Om Trusselsoversigt og registreringer i realtid i Microsoft Defender for Office 365

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Microsoft 365-organisationer, der har Microsoft Defender for Office 365 inkluderet i deres abonnement eller købt som et tilføjelsesprogram, har Explorer (også kendt som Threat Explorer) eller registreringer i realtid. Disse funktioner er effektive rapporteringsværktøjer i næsten realtid, der hjælper SecOps-teams (Security Operations) med at undersøge og reagere på trusler.

Afhængigt af dit abonnement er Trusselsoversigt eller Registreringer i realtid tilgængelig i afsnittet Mail & samarbejde i Microsoft Defender-portalen påhttps://security.microsoft.com:

Threat Explorer indeholder de samme oplysninger og funktioner som registreringer i realtid, men med følgende yderligere funktioner:

  • Flere visninger.
  • Flere indstillinger for egenskabsfiltrering, herunder muligheden for at gemme forespørgsler.
  • Flere handlinger.

Du kan få flere oplysninger om forskellene mellem Defender for Office 365 Plan 1 og Plan 2 i snydearket Defender for Office 365 Plan 1 vs. Plan 2.

I resten af denne artikel forklares de visninger og funktioner, der er tilgængelige i Threat Explorer og registreringer i realtid.

Tip

I følgende artikler kan du se mailscenarier, der bruger Threat Explorer og registreringer i realtid:

Tilladelser og licenser til Threat Explorer og registreringer i realtid

Hvis du vil bruge Stifinder- eller realtidsregistreringer, skal du have tildelt tilladelser. Du har følgende muligheder:

  • Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC) (påvirker kun Defender-portalen, ikke PowerShell):
    • Læseadgang for mail- og Teams-meddelelsesheadere: Sikkerhedshandlinger/Rådata (mail & samarbejde)/Mail & metadata for samarbejde (læs).
    • Vis og download mails: Sikkerhedshandlinger/rådata (mail & samarbejde)/Mail & samarbejdsindhold (læse).
    • Afhjælp ondsindet mail: Sikkerhedshandlinger/Sikkerhedsdata/Mail & avancerede handlinger til samarbejde (administrer).
  • Mail & samarbejdstilladelser på Microsoft Defender-portalen:
    • Fuld adgang: Medlemskab af rollegrupperne Organisationsadministration eller Sikkerhedsadministrator . Der kræves flere tilladelser for at udføre alle tilgængelige handlinger:
      • Meddelelser om forhåndsvisning og download: Kræver rollen Prøveversion , som som standard kun er tildelt til rollegrupperne Data investigator eller eDiscovery Manager . Du kan også oprette en ny rollegruppe med rollen Eksempel tildelt og føje brugerne til den brugerdefinerede rollegruppe.
      • Flyt meddelelser ind og slet meddelelser fra postkasser: Kræver rollen Søg og Fjern, som som standard kun er tildelt rollegrupperne Dataforsker eller Organisationsadministration. Du kan også oprette en ny rollegruppe med rollen Søg og Fjern tildelt og føje brugerne til den brugerdefinerede rollegruppe.
    • Skrivebeskyttet adgang: Medlemskab af rollegruppen Sikkerhedslæser .
  • Microsoft Entra tilladelser: Medlemskab af disse roller giver brugerne de nødvendige tilladelser og tilladelser til andre funktioner i Microsoft 365:
    • Fuld adgang: Medlemskab af rollerne Global administrator eller Sikkerhedsadministrator .
    • Søg for exchange-regler for mailflow (transportregler) efter navn i Threat Explorer: Medlemskab af rollerne Sikkerhedsadministrator eller Sikkerhedslæser.
    • Skrivebeskyttet adgang: Medlemskab af rollerne Global læser eller Sikkerhedslæser .

Tip

Overvågningslogposter genereres, når administratorer får vist eller downloader mails. Du kan søge i administratorens overvågningslog efter administratorMailAccess-aktivitet . Du kan finde instruktioner under Overvåg nye Søg.

Hvis du vil bruge Trusselsoversigt eller Registreringer i realtid, skal du have tildelt en licens til Defender for Office 365 (inkluderet i dit abonnement eller en licens til et tilføjelsesprogram).

Trusselsoversigt eller registreringer i realtid indeholder data for brugere med Defender for Office 365 licenser, der er tildelt dem.

Elementer af Trusselsoversigt og registreringer i realtid

Trusselsoversigt og registreringer i realtid indeholder følgende elementer:

  • Visninger: Faner øverst på siden, der organiserer registreringer efter trussel. Visningen påvirker resten af dataene og indstillingerne på siden.

    I følgende tabel vises de tilgængelige visninger i Threat Explorer og registreringer i realtid:

    Vis Trussel
    Explorer    		 Real-time
    Opdagelser    		 Beskrivelse
    Alle mails Standardvisning for Threat Explorer. Oplysninger om alle mails, der sendes af eksterne brugere til din organisation, eller mail, der er sendt mellem interne brugere i organisationen.
    Malware Standardvisning for registreringer i realtid. Oplysninger om mails, der indeholder malware.
    Phish Oplysninger om mails, der indeholder phishingtrusler.
    Kampagner Oplysninger om skadelig mail, som Defender for Office 365 Plan 2 identificerede som en del af en koordineret phishing- eller malwarekampagne.
    Indholdsmalware Oplysninger om skadelige filer, der er registreret af følgende funktioner:
    Klik på URL-adresser Oplysninger om bruger klik på URL-adresser i mails, Teams-meddelelser, SharePoint-filer og OneDrive-filer.

    Disse visninger er beskrevet detaljeret i denne artikel, herunder forskellene mellem Trusselsoversigt og registreringer i realtid.

  • Filtre for dato/klokkeslæt: Som standard filtreres visningen efter i går og i dag. Hvis du vil ændre datofilteret, skal du vælge datointervallet og derefter vælge Værdier for Startdato og Slutdato for op til 30 dage siden.

    Skærmbillede af det datofilter, der bruges i Threat Explorer og registreringer i realtid på Defender-portalen.

  • Egenskabsfiltre (forespørgsler): Filtrer resultaterne i visningen efter de tilgængelige egenskaber for meddelelse, fil eller trussel. De tilgængelige egenskaber, der kan filtreres, afhænger af visningen. Nogle egenskaber er tilgængelige i mange visninger, mens andre egenskaber er begrænset til en bestemt visning.

    De tilgængelige egenskabsfiltre for hver visning er angivet i denne artikel, herunder forskellene mellem trusselsoversigt og registreringer i realtid.

    Du kan finde oplysninger om, hvordan du opretter egenskabsfiltre, under Egenskabsfiltre i Threat Explorer og registreringer i realtid

    Threat Explorer giver dig mulighed for at gemme forespørgsler til senere brug som beskrevet i afsnittet Gemte forespørgsler i Threat Explorer .

  • Diagrammer: Hver visning indeholder en visualisering, en samlet repræsentation af de filtrerede eller ufiltrerede data. Du kan bruge tilgængelige pivots til at organisere diagrammet på forskellige måder.

    Du kan ofte bruge Eksportér diagramdata til at eksportere filtrerede eller ufiltrerede diagramdata til en CSV-fil.

    Diagrammerne og de tilgængelige pivots er beskrevet detaljeret i denne artikel, herunder forskellene mellem Trusselsoversigt og registreringer i realtid.

    Tip

    Hvis du vil fjerne diagrammet fra siden (hvilket maksimerer størrelsen af detaljeområdet), skal du bruge en af følgende metoder:

    • Vælg Listevisning> af diagramøverst på siden.
    • Vælg Vis listevisning mellem diagrammet og detaljeområdet.

  • Detaljeområde: Detaljeområdet for en visning viser typisk en tabel, der indeholder de filtrerede eller ufiltrerede data. Du kan bruge de tilgængelige visninger (faner) til at organisere dataene i detaljeområdet på forskellige måder. En visning kan f.eks. indeholde diagrammer, kort eller forskellige tabeller.

    Hvis detaljeområdet indeholder en tabel, kan du ofte bruge Eksportér til selektivt at eksportere op til 200.000 filtrerede eller ufiltrerede resultater til en CSV-fil.

    Tip

    I pop op-vinduet Eksportér kan du vælge nogle eller alle de tilgængelige egenskaber, der skal eksporteres. Valgene gemmes pr. bruger. Valg i Incognito- eller InPrivate-browsertilstand gemmes, indtil du lukker webbrowseren.

Skærmbillede af hovedsiden i Threat Explorer, der viser rapportdata i realtid på Defender for Office 365-portalen.

Alle mailvisning i Threat Explorer

Visningen Alle mails i Threat Explorer viser oplysninger om alle mails, der er sendt af eksterne brugere til din organisation, og mail, der sendes mellem interne brugere i din organisation. Visningen viser skadelige og ikke-skadelige mails. Det kan f.eks. være:

  • Mailidentificeret phishing eller malware.
  • Mail, der er identificeret som spam eller masse.
  • Mail, der er identificeret uden trusler.

Denne visning er standard i Threat Explorer. Hvis du vil åbne visningen Alle mails på siden Stifinder på Defender-portalen på https://security.microsoft.com, skal du gå til Mail & samarbejdsoversigt>> fanenAlle mails. Du kan også gå direkte til siden Stifinder ved hjælp af https://security.microsoft.com/threatexplorerv3og derefter kontrollere, at fanen Alle mails er valgt.

Skærmbillede af visningen Alle mails i Threat Explorer, der viser diagrammet, tilgængelige pivots for diagrammet og visninger for detaljetabellen.

Egenskaber, der kan filtreres, i mailvisningen Alle i Threat Explorer

Der anvendes som standard ingen egenskabsfiltre på dataene. Trinnene til oprettelse af filtre (forespørgsler) er beskrevet i afsnittet Filtre i Threat Explorer og registreringer i realtid senere i denne artikel.

De egenskaber, der kan filtreres, og som er tilgængelige i feltet Leveringshandling i mailvisningen Alle , er beskrevet i følgende tabel:

Ejendom Type
Basic
Afsenderadresse Tekst. Adskil flere værdier med kommaer.
Modtagere Tekst. Adskil flere værdier med kommaer.
Afsenderdomæne Tekst. Adskil flere værdier med kommaer.
Modtagerdomæne Tekst. Adskil flere værdier med kommaer.
Emne Tekst. Adskil flere værdier med kommaer.
Afsenders viste navn Tekst. Adskil flere værdier med kommaer.
Afsenderpost fra adresse Tekst. Adskil flere værdier med kommaer.
Afsenderpost fra domæne Tekst. Adskil flere værdier med kommaer.
Retursti Tekst. Adskil flere værdier med kommaer.
Returner stidomæne Tekst. Adskil flere værdier med kommaer.
Malwarefamilie Tekst. Adskil flere værdier med kommaer.
Mærker Tekst. Adskil flere værdier med kommaer.

