Расследование вредоносных сообщений электронной почты, доставленных в Office 365Investigate malicious email that was delivered in Office 365

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область примененияApplies to

Microsoft Defender для Office 365 позволяет исследовать действия, которые ставят людей в организацию под угрозу, и принимать меры для защиты организации.Microsoft Defender for Office 365 enables you to investigate activities that put people in your organization at risk, and to take action to protect your organization. Например, если вы входите в команду безопасности организации, вы можете найти и исследовать доставленные подозрительные сообщения электронной почты.For example, if you are part of your organization's security team, you can find and investigate suspicious email messages that were delivered. Это можно сделать с помощью обозревателя угроз (или обнаружения в режиме реального времени).You can do this by using Threat Explorer (or real-time detections).

Примечание

Перейти к статье исправление здесь.Jump to the remediation article here.

Прежде чем начатьBefore you begin

Убедитесь, что выполняются следующие требования:Make sure that the following requirements are met:

Разрешения на просмотр ролейPreview role permissions

Для выполнения определенных действий, таких как просмотр загонщиков сообщений или скачивание контента сообщений электронной почты, необходимо добавить новую роль под названием Preview в другую соответствующую группу ролей.To perform certain actions, such as viewing message headers or downloading email message content, you must have a new role called Preview added to another appropriate role group. В следующей таблице разъясняются необходимые роли и разрешения.The following table clarifies required roles and permissions.


ДействиеActivity Группа ролейRole group Роль предварительного просмотра?Preview role needed?
Использование обозревателя угроз (и обнаружения в режиме реального времени) для анализа угрозUse Threat Explorer (and real-time detections) to analyze threats Глобальный администраторGlobal Administrator

Администратор безопасностиSecurity Administrator

Читатель сведений о безопасностиSecurity Reader

НетNo
Использование обозревателя угроз (и обнаружения в режиме реального времени) для просмотра загонов для сообщений электронной почты, а также предварительного просмотра и загрузки карантиновой электронной почтыUse Threat Explorer (and real-time detections) to view headers for email messages as well as preview and download quarantined email messages Глобальный администраторGlobal Administrator

Администратор безопасностиSecurity Administrator

Читатель сведений о безопасностиSecurity Reader

НетNo
Использование обозревателя угроз для просмотра загонщиков, предварительного просмотра электронной почты (только на странице сущности электронной почты) и загрузки сообщений электронной почты, доставляемых в почтовые ящикиUse Threat Explorer to view headers, preview email (only in the email entity page) and download email messages delivered to mailboxes Глобальный администраторGlobal Administrator

Администратор безопасностиSecurity Administrator

Читатель сведений о безопасностиSecurity Reader

Предварительная версияPreview

ДаYes

Примечание

Предварительный просмотр — это роль, а не группа ролей; Роль Preview должна быть добавлена в существующую группу ролей для Office 365 https://protection.office.com (на).Preview is a role and not a role group; the Preview role must be added to an existing role group for Office 365 (at https://protection.office.com). Перейдите к разрешениям и отредактировать существующую группу ролей или добавить новую группу ролей с назначенной ролью Preview.Go to Permissions, and then either edit an existing role group or add a new role group with the Preview role assigned. Роль глобального администратора назначена центру администрирования Microsoft 365 (), а роли администратора безопасности и читателя безопасности назначены в Центре & безопасности https://admin.microsoft.com https://protection.office.com ( ).The Global Administrator role is assigned the Microsoft 365 admin center (https://admin.microsoft.com), and the Security Administrator and Security Reader roles are assigned in the Security & Compliance Center (https://protection.office.com). Дополнительные информацию о ролях и разрешениях см. в центре разрешений & безопасности.To learn more about roles and permissions, see Permissions in the Security & Compliance Center.

Мы понимаем, что предварительный просмотр и загрузка электронной почты являются конфиденциальными действиями, поэтому для них включен аудит.We understand previewing and downloading email are sensitive activities, and so we auditing is enabled for these. После выполнения администратором этих действий по электронной почте для них создаются журналы аудита, которые можно увидеть в Центре обеспечения безопасности Office 365 & https://protection.office.com ().Once an admin performs these activities on emails, audit logs are generated for the same and can be seen in the Office 365 Security & Compliance Center (https://protection.office.com). Перейдите к > поиску журнала аудита поиска и фильтрации имени администратора в разделе Поиск.Go to Search > Audit log search and filter on the admin name in Search section. Фильтруемые результаты будут показывать активность AdminMailAccess.The filtered results will show activity AdminMailAccess. Выберите строку, чтобы просмотреть сведения в разделе Дополнительные сведения о предварительной или загруженной электронной почте.Select a row to view details in the More information section about previewed or downloaded email.

