共用方式為


關於威脅總管和 適用於 Office 365 的 Microsoft Defender 中的即時偵測

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

Microsoft訂用帳戶中包含 適用於 Office 365 的 Microsoft Defender 或以附加元件方式購買的 365 組織具有管 (也稱為威脅總管) 或即時偵測。 這些功能是功能強大、近乎即時的報告工具,可協助安全性作業 (SecOps) 小組調查和回應威脅。

根據您的訂用帳戶,威脅總管或即時偵測可在 Microsoft Defender 入口網站的 Email &https://security.microsoft.com共同作業一節中取得:

威脅總管包含與即時偵測相同的資訊和功能,但具有下列其他功能:

  • 更多檢視。
  • 更多屬性篩選選項,包括儲存查詢的選項。
  • 其他動作。

如需 適用於 Office 365 的 Defender 方案 1 和方案 2 之間差異的詳細資訊,請參閱 適用於 Office 365 的 Defender 方案 1 與方案 2 小秘技

本文的其餘部分說明威脅總管和即時偵測中可用的檢視和功能。

威脅總管和即時偵測的許可權和授權

若要使用 Explorer 或即時偵測,您必須獲指派許可權。 您有下列選項:

  • Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) :
    • 電子郵件和 Teams 訊息標頭的讀取許可權安全性作業/原始資料 (電子郵件 & 共同作業) /Email & 共同作業元數據, (讀取)
    • 預覽和下載電子郵件訊息安全性作業/原始數據 (電子郵件 & 共同作業) /Email & 共同作業內容, (讀取)
    • 補救惡意電子郵件:安全性作業/安全性數據/Email & 共同作業進階動作 (管理)
  • 在 Microsoft Defender 入口網站中 Email & 共同作業許可權
    • 完整存取組織管理 或安全性 系統管理員 角色群組中的成員資格。 需要更多權限才能執行所有可用的動作:
      • 預覽和下載訊息:需要 預覽 角色,預設只會指派給 數據 處理者或 電子檔探索管理員 角色群組。 或者,您可以建立已指派預覽角色的新角色群組,並將使用者新增至自定義角色群組。
      • 將郵件移入信箱並從信箱中刪除郵件:需要 [搜尋和清除 ] 角色,預設只會指派給 數據 處理者或 組織管理 角色群組。 或者,您可以建立已指派搜尋和清除角色的新角色群組,並將使用者新增至自定義角色群組。
    • 唯讀存取安全性讀取者 角色群組中的成員資格。
  • Microsoft Entra 權限:這些角色的成員資格會為使用者提供Microsoft 365 中其他功能的必要許可權許可權:
    • 完整存取:全域管理員安全性系統管理員*角色中的成員資格。

    • 在 [威脅總管:安全性系統管理員的成員資格] 或 [安全性讀取者] 角色中,依名稱搜尋 exchange 郵件流程規則 (傳輸規則) 。

    • 唯讀存取全域讀取者安全性讀取者 角色中的成員資格。

      重要事項

      * Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

提示

使用者垃圾郵件通知和系統產生的訊息無法在威脅總管中使用。 如果有郵件流程規則 (也稱為要覆寫的傳輸規則) ,則可以使用這些類型的郵件。

稽核記錄專案會在系統管理員預覽或下載電子郵件訊息時產生。 您可以依使用者搜尋系統管理員稽核記錄,以取得 AdminMailAccess 活動。 如需指示,請 參閱稽核新的搜尋

若要使用威脅總管或即時偵測,您必須獲指派訂用帳戶中所包含 適用於 Office 365 的 Defender (的授權,或附加元件授權) 。

威脅總管或即時偵測包含指派 適用於 Office 365 的 Defender 授權的用戶數據。

威脅總管和即時偵測的元素

威脅總管和即時偵測包含下列元素:

  • 檢視:頁面頂端的索引標籤,可組織依威脅的偵測。 檢視會影響頁面上其餘的數據和選項。

    下表列出威脅總管和即時偵測中的可用檢視:

    檢視 威脅
    總管
    即時
    檢測
    描述
    所有電子郵件 威脅總管的預設檢視。 外部使用者傳送至組織中所有電子郵件訊息的資訊, (輸入) 、組織內部使用者傳送給外部使用者的電子郵件訊息 (輸出) ,以及組織內部使用者之間的電子郵件訊息 (組織內部) 傳送。
    惡意程式碼 即時偵測的預設檢視。 包含惡意代碼的電子郵件訊息相關信息。
    網路釣魚 包含網路釣魚威脅的電子郵件訊息相關信息。
    活動 適用於 Office 365 的 Defender 方案 2 識別為協調網路釣魚或惡意代碼營銷活動的一部分之惡意電子郵件的相關信息。
    內容惡意代碼 下列功能所偵測到惡意檔案的相關信息:
    URL 點選 用戶在電子郵件訊息、Teams 訊息、SharePoint 檔案和 OneDrive 檔案中按兩下 URL 的相關信息。

    本文將詳細說明這些檢視,包括威脅總管與即時偵測之間的差異。

  • 日期/時間篩選:根據預設,檢視會依昨天和今天進行篩選。 若要變更日期篩選,請選取日期範圍,然後選取 [ 開始日期 ] 和 [ 結束日期 ] 值,最多 30 天前。

    在威脅總管中使用的日期篩選器螢幕快照,以及 Defender 入口網站中的即時偵測。

  • 屬性篩選 (查詢) :依可用的訊息、檔案或威脅屬性篩選檢視中的結果。 可用的可篩選屬性取決於檢視。 某些屬性可在許多檢視中使用,而其他屬性則僅限於特定檢視。

    本文列出每個檢視的可用屬性篩選,包括威脅總管與即時偵測之間的差異。

    如需建立屬性篩選的指示,請參閱威脅總管 中的屬性篩選和即時偵測

    威脅總管可讓您儲存查詢以供稍後使用,如在 威脅總管中儲存的查詢一節中 所述。

  • 圖表:每個檢視都包含已篩選或未篩選數據的視覺、匯總表示。 您可以使用可用的樞紐,以不同的方式組織圖表。

    您通常可以使用 匯出圖表數據 ,將篩選或未篩選的圖表數據匯出至 CSV 檔案。

    本文將詳細說明圖表和可用的數據透視表,包括威脅總管與即時偵測之間的差異。

    提示

    若要從頁面移除圖表 (將詳細數據區域大小最大化) ,請使用下列其中一種方法:

    • 選取頁面頂端的 [圖表檢視>列表檢視]。
    • 選取 [顯示 圖表與詳細數據區域之間的列表檢視]。
  • 詳細數據區域:檢視的詳細數據區域通常會顯示包含已篩選或未篩選數據的數據表。 您可以使用可用的檢視 (索引標籤) ,以不同的方式組織詳細數據區域中的數據。 例如,檢視可能包含圖表、地圖或不同的數據表。

    如果詳細數據區域包含數據表,您通常可以使用 Export 選擇性地將最多 200,000 個篩選或未篩選的結果匯出至 CSV 檔案。

    提示

    在 [ 匯出 ] 飛出視窗中,您可以選取要匯出的部分或所有可用屬性。 每個用戶都會儲存選取專案。 在關閉網頁瀏覽器之前,會儲存 Incognito 或 InPrivate 流覽模式中的選取專案。

威脅總管中主頁面的螢幕快照,其中顯示 適用於 Office 365 的 Defender 入口網站中的實時報表數據。

威脅總管中的所有電子郵件檢視

[威脅總管] 中的 [ 所有電子郵件 ] 檢視會顯示所有輸入、輸出和組織內部電子郵件訊息的相關信息。 此檢視會顯示惡意和非惡意電子郵件。 例如:

  • Email識別網路釣魚或惡意代碼。
  • Email 識別為垃圾郵件或大量垃圾郵件。
  • Email 識別沒有威脅。

此檢視是威脅總管中的預設值。 若要在 Defender https://security.microsoft.com入口網站的 [管] 頁面上開啟 [所有電子郵件] 檢視,請移至 [Email & 共同作業>總管>所有電子郵件] 索引卷標。或者,使用 https://security.microsoft.com/threatexplorerv3直接移至 [總管] 頁面,然後確認已選取 [所有電子郵件] 索引卷標。

威脅總管中 [所有電子郵件] 檢視的螢幕快照,其中顯示圖表、圖表的可用樞紐,以及詳細數據數據表的檢視。

威脅總管中 [所有電子郵件] 檢視中的可篩選屬性

根據預設,不會將任何屬性篩選套用至數據。 The steps to create filters (queries) are described in the Filters in Threat Explorer and Real-time detections section later in this article.

下表說明 [所有電子郵件] 檢視中 [傳遞] 動作方塊中可用的可篩選屬性:

屬性 類型
基本
寄件者位址 文字。 以逗號分隔多個值。
收件者 文字。 以逗號分隔多個值。
寄件者網域 文字。 以逗號分隔多個值。
收件者網域 文字。 以逗號分隔多個值。
主旨 文字。 以逗號分隔多個值。
寄件者顯示名稱 文字。 以逗號分隔多個值。
寄件者郵件寄件者位址 文字。 以逗號分隔多個值。
來自網域的寄件者郵件 文字。 以逗號分隔多個值。
傳回路徑 文字。 以逗號分隔多個值。
傳回路徑網域 文字。 以逗號分隔多個值。
惡意代碼系列 文字。 以逗號分隔多個值。
標記 文字。 以逗號分隔多個值。

