Acerca do Explorer de Ameaças e deteções em tempo real no Microsoft Defender para Office 365
Dica
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
As organizações do Microsoft 365 que Microsoft Defender para Office 365 incluídas na subscrição ou compradas como um suplemento têm Explorer (também conhecido como Explorer de Ameaças) ou deteções em tempo real. Estas funcionalidades são ferramentas de relatórios poderosas e quase em tempo real que ajudam as equipas de Operações de Segurança (SecOps) a investigar e a responder a ameaças.
Dependendo da sua subscrição, a Explorer de Ameaças ou as deteções em tempo real estão disponíveis na secção colaboração Email & no portal do Microsoft Defender em https://security.microsoft.com:
As deteções em tempo real estão disponíveis no Defender para Office 365 Plano 1. A página Deteções em tempo real está disponível diretamente em https://security.microsoft.com/realtimereportsv3.
O Explorer de ameaças está disponível no plano 2 do Defender para Office 365. A página Explorer está disponível diretamente em https://security.microsoft.com/threatexplorerv3.
O Explorer de ameaças contém as mesmas informações e capacidades que as deteções em tempo real, mas com as seguintes funcionalidades adicionais:
- Mais vistas.
- Mais opções de filtragem de propriedades, incluindo a opção para guardar consultas.
- Mais ações.
Para obter mais informações sobre as diferenças entre Defender para Office 365 Plano 1 e Plano 2, consulte a folha de truques e dicas Defender para Office 365 Plano 1 vs. Plano 2.
O resto deste artigo explica as vistas e funcionalidades que estão disponíveis em Deteções de ameaças Explorer e em tempo real.
Dica
Para cenários de e-mail com o Explorer de Ameaças e deteções em tempo real, veja os seguintes artigos:
Permissões e licenciamento para deteções de ameaças Explorer e em tempo real
Para utilizar Explorer ou deteções em tempo real, tem de ter permissões atribuídas. Você tem as seguintes opções:
-
Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender e não o PowerShell):
- Acesso de leitura para e-mail e cabeçalhos de mensagens do Teams: Operações de segurança/Dados não processados (colaboração & de e-mail)/Email & metadados de colaboração (leitura).
- Pré-visualizar e transferir mensagens de e-mail: Operações de segurança/Dados não processados (colaboração & de e-mail)/Email & conteúdo de colaboração (leitura).
- Remediar e-mail malicioso: operações de segurança/Dados de segurança/Email & ações avançadas de colaboração (gerir).
-
Email & permissões de colaboração no portal do Microsoft Defender:
-
Acesso total: associação aos grupos de funções Gestão da Organização ou Administrador de Segurança . São necessárias mais permissões para realizar todas as ações disponíveis:
- Pré-visualizar e transferir mensagens: requer a função de Pré-visualização , que é atribuída apenas aos grupos de funções Investigador de Dados ou Gestor de Deteção de Dados Eletrónicos por predefinição. Em alternativa, pode criar um novo grupo de funções com a função Pré-visualização atribuída e adicionar os utilizadores ao grupo de funções personalizada.
- Mover mensagens e eliminar mensagens de caixas de correio: requer a função Procurar e Remover , que é atribuída apenas aos grupos de funções Investigador de Dados ou Gestão da Organização por predefinição. Em alternativa, pode criar um novo grupo de funções com a função Procurar e Remover atribuída e adicionar os utilizadores ao grupo de funções personalizado.
- Acesso só de leitura: associação ao grupo de funções Leitor de Segurança .
-
Acesso total: associação aos grupos de funções Gestão da Organização ou Administrador de Segurança . São necessárias mais permissões para realizar todas as ações disponíveis:
-
Microsoft Entra permissões: associar estas funções dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365:
Acesso total: associação às funções Administrador Global ou Administrador*de Segurança .
Procure regras de fluxo de correio do Exchange (regras de transporte) por nome em Explorer de Ameaças: Associação nas funções Administrador de Segurança ou Leitor de Segurança.
Acesso só de leitura: associação nas funções Leitor Global ou Leitor de Segurança .
Importante
* A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.
Dica
As notificações de spam do utilizador final e as mensagens geradas pelo sistema não são disponíveis no Explorer de Ameaças. Estes tipos de mensagens estão disponíveis se existir uma regra de fluxo de correio (também conhecida como regra de transporte) para substituir.
As entradas do registo de auditoria são geradas quando os administradores pré-visualizam ou transferem mensagens de e-mail. Pode procurar no registo de auditoria de administrador por utilizador a atividade AdminMailAccess . Para obter instruções, consulte Auditar Nova Pesquisa.
Para utilizar o Explorer de Ameaças ou deteções em tempo real, tem de lhe ser atribuída uma licença para Defender para Office 365 (incluído na sua subscrição ou numa licença de suplemento).
As Explorer de ameaças ou deteções em tempo real contêm dados para utilizadores com licenças Defender para Office 365 atribuídas.
Elementos da Explorer de Ameaças e deteções em tempo real
As Explorer de ameaças e as deteções em tempo real contêm os seguintes elementos:
Vistas: separadores na parte superior da página que organizam as deteções por ameaça. A vista afeta os restantes dados e opções na página.
A tabela seguinte lista as vistas disponíveis em Explorer de Ameaças e Deteções em tempo real:
Exibir Ameaça
ExploradorTempo real
deteçõesDescrição Todos os e-mails ✔ Vista predefinida para Explorer de Ameaças. Informações sobre todas as mensagens de e-mail enviadas por utilizadores externos para a sua organização (Entrada), mensagens de e-mail enviadas por utilizadores internos na sua organização para utilizadores externos (Saída) e mensagens de e-mail enviadas entre utilizadores internos na sua organização (Intra-organização). Malware ✔ ✔ Vista predefinida para deteções em tempo real. Informações sobre mensagens de e-mail que contêm software maligno. Golpe ✔ ✔ Informações sobre mensagens de e-mail que contêm ameaças de phishing. Campanhas ✔ Informações sobre e-mails maliciosos que Defender para Office 365 Plano 2 identificados como parte de uma campanha coordenada de phishing ou software maligno. Software maligno de conteúdo ✔ ✔ Informações sobre ficheiros maliciosos detetados pelas seguintes funcionalidades: Cliques na URL ✔ Informações sobre o utilizador clica em URLs em mensagens de e-mail, mensagens do Teams, ficheiros do SharePoint e ficheiros do OneDrive. Estas vistas são descritas detalhadamente neste artigo, incluindo as diferenças entre as deteções de ameaças Explorer e em tempo real.
Filtros de data/hora: por predefinição, a vista é filtrada por ontem e hoje. Para alterar o filtro de data, selecione o intervalo de datas e, em seguida, selecione Data de Início e Valores de data de fim até 30 dias atrás.
Filtros de propriedade (consultas): filtre os resultados na vista pelas propriedades de mensagem, ficheiro ou ameaça disponíveis. As propriedades filtráveis disponíveis dependem da vista. Algumas propriedades estão disponíveis em muitas vistas, enquanto outras propriedades estão limitadas a uma vista específica.
Os filtros de propriedade disponíveis para cada vista estão listados neste artigo, incluindo as diferenças entre as deteções de ameaças Explorer e em tempo real.
Para obter instruções para criar filtros de propriedades, veja Filtros de propriedade em Explorer de ameaças e Deteções em tempo real
O Explorer de ameaças permite-lhe guardar consultas para utilização posterior, conforme descrito na secção Consultas guardadas no Explorer de Ameaças.
Gráficos: cada vista contém um elemento visual, representação agregada dos dados filtrados ou não filtrados. Pode utilizar os pivôs disponíveis para organizar o gráfico de formas diferentes.
Muitas vezes, pode utilizar Exportar dados de gráficos para exportar dados de gráficos filtrados ou não filtrados para um ficheiro CSV.
Os gráficos e os pivôs disponíveis são descritos em detalhe neste artigo, incluindo as diferenças entre as deteções de ameaças Explorer e em tempo real.
Dica
Para remover o gráfico da página (que maximiza o tamanho da área de detalhes), utilize um dos seguintes métodos:
- Selecione Vista de Lista de Vista> de Gráfico na parte superior da página.
- Selecione Mostrar vista de lista entre o gráfico e a área de detalhes.
Área de detalhes: a área de detalhes de uma vista mostra normalmente uma tabela que contém os dados filtrados ou não filtrados. Pode utilizar as vistas disponíveis (separadores) para organizar os dados na área de detalhes de formas diferentes. Por exemplo, uma vista pode conter gráficos, mapas ou tabelas diferentes.
Se a área de detalhes contiver uma tabela, muitas vezes pode utilizar Exportar para exportar seletivamente até 200 000 resultados filtrados ou não filtrados para um ficheiro CSV.
Dica
Na lista de opções Exportar , pode selecionar algumas ou todas as propriedades disponíveis a exportar. As seleções são guardadas por utilizador. As seleções no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.
Todas as vistas de e-mail no Explorer de Ameaças
A vista Todos os e-mails no Explorer Ameaças mostra informações sobre todas as mensagens de e-mail de entrada, saída e intra-organização. A vista mostra e-mails maliciosos e não maliciosos. Por exemplo:
- Email identificado phishing ou software maligno.
- Email identificados como spam ou em massa.
- Email identificados sem ameaças.
Esta vista é a predefinição no Explorer De ameaças. Para abrir a vista Todos os e-mails na página Explorer no portal do Defender em https://security.microsoft.com, aceda a Email & colaboração>Explorer Todos> os separadores de e-mail. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, verifique se o separador Todos os e-mails está selecionado.
