Vyer i Hotutforskaren och identifieringar i realtid

Anteckning

Vill du uppleva Microsoft 365 Defender? Läs mer om hur du kan utvärdera och pilottesta Microsoft 365 Defender.

Gäller för

Sidan Hotutforskaren

Hotutforskaren (och realtidsidentifieringsrapporten) är ett kraftfullt verktyg i nära realtid som hjälper säkerhetsåtgärdsteam att undersöka och svara på hot i Microsoft 365 Defender-portalen. Explorer (och rapporten om identifieringar i realtid) visar information om misstänkt skadlig kod och nätfiske i e-post och filer i Office 365, samt andra säkerhetshot och risker för din organisation.

När du först öppnar Explorer (eller rapporten med identifieringar i realtid) visar standardvyn identifiering av skadlig kod för e-post under de senaste 7 dagarna. Den här rapporten kan också visa Microsoft Defender för Office 365 identifieringar, till exempel skadliga URL:er som identifieras av Valv-länkar och skadliga filer som identifieras av Valv bifogade filer. Den här rapporten kan ändras för att visa data för de senaste 30 dagarna (med en Microsoft Defender för Office 365 P2-betald prenumeration). Utvärderingsprenumerationer innehåller endast data för de senaste sju dagarna.

Prenumeration Verktyg Datadagar
Microsoft Defender för Office 365 P1-utvärderingsversion Identifiering i realtid 7
Microsoft Defender för Office 365 P1 betalas Identifiering i realtid 30
Microsoft Defender för Office 365 P1 betald testning Defender för Office 365 P2-utvärderingsversion Hotutforskaren 7
Microsoft Defender för Office 365 P2-utvärderingsversion Hotutforskaren 7
Microsoft Defender för Office 365 P2 betalas Hotutforskaren 30

Anteckning

Vi kommer snart att utöka datakvarhållningen för Utforskaren (och realtidsidentifieringar) och sökgränsen för utvärderingsklientorganisationer från 7 till 30 dagar. Den här ändringen spåras som en del av översiktsobjekt nr 70544 och är för närvarande i en distributionsfas.

Använd menyn Visa om du vill ändra vilken information som visas. Knappbeskrivningar hjälper dig att avgöra vilken vy som ska användas.

Menyn Threat Explorer View (Hotutforskaren)

När du har valt en vy kan du använda filter och ställa in frågor för att utföra ytterligare analys. Följande avsnitt innehåller en kort översikt över de olika vyer som är tillgängliga i Explorer (eller realtidsidentifieringar).

E-post > skadlig kod

Om du vill visa den här rapporten i Explorer (eller identifieringar i realtid) väljer du Visa > skadlig kod för e-post>. Den här vyn visar information om e-postmeddelanden som har identifierats som innehållande skadlig kod.

Visa data om e-post som identifierats som skadlig kod

Klicka på Avsändare för att öppna listan med visningsalternativ. Använd den här listan om du vill visa data efter avsändare, mottagare, avsändardomän, ämne, identifieringsteknik, skyddsstatus med mera.

Om du till exempel vill se vilka åtgärder som har vidtagits för identifierade e-postmeddelanden väljer du Skyddsstatus i listan. Välj ett alternativ och klicka sedan på knappen Uppdatera för att tillämpa filtret på rapporten.

Alternativen för hotskyddsstatus för Threat Explorer

Under diagrammet visar du mer information om specifika meddelanden. När du väljer ett objekt i listan öppnas ett utfällt fönster där du kan lära dig mer om det objekt som du har valt.

Hotutforskaren med utfällbara menyn öppen

E-post > phish

Om du vill visa den här rapporten går du till Utforskaren (eller realtidsidentifieringar) och väljer Visa > nätfiske via e-post>. Den här vyn visar e-postmeddelanden som identifierats som nätfiskeförsök.

Visa data om e-post som identifieras som nätfiskeförsök

Klicka på Avsändare för att öppna listan med visningsalternativ. Använd den här listan om du vill visa data efter avsändare, mottagare, avsändardomän, avsändarens IP-adress, URL-domän, klicka på bedömning med mera.

Om du till exempel vill se vilka åtgärder som vidtogs när personer klickade på URL:er som identifierades som nätfiskeförsök väljer du Klicka på bedömning i listan, väljer ett eller flera alternativ och klickar sedan på knappen Uppdatera.

Alternativ för klickutdömet för Phish-rapporten

Under diagrammet visar du mer information om specifika meddelanden, URL-klick, URL:er och e-postursprung.

URL:erna har identifierats som nätfiske i e-postmeddelanden

När du väljer ett objekt i listan, till exempel en URL som har identifierats, öppnas ett utfällbara fönster där du kan lära dig mer om det objekt som du har valt.

Information om en identifierad URL

Skicka e-post >

Om du vill visa den här rapporten går du till Utforskaren (eller identifieringar i realtid) och väljer Visa > e-postöverföringar>. Den här vyn visar e-post som användare har rapporterat som skräppost, inte skräppost eller nätfiskemeddelande.

E-postmeddelanden som rapporterats av användare

Klicka på Avsändare för att öppna listan med visningsalternativ. Använd den här listan om du vill visa information efter avsändare, mottagare, rapporttyp (användarens bedömning att e-postmeddelandet var skräppost, inte skräppost eller nätfiske) med mera.

Om du till exempel vill visa information om e-postmeddelanden som rapporterats som nätfiskeförsök klickar du på Avsändarrapporttyp>, väljer Nätfiske och klickar sedan på knappen Uppdatera.

Nätfiske har valts för filter för rapporttyp.

Under diagrammet visar du mer information om specifika e-postmeddelanden, till exempel ämnesrad, avsändarens IP-adress, användaren som rapporterade meddelandet som skräp, inte skräp eller nätfiske med mera.

Meddelandena som rapporterades som nätfiskeförsök

Välj ett objekt i listan om du vill visa ytterligare information.

Skicka e-post > alla e-postmeddelanden

Om du vill visa den här rapporten väljer du Visa > e-post alla e-postmeddelanden i Utforskaren>. De här vyerna visar en översikt över e-postaktivitet, inklusive e-post som identifierats som skadlig på grund av nätfiske eller skadlig kod, samt all icke-skadlig e-post (vanlig e-post, skräppost och massutskick).

Anteckning

Om du får ett fel som läser För mycket data att visa lägger du till ett filter och begränsar vid behov det datumintervall som du visar.

Om du vill använda ett filter väljer du Avsändare, väljer ett objekt i listan och klickar sedan på knappen Uppdatera. I vårt exempel använde vi identifieringsteknik som ett filter (det finns flera tillgängliga alternativ). Visa information efter avsändare, avsändarens domän, mottagare, ämne, filnamn för bifogade filer, skadlig kodfamilj, skyddsstatus (åtgärder som vidtagits av hotskyddsfunktioner och principer i Office 365), identifieringsteknik (hur skadlig kod har identifierats) med mera.

Visa data om identifierad e-post efter identifieringsteknik

Under diagrammet visar du mer information om specifika e-postmeddelanden, till exempel ämnesrad, mottagare, avsändare, status och så vidare.

Skadlig kod för innehåll >

Om du vill visa den här rapporten går du till Utforskaren (eller realtidsidentifieringar) och väljer Visa > skadlig kod för innehåll>. Den här vyn visar filer som har identifierats som skadliga av Microsoft Defender för Office 365 i SharePoint Online, OneDrive för företag och Microsoft Teams.

Visa information efter familj av skadlig kod, identifieringsteknik (hur skadlig kod har identifierats) och arbetsbelastning (OneDrive, SharePoint eller Teams).

Visa data om identifierad skadlig kod

Under diagrammet visar du mer information om specifika filer, till exempel filnamn för bifogade filer, arbetsbelastning, filstorlek, vem som senast ändrade filen med mera.

Klicka-och-filtrera-funktioner

Med Explorer (och realtidsidentifieringar) kan du använda ett filter med ett klick. Klicka på ett objekt i förklaringen så blir objektet ett filter för rapporten. Anta till exempel att vi tittar på vyn Skadlig kod i Explorer:

Sidan Utforskaren i portalen säkerhet & efterlevnad

Om du klickar på ATP-detonation i det här diagrammet visas en vy som den här:

Utforskaren har filtrerats för att endast visa Defender för Office 365 detonationsresultat

I den här vyn tittar vi nu på data för filer som detonerade av Valv Bifogade filer. Under diagrammet kan vi se information om specifika e-postmeddelanden som har bifogade filer som har identifierats av Valv Bifogade filer.

Den specifika informationen om e-postmeddelanden med identifierade bifogade filer

Om du väljer ett eller flera objekt aktiveras menyn Åtgärder , som innehåller flera alternativ att välja mellan för de markerade objekten.

Processen för att välja ett objekt som aktiverar menyn Åtgärder

Möjligheten att filtrera med ett klick och navigera till specifik information kan spara mycket tid på att undersöka hot.

Frågor och filter

Explorer (liksom rapporten med identifieringar i realtid) har flera kraftfulla filter och frågefunktioner som gör att du kan granska detaljer, till exempel de mest riktade användarna, de främsta familjerna för skadlig kod, identifieringsteknik och mycket mer. Varje typ av rapport erbjuder en mängd olika sätt att visa och utforska data.

Viktigt

Använd inte jokertecken, till exempel en asterisk eller ett frågetecken, i frågefältet för Explorer (eller identifieringar i realtid). När du söker i fältet Ämne efter e-postmeddelanden utför Explorer (eller realtidsidentifieringar) partiell matchning och ger resultat som liknar en sökning med jokertecken.