Du kan få flere oplysninger om brugerkoder under Brugerkoder.
Repræsenteret domæne Tekst. Adskil flere værdier med kommaer.
Repræsenteret bruger Tekst. Adskil flere værdier med kommaer.
Exchange-transportregel Tekst. Adskil flere værdier med kommaer.
Regel for forebyggelse af datatab Tekst. Adskil flere værdier med kommaer.
Forbindelse Vælg en eller flere værdier:
  • Evaluering
  • Prioritet til kontobeskyttelse
Stik Tekst. Adskil flere værdier med kommaer.
Leveringshandling Vælg en eller flere værdier:
  • Blokeret: Mailmeddelelser, der er sat i karantæne, som ikke blev leveret, eller som blev droppet.
  • Leveret: Mail leveres til brugerens indbakke eller en anden mappe, hvor brugeren kan få adgang til meddelelsen.
  • Leveret til uønsket mail: Mail leveret til brugerens mappe med uønsket mail eller Mappen Slettet post, hvor brugeren kan få adgang til meddelelsen.
  • Erstattet: Vedhæftede filer i meddelelser, der blev erstattet af Dynamisk levering i politikker for sikre vedhæftede filer.
Yderligere handling Vælg en eller flere værdier:
Retningsbestemthed Vælg en eller flere værdier:
  • Indgående
  • Intra-irg
  • Udgående
Registreringsteknologi Vælg en eller flere værdier:
  • Avanceret filter: Signaler baseret på maskinel indlæring.
  • Beskyttelse modmalware
  • Bulk
  • Kampagne
  • Domæneomdømme
  • Fildeonation: Sikre vedhæftede filer registrerede en skadelig vedhæftet fil under detonationsanalyse.
  • Omdømme for fildeonation: Vedhæftede filer, der tidligere er registreret af detonationer for sikre vedhæftede filer i andre Microsoft 365-organisationer.
  • Filomdømme: Meddelelsen indeholder en fil, der tidligere blev identificeret som skadelig i andre Microsoft 365-organisationer.
  • Matchning af fingeraftryk: Meddelelsen ligner en tidligere registreret skadelig meddelelse.
  • Generelt filter
  • Repræsentationsmærke: Sender repræsentation af velkendte mærker.
  • Repræsentationsdomæne: Repræsentation af afsenderdomæner, som du ejer eller har angivet til beskyttelse i politikker til bekæmpelse af phishing
  • Repræsentationsbruger
  • IP-omdømme
  • Repræsentation af postkasseintelligens: Repræsentationsregistreringer fra postkasseintelligens i politikker til bekæmpelse af phishing.
  • Registrering af blandet analyse: Flere filtre bidrog til meddelelsens dom.
  • spoof DMARC: Meddelelsen mislykkedes DMARC-godkendelse.
  • Spoof eksternt domæne: Afsendermailadresse spoofing ved hjælp af et domæne, der er eksternt for din organisation.
  • Spoof intra-org: Afsendermailadresse spoofing ved hjælp af et domæne, der er internt i din organisation.
  • Omdømme for URL-detonation: URL-adresser, der tidligere er registreret af Safe Links-detonationer i andre Microsoft 365-organisationer.
  • Skadelig URL-adresse: Meddelelsen indeholder en URL-adresse, der tidligere blev identificeret som skadelig i andre Microsoft 365-organisationer.
Oprindelig leveringsplacering Vælg en eller flere værdier:
  • Mappen Slettet post
  • Faldt
  • Mislykkedes
  • Indbakke/mappe
  • Mappen Uønsket mail
  • I det lokale miljø/eksternt
  • Karantæne
  • Unknown
Seneste leveringsplacering¹ De samme værdier som den oprindelige leveringsplacering
Phish konfidensniveau Vælg en eller flere værdier:
  • Høj
  • Normal
Primær tilsidesættelse Vælg en eller flere værdier:
  • Tilladt efter organisationspolitik
  • Tilladt af brugerpolitik
  • Blokeret af organisationspolitik
  • Blokeret af brugerpolitik
  • Ingen
Primær tilsidesættelseskilde Meddelelser kan have flere tilsidesættelser af tilladelser eller blokeringer, som er identificeret i Kilden Tilsidesæt. Den tilsidesættelse, der i sidste ende tillod eller blokerede meddelelsen, identificeres i den primære tilsidesættelseskilde.
Vælg en eller flere værdier:
  • Tredjepartsfilter
  • Administration påbegyndte tidsrejser
  • Antimalwarepolitikblokering efter filtype
  • Indstillinger for antispampolitik
  • Forbindelsespolitik
  • Exchange-transportregel
  • Udelt tilstand (brugertilsidesættelse)
  • Filtreringen blev sprunget over pga. organisationen i det lokale miljø
  • IP-områdefilter fra politik
  • Sprogfilter fra politik
  • Phishingsimulering
  • Karantænefrigivelse
  • SecOps-postkasse
  • Afsenderadresseliste (tilsidesættelse af Administration)
  • Afsenderadresseliste (tilsidesættelse af bruger)
  • Afsenderdomæneliste (tilsidesættelse Administration)
  • Afsenderdomæneliste (tilsidesættelse af bruger)
  • Bloker listefilblokering for lejer
  • Mailadresseblok for tilladelse/blokering af lejerliste
  • Lejerens tillad/bloker liste-spoof-blok
  • URL-adresseblok for lejer-/blokeringsliste
  • Liste over kontakter, der er tillid til (tilsidesættelse af bruger)
  • Domæne, der er tillid til (tilsidesættelse af bruger)
  • Modtager, der er tillid til (brugertilsidesættelse)
  • Kun afsendere, der er tillid til (tilsidesættelse af bruger)
Tilsidesæt kilde De samme værdier som den primære tilsidesættelseskilde
Politiktype Vælg en eller flere værdier:
  • Politik for antimalware
  • Politik til bekæmpelse af phishing
  • Exchange-transportregel (regel for mailflow), politik for filter for hostet indhold (politik til bekæmpelse af spam), Politik for udgående spam-filter (politik for udgående spam), politik for vedhæftede filer, der er tillid til
  • Unknown
Politikhandling Vælg en eller flere værdier:
  • Tilføj x-header
  • Bcc-meddelelse
  • Slet meddelelse
  • Rediger emne
  • Flyt til mappen Uønsket mail
  • Der er ikke foretaget nogen handling
  • Omdirigeringsmeddelelse
  • Send til karantæne
Trusselstype Vælg en eller flere værdier:
  • Malware
  • Phish
  • Spam
Videresendt meddelelse Vælg en eller flere værdier:
  • Sandt
  • Falsk
Distributionsliste Tekst. Adskil flere værdier med kommaer.
Mailstørrelse Heltal. Adskil flere værdier med kommaer.
Avanceret
Id for internetmeddelelse Tekst. Adskil flere værdier med kommaer.

Tilgængelig i headerfeltet Meddelelses-id i brevhovedet. Et eksempel på en værdi er <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (bemærk vinkelparenteserne).
Netværksmeddelelses-id Tekst. Adskil flere værdier med kommaer.

En GUID-værdi, der er tilgængelig i headerfeltet X-MS-Exchange-Organization-Network-Message-Id i brevhovedet.
Afsenders IP Tekst. Adskil flere værdier med kommaer.
Vedhæftet fil SHA256 Tekst. Adskil flere værdier med kommaer.
Klynge-id Tekst. Adskil flere værdier med kommaer.
Besked-id Tekst. Adskil flere værdier med kommaer.
Beskedpolitik-id Tekst. Adskil flere værdier med kommaer.
Kampagne-id Tekst. Adskil flere værdier med kommaer.
ZAP URL-signal Tekst. Adskil flere værdier med kommaer.
Webadresser
Antal URL-adresser Heltal. Adskil flere værdier med kommaer.
URL-domæne² Tekst. Adskil flere værdier med kommaer.
URL-domæne og sti² Tekst. Adskil flere værdier med kommaer.
URL-adresse² Tekst. Adskil flere værdier med kommaer.
URL-sti² Tekst. Adskil flere værdier med kommaer.
URL-kilde Vælg en eller flere værdier:
  • Vedhæftede filer
  • Vedhæftet fil i skyen
  • Brødtekst i mail
  • Mailheader
  • QR-kode
  • Emne
  • Unknown
Klik på dom Vælg en eller flere værdier:
  • Tilladt: Brugeren fik tilladelse til at åbne URL-adressen.
  • Blok tilsidesat: Brugeren blev blokeret fra at åbne URL-adressen direkte, men brugeren tilsidesætter blokken for at åbne URL-adressen.
  • Blokeret: Brugeren blev blokeret fra at åbne URL-adressen.
  • Fejl: Brugeren blev præsenteret for fejlsiden, eller der opstod en fejl under hentning af dommen.
  • Fejl: Der opstod en ukendt undtagelse under hentning af dommen. Brugeren har muligvis åbnet URL-adressen.
  • Ingen: Dommen for URL-adressen kunne ikke registreres. Brugeren har muligvis åbnet URL-adressen.
  • Afventer dom: Brugeren blev præsenteret for den ventende side med detonation.
  • Afventende dom blev tilsidesat: Brugeren blev præsenteret for detonationssiden, men de tilsidesætter meddelelsen for at åbne URL-adressen.
URL-trussel Vælg en eller flere værdier:
  • Malware
  • Phish
  • Spam
Filer
Antal vedhæftede filer Heltal. Adskil flere værdier med kommaer.
Navn på vedhæftet fil Tekst. Adskil flere værdier med kommaer.
Filtype Tekst. Adskil flere værdier med kommaer.
Filtypenavn Tekst. Adskil flere værdier med kommaer.
Filstørrelse Heltal. Adskil flere værdier med kommaer.
Godkendelse
SPF Vælg en eller flere værdier:
  • Ikke
  • Neutral
  • Ingen
  • Passere
  • Permanent fejl
  • Blød fejl
  • Midlertidig fejl
DKIM Vælg en eller flere værdier:
  • Error
  • Ikke
  • Ignorere
  • Ingen
  • Passere
  • Test
  • Timeout
  • Unknown
DMARC Vælg en eller flere værdier:
  • Bestået bedste gæt
  • Ikke
  • Ingen
  • Passere
  • Permanent fejl
  • Selektorpas
  • Midlertidig fejl
  • Unknown
Sammensat Vælg en eller flere værdier:
  • Ikke
  • Ingen
  • Passere
  • Blød gennemløb

Tip

¹ Den seneste leveringsplacering indeholder ikke slutbrugerhandlinger på meddelelser. Hvis brugeren f.eks. har slettet meddelelsen eller flyttet meddelelsen til et arkiv eller en PST-fil.

Der er scenarier, hvor Den oprindelige leveringsplacering/Seneste leveringsplacering og/eller Leveringshandling har værdien Ukendt. Det kan f.eks. være:

  • Meddelelsen blev leveret (handlingen Levering er Leveret), men en indbakkeregel flyttede meddelelsen til en anden standardmappe end mappen Indbakke eller Uønsket mail (f.eks. mappen Kladde eller Arkivér).
  • ZAP forsøgte at flytte meddelelsen efter levering, men meddelelsen blev ikke fundet (f.eks. har brugeren flyttet eller slettet meddelelsen).

² Som standard knyttes en URL-søgning til http, medmindre der udtrykkeligt er angivet en anden værdi. Det kan f.eks. være:

  • Hvis du søger med og uden præfikset http:// i URL-adresse, URL-domæne og URL-domæne og -sti , skal der vises de samme resultater.
  • Søg for præfikset https:// i URL-adressen. Når der ikke er angivet en værdi, antages præfikset http:// .
  • / i starten og slutningen af URL-stien ignoreres FELTERNE URL-domæne, URL-domæne og sti .
  • / i slutningen af FELTET URL-adresse ignoreres.

Pivoter diagrammet i visningen Alle mail i Threat Explorer

Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

De tilgængelige diagrampivots er beskrevet i følgende underafsnit.

Pivot for leveringshandlingsdiagram i visningen Alle mail i Threat Explorer

Selvom denne pivot ikke ser ud som standard, er handlingen Levering standarddiagrampivot i mailvisningen Alle .

Pivothandlingen Levering organiserer diagrammet efter de handlinger, der udføres på meddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i visningen Alle mail i Threat Explorer ved hjælp af pivoten Leveringshandling.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver leveringshandling.

Pivot for afsenderens domænediagram i visningen Alle mail i Threat Explorer

Pivotpunktet Afsenderdomæne organiserer diagrammet efter domænerne i meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Skærmbillede af diagrammet i visningen Alle mail i Threat Explorer ved hjælp af pivotken Afsenderdomæne.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert afsenderdomæne.

Afsenderens IP-diagrampivot i visningen Alle mails i Threat Explorer

Pivot'en Afsenders IP organiserer diagrammet efter kilde-IP-adresserne for meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Skærmbillede af diagrammet i visningen Alle mails i Threat Explorer ved hjælp af pivoten Afsenders IP.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver afsenders IP-adresse.

Pivotér teknologidiagram til registrering i mailvisningen Alle i Threat Explorer

Pivotken Registreringsteknologi organiserer diagrammet efter den funktion, der identificerede meddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i mailvisningen Alle i Threat Explorer ved hjælp af teknologipivotten Registrering.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver registreringsteknologi.

Pivot for komplet URL-diagram i visningen Alle mail i Threat Explorer

Pivotlen Fuld URL-adresse organiserer diagrammet efter de fulde URL-adresser i meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Skærmbillede af diagrammet i visningen Alle mails i Threat Explorer ved hjælp af pivot for hele URL-adressen.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver fulde URL-adresse.

Pivot for URL-domænediagram i visningen Alle mail i Threat Explorer

Pivoten URL-domæne organiserer diagrammet efter domænerne i URL-adresser i meddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i visningen Alle mail i Threat Explorer ved hjælp af URL-domænepivotten.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne.

Pivot for URL-domæne og stidiagram i visningen Alle mails i Threat Explorer

Url-domænet og stipivottet organiserer diagrammet efter domæner og stier i URL-adresser i meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Skærmbillede af diagrammet i visningen Alle mail i Threat Explorer ved hjælp af URL-domænet og stipivoten.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne og hver sti.

Visninger for detaljeområdet i visningen Alle mail i Threat Explorer

De tilgængelige visninger (faner) i detaljeområdet i mailvisningen Alle er beskrevet i følgende underafsnit.

Mailvisning for detaljeområdet i visningen Alle mails i Threat Explorer

Mail er standardvisningen for detaljeområdet i visningen Alle mails .

Visningen Mail viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (*):

  • Dato*
  • Emne*
  • Modtager*
  • Modtagerdomæne
  • Tags*
  • Afsenderadresse*
  • Afsenders viste navn
  • Afsenderdomæne*
  • Afsenders IP
  • Afsenderpost fra adresse
  • Afsenderpost fra domæne
  • Yderligere handlinger*
  • Leveringshandling
  • Seneste leveringsplacering*
  • Oprindelig leveringsplacering*
  • Systemet tilsidesætter kilden
  • Systemtilsidesættelser
  • Besked-id
  • Id for internetmeddelelse
  • Netværksmeddelelses-id
  • Mailsprog
  • Exchange-transportregel
  • Stik
  • Forbindelse
  • Regel for forebyggelse af datatab
  • Trusselstype*
  • Registreringsteknologi
  • Antal vedhæftede filer
  • Antal URL-adresser
  • Mailstørrelse

Tip

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

  • Rul vandret i webbrowseren.
  • Begræns bredden af de relevante kolonner.
  • Fjern kolonner fra visningen.
  • Zoom ud i webbrowseren.

Brugerdefinerede kolonneindstillinger gemmes pr. bruger. Brugerdefinerede kolonneindstillinger i Incognito- eller InPrivate-browsertilstand gemmes, indtil du lukker webbrowseren.

Når du vælger en eller flere poster på listen ved at markere afkrydsningsfeltet ud for den første kolonne, er handlingen Udfør tilgængelig. Du kan finde flere oplysninger under Trusselsjagt: E-mailafhjælpning.

Skærmbillede af mailvisningen (fanen) i detaljetabellen med en meddelelse valgt og Aktivér handling.

I emneværdien for posten er handlingen Åbn i nyt vindue tilgængelig. Denne handling åbner meddelelsen på siden Mailobjekt.

Når du klikker på værdierne Emne eller Modtager i en post, åbnes der detaljerede pop op-vinduet. Disse pop op-vindue er beskrevet i følgende underafsnit.

Mailoplysninger fra visningen Mail i detaljeområdet i visningen Alle mails

Når du vælger emneværdien for en post i tabellen, åbnes der et pop op-vindue med mailoplysninger. Dette pop op-vindue med detaljer er kendt som panelet Mailoversigt og indeholder standardiserede oversigtsoplysninger, der også er tilgængelige på enhedssiden Mail for meddelelsen.

Du kan finde oplysninger om oplysningerne i panelet Mailoversigt under Panelet Mailoversigt i Defender.

Følgende handlinger er tilgængelige øverst i panelet Mailoversigt for Trusselsoversigt og registreringer i realtid:

  • Åbn mailobjekt
  • Vis sidehoved
  • Tag handling: Du kan finde flere oplysninger under Trusselsjagt: Afhjælpning via mail.
  • Flere indstillinger:
    • Eksempelvisning af mail¹ ²
    • Download email¹ ² ³
    • Vis i Stifinder
    • Gå på jagt

¹ Handlingerne Eksempel på mail og Download mail kræver rollen Eksempel i Mail & samarbejdstilladelser. Denne rolle tildeles som standard til rollegrupperne Data investigator og eDiscovery Manager . Medlemmer af rollegrupperne Organisationsadministration eller Sikkerhedsadministratorer kan som standard ikke udføre disse handlinger. Hvis du vil tillade disse handlinger for medlemmerne af disse grupper, har du følgende indstillinger:

  • Føj brugerne til rollegrupperne Data investigator eller eDiscovery Manager .
  • Create en ny rollegruppe med rollen Søg og Fjern tildelt, og føj brugerne til den brugerdefinerede rollegruppe.

² Du kan få vist eller downloade mails, der er tilgængelige i Microsoft 365-postkasser. Eksempler på, hvornår meddelelser ikke længere er tilgængelige i postkasser, omfatter:

  • Meddelelsen blev droppet, før leveringen mislykkedes.
  • Meddelelsen blev slettet som blød (slettet fra mappen Slettet post, hvilket flytter meddelelsen til mappen Gendan elementer\Sletninger).
  • ZAP flyttede meddelelsen til karantæne.

³ Downloadmail er ikke tilgængelig for meddelelser, der er sat i karantæne. Download i stedet en adgangskodebeskyttet kopi af meddelelsen fra karantæne.

Gå på jagt er kun tilgængelig i Threat Explorer. Den er ikke tilgængelig i realtidsregistreringer.

Modtageroplysninger fra mailvisningen i detaljeområdet i visningen Alle mails

Når du vælger en post ved at klikke på værdien Modtager , åbnes der et pop op-vindue med følgende oplysninger:

Tip

Hvis du vil se oplysninger om andre modtagere uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

  • Oversigtssektion :

    • Rolle: Om modtageren har fået tildelt administratorroller.
    • Politikker:
      • Angiver, om brugeren har tilladelse til at se arkivoplysninger.
      • Angiver, om brugeren har tilladelse til at se opbevaringsoplysninger.
      • Angiver, om brugeren er dækket af forebyggelse af datatab (DLP).
      • Angiver, om brugeren er dækket af Administration af mobilhttps://portal.office.com/EAdmin/Device/IntuneInventory.aspx.

  • Mailsektion : En tabel, der viser følgende relaterede oplysninger for meddelelser, der er sendt til modtageren:

    • Dato
    • Emne
    • Modtager

    Vælg Vis alle mails for at åbne Threat Explorer på en ny fane, der er filtreret af modtageren.

  • Sektionen Seneste beskeder: En tabel, der viser følgende relaterede oplysninger for relaterede seneste beskeder:

    • Sværhedsgraden
    • Beskedpolitik
    • Kategori
    • Aktiviteter

    Hvis der er mere end tre seneste beskeder, skal du vælge Få vist alle de seneste beskeder for at se dem alle.

    • Afsnittet Seneste aktivitet: Viser de opsummerede resultater af en søgning i overvågningsloggen for modtageren:

      • Dato
      • IP-adresse
      • Aktivitet
      • Element

      Hvis modtageren har mere end tre overvågningslogposter, skal du vælge Vis alle seneste aktiviteter for at se dem alle.

    Tip

    Medlemmer af rollegruppen Sikkerhedsadministratorer i Mail & samarbejdstilladelser kan ikke udvide sektionen Seneste aktivitet . Du skal være medlem af en rollegruppe i Exchange Online tilladelser, der har tildelt rollerne Overvågningslogge, Information Protection analytiker eller Information Protection Efterforsker. Disse roller tildeles som standard til rollegrupperne Datastyring, Overholdelsesstyring, Information Protection, Information Protection Analytikere, Information Protection Efterforskere og Organisationsadministration. Du kan føje medlemmer af sikkerhedsadministratorer til disse rollegrupper, eller du kan oprette en ny rollegruppe med rollen Overvågningslogge tildelt.

Skærmbillede af pop op-vinduet med modtageroplysninger, når du har valgt en værdi for Modtager under fanen Mail i detaljeområdet i visningen Alle mails.

Url-klikvisning for detaljeområdet i visningen Alle mails i Threat Explorer

Visningen MED URL-klik viser et diagram, der kan organiseres ved hjælp af pivots. Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

Diagrampivotsene er beskrevet i følgende underafsnit.

Skærmbillede af detaljeområdet i visningen Alle mails i Threat Explorer, hvor fanen URL-klik er valgt og viser de tilgængelige pivots uden valgt pivot.

Tip

I Threat Explorer har hver pivot i visning af URL-klik handlingen Vis alle klik , der åbner VISNINGEN URL-klik på en ny fane.

Url-domænepivot for VISNINGEN URL-klik for detaljeområdet i visningen Alle mail i Threat Explorer

Selvom dette diagrampivot ikke ser ud til at være markeret, er URL-domænet standarddiagrampivot i VISNINGEN URL-klik .

I URL-domænepivottet vises de forskellige domæner i URL-adresser i mails for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af detaljeområdet i visningen Alle mails i Threat Explorer med fanen URL-klik og pivotet URL-domæne valgt.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne.

Pivot for klik på dom for visning af URL-klik for detaljeområdet i visningen Alle mails i Threat Explorer

Pivotken Klik på dom viser de forskellige domme for url-adresser, der er klikket på, i mails for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Skærmbillede af detaljeområdet i visningen Alle mails i Threat Explorer med fanen URL-klik og pivotlen Klik på dom valgt.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver click-dom.

URL-pivot for visning af URL-klik for detaljeområdet i visningen Alle mails i Threat Explorer

I PIVOT'en for URL-adressen vises de forskellige URL-adresser, der blev klikket på i mails, for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Skærmbillede af detaljeområdet i visningen Alle mails i Threat Explorer med fanen URL-klik og pivotlen FOR URL-adressen valgt.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver URL-adresse.

URL-domæne og stipivot for visning af URL-klik for detaljeområdet i visningen Alle mail i Threat Explorer

Url-domænet og stipivottet viser de forskellige domæner og filstier for URL-adresser, der blev klikket på i mails for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af detaljeområdet i visningen Alle mails i Threat Explorer med fanen URL-klik og url-domænet og stipivoten valgt.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne og hver filsti.

Øverste visning af URL-adresser for detaljeområdet i visningen Alle mails i Threat Explorer

Visningen Øverste URL-adresser viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift:

  • URL
  • Blokerede meddelelser
  • Meddelelser, der er uønsket
  • Meddelelser er leveret
Oplysninger om de vigtigste URL-adresser til mailvisningen Alle

Når du markerer en post ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for den første kolonne, åbnes der et detaljeret pop op-vindue med følgende oplysninger:

Tip

Hvis du vil se detaljer om andre URL-adresser uden at forlade detaljevinduet, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

  • Følgende handlinger er tilgængelige øverst i pop op-vinduet:

    • Åbn SIDEN URL-adresse

    • Send til analyse:

      • Rapport ren
      • Rapport phishing
      • Rapportér malware

    • Administrer indikator:

      • Tilføj indikator
      • Administrer på lejerblokeringslisten

      Hvis du vælger en af disse indstillinger, kommer du til siden Indsendelser på Defender-portalen.

    • Flere:

      • Vis i Stifinder
      • Gå på jagt
  • Oprindelig URL-adresse
  • Registreringssektion :
    • Dom over trusselsintelligens
    • x aktive beskeder y-hændelser: Et vandret søjlediagram, der viser antallet af vigtige, mellem- og lave beskeder samt oplysningsbeskeder , der er relateret til dette link.
    • Et link til Få vist alle hændelser & beskeder på URL-siden.
  • Afsnittet Domæneoplysninger :
    • Domænenavn og et link til siden Vis domæne.
    • Registrant
    • Registreret den
    • Opdateret den
    • Udløber den
  • Afsnittet Med oplysninger om registrantkontakt:
    • Registrator
    • Land/område
    • Postadresse
    • E-mail
    • Telefon
    • Flere oplysninger: Et link til Åbn på Whois.
  • Prævalens af URL-adresser (seneste 30 dage): Indeholder antallet af enheder, mail og klik. Vælg hver værdi for at få vist den komplette liste.
  • Enheder: Viser de berørte enheder:

    • Dato (første/sidste)

    • Enheder

      Hvis der er tale om mere end to enheder, skal du vælge Få vist alle enheder for at se dem alle.

Skærmbillede af pop op-vinduet med detaljer, efter at du har valgt en post under fanen Top URL-adresser i visningen Alle mail i Threat Explorer.

Visning med de mest populære klik for detaljeområdet i visningen Alle mails i Threat Explorer

Visningen Top clicks viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift:

  • URL
  • Blokeret
  • Tilladt
  • Blok tilsidesat
  • Afventer dom
  • Afventer dom omgået
  • Ingen
  • Fejlside
  • Fiasko

Tip

Alle tilgængelige kolonner er markeret. Hvis du vælger Tilpas kolonner, kan du ikke fravælge nogen kolonner.

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

  • Rul vandret i webbrowseren.
  • Begræns bredden af de relevante kolonner.
  • Zoom ud i webbrowseren.

Når du markerer en post ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet i Oplysninger om de øverste URL-adresser for visningen Alle mail.

Visning af de mest målrettede brugere for detaljeområdet i visningen Alle mails i Threat Explorer

Visningen De mest målrettede brugere organiserer dataene i en tabel med de øverste fem modtagere, der var målrettet efter de fleste trusler. Tabellen indeholder følgende oplysninger:

  • Mest målrettede brugere: Modtagerens mailadresse. Hvis du vælger en modtageradresse, åbnes der et pop op-vindue med detaljer. Oplysningerne i pop op-vinduet er de samme som beskrevet i Modtageroplysninger fra visningen Mail i detaljeområdet i visningen Alle mails.

