Aviseringsregler i säkerhets- och efterlevnadscentretAlert policies in the security and compliance center

Du kan skapa aviseringsprinciper och instrumentpanelsverktyg för aviseringar i säkerhets- och efterlevnadscenter för Microsoft 365 för att skapa aviseringsprinciper och sedan visa de aviseringar som genereras när användare utför aktiviteter som matchar villkoren i en aviseringsprincip.You can use the alert policy and alert dashboard tools in the Microsoft 365 security and compliance centers to create alert policies and then view the alerts generated when users perform activities that match the conditions of an alert policy. Det finns flera standardprinciper för aviseringar som hjälper dig att övervaka aktiviteter, till exempel tilldela administratörsbehörigheter i Exchange Online, attacker mot skadlig programvara, nätfiskekampanjer och ovanliga nivåer av filborttagning och extern delning.There are several default alert policies that help you monitor activities such as assigning admin privileges in Exchange Online, malware attacks, phishing campaigns, and unusual levels of file deletions and external sharing.

Med aviseringsprinciper kan du kategorisera aviseringar som utlöses av en princip, tillämpa principen på alla användare i organisationen, ange en tröskelvärdesnivå för när en avisering ska utlösas och bestämma om du vill få e-postaviseringar när aviseringar utlöses.Alert policies let you categorize the alerts that are triggered by a policy, apply the policy to all users in your organization, set a threshold level for when an alert is triggered, and decide whether to receive email notifications when alerts are triggered. Det finns även sidan Visa aviseringar i säkerhets- och efterlevnadscentret där du kan visa och filtrera aviseringar, ange en aviseringsstatus som hjälper dig att hantera aviseringar och sedan stänga aviseringar när du har hanterat eller löst den underliggande incidenten.There's also a View alerts page in the security and compliance center where you can view and filter alerts, set an alert status to help you manage alerts, and then dismiss alerts after you've addressed or resolved the underlying incident.

Anteckning

Aviseringsprinciper är tillgängliga för organisationer som har en prenumeration på Microsoft 365 Enterprise, Office 365 Enterprise eller Office 365 för myndigheter i USA, abonnemanget E1/F1/G1, E3/F3/G3 eller E5/G5.Alert policies are available for organizations with a Microsoft 365 Enterprise, Office 365 Enterprise, or Office 365 US Government E1/F1/G1, E3/F3/G3, or E5/G5 subscription. Avancerade funktioner är endast tillgängliga för organisationer med en E5/G5-prenumeration eller för organisationer som har en E1/F1/G1- eller E3/F3/G3-prenumeration och en Microsoft Defender för Office 365 P2 eller en Microsoft 365 E5 Compliance- eller E5-prenumeration för eDiscovery och granskning.Advanced functionality is only available for organizations with an E5/G5 subscription, or for organizations that have an E1/F1/G1 or E3/F3/G3 subscription and a Microsoft Defender for Office 365 P2 or a Microsoft 365 E5 Compliance or an E5 eDiscovery and Audit add-on subscription. Funktionen som kräver en E5/G5 eller en tilläggsprenumeration är markerad i det här avsnittet.The functionality that requires an E5/G5 or add-on subscription is highlighted in this topic. Observera även att aviseringsprinciper är tillgängliga i Office 365 GCC, GCC hög och doD amerikanska myndigheters miljöer.Also note that alert policies are available in Office 365 GCC, GCC High, and DoD US government environments.

Hur aviseringsprinciper fungerarHow alert policies work

Här är en snabb överblick över hur aviseringsprinciper fungerar och aviseringar som utlöses när användar- eller administratörsaktivitet matchar villkoren i en aviseringsprincip.Here's a quick overview of how alert policies work and the alerts that are triggers when user or admin activity matches the conditions of an alert policy.

Översikt över hur aviseringsprinciper fungerar

  1. En administratör i organisationen skapar, konfigurerar och aktiverar en aviseringsprincip genom att använda sidan Aviseringsprinciper i säkerhets- och efterlevnadscentret.An admin in your organization creates, configures, and turns on an alert policy by using the Alert policies page in the security and compliance center. Du kan också skapa aviseringsprinciper med hjälp av cmdleten New-ProtectionAlert i Security & Compliance Center PowerShell.You can also create alert policies by using the New-ProtectionAlert cmdlet in Security & Compliance Center PowerShell.

    För att skapa aviseringsprinciper måste du ha tilldelats rollen Hantera aviseringar eller rollen Organisationskonfiguration i säkerhets- och efterlevnadscentret.To create alert policies, you have to be assigned the Manage Alerts role or the Organization Configuration role in the security and compliance center.

    Anteckning

    Det tar upp till 24 timmar efter att en aviseringsprincip har skapats eller uppdaterats innan aviseringar kan utlösas av principen.It takes up to 24 hours after creating or updating an alert policy before alerts can be triggered by the policy. Det beror på att principen måste synkroniseras till aviseringsmotorn.This is because the policy has to be synced to the alert detection engine.

  2. En användare utför en aktivitet som matchar villkoren i en aviseringsprincip.A user performs an activity that matches the conditions of an alert policy. Vid attacker mot skadlig programvara utlöser smittade e-postmeddelanden som skickas till användare i organisationen en avisering.In the case of malware attacks, infected email messages sent to users in your organization trigger an alert.

  3. Microsoft 365 genererar en avisering som visas på sidan Visa aviseringar i säkerhets- & efterlevnadscenter.Microsoft 365 generates an alert that's displayed on the View alerts page in the Security & Compliance Center. Och om e-postaviseringar är aktiverade för aviseringsprincipen skickar Microsoft en avisering till en lista över mottagare.Also, if email notifications are enabled for the alert policy, Microsoft sends a notification to a list of recipients. Aviseringarna som en administratör eller andra användare kan se på sidan Visa aviseringar bestäms av de roller som tilldelats till användaren.The alerts that an admin or other users can see that on the View alerts page is determined by the roles assigned to the user. Mer information finns i RBAC-behörigheter som krävs för att visa aviseringar.For more information, see RBAC permissions required to view alerts.

  4. En administratör hanterar aviseringar i säkerhets- och efterlevnadscentret.An admin manages alerts in the security and compliance center. Hantering av aviseringar består av att tilldela en aviseringsstatus för att spåra och hantera en undersökning.Managing alerts consists of assigning an alert status to help track and manage any investigation.

AviseringsprincipinställningarAlert policy settings

En aviseringsprincip består av en uppsättning regler och villkor som definierar den användar- eller administratörsaktivitet som genererar en avisering, en lista över användare som utlöser aviseringen om de utför aktiviteten samt ett tröskelvärde som anger hur många gånger aktiviteten måste utföras innan en avisering utlöses.An alert policy consists of a set of rules and conditions that define the user or admin activity that generates an alert, a list of users who trigger the alert if they perform the activity, and a threshold that defines how many times the activity has to occur before an alert is triggered. Du kategoriserar även principen och tilldelar den en allvarlighetsnivå.You also categorize the policy and assign it a severity level. De här två inställningarna hjälper dig att hantera aviseringsprinciper (och aviseringar som utlöses när principvillkoren matchas) eftersom du kan filtrera på de här inställningarna när du hanterar principer och visar aviseringar i säkerhets- och efterlevnadscentret.These two settings help you manage alert policies (and the alerts that are triggered when the policy conditions are matched) because you can filter on these settings when managing policies and viewing alerts in the security and compliance center. Du kan till exempel visa aviseringar som matchar villkoren från samma kategori eller visa aviseringar med samma allvarlighetsnivå.For example, you can view alerts that match the conditions from the same category or view alerts with the same severity level.

Om du vill visa och skapa aviseringsprinciper går du https://protection.office.com till och väljer principer för > aviseringar.To view and create alert policies, go to https://protection.office.com and then select Alerts > Alert policies.

I säkerhets- och efterlevnadscentret väljer du Aviseringar och sedan Aviseringsprinciper för att visa och skapa aviseringsprinciper

En aviseringsprincip består av följande inställningar och villkor.An alert policy consists of the following settings and conditions.

  • Aktiviteten som aviseringen spårar – Du skapar en princip för att spåra en aktivitet eller i vissa fall några relaterade aktiviteter, till exempel att dela en fil med en extern användare genom att dela den, tilldela åtkomstbehörigheter eller skapa en anonym länk.Activity the alert is tracking - You create a policy to track an activity or in some cases a few related activities, such a sharing a file with an external user by sharing it, assigning access permissions, or creating an anonymous link. När en användare utför aktiviteten som definieras av principen utlöses en avisering baserat på inställningarna för aviseringströskel.When a user performs the activity defined by the policy, an alert is triggered based on the alert threshold settings.

    Anteckning

    Vilka aktiviteter du kan spåra beror på organisationens plan för Office 365 Enterprise eller Office 365 amerikanska myndigheter.The activities that you can track depend on your organization's Office 365 Enterprise or Office 365 US Government plan. I allmänhet kräver aktiviteter som rör skadlig programvara och nätfiskeattacker en E5/G5-prenumeration eller en E1/F1/G1- eller E3/F3/G3-prenumeration med en Defender för Office 365 Abonnemang 2-tilläggsprenumeration.In general, activities related to malware campaigns and phishing attacks require an E5/G5 subscription or an E1/F1/G1 or E3/F3/G3 subscription with an Defender for Office 365 Plan 2 add-on subscription.

  • Aktivitetsvillkor – För de flesta aktiviteter kan du definiera ytterligare villkor som måste uppfyllas för att utlösa en avisering.Activity conditions - For most activities, you can define additional conditions that must be met to trigger an alert. Vanliga villkor omfattar IP-adresser (så att en avisering utlöses när användaren utför aktiviteten på en dator med en viss IP-adress eller inom ett IP-adressintervall), om en avisering utlöses om en viss användare eller användare utför aktiviteten och om aktiviteten utförs på ett visst filnamn eller en viss URL.Common conditions include IP addresses (so that an alert is triggered when the user performs the activity on a computer with a specific IP address or within an IP address range), whether an alert is triggered if a specific user or users perform that activity, and whether the activity is performed on a specific file name or URL. Du kan också konfigurera ett villkor som utlöser en avisering när aktiviteten utförs av en användare i organisationen.You can also configure a condition that triggers an alert when the activity is performed by any user in your organization. De tillgängliga villkoren är beroende av den valda aktiviteten.The available conditions are dependent on the selected activity.

  • När aviseringen utlöses – Du kan konfigurera en inställning som definierar hur ofta en aktivitet kan inträffa innan en avisering utlöses.When the alert is triggered - You can configure a setting that defines how often an activity can occur before an alert is triggered. Det här gör att du kan konfigurera en princip för att generera en avisering varje gång en aktivitet matchar principvillkoren, när ett visst tröskelvärde överskrids eller när förekomsten av aktiviteten som aviseringen spårar blir ovanlig för organisationen.This allows you to set up a policy to generate an alert every time an activity matches the policy conditions, when a certain threshold is exceeded, or when the occurrence of the activity the alert is tracking becomes unusual for your organization.

    Konfigurera hur aviseringar utlöses, baserat på när aktiviteten inträffar, ett tröskelvärde eller ovanlig aktivitet för organisationen

    Om du väljer inställningen baserat på ovanlig aktivitet upprättar Microsoft ett baslinjevärde som definierar normalfrekvensen för den valda aktiviteten.If you select the setting based on unusual activity, Microsoft establishes a baseline value that defines the normal frequency for the selected activity. Det tar upp till sju dagar att upprätta den här baslinjen, då aviseringar inte genereras.It takes up to seven days to establish this baseline, during which alerts won't be generated. När baslinjen har upprättats utlöses en avisering när frekvensen för aktiviteten som spåras av aviseringsprincipen avsevärt överskrider baslinjevärdet.After the baseline is established, an alert is triggered when the frequency of the activity tracked by the alert policy greatly exceeds the baseline value. För granskningsrelaterade aktiviteter (till exempel fil- och mappaktiviteter) kan du skapa en baslinje baserat på en enskild användare eller baserat på alla användare i organisationen. för aktiviteter som rör skadlig programvara kan du upprätta en baslinje baserat på en enskild programfamilj, en enskild mottagare eller alla meddelanden i organisationen.For auditing-related activities (such as file and folder activities), you can establish a baseline based on a single user or based on all users in your organization; for malware-related activities, you can establish a baseline based on a single malware family, a single recipient, or all messages in your organization.

    Anteckning

    Möjligheten att konfigurera aviseringsprinciper baserat på ett tröskelvärde eller baserat på ovanlig aktivitet kräver en prenumeration på E5/G5 eller en prenumeration på E1/F1/F1 eller E3/F3/G3 med en prenumeration på Microsoft Defender för Office 365 P2, Microsoft 365 E5 Compliance eller Microsoft 365 för tillägget eDiscovery och granskning.The ability to configure alert policies based on a threshold or based on unusual activity requires an E5/G5 subscription, or an E1/F1/G1 or E3/F3/G3 subscription with a Microsoft Defender for Office 365 P2, Microsoft 365 E5 Compliance, or Microsoft 365 eDiscovery and Audit add-on subscription. Organisationer som har en E1/F1/G1- och E3/F3/G3-prenumeration kan bara skapa aviseringsprinciper där en avisering utlöses varje gång en aktivitet inträffar.Organizations with an E1/F1/G1 and E3/F3/G3 subscription can only create alert policies where an alert is triggered every time that an activity occurs.

  • Aviseringskategori – Om du vill ha hjälp med att spåra och hantera aviseringar som skapas av en princip kan du tilldela en av följande kategorier till en princip.Alert category - To help with tracking and managing the alerts generated by a policy, you can assign one of the following categories to a policy.

    • DataförlustskyddData loss prevention

    • InformationsstyrningInformation governance

    • E-postflödeMail flow

    • BehörigheterPermissions

    • HothanteringThreat management

    • AndraOthers

    När en aktivitet inträffar som matchar villkoren i aviseringsprincipen taggas den avisering som skapas med den kategori som definierats i den här inställningen.When an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the category defined in this setting. På så sätt kan du spåra och hantera aviseringar som har samma kategoriinställning på sidan Visa aviseringar i säkerhets- och efterlevnadscentret eftersom du kan sortera och filtrera aviseringar baserat på kategori.This allows you to track and manage alerts that have the same category setting on the View alerts page in the security and compliance center because you can sort and filter alerts based on category.

  • Aviserings allvarlighetsgrad – Liknar aviseringskategorin och tilldelar ett attribut för allvarlighetsgrad (låg, medel, hög eller information) till aviseringsprinciper.Alert severity - Similar to the alert category, you assign a severity attribute (Low, Medium, High, or Informational) to alert policies. På samma sätt som aviseringskategorin taggas den avisering som skapas med samma allvarlighetsnivå som angetts för aviseringsprincipen när en aktivitet inträffar som matchar villkoren i aviseringsprincipen.Like the alert category, when an activity occurs that matches the conditions of the alert policy, the alert that's generated is tagged with the same severity level that's set for the alert policy. På så sätt kan du spåra och hantera aviseringar som har samma inställning för allvarlighetsgrad på sidan Visa aviseringar.Again, this allows you to track and manage alerts that have the same severity setting on the View alerts page. Du kan till exempel filtrera listan med aviseringar så att endast aviseringar med hög allvarlighetsgrad visas.For example, you can filter the list of alerts so that only alerts with a High severity are displayed.

    Tips

    När du ställer in en aviseringsprincip kan du överväga att tilldela aktiviteter med större allvarlighetsgrad som kan leda till allvarliga negativa konsekvenser, t.ex. identifiering av skadlig programvara efter leverans till användare, visning av känsliga eller klassificerade data, delning av data med externa användare eller andra aktiviteter som kan leda till dataförlust eller säkerhetshot.When setting up an alert policy, consider assigning a higher severity to activities that can result in severely negative consequences, such as detection of malware after delivery to users, viewing of sensitive or classified data, sharing data with external users, or other activities that can result in data loss or security threats. Det kan hjälpa dig att prioritera aviseringar och de åtgärder du vidta för att undersöka och lösa de underliggande orsakerna.This can help you prioritize alerts and the actions you take to investigate and resolve the underlying causes.

  • E-postaviseringar – Du kan konfigurera principen så att e-postaviseringar skickas (eller inte skickas) till en lista över användare när en avisering utlöses.Email notifications - You can set up the policy so that email notifications are sent (or not sent) to a list of users when an alert is triggered. Du kan också ange en daglig aviseringsgräns så att inga fler aviseringar skickas för aviseringen under den dagen när det maximala antalet aviseringar har uppnåtts.You can also set a daily notification limit so that once the maximum number of notifications has been reached, no more notifications are sent for the alert during that day. Förutom e-postaviseringar kan du och andra administratörer visa aviseringar som utlöses av en princip på sidan Visa aviseringar.In addition to email notifications, you or other administrators can view the alerts that are triggered by a policy on the View alerts page. Överväg att aktivera e-postaviseringar för aviseringsprinciper för en viss kategori eller som har en högre inställning för allvarlighetsgrad.Consider enabling email notifications for alert policies of a specific category or that have a higher severity setting.

