en transportregel) som skal overstyres.

Oppføringer i overvåkingsloggen genereres når administratorer forhåndsviser eller laster ned e-postmeldinger. Du kan søke i overvåkingsloggen for administratorer etter AdminMailAccess-aktivitet . Hvis du vil ha instruksjoner, kan du se Revisjon av nytt søk.

Hvis du vil bruke Trusselutforsker eller Sanntidsregistreringer, må du tilordnes en lisens for Defender for Office 365 (inkludert i abonnementet eller en tilleggslisens).

Trusselutforsker eller sanntidsregistreringer inneholder data for brukere med Defender for Office 365 lisenser som er tilordnet dem.

Elementer i Trusselutforsker og Sanntidsregistreringer

Trusselutforsker og sanntidsregistreringer inneholder følgende elementer:

  • Visninger: Faner øverst på siden som organiserer gjenkjenninger etter trussel. Visningen påvirker resten av dataene og alternativene på siden.

    Tabellen nedenfor viser de tilgjengelige visningene i Trusselutforsker og Sanntidsregistreringer:

    Vis Trussel
    Utforsker    		 Sanntids
    Påvisninger    		 Beskrivelse
    All e-post Standardvisning for Trusselutforsker. Informasjon om alle e-postmeldinger som sendes av eksterne brukere til organisasjonen (innkommende), e-postmeldinger som sendes av interne brukere i organisasjonen til eksterne brukere (utgående) og e-postmeldinger som sendes mellom interne brukere i organisasjonen (Intra-org).
    Skadelig programvare Standardvisning for sanntidsregistreringer. Informasjon om e-postmeldinger som inneholder skadelig programvare.
    Phish Informasjon om e-postmeldinger som inneholder phishing-trusler.
    Kampanjer Informasjon om skadelig e-post som Defender for Office 365 Plan 2 identifisert som en del av en koordinert phishing- eller skadelig programvarekampanje.
    Innholds skadelig programvare Informasjon om skadelige filer som oppdages av følgende funksjoner:
    Nettadresseklikk Informasjon om brukerklikk på nettadresser i e-postmeldinger, Teams-meldinger, SharePoint-filer og OneDrive-filer.

    Disse visningene er beskrevet i detalj i denne artikkelen, inkludert forskjellene mellom Trusselutforsker og Sanntidsgjenkjenning.

  • Dato/klokkeslett-filtre: Visningen filtreres som standard etter i går og i dag. Hvis du vil endre datofilteret, velger du datointervallet og velger deretter verdiene for startdato og sluttdato for opptil 30 dager siden.

    Skjermbilde av datofilteret som brukes i Trusselutforsker og Sanntidsregistreringer i Defender-portalen.

  • Egenskapsfiltre (spørringer): Filtrer resultatene i visningen etter tilgjengelige meldings-, fil- eller trusselegenskaper. De tilgjengelige filtrerbare egenskapene avhenger av visningen. Noen egenskaper er tilgjengelige i mange visninger, mens andre egenskaper er begrenset til en bestemt visning.

    De tilgjengelige egenskapsfiltrene for hver visning er oppført i denne artikkelen, inkludert forskjellene mellom Trusselutforsker og Sanntidsregistreringer.

    Hvis du vil ha instruksjoner for å opprette egenskapsfiltre, kan du se Egenskapsfiltre i Trusselutforsker og Sanntidsregistreringer

    Med Trusselutforsker kan du lagre spørringer for senere bruk, som beskrevet i delen Lagrede spørringer i Trusselutforsker .

  • Diagrammer: Hver visning inneholder et visualobjekt, aggregert representasjon av de filtrerte eller ufiltrerte dataene. Du kan bruke tilgjengelige pivoter til å organisere diagrammet på forskjellige måter.

    Du kan ofte bruke Eksporter diagramdata til å eksportere filtrerte eller ufiltrerte diagramdata til en CSV-fil.

    Diagrammene og de tilgjengelige pivotene beskrives i detalj i denne artikkelen, inkludert forskjellene mellom Trusselutforsker og Sanntidsgjenkjenning.

    Tips

    Hvis du vil fjerne diagrammet fra siden (som maksimerer størrelsen på detaljområdet), bruker du én av følgende metoder:

    • Velg listevisning for diagram> øverst på siden.
    • Velg Vis listevisning mellom diagrammet og detaljområdet.

  • Detaljområde: Detaljområdet for en visning viser vanligvis en tabell som inneholder de filtrerte eller ufiltrerte dataene. Du kan bruke de tilgjengelige visningene (fanene) til å organisere dataene i detaljområdet på forskjellige måter. En visning kan for eksempel inneholde diagrammer, kart eller forskjellige tabeller.

    Hvis detaljområdet inneholder en tabell, kan du ofte bruke Eksporter til å selektivt eksportere opptil 200 000 filtrerte eller ufiltrerte resultater til en CSV-fil.

    Tips

    I undermenyen Eksporter kan du velge noen av eller alle de tilgjengelige egenskapene som skal eksporteres. Valgene lagres per bruker. Valg i inkognito- eller InPrivate-visningsmodus lagres til du lukker nettleseren.

Skjermbilde av hovedsiden i Trusselutforsker som viser rapportdata i sanntid i Defender for Office 365-portalen.

All e-postvisning i Trusselutforsker

Alle e-postvisningene i Trusselutforsker viser informasjon om alle inngående, utgående og intra-org-e-postmeldinger. Visningen viser ondsinnet og ikke-skadelig e-post. Eksempel:

  • E-post identifisert phishing eller skadelig programvare.
  • E-post identifisert som søppelpost eller masseutsendt.
  • E-post identifisert uten trusler.

Denne visningen er standard i Trusselutforsker. Hvis du vil åpne All e-post-visningenExplorer-siden i Defender-portalen på https://security.microsoft.com, kan du gå til E-post & samarbeid>Explorer>Alle e-post-fanen . Eller gå direkte til Explorer-siden ved hjelp av https://security.microsoft.com/threatexplorerv3, og kontroller deretter at fanen All e-post er valgt.

Skjermbilde av Alle e-postvisningene i Trusselutforsker som viser diagrammet, tilgjengelige pivoter for diagrammet og visninger for detaljtabellen.

Egenskaper som kan filtreres i Visningen Alle e-postmeldinger i Trusselutforsker

Som standard brukes ingen egenskapsfiltre på dataene. Trinnene for å opprette filtre (spørringer) er beskrevet i delen Filtre i Trusselutforsker og Sanntidsgjenkjenning senere i denne artikkelen.

De filtrerbare egenskapene som er tilgjengelige i handlingsboksen Levering i visningen Alle e-postmeldinger , er beskrevet i tabellen nedenfor:

Eiendom Type:
Basic
Avsenderadresse Tekst. Skill flere verdier med komma.
Mottakere Tekst. Skill flere verdier med komma.
Avsenderdomene Tekst. Skill flere verdier med komma.
Mottakerdomene Tekst. Skill flere verdier med komma.
Emne Tekst. Skill flere verdier med komma.
Visningsnavn for avsender Tekst. Skill flere verdier med komma.
Avsender e-post fra adresse Tekst. Skill flere verdier med komma.
Avsender e-post fra domene Tekst. Skill flere verdier med komma.
Returbane Tekst. Skill flere verdier med komma.
Returbanedomene Tekst. Skill flere verdier med komma.
Malware familie Tekst. Skill flere verdier med komma.
Tags Tekst. Skill flere verdier med komma.

Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.
Representert domene Tekst. Skill flere verdier med komma.
Representert bruker Tekst. Skill flere verdier med komma.
Exchange-transportregel Tekst. Skill flere verdier med komma.
Regel for hindring av datatap Tekst. Skill flere verdier med komma.
Sammenheng Velg én eller flere verdier:
  • Vurdering
  • Beskyttelse av prioritert konto
Kobling Tekst. Skill flere verdier med komma.
Leveringshandling Velg én eller flere verdier:
  • Blokkert: E-postmeldinger som ble satt i karantene, som ikke ble levert, eller som ble fjernet.
  • Levert: E-post levert til brukerens innboks eller en annen mappe der brukeren har tilgang til meldingen.
  • Levert til søppelpost: E-post levert til brukerens søppelpostmappe eller Slettede elementer-mappen der brukeren har tilgang til meldingen.
  • Erstattet: Meldingsvedlegg som ble erstattet av dynamisk levering i policyer for klarerte vedlegg.
Tilleggshandling Velg én eller flere verdier:
Retningen Velg én eller flere verdier:
  • Innkommende
  • Intra-org
  • Utgående
Gjenkjenningsteknologi Velg én eller flere verdier:
  • Avansert filter: Signaler basert på maskinlæring.
  • Beskyttelse mot skadelig programvare
  • Masseutsendelse
  • Kampanje
  • Domenesomdømme
  • Fildetonasjon: Klarerte vedlegg oppdaget et skadelig vedlegg under detonasjonsanalyse.
  • Omdømme for fildetonasjon: Filvedlegg som tidligere ble oppdaget av klarerte vedlegg detonasjoner i andre Microsoft 365-organisasjoner.
  • Filnavn: Meldingen inneholder en fil som tidligere ble identifisert som skadelig i andre Microsoft 365-organisasjoner.
  • Fingeravtrykkssamsvar: Meldingen ligner på en tidligere oppdaget skadelig melding.
  • Generelt filter
  • Representasjonsmerke: Avsenderrepresentasjon av velkjente merker.
  • Representasjonsdomene: Representasjon av avsenderdomener som du eier eller spesifiserte for beskyttelse i anti-phishing-policyer
  • Representasjonsbruker
  • IP-omdømme
  • Etterligning av postboksintelligens: Representasjonsgjenkjenninger fra postboksintelligens i anti-phishing-policyer.
  • Blandet analysegjenkjenning: Flere filtre bidro til meldingsvurderingen.
  • spoof DMARC: Meldingen mislyktes DMARC-godkjenning.
  • Forfalsking av eksternt domene: Forfalskning av e-postadresser for avsender ved hjelp av et domene som er eksternt for organisasjonen.
  • Spoof intra-org: Forfalskning av avsenderens e-postadresse ved hjelp av et domene som er internt i organisasjonen.
  • Omdømme for nettadressedetonasjon: NETTADRESSEr som tidligere ble oppdaget av Safe Links-detonasjoner i andre Microsoft 365-organisasjoner.
  • Skadelig omdømme for nettadresse: Meldingen inneholder en nettadresse som tidligere ble identifisert som skadelig i andre Microsoft 365-organisasjoner.
Trusselklassifisering Velg én eller flere verdier:
  • Forretningsinteligens
  • Kontakt etablissement
  • Gavekort
  • Faktura
  • Lønn
  • < PII-samling/li>
  • Oppgave
Hvis du vil ha mer informasjon, kan du se Trusselklassifisering i Microsoft Defender for Office 365.
Opprinnelig leveringssted Velg én eller flere verdier:
  • Slettede elementer-mappen
  • Falt
  • Mislyktes
  • Innboks/mappe
  • Søppelpostmappe
  • Lokal/ekstern
  • Karantene
  • Ukjent
Siste leveringssted¹ Samme verdier som opprinnelig leveringssted
Phish-konfidensnivå Velg én eller flere verdier:
  • Høy
  • Normal
Primær overstyring Velg én eller flere verdier:
  • Tillatt av organisasjonspolicy
  • Tillatt av brukerpolicy
  • Blokkert av organisasjonspolicy
  • Blokkert av brukerpolicy
  • Ingen
Primær overstyringskilde Meldinger kan ha flere tillatelses- eller blokkeringsoverstyringer som identifisert i overstyringskilden. Overstyringen som til slutt tillot eller blokkerte meldingen, identifiseres i primær overstyringskilde.
Velg én eller flere verdier:
  • Tredjepartsfilter
  • Admin initierte tidsreiser (ZAP)
  • Policyblokk for beskyttelse mot skadelig programvare etter filtype
  • Innstillinger for antispam-policy
  • Tilkoblingspolicy
  • Exchange-transportregel
  • Eksklusiv modus (brukeroverstyring)
  • Filtrering hoppet over på grunn av lokal organisasjon
  • IP-områdefilter fra policy
  • Språkfilter fra policy
  • Phishing-simulering
  • Frigi karantene
  • SecOps-postboks
  • Avsenderadresseliste (Admin overstyring)
  • Avsenderadresseliste (brukeroverstyring)
  • Overstyring av avsenderdomeneliste (Admin)
  • Avsenderdomeneliste (brukeroverstyring)
  • Filblokk for tillat/blokkeringsliste for leier
  • E-postadresseblokk for tillat/blokkeringsliste for leier
  • Forfalskningsblokk for leierens tillatelses-/blokkeringsliste
  • Nettadresseblokk for leierens tillatelses-/blokkeringsliste
  • Klarert kontaktliste (brukeroverstyring)
  • Klarert domene (brukeroverstyring)
  • Klarert mottaker (brukeroverstyring)
  • Bare klarerte avsendere (brukeroverstyring)
Overstyr kilde Samme verdier som primær overstyringskilde
Policytype Velg én eller flere verdier:
  • Policy for beskyttelse mot skadelig programvare
  • Anti-phishing-policy
  • Exchange-transportregel (e-postflytregel), vertsbasert innholdsfilterpolicy (policy for søppelpostpolicy), policy for vertsbasert søppelpostfilter, policy for utgående søppelpostfilter (utgående søppelpostpolicy), policy for klarerte vedlegg
  • Ukjent
Policyhandling Velg én eller flere verdier:
  • Legg til x-topptekst
  • Blindkopimelding
  • Slett melding
  • Endre emne
  • Flytt til Søppelpost-mappen
  • Ingen handling er utført
  • Omdiriger melding
  • Send til karantene
Trusseltype Velg én eller flere verdier:
  • Skadelig programvare
  • Phish
  • Søppelpost
Videresendt melding Velg én eller flere verdier:
  • Sant
  • Falsk
Distribusjonsliste Tekst. Skill flere verdier med komma.
E-poststørrelse Heltall. Skill flere verdier med komma.
Avansert
ID for Internett-melding Tekst. Skill flere verdier med komma.

Tilgjengelig i meldings-ID-topptekstfeltet i meldingshodet. En eksempelverdi er <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (merk vinkelparentesene).
Nettverksmeldings-ID Tekst. Skill flere verdier med komma.

En GUID-verdi som er tilgjengelig i topptekstfeltet X-MS-Exchange-Organization-Network-Message-Id i meldingshodet.
IP-adresse for avsender Tekst. Skill flere verdier med komma.
Vedlegg SHA256 Tekst. Skill flere verdier med komma.
Klynge-ID Tekst. Skill flere verdier med komma.
Varsel-ID Tekst. Skill flere verdier med komma.
ID for varselpolicy Tekst. Skill flere verdier med komma.
Kampanje-ID Tekst. Skill flere verdier med komma.
ZAP URL-signal Tekst. Skill flere verdier med komma.
Nettadresser
Antall URL-adresser Heltall. Skill flere verdier med komma.
URL-adresse domene² Tekst. Skill flere verdier med komma.
URL-adressedomene og bane² Tekst. Skill flere verdier med komma.
URL² Tekst. Skill flere verdier med komma.
BANE TIL URL-adresse² Tekst. Skill flere verdier med komma.
URL-kilde Velg én eller flere verdier:
  • Vedlegg
  • Skyvedlegg
  • Brødtekst i e-post
  • E-posthode
  • QR-kode
  • Emne
  • Ukjent
Klikk dommen Velg én eller flere verdier:
  • Tillatt: Brukeren har tillatelse til å åpne nettadressen.
  • Blokkoverstyrt: Brukeren ble blokkert fra å åpne nettadressen direkte, men de overstyrte blokken for å åpne nettadressen.
  • Blokkert: Brukeren ble blokkert fra å åpne URL-adressen.
  • Feil: Brukeren ble presentert med feilsiden, eller det oppstod en feil under registrering av dommen.
  • Feil: Det oppstod et ukjent unntak under registrering av dommen. Brukeren kan ha åpnet URL-adressen.
  • Ingen: Kan ikke registrere dommen for URL-adressen. Brukeren kan ha åpnet URL-adressen.
  • Venter på dom: Brukeren ble presentert med den ventende siden for detonasjon.
  • Ventende dom forbigått: Brukeren ble presentert med detonasjonssiden, men de overstyrte meldingen for å åpne nettadressen.
Url-adresse trussel Velg én eller flere verdier:
  • Skadelig programvare
  • Phish
  • Søppelpost
Fil
Antall vedlegg Heltall. Skill flere verdier med komma.
Filnavn for vedlegg Tekst. Skill flere verdier med komma.
Filtype Tekst. Skill flere verdier med komma.
Filtype Tekst. Skill flere verdier med komma.
Filstørrelse Heltall. Skill flere verdier med komma.
Godkjenning
SPF Velg én eller flere verdier:
  • Svikte
  • Nøytral
  • Ingen
  • Pass
  • Permanent feil
  • Myk mislykket
  • Midlertidig feil
DKIM Velg én eller flere verdier:
  • Feil
  • Svikte
  • Ignorere
  • Ingen
  • Pass
  • Prøve
  • Tidsavbrudd
  • Ukjent
DMARC Velg én eller flere verdier:
  • Beste gjetning pass
  • Svikte
  • Ingen
  • Pass
  • Permanent feil
  • Velgerpass
  • Midlertidig feil
  • Ukjent
Sammensatt Velg én eller flere verdier:
  • Svikte
  • Ingen
  • Pass
  • Myk pass

Tips

¹ Nyeste leveringssted inkluderer ikke sluttbrukerhandlinger i meldinger. Hvis brukeren for eksempel slettet meldingen eller flyttet meldingen til et arkiv eller en PST-fil.

Det finnes scenarioer der den opprinnelige leveringsplasseringen/nyeste leveringsplassering og/eller leveringshandlingen har verdien Ukjent. Eksempel:

  • Meldingen ble levert (leveringshandlingenleveres), men en innboksregel flyttet meldingen til en annen standardmappe enn innboksen eller søppelpostmappen (for eksempel mappen Kladd eller Arkiv).
  • ZAP prøvde å flytte meldingen etter levering, men meldingen ble ikke funnet (brukeren flyttet eller slettet for eksempel meldingen).

² Som standard tilordnes et nettadressesøk til http, med mindre en annen verdi er uttrykkelig angitt. Eksempel:

  • Søk med og uten prefikset http:// i URL-adressen, URL-adressedomenet og URL-adressedomenet og banen skal vise de samme resultatene.
  • Søk etter prefikset https:// i URL-adressen. Når ingen verdi er angitt, brukes prefikset http:// .
  • / i begynnelsen og slutten av url-banen ignoreres URL-adressedomenet, url-domenet og banefeltene .
  • / på slutten av URL-adressefeltet ignoreres.

Pivoter for diagrammet i Visningen Alle e-postmeldinger i Trusselutforsker

Diagrammet har en standardvisning, men du kan velge en verdi fra Velg pivot for histogramdiagram for å endre hvordan de filtrerte eller ufiltrerte diagramdataene organiseres og vises.

De tilgjengelige diagrampivotene er beskrevet i følgende underområder.

Pivot for leveringshandlingsdiagram i Alle e-post-visningen i Trusselutforsker

Selv om denne pivoten ikke ser valgt ut som standard, er leveringshandling standard diagrampivot i Alle e-post-visningen .

Leveringshandlingspivoten organiserer diagrammet etter handlingene som utføres på meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i Alle e-post-visningen i Trusselutforsker ved hjelp av leveringshandlingspivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver leveringshandling.

Pivot for avsenderdomenediagram i Visningen Alle e-post i Trusselutforsker

Pivoten for avsenderdomenet organiserer diagrammet etter domenene i meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i Visningen Alle e-postmeldinger i Trusselutforsker ved hjelp av avsenderdomenepivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hvert avsenderdomene.

Pivot for IP-diagram for avsender i Visningen Alle e-postmeldinger i Trusselutforsker

Ip-pivoten for avsender organiserer diagrammet etter kilde-IP-adressene til meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i Alle e-post-visningen i Trusselutforsker ved hjelp av IP-pivoten for avsender.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver AVsender-IP-adresse.

Pivot for gjenkjenningsteknologi i Visningen Alle e-post i Trusselutforsker

Gjenkjenningsteknologipivoten organiserer diagrammet etter funksjonen som identifiserte meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i Alle e-post-visningen i Trusselutforsker ved hjelp av gjenkjenningsteknologipivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver gjenkjenningsteknologi.

Pivot for trusselklassifiseringsdiagram i Visningen Alle e-postmeldinger i Trusselutforsker

Pivot for trusselklassifisering organiserer diagrammet etter klassifiserte trusler. Hvis du vil ha mer informasjon, kan du se Trusselklassifisering i Microsoft Defender for Office 365.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver klassifisering.

Pivot for fullstendig nettadressediagram i Alle e-post-visningen i Trusselutforsker

Pivoten for fullstendig nettadresse organiserer diagrammet etter de fullstendige URL-adressene i meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i Alle e-post-visningen i Trusselutforsker ved hjelp av fullstendig nettadresse-pivot.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver fullstendige nettadresse.

Pivot for domenediagram for nettadresse i Visningen Alle e-post i Trusselutforsker

Url-domenepivoten organiserer diagrammet etter domenene i URL-adresser i meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i Alle e-post-visningen i Trusselutforsker ved hjelp av nettadressedomenepivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hvert nettadressedomene.

Pivot for nettadressedomene og banediagram i Visningen Alle e-post i Trusselutforsker

Url-domenet og banepivoten organiserer diagrammet etter domener og baner i URL-adresser i meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i All e-post-visningen i Trusselutforsker ved hjelp av nettadressedomenet og banepivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hvert nettadressedomene og -bane.

Visninger for detaljområdet i Alle e-post-visningen i Trusselutforsker

De tilgjengelige visningene (fanene) i detaljområdet i Alle e-post-visningen er beskrevet i følgende underområder.

E-postvisning for detaljområdet i All e-post-visningen i Trusselutforsker

E-post er standardvisningen for detaljområdet i alle e-postvisningene .

E-postvisningen viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Standardverdiene er merket med en stjerne (*):

  • Daddel*
  • Tema*
  • Mottaker*
  • Mottakerdomene
  • Tags*
  • Avsenderadresse*
  • Visningsnavn for avsender
  • Avsenderdomene*
  • IP-adresse for avsender
  • Avsender e-post fra adresse
  • Avsender e-post fra domene
  • Flere handlinger*
  • Leveringshandling
  • Siste leveringssted*
  • Opprinnelig leveringssted*
  • System overstyrer kilde
  • Systemoverstyringer
  • Varsel-ID
  • ID for Internett-melding
  • Nettverksmeldings-ID
  • E-postspråk
  • Exchange-transportregel
  • Kobling
  • Sammenheng
  • Regel for hindring av datatap
  • Trusseltype*
  • Gjenkjenningsteknologi
  • Trusselklassifisering
  • Antall vedlegg
  • Antall URL-adresser
  • E-poststørrelse

Tips

Hvis du vil se alle kolonnene, må du sannsynligvis utføre ett eller flere av følgende trinn:

  • Rull vannrett i nettleseren.
  • Begrens bredden på aktuelle kolonner.
  • Fjern kolonner fra visningen.
  • Zoome ut i nettleseren.

Tilpassede kolonneinnstillinger lagres per bruker. Tilpassede kolonneinnstillinger i Incognito- eller InPrivate-visningsmodus lagres til du lukker nettleseren.

Når du velger én eller flere oppføringer fra listen ved å merke av i avmerkingsboksen ved siden av den første kolonnen, er Handlingen Utfør tilgjengelig. Hvis du vil ha informasjon, kan du se Trusseljakt: Utbedring av e-post.

Skjermbilde av e-postvisningen (fanen) i detaljtabellen med en melding valgt og Aktiver handling.

Handlingen Åpne i nytt vindu er tilgjengelig i emneverdien for oppføringen. Denne handlingen åpner meldingen på siden for e-postenhet.

Når du klikker emne - eller mottakerverdiene i en oppføring, åpnes detaljer undermenyer. Disse undermenyene er beskrevet i følgende underområder.

E-postdetaljer fra e-postvisningen i detaljområdet i Visningen Alle e-postmeldinger

Når du velger emneverdien for en oppføring i tabellen, åpnes undermenyen for e-postdetaljer. Undermenyen for detaljer kalles sammendragspanelet for e-post og inneholder standardisert sammendragsinformasjon som også er tilgjengelig på siden for e-postenhet for meldingen.

Hvis du vil ha mer informasjon om informasjonen i sammendragspanelet for e-post, kan du se sammendragspanelet for e-post i Defender.

Følgende handlinger er tilgjengelige øverst i sammendragspanelet for e-post for Trusselutforsker og Sanntidsgjenkjenning:

  • Åpne e-postenhet
  • Vis topptekst
  • Gjør noe: Hvis du vil ha informasjon, kan du se Trusseljakt: Utbedring av e-post.
  • Flere alternativer:
    • Forhåndsvisning av e-post¹ ²
    • Last ned e-post¹ ² ³
    • Vis i Explorer
    • Gå på jakt

¹ Forhåndsvisning av e-post og Nedlasting av e-posthandlinger krever forhåndsvisningsrollen i e-& samarbeidstillatelser. Som standard tilordnes denne rollen til rollegruppene Data investigator og eDiscovery Manager . Medlemmer av rollegruppene Organisasjonsadministrasjon eller Sikkerhetsadministratorer kan som standard ikke utføre disse handlingene. Hvis du vil tillate disse handlingene for medlemmene av disse gruppene, har du følgende alternativer:

  • Legg til brukerne i rollegruppene Data investigator eller eDiscovery Manager .
  • Opprett en ny rollegruppe med rollen Søk og tøm , og legg til brukerne i den egendefinerte rollegruppen.

² Du kan forhåndsvise eller laste ned e-postmeldinger som er tilgjengelige i Microsoft 365-postbokser. Eksempler på når meldinger ikke lenger er tilgjengelige i postbokser, omfatter:

  • Meldingen ble fjernet før levering eller levering mislyktes.
  • Meldingen ble slettet med en myk linje (slettet fra Mappen Slettede elementer, som flytter meldingen til mappen Gjenopprettelige elementer\Slettinger).
  • ZAP flyttet meldingen til karantene.

³ Last ned e-post er ikke tilgjengelig for meldinger som ble satt i karantene. Last i stedet ned en passordbeskyttet kopi av meldingen fra karantene.

Go-jakten er bare tilgjengelig i Trusselutforsker. Den er ikke tilgjengelig i sanntidsregistreringer.

Mottakerdetaljer fra e-postvisningen for detaljområdet i Visningen Alle e-postmeldinger

Når du velger en oppføring ved å klikke mottakerverdien, åpnes en undermeny for detaljer med følgende informasjon:

Tips

Hvis du vil se detaljer om andre mottakere uten å forlate detaljer-undermenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

  • Sammendragsinndeling :

    • Rolle: Om mottakeren har tilordnet administratorroller.
    • Policyer:

  • E-postinndeling : En tabell som viser følgende relatert informasjon for meldinger som sendes til mottakeren:

    • Dato
    • Emne
    • Mottaker

    Velg Vis all e-post for å åpne Trusselutforsker i en ny fane filtrert av mottakeren.

  • Inndelingen Nylige varsler : En tabell som viser følgende relatert informasjon for relaterte nylige varsler:

    • Alvorlighetsgraden
    • Varslingspolicy
    • Kategori
    • Aktiviteter

    Hvis det finnes mer enn tre nylige varsler, velger du Vis alle nylige varsler for å se alle.

    • Nylig aktivitet-delen : Viser de summerte resultatene av et søk i overvåkingsloggen for mottakeren:

      • Dato
      • IP-adresse
      • Aktivitet
      • Element

      Hvis mottakeren har mer enn tre oppføringer i overvåkingsloggen, velger du Vis all nylig aktivitet for å se alle.

    Tips

    Medlemmer av rollegruppen sikkerhetsadministratorer i e-post & samarbeidstillatelser , kan ikke utvide nylig aktivitet-delen . Du må være medlem av en rollegruppe i Exchange Online tillatelser som har tilordnet rollene overvåkingslogger, Information Protection analytiker eller Information Protection etterforsker. Som standard tilordnes disse rollene til rollegruppene Records Management, Compliance Management, Information Protection, Information Protection Analysts, Information Protection Investigators og Organization Management. Du kan legge til medlemmer av sikkerhetsadministratorer i disse rollegruppene, eller du kan opprette en ny rollegruppe med rollen Overvåkingslogger tilordnet.

Skjermbilde av undermenyen for mottakerdetaljer etter at du har valgt en mottakerverdi i E-post-fanen i detaljområdet i All e-post-visningen.

Url-adresse klikker visning for detaljområdet i Alle e-postvisningen i Trusselutforsker

Visningen for nettadresseklikk viser et diagram som kan organiseres ved hjelp av pivoter. Diagrammet har en standardvisning, men du kan velge en verdi fra Velg pivot for histogramdiagram for å endre hvordan de filtrerte eller ufiltrerte diagramdataene organiseres og vises.

Diagrampivotene er beskrevet i følgende underseksjoner.

Skjermbilde av detaljområdet i Alle e-post-visningen i Trusselutforsker med fanen nettadresseklikk valgt og viser de tilgjengelige pivotene uten at noen pivot er valgt.

Tips

I Trusselutforsker har hver pivot i visning for nettadresseklikk en Vis alle klikk-handling som åpner nettadressens klikkvisning i en ny fane.

Url-domenepivot for nettadresseklikkvisningen for detaljområdet i All e-post-visningen i Trusselutforsker

Selv om denne diagrampivoten ikke ser ut til å være valgt, er URL-domene standard diagrampivot i nettadressens klikkvisning .

Url-domenepivoten viser de ulike domenene i nettadresser i e-postmeldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av detaljområdet i Alle e-post-visningen i Trusselutforsker med nettadresseklikk-fanen og nettadressedomenepivoten valgt.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hvert nettadressedomene.

Klikk verdict pivot for url-klikkvisningen for detaljområdet i All e-post-visningen i Trusselutforsker

Pivot for klikkdom viser de ulike dommene for nettadresser som klikkes i e-postmeldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av detaljområdet i Alle e-post-visningen i Trusselutforsker med fanen nettadresseklikk og Klikk dom-pivoten valgt.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hvert klikk.

Url-pivot for nettadresseklikkvisningen for detaljområdet i Alle e-post-visningen i Trusselutforsker

Nettadressepivoten viser de ulike URL-adressene som ble klikket i e-postmeldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av detaljområdet i Alle e-post-visningen i Trusselutforsker med nettadresseklikk-fanen og nettadressepivoten valgt.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver nettadresse.

URL-adressedomene og banepivot for nettadressens klikkvisning for detaljområdet i All e-post-visningen i Trusselutforsker

Url-domenet og banepivoten viser de ulike domenene og filbanene til URL-adresser som ble klikket i e-postmeldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av detaljområdet i All e-post-visningen i Trusselutforsker med nettadresseklikk-fanen og NETTADRESSE-domenet og banepivoten valgt.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hvert URL-domene og hver filbane.

Øverste nettadresser-visning for detaljområdet i Alle e-postvisningen i Trusselutforsker

Visningen for de øverste nettadressene viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift:

  • URL-adresse
  • Meldinger blokkert
  • Søppelpostmeldinger
  • Meldinger levert
Populære NETTADRESSEr-detaljer for Alle e-post-visningen

Når du velger en oppføring ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer med følgende informasjon:

Tips

Hvis du vil se detaljer om andre nettadresser uten å forlate detaljer-undermenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

  • Følgende handlinger er tilgjengelige øverst i undermenyen:

    • Åpne URL-side

    • Send inn til analyse:

      • Rapportrens
      • Rapporter phishing
      • Rapporter skadelig programvare

    • Behandle indikator:

      • Legg til indikator
      • Behandle i blokkeringsliste for leier

      Hvis du velger et av disse alternativene, kommer du til Innsendinger-siden i Defender-portalen.

    • Mer:

      • Vis i Explorer
      • Gå på jakt
  • Opprinnelig URL-adresse
  • Registreringsinndeling :
    • Trusselintelligensdom
    • x aktive varsler om hendelser: Et vannrett stolpediagram som viser antall varsler om høy, middels, lav og informasjon som er relatert til denne koblingen.
    • En kobling til Vis alle hendelser & varsler på nettadressesiden.
  • Inndeling for domenedetaljer :
    • Domenenavn og en kobling til Vis domeneside.
    • Registranten
    • Registrert på
    • Oppdatert den
    • Utløper den
  • Inndeling for kontaktinformasjon for registrant :
    • Registrar
    • Land/område
    • Postadresse
    • E-post
    • Phone
    • Mer informasjon: En kobling til Open at Whois.
  • Utbredelse av nettadresse (siste 30 dager) inndeling: Inneholder antall enheter, e-post og klikk. Velg hver verdi for å vise hele listen.
  • Enheter: Viser de berørte enhetene:

    • Dato (første / siste)

    • Enheter

      Hvis mer enn to enheter er involvert, velger du Vis alle enheter for å se alle.

Skjermbilde av undermenyen for detaljer etter å ha valgt en oppføring i fanen Øverste nettadresser i Alle e-post-visningen i Trusselutforsker.

Øverste klikkvisning for detaljområdet i Alle e-postvisningen i Trusselutforsker

Visningen For populære klikk viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift:

  • URL-adresse
  • Blokkert
  • Tillatt
  • Blokkoverstyrt
  • Venter på dom
  • Venter på dom forbigått
  • Ingen
  • Feilside
  • Fiasko

Tips

Alle tilgjengelige kolonner er valgt. Hvis du velger Tilpass kolonner, kan du ikke fjerne merkingen av noen kolonner.

Hvis du vil se alle kolonnene, må du sannsynligvis utføre ett eller flere av følgende trinn:

  • Rull vannrett i nettleseren.
  • Begrens bredden på aktuelle kolonner.
  • Zoome ut i nettleseren.

Når du velger en oppføring ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer. Informasjonen i undermenyen er den samme som beskrevet i de øverste nettadressene for alle e-postvisningene.

Øverste målrettede brukere-visning for detaljområdet i Alle e-postvisningene i Trusselutforsker

Visningen Toppmålrettede brukere organiserer dataene i en tabell med de fem beste mottakerne som ble utsatt for flest trusler. Tabellen inneholder følgende informasjon:

Tips

Bruk Eksporter til å eksportere listen over opptil 3000 brukere og tilsvarende forsøk.

Opprinnelsesvisning for e-post for detaljområdet i Alle e-post-visningen i Trusselutforsker

E-postopprinnelsesvisningen viser meldingskilder på et verdenskart.

Skjermbilde av verdenskartet i e-postopprinnelsesvisningen i detaljområdet i All e-post-visningen i Trusselutforsker.

Kampanjevisning for detaljområdet i All e-post-visningen i Trusselutforsker

Kampanjevisningen viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift.

Informasjonen i tabellen er den samme som beskrevet i detaljtabellen på Kampanjer-siden.

Når du velger en oppføring ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av Navnet, åpnes en undermeny for detaljer. Informasjonen i undermenyen er den samme som beskrevet i kampanjedetaljer.

Visning av skadelig programvare i Trusselutforsker og Sanntidsregistreringer

Visningen for skadelig programvare i Trusselutforsker og Sanntidsregistreringer viser informasjon om e-postmeldinger som ble funnet å inneholde skadelig programvare. Denne visningen er standard i sanntidsregistreringer.

Gjør ett av følgende for å åpne visningen for skadelig programvare :

Skjermbilde av visningen Skadelig programvare i Trusselutforsker som viser diagrammet, tilgjengelige pivoter for diagrammet og visninger for detaljtabellen.

Filtrerbare egenskaper i visningen for skadelig programvare i Trusselutforsker og Sanntidsregistreringer

Som standard brukes ingen egenskapsfiltre på dataene. Trinnene for å opprette filtre (spørringer) er beskrevet i delen Filtre i Trusselutforsker og Sanntidsgjenkjenning senere i denne artikkelen.

De filtrerbare egenskapene som er tilgjengelige i avsenderadresseboksen i visningen Skadelig programvare , er beskrevet i tabellen nedenfor:

Eiendom Type: Trussel
Utforsker		 Sanntids
Påvisninger
Basic
Avsenderadresse Tekst. Skill flere verdier med komma.
Mottakere Tekst. Skill flere verdier med komma.
Avsenderdomene Tekst. Skill flere verdier med komma.
Mottakerdomene Tekst. Skill flere verdier med komma.
Emne Tekst. Skill flere verdier med komma.
Visningsnavn for avsender Tekst. Skill flere verdier med komma.
Avsender e-post fra adresse Tekst. Skill flere verdier med komma.
Avsender e-post fra domene Tekst. Skill flere verdier med komma.
Returbane Tekst. Skill flere verdier med komma.
Returbanedomene Tekst. Skill flere verdier med komma.
Malware familie Tekst. Skill flere verdier med komma.
Tags Tekst. Skill flere verdier med komma.

Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.
Exchange-transportregel Tekst. Skill flere verdier med komma.
Regel for hindring av datatap Tekst. Skill flere verdier med komma.
Sammenheng Velg én eller flere verdier:
  • Vurdering
  • Beskyttelse av prioritert konto
Kobling Tekst. Skill flere verdier med komma.
Leveringshandling Velg én eller flere verdier:
Tilleggshandling Velg én eller flere verdier:
Retningen Velg én eller flere verdier:
  • Innkommende
  • Intra-org
  • Utgående
Gjenkjenningsteknologi Velg én eller flere verdier:
  • Avansert filter: Signaler basert på maskinlæring.
  • Beskyttelse mot skadelig programvare
  • Masseutsendelse
  • Kampanje
  • Domenesomdømme
  • Fildetonasjon: Klarerte vedlegg oppdaget et skadelig vedlegg under detonasjonsanalyse.
  • Omdømme for fildetonasjon: Filvedlegg som tidligere ble oppdaget av klarerte vedlegg detonasjoner i andre Microsoft 365-organisasjoner.
  • Filnavn: Meldingen inneholder en fil som tidligere ble identifisert som skadelig i andre Microsoft 365-organisasjoner.
  • Fingeravtrykkssamsvar: Meldingen ligner på en tidligere oppdaget skadelig melding.
  • Generelt filter
  • Representasjonsmerke: Avsenderrepresentasjon av velkjente merker.
  • Representasjonsdomene: Representasjon av avsenderdomener som du eier eller spesifiserte for beskyttelse i anti-phishing-policyer
  • Representasjonsbruker
  • IP-omdømme
  • Etterligning av postboksintelligens: Representasjonsgjenkjenninger fra postboksintelligens i anti-phishing-policyer.
  • Blandet analysegjenkjenning: Flere filtre bidro til meldingsvurderingen.
  • spoof DMARC: Meldingen mislyktes DMARC-godkjenning.
  • Forfalsking av eksternt domene: Forfalskning av e-postadresser for avsender ved hjelp av et domene som er eksternt for organisasjonen.
  • Spoof intra-org: Forfalskning av avsenderens e-postadresse ved hjelp av et domene som er internt i organisasjonen.
  • Nettadressedetonasjon: Klarerte koblinger oppdaget en ondsinnet nettadresse i meldingen under detonasjonsanalyse.
  • Omdømme for nettadressedetonasjon: NETTADRESSEr som tidligere ble oppdaget av Safe Links-detonasjoner i andre Microsoft 365-organisasjoner.
  • Skadelig omdømme for nettadresse: Meldingen inneholder en nettadresse som tidligere ble identifisert som skadelig i andre Microsoft 365-organisasjoner.
Opprinnelig leveringssted Velg én eller flere verdier:
  • Slettede elementer-mappen
  • Falt
  • Mislyktes
  • Innboks/mappe
  • Søppelpostmappe
  • Lokal/ekstern
  • Karantene
  • Ukjent
Siste leveringssted Samme verdier som opprinnelig leveringssted
Primær overstyring Velg én eller flere verdier:
  • Tillatt av organisasjonspolicy
  • Tillatt av brukerpolicy
  • Blokkert av organisasjonspolicy
  • Blokkert av brukerpolicy
  • Ingen
Primær overstyringskilde Meldinger kan ha flere tillatelses- eller blokkeringsoverstyringer som identifisert i overstyringskilden. Overstyringen som til slutt tillot eller blokkerte meldingen, identifiseres i primær overstyringskilde.
Velg én eller flere verdier:
  • Tredjepartsfilter
  • Admin initierte tidsreiser (ZAP)
  • Policyblokk for beskyttelse mot skadelig programvare etter filtype
  • Innstillinger for antispam-policy
  • Tilkoblingspolicy
  • Exchange-transportregel
  • Eksklusiv modus (brukeroverstyring)
  • Filtrering hoppet over på grunn av lokal organisasjon
  • IP-områdefilter fra policy
  • Språkfilter fra policy
  • Phishing-simulering
  • Frigi karantene
  • SecOps-postboks
  • Avsenderadresseliste (Admin overstyring)
  • Avsenderadresseliste (brukeroverstyring)
  • Overstyring av avsenderdomeneliste (Admin)
  • Avsenderdomeneliste (brukeroverstyring)
  • Filblokk for tillat/blokkeringsliste for leier
  • E-postadresseblokk for tillat/blokkeringsliste for leier
  • Forfalskningsblokk for leierens tillatelses-/blokkeringsliste
  • Nettadresseblokk for leierens tillatelses-/blokkeringsliste
  • Klarert kontaktliste (brukeroverstyring)
  • Klarert domene (brukeroverstyring)
  • Klarert mottaker (brukeroverstyring)
  • Bare klarerte avsendere (brukeroverstyring)
Overstyr kilde Samme verdier som primær overstyringskilde
Policytype Velg én eller flere verdier:
  • Policy for beskyttelse mot skadelig programvare
  • Anti-phishing-policy
  • Exchange-transportregel (e-postflytregel), vertsbasert innholdsfilterpolicy (policy for søppelpostpolicy), policy for vertsbasert søppelpostfilter, policy for utgående søppelpostfilter (utgående søppelpostpolicy), policy for klarerte vedlegg
  • Ukjent
Policyhandling Velg én eller flere verdier:
  • Legg til x-topptekst
  • Blindkopimelding
  • Slett melding
  • Endre emne
  • Flytt til Søppelpost-mappen
  • Ingen handling er utført
  • Omdiriger melding
  • Send til karantene
E-poststørrelse Heltall. Skill flere verdier med komma.
Avansert
ID for Internett-melding Tekst. Skill flere verdier med komma.

Tilgjengelig i meldings-ID-topptekstfeltet i meldingshodet. En eksempelverdi er <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (merk vinkelparentesene).
Nettverksmeldings-ID Tekst. Skill flere verdier med komma.

En GUID-verdi som er tilgjengelig i topptekstfeltet X-MS-Exchange-Organization-Network-Message-Id i meldingshodet.
IP-adresse for avsender Tekst. Skill flere verdier med komma.
Vedlegg SHA256 Tekst. Skill flere verdier med komma.
Klynge-ID Tekst. Skill flere verdier med komma.
Varsel-ID Tekst. Skill flere verdier med komma.
ID for varselpolicy Tekst. Skill flere verdier med komma.
Kampanje-ID Tekst. Skill flere verdier med komma.
ZAP URL-signal Tekst. Skill flere verdier med komma.
Nettadresser
Antall URL-adresser Heltall. Skill flere verdier med komma.
NETTADRESSEdomene Tekst. Skill flere verdier med komma.
URL-adressedomene og -bane Tekst. Skill flere verdier med komma.
URL-adresse Tekst. Skill flere verdier med komma.
URL-bane Tekst. Skill flere verdier med komma.
URL-kilde Velg én eller flere verdier:
  • Vedlegg
  • Skyvedlegg
  • Brødtekst i e-post
  • E-posthode
  • QR-kode
  • Emne
  • Ukjent
Klikk dommen Velg én eller flere verdier:
  • Tillatt
  • Blokkoverstyrt
  • Blokkert
  • Feil
  • Fiasko
  • Ingen
  • Venter på dom
  • Venter på dom forbigått
Url-adresse trussel Velg én eller flere verdier:
  • Skadelig programvare
  • Phish
  • Søppelpost
Fil
Antall vedlegg Heltall. Skill flere verdier med komma.
Filnavn for vedlegg Tekst. Skill flere verdier med komma.
Filtype Tekst. Skill flere verdier med komma.
Filtype Tekst. Skill flere verdier med komma.
Filstørrelse Heltall. Skill flere verdier med komma.
Godkjenning
SPF Velg én eller flere verdier:
  • Svikte
  • Nøytral
  • Ingen
  • Pass
  • Permanent feil
  • Myk mislykket
  • Midlertidig feil
DKIM Velg én eller flere verdier:
  • Feil
  • Svikte
  • Ignorere
  • Ingen
  • Pass
  • Prøve
  • Tidsavbrudd
  • Ukjent
DMARC Velg én eller flere verdier:
  • Beste gjetning pass
  • Svikte
  • Ingen
  • Pass
  • Permanent feil
  • Velgerpass
  • Midlertidig feil
  • Ukjent
Sammensatt Velg én eller flere verdier:
  • Svikte
  • Ingen
  • Pass
  • Myk pass

Pivoter for diagrammet i visningen skadelig programvare i Trusselutforsker og Sanntidsgjenkjenning

Diagrammet har en standardvisning, men du kan velge en verdi fra Velg pivot for histogramdiagram for å endre hvordan de filtrerte eller ufiltrerte diagramdataene organiseres og vises.

Diagrampivotene som er tilgjengelige i visningen Skadelig programvare i Trusselutforsker og Sanntidsregistreringer, er oppført i tabellen nedenfor:

Pivot Trussel
Utforsker		 Sanntids
Påvisninger
Malware familie
Avsenderdomene
IP-adresse for avsender
Leveringshandling
Trusselklassifisering
Gjenkjenningsteknologi

De tilgjengelige diagrampivotene er beskrevet i følgende underområder.

Pivot for familiediagram for skadelig programvare i visningen Skadelig programvare i Trusselutforsker

Selv om denne pivoten ikke ser valgt ut som standard, er malware-familien standarddiagrampivoten i malware-visningen i Trusselutforsker.

Malware-familiepivoten organiserer diagrammet etter malware-familien som oppdages i meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i malware-visningen i Trusselutforsker ved hjelp av malware-familiepivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver malware-familie.

Diagram for avsenderdomene i visningen Skadelig programvare i Trusselutforsker

Pivot for avsenderdomenet organiserer diagrammet etter avsenderdomenet for meldinger som ble funnet å inneholde skadelig programvare for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i malware-visningen i Trusselutforsker ved hjelp av avsenderdomenepivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hvert avsenderdomene.

Pivot for IP-diagram for avsender i visningen Skadelig programvare i Trusselutforsker

Ip-pivoten for avsender organiserer diagrammet etter kilde-IP-adressen til meldinger som ble funnet å inneholde skadelig programvare for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i malware-visningen i Trusselutforsker ved hjelp av IP-pivoten for avsender.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver kilde-IP-adresse.

Pivot for leveringshandlingsdiagram i malware-visningen i Trusselutforsker og Sanntidsregistreringer

Selv om denne pivoten ikke ser valgt ut som standard, er leveringshandlingen standard diagrampivot i malware-visningen i sanntidsregistreringer.

Leveringshandlingspivoten organiserer diagrammet etter hva som skjedde med meldinger som ble funnet å inneholde skadelig programvare for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i malware-visningen i Trusselutforsker ved hjelp av leveringshandlingspivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver leveringshandling.

Pivot for trusselklassifiseringsdiagram i malware-visningen i Trusselutforsker og Sanntidsregistreringer

Pivot for trusselklassifisering organiserer diagrammet etter klassifiserte trusler. Hvis du vil ha mer informasjon, kan du se Trusselklassifisering i Microsoft Defender for Office 365.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver klassifisering.

Gjenkjenningsteknologidiagram pivoterer i malware-visningen i Trusselutforsker og Sanntidsregistreringer

Gjenkjenningsteknologipivoten organiserer diagrammet etter funksjonen som identifiserte skadelig programvare i meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i malware-visningen i Trusselutforsker ved hjelp av gjenkjenningsteknologipivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver gjenkjenningsteknologi.

Visninger for detaljområdet i visningen for skadelig programvare i Trusselutforsker og Sanntidsregistreringer

De tilgjengelige visningene (fanene) i detaljområdet i malware-visningen er oppført i tabellen nedenfor, og er beskrevet i følgende underområder.

Vis Trussel
Utforsker		 Sanntids
Påvisninger
E-post
Populære familier med skadelig programvare
Toppmålrettede brukere
Opprinnelse av e-post
Kampanje

E-postvisning for detaljområdet i visningen for skadelig programvare i Trusselutforsker og Sanntidsgjenkjenning

E-post er standardvisningen for detaljområdet i visningen for skadelig programvare i Trusselutforsker og Sanntidsgjenkjenning.

E-postvisningen viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises.

Tabellen nedenfor viser kolonnene som er tilgjengelige i Trusselutforsker og Sanntidsregistreringer. Standardverdiene er merket med en stjerne (*).

Kolonne Trussel
Utforsker		 Sanntids
Påvisninger
Daddel*
Tema*
Mottaker*
Mottakerdomene
Tags*
Avsenderadresse*
Visningsnavn for avsender
Avsenderdomene*
IP-adresse for avsender
Avsender e-post fra adresse
Avsender e-post fra domene
Flere handlinger*
Leveringshandling
Siste leveringssted*
Opprinnelig leveringssted*
System overstyrer kilde
Systemoverstyringer
Varsel-ID
ID for Internett-melding
Nettverksmeldings-ID
E-postspråk
Exchange-transportregel
Kobling
Sammenheng
Regel for hindring av datatap
Trusseltype*
Gjenkjenningsteknologi
Trusselklassifisering
Antall vedlegg
Antall URL-adresser
E-poststørrelse

Tips

Hvis du vil se alle kolonnene, må du sannsynligvis utføre ett eller flere av følgende trinn:

  • Rull vannrett i nettleseren.
  • Begrens bredden på aktuelle kolonner.
  • Fjern kolonner fra visningen.
  • Zoome ut i nettleseren.

Tilpassede kolonneinnstillinger lagres per bruker. Tilpassede kolonneinnstillinger i Incognito- eller InPrivate-visningsmodus lagres til du lukker nettleseren.

Når du velger én eller flere oppføringer fra listen ved å merke av i avmerkingsboksen ved siden av den første kolonnen, er Handlingen Utfør tilgjengelig. Hvis du vil ha informasjon, kan du se Trusseljakt: Utbedring av e-post.

Skjermbilde av e-postvisningen (fanen) i detaljtabellen med en melding valgt og Aktiver handling.

Når du klikker emne - eller mottakerverdiene i en oppføring, åpnes detaljer undermenyer. Disse undermenyene er beskrevet i følgende underområder.

E-postdetaljer fra e-postvisningen i detaljområdet i malware-visningen

Når du velger emneverdien for en oppføring i tabellen, åpnes undermenyen for e-postdetaljer. Undermenyen for detaljer kalles sammendragspanelet for e-post og inneholder standardisert sammendragsinformasjon som også er tilgjengelig på siden for e-postenhet for meldingen.

Hvis du vil ha mer informasjon om informasjonen i sammendragspanelet for e-post, kan du se Sammendragspanelene for e-post.

De tilgjengelige handlingene øverst i e-postsammendragspanelet for Trusselutforsker og Sanntidsgjenkjenning er beskrevet i e-postdetaljene fra e-postvisningen i detaljområdet i alle e-postvisningene.

Mottakerdetaljer fra e-postvisningen for detaljområdet i malware-visningen

Når du velger en oppføring ved å klikke mottakerverdien, åpnes en undermeny for detaljer. Informasjonen i undermenyen er den samme som beskrevet i mottakerdetaljer fra e-postvisningen i detaljområdet i Visningen Alle e-postmeldinger.

Øverste visning av skadelig programvare for detaljområdet i visningen for skadelig programvare i Trusselutforsker

Den øverste malware familier visning for detaljer området organiserer dataene i en tabell over de beste malware familier. Tabellen viser:

  • Kolonnen for familier med skadelig programvare : Familienavnet for skadelig programvare.

    Hvis du velger et familienavn for skadelig programvare, åpnes en undermeny for detaljer som inneholder følgende informasjon:

    • E-postinndeling : En tabell som viser følgende relatert informasjon for meldinger som inneholder filen for skadelig programvare:

      • Dato
      • Emne
      • Mottaker

      Velg Vis all e-post for å åpne Trusselutforsker i en ny fane filtrert etter det skadelige familienavnet.

    • Inndelingen Tekniske detaljer

    Skjermbilde av undermenyen for detaljer etter at du har valgt en familie med skadelig programvare fra den øverste fanen for familier med skadelig programvare i detaljområdet i Malware-visningen i Trusselutforsker.

  • Antall forsøk: Hvis du velger antall forsøk, åpnes Trusselutforsker i en ny fane filtrert etter det skadelige familienavnet.

Top targeted users view for the details area of the Malware view in Threat Explorer

Visningen Toppmålrettede brukere organiserer dataene i en tabell over de fem beste mottakerne som ble målrettet av skadelig programvare. Tabellen viser:

Tips

Bruk Eksporter til å eksportere listen over opptil 3000 brukere og tilsvarende forsøk.

E-postopprinnelsesvisning for detaljområdet i visningen For skadelig programvare i Trusselutforsker

E-postopprinnelsesvisningen viser meldingskilder på et verdenskart.

Kampanjevisning for detaljområdet i visningen For skadelig programvare i Trusselutforsker

Kampanjevisningen viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift.

Detaljtabellen er identisk med detaljtabellen på Kampanjer-siden.

Når du velger en oppføring ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av Navnet, åpnes en undermeny for detaljer. Informasjonen i undermenyen er den samme som beskrevet i kampanjedetaljer.

Phish-visning i Trusselutforsker og Sanntidsregistreringer

Phish-visningen i Trusselutforsker og Sanntidsregistreringer viser informasjon om e-postmeldinger som ble identifisert som phishing.

Gjør ett av følgende for å åpne Phish-visningen :

Skjermbilde av Phish-visningen i Trusselutforsker som viser diagrammet, tilgjengelige pivoter for diagrammet og visninger for detaljtabellen.

Egenskaper som kan filtreres i Phish-visningen i Trusselutforsker og Sanntidsregistreringer

Som standard brukes ingen egenskapsfiltre på dataene. Trinnene for å opprette filtre (spørringer) er beskrevet i delen Filtre i Trusselutforsker og Sanntidsgjenkjenning senere i denne artikkelen.

De filtrerbare egenskapene som er tilgjengelige i avsenderadresseboksen i visningen Skadelig programvare , er beskrevet i tabellen nedenfor:

Eiendom Type: Trussel
Utforsker		 Sanntids
Påvisninger
Basic
Avsenderadresse Tekst. Skill flere verdier med komma.
Mottakere Tekst. Skill flere verdier med komma.
Avsenderdomene Tekst. Skill flere verdier med komma.
Mottakerdomene Tekst. Skill flere verdier med komma.
Emne Tekst. Skill flere verdier med komma.
Visningsnavn for avsender Tekst. Skill flere verdier med komma.
Avsender e-post fra adresse Tekst. Skill flere verdier med komma.
Avsender e-post fra domene Tekst. Skill flere verdier med komma.
Returbane Tekst. Skill flere verdier med komma.
Returbanedomene Tekst. Skill flere verdier med komma.
Tags Tekst. Skill flere verdier med komma.

Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.
Representert domene Tekst. Skill flere verdier med komma.
Representert bruker Tekst. Skill flere verdier med komma.
Exchange-transportregel Tekst. Skill flere verdier med komma.
Regel for hindring av datatap Tekst. Skill flere verdier med komma.
Sammenheng Velg én eller flere verdier:
  • Vurdering
  • Beskyttelse av prioritert konto
Kobling Tekst. Skill flere verdier med komma.
Leveringshandling Velg én eller flere verdier:
Tilleggshandling Velg én eller flere verdier:
  • Automatisert utbedring
  • Dynamisk levering
  • Manuell utbedring
  • Ingen
  • Frigi karantene
  • Behandlet på nytt
  • ZAP
Retningen Velg én eller flere verdier:
  • Innkommende
  • Intra-org
  • Utgående
Gjenkjenningsteknologi Velg én eller flere verdier:
  • Avansert filter
  • Beskyttelse mot skadelig programvare
  • Masseutsendelse
  • Kampanje
  • Domenesomdømme
  • Fildetonasjon
  • Omdømme for fildetonasjon
  • Filsomdømme
  • Fingeravtrykkssamsvar
  • Generelt filter
  • Representasjonsmerke
  • Representasjonsdomene
  • Representasjonsbruker
  • IP-omdømme
  • Etterligning av postboksintelligens
  • Blandet analysegjenkjenning
  • spoof DMARC
  • Forfalsfals eksternt domene
  • Spoof intra-org
  • Nettadressedetonasjon
  • Omdømme for nettadressedetonasjon
  • Skadelig omdømme for nettadresse
Trusselklassifisering Velg én eller flere verdier:
  • Forretningsinteligens
  • Kontakt etablissement
  • Gavekort
  • Faktura
  • Lønn
  • < PII-samling/li>
  • Oppgave
Hvis du vil ha mer informasjon, kan du se Trusselklassifisering i Microsoft Defender for Office 365.
Opprinnelig leveringssted Velg én eller flere verdier:
  • Slettede elementer-mappen
  • Falt
  • Mislyktes
  • Innboks/mappe
  • Søppelpostmappe
  • Lokal/ekstern
  • Karantene
  • Ukjent
Siste leveringssted Samme verdier som opprinnelig leveringssted
Phish-konfidensnivå Velg én eller flere verdier:
  • Høy
  • Normal
Primær overstyring Velg én eller flere verdier:
  • Tillatt av organisasjonspolicy
  • Tillatt av brukerpolicy
  • Blokkert av organisasjonspolicy
  • Blokkert av brukerpolicy
  • Ingen
Primær overstyringskilde Meldinger kan ha flere tillatelses- eller blokkeringsoverstyringer som identifisert i overstyringskilden. Overstyringen som til slutt tillot eller blokkerte meldingen, identifiseres i primær overstyringskilde.
Velg én eller flere verdier:
  • Tredjepartsfilter
  • Admin initierte tidsreiser (ZAP)
  • Policyblokk for beskyttelse mot skadelig programvare etter filtype
  • Innstillinger for antispam-policy
  • Tilkoblingspolicy
  • Exchange-transportregel
  • Eksklusiv modus (brukeroverstyring)
  • Filtrering hoppet over på grunn av lokal organisasjon
  • IP-områdefilter fra policy
  • Språkfilter fra policy
  • Phishing-simulering
  • Frigi karantene
  • SecOps-postboks
  • Avsenderadresseliste (Admin overstyring)
  • Avsenderadresseliste (brukeroverstyring)
  • Overstyring av avsenderdomeneliste (Admin)
  • Avsenderdomeneliste (brukeroverstyring)
  • Filblokk for tillat/blokkeringsliste for leier
  • E-postadresseblokk for tillat/blokkeringsliste for leier
  • Forfalskningsblokk for leierens tillatelses-/blokkeringsliste
  • Nettadresseblokk for leierens tillatelses-/blokkeringsliste
  • Klarert kontaktliste (brukeroverstyring)
  • Klarert domene (brukeroverstyring)
  • Klarert mottaker (brukeroverstyring)
  • Bare klarerte avsendere (brukeroverstyring)
Overstyr kilde Samme verdier som primær overstyringskilde
Policytype Velg én eller flere verdier:
  • Policy for beskyttelse mot skadelig programvare
  • Anti-phishing-policy
  • Exchange-transportregel (e-postflytregel), vertsbasert innholdsfilterpolicy (policy for søppelpostpolicy), policy for vertsbasert søppelpostfilter, policy for utgående søppelpostfilter (utgående søppelpostpolicy), policy for klarerte vedlegg
  • Ukjent
Policyhandling Velg én eller flere verdier:
  • Legg til x-topptekst
  • Blindkopimelding
  • Slett melding
  • Endre emne
  • Flytt til Søppelpost-mappen
  • Ingen handling er utført
  • Omdiriger melding
  • Send til karantene
E-poststørrelse Heltall. Skill flere verdier med komma.
Avansert
ID for Internett-melding Tekst. Skill flere verdier med komma.

Tilgjengelig i meldings-ID-topptekstfeltet i meldingshodet. En eksempelverdi er <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (merk vinkelparentesene).
Nettverksmeldings-ID Tekst. Skill flere verdier med komma.

En GUID-verdi som er tilgjengelig i topptekstfeltet X-MS-Exchange-Organization-Network-Message-Id i meldingshodet.
IP-adresse for avsender Tekst. Skill flere verdier med komma.
Vedlegg SHA256 Tekst. Skill flere verdier med komma.
Klynge-ID Tekst. Skill flere verdier med komma.
Varsel-ID Tekst. Skill flere verdier med komma.
ID for varselpolicy Tekst. Skill flere verdier med komma.
Kampanje-ID Tekst. Skill flere verdier med komma.
ZAP URL-signal Tekst. Skill flere verdier med komma.
Nettadresser
Antall URL-adresser Heltall. Skill flere verdier med komma.
NETTADRESSEdomene Tekst. Skill flere verdier med komma.
URL-adressedomene og -bane Tekst. Skill flere verdier med komma.
URL-adresse Tekst. Skill flere verdier med komma.
URL-bane Tekst. Skill flere verdier med komma.
URL-kilde Velg én eller flere verdier:
  • Vedlegg
  • Skyvedlegg
  • Brødtekst i e-post
  • E-posthode
  • QR-kode
  • Emne
  • Ukjent
Klikk dommen Velg én eller flere verdier:
  • Tillatt
  • Blokkoverstyrt
  • Blokkert
  • Feil
  • Fiasko
  • Ingen
  • Venter på dom
  • Venter på dom forbigått
Url-adresse trussel Velg én eller flere verdier:
  • Skadelig programvare
  • Phish
  • Søppelpost
Fil
Antall vedlegg Heltall. Skill flere verdier med komma.
Filnavn for vedlegg Tekst. Skill flere verdier med komma.
Filtype Tekst. Skill flere verdier med komma.
Filtype Tekst. Skill flere verdier med komma.
Filstørrelse Heltall. Skill flere verdier med komma.
Godkjenning
SPF Velg én eller flere verdier:
  • Svikte
  • Nøytral
  • Ingen
  • Pass
  • Permanent feil
  • Myk mislykket
  • Midlertidig feil
DKIM Velg én eller flere verdier:
  • Feil
  • Svikte
  • Ignorere
  • Ingen
  • Pass
  • Prøve
  • Tidsavbrudd
  • Ukjent
DMARC Velg én eller flere verdier:
  • Beste gjetning pass
  • Svikte
  • Ingen
  • Pass
  • Permanent feil
  • Velgerpass
  • Midlertidig feil
  • Ukjent
Sammensatt Velg én eller flere verdier:
  • Svikte
  • Ingen
  • Pass
  • Myk pass

Pivoter for diagrammet i Phish-visningen i Trusselutforsker og Sanntidsgjenkjenning

Diagrammet har en standardvisning, men du kan velge en verdi fra Velg pivot for histogramdiagram for å endre hvordan de filtrerte eller ufiltrerte diagramdataene organiseres og vises.

Diagrampivotene som er tilgjengelige i Phish-visningen i Trusselutforsker og Sanntidsregistreringer, er oppført i tabellen nedenfor:

Pivot Trussel
Utforsker		 Sanntids
Påvisninger
Avsenderdomene
IP-adresse for avsender
Leveringshandling
Gjenkjenningsteknologi
Trusselklassifisering
Fullstendig URL-adresse
NETTADRESSEdomene
URL-adressedomene og -bane

De tilgjengelige diagrampivotene er beskrevet i følgende underområder.

Diagram for avsenderdomene i Phish-visningen i Trusselutforsker og Sanntidsregistreringer

Selv om denne pivoten ikke ser valgt ut som standard, er avsenderdomene standarddiagrampivoten i Phish-visningen i sanntidsregistreringer.

Pivoten for avsenderdomenet organiserer diagrammet etter domenene i meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i Phish-visningen i Trusselutforsker ved hjelp av avsenderdomenepivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hvert avsenderdomene.

Pivot for IP-diagram for avsender i Phish-visningen i Trusselutforsker

Ip-pivoten for avsender organiserer diagrammet etter kilde-IP-adressene til meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i Phish-visningen i Trusselutforsker ved hjelp av IP-pivoten for avsender.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver kilde-IP-adresse.

Pivot for leveringshandlingsdiagram i Phish-visningen i Trusselutforsker og Sanntidsregistreringer

Selv om denne pivoten ikke ser valgt ut som standard, er leveringshandlingen standard diagrampivot i Phish-visningen i Trusselutforsker.

Leveringshandlingspivoten organiserer diagrammet etter handlingene som utføres på meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i Phish-visningen i Trusselutforsker ved hjelp av leveringshandlingspivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver leveringshandling.

Diagram for oppdagelsesteknologi i Phish-visningen i Trusselutforsker og Sanntidsregistreringer

Gjenkjenningsteknologipivoten organiserer diagrammet etter funksjonen som identifiserte phishing-meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i Phish-visningen i Trusselutforsker ved hjelp av gjenkjenningsteknologipivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver gjenkjenningsteknologi.

Pivot for trusselklassifiseringsdiagram i Phish-visningen i Trusselutforsker og Sanntidsregistreringer

Pivot for trusselklassifisering organiserer diagrammet etter klassifiserte trusler. Hvis du vil ha mer informasjon, kan du se Trusselklassifisering i Microsoft Defender for Office 365.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver klassifisering.

Pivot for fullstendig nettadressediagram i Phish-visningen i Trusselutforsker

Pivoten for fullstendig nettadresse organiserer diagrammet etter de fullstendige nettadressene i phishing-meldinger for det angitte dato/klokkeslett-området og egenskapsfiltrene.

Skjermbilde av diagrammet i Phish-visningen i Trusselutforsker ved hjelp av fullstendig nettadressepivot.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver fullstendige nettadresse.

Pivot for nettadressedomenediagram i Phish-visningen i Trusselutforsker og Sanntidsregistreringer

Url-domenepivoten organiserer diagrammet etter domenene i nettadresser i phishing-meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i Phish-visningen i Trusselutforsker ved hjelp av nettadressedomenepivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hvert nettadressedomene.

Pivot for nettadressedomene og banediagram i Phish-visningen i Trusselutforsker

Url-domenet og banepivoten organiserer diagrammet etter domenene og banene i URL-adresser i phishing-meldinger for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i Phish-visningen i Trusselutforsker ved hjelp av nettadressedomenet og banepivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hvert nettadressedomene og -bane.

Visninger for detaljområdet i Phish-visningen i Trusselutforsker

De tilgjengelige visningene (fanene) i detaljområdet i Phish-visningen er oppført i tabellen nedenfor, og er beskrevet i følgende underområder.

Vis Trussel
Utforsker		 Sanntids
Påvisninger
E-post
Nettadresseklikk
Øverste URL-adresser
Populære klikk
Toppmålrettede brukere
Opprinnelse av e-post
Kampanje

E-postvisning for detaljområdet i Phish-visningen i Trusselutforsker og Sanntidsregistreringer

E-post er standardvisningen for detaljområdet i Phish-visningen i Trusselutforsker og Sanntidsregistreringer.

E-postvisningen viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises.

Tabellen nedenfor viser kolonnene som er tilgjengelige i Trusselutforsker og Sanntidsregistreringer. Standardverdiene er merket med en stjerne (*).

Kolonne Trussel
Utforsker		 Sanntids
Påvisninger
Daddel*
Tema*
Mottaker*
Mottakerdomene
Tags*
Avsenderadresse*
Visningsnavn for avsender
Avsenderdomene*
IP-adresse for avsender
Avsender e-post fra adresse
Avsender e-post fra domene
Flere handlinger*
Leveringshandling
Siste leveringssted*
Opprinnelig leveringssted*
System overstyrer kilde
Systemoverstyringer
Varsel-ID
ID for Internett-melding
Nettverksmeldings-ID
E-postspråk
Exchange-transportregel
Kobling
Phish-konfidensnivå
Sammenheng
Regel for hindring av datatap
Trusseltype*
Gjenkjenningsteknologi
Trusselklassifisering
Antall vedlegg
Antall URL-adresser
E-poststørrelse

Tips

Hvis du vil se alle kolonnene, må du sannsynligvis utføre ett eller flere av følgende trinn:

  • Rull vannrett i nettleseren.
  • Begrens bredden på aktuelle kolonner.
  • Fjern kolonner fra visningen.
  • Zoome ut i nettleseren.

Tilpassede kolonneinnstillinger lagres per bruker. Tilpassede kolonneinnstillinger i Incognito- eller InPrivate-visningsmodus lagres til du lukker nettleseren.

Når du velger én eller flere oppføringer fra listen ved å merke av i avmerkingsboksen ved siden av den første kolonnen, er Handlingen Utfør tilgjengelig. Hvis du vil ha informasjon, kan du se Trusseljakt: Utbedring av e-post.

Skjermbilde av e-postvisningen (fanen) i detaljtabellen med en melding valgt og Aktiver handling.

Når du klikker emne - eller mottakerverdiene i en oppføring, åpnes detaljer undermenyer. Disse undermenyene er beskrevet i følgende underområder.

E-postdetaljer fra e-postvisningen for detaljområdet i Phish-visningen

Når du velger emneverdien for en oppføring i tabellen, åpnes undermenyen for e-postdetaljer. Undermenyen for detaljer kalles sammendragspanelet for e-post og inneholder standardisert sammendragsinformasjon som også er tilgjengelig på siden for e-postenhet for meldingen.

Hvis du vil ha mer informasjon om informasjonen i sammendragspanelet for e-post, kan du se sammendragspanelet for e-post i Defender for Office 365 funksjoner.

De tilgjengelige handlingene øverst i e-postsammendragspanelet for Trusselutforsker og Sanntidsgjenkjenning er beskrevet i e-postdetaljene fra e-postvisningen i detaljområdet i alle e-postvisningene.

Mottakerdetaljer fra e-postvisningen for detaljområdet i Phish-visningen

Når du velger en oppføring ved å klikke mottakerverdien, åpnes en undermeny for detaljer. Informasjonen i undermenyen er den samme som beskrevet i mottakerdetaljer fra e-postvisningen i detaljområdet i Visningen Alle e-postmeldinger.

Nettadresseklikkvisning for detaljområdet i Phish-visningen i Trusselutforsker og Sanntidsgjenkjenning

Visningen for nettadresseklikk viser et diagram som kan organiseres ved hjelp av pivoter. Diagrammet har en standardvisning, men du kan velge en verdi fra Velg pivot for histogramdiagram for å endre hvordan de filtrerte eller ufiltrerte diagramdataene organiseres og vises.

Diagrampivotene som er tilgjengelige i malware-visningen i Trusselutforsker og Sanntidsregistreringer, er beskrevet i tabellen nedenfor:

Pivot Trussel
Utforsker		 Sanntids
Påvisninger
NETTADRESSEdomene
Klikk dommen
URL-adresse
URL-adressedomene og -bane

De samme diagrampivotene er tilgjengelige og beskrevet for Alle e-postvisningene i Trusselutforsker:

Skjermbilde av detaljområdet i Phish-visningen i Trusselutforsker med fanen nettadresseklikk valgt og viser de tilgjengelige pivotene uten at noen pivot er valgt.

Tips

I Trusselutforsker har hver pivot i visningen for nettadresseklikk en Vis alle klikk-handling som åpner nettadressens klikkvisning i Trusselutforsker i en ny fane. Denne handlingen er ikke tilgjengelig i sanntidsregistreringer fordi nettadresseklikkvisningen ikke er tilgjengelig i sanntidsregistreringer.

Øverste nettadresser-visning for detaljområdet i Phish-visningen i Trusselutforsker og Sanntidsregistreringer

Visningen for de øverste nettadressene viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift:

  • URL-adresse
  • Meldinger blokkert
  • Søppelpostmeldinger
  • Meldinger levert
Detaljer om de mest populære nettadressene for Phish-visningen

Når du velger en oppføring ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer. Informasjonen i undermenyen er den samme som beskrevet i de øverste nettadressene for alle e-postvisningene.

Tips

Gå-jakthandlingen er bare tilgjengelig i Trusselutforsker. Den er ikke tilgjengelig i sanntidsregistreringer.

Øverste klikkvisning for detaljområdet i Phish-visningen i Trusselutforsker og Sanntidsregistreringer

Visningen For populære klikk viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift:

  • URL-adresse
  • Blokkert
  • Tillatt
  • Blokkoverstyrt
  • Venter på dom
  • Venter på dom forbigått
  • Ingen
  • Feilside
  • Fiasko

Tips

Alle tilgjengelige kolonner er valgt. Hvis du velger Tilpass kolonner, kan du ikke fjerne merkingen av noen kolonner.

Hvis du vil se alle kolonnene, må du sannsynligvis utføre ett eller flere av følgende trinn:

  • Rull vannrett i nettleseren.
  • Begrens bredden på aktuelle kolonner.
  • Zoome ut i nettleseren.

Når du velger en oppføring ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer. Informasjonen i undermenyen er den samme som beskrevet i de øverste nettadressene for alle e-postvisningene.

Toppmålrettede brukere-visning for detaljområdet i Phish-visningen i Trusselutforsker

Visningen Toppmålrettede brukere organiserer dataene i en tabell med de fem beste mottakerne som ble målrettet av phishing-forsøk. Tabellen viser:

Tips

Bruk Eksporter til å eksportere listen over opptil 3000 brukere og tilsvarende forsøk.

Opprinnelsesvisning for e-post for detaljområdet i Phish-visningen i Trusselutforsker

E-postopprinnelsesvisningen viser meldingskilder på et verdenskart.

Kampanjevisning for detaljområdet i Phish-visningen i Trusselutforsker

Kampanjevisningen viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift.

Informasjonen i tabellen er den samme som beskrevet i detaljtabellen på Kampanjer-siden.

Når du velger en oppføring ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av Navnet, åpnes en undermeny for detaljer. Informasjonen i undermenyen er den samme som beskrevet i kampanjedetaljer.

Kampanjevisning i Trusselutforsker

Kampanjevisningen i Trusselutforsker viser informasjon om trusler som ble identifisert som koordinerte phishing- og skadelig programvareangrep, enten spesifikke for organisasjonen eller for andre organisasjoner i Microsoft 365.

Hvis du vil åpne Kampanjeer-visningenExplorer-siden i Defender-portalen på https://security.microsoft.com, kan du gå til fanen E-post &samarbeidsutforskerkampanjer>>. Du kan også gå direkte til Explorer-siden ved hjelp av https://security.microsoft.com/threatexplorerv3, og deretter velge fanen Kampanjer.

All tilgjengelig informasjon og alle handlinger er identiske med informasjonen og handlingene på Kampanje-sidenhttps://security.microsoft.com/campaignsv3. Hvis du vil ha mer informasjon, kan du se Kampanjeer-siden i Microsoft Defender-portalen.

Skjermbilde av Kampanjevisning i Trusselutforsker som viser diagrammet, tilgjengelige pivoter for diagrammet og visninger for detaljtabellen.

Innholdsvisning for skadelig programvare i Trusselutforsker og Sanntidsgjenkjenninger

Visningen innholds-skadelig programvare i Trusselutforsker og Sanntidsregistreringer viser informasjon om filer som ble identifisert som skadelig programvare av:

Gjør ett av følgende for å åpne innholdsvisningen for skadelig programvare :

Skjermbilde av visningen for cotent-skadelig programvare i Trusselutforsker som viser diagrammet, tilgjengelige pivoter for diagrammet og visninger for detaljtabellen.

Filtrerbare egenskaper i visningen innholds-skadelig programvare i Trusselutforsker og Sanntidsregistreringer

Som standard brukes ingen egenskapsfiltre på dataene. Trinnene for å opprette filtre (spørringer) er beskrevet i delen Filtre i Trusselutforsker og Sanntidsgjenkjenning senere i denne artikkelen.

De filtrerbare egenskapene som er tilgjengelige i Filnavn-boksen i visningen innholds-skadelig programvare i Trusselutforsker og Sanntidsgjenkjenning, er beskrevet i tabellen nedenfor:

Eiendom Type: Trussel
Utforsker		 Sanntids
Påvisninger
Fil
Filnavn Tekst. Skill flere verdier med komma.
Arbeidsmengde Velg én eller flere verdier:
  • OneDrive
  • SharePoint
  • Team
Tomt Tekst. Skill flere verdier med komma.
Fileier Tekst. Skill flere verdier med komma.
Sist endret av Tekst. Skill flere verdier med komma.
SHA256 Heltall. Skill flere verdier med komma.

Hvis du vil finne SHA256-hash-verdien for en fil, kjører du følgende kommando i PowerShell: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256.
Malware familie Tekst. Skill flere verdier med komma.
Gjenkjenningsteknologi Velg én eller flere verdier:
  • Avansert filter
  • Beskyttelse mot skadelig programvare
  • Masseutsendelse
  • Kampanje
  • Domenesomdømme
  • Fildetonasjon
  • Omdømme for fildetonasjon
  • Filsomdømme
  • Fingeravtrykkssamsvar
  • Generelt filter
  • Representasjonsmerke
  • Representasjonsdomene
  • Representasjonsbruker
  • IP-omdømme
  • Etterligning av postboksintelligens
  • Blandet analysegjenkjenning
  • spoof DMARC
  • Forfalsfals eksternt domene
  • Spoof intra-org
  • Nettadressedetonasjon
  • Omdømme for nettadressedetonasjon
  • Skadelig omdømme for nettadresse
Trusseltype Velg én eller flere verdier:
  • Blokker
  • Skadelig programvare
  • Phish
  • Søppelpost

Pivoter for diagrammet i visningen innholds-skadelig programvare i Trusselutforsker og Sanntidsgjenkjenning

Diagrammet har en standardvisning, men du kan velge en verdi fra Velg pivot for histogramdiagram for å endre hvordan de filtrerte eller ufiltrerte diagramdataene organiseres og vises.

Diagrampivotene som er tilgjengelige i visningen Innholds-skadelig programvare i Trusselutforsker og Sanntidsregistreringer, er oppført i tabellen nedenfor:

Pivot Trussel
Utforsker		 Sanntids
Påvisninger
Malware familie
Gjenkjenningsteknologi
Arbeidsmengde

De tilgjengelige diagrampivotene er beskrevet i følgende underområder.

Pivot for familiediagram for skadelig programvare i visningen innholdsbasert skadelig programvare i Trusselutforsker og Sanntidsregistreringer

Selv om denne pivoten ikke ser valgt ut som standard, er malware-familien standard diagrampivot i visningen Innholds-skadelig programvare i Trusselutforsker og Sanntidsregistreringer.

Malware-familiepivoten organiserer diagrammet etter den skadelige programvaren som identifiseres i filer i SharePoint, OneDrive og Microsoft Teams ved hjelp av angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i visningen innholds-skadelig programvare i Trusselutforsker ved hjelp av malware-familiepivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver malware-familie.

Diagram for oppdagelsesteknologi i visningen innholds-skadelig programvare i Trusselutforsker og Sanntidsregistreringer

Gjenkjenningsteknologipivoten organiserer diagrammet etter funksjonen som identifiserte skadelig programvare i filer i SharePoint, OneDrive og Microsoft Teams for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i visningen innholds-skadelig programvare i Trusselutforsker ved hjelp av gjenkjenningsteknologipivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver gjenkjenningsteknologi.

Pivot for arbeidsbelastningsdiagram i visningen innholds-skadelig programvare i Trusselutforsker og Sanntidsregistreringer

Arbeidsbelastningspivoten organiserer diagrammet etter hvor den skadelige programvaren ble identifisert (SharePoint, OneDrive eller Microsoft Teams) for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i visningen Skadelig programvare i Trusselutforsker ved hjelp av arbeidsbelastningspivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver arbeidsbelastning.

Visninger for detaljområdet i visningen innholds-skadelig programvare i Trusselutforsker og Sanntidsregistreringer

I Trusselutforsker og Sanntidsregistreringer inneholder detaljområdet i visningen innholds-skadelig programvare bare én visning (fane) kalt Dokumenter. Denne visningen er beskrevet i underdelen nedenfor.

Dokumentvisning for detaljområdet i visningen innholds-skadelig programvare i Trusselutforsker og Sanntidsregistreringer

Dokumentet er standardvisning og bare visning for detaljområdet i visningen innholds-skadelig programvare .

Dokumentvisningen viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Standardverdiene er merket med en stjerne (*):

  • Daddel*
  • Navn*
  • Arbeidsmengde*
  • Trussel*
  • Gjenkjenningsteknologi*
  • Siste endring av bruker*
  • Fileier*
  • Størrelse (byte)*
  • Tidspunkt for siste endring
  • Områdebane
  • Filbane
  • Dokument-ID
  • SHA256
  • Oppdaget dato
  • Malware familie
  • Sammenheng

Tips

Hvis du vil se alle kolonnene, må du sannsynligvis utføre ett eller flere av følgende trinn:

  • Rull vannrett i nettleseren.
  • Begrens bredden på aktuelle kolonner.
  • Fjern kolonner fra visningen.
  • Zoome ut i nettleseren.

Tilpassede kolonneinnstillinger lagres per bruker. Tilpassede kolonneinnstillinger i Incognito- eller InPrivate-visningsmodus lagres til du lukker nettleseren.

Når du velger en filnavnverdi fra Navn-kolonnen , åpnes en undermeny for detaljer. Undermenyen inneholder følgende informasjon:

  • Sammendragsinndeling :

    • Filnavn
    • Områdebane
    • Filbane
    • Dokument-ID
    • SHA256
    • Siste endringsdato
    • Sist endret av
    • Trussel
    • Gjenkjenningsteknologi

  • Detaljinndeling :

    • Oppdaget dato
    • Oppdaget av
    • Navn på skadelig programvare
    • Sist endret av
    • Filstørrelse
    • Fileier

  • Inndeling for e-postliste : En tabell som viser følgende relatert informasjon for meldinger som inneholder filen for skadelig programvare:

    • Dato
    • Emne
    • Mottaker

    Velg Vis all e-post for å åpne Trusselutforsker i en ny fane filtrert etter det skadelige familienavnet.

  • Nylig aktivitet: Viser de summerte resultatene av et søk i overvåkingsloggen for mottakeren:

    • Dato
    • IP-adresse
    • Aktivitet
    • Element

    Hvis mottakeren har mer enn tre oppføringer i overvåkingsloggen, velger du Vis all nylig aktivitet for å se alle.

    Tips

    Medlemmer av rollegruppen sikkerhetsadministratorer i e-post & samarbeidstillatelser , kan ikke utvide nylig aktivitet-delen . Du må være medlem av en rollegruppe i Exchange Online tillatelser som har tilordnet rollene overvåkingslogger, Information Protection analytiker eller Information Protection etterforsker. Som standard tilordnes disse rollene til rollegruppene Records Management, Compliance Management, Information Protection, Information Protection Analysts, Information Protection Investigators og Organization Management. Du kan legge til medlemmer av sikkerhetsadministratorer i disse rollegruppene, eller du kan opprette en ny rollegruppe med rollen Overvåkingslogger tilordnet.

Skjermbilde av detaljer-undermenyen fra dokumentvisningen for detaljområdet i visningen innholds-skadelig programvare i Trusselutforsker og Sanntidsregistreringer.

Visning av nettadresseklikk i Trusselutforsker

Nettadressen klikker visning i Trusselutforsker viser alle brukerklikk på nettadresser i e-post, i støttede Office-filer i SharePoint og OneDrive, og i Microsoft Teams.

Hvis du vil åpne url-adresseklikkvisningenExplorer-siden i Defender-portalen på https://security.microsoft.com, går du til URL-adressen for e-post &samarbeidsutforsker>> klikker fanen. Eller gå direkte til Explorer-siden ved hjelp av https://security.microsoft.com/threatexplorerv3, og velg deretter fanen URL-adresseklikk.

Skjermbilde av nettadressens klikkvisning i Trusselutforsker som viser diagrammet, tilgjengelige pivoter for diagrammet og visninger for detaljtabellen.

Egenskaper som kan filtreres i nettadressens klikkvisning i Trusselutforsker

Som standard brukes ingen egenskapsfiltre på dataene. Trinnene for å opprette filtre (spørringer) er beskrevet i delen Filtre i Trusselutforsker og Sanntidsgjenkjenning senere i denne artikkelen.

De filtrerbare egenskapene som er tilgjengelige i Mottakere-boksen i nettadressens klikkvisning i Trusselutforsker, er beskrevet i følgende tabell:

Eiendom Type:
Basic
Mottakere Tekst. Skill flere verdier med komma.
Tags Tekst. Skill flere verdier med komma.

Hvis du vil ha mer informasjon om brukerkoder, kan du se Brukerkoder.
Nettverksmeldings-ID Tekst. Skill flere verdier med komma.

En GUID-verdi som er tilgjengelig i topptekstfeltet X-MS-Exchange-Organization-Network-Message-Id i meldingshodet.
URL-adresse Tekst. Skill flere verdier med komma.
Klikk handling Velg én eller flere verdier:
  • Tillatt
  • Blokker side
  • Blokker sideoverstyring
  • Feilside
  • Fiasko
  • Ingen
  • Ventende detonasjonsside
  • Overstyring av siden for ventende detonasjon
Trusseltype Velg én eller flere verdier:
  • Tillat
  • Blokker
  • Skadelig programvare
  • Phish
  • Søppelpost
Gjenkjenningsteknologi Velg én eller flere verdier:
  • Nettadressedetonasjon
  • Omdømme for nettadressedetonasjon
  • Skadelig omdømme for nettadresse
Klikk på ID Tekst. Skill flere verdier med komma.
Klient-IP Tekst. Skill flere verdier med komma.

Pivoter for diagrammet i nettadressen klikker visning i Trusselutforsker

Diagrammet har en standardvisning, men du kan velge en verdi fra Velg pivot for histogramdiagram for å endre hvordan de filtrerte eller ufiltrerte diagramdataene organiseres og vises.

De tilgjengelige diagrampivotene er beskrevet i følgende underområder.

Pivot for nettadressedomenediagram i nettadressens klikkvisning i Trusselutforsker

Selv om denne pivoten ikke ser valgt ut som standard, er URL-domene standard diagrampivot i nettadressens klikkvisning .

Url-domenepivoten organiserer diagrammet etter domener i nettadresser som brukere klikket i e-post, Office-filer eller Microsoft Teams for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i nettadressens klikkvisning i Trusselutforsker ved hjelp av nettadressedomenepivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hvert nettadressedomene.

Pivot for arbeidsbelastningsdiagram i nettadressens klikkvisning i Trusselutforsker

Arbeidsbelastningspivoten organiserer diagrammet etter plasseringen til den klikkede nettadressen (e-post, Office-filer eller Microsoft Teams) for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i nettadressens klikkvisning i Trusselutforsker ved hjelp av arbeidsbelastningspivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver arbeidsbelastning.

Diagrampivot for gjenkjenningsteknologi i nettadressens klikkvisning i Trusselutforsker

Gjenkjenningsteknologipivoten organiserer diagrammet etter funksjonen som identifiserte nettadresseklikkene i e-post, Office-filer eller Microsoft Teams for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i nettadressens klikkvisning i Trusselutforsker ved hjelp av gjenkjenningsteknologipivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver gjenkjenningsteknologi.

Pivot for trusseltypediagram i nettadressens klikkvisning i Trusselutforsker

Trusseltypepivoten organiserer diagrammet etter resultatene for nettadresser som klikkes i e-post, Office-filer eller Microsoft Teams for angitt dato/klokkeslett-område og egenskapsfiltre.

Skjermbilde av diagrammet i nettadressens klikkvisning i Trusselutforsker ved hjelp av trusseltypepivoten.

Hvis du holder pekeren over et datapunkt i diagrammet, vises antallet for hver trusseltypeteknologi.

Visninger for detaljområdet i nettadressens klikkvisning i Trusselutforsker

De tilgjengelige visningene (fanene) i detaljområdet i nettadressens klikkvisning er beskrevet i følgende underområder.

Resultatvisning for detaljområdet i nettadressens klikkvisning i Trusselutforsker

Resultater er standardvisningen for detaljområdet i nettadressens klikkvisning .

Resultatvisningen viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle kolonner valgt:

  • Tid klikket
  • Mottaker
  • Klikk handling for URL-adresse
  • URL-adresse
  • Tags
  • Nettverksmeldings-ID
  • Klikk på ID
  • Klient-IP
  • Nettadressekjede
  • Trusseltype
  • Gjenkjenningsteknologi

Tips

Hvis du vil se alle kolonnene, må du sannsynligvis utføre ett eller flere av følgende trinn:

  • Rull vannrett i nettleseren.
  • Begrens bredden på aktuelle kolonner.
  • Fjern kolonner fra visningen.
  • Zoome ut i nettleseren.

Tilpassede kolonneinnstillinger lagres per bruker. Tilpassede kolonneinnstillinger i Incognito- eller InPrivate-visningsmodus lagres til du lukker nettleseren.

Velg én eller flere oppføringer ved å merke av i avmerkingsboksen ved siden av den første kolonnen i raden, og velg deretter Vis alle e-postmeldinger for å åpne Trusselutforsker i all e-postvisning i en ny fane filtrert etter verdiene for nettverksmeldings-ID for de valgte meldingene.

Øverste klikkvisning for detaljområdet i nettadressen klikker visning i Trusselutforsker

Visningen For populære klikk viser en detaljtabell. Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift:

  • URL-adresse
  • Blokkert
  • Tillatt
  • Blokkoverstyrt
  • Venter på dom
  • Venter på dom forbigått
  • Ingen
  • Feilside
  • Fiasko

Tips

Alle tilgjengelige kolonner er valgt. Hvis du velger Tilpass kolonner, kan du ikke fjerne merkingen av noen kolonner.

Hvis du vil se alle kolonnene, må du sannsynligvis utføre ett eller flere av følgende trinn:

  • Rull vannrett i nettleseren.
  • Begrens bredden på aktuelle kolonner.
  • Zoome ut i nettleseren.

Velg en oppføring ved å merke av i avmerkingsboksen ved siden av den første kolonnen i raden, og velg deretter Vis alle klikk for å åpne Trusselutforsker i en ny fane i nettadressevisning.

Når du velger en oppføring ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer. Informasjonen i undermenyen er den samme som beskrevet i de øverste nettadressene for alle e-postvisningene.

Øverste målrettede brukervisning for detaljområdet i nettadressen klikker visning i Trusselutforsker

Visningen Toppmålrettede brukere organiserer dataene i en tabell med de fem beste mottakerne som klikket på nettadresser. Tabellen viser:

Tips

Bruk Eksporter til å eksportere listen over opptil 3000 brukere og tilsvarende forsøk.

Egenskapsfiltre i Trusselutforsker og Sanntidsregistreringer

Den grunnleggende syntaksen for et egenskapsfilter/en spørring er:

Betingelse = <Filter-egenskapsfilteroperatoren>><<Egenskapsverdi eller verdier>

Flere betingelser bruker følgende syntaks:

<Betingelse1><OG | ELLER-betingelse2><><OG | ELLER><betingelse3>... <OG | OR-betingelseN><>

Tips

Jokertegnsøk (**** eller ?) støttes ikke i tekst- eller heltallsverdier. Subject-egenskapen bruker delvis tekstsamsvar, og gir resultater som ligner på et jokertegnsøk.

Trinnene for å opprette egenskapsfilter-/spørringsbetingelser er de samme i alle visninger i Trusselutforsker og Sanntidsregistreringer:

  1. Identifiser filteregenskapen ved hjelp av tabellene i beskrivelsesdelene for forhåndsvisningsvisning tidligere i denne artikkelen.

  2. Velg en tilgjengelig filteroperator. De tilgjengelige filteroperatorene avhenger av egenskapstypen som beskrevet i tabellen nedenfor:

    Filteroperator Egenskapstype
    Lik hvilken som helst av Tekst
    Heltall
    Diskrete verdier
    Er lik ingen av Tekst
    Diskrete verdier
    Større enn Heltall
    Mindre enn Heltall

  3. Angi eller velg én eller flere egenskapsverdier. For tekstverdier og heltall kan du angi flere verdier atskilt med komma.

    Flere verdier i egenskapsverdien bruker den logiske OR-operatoren. Avsenderadresse er>for eksempel lik hvilken som helst av>bob@fabrikam.com,cindy@fabrikam.comavsenderadresse>lik hvilken som helst av>bob@fabrikam.com ELLER cindy@fabrikam.com.

    Når du har angitt eller valgt én eller flere egenskapsverdier, vises den fullførte filterbetingelsen under boksene for oppretting av filter.

    Tips

    For egenskaper som krever at du velger én eller flere tilgjengelige verdier, har bruk av egenskapen i filterbetingelsen med alle valgte verdier samme resultat som å ikke bruke egenskapen i filterbetingelsen.

  4. Hvis du vil legge til en annen betingelse, gjentar du de tre foregående trinnene.

    Betingelsene under boksene for oppretting av filter er atskilt med den logiske operatoren som ble valgt da du opprettet andre eller påfølgende betingelser. Standardverdien er AND, men du kan også velge ELLER.

    Den samme logiske operatoren brukes mellom alle betingelser: de er alle OG eller de er alle ELLER. Hvis du vil endre de eksisterende logiske operatorene, merker du den logiske operatorboksen og velger OG eller ELLER.

    Hvis du vil redigere en eksisterende betingelse, dobbeltklikker du på den for å hente den valgte egenskapen, filteroperatoren og verdiene tilbake i de tilsvarende boksene.

    Hvis du vil fjerne en eksisterende betingelse, velger du betingelsen.

  5. Hvis du vil bruke filteret på diagrammet og detaljtabellen, velger du Oppdater

    Skjermbilde av en eksempelspørring i Trusselutforsker eller Sanntidsregistreringer som viser flere betingelser.

Lagrede spørringer i Trusselutforsker

Tips

Lagringsspørring er en del av trusselsporinger og er ikke tilgjengelig i sanntidsregistreringer. Lagrede spørringer og trusselsporinger er bare tilgjengelige i Defender for Office 365 Plan 2.

Lagringsspørring er ikke tilgjengelig i visningen innholds-skadelig programvare.

Med de fleste visninger i Trusselutforsker kan du lagre filtre (spørringer) for senere bruk. Lagrede spørringer er tilgjengelige på trusselsporingssiden i Defender-portalen på https://security.microsoft.com/threattrackerv2. Hvis du vil ha mer informasjon om trusselsporinger, kan du se Trusselsporinger i Microsoft Defender for Office 365 Plan 2.

Gjør følgende for å lagre spørringer i Trusselutforsker:

  1. Når du har opprettet filteret/spørringen som beskrevet tidligere, velger duLagre spørring for lagringsspørring>.

  2. Konfigurer følgende alternativer i undermenyen Lagre spørring som åpnes:

    • Spørringsnavn: Skriv inn et unikt navn for spørringen.
    • Velg ett av følgende alternativer:
      • Nøyaktige datoer: Velg en startdato og sluttdato i boksene. Den eldste startdatoen du kan velge, er 30 dager før i dag. Den nyeste sluttdatoen du kan velge, er i dag.
      • Relative datoer: Velg antall dager i vis siste nn dager når søket kjøres. Standardverdien er 7, men du kan velge 1 til 30.
    • Sporingsspørring: Dette alternativet er ikke valgt som standard. Dette alternativet påvirker om spørringen kjøres automatisk:
      • Sporingsspørring er ikke valgt: Spørringen er tilgjengelig for kjøring manuelt i Trusselutforsker. Spørringen lagres på Fanen Lagrede spørringerTrusselsporing-siden med egenskapsverdien Spor spørringnr.
      • Sporingsspørring valgt: Spørringen kjøres regelmessig i bakgrunnen. Spørringen er tilgjengelig på Fanen Lagrede spørringerTrusselsporing-siden med egenskapsverdien Ja for sporet spørring. De periodiske resultatene av spørringen vises på fanen Sporede spørringertrusselsporingssiden .

    Når du er ferdig i undermenyen Lagre spørring , velger du Lagre og deretter OK i bekreftelsesdialogboksen.

Skjermbilde av undermenyen Lagre spørring i Trusselutforsker i Defender-portalen.

På fanene Lagret spørring eller Sporet spørringTrusselsporing-siden i Defender-portalen på https://security.microsoft.com/threattrackerv2, kan du velge Utforsk i Handlinger-kolonnen for å åpne og bruke spørringen i Trusselutforsker.

Når du åpner spørringen ved å velge Utforsk fra Trusselsporing-siden, er Lagre spørring som og Lagre spørringsinnstillinger nå tilgjengelige i Lagre spørringExplorer-siden:

  • Hvis du velger Lagre spørring som, åpnes undermenyen Lagre spørring med alle tidligere valgte innstillinger. Hvis du gjør endringer, velger du Lagre og deretter OK i dialogboksen Vellykket , lagres den oppdaterte spørringen som en ny spørring på trusselsporingssiden (du må kanskje velge Oppdater for å se den).

  • Hvis du velger lagrede spørringsinnstillinger, åpnes undermenyen lagrede spørringsinnstillinger der du kan oppdatere innstillingene for dato og spor spørring for den eksisterende spørringen.

Skjermbilde av Lagre spørring i Trusselutforsker med Lagre spørring som og Lagrede spørringsinnstillinger tilgjengelig.

Mer informasjon