  • Antallet af forsøg: Hvis du vælger antallet af forsøg, åbnes Threat Explorer på en ny fane, der er filtreret af modtageren.

Tip

Brug Eksportér til at eksportere listen over op til 3000 brugere og de tilsvarende forsøg.

Visning med oprindelse for mail for detaljeområdet i visningen Alle mails i Threat Explorer

Visningen Mail oprindelse viser meddelelseskilder på et kort over verden.

Skærmbillede af verdenskortet i visningen Mail oprindelse i detaljeområdet i visningen Alle mail i Threat Explorer.

Kampagnevisning for detaljeområdet i visningen Alle mails i Threat Explorer

Visningen Kampagne viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift.

Oplysningerne i tabellen er de samme som beskrevet i detaljetabellen på siden Kampagner.

Når du vælger en post ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for Navn, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet under Kampagneoplysninger.

Visning af malware i Threat Explorer og registreringer i realtid

Visningen Malware i Threat Explorer og registreringer i realtid viser oplysninger om mails, der blev fundet at indeholde malware. Denne visning er standard i realtidsregistreringer.

Benyt en af følgende fremgangsmåder for at åbne visningen Malware :

Skærmbillede af visningen Malware i Threat Explorer, der viser diagrammet, tilgængelige pivots for diagrammet og visninger for detaljetabellen.

Egenskaber, der kan filtreres, i visningen Malware i Threat Explorer og registreringer i realtid

Der anvendes som standard ingen egenskabsfiltre på dataene. Trinnene til oprettelse af filtre (forespørgsler) er beskrevet i afsnittet Filtre i Threat Explorer og registreringer i realtid senere i denne artikel.

De egenskaber, der kan filtreres, og som er tilgængelige i feltet Afsenderadresse i visningen Malware , er beskrevet i følgende tabel:

Ejendom Type Trussel
Explorer		 Real-time
Opdagelser
Basic
Afsenderadresse Tekst. Adskil flere værdier med kommaer.
Modtagere Tekst. Adskil flere værdier med kommaer.
Afsenderdomæne Tekst. Adskil flere værdier med kommaer.
Modtagerdomæne Tekst. Adskil flere værdier med kommaer.
Emne Tekst. Adskil flere værdier med kommaer.
Afsenders viste navn Tekst. Adskil flere værdier med kommaer.
Afsenderpost fra adresse Tekst. Adskil flere værdier med kommaer.
Afsenderpost fra domæne Tekst. Adskil flere værdier med kommaer.
Retursti Tekst. Adskil flere værdier med kommaer.
Returner stidomæne Tekst. Adskil flere værdier med kommaer.
Malwarefamilie Tekst. Adskil flere værdier med kommaer.
Mærker Tekst. Adskil flere værdier med kommaer.

Du kan få flere oplysninger om brugerkoder under Brugerkoder.
Exchange-transportregel Tekst. Adskil flere værdier med kommaer.
Regel for forebyggelse af datatab Tekst. Adskil flere værdier med kommaer.
Forbindelse Vælg en eller flere værdier:
  • Evaluering
  • Prioritet til kontobeskyttelse
Stik Tekst. Adskil flere værdier med kommaer.
Leveringshandling Vælg en eller flere værdier:
Yderligere handling Vælg en eller flere værdier:
Retningsbestemthed Vælg en eller flere værdier:
  • Indgående
  • Intra-irg
  • Udgående
Registreringsteknologi Vælg en eller flere værdier:
  • Avanceret filter: Signaler baseret på maskinel indlæring.
  • Beskyttelse modmalware
  • Bulk
  • Kampagne
  • Domæneomdømme
  • Fildeonation: Sikre vedhæftede filer registrerede en skadelig vedhæftet fil under detonationsanalyse.
  • Omdømme for fildeonation: Vedhæftede filer, der tidligere er registreret af detonationer for sikre vedhæftede filer i andre Microsoft 365-organisationer.
  • Filomdømme: Meddelelsen indeholder en fil, der tidligere blev identificeret som skadelig i andre Microsoft 365-organisationer.
  • Matchning af fingeraftryk: Meddelelsen ligner en tidligere registreret skadelig meddelelse.
  • Generelt filter
  • Repræsentationsmærke: Sender repræsentation af velkendte mærker.
  • Repræsentationsdomæne: Repræsentation af afsenderdomæner, som du ejer eller har angivet til beskyttelse i politikker til bekæmpelse af phishing
  • Repræsentationsbruger
  • IP-omdømme
  • Repræsentation af postkasseintelligens: Repræsentationsregistreringer fra postkasseintelligens i politikker til bekæmpelse af phishing.
  • Registrering af blandet analyse: Flere filtre bidrog til meddelelsens dom.
  • spoof DMARC: Meddelelsen mislykkedes DMARC-godkendelse.
  • Spoof eksternt domæne: Afsendermailadresse spoofing ved hjælp af et domæne, der er eksternt for din organisation.
  • Spoof intra-org: Afsendermailadresse spoofing ved hjælp af et domæne, der er internt i din organisation.
  • URL-detonation: Safe Links registrerede en skadelig URL-adresse i meddelelsen under detonationsanalyse.
  • Omdømme for URL-detonation: URL-adresser, der tidligere er registreret af Safe Links-detonationer i andre Microsoft 365-organisationer.
  • Skadelig URL-adresse: Meddelelsen indeholder en URL-adresse, der tidligere blev identificeret som skadelig i andre Microsoft 365-organisationer.
Oprindelig leveringsplacering Vælg en eller flere værdier:
  • Mappen Slettet post
  • Faldt
  • Mislykkedes
  • Indbakke/mappe
  • Mappen Uønsket mail
  • I det lokale miljø/eksternt
  • Karantæne
  • Unknown
Seneste leveringsplacering De samme værdier som den oprindelige leveringsplacering
Primær tilsidesættelse Vælg en eller flere værdier:
  • Tilladt efter organisationspolitik
  • Tilladt af brugerpolitik
  • Blokeret af organisationspolitik
  • Blokeret af brugerpolitik
  • Ingen
Primær tilsidesættelseskilde Meddelelser kan have flere tilsidesættelser af tilladelser eller blokeringer, som er identificeret i Kilden Tilsidesæt. Den tilsidesættelse, der i sidste ende tillod eller blokerede meddelelsen, identificeres i den primære tilsidesættelseskilde.
Vælg en eller flere værdier:
  • Tredjepartsfilter
  • Administration påbegyndte tidsrejser
  • Antimalwarepolitikblokering efter filtype
  • Indstillinger for antispampolitik
  • Forbindelsespolitik
  • Exchange-transportregel
  • Udelt tilstand (brugertilsidesættelse)
  • Filtreringen blev sprunget over pga. organisationen i det lokale miljø
  • IP-områdefilter fra politik
  • Sprogfilter fra politik
  • Phishingsimulering
  • Karantænefrigivelse
  • SecOps-postkasse
  • Afsenderadresseliste (tilsidesættelse af Administration)
  • Afsenderadresseliste (tilsidesættelse af bruger)
  • Afsenderdomæneliste (tilsidesættelse Administration)
  • Afsenderdomæneliste (tilsidesættelse af bruger)
  • Bloker listefilblokering for lejer
  • Mailadresseblok for tilladelse/blokering af lejerliste
  • Lejerens tillad/bloker liste-spoof-blok
  • URL-adresseblok for lejer-/blokeringsliste
  • Liste over kontakter, der er tillid til (tilsidesættelse af bruger)
  • Domæne, der er tillid til (tilsidesættelse af bruger)
  • Modtager, der er tillid til (brugertilsidesættelse)
  • Kun afsendere, der er tillid til (tilsidesættelse af bruger)
Tilsidesæt kilde De samme værdier som den primære tilsidesættelseskilde
Politiktype Vælg en eller flere værdier:
  • Politik for antimalware
  • Politik til bekæmpelse af phishing
  • Exchange-transportregel (regel for mailflow), politik for filter for hostet indhold (politik til bekæmpelse af spam), Politik for udgående spam-filter (politik for udgående spam), politik for vedhæftede filer, der er tillid til
  • Unknown
Politikhandling Vælg en eller flere værdier:
  • Tilføj x-header
  • Bcc-meddelelse
  • Slet meddelelse
  • Rediger emne
  • Flyt til mappen Uønsket mail
  • Der er ikke foretaget nogen handling
  • Omdirigeringsmeddelelse
  • Send til karantæne
Mailstørrelse Heltal. Adskil flere værdier med kommaer.
Avanceret
Id for internetmeddelelse Tekst. Adskil flere værdier med kommaer.

Tilgængelig i headerfeltet Meddelelses-id i brevhovedet. Et eksempel på en værdi er <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (bemærk vinkelparenteserne).
Netværksmeddelelses-id Tekst. Adskil flere værdier med kommaer.

En GUID-værdi, der er tilgængelig i headerfeltet X-MS-Exchange-Organization-Network-Message-Id i brevhovedet.
Afsenders IP Tekst. Adskil flere værdier med kommaer.
Vedhæftet fil SHA256 Tekst. Adskil flere værdier med kommaer.
Klynge-id Tekst. Adskil flere værdier med kommaer.
Besked-id Tekst. Adskil flere værdier med kommaer.
Beskedpolitik-id Tekst. Adskil flere værdier med kommaer.
Kampagne-id Tekst. Adskil flere værdier med kommaer.
ZAP URL-signal Tekst. Adskil flere værdier med kommaer.
Webadresser
Antal URL-adresser Heltal. Adskil flere værdier med kommaer.
URL-domæne Tekst. Adskil flere værdier med kommaer.
URL-domæne og -sti Tekst. Adskil flere værdier med kommaer.
URL Tekst. Adskil flere værdier med kommaer.
URL-sti Tekst. Adskil flere værdier med kommaer.
URL-kilde Vælg en eller flere værdier:
  • Vedhæftede filer
  • Vedhæftet fil i skyen
  • Brødtekst i mail
  • Mailheader
  • QR-kode
  • Emne
  • Unknown
Klik på dom Vælg en eller flere værdier:
  • Tilladt
  • Blok tilsidesat
  • Blokeret
  • Error
  • Fiasko
  • Ingen
  • Afventer dom
  • Afventer dom omgået
URL-trussel Vælg en eller flere værdier:
  • Malware
  • Phish
  • Spam
Filer
Antal vedhæftede filer Heltal. Adskil flere værdier med kommaer.
Navn på vedhæftet fil Tekst. Adskil flere værdier med kommaer.
Filtype Tekst. Adskil flere værdier med kommaer.
Filtypenavn Tekst. Adskil flere værdier med kommaer.
Filstørrelse Heltal. Adskil flere værdier med kommaer.
Godkendelse
SPF Vælg en eller flere værdier:
  • Ikke
  • Neutral
  • Ingen
  • Passere
  • Permanent fejl
  • Blød fejl
  • Midlertidig fejl
DKIM Vælg en eller flere værdier:
  • Error
  • Ikke
  • Ignorere
  • Ingen
  • Passere
  • Test
  • Timeout
  • Unknown
DMARC Vælg en eller flere værdier:
  • Bestået bedste gæt
  • Ikke
  • Ingen
  • Passere
  • Permanent fejl
  • Selektorpas
  • Midlertidig fejl
  • Unknown
Sammensat Vælg en eller flere værdier:
  • Ikke
  • Ingen
  • Passere
  • Blød gennemløb

Pivoter diagrammet i visningen Malware i Threat Explorer og registreringer i realtid

Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

De diagrampivots, der er tilgængelige i visningen Malware i Threat Explorer og registreringer i realtid, er angivet i følgende tabel:

Pivot Trussel
Explorer		 Real-time
Opdagelser
Malwarefamilie
Afsenderdomæne
Afsenders IP
Leveringshandling
Registreringsteknologi

De tilgængelige diagrampivots er beskrevet i følgende underafsnit.

Pivotdiagrammet malwarefamiliediagram i visningen Malware i Threat Explorer

Selvom denne pivot ikke ser ud som standard, er Malware-serien standarddiagrampivot i visningen Malware i Threat Explorer.

Pivoten Malwarefamilie organiserer diagrammet efter den malwarefamilie, der registreres i meddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i visningen Malware i Threat Explorer ved hjælp af pivot for malwarefamilien.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver malwarefamilie.

Pivotering af domænediagram for afsender i visningen Malware i Threat Explorer

Pivoten Afsenderdomæne organiserer diagrammet efter afsenderens domæne for meddelelser, der blev fundet at indeholde malware for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i visningen Malware i Threat Explorer ved hjælp af pivot for domænet Afsender.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert afsenderdomæne.

Afsenderens IP-diagrampivot i visningen Malware i Threat Explorer

Pivoten Afsender-IP organiserer diagrammet efter kildens IP-adresse for meddelelser, der blev fundet at indeholde malware for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i visningen Malware i Threat Explorer ved hjælp af pivoten Afsenders IP.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver kilde-IP-adresse.

Diagrampivot om leveringshandling i visningen Malware i Threat Explorer og registreringer i realtid

Selvom denne pivot ikke ser ud som standard, er leveringshandlingen standarddiagrampivottet i visningen Malware i realtidsregistreringer.

Pivoten Leveringshandling organiserer diagrammet efter, hvad der skete med meddelelser, der blev fundet at indeholde malware for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i visningen Malware i Threat Explorer ved hjælp af pivoten Leveringshandling.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver leveringshandling.

Diagram over registreringsteknologi i visningen Malware i Threat Explorer og registreringer i realtid

Pivotken Registreringsteknologi organiserer diagrammet efter den funktion, der identificerede malware i meddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i visningen Malware i Threat Explorer ved hjælp af teknologipivotten Registrering.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver registreringsteknologi.

Visninger for detaljeområdet i visningen Malware i Threat Explorer og registreringer i realtid

De tilgængelige visninger (faner) i detaljeområdet i visningen Malware er angivet i følgende tabel og er beskrevet i følgende underafsnit.

Vis Trussel
Explorer		 Real-time
Opdagelser
E-mail
Mest populære malwarefamilier
Mest målrettede brugere
Oprindelse af mail
Kampagne

Mailvisning for detaljeområdet i visningen Malware i Threat Explorer og registreringer i realtid

Mail er standardvisningen for detaljeområdet i visningen Malware i Threat Explorer og registreringer i realtid.

Visningen Mail viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises.

I følgende tabel vises de kolonner, der er tilgængelige i Threat Explorer og registreringer i realtid. Standardværdierne er markeret med en stjerne (*).

Kolonne Trussel
Explorer		 Real-time
Opdagelser
Dato*
Emne*
Modtager*
Modtagerdomæne
Tags*
Afsenderadresse*
Afsenders viste navn
Afsenderdomæne*
Afsenders IP
Afsenderpost fra adresse
Afsenderpost fra domæne
Yderligere handlinger*
Leveringshandling
Seneste leveringsplacering*
Oprindelig leveringsplacering*
Systemet tilsidesætter kilden
Systemtilsidesættelser
Besked-id
Id for internetmeddelelse
Netværksmeddelelses-id
Mailsprog
Exchange-transportregel
Stik
Forbindelse
Regel for forebyggelse af datatab
Trusselstype*
Registreringsteknologi
Antal vedhæftede filer
Antal URL-adresser
Mailstørrelse

Tip

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

  • Rul vandret i webbrowseren.
  • Begræns bredden af de relevante kolonner.
  • Fjern kolonner fra visningen.
  • Zoom ud i webbrowseren.

Brugerdefinerede kolonneindstillinger gemmes pr. bruger. Brugerdefinerede kolonneindstillinger i Incognito- eller InPrivate-browsertilstand gemmes, indtil du lukker webbrowseren.

Når du vælger en eller flere poster på listen ved at markere afkrydsningsfeltet ud for den første kolonne, er handlingen Udfør tilgængelig. Du kan finde flere oplysninger under Trusselsjagt: E-mailafhjælpning.

Skærmbillede af mailvisningen (fanen) i detaljetabellen med en meddelelse valgt og Aktivér handling.

Når du klikker på værdierne Emne eller Modtager i en post, åbnes der detaljerede pop op-vinduet. Disse pop op-vindue er beskrevet i følgende underafsnit.

Mailoplysninger fra visningen Mail i detaljeområdet i visningen Malware

Når du vælger emneværdien for en post i tabellen, åbnes der et pop op-vindue med mailoplysninger. Dette pop op-vindue med detaljer er kendt som panelet Mailoversigt og indeholder standardiserede oversigtsoplysninger, der også er tilgængelige på enhedssiden Mail for meddelelsen.

Du kan finde oplysninger om oplysningerne i panelet Mailoversigt under Paneler med mailoversigt.

De tilgængelige handlinger øverst i panelet Mailoversigt for Trusselsstifinder og registreringer i realtid er beskrevet i mailoplysningerne fra visningen Mail i detaljeområdet i visningen Alle mails.

Modtageroplysninger fra mailvisningen i detaljeområdet i visningen Malware

Når du vælger en post ved at klikke på værdien Modtager , åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet i Modtageroplysninger fra visningen Mail i detaljeområdet i visningen Alle mails.

Mest populære visning af malwarefamilier for detaljeområdet i visningen Malware i Threat Explorer

Visningen Top malwarefamilier for detaljeområdet organiserer dataene i en tabel over de mest populære malwarefamilier. Tabellen viser:

  • Øverste kolonne for malwarefamilier : Navnet på malwarefamilien.

    Hvis du vælger et malwarefamilienavn, åbnes der et pop op-vindue med oplysninger, der indeholder følgende oplysninger:

    • Mailsektion : En tabel, der viser følgende relaterede oplysninger for meddelelser, der indeholder malwarefilen:

      • Dato
      • Emne
      • Modtager

      Vælg Vis alle mails for at åbne Threat Explorer på en ny fane, der er filtreret efter malwarefamilienavnet.

    • Afsnittet Tekniske detaljer

    Skærmbillede af pop op-vinduet med detaljer, efter du har valgt en malwarefamilie på fanen Top malwarefamilier i detaljeområdet i visningen Malware i Threat Explorer.

  • Antallet af forsøg: Hvis du vælger antallet af forsøg, åbnes Threat Explorer i en ny fane, der er filtreret af malwarefamilienavnet.

Visning af de mest målrettede brugere for detaljeområdet i visningen Malware i Threat Explorer

Visningen De mest målrettede brugere organiserer dataene i en tabel med de øverste fem modtagere, der blev målrettet af malware. Tabellen viser:

  • Mest målrettede brugere: Mailadressen på den mest målrettede bruger. Hvis du vælger en mailadresse, åbnes der et pop op-vindue med detaljer. Oplysningerne i pop op-vinduet er de samme som beskrevet i visningen Topmålbrugere for detaljeområdet i mailvisningen Alle i Threat Explorer.

  • Antallet af forsøg: Hvis du vælger antallet af forsøg, åbnes Threat Explorer i en ny fane, der er filtreret af malwarefamilienavnet.

Tip

Brug Eksportér til at eksportere listen over op til 3000 brugere og de tilsvarende forsøg.

Mailoprindelsesvisning for detaljeområdet i malwarevisningen i Threat Explorer

Visningen Mail oprindelse viser meddelelseskilder på et kort over verden.

Kampagnevisning for detaljeområdet i visningen Malware i Threat Explorer

Visningen Kampagne viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift.

Detaljetabellen er identisk med detaljetabellen på siden Kampagner.

Når du vælger en post ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for Navn, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet under Kampagneoplysninger.

Phish-visning i Threat Explorer og registreringer i realtid

Phish-visningen i Threat Explorer og registreringer i realtid viser oplysninger om mails, der blev identificeret som phishing.

Benyt en af følgende fremgangsmåder for at åbne Phish-visningen :

Skærmbillede af visningen Phish i Threat Explorer, der viser diagrammet, tilgængelige pivots for diagrammet og visninger for detaljetabellen.

Egenskaber, der kan filtreres, i Phish-visningen i Threat Explorer og registreringer i realtid

Der anvendes som standard ingen egenskabsfiltre på dataene. Trinnene til oprettelse af filtre (forespørgsler) er beskrevet i afsnittet Filtre i Threat Explorer og registreringer i realtid senere i denne artikel.

De egenskaber, der kan filtreres, og som er tilgængelige i feltet Afsenderadresse i visningen Malware , er beskrevet i følgende tabel:

Ejendom Type Trussel
Explorer		 Real-time
Opdagelser
Basic
Afsenderadresse Tekst. Adskil flere værdier med kommaer.
Modtagere Tekst. Adskil flere værdier med kommaer.
Afsenderdomæne Tekst. Adskil flere værdier med kommaer.
Modtagerdomæne Tekst. Adskil flere værdier med kommaer.
Emne Tekst. Adskil flere værdier med kommaer.
Afsenders viste navn Tekst. Adskil flere værdier med kommaer.
Afsenderpost fra adresse Tekst. Adskil flere værdier med kommaer.
Afsenderpost fra domæne Tekst. Adskil flere værdier med kommaer.
Retursti Tekst. Adskil flere værdier med kommaer.
Returner stidomæne Tekst. Adskil flere værdier med kommaer.
Mærker Tekst. Adskil flere værdier med kommaer.

Du kan få flere oplysninger om brugerkoder under Brugerkoder.
Repræsenteret domæne Tekst. Adskil flere værdier med kommaer.
Repræsenteret bruger Tekst. Adskil flere værdier med kommaer.
Exchange-transportregel Tekst. Adskil flere værdier med kommaer.
Regel for forebyggelse af datatab Tekst. Adskil flere værdier med kommaer.
Forbindelse Vælg en eller flere værdier:
  • Evaluering
  • Prioritet til kontobeskyttelse
Stik Tekst. Adskil flere værdier med kommaer.
Leveringshandling Vælg en eller flere værdier:
Yderligere handling Vælg en eller flere værdier:
  • Automatiseret afhjælpning
  • Dynamisk levering
  • Manuel afhjælpning
  • Ingen
  • Karantænefrigivelse
  • Genbehandlet
  • ZAP
Retningsbestemthed Vælg en eller flere værdier:
  • Indgående
  • Intra-irg
  • Udgående
Registreringsteknologi Vælg en eller flere værdier:
  • Avanceret filter
  • Beskyttelse modmalware
  • Bulk
  • Kampagne
  • Domæneomdømme
  • Fildeonation
  • Omdømme for fildeonation
  • Filomdømme
  • Matchende fingeraftryk
  • Generelt filter
  • Repræsentationsmærke
  • Repræsentationsdomæne
  • Repræsentationsbruger
  • IP-omdømme
  • Repræsentation af postkasseintelligens
  • Registrering af blandet analyse
  • spoof DMARC
  • Spoof eksternt domæne
  • Spoof intra-org
  • URL-detonation
  • URL-detonationsomdømme
  • Skadeligt omdømme for URL-adresse
Oprindelig leveringsplacering Vælg en eller flere værdier:
  • Mappen Slettet post
  • Faldt
  • Mislykkedes
  • Indbakke/mappe
  • Mappen Uønsket mail
  • I det lokale miljø/eksternt
  • Karantæne
  • Unknown
Seneste leveringsplacering De samme værdier som den oprindelige leveringsplacering
Phish konfidensniveau Vælg en eller flere værdier:
  • Høj
  • Normal
Primær tilsidesættelse Vælg en eller flere værdier:
  • Tilladt efter organisationspolitik
  • Tilladt af brugerpolitik
  • Blokeret af organisationspolitik
  • Blokeret af brugerpolitik
  • Ingen
Primær tilsidesættelseskilde Meddelelser kan have flere tilsidesættelser af tilladelser eller blokeringer, som er identificeret i Kilden Tilsidesæt. Den tilsidesættelse, der i sidste ende tillod eller blokerede meddelelsen, identificeres i den primære tilsidesættelseskilde.
Vælg en eller flere værdier:
  • Tredjepartsfilter
  • Administration påbegyndte tidsrejser
  • Antimalwarepolitikblokering efter filtype
  • Indstillinger for antispampolitik
  • Forbindelsespolitik
  • Exchange-transportregel
  • Udelt tilstand (brugertilsidesættelse)
  • Filtreringen blev sprunget over pga. organisationen i det lokale miljø
  • IP-områdefilter fra politik
  • Sprogfilter fra politik
  • Phishingsimulering
  • Karantænefrigivelse
  • SecOps-postkasse
  • Afsenderadresseliste (tilsidesættelse af Administration)
  • Afsenderadresseliste (tilsidesættelse af bruger)
  • Afsenderdomæneliste (tilsidesættelse Administration)
  • Afsenderdomæneliste (tilsidesættelse af bruger)
  • Bloker listefilblokering for lejer
  • Mailadresseblok for tilladelse/blokering af lejerliste
  • Lejerens tillad/bloker liste-spoof-blok
  • URL-adresseblok for lejer-/blokeringsliste
  • Liste over kontakter, der er tillid til (tilsidesættelse af bruger)
  • Domæne, der er tillid til (tilsidesættelse af bruger)
  • Modtager, der er tillid til (brugertilsidesættelse)
  • Kun afsendere, der er tillid til (tilsidesættelse af bruger)
Tilsidesæt kilde De samme værdier som den primære tilsidesættelseskilde
Politiktype Vælg en eller flere værdier:
  • Politik for antimalware
  • Politik til bekæmpelse af phishing
  • Exchange-transportregel (regel for mailflow), politik for filter for hostet indhold (politik til bekæmpelse af spam), Politik for udgående spam-filter (politik for udgående spam), politik for vedhæftede filer, der er tillid til
  • Unknown
Politikhandling Vælg en eller flere værdier:
  • Tilføj x-header
  • Bcc-meddelelse
  • Slet meddelelse
  • Rediger emne
  • Flyt til mappen Uønsket mail
  • Der er ikke foretaget nogen handling
  • Omdirigeringsmeddelelse
  • Send til karantæne
Mailstørrelse Heltal. Adskil flere værdier med kommaer.
Avanceret
Id for internetmeddelelse Tekst. Adskil flere værdier med kommaer.

Tilgængelig i headerfeltet Meddelelses-id i brevhovedet. Et eksempel på en værdi er <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (bemærk vinkelparenteserne).
Netværksmeddelelses-id Tekst. Adskil flere værdier med kommaer.

En GUID-værdi, der er tilgængelig i headerfeltet X-MS-Exchange-Organization-Network-Message-Id i brevhovedet.
Afsenders IP Tekst. Adskil flere værdier med kommaer.
Vedhæftet fil SHA256 Tekst. Adskil flere værdier med kommaer.
Klynge-id Tekst. Adskil flere værdier med kommaer.
Besked-id Tekst. Adskil flere værdier med kommaer.
Beskedpolitik-id Tekst. Adskil flere værdier med kommaer.
Kampagne-id Tekst. Adskil flere værdier med kommaer.
ZAP URL-signal Tekst. Adskil flere værdier med kommaer.
Webadresser
Antal URL-adresser Heltal. Adskil flere værdier med kommaer.
URL-domæne Tekst. Adskil flere værdier med kommaer.
URL-domæne og -sti Tekst. Adskil flere værdier med kommaer.
URL Tekst. Adskil flere værdier med kommaer.
URL-sti Tekst. Adskil flere værdier med kommaer.
URL-kilde Vælg en eller flere værdier:
  • Vedhæftede filer
  • Vedhæftet fil i skyen
  • Brødtekst i mail
  • Mailheader
  • QR-kode
  • Emne
  • Unknown
Klik på dom Vælg en eller flere værdier:
  • Tilladt
  • Blok tilsidesat
  • Blokeret
  • Error
  • Fiasko
  • Ingen
  • Afventer dom
  • Afventer dom omgået
URL-trussel Vælg en eller flere værdier:
  • Malware
  • Phish
  • Spam
Filer
Antal vedhæftede filer Heltal. Adskil flere værdier med kommaer.
Navn på vedhæftet fil Tekst. Adskil flere værdier med kommaer.
Filtype Tekst. Adskil flere værdier med kommaer.
Filtypenavn Tekst. Adskil flere værdier med kommaer.
Filstørrelse Heltal. Adskil flere værdier med kommaer.
Godkendelse
SPF Vælg en eller flere værdier:
  • Ikke
  • Neutral
  • Ingen
  • Passere
  • Permanent fejl
  • Blød fejl
  • Midlertidig fejl
DKIM Vælg en eller flere værdier:
  • Error
  • Ikke
  • Ignorere
  • Ingen
  • Passere
  • Test
  • Timeout
  • Unknown
DMARC Vælg en eller flere værdier:
  • Bestået bedste gæt
  • Ikke
  • Ingen
  • Passere
  • Permanent fejl
  • Selektorpas
  • Midlertidig fejl
  • Unknown
Sammensat Vælg en eller flere værdier:
  • Ikke
  • Ingen
  • Passere
  • Blød gennemløb

Pivoter for diagrammet i Phish-visningen i Threat Explorer og registreringer i realtid

Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

De diagrampivots, der er tilgængelige i Phish-visningen i Threat Explorer og registreringer i realtid, er angivet i følgende tabel:

Pivot Trussel
Explorer		 Real-time
Opdagelser
Afsenderdomæne
Afsenders IP
Leveringshandling
Registreringsteknologi
Fuldstændig URL-adresse
URL-domæne
URL-domæne og -sti

De tilgængelige diagrampivots er beskrevet i følgende underafsnit.

Pivotering af afsenderens domænediagram i Phish-visningen i Threat Explorer og registreringer i realtid

Selvom denne pivot ikke ser ud som standard, er domænet Afsender det diagrampivot, der er standard i Phish-visningen i realtidsregistreringer.

Pivotpunktet Afsenderdomæne organiserer diagrammet efter domænerne i meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Skærmbillede af diagrammet i visningen Phish i Threat Explorer ved hjælp af pivoten afsenderdomæne.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert afsenderdomæne.

Afsenderens IP-diagrampivot i Phish-visningen i Threat Explorer

Pivot'en Afsenders IP organiserer diagrammet efter kilde-IP-adresserne for meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Skærmbillede af diagrammet i visningen Phish i Threat Explorer ved hjælp af pivoten Afsenders IP.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver kilde-IP-adresse.

Diagrampivot om levering i Phish-visningen i Threat Explorer og registreringer i realtid

Selvom denne pivot ikke ser ud som standard, er Leveringshandling standarddiagrampivottet i Visningen Phish i Threat Explorer.

Pivothandlingen Levering organiserer diagrammet efter de handlinger, der udføres på meddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i Visningen Phish i Threat Explorer ved hjælp af pivoten Leveringshandling.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver leveringshandling.

Pivoter teknologidiagram til registrering i Phish-visningen i Threat Explorer og registreringer i realtid

Pivotken Registreringsteknologi organiserer diagrammet efter den funktion, der identificerede phishing-meddelelserne for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i Phish-visningen i Threat Explorer ved hjælp af teknologipivottet Registrering.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver registreringsteknologi.

Komplet URL-diagrampivot i Phish-visningen i Threat Explorer

Pivotlen Fuld URL-adresse organiserer diagrammet efter de fulde URL-adresser i phishing-meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Skærmbillede af diagrammet i Visningen Phish i Threat Explorer ved hjælp af pivoten Fuld URL-adresse.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver fulde URL-adresse.

Pivot for URL-domænediagram i Phish-visningen i Threat Explorer og registreringer i realtid

Pivoten URL-domæne organiserer diagrammet efter domæner i URL-adresser i phishingmeddelelser for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i Phish-visningen i Threat Explorer ved hjælp af URL-domænepivottet.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne.

Pivot for URL-domæne og stidiagram i Phish-visningen i Threat Explorer

Url-domænet og stipivottet organiserer diagrammet efter domæner og stier i URL-adresser i phishing-meddelelser for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Skærmbillede af diagrammet i Phish-visningen i Threat Explorer ved hjælp af URL-domænet og stipivottet.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne og hver sti.

Visninger for detaljeområdet i Phish-visningen i Threat Explorer

De tilgængelige visninger (faner) i detaljeområdet i Phish-visningen er angivet i følgende tabel og er beskrevet i følgende underafsnit.

Vis Trussel
Explorer		 Real-time
Opdagelser
E-mail
Klik på URL-adresser
Mest populære URL-adresser
Mest populære klik
Mest målrettede brugere
Oprindelse af mail
Kampagne

Mailvisning for detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid

Mail er standardvisningen for detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid.

Visningen Mail viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises.

I følgende tabel vises de kolonner, der er tilgængelige i Threat Explorer og registreringer i realtid. Standardværdierne er markeret med en stjerne (*).

Kolonne Trussel
Explorer		 Real-time
Opdagelser
Dato*
Emne*
Modtager*
Modtagerdomæne
Tags*
Afsenderadresse*
Afsenders viste navn
Afsenderdomæne*
Afsenders IP
Afsenderpost fra adresse
Afsenderpost fra domæne
Yderligere handlinger*
Leveringshandling
Seneste leveringsplacering*
Oprindelig leveringsplacering*
Systemet tilsidesætter kilden
Systemtilsidesættelser
Besked-id
Id for internetmeddelelse
Netværksmeddelelses-id
Mailsprog
Exchange-transportregel
Stik
Phish konfidensniveau
Forbindelse
Regel for forebyggelse af datatab
Trusselstype*
Registreringsteknologi
Antal vedhæftede filer
Antal URL-adresser
Mailstørrelse

Tip

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

  • Rul vandret i webbrowseren.
  • Begræns bredden af de relevante kolonner.
  • Fjern kolonner fra visningen.
  • Zoom ud i webbrowseren.

Brugerdefinerede kolonneindstillinger gemmes pr. bruger. Brugerdefinerede kolonneindstillinger i Incognito- eller InPrivate-browsertilstand gemmes, indtil du lukker webbrowseren.

Når du vælger en eller flere poster på listen ved at markere afkrydsningsfeltet ud for den første kolonne, er handlingen Udfør tilgængelig. Du kan finde flere oplysninger under Trusselsjagt: E-mailafhjælpning.

Skærmbillede af mailvisningen (fanen) i detaljetabellen med en meddelelse valgt og Aktivér handling.

Når du klikker på værdierne Emne eller Modtager i en post, åbnes der detaljerede pop op-vinduet. Disse pop op-vindue er beskrevet i følgende underafsnit.

Mailoplysninger fra mailvisningen i detaljeområdet i Phish-visningen

Når du vælger emneværdien for en post i tabellen, åbnes der et pop op-vindue med mailoplysninger. Dette pop op-vindue med detaljer er kendt som panelet Mailoversigt og indeholder standardiserede oversigtsoplysninger, der også er tilgængelige på enhedssiden Mail for meddelelsen.

Du kan finde oplysninger om oplysningerne i panelet Mailoversigt i panelet Mailoversigt i Defender for Office 365 funktioner.

De tilgængelige handlinger øverst i panelet Mailoversigt for Trusselsstifinder og registreringer i realtid er beskrevet i mailoplysningerne fra visningen Mail i detaljeområdet i visningen Alle mails.

Modtageroplysninger fra mailvisningen i detaljeområdet i Phish-visningen

Når du vælger en post ved at klikke på værdien Modtager , åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet i Modtageroplysninger fra visningen Mail i detaljeområdet i visningen Alle mails.

URL-klikvisning for detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid

Visningen MED URL-klik viser et diagram, der kan organiseres ved hjælp af pivots. Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

De diagrampivots, der er tilgængelige i visningen Malware i Threat Explorer og registreringer i realtid, er beskrevet i følgende tabel:

Pivot Trussel
Explorer		 Real-time
Opdagelser
URL-domæne
Klik på dom
URL
URL-domæne og -sti

De samme diagrampivots er tilgængelige og beskrevet for mailvisningen Alle i Threat Explorer:

Skærmbillede af detaljeområdet i Visningen Phish i Threat Explorer med fanen URL-klik markeret og viser de tilgængelige pivots uden valgt pivot.

Tip

I Threat Explorer har hver pivot i visning af URL-klik handlingen Vis alle klik , der åbner visningen URL-klik i Threat Explorer på en ny fane. Denne handling er ikke tilgængelig i realtidsregistreringer, fordi URL-klikvisningen ikke er tilgængelig i registreringer i realtid.

Øverste VISNING af URL-adresser for detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid

Visningen Øverste URL-adresser viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift:

  • URL
  • Blokerede meddelelser
  • Meddelelser, der er uønsket
  • Meddelelser er leveret
Oplysninger om de vigtigste URL-adresser til Phish-visningen

Når du markerer en post ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet i Oplysninger om de øverste URL-adresser for visningen Alle mail.

Tip

Handlingen Gå på jagt er kun tilgængelig i Threat Explorer. Den er ikke tilgængelig i realtidsregistreringer.

Visning med de mest populære klik for detaljeområdet i Phish-visningen i Threat Explorer og registreringer i realtid

Visningen Top clicks viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift:

  • URL
  • Blokeret
  • Tilladt
  • Blok tilsidesat
  • Afventer dom
  • Afventer dom omgået
  • Ingen
  • Fejlside
  • Fiasko

Tip

Alle tilgængelige kolonner er markeret. Hvis du vælger Tilpas kolonner, kan du ikke fravælge nogen kolonner.

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

  • Rul vandret i webbrowseren.
  • Begræns bredden af de relevante kolonner.
  • Zoom ud i webbrowseren.

