Sidan E-postenhetThe Email entity page

I den här artikeln:In this article:

Administratörer för Microsoft Defender för Office 365 (eller MDO) E5 och MDO P1 och P2 har en 360-gradersvy av e-post med hjälp av sidan E-post entitet.Admins of Microsoft Defender for Office 365 (or MDO) E5, and MDO P1 and P2 have a 360-degree view of email using the Email entity page. Den här sidan för att gå till e-post har skapats för att förbättra informationen som levereras i e-postutforskaren i Hotutforskaren.This go-to email page was created to enhance information delivered on the Threat Explorer 'email details' fly-out.

Nå entitetssidan för e-postReach the email entity page

Oavsett om det befintliga säkerhets- och efterlevnadscentret för Office (protection.office.com) eller det nya säkerhetscentret för Microsoft 365 (security.microsoft.com) kan du se och använda sidan med e-post entitet.Either of the existing Office Security and Compliance center (protection.office.com) or new Microsoft 365 Security center (security.microsoft.com) will let you see and use the email entity page..

CentreraCenter URLURL NavigeringNavigation
Säkerhets- & efterlevnadSecurity & Compliance protection.office.comprotection.office.com >HothanteringsutforskarenThreat Management > Explorer
Microsoft 365 SäkerhetscenterMicrosoft 365 security center security.microsoft.comsecurity.microsoft.com E-& > samarbetsutforskarenEmail & Collaboration > Explorer

I Hotutforskaren väljer du ämnet för ett e-postmeddelande som du undersöker.In Threat Explorer, select the subject of an email you're investigating. En guldlist visas högst upp i e-postmeddelandet.A gold bar will display at the top of the email fly-out for that mail. Den här inbjudan till den nya sidan säger "Prova vår nya sida för e-post entitet med bättre data...".This invitation to the new page, reads 'Try out our new email entity page with enriched data...'. Välj för att visa den nya sidan.Select to view the new page.

Du kommer att se en guld banderoll med orden *Prova på vår nya sida för e-post entitet med bättre data* för att navigera till den nya upplevelsen.

Den här bilden på sidan för e-post entitet fokuserar på rubriker som du kommer att se. Observera att e-posthuvudet visas här.

Anteckning

Behörigheterna som krävs för att visa och använda den här sidan är samma som för att visa Hotutforskaren.The permissions needed to view and use this page are the same as to view Threat Explorer. Administratören måste vara medlem i en global administratör eller global läsare, eller säkerhetsadministratör eller säkerhetsläsare.The admin must be a member of Global admin or global reader, or Security admin or security reader.

Sidan Läs e-post entitetRead the email entity page

Strukturen är utformad för att vara lätt att läsa och navigera i på ett ögonblick.The structure is designed to be easy to read and navigate through at a glance. Med olika flikar längst upp på sidan kan du undersöka mer ingående.Various tabs along the top of the page allow you to investigate in more detail. Så här fungerar layouten:Here's how the layout works:

  1. De mest obligatoriska fälten finns till vänster i den utfällbaserade sidan. Den här informationen är "trög", vilket innebär att de är fästa till vänster oavsett vilken flik du navigerar till i resten av utfällpunkten.The most required fields are on the left side of the fly-out. These details are 'sticky', meaning they're anchored to the left no matter the tab you navigate to in the rest of the fly-out.

    Bild på sidan för e-post entitet med vänster sida markerad. Rubriken och fakta om e-postleveransen finns här.

  2. I det övre högra hörnet finns de åtgärder som kan vidtas i ett e-postmeddelande.On the top-right corner are the actions that can be taken on an email. Alla åtgärder som kan vidtas i Utforskaren kommer också att vara tillgängliga via e-post entitetssidan.Any actions that can be taken through Explorer will also be available through email entity page.

    Bild på sidan för e-post entitet med *höger*-sidan markerad, den här gången. Åtgärder som förhandsgranskning av e-post och Gå till karantän är här.

  3. Djupare analyser kan göras genom att sortera resten av sidan.Deeper analysis can be done by sorting through the rest of the page. Kontrollera informationen om e-postidentifiering, e-postautentiseringsstatus och rubrik.Check the email detection details, email authentication status, and header. Du bör titta i det här området från fall till fall, men informationen på flikarna är tillgänglig för alla e-postmeddelanden.This area should be looked on a case-by-case basis, but the info in these tabs is available for any email.

    Huvudpanelen på den här sidan innehåller e-postrubrik och autentiseringsstatus.

Använda sidflikar för e-post entitetUse email entity page tabs

Med flikarna längst upp på entitetssidan kan du undersöka e-post effektivt.The tabs along the top of the entity page will allow you to investigate email efficiently.

  1. Tidslinje: Tidslinjevyn för ett e-postmeddelande (enligt tidslinjen i Threat Explorer) visar den ursprungliga leveransen till efterleveranshändelser som inträffar i ett e-postmeddelande.Timeline: The timeline view for an email (per the Threat Explorer timeline) shows the original delivery to post-delivery events that happen on an email. För e-postmeddelanden som inte har några åtgärder efter leveransen visas den ursprungliga leveransraden i tidslinjevyn.For emails that have no post-delivery actions, the view shows the original delivery row in timeline view. Händelser som: Zap (Zero-hour auto purge), åtgärd, URL-klick och så vidare från källor som system, administratör och användare visas här, i den ordning de inträffade.Events like: Zero-hour auto purge (ZAP), Remediate, URL clicks, et cetera, from sources like: system, admin, and user, show up here, in the order in which they occurred.
  2. Analys: Analys visar fält som hjälper administratörer att analysera ett e-postmeddelande på djupet.Analysis: Analysis shows fields that help admins analyze an email in depth. I de fall där administratörer behöver förstå mer information om identifiering, avsändare/mottagare och information om e-postautentisering ska de använda fliken Analys. Länkar till bifogade filer och URL-adresser finns också på den här sidan, under "Relaterade enheter".For cases where admins need to understand more about detection, sender / recipient, and email authentication details, they should use the Analysis tab. Links for Attachments and URLs are also found on this page, under 'Related Entities'. Både bifogade filer och identifierade hot numreras här och när du klickar tar du dig direkt till bifogade filer och URL-sidor.Both attachments and identified threats are numbered here, and clicking will take you straight to the Attachments and URL pages. Den här fliken har också alternativet Visa sidhuvud för att visa e-posthuvudet.This tab also has a View header option to show the email header. Administratörer kan för tydlighets skull jämföra information från e-postrubriker sida vid sida med information i huvudpanelen.Admins can compare any detail from email headers, side by side with information on the main panel, for clarity.
  3. Bifogade filer: Då undersöks bifogade filer som hittades i e-postmeddelandet med annan information som hittades på bifogade filer.Attachments: This examines attachments found in the email with other details found on attachments. Antalet bifogade filer som visas är för närvarande begränsat till 10.The number of attachments shown is currently limited to 10. Observera att information om avonering av bifogade filer som visar sig vara skadliga också visas här.Notice that detonation details for attachments found to be malicious is also shown here.
  4. URL:er: Den här fliken visar URL:er som finns i e-postmeddelandet med annan information om URL:er.URLs: This tab lists URLs found in the email with other details about the URLs. Antalet URL:er är begränsade till 10 just nu, men dessa 10 prioriteras för att visa skadliga URL:er först.The number of URLs is limited to 10 right now, but these 10 are prioritized to show malicious URLs first. Med prioritering sparas tid och gissningsarbete.Prioritization saves you time and guess-work. Url:erna som identifierats som skadliga och detonerade visas också här.The URLs which were found to be malicious and detonated will also be shown here.
  5. Liknande e-postmeddelanden: Den här fliken visar alla e-postmeddelanden som liknar kombinationen av nätverksmeddelande-ID + mottagare för det här e-postmeddelandet.Similar emails: This tab lists all emails similar to the network message id + recipient combination specific to this email. Likheten baseras endast på brödtexten i meddelandet.Similarity is based on the body of the message, only. De beslut som gjorts för e-postmeddelanden om att kategorisera dem som "liknande" omfattar inte några överväganden av bifogade filer.The determinations made on mails to categorize them as 'similar' don't include a consideration of attachments.

Nytt för sidan e-post entitetNew to the email entity page

Det finns nya funktioner på sidan för den här e-postentitet.There are new capabilities that come with this email entity page. Här är listan.Here's the list.

Förhandsgranskning av e-post för molnbaserade postlådorEmail preview for Cloud mailboxes

Administratörer kan förhandsgranska e-postmeddelanden i molnbaserade postlådor, om e-postmeddelandena fortfarande finns kvar i molnet.Admins can preview emails in Cloud mailboxes, if the mails are still present in the Cloud. Om en mjuk borttagning (av en administratör eller användare) eller ZAP (för karantän) används inte längre e-postmeddelanden på molnplatsen.In case of a soft delete (by an admin, or user), or ZAP (to quarantine), emails are no longer present in the Cloud location. I så fall kan inte administratörer förhandsgranska de specifika e-postmeddelandena.In that case, admins won't be able to preview those specific mails. E-postmeddelanden som släppts, eller där leveransen misslyckades, kom faktiskt aldrig fram till postlådan.Emails that were dropped, or where delivery failed, never actually made it into the mailbox. Därför kan inte administratörerna förhandsgranska dessa e-postmeddelanden heller.As a result, admins won't be able to preview those emails either.

Varning

För förhandsgranskning av e-postmeddelanden krävs en särskild roll som heter * Förhandsversion _ för att tilldelas till administratörer.Previewing emails requires a special role called *Preview _ to be assigned to admins. Du kan lägga till den här rollen genom att gå till _ Behörigheter & roller * > E&-post och samarbetsroller i security.microsoft.com eller Behörigheter i protection.office.com.You can add this role by going to _ Permissions & roles* > Email & collaboration roles in security.microsoft.com, or Permissions in protection.office.com. Lägg till rollen Förhandsgranska i någon av rollgrupperna, eller en kopia av en rollgrupp som gör att administratörer i organisationen kan arbeta i Utforskaren med hot.Add the Preview role to any of the role groups, or a copy of a role group that allows admins in your organization to work in Threat Explorer.

Information om detonationDetonation details

Den här informationen är specifik för e-postbilagor och URL-adresser.These details are specific to email attachments and URLs.

Användarna ser bättre information om kända skadliga bilagor eller hyperlänkar i postlådorna, inklusive detonationskedjan, sammanfattningen av detonationen, skärmbilden och den observerade funktionsinformationen för att hjälpa kunderna att förstå varför den bifogade filen eller URL:en anses vara skadlig och detonerad.Users will see enriched detonation details for known malicious attachments or hyperlinks found in their mailboxes, including Detonation chain, Detonation summary, Screenshot, and Observed behavior details to help customers understand why the attachment or URL was deemed malicious and detonated.

  • Detonationskedjan: En enda fil- eller URL-detonation kan utlösa flera detonationer.Detonation chain: A single file or URL detonation can trigger multiple detonations. Detonation-kedjan spårar sökvägen till detonationer, inklusive den ursprungliga skadliga filen eller URL-adressen som orsakade bedömning, och alla andra filer eller URL-adresser som upptäckts av detonationen.The Detonation chain tracks the path of detonations, including the original malicious file or URL that caused the verdict, and all other files or URLs effected by the detonation. Dessa URL:er eller bifogade filer kanske inte finns direkt i e-postmeddelandet, men det är viktigt att ta med denna analys för att fastställa varför filen eller URL:en hittades som skadlig.These URLs or attached files may not be directly present in the email, but including that analysis is important to determining why the file or URL was found to be malicious.
  • Sammanfattning av detonation: Den här ger information om:Detonation summary: This gives information on:
    • Detonationstidsintervall.Detonation time range.
    • Bedömning av den bifogade filen eller URL:en.Verdict of the attached file, or URL.
    • Relaterad information (filnummer, URL:er, IP-adresser eller domäner) som är andra enheter som utser objekt vid detonation.Related info (file number, URLs, IPs, or Domains), which are other entities examined during detonation.
  • Skärmbild av detonation: Visar skärmbilder tagna under detonationsprocessen.Detonation screenshot: This shows screenshot(s) taken during detonation process.
  • Information om avonation: Det här är exakt den funktionsinformation som gäller för varje process som ägde rum vid detonationen.Detonation details: These are the exact behavior details of each process that took place during the detonation.

Skärmbild av detonationssammanfattningen med kedja, sammanfattning, avoneringsinformation och skärmbild under rubriken *Djupanalys*.

Andra innovationerOther innovations

Taggar: Det här är taggar som tillämpas på användare.Tags: These are tags applied to users. Om användaren är mottagare ser administratörer en mottagartagg.If the user is a recipient, admins will see a recipient tag. På samma sätt är om användaren är en avsändare, en avsändartagg.Likewise, if the user is a sender, a sender tag. Detta visas till vänster på sidan för e-postenheter (i den del som beskrivs som fäst och därför fäst på sidan).This will appear in the left side of the email entities page (in the part that's described as sticky and, thus, anchored to the page).

Senaste leveransplats: Den senaste leveransplatsen är den plats där ett e-postmeddelande landade efter systemåtgärder som ZAP eller administrativa åtgärder som Flytta till Borttagna objekt slutförs.Latest delivery location: The latest delivery location is the location where an email landed after system actions like ZAP, or admin actions like Move to Deleted Items, finish. Senaste leveransplats är inte tänkt att informera administratörer om meddelandets aktuella plats.Latest delivery location is not intended to inform admins of the message's current location. Om en användare till exempel tar bort ett meddelande eller flyttar det till arkivering, uppdateras inte leveransplatsen.For example, if a user deletes a message, or moves it to archive, the delivery location won't be updated. Men om en systemåtgärd har vidtagits och uppdaterat platsen (till exempel en ZAP som resulterar i ett e-postmeddelande som flyttas till karantän) uppdateras den senaste leveransplatsen till karantän.However, if a system action has taken place and updated the location (like a ZAP resulting in an email moving to Quarantine) this would update the Latest delivery location to Quarantine.

E-postinformation: Information krävs för en djupare förståelse av e-post på fliken Analys.Email details: Details required for a deeper understanding of email available in the Analysis tab.

  • Exchange-transportregler (ETR-regler eller E-postflödesregler) : Dessa regler tillämpas på ett meddelande på transportnivån och har företräde framför phish- och spam-bedömningar.Exchange Transport Rules (ETRs or Mailflow rules): These rules are applied to a message at the transport layer and take precedence over phish and spam verdicts. Dessa kan bara skapas och ändras i administrationscentret för Exchange, men om något ETR-problem gäller för ett meddelande visas ETR-namnet och GUID här.These can be only created and modified in the Exchange admin center, but if any ETR applies to a message, the ETR name and GUID will be shown here. Värdefull information för spårningssyfte.Valuable information for tracking purposes.

  • Åsidosättningar i systemet: Det här är ett sätt att göra undantag till den leveransplats som är avsedd för ett meddelande genom att åsidosätta leveransplatsen som anges av systemet (enligt teknik för hot och identifiering).System Overrides: This is a means of making exceptions to the delivery location intended for a message by overriding the delivery location given by system (as per the threat and detection tech).

  • Skräppostpostlåderegel: Skräppost är en dold inkorgsregel som aktiveras som standard i alla postlådor.Junk Mailbox Rule: 'Junk' is hidden Inbox rule that's enabled by default in every mailbox.

    • När skräppostregeln har aktiverats för postlådan kan Exchange Online Protection (EOP) flytta meddelanden till skräppost enligt vissa villkor.When the Junk email rule is enabled on the mailbox, Exchange Online Protection (EOP) is able to move messages to Junk according to some criteria. Flytten kan baseras på åtgärden skräppostfiltrering av bedömning Flytta meddelandet till mappen Skräppost eller i listan Spärrade avsändare i postlådan.The move can be based on spam filtering verdict action Move message to Junk Email folder, or on the Blocked Senders list on the mailbox. Om du inaktiverar skräppostregeln förhindras leverans av meddelanden till mappen Skräppost baserat på listan Betrodda avsändare i postlådan.Disabling the Junk email rule prevents the delivery of messages to the Junk email folder based on the Safe Senders list on the mailbox.
    • När skräppostregeln är inaktiverad för postlådan kan EOP inte flytta meddelanden till mappen Skräppost baserat på åtgärden skräppostfiltreringsåtgärden Flytta meddelandet till mappen Skräppost eller samlingen lista över säkra e-postmeddelanden i postlådan.When the junk email rule is disabled on the mailbox, EOP can't move messages to the Junk Email folder based on the spam filtering verdict action Move message to Junk Email folder, or the safe list collection on the mailbox.
  • BCL (Bulk Complaint Level): BCL (Bulk Complaint Level) för meddelandet.Bulk Complaint Level (BCL): The bulk complaint level (BCL) of the message. En högre BCL anger att det är mer sannolikt att ett massutskick av e-postmeddelande skapar klagomål (det naturliga resultatet om e-postmeddelandet kan vara skräppost).A higher BCL indicates a bulk mail message is more likely to generate complaints (the natural result if the email is likely to be spam).

  • SCL (Spam Confidence Level): SCL (Spam Confidence Level) för meddelandet.Spam Confidence Level (SCL): The spam confidence level (SCL) of the message. Ett högre värde innebär att det är mer troligt att meddelandet är skräppost.A higher value indicates the message is more likely to be spam.

  • Domännamn: Är avsändarens domännamn.Domain Name: Is the sender domain name.

  • Domänägare: Anger ägaren av den avsändande domänen.Domain Owner: Specifies the owner of the sending domain.

  • Domänplats: Anger platsen för den avsändande domänen.Domain Location: Specifies the location of the sending domain.

  • Datum då domänen skapades: Anger datumet då avsändardomänen skapades.Domain Created Date: Specifies the date of creation of the sending domain. En nyligen skapad domän är något som du kan vara försiktig med om andra signaler anger något misstänkt beteende.A newly created domain is something you could be cautious of if other signals indicate some suspicious behavior.

E-postautentisering: E-postautentiseringsmetoder som används av Microsoft 365 är SPF, DKIM och DMARC.Email Authentication: Email authentication methods used by Microsoft 365 include SPF, DKIM, and DMARC.

  • Sender Policy Framework (SPF): Beskriver resultaten för SPF-kontrollen för meddelandet.Sender Policy Framework (SPF): Describes results for SPF check for the message. Möjliga värden kan vara:Possible values can be:

    • Pass (IP address): SPF-kontrollen för meddelandet som skickas och innehåller avsändarens IP-adress.Pass (IP address): The SPF check for the message passed and includes the sender's IP address. Klienten har tillåtelse att skicka eller vidarebefordra e-post på avsändarens domän.The client is authorized to send or relay email on behalf of the sender's domain.
    • Fel (IP-adress): SPF-kontrollen för meddelandet misslyckades och innehåller avsändarens IP-adress.Fail (IP address): The SPF check for the message failed and includes the sender's IP address. Det här kallas ibland för en hard fail.This is sometimes called hard fail.
    • Softfail (orsak): SPF-posten har angett att värden inte tillåts skicka men är under övergång.Softfail (reason): The SPF record designated the host as not being allowed to send but is in transition.
    • Neutral: SPF-posten anger uttryckligen att den inte kan avgöra om IP-adressen har behörighet att skicka.Neutral: The SPF record explicitly states that it does not assert whether the IP address is authorized to send.
    • Inget: Domänen har ingen SPF-post, eller så utvärderas inte SPF-posten till ett resultat.None: The domain doesn't have an SPF record, or the SPF record doesn't evaluate to a result.
    • Så här: Ett tillfälligt fel har uppstått.Temperror: A temporary error has occurred. Till exempel ett DNS-fel.For example, a DNS error. Samma kontroll kan senare lyckas.The same check later might succeed.
    • Permerror: Ett permanent fel har inträffat.Permerror: A permanent error has occurred. Domänen har till exempel en dåligt formaterad SPF-post.For example, the domain has a badly formatted SPF record.
  • DKIM(DomainKeys Identified Mail):DomainKeys Identified Mail (DKIM):

    • Godkänd: Anger DKIM-kontrollen för meddelandet som har passerat.Pass: Indicates the DKIM check for the message passed.
    • Fel (orsak): Anger DKIM-kontrollen för meddelandet misslyckades och varför.Fail (reason): Indicates the DKIM check for the message failed and why. Om du till exempel inte har signerat meddelandet eller om signaturen inte har verifierats.For example, if the message was not signed or the signature was not verified.
    • Ingen: Anger att meddelandet inte har signerats.None: Indicates that the message was not signed. Detta indikerar kanske, men kanske inte, att domänen har ett DKIM-register eller att DKIM-registret inte utvärderats till ett resultat, endast att meddelandet inte signerats.This may or may not indicate that the domain has a DKIM record or the DKIM record does not evaluate to a result, only that this message was not signed.
  • DMARC(Domain-based Message Authentication, Reporting and Conformance):Domain-based Message Authentication, Reporting and Conformance (DMARC):

    • Godkänd: Anger DMARC-kontrollen för meddelandet som skickas.Pass: Indicates the DMARC check for the message passed.
    • Fel: Anger DMARC-kontrollen för meddelandet misslyckades.Fail: Indicates the DMARC check for the message failed.
    • Bestguesspass: Anger att det inte finns någon DMARC TXT-post för domänen, men om någon hade funnits skulle DMARC-kontrollen för meddelandet ha passerat.Bestguesspass: Indicates that no DMARC TXT record for the domain exists, but if one had existed, the DMARC check for the message would have passed.
    • Ingen: Anger att det inte finns någon DMARC TXT-post för den avsändande domänen i DNS.None: Indicates that no DMARC TXT record exists for the sending domain in DNS.

Sammansatt autentisering: Det här är ett värde som används av Microsoft 365 för att kombinera e-postautentisering som SPF, DKIM och DMARC för att avgöra om meddelandet är äkta.Composite Authentication: This is a value is used by Microsoft 365 to combine email authentication like SPF, DKIM, and DMARC, to determine if the message is authentic. Den använder domänen Från: för e-postmeddelandet som grund för utvärdering.It uses the From: domain of the mail as the basis of evaluation.