如需使用者標籤的詳細資訊,請參閱 使用者標籤
模擬網域 文字。 以逗號分隔多個值。
模擬使用者 文字。 以逗號分隔多個值。
Exchange 傳輸規則 文字。 以逗號分隔多個值。
數據外泄防護規則 文字。 以逗號分隔多個值。
上下文 選取一或多個值:
  • 評估
  • 優先順序帳戶保護
連接器 文字。 以逗號分隔多個值。
傳遞動作 選取一或多個值:
  • 已封鎖:Email 已隔離、傳遞失敗或已卸除的訊息。
  • 已傳遞:Email 傳遞至使用者的 [收件匣] 或其他使用者可以存取訊息的資料夾。
  • 傳遞至垃圾郵件:Email 傳遞至使用者可存取郵件的垃圾郵件 Email資料夾或 [刪除的郵件] 資料夾。
  • 已取代:在安全附件原則 中由動態傳遞取代的訊息附件
其他動作 選取一或多個值:
Directionality 選取一或多個值:
  • 入境
  • 組織內部
  • 出埠
偵測技術 選取一或多個值:
  • 進階篩選:以機器學習為基礎的訊號。
  • 反惡意程式碼保護
  • 大量
  • 行銷活動
  • 網域信譽
  • 檔案損毀安全附件在 惡意分析期間偵測到惡意附件。
  • 檔案損毀信譽:其他Microsoft 365 組織中先前由 安全附件 偵測到的檔案附件。
  • 檔案信譽:此訊息包含先前在其他Microsoft 365 組織中識別為惡意的檔案。
  • 指紋比對:此訊息與先前偵測到的惡意訊息非常類似。
  • 一般篩選
  • 模擬品牌:傳送者模擬知名品牌。
  • 模擬網域:模擬您在反網路釣魚原則中擁有或指定保護的發件者網域
  • 模擬使用者
  • IP 信譽
  • 信箱智慧模擬:反網路釣魚原則中來自信箱智慧的模擬 偵測
  • 混合分析偵測:多個篩選條件對訊息決策有貢獻。
  • 詐騙 DMARC:訊息 DMARC 驗證失敗。
  • 詐騙外部網域:發件者電子郵件位址是使用組織外部的網域進行詐騙。
  • 詐騙組織內部:寄件者電子郵件位址使用組織內部的網域進行詐騙。
  • URL 擷取信譽:其他Microsoft 365 組織中先前由 安全連結 入侵所偵測到的 URL。
  • URL 惡意信譽:此訊息包含先前在其他Microsoft 365 組織中識別為惡意的 URL。
原始傳遞位置 選取一或多個值:
  • [刪除的郵件] 資料夾
  • 下降
  • 已失敗
  • 收件匣/資料夾
  • 垃圾郵件資料夾
  • 內部部署/外部
  • 隔離區
  • Unknown
最新的傳遞位置¹ 原始傳遞位置相同的值
網路釣魚信賴等級 選取一或多個值:
  • High
  • 一般
主要覆寫 選取一或多個值:
  • 組織原則允許
  • 用戶原則允許
  • 組織原則封鎖
  • 遭到使用者原則封鎖
主要覆寫來源 訊息可以有多個允許或封鎖覆寫,如 覆寫來源中所識別。 最終允許或封鎖訊息的覆寫會在 主要覆寫來源中識別。
選取一或多個值:
  • 第三方篩選
  • #DEA151DA2ED604F39B85CBE0ADB2E8EB4 起始的時間移動 (ZAP)
  • 依文件類型封鎖反惡意代碼原則
  • 反垃圾郵件原則設定
  • 線上原則
  • Exchange 傳輸規則
  • 使用者覆寫) (獨佔模式
  • 因為內部部署組織而略過篩選
  • 來自原則的IP區域篩選
  • 來自原則的語言篩選
  • 網路釣魚模擬
  • 隔離發行
  • SecOps 信箱
  • 管理員 覆寫) (寄件者位址清單
  • 使用者覆寫) (寄件者位址清單
  • (覆寫) 管理員 寄件者網域清單
  • 寄件者網域清單 (用戶覆寫)
  • 租用戶允許/封鎖清單檔案區塊
  • 租用戶允許/封鎖清單發件者電子郵件位址區塊
  • 租用戶允許/封鎖清單詐騙區塊
  • 租用戶允許/封鎖清單 URL 區塊
  • 受信任的聯繫人清單 (用戶覆寫)
  • 受信任的網域 (用戶覆寫)
  • 受信任的收件者 (用戶覆寫)
  • 受信任的寄件者僅 (用戶覆寫)
覆寫來源 主要覆寫來源相同的
原則類型 選取一或多個值:
  • 反惡意程式碼原則
  • 防網路釣魚原則
  • Exchange 傳輸規則 (郵件流程規則) 、 託管內容篩選 原則 (反垃圾郵件原則) 、託管 輸出垃圾郵件篩選原則 (輸出垃圾郵件原則) 、 安全附件原則
  • Unknown
原則動作 選取一或多個值:
  • 新增 x 標頭
  • 密件抄送訊息
  • 刪除郵件
  • 修改主旨
  • 移至垃圾 Email資料夾
  • 未採取任何動作
  • 重新導向訊息
  • 傳送至隔離
威脅類型 選取一或多個值:
  • 惡意程式碼
  • 網路釣魚
  • 垃圾郵件
轉寄的訊息 選取一或多個值:
  • True
  • False
通訊群組清單 文字。 以逗號分隔多個值。
Email 大小 整數。 以逗號分隔多個值。
進階
因特網訊息標識碼 文字。 以逗號分隔多個值。

可在訊息標頭的 [訊息標識 符標頭] 欄位中取得。 範例值是 <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (記下角括弧) 。
網路訊息標識碼 文字。 以逗號分隔多個值。

在訊息標頭的 X-MS-Exchange-Organization-Network-Message-Id 標頭字段中可用的 GUID 值。
寄件者 IP 文字。 以逗號分隔多個值。
附件SHA256 文字。 以逗號分隔多個值。
叢集標識碼 文字。 以逗號分隔多個值。
警示標識碼 文字。 以逗號分隔多個值。
警示原則標識碼 文字。 以逗號分隔多個值。
營銷活動標識碼 文字。 以逗號分隔多個值。
ZAP URL 訊號 文字。 以逗號分隔多個值。
Urls
URL 計數 整數。 以逗號分隔多個值。
URL 網域² 文字。 以逗號分隔多個值。
URL 網域和路徑² 文字。 以逗號分隔多個值。
URL² 文字。 以逗號分隔多個值。
URL 路徑² 文字。 以逗號分隔多個值。
URL 來源 選取一或多個值:
  • 附件
  • 雲端附件
  • Email 主體
  • Email標頭
  • QR 代碼
  • 主旨
  • Unknown
按兩下決策 選取一或多個值:
  • 允許:允許用戶開啟 URL。
  • 封鎖覆寫:已封鎖使用者直接開啟 URL,但他們會覆寫區塊以開啟 URL。
  • 已封鎖:已封鎖用戶開啟 URL。
  • 錯誤:使用者看到錯誤頁面,或擷取決策時發生錯誤。
  • 失敗:擷取決策時發生未知的例外狀況。 使用者可能已開啟 URL。
  • :無法擷取 URL 的決策。 使用者可能已開啟 URL。
  • 暫止的決策:使用者看到擱置中的擱置頁面。
  • 略過暫止的決策:使用者看到遭到竊聽的頁面,但他們會覆寫訊息以開啟 URL。
URL 威脅 選取一或多個值:
  • 惡意程式碼
  • 網路釣魚
  • 垃圾郵件
檔案
附件計數 整數。 以逗號分隔多個值。
附件檔名 文字。 以逗號分隔多個值。
檔案類型 文字。 以逗號分隔多個值。
副檔名 文字。 以逗號分隔多個值。
檔案大小 整數。 以逗號分隔多個值。
驗證
SPF 選取一或多個值:
  • 失敗
  • 中性
  • 通過
  • 永久錯誤
  • Soft fail
  • 暫時性錯誤
DKIM 選取一或多個值:
  • 錯誤
  • 失敗
  • Ignore
  • 通過
  • Test
  • Timeout
  • Unknown
DMARC 選取一或多個值:
  • 最佳猜測傳遞
  • 失敗
  • 通過
  • 永久錯誤
  • 選取器通過
  • 暫時性錯誤
  • Unknown
複合 選取一或多個值:
  • 失敗
  • 通過
  • 軟傳遞

提示

¹ 最新的傳遞位置 不包含訊息上的用戶動作。 例如,如果使用者刪除訊息,或將訊息移至封存或 PST 檔案。

在某些情況下,原始傳遞位置最新傳遞位置/和/或傳遞動作的值為 Unknown。 例如:

  • 郵件是在傳遞動作 (傳遞) 傳遞,但收件匣規則會將郵件移至 [收件匣] 或 [垃圾郵件] 資料夾以外的預設資料夾 Email (例如,[草稿] 或 [封存] 資料夾) 。
  • ZAP 嘗試在傳遞之後移動訊息,但找不到訊息 (例如,使用者已移動或刪除訊息) 。

² 除非明確指定另一個值,否則 URL 搜尋預設會對應至 http。 例如:

  • http://URL、URL域和 URL網域和路徑中搜尋前置詞時,應該會顯示相同的結果。
  • URL 中搜尋https://前置詞。 未指定任何值時, http:// 會假設前置詞。
  • /URL路徑的開頭和結尾, 會忽略URL網域URL網域和路徑字 段。
  • / 忽略 URL 欄位結尾處的 。

威脅總管中 [所有電子郵件] 檢視中圖表的數據透視表

圖表具有預設檢視,但您可以從 [選取直 方圖的樞紐 ] 中選取值,以變更已篩選或未篩選圖表數據的組織和顯示方式。

下列小節說明可用的圖表樞紐。

威脅總管中 [所有電子郵件] 檢視中的傳遞動作圖表樞紐

雖然預設不會選取此樞紐,但 [傳遞] 動作 是 [ 所有電子郵件 ] 檢視中的預設圖表樞紐。

傳遞動作樞紐會依針對指定日期/時間範圍和屬性篩選器的訊息所採取的動作來組織圖表。

[威脅總管] 中 [所有電子郵件] 檢視中使用 [傳遞] 動作樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個傳遞動作的計數。

威脅總管中 [所有電子郵件] 檢視中的發件者網域圖表樞紐

寄件者網域樞紐會依訊息中的網域,針對指定的日期/時間範圍和屬性篩選來組織圖表。

[威脅總管] 中 [所有電子郵件] 檢視中使用髮件者網域樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個發件者網域的計數。

威脅總管中 [所有電子郵件] 檢視中的寄件者 IP 圖表樞紐

寄件者 IP 樞紐會依指定日期/時間範圍和屬性篩選的訊息來源 IP 位址來組織圖表。

[威脅總管] 中 [所有電子郵件] 檢視中使用寄件者 IP 樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個寄件者IP位址的計數。

威脅總管中 [所有電子郵件] 檢視中的偵測技術圖表樞紐

測技術 樞紐會依識別指定日期/時間範圍和屬性篩選之訊息的功能來組織圖表。

[威脅總管] 中 [所有電子郵件] 檢視中使用偵測技術樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個偵測技術的計數。

威脅總管中 [所有電子郵件] 檢視中的完整 URL 圖表樞紐

完整 URL 樞紐會依據訊息中指定日期/時間範圍和屬性篩選條件的完整 URL 來組織圖表。

[威脅總管] 中 [所有電子郵件] 檢視中使用 [完整 URL] 樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個完整 URL 的計數。

威脅總管中 [所有電子郵件] 檢視中的 URL 網域圖表樞紐

URL 網域樞紐會依訊息中URL中的網域,針對指定的日期/時間範圍和屬性篩選來組織圖表。

[威脅總管] 中 [所有電子郵件] 檢視中使用 URL 網域樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個URL網域的計數。

威脅總管中 [所有電子郵件] 檢視中的 URL 網域和路徑圖表樞紐

URL 網域和路徑樞紐會依指定日期/時間範圍和屬性篩選條件之訊息中 URL 中的網域和路徑來組織圖表。

[威脅總管] 中 [所有電子郵件] 檢視中使用 URL 網域和路徑樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個URL網域和路徑的計數。

威脅總管中 [所有電子郵件] 檢視詳細數據區域的檢視

下列小節說明 [ 所有電子郵件 檢視] 詳細數據區域中) 的可用檢視 (索引標籤。

Email 威脅總管中 [所有電子郵件] 檢視的詳細數據區域檢視

Email 是 [所有電子郵件] 檢視中詳細數據區域的預設檢視。

Email 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • 日期*
  • 主題*
  • 收件者*
  • 收件者網域
  • 標籤*
  • 寄件者位址*
  • 寄件者顯示名稱
  • 寄件者網域*
  • 寄件者 IP
  • 寄件者郵件寄件者位址
  • 來自網域的寄件者郵件
  • 其他動作*
  • 傳遞動作
  • 最新的傳遞位置*
  • 原始傳遞位置*
  • 系統覆寫來源
  • 系統覆寫
  • 警示標識碼
  • 因特網訊息標識碼
  • 網路訊息標識碼
  • 郵件語言
  • Exchange 傳輸規則
  • Connector
  • 上下文
  • 數據外泄防護規則
  • 威脅類型*
  • 偵測技術
  • 附件計數
  • URL 計數
  • Email 大小

