Automatiske brugermeddelelser om brugerrapporteret phishing-resultater i AIR

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Når en bruger rapporterer en meddelelse som phishing i Microsoft 365-organisationer med Microsoft Defender for Office 365 Plan 2, oprettes der automatisk en undersøgelse i automatiseret undersøgelse og svar (AIR). Administratorer kan konfigurere de brugerrapporterede meddelelsesindstillinger til at sende en mailmeddelelse til den bruger, der har rapporteret meddelelsen baseret på dommen fra AIR. Denne meddelelse kaldes også automatisk feedbacksvar. Du kan få flere oplysninger under Brugerrapporterede indstillinger.

I denne artikel forklares det, hvordan du aktiverer og tilpasser automatisk feedbacksvar for bestemte AIR-domme, hvordan meddelelserne sendes, og hvordan meddelelserne ser ud.

Hvad har du brug for at vide, før du begynder?

• Du åbner portalen Microsoft Defender på https://security.microsoft.com. Hvis du vil gå direkte til siden Brugerrapporterede indstillinger , skal du bruge https://security.microsoft.com/securitysettings/userSubmission.

• Du skal have tildelt tilladelser, før du kan udføre procedurerne i denne artikel. Du har følgende muligheder:

  • Mail & samarbejdstilladelser på Microsoft Defender portalen: Medlemskab i rollegrupperne Organisationsadministration eller Sikkerhedsadministrator.
  • Microsoft Entra tilladelser: Medlemskab af rollerne Global administrator eller Sikkerhedsadministrator giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365.

Brug Microsoft Defender-portalen til at konfigurere automatisk feedbacksvar

1. I portalen Microsoft Defender på https://security.microsoft.comskal du gå til Indstillinger>Mail & fanenIndstillinger for samarbejde >Brugerrapporterede indstillinger. Hvis du vil gå direkte til siden Brugerrapporterede indstillinger, skal du bruge https://security.microsoft.com/securitysettings/userSubmission.

2. Kontrollér, at Overvåg rapporterede meddelelser i Outlook er valgt på siden Brugerrapporterede indstillinger.

3. I afsnittet Mailbeskeder>Med mailresultater skal du vælge Send automatisk resultaterne af undersøgelsen via mail til brugerne, og vælg derefter en eller flere af følgende indstillinger, der vises:

   • Phishing eller malware: En mailmeddelelse sendes til den bruger, der har rapporteret meddelelsen som phishing, når AIR identificerer truslen som phishing, phishing med høj tillid eller malware.
   • Spam: Der sendes en mail til den bruger, der har rapporteret meddelelsen som phishing, når AIR identificerer truslen som spam.
   • Der blev ikke fundet nogen trusler: Der sendes en mail til den bruger, der har rapporteret meddelelsen som phishing, når AIR ikke identificerer nogen trussel.

   

4. Meddelelsesmailen bruger den samme skabelon, som når en administrator vælger Markér som og giver besked på siden Indsendelser på https://security.microsoft.com/reportsubmission.

   Du kan tilpasse mailmeddelelsen ved at vælge maillinket Tilpas resultater .

   I pop op-vinduet Tilpas mailbeskeder til administratorgennemsyn , der åbnes, skal du konfigurere følgende indstillinger under Phishing (som svarer til indstillingen Phishing eller automatisk feedbacksvar på malware ), fanerne Uønsket og Ingen trusler fundet :

   • Resultattekst i mailbrødtekst: Angiv den brugerdefinerede tekst, der skal bruges. Du kan bruge anden tekst til phishing, uønsket ogingen trusler fundet.
   • Tekst i mailfod: Angiv den brugerdefinerede tekst til meddelelsesfoden, der skal bruges. Den samme tekst bruges til phishing, uønsket og ingen trusler fundet.

   

   Når du er færdig i pop op-vinduet Tilpas mailmeddelelser om administratorgennemsyn , skal du vælge Bekræft for at vende tilbage til siden Brugerrapporterede indstillinger .

Sådan fungerer automatiseret feedbacksvar

Når du har aktiveret automatiseret feedbacksvar, modtager den bruger, der har rapporteret meddelelsen som phishing, en mailmeddelelse baseret på AIR-dommen og de valgte brugere af undersøgelsesindstillingerne automatisk via mail :

Tip

Følgende skærmbilleder viser eksempler på mailmeddelelser, der sendes til brugerne. Som forklaret tidligere kan du tilpasse meddelelsesmailen ved hjælp af indstillingerne i Tilpas resultatmail i de brugerrapporterede indstillinger.

• Der blev ikke fundet nogen trusler: Hvis en bruger rapporterer en meddelelse som phishing, udløser indsendelsen AIR på den rapporterede meddelelse. Hvis undersøgelsen ikke finder nogen trusler, modtager den bruger, der har rapporteret meddelelsen, en meddelelsesmail, der ser sådan ud:

  

• Spam: Hvis en bruger rapporterer en meddelelse som phishing, udløser indsendelsen AIR på den rapporterede meddelelse. Hvis undersøgelsen finder, at meddelelsen er spam, modtager den bruger, der har rapporteret meddelelsen, en meddelelsesmail, der ser sådan ud:

  

• Phishing eller malware: Hvis en bruger rapporterer en meddelelse som phishing, udløser indsendelsen AIR på den rapporterede meddelelse. Det næste, der sker, afhænger af resultaterne af undersøgelsen:

  • Phishing eller malware med høj sikkerhed: Meddelelsen skal afhjælpes ved hjælp af en af følgende handlinger:

    • Godkend den anbefalede handling (vises som afventende handlinger i undersøgelsen eller i Løsningscenter).
    • Afhjælpning via andre midler (f.eks . Threat Explorer).

    Når meddelelsen er blevet afhjælpet, lukkes undersøgelsen som Afhjælpet eller Delvist afhjælpet. Det er kun, når undersøgelsesstatussen er en af disse værdier, at mailmeddelelsen sendes til den bruger, der har rapporteret meddelelsen.

    Tip

    I forbindelse med phishing med høj sikkerhed eller malware kan undersøgelsen omgående blive afsluttet som afhjælpet , hvis meddelelsen ikke blev fundet i postkassen (meddelelsen blev slettet). Der er ingen ventende undersøgelse at lukke, så der sendes ingen mailmeddelelse til den bruger, der har rapporteret meddelelsen.

  • Phishing: Undersøgelsen opretter ingen ventende handlinger, men brugeren modtager stadig en meddelelse om, at meddelelsen blev fundet som phishing. Mailmeddelelsen ser sådan ud:

    

Når AIR når frem til en dom, og mailmeddelelsen sendes til den bruger, der har rapporteret meddelelsen som phishing, vises følgende egenskabsværdier for posten under fanen Brugerrapporteret på siden Indsendelser på Defender-portalen:

• Markeret som: Indeholder dommen.
• Markeret af: Værdien er Automation.

Uanset om meddelelsen automatisk eller manuelt blev sendt til Microsoft til gennemsyn, eller meddelelsen blev undersøgt af AIR, vises dommen i egenskaben Markeret som . Du kan få flere oplysninger om fanen Brugerrapporteret på siden Indsendelserunder Administration indstillinger for brugerrapporterede meddelelser.

Få mere at vide

Du kan få mere at vide om indsendelser og undersøgelser i Defender for Microsoft 365 i følgende artikler:

• Automatiseret undersøgelse og svar i Microsoft Defender for Office 365
• Få vist resultaterne af en automatiseret undersøgelse i Microsoft 365
• Administratorgennemgang af rapporterede meddelelser
• Sådan fungerer automatiseret undersøgelse og svar i Microsoft Defender for Office 365