Udostępnij za pośrednictwem

Szczegółowe informacje o nadawcach zbiorczych w Exchange Online Protection

Uwaga

Funkcje opisane w tym artykule są obecnie w wersji zapoznawczej, nie są dostępne we wszystkich organizacjach i mogą ulec zmianie.

W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online lub autonomicznych organizacjach Exchange Online Protection (EOP) bez Exchange Online skrzynek pocztowych szczegółowe informacje dotyczące nadawców zbiorczych w Microsoft Defender Portal umożliwia sprawdzenie, ile wiadomości e-mail zostało zidentyfikowanych jako zbiorcze na bieżącym poziomie progu zbiorczego w zasadach ochrony przed spamem, oraz symulowanie zidentyfikowanych i dozwolonych zbiorczych wiadomości e-mail na podstawie zmian progu nadawcy zbiorczego i jakości nadawcy zbiorczego.

Funkcja EOP przypisuje wartość poziomu skarg zbiorczych (BCL) do komunikatów przychodzących od nadawców zbiorczych. Wyższa wartość listy BCL wskazuje, że komunikat zbiorczy jest bardziej prawdopodobny jako spam. Próg zbiorczej poczty e-mail w zasadach ochrony przed spamem używa określonej wartości listy BCL do identyfikowania komunikatów zbiorczo i podejmowania na nich akcji. Aby uzyskać więcej informacji na temat listy BCL, zobacz Poziom skarg zbiorczych (BCL) w EOP.

Szczegółowe informacje o nadawcach zbiorczych mają następujące możliwości:

  • Wyświetl, ile wiadomości e-mail jest identyfikowanych zbiorczo na każdym poziomie listy BCL (od 1 do 9) w ciągu ostatnich 60 dni.
  • Symuluj zmiany progu zbiorczej poczty e-mail i wyświetl wyniki dotyczące liczby komunikatów, które zostaną dostarczone, a które zostaną zidentyfikowane zbiorczo przez domyślne zasady ochrony przed spamem lub niestandardowe zasady ochrony przed spamem, w których można ustawić próg listy BCL. Nie można ustawić progu listy BCL w standardowych lub ścisłych wstępnie ustawionych zasad zabezpieczeń.
  • Wyświetl informacje o nadawcach wiadomości, których dotyczy próg zbiorczej poczty e-mail, w tym filtrowanie na podstawie jakości nadawcy.

W tym artykule opisano sposób korzystania ze szczegółowych informacji o nadawcach zbiorczych w portalu Microsoft Defender.

Co należy wiedzieć przed rozpoczęciem?

  • Otwórz portal Microsoft Defender pod adresem https://security.microsoft.com. Aby przejść bezpośrednio do strony szczegółowej informacji o nadawcach zbiorczych , użyj polecenia https://security.microsoft.com/senderinsights.

  • Symulacja zbiorcza i wykrywanie mogą nie działać poprawnie, jeśli rekord MX domeny platformy Microsoft 365 wskazuje na usługę lub urządzenie innej firmy.

  • Aby można było wykonać procedury opisane w tym artykule, musisz mieć przypisane uprawnienia. Masz następujące możliwości:

    • Microsoft Defender XDR ujednolicona kontrola dostępu oparta na rolach (RBAC) (jeśli Email & współpracy>Ochrona usługi Office 365 w usłudze Defender uprawnienia to Aktywne. Dotyczy tylko portalu usługi Defender, a nie programu PowerShell): autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (zarządzanie) lub Autoryzacja i ustawienia/Ustawienia zabezpieczeń/Podstawowe ustawienia zabezpieczeń (odczyt).

    • uprawnienia Exchange Online:

      • Dodawanie, modyfikowanie i usuwanie zasad: członkostwo w grupach ról Zarządzanie organizacją lub Administrator zabezpieczeń .
      • Dostęp tylko do odczytu do zasad: członkostwo w grupach ról Czytelnik globalny, Czytelnik zabezpieczeń lub Zarządzanie organizacją tylko do wyświetlania .

    • uprawnienia Microsoft Entra: Członkostwo w następujących rolach daje użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365:

      • Dodawanie, modyfikowanie i usuwanie zasad: członkostwo w rolach Zarządzanie organizacją* lub Administrator zabezpieczeń .
      • Dostęp tylko do odczytu do zasad: członkostwo w rolach Czytelnik globalny lub Czytelnik zabezpieczeń .

