Identifiering av Utforskaren och realtidsidentifiering
Gäller för
I den här artikeln:
- Skillnader mellan Identifiering av Utforskaren och Realtidsidentifiering
- Uppdaterad upplevelse för Identifiering av Utforskaren och Realtid
- Obligatoriska licenser och behörigheter
Anteckning
Det här är en del av en serie med tre artiklar om Utforskaren (kallas även Hotutforskaren), e-postsäkerhet och Grundläggande identifieringar i Utforskaren och Realtidsidentifiering (till exempel skillnader mellan verktygen och behörigheter som krävs för att hantera dem). De andra två artiklarna i den här serien är Hot efter hot i Utforskaren och E-postsäkerhet med Utforskaren.
I den här artikeln förklaras skillnaden mellan Rapportering av identifieringar i realtid, uppdaterad upplevelse av Utforskaren och identifieringar i realtid där du kan växla mellan gamla och nya funktioner och de licenser och behörigheter som krävs.
Om din organisation har Microsoft Defenderför Office 365 och du har behörighet kan du använda Utforskaren (kallas även Threat Explorer) eller realtidsidentifiering för att upptäcka och åtgärda hot.
Gå Microsoft 365 Defender https://security.microsoft.com e-postsamarbete i & Microsoft 365 Defender-portalen och välj sedan Utforskaren eller Identifiering av realtid. Om du vill gå direkt till sidan använder du https://security.microsoft.com/threatexplorer eller https://security.microsoft.com/realtimereports .
Med dessa verktyg kan du:
- Se skadlig programvara som Microsoft 365 av säkerhetsfunktioner.
- Visa nätfiske-URL och klicka på bedömningsdata.
- Starta en automatiserad undersökning och svarsprocess från en vy i Utforskaren.
- Undersök skadlig e-post med mera.
Mer information finns i E-postsäkerhet med Utforskaren.
Skillnader mellan Identifiering av Utforskaren och Realtidsidentifiering
- Realtidsidentifiering är ett rapporteringsverktyg som finns i Defender för Office 365 abonnemang 1. Threat Explorer är ett sök- och åtgärdsverktyg för hot som finns i Defender för Office 365 abonnemang 2.
- Med rapporten Realtidsidentifiering kan du visa identifieringar i realtid. Threat Explorer gör detta också, men det ger ytterligare information för en viss attack, till exempel markera attackkampanjer och ger säkerhetsgrupper möjlighet att åtgärda hot (inklusive utlösa en automatiserad undersökning och svarsundersökning.
- Vyn All e-post är tillgänglig i Utforskaren med hot, men ingår inte i rapporten om identifieringar i realtid.
- Filtreringsfunktioner och åtgärder för filtrering ingår i Utforskaren för hot. Mer information finns i Microsoft Defender för Office 365 Beskrivning: Funktionstillgänglighet i Defender för Office 365 abonnemang.
Uppdaterad upplevelse för Identifiering av Utforskaren och Realtid
Upplevelsen av identifieringar av hot i Utforskaren och realtidsidentifieringarna har uppdaterats för att passa moderna hjälpmedelsstandarder och för att optimera arbetsflödet. Under en kort stund kommer du att kunna växla mellan den gamla och den nya.
Anteckning
När du inaktiverar påverkar det bara ditt konto och påverkar inte någon annan i klientorganisationen.
Identifieringar av hot i Realtid är indelade i följande vyer:
All e-post: Visar all e-post som analyserats av Defender för Office 365 och innehåller både bra och skadliga e-postmeddelanden. Den här funktionen finns bara i Threat Explorer och är inte tillgänglig för identifiering i realtid. Som standard är data inställt på att visas i två dagar, som kan utökas till 30 dagar. Det här är också standardvyn för Hotutforskaren.
Vyn Skadlig programvara: Visar e-postmeddelanden där ett hot mot skadlig programvara har identifierats. Det här är standardvyn för realtidsidentifiering och visar data i två dagar (kan utökas till 30 dagar).
Phish-vy: Visar e-postmeddelanden där ett phish-hot har identifierats.
Vyn skadlig programvara för innehåll: Visar skadliga identifieringar som identifieras i filer som OneDrive, SharePoint och Teams.
Här är de vanligaste komponenterna i de här upplevelserna:
Filter
Du kan använda de olika filtren för att visa data baserat på e-post- eller filattribut.
Som standard används tidsfiltret på posterna och används i två dagar.
Om du använder flera filter används de i "OCH"-läge och du kan använda det avancerade filtret för att ändra det till "ELLER"-läge.
Du kan använda kommatecken för att lägga till flera värden för samma filter.