提示

若要查看所有資料行,您可能需要執行下列一或多個步驟:

  • 在網頁瀏覽器中水平捲動。
  • 縮小適當數據行的寬度。
  • 從檢視中移除數據行。
  • 縮小網頁瀏覽器。

每個用戶都會儲存自定義的數據行設定。 在關閉網頁瀏覽器之前,會儲存 Incognito 或 InPrivate 流覽模式中的自訂資料行設定。

當您選取第一個數據行旁邊的複選框,從清單中選取一或多個專案時,可以使用 [採取動作]。 如需詳細資訊,請參閱威脅搜捕:Email 補救。

Email 檢視 (索引標籤) 的螢幕快照,其中已選取訊息並主動採取動作。

在專案的 [主旨] 值中,可以使用 [在新視窗中開啟] 動作。 此動作會在 Email 實體頁面中開啟訊息。

當您按下專案中的 [ 主旨 ] 或 [ 收件者 ] 值時,會開啟詳細數據飛出視窗。 下列小節說明這些飛出視窗。

從 [所有電子郵件] 檢視中詳細數據區域的 Email 檢視 Email 詳細數據

當您選取資料表中專案的 [ 主旨 ] 值時,會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板,包含訊息 Email 實體頁面上也提供的標準化摘要資訊。

如需 Email 摘要面板中資訊的詳細資訊,請參閱 Defender 中的 Email 摘要面板

下列動作位於威脅總管和即時偵測 Email 摘要面板頂端:

  • 開啟電子郵件實體
  • 檢視標頭
  • 採取動作:如需詳細資訊,請參閱威脅搜捕:Email 補救。
  • 其他選項
    • Email 預覽¹ ²
    • 下載電子郵件¹ ² ³
    • 在總管中檢視
    • Go 搜捕

¹ Email 預覽下載電子郵件動作需要 Email & 共同作業許可權中的預覽角色。 根據預設,此角色會指派給 數據 處理者和 電子檔探索管理員 角色群組。 根據預設, 組織管理安全性系統管理員 角色群組的成員無法執行這些動作。 若要允許這些群組成員的這些動作,您有下列選項:

  • 將使用者新增至 數據 處理者或 電子檔探索管理員 角色群組。
  • 建立已指派搜尋和清除角色的新角色群組,並將使用者新增至自定義角色群組。

² 您可以預覽或下載 Microsoft 365 信箱中提供的電子郵件訊息。 信箱中不再提供郵件的範例包括:

  • 訊息在傳遞或傳遞失敗之前已卸除。
  • 郵件已 虛刪除 (從 [刪除的專案] 資料夾中刪除,這會將訊息移至 [可復原的專案\刪除] 資料夾) 。
  • ZAP 已將郵件移至隔離區。

³ 下載電子郵件 不適用於已隔離的郵件。 請 改為從隔離區下載受密碼保護的郵件複本

⁴ Go 搜尋 僅適用於威脅總管。 它無法在即時偵測中使用。

[所有電子郵件] 檢視中詳細數據區域 Email 檢視中的收件者詳細數據

當您按下 [ 收件者 ] 值來選取專案時,會開啟詳細數據飛出視窗,其中包含下列資訊:

提示

若要查看其他收件者的詳細數據而不離開詳細數據飛出視窗,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

  • 摘要 區段:

    • 角色:收件者是否已指派任何系統管理員角色。
    • 原則
  • Email 節:顯示下列傳送給收件者之郵件相關信息的數據表:

    • Date
    • 主旨
    • 收件者

    取 [檢視所有電子郵件 ],以在收件者篩選的新索引卷標中開啟 [威脅總管]。

  • 最近的警示 區段:顯示下列相關最近警示相關信息的數據表:

    • 嚴重性
    • 警示原則
    • 類別
    • 活動

    如果有三個以上的最近警示,請選取 [ 檢視所有最近的警示 ] 以查看所有警示。

    • 最近的活動 區段:顯示收件者稽核 記錄搜尋 的摘要結果:

      • Date
      • IP 位址
      • 活動
      • 項目

      如果收件者有三個以上的稽核記錄專案,請選 取 [檢視所有最近的活動 ] 以查看所有專案。

    提示

    Email & 共同作業權限中的安全性系統管理員角色群組成員無法展開 [最近使用的活動] 區段。 您必須是已指派稽核記錄資訊保護 分析師或 資訊保護 處理者角色之 Exchange Online 許可權中的角色群組成員。 根據預設,這些角色會指派給記錄管理合規性管理資訊保護資訊保護 分析師資訊保護 調查人員組織管理角色群組。 您可以將安全性系統管理員的成員新增至這些角色群組,也可以使用指派的稽核記錄角色來建立新的角色群組

在 [所有電子郵件] 檢視的 [詳細數據] 區域的 [Email] 索引卷標中選取 [收件者] 值之後,收件者詳細數據飛出視窗的螢幕快照。

URL 按兩下 [威脅總管] 中 [所有電子郵件] 檢視詳細資料區域的檢視

[URL 點選] 檢視會顯示可使用樞紐進行組織的圖表。 圖表具有預設檢視,但您可以從 [選取直 方圖的樞紐 ] 中選取值,以變更已篩選或未篩選圖表數據的組織和顯示方式。

下列小節說明圖表樞紐。

[威脅總管] 中 [所有電子郵件] 檢視的詳細數據區域螢幕快照,其中已選取 [URL 單擊] 索引標籤,並顯示沒有選取樞紐的可用樞紐。

提示

在 [威脅總管] 中,URL 中的每個樞紐 點選 檢視都有 [ 檢視全部點選 ] 動作,可在新的索引卷標中開啟 URL 點選檢視

URL 的 URL 網域樞紐按兩下 [威脅總管] 中 [所有電子郵件] 檢視詳細資料區域的檢視

雖然未選取此圖表樞紐,但 URL網域URL點選 檢視中的預設圖表樞紐。

URL 網域樞紐會針對指定的日期/時間範圍和屬性篩選器,在電子郵件訊息的 URL 中顯示不同的網域。

[威脅總管] 中 [所有電子郵件] 檢視的詳細數據區域螢幕快照,其中已選取 [URL 單擊] 索引標籤和 URL 網域樞紐。

將滑鼠停留在圖表中的數據點上,會顯示每個URL網域的計數。

針對 [威脅總管] 中 [所有電子郵件] 檢視的詳細數據區域,單擊 [URL] 的決策樞紐

[單擊] 決策樞紐會針對指定的日期/時間範圍和屬性篩選器,顯示電子郵件訊息中所按 URL 的不同決策。

[威脅總管] 中 [所有電子郵件] 檢視的詳細數據區域螢幕快照,其中已選取 [URL 單擊] 索引卷標和 [按兩下決策] 樞紐。

將滑鼠停留在圖表中的數據點上,會顯示每個點選決策的計數。

URL 的 URL 樞紐會按兩下 [威脅總管] 中 [所有電子郵件] 檢視詳細數據區域的檢視

URL 樞紐會顯示針對指定日期/時間範圍和屬性篩選器,在電子郵件訊息中按兩下的不同 URL。

[威脅總管] 中 [所有電子郵件] 檢視的詳細數據區域螢幕快照,其中已選取 [URL 單擊] 索引標籤和 URL 樞紐。

將滑鼠停留在圖表中的數據點上會顯示每個 URL 的計數。

URL 的 URL 網域和路徑樞紐按兩下 [威脅總管] 中 [所有電子郵件] 檢視詳細資料區域的檢視

URL 網域和路徑樞紐會針對指定的日期/時間範圍和屬性篩選器,顯示在電子郵件訊息中按兩下的不同網域和 URL 檔案路徑。

[威脅總管] 中 [所有電子郵件] 檢視的詳細數據區域螢幕快照,其中已選取 [URL 單擊] 索引標籤和 URL 網域和路徑樞紐。

將滑鼠停留在圖表中的數據點上,會顯示每個URL網域和檔案路徑的計數。

威脅總管中 [所有電子郵件] 檢視詳細數據區域的頂端URL檢視

[最上層 URL] 檢視會顯示詳細數據表。 您可以按下可用的資料列標頭來排序專案:

  • URL
  • 已封鎖的訊息
  • 郵件已垃圾
  • 傳遞的訊息
[所有電子郵件] 檢視的前一個URL詳細數據

當您按下第一欄旁邊複選框以外的任何數據列來選取專案時,會開啟詳細數據飛出視窗,其中包含下列資訊:

提示

若要在不離開詳細數據飛出視窗的情況下查看其他 URL 的詳細數據,請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

  • 飛出視窗頂端有下列動作可用:
    • 開啟 URL 頁面

    • 提交以進行分析

      • 報表清除
      • 報告網路釣魚
      • 報告惡意代碼
    • 管理指標

      • 新增指標
      • 在租用戶區塊清單中管理

      選取其中任一選項會帶您前往 Defender 入口網站中的 [ 提交 ] 頁面。

    • 其他:

      • 在總管中檢視
      • Go 搜捕
  • 原始 URL
  • 偵測 區段:
    • 威脅情報決策
    • x 作用中警示 y 事件:水平條形圖,顯示與此連結相關的 資訊 警示數目。
    • URL 頁面中檢視所有事件 & 警示的連結。
  • 網域詳細數據 區段:
    • 功能變數名稱 和 [ 檢視網域] 頁面的連結。
    • 註冊
    • 註冊於
    • 更新日期
    • 到期日
  • 註冊連絡人資訊 區段:
    • 登記員
    • 國家/地區
    • 郵寄地址
    • 電子郵件
    • 電話
    • 詳細資訊:在 Whois 開啟的連結。
  • URL 普遍 (過去 30 天) 節:包含 [裝置]、[Email] 和 [點選] 數目。 選取每個值以檢視完整清單。
  • 裝置:顯示受影響的裝置:
    • 日期 (第一個/最後一個)

    • 裝置

      如果涉及兩個以上的裝置,請選 取 [檢視所有裝置 ] 以查看所有裝置。

在 [威脅總管] 的 [所有電子郵件] 檢視中,選取 [前一個 URL] 索引標籤中的項目之後,詳細數據飛出視窗的螢幕快照。

威脅總管中 [所有電子郵件] 檢視詳細數據區域的 [最上層按兩下] 檢視

[按滑鼠頂端] 檢視會顯示詳細數據表。 您可以按下可用的資料列標頭來排序專案:

  • URL
  • 封鎖
  • 允許
  • 區塊覆寫
  • 暫止的決策
  • 略過暫止的決策
  • 錯誤頁面
  • 失敗

提示

已選取所有可用的數據行。 如果您選取 [自定義數據行],就無法取消選取任何數據行。

若要查看所有資料行,您可能需要執行下列一或多個步驟:

  • 在網頁瀏覽器中水平捲動。
  • 縮小適當數據行的寬度。
  • 縮小網頁瀏覽器。

當您按下第一個數據行旁複選框以外的任何數據列來選取專案時,會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 [ 所有電子郵件] 檢視的 [熱門 URL] 詳細數據中所述相同。

威脅總管中 [所有電子郵件] 檢視詳細數據區域的主要目標用戶檢視

[ 熱門目標使用者 ] 檢視會將數據組織成最常受到威脅之前五位收件者的數據表。 資料表包含下列資訊:

提示

使用 Export 匯出最多 3000 位使用者的清單和對應的嘗試。

Email 威脅總管中 [所有電子郵件] 檢視詳細數據區域的原始檢視

Email 原點檢視會顯示世界地圖上的訊息來源。

[威脅總管] 中 [所有電子郵件] 檢視詳細數據區域中 Email 源檢視中世界地圖的螢幕快照。

威脅總管中 [所有電子郵件] 檢視詳細數據區域的營銷活動檢視

[ 營銷活動 ] 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。

數據表中的資訊與 [活動] 頁面上詳細數據表中所述的資訊相同。

當您按下 [名稱] 旁邊複選框以外的數據列中的任何位置來選取專案時,會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 營銷活動詳細數據中所述的相同。

威脅總管和即時偵測中的惡意代碼檢視

[威脅總管] 和 [即時偵測] 中的 [ 惡意代碼 ] 檢視會顯示找到包含惡意代碼的電子郵件訊息相關信息。 此檢視是即時偵測中的預設值。

若要開啟 [惡意代碼] 檢視 ,請執行下列其中一個步驟:

[威脅總管] 中 [惡意代碼] 檢視的螢幕快照,其中顯示圖表、圖表的可用樞紐,以及詳細數據表的檢視。

威脅總管和即時偵測中惡意代碼檢視中的可篩選屬性

根據預設,不會將任何屬性篩選套用至數據。 The steps to create filters (queries) are described in the Filters in Threat Explorer and Real-time detections section later in this article.