Propriedades filtráveis na vista Todos os e-mails no Explorer Ameaças
Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.
As propriedades filtráveis que estão disponíveis na caixa Ação de entrega na vista Todos os e-mails estão descritas na seguinte tabela:
Propriedade | Tipo |
---|---|
Básica | |
Endereço do remetente. | Texto. Separe múltiplos valores por vírgulas. |
Destinatários | Texto. Separe múltiplos valores por vírgulas. |
Domínio do remetente | Texto. Separe múltiplos valores por vírgulas. |
Domínio do destinatário | Texto. Separe múltiplos valores por vírgulas. |
Assunto | Texto. Separe múltiplos valores por vírgulas. |
Nome a apresentar do remetente | Texto. Separe múltiplos valores por vírgulas. |
E-mail do remetente do endereço | Texto. Separe múltiplos valores por vírgulas. |
E-mail do remetente do domínio | Texto. Separe múltiplos valores por vírgulas. |
Caminho de retorno | Texto. Separe múltiplos valores por vírgulas. |
Domínio do caminho de retorno | Texto. Separe múltiplos valores por vírgulas. |
Família de software maligno | Texto. Separe múltiplos valores por vírgulas. |
Marcações | Texto. Separe múltiplos valores por vírgulas. Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador. |
Domínio representado | Texto. Separe múltiplos valores por vírgulas. |
Utilizador representado | Texto. Separe múltiplos valores por vírgulas. |
Regra de transporte do Exchange | Texto. Separe múltiplos valores por vírgulas. |
Regra de prevenção de perda de dados | Texto. Separe múltiplos valores por vírgulas. |
Contexto | Selecione um ou mais valores:
|
Conector | Texto. Separe múltiplos valores por vírgulas. |
Ação de entrega | Selecione um ou mais valores:
|
Ação adicional | Selecione um ou mais valores:
|
Directionality | Selecione um ou mais valores:
|
Tecnologia de deteção | Selecione um ou mais valores:
|
Localização de entrega original | Selecione um ou mais valores:
|
Localização de entrega mais recente¹ | Os mesmos valores da localização de entrega original |
Nível de confiança phish | Selecione um ou mais valores:
|
Substituição primária | Selecione um ou mais valores:
|
Origem de substituição primária | As mensagens podem ter várias substituições de permissão ou bloqueio, conforme identificado em Substituir origem. A substituição que acabou por permitir ou bloquear a mensagem é identificada na origem de substituição primária. Selecione um ou mais valores:
|
Substituir origem | Os mesmos valores que a origem de substituição primária |
Tipo de política | Selecione um ou mais valores:
|
Ação de política | Selecione um ou mais valores:
|
Tipo de ameaça | Selecione um ou mais valores:
|
Mensagem reencaminhada | Selecione um ou mais valores:
|
Lista de distribuição | Texto. Separe múltiplos valores por vírgulas. |
Email tamanho | Número inteiro. Separe múltiplos valores por vírgulas. |
Avançado | |
ID da Mensagem da Internet | Texto. Separe múltiplos valores por vírgulas. Disponível no campo cabeçalho Message-ID no cabeçalho da mensagem. Um valor de exemplo é <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenha em atenção os parênteses angulares). |
ID da mensagem de rede | Texto. Separe múltiplos valores por vírgulas. Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem. |
IP do remetente | Texto. Separe múltiplos valores por vírgulas. |
Anexo SHA256 | Texto. Separe múltiplos valores por vírgulas. |
Cluster ID | Texto. Separe múltiplos valores por vírgulas. |
ID do Alerta | Texto. Separe múltiplos valores por vírgulas. |
ID da Política de Alerta | Texto. Separe múltiplos valores por vírgulas. |
ID da Campanha | Texto. Separe múltiplos valores por vírgulas. |
Sinal de URL do ZAP | Texto. Separe múltiplos valores por vírgulas. |
URLs | |
Contagem de URLs | Número inteiro. Separe múltiplos valores por vírgulas. |
Domínio de URL² | Texto. Separe múltiplos valores por vírgulas. |
Domínio de URL e path² | Texto. Separe múltiplos valores por vírgulas. |
URL² | Texto. Separe múltiplos valores por vírgulas. |
Caminho do URL² | Texto. Separe múltiplos valores por vírgulas. |
Origem do URL | Selecione um ou mais valores:
|
Clique no veredicto | Selecione um ou mais valores:
|
Ameaça de URL | Selecione um ou mais valores:
|
Arquivo | |
Contagem de Anexos | Número inteiro. Separe múltiplos valores por vírgulas. |
Nome do arquivo anexo | Texto. Separe múltiplos valores por vírgulas. |
Tipo de arquivo | Texto. Separe múltiplos valores por vírgulas. |
Extensão de Arquivo | Texto. Separe múltiplos valores por vírgulas. |
Tamanho do Arquivo | Número inteiro. Separe múltiplos valores por vírgulas. |
Autenticação | |
SPF | Selecione um ou mais valores:
|
DKIM | Selecione um ou mais valores:
|
DMARCDMARC | Selecione um ou mais valores:
|
Composto | Selecione um ou mais valores:
|
Dica
¹ A localização de entrega mais recente não inclui ações do utilizador final nas mensagens. Por exemplo, se o utilizador tiver eliminado a mensagem ou movido a mensagem para um ficheiro PST ou arquivo.
Existem cenários em que localização de entrega Original Localização/de entrega mais recente e/ou Ação de entrega têm o valor Desconhecido. Por exemplo:
- A mensagem foi entregue (a ação de entrega é Entregue), mas uma regra da Caixa de Entrada moveu a mensagem para uma pasta predefinida que não a pasta Caixa de Entrada ou Email de Lixo (por exemplo, a pasta Rascunho ou Arquivo).
- O ZAP tentou mover a mensagem após a entrega, mas a mensagem não foi encontrada (por exemplo, o utilizador moveu ou eliminou a mensagem).
² Por predefinição, uma pesquisa de URL mapeia para http
, a menos que seja especificado explicitamente outro valor. Por exemplo:
- Procurar com e sem o
http://
prefixo em URL, Domínio de URL e Domínio de URL e Caminho deve mostrar os mesmos resultados. - Procure o
https://
prefixo no URL. Quando não é especificado nenhum valor, é assumido ohttp://
prefixo. -
/
no início e no fim do caminho do URL, o Domínio do URL, o domínio do URL e os campos de caminho são ignorados. -
/
no final do campo URL é ignorado.
Pivots for the chart in the All email view in Threat Explorer
O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.
Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.
Tabela dinâmica do gráfico de ações de entrega na vista Todos os e-mails no Explorer Ameaças
Embora este pivô não pareça selecionado por predefinição, a ação Entrega é o pivô de gráfico predefinido na vista Todos os e-mails .
O pivô da ação Entrega organiza o gráfico pelas ações executadas nas mensagens para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada ação de entrega.
Sender domain chart pivot in the All email view in Threat Explorer
O sender domain pivot organiza o gráfico pelos domínios em mensagens para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio do remetente.
Pivô do gráfico IP do remetente na vista Todos os e-mails no Explorer Ameaças
O pivô IP do Remetente organiza o gráfico pelos endereços IP de origem das mensagens para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada endereço IP do remetente.
Pivot do gráfico de tecnologia de deteção na vista Todos os e-mails no Explorer Deteção
O pivô Tecnologia de deteção organiza o gráfico pela funcionalidade que identificou mensagens para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.
Pivô de gráfico de URL completo na vista Todos os e-mails no Explorer Ameaças
O pivô URL Completo organiza o gráfico pelos URLs completos em mensagens para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada URL completo.
Pivô do gráfico de domínio do URL na vista Todos os e-mails no Explorer Ameaças
O pivô do domínio de URL organiza o gráfico pelos domínios em URLs em mensagens para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada domínio de URL.
Pivot do domínio do URL e do gráfico de caminhos na vista Todos os e-mails em Explorer de Ameaças
O domínio de URL e o pivot do caminho organizam o gráfico pelos domínios e caminhos em URLs em mensagens para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio e caminho de URL.
Vistas para a área de detalhes da vista Todos os e-mails em Explorer Ameaças
As vistas disponíveis (separadores) na área de detalhes da vista Todos os e-mails estão descritas nas seguintes subsecções.
Email vista para a área de detalhes da vista Todos os e-mails em Explorer de Ameaças
Email é a vista predefinida para a área de detalhes na vista Todos os e-mails.
A vista Email mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas. Os valores padrão são marcados com um asterisco (*):
- Data*
- Assunto*
- Destinatário*
- Domínio do destinatário
- Etiquetas*
- Endereço do remetente*
- Nome a apresentar do remetente
- Domínio do remetente*
- IP do remetente
- E-mail do remetente do endereço
- E-mail do remetente do domínio
- Ações adicionais*
- Ação de entrega
- Localização de entrega mais recente*
- Localização de entrega original*
- Origem das substituições do sistema
- Substituições do sistema
- ID do Alerta
- ID da mensagem da Internet
- ID da mensagem de rede
- Idioma do correio
- Regra de transporte do Exchange
- Connector
- Context
- Regra de prevenção de perda de dados
- Tipo de ameaça*
- Tecnologia de deteção
- Contagem de Anexos
- Contagem de URLs
- Email tamanho
Dica
Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:
- Desloque-se horizontalmente no browser.
- Reduza a largura das colunas adequadas.
- Remover colunas da vista.
- Reduza o zoom no browser.
As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.
Quando seleciona uma ou mais entradas da lista ao selecionar a caixa de marcar junto à primeira coluna, a ação Tomar está disponível. Para obter informações, veja Investigação de ameaças: Email remediação.
No valor Assunto da entrada, a ação Abrir numa nova janela está disponível. Esta ação abre a mensagem na página Email entidade.
Quando clica nos valores Assunto ou Destinatário numa entrada, as listas de opções de detalhes são abertas. Estas listas de opções estão descritas nas seguintes subsecções.
Email detalhes da vista de Email da área de detalhes na vista Todos os e-mails
Quando seleciona o valor Assunto de uma entrada na tabela, é aberta uma lista de opções de detalhes de e-mail. Esta lista de opções de detalhes é conhecida como o painel de resumo Email e contém informações de resumo padronizadas que também estão disponíveis na página de entidade Email da mensagem.
Para obter detalhes sobre as informações no painel de resumo Email, consulte o painel de resumo Email no Defender.
As seguintes ações estão disponíveis na parte superior do painel de resumo Email para deteções de ameaças Explorer e em tempo real:
- Abrir entidade de e-mail
- Ver cabeçalho
- Tomar medidas: para obter informações, veja Investigação de ameaças: Email remediação.
-
Mais opções:
- Email pré-visualização¹ ²
- Transferir e-mail¹ ² ³
- Ver no Explorer
- Go hunt⁴
¹ As ações de pré-visualização Email e Transferir e-mail requerem a função pré-visualização nas permissões de colaboração Email &. Por predefinição, esta função é atribuída aos grupos de funções Investigador de Dados e Gestor de Deteção de Dados Eletrónicos . Por predefinição, os membros dos grupos de funções Gestão da Organização ou Administradores de Segurança não podem efetuar estas ações. Para permitir estas ações para os membros desses grupos, tem as seguintes opções:
- Adicione os utilizadores aos grupos de funções Investigador de Dados ou Gestor de Deteção de Dados Eletrónicos .
- Crie um novo grupo de funções com a função Procurar e Remover atribuída e adicione os utilizadores ao grupo de funções personalizado.
² Pode pré-visualizar ou transferir mensagens de e-mail disponíveis nas caixas de correio do Microsoft 365. Exemplos de quando as mensagens já não estão disponíveis nas caixas de correio incluem:
- A mensagem foi removida antes da entrega ou da entrega falhar.
- A mensagem foi eliminada de forma recuperável (eliminada da pasta Itens eliminados, que move a mensagem para a pasta Itens Recuperáveis\Eliminações).
- ZAP moveu a mensagem para quarentena.
³ O e-mail de transferência não está disponível para mensagens que foram colocadas em quarentena. Em vez disso, transfira uma cópia protegida por palavra-passe da mensagem a partir da quarentena.
⁴ Go hunt está disponível apenas em Explorer de Ameaças. Não está disponível em Deteções em tempo real.
Detalhes do destinatário da vista de Email da área de detalhes na vista Todos os e-mails
Quando seleciona uma entrada ao clicar no valor Destinatário , é aberta uma lista de opções de detalhes com as seguintes informações:
Dica
Para ver detalhes sobre outros destinatários sem sair da lista de opções de detalhes, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.
Secção resumo :
- Função: se o destinatário tem alguma função de administrador atribuída.
-
Políticas:
- Se o utilizador tem permissão para ver informações de arquivo.
- Se o utilizador tem permissão para ver as informações de retenção.
- Se o utilizador está abrangido pela prevenção de perda de dados (DLP).
- Se o utilizador está abrangido pela Gestão de dispositivos móveis em https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.
Email secção: uma tabela que mostra as seguintes informações relacionadas para as mensagens enviadas ao destinatário:
- Date
- Assunto
- Recipiente
Selecione Ver todos os e-mails para abrir o Explorer de Ameaças num novo separador filtrado pelo destinatário.
Secção Alertas recentes : uma tabela que mostra as seguintes informações relacionadas para alertas recentes relacionados:
- Gravidade
- Política de alerta
- Categoria
- Atividades
Se existirem mais de três alertas recentes, selecione Ver todos os alertas recentes para ver todos.
Secção Atividade recente : mostra os resultados resumidos de uma pesquisa de Registo de auditoria para o destinatário:
- Date
- Endereço IP
- Atividades
- Item
Se o destinatário tiver mais de três entradas de registo de auditoria, selecione Ver todas as atividades recentes para ver todas.
Dica
Os membros do grupo de funções Administradores de Segurança no Email & permissões de colaboração não podem expandir a secção Atividade recente. Tem de ser membro de um grupo de funções no Exchange Online permissões que tenha as funções Registos de Auditoria, Analista Proteção de Informações ou Proteção de Informações Investigador atribuídas. Por predefinição, essas funções são atribuídas aos grupos de funções Gestão de Registos, Gestão de Conformidade, Proteção de InformaçõesProteção de Informações AnalistasProteção de Informações e Gestão de Organizações. Pode adicionar os membros dos Administradores de Segurança a esses grupos de funções ou pode criar um novo grupo de funções com a função Registos de Auditoria atribuída.
O URL clica na vista para obter a área de detalhes da vista Todos os e-mails no Explorer
A vista de cliques de URL mostra um gráfico que pode ser organizado através de pivôs. O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.
Os pivôs do gráfico são descritos nas seguintes subsecções.
Dica
Em Explorer de Ameaças, cada pivô na vista de cliques de URL tem uma ação Ver todos os cliques que abre a vista de cliques de URL num novo separador.
O pivô do domínio de URL para o URL clica na vista de detalhes da vista Todos os e-mails em Explorer
Embora este gráfico dinâmico não pareça estar selecionado, o domínio de URL é o pivô de gráfico predefinido na vista de cliques de URL .
O pivô do domínio do URL mostra os diferentes domínios em URLs em mensagens de e-mail para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada domínio de URL.
Clique no pivô do veredicto para a vista de cliques do URL para obter a área de detalhes da vista Todos os e-mails em Explorer De ameaças
O pivô Clique no veredicto mostra os diferentes veredictos para URLs clicados em mensagens de e-mail para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada veredicto de clique.
O pivô de URL para o URL clica na vista de detalhes da vista Todos os e-mails no Explorer
O pivô do URL mostra os diferentes URLs que foram clicados nas mensagens de e-mail para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada URL.
Domínio de URL e pivot de caminho para a vista de cliques de URL para a área de detalhes da vista Todos os e-mails em Explorer De ameaças
O domínio de URL e o pivot do caminho mostram os diferentes domínios e caminhos de ficheiro de URLs que foram clicados em mensagens de e-mail para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio de URL e caminho de ficheiro.
Vista de URLs principais para a área de detalhes da vista Todos os e-mails em Explorer De Ameaças
A vista UrLs Principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:
- URL
- Mensagens bloqueadas
- Mensagens de lixo
- Mensagens entregues
Principais detalhes de URLs para a vista Todos os e-mails
Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes com as seguintes informações:
Dica
Para ver detalhes sobre outros URLs sem deixar a lista de opções de detalhes, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.
- As seguintes ações estão disponíveis na parte superior da lista de opções:
Abrir página de URL
Submeter para análise:
- Relatório limpo
- Reportar phishing
- Reportar software maligno
Indicador Gerir:
- Adicionar indicador
- Gerir na lista de blocos de inquilinos
Selecionar qualquer uma destas opções leva-o para a página Submissões no portal do Defender.
Mais:
- Ver no Explorer
- Ir caçar
- Original URL
- Secção de deteção:
- Veredicto das informações sobre ameaças
- x incidentes de alertas ativos y: um gráfico de barras horizontal que mostra o número de alertas De Alto, Médio, Baixo e Informações que estão relacionados com esta ligação.
- Uma ligação para Ver todos os incidentes & alertas na página de URL.
-
Secção de detalhes do domínio :
- Nome de domínio e uma ligação para Ver página de domínio.
- Entidade de registo
- Registado em
- Atualizado em
- Expira a
-
Secção Informações de contacto do registo :
- Entidade de registo
- País/região
- Endereço para correspondência
- Telefone
- Mais informações: uma ligação para Abrir no Whois.
- Secção prevalência de URL (últimos 30 dias): contém o número de Dispositivos, Email e Cliques. Selecione cada valor para ver a lista completa.
-
Dispositivos: mostra os dispositivos afetados:
Data (Primeiro/Último)
Dispositivos
Se estiverem envolvidos mais de dois dispositivos, selecione Ver todos os dispositivos para ver todos.
Vista de cliques superiores para a área de detalhes da vista Todos os e-mails em Explorer De ameaças
A vista Cliques principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:
- URL
- Bloqueado
- Permitido
- Bloqueio substituído
- Veredicto pendente
- Veredicto pendente ignorado
- Nenhum
- Página de erro
- Falha
Dica
Todas as colunas disponíveis estão selecionadas. Se selecionar Personalizar colunas, não poderá desselecionar colunas.
Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:
- Desloque-se horizontalmente no browser.
- Reduza a largura das colunas adequadas.
- Reduza o zoom no browser.
Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes dos URLs principais para a vista Todos os e-mails.
Vista de utilizadores principais direcionados para a área de detalhes da vista Todos os e-mails em Explorer De ameaças
A vista Utilizadores principais visados organiza os dados numa tabela dos cinco principais destinatários visados pela maioria das ameaças. A tabela contém as seguintes informações:
Principais utilizadores visados: o endereço de e-mail do destinatário. Se selecionar um endereço de destinatário, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes do destinatário na vista de Email da área de detalhes na vista Todos os e-mails.
O número de tentativas: se selecionar o número de tentativas, o Explorer De ameaças é aberto num novo separador filtrado pelo destinatário.
Dica
Utilize Exportar para exportar a lista de até 3000 utilizadores e as tentativas correspondentes.
Email vista de origem para a área de detalhes da vista Todos os e-mails em Explorer De ameaças
A vista de origem Email mostra origens de mensagens num mapa do mundo.
Vista de campanha para a área de detalhes da vista Todos os e-mails em Explorer De ameaças
A vista Campanha mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível.
As informações na tabela são as mesmas descritas na tabela de detalhes na página Campanhas.
Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao Nome, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes da campanha.
Vista de software maligno no Explorer de Ameaças e deteções em tempo real
A vista Software Maligno no Explorer de Ameaças e deteções em tempo real mostra informações sobre mensagens de e-mail que foram encontradas com software maligno. Esta vista é a predefinição em Deteções em tempo real.
Para abrir a vista Software Maligno , siga um dos seguintes passos:
- Explorer de ameaças: na página Explorer no portal do Defender em https://security.microsoft.com, aceda ao separador colaboração> Email & Explorer>Malware. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, selecione o separador Software Maligno.
- Deteções em tempo real: na página Deteções em tempo real no portal do Defender em https://security.microsoft.com, aceda a Email & colaboração>ExplorerseparadorMalware>. Em alternativa, aceda diretamente à página Deteções em tempo real com https://security.microsoft.com/realtimereportsv3e, em seguida, verifique se o separador Software Maligno está selecionado.
Propriedades filtráveis na vista Software Maligno em Deteções de ameaças Explorer e em tempo real
Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.
As propriedades filtráveis que estão disponíveis na caixa Endereço do remetente na vista Software Maligno estão descritas na seguinte tabela:
Propriedade | Tipo | Ameaça Explorador |
Tempo real deteções |
---|---|---|---|
Básica | |||
Endereço do remetente. | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Destinatários | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Domínio do remetente | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Domínio do destinatário | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Assunto | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Nome a apresentar do remetente | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
E-mail do remetente do endereço | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
E-mail do remetente do domínio | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Caminho de retorno | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Domínio do caminho de retorno | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Família de software maligno | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Marcações | Texto. Separe múltiplos valores por vírgulas. Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador. |
✔ | |
Regra de transporte do Exchange | Texto. Separe múltiplos valores por vírgulas. | ✔ | |
Regra de prevenção de perda de dados | Texto. Separe múltiplos valores por vírgulas. | ✔ | |
Contexto | Selecione um ou mais valores:
|
✔ | |
Conector | Texto. Separe múltiplos valores por vírgulas. | ✔ | |
Ação de entrega | Selecione um ou mais valores:
|
✔ | ✔ |
Ação adicional | Selecione um ou mais valores:
|
✔ | ✔ |
Directionality | Selecione um ou mais valores:
|
✔ | ✔ |
Tecnologia de deteção | Selecione um ou mais valores:
|
✔ | ✔ |
Localização de entrega original | Selecione um ou mais valores:
|
✔ | ✔ |
Localização de entrega mais recente | Os mesmos valores da localização de entrega original | ✔ | ✔ |
Substituição primária | Selecione um ou mais valores:
|
✔ | ✔ |
Origem de substituição primária | As mensagens podem ter várias substituições de permissão ou bloqueio, conforme identificado em Substituir origem. A substituição que acabou por permitir ou bloquear a mensagem é identificada na origem de substituição primária. Selecione um ou mais valores:
|
✔ | ✔ |
Substituir origem | Os mesmos valores que a origem de substituição primária | ✔ | ✔ |
Tipo de política | Selecione um ou mais valores:
|
✔ | ✔ |
Ação de política | Selecione um ou mais valores:
|
✔ | ✔ |
Email tamanho | Número inteiro. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Avançado | |||
ID da Mensagem da Internet | Texto. Separe múltiplos valores por vírgulas. Disponível no campo cabeçalho Message-ID no cabeçalho da mensagem. Um valor de exemplo é <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenha em atenção os parênteses angulares). |
✔ | ✔ |
ID da mensagem de rede | Texto. Separe múltiplos valores por vírgulas. Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem. |
✔ | ✔ |
IP do remetente | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Anexo SHA256 | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Cluster ID | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
ID do Alerta | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
ID da Política de Alerta | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
ID da Campanha | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Sinal de URL do ZAP | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
URLs | |||
Contagem de URLs | Número inteiro. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Domínio de URL | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Domínio e caminho do URL | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
URL | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Caminho do URL | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Origem do URL | Selecione um ou mais valores:
|
✔ | ✔ |
Clique no veredicto | Selecione um ou mais valores:
|
✔ | ✔ |
Ameaça de URL | Selecione um ou mais valores:
|
✔ | ✔ |
Arquivo | |||
Contagem de Anexos | Número inteiro. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Nome do arquivo anexo | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Tipo de arquivo | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Extensão de Arquivo | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Tamanho do Arquivo | Número inteiro. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Autenticação | |||
SPF | Selecione um ou mais valores:
|
✔ | ✔ |
DKIM | Selecione um ou mais valores:
|
✔ | ✔ |
DMARCDMARC | Selecione um ou mais valores:
|
✔ | ✔ |
Composto | Selecione um ou mais valores:
|
Pivots for the chart in the Malware view in Threat Explorer and Real-time Detections (Pivots for the chart in the Malware view in Threat Explorer and Real-time Detections (Pivots for the chart in the Malware view in Threat Explorer and Real-time Detections
O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.
Os pivôs do gráfico que estão disponíveis na vista Software Maligno no Explorer de Ameaças e deteções em tempo real estão listados na seguinte tabela:
Pivot | Ameaça Explorador |
Tempo real deteções |
---|---|---|
Família de software maligno | ✔ | |
Domínio do remetente | ✔ | |
IP do remetente | ✔ | |
Ação de entrega | ✔ | ✔ |
Tecnologia de deteção | ✔ | ✔ |
Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.
Gráfico de família de software maligno dinâmico na vista Software Maligno no Explorer De ameaças
Embora este pivô não pareça selecionado por predefinição, a família Malware é o gráfico predefinido na vista Software Maligno no Explorer De ameaças.
O pivô da família Malware organiza o gráfico pela família de software maligno detetado nas mensagens para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada família de software maligno.
Sender domain chart pivot in the Malware view in Threat Explorer
O sender domain pivot organiza o gráfico pelo domínio do remetente de mensagens que foram encontradas para conter software maligno para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio do remetente.
Pivô do gráfico IP do remetente na vista Software Maligno no Explorer Ameaças
O pivô IP do Remetente organiza o gráfico pelo endereço IP de origem das mensagens que foram encontradas para conter software maligno para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada endereço IP de origem.
Pivot do gráfico de ações de entrega na vista Software Maligno no Explorer de Ameaças e deteções em tempo real
Embora este pivô não pareça selecionado por predefinição, a ação entrega é o gráfico predefinido na vista Software Maligno em Deteções em tempo real.
O pivô da ação de entrega organiza o gráfico pelo que aconteceu às mensagens que foram encontradas para conter software maligno para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada ação de entrega.
Pivot do gráfico de tecnologia de deteção na vista Software Maligno no Explorer de Ameaças e deteções em tempo real
O pivô tecnologia de deteção organiza o gráfico pela funcionalidade que identificou software maligno em mensagens para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.
Vistas para a área de detalhes da vista Software Maligno em Deteções de ameaças Explorer e em tempo real
As vistas disponíveis (separadores) na área de detalhes da vista Software Maligno estão listadas na tabela seguinte e são descritas nas seguintes subsecções.
Exibir | Ameaça Explorador |
Tempo real deteções |
---|---|---|
✔ | ✔ | |
Principais famílias de software maligno | ✔ | |
Principais utilizadores visados | ✔ | |
Email origem | ✔ | |
Campanha | ✔ |
Email vista para a área de detalhes da vista Software Maligno em Deteções de ameaças Explorer e em tempo real
Email é a vista predefinida para a área de detalhes da vista Software Maligno em Deteções de ameaças Explorer e em tempo real.
A vista Email mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas.
A tabela seguinte mostra as colunas que estão disponíveis em Deteções de ameaças Explorer e em tempo real. Os valores predefinidos são marcados com um asterisco (*).
Coluna | Ameaça Explorador |
Tempo real deteções |
---|---|---|
Data* | ✔ | ✔ |
Assunto* | ✔ | ✔ |
Destinatário* | ✔ | ✔ |
Domínio do destinatário | ✔ | ✔ |
Etiquetas* | ✔ | |
Endereço do remetente* | ✔ | ✔ |
Nome a apresentar do remetente | ✔ | ✔ |
Domínio do remetente* | ✔ | ✔ |
IP do remetente | ✔ | ✔ |
E-mail do remetente do endereço | ✔ | ✔ |
E-mail do remetente do domínio | ✔ | ✔ |
Ações adicionais* | ✔ | ✔ |
Ação de entrega | ✔ | ✔ |
Localização de entrega mais recente* | ✔ | ✔ |
Localização de entrega original* | ✔ | ✔ |
Origem das substituições do sistema | ✔ | ✔ |
Substituições do sistema | ✔ | ✔ |
ID do Alerta | ✔ | ✔ |
ID da mensagem da Internet | ✔ | ✔ |
ID da mensagem de rede | ✔ | ✔ |
Idioma do correio | ✔ | ✔ |
Regra de transporte do Exchange | ✔ | |
Connector | ✔ | |
Context | ✔ | ✔ |
Regra de prevenção de perda de dados | ✔ | ✔ |
Tipo de ameaça* | ✔ | ✔ |
Tecnologia de deteção | ✔ | ✔ |
Contagem de Anexos | ✔ | ✔ |
Contagem de URLs | ✔ | ✔ |
Email tamanho | ✔ | ✔ |
Dica
Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:
- Desloque-se horizontalmente no browser.
- Reduza a largura das colunas adequadas.
- Remover colunas da vista.
- Reduza o zoom no browser.
As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.
Quando seleciona uma ou mais entradas da lista ao selecionar a caixa de marcar junto à primeira coluna, a ação Tomar está disponível. Para obter informações, veja Investigação de ameaças: Email remediação.
Quando clica nos valores Assunto ou Destinatário numa entrada, as listas de opções de detalhes são abertas. Estas listas de opções estão descritas nas seguintes subsecções.
Email detalhes da vista de Email da área de detalhes na vista Software Maligno
Quando seleciona o valor Assunto de uma entrada na tabela, é aberta uma lista de opções de detalhes de e-mail. Esta lista de opções de detalhes é conhecida como o painel de resumo Email e contém informações de resumo padronizadas que também estão disponíveis na página de entidade Email da mensagem.
Para obter detalhes sobre as informações no painel de resumo Email, consulte Os painéis de resumo Email.
As ações disponíveis na parte superior do painel de resumo Email de deteções de Explorer Ameaças e Deteções em tempo real são descritas na Email detalhes da vista Email da área de detalhes na vista Todos os e-mails.
Detalhes do destinatário da vista Email da área de detalhes na vista Software Maligno
Quando seleciona uma entrada ao clicar no valor Destinatário , é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes do destinatário na vista de Email da área de detalhes na vista Todos os e-mails.
As principais famílias de software maligno veem a área de detalhes da vista Software Maligno em Explorer De software maligno
A vista Principais famílias de software maligno para a área de detalhes organiza os dados numa tabela das principais famílias de software maligno. A tabela mostra:
Coluna principais famílias de software maligno : o nome da família de software maligno.
Se selecionar um nome de família de software maligno, é aberta uma lista de opções de detalhes que contém as seguintes informações:
Email secção: uma tabela que mostra as seguintes informações relacionadas para mensagens que contêm o ficheiro de software maligno:
- Date
- Assunto
- Recipiente
Selecione Ver todos os e-mails para abrir o Explorer de Ameaças num novo separador filtrado pelo nome da família de software maligno.
Secção detalhes técnicos
O número de tentativas: se selecionar o número de tentativas, a Explorer Ameaça é aberta num novo separador filtrado pelo nome da família de software maligno.
Vista de utilizadores principais direcionados para a área de detalhes da vista Software Maligno no Explorer
A vista Utilizadores principais visados organiza os dados numa tabela dos cinco principais destinatários visados por software maligno. A tabela mostra:
Principais utilizadores visados: o endereço de e-mail do utilizador principal visado. Se selecionar um endereço de e-mail, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas na vista Utilizadores principais direcionados para a área de detalhes da vista Todos os e-mails em Explorer Ameaças.
O número de tentativas: se selecionar o número de tentativas, a Explorer Ameaça é aberta num novo separador filtrado pelo nome da família de software maligno.
Dica
Utilize Exportar para exportar a lista de até 3000 utilizadores e as tentativas correspondentes.
Email vista de origem para a área de detalhes da vista Software Maligno em Explorer De ameaças
A vista de origem Email mostra origens de mensagens num mapa do mundo.
Vista de campanha para a área de detalhes da vista Software Maligno no Explorer De ameaças
A vista Campanha mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível.
A tabela de detalhes é idêntica à tabela de detalhes na página Campanhas.
Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao Nome, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes da campanha.
Vista de phish no Explorer de Ameaças e deteções em tempo real
A vista Phish no Explorer de Ameaças e deteções em tempo real mostra informações sobre mensagens de e-mail que foram identificadas como phishing.
Para abrir a vista Phish , siga um dos seguintes passos:
- Explorer de ameaças: na página Explorer no portal do Defender em https://security.microsoft.com, aceda ao separador colaboração> Email & Explorer>Phish. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, selecione o separador Phish.
- Deteções em tempo real: na página Deteções em tempo real no portal do Defender em https://security.microsoft.com, aceda a Email & colaboração>Explorer>separadorPhish. Em alternativa, aceda diretamente à página Deteções em tempo real com https://security.microsoft.com/realtimereportsv3e, em seguida, selecione o separador Phish.
Propriedades filtráveis na vista Phish em Deteções de ameaças Explorer e em tempo real
Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.
As propriedades filtráveis que estão disponíveis na caixa Endereço do remetente na vista Software Maligno estão descritas na seguinte tabela:
Propriedade | Tipo | Ameaça Explorador |
Tempo real deteções |
---|---|---|---|
Básica | |||
Endereço do remetente. | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Destinatários | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Domínio do remetente | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Domínio do destinatário | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Assunto | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Nome a apresentar do remetente | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
E-mail do remetente do endereço | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
E-mail do remetente do domínio | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Caminho de retorno | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Domínio do caminho de retorno | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Marcações | Texto. Separe múltiplos valores por vírgulas. Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador. |
✔ | |
Domínio representado | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Utilizador representado | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Regra de transporte do Exchange | Texto. Separe múltiplos valores por vírgulas. | ✔ | |
Regra de prevenção de perda de dados | Texto. Separe múltiplos valores por vírgulas. | ✔ | |
Contexto | Selecione um ou mais valores:
|
✔ | |
Conector | Texto. Separe múltiplos valores por vírgulas. | ✔ | |
Ação de entrega | Selecione um ou mais valores:
|
✔ | ✔ |
Ação adicional | Selecione um ou mais valores:
|
✔ | ✔ |
Directionality | Selecione um ou mais valores:
|
✔ | ✔ |
Tecnologia de deteção | Selecione um ou mais valores:
|
✔ | ✔ |
Localização de entrega original | Selecione um ou mais valores:
|
✔ | ✔ |
Localização de entrega mais recente | Os mesmos valores da localização de entrega original | ✔ | ✔ |
Nível de confiança phish | Selecione um ou mais valores:
|
✔ | |
Substituição primária | Selecione um ou mais valores:
|
✔ | ✔ |
Origem de substituição primária | As mensagens podem ter várias substituições de permissão ou bloqueio, conforme identificado em Substituir origem. A substituição que acabou por permitir ou bloquear a mensagem é identificada na origem de substituição primária. Selecione um ou mais valores:
|
✔ | ✔ |
Substituir origem | Os mesmos valores que a origem de substituição primária | ✔ | ✔ |
Tipo de política | Selecione um ou mais valores:
|
✔ | ✔ |
Ação de política | Selecione um ou mais valores:
|
✔ | ✔ |
Email tamanho | Número inteiro. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Avançado | |||
ID da Mensagem da Internet | Texto. Separe múltiplos valores por vírgulas. Disponível no campo cabeçalho Message-ID no cabeçalho da mensagem. Um valor de exemplo é <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenha em atenção os parênteses angulares). |
✔ | ✔ |
ID da mensagem de rede | Texto. Separe múltiplos valores por vírgulas. Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem. |
✔ | ✔ |
IP do remetente | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Anexo SHA256 | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Cluster ID | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
ID do Alerta | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
ID da Política de Alerta | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
ID da Campanha | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Sinal de URL do ZAP | Texto. Separe múltiplos valores por vírgulas. | ✔ | |
URLs | |||
Contagem de URLs | Número inteiro. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Domínio de URL | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Domínio e caminho do URL | Texto. Separe múltiplos valores por vírgulas. | ✔ | |
URL | Texto. Separe múltiplos valores por vírgulas. | ✔ | |
Caminho do URL | Texto. Separe múltiplos valores por vírgulas. | ✔ | |
Origem do URL | Selecione um ou mais valores:
|
✔ | ✔ |
Clique no veredicto | Selecione um ou mais valores:
|
✔ | ✔ |
Ameaça de URL | Selecione um ou mais valores:
|
✔ | ✔ |
Arquivo | |||
Contagem de Anexos | Número inteiro. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Nome do arquivo anexo | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Tipo de arquivo | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Extensão de Arquivo | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Tamanho do Arquivo | Número inteiro. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Autenticação | |||
SPF | Selecione um ou mais valores:
|
✔ | ✔ |
DKIM | Selecione um ou mais valores:
|
✔ | ✔ |
DMARCDMARC | Selecione um ou mais valores:
|
✔ | ✔ |
Composto | Selecione um ou mais valores:
|
Pivots for the chart in the Phish view in Threat Explorer and Real-time Detections (Pivots for the chart in the Phish view in Threat Explorer and Real-time Detections) (Pivots for the chart in the Phish view in Threat Explorer and Real-time Detection
O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.
Os pivôs do gráfico que estão disponíveis na vista Phish em Deteções de ameaças Explorer e em tempo real estão listados na seguinte tabela:
Pivot | Ameaça Explorador |
Tempo real deteções |
---|---|---|
Domínio do remetente | ✔ | ✔ |
IP do remetente | ✔ | |
Ação de entrega | ✔ | ✔ |
Tecnologia de deteção | ✔ | ✔ |
URL Completo | ✔ | |
Domínio de URL | ✔ | ✔ |
Domínio e caminho do URL | ✔ |
Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.
Sender domain chart pivot in the Phish view in Threat Explorer and Real-time detections
Embora este pivô não pareça selecionado por predefinição, o domínio do Remetente é o pivô de gráfico predefinido na vista Phish em Deteções em tempo real.
O sender domain pivot organiza o gráfico pelos domínios em mensagens para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio do remetente.
Sender IP chart pivot in the Phish view in Threat Explorer
O pivô IP do Remetente organiza o gráfico pelos endereços IP de origem das mensagens para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada endereço IP de origem.
Tabela de gráficos de ações de entrega na vista Phish em Deteções de ameaças Explorer e em tempo real
Embora este pivô não pareça selecionado por predefinição, a ação entrega é o pivô de gráfico predefinido na vista Phish no Explorer De ameaças.
O pivô da ação Entrega organiza o gráfico pelas ações executadas nas mensagens para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada ação de entrega.
Gráfico de tecnologia de deteção dinâmico na vista Phish em Deteções de ameaças Explorer e em tempo real
O pivô tecnologia de deteção organiza o gráfico pela funcionalidade que identificou as mensagens de phishing para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.
Pivô de gráfico de URL completo na vista Phish no Explorer De Ameaças
O pivô URL Completo organiza o gráfico pelos URLs completos em mensagens de phishing para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada URL completo.
Pivô do gráfico de domínio de URL na vista Phish em Deteções de ameaças Explorer e em tempo real
O pivô do domínio de URL organiza o gráfico pelos domínios em URLs em mensagens de phishing para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada domínio de URL.
O domínio de URL e o gráfico de caminhos na vista Phish no Explorer
O domínio de URL e o pivot do caminho organizam o gráfico pelos domínios e caminhos em URLs em mensagens de phishing para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio e caminho de URL.
Vistas para a área de detalhes da vista Phish em Threat Explorer
As vistas disponíveis (separadores) na área de detalhes da vista Phish estão listadas na tabela seguinte e são descritas nas seguintes subsecções.
Exibir | Ameaça Explorador |
Tempo real deteções |
---|---|---|
✔ | ✔ | |
Cliques na URL | ✔ | ✔ |
URLs principais | ✔ | ✔ |
Cliques principais | ✔ | ✔ |
Principais utilizadores visados | ✔ | |
Email origem | ✔ | |
Campanha | ✔ |
Email vista para a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real
Email é a vista predefinida para a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real.
A vista Email mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas.
A tabela seguinte mostra as colunas que estão disponíveis em Deteções de ameaças Explorer e em tempo real. Os valores predefinidos são marcados com um asterisco (*).
Coluna | Ameaça Explorador |
Tempo real deteções |
---|---|---|
Data* | ✔ | ✔ |
Assunto* | ✔ | ✔ |
Destinatário* | ✔ | ✔ |
Domínio do destinatário | ✔ | ✔ |
Etiquetas* | ✔ | |
Endereço do remetente* | ✔ | ✔ |
Nome a apresentar do remetente | ✔ | ✔ |
Domínio do remetente* | ✔ | ✔ |
IP do remetente | ✔ | ✔ |
E-mail do remetente do endereço | ✔ | ✔ |
E-mail do remetente do domínio | ✔ | ✔ |
Ações adicionais* | ✔ | ✔ |
Ação de entrega | ✔ | ✔ |
Localização de entrega mais recente* | ✔ | ✔ |
Localização de entrega original* | ✔ | ✔ |
Origem das substituições do sistema | ✔ | ✔ |
Substituições do sistema | ✔ | ✔ |
ID do Alerta | ✔ | ✔ |
ID da mensagem da Internet | ✔ | ✔ |
ID da mensagem de rede | ✔ | ✔ |
Idioma do correio | ✔ | ✔ |
Regra de transporte do Exchange | ✔ | |
Connector | ✔ | |
Nível de confiança phish | ✔ | |
Context | ✔ | |
Regra de prevenção de perda de dados | ✔ | |
Tipo de ameaça* | ✔ | ✔ |
Tecnologia de deteção | ✔ | ✔ |
Contagem de Anexos | ✔ | ✔ |
Contagem de URLs | ✔ | ✔ |
Email tamanho | ✔ | ✔ |
Dica
Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:
- Desloque-se horizontalmente no browser.
- Reduza a largura das colunas adequadas.
- Remover colunas da vista.
- Reduza o zoom no browser.
As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.
Quando seleciona uma ou mais entradas da lista ao selecionar a caixa de marcar junto à primeira coluna, a ação Tomar está disponível. Para obter informações, veja Investigação de ameaças: Email remediação.
Quando clica nos valores Assunto ou Destinatário numa entrada, as listas de opções de detalhes são abertas. Estas listas de opções estão descritas nas seguintes subsecções.
Email detalhes da vista Email da área de detalhes na vista Phish
Quando seleciona o valor Assunto de uma entrada na tabela, é aberta uma lista de opções de detalhes de e-mail. Esta lista de opções de detalhes é conhecida como o painel de resumo Email e contém informações de resumo padronizadas que também estão disponíveis na página de entidade Email da mensagem.
Para obter detalhes sobre as informações no painel de resumo Email, consulte o painel de resumo Email nas funcionalidades Defender para Office 365.
As ações disponíveis na parte superior do painel de resumo Email de deteções de Explorer Ameaças e Deteções em tempo real são descritas na Email detalhes da vista Email da área de detalhes na vista Todos os e-mails.
Detalhes do destinatário da vista Email da área de detalhes na vista Phish
Quando seleciona uma entrada ao clicar no valor Destinatário , é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes do destinatário na vista de Email da área de detalhes na vista Todos os e-mails.
O URL clica na vista para obter a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real
A vista de cliques de URL mostra um gráfico que pode ser organizado através de pivôs. O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.
Os pivôs do gráfico que estão disponíveis na vista Software Maligno no Explorer de Ameaças e deteções em tempo real estão descritos na seguinte tabela:
Pivot | Ameaça Explorador |
Tempo real deteções |
---|---|---|
Domínio de URL | ✔ | ✔ |
Clique no veredicto | ✔ | ✔ |
URL | ✔ | |
Domínio e caminho do URL | ✔ |
Os mesmos pivôs do gráfico estão disponíveis e descritos para a vista Todos os e-mails no Explorer De ameaças:
- O pivô do domínio de URL para o URL clica na vista de detalhes da vista Todos os e-mails em Explorer
- Clique no pivô do veredicto para a vista de cliques do URL para obter a área de detalhes da vista Todos os e-mails em Explorer De ameaças
- O pivô de URL para o URL clica na vista de detalhes da vista Todos os e-mails no Explorer
- Domínio de URL e pivot de caminho para a vista de cliques de URL para a área de detalhes da vista Todos os e-mails em Explorer De ameaças
Dica
Em Explorer de Ameaças, cada pivô na vista de cliques de URL tem uma ação Ver todos os cliques que abre a vista de cliques de URL em Explorer de Ameaças num novo separador. Esta ação não está disponível em Deteções em tempo real, porque a vista de cliques em URL não está disponível em Deteções em tempo real.
Vista de URLs principais para a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real
A vista UrLs Principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:
- URL
- Mensagens bloqueadas
- Mensagens de lixo
- Mensagens entregues
Principais detalhes dos URLs para a vista Phish
Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes dos URLs principais para a vista Todos os e-mails.
Dica
A ação de caça do Go só está disponível no Explorer de Ameaças. Não está disponível em Deteções em tempo real.
Vista de cliques principais para a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real
A vista Cliques principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:
- URL
- Bloqueado
- Permitido
- Bloqueio substituído
- Veredicto pendente
- Veredicto pendente ignorado
- Nenhum
- Página de erro
- Falha
Dica
Todas as colunas disponíveis estão selecionadas. Se selecionar Personalizar colunas, não poderá desselecionar colunas.
Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:
- Desloque-se horizontalmente no browser.
- Reduza a largura das colunas adequadas.
- Reduza o zoom no browser.
Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes dos URLs principais para a vista Todos os e-mails.
Vista de utilizadores principais direcionados para a área de detalhes da vista Phish em Threat Explorer
A vista Utilizadores principais visados organiza os dados numa tabela dos cinco principais destinatários visados por tentativas de phishing. A tabela mostra:
Principais utilizadores visados: o endereço de e-mail do utilizador principal visado. Se selecionar um endereço de e-mail, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas na vista Utilizadores principais direcionados para a área de detalhes da vista Todos os e-mails em Explorer Ameaças.
O número de tentativas: se selecionar o número de tentativas, a Explorer Ameaça é aberta num novo separador filtrado pelo nome da família de software maligno.
Dica
Utilize Exportar para exportar a lista de até 3000 utilizadores e as tentativas correspondentes.
Email vista de origem para a área de detalhes da vista Phish em Threat Explorer
A vista de origem Email mostra origens de mensagens num mapa do mundo.
Vista de campanha para a área de detalhes da vista Phish em Threat Explorer
A vista Campanha mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível.
As informações na tabela são as mesmas descritas na tabela de detalhes na página Campanhas.
Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao Nome, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes da campanha.
Vista de campanhas no Explorer de Ameaças
A vista Campanhas no Explorer Ameaças mostra informações sobre ameaças que foram identificadas como ataques coordenados de phishing e software maligno, específicos da sua organização ou de outras organizações no Microsoft 365.
Para abrir a vista Campanhas na página Explorer no portal do Defender em https://security.microsoft.com, aceda a Email & colaboração>Explorer>separadorCampaigns. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, selecione o separador Campanhas.
Todas as informações e ações disponíveis são idênticas às informações e ações na página Campanhas em https://security.microsoft.com/campaignsv3. Para obter mais informações, veja a página Campanhas no portal do Microsoft Defender.
Vista de software maligno de conteúdo em Deteções de ameaças Explorer e em tempo real
A vista Software maligno de conteúdo no Explorer de Ameaças e deteções em tempo real mostra informações sobre ficheiros que foram identificados como software maligno por:
- Proteção contra vírus incorporada no SharePoint, OneDrive e Microsoft Teams
- Anexos Seguros para SharePoint, OneDrive e Microsoft Teams.
Para abrir a vista Software maligno de conteúdo , siga um dos seguintes passos:
- Explorer de ameaças: na página Explorer no portal do Defender em https://security.microsoft.com, aceda ao separador software maligno Email & colaboração>Explorer>Content. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, selecione o separador Conteúdo maligno.
- Deteções em tempo real: na página Deteções em tempo real no portal do Defender em https://security.microsoft.com, aceda ao separador colaboração> Email & Explorer>Content malware. Em alternativa, aceda diretamente à página Deteções em tempo real com https://security.microsoft.com/realtimereportsv3e, em seguida, selecione o separador Conteúdo maligno.
Propriedades filtráveis na vista Software maligno de conteúdo em Deteções de Explorer e Em tempo real
Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.
As propriedades filtráveis que estão disponíveis na caixa Nome do ficheiro na vista Software maligno de conteúdo em Explorer de ameaças e deteções em tempo real estão descritas na seguinte tabela:
Propriedade | Tipo | Ameaça Explorador |
Tempo real deteções |
---|---|---|---|
Arquivo | |||
Nome do arquivo | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Workload | Selecione um ou mais valores:
|
✔ | ✔ |
Site | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Proprietário do ficheiro | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Última modificação por | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
SHA256 | Número inteiro. Separe múltiplos valores por vírgulas. Para localizar o valor hash SHA256 de um ficheiro, execute o seguinte comando no PowerShell: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256 . |
✔ | ✔ |
Família de software maligno | Texto. Separe múltiplos valores por vírgulas. | ✔ | ✔ |
Tecnologia de deteção | Selecione um ou mais valores:
|
✔ | ✔ |
Tipo de ameaça | Selecione um ou mais valores:
|
✔ | ✔ |
Pivots for the chart in the Content malware view in Threat Explorer and Real-time Detections (Pivots for the chart in the Content malware view in Threat Explorer and Real-time Detections (Pivots for the chart in the Content malware view in Threat Explorer and Real-time Detections
O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.
Os pivôs do gráfico que estão disponíveis na vista Conteúdo de software maligno no Explorer de Ameaças e deteções em tempo real estão listados na seguinte tabela:
Pivot | Ameaça Explorador |
Tempo real deteções |
---|---|---|
Família de software maligno | ✔ | ✔ |
Tecnologia de deteção | ✔ | ✔ |
Workload | ✔ | ✔ |
Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.
Gráfico de família de software maligno dinâmico na vista Software maligno de conteúdo no Explorer de ameaças e deteções em tempo real
Embora este pivô não pareça selecionado por predefinição, a família Malware é o pivô de gráfico predefinido na vista Software maligno de conteúdo em Deteções de ameaças Explorer e em tempo real.
O pivô da família Software Maligno organiza o gráfico pelo software maligno identificado em ficheiros no SharePoint, OneDrive e Microsoft Teams com os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada família de software maligno.
Gráfico de tecnologia de deteção dinâmico na vista Software maligno de conteúdo em Deteções de Explorer e Em tempo real
O pivô Tecnologia de deteção organiza o gráfico pela funcionalidade que identificou software maligno em ficheiros no SharePoint, OneDrive e Microsoft Teams para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.
Tabela dinâmica do gráfico de cargas de trabalho na vista Software maligno de conteúdo em Deteções de ameaças Explorer e em tempo real
O pivot Carga de Trabalho organiza o gráfico pelo local onde o software maligno foi identificado (SharePoint, OneDrive ou Microsoft Teams) para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada carga de trabalho.
Vistas para a área de detalhes da vista Software maligno conteúdo em Deteções de software maligno Explorer e Em tempo real
Em Explorer de ameaças e deteções em tempo real, a área de detalhes da vista Software maligno conteúdo contém apenas uma vista (separador) denominada Documentos. Esta vista está descrita na seguinte subsecção.
Vista de documento para a área de detalhes da vista Conteúdo de software maligno em Deteções de software maligno Explorer e Em tempo real
O documento é a vista predefinida e apenas para a área de detalhes na vista Conteúdo de software maligno .
A vista Documento mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas. Os valores padrão são marcados com um asterisco (*):
- Data*
- Nome*
- Carga de trabalho*
- Ameaça*
- Tecnologia de deteção*
- Última modificação do utilizador*
- Proprietário do ficheiro*
- Tamanho (bytes)*
- Hora da última modificação
- Caminho do site
- Caminho do arquivo
- ID do Documento
- SHA256
- Data detetada
- Família de software maligno
- Context
Dica
Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:
- Desloque-se horizontalmente no browser.
- Reduza a largura das colunas adequadas.
- Remover colunas da vista.
- Reduza o zoom no browser.
As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.
Quando seleciona um valor de nome de ficheiro na coluna Nome , é aberta uma lista de opções de detalhes. A lista de opções contém as seguintes informações:
Secção resumo :
- Filename
- Caminho do site
- Caminho do arquivo
- ID do Documento
- SHA256
- Última data de modificação
- Última modificação por
- Ameaça
- Tecnologia de deteção
Secção de detalhes :
- Data detetada
- Detetado por
- Nome do software maligno
- Última modificação por
- Tamanho do ficheiro
- Proprietário do ficheiro
Email secção de lista: uma tabela que mostra as seguintes informações relacionadas para mensagens que contêm o ficheiro de software maligno:
- Date
- Assunto
- Recipiente
Selecione Ver todos os e-mails para abrir o Explorer de Ameaças num novo separador filtrado pelo nome da família de software maligno.
Atividade recente: mostra os resultados resumidos de uma pesquisa de Registo de auditoria para o destinatário:
- Date
- Endereço IP
- Atividades
- Item
Se o destinatário tiver mais de três entradas de registo de auditoria, selecione Ver todas as atividades recentes para ver todas.
Dica
Os membros do grupo de funções Administradores de Segurança no Email & permissões de colaboração não podem expandir a secção Atividade recente. Tem de ser membro de um grupo de funções no Exchange Online permissões que tenha as funções Registos de Auditoria, Analista Proteção de Informações ou Proteção de Informações Investigador atribuídas. Por predefinição, essas funções são atribuídas aos grupos de funções Gestão de Registos, Gestão de Conformidade, Proteção de InformaçõesProteção de Informações AnalistasProteção de Informações e Gestão de Organizações. Pode adicionar os membros dos Administradores de Segurança a esses grupos de funções ou pode criar um novo grupo de funções com a função Registos de Auditoria atribuída.
Vista de cliques em URL no Explorer Ameaças
O URL clica na vista em Ameaça Explorer mostra todos os cliques de utilizador em URLs no e-mail, em ficheiros suportados do Office no SharePoint e no OneDrive e no Microsoft Teams.
Para abrir a vista de cliques de URL na página Explorer no portal do Defender em https://security.microsoft.com, aceda ao separador Email & colaboração>Explorer>URL clica no separador. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, selecione o separador Cliques do URL.
Propriedades filtráveis na vista de cliques do URL em Explorer de Ameaças
Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.
As propriedades filtráveis que estão disponíveis na caixa Destinatários na vista de cliques de URL na vista Ameaças Explorer estão descritas na seguinte tabela:
Propriedade | Tipo |
---|---|
Básica | |
Destinatários | Texto. Separe múltiplos valores por vírgulas. |
Marcações | Texto. Separe múltiplos valores por vírgulas. Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador. |
ID da mensagem de rede | Texto. Separe múltiplos valores por vírgulas. Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem. |
URL | Texto. Separe múltiplos valores por vírgulas. |
Clicar na ação | Selecione um ou mais valores:
|
Tipo de ameaça | Selecione um ou mais valores:
|
Tecnologia de deteção | Selecione um ou mais valores:
|
Clique em ID | Texto. Separe múltiplos valores por vírgulas. |
IP do Cliente | Texto. Separe múltiplos valores por vírgulas. |
Pivots for the chart in the URL clicks view in Threat Explorer
O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.
Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.
Pivô do gráfico de domínio de URL na vista de cliques de URL no Explorer
Embora este pivô não pareça selecionado por predefinição, o domínio de URL é o pivô de gráfico predefinido na vista de cliques de URL .
O pivô do domínio de URL organiza o gráfico pelos domínios em URLs em que os utilizadores clicaram no e-mail, nos ficheiros do Office ou no Microsoft Teams para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada domínio de URL.
Tabela dinâmica do gráfico de carga de trabalho na vista de cliques do URL no Explorer Ameaças
O pivô Carga de Trabalho organiza o gráfico pela localização do URL clicado (e-mail, ficheiros do Office ou Microsoft Teams) para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada carga de trabalho.
Gráfico de tecnologia de deteção dinâmico na vista de cliques do URL em Explorer de Ameaças
O pivô Tecnologia de deteção organiza o gráfico pela funcionalidade que identificou os cliques do URL no e-mail, nos ficheiros do Office ou no Microsoft Teams para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.
Gráfico de tipo de ameaça na vista de cliques do URL em Explorer de Ameaças
O pivot Tipo de ameaça organiza o gráfico pelos resultados dos URLs clicados no e-mail, nos ficheiros do Office ou no Microsoft Teams para os filtros de propriedade e intervalo de data/hora especificados.
Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada tecnologia de tipo de ameaça.
Vistas para a área de detalhes da vista de cliques do URL em Explorer de Ameaças
As vistas disponíveis (separadores) na área de detalhes da vista de cliques de URL são descritas nas seguintes subsecções.
Vista de resultados para a área de detalhes da vista de cliques do URL em Explorer de Ameaças
Os resultados são a vista predefinida para a área de detalhes na vista de cliques de URL .
A vista Resultados mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas. Por predefinição, todas as colunas estão selecionadas:
- Hora clicada
- Recipiente
- Ação de clique do URL
- URL
- Marcas
- ID da mensagem de rede
- Clique em ID
- IP do Cliente
- Cadeia de URL
- Tipo de ameaça
- Tecnologia de deteção
Dica
Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:
- Desloque-se horizontalmente no browser.
- Reduza a largura das colunas adequadas.
- Remover colunas da vista.
- Reduza o zoom no browser.
As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.
Selecione uma ou entradas ao selecionar a caixa de marcar junto à primeira coluna da linha e, em seguida, selecione Ver todos os e-mails para abrir a Explorer de Ameaças na vista Todos os e-mails num novo separador filtrado pelos valores de ID da mensagem de rede das mensagens selecionadas.
Vista de cliques superiores para a área de detalhes da vista de cliques de URL no Explorer
A vista Cliques principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:
- URL
- Bloqueado
- Permitido
- Bloqueio substituído
- Veredicto pendente
- Veredicto pendente ignorado
- Nenhum
- Página de erro
- Falha
Dica
Todas as colunas disponíveis estão selecionadas. Se selecionar Personalizar colunas, não poderá desselecionar colunas.
Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:
- Desloque-se horizontalmente no browser.
- Reduza a largura das colunas adequadas.
- Reduza o zoom no browser.
Selecione uma entrada ao selecionar a caixa de marcar junto à primeira coluna da linha e, em seguida, selecione Ver todos os cliques para abrir a Explorer de Ameaças num novo separador na vista cliques em URL.
Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes dos URLs principais para a vista Todos os e-mails.
Vista de utilizadores principais direcionados para a área de detalhes da vista de cliques do URL em Explorer de Ameaças
A vista Utilizadores principais visados organiza os dados numa tabela dos cinco principais destinatários que clicaram nos URLs. A tabela mostra:
Principais utilizadores visados: o endereço de e-mail do utilizador principal visado. Se selecionar um endereço de e-mail, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas na vista Utilizadores principais direcionados para a área de detalhes da vista Todos os e-mails em Explorer Ameaças.
O número de tentativas: se selecionar o número de tentativas, a Explorer Ameaça é aberta num novo separador filtrado pelo nome da família de software maligno.
Dica
Utilize Exportar para exportar a lista de até 3000 utilizadores e as tentativas correspondentes.
Filtros de propriedade em Deteções de ameaças Explorer e em tempo real
A sintaxe básica de um filtro/consulta de propriedade é:
Condition = <Filter property><Filter operator><Property value or value or values>
Várias condições utilizam a seguinte sintaxe:
<Condição1><E | OU><Condição2><E | OU><Condição3>... <E | OU><ConditionN>
Dica
As pesquisas de carateres universais (**** ou ?) não são suportadas em valores de texto ou número inteiro. A propriedade Assunto utiliza correspondência de texto parcial e produz resultados semelhantes a uma pesquisa de carateres universais.
Os passos para criar condições de filtragem/consulta de propriedades são os mesmos em todas as vistas em Deteções de ameaças Explorer e em tempo real:
Identifique a propriedade filter com as tabelas nas secções de descrição da vista de pré-visualização anteriormente neste artigo.
Selecione um operador de filtro disponível. Os operadores de filtro disponíveis dependem do tipo de propriedade, conforme descrito na tabela seguinte:
Operador de filtro Tipo de propriedade Igual a qualquer um dos Texto
Número inteiro
Valores discretosIgual a nenhum de Texto
Valores discretosMaior que Número inteiro Menor que Número inteiro Introduza ou selecione um ou mais valores de propriedade. Para valores de texto e números inteiros, pode introduzir vários valores separados por vírgulas.
Vários valores no valor da propriedade utilizam o operador lógico OR. Por exemplo, Endereço >do remetenteIgual a qualquer um dos meios Endereço> do >
bob@fabrikam.com,cindy@fabrikam.com
remetenteIgual a qualquer um de>bob@fabrikam.com
OUcindy@fabrikam.com
.Depois de introduzir ou selecionar um ou mais valores de propriedade, a condição de filtro concluída é apresentada abaixo das caixas de criação do filtro.
Dica
Para propriedades que exigem que selecione um ou mais valores disponíveis, utilizar a propriedade na condição de filtro com todos os valores selecionados tem o mesmo resultado que não utilizar a propriedade na condição de filtro.
Para adicionar outra condição, repita os três passos anteriores.
As condições abaixo das caixas de criação do filtro são separadas pelo operador lógico que foi selecionado no momento em que criou as segundas condições ou condições subsequentes. O valor predefinido é E, mas também pode selecionar OU.
O mesmo operador lógico é utilizado entre todas as condições: são todas E ou são todas OU. Para alterar os operadores lógicos existentes, selecione a caixa operador lógico e, em seguida, selecione E ou OU.
Para editar uma condição existente, faça duplo clique na mesma para trazer a propriedade selecionada, o operador de filtro e os valores de volta para as caixas correspondentes.
Para remover uma condição existente, selecione na condição.
Para aplicar o filtro ao gráfico e à tabela de detalhes, selecione Atualizar
Consultas guardadas no Explorer de Ameaças
Dica
A consulta Guardar faz parte dos Controladores de ameaças e não está disponível em Deteções em tempo real. As consultas guardadas e os Controladores de ameaças só estão disponíveis no Defender para Office 365 Plano 2.
A consulta Guardar não está disponível na vista Software maligno de conteúdo.
A maioria das vistas no Threat Explorer permitem-lhe guardar filtros (consultas) para utilização posterior. As consultas guardadas estão disponíveis na página Monitorização de ameaças no portal do Defender em https://security.microsoft.com/threattrackerv2. Para obter mais informações sobre os Controladores de ameaças, veja Controladores de ameaças no Microsoft Defender para Office 365 Plano 2.
Para guardar consultas no threat Explorer, siga os seguintes passos:
Depois de criar o filtro/consulta conforme descrito anteriormente, selecione Guardar consulta>Guardar consulta.
Na lista de opções Guardar consulta que é aberta, configure as seguintes opções:
- Nome da consulta: introduza um nome exclusivo para a consulta.
- Selecione uma das opções a seguir:
- Datas exatas: selecione uma data de início e uma data de fim nas caixas. A data de início mais antiga que pode selecionar é 30 dias antes de hoje. A data de fim mais recente que pode selecionar é hoje.
- Datas relativas: selecione o número de dias em Mostrar últimos nn dias quando a pesquisa é executada. O valor predefinido é 7, mas pode selecionar 1 a 30.
-
Controlar consulta: por predefinição, esta opção não está selecionada. Esta opção afeta se a consulta é executada automaticamente:
- Controlar a consulta não selecionada: a consulta está disponível para ser executada manualmente no Explorer de Ameaças. A consulta é guardada no separador Consultas guardadas na página Monitorização de ameaças com o valor da propriedade Consulta monitorizadaNão.
- Controlar a consulta selecionada: a consulta é executada periodicamente em segundo plano. A consulta está disponível no separador Consultas guardadas na página Monitorização de ameaças com o valor da propriedade Consulta monitorizadaSim. Os resultados periódicos da consulta são apresentados no separador Consultas registadas na página Monitorização de ameaças .
Quando terminar na lista de opções Guardar consulta , selecione Guardar e, em seguida, selecione OK na caixa de diálogo de confirmação.
Nos separadores Consulta guardada ou Consulta monitorizada na página Monitorização de ameaças no portal do Defender em https://security.microsoft.com/threattrackerv2, pode selecionar Explorar na coluna Ações para abrir e utilizar a consulta no Explorer De ameaças.
Quando abre a consulta ao selecionar Explorarna página Monitorização de ameaças, as definições Guardar consulta como e Guardada estão agora disponíveis na consulta Guardar na página Explorer:
Se selecionar Guardar consulta como, a lista de opções Guardar consulta é aberta com todas as definições selecionadas anteriormente. Se fizer alterações, selecione Guardar e, em seguida, selecione OK na caixa de diálogo Êxito , a consulta atualizada é guardada como uma nova consulta na página Monitorização de ameaças (poderá ter de selecionar Atualizar para a ver).
Se selecionar Definições de consulta guardadas, a lista de opções Definições de consulta guardadas é aberta onde pode atualizar a data e Controlar as definições de consulta da consulta existente.
Mais informações
- Os Explorer de ameaças recolhem detalhes de e-mail na página da entidade Email
- Localizar e investigar emails mal-intencionados entregues
- Ver ficheiros maliciosos detetados no SharePoint Online, OneDrive e Microsoft Teams
- Relatório de status de proteção contra ameaças
- Investigação e resposta automatizadas na Proteção contra Ameaças da Microsoft