StandardaviseringsprinciperDefault alert policies

Microsoft tillhandahåller inbyggda aviseringsprinciper som hjälper till Exchange identifiera missbruk av administratörsbehörighet, skadlig programvara, potentiella externa och interna hot samt informationsstyrningsrisker.Microsoft provides built-in alert policies that help identify Exchange admin permissions abuse, malware activity, potential external and internal threats, and information governance risks. På sidan Aviseringsprinciper är namnen på dessa inbyggda principer i fetstil och principtypen definieras som System.On the Alert policies page, the names of these built-in policies are in bold and the policy type is defined as System. De här principerna är aktiverat som standard.These policies are turned on by default. Du kan inaktivera de här principerna (eller aktivera dem igen), konfigurera en lista över mottagare att skicka e-postaviseringar till och ange en daglig aviseringsgräns.You can turn off these policies (or back on again), set up a list of recipients to send email notifications to, and set a daily notification limit. Andra inställningar för dessa principer kan inte redigeras.The other settings for these policies can't be edited.

I följande tabell visas och beskrivs de tillgängliga standardaviseringsprinciperna och den kategori som varje princip tilldelas till.The following table lists and describes the available default alert policies and the category each policy is assigned to. Kategorin används för att avgöra vilka aviseringar en användare kan visa på sidan Visa aviseringar.The category is used to determine which alerts a user can view on the View alerts page. Mer information finns i RBAC-behörigheter som krävs för att visa aviseringar.For more information, see RBAC permissions required to view alerts.

Tabellen anger också vilket Office 365 Enterprise och Office 365 för var och en av dem.The table also indicates the Office 365 Enterprise and Office 365 US Government plan required for each one. Vissa standardaviseringsprinciper är tillgängliga om din organisation har rätt tilläggsprenumeration utöver en E1/F1/G1- eller E3/F3/G3-prenumeration.Some default alert policies are available if your organization has the appropriate add-on subscription in addition to an E1/F1/G1 or E3/F3/G3 subscription.

StandardaviseringsprincipDefault alert policy BeskrivningDescription KategoriCategory Enterprise-prenumerationEnterprise subscription
Ett potentiellt skadligt URL-klick upptäcktesA potentially malicious URL click was detected Genererar en avisering när en användare som skyddas Valv länkar i din organisation klickar på en skadlig länk.Generates an alert when a user protected by Safe Links in your organization clicks a malicious link. Händelsen utlöses när ändringar av URL-bedömning identifieras av Microsoft Defender för Office 365 eller när användare åsidosätter Valv-länksidorna (baserat på organisationens Microsoft 365 för företag Valv Links-policy).This event is triggered when URL verdict changes are identified by Microsoft Defender for Office 365 or when users override the Safe Links pages (based on your organization's Microsoft 365 for business Safe Links policy). Den här aviseringsprincipen har inställningen Hög allvarlighetsgrad.This alert policy has a High severity setting. För Defender för Office 365 P2-, E5- och G5-kunder utlöser den här aviseringen automatiskt automatisk undersökning och svar i Office 365.For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. Mer information om händelser som utlöser den här aviseringen finns i Konfigurera Valv principer för länkar.For more information on events that trigger this alert, see Set up Safe Links policies. HothanteringThreat management E5/G5 eller Defender Office 365 en P2-tilläggsprenumerationE5/G5 or Defender for Office 365 P2 add-on subscription
Resultat av administratörsinskick slutförtAdmin Submission result completed Genererar en avisering när en administratörs inskickad inskickad entitet har slutförts.Generates an alert when an Admin Submission completes the rescan of the submitted entity. En avisering utlöses varje gång ett återskanna resultat återges från en inskickad administratör.An alert will be triggered every time a rescan result is rendered from an Admin Submission. Dessa aviseringar är avsedda att påminna dig att granska resultaten av tidigare inskickade , skicka användarrapporterade meddelanden för att få den senaste principkontrollen och visa på nytt för att avgöra om filtreringsprinciperna i organisationen har den avsedda påverkan.These alerts are meant to remind you to review the results of previous submissions, submit user reported messages to get the latest policy check and rescan verdicts, and help you determine if the filtering policies in your organization are having the intended impact. Den här principen har inställningen Informations allvarlighetsgrad.This policy has a Informational severity setting. HothanteringThreat management E1/F1, E3/F3 eller E5E1/F1, E3/F3, or E5
Admin utlöst manuell undersökning av e-postAdmin triggered manual investigation of email Genererar en varning när en administratör utlöser manuell undersökning av ett e-postmeddelande från Hotutforskaren.Generates an alert when an admin triggers the manual investigation of an email from Threat Explorer. Mer information finns i Exempel: En säkerhetsadministratör utlöser en undersökning från Threat Explorer.For more information, see Example: A security administrator triggers an investigation from Threat Explorer. Det här meddelandet meddelar organisationen att undersökningen har påbörjats.This alert notifies your organization that the investigation was started. Aviseringen ger information om vem som utlöste den och innehåller en länk till undersökningen.The alert provides information about who triggered it and includes a link to the investigation. Den här principen har inställningen Allvarlighetsgrad i information.This policy has an Informational severity setting. HothanteringThreat management E5/G5 eller Microsoft Defender Office 365 en P2-tilläggsprenumerationE5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Skapa regel för vidarebefordran / omdirigeringCreation of forwarding/redirect rule Genererar en avisering när någon i organisationen skapar en inkorgsregel för sin postlåda som vidarebefordrar eller omdirigerar meddelanden till ett annat e-postkonto.Generates an alert when someone in your organization creates an inbox rule for their mailbox that forwards or redirects messages to another email account. Med den här principen spårar du bara inkorgsregler som skapats med Outlook på webben (tidigare kallat Outlook Web App) eller Exchange Online PowerShell.This policy only tracks inbox rules that are created using Outlook on the web (formerly known as Outlook Web App) or Exchange Online PowerShell. Den här principen har inställningen Informations allvarlighetsgrad.This policy has a Informational severity setting. Mer information om hur du använder inkorgsregler för att vidarebefordra och omdirigera e-Outlook i Outlook på webben finns i Använda regler i Outlook på webben för att automatiskt vidarebefordra meddelanden till ett annat konto.For more information about using inbox rules to forward and redirect email in Outlook on the web, see Use rules in Outlook on the web to automatically forward messages to another account. HothanteringThreat management E1/F1/G1, E3/F3/G3 eller E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
eDiscovery-sökning startade eller exporteradeseDiscovery search started or exported Genererar en avisering när någon använder verktyget Innehållssökning i Säkerhets- och efterlevnadscenter.Generates an alert when someone uses the Content search tool in the Security and compliance center. En avisering utlöses när följande aktiviteter för innehållssökning utförs:An alert is triggered when the following content search activities are performed:

* En innehållssökning startas* A content search is started
* Resultatet av en innehållssökning exporteras* The results of a content search are exported
* En rapport för innehållssökning exporteras* A content search report is exported

Aviseringar utlöses också när tidigare aktiviteter för innehållssökning utförs tillsammans med ett eDiscovery-ärende.Alerts are also triggered when the previous content search activities are performed in association with an eDiscovery case. Den här principen har inställningen Informations allvarlighetsgrad.This policy has a Informational severity setting. Mer information om aktiviteter för innehållssökning finns i Söka efter eDiscovery-aktiviteter i granskningsloggen.For more information about content search activities, see Search for eDiscovery activities in the audit log.
HothanteringThreat management E1/F1/G1, E3/F3/G3 eller E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Höjd på Exchange administratörsbehörighetElevation of Exchange admin privilege Genererar en avisering när någon tilldelas administrativ behörighet i Exchange Online organisation.Generates an alert when someone is assigned administrative permissions in your Exchange Online organization. Till exempel när en användare läggs till i rollgruppen Organisationshantering i Exchange Online.For example, when a user is added to the Organization Management role group in Exchange Online. Den här principen har inställningen Låg allvarlighetsgrad.This policy has a Low severity setting. BehörigheterPermissions E1/F1/G1, E3/F3/G3 eller E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
E-postmeddelanden som innehåller skadlig kod har tagits bort efter leveransEmail messages containing malware removed after delivery Genererar en avisering när meddelanden som innehåller skadlig programvara levereras till postlådor i organisationen.Generates an alert when any messages containing malware are delivered to mailboxes in your organization. Om den här händelsen inträffar tar Microsoft bort de smittade meddelandena Exchange Online postlådor med automatisk rensning på nolltimmar.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. Den här principen har en inställning för allvarlighetsgrad i information och utlöser automatiskt automatisk undersökning och svar i Office 365.This policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. HothanteringThreat management E5/G5 eller Microsoft Defender Office 365 en P2-tilläggsprenumerationE5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
E-postmeddelanden med nätfiske togs bort efter leveransEmail messages containing phish URLs removed after delivery Genererar en avisering när några meddelanden som innehåller phish levereras till postlådor i din organisation.Generates an alert when any messages containing phish are delivered to mailboxes in your organization. Om den här händelsen inträffar tar Microsoft bort de smittade meddelandena Exchange Online postlådor med automatisk rensning på nolltimmar.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes using Zero-hour auto purge. Den här principen har en inställning för allvarlighetsgrad i information och utlöser automatiskt automatisk undersökning och svar i Office 365.This policy has an Informational severity setting and automatically triggers automated investigation and response in Office 365. HothanteringThreat management E5/G5 eller Defender Office 365 en P2-tilläggsprenumerationE5/G5 or Defender for Office 365 P2 add-on subscription
E-postmeddelande rapporterat av användare som skadlig programvara eller nätfiskeEmail reported by user as malware or phish Genererar en avisering när användare i organisationen rapporterar meddelanden som nätfiskemeddelanden med tillägget Rapportmeddelande.Generates an alert when users in your organization report messages as phishing email using the Report Message add-in. Den här principen har inställningen Låg allvarlighetsgrad.This policy has an Low severity setting. Mer information om det här tillägget finns i Använda tillägget Rapportmeddelande.For more information about this add-in, see Use the Report Message add-in. För Defender för Office 365 P2-, E5- och G5-kunder utlöser den här aviseringen automatiskt automatisk undersökning och svar i Office 365.For Defender for Office 365 P2, E5, G5 customers, this alert automatically triggers automated investigation and response in Office 365. HothanteringThreat management E1/F1/G1, E3/F3/G3 eller E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Gränsen för att skicka e-post har överskriditsEmail sending limit exceeded Genererar en avisering när någon i organisationen har skickat mer e-post än vad som tillåts av policyn för utgående skräppost.Generates an alert when someone in your organization has sent more mail than is allowed by the outbound spam policy. Det är oftast en indikation på att användaren skickar för mycket e-post eller att kontot kan ha komprometterats.This is usually an indication the user is sending too much email or that the account may be compromised. Den här principen har inställningen Medel allvarlighetsgrad.This policy has a Medium severity setting. Om du får en avisering som genereras av den här aviseringsprincipen är det en bra idé att kontrollera om användarkontot har komprometterats.If you get an alert generated by this alert policy, it's a good idea to check whether the user account is compromised. HothanteringThreat management E1/F1/G1, E3/F3/G3 eller E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Formulär som blockerats på grund av potentiellt nätfiskeförsökForm blocked due to potential phishing attempt Genererar en avisering när någon i organisationen har begränsats från att dela formulär och samla in svar med Microsoft Forms på grund av upptäckt upprepat beteende för nätfiskeförsök.Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. Den här principen har inställningen Hög allvarlighetsgrad.This policy has a High severity setting. HothanteringThreat management E1, E3/F3 eller E5E1, E3/F3, or E5
Flaggat formulär och bekräftat som nätfiskeForm flagged and confirmed as phishing Genererar en avisering när ett formulär som skapats i Microsoft Forms från din organisation har identifierats som potentiellt nätfiske via rapportera missbruk och bekräftats som nätfiske av Microsoft.Generates an alert when a form created in Microsoft Forms from within your organization has been identified as potential phishing through Report Abuse and confirmed as phishing by Microsoft. Den här principen har inställningen Hög allvarlighetsgrad.This policy has a High severity setting. HothanteringThreat management E1, E3/F3 eller E5E1, E3/F3, or E5
Meddelanden har fördröjtsMessages have been delayed Genererar en avisering när Microsoft inte kan leverera e-postmeddelanden till din lokala organisation eller en partnerserver med hjälp av en anslutare.Generates an alert when Microsoft can't deliver email messages to your on-premises organization or a partner server by using a connector. När detta händer är meddelandet i kö i Office 365.When this happens, the message is queued in Office 365. Den här aviseringen utlöses när det finns 2 000 meddelanden eller fler som har köats i mer än en timme.This alert is triggered when there are 2,000 messages or more that have been queued for more than an hour. Den här principen har inställningen Hög allvarlighetsgrad.This policy has a High severity setting. E-postflödeMail flow E1/F1/G1, E3/F3/G3 eller E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Skadlig programvara som upptäckts efter leveransMalware campaign detected after delivery Genererar en avisering när ett ovanligt stort antal meddelanden som innehåller skadlig programvara levereras till postlådor i organisationen.Generates an alert when an unusually large number of messages containing malware are delivered to mailboxes in your organization. Om detta inträffar tar Microsoft bort de smittade meddelandena från Exchange Online postlådor.If this event occurs, Microsoft removes the infected messages from Exchange Online mailboxes. Den här principen har inställningen Hög allvarlighetsgrad.This policy has a High severity setting. HothanteringThreat management E5/G5 eller Microsoft Defender Office 365 en P2-tilläggsprenumerationE5/G5 or Microsoft Defender for Office 365 P2 add-on subscription
Skadlig programvara har upptäckts och blockeratsMalware campaign detected and blocked Genererar en avisering när någon har försökt skicka ett ovanligt stort antal e-postmeddelanden som innehåller en viss typ av skadlig programvara till användare i organisationen.Generates an alert when someone has attempted to send an unusually large number of email messages containing a certain type of malware to users in your organization. Om detta inträffar blockeras de smittade meddelandena av Microsoft och levereras inte till postlådor.If this event occurs, the infected messages are blocked by Microsoft and not delivered to mailboxes. Den här principen har inställningen Låg allvarlighetsgrad.This policy has a Low severity setting. HothanteringThreat management E5/G5 eller Defender Office 365 en P2-tilläggsprenumerationE5/G5 or Defender for Office 365 P2 add-on subscription
Skadlig programvara upptäcktes i SharePoint och OneDriveMalware campaign detected in SharePoint and OneDrive Genererar en avisering när en ovanligt stor volym av skadlig programvara eller virus upptäcks i filer som finns på SharePoint webbplatser eller OneDrive-konton i organisationen.Generates an alert when an unusually high volume of malware or viruses is detected in files located in SharePoint sites or OneDrive accounts in your organization. Den här principen har inställningen Hög allvarlighetsgrad.This policy has a High severity setting. HothanteringThreat management E5/G5 eller Defender Office 365 en P2-tilläggsprenumerationE5/G5 or Defender for Office 365 P2 add-on subscription
Skadlig programvara har inte zapped eftersom ZAP har inaktiveratsMalware not zapped because ZAP is disabled Genererar en avisering när Microsoft upptäcker leverans av ett skadlig meddelande till en postlåda eftersom funktionen Zero-Hour autorensning för phish-meddelanden har inaktiverats.Generates an alert when Microsoft detects delivery of a malware message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. Den här principen har inställningen Allvarlighetsgrad i information.This policy has an Informational severity setting. HothanteringThreat management E5/G5 eller Defender Office 365 en P2-tilläggsprenumerationE5/G5 or Defender for Office 365 P2 add-on subscription
Levererad phish eftersom en användares skräppostmapp är inaktiveradPhish delivered because a user's Junk Mail folder is disabled Genererar en avisering när Microsoft identifierar att en användares skräppostmapp är inaktiverad, vilket tillåter leverans av ett nätfiskemeddelande med hög säkerhet till en postlåda.Generates an alert when Microsoft detects a user’s Junk Mail folder is disabled, allowing delivery of a high confidence phishing message to a mailbox. Den här principen har inställningen Allvarlighetsgrad i information.This policy has an Informational severity setting. HothanteringThreat management E5/G5 eller Defender Office 365 en P1- eller P2-tilläggsprenumerationE5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Phish levererat på grund av en ETR-åsidosättningPhish delivered due to an ETR override Genererar en avisering när Microsoft identifierar Exchange Transport Rule (ETR) som tillåtit leverans av ett nätfiskemeddelande med hög säkerhet till en postlåda.Generates an alert when Microsoft detects an Exchange Transport Rule (ETR) that allowed delivery of a high confidence phishing message to a mailbox. Den här principen har inställningen Allvarlighetsgrad i information.This policy has an Informational severity setting. Mer information om hur Exchange -transportregler (e-postflödesregler) finns i E-postflödesregler (transportregler) i Exchange Online.For more information about Exchange Transport Rules (Mail flow rules), see Mail flow rules (transport rules) in Exchange Online. HothanteringThreat management E5/G5 eller Defender Office 365 en P1- eller P2-tilläggsprenumerationE5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Phish levererat på grund av en IP-policy som tillåterPhish delivered due to an IP allow policy Genererar en avisering när Microsoft identifierar en princip för IP-tillstånd som tillåter leverans av ett nätfiskemeddelande med hög säkerhet till en postlåda.Generates an alert when Microsoft detects an IP allow policy that allowed delivery of a high confidence phishing message to a mailbox. Den här principen har inställningen Allvarlighetsgrad i information.This policy has an Informational severity setting. Mer information om principen för tillåtna IP (anslutningsfiltrering) finns i Konfigurera standardprincipen för anslutningsfilter – Office 365.For more information about the IP allow policy (connection filtering), see Configure the default connection filter policy - Office 365. HothanteringThreat management E5/G5 eller Defender Office 365 en P1- eller P2-tilläggsprenumerationE5/G5 or Defender for Office 365 P1 or P2 add-on subscription
Nätta inte zapped eftersom ZAP är inaktiveratPhish not zapped because ZAP is disabled Genererar en avisering när Microsoft identifierar leverans av ett nätfiskemeddelande med hög konfidens till en postlåda eftersom automatisk Zero-Hour för phish-meddelanden har inaktiverats.Generates an alert when Microsoft detects delivery of a high confidence phishing message to a mailbox because Zero-Hour Auto Purge for Phish messages is disabled. Den här principen har inställningen Allvarlighetsgrad i information.This policy has an Informational severity setting. HothanteringThreat management E5/G5 eller Defender Office 365 en P2-tilläggsprenumerationE5/G5 or Defender for Office 365 P2 add-on subscription
Levererad phish på grund av åsidosättning av klient eller användare1Phish delivered due to tenant or user override1 Genererar en avisering när Microsoft identifierar en administratör eller användare som åsidosätter tillåts leverans av nätfiskemeddelande till en postlåda.Generates an alert when Microsoft detects an admin or user override allowed the delivery of a phishing message to a mailbox. Exempel på åsidosättningar är en inkorgs- eller e-postflödesregel som tillåter meddelanden från en viss avsändare eller domän, eller en princip för skydd mot skräppost som tillåter meddelanden från vissa avsändare eller domäner.Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. Den här principen har inställningen Hög allvarlighetsgrad.This policy has a High severity setting. HothanteringThreat management E5/G5 eller Defender Office 365 en P2-tilläggsprenumerationE5/G5 or Defender for Office 365 P2 add-on subscription
Misstänkt vidarebefordran av e-postSuspicious email forwarding activity Genererar en avisering när någon i organisationen har automatiskt genererat e-post till ett misstänkt externt konto.Generates an alert when someone in your organization has autoforwarded email to a suspicious external account. Det här är en tidig varning om något beteende som kan indikera att kontot har komprometterats, men inte tillräckligt allvarligt för att begränsa användaren.This is an early warning for behavior that may indicate the account is compromised, but not severe enough to restrict the user. Den här principen har inställningen Hög allvarlighetsgrad.This policy has a High severity setting. Även om det är ovanligt kan en varning som genereras av den här principen vara en avvikande avvikelse.Although it's rare, an alert generated by this policy may be an anomaly. Det är en bra idé att kontrollera om användarkontot har komprometterats.It's a good idea to check whether the user account is compromised. HothanteringThreat management E1/F1/G1, E3/F3/G3 eller E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Mönster för att skicka misstänkta e-postmeddelanden upptäcktesSuspicious email sending patterns detected Genererar en avisering när någon i organisationen har skickat misstänkta e-postmeddelanden och riskerar att bli begränsade från att skicka e-post.Generates an alert when someone in your organization has sent suspicious email and is at risk of being restricted from sending email. Det här är en tidig varning om något beteende som kan indikera att kontot har komprometterats, men inte tillräckligt allvarligt för att begränsa användaren.This is an early warning for behavior that may indicate that the account is compromised, but not severe enough to restrict the user. Den här principen har inställningen Medel allvarlighetsgrad.This policy has a Medium severity setting. Även om det är ovanligt kan en varning som genereras av den här principen vara en avvikande avvikelse.Although it's rare, an alert generated by this policy may be an anomaly. Du bör dock kontrollera om användarkontot har komprometterats.However, it's a good idea to check whether the user account is compromised. HothanteringThreat management E1/F1/G1, E3/F3/G3 eller E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Klientorganisationen begränsad från att skicka e-postTenant restricted from sending email Genererar en avisering när de flesta av e-posttrafiken från organisationen har identifierats som misstänkt och Microsoft har begränsat organisationen från att skicka e-post.Generates an alert when most of the email traffic from your organization has been detected as suspicious and Microsoft has restricted your organization from sending email. Undersök alla potentiellt komprometterade användar- och administratörskonton, nya anslutningar eller öppna reläer och kontakta sedan Microsoft Support för att häva blockeringen av din organisation.Investigate any potentially compromised user and admin accounts, new connectors, or open relays, and then contact Microsoft Support to unblock your organization. Den här principen har inställningen Hög allvarlighetsgrad.This policy has a High severity setting. Mer information om varför organisationer blockeras finns i Korrigera problem med e-postleverans för felkod 5.7.7xx i Exchange Online.For more information about why organizations are blocked, see Fix email delivery issues for error code 5.7.7xx in Exchange Online. HothanteringThreat management E1/F1/G1, E3/F3/G3 eller E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Ovanliga filaktiviteter för externa användareUnusual external user file activity Genererar en avisering när ett ovanligt stort antal aktiviteter utförs på filer i SharePoint eller OneDrive av användare utanför organisationen.Generates an alert when an unusually large number of activities are performed on files in SharePoint or OneDrive by users outside of your organization. Det omfattar aktiviteter som att komma åt filer, ladda ned filer och ta bort filer.This includes activities such as accessing files, downloading files, and deleting files. Den här principen har inställningen Hög allvarlighetsgrad.This policy has a High severity setting. InformationsstyrningInformation governance E5/G5, Microsoft Defender för Office 365 P2 eller Microsoft 365 E5 en tilläggsprenumerationE5/G5, Microsoft Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Ovanliga volymen för extern fildelningUnusual volume of external file sharing Genererar en avisering när ett ovanligt stort antal filer i SharePoint eller OneDrive delas med användare utanför organisationen.Generates an alert when an unusually large number of files in SharePoint or OneDrive are shared with users outside of your organization. Den här principen har inställningen Medel allvarlighetsgrad.This policy has a Medium severity setting. InformationsstyrningInformation governance E5/G5, Defender för Office 365 P2 Microsoft 365 E5 prenumeration på tilläggetE5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Ovanlig volym av filborttagningUnusual volume of file deletion Genererar en avisering när ett ovanligt stort antal filer tas bort i SharePoint eller OneDrive inom en kort tidsperiod.Generates an alert when an unusually large number of files are deleted in SharePoint or OneDrive within a short time frame. Den här principen har inställningen Medel allvarlighetsgrad.This policy has a Medium severity setting. InformationsstyrningInformation governance E5/G5, Defender för Office 365 P2 Microsoft 365 E5 prenumeration på tilläggetE5/G5, Defender for Office 365 P2, or Microsoft 365 E5 add-on subscription
Ovanlig ökning av e-postmeddelanden rapporterade som nätfiskeUnusual increase in email reported as phish Genererar en avisering när antalet personer i organisationen ökar avsevärt med tillägget Rapportmeddelande i Outlook för att rapportera meddelanden som nätfiskemeddelanden.Generates an alert when there's a significant increase in the number of people in your organization using the Report Message add-in in Outlook to report messages as phishing mail. Den här principen har inställningen Medel allvarlighetsgrad.This policy has a Medium severity setting. Mer information om det här tillägget finns i Använda tillägget Rapportmeddelande.For more information about this add-in, see Use the Report Message add-in. HothanteringThreat management E5/G5 eller Defender Office 365 en P2-tilläggsprenumerationE5/G5 or Defender for Office 365 P2 add-on subscription
Personifiering av användare levererad till inkorgen/mapp1,2User impersonation phish delivered to inbox/folder1,2 Genererar en avisering när Microsoft upptäcker att en administratör eller användare som åsidosätter en användare har tillåtit leverans av en användare som utger sig för att vara nätfiskemeddelande till inkorgen (eller någon annan användartillgänglig mapp) i en postlåda.Generates an alert when Microsoft detects that an admin or user override has allowed the delivery of a user impersonation phishing message to the inbox (or other user-accessible folder) of a mailbox. Exempel på åsidosättningar är en inkorgs- eller e-postflödesregel som tillåter meddelanden från en viss avsändare eller domän, eller en princip för skydd mot skräppost som tillåter meddelanden från vissa avsändare eller domäner.Examples of overrides include an inbox or mail flow rule that allows messages from a specific sender or domain, or an anti-spam policy that allows messages from specific senders or domains. Den här principen har inställningen Medel allvarlighetsgrad.This policy has a Medium severity setting. HothanteringThreat management E5/G5 eller Defender Office 365 en P2-tilläggsprenumerationE5/G5 or Defender for Office 365 P2 add-on subscription
Användaren begränsad från att skicka e-postUser restricted from sending email Genererar en avisering när någon i din organisation är begränsad från att skicka utgående e-post.Generates an alert when someone in your organization is restricted from sending outbound mail. Det här resulterar vanligtvis när ett konto har komprometterats och användaren visas på sidan Begränsade användare i & Säkerhets- och efterlevnadscenter. This typically results when an account is compromised, and the user is listed on the Restricted Users page in the Security & Compliance Center. (Du kommer åt den här sidan genom att gå till > Review > Restricted Users).(To access this page, go to Threat management > Review > Restricted Users). Den här principen har inställningen Hög allvarlighetsgrad.This policy has a High severity setting. Mer information om begränsade användare finns i Ta bort en användare, domän eller IP-adress från en blockeringslista efter att ha skickat skräppost.For more information about restricted users, see Removing a user, domain, or IP address from a block list after sending spam email. HothanteringThreat management E1/F1/G1, E3/F3/G3 eller E5/G5E1/F1/G1, E3/F3/G3, or E5/G5
Användare begränsad till delning av formulär och insamling av svarUser restricted from sharing forms and collecting responses Genererar en avisering när någon i organisationen har begränsats från att dela formulär och samla in svar med Microsoft Forms på grund av upptäckt upprepat beteende för nätfiskeförsök.Generates an alert when someone in your organization has been restricted from sharing forms and collecting responses using Microsoft Forms due to detected repeated phishing attempt behavior. Den här principen har inställningen Hög allvarlighetsgrad.This policy has a High severity setting. HothanteringThreat management E1, E3/F3 eller E5E1, E3/F3, or E5

Anteckning

1 Vi har tillfälligt tagit bort denna standardaviseringsprincip baserat på feedback från kunder.1 We've temporarily removed this default alert policy based on customer feedback. Vi arbetar för att förbättra den och kommer att ersätta den med en ny version inom kort.We're working to improve it, and will replace it with a new version in the near future. Tills dess kan du skapa en anpassad aviseringsprincip som ersätter den här funktionen med hjälp av följande inställningar:Until then, you can create a custom alert policy to replace this functionality by using the following settings:
  * Aktivitet är phish e-post som upptäckts vid leverans  * Activity is Phish email detected at time of delivery
  * E-post är inte ZAP'd  * Mail is not ZAP'd
  * E-postriktningen är inkommande  * Mail direction is Inbound
  * Leveransstatus för e-post är Levererad  * Mail delivery status is Delivered
  * Identifieringsteknik är bevarande av skadlig URL, URL-detonation, avancerat phish-filter, allmänt phish-filter, domänpersonifiering, personifiering av användare och varumärkespersonifiering  * Detection technology is Malicious URL retention, URL detonation, Advanced phish filter, General phish filter, Domain impersonation, User impersonation, and Brand impersonation

   Mer information om skydd mot nätfiske i Office 365 finns i Konfigurera principer för skydd mot nätfiske och nätfiske.   For more information about anti-phishing in Office 365, see Set up anti-phishing and anti-phishing policies.

2 Återskapa den här aviseringsprincipen genom att följa instruktionerna i föregående fotnot, men välj Användarpersonifiering som den enda identifieringstekniken.2 To recreate this alert policy, follow the guidance in the previous footnote, but choose User impersonation as the only Detection technology.

Den ovanliga aktivitet som övervakas av vissa av de inbyggda principerna baseras på samma process som den aviseringströskelinställning som beskrevs tidigare.The unusual activity monitored by some of the built-in policies is based on the same process as the alert threshold setting that was previously described. Microsoft upprättar ett baslinjevärde som definierar normalfrekvensen för "vanlig" aktivitet.Microsoft establishes a baseline value that defines the normal frequency for "usual" activity. Aviseringar utlöses då när frekvensen för aktiviteter som spåras av den inbyggda aviseringsprincipen överstiger baslinjevärdet avsevärt.Alerts are then triggered when the frequency of activities tracked by the built-in alert policy greatly exceeds the baseline value.

Visa aviseringarViewing alerts

Om en aktivitet som utförs av användare i organisationen matchar inställningarna för en aviseringsprincip genereras en avisering och visas på sidan Visa aviseringar i säkerhets- och efterlevnadscentret.When an activity performed by users in your organization matches the settings of an alert policy, an alert is generated and displayed on the View alerts page in the security and compliance center. Beroende på inställningarna för en aviseringsprincip skickas även ett e-postmeddelande till en lista med angivna användare när en avisering utlöses.Depending on the settings of an alert policy, an email notification is also sent to a list of specified users when an alert is triggered. För varje avisering visar instrumentpanelen på sidan Visa aviseringar namnet på motsvarande aviseringsprincip, allvarlighetsgrad och kategori för aviseringen (definierad i aviseringsprincipen) och antalet gånger en aktivitet har inträffat som resulterade i att aviseringen skapades.For each alert, the dashboard on the View alerts page displays the name of the corresponding alert policy, the severity and category for the alert (defined in the alert policy), and the number of times an activity has occurred that resulted in the alert being generated. Det här värdet baseras på tröskelvärdet för aviseringsprincipen.This value is based on the threshold setting of the alert policy. Instrumentpanelen visar också status för varje avisering.The dashboard also shows the status for each alert. Mer information om hur du använder statusegenskapen för att hantera aviseringar finns i Hantera aviseringar.For more information about using the status property to manage alerts, see Managing alerts.

Om du vill visa aviseringar går du https://protection.office.com till och väljer aviseringar > visa aviseringar.To view alerts, go to https://protection.office.com and then select Alerts > View alerts.

I säkerhet och efterlevnad väljer du Aviseringar och sedan Visa aviseringar för att visa aviseringar

Du kan använda följande filter för att visa en delmängd av alla aviseringar på sidan Visa aviseringar.You can use the following filters to view a subset of all the alerts on the View alerts page.

  • Status.Status. Använd det här filtret för att visa aviseringar som har tilldelats en viss status.Use this filter to show alerts that are assigned a particular status. Standardstatusen är Aktiv.The default status is Active. Du eller andra administratörer kan ändra statusvärdet.You or other administrators can change the status value.

  • Policy.Policy. Använd det här filtret för att visa aviseringar som matchar inställningen för en eller flera aviseringsprinciper.Use this filter to show alerts that match the setting of one or more alert policies. Du kan också visa alla aviseringar för alla aviseringsprinciper.Or you can display all alerts for all alert policies.

  • Tidsperiod.Time range. Använd det här filtret för att visa aviseringar som genererats inom ett visst datum- och tidsperiod.Use this filter to show alerts that were generated within a specific date and time range.

  • Allvarlighetsgrad.Severity. Använd det här filtret för att visa aviseringar som har tilldelats en viss allvarlighetsgrad.Use this filter to show alerts that are assigned a specific severity.

  • Kategori.Category. Använd det här filtret för att visa aviseringar från en eller flera aviseringskategorier.Use this filter to show alerts from one or more alert categories.

  • Taggar.Tags. Använd det här filtret för att visa aviseringar från en eller flera användartaggar.Use this filter to show alerts from one or more user tags. Taggar återspeglas utifrån taggade postlådor eller användare som visas i aviseringarna.Tags are reflected based on tagged mailboxes or users that appear in the alerts. Mer information finns i Användartaggar Office 356 ATP.See User tags in Office 356 ATP to learn more.

  • Källa.Source. Använd det här filtret för att visa aviseringar som utlöses av aviseringsprinciper i säkerhets- och efterlevnadscentret eller varningar som Office 365 Cloud App Security principer, eller både och.Use this filter to show alerts triggered by alert policies in the security and compliance center or alerts triggered by Office 365 Cloud App Security policies, or both. Mer information om hur du Office 365 Cloud App Security aviseringar finns i Visa Cloud App Security aviseringar.For more information about Office 365 Cloud App Security alerts, see Viewing Cloud App Security alerts.

Viktigt

Filtrering och sortering efter användartaggar är för närvarande en offentlig förhandsgranskning.Filtering and sorting by user tags is currently in public preview. Den kan komma att ändras väsentligt innan den släpps till kommersiellt bruk.It may be substantially modified before it's commercially released. Microsoft ger inga garantier, uttryckliga eller underförstådda, med avseende på den information som ges om den.Microsoft makes no warranties, express or implied, with respect to the information provided about it.

