Campagnes in Microsoft Defender voor Office 365
Tip
Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
In Microsoft 365-organisaties met Microsoft Defender voor Office 365 Plan 2 identificeert en categoriseert de functie voor campagnes gecoördineerde phishing- en malware-e-mailaanvallen. De categorisatie van e-mailaanvallen door Microsoft in discrete campagnes helpt u bij het volgende:
- E-mailaanvallen efficiënt onderzoeken en erop reageren.
- Meer inzicht in het bereik van de e-mailaanval die gericht is op uw organisatie.
- Toon de waarde van Microsoft Defender voor Office 365 aan besluitvormers bij het voorkomen van e-mailbedreigingen.
Met de functie Campagnes kunt u het algehele beeld van een e-mailaanval sneller en vollediger zien dan enig ander mens.
Bekijk deze korte video over hoe campagnes in Microsoft Defender voor Office 365 u inzicht bieden in gecoördineerde e-mailaanvallen die gericht zijn op uw organisatie.
Wat is een campagne?
Een campagne is een gecoördineerde e-mailaanval tegen een of meer organisaties. Email aanvallen die referenties en bedrijfsgegevens stelen, zijn een grote en lucratieve branche. Naarmate de technologieën toenemen om aanvallen te stoppen, wijzigen aanvallers hun methoden om ervoor te zorgen dat ze blijven slagen.
Microsoft past de grote hoeveelheden antiphishing-, antispam- en antimalwaregegevens van de hele service toe om campagnes te identificeren. We analyseren en classificeren de aanvalsinformatie op basis van verschillende factoren. Bijvoorbeeld:
- Aanvalsbron: de BRON-IP-adressen en e-maildomeinen van de afzender.
- Berichteigenschappen: de inhoud, stijl en toon van de berichten.
- Geadresseerden van bericht: hoe geadresseerden zijn gerelateerd. Bijvoorbeeld ontvangerdomeinen, functiefuncties van geadresseerden (beheerders, leidinggevenden, enzovoort), bedrijfstypen (groot, klein, openbaar, privé, enzovoort) en branches.
- Nettolading van aanvallen: schadelijke koppelingen, bijlagen of andere nettoladingen in de berichten.
Een campagne kan van korte duur zijn of kan meerdere dagen, weken of maanden duren met actieve en inactieve perioden. Een campagne kan specifiek tegen uw organisatie worden gestart of uw organisatie maakt deel uit van een grotere campagne voor meerdere bedrijven.
Vereiste licenties en machtigingen
- De campagnefunctie is beschikbaar in organisaties met Defender voor Office 365 Abonnement 2 (invoegtoepassingslicenties of opgenomen in abonnementen zoals Microsoft 365 E5).
- U moet machtigingen hebben om informatie over campagnes weer te geven, zoals beschreven in dit artikel. U beschikt tevens over de volgende opties:
Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (Als Email & samenwerking>Defender voor Office 365 machtigingen actief zijn. Is alleen van invloed op de Defender-portal, niet op PowerShell: beveiligingsbewerkingen/Onbewerkte gegevens (e-mail & samenwerking)/Email berichtkoppen (lezen).
Email & samenwerkingsmachtigingen in de Microsoft Defender portal: Lidmaatschap van de rollengroep Organisatiebeheer, Beveiligingsbeheerder of Beveiligingslezer.
Microsoft Entra machtigingen: lidmaatschap van de rollen Globale beheerder*, Beveiligingsbeheerder of Beveiligingslezer geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.
Belangrijk
* Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.
Pagina Campagnes in de Microsoft Defender-portal
Als u de pagina Campagnes in de Microsoft Defender-portal op https://security.microsoft.comwilt openen, gaat u naar Email & samenwerkingscampagnes>. Als u rechtstreeks naar de pagina Campagnes wilt gaan, gebruikt u https://security.microsoft.com/campaigns.
De pagina Campagnes bestaat uit de volgende elementen:
- Een opbouwfunctie voor filters/query's boven aan de pagina.
- Een grafiekgebied waarin u de beschikbare draaipunten kunt gebruiken om de grafiek op verschillende manieren te ordenen. De grafiek maakt standaard gebruik van de draai campagnetype , ook al lijkt deze draai niet te zijn geselecteerd.
- Een detailgebied, dat standaard is ingesteld op het tabblad Campagne
Tip
Als u geen campagnegegevens of zeer beperkte gegevens ziet, kunt u proberen het datumbereik of de filters te wijzigen.
U kunt dezelfde informatie over campagnes ook bekijken in Bedreigingsverkenner op https://security.microsoft.com/threatexplorerv3:
- Weergave Campagnes .
- Tabblad Campagne alle e-mailweergave> in het detailgebied onder de grafiek.
- Tabblad Malwareweergave>Campagne in het detailgebied onder de grafiek.
- Het tabblad Campagne weergeven > in het detailgebied onder de grafiek.
Als u een Microsoft Defender voor Eindpunt-abonnement hebt, wordt de informatie over campagnes gekoppeld aan Microsoft Defender voor Eindpunt.
Grafiekgebied op de pagina Campagnes
Op de pagina Campagnes toont het grafiekgebied een staafdiagram met het aantal geadresseerden per dag. In de grafiek worden standaard zowel Malware - als Phish-gegevens weergegeven.
Wijzig de filters om de informatie te filteren die wordt weergegeven in de grafiek en in de detailtabel.
Wijzig de organisatie van de grafiek door Campagnetype te selecteren en vervolgens een van de volgende waarden in de vervolgkeuzelijst te selecteren:
- Campagnenaam
- Subtype campagne
- Afzenderdomein
- IP-adres van afzender
- Leveringsactie
- Detectietechnologie
- Volledige URL
- URL-domein
- URL-domein en -pad
Gebruik Grafiekgegevens exporteren om de gegevens in de grafiek te exporteren naar een CSV-bestand.
Als u de grafiek van de pagina wilt verwijderen (waarmee de grootte van het detailgebied wordt gemaximaliseerd), voert u een van de volgende stappen uit:
- Selecteer Lijstweergave> grafiek bovenaan de pagina.
- Selecteer Lijstweergave weergeven tussen de grafiek en de weergaven voor de detailtabel.
Detailgebied op de pagina Campagnes
Wijzig de filters om de informatie te filteren die wordt weergegeven in de grafiek en in de detailtabel.
Op de pagina Campagnes ziet u op het tabblad Campagne onder de grafiek de volgende informatie in de detailtabel:
- Naam
- Voorbeeldonderwerp: de onderwerpregel van een van de berichten in de campagne. Alle berichten in de campagne hebben niet noodzakelijkerwijs hetzelfde onderwerp.
- Gericht: het percentage zoals berekend door: (het aantal geadresseerden van de campagne in uw organisatie) / (het totale aantal geadresseerden in de campagne voor alle organisaties in de service). Deze waarde geeft de mate aan waarin de campagne alleen is gericht op uw organisatie (een hogere waarde) versus ook gericht op andere organisaties in de service (een lagere waarde).
- Type: De waarde is Phish of Malware.
-
Subtype: de waarde bevat meer informatie over de campagne. Bijvoorbeeld:
-
Phish: Waar beschikbaar, het merk dat wordt gefasht door deze campagne. Bijvoorbeeld
Microsoft
,365
,Unknown
,Outlook
ofDocuSign
. Wanneer de detectie wordt aangestuurd door Defender voor Office 365-technologie, wordt het voorvoegsel ATP- toegevoegd aan de subtypewaarde. -
Malware: bijvoorbeeld
W32/<MalwareFamilyName>
ofVBS/<MalwareFamilyName>
.
-
Phish: Waar beschikbaar, het merk dat wordt gefasht door deze campagne. Bijvoorbeeld
- Tags: Zie Gebruikerstags voor meer informatie over gebruikerstags.
- Ontvangers: het aantal gebruikers waarop deze campagne is gericht.
- Postvak IN: het aantal gebruikers dat berichten van deze campagne heeft ontvangen in hun Postvak IN (niet bezorgd in hun map Ongewenste Email).
- Geklikt: het aantal gebruikers dat de URL heeft geselecteerd of de bijlage in het phishingbericht heeft geopend.
- Klikfrequentie: In phishingcampagnes wordt het percentage berekend door 'Clicked / Inboxed'. Deze waarde is een indicator van de effectiviteit van de campagne. Met andere woorden, konden de geadresseerden het bericht identificeren als phishing en daarom de nettolading-URL vermijden? Klikfrequentie wordt niet gebruikt in malwarecampagnes.
- Bezocht: hoeveel gebruikers daadwerkelijk zijn doorgekomen op de website van de nettolading. Als er aanklikte waarden zijn, maar veilige koppelingen de toegang tot de website blokkeren, is deze waarde nul.
Selecteer een kolomkop om op die kolom te sorteren. Als u kolommen wilt verwijderen, selecteert u Kolommen aanpassen. Standaard zijn alle beschikbare kolommen geselecteerd.
Gebruik Exporteren om de gegevens in de detailtabel te exporteren naar een CSV-bestand.
Op de pagina Campagnes ziet u op het tabblad Campagneoorsprong onder de grafiek de berichtbronnen op een kaart van de wereld.
Filters op de pagina Campagnes
Boven aan de pagina Campagne staan verschillende filterinstellingen om specifieke campagnes te vinden en te isoleren. De filters die u selecteert, zijn van invloed op de grafiek en de detailtabel.
De weergave wordt standaard gefilterd op gisteren en vandaag. Als u het datumfilter wilt wijzigen, selecteert u het datumbereik en selecteert u vervolgens begindatum - en einddatumwaarden tot 30 dagen geleden.
U kunt de resultaten ook filteren op een of meer bericht- of campagne-eigenschappen. De basissyntaxis is:
<Eigenschap><Gelijk aan gelijk | aan geen><eigenschapswaarde of -waarden>
- Selecteer het bericht of de campagne-eigenschap in de vervolgkeuzelijst Campagnetype (Campagnetype is de standaardwaarde die is geselecteerd).
- De eigenschapswaarden die u moet invoeren, zijn volledig afhankelijk van de eigenschap. Sommige eigenschappen staan vrije tekst toe met meerdere waarden gescheiden door komma's, en sommige eigenschappen staan meerdere waarden toe die in een lijst zijn geselecteerd.
De beschikbare eigenschappen en de bijbehorende waarden worden beschreven in de volgende tabel:
Eigenschap | Type |
---|---|
Basic | |
Campagnetype | Selecteer een of meer waarden¹:
|
Campagnenaam | Sms. Meerdere waarden scheiden door komma's. |
Subtype campagne | Sms. Meerdere waarden scheiden door komma's. |
Adres afzender | Sms. Meerdere waarden scheiden door komma's. |
Ontvangers | Sms. Meerdere waarden scheiden door komma's. |
Afzenderdomein | Sms. Meerdere waarden scheiden door komma's. |
Ontvangerdomein | Sms. Meerdere waarden scheiden door komma's. |
Onderwerp | Sms. Meerdere waarden scheiden door komma's. |
Weergavenaam van afzender | Sms. Meerdere waarden scheiden door komma's. |
Afzender e-mail van adres | Sms. Meerdere waarden scheiden door komma's. |
Afzender e-mail van domein | Sms. Meerdere waarden scheiden door komma's. |
Malwarefamilie | Sms. Meerdere waarden scheiden door komma's. |
Tags | Sms. Meerdere waarden scheiden door komma's. Zie Gebruikerstags voor meer informatie over gebruikerstags. |
Leveringsactie | Selecteer een of meer waarden¹:
|
Aanvullende actie | Selecteer een of meer waarden¹:
|
Gerichtheid | Selecteer een of meer waarden¹:
|
Detectietechnologie | Selecteer een of meer waarden¹:
|
Oorspronkelijke leveringslocatie | Selecteer een of meer waarden¹:
|
Meest recente leveringslocatie | Dezelfde waarden als de oorspronkelijke leveringslocatie |
Systeemoverschrijvingen | Selecteer een of meer waarden¹:
|
Systeemoverschrijvingsbron | Selecteer een of meer waarden¹:
|
Advanced | |
Internetbericht-id | Sms. Meerdere waarden scheiden door komma's. Beschikbaar in het veld Bericht-ID-koptekst in de berichtkop. Een voorbeeldwaarde is <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (let op de hoekhaken). |
Netwerkbericht-id | Sms. Meerdere waarden scheiden door komma's. Een GUID-waarde die beschikbaar is in het kopveld X-MS-Exchange-Organization-Network-Message-Id in de berichtkop. |
IP-adres van afzender | Sms. Meerdere waarden scheiden door komma's. |
Bijlage SHA256 | Sms. Meerdere waarden scheiden door komma's. Voer de volgende opdracht uit in PowerShell om de SHA256-hashwaarde van een bestand te vinden: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256 . |
Cluster-id | Sms. Meerdere waarden scheiden door komma's. |
Waarschuwings-id | Sms. Meerdere waarden scheiden door komma's. |
Waarschuwingsbeleids-id | Sms. Meerdere waarden scheiden door komma's. |
Campagne-id | Sms. Meerdere waarden scheiden door komma's. |
ZAP-URL-signaal | Sms. Meerdere waarden scheiden door komma's. |
URL's | |
URL-domein | Sms. Meerdere waarden scheiden door komma's. |
URL-domein en -pad | Sms. Meerdere waarden scheiden door komma's. |
URL | Sms. Meerdere waarden scheiden door komma's. |
URL-pad | Sms. Meerdere waarden scheiden door komma's. |
Klik op oordeel | Selecteer een of meer waarden¹:
|
Bestand | |
Bestandsnaam van bijlage | Sms. Meerdere waarden scheiden door komma's. |
¹ Het niet gebruiken van dit eigenschapsfilter of het gebruik van dit eigenschapsfilter zonder geselecteerde waarden heeft hetzelfde resultaat als het gebruik van dit eigenschapsfilter met alle geselecteerde waarden.
Nadat u een eigenschap hebt geselecteerd in de vervolgkeuzelijst Campagnetype , Gelijk aan een ofNiet gelijk aan een van selecteert en vervolgens een waarde in het eigenschappenvak invoert of selecteert, wordt de filterquery weergegeven onder het filtergebied.
Als u meer voorwaarden wilt toevoegen, selecteert u een ander eigenschap/waardepaar en selecteert u vervolgens EN of OF. Herhaal deze stappen zo vaak als nodig is.
Als u bestaande eigenschaps-/waardeparen wilt verwijderen, selecteert u naast de vermelding.
Wanneer u klaar bent met het samenstellen van de filterquery, selecteert u Vernieuwen.
Als u de filterquery wilt opslaan, selecteert u Query> opslaanQuery opslaan. Configureer in de flyout Query opslaan die wordt geopend de volgende instellingen:
- Querynaam: voer een unieke waarde in.
- Selecteer een van de volgende waarden:
- Exacte datums: selecteer het datumbereik.
- Relatieve datums: selecteer een tot 30 dagen.
- Deze query bijhouden
Wanneer u klaar bent in de flyout Query opslaan , selecteert u Opslaan en selecteert u vervolgens OK in het bevestigingsdialoogvenster.
Wanneer u terugkeert naar de pagina Campagnes, kunt u een opgeslagen filter laden door Query> opslaanOpgeslagen query-instellingen te selecteren.
Campagnedetails
Wanneer u een item in de detailtabel selecteert door op een willekeurige plaats in de rij behalve het selectievakje naast de naam te klikken, wordt er een flyout geopend die details over de campagne bevat.
Wat wordt weergegeven in de flyout met campagnedetails, wordt beschreven in de volgende subsecties.
Campagne-informatie
Bovenaan de flyout met campagnedetails vindt u de volgende campagne-informatie:
- Campagne-id: de unieke campagne-id.
- Activiteit: De duur en activiteit van de campagne.
- De volgende gegevens voor het datumbereikfilter dat u hebt geselecteerd (of die u selecteert in de tijdlijn):
- Gevolg
- Berichten: het totale aantal geadresseerden.
- Postvak IN: het aantal berichten dat is bezorgd in het Postvak IN, niet in de map Ongewenste Email.
- Op de koppeling geklikt: hoeveel gebruikers de nettolading-URL in het phishingbericht hebben geselecteerd.
- Bezochte koppeling: hoeveel gebruikers de URL hebben bezocht.
- Targeted(%): het percentage zoals berekend door: (het aantal ontvangers van de campagne in uw organisatie) / (het totale aantal geadresseerden in de campagne voor alle organisaties in de service). Deze waarde wordt berekend over de hele levensduur van de campagne en wordt niet gewijzigd door datumfilters.
- Filters voor begindatum/tijd en eindgegevens/-tijd voor de campagnestroom, zoals beschreven in de volgende sectie.
- Een interactieve tijdlijn van campagneactiviteit: de tijdlijn toont de activiteit gedurende de hele levensduur van de campagne. U kunt de muisaanwijzer over de gegevenspunten in de grafiek bewegen om het aantal gedetecteerde berichten te bekijken.
Campagnestroom
In het midden van de flyout met campagnedetails worden belangrijke details over de campagne weergegeven in een horizontaal stroomdiagram (ook wel een Sankey-diagram genoemd). Deze details helpen u inzicht te verkrijgen in de elementen van de campagne en de mogelijke impact in uw organisatie.
Tip
De informatie die in het stroomdiagram wordt weergegeven, wordt bepaald door het datumbereikfilter in de tijdlijn, zoals beschreven in de vorige sectie.
Als u de muisaanwijzer over een horizontale band in het diagram beweegt, ziet u het aantal gerelateerde berichten (bijvoorbeeld berichten van een bepaald bron-IP-adres, berichten van het bron-IP-adres met het opgegeven afzenderdomein, enzovoort).
Het diagram bevat de volgende informatie:
IP-adressen van afzender
Afzenderdomeinen
Beoordelingsbeoordelingen filteren: de beoordelingswaarden zijn gerelateerd aan de beschikbare phishing- en spamfilters, zoals beschreven in antispamberichtkoppen. De beschikbare waarden worden beschreven in de volgende tabel:
Waarde Spamfilteroordeel Beschrijving Toegestaan SFV:SKN
<Br/SFV:SKI
Het bericht is gemarkeerd als geen spam en/of filteren overgeslagen voordat het werd geëvalueerd door spamfilters. Het bericht is bijvoorbeeld gemarkeerd als geen spam door een e-mailstroomregel (ook wel een transportregel genoemd).
<br/ Het bericht heeft spamfilters om andere redenen overgeslagen. De afzender en geadresseerde lijken zich bijvoorbeeld in dezelfde organisatie te bevinden.Geblokkeerd SFV:SKS
Het bericht is gemarkeerd als spam voordat het werd geëvalueerd door spamfilters. Bijvoorbeeld door een e-mailstroomregel. Gedetecteerd SFV:SPM
Het bericht is gemarkeerd als spam door het spamfilter. Niet gedetecteerd SFV:NSPM
Het bericht is gemarkeerd als geen spam door spamfilters. Vrijgegeven SFV:SKQ
Het bericht heeft spamfiltering overgeslagen omdat het is vrijgegeven uit quarantaine. Tenant toestaan¹ SFV:SKA
Het bericht heeft spamfiltering overgeslagen vanwege de instellingen in een antispambeleid. De afzender stond bijvoorbeeld in de lijst met toegestane afzenders of de lijst met toegestane domeinen. Tenantblok² SFV:SKA
Het bericht is geblokkeerd door spamfilters vanwege de instellingen in een antispambeleid. De afzender stond bijvoorbeeld in de lijst met toegestane afzenders of de lijst met toegestane domeinen. Gebruiker toestaan¹ SFV:SFE
Het bericht heeft spamfiltering overgeslagen omdat de afzender in de lijst met veilige afzenders van een gebruiker stond. Gebruikersblok² SFV:BLK
Het bericht is geblokkeerd door spamfilters omdat de afzender in de lijst met geblokkeerde afzenders van een gebruiker stond. ZAPPEN n.v.t. Zero-hour auto purge (ZAP) heeft het bezorgde bericht verplaatst naar de map Ongewenste Email of quarantaine. U configureert de actie in het antispambeleid. ¹ Controleer uw antispambeleid, omdat het toegestane bericht waarschijnlijk is geblokkeerd door de service.
² Controleer uw antispambeleid, omdat deze berichten in quarantaine moeten worden geplaatst, niet moeten worden bezorgd.
Berichtbestemmingen: onderzoek berichten die zijn bezorgd bij geadresseerden (in het Postvak IN of de map Ongewenste e-Email mail), zelfs als gebruikers de nettolading-URL niet in het bericht hebben geselecteerd. U kunt ook de berichten in quarantaine uit quarantaine verwijderen. Zie E-mailberichten in quarantaine in EOP voor meer informatie.
- Map verwijderd
- Gedaald
- Extern: de ontvanger bevindt zich in uw on-premises e-mailorganisatie in hybride omgevingen.
- Mislukt
- Doorgestuurd
- Postvak IN
- Map Ongewenste e-mail
- Quarantaine
- Unknown
URL-klikken: deze waarden worden beschreven in de volgende sectie.
Opmerking
In alle lagen die meer dan 10 items bevatten, worden de bovenste 10 items weergegeven, terwijl de rest wordt gebundeld in Overige.
URL-klikken
Wanneer een phishingbericht wordt bezorgd in de map Postvak IN van een geadresseerde of ongewenste e-mail Email, is er altijd een kans dat de gebruiker de nettoladings-URL selecteert. Het niet selecteren van de URL is een kleine mate van succes, maar u moet bepalen waarom het phishingbericht in de eerste plaats in het postvak is bezorgd.
Als een gebruiker de payload-URL in het phishingbericht heeft geselecteerd, worden de acties weergegeven in het gebied URL-klikken van het diagram in de weergave met campagnedetails.
- Toegestaan
- BlockPage: de ontvanger heeft de nettolading-URL geselecteerd, maar de toegang tot de schadelijke website is geblokkeerd door een beleid voor veilige koppelingen in uw organisatie.
- BlockPageOverride: de geadresseerde heeft de nettolading-URL in het bericht geselecteerd. Veilige koppelingen probeerde deze te stoppen, maar ze mochten het blok overschrijven. Controleer uw beleid voor veilige koppelingen om te zien waarom gebruikers het oordeel over Veilige koppelingen mogen negeren en doorgaan naar de schadelijke website.
- PendingDetonationPage: Veilige bijlagen in Microsoft Defender voor Office 365 de nettolading-URL in een virtuele omgeving opent en onderzoekt.
- PendingDetonationPageOverride: de ontvanger mag het nettoladingonttonatieproces overschrijven en de URL openen zonder op de resultaten te wachten.
Tabs
Tip
De informatie die op de tabbladen wordt weergegeven, wordt bepaald door het datumbereikfilter in de flyout met campagnedetails, zoals beschreven in de sectie Campagnegegevens .
Met de tabbladen in de flyout voor campagnedetails kunt u de campagne verder onderzoeken. De volgende tabbladen zijn beschikbaar:
URL-klikken: als gebruikers de nettolading-URL niet in het bericht hebben geselecteerd, is deze sectie leeg. Als een gebruiker de URL kon selecteren, worden de volgende waarden ingevuld:
- Gebruiker*
- Tags
- URL*
- Kliktijd
- Klik op oordeel
IP-adressen van afzender
- IP-adres van afzender*
- Totaal aantal
- Postvak IN
- Niet postvak IN
- SPF geslaagd: de afzender is geverifieerd door het Sender Policy Framework (SPF). Een afzender die niet door de SPF-validatie komt, geeft aan dat er een niet-geverifieerde afzender is of dat het bericht een legitieme afzender vervalst.
Afzenders
- Afzender: dit is het werkelijke adres van de afzender in de opdracht SMTP MAIL FROM , wat niet noodzakelijkerwijs het e-mailadres Van: is dat gebruikers zien in hun e-mailclients.
- Totaal aantal
- Postvak IN
- Niet postvak IN
- DKIM geslaagd: de afzender is geverifieerd door DKIM (Domain Keys Identified Mail). Een afzender die de DKIM-validatie niet doorkomt, geeft aan dat er een niet-geverifieerde afzender is of dat het bericht een legitieme afzender vervalst.
- DMARC is doorgegeven: de afzender is geverifieerd door domeingebaseerde berichtverificatie, -rapportage en -conformiteit (DMARC). Een afzender die de DMARC-validatie niet doorkomt, geeft aan dat een niet-geverifieerde afzender is of dat het bericht een legitieme afzender vervalst.
Bijlagen
- Bestandsnaam
- SHA256
- Malwarefamilie
- Totaal aantal
URL's
- URL*
- Totaal aantal
* Als u deze waarde selecteert, wordt een nieuwe flyout geopend met meer details over het opgegeven item (gebruiker, URL, enzovoort) boven op de weergave met campagnedetails. Als u wilt terugkeren naar de flyout met campagnedetails, selecteert u Gereed in de nieuwe flyout.
Selecteer op elk tabblad een kolomkop om op die kolom te sorteren. Als u kolommen wilt verwijderen, selecteert u Kolommen aanpassen. Standaard zijn alle beschikbare kolommen op elk tabblad geselecteerd.
Aanvullende acties
Met de acties onderaan de flyout voor campagnedetails kunt u details over de campagne onderzoeken en vastleggen:
- Selecteer Ja of Nee in Denkt u dat deze campagne deze berichten nauwkeurig heeft gegroepeerd?.
-
Berichten verkennen: gebruik de kracht van Threat Explorer om de campagne verder te onderzoeken door een van de volgende waarden in de vervolgkeuzelijst te selecteren:
- Alle berichten: hiermee opent u een nieuw zoektabblad in Bedreigingsverkenner met de waarde Campagne-id als zoekfilter.
- Berichten in postvak IN: Hiermee opent u een nieuw zoektabblad van Threat Explorer met de campagne-id en bezorgingslocatie: Postvak IN als zoekfilter.
- Interne berichten: Hiermee opent u een nieuw zoektabblad in Threat Explorer met de campagne-id en directionaliteit: intra-org als zoekfilter.
- Bedreigingsrapport downloaden: Download de campagnedetails naar een Word document (standaard met de naam CampaignReport.docx). De download bevat details over de hele levensduur van de campagne (niet alleen het datumfilter dat u hebt geselecteerd).