Diagram
- Diagram ger en visuell, aggregerad vy av data baserat på filter. Du kan använda olika filter för att visa data med olika dimensioner.
Anteckning
Du kanske inte ser några resultat i diagramvyn även om du ser en post i listvyn. Det här inträffar om filtret inte ger upphov till några data. Om du till exempel har använt filterfamiljen för skadlig programvara, men underliggande data inte har några skadliga e-postmeddelanden, kan det hända att inga data visas för det här scenariot.

Resultatrutnät
Resultatrutnätet visar e-postresultaten baserat på de filter som du har använt.
Baserat på konfigurationsuppsättningen i klientorganisationen visas data i UTC eller lokal tidszon, med tidszonsinformationen i den första kolumnen.
Du kan gå till sidan för en enskild e-post från listvyn genom att klicka på ikonen Öppna i nytt fönster.
Du kan också anpassa kolumnerna för att lägga till eller ta bort kolumner för att optimera vyn.
Anteckning
Du kan växla mellan diagramvyn och listvyn för att maximera resultatuppsättningen.

Detaljerad utfällning
Du kan klicka på hyperlänkar för att komma till sammanfattningspanelen för e-post (poster i kolumnen Ämne), mottagaren eller den utfällmenyn för IP.
Sammanfattningspanelen för e-post ersätter den infällda e-postmenyn och innehåller även en sökväg till panelen för e-postentitet.
Den enskilda entitet som utfälles som IP, mottagare och URL återspeglar samma information, men visas i en flikbaserad vy, med möjlighet att visa och dölja olika avsnitt baserat på krav.
För utfällningar som URL:er kan du klicka på Visa alla e-postmeddelanden eller Visa alla klick för att visa alla e-postmeddelanden/klick som innehåller URL-adressen, samt exportera resultatuppsättningen.
Åtgärder
- Från Hotutforskaren kan du utlösa åtgärder som Ta bort ett e-postmeddelande. Mer information om åtgärder, åtgärdsbegränsningar och spårningsåtgärder finns i Åtgärda skadlig e-post.
Exportera
Du kan klicka på Exportera diagramdata om du vill exportera diagraminformationen. Klicka på Exportera e-postlista om du vill exportera information om e-postmeddelanden.
Du kan exportera upp till 200 000 poster för e-postlistan. Men om du vill ha bättre systemprestanda och kortare nedladdningstid bör du använda olika e-postfilter.

Utöver de här funktionerna får du även uppdaterade upplevelser som Topp-URL:er, Toppklick, Mest riktade användare och E-postursprung. Populära URL:er, Top clicks och Top targeted users can be further filtered based on the filter that you apply in Explorer.
Obligatoriska licenser och behörigheter
Du måste ha Microsoft Defender Office 365 kunna använda Utforskaren eller identifiering i realtid:
- Utforskaren ingår endast i Defender för Office 365 abonnemang 2.
- Rapporten Identifieringar i realtid ingår i Defender för Office 365 abonnemang 1.
Säkerhetsåtgärder-grupper måste tilldela licenser för alla användare som ska skyddas av Defender för Office 365 och vara medvetna om att identifieringar i Utforskaren och realtidsidentifiering visar identifieringsdata för licensierade användare.
Om du vill visa och använda Utforskaren eller Identifiering i realtid måste du ha följande behörigheter:
- I Defender för Office 365:
- Organisationshantering
- Säkerhetsadministratör (detta kan tilldelas i Azure Active Directory administrationscenter ( https://aad.portal.azure.com )
- Säkerhetsläsare
- I Exchange Online:
- Organisationshantering
- View-Only Organisationshantering
- View-Only mottagare
- Efterlevnadshantering
Mer information om roller och behörigheter finns i följande artiklar: