E-postsäkerhet med Threat Explorer i Microsoft Defender för Office 365
I den här artikeln:
- Visa skadlig programvara som upptäckts i e-post
- Visa nätfiske-URL och klicka på bedömningsdata
- Starta automatisk undersökning och svar
Anteckning
Det här är en del av en 3-artikelserie om Threat Explorer (Explorer), e-postsäkerhet och Utforskaren och realtidsidentifiering (till exempel skillnader mellan verktygen och behörigheter som krävs för att hantera dem). De andra två artiklarna i den här serien är Hotsökning i Threat Explorer och Threat Explorer samt i realtidsidentifiering.
I den här artikeln förklaras hur du visar och undersöker skadlig kod och nätfiskeförsök som identifieras i e-Microsoft 365 säkerhetsfunktioner.
Gäller för:
Visa skadlig programvara som upptäckts i e-post
Om du vill se skadlig programvara som upptäckts > i e-Microsoft 365 efter e-Microsoft 365 kan du använda vyn Skadlig e-post i Utforskaren (eller Identifieringar i realtid). Skadlig programvara är standardvyn, så den kan väljas så fort du öppnar Utforskaren.
I Microsoft 365 Defender på går du till https://security.microsoft.com E-& samarbete och väljer sedan Utforskaren eller Identifiering av realtid. Om du vill gå direkt till sidan använder du https://security.microsoft.com/threatexplorer eller https://security.microsoft.com/realtimereports .
I det här exemplet används Utforskaren.
Härifrån börjar du på Visa, väljer en viss tidsperiod att undersöka (om det behövs) och fokuserar dina filter, enligt utforskarens genomgång.
Kontrollera att Skadlig programvara för e-post är markerat i > listrutan Visa.
Klicka på Avsändare och välj sedan Enkel > identifieringsteknik i listrutan.
Dina identifieringstekniker är nu tillgängliga som filter för rapporten.
Välj ett alternativ och klicka sedan på Uppdatera om du vill använda filtret (uppdatera inte webbläsarfönstret).
Rapporten uppdateras för att visa resultat som skadlig programvara upptäckt i e-post med hjälp av det teknikalternativ som du valt. Härifrån kan du göra ytterligare analyser.
Rapportera ett meddelande som rent i Utforskaren
Du kan använda alternativet Rapportrensning i Utforskaren för att rapportera ett meddelande som falskt positivt.
I Microsoft 365 Defender-portalen går du till E& för samarbete i Utforskaren och kontrollerar sedan att Phish är markerat i > listrutan Visa.
Kontrollera att du är på fliken E-post och välj sedan det meddelande som du vill rapportera som rensat i listan över rapporterade meddelanden.
Klicka på Åtgärder för att expandera listan med alternativ.
Bläddra nedåt i listan med alternativ för att gå till avsnittet Starta ny inskicking och välj sedan Report clean. En utfälling visas.

Ändra skjutreglaget till På. I listrutan anger du antalet dagar som du vill att meddelandet ska tas bort, lägger till en anteckning om det behövs och väljer sedan Skicka.
Visa nätfiske-URL och klicka på bedömningsdata
Du kan visa nätfiskeförsök via URL:er i e-postmeddelanden, inklusive en lista över URL:er som tillåts, blockerades och åsidosätts. Om du vill identifiera url:er som klickades Valv måste länkarna konfigureras. Kontrollera att du har Valv principer för klickningsskydd och loggning av klickning genom att klicka Valv Länkar.
I Microsoft 365 Defender på går du till https://security.microsoft.com E-& samarbete och väljer sedan Utforskaren eller Identifiering av realtid. Om du vill gå direkt till sidan använder du https://security.microsoft.com/threatexplorer eller https://security.microsoft.com/realtimereports .
I det här exemplet används Utforskaren.
Välj E-post phish i > listrutan Visa.

Klicka på Avsändare och välj sedan URL:er Klicka > på bedömning i listrutan.
I alternativ som visas väljer du ett eller flera alternativ, till exempel Blockerad och Blockera åsidosätts, och klickar sedan på Uppdatera (uppdatera inte ditt webbläsarfönster).
Rapporten uppdateras så att två olika URL-tabeller visas på fliken URL:er under rapporten:
Url:er är URL:er i de meddelanden som du filtrerat ned till och åtgärden för e-postleverans räknas för varje URL. I e-postvyn för phish innehåller den här listan vanligtvis legitima WEBBADRESSer. Attacker kan innehålla en blandning av bra och dåliga URL-adresser i sina meddelanden för att försöka få dem levererade, men de gör skadliga länkar mer intressanta. Tabellen med URL:er sorteras efter totalt antal e-postmeddelanden, men den här kolumnen är dold för att förenkla vyn.
De översta klicken är Valv Länkar-radbrutna WEBBADRESSer som klickades, sorterade efter totalt antal klick. Den här kolumnen visas inte heller för att förenkla vyn. Totalt antal efter kolumn anger att antalet Valv klickar på antal bedömningsvärden för varje klickad URL. I e-postvyn är det oftast misstänkta eller skadliga URL-adresser. Men vyn kan innehålla URL:er som inte är hot men som är i phish-meddelanden. URL-klick på olästa länkar visas inte här.
De två URL-tabellerna visar de viktigaste webbadresserna i nätfiskemeddelanden genom leveransåtgärd och -plats. Tabellerna visar URL-klick som har blockerats eller besökts, trots en varning, så att du kan se vilka potentiella dåliga länkar som visades för användare och att användarna har klickat på dem. Härifrån kan du göra ytterligare analyser. Under diagrammet kan du till exempel se de översta webbadresserna i e-postmeddelanden som har blockerats i organisationens miljö.

Välj en URL för att visa mer detaljerad information.
Anteckning
I dialogrutan för utfällningsrutan för URL tas filtreringen av e-postmeddelanden bort för att visa hela visningen av exponering av URL:en i miljön. På så sätt kan du filtrera efter e-postmeddelanden som du är orolig för i Utforskaren, hitta specifika WEBBADRESSer som är potentiella hot och sedan utöka förståelsen av exponering av URL-adresser i din miljö (via dialogrutan URL-information) utan att behöva lägga till URL-filter i utforskarvyn.
Tolkning av klickningar
I de utfällliga e-post- eller URL-adresserna, de övre klicken och i våra filtreringsupplevelser visas olika värden för klickning:
- Ingen: Det går inte att registrera url-adressens bedömning. Användaren kan ha klickat via URL-adressen.
- Tillåtet: Användaren tillåts navigera till URL-adressen.
- Blockerad: Användaren blockerades från att navigera till URL-adressen.
- Väntande bedömning: Användaren visades en sida som väntar på att detonation.
- Blockerad åsidosätts: Användaren blockerades från att navigera direkt till URL-adressen. Men användaren överränder blocket för att navigera till URL-adressen.
- Väntande bedömning har kringgåts: Användaren visades med detonationssidan. Men användaren överränder meddelandet för att få åtkomst till URL-adressen.
- Fel: Användaren visades på felsidan eller så uppstod ett fel vid inspelning av bedömningsfelet.
- Fel: Ett okänt undantag uppstod vid inspelningen av bedömningsfelet. Användaren kan ha klickat via URL-adressen.
Starta automatisk undersökning och svar
Anteckning
Funktioner för automatisk undersökning och svar finns i Microsoft Defender för Office 365 abonnemang 2 och Office 365 E5.
Med automatiserad undersökning och svar kan du spara tid och arbete från säkerhetsåtgärder som har spenderats på att undersöka och minska cyberattacker. Förutom att konfigurera aviseringar som kan utlösa en säkerhetsspelbok kan du starta en automatiserad undersökning och svarsprocess från en vy i Utforskaren. Mer information finns i Exempel: En säkerhetsadministratör utlöser en undersökning från Utforskaren.