Veszélyforrás-keresés a Veszélyforrás-kezelőben és valós idejű észlelések a Office 365-höz készült Microsoft Defender

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Azok a Microsoft 365-szervezetek, amelyek Office 365-höz készült Microsoft Defender szerepelnek az előfizetésükben, vagy bővítményként vásároltak Explorerrel (más néven Fenyegetéskezelővel) vagy valós idejű észlelésekkel rendelkeznek. Ezek a funkciók hatékony, közel valós idejű eszközök, amelyek segítenek a biztonsági üzemeltetési (SecOps) csapatoknak a fenyegetések kivizsgálásában és elhárításában. További információ: About Threat Explorer and Real-time detections in Office 365-höz készült Microsoft Defender (Tudnivalók a Veszélyforrás-felderítőről és a valós idejű észlelésekről Office 365-höz készült Microsoft Defender).

A Fenyegetéskezelővel vagy a valós idejű észlelésekkel a következő műveleteket hajthatja végre:

  • Lásd: A Microsoft 365 biztonsági funkciói által észlelt kártevők.
  • Tekintse meg az adathalász URL-címet, és kattintson a döntési adatokra.
  • Automatizált vizsgálati és reagálási folyamat indítása (csak a Threat Explorerben).
  • Rosszindulatú e-mailek vizsgálata.
  • És ez még nem minden.

Ebből a rövid videóból megtudhatja, hogyan vadászhat az e-mailekre és az együttműködésen alapuló fenyegetésekre Office 365-höz készült Defender használatával.

Tipp

A speciális veszélyforrás-keresés a Microsoft Defender XDR támogatja a könnyen használható lekérdezésszerkesztőt, amely nem használja a Kusto lekérdezésnyelv (KQL). További információ: Lekérdezések létrehozása irányított módban.

A következő információk érhetők el ebben a cikkben:

Tipp

A Threat Explorert és a valós idejű észleléseket használó e-mail-forgatókönyvek esetén tekintse meg a következő cikkeket:

Ha QR-kódokba ágyazott rosszindulatú URL-címeken alapuló támadásokat keres, az URL-forrás szűrő értéke QR-kód a Fenyegetéskezelő Minden e-mail, Kártevő és Adathalászat nézetében, illetve valós idejű észlelések esetén a QR-kódokból kinyert URL-címekkel kereshet e-maileket.

Mit kell tudnia a kezdés előtt?

A Threat Explorer és a valós idejű észlelések bemutatója

A Fenyegetéskezelő vagy a valós idejű észlelések a Microsoft Defender portál Email & együttműködés szakaszában érhetők el a címenhttps://security.microsoft.com:

A Threat Explorer ugyanazokat az információkat és képességeket tartalmazza, mint a valós idejű észlelések, de a következő további funkciókkal:

  • További nézetek.
  • További tulajdonságszűrési lehetőségek, beleértve a lekérdezések mentésének lehetőségét.
  • Veszélyforrás-keresési és szervizelési műveletek.

A Office 365-höz készült Defender 1. és 2. csomag közötti különbségekről az 1. és a 2. terv közötti Office 365-höz készült Defender hasznos tanácsokat talál.

A vizsgálat megkezdéséhez használja a lap tetején található lapokat (nézeteket).

A Threat Explorerben elérhető nézeteket és a valós idejű észleléseket az alábbi táblázat ismerteti:

Megtekintés Fenyegetés
Explorer		 Valós idejű
Nyomozás		 Leírás
Minden e-mail A Threat Explorer alapértelmezett nézete. Információk a külső felhasználók által a szervezetbe küldött összes e-mailről, illetve a szervezet belső felhasználói között küldött e-mailekről.
Malware A valós idejű észlelések alapértelmezett nézete. Információ a kártevőt tartalmazó e-mail-üzenetekről.
Phish Az adathalász fenyegetéseket tartalmazó e-mail-üzenetekre vonatkozó információk.
Kampányok Az összehangolt adathalászati vagy kártevőkampány részeként azonosított, a 2. csomagban Office 365-höz készült Defender rosszindulatú e-mailekkel kapcsolatos információk.
Tartalommal kártevő szoftver Az alábbi funkciók által észlelt kártékony fájlokra vonatkozó információk:
URL-kattintások Információ arról, hogy a felhasználó az e-mailekben, Teams-üzenetekben, SharePoint-fájlokban és OneDrive-fájlokban lévő URL-címekre kattint.