Når du markerer en post ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet i Oplysninger om de øverste URL-adresser for visningen Alle mail.

Visning af de mest målrettede brugere for detaljeområdet i Phish-visningen i Threat Explorer

Visningen De mest målrettede brugere organiserer dataene i en tabel med de øverste fem modtagere, der blev målrettet efter phishingforsøg. Tabellen viser:

  • Mest målrettede brugere: Mailadressen på den mest målrettede bruger. Hvis du vælger en mailadresse, åbnes der et pop op-vindue med detaljer. Oplysningerne i pop op-vinduet er de samme som beskrevet i visningen Topmålbrugere for detaljeområdet i mailvisningen Alle i Threat Explorer.

  • Antallet af forsøg: Hvis du vælger antallet af forsøg, åbnes Threat Explorer i en ny fane, der er filtreret af malwarefamilienavnet.

Tip

Brug Eksportér til at eksportere listen over op til 3000 brugere og de tilsvarende forsøg.

Mail oprindelsesvisning for detaljeområdet i Phish-visningen i Threat Explorer

Visningen Mail oprindelse viser meddelelseskilder på et kort over verden.

Kampagnevisning for detaljeområdet i Phish-visningen i Threat Explorer

Visningen Kampagne viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift.

Oplysningerne i tabellen er de samme som beskrevet i detaljetabellen på siden Kampagner.

Når du vælger en post ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for Navn, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet under Kampagneoplysninger.

Visningen Kampagner i Threat Explorer

Visningen Kampagner i Threat Explorer viser oplysninger om trusler, der blev identificeret som koordinerede phishing- og malwareangreb, enten specifikke for din organisation eller for andre organisationer i Microsoft 365.

Hvis du vil åbne visningen Kampagner på siden Stifinder på Defender-portalen på https://security.microsoft.com, skal du gå til fanen Mail & samarbejde>MedExplorer-kampagner>. Du kan også gå direkte til siden Stifinder ved hjælp af https://security.microsoft.com/threatexplorerv3og derefter vælge fanen Kampagner.

Alle tilgængelige oplysninger og handlinger er identiske med oplysningerne og handlingerne på siden Kampagnerhttps://security.microsoft.com/campaignsv3. Du kan få flere oplysninger på siden Kampagner på portalen Microsoft Defender.

Skærmbillede af visningen Kampagner i Threat Explorer, der viser diagrammet, tilgængelige pivots for diagrammet og visninger for detaljetabellen.

Indholdsmalwarevisning i Threat Explorer og registreringer i realtid

Visningen Indholdsmalware i Threat Explorer og registreringer i realtid viser oplysninger om filer, der blev identificeret som malware af:

Benyt en af følgende fremgangsmåder for at åbne visningen Indholdsmalware :

Skærmbillede af visningen Cotent malware i Threat Explorer, der viser diagrammet, tilgængelige pivots for diagrammet og visninger for detaljetabellen.

Egenskaber, der kan filtreres, i visningen Indholdsmalware i Threat Explorer og registreringer i realtid

Der anvendes som standard ingen egenskabsfiltre på dataene. Trinnene til oprettelse af filtre (forespørgsler) er beskrevet i afsnittet Filtre i Threat Explorer og registreringer i realtid senere i denne artikel.

De egenskaber, der kan filtreres, og som er tilgængelige i feltet Filnavn i visningen Indholdsmalware i Threat Explorer og registreringer i realtid, er beskrevet i følgende tabel:

Ejendom Type Trussel
Explorer		 Real-time
Opdagelser
Filer
Filnavn Tekst. Adskil flere værdier med kommaer.
Arbejdsbyrde Vælg en eller flere værdier:
  • OneDrive
  • SharePoint
  • Teams
Websted Tekst. Adskil flere værdier med kommaer.
Filejer Tekst. Adskil flere værdier med kommaer.
Senest ændret af Tekst. Adskil flere værdier med kommaer.
SHA256 Heltal. Adskil flere værdier med kommaer.

Hvis du vil finde SHA256-hashværdien for en fil i Windows, skal du køre følgende kommando i en kommandoprompt: certutil.exe -hashfile "<Path>\<Filename>" SHA256.
Malwarefamilie Tekst. Adskil flere værdier med kommaer.
Registreringsteknologi Vælg en eller flere værdier:
  • Avanceret filter
  • Beskyttelse modmalware
  • Bulk
  • Kampagne
  • Domæneomdømme
  • Fildeonation
  • Omdømme for fildeonation
  • Filomdømme
  • Matchende fingeraftryk
  • Generelt filter
  • Repræsentationsmærke
  • Repræsentationsdomæne
  • Repræsentationsbruger
  • IP-omdømme
  • Repræsentation af postkasseintelligens
  • Registrering af blandet analyse
  • spoof DMARC
  • Spoof eksternt domæne
  • Spoof intra-org
  • URL-detonation
  • URL-detonationsomdømme
  • Skadeligt omdømme for URL-adresse
Trusselstype Vælg en eller flere værdier:
  • Bloker
  • Malware
  • Phish
  • Spam

Pivoter for diagrammet i visningen Indholdsmalware i Threat Explorer og registreringer i realtid

Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

De diagrampivots, der er tilgængelige i visningen Indholdsmalware i Threat Explorer og registreringer i realtid, er angivet i følgende tabel:

Pivot Trussel
Explorer		 Real-time
Opdagelser
Malwarefamilie
Registreringsteknologi
Arbejdsbyrde

De tilgængelige diagrampivots er beskrevet i følgende underafsnit.

Diagram over malwarefamiliediagram i visningen Indholdsmalware i Threat Explorer og registreringer i realtid

Selvom denne pivot ikke ser ud som standard, er malwarefamilie standarddiagrampivottet i visningen Indholdsmalware i Threat Explorer og registreringer i realtid.

Pivottabellen Malwarefamilie organiserer diagrammet efter den malware, der er identificeret i filer i SharePoint, OneDrive og Microsoft Teams, ved hjælp af det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Skærmbillede af diagrammet i visningen Indholdsmalware i Threat Explorer ved hjælp af pivot for malwarefamilien.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver malwarefamilie.

Registrering af teknologidiagram pivoteres i visningen indholdsmalware i Threat Explorer og registreringer i realtid

I teknologipivotten Registrering organiseres diagrammet efter den funktion, der identificerer malware i filer i SharePoint, OneDrive og Microsoft Teams for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i visningen Indholdsmalware i Threat Explorer ved hjælp af teknologipivotten Registrering.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver registreringsteknologi.

Pivotering af arbejdsbelastningsdiagram i visningen indholdsmalware i Threat Explorer og registreringer i realtid

Pivoten Arbejdsbelastning organiserer diagrammet efter, hvor malwaren blev identificeret (SharePoint, OneDrive eller Microsoft Teams) for det angivne dato-/klokkeslætsinterval og de angivne egenskabsfiltre.

Skærmbillede af diagrammet i visningen Malware i Threat Explorer ved hjælp af pivoten Arbejdsbelastning.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver arbejdsbelastning.

Visninger for detaljeområdet i visningen indholdsmalware i Threat Explorer og registreringer i realtid

I Threat Explorer og registreringer i realtid indeholder detaljeområdet i visningen indholdsmalware kun én visning (fane) med navnet Dokumenter. Denne visning er beskrevet i følgende undersektion.

Dokumentvisning for detaljeområdet i indholdsmalwarevisningen i Threat Explorer og registreringer i realtid

Dokumentet er standardvisning og kun visning for detaljeområdet i visningen Indholdsmalware .

Visningen Dokument viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardværdierne er markeret med en stjerne (*):

  • Dato*
  • Navn*
  • Arbejdsbyrde*
  • Trussel*
  • Registreringsteknologi*
  • Seneste ændring af bruger*
  • Filejer*
  • Størrelse (byte)*
  • Tidspunkt for seneste ændring
  • Sti til websted
  • Filsti
  • Dokument-id
  • SHA256
  • Registreret dato
  • Malwarefamilie
  • Forbindelse

Tip

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

  • Rul vandret i webbrowseren.
  • Begræns bredden af de relevante kolonner.
  • Fjern kolonner fra visningen.
  • Zoom ud i webbrowseren.

Brugerdefinerede kolonneindstillinger gemmes pr. bruger. Brugerdefinerede kolonneindstillinger i Incognito- eller InPrivate-browsertilstand gemmes, indtil du lukker webbrowseren.

Når du vælger en værdi for filnavnet i kolonnen Navn , åbnes der et detaljeret pop op-vindue. Pop op-vinduet indeholder følgende oplysninger:

  • Oversigtssektion :

    • Filnavn
    • Sti til websted
    • Filsti
    • Dokument-id
    • SHA256
    • Seneste ændringsdato
    • Senest ændret af
    • Trussel
    • Registreringsteknologi

  • Detaljesektion :

    • Registreret dato
    • Registreret af
    • Malwarenavn
    • Senest ændret af
    • Filstørrelse
    • Filejer

  • Maillistesektion : En tabel, der viser følgende relaterede oplysninger for meddelelser, der indeholder malwarefilen:

    • Dato
    • Emne
    • Modtager

    Vælg Vis alle mails for at åbne Threat Explorer på en ny fane, der er filtreret efter malwarefamilienavnet.

  • Seneste aktivitet: Viser de opsummerede resultater af en søgning i overvågningsloggen for modtageren:

    • Dato
    • IP-adresse
    • Aktivitet
    • Element

    Hvis modtageren har mere end tre overvågningslogposter, skal du vælge Vis alle seneste aktiviteter for at se dem alle.

    Tip

    Medlemmer af rollegruppen Sikkerhedsadministratorer i Mail & samarbejdstilladelser kan ikke udvide sektionen Seneste aktivitet . Du skal være medlem af en rollegruppe i Exchange Online tilladelser, der har tildelt rollerne Overvågningslogge, Information Protection analytiker eller Information Protection Efterforsker. Disse roller tildeles som standard til rollegrupperne Datastyring, Overholdelsesstyring, Information Protection, Information Protection Analytikere, Information Protection Efterforskere og Organisationsadministration. Du kan føje medlemmer af sikkerhedsadministratorer til disse rollegrupper, eller du kan oprette en ny rollegruppe med rollen Overvågningslogge tildelt.

Skærmbillede af pop op-vinduet med detaljer fra dokumentvisningen for detaljeområdet i visningen Indholdsmalware i Threat Explorer og registreringer i realtid.

Visning af URL-klik i Threat Explorer

Visningen MED URL-klik i Threat Explorer viser alle bruger klik på URL-adresser i mail, i understøttede Office-filer i SharePoint og OneDrive og i Microsoft Teams.

Hvis du vil åbne URL-adressens klikvisning på siden Stifinder i Defender-portalen på https://security.microsoft.com, skal du gå til Mail &klikpå URL-adresse tilsamarbejdsstifinder>>. Du kan også gå direkte til siden Stifinder ved hjælp af https://security.microsoft.com/threatexplorerv3og derefter vælge fanen URL-adresser klik.

Skærmbillede af visningen MED URL-klik i Threat Explorer, der viser diagrammet, tilgængelige pivots for diagrammet og visninger for detaljetabellen.

Egenskaber, der kan filtreres, i visningen med URL-klik i Threat Explorer

Der anvendes som standard ingen egenskabsfiltre på dataene. Trinnene til oprettelse af filtre (forespørgsler) er beskrevet i afsnittet Filtre i Threat Explorer og registreringer i realtid senere i denne artikel.

De egenskaber, der kan filtreres, og som er tilgængelige i feltet Modtagere i visningen URL-klik i Threat Explorer, er beskrevet i følgende tabel:

Ejendom Type
Basic
Modtagere Tekst. Adskil flere værdier med kommaer.
Mærker Tekst. Adskil flere værdier med kommaer.

Du kan få flere oplysninger om brugerkoder under Brugerkoder.
Netværksmeddelelses-id Tekst. Adskil flere værdier med kommaer.

En GUID-værdi, der er tilgængelig i headerfeltet X-MS-Exchange-Organization-Network-Message-Id i brevhovedet.
URL Tekst. Adskil flere værdier med kommaer.
Klikhandling Vælg en eller flere værdier:
  • Tilladt
  • Blokside
  • Tilsidesættelse af blokside
  • Fejlside
  • Fiasko
  • Ingen
  • Ventende detonationsside
  • Tilsidesættelse af ventende detonationsside
Trusselstype Vælg en eller flere værdier:
  • Tillad
  • Bloker
  • Malware
  • Phish
  • Spam
Registreringsteknologi Vælg en eller flere værdier:
  • URL-detonation
  • URL-detonationsomdømme
  • Skadeligt omdømme for URL-adresse
Klik på id Tekst. Adskil flere værdier med kommaer.
Klient-IP Tekst. Adskil flere værdier med kommaer.

Pivoter for diagrammet i visningen url-klik i Threat Explorer

Diagrammet har en standardvisning, men du kan vælge en værdi i Vælg pivot for histogramdiagram for at ændre, hvordan de filtrerede eller ufiltrerede diagramdata organiseres og vises.

De tilgængelige diagrampivots er beskrevet i følgende underafsnit.

Pivot for URL-domænediagram i visningen URL-klik i Threat Explorer

Selvom denne pivot ikke ser ud som standard, er URL-domænet standarddiagrampivot i VISNINGEN URL-klik .

Pivotken for URL-domænet organiserer diagrammet efter domæner i URL-adresser, som brugerne har klikket på i mail, Office-filer eller Microsoft Teams for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i visningen med URL-klik i Threat Explorer ved hjælp af URL-domænepivotten.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hvert URL-domæne.

Pivot i arbejdsbelastningsdiagram i visningen URL-klik i Threat Explorer

Pivoten Arbejdsbelastning organiserer diagrammet efter placeringen af den url-adresse, der klikkes på (mail, Office-filer eller Microsoft Teams) for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i visningen med URL-klik i Threat Explorer ved hjælp af pivottabellen Arbejdsbelastning.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver arbejdsbelastning.

Pivot for registrering af teknologidiagram i visningen af URL-klik i Threat Explorer

I teknologipivotten Registrering organiseres diagrammet efter den funktion, der identificerede URL-klik i mail, Office-filer eller Microsoft Teams for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i visningen med URL-klik i Threat Explorer ved hjælp af teknologipivotten Registrering.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver registreringsteknologi.

Pivot for trusselstypediagram i visningen URL-klik i Threat Explorer

Pivoten Trusselstype organiserer diagrammet efter resultaterne for url-adresser, der er klikket på, i mail, Office-filer eller Microsoft Teams for det angivne dato-/klokkeslætsinterval og egenskabsfiltre.

Skærmbillede af diagrammet i visningen med URL-klik i Threat Explorer ved hjælp af pivoten Trusselstype.

Når du holder markøren over et datapunkt i diagrammet, vises antallet for hver teknologi af trusselstypen.

Visninger for detaljeområdet for visningen af URL-klik i Threat Explorer

De tilgængelige visninger (faner) i detaljeområdet i URL-klikvisningen er beskrevet i følgende underafsnit.

Resultatvisning for detaljeområdet i visningen URL-klik i Threat Explorer

Resultater er standardvisningen for detaljeområdet i VISNINGEN URL-klik .

Visningen Resultater viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle kolonner er som standard markeret:

  • Tidspunkt, der klikkes på
  • Modtager
  • Klikhandling for URL-adresse
  • URL
  • Mærker
  • Netværksmeddelelses-id
  • Klik på id
  • Klient-IP
  • URL-kæde
  • Trusselstype
  • Registreringsteknologi

Tip

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

  • Rul vandret i webbrowseren.
  • Begræns bredden af de relevante kolonner.
  • Fjern kolonner fra visningen.
  • Zoom ud i webbrowseren.

Brugerdefinerede kolonneindstillinger gemmes pr. bruger. Brugerdefinerede kolonneindstillinger i Incognito- eller InPrivate-browsertilstand gemmes, indtil du lukker webbrowseren.

Vælg en eller poster ved at markere afkrydsningsfeltet ud for den første kolonne i rækken, og vælg derefter Vis alle mails for at åbne Threat Explorer i visningen Alle mails i en ny fane, der er filtreret efter værdierne for netværksmeddelelses-id'et for de valgte meddelelser.

Visning af de mest populære klik for detaljeområdet i visningen URL-klik i Threat Explorer

Visningen Top clicks viser en detaljetabel. Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift:

  • URL
  • Blokeret
  • Tilladt
  • Blok tilsidesat
  • Afventer dom
  • Afventer dom omgået
  • Ingen
  • Fejlside
  • Fiasko

Tip

Alle tilgængelige kolonner er markeret. Hvis du vælger Tilpas kolonner, kan du ikke fravælge nogen kolonner.

Hvis du vil se alle kolonner, skal du sandsynligvis gøre et eller flere af følgende trin:

  • Rul vandret i webbrowseren.
  • Begræns bredden af de relevante kolonner.
  • Zoom ud i webbrowseren.

Vælg en post ved at markere afkrydsningsfeltet ud for den første kolonne i rækken, og vælg derefter Vis alle klik for at åbne Threat Explorer på en ny fane i visningen URL-klik.

Når du markerer en post ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne, åbnes der et detaljeret pop op-vindue. Oplysningerne i pop op-vinduet er de samme som beskrevet i Oplysninger om de øverste URL-adresser for visningen Alle mail.

Visning af de mest målrettede brugere for detaljeområdet i visningen URL-klik i Threat Explorer

Visningen De mest målrettede brugere organiserer dataene i en tabel med de øverste fem modtagere, der har klikket på URL-adresser. Tabellen viser:

  • Mest målrettede brugere: Mailadressen på den mest målrettede bruger. Hvis du vælger en mailadresse, åbnes der et pop op-vindue med detaljer. Oplysningerne i pop op-vinduet er de samme som beskrevet i visningen Topmålbrugere for detaljeområdet i mailvisningen Alle i Threat Explorer.

  • Antallet af forsøg: Hvis du vælger antallet af forsøg, åbnes Threat Explorer i en ny fane, der er filtreret af malwarefamilienavnet.

Tip

Brug Eksportér til at eksportere listen over op til 3000 brugere og de tilsvarende forsøg.

Egenskabsfiltre i Trusselsoversigt og registreringer i realtid

Den grundlæggende syntaks for et egenskabsfilter/en egenskabsforespørgsel er:

Condition = <Filter property><Filter operator><Egenskabsværdi eller værdier>

Flere betingelser bruger følgende syntaks:

<Betingelse1><OG | OR-betingelse2><><OG | OR-betingelse3><>... <OG | OR-betingelsen><>

Tip

Jokertegnsøgninger (* eller ?) understøttes ikke i tekst- eller heltalsværdier. Egenskaben Subject bruger delvis tekstmatch og giver resultater, der svarer til en jokertegnsøgning.

Trinnene til oprettelse af betingelser for egenskabsfilter/-forespørgsel er de samme i alle visninger i Threat Explorer og registreringer i realtid:

  1. Identificer filteregenskaben ved hjælp af tabellerne i afsnittene med beskrivelse af eksempelvisning tidligere i denne artikel.

  2. Vælg en tilgængelig filteroperator. De tilgængelige filteroperatorer afhænger af egenskabstypen som beskrevet i følgende tabel:

    Filteroperator Egenskabstype
    Lig med en hvilken som helst af Tekst
    Heltal
    Diskrete værdier
    Lig med ingen af Tekst
    Diskrete værdier
    Større end Heltal
    Mindre end Heltal

  3. Angiv eller vælg en eller flere egenskabsværdier. I forbindelse med tekstværdier og heltal kan du indtaste flere værdier adskilt af kommaer.

    Flere værdier i egenskabsværdien bruger den logiske operator OR. Afsenderadressen> er f.eks.lig med en hvilken som helst af>bob@fabrikam.com,cindy@fabrikam.com betyder Afsenderadresse>lig med eller>bob@fabrikam.comcindy@fabrikam.com.

    Når du har angivet eller valgt en eller flere egenskabsværdier, vises den fuldførte filterbetingelse under felterne til oprettelse af filtre.

    Tip

    For egenskaber, der kræver, at du vælger en eller flere tilgængelige værdier, har brugen af egenskaben i filterbetingelsen med alle de valgte værdier det samme resultat som ikke at bruge egenskaben i filterbetingelsen.

  4. Gentag de forrige tre trin for at tilføje endnu en betingelse.

    Betingelserne under felterne til oprettelse af filtre er adskilt af den logiske operator, der blev valgt på det tidspunkt, du oprettede den anden eller efterfølgende betingelse. Standardværdien er AND, men du kan også vælge ELLER.

    Den samme logiske operator bruges mellem alle betingelser: De er alle AND , eller de er alle OR. Hvis du vil ændre de eksisterende logiske operatorer, skal du vælge det logiske operatorfelt og derefter vælge OG eller ELLER.

    Hvis du vil redigere en eksisterende betingelse, skal du dobbeltklikke på den for at hente den valgte egenskab, filteroperator og værdier tilbage til de tilsvarende felter.

    Hvis du vil fjerne en eksisterende betingelse, skal du vælge betingelsen.

  5. Hvis du vil anvende filteret på diagrammet og detaljetabellen, skal du vælge Opdater

    Skærmbillede af et eksempel på en forespørgsel i Threat Explorer eller registreringer i realtid, der viser flere betingelser.

Gemte forespørgsler i Threat Explorer

Tip

Gem forespørgsel er en del af Trusselssporing og er ikke tilgængelig i registreringer i realtid. Gemte forespørgsler og Trusselssporing er kun tilgængelige i Defender for Office 365 Plan 2.

Lagringsforespørgslen er ikke tilgængelig i visningen Indholdsmalware.

De fleste visninger i Threat Explorer giver dig mulighed for at gemme filtre (forespørgsler) til senere brug. Gemte forespørgsler er tilgængelige på siden Threat tracker på Defender-portalen på https://security.microsoft.com/threattrackerv2. Du kan finde flere oplysninger om Trusselssporing i Trusselssporing i Microsoft Defender for Office 365 Plan 2.

Hvis du vil gemme forespørgsler i Threat Explorer, skal du gøre følgende:

  1. Når du har oprettet filteret/forespørgslen som tidligere beskrevet, skal du vælge Gem forespørgsel Gem forespørgsel>.

  2. Konfigurer følgende indstillinger i pop op-vinduet Gem forespørgsel , der åbnes:

    • Forespørgselsnavn: Angiv et entydigt navn til forespørgslen.
    • Vælg en af følgende indstillinger:
      • Nøjagtige datoer: Vælg en startdato og en slutdato i felterne. Den ældste startdato, du kan vælge, er 30 dage før dags dato. Den nyeste slutdato, du kan vælge, er i dag.
      • Relative datoer: Vælg antallet af dage i Vis seneste nn dage, når søgningen køres. Standardværdien er 7, men du kan vælge 1 til 30.
    • Spor forespørgsel: Denne indstilling er som standard ikke valgt. Denne indstilling påvirker, om forespørgslen kører automatisk:
      • Spor forespørgslen er ikke valgt: Forespørgslen er tilgængelig, så du kan køre den manuelt i Threat Explorer. Forespørgslen gemmes under fanen Gemte forespørgsler på siden Threat Tracker med egenskabsværdien Nej for sporede forespørgsler.
      • Spor den valgte forespørgsel : Forespørgslen kører jævnligt i baggrunden. Forespørgslen er tilgængelig på fanen Gemte forespørgsler på siden Threat Tracker med egenskabsværdien Sporet forespørgselJa. De periodiske resultater af forespørgslen vises på fanen Sporede forespørgsler på siden Trusselssporing .

    Når du er færdig i pop op-vinduet Gem forespørgsel , skal du vælge Gem og derefter vælge OK i bekræftelsesdialogboksen.

Skærmbillede af pop op-vinduet Gem forespørgsel i Threat Explorer på Defender-portalen.

På fanerne Gemt forespørgsel eller Sporet forespørgsel på siden Trusselssporing på Defender-portalen på https://security.microsoft.com/threattrackerv2kan du vælge Udforsk i kolonnen Handlinger for at åbne og bruge forespørgslen i Threat Explorer.

Når du åbner forespørgslen ved at vælge Udforsk på siden Trusselssporing, er indstillingerne Gem forespørgsel som og Gemt forespørgsel nu tilgængelige i Gem forespørgsel på siden Stifinder:

  • Hvis du vælger Gem forespørgsel som, åbnes pop op-vinduet Gem forespørgsel med alle tidligere valgte indstillinger. Hvis du foretager ændringer, vælger Gem og derefter vælger OK i dialogboksen Udført , gemmes den opdaterede forespørgsel som en ny forespørgsel på siden Trusselssporing (du skal muligvis vælge Opdater for at se den).

  • Hvis du vælger Indstillinger for gemt forespørgsel, åbnes pop op-vinduet Gemte forespørgselsindstillinger , hvor du kan opdatere datoen og spore forespørgselsindstillingerne for den eksisterende forespørgsel.

Skærmbillede af Gem forespørgsel i Threat Explorer med Gem forespørgsel som og Gemte forespørgselsindstillinger tilgængelige.

Flere oplysninger