AviseringsaggregeringAlert aggregation

Om flera händelser som matchar villkoren i en aviseringsprincip inträffar med en kort tidsperiod läggs de till i en befintlig avisering genom en process som kallas aviseringsaggregering.When multiple events that match the conditions of an alert policy occur with a short period of time, they are added to an existing alert by a process called alert aggregation. När en händelse utlöser en avisering genereras aviseringen och visas på sidan Visa aviseringar och ett meddelande skickas.When an event triggers an alert, the alert is generated and displayed on the View alerts page and a notification is sent. Om samma händelse inträffar inom aggregeringsintervallet lägger Microsoft 365 information om den nya händelsen till den befintliga aviseringen i stället för att utlösa en ny avisering.If the same event occurs within the aggregation interval, then Microsoft 365 adds details about the new event to the existing alert instead of triggering a new alert. Syftet med aggregering för aviseringar är att minska aviseringsutmattningen och att du kan fokusera på och vidta åtgärder på färre aviseringar för samma händelse.The goal of alert aggregation is to help reduce alert "fatigue" and let you focus and take action on fewer alerts for the same event.

Längden på aggregeringsintervallet beror på din Office 365 eller Microsoft 365 prenumeration.The length of the aggregation interval depends on your Office 365 or Microsoft 365 subscription.

PrenumerationSubscription AggregeringsintervallAggregation interval
Office 365 eller Microsoft 365 E5/G5Office 365 or Microsoft 365 E5/G5 1 minut1 minute
Microsoft Defender för Office 365 abonnemang 2Defender for Office 365 Plan 2 1 minut1 minute
Tillägg för E5-efterlevnad eller E5-tillägg för identifiering och granskningE5 Compliance add-on or E5 Discovery and Audit add-on 1 minut1 minute
Office 365 eller Microsoft 365 E1/F1/G1 eller E3/F3/G3Office 365 or Microsoft 365 E1/F1/G1 or E3/F3/G3 15 minuter15 minutes
Defender för Office 365 abonnemang 1 eller Exchange Online ProtectionDefender for Office 365 Plan 1 or Exchange Online Protection 15 minuter15 minutes

När händelser som matchar samma aviseringsprincip inträffar inom aggregeringsintervallet läggs information om den efterföljande händelsen till i den ursprungliga aviseringen.When events that match the same alert policy occur within the aggregation interval, details about the subsequent event are added to the original alert. För alla händelser visas information om aggregerade händelser i informationsfältet och antalet gånger en händelse inträffat med aggregeringsintervallet visas i fältet för antal aktiviteter/träffar.For all events, information about aggregated events is displayed in the details field and the number of times an event occurred with the aggregation interval is displayed in the activity/hit count field. Du kan visa mer information om alla sammantagna händelseinstanser genom att visa aktivitetslistan.You can view more information about all aggregated events instances by viewing the activity list.

På följande skärmbild visas en avisering med fyra sammantagna händelser.The following screenshot shows an alert with four aggregated events. Aktivitetslistan innehåller information om de fyra e-postmeddelanden som är relevanta för aviseringen.The activity list contains information about the four email messages relevant to the alert.

Exempel på aviseringsaggregering

Tänk på följande om aviseringsaggregering:Keep the following things in mind about alert aggregation:

  • Varningar som utlöstes av ett potentiellt skadligt URL-klick upptäcktes att standardaviseringsprincipen inte aggregerades.Alerts triggered by the A potentially malicious URL click was detected default alert policy are not aggregated. Det beror på att aviseringar som utlöses av den här principen är unika för varje användare och e-postmeddelande.This is because alerts triggered by this policy are unique to each user and email message.

  • För stunden anger inte egenskapen Antal aviseringar antalet aggregerade händelser för alla aviseringsprinciper.At this time, the Hit count alert property doesn't indicate the number of aggregated events for all alert policies. För aviseringar som utlöses av dessa aviseringsprinciper kan du visa de sammantagna händelserna genom att klicka på Visa meddelandelista eller Visa aktivitet för aviseringen.For alerts triggered by these alert policies, you can view the aggregated events by clicking View message list or View activity on the alert. Vi arbetar för att göra antalet aggregerade händelser som listas i egenskapen Hit count alert tillgänglig för alla aviseringsprinciper.We're working to make the number of aggregated events listed in the Hit count alert property available for all alert policies.

RBAC-behörigheter krävs för att visa aviseringarRBAC permissions required to view alerts

RBAC-behörigheterna (Rollbaserad åtkomstkontroll) som tilldelats användare i organisationen avgör vilka aviseringar en användare kan se på sidan Visa aviseringar.The Role Based Access Control (RBAC) permissions assigned to users in your organization determine which alerts a user can see on the View alerts page. Hur ska det göras?How is this accomplished? De hanteringsroller som tilldelats användare & (baserat på deras medlemskap i rollgrupper i säkerhets- och efterlevnadscentret) avgör vilka aviseringskategorier en användare kan se på sidan Visa aviseringar.The management roles assigned to users (based on their membership in role groups in the Security & Compliance Center) determine which alert categories a user can see on the View alerts page. Här är några exempel:Here are some examples:

  • Medlemmar i rollgruppen Hantering av arkivhandlingar kan bara visa aviseringar som genereras av aviseringsprinciper som tilldelats kategorin Informationsstyrning.Members of the Records Management role group can view only the alerts that are generated by alert policies that are assigned the Information governance category.

  • Medlemmar i rollgruppen Efterlevnadsadministratör kan inte visa aviseringar som genereras av aviseringsprinciper som tilldelats kategorin Hothantering.Members of the Compliance Administrator role group can't view alerts that are generated by alert policies that are assigned the Threat management category.

  • Medlemmar i rollgruppen för eDiscovery Manager kan inte visa aviseringar eftersom ingen av de tilldelade rollerna ger behörighet att visa aviseringar från någon aviseringskategori.Members of the eDiscovery Manager role group can't view any alerts because none of the assigned roles provide permission to view alerts from any alert category.

Med den här designen (baserat på behörigheterna för RBAC) kan du avgöra vilka aviseringar som kan visas (och hanteras) av användare i specifika roller i organisationen.This design (based on RBAC permissions) lets you determine which alerts can be viewed (and managed) by users in specific job roles in your organization.

I följande tabell visas de roller som krävs för att visa aviseringar från de sex olika aviseringskategorierna.The following table lists the roles that are required to view alerts from the six different alert categories. Den första kolumnen i tabellerna innehåller alla roller i säkerhets- & kompatibilitetscentret.The first column in the tables lists all roles in the Security & Compliance Center. En bockmarkering anger att en användare som har tilldelats rollen kan visa aviseringar från motsvarande aviseringskategori i den översta raden.A check mark indicates that a user who is assigned that role can view alerts from the corresponding alert category listed in the top row.

Du kan se vilken kategori en standardaviseringsprincip har tilldelats i tabellen i Standardaviseringsprinciper.To see which category a default alert policy is assigned to, see the table in Default alert policies.

RollRole InformationsstyrningInformation governance DataförlustskyddData loss prevention E-postflödeMail flow BehörigheterPermissions HothanteringThreat management AndraOthers
GranskningsloggarAudit Logs
ÄrendehanteringCase Management
EfterlevnadsadministratörCompliance Administrator Bockmarkering Bockmarkering Bockmarkering Bockmarkering
EfterlevnadssökningCompliance Search
EnhetshanteringDevice Management
DispositionshanteringDisposition Management
DLP-efterlevnadshanteringDLP Compliance Management Bockmarkering
ExporteraExport
Håll nedHold
Hantera aviseringarManage Alerts Bockmarkering
OrganisationskonfigurationOrganization Configuration Bockmarkering
FörhandsgranskaPreview
PosthanteringRecord Management Bockmarkering
BevarandehanteringRetention Management Bockmarkering
GranskaReview
RMS-dekrypteraRMS Decrypt
RollhanteringRole Management Bockmarkering
Sök och rensaSearch And Purge
SäkerhetsadministratörSecurity Administrator Bockmarkering Bockmarkering Bockmarkering Bockmarkering
SäkerhetsläsareSecurity Reader Bockmarkering Bockmarkering Bockmarkering Bockmarkering
Vyn TjänstgranskningService Assurance View
Övervakande granskningsadministratörSupervisory Review Administrator
View-Only granskningsloggarView-Only Audit Logs
View-Only enhetshanteringView-Only Device Management
View-Only DLP-efterlevnadshanteringView-Only DLP Compliance Management Bockmarkering
View-Only Hantera aviseringarView-Only Manage Alerts Bockmarkering
View-Only mottagareView-Only Recipients Bockmarkering
View-Only posthanteringView-Only Record Management Bockmarkering
View-Only med bevarandehanteringView-Only Retention Management Bockmarkering

Tips

Om du vill visa de roller som är tilldelade till var och en av standardrollgrupperna kör du följande kommandon i Security & Compliance Center PowerShell:To view the roles that are assigned to each of the default role groups, run the following commands in Security & Compliance Center PowerShell:

$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,"-----------------------"; Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}

Du kan också visa de roller som tilldelats en rollgrupp i Säkerhets- & Efterlevnadscenter.You can also view the roles assigned to a role group in the Security & Compliance Center. Gå till sidan Behörigheter och välj en rollgrupp.Go to the Permissions page, and select a role group. De tilldelade rollerna visas på den utfällna sidan.The assigned roles are listed on the flyout page.

Hantera aviseringarManaging alerts

När aviseringar har skapats och visats på sidan Visa aviseringar i säkerhets- och efterlevnadscentret kan du kontrollera, undersöka och lösa dem.After alerts have been generated and displayed on the View alerts page in the security and compliance center, you can triage, investigate, and resolve them. Här är några uppgifter som du kan utföra för att hantera aviseringar.Here are some tasks you can perform to manage alerts.

  • Tilldela en status till aviseringar.Assign a status to alerts. Du kan tilldela en av följande statusar till aviseringar: Aktiv (standardvärdet), Undersöker, Löst eller Ignorerad.You can assign one of the following statuses to alerts: Active (the default value), Investigating, Resolved, or Dismissed. Sedan kan du filtrera på den här inställningen för att visa aviseringar med samma statusinställning.Then, you can filter on this setting to display alerts with the same status setting. Den här statusinställningen kan underlätta hanteringen av aviseringar.This status setting can help track the process of managing alerts.

  • Visa aviseringsinformation.View alert details. Du kan välja en avisering om du vill visa en utfällsida med information om aviseringen.You can select an alert to display a flyout page with details about the alert. Den detaljerade informationen beror på motsvarande aviseringsprincip, men vanligtvis omfattar det följande: namnet på den faktiska åtgärd som utlöste aviseringen (till exempel en cmdlet), en beskrivning av aktiviteten som utlöste aviseringen, användaren (eller listan över användare) som utlöste aviseringen och namnet (och länken till) för motsvarande aviseringsprincip.The detailed information depends on the corresponding alert policy, but it typically includes the following: name of the actual operation that triggered the alert (such as a cmdlet), a description of the activity that triggered the alert, the user (or list of users) who triggered the alert, and the name (and link to) of the corresponding alert policy.

    • Namnet på den faktiska åtgärden som utlöste aviseringen, till exempel en cmdlet eller en granskningsloggåtgärd.The name of the actual operation that triggered the alert, such as a cmdlet or an audit log operation.

    • En beskrivning av aktiviteten som utlöste aviseringen.A description of the activity that triggered the alert.

    • Användaren som utlöste aviseringen.The user who triggered the alert. Det här inkluderas endast för aviseringsprinciper som har ställts in för att spåra en enskild användare eller en enskild aktivitet.This is included only for alert policies that are set up to track a single user or a single activity.

    • Antalet gånger som aktiviteten som spårades med aviseringen utfördes.The number of times the activity tracked by the alert was performed. Det här antalet kanske inte överensstämmer med det faktiska antalet relaterade aviseringar som visas på sidan Visa aviseringar eftersom fler aviseringar kan ha utlösts.This number may not match that actual number of related alerts listed on the View alerts page because more alerts may have been triggered.

    • En länk till en aktivitetslista som innehåller ett objekt för varje aktivitet som utfördes och som utlöste aviseringen.A link to an activity list that includes an item for each activity that was performed that triggered the alert. Varje post i den här listan identifierar när aktiviteten inträffade, namnet på den faktiska åtgärden (till exempel "FileDeleted") och användaren som utförde aktiviteten, objektet (till exempel en fil, ett eDiscovery-ärende eller en postlåda) som aktiviteten utfördes på och IP-adressen till användarens dator.Each entry in this list identifies when the activity occurred, the name of actual operation (such as "FileDeleted"), and the user who performed the activity, the object (such as a file, an eDiscovery case, or a mailbox) that the activity was performed on, and the IP address of the user's computer. Vid aviseringar om skadlig programvara länkas dessa till en meddelandelista.For malware-related alerts, this links to a message list.

    • Namnet (och länken till) på motsvarande aviseringsprincip.The name (and link to) of the corresponding alert policy.

  • Hindra e-postaviseringar.Suppress email notifications. Du kan inaktivera (eller utelämna) e-postaviseringar från den utfällna sidan för att få en avisering.You can turn off (or suppress) email notifications from the flyout page for an alert. När du ignorerar e-postaviseringar kommer Microsoft inte att skicka meddelanden när aktiviteter eller händelser som matchar villkoren i aviseringsprincipen.When you suppress email notifications, Microsoft won't send notifications when activities or events that match the conditions of the alert policy. Aviseringar utlöses dock när aktiviteter som utförs av användare matchar villkoren i aviseringsprincipen.But alerts will be triggered when activities performed by users match the conditions of the alert policy. Du kan också inaktivera e-postaviseringar genom att redigera aviseringsprincipen.You can also turn off email notifications by editing the alert policy.

  • Lös aviseringar.Resolve alerts. Du kan markera en avisering som löst på sidan med utfällning för en avisering (som anger statusen för aviseringen till Löst).You can mark an alert as resolved on the flyout page for an alert (which sets the status of the alert to Resolved). Om du inte ändrar filtret visas inte lösta aviseringar på sidan Visa aviseringar.Unless you change the filter, resolved alerts aren't displayed on the View alerts page.

Visa Cloud App Security aviseringarViewing Cloud App Security alerts

Aviseringar som utlöses av Office 365 Cloud App Security principer visas nu på sidan Visa aviseringar i säkerhets- och efterlevnadscentret.Alerts that are triggered by Office 365 Cloud App Security policies are now displayed on the View alerts page in the security and compliance center. Detta inkluderar aviseringar som utlöses av aktivitetsprinciper och aviseringar som utlöses av avvikande identifieringsprinciper i Office 365 Cloud App Security.This includes alerts that are triggered by activity policies and alerts that are triggered by anomaly detection policies in Office 365 Cloud App Security. Det innebär att du kan visa alla aviseringar i säkerhets- och efterlevnadscentret.This means you can view all alerts in the security and compliance center. Office 365 Cloud App Security är endast tillgängligt för organisationer som har en Office 365 Enterprise E5 eller Office 365 för myndigheter i USA G5.Office 365 Cloud App Security is only available for organizations with an Office 365 Enterprise E5 or Office 365 US Government G5 subscription. Mer information finns i Översikt över Cloud App Security.For more information, see Overview of Cloud App Security.

Organisationer som har Microsoft Cloud App Security som en del av en Enterprise Mobility + Security E5-prenumeration eller som en fristående tjänst kan också visa Cloud App Security-aviseringar som är relaterade till Office 365-program och -tjänster i Säkerhets- och & efterlevnadscenter.Organizations that have Microsoft Cloud App Security as part of an Enterprise Mobility + Security E5 subscription or as a standalone service can also view Cloud App Security alerts that are related to Office 365 apps and services in the Security & Compliance Center.

Om du bara Cloud App Security säkerhets- och efterlevnadsvarningar i säkerhets- och efterlevnadscentret använder du källfiltret och väljer Cloud App Security.To display only Cloud App Security alerts in the security and compliance center, use the Source filter and select Cloud App Security.

Använd filtret Källa för att endast visa Cloud App Security aviseringar

På ungefär samma sätt som en avisering som utlöses av en aviseringsprincip i säkerhets- och efterlevnadscentret kan du välja en Cloud App Security-avisering för att visa en utfällsida med information om aviseringen.Similar to an alert triggered by an alert policy in the security and compliance center, you can select a Cloud App Security alert to display a flyout page with details about the alert. Aviseringen innehåller en länk för att visa information och hantera aviseringen i Cloud App Security-portalen samt en länk till Cloud App Security princip som utlöste aviseringen.The alert includes a link to view the details and manage the alert in the Cloud App Security portal and a link to the corresponding Cloud App Security policy that triggered the alert. Se Övervaka aviseringar i Cloud App Security.See Monitor alerts in Cloud App Security.

Aviseringsinformation innehåller länkar till Cloud App Security portalen

Viktigt

Om du ändrar statusen Cloud App Security säkerhets- och efterlevnadscentret uppdateras inte upplösningsstatusen för samma avisering i Cloud App Security-portalen.Changing the status of a Cloud App Security alert in the security and compliance center won't update the resolution status for the same alert in the Cloud App Security portal. Om du till exempel markerar statusen för aviseringen som Löst i säkerhets- och efterlevnadscentret ändras inte statusen för Cloud App Security-portalen.For example, if you mark the status of the alert as Resolved in the security and compliance center, the status of the alert in the Cloud App Security portal is unchanged. Du kan lösa eller stänga Cloud App Security aviseringen genom att hantera den i Cloud App Security portalen.To resolve or dismiss a Cloud App Security alert, manage the alert in the Cloud App Security portal.