下表說明 [惡意代碼] 檢視中 [寄件者位址] 方塊中可用的可篩選屬性:

屬性 類型 威脅
總管
即時
檢測
基本
寄件者位址 文字。 以逗號分隔多個值。
收件者 文字。 以逗號分隔多個值。
寄件者網域 文字。 以逗號分隔多個值。
收件者網域 文字。 以逗號分隔多個值。
主旨 文字。 以逗號分隔多個值。
寄件者顯示名稱 文字。 以逗號分隔多個值。
寄件者郵件寄件者位址 文字。 以逗號分隔多個值。
來自網域的寄件者郵件 文字。 以逗號分隔多個值。
傳回路徑 文字。 以逗號分隔多個值。
傳回路徑網域 文字。 以逗號分隔多個值。
惡意代碼系列 文字。 以逗號分隔多個值。
標記 文字。 以逗號分隔多個值。

如需使用者標籤的詳細資訊,請參閱 使用者標籤
Exchange 傳輸規則 文字。 以逗號分隔多個值。
數據外泄防護規則 文字。 以逗號分隔多個值。
上下文 選取一或多個值:
  • 評估
  • 優先順序帳戶保護
連接器 文字。 以逗號分隔多個值。
傳遞動作 選取一或多個值:
其他動作 選取一或多個值:
Directionality 選取一或多個值:
  • 入境
  • 組織內部
  • 出埠
偵測技術 選取一或多個值:
  • 進階篩選:以機器學習為基礎的訊號。
  • 反惡意程式碼保護
  • 大量
  • 行銷活動
  • 網域信譽
  • 檔案損毀安全附件在 惡意分析期間偵測到惡意附件。
  • 檔案損毀信譽:其他Microsoft 365 組織中先前由 安全附件 偵測到的檔案附件。
  • 檔案信譽:此訊息包含先前在其他Microsoft 365 組織中識別為惡意的檔案。
  • 指紋比對:此訊息與先前偵測到的惡意訊息非常類似。
  • 一般篩選
  • 模擬品牌:傳送者模擬知名品牌。
  • 模擬網域:模擬您在反網路釣魚原則中擁有或指定保護的發件者網域
  • 模擬使用者
  • IP 信譽
  • 信箱智慧模擬:反網路釣魚原則中來自信箱智慧的模擬 偵測
  • 混合分析偵測:多個篩選條件對訊息決策有貢獻。
  • 詐騙 DMARC:訊息 DMARC 驗證失敗。
  • 詐騙外部網域:發件者電子郵件位址是使用組織外部的網域進行詐騙。
  • 詐騙組織內部:寄件者電子郵件位址使用組織內部的網域進行詐騙。
  • URL 擷取安全連結 在入侵分析期間偵測到訊息中的惡意 URL。
  • URL 擷取信譽:其他Microsoft 365 組織中先前由 安全連結 入侵所偵測到的 URL。
  • URL 惡意信譽:此訊息包含先前在其他Microsoft 365 組織中識別為惡意的 URL。
原始傳遞位置 選取一或多個值:
  • [刪除的郵件] 資料夾
  • 下降
  • 已失敗
  • 收件匣/資料夾
  • 垃圾郵件資料夾
  • 內部部署/外部
  • 隔離區
  • Unknown
最新的傳遞位置 原始傳遞位置相同的值
主要覆寫 選取一或多個值:
  • 組織原則允許
  • 用戶原則允許
  • 組織原則封鎖
  • 遭到使用者原則封鎖
主要覆寫來源 訊息可以有多個允許或封鎖覆寫,如 覆寫來源中所識別。 最終允許或封鎖訊息的覆寫會在 主要覆寫來源中識別。
選取一或多個值:
  • 第三方篩選
  • 管理員 起始的時間移動 (ZAP)
  • 依文件類型封鎖反惡意代碼原則
  • 反垃圾郵件原則設定
  • 線上原則
  • Exchange 傳輸規則
  • 使用者覆寫) (獨佔模式
  • 因為內部部署組織而略過篩選
  • 來自原則的IP區域篩選
  • 來自原則的語言篩選
  • 網路釣魚模擬
  • 隔離發行
  • SecOps 信箱
  • 管理員 覆寫) (寄件者位址清單
  • 使用者覆寫) (寄件者位址清單
  • 管理員 覆寫) (寄件者網域清單
  • 寄件者網域清單 (用戶覆寫)
  • 租用戶允許/封鎖清單檔案區塊
  • 租用戶允許/封鎖清單發件者電子郵件位址區塊
  • 租用戶允許/封鎖清單詐騙區塊
  • 租用戶允許/封鎖清單 URL 區塊
  • 受信任的聯繫人清單 (用戶覆寫)
  • 受信任的網域 (用戶覆寫)
  • 受信任的收件者 (用戶覆寫)
  • 受信任的寄件者僅 (用戶覆寫)
覆寫來源 主要覆寫來源相同的
原則類型 選取一或多個值:
  • 反惡意程式碼原則
  • 防網路釣魚原則
  • Exchange 傳輸規則 (郵件流程規則) 、 託管內容篩選 原則 (反垃圾郵件原則) 、託管 輸出垃圾郵件篩選原則 (輸出垃圾郵件原則) 、 安全附件原則
  • Unknown
原則動作 選取一或多個值:
  • 新增 x 標頭
  • 密件抄送訊息
  • 刪除郵件
  • 修改主旨
  • 移至垃圾郵件 Email資料夾
  • 未採取任何動作
  • 重新導向訊息
  • 傳送至隔離
Email 大小 整數。 以逗號分隔多個值。
進階
因特網訊息標識碼 文字。 以逗號分隔多個值。

可在訊息標頭的 [訊息標識 符標頭] 欄位中取得。 範例值是 <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (記下角括弧) 。
網路訊息標識碼 文字。 以逗號分隔多個值。

在訊息標頭的 X-MS-Exchange-Organization-Network-Message-Id 標頭字段中可用的 GUID 值。
寄件者 IP 文字。 以逗號分隔多個值。
附件SHA256 文字。 以逗號分隔多個值。
叢集標識碼 文字。 以逗號分隔多個值。
警示標識碼 文字。 以逗號分隔多個值。
警示原則標識碼 文字。 以逗號分隔多個值。
營銷活動標識碼 文字。 以逗號分隔多個值。
ZAP URL 訊號 文字。 以逗號分隔多個值。
Urls
URL 計數 整數。 以逗號分隔多個值。
URL 網域 文字。 以逗號分隔多個值。
URL 網域和路徑 文字。 以逗號分隔多個值。
URL 文字。 以逗號分隔多個值。
URL 路徑 文字。 以逗號分隔多個值。
URL 來源 選取一或多個值:
  • 附件
  • 雲端附件
  • Email 主體
  • Email標頭
  • QR 代碼
  • 主旨
  • Unknown
按兩下決策 選取一或多個值:
  • 允許
  • 區塊覆寫
  • 封鎖
  • 錯誤
  • 失敗
  • 暫止的決策
  • 略過暫止的決策
URL 威脅 選取一或多個值:
  • 惡意程式碼
  • 網路釣魚
  • 垃圾郵件
檔案
附件計數 整數。 以逗號分隔多個值。
附件檔名 文字。 以逗號分隔多個值。
檔案類型 文字。 以逗號分隔多個值。
副檔名 文字。 以逗號分隔多個值。
檔案大小 整數。 以逗號分隔多個值。
驗證
SPF 選取一或多個值:
  • 失敗
  • 中性
  • 通過
  • 永久錯誤
  • Soft fail
  • 暫時性錯誤
DKIM 選取一或多個值:
  • 錯誤
  • 失敗
  • Ignore
  • 通過
  • Test
  • Timeout
  • Unknown
DMARC 選取一或多個值:
  • 最佳猜測傳遞
  • 失敗
  • 通過
  • 永久錯誤
  • 選取器通過
  • 暫時性錯誤
  • Unknown
複合 選取一或多個值:
  • 失敗
  • 通過
  • 軟傳遞

威脅總管和即時偵測中惡意代碼檢視中圖表的數據透視表

圖表具有預設檢視,但您可以從 [選取直 方圖的樞紐 ] 中選取值,以變更已篩選或未篩選圖表數據的組織和顯示方式。

下表列出 [威脅總管] 和 [實時偵測] 中 [ 惡意代碼 ] 檢視中可用的圖表樞紐:

Pivot 威脅
總管
即時
檢測
惡意代碼系列
寄件者網域
寄件者 IP
傳遞動作
偵測技術

下列小節說明可用的圖表樞紐。

威脅總管中惡意代碼檢視中的惡意代碼系列圖表樞紐

雖然預設不會選取此樞紐,但 惡意代碼系列 是 [威脅總管] 中 [ 惡意代碼 ] 檢視中的默認圖表樞紐。

惡意代碼系列樞紐會依在訊息中偵測到的指定日期/時間範圍和屬性篩選器中偵測到的惡意代碼系列來組織圖表。

使用惡意代碼系列樞紐在 [威脅總管] 的 [惡意代碼] 檢視中,圖表的螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個惡意代碼系列的計數。

[威脅總管] 中 [惡意代碼] 檢視中的發件者網域圖表樞紐

寄件者網域樞紐會依訊息的寄件者網域組織圖表,這些訊息的網域發現包含指定日期/時間範圍和屬性篩選器的惡意代碼。

[威脅總管] 中 [惡意代碼] 檢視中使用發件者網域樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個發件者網域的計數。

威脅總管中 [惡意代碼] 檢視中的寄件者 IP 圖表樞紐

寄件者 IP 樞紐會依找到的訊息來源 IP 位址來組織圖表,這些訊息包含指定日期/時間範圍和屬性篩選器的惡意代碼。

[威脅總管] 中 [惡意代碼] 檢視中使用 [寄件者 IP] 樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個來源IP位址的計數。