Az eredmények pontosításához használja a nézetben a dátum-/időszűrőt és az elérhető szűrőtulajdonságokat:

Tipp

A szűrő létrehozása vagy frissítése után ne felejtse el a Frissítés lehetőséget választani. A szűrők hatással vannak a diagram információira és a nézet részletek területére.

A Fenyegetéskezelőben vagy a valós idejű észlelésekben a fókuszt rétegként finomíthatja, hogy egyszerűbben követhesse nyomon a lépéseket:

  • Az első réteg a használt nézet.
  • A második a nézetben használt szűrők.

Például a következőhöz hasonló döntések rögzítésével nyomon követheti a fenyegetések keresésének lépéseit: A probléma a Fenyegetéskezelőben való megkereséséhez a Kártevő nézetet használtam, és a Címzett szűrő fókuszát használtam.

Ügyeljen arra is, hogy tesztelje a megjelenítési beállításokat. A különböző célközönségek (például a vezetőség) jobban vagy rosszabbul reagálhatnak ugyanazon adatok különböző bemutatóira.

A Veszélyforrás-kezelőben például a Minden e-mail nézetben a Email forrás- és kampánynézetek (lapok) a lap alján található részletek területen érhetők el:

  • Egyes célközönségek számára az Email forrás lapján található világtérkép jobb munkát jelenthet, ha bemutatja, mennyire elterjedtek az észlelt fenyegetések.

    Képernyőkép a Email forrásnézet világtérképéről a Veszélyforrás-kezelő Minden e-mail nézetének részletek területén.

  • Mások hasznosabbnak találhatják a Kampányok lapon található táblázatban található részletes információkat az információk közvetítéséhez.

    Képernyőkép a Threat Explorer Minden e-mail nézetének Kampány lapjának részletek táblázatáról.

Ezeket az információkat a következő eredményekhez használhatja:

  • A biztonság és a védelem szükségességének bemutatása.
  • Hogy később bemutassa a műveletek hatékonyságát.

Email vizsgálat

A Fenyegetéskezelő Minden e-mail, Kártevő vagy Adathalász nézetében, illetve a valós idejű észlelésekben az e-mail-üzenetek eredményei a diagram alatti részletek területének Email lapján (nézetében) láthatók.

Ha gyanús e-mailt lát, kattintson egy bejegyzés Tárgy értékére a táblázatban. A megnyíló részletes úszó panel az Úszó panel tetején található Az e-mail megnyitása entitást tartalmazza.

Képernyőkép az e-mail részletei úszó panelen elérhető műveletekről, miután kiválasztotta a Tárgy értéket a Minden e-mail nézet részletek területének Email lapján.

A Email entitáslap összegyűjti az üzenetről és annak tartalmáról szükséges információkat, így megállapíthatja, hogy az üzenet fenyegetés-e. További információ: Email entitáslap áttekintése.

Email szervizelés

Miután megállapította, hogy egy e-mail fenyegetés, a következő lépés a fenyegetés elhárítása. A Fenyegetéskezelőben vagy a valós idejű észlelésekben a Művelet végrehajtása funkcióval orvosolhatja a fenyegetést.

A Művelet végrehajtása lehetőség a Fenyegetéskezelő Minden e-mail, Kártevő vagy Adathalász nézetében, illetve a diagram alatti részletek területének Email lapján (nézetében) érhető el:

  • Jelöljön ki egy vagy több bejegyzést a táblában az első oszlop melletti jelölőnégyzet bejelölésével. A Művelet végrehajtása lehetőség közvetlenül a lapon érhető el.

    Képernyőkép a részletek táblázatának Email nézetéről (lapról), amelyen egy üzenet van kijelölve, és a Művelet végrehajtása aktív.

    Tipp

    A Művelet végrehajtása az Üzenetműveletek legördülő listát váltja fel.

    Ha 100 vagy annál kevesebb bejegyzést jelöl ki, több műveletet is végrehajthat az üzeneteken a Művelet végrehajtása varázslóban.

    Ha 101–200 000 bejegyzést jelöl ki, csak a következő műveletek érhetők el a Művelet végrehajtása varázslóban:

    • Veszélyforrás-kezelő: Az Áthelyezés a postaládába és a Javaslat a szervizelésre lehetőség elérhető, de kölcsönösen kizárják egymást (választhat egyet vagy egyet).
    • Valós idejű észlelések: A Bérlői engedélyezés/letiltás listában csak a Küldés a Microsoftnak felülvizsgálatra és megfelelő engedélyezési/letiltási bejegyzések létrehozására érhető el.

  • Kattintson egy bejegyzés Tárgy értékére a táblázatban. A megnyíló részletes úszó panel a Művelet végrehajtása elemet tartalmazza az úszó panel tetején.

    A Részletek lapon elérhető műveletek, miután kiválasztotta a Tárgy értéket a Minden e-mail nézet részletek területének Email lapján.

A Művelet végrehajtása lehetőség kiválasztásával megnyithatja a Művelet végrehajtása varázslót egy úszó panelen. A Fenyegetéskezelő Művelet végrehajtása varázslójának (Office 365-höz készült Defender 2. csomag) és a valós idejű észlelések (Office 365-höz készült Defender 1. csomag) elérhető műveletei az alábbi táblázatban találhatók:

Művelet Fenyegetés
Explorer		 Valós idejű
Nyomozás
Áthelyezés a postaláda mappába ✔¹
Küldés a Microsoftnak véleményezésre
  Bejegyzések engedélyezése vagy letiltása a bérlő engedélyezési/blokkolási listájában ³
Automatizált vizsgálat kezdeményezése
Javaslat a szervizelésre ²

¹ Ehhez a művelethez a Keresés és a Végleges törlés szerepkörre van szükség Email & együttműködési engedélyekben. Alapértelmezés szerint ez a szerepkör csak az Adatfelügyelő és a Szervezetfelügyelet szerepkörcsoporthoz van hozzárendelve. Hozzáadhat felhasználókat ezekhez a szerepkörcsoportokhoz, vagy létrehozhat egy új szerepkörcsoportot a hozzárendelt Keresés és Végleges törlés szerepkörrel, és hozzáadhatja a felhasználókat az egyéni szerepkörcsoporthoz.

² Bár előfordulhat, hogy ez a művelet elérhető a valós idejű észlelésekben, Office 365-höz készült Defender 1. csomagban nem érhető el.

³ Ez a művelet a Küldés a Microsoftnak áttekintésre területen érhető el.

A Művelet végrehajtása varázsló leírása a következő listában található:

  1. A Válaszműveletek kiválasztása lapon végezze el a következő beállításokat:

    • Az összes válaszművelet megjelenítése: Ez a beállítás csak a Threat Explorerben érhető el.

      Alapértelmezés szerint egyes műveletek nem érhetők el/szürkén jelennek meg az üzenet legutóbbi kézbesítési helye alapján. Az összes elérhető válaszművelet megjelenítéséhez húzza a kapcsolót Be állásba.

    • Email üzenetműveletek szakasz:

      Több műveletet is kijelölhet, ha a Művelet végrehajtása lehetőség kiválasztásakor a Minden e-mail, Kártevő vagy Adathalász nézet részletek területének Email lapján (nézetében) 100 vagy annál kevesebb üzenetet jelölt ki.

      Több műveletet is kijelölhet, ha a Művelet végrehajtása lehetőséget választotta a részletek úszó paneljén, miután a bejegyzés Tárgy értékére kattintott.

      Válasszon ki egy vagy több elérhető lehetőséget:

    • Áthelyezés a postaláda mappába: Válassza ki a megjelenő elérhető értékek egyikét:

      • Levélszemét: Helyezze át az üzenetet a Levélszemét Email mappába.
      • Beérkezett üzenetek mappa: Helyezze át az üzenetet a Beérkezett üzenetek mappába.
      • Törölt elemek: Helyezze át az üzenetet a Törölt elemek mappába.
      • Helyreállítható módon törölt elemek: Törölje az üzenetet a Törölt elemek mappából (lépjen a Helyreállítható elemek\Törlések mappába). Az üzenetet a felhasználó és a rendszergazdák helyreállítják.
      • Véglegesen törölt elemek: Törölje a törölt üzenetet. A rendszergazdák egyelemes helyreállítással helyreállíthatják a nem törölt elemeket. A helyreállíthatóan törölt és a helyreállítható módon törölt elemekről további információt a Helyreállíthatóan törölt és a helyreállítható módon törölt elemek című témakörben talál.

    • Küldés a Microsoftnak véleményezésre: Válassza ki a megjelenő elérhető értékek egyikét:

      • Megerősítettem, hogy tiszta: Válassza ezt az értéket, ha biztos abban, hogy az üzenet tiszta. A következő lehetőségek jelennek meg:

        • A következőhöz hasonló üzenetek engedélyezése: Ha ezt az értéket választja, a rendszer engedélyezési bejegyzéseket ad hozzá a bérlői engedélyezési/tiltólistához a feladó és az üzenetben található kapcsolódó URL-címek vagy mellékletek számára. A következő lehetőségek is megjelennek:
          • Bejegyzés eltávolítása a következő után: Az alapértelmezett érték 1 nap, de megadhat 7 napot, 30 napot vagy egy 30 napnál rövidebb Konkrét dátumot is.
          • Bejegyzés engedélyezése megjegyzés: Adjon meg egy nem kötelező megjegyzést, amely további információkat tartalmaz.

      • Tisztanak tűnik , vagy gyanúsnak tűnik: Válasszon egyet ezek közül az értékek közül, ha nem biztos benne, és a Microsofttól szeretne ítéletet kapni.

      • Megerősítettem, hogy fenyegetésről van szó: Jelölje ki ezt az értéket, ha biztos benne, hogy az elem kártékony, majd válasszon az alábbi értékek közül a megjelenő Kategória kiválasztása szakaszban:

        • Phish
        • Malware
        • Spam

        Miután kiválasztotta az értékek egyikét, megnyílik a Letiltandó entitások kijelölése úszó panel, ahol kiválaszthat egy vagy több, az üzenethez társított entitást (feladó címe, feladó tartománya, URL-címe vagy fájlmelléklet) a bérlő engedélyezési/tiltólistájához való hozzáadáshoz.

        Miután kiválasztotta a letiltandó elemeket, válassza a Hozzáadás blokkszabályhoz lehetőséget az Entitások kiválasztása letiltásához úszó panel bezárásához . Vagy válassza a Nincs elem, majd a Mégse lehetőséget.

        A Válaszműveletek kiválasztása lapon válassza ki a blokkbejegyzések lejárati beállítását:

        • Lejárat dátuma: Válassza ki a blokkbejegyzések lejáratának dátumát.
        • Soha ne járjon le

        Megjelenik a letiltott entitások száma (például 4/4 letiltandó entitás). Válassza a Szerkesztés lehetőséget a Hozzáadás blokkhoz szabály újbóli megnyitásához és a módosításokhoz.

    • Automatizált vizsgálat kezdeményezése: Csak Veszélyforrás-kezelő. Válassza ki az alábbi értékek egyikét:

      • E-mailek vizsgálata
      • Címzett vizsgálata
      • Feladó vizsgálata: Ez az érték csak a szervezet feladóira vonatkozik.
      • Címzettek

    • Javaslat a szervizelésre: Válasszon az alábbi értékek közül:

      • új Létrehozás: Ez az érték egy helyreállítható törlési e-mail függőben lévő műveletét váltja ki, amelyet egy rendszergazdának jóvá kell hagynia a Műveletközpontban. Ezt az eredményt más néven kétlépéses jóváhagyásnak nevezzük.