      Ważna

      * Firma Microsoft zaleca używanie ról z najmniejszą liczbą uprawnień. Korzystanie z kont o niższych uprawnieniach pomaga zwiększyć bezpieczeństwo organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, która powinna być ograniczona do scenariuszy awaryjnych, gdy nie można użyć istniejącej roli.

  • Aby zapoznać się z naszymi zalecanymi ustawieniami zasad ochrony przed spamem, zobacz Ustawienia zasad ochrony przed spamem w zakresie EOP.

Porada

Ustawienia domyślnych lub niestandardowych zasad ochrony przed spamem są ignorowane, jeśli adresat jest również uwzględniony w standardowych lub ścisłych zasadach zabezpieczeń wstępnie ustawionych. Aby uzyskać więcej informacji, zobacz Kolejność i pierwszeństwo ochrony poczty e-mail.

Wartość progu zbiorczego w zasadach ochrony przed spamem określa próg listy BCL używany do identyfikowania komunikatu jako zbiorczego. Na przykład wartość progu zbiorczego 7 oznacza, że komunikaty z wartością BCL 7, 8 lub 9 są identyfikowane jako zbiorcze. To, co dzieje się z komunikatami zbiorczymi, zależy od akcji na poziomie skargi zbiorczej (BCL) osiągniętej lub przekroczonej w zasadach ochrony przed spamem (na przykład Przenieś wiadomość do folderu Email śmieci, Kwarantanna lub Usuń wiadomość). Dla uproszczenia identyfikowanie komunikatu jako zbiorczego i podejmowanie na nim akcji jest nazywane zablokowanym w szczegółowych informacjach o nadawcach zbiorczych.

Otwieranie szczegółowych informacji o nadawcach zbiorczych w portalu Microsoft Defender

Szczegółowe informacje o nadawcach zbiorczych są dostępne w następujących lokalizacjach:

  • We właściwościach domyślnych zasad ochrony przed spamem lub niestandardowych zasad ochrony przed spamem:

    1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do obszaru Zasady współpracy> Email && Reguły>zasady>ochrony przed spamem w sekcji Zasady. Aby przejść bezpośrednio do strony Zasady ochrony przed spamem , użyj polecenia https://security.microsoft.com/antispam.

    2. Na stronie Zasady ochrony przed spamem wybierz niestandardowe zasady ochrony przed spamem (wartość Typ to Niestandardowe zasady ochrony przed spamem) lub domyślne zasady ochrony przed spamem o nazwie Zasady ruchu przychodzącego antyspamowego (domyślne), klikając dowolne miejsce w wierszu innym niż pole wyboru obok pierwszej kolumny.

    3. W wyświetlonym oknie wysuwowym szczegółów wybierz pozycję Edytuj próg spamu i właściwości w dolnej części sekcji Zbiorczy próg wiadomości e-mail & właściwości spamu .

    4. W otwieranym progu spamu i właściwościach szczegółowe informacje dotyczące zbiorczych nadawców zawierają następujące informacje o wszystkich zbiorczych wiadomościach e-mail wykrytych przez wszystkie zasady ochrony przed spamem w organizacji w ciągu ostatnich 60 dni:

      • Domyślnie szczegółowe informacje pokazują liczbę komunikatów zbiorczych, które zostały zablokowane i dozwolone przy bieżącym progu listy BCL:

        Szczegółowe informacje dotyczące zbiorczych nadawców we właściwościach domyślnych zasad ochrony przed spamem z domyślną wartością progu listy BCL.

      • Jeśli zmniejszysz wartość progową listy BCL, aby zablokować więcej wiadomości e-mail zbiorczych, szczegółowe informacje pokazują liczbę komunikatów zbiorczych, które zostałyby zablokowane i dozwolone przy nowym progu listy BCL:

        Szczegółowe informacje dotyczące zbiorczych nadawców we właściwościach domyślnych zasad ochrony przed spamem z progiem listy BCL niższym niż oryginalna wartość.

      • Jeśli zwiększysz wartość progu listy BCL, aby zezwolić na większą liczbę zbiorczych wiadomości e-mail, szczegółowe informacje pokazują liczbę komunikatów zbiorczych, które zostałyby zablokowane i dozwolone przy nowym progu listy BCL:

        Szczegółowe informacje dotyczące zbiorczych nadawców we właściwościach domyślnych zasad ochrony przed spamem z progiem listy BCL wyższym niż pierwotna wartość.

  • Na stronie Email & raportów współpracy i szczegółowych informacji:

    1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do sekcji >Raporty>Email & współpracy Email &raportami i szczegółowymi informacjami o współpracy. Możesz też przejść bezpośrednio do strony raportów Email & współpracy i szczegółowych informacji, użyj polecenia https://security.microsoft.com/emailandcollabreport.

    2. Na stronie Email & raportów współpracy i szczegółowych informacji przejdź do sekcji Email & collaboration insights (Szczegółowe informacje o współpracy Email &) i znajdź szczegółowe informacje dotyczące zbiorczych nadawców.

    Szczegółowe informacje dotyczące zbiorczych nadawców na stronie raportów i szczegółowych informacji o współpracy Email & w portalu Microsoft Defender.

Aby wyświetlić szczegółowe informacje na temat wykrywania zbiorczego i nadawców, wybierz pozycję Wyświetl szczegółowe informacje dotyczące nadawców zbiorczych lub Wyświetl szczegóły , aby otworzyć stronę szczegółowej informacji o nadawcach zbiorczych .

Wyświetlanie strony szczegółowej informacji o nadawcach zbiorczych

Strona Szczegółowe informacje o nadawcach zbiorczych jest dostępna przy użyciu następujących metod:

Strona Szczegółowe informacje dotyczące zbiorczych nadawców w portalu Microsoft Defender.

Przed uruchomieniem symulacji wartości w tabeli w środku strony wskazują następujące wartości:

  • Poziom skarg zbiorczych (BCL): zakres możliwych wartości listy BCL (od 1 do 9).
  • Wszystkie wiadomości e-mail: łączna liczba wiadomości zidentyfikowanych w każdej wartości listy BCL (niektóre z nich mogą wynosić 0).
  • Dostarczone przy bieżącym progu BCL: liczba dostarczonych komunikatów (nie zidentyfikowanych jako zbiorcze) dla każdej wartości listy BCL:
    • Jeśli wartość listy BCL jest mniejsza niż wartość progu bieżącej zbiorczej poczty e-mail , wiadomość została dostarczona (nie została zidentyfikowana jako zbiorcza):
      • Wartości Dostarczane przy bieżącym progu listy BCL i Wszystkie wiadomości e-mail są takie same.
      • Wartość dostarczona przy bieżącym progu BCL jest zgodna z Email dostarczaną przy bieżącej wartości konfiguracji.
    • Jeśli wartość listy BCL jest większa lub równa wartości progu bieżącej zbiorczej poczty e-mail , wiadomość została zidentyfikowana jako zbiorcza i zablokowana.
      • Wartość progowa dostarczona przy bieżącej wartości progowej listy BCL dla wartości BCL wynosi 0.
      • Wartość Wszystkie wiadomości e-mail jest zgodna z Email określoną przy bieżącej wartości progowej listy BCL.
  • Dostarczane przy nowym progu listy BCL: liczba komunikatów, które nie zostały zidentyfikowane jako wiadomości e-mail zbiorcze po uruchomieniu symulacji. Przed uruchomieniem symulacji wartość jest bez znaczenia.

Aby uruchomić symulację, użyj następujących elementów na stronie:

  • Niemodyfikowalny suwak Próg bieżącej zbiorczej poczty e-mail pokazuje bieżącą wartość progu listy BCL w oparciu o sposób uzyskiwania szczegółowych informacji o nadawcach zbiorczych :
    • Bezpośrednio: wartość progowa listy BCL wynosi 7.
    • Z właściwości zasad ochrony przed spamem: wartość progowa listy BCL jest bieżącą wartością zasad ochrony przed spamem.
  • Suwak Nowy próg zbiorczej poczty e-mail umożliwia symulowanie efektu zwiększania i zmniejszania progu listy BCL dla dostarczonych lub zablokowanych komunikatów.
  • Suwak próg jakości nadawcy symulacji określa próg zaufania dobrego/złego nadawcy do użycia w symulacji aktualizacji BCL. Wyższa wartość wskazuje symulowane wyniki progu BCL na podstawie bardziej niezawodnych nadawców. Wartość progu jakości nadawcy symulacji dla nadawców jest oparta na następujących czynnikach:
    • Wcześniejsze interakcje z nadawcą.
    • Częstotliwość komunikatów od nadawcy.
    • Administracja lub opinię użytkownika dotyczącą wiadomości od nadawcy.

Po wybraniu wartości próg nowej zbiorczej poczty e-mail i progu jakości nadawcy symulacji wybierz pozycję Symuluj:

  • Strona jest aktualizowana o liczbę zablokowanych i dozwolonych komunikatów dla bieżących i nowych symulowanych poziomów progów BCL.
  • Dolna część strony jest aktualizowana o informacje o nadawcach, które zostałyby zidentyfikowane jako zbiorcze.

Wyświetlanie informacji o nadawcach zbiorczych na stronie szczegółowej informacji o nadawcach zbiorczych

Tabela szczegółów nadawcy zbiorczego w dolnej części strony zawiera dane dotyczące nadawców zbiorczych, których komunikaty zostały zidentyfikowane jako zbiorcze.

Tabela może zawierać dane nadawcy po pierwszym otwarciu strony szczegółowej analizy zbiorczych nadawców , jeśli wartości progu bieżącej zbiorczej poczty e-mail i progu jakości nadawcy symulacji spowodowały już zbiorczą identyfikację poczty e-mail przed uruchomieniem jakichkolwiek symulacji.

W przeciwnym razie nadawcy są uwzględniane w tabeli szczegółów nadawcy na podstawie wartości progu bieżącej zbiorczej poczty e-mail i progu jakości nadawcy symulacji po uruchomieniu symulacji.

W przypadku wpisów w tabeli szczegółów nadawcy są zawsze dostępne następujące kolumny:

  • Nadawca: adres e-mail nadawcy.
  • BCL
  • Próg jakości nadawcy symulacji

Pozostałe kolumny w tabeli szczegółów nadawcy zależą odrelacjiaAa przez użytkownika.

  • Nowy próg zbiorczej poczty e-mail jest równy bieżącemu progowi zbiorczej poczty e-mail:

    • Potencjalny wynik fałszywie dodatni
    • Potencjalny wynik fałszywie ujemny

    Aby filtrować wyniki, wybierz pozycję Wszyscy nadawcy , a następnie wybierz jedną z następujących wartości:

    • Potencjalna wartość fałszywie dodatnia: wyświetlane są tylko nadawcy, w przypadku których wartość Potencjalna wartość fałszywie dodatnia to True .
    • Potencjalny wynik fałszywie ujemny: wyświetlane są tylko nadawcy, w których wyświetlany jest potencjalny wynik fałszywie ujemny.

    Strona Szczegółowe informacje dotyczące zbiorczych nadawców przed uruchomieniem symulacji lub po uruchomieniu symulacji, na której nowy próg listy BCL jest równy bieżącemu progowi listy BCL.

  • Próg nowej zbiorczej poczty e-mail jest mniejszy niż próg bieżącej poczty e-mail zbiorczej:

    • Nowy nadawca zablokowany
    • Potencjalny wynik fałszywie dodatni

    Aby filtrować wyniki, wybierz pozycję Wszyscy nadawcy , a następnie wybierz jedną z następujących wartości:

    • Zablokowany nowy nadawca: wyświetlane są tylko nadawcy, dla których nowy nadawca jest zablokowany.
    • Potencjalna wartość fałszywie dodatnia: wyświetlane są tylko nadawcy, w przypadku których wartość Potencjalna wartość fałszywie dodatnia to True .

    Strona Szczegółowe informacje dotyczące zbiorczych nadawców po uruchomieniu symulacji, na której nowy próg listy BCL jest mniejszy niż bieżący próg listy BCL.

  • Próg nowej zbiorczej poczty e-mail jest większy niż próg bieżącej zbiorczej poczty e-mail:

    • Dozwolony nowy nadawca
    • Potencjalny wynik fałszywie ujemny

    Aby filtrować wyniki, wybierz pozycję Wszyscy nadawcy , a następnie wybierz jedną z następujących wartości:

    • Dozwolony nowy nadawca: wyświetlane są tylko nadawcy, dla których dozwolony jest nowy nadawca.
    • Potencjalny wynik fałszywie ujemny: wyświetlane są tylko nadawcy, w których wyświetlany jest potencjalny wynik fałszywie ujemny.

    Strona Szczegółowe informacje dotyczące zbiorczych nadawców po uruchomieniu symulacji, na której nowy próg listy BCL jest większy niż bieżący próg listy BCL.

Aby zmienić listę wpisów z normalnego na kompaktowy, wybierz pozycję Zmień odstępy między listami na kompaktowe lub normalne, a następnie wybierz pozycję Lista kompaktowa.

Użyj pola Wyszukiwania i odpowiedniej wartości, aby znaleźć określonych nadawców w tabeli.

Użyj opcji Eksportuj , aby zapisać aktualnie wyświetlaną listę nadawców w pliku CSV. Domyślna nazwa pliku to szczegółowe informacje o nadawcy zbiorczym — microsoft Defender.csv, a domyślną lokalizacją jest lokalny folder Pliki do pobrania. Jeśli w tej lokalizacji istnieje już wyeksportowany plik, nazwa pliku jest zwiększana (na przykład szczegółowe informacje o nadawcy zbiorczym — Microsoft Defender(1).csv).

Wyświetl szczegółowe informacje o nadawcy zbiorczym na stronie szczegółowej informacji o nadawcach zbiorczych

Aby wyświetlić szczegółowe informacje o określonym nadawcy z tabeli szczegółów nadawcy w dolnej części strony szczegółowej informacji o nadawcach zbiorczych , kliknij dowolne miejsce w wierszu innym niż pole wyboru obok pierwszej kolumny. Otwarty wysuwany komunikat wysuwany szczegóły nadawcy zawiera następujące informacje o nadawcy:

  • Nadawca: adres e-mail nadawcy.
  • Komunikaty: liczba komunikatów od nadawcy.
  • Komunikaty w skrzynce odbiorczej: liczba komunikatów od nadawcy, które zostały dostarczone do skrzynek odbiorczych użytkownika.
  • Komunikaty w kwarantannie lub Email-śmieci: liczba komunikatów od nadawcy, które zostały dostarczone do folderów Email wiadomości-śmieci użytkownika lub poddane kwarantannie.
  • Administracja ustawienie: czy nadawca jest dozwolony, czy zablokowany przez opcję Zarządzaj zezwala i bloki w wartościach Prawidłowa lista dozwolonych/blokowych dzierżawy:
    • Zezwalaj: istnieje wpis zezwalania dla nadawcy wiadomości.
    • Blokuj: istnieje wpis bloku dla nadawcy wiadomości.
  • Komunikaty dozwolone przez użytkownika: liczba wiadomości od nadawcy, które zostały dodane do listy Bezpiecznych nadawców w skrzynkach pocztowych użytkownika.
  • Komunikaty zablokowane przez użytkownika: liczba wiadomości od nadawcy, które zostały dodane do listy Zablokowanych nadawców w skrzynkach pocztowych użytkownika.
  • Zgłoszenia fałszywie dodatnie: liczba wiadomości od nadawcy, które zostały przesłane jako dobra wiadomość, została przypadkowo zablokowana.
  • Fałszywie ujemne przesłania: liczba wiadomości od nadawcy, które zostały przesłane jako nieprawidłowa wiadomość przypadkowo dostarczona.
  • Użytkownik został przeniesiony ze Email-śmieci do skrzynki odbiorczej
  • Użytkownik został przeniesiony ze skrzynki odbiorczej do Email-śmieci
  • Komunikaty usunięte przez użytkownika
  • Administracja komunikaty poddane kwarantannie
  • Administracja przeniesiono wiadomości e-mail ze skrzynki odbiorczej do Email-śmieci
  • Administracja usunięte komunikaty

Wysuwane szczegóły nadawcy z tabeli szczegółów nadawcy na stronie szczegółowej analizy nadawców zbiorczych.