Поиск подозрительной электронной почты, доставленнойFind suspicious email that was delivered

Обозреватель угроз — это мощный отчет, который может служить нескольким целям, таким как поиск и удаление сообщений, определение IP-адреса вредоносного отправителя электронной почты или начало инцидента для дальнейшего расследования.Threat Explorer is a powerful report that can serve multiple purposes, such as finding and deleting messages, identifying the IP address of a malicious email sender, or starting an incident for further investigation. В следующей процедуре основное внимание уделяется использованию Explorer для поиска и удаления вредоносной электронной почты из почтовых ящиков получателя.The following procedure focuses on using Explorer to find and delete malicious email from recipient's mailboxes.

Примечание

Поиск по умолчанию в Explorer в настоящее время не включает элементы Zapped.Default searches in Explorer don't currently include Zapped items. Это относится ко всем представлениям, например вредоносным программам или представлениям фишинга.This applies to all views, for example malware or phish views. Чтобы включить элементы Zapped, необходимо добавить набор действий delivery, чтобы включить в него Removed by ZAP.To include Zapped items you need to add a Delivery action set to include Removed by ZAP. Если включить все параметры, вы увидите все результаты действий доставки, включая элементы Zapped.If you include all options, you'll see all delivery action results, including Zapped items.

  1. Перейдите к Обозревателю угроз: перейдите к и войдите с помощью вашей учетной записи https://protection.office.com для Office 365 или учебной учетной записи.Navigate to Threat Explorer: Go to https://protection.office.com and sign in using your work or school account for Office 365. Это делает вас в Центре & безопасности.This takes you to the Security & Compliance Center.

  2. В левом быстром запуске навигации выберите Обозреватель управления > угрозами.In the left navigation quick-launch, choose Threat management > Explorer.

    Обозреватель с полями Действия доставки и расположения доставки.

    Вы можете заметить новый столбец Специальные действия.You may notice the new Special actions column. Эта функция предназначена для того, чтобы рассказать администраторам о результатах обработки электронной почты.This feature is aimed at telling admins the outcome of processing an email. Столбец Специальные действия можно получить доступ в том же месте, что и к действию Доставки и расположению доставки.The Special actions column can be accessed in the same place as Delivery action and Delivery location. Специальные действия могут быть обновлены в конце шкалы электронной почты обозревателя угроз, которая является новой функцией, направленной на улучшение охоты для администраторов.Special actions might be updated at the end of Threat Explorer's email timeline, which is a new feature aimed at making the hunting experience better for admins.

  3. Представления в обозревателе угроз: в меню Просмотр выберите все сообщения электронной почты.Views in Threat Explorer: In the View menu, choose All email.

    Меню Просмотра обозревателя угроз и электронной почты — вредоносные программы, фишинг, отправки и все параметры электронной почты, а также контент — вредоносные программы.

    Представление вредоносных программ в настоящее время является по умолчанию и захватывает сообщения электронной почты, в которых обнаружена угроза вредоносных программ.The Malware view is currently the default, and captures emails where a malware threat is detected. Представление Phish работает таким же образом, как и фишинг.The Phish view operates in the same way, for Phish.

    Однако все представления электронной почты перечислены все сообщения, полученные организацией, независимо от того, были ли обнаружены угрозы или нет.However, All email view lists every mail received by the organization, whether threats were detected or not. Как вы можете себе представить, это большое количество данных, поэтому в этом представлении показан местообладатель, который просит применить фильтр.As you can imagine, this is a lot of data, which is why this view shows a placeholder that asks a filter be applied. (Это представление доступно только для клиентов Defender для Office 365 P2.)(This view is only available for Defender for Office 365 P2 customers.)

    Представление представлений отображает все сообщения, отправленные администратором или пользователем, которые были переданы в Корпорацию Майкрософт.Submissions view shows up all mails submitted by admin or user that were reported to Microsoft.

  4. Поиск и фильтрация в обозревателе угроз: фильтры отображаются в верхней части страницы в панели поиска, чтобы помочь администраторам в их расследованиях.Search and filter in Threat Explorer: Filters appear at the top of the page in the search bar to help admins in their investigations. Обратите внимание, что одновременно можно применить несколько фильтров и добавить в фильтр несколько значений, разделенных запятой, чтобы сузить поиск.Notice that multiple filters can be applied at the same time, and multiple comma-separated values added to a filter to narrow down the search. Помните:Remember:

    • Фильтры точно соответствуют большинству условий фильтрации.Filters do exact matching on most filter conditions.
    • Фильтр subject использует запрос CONTAINS.Subject filter uses a CONTAINS query.
    • URL-фильтры работают с протоколами или без них (например.URL filters work with or without protocols (ex. https).https).
    • Для фильтрации url-домена, пути URL-адреса и фильтров URL-адресов и путей не требуется фильтровать протокол.URL domain, URL path, and URL domain and path filters don't require a protocol to filter.
    • Чтобы получить соответствующие результаты, необходимо щелкнуть значок Обновления при каждом изменении значений фильтра.You must click the Refresh icon every time you change the filter values to get relevant results.
  5. Расширенные фильтры. С помощью этих фильтров можно создавать сложные запросы и фильтровать набор данных.Advanced filters: With these filters, you can build complex queries and filter your data set. Щелкнув расширенные фильтры, откроется флажок с вариантами.Clicking on Advanced Filters opens a flyout with options.

    Расширенный фильтр — отличное дополнение к возможностям поиска.Advanced filtering is a great addition to search capabilities. В домене Recipient, Sender и Sender был введен фильтр boolean NOT, позволяющий администраторам исследовать, исключая значения.A boolean NOT filter has been introduced on Recipient, Sender and Sender domain to allow admins to investigate by excluding values. Этот параметр отображается в параметре selection Contains none of.This option appears under selection parameter Contains none of. НЕ позволит администраторам исключить почтовые ящики оповещений, почтовые ящики ответов по умолчанию из своих расследований, и это полезно для тех случаев, когда администраторы ищут определенный объект (subject="Attention), где получатель не может быть назначен ни одному из contoso.com @ defaultMail .NOT will let admins exclude alert mailboxes, default reply mailboxes from their investigations, and is useful for cases where admins search for a specific subject (subject="Attention") where the Recipient can be set to none of defaultMail@contoso.com. Это точный поиск значения.This is an exact value search.

    Получатели — "Не содержит" Расширенный фильтр.

    Фильтрация по часам поможет быстро сверлить команду безопасности организации.Filtering by hours will help your organization's security team drill down quickly. Самая короткая разрешенная продолжительность — 30 минут.The shortest allowed time duration is 30 minutes. Если вы можете сузить подозрительное действие по времени (например, это произошло 3 часа назад), это ограничит контекст и поможет выявить проблему.If you can narrow the suspicious action by time-frame (e.g. it happened 3 hours ago), this will limit the context and help pinpoint the problem.

    Параметр фильтрации по часам, чтобы сузить количество групп безопасности данных, которые должны обрабатываться, а самая короткая продолжительность — 30 минут.

  6. Поля в Обозревателе угроз: Обозреватель угроз предоставляет гораздо больше сведений о почте, связанных с безопасностью, таких как доставка, расположение доставки, специальное действие, directionality, переопределения и url-адрес угрозы. Fields in Threat Explorer: Threat Explorer exposes a lot more security-related mail information such as Delivery action, Delivery location, Special action, Directionality, Overrides, and URL threat. Это также позволяет группе безопасности вашей организации с большей уверенностью исследовать.It also allows your organization's security team to investigate with a higher certainty.

    Действие доставки — это действие, принятое по электронной почте в связи с существующими политиками или обнаружениями.Delivery action is the action taken on an email due to existing policies or detections. Вот возможные действия, которые может принять электронная почта:Here are the possible actions an email can take:

    • Доставлено — электронная почта доставлялась в папку "Входящие" или папки пользователя, и пользователь может напрямую получить к нему доступ.Delivered – email was delivered to inbox or folder of a user and the user can directly access it.
    • Нежелательное (Доставлено в нежелательное) — электронная почта отправляется в нежелательной папке пользователя или удаленную папку, и пользователь имеет доступ к сообщениям электронной почты в нежелательной или удаленной папке.Junked (Delivered to junk)– email was sent to either user's junk folder or deleted folder, and the user has access to email messages in their Junk or Deleted folder.
    • Заблокировано — все сообщения электронной почты, которые находятся на карантине, которые не удалось или были отброшены.Blocked – any email messages that are quarantined, that failed, or were dropped. (Это полностью недоступно пользователю.)(This is completely inaccessible by the user.)
    • Заменено — любая электронная почта, в которой вредоносные вложения заменяются файлами txt, в которых вложение было вредоносным.Replaced – any email where malicious attachments are replaced by .txt files that state the attachment was malicious

    Расположение доставки: доступен фильтр расположения доставки, чтобы помочь администраторам понять, где заподозрили вредоносный почтовый ящик и какие действия были приняты на него.Delivery location: The Delivery location filter is available in order to help admins understand where suspected malicious mail ended-up and what actions were taken on it. Полученные данные можно экспортировать в таблицу.The resulting data can be exported to spreadsheet. Возможные расположения доставки:Possible delivery locations are:

    • Почтовый ящик или папка — электронная почта находится в папке "Входящие" или в определенной папке в соответствии с правилами электронной почты.Inbox or folder – The email is in the Inbox or a specific folder, according to your email rules.
    • On-prem или external — почтовый ящик не существует в облаке, а является локальной.On-prem or external – The mailbox doesn't exist in the Cloud but is on-premises.
    • Нежелательной папки — электронная почта находится в папке нежелательной почты пользователя.Junk folder – The email is in a user's Junk mail folder.
    • Папка удаленных элементов — электронная почта находится в папке удаленных элементов пользователя.Deleted items folder – The email is in a user's Deleted items folder.
    • Карантин — электронная почта в карантине, а не в почтовом ящике пользователя.Quarantine – The email in quarantine, and not in a user's mailbox.
    • Не удалось — сообщение не дотянулось до почтового ящика.Failed – The email failed to reach the mailbox.
    • Сброс — сообщение было потеряно где-то в потоке почты.Dropped – The email was lost somewhere in the mail flow.

    Directionality. Этот параметр позволяет вашей группе операций безопасности фильтровать по "направлению", из него поступает или идет почта.Directionality: This option allows your security operations team to filter by the 'direction' a mail comes from, or is going. Значения направленности: входящие, исходящие и intra-org (соответствующие почте, приходящие в вашу организацию извне, отосланные из вашей организации или отправленные внутренне на вашу организацию соответственно). Directionality values are Inbound, Outbound, and Intra-org (corresponding to mail coming into your org from outside, being sent out of your org, or being sent internally to your org, respectively). Эти сведения могут помочь командам операций безопасности обнаружить спуфинг и обезличение, так как несоответствие между значением Directionality (например.This information can help security operations teams spot spoofing and impersonation, because a mismatch between the Directionality value (ex. Входящий), и домен отправитель (который, как представляется, внутренний домен) будет очевиден!Inbound), and the domain of the sender (which appears to be an internal domain) will be evident! Значение Directionality отдельно и может отличаться от трассировки сообщений.The Directionality value is separate, and can differ from, the Message Trace. Результаты можно экспортировать в таблицу.Results can be exported to spreadsheet.

    Переопределения. Этот фильтр принимает сведения, которые появляются на вкладке сведений почты, и использует его, чтобы выявить, где переопределены организационные или пользовательские политики для допуска и блокировки почты.Overrides: This filter takes information that appears on the mail's details tab and uses it to expose where organizational, or user policies, for allowing and blocking mails have been overridden. Самое важное, что этот фильтр помогает группе безопасности организации узнать, сколько подозрительных сообщений было доставлено из-за конфигурации.The most important thing about this filter is that it helps your organization's security team see how many suspicious emails were delivered due to configuration. Это дает им возможность изменять разрешимые и блоки по мере необходимости.This gives them an opportunity to modify allows and blocks as needed. Этот набор результатов этого фильтра можно экспортировать в таблицу.This result set of this filter can be exported to spreadsheet.


    Переопределения обозревателя угрозThreat Explorer Overrides Что они означаютWhat they mean
    Разрешено политикой OrgAllowed by Org Policy Почта была разрешена в почтовый ящик, как это было указано политикой организации.Mail was allowed into the mailbox as directed by the organization policy.
    Заблокировано политикой OrgBlocked by Org policy Почта была заблокирована при доставке в почтовый ящик, как это было указано политикой организации.Mail was blocked from delivery to the mailbox as directed by the organization policy.
    Расширение файлов заблокировано политикой OrgFile extension blocked by Org Policy Файл был заблокирован при доставке в почтовый ящик, как это было указано политикой организации.File was blocked from delivery to the mailbox as directed by the organization policy.
    Разрешено политикой пользователейAllowed by User Policy Почта была разрешена в почтовый ящик, как указано в политике пользователя.Mail was allowed into the mailbox as directed by the user policy.
    Заблокировано политикой пользователейBlocked by User Policy Почта была заблокирована при доставке в почтовый ящик, как это было указано политикой пользователя.Mail was blocked from delivery to the mailbox as directed by the user policy.

    URL-адрес угрозы. Поле угроз URL-адресов было включено на вкладке сведений электронной почты, чтобы указать угрозу, представленную URL-адресом. URL threat: The URL threat field has been included on the details tab of an email to indicate the threat presented by a URL. Угрозы, представленные URL-адресом, могут включать вредоносные программы, фишинг или спам, а URL-адрес без угрозы не будет указан в разделе Угрозы. Threats presented by a URL can include Malware, Phish, or Spam, and a URL with no threat will say None in the threats section.

  7. Представление временной шкалы электронной почты. Возможно, группе операций безопасности потребуется глубоко погрузиться в сведения электронной почты для дальнейшего изучения.Email timeline view: Your security operations team might need to deep-dive into email details to investigate further. Временная шкала электронной почты позволяет администраторам просматривать действия, принятые по электронной почте от доставки до после доставки.The email timeline allows admins to view actions taken on an email from delivery to post-delivery. Чтобы просмотреть временную шкалу электронной почты, щелкните тему сообщения электронной почты, а затем нажмите временную шкалу электронной почты.To view an email timeline, click on the subject of an email message, and then click Email timeline. (Он отображается среди других заголовков на панели, например Summary или Details.) Эти результаты можно экспортировать в электронные таблицы.(It appears among other headings on the panel like Summary or Details.) These results can be exported to spreadsheet.

    Временная шкала электронной почты откроется для таблицы, в которую будут показаны все события доставки и после доставки для электронной почты.Email timeline will open to a table that shows all delivery and post-delivery events for the email. Если в сообщении электронной почты больше нет действий, необходимо увидеть одно событие для исходной доставки, в результате чего будет гласен результат, например Blocked, с таким вердиктом, как Phish.If there are no further actions on the email, you should see a single event for the original delivery that states a result, such as Blocked, with a verdict like Phish. Администраторы могут экспортировать всю временную шкалу электронной почты, включая все сведения на вкладке и электронной почте (например, Subject, Sender, Recipient, Network и Message ID).Admins can export the entire email timeline, including all details on the tab and email (such as, Subject, Sender, Recipient, Network, and Message ID). Временная шкала электронной почты сокращает рандомизацию, так как меньше времени тратится на проверку различных местоположений, чтобы попытаться понять события, которые произошли с момента прибытия электронной почты.The email timeline cuts down on randomization because there is less time spent checking different locations to try to understand events that happened since the email arrived. Когда в одном и том же времени на электронной почте происходит несколько событий, эти события показываются в представлении временной шкалы.When multiple events happen at, or close to, the same time on an email, those events show up in a timeline view.

  8. Предварительный просмотр и скачивание. Обозреватель угроз предоставляет группе операций безопасности сведения, необходимые для расследования подозрительной электронной почты.Preview / download: Threat Explorer gives your security operations team the details they need to investigate suspicious email. Ваша группа операций безопасности может:Your security operations team can either:

Проверка действия и расположения доставкиCheck the delivery action and location

В Обозревателе угроз (иобнаружениях в режиме реального времени) вместо прежнего столбца Состояние доставки теперь имеются столбцы Действия доставки и расположения доставки.In Threat Explorer (and real-time detections), you now have Delivery Action and Delivery Location columns instead of the former Delivery Status column. Это приводит к более полной картине того, где приземлились сообщения электронной почты.This results in a more complete picture of where your email messages land. Одна из целей этого изменения состоит в том, чтобы упростить исследования для групп операций безопасности, но чистым результатом является знание расположения проблемных сообщений электронной почты с первого взгляда.Part of the goal of this change is to make investigations easier for security operations teams, but the net result is knowing the location of problem email messages at a glance.

Состояние доставки теперь разбито на два столбца:Delivery Status is now broken out into two columns:

  • Действие доставки . Каков статус этого сообщения?Delivery action - What is the status of this email?

  • Расположение доставки . Где в результате была отправлена эта электронная почта?Delivery location - Where was this email routed as a result?

Действие доставки — это действие, принятое по электронной почте в связи с существующими политиками или обнаружениями.Delivery action is the action taken on an email due to existing policies or detections. Вот возможные действия, которые может принять электронная почта:Here are the possible actions an email can take:

  • Доставлено — электронная почта доставлялась в папку "Входящие" или папки пользователя, и пользователь может напрямую получить к нему доступ.Delivered – email was delivered to inbox or folder of a user and the user can directly access it.

  • Нежелательной почты — электронная почта была отправлена в нежелательной папке пользователя или удаленную папку, и пользователь имеет доступ к сообщениям электронной почты в нежелательной или удаленной папке.Junked – email was sent to either user's junk folder or deleted folder, and the user has access to email messages in their Junk or Deleted folder.

  • Заблокировано — все сообщения электронной почты, которые находятся на карантине, которые не удалось или были отброшены.Blocked – any email messages that are quarantined, that failed, or were dropped. (Это полностью недоступно пользователю.)(This is completely inaccessible by the user.)

  • Заменено — любая электронная почта, в которой вредоносные вложения заменяются файлами txt, в которых вложение было вредоносным.Replaced – any email where malicious attachments are replaced by .txt files that state the attachment was malicious.

Расположение доставки показывает результаты политик и обнаружения, которые запускают после доставки.Delivery location shows the results of policies and detections that run post-delivery. Это связано с действием доставки.It's linked to a Delivery Action. Это поле было добавлено для анализа действий, принятых при обнаружении проблемной почты.This field was added to give insight into the action taken when a problem mail is found. Вот возможные значения расположения доставки:Here are the possible values of delivery location:

  • Папка "Входящие" или "Папка" — электронная почта находится в папке "Входящие" или "Папка" (в соответствии с правилами электронной почты).Inbox or folder – The email is in the inbox or a folder (according to your email rules).

  • On-prem или external — почтовый ящик не существует в облаке, а локально.On-prem or external – The mailbox doesn't exist on cloud but is on-premises.

  • Нежелательной папки — электронная почта находится в нежелательной папке пользователя.Junk folder – The email is in a user's Junk folder.

  • Папка удаленных элементов — электронная почта находится в папке удаленных элементов пользователя.Deleted items folder – The email is in a user's Deleted items folder.

  • Карантин — электронная почта в карантине, а не в почтовом ящике пользователя.Quarantine – The email in quarantine, and not in a user's mailbox.

  • Не удалось — сообщение не дотянулось до почтового ящика.Failed – The email failed to reach the mailbox.

  • Сброс — сообщение теряется где-то в потоке почты.Dropped – The email gets lost somewhere in the mail flow.

Просмотр временной шкалы электронной почтыView the timeline of your email

Шкала электронной почты — это поле в Обозревателе угроз, которое упрощает поиск для вашей группы операций безопасности.Email Timeline is a field in Threat Explorer that makes hunting easier for your security operations team. Когда несколько событий происходят в одно и то же время по электронной почте, эти события показываются в представлении временной шкалы.When multiple events happen at or close to the same time on an email, those events show up in a timeline view. Некоторые события, которые происходят после доставки электронной почты, запечатлены в столбце Специальные действия.Some events that happen post-delivery to email are captured in the Special actions column. Сочетание сведений из временной шкалы сообщения электронной почты с любыми специальными действиями, которые были приняты после доставки, позволяет администраторам получить представление о политиках и обработке угроз (например, о том, где была отправлена почта, а в некоторых случаях — о том, какая была окончательная оценка).Combining information from the timeline of an email message with any special actions that were taken post-delivery gives admins insight into policies and threat handling (such as where the mail was routed, and, in some cases, what the final assessment was).

Важно!

Переперейти к теме исправлений здесь.Jump to a remediation topic here.

Исправление вредоносной электронной почты, доставленной в Office 365Remediate malicious email delivered in Office 365

Microsoft Defender для Office 365Microsoft Defender for Office 365

Защита от угроз в Office 365Protect against threats in Office 365

Просмотр отчетов для Defender для Office 365View reports for Defender for Office 365