      • Hozzáadás meglévőhöz: Ezzel az értékkel műveleteket alkalmazhat erre az e-mail-üzenetre egy meglévő szervizelésből. Az E-mail küldése a következő szervizelésre mezőben válassza ki a meglévő szervizelést.

        Tipp

        A SecOps azon munkatársai, akik nem rendelkeznek elegendő permsissionnal, használhatják ezt a lehetőséget a szervizelés létrehozásához, de valakinek jóvá kell hagynia a műveletet a Műveletközpontban.

    Ha végzett a Válaszműveletek kiválasztása lapon, válassza a Tovább gombot.

  2. A Célentitások kiválasztása lapon konfigurálja a következő beállításokat:

    • Név és leírás: Adjon meg egy egyedi, leíró nevet és opcionális leírást a kiválasztott művelet nyomon követéséhez és azonosításához.

    A lap többi része egy táblázat, amely felsorolja az érintett objektumokat. A táblázat a következő oszlopok szerint van rendezve:

    • Érintett objektum: Az előző oldal érintett eszközei. Például:
      • Címzett e-mail-címe
      • Teljes bérlő
    • Művelet: Az előző oldal objektumaihoz kiválasztott műveletek. Például:
      • A Küldés a Microsoftnak véleményezésre szolgáló értékek:
        • Jelentés tisztaként
        • Jelentés
        • Jelentés kártevőként, jelentés levélszemétként vagy jelentés adathalászként
        • Feladó letiltása
        • Feladó tartományának letiltása
        • URL-cím blokkolása
        • Melléklet letiltása
      • Az automatikus vizsgálat indításának értékei:
        • E-mailek vizsgálata
        • Címzett vizsgálata
        • Feladó vizsgálata
        • Címzettek
      • A Javaslat szervizelés értékei:
        • Létrehozás új szervizelés
        • Hozzáadás meglévő szervizeléshez
    • Célentitás: Például:
      • Az e-mail-üzenet hálózati üzenetazonosítója .
      • A letiltott feladó e-mail-címe.
      • A letiltott feladó tartománya.
      • A letiltott URL-cím.
      • A letiltott melléklet.
    • Lejárat dátuma: Az értékek csak a bérlői/engedélyezési tiltólista engedélyezési vagy letiltott bejegyzéseihez léteznek. Például:
      • Soha ne járjon le a blokkbejegyzések esetében.
      • Az engedélyezési vagy letiltási bejegyzések lejárati dátuma.
    • Hatókör: Ez az érték általában MDO.

    Ebben a szakaszban néhány műveletet is visszavonhat. Ha például csak egy blokkbejegyzést szeretne létrehozni a bérlői engedélyezési/letiltási listában anélkül, hogy beküldi az entitást a Microsoftnak, ezt itt teheti meg.

    Ha végzett a Célentitások kiválasztása lapon, válassza a Tovább gombot.

  3. A Véleményezés és küldés lapon tekintse át a korábbi kijelöléseket.

    Válassza az Exportálás lehetőséget az érintett objektumok CSV-fájlba való exportálásához. Alapértelmezés szerint a fájlnév Érintett assets.csv a Letöltések mappában található.

    Válassza a Vissza lehetőséget a visszalépéshez és a beállítások módosításához.

    Ha végzett a Véleményezés és küldés oldalon, válassza a Küldés lehetőséget.

Tipp

A műveleteknek időbe telhet, mire megjelennek a kapcsolódó oldalakon, de a szervizelés sebességére nincs hatással.

A veszélyforrás-keresés élménye a Fenyegetéskezelővel és a valós idejű észlelésekkel

A Fenyegetéskezelő vagy a valós idejű észlelések segítségével a biztonsági üzemeltetési csapat hatékonyan vizsgálhatja ki és reagálhat a fenyegetésekre. Az alábbi alszakaszok azt mutatják be, hogyan segíthetnek a Fenyegetéskezelő és a valós idejű észlelések a fenyegetések megtalálásában.

