Investigar emails mal-intencionados que foram entregues Microsoft 365Investigate malicious email that was delivered in Microsoft 365

Importante

O aperfeiçoado Centro de segurança do Microsoft 365 está agora disponível.The improved Microsoft 365 security center is now available. Esta nova experiência traz o Defender para Ponto de Extremidade, Defender para Office 365, Microsoft 365 Defender e muito mais para o Centro de segurança do Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Conheça as novidades.Learn what's new.

Aplica-se a:Applies to:

O Microsoft Defender para Office 365 permite investigar atividades que colocam as pessoas em sua organização em risco e tomar medidas para proteger sua organização.Microsoft Defender for Office 365 enables you to investigate activities that put people in your organization at risk, and to take action to protect your organization. Por exemplo, se você faz parte da equipe de segurança da sua organização, pode encontrar e investigar mensagens de email suspeitas que foram entregues.For example, if you are part of your organization's security team, you can find and investigate suspicious email messages that were delivered. Você pode fazer isso usando o Explorador de Ameaças (ou detecções em tempo real).You can do this by using Threat Explorer (or real-time detections).

Observação

Pule para o artigo de correção aqui.Jump to the remediation article here.

Antes de começarBefore you begin

Verifique se os seguintes requisitos são atendidos:Make sure that the following requirements are met:

Permissões de função de visualizaçãoPreview role permissions

Para executar determinadas ações, como exibir os headers de mensagens ou baixar o conteúdo da mensagem de email, você deve ter a função Visualização adicionada a outro grupo de função apropriado.To perform certain actions, such as viewing message headers or downloading email message content, you must have the Preview role added to another appropriate role group. A tabela a seguir esclarece as funções e permissões necessárias.The following table clarifies required roles and permissions.



AtividadeActivity Grupo de funçãoRole group Função de visualização necessária?Preview role needed?
Usar o Explorador de Ameaças (e detecções em tempo real) para analisar ameaçasUse Threat Explorer (and Real-time detections) to analyze threats Administrador globalGlobal Administrator

Administrador de SegurançaSecurity Administrator

Leitor de segurançaSecurity Reader

NãoNo
Use o Explorador de Ameaças (e detecções em tempo real) para exibir os headers para mensagens de email, bem como visualizar e baixar mensagens de email em quarentenaUse Threat Explorer (and Real-time detections) to view headers for email messages as well as preview and download quarantined email messages Administrador globalGlobal Administrator

Administrador de SegurançaSecurity Administrator

Leitor de segurançaSecurity Reader

NãoNo
Use o Explorador de Ameaças para exibir os headers, visualizar email (somente na página entidade de email) e baixar mensagens de email entregues às caixas de correioUse Threat Explorer to view headers, preview email (only in the email entity page) and download email messages delivered to mailboxes Administrador globalGlobal Administrator

Administrador de SegurançaSecurity Administrator

Leitor de segurançaSecurity Reader

VisualizaçãoPreview

SimYes

Observação

A visualização é uma função, não um grupo de funções.Preview is a role, not a role group. A função Preview deve ser adicionada a um grupo de funções existente no portal Microsoft 365 Defender ( https://security.microsoft.com ).The Preview role must be added to an existing role group in the Microsoft 365 Defender portal (https://security.microsoft.com). Vá para Permissões e edite um grupo de funções existente ou adicione um novo grupo de funções com a função Visualização atribuída.Go to Permissions, and then either edit an existing role group or add a new role group with the Preview role assigned.

A função Administrador Global recebe a Centro de administração do Microsoft 365 ( ), e as funções administrador de segurança e leitor de segurança são https://admin.microsoft.com atribuídas Microsoft 365 Defender ( https://security.microsoft.com ).The Global Administrator role is assigned the Microsoft 365 admin center (https://admin.microsoft.com), and the Security Administrator and Security Reader roles are assigned in Microsoft 365 Defender (https://security.microsoft.com). Para saber mais sobre funções e permissões, consulte Permissões no Microsoft 365 Defender portal.To learn more about roles and permissions, see Permissions in the Microsoft 365 Defender portal.

Entendemos que visualizar e baixar emails são atividades confidenciais e, portanto, a auditoria está habilitada para isso.We understand previewing and downloading email are sensitive activities, and so we auditing is enabled for these. Depois que um administrador executa essas atividades em emails, os logs de auditoria são gerados para o mesmo e podem ser vistos no Centro de Conformidade Office 365 Segurança & ( https://protection.office.com ).Once an admin performs these activities on emails, audit logs are generated for the same and can be seen in the Office 365 Security & Compliance Center (https://protection.office.com). Vá para Pesquisar > pesquisa de log de auditoria e filtre o nome do administrador na seção Pesquisa.Go to Search > Audit log search and filter on the admin name in Search section. Os resultados filtrados mostrarão a atividade AdminMailAccess.The filtered results will show activity AdminMailAccess. Selecione uma linha para exibir detalhes na seção Mais informações sobre emails visualizados ou baixados.Select a row to view details in the More information section about previewed or downloaded email.

Encontrar emails suspeitos que foram entreguesFind suspicious email that was delivered

O Explorador de Ameaças é um relatório poderoso que pode atender a várias finalidades, como localizar e excluir mensagens, identificar o endereço IP de um remetente de email mal-intencionado ou iniciar um incidente para investigação posterior.Threat Explorer is a powerful report that can serve multiple purposes, such as finding and deleting messages, identifying the IP address of a malicious email sender, or starting an incident for further investigation. O procedimento a seguir se concentra em usar o Explorer para encontrar e excluir emails mal-intencionados das caixas de correio do destinatário.The following procedure focuses on using Explorer to find and delete malicious email from recipient's mailboxes.

Observação

As pesquisas padrão no Explorer atualmente não incluem itens entregues que foram removidos da caixa de correio de nuvem pela proteção automática de hora zero (ZAP).Default searches in Explorer don't currently include delivered items that were removed from the cloud mailbox by zero-hour auto protection (ZAP). Essa limitação se aplica a todas as exibições (por exemplo, as exibições > malware de email ou > phishing de email).This limitation applies to all views (for example, the Email > Malware or Email > Phish views). Para incluir itens removidos pelo ZAP, você precisa adicionar um conjunto de ações de entrega para incluir Removido pelo ZAP.To include items removed by ZAP, you need to add a Delivery action set to include Removed by ZAP. Se você incluir todas as opções, verá todos os resultados da ação de entrega, incluindo itens removidos pelo ZAP.If you include all options, you'll see all delivery action results, including items removed by ZAP.

  1. Abra o portal Microsoft 365 Defender e entre usando sua conta de trabalho ou https://security.microsoft.com de estudante para Office 365.Open the Microsoft 365 Defender portal https://security.microsoft.com and sign in using your work or school account for Office 365.

  2. Vá para o Explorador de Ameaças escolhendo Email & de colaboração do > Explorer na navegação à esquerda.Go to Threat Explorer by choosing Email & collaboration > Explorer in the left navigation. Para ir para o Explorador de Ameaças diretamente, use https://security.microsoft.com/threatexplorer .To go to Threat Explorer directly, use https://security.microsoft.com/threatexplorer.

    Na página Explorer, a coluna Ações adicionais mostra aos administradores o resultado do processamento de um email.On the Explorer page, the Additional actions column shows admins the outcome of processing an email. A coluna Ações adicionais pode ser acessada no mesmo local que a ação entrega e o local de entrega.The Additional actions column can be accessed in the same place as Delivery action and Delivery location. Ações especiais podem ser atualizadas no final da linha do tempo de email do Explorador de Ameaças, que é um novo recurso destinado a melhorar a experiência de busca para administradores.Special actions might be updated at the end of Threat Explorer's email timeline, which is a new feature aimed at making the hunting experience better for admins.

  3. No menu Exibir, escolha Email > Todos os emails na lista lista listada.In the View menu, choose Email > All email from the drop down list.

    Menu Exibir explorador de ameaças e Email - Malware, Phish, Envios e Todas as opções de Email, também Conteúdo - Malware.

    O modo de exibição Malware atualmente é o padrão e captura emails em que uma ameaça de malware é detectada.The Malware view is currently the default, and captures emails where a malware threat is detected. O modo de exibição Phish opera da mesma maneira, para Phish.The Phish view operates in the same way, for Phish.

    No entanto, Todas as exibições de email listam todos os emails recebidos pela organização, se as ameaças foram detectadas ou não.However, All email view lists every mail received by the organization, whether threats were detected or not. Como você pode imaginar, são muitos dados, e é por isso que essa exibição mostra um espaço reservado que solicita que um filtro seja aplicado.As you can imagine, this is a lot of data, which is why this view shows a placeholder that asks a filter be applied. (Esta exibição só está disponível para o Defender para clientes Office 365 P2.)(This view is only available for Defender for Office 365 P2 customers.)

    O exibição de envios mostra todos os emails enviados pelo administrador ou usuário que foram relatados à Microsoft.Submissions view shows up all mails submitted by admin or user that were reported to Microsoft.

  4. Pesquisar e filtrar no Explorador de Ameaças : Os filtros aparecem na parte superior da página na barra de pesquisa para ajudar os administradores em suas investigações.Search and filter in Threat Explorer: Filters appear at the top of the page in the search bar to help admins in their investigations. Observe que vários filtros podem ser aplicados ao mesmo tempo e vários valores separados por vírgula adicionados a um filtro para restringir a pesquisa.Notice that multiple filters can be applied at the same time, and multiple comma-separated values added to a filter to narrow down the search. Lembre-se:Remember:

    • Os filtros fazem correspondência exata na maioria das condições de filtro.Filters do exact matching on most filter conditions.
    • O filtro de assunto usa uma consulta CONTAINS.Subject filter uses a CONTAINS query.
    • Os filtros de URL funcionam com ou sem protocolos (ex.URL filters work with or without protocols (ex. https).https).
    • Os filtros de domínio de URL, caminho de URL e domínio de URL e caminho não exigem um protocolo para filtrar.URL domain, URL path, and URL domain and path filters don't require a protocol to filter.
    • Você deve clicar no ícone Atualizar sempre que alterar os valores do filtro para obter resultados relevantes.You must click the Refresh icon every time you change the filter values to get relevant results.
  5. Filtros avançados: com esses filtros, você pode criar consultas complexas e filtrar seu conjunto de dados.Advanced filters: With these filters, you can build complex queries and filter your data set. Clicar em Filtros Avançados abre um sobrevoo com opções.Clicking on Advanced Filters opens a flyout with options.

    A filtragem avançada é uma ótima adição aos recursos de pesquisa.Advanced filtering is a great addition to search capabilities. Um booleano NOT nos filtros de domínio Recipient, Sender e Sender permite que os administradores investiguem excluindo valores.A boolean NOT on the Recipient, Sender and Sender domain filters allows admins to investigate by excluding values. Essa opção é Igual a nenhuma seleção.This option is the Equals none of selection. Essa opção permite que os administradores excluam caixas de correio indesejadas de investigações (por exemplo, caixas de correio de alerta e caixas de correio de resposta padrão) e é útil para casos em que os administradores pesquisam por um assunto específico (por exemplo, Atenção) em que o Destinatário pode ser definido como Igual a defaultMail@contoso.com .This option allows admins to exclude unwanted mailboxes from investigations (for example, alert mailboxes and default reply mailboxes), and is useful for cases where admins search for a specific subject (for example, Attention) where the Recipient can be set to Equals none of: defaultMail@contoso.com. Esta é uma pesquisa de valor exato.This is an exact value search.

    O filtro Avançado Recipients - 'Contém nenhum de'.

    Adicionar um filtro de hora à data de início e à data de término ajuda sua equipe de segurança a fazer uma análise rápida.Adding a time filter to the start date and end date helps your security team to drill down quickly. A duração de tempo permitida mais curta é de 30 minutos.The shortest allowed time duration is 30 minutes. Se você puder restringir a ação suspeita por período de tempo (por exemplo, aconteceu há 3 horas), isso limitará o contexto e ajudará a identificar o problema.If you can narrow the suspicious action by time-frame (e.g., it happened 3 hours ago), this will limit the context and help pinpoint the problem.

    A opção de filtragem por horas para restringir a quantidade de equipes de segurança de dados precisa ser processada e cuja duração mais curta é de 30 minutos.

  6. Campos no Explorador de Ameaças : o Explorador de Ameaças expõe muito mais informações de email relacionadas à segurança, como ação de entrega, local de entrega, ação especial, direcionalidade, substituições e ameaça de URL.Fields in Threat Explorer: Threat Explorer exposes a lot more security-related mail information such as Delivery action, Delivery location, Special action, Directionality, Overrides, and URL threat. Ele também permite que a equipe de segurança da sua organização investigue com uma maior certeza.It also allows your organization's security team to investigate with a higher certainty.

    Ação de entrega é a ação realizada em um email devido a políticas ou detecções existentes.Delivery action is the action taken on an email due to existing policies or detections. Aqui estão as ações possíveis que um email pode realizar:Here are the possible actions an email can take:

    • Entregue – o email foi entregue na caixa de entrada ou pasta de um usuário e o usuário pode acessá-lo diretamente.Delivered – email was delivered to inbox or folder of a user and the user can directly access it.
    • Lixo eletrônico (Entregue ao lixo eletrônico)– o email foi enviado para a pasta de lixo eletrônico do usuário ou a pasta excluída, e o usuário tem acesso a mensagens de email em sua pasta Lixo Eletrônico ou Excluído.Junked (Delivered to junk)– email was sent to either user's junk folder or deleted folder, and the user has access to email messages in their Junk or Deleted folder.
    • Bloqueado – todas as mensagens de email que estão em quarentena, que falharam ou foram retiradas.Blocked – any email messages that are quarantined, that failed, or were dropped. (Isso é completamente inacessível pelo usuário.)(This is completely inaccessible by the user.)
    • Substituído – qualquer email em que anexos mal-intencionados são substituídos por arquivos .txt que estado o anexo foi mal-intencionadoReplaced – any email where malicious attachments are replaced by .txt files that state the attachment was malicious

    Local de entrega : o filtro de local de entrega está disponível para ajudar os administradores a entender onde o email suspeito foi parar e quais ações foram tomadas nele.Delivery location: The Delivery location filter is available in order to help admins understand where suspected malicious mail ended-up and what actions were taken on it. Os dados resultantes podem ser exportados para planilha.The resulting data can be exported to spreadsheet. Os locais de entrega possíveis são:Possible delivery locations are:

    • Caixa de entrada ou pasta – O email está na Caixa de Entrada ou em uma pasta específica, de acordo com suas regras de email.Inbox or folder – The email is in the Inbox or a specific folder, according to your email rules.
    • Local ou externo – A caixa de correio não existe na Nuvem, mas é local.On-prem or external – The mailbox doesn't exist in the Cloud but is on-premises.
    • Pasta lixo eletrônico – O email está na pasta Lixo Eletrônico do usuário.Junk folder – The email is in a user's Junk mail folder.
    • Pasta itens excluídos – O email está na pasta Itens Excluídos de um usuário.Deleted items folder – The email is in a user's Deleted items folder.
    • Quarentena – O email em quarentena e não na caixa de correio de um usuário.Quarantine – The email in quarantine, and not in a user's mailbox.
    • Falha – O email falhou ao chegar à caixa de correio.Failed – The email failed to reach the mailbox.
    • Descartado – O email foi perdido em algum lugar no fluxo de emails.Dropped – The email was lost somewhere in the mail flow.

    Direcionalidade: Essa opção permite que sua equipe de operações de segurança filtre pela "direção" de onde um email vem ou está indo.Directionality: This option allows your security operations team to filter by the 'direction' a mail comes from, or is going. Os valores de direcionalidade são Inbound, Outbound e Intra-org (correspondentes aos emails que vêm para sua organização de fora, sendo enviados para fora da sua organização ou enviados internamente para sua organização, respectivamente).Directionality values are Inbound, Outbound, and Intra-org (corresponding to mail coming into your org from outside, being sent out of your org, or being sent internally to your org, respectively). Essas informações podem ajudar as equipes de operações de segurança a identificarem a falsa e a representação, pois uma incompatibilidade entre o valor direcionalidade (ex.This information can help security operations teams spot spoofing and impersonation, because a mismatch between the Directionality value (ex. Entrada), e o domínio do remetente (que parece ser um domínio interno) será evidente!Inbound), and the domain of the sender (which appears to be an internal domain) will be evident! O valor Directionality é separado e pode ser diferente do Rastreamento de Mensagens.The Directionality value is separate, and can differ from, the Message Trace. Os resultados podem ser exportados para planilha.Results can be exported to spreadsheet.

    Substituições: esse filtro usa informações que aparecem na guia de detalhes do email e o usa para expor onde as políticas organizacionais, ou de usuário, para permitir e bloquear emails foram substituídos.Overrides: This filter takes information that appears on the mail's details tab and uses it to expose where organizational, or user policies, for allowing and blocking mails have been overridden. O mais importante sobre esse filtro é que ele ajuda a equipe de segurança da sua organização a ver quantos emails suspeitos foram entregues devido à configuração.The most important thing about this filter is that it helps your organization's security team see how many suspicious emails were delivered due to configuration. Isso oferece a eles a oportunidade de modificar as permites e os blocos conforme necessário.This gives them an opportunity to modify allows and blocks as needed. Esse conjunto de resultados desse filtro pode ser exportado para planilha.This result set of this filter can be exported to spreadsheet.



    Substituições do Explorador de AmeaçasThreat Explorer Overrides O que eles significamWhat they mean
    Permitido pela Política de OrganizaçãoAllowed by Org Policy O email foi permitido na caixa de correio conforme direcionado pela política da organização.Mail was allowed into the mailbox as directed by the organization policy.
    Bloqueado pela política orgBlocked by Org policy O email foi bloqueado da entrega para a caixa de correio conforme direcionado pela política da organização.Mail was blocked from delivery to the mailbox as directed by the organization policy.
    Extensão de arquivo bloqueada pela Política de OrganizaçãoFile extension blocked by Org Policy O arquivo foi bloqueado da entrega para a caixa de correio, conforme direcionado pela política da organização.File was blocked from delivery to the mailbox as directed by the organization policy.
    Permitido pela Política de UsuárioAllowed by User Policy O email foi permitido na caixa de correio conforme direcionado pela política de usuário.Mail was allowed into the mailbox as directed by the user policy.
    Bloqueado pela Política de UsuárioBlocked by User Policy O email foi bloqueado da entrega para a caixa de correio conforme direcionado pela política de usuário.Mail was blocked from delivery to the mailbox as directed by the user policy.

    Ameaça de URL: o campo de ameaça de URL foi incluído na guia detalhes de um email para indicar a ameaça apresentada por uma URL.URL threat: The URL threat field has been included on the details tab of an email to indicate the threat presented by a URL. As ameaças apresentadas por uma URL podem incluir Malware, Phish, ou Spam e uma URL sem ameaça dirá Nenhuma na seção ameaças. Threats presented by a URL can include Malware, Phish, or Spam, and a URL with no threat will say None in the threats section.

  7. Exibição de linha do tempo de email : sua equipe de operações de segurança pode precisar analisar profundamente os detalhes de email para investigar mais.Email timeline view: Your security operations team might need to deep-dive into email details to investigate further. A linha do tempo de email permite que os administradores exibirem as ações realizadas em um email, desde a entrega até a pós-entrega.The email timeline allows admins to view actions taken on an email from delivery to post-delivery. Para exibir uma linha do tempo de email, clique no assunto de uma mensagem de email e clique em Linha do tempo de email.To view an email timeline, click on the subject of an email message, and then click Email timeline. (Ele aparece entre outros títulos no painel, como Resumo ou Detalhes.) Esses resultados podem ser exportados para planilha.(It appears among other headings on the panel like Summary or Details.) These results can be exported to spreadsheet.

    A linha do tempo do email será aberta para uma tabela que mostra todos os eventos de entrega e pós-entrega do email.Email timeline will open to a table that shows all delivery and post-delivery events for the email. Se não houver mais ações no email, você deverá ver um único evento para a entrega original que declara um resultado, como Bloqueado, com um veredito como Phish.If there are no further actions on the email, you should see a single event for the original delivery that states a result, such as Blocked, with a verdict like Phish. Os administradores podem exportar toda a linha do tempo de email, incluindo todos os detalhes na guia e no email (como, Assunto, Remetente, Destinatário, Rede e ID de Mensagem).Admins can export the entire email timeline, including all details on the tab and email (such as, Subject, Sender, Recipient, Network, and Message ID). A linha do tempo do email reduz a randomização porque há menos tempo gasto verificando locais diferentes para tentar entender os eventos que aconteceram desde que o email chegou.The email timeline cuts down on randomization because there is less time spent checking different locations to try to understand events that happened since the email arrived. Quando vários eventos ocorrem em, ou próximos, ao mesmo tempo em um email, esses eventos aparecem em um modo de exibição de linha do tempo.When multiple events happen at, or close to, the same time on an email, those events show up in a timeline view.

  8. Visualização/download: O Explorador de Ameaças fornece à sua equipe de operações de segurança os detalhes necessários para investigar emails suspeitos.Preview / download: Threat Explorer gives your security operations team the details they need to investigate suspicious email. Sua equipe de operações de segurança pode:Your security operations team can either:

Verificar a ação de entrega e o localCheck the delivery action and location

No Explorador de Ameaças (e detecções em tempo real), agora você tem colunas de Ação de Entrega e Local de Entrega em vez da coluna anterior status de entrega.In Threat Explorer (and real-time detections), you now have Delivery Action and Delivery Location columns instead of the former Delivery Status column. Isso resulta em uma imagem mais completa de onde suas mensagens de email estão.This results in a more complete picture of where your email messages land. Parte do objetivo dessa alteração é facilitar as investigações para as equipes de operações de segurança, mas o resultado líquido é conhecer rapidamente o local das mensagens de email com problemas.Part of the goal of this change is to make investigations easier for security operations teams, but the net result is knowing the location of problem email messages at a glance.

O Status da Entrega agora está dividido em duas colunas:Delivery Status is now broken out into two columns:

  • Ação de entrega - Qual é o status deste email?Delivery action - What is the status of this email?
  • Local de entrega - Onde esse email foi roteado como resultado?Delivery location - Where was this email routed as a result?

Ação de entrega é a ação realizada em um email devido a políticas ou detecções existentes.Delivery action is the action taken on an email due to existing policies or detections. Aqui estão as ações possíveis que um email pode realizar:Here are the possible actions an email can take:

  • Entregue – o email foi entregue na caixa de entrada ou pasta de um usuário e o usuário pode acessá-lo diretamente.Delivered – email was delivered to inbox or folder of a user and the user can directly access it.
  • Lixo eletrônico – o email foi enviado para a pasta lixo eletrônico do usuário ou a pasta excluída, e o usuário tem acesso a mensagens de email em sua pasta Lixo Eletrônico ou Excluído.Junked – email was sent to either user's junk folder or deleted folder, and the user has access to email messages in their Junk or Deleted folder.
  • Bloqueado – todas as mensagens de email que estão em quarentena, que falharam ou foram retiradas.Blocked – any email messages that are quarantined, that failed, or were dropped. (Isso é completamente inacessível pelo usuário.)(This is completely inaccessible by the user.)
  • Substituído – qualquer email em que anexos mal-intencionados são substituídos por arquivos .txt que afirmam que o anexo foi mal-intencionado.Replaced – any email where malicious attachments are replaced by .txt files that state the attachment was malicious.

O local de entrega mostra os resultados de políticas e detecções que são executados após a entrega.Delivery location shows the results of policies and detections that run post-delivery. Ele está vinculado a uma Ação de Entrega.It's linked to a Delivery Action. Este campo foi adicionado para dar uma visão da ação tomada quando um email de problema é encontrado.This field was added to give insight into the action taken when a problem mail is found. Aqui estão os valores possíveis do local de entrega:Here are the possible values of delivery location:

  • Caixa de entrada ou pasta – O email está na caixa de entrada ou em uma pasta (de acordo com suas regras de email).Inbox or folder – The email is in the inbox or a folder (according to your email rules).
  • Local ou externo – A caixa de correio não existe na nuvem, mas é local.On-prem or external – The mailbox doesn't exist on cloud but is on-premises.
  • Pasta lixo eletrônico – O email está na pasta Lixo Eletrônico do usuário.Junk folder – The email is in a user's Junk folder.
  • Pasta itens excluídos – O email está na pasta Itens Excluídos de um usuário.Deleted items folder – The email is in a user's Deleted items folder.
  • Quarentena – O email em quarentena e não na caixa de correio de um usuário.Quarantine – The email in quarantine, and not in a user's mailbox.
  • Falha – O email falhou ao chegar à caixa de correio.Failed – The email failed to reach the mailbox.
  • Descartado – O email é perdido em algum lugar no fluxo de emails.Dropped – The email gets lost somewhere in the mail flow.

Exibir a linha do tempo do seu emailView the timeline of your email

Linha do tempo do email é um campo no Explorador de Ameaças que facilita a busca para sua equipe de operações de segurança.Email Timeline is a field in Threat Explorer that makes hunting easier for your security operations team. Quando vários eventos ocorrem ao mesmo tempo em um email, esses eventos aparecem em um modo de exibição de linha do tempo.When multiple events happen at or close to the same time on an email, those events show up in a timeline view. Alguns eventos que ocorrem após a entrega para email são capturados na coluna Ações especiais.Some events that happen post-delivery to email are captured in the Special actions column. Combinar informações da linha do tempo de uma mensagem de email com quaisquer ações especiais que foram realizadas após a entrega fornece aos administradores informações sobre políticas e tratamento de ameaças (como onde o email foi roteado e, em alguns casos, qual foi a avaliação final).Combining information from the timeline of an email message with any special actions that were taken post-delivery gives admins insight into policies and threat handling (such as where the mail was routed, and, in some cases, what the final assessment was).

Importante

Pule para um tópico de correção aqui.Jump to a remediation topic here.

Correção de emails mal-intencionados entregues Office 365Remediate malicious email delivered in Office 365

Obter o Microsoft Defender para Office 365Microsoft Defender for Office 365

Proteger contra ameaças em Office 365Protect against threats in Office 365

Exibir relatórios do Defender para Office 365View reports for Defender for Office 365