威脅總管和即時偵測中惡意代碼檢視中的傳遞動作圖表樞紐

雖然預設不會選取此樞紐,但 傳遞動作 是即時偵測中 [惡意代碼 ] 檢視中的默認圖表樞紐。

傳遞動作樞紐會根據找到包含指定日期/時間範圍和屬性篩選之惡意代碼的訊息所發生的狀況來組織圖表。

[威脅總管] 中 [惡意代碼] 檢視中使用 [傳遞] 動作樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個傳遞動作的計數。

威脅總管和即時偵測中惡意代碼檢視中的偵測技術圖表樞紐

測技術 樞紐會依識別訊息中所指定日期/時間範圍和屬性篩選器惡意代碼的功能來組織圖表。

[威脅總管] 中 [惡意代碼] 檢視中使用偵測技術樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個偵測技術的計數。

威脅總管和即時偵測中惡意代碼檢視詳細數據區域的檢視

下表列出 [ 惡意 代碼] 檢視詳細數據區域中) 的可用檢視 (索引標籤,如下列小節所述。

檢視 威脅
總管
即時
檢測
電子郵件
主要惡意代碼系列
熱門目標使用者
Email 原點
行銷活動

Email 威脅總管和即時偵測中惡意代碼檢視詳細數據區域的檢視

Email 是威脅總管和即時偵測中惡意代碼檢視詳細數據區域的預設檢視。

[Email] 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。

下表顯示威脅總管和即時偵測中可用的數據行。 預設值會標示星號 () *

威脅
總管
即時
檢測
日期*
主題*
收件者*
收件者網域
標籤*
寄件者位址*
寄件者顯示名稱
寄件者網域*
寄件者 IP
寄件者郵件寄件者位址
來自網域的寄件者郵件
其他動作*
傳遞動作
最新的傳遞位置*
原始傳遞位置*
系統覆寫來源
系統覆寫
警示標識碼
因特網訊息標識碼
網路訊息標識碼
郵件語言
Exchange 傳輸規則
Connector
上下文
數據外泄防護規則
威脅類型*
偵測技術
附件計數
URL 計數
Email 大小

提示

若要查看所有資料行,您可能需要執行下列一或多個步驟:

  • 在網頁瀏覽器中水平捲動。
  • 縮小適當數據行的寬度。
  • 從檢視中移除數據行。
  • 縮小網頁瀏覽器。

每個用戶都會儲存自定義的數據行設定。 在關閉網頁瀏覽器之前,會儲存 Incognito 或 InPrivate 流覽模式中的自訂資料行設定。

當您選取第一個數據行旁邊的複選框,從清單中選取一或多個專案時,可以使用 [採取動作]。 如需詳細資訊,請參閱威脅搜捕:Email 補救。

Email 檢視 (索引標籤) 的螢幕快照,其中已選取訊息並主動採取動作。

當您按下專案中的 [ 主旨 ] 或 [ 收件者 ] 值時,會開啟詳細數據飛出視窗。 下列小節說明這些飛出視窗。

從惡意代碼檢視中詳細數據區域的 Email 檢視 Email 詳細數據

當您選取資料表中專案的 [ 主旨 ] 值時,會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板,並包含訊息 Email 實體頁面上也提供的標準化摘要資訊。

如需 Email 摘要面板中資訊的詳細資訊,請參閱 Email 摘要面板

威脅總管和即時偵測 Email 摘要面板頂端的可用動作,會在 [所有電子郵件] 檢視中詳細數據區域 Email 檢視的 Email 詳細數據中說明。

惡意代碼檢視中詳細數據區域 Email 檢視中的收件者詳細數據

當您按下 [ 收件者 ] 值來選取專案時,會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 [所有電子郵件] 檢視中詳細數據區域 Email 檢視中的 [收件者詳細數據] 中所述相同。

威脅總管中惡意代碼檢視詳細數據區域的常見惡意代碼系列檢視

詳細數據區域的 [最上層惡意代碼系列 ] 檢視會將數據組織成最上層惡意代碼系列的數據表。 下表顯示:

  • 主要惡意代碼系列 數據行:惡意代碼系列名稱。

    如果您選取惡意代碼系列名稱,則會開啟詳細資料飛出視窗,其中包含下列資訊:

    • Email 節:顯示包含惡意代碼檔案之訊息的下列相關信息的數據表:

      • Date
      • 主旨
      • 收件者

      取 [檢視所有電子郵件 ],在依惡意代碼系列名稱篩選的新索引標籤中開啟 [威脅總管]。

    • 技術詳細數據 區段

    在 [威脅總管] 的 [惡意代碼] 檢視中,從詳細數據區域的 [最上層惡意代碼系列] 索引卷標中選取惡意代碼系列之後,詳細數據飛出視窗的螢幕快照。

  • 嘗試次數:如果您選取嘗試次數,威脅總管會在依惡意代碼系列名稱篩選的新索引卷標中開啟。

威脅總管中惡意代碼檢視詳細數據區域的主要目標用戶檢視

[ 熱門目標使用者 ] 檢視會將數據組織成惡意代碼設為目標的前五個收件者數據表。 下表顯示:

  • 主要目標使用者:最上層目標用戶的電子郵件位址。 如果您選取電子郵件位址,將會開啟詳細資料飛出視窗。 飛出視窗中的資訊與威脅總管中 [ 所有電子郵件] 檢視詳細數據區域的 [熱門目標使用者] 檢視中所述相同。

  • 嘗試次數:如果您選取嘗試次數,威脅總管會在依惡意代碼系列名稱篩選的新索引卷標中開啟。

提示

使用 Export 匯出最多 3000 位使用者的清單和對應的嘗試。

Email 威脅總管中惡意代碼檢視詳細數據區域的原始檢視

Email 原點檢視會顯示世界地圖上的訊息來源。

威脅總管中惡意代碼檢視詳細數據區域的活動檢視

[ 營銷活動 ] 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。

詳細數據數據表與 [ 活動] 頁面上的詳細數據數據表相同。

當您按下 [名稱] 旁邊複選框以外的數據列中的任何位置來選取專案時,會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 營銷活動詳細數據中所述的相同。

威脅總管和即時偵測中的網路釣魚檢視

威脅總管和即時偵測中的 網路釣魚 檢視會顯示已識別為網路釣魚的電子郵件訊息相關信息。

若要開啟 網路釣魚 檢視,請執行下列其中一個步驟:

威脅總管中網路釣魚檢視的螢幕快照,其中顯示圖表、圖表的可用樞紐,以及詳細數據表的檢視。

威脅總管和即時偵測中網路釣魚檢視中的可篩選屬性

根據預設,不會將任何屬性篩選套用至數據。 The steps to create filters (queries) are described in the Filters in Threat Explorer and Real-time detections section later in this article.

下表說明 [惡意代碼] 檢視中 [寄件者位址] 方塊中可用的可篩選屬性:

屬性 類型 威脅
總管
即時
檢測
基本
寄件者位址 文字。 以逗號分隔多個值。
收件者 文字。 以逗號分隔多個值。
寄件者網域 文字。 以逗號分隔多個值。
收件者網域 文字。 以逗號分隔多個值。
主旨 文字。 以逗號分隔多個值。
寄件者顯示名稱 文字。 以逗號分隔多個值。
寄件者郵件寄件者位址 文字。 以逗號分隔多個值。
來自網域的寄件者郵件 文字。 以逗號分隔多個值。
傳回路徑 文字。 以逗號分隔多個值。
傳回路徑網域 文字。 以逗號分隔多個值。
標記 文字。 以逗號分隔多個值。

如需使用者標籤的詳細資訊,請參閱 使用者標籤
模擬網域 文字。 以逗號分隔多個值。
模擬使用者 文字。 以逗號分隔多個值。
Exchange 傳輸規則 文字。 以逗號分隔多個值。
數據外泄防護規則 文字。 以逗號分隔多個值。
上下文 選取一或多個值:
  • 評估
  • 優先順序帳戶保護
連接器 文字。 以逗號分隔多個值。
傳遞動作 選取一或多個值:
其他動作 選取一或多個值:
  • 自動化補救
  • 動態傳遞
  • 手動補救
  • 隔離發行
  • 重新處理
  • 幹掉
Directionality 選取一或多個值:
  • 入境
  • 組織內部
  • 出埠
偵測技術 選取一或多個值:
  • 進階篩選
  • 反惡意程式碼保護
  • 大量
  • 行銷活動
  • 網域信譽
  • 檔案擷取
  • 檔案擷取信譽
  • 檔案信譽
  • 指紋比對
  • 一般篩選
  • 模擬品牌
  • 模擬網域
  • 模擬使用者
  • IP 信譽
  • 信箱智能模擬
  • 混合分析偵測
  • 詐騙 DMARC
  • 詐騙外部網域
  • 詐騙組織內部
  • URL 引爆
  • URL 擷取信譽
  • URL 惡意信譽
原始傳遞位置 選取一或多個值:
  • [刪除的郵件] 資料夾
  • 下降
  • 已失敗
  • 收件匣/資料夾
  • 垃圾郵件資料夾
  • 內部部署/外部
  • 隔離區
  • Unknown
最新的傳遞位置 原始傳遞位置相同的值
網路釣魚信賴等級 選取一或多個值:
  • High
  • 一般
主要覆寫 選取一或多個值:
  • 組織原則允許
  • 用戶原則允許
  • 組織原則封鎖
  • 遭到使用者原則封鎖
主要覆寫來源 訊息可以有多個允許或封鎖覆寫,如 覆寫來源中所識別。 最終允許或封鎖訊息的覆寫會在 主要覆寫來源中識別。
選取一或多個值:
  • 第三方篩選
  • 管理員 起始的時間移動 (ZAP)
  • 依文件類型封鎖反惡意代碼原則
  • 反垃圾郵件原則設定
  • 線上原則
  • Exchange 傳輸規則
  • 使用者覆寫) (獨佔模式
  • 因為內部部署組織而略過篩選
  • 來自原則的IP區域篩選
  • 來自原則的語言篩選
  • 網路釣魚模擬
  • 隔離發行
  • SecOps 信箱
  • 管理員 覆寫) (寄件者位址清單
  • 使用者覆寫) (寄件者位址清單
  • 管理員 覆寫) (寄件者網域清單
  • 寄件者網域清單 (用戶覆寫)
  • 租用戶允許/封鎖清單檔案區塊
  • 租用戶允許/封鎖清單發件者電子郵件位址區塊
  • 租用戶允許/封鎖清單詐騙區塊
  • 租用戶允許/封鎖清單 URL 區塊
  • 受信任的聯繫人清單 (用戶覆寫)
  • 受信任的網域 (用戶覆寫)
  • 受信任的收件者 (用戶覆寫)
  • 受信任的寄件者僅 (用戶覆寫)
覆寫來源 主要覆寫來源相同的
原則類型 選取一或多個值:
  • 反惡意程式碼原則
  • 防網路釣魚原則
  • Exchange 傳輸規則 (郵件流程規則) 、 託管內容篩選 原則 (反垃圾郵件原則) 、託管 輸出垃圾郵件篩選原則 (輸出垃圾郵件原則) 、 安全附件原則
  • Unknown
原則動作 選取一或多個值:
  • 新增 x 標頭
  • 密件抄送訊息
  • 刪除郵件
  • 修改主旨
  • 移至垃圾 Email資料夾
  • 未採取任何動作
  • 重新導向訊息
  • 傳送至隔離
Email 大小 整數。 以逗號分隔多個值。
進階
因特網訊息標識碼 文字。 以逗號分隔多個值。

可在訊息標頭的 [訊息標識 符標頭] 欄位中取得。 範例值是 <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (記下角括弧) 。
網路訊息標識碼 文字。 以逗號分隔多個值。

在訊息標頭的 X-MS-Exchange-Organization-Network-Message-Id 標頭字段中可用的 GUID 值。
寄件者 IP 文字。 以逗號分隔多個值。
附件SHA256 文字。 以逗號分隔多個值。
叢集標識碼 文字。 以逗號分隔多個值。
警示標識碼 文字。 以逗號分隔多個值。
警示原則標識碼 文字。 以逗號分隔多個值。
營銷活動標識碼 文字。 以逗號分隔多個值。
ZAP URL 訊號 文字。 以逗號分隔多個值。
Urls
URL 計數 整數。 以逗號分隔多個值。
URL 網域 文字。 以逗號分隔多個值。
URL 網域和路徑 文字。 以逗號分隔多個值。
URL 文字。 以逗號分隔多個值。
URL 路徑 文字。 以逗號分隔多個值。
URL 來源 選取一或多個值:
  • 附件
  • 雲端附件
  • Email 主體
  • Email標頭
  • QR 代碼
  • 主旨
  • Unknown
按兩下決策 選取一或多個值:
  • 允許
  • 區塊覆寫
  • 封鎖
  • 錯誤
  • 失敗
  • 暫止的決策
  • 略過暫止的決策
URL 威脅 選取一或多個值:
  • 惡意程式碼
  • 網路釣魚
  • 垃圾郵件
檔案
附件計數 整數。 以逗號分隔多個值。
附件檔名 文字。 以逗號分隔多個值。
檔案類型 文字。 以逗號分隔多個值。
副檔名 文字。 以逗號分隔多個值。
檔案大小 整數。 以逗號分隔多個值。
驗證
SPF 選取一或多個值:
  • 失敗
  • 中性
  • 通過
  • 永久錯誤
  • Soft fail
  • 暫時性錯誤
DKIM 選取一或多個值:
  • 錯誤
  • 失敗
  • Ignore
  • 通過
  • Test
  • Timeout
  • Unknown
DMARC 選取一或多個值:
  • 最佳猜測傳遞
  • 失敗
  • 通過
  • 永久錯誤
  • 選取器通過
  • 暫時性錯誤
  • Unknown
複合 選取一或多個值:
  • 失敗
  • 通過
  • 軟傳遞

威脅總管和即時偵測中網路釣魚檢視中圖表的數據透視

圖表具有預設檢視,但您可以從 [選取直 方圖的樞紐 ] 中選取值,以變更已篩選或未篩選圖表數據的組織和顯示方式。

下表列出威脅總管和即時偵測中 網路釣魚 檢視中可用的圖表樞紐:

Pivot 威脅
總管
即時
檢測
寄件者網域
寄件者 IP
傳遞動作
偵測技術
完整 URL
URL 網域
URL 網域和路徑

下列小節說明可用的圖表樞紐。

威脅總管和即時偵測中網路釣魚檢視中的發件者網域圖表樞紐

雖然預設不會選取此樞紐,但 寄件者網域 是即時偵測中 網路釣魚 檢視中的默認圖表樞紐。

寄件者網域樞紐會依訊息中的網域,針對指定的日期/時間範圍和屬性篩選來組織圖表。

使用寄件者網域樞紐在威脅總管中網路釣魚檢視中的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個發件者網域的計數。

威脅總管中網路釣魚檢視中的寄件者 IP 圖表樞紐

寄件者 IP 樞紐會依指定日期/時間範圍和屬性篩選的訊息來源 IP 位址來組織圖表。

使用發件者 IP 樞紐在威脅總管中網路釣魚檢視中的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個來源IP位址的計數。

威脅總管和即時偵測中網路釣魚檢視中的傳遞動作圖表樞紐

雖然預設不會選取此樞紐,但 傳遞動作 是威脅總管中 網路釣魚 檢視中的預設圖表樞紐。

傳遞動作樞紐會依針對指定日期/時間範圍和屬性篩選器的訊息所採取的動作來組織圖表。

[威脅總管] 中網络釣魚檢視中使用 [傳遞] 動作樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個傳遞動作的計數。

威脅總管和即時偵測中網路釣魚檢視中的偵測技術圖表樞紐

測技術 樞紐會依識別指定日期/時間範圍和屬性篩選之網路釣魚訊息的功能來組織圖表。

使用偵測技術樞紐在威脅總管中網路釣魚檢視中的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個偵測技術的計數。

威脅總管中網路釣魚檢視中的完整 URL 圖表樞紐

[完整 URL] 樞紐會依據指定日期/時間範圍和屬性篩選器的網路釣魚訊息中的完整 URL 來組織圖表。

[威脅總管] 中使用 [完整 URL] 樞紐的網络釣魚檢視表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個完整 URL 的計數。

威脅總管和即時偵測中網路釣魚檢視中的網域圖表樞紐

URL 網域樞紐會依網路釣魚訊息中 URL 中的網域,針對指定的日期/時間範圍和屬性篩選來組織圖表。

使用 URL 網域樞紐在威脅總管中網路釣魚檢視中的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個URL網域的計數。

威脅總管中網路釣魚檢視中的 URL 網域和路徑圖表樞紐

URL 網域和路徑樞紐會依據指定日期/時間範圍和屬性篩選器的網路釣魚訊息中 URL 中的網域和路徑來組織圖表。

在威脅總管中,使用URL網域和路徑樞紐的網路釣魚檢視中圖表的螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個URL網域和路徑的計數。

威脅總管中網路釣魚檢視詳細數據區域的檢視

下表列出網路釣魚 檢視詳細 數據區域中) 的可用檢視 (索引標籤,如下列小節所述。

檢視 威脅
總管
即時
檢測
電子郵件
URL 點選
前置 URL
最上層點擊數
熱門目標使用者
Email 原點
行銷活動

Email 威脅總管和即時偵測中網路釣魚檢視詳細數據區域的檢視

Email 是威脅總管和即時偵測中網路釣魚檢視詳細數據區域的預設檢視。

[Email] 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。

下表顯示威脅總管和即時偵測中可用的數據行。 預設值會標示星號 () *

威脅
總管
即時
檢測
日期*
主題*
收件者*
收件者網域
標籤*
寄件者位址*
寄件者顯示名稱
寄件者網域*
寄件者 IP
寄件者郵件寄件者位址
來自網域的寄件者郵件
其他動作*
傳遞動作
最新的傳遞位置*
原始傳遞位置*
系統覆寫來源
系統覆寫
警示標識碼
因特網訊息標識碼
網路訊息標識碼
郵件語言
Exchange 傳輸規則
Connector
網路釣魚信賴等級
上下文
數據外泄防護規則
威脅類型*
偵測技術
附件計數
URL 計數
Email 大小

提示

若要查看所有資料行,您可能需要執行下列一或多個步驟:

  • 在網頁瀏覽器中水平捲動。
  • 縮小適當數據行的寬度。
  • 從檢視中移除數據行。
  • 縮小網頁瀏覽器。

每個用戶都會儲存自定義的數據行設定。 在關閉網頁瀏覽器之前,會儲存 Incognito 或 InPrivate 流覽模式中的自訂資料行設定。

當您選取第一個數據行旁邊的複選框,從清單中選取一或多個專案時,可以使用 [採取動作]。 如需詳細資訊,請參閱威脅搜捕:Email 補救。

Email 檢視 (索引標籤) 的螢幕快照,其中已選取訊息並主動採取動作。

當您按下專案中的 [ 主旨 ] 或 [ 收件者 ] 值時,會開啟詳細數據飛出視窗。 下列小節說明這些飛出視窗。

從網路釣魚檢視中詳細數據區域的 Email 檢視 Email 詳細數據

當您選取資料表中專案的 [ 主旨 ] 值時,會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板,且包含訊息 Email 實體頁面上也提供的標準化摘要資訊。

如需 Email 摘要面板中資訊的詳細資訊,請參閱 適用於 Office 365 的 Defender 功能中的 Email 摘要面板

威脅總管和即時偵測 Email 摘要面板頂端的可用動作,會在 [所有電子郵件] 檢視中詳細數據區域 Email 檢視的 Email 詳細數據中說明。

網路釣魚檢視中詳細數據區域 Email 檢視中的收件者詳細數據

當您按下 [ 收件者 ] 值來選取專案時,會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 [所有電子郵件] 檢視中詳細數據區域 Email 檢視中的 [收件者詳細數據] 中所述相同。

URL 按兩下 [威脅總管] 中網路釣魚檢視詳細數據區域的檢視和即時偵測

[URL 點選] 檢視會顯示可使用樞紐進行組織的圖表。 圖表具有預設檢視,但您可以從 [選取直 方圖的樞紐 ] 中選取值,以變更已篩選或未篩選圖表數據的組織和顯示方式。

下表說明威脅總管和即時偵測中[ 惡意代碼 ] 檢視中可用的圖表樞紐:

Pivot 威脅
總管
即時
檢測
URL 網域
按兩下決策
URL
URL 網域和路徑

您可以針對威脅總管中的[ 所有電子郵件 ] 檢視使用並描述相同的圖表樞紐:

[威脅總管] 中 [網络釣魚] 檢視的詳細數據區域螢幕快照,其中已選取 [URL 單擊] 索引標籤,並顯示沒有選取樞紐的可用樞紐。

提示

在 [威脅總管] 中,URL 中的每個樞紐 點選 檢視都有 [ 檢視所有點選 ] 動作,可在新的索引卷標中開啟 [威脅總管] 中的 [URL 點擊 ] 檢視。即時偵測中無法使用此動作,因為即時偵測中無法使用 URL點選 檢視。

威脅總管和即時偵測中網路釣魚檢視詳細數據區域的頂端 URL 檢視

[最上層 URL] 檢視會顯示詳細數據表。 您可以按下可用的資料列標頭來排序專案:

  • URL
  • 已封鎖的訊息
  • 郵件已垃圾
  • 傳遞的訊息
網路釣魚檢視的前置 URL 詳細數據

當您按下第一個數據行旁複選框以外的任何數據列來選取專案時,會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 [ 所有電子郵件] 檢視的 [熱門 URL] 詳細數據中所述相同。

提示

Go 搜捕 動作只能在威脅總管中使用。 它無法在即時偵測中使用。

威脅總管和即時偵測中網路釣魚檢視詳細數據區域的按滑鼠頂端檢視

[按滑鼠頂端] 檢視會顯示詳細數據表。 您可以按下可用的資料列標頭來排序專案:

  • URL
  • 封鎖
  • 允許
  • 區塊覆寫
  • 暫止的決策
  • 略過暫止的決策
  • 錯誤頁面
  • 失敗

提示

已選取所有可用的數據行。 如果您選取 [自定義數據行],就無法取消選取任何數據行。

若要查看所有資料行,您可能需要執行下列一或多個步驟:

  • 在網頁瀏覽器中水平捲動。
  • 縮小適當數據行的寬度。
  • 縮小網頁瀏覽器。

當您按下第一個數據行旁複選框以外的任何數據列來選取專案時,會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 [ 所有電子郵件] 檢視的 [熱門 URL] 詳細數據中所述相同。

威脅總管中網路釣魚檢視詳細數據區域的主要目標用戶檢視

[ 熱門目標使用者 ] 檢視會將數據組織成網路釣魚嘗試目標前五個收件者的數據表。 下表顯示:

  • 主要目標使用者:最上層目標用戶的電子郵件位址。 如果您選取電子郵件位址,將會開啟詳細資料飛出視窗。 飛出視窗中的資訊與威脅總管中 [ 所有電子郵件] 檢視詳細數據區域的 [熱門目標使用者] 檢視中所述相同。

  • 嘗試次數:如果您選取嘗試次數,威脅總管會在依惡意代碼系列名稱篩選的新索引卷標中開啟。

提示

使用 Export 匯出最多 3000 位使用者的清單和對應的嘗試。

Email 威脅總管中網路釣魚檢視詳細數據區域的原始檢視

Email 原點檢視會顯示世界地圖上的訊息來源。

威脅總管中網路釣魚檢視詳細數據區域的活動檢視

[ 營銷活動 ] 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。

數據表中的資訊與 [活動] 頁面上詳細數據表中所述的資訊相同。

當您按下 [名稱] 旁邊複選框以外的數據列中的任何位置來選取專案時,會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 營銷活動詳細數據中所述的相同。

威脅總管中的營銷活動檢視

[威脅總管] 中的 [ 活動 ] 檢視會顯示識別為協調網路釣魚和惡意代碼攻擊的威脅相關信息,這些威脅是貴組織或 Microsoft 365 中的其他組織所特有。

若要在 Defender https://security.microsoft.com入口網站的 [管] 頁面上開啟 [活動] 檢視,請移至 [Email & 共同作業>總管活動]>索引卷標。或者,使用 https://security.microsoft.com/threatexplorerv3直接移至 [總管] 頁面,然後選取 [營銷活動] 索引標籤。

所有可用的資訊和動作都與 上 [營銷活動] 頁面上的信息和動作相同。https://security.microsoft.com/campaignsv3 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 [活動] 頁面

威脅總管中 [活動] 檢視的螢幕快照,其中顯示圖表、圖表的可用樞紐,以及詳細數據數據表的檢視。

威脅總管中的內容惡意代碼檢視和即時偵測

[威脅總管] 和 [實時偵測] 中的 [ 內容惡意代碼 ] 檢視會透過下列方式顯示已識別為惡意代碼之檔案的相關信息:

若要開啟 [內容惡意代碼 ] 檢視,請執行下列其中一個步驟:

威脅總管中 [Cotent 惡意代碼] 檢視的螢幕快照,其中顯示圖表、圖表的可用樞紐,以及詳細數據數據表的檢視。

威脅總管和即時偵測中內容惡意代碼檢視中的可篩選屬性

根據預設,不會將任何屬性篩選套用至數據。 The steps to create filters (queries) are described in the Filters in Threat Explorer and Real-time detections section later in this article.

下表說明 [威脅總管] 和 [實時偵測] 中 [內容惡意代碼] 檢視中 [檔名] 方塊中可用的可篩選屬性:

屬性 類型 威脅
總管
即時
檢測
檔案
檔案名稱 文字。 以逗號分隔多個值。
工作負載 選取一或多個值:
  • OneDrive
  • SharePoint
  • Teams
網站 文字。 以逗號分隔多個值。
檔案擁有者 文字。 以逗號分隔多個值。
上次修改者 文字。 以逗號分隔多個值。
SHA256 整數。 以逗號分隔多個值。

若要尋找檔案的 SHA256 哈希值,請在 PowerShell 中執行下列命令: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256
惡意代碼系列 文字。 以逗號分隔多個值。
偵測技術 選取一或多個值:
  • 進階篩選
  • 反惡意程式碼保護
  • 大量
  • 行銷活動
  • 網域信譽
  • 檔案擷取
  • 檔案擷取信譽
  • 檔案信譽
  • 指紋比對
  • 一般篩選
  • 模擬品牌
  • 模擬網域
  • 模擬使用者
  • IP 信譽
  • 信箱智能模擬
  • 混合分析偵測
  • 詐騙 DMARC
  • 詐騙外部網域
  • 詐騙組織內部
  • URL 引爆
  • URL 擷取信譽
  • URL 惡意信譽
威脅類型 選取一或多個值:
  • 封鎖
  • 惡意程式碼
  • 網路釣魚
  • 垃圾郵件

威脅總管和即時偵測中內容惡意代碼檢視中圖表的數據透視表

圖表具有預設檢視,但您可以從 [選取直 方圖的樞紐 ] 中選取值,以變更已篩選或未篩選圖表數據的組織和顯示方式。

下表列出威脅總管中 [ 內容惡意代碼 ] 檢視中可用的圖表樞紐和即時偵測:

Pivot 威脅
總管
即時
檢測
惡意代碼系列
偵測技術
工作負載

下列小節說明可用的圖表樞紐。

威脅總管和即時偵測中內容惡意代碼檢視中的惡意代碼系列圖表樞紐

雖然預設不會選取此樞紐,但 惡意代碼系列 是 [威脅總管] 和 [實時偵測] 中 [ 內容惡意代碼 ] 檢視中的預設圖表樞紐。

惡意代碼系列樞紐會使用指定的日期/時間範圍和屬性篩選器,依 SharePoint、OneDrive 和 Microsoft Teams 檔案中識別的惡意代碼來組織圖表。

使用惡意代碼系列樞紐之威脅總管中 [內容惡意代碼] 檢視中圖表的螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個惡意代碼系列的計數。

威脅總管和即時偵測中內容惡意代碼檢視中的偵測技術圖表樞紐

測技術 樞紐會依在 SharePoint、OneDrive 和 Microsoft Teams 中的檔案中識別惡意代碼的功能,針對指定的日期/時間範圍和屬性篩選器來組織圖表。

[威脅總管] 中使用偵測技術樞紐之 [內容惡意代碼] 檢視中圖表的螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個偵測技術的計數。

威脅總管和即時偵測中內容惡意代碼檢視中的工作負載圖表樞紐

[ 工作負載 ] 樞紐會根據指定的日期/時間範圍和屬性篩選器,在 SharePoint、OneDrive 或 Microsoft Teams) (識別惡意代碼的位置來組織圖表。

[威脅總管] 中 [惡意代碼] 檢視中使用 [工作負載] 樞紐的圖表螢幕快照。

將滑鼠停留在圖表中的數據點上會顯示每個工作負載的計數。

威脅總管和即時偵測中內容惡意代碼檢視詳細數據區域的檢視

在 [威脅總管] 和 [實時偵測] 中,[ 內容惡意代碼 ] 檢視的詳細數據區域只包含一個檢視 (索引卷標) 名為 Documents。 下列小節說明此檢視。

威脅總管和即時偵測中內容惡意代碼檢視詳細數據區域的文件檢視

是 [ 內容惡意 代碼] 檢視中詳細數據區域的預設和唯一檢視。

[檔案] 檢視會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設值會標上星號 (*):

  • 日期*
  • 名字*
  • 工作量*
  • 威脅*
  • 偵測技術*
  • 上次修改使用者*
  • 檔案擁有者*
  • 大小 (位元組) *
  • 上次修改時間
  • 網站路徑
  • 檔案路徑
  • 文件識別碼
  • SHA256
  • 偵測到的日期
  • 惡意代碼系列
  • 上下文

提示

若要查看所有資料行,您可能需要執行下列一或多個步驟:

  • 在網頁瀏覽器中水平捲動。
  • 縮小適當數據行的寬度。
  • 從檢視中移除數據行。
  • 縮小網頁瀏覽器。

每個用戶都會儲存自定義的數據行設定。 在關閉網頁瀏覽器之前,會儲存 Incognito 或 InPrivate 流覽模式中的自訂資料行設定。

當您從 [ 名稱 ] 資料行選取檔名值時,會開啟詳細數據飛出視窗。 飛出視窗包含下列資訊:

  • 摘要 區段:

    • Filename
    • 網站路徑
    • 檔案路徑
    • 文件識別碼
    • SHA256
    • 上次修改日期
    • 上次修改者
    • 威脅
    • 偵測技術
  • 詳細 資料區段:

    • 偵測到的日期
    • 偵測到者
    • 惡意代碼名稱
    • 上次修改者
    • 檔案大小
    • 檔案擁有者
  • Email 清單區段:顯示包含惡意代碼檔案之訊息的下列相關信息的數據表:

    • Date
    • 主旨
    • 收件者

    取 [檢視所有電子郵件 ],在依惡意代碼系列名稱篩選的新索引標籤中開啟 [威脅總管]。

  • 最近的活動:顯示收件者稽核 記錄搜尋 的摘要結果:

    • Date
    • IP 位址
    • 活動
    • 項目

    如果收件者有三個以上的稽核記錄專案,請選 取 [檢視所有最近的活動 ] 以查看所有專案。

    提示

    Email 中的安全性系統管理員角色群組成員 & 共同作業許可權無法展開 [最近的活動] 區段。 您必須是已指派稽核記錄資訊保護分析師資訊保護 處理者角色 Exchange Online 許可權中的角色群組成員。 根據預設,這些角色會指派給記錄管理合規性管理資訊保護資訊保護 分析師資訊保護 調查人員組織管理角色群組。 您可以將安全性系統管理員的成員新增至這些角色群組,也可以使用指派的稽核記錄角色來建立新的角色群組

來自 [檔] 檢視中詳細數據飛出視窗的螢幕快照,其中包含 [威脅總管] 和 [實時偵測] 中 [內容惡意代碼] 檢視的詳細數據區域。

威脅總管中的 URL 點選檢視

[威脅總管] 中的 [URL 點選 ] 檢視會顯示所有使用者在電子郵件中、在 SharePoint 和 OneDrive 中支援的 Office 檔案,以及在 Microsoft Teams 中單擊 URL。

若要在 Defender https://security.microsoft.com入口網站的 [管] 頁面上開啟 URL 單擊檢視,請移至 Email & 共同作業>總管>URL 單擊索引卷標。或者,使用 https://security.microsoft.com/threatexplorerv3直接移至 [總管] 頁面,然後選取 [URL 單擊] 索引卷標。

[威脅總管] 中 URL 點選檢視的螢幕快照,其中顯示圖表、圖表的可用樞紐,以及詳細數據數據表的檢視。

[威脅總管] 中 URL 中可篩選的屬性單擊檢視

根據預設,不會將任何屬性篩選套用至數據。 The steps to create filters (queries) are described in the Filters in Threat Explorer and Real-time detections section later in this article.

下表說明 [威脅總管] 中 [URL 單擊] 檢視中 [收件者] 方塊中可用的可篩選屬性:

屬性 類型
基本
收件者 文字。 以逗號分隔多個值。
標記 文字。 以逗號分隔多個值。

如需使用者標籤的詳細資訊,請參閱 使用者標籤
網路訊息標識碼 文字。 以逗號分隔多個值。

在訊息標頭的 X-MS-Exchange-Organization-Network-Message-Id 標頭字段中可用的 GUID 值。
URL 文字。 以逗號分隔多個值。
按兩下動作 選取一或多個值:
  • 允許
  • 封鎖頁面
  • 封鎖頁面覆寫
  • 錯誤頁面
  • 失敗
  • 擱置中的隔離頁面
  • 擱置中的數據刪除頁面覆寫
威脅類型 選取一或多個值:
  • Allow
  • 封鎖
  • 惡意程式碼
  • 網路釣魚
  • 垃圾郵件
偵測技術 選取一或多個值:
  • URL 引爆
  • URL 擷取信譽
  • URL 惡意信譽
點選 [識別碼] 文字。 以逗號分隔多個值。
用戶端IP 文字。 以逗號分隔多個值。

URL 中圖表的數據透視表在威脅總管中單擊檢視

圖表具有預設檢視,但您可以從 [選取直 方圖的樞紐 ] 中選取值,以變更已篩選或未篩選圖表數據的組織和顯示方式。

下列小節說明可用的圖表樞紐。

威脅總管中 URL 單擊檢視中的 URL 網域圖表樞紐

雖然預設不會選取此樞紐,但 URL 網域URL 點選 檢視中的預設圖表樞紐。

URL 網域樞紐會依使用者針對指定日期/時間範圍和屬性篩選器按兩下電子郵件、Office 檔案或Microsoft Teams 的URL中的網域來組織圖表。

使用 URL 網域樞紐在 [威脅總管] 中按兩下 [檢視] 中圖表的螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個URL網域的計數。

威脅總管中 URL 點選檢視中的工作負載圖表樞紐

[ 工作負載 ] 樞紐會依據所點選 URL 的位置來組織圖表, (電子郵件、Office 檔案或Microsoft Teams) 指定的日期/時間範圍和屬性篩選器。

在 [威脅總管] 中,使用 [工作負載] 樞紐按兩下 [URL] 檢視中圖表的螢幕快照。

將滑鼠停留在圖表中的數據點上會顯示每個工作負載的計數。

威脅總管中 URL 點選檢視中的偵測技術圖表樞紐

測技術 樞紐會依識別電子郵件、Office 檔案或Microsoft Teams 中所指定日期/時間範圍和屬性篩選器中 URL 點選的功能來組織圖表。

使用偵測技術樞紐在 [威脅總管] 中按兩下 [URL] 檢視中圖表的螢幕快照。

將滑鼠停留在圖表中的數據點上,會顯示每個偵測技術的計數。

威脅總管中 [URL 按兩下] 檢視中的威脅類型圖表樞紐

[ 威脅類型 ] 樞紐會依據電子郵件、Office 檔案或 Microsoft Teams 中已點選 URL 的結果,針對指定的日期/時間範圍和屬性篩選器來組織圖表。

URL 中圖表的螢幕快照,其中使用威脅類型樞紐在威脅總管中單擊檢視。

將滑鼠停留在圖表中的數據點上,會顯示每個威脅類型技術的計數。

URL 詳細數據區域的檢視在威脅總管中單擊檢視

下列小節說明 URL 點選 檢視詳細資料區域中) 的可用檢視 (索引標籤。

威脅總管中 URL 點選檢視詳細數據區域的結果檢視

結果URL點選 檢視中詳細數據區域的預設檢視。

[ 結果] 檢視 會顯示詳細數據表。 您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設會選取所有資料列:

  • 按下時間
  • 收件者
  • URL 按一下動作
  • URL
  • 標記
  • 網路訊息標識碼
  • 點選 [識別碼]
  • 用戶端IP
  • URL 鏈
  • 威脅類型
  • 偵測技術

提示

若要查看所有資料行,您可能需要執行下列一或多個步驟:

  • 在網頁瀏覽器中水平捲動。
  • 縮小適當數據行的寬度。
  • 從檢視中移除數據行。
  • 縮小網頁瀏覽器。

每個用戶都會儲存自定義的數據行設定。 在關閉網頁瀏覽器之前,會儲存 Incognito 或 InPrivate 流覽模式中的自訂資料行設定。

選取一或多個專案,方法是選取數據列中第一個數據行旁邊的複選框,然後選取 [檢視所有電子郵件] 以在新索引卷標中開啟 [所有電子郵件檢視中的威脅總管],此索引卷標會依所選郵件的 [網络訊息標識符] 值進行篩選。

[威脅總管] 中 URL 點選檢視詳細數據區域的最上層點選檢視

[按滑鼠頂端] 檢視會顯示詳細數據表。 您可以按下可用的資料列標頭來排序專案:

  • URL
  • 封鎖
  • 允許
  • 區塊覆寫
  • 暫止的決策
  • 略過暫止的決策
  • 錯誤頁面
  • 失敗

提示

已選取所有可用的數據行。 如果您選取 [自定義數據行],就無法取消選取任何數據行。

若要查看所有資料行,您可能需要執行下列一或多個步驟:

  • 在網頁瀏覽器中水平捲動。
  • 縮小適當數據行的寬度。
  • 縮小網頁瀏覽器。

選取數據列中第一個數據行旁邊的複選框來選取專案,然後選取 [檢視所有點選] 以在 URL 單擊檢視的新索引卷標中開啟 [威脅總管]。

當您按下第一個數據行旁複選框以外的任何數據列來選取專案時,會開啟詳細數據飛出視窗。 飛出視窗中的資訊與 [ 所有電子郵件] 檢視的 [熱門 URL] 詳細數據中所述相同。

威脅總管中 URL 點選檢視詳細數據區域的主要目標用戶檢視

[ 熱門目標使用者 ] 檢視會將數據組織成按下URL的前五個收件者數據表。 下表顯示:

  • 主要目標使用者:最上層目標用戶的電子郵件位址。 如果您選取電子郵件位址,將會開啟詳細資料飛出視窗。 飛出視窗中的資訊與威脅總管中 [ 所有電子郵件] 檢視詳細數據區域的 [熱門目標使用者] 檢視中所述相同。

  • 嘗試次數:如果您選取嘗試次數,威脅總管會在依惡意代碼系列名稱篩選的新索引卷標中開啟。

提示

使用 Export 匯出最多 3000 位使用者的清單和對應的嘗試。

威脅總管和即時偵測中的屬性篩選

屬性篩選/查詢的基本語法為:

條件 = <篩選屬性><篩選運算子><屬性值或值>

多個條件使用下列語法:

<Condition1><AND |OR><Condition2><AND |OR><條件3...><AND |OR><ConditionN>

提示

文字或整數值不支援通配符搜尋 (*] 或 ) 。 Subject 屬性會使用部分文字比對,併產生類似通配符搜尋的結果。

在威脅總管和即時偵測中的所有檢視中,建立屬性篩選/查詢條件的步驟都相同:

  1. 使用本文稍早預覽檢視描述章節中的數據表來識別篩選屬性。

  2. 選取可用的篩選運算符。 可用的篩選運算子取決於屬性類型,如下表所述:

    篩選運算子 屬性類型
    等於任何 Text
    整數
    離散值
    等於無 Text
    離散值
    大於 整數
    小於 整數
  3. 輸入或選取一或多個屬性值。 對於文字值和整數,您可以輸入多個以逗號分隔的值。

    屬性值中的多個值會使用 OR 邏輯運算元。 例如,寄件者位址>等於任何一個>bob@fabrikam.com,cindy@fabrikam.com表示寄件者位址>等於 OR 的任何>bob@fabrikam.com一個。cindy@fabrikam.com

    輸入或選取一或多個屬性值之後,已完成的篩選條件會出現在篩選建立方塊下方。

    提示

    對於需要您選取一或多個可用值的屬性,在篩選條件中使用 屬性並選取所有值的結果與在篩選條件中不使用 屬性相同。

  4. 若要新增另一個條件,請重複上述三個步驟。

    篩選建立方塊下的條件會以您建立第二個或後續條件時選取的邏輯運算符分隔。 默認值為 AND,但您也可以選取 OR

    所有條件之間都會使用相同的邏輯運算符:它們全都是 AND ,或全部都是 OR。 若要變更現有的邏輯運算符,請選取邏輯運算符方塊,然後選取 ANDOR

    若要編輯現有的條件,請按兩下它,將選取的屬性、篩選運算元和值帶回對應的方塊中。

    若要移除現有的條件,請在條件上選 取 。

  5. 若要將篩選套用至圖表和詳細數據數據表,請選取 [ 重新整理]

    威脅總管中的範例查詢螢幕快照,或顯示多個條件的即時偵測。

在威脅總管中儲存的查詢

提示

儲存查詢威脅追蹤器 的一部分,無法在即時偵測中使用。 儲存的查詢和威脅追蹤器僅適用於 適用於 Office 365 的 Defender 方案 2。

[內容惡意代碼] 檢視中無法使用 [儲存查詢]。

威脅總管中的大部分檢視都可讓您) 儲存篩選 (查詢,以供稍後使用。 已儲存的查詢位於 Defender https://security.microsoft.com/threattrackerv2入口網站的 [威脅追蹤器] 頁面上。 如需威脅追蹤器的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 方案 2 中的威脅追蹤器

若要在威脅總管中儲存查詢,請執行下列步驟:

  1. 如先前所述建立篩選/查詢之後,請選取 [儲存查詢][儲存查詢>]。

  2. 在開啟的 [ 儲存查詢 ] 飛出視窗中,設定下列選項:

    • 查詢名稱:輸入查詢的唯一名稱。
    • 選取下列其中一個選項:
      • 確切日期:在方塊中選取開始日期和結束日期。 您可以選取的最舊開始日期是今天之前的 30 天。 您可以選取的最新結束日期是今天。
      • 相對日期:選取執行 搜尋時顯示最後 nn 天的天數。 默認值為 7,但您可以選取 1 到 30。
    • 追蹤查詢:預設不會選取此選項。 這個選項會影響查詢是否自動執行:
      • 追蹤 未選取的查詢:查詢可供您在威脅總管中手動執行。 查詢會儲存在 [威脅追蹤器] 頁面上的 [已儲存的查詢] 索引標籤上,且 [追蹤查詢] 屬性值為 [否]
      • 追蹤 選取的查詢:查詢會定期在背景中執行。 查詢可在 [威脅追蹤器] 頁面上的 [已儲存的查詢] 索引標籤上使用,且 [追蹤查詢] 屬性值為 [是]。 查詢的定期結果會顯示在 [威脅追蹤器] 頁面上的 [追蹤查詢] 索引標籤上。

    當您在 [儲存 查詢 ] 飛出視窗中完成時 ,請選取 [儲存],然後在確認對話框中選取 [ 確定 ]。

Defender 入口網站中 [在威脅總管中儲存查詢] 飛出視窗的螢幕快照。

在 Defender https://security.microsoft.com/threattrackerv2入口網站之 [威脅追蹤器] 頁面上的 [已儲存的查詢] 或 [追蹤查詢] 索引標籤上,您可以在 [動作] 資料行中選取 [探索],以在 [威脅總管] 中開啟並使用查詢。

當您從 [威脅追蹤器] 頁面選取 [探索] 來開啟查詢時,[檔案總管] 頁面上的 [儲存查詢] 頁面上現在可以使用 [將查詢另存為] 和 [已儲存的查詢設定]:

  • 如果您選取 [ 另存查詢為],[儲存 查詢 ] 飛出視窗隨即開啟,其中包含所有先前選取的設定。 如果您進行變更,請選取 [儲存],然後在 [成功] 對話框中選取 [確定],更新的查詢會儲存為 [威脅追蹤器] 頁面上的新查詢 (您可能需要選取 [重新整理] 才能) 。

  • 如果您選取 [已儲存 的查詢設定],[儲存 的查詢設定 ] 飛出視窗隨即開啟,您可以在其中更新現有查詢的日期和 追蹤查詢 設定。

[在威脅總管中儲存查詢] 的螢幕快照,其中提供 [另存查詢為] 和 [已儲存的查詢] 設定。

其他相關資訊