Veszélyforrás-keresés riasztásokból

A Riasztások lap elérhető a Defender portál incidensek & riasztások riasztásai> között, vagy közvetlenül a címenhttps://security.microsoft.com/alerts.

Az Észlelés forrásértékével MDO számos riasztáshoz elérhető az Üzenetek megtekintése az Explorerben művelet a riasztás részletei úszó panel tetején.

A riasztás részletei úszó panel akkor nyílik meg, ha a riasztáson az első oszlop melletti jelölőnégyzeten kívül bárhová kattint. Például:

  • A rendszer rosszindulatú URL-kattintást észlelt
  • Rendszergazda beküldési eredmény befejeződött
  • Email kártékony URL-címet tartalmazó üzenetek kézbesítés után el lettek távolítva
  • Email kézbesítés után eltávolított üzenetek
  • A kártékony entitásokat tartalmazó üzenetek nem lettek eltávolítva a kézbesítés után
  • Az adathalászat nincs leképezve, mert a ZAP le van tiltva

Képernyőkép egy riasztás riasztás részletei úszó paneljén elérhető műveletekről az Észlelések forrásértékével MDO a Defender portál Riasztások lapján.

Az Üzenetek megtekintése az Explorerben lehetőség kiválasztásával megnyílik a Fenyegetéskezelő a Minden e-mail nézetben a riasztáshoz kiválasztott Riasztásazonosító tulajdonságszűrővel. A riasztás azonosítója a riasztás egyedi GUID-értéke (például 89e00cdc-4312-7774-6000-08dc33a24419).

A riasztásazonosító egy szűrhető tulajdonság a Fenyegetéskezelőben és a valós idejű észlelésekben az alábbi nézetekben:

Ezekben a nézetekben a riasztásazonosító kiválasztható oszlopként érhető el a diagram alatti részletek területen a következő lapokon (nézetekben):

Az e-mail részletei úszó panelen, amely akkor nyílik meg, amikor az egyik bejegyzés Tárgy értékére kattint, a Riasztásazonosító hivatkozás az úszó panel Email részletek szakaszában érhető el. A Riasztásazonosító hivatkozásra kattintva megnyílik a Riasztások megtekintése lap https://security.microsoft.com/viewalertsv2 , amelyen a riasztás ki van jelölve, a részletek pedig megnyílnak a riasztáshoz.

Képernyőkép a riasztás részleteinek úszó paneljéről a Riasztások megtekintése lapon, miután kiválasztott egy riasztásazonosítót a Email lap Minden e-mail, Kártevő vagy Adathalász nézetből a Fenyegetéskezelőben vagy a valós idejű észlelésekben.

Címkék a Veszélyforrás-kezelőben

Ha Office 365-höz készült Defender 2. csomagban felhasználói címkékkel jelöli meg a magas értékű célfiókokat (például a Prioritás fiókcímkét), ezeket a címkéket szűrőkként használhatja. Ez a módszer a magas értékű célfiókokra irányuló adathalász kísérleteket mutatja egy adott időszakban. További információ a felhasználói címkékről: Felhasználói címkék.

A felhasználói címkék az alábbi helyeken érhetők el a Threat Explorerben:

Az e-mailek fenyegetési információi

Az e-mailekre vonatkozó előkézbesítési és kézbesítés utáni műveletek egyetlen rekordban vannak összesítve, függetlenül attól, hogy milyen utólagos események befolyásolták az üzenetet. Például:

A minden e-mail, kártevő vagy adathalász nézet Email lapján (nézetében) az e-mail részletei úszó panelen láthatók a kapcsolódó fenyegetések és az e-mailhez kapcsolódó észlelési technológiák. Egy üzenet nullával, egy vagy több fenyegetéssel is rendelkezhet.

  • A Kézbesítés részletei szakaszban a Detektálási technológia tulajdonság a fenyegetést azonosító észlelési technológiát jeleníti meg. Az észlelési technológia diagram-kimutatásként vagy oszlopként is elérhető a részletek táblázatában a Fenyegetéskezelő számos nézetéhez és a valós idejű észlelésekhez.

  • Az URL-címek szakasz az üzenetben szereplő bármely URL-címre vonatkozó konkrét fenyegetésadatokat jeleníti meg. Ilyenek például a Kártevők, az Adathalászat, a **Levélszemét vagy a Nincs.

Tipp

Előfordulhat, hogy az ítéletelemzés nem feltétlenül kapcsolódik entitásokhoz. A szűrők kiértékelik egy e-mail tartalmát és egyéb részleteit, mielőtt ítéletet rendelnének hozzá. Előfordulhat például, hogy egy e-mail adathalászként vagy levélszemétként van besorolva, de az üzenetben lévő URL-címek nem lesznek adathalászattal vagy levélszemét-ítélettel megjelölve.

Válassza az E-mail entitás megnyitása lehetőséget az úszó panel tetején az e-mail-üzenet részletes részleteinek megtekintéséhez. További információ: Az Office 365-höz készült Microsoft Defender Email entitáslapja.

Képernyőkép az e-mail részletei úszó panelről, miután kiválasztott egy Tárgy értéket a Minden e-mail nézet részletek területének Email lapján.

Bővített képességek a Threat Explorerben

Az alábbi alszakaszok olyan szűrőket ismertetnek, amelyek kizárólag a Veszélyforrás-felderítőt tartalmazzák.

Exchange-levelezési szabályok (átviteli szabályok)

Az Exchange levelezési szabályai (más néven átviteli szabályok) által érintett üzenetek megkereséséhez a következő lehetőségek állnak rendelkezésre a Fenyegetéskezelő Minden e-mail, Kártevő és Adathalászat nézetében (nem valós idejű észlelések esetén):

  • Az Exchange átviteli szabály az elsődleges felülbírálási forrás, a felülbírálási forrás és a házirendtípus szűrhető tulajdonságainak választható értéke.
  • Az Exchange átviteli szabály egy szűrhető tulajdonság. A szabály nevének részleges szöveges értékét kell megadnia.

További információért kattintson az alábbi hivatkozásokra:

A Fenyegetéskezelő Minden e-mail, Kártevő és Adathalászat nézetének részletek területének Email lapja (nézet) exchange átviteli szabályt is tartalmaz, amely alapértelmezés szerint nincs kiválasztva. Ebben az oszlopban az átviteli szabály neve látható. További információért kattintson az alábbi hivatkozásokra:

Tipp

Az e-mail-forgalmi szabályok név szerinti kereséséhez szükséges engedélyekért lásd: A Threat Explorer és a valós idejű észlelések engedélyei és licencelése. Nincs szükség speciális engedélyekre a szabálynevek megtekintéséhez az e-mail-részletek úszó paneljeiben, a részletek tábláiban és az exportált eredményekben.

Bejövő összekötők

A bejövő összekötők a Microsoft 365 e-mail-forrásainak konkrét beállításait határozzák meg. További információ: E-mail-forgalom konfigurálása összekötőkkel a Exchange Online.

A bejövő összekötők által érintett üzenetek megkereséséhez az Összekötő szűrhető tulajdonságával név szerint kereshet összekötőket a Fenyegetéskezelő Minden e-mail, Kártevő és Adathalászat nézetében (nem valós idejű észlelések esetén). Az összekötő nevének részleges szöveges értékét kell megadnia. További információért kattintson az alábbi hivatkozásokra:

A Veszélyforrás-kezelő Minden e-mail, Kártevő és Adathalászat nézetének részletek területének Email lapja is rendelkezik összekötővel, amely alapértelmezés szerint nincs kiválasztva. Ebben az oszlopban az összekötő neve látható. További információért kattintson az alábbi hivatkozásokra:

Email biztonsági forgatókönyvek a Fenyegetéskezelőben és a valós idejű észlelésekben

Konkrét forgatókönyvekért tekintse meg a következő cikkeket:

További lehetőségek a Fenyegetéskezelő és a valós idejű észlelések használatára

A cikkben ismertetett forgatókönyvek mellett az Explorerben vagy a valós idejű észlelésekben is további lehetőségek állnak rendelkezésre. További információért olvassa el az alábbi témaköröket: