Definicje wyników przesyłania w Exchange Online Protection i Ochrona usługi Office 365 w usłudze Defender
W organizacjach platformy Microsoft 365 ze skrzynkami pocztowymi w Exchange Online ustawienia zgłaszane przez użytkownika określają, czy wiadomości e-mail zgłaszane przez użytkownika są wysyłane do firmy Microsoft w celu analizy. Nawet jeśli wiadomości nie są początkowo wysyłane do firmy Microsoft, administratorzy mogą ręcznie wysyłać lub ponownie wysyłać wiadomości e-mail (w tym wiadomości e-mail zgłaszane przez użytkownika) ze strony Przesłane, załączniki wiadomości e-mail, adresy URL i (tylko w Ochrona usługi Office 365 w usłudze Microsoft Defender planie 2) wiadomości usługi Microsoft Teams. Aby uzyskać więcej informacji, zobacz Jak mogę zgłosić podejrzaną wiadomość e-mail lub plik do firmy Microsoft?.
Gdy administratorzy lub użytkownicy przesyłają elementy do firmy Microsoft do analizy, przeprowadzamy następujące kontrole:
- Email sprawdzanie uwierzytelniania (tylko wiadomości e-mail): czy wiadomość została przekazana, czy nie powiodło się uwierzytelnianie poczty e-mail: SPF, DKIM, DMARC i uwierzytelnianie złożone.
- Trafienia zasad: informacje o wszelkich zasadach lub zastąpieniach, które mogły zezwalać na przychodzące wiadomości e-mail lub blokować do organizacji, co zastępuje nasze werdykty filtrowania.
- Reputacja ładunku/detonacja: aktualne badanie wszelkich adresów URL i załączników w wiadomości.
- Analiza równiarki: przejrzyj wyniki wykonywane przez ludzi, aby potwierdzić, czy komunikaty są złośliwe.
Dowiedz się więcej na temat przetwarzania przesłanych danych w tle w celu wygenerowania wyniku.
Uwaga
W organizacjach rządowych USA (Microsoft 365 GCC, GCC High i DoD) administratorzy mogą przesyłać elementy do firmy Microsoft w celu analizy, ale elementy są analizowane pod kątem uwierzytelniania poczty e-mail i trafień zasad. Analiza reputacji ładunku, detonacji i równiarki nie jest wykonywana ze względów zgodności (dane nie mogą opuścić granicy organizacji).
W poniższej tabeli opisano wyniki przesyłania do firmy Microsoft:
- Stan wskazuje, czy wcześniej opisane kontrole zostały ukończone.
- Wynik wskazuje szczegóły, które zostały wygenerowane podczas analizy przy użyciu wcześniej opisanych testów
| Stan | Result (Wynik) | Opis |
|---|---|---|
| Analizowanie | Przedmiotem dochodzenia | Element jest analizowany zgodnie z wcześniejszym opisem. Po zakończeniu analizy stan jest aktualizowany, a wynik przedstawia szczegóły analizy. |
| Zakończone | Nie przesłano do firmy Microsoft | Ustawienia zgłaszane przez użytkownika są skonfigurowane do dostarczania zgłoszonych wiadomości tylko do skrzynki pocztowej raportowania. Firma Microsoft nie może automatycznie odbierać kopii przesłanego elementu i działać na nim. Możesz zaktualizować ustawienia zgłaszane przez użytkownika, aby dostarczać wiadomości do skrzynki pocztowej raportowania i do firmy Microsoft lub tylko do firmy Microsoft. |
| Zakończone | Symulacja wyłudzania informacji | Przesłany element jest częścią wewnętrznej kampanii edukacyjnej chroniącej przed wyłudzaniem informacji. Sprawdź Szkolenie z symulacji ataków zaawansowane zasady dostarczania lub (w Ochrona usługi Office 365 w usłudze Defender planie 2). |
| Zakończone | Uwierzytelnianie nie powiodło się | Wiadomość nie została dostarczona, ponieważ nie powiodło się uwierzytelnianie poczty e-mail. Jeśli jesteś właścicielem tej domeny, przejrzyj ustawienia uwierzytelniania domeny. W przeciwnym razie skontaktuj się z właścicielem domeny. Aby uzyskać więcej informacji, zobacz uwierzytelnianie Email na platformie Microsoft 365. |
| Zakończone | Sfałszowana wiadomość | Przesłany element został wysłany przez osobę, która podszywa się pod nadawcę. Aby uzyskać więcej informacji, zobacz Spoof intelligence insight in EOP (Fałszowanie analizy w ramach EOP). |
| Zakończone | Personifikacja domeny | W Ochrona usługi Office 365 w usłudze Defender przesłany element pochodzi z domeny podobnej do domeny zidentyfikowanej na potrzeby ochrony przed personifikacją domeny. Zalecamy przejrzenie elementu i (w razie potrzeby) dodanie domeny nadawcy do listy zaufanych nadawców w zasadach ochrony przed wyłudzaniem informacji, które wykryły komunikat. Aby uzyskać więcej informacji, zobacz Ochrona przed personifikacją domeny. |
| Zakończone | Personifikacja marki | W Ochrona usługi Office 365 w usłudze Defender przesłany element pochodzi od kogoś, kto jest związany z marką. Zalecamy przejrzenie elementu i (w razie potrzeby) dodanie adresu nadawcy jako wpisu dozwolonego na liście dozwolonych/zablokowanych dzierżaw. |
| Zakończone | Personifikacja użytkownika | W Ochrona usługi Office 365 w usłudze Defender przesłany element pochodzi od nadawcy, który przypomina użytkownika zidentyfikowanego na potrzeby ochrony przed personifikacją użytkowników. Zalecamy przejrzenie elementu i (w razie potrzeby) dodanie nadawcy do listy zaufanych nadawców w zasadach ochrony przed wyłudzaniem informacji, które wykryły komunikat. Aby uzyskać więcej informacji, zobacz Ochrona przed personifikacją użytkowników. |
| Zakończone | Dozwolone z powodu przesłonięcia organizacyjnego | Jednostka skojarzona z przesłanym elementem została dozwolona w jednym z następujących ustawień:
Sprawdź wynik przesłania pod kątem dokładnej przyczyny i usuń lub napraw ustawienie. |
| Zakończone | Dozwolone z powodu przesłonięcia użytkownika | Adresat przesłanego elementu ma konfigurowalne ustawienia zezwalania programu Outlook w swojej skrzynce pocztowej (na przykład nadawca lub domena na liście bezpiecznych nadawców). Sprawdź wynik przesłania pod kątem dokładnej przyczyny i usuń lub napraw ustawienie. |
| Zakończone | Zablokowane z powodu przesłonięcia organizacyjnego | Jednostka skojarzona z przesłanym elementem została zablokowana w jednym z następujących ustawień:
Sprawdź wynik przesłania pod kątem dokładnej przyczyny i usuń lub napraw ustawienie. |
| Zakończone | Zablokowane z powodu przesłonięcia użytkownika | Adresat przesłanego elementu ma konfigurowalne ustawienia bloku programu Outlook w swojej skrzynce pocztowej (na przykład nadawca lub domena na liście Zablokowanych nadawców lub Bezpieczna Listy tylko włączona). Sprawdź wynik przesłania pod kątem dokładnej przyczyny i usuń lub napraw ustawienie. |
| Zakończone | Nie odnaleziono elementu | Przesłany element jest niedostępny, ponieważ został usunięty lub przesyłanie jest nieprawidłowe. Można przesyłać tylko elementy ze skrzynek pocztowych Exchange Online. Prześlij ponownie plik .eml lub identyfikator komunikatu sieciowego wiadomości ze skrzynki pocztowej Exchange Online. |
| Zakończone | Przyczyna tego werdyktu została utracona w tranzycie | Przesłany element został przekierowany za pośrednictwem hybrydowego przepływu poczty między lokalnym programem Exchange i Exchange Online, a werdykt filtrowania został utracony. Sprawdź podobne wiadomości, które zostały dostarczone bezpośrednio do skrzynki pocztowej w chmurze, i napraw routing. |
| Zakończone | Nie otrzymaliśmy przesłania, rozwiąż problem i prześlij go ponownie | Przesłany element nie dotarł do usługi przesyłania. Sprawdź, czy żadne zasady ani reguły przepływu poczty nie uniemożliwiają dostępu elementów do naszej usługi. Aby uzyskać więcej informacji, zobacz Adresy URL i zakresy adresów IP platformy Microsoft 365. |
| Zakończone | Potrzebna jest dalsza analiza | W organizacjach rządowych STANÓW Zjednoczonych (Microsoft 365 GCC, GCC High i DoD) ten wynik jest odbierany, gdy w ramach dozwolonych kontroli dotyczących Email testów uwierzytelniania i trafień zasad nie znaleziono niczego. Zalecamy otwarcie biletu pomocy technicznej w celu przeanalizowania przesłanego elementu. |
| Zakończone | Nieznane — sprawdziliśmy, ale nie możemy teraz podjąć decyzji | Firma Microsoft nie mogła podejmować decyzji dotyczącej przesłanego elementu. Wyjaśnienia obejmują różne interpretacje różnych analityków lub niedostępny element. Firma Microsoft stale inwestuje w proces analizy, więc ten wynik jest mniej powszechny. |
| Zakończone | Wielkość | Nadawca przesłanego elementu został sklasyfikowany jako nadawca zbiorczy. W przyszłości podobne elementy są blokowane, jeśli spełniają lub przekraczają próg poziomu zgodności zbiorczej (BCL) w zasadach ochrony przed spamem. Aby uzyskać więcej informacji, zobacz Poziom skarg zbiorczych (BCL) w EOP. Aby zapobiec dostarczaniu podobnych elementów, możesz utworzyć wpisy blokowe dla domen, adresów e-mail, plików lub adresów URL na liście dozwolonych/zablokowanych dzierżaw. Aby uzyskać więcej informacji, zobacz Temat Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw. |
| Zakończone | Spam | Przesłany element został sklasyfikowany jako spam. W przyszłości podobne elementy są blokowane, jeśli spełniają lub przekraczają próg ufności spamu (SCL) w zasadach ochrony przed spamem. Aby uzyskać więcej informacji, zobacz Poziom ufności spamu (SCL) w EOP. Aby zapobiec dostarczaniu podobnych elementów, możesz utworzyć wpisy blokowe dla domen, adresów e-mail, plików lub adresów URL na liście dozwolonych/zablokowanych dzierżaw. Aby uzyskać więcej informacji, zobacz Temat Blokuj wpisy na liście dozwolonych/zablokowanych dzierżaw. |
| Zakończone | Nie znaleziono zagrożeń | Przesłany element został uznany za czysty. Po okresie oceny filtry mogą zostać zaktualizowane przy użyciu informacji przesłanych. Dopóki filtry nie dowiedzą się więcej o przesłaniu, możesz tworzyć wpisy blokowe lub zezwalać na wpisy dla elementu na liście dozwolonych/zablokowanych dzierżaw. |
| Zakończone | Znaleziono zagrożenia | Przesłany element okazał się złośliwy. Po okresie oceny filtry mogą zostać zaktualizowane przy użyciu informacji przesłanych. Dopóki filtry nie dowiedzą się więcej o przesłaniu, możesz tworzyć wpisy blokowe lub zezwalać na wpisy dla elementu na liście dozwolonych/zablokowanych dzierżaw. |