Vyer i Hotutforskaren och identifiering i realtid
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för

Threat Explorer (och rapporten om identifiering i realtid) är ett kraftfullt, när realtidsverktyg som hjälper säkerhetsteam att undersöka och svara på hot i Microsoft 365 Defender-portalen. Utforskaren (och rapporten om identifieringar i realtid) visar information om misstänkt skadlig kod och nätsnut i e-post och filer i Office 365, liksom andra säkerhetshot och risker för din organisation.
- Om du har Microsoft Defender för Office 365 abonnemang 2 har du Utforskaren.
- Om du har Microsoft Defender Office 365 abonnemang 1 kan du göra identifieringar i realtid.
När du först öppnar Utforskaren (eller rapporten över identifieringar i realtid) visar standardvyn identifieringar av skadlig kod för e-post under de senaste 7 dagarna. Den här rapporten kan också visa Microsoft Defender för Office 365 identifieringar, till exempel skadliga URL:er som identifieras av Valv-länkaroch skadliga filer som identifieras av Valv bifogade filer. Den här rapporten kan ändras så att den visar data för de senaste 30 dagarna (med en Microsoft Defender för Office 365 P2-betald prenumeration). Utvärderingsprenumerationer kommer endast att innehålla data för de senaste sju dagarna.
| Prenumeration | Utility | Datadagar |
|---|---|---|
| Utvärderingsversion av Microsoft Defender Office 365 P1 | Identifiering i realtid | 7 |
| Microsoft Defender för Office 365 P1 betalad | Identifiering i realtid | 30 |
| Betalda tester av Defender Office 365 P1 för utvärderingsversion av Microsoft Defender Office 365 P2 | Hotutforskaren | 7 |
| Utvärderingsversion av Microsoft Defender Office 365 P2 | Hotutforskaren | 7 |
| Microsoft Defender för Office 365 P2 betalad | Hotutforskaren | 30 |
Anteckning
Vi kommer snart att utöka datalagrings- och sökgränsen för databevarande i Utforskaren (och realtidsidentifiering) för utvärderingsklienter från 7 till 30 dagar. Den här ändringen spåras som en del av översiktsobjektet no. 70544 och håller för närvarande på att distribueras.
Använd Visa-menyn för att ändra vilken information som visas. Verktygstips hjälper dig att avgöra vilken vy du ska använda.

När du har valt en vy kan du använda filter och konfigurera frågor för vidare analys. I följande avsnitt ges en kort översikt över de olika vyerna som är tillgängliga i Utforskaren (eller identifieringar i realtid).
E-> skadlig programvara
Om du vill visa den här rapporten i Utforskaren (eller identifiering i realtid) väljer du Visa skadlig programvara för > e-post. > I den här vyn visas information om e-postmeddelanden som identifierats som innehåller skadlig programvara.

Klicka på Avsändare så att listan med visningsalternativ öppnas. Använd den här listan för att visa data efter avsändare, mottagare, avsändardomän, ämne, identifieringsteknik, skyddsstatus med mera.
Om du till exempel vill se vilka åtgärder som har vidtagits för identifierade e-postmeddelanden väljer du Skyddsstatus i listan. Välj ett alternativ och klicka sedan på knappen Uppdatera för att använda filtret i rapporten.

Under diagrammet kan du visa mer information om specifika meddelanden. När du markerar ett objekt i listan öppnas ett utfällt fönster där du kan läsa mer om det markerade objektet.

E-> Phish
Om du vill visa den här rapporten i Utforskaren (eller identifieringar i realtid) väljer du Visa > e-post > phish. I den här vyn visas e-postmeddelanden som identifieras som nätfiskeförsök.

Klicka på Avsändare så att listan med visningsalternativ öppnas. Använd den här listan för att visa data efter avsändare, mottagare, avsändardomän, avsändar-IP, URL-domän, klicka på bedömning med mera.
Om du till exempel vill se vilka åtgärder som har vidtagits när personer klickade på URL-adresser som identifierats som nätfiskeförsök väljer du Klicka på bedömning i listan, väljer ett eller flera alternativ och klickar sedan på knappen Uppdatera.

Under diagrammet kan du visa mer information om specifika meddelanden, URL-klick, URL:er och e-postursprung.

När du markerar ett objekt i listan, till exempel en URL som identifierats, öppnas ett utfällt fönster där du kan läsa mer om det markerade objektet.

Skicka e> postinskick
Om du vill visa den här rapporten i Utforskaren (eller identifiering i realtid) väljer du Visa e-postinskick. > > I den här vyn visas e-post som användare har rapporterat som skräppost, inte skräppost eller nätfiske.

Klicka på Avsändare så att listan med visningsalternativ öppnas. Använd den här listan för att visa information efter avsändare, mottagare, rapporttyp (användarens avgörande om e-postmeddelandet var skräppost, inte skräppost eller nätt syfte) och mycket mer.
Om du till exempel vill visa information om e-postmeddelanden som rapporterats som nätfiskeförsök klickar du på Avsändarrapporttyp , väljer Phish och klickar > sedan på knappen Uppdatera.

Under diagrammet kan du visa mer information om specifika e-postmeddelanden, till exempel ämnesraden, avsändarens IP-adress, användaren som rapporterade meddelandet som skräppost, inte skräppost eller nätt syfte med mera.

Markera ett objekt i listan om du vill visa ytterligare information.
E-> all e-post
Om du vill visa den här rapporten väljer du Visa e-post alla > e-postmeddelanden > i Utforskaren. I de här vyerna visas en vy över all e-postaktivitet, inklusive e-post som identifieras som skadlig på grund av nätfiske eller skadlig kod, samt all icke-skadlig e-post (vanlig e-post, skräppost och massutskick).
Anteckning
Om du får ett felmeddelande där det står För mycket data för att visas lägger du till ett filter och, om det behövs, begränsa det datumintervall du visar.
Om du vill använda ett filter väljer du Avsändare, markerar ett objekt i listan och klickar sedan på knappen Uppdatera. I exemplet använde vi Identifieringsteknik som ett filter (det finns flera tillgängliga alternativ). Visa information efter avsändare, avsändares domän, mottagare, ämne, filnamn på bifogad fil, skadlig kodfamilj, skyddsstatus (åtgärder som vidtas av dina skyddsfunktioner och principer i Office 365), identifieringsteknik (hur den skadlig programvara upptäcktes) och mycket mer.

Under diagrammet kan du visa mer information om specifika e-postmeddelanden, till exempel ämnesraden, mottagare, avsändare, status och så vidare.
Innehålls > skadlig programvara
Om du vill visa den här rapporten i Utforskaren (eller identifiering i realtid) väljer du Visa skadlig > programvara för > innehåll. I den här vyn visas filer som identifierats som skadliga av Microsoft Defender för Office 365 i SharePoint Online, OneDrive för företag och Microsoft Teams.
Visa information efter programfamilj, identifieringsteknik (hur den skadlig programvara upptäcktes) och arbetsbelastningen (OneDrive, SharePoint eller Teams).

Under diagrammet kan du visa mer information om specifika filer, till exempel filnamn på bifogade filer, arbetsbelastning, filstorlek, vem som senast ändrade filen och mycket mer.
Klicka-och-filtrera-funktioner
Med Utforskaren (och identifieringar i realtid) kan du använda ett filter med ett klick. Klicka på ett objekt i förklaringen så blir objektet ett filter för rapporten. Anta till exempel att vi tittar på vyn Skadlig programvara i Utforskaren:

Om du klickar på ATP-detonation i det här diagrammet visas en vy som ser ut så här:

I den här vyn tittar vi nu på data för filer som detonerades av Valv Bifogade filer. Under diagrammet kan du se information om specifika e-postmeddelanden som har bifogade filer som upptäckts av Valv bifogade filer.

Om du markerar ett eller flera objekt aktiveras menyn Åtgärder, där du kan välja mellan flera markerade objekt.

Möjligheten att filtrera med ett klick och navigera till specifika detaljer kan spara mycket tid när du undersöker hot.
Frågor och filter
Utforskaren (liksom rapporten över identifieringar i realtid) har flera kraftfulla filter- och frågefunktioner som gör att du kan öka detaljinformationen, till exempel de mest riktade användarna, de främsta familjerna med skadlig programvara, identifieringsteknik med mera. Varje typ av rapport erbjuder en mängd olika sätt att visa och utforska data.
Viktigt
Använd inte jokertecken, till exempel asterisk eller frågetecken, i frågefältet för Utforskaren (eller identifieringar i realtid). När du söker i ämnesfältet efter e-postmeddelanden utför Utforskaren (eller identifieringar i realtid) delvis matchning och ger resultat som liknar en sökning med jokertecken.