威胁资源管理器和实时检测

适用对象

如果你的组织具有 Microsoft Defender for Office 365,并且你拥有 必要的权限,则具有 资源管理器实时检测 (以前的 实时报表 - 请参阅新增功能!) 。 在安全&合规中心,转到 威胁管理,然后选择 资源管理器实时检测

使用Microsoft Defender for Office 365计划 2,可以看到: 使用Microsoft Defender for Office 365计划 1,可以看到:
威胁资源管理器。 实时检测

资源管理器或实时检测可帮助安全运营团队高效调查和响应威胁。 报表类似于下图:

安全&合规性门户中的资源管理器菜单项

使用此报表,可以:

威胁搜寻体验的改进

资源管理器/实时检测中Defender for Office 365警报的警报 ID 简介

今天,如果从警报导航到威胁资源管理器,它会在资源管理器中打开筛选的视图,其中警报策略 ID 筛选的视图 (策略 ID 是警报策略) 的唯一标识符。 我们通过引入警报 ID 来提高此集成的相关性, (在威胁资源管理器和实时检测中查看下面) 的警报 ID 示例,以便你看到与特定警报相关的消息以及电子邮件计数。 你还可以查看消息是否是警报的一部分,以及从该消息导航到特定警报。

查看单个警报时,警报 ID 在 URL 中可用;示例为 https://protection.office.com/viewalerts?id=372c9b5b-a6c3-5847-fa00-08d8abb04ef1.

将资源管理器 (和实时检测) 试用租户的数据保留和搜索限制从 7 天延长到 30 天

作为此更改的一部分,你将能够在 30 天内搜索和筛选电子邮件数据, (在 Defender for Office P1 和 P2 试用租户的威胁资源管理器/实时检测中) 增加。 这不会影响 P1 和 P2/E5 客户的任何生产租户,这两个客户已经具有 30 天的数据保留和搜索功能。

更新了威胁资源管理器的记录导出限制

作为此更新的一部分,可从威胁资源管理器导出的电子邮件记录的行数从 9990 增加到 200,000 条记录。 当前可以导出的列集将保持不变,但行数将从当前限制增加。

威胁资源管理器中的标记

备注

用户标记功能以 预览版 提供,并非可供所有人使用,并且可能会发生更改。 有关发布计划的信息,请查看Microsoft 365路线图。

用户标记标识Microsoft Defender for Office 365中的特定用户组。 有关标记的详细信息,包括许可和配置,请参阅 用户标记

在威胁资源管理器中,可以在以下体验中查看有关用户标记的信息。

电子邮件网格视图

电子邮件网格中的 “标记” 列包含已应用于发件人或收件人邮箱的所有标记。 默认情况下,优先级帐户等系统标记将首先显示。

筛选

可以使用标记作为筛选器。 仅跨优先级帐户或特定用户标记方案进行搜寻。 还可以排除具有特定标记的结果。 将此功能与其他筛选器相结合,缩小调查范围。

筛选标记。

电子邮件详细信息浮出控件

若要查看发件人和收件人的单个标记,请选择主题以打开邮件详细信息浮出控件。 在 “摘要 ”选项卡上,如果发送者和收件人标记存在电子邮件,则单独显示它们。 有关发件人和收件人的单个标记的信息也扩展到导出的 CSV 数据,可在两个单独的列中查看这些详细信息。

标记信息也显示在 URL 单击浮出控件中。 若要查看它,请转到“网络钓鱼”或“所有电子邮件”视图,然后转到 “URL ”或 “URL 单击” 选项卡。选择单个 URL 浮出控件以查看有关该 URL 的单击的其他详细信息,包括与该单击关联的标记。

更新时间线视图

观看此视频了解更多信息。

对威胁搜寻体验的改进 (即将到来的)

更新了电子邮件的威胁信息

我们专注于平台和数据质量的改进,以提高电子邮件记录的数据准确性和一致性。 改进包括将预送和传递后信息(例如在 ZAP 过程中对电子邮件执行的操作)合并为单条记录。 其他详细信息,例如垃圾邮件判决、实体级威胁 (,例如,哪些 URL 是恶意) ,以及最新的传递位置。

这些更新之后,无论影响消息的不同传递后事件如何,你都将看到每个消息的单个条目。 操作可以包括 ZAP、手动修正 (,这意味着管理操作) 、 动态交付等。

除了显示恶意软件和网络钓鱼威胁,你还会看到与电子邮件关联的垃圾邮件判决。 在电子邮件中,查看与电子邮件关联的所有威胁以及相应的检测技术。 电子邮件可能包含零、一个或多个威胁。 你将在电子邮件浮出控件的 “详细信息 ”部分看到当前威胁。 对于恶意软件和网络钓鱼) 等多个威胁 (, 检测技术 字段显示威胁检测映射,即识别威胁的检测技术。

检测技术集现在包括新的检测方法以及垃圾邮件检测技术。 可以使用同一组检测技术来筛选不同电子邮件视图 (恶意软件、网络钓鱼、所有电子邮件) 的结果。

备注

判决分析不一定与实体相关。 例如,电子邮件可能被归类为网络钓鱼或垃圾邮件,但没有带有网络钓鱼/垃圾邮件判决的 URL。 这是因为筛选器在分配判决之前还会评估电子邮件的内容和其他详细信息。

URL 中的威胁

现在可以在“电子邮件浮出控件 详细信息 ”选项卡上看到 URL 的特定威胁。威胁可能是 恶意软件网络钓鱼垃圾邮件none.)

更新了即将推出的) (时间线视图

时间线视图标识所有传递和传递后事件。 它包括有关在该时间点为这些事件的子集识别的威胁的信息。 时间线视图还提供有关 (执行的任何其他操作的信息,例如 ZAP 或手动修正) ,以及该操作的结果。 时间线视图信息包括:

  • 源: 事件的源。 它可以是管理员/系统/用户。
  • 事件: 包括顶级事件,如原始交付、手动修正、ZAP、提交和动态交付。
  • 行动: 作为 ZAP 或管理员操作的一部分执行的特定操作 (例如软删除) 。
  • 威胁: 涵盖在该时间点标识 (恶意软件、网络钓鱼、垃圾邮件) 的威胁。
  • 结果/详细信息: 有关操作结果的详细信息,例如它是否作为 ZAP/管理员操作的一部分执行。

原始和最新的交付位置

目前,我们会在电子邮件网格和电子邮件浮出控件中显示传递位置。 “传递位置”字段正在重命名为 “原始交付位置_”。我们将介绍另一个字段 _Latest 传递位置

原始送达位置 将提供有关最初发送电子邮件位置的详细信息。 最新的传递位置 会在系统操作(如 ZAP 或管理操作(如 “移动到已删除的项”)之后显示电子邮件的落地位置。 最新的传递位置旨在告知管理员消息传递后的最后一个已知位置或任何系统/管理员操作。 它不包括电子邮件上的任何最终用户操作。 例如,如果用户删除了邮件或将消息移动到存档/pst,则不会更新消息“传递”位置。 但是,如果系统操作更新了位置 (例如,ZAP 导致电子邮件移动到隔离) , 最新的传递位置 将显示为“隔离”。

备注

在某些情况下, 传递位置交付操作 可能显示为“未知”:

  • 如果邮件已送达,则可能会将 传递位置 视为“已送达”, 且传递位置 为“未知”,但收件箱规则将邮件移到默认文件夹 ((例如草稿或存档) ),而不是“收件箱”或“垃圾邮件”文件夹。

  • 如果尝试了管理员/系统操作(例如 ZAP) ) (,则 最新的传递位置 可能未知,但未找到该消息。 通常,该操作发生在用户移动或删除消息之后。 在这种情况下,请在时间线视图中验证 “结果/详细信息” 列。 查找“用户移动或删除消息”的语句。

其他操作

电子邮件送达后应用了 其他操作。 它们可以包括管理员采取的 ZAP手动修正 (操作,例如软删除) 、 动态交付 以及针对追溯检测为良好) 的电子邮件的 重新处理 (。

备注

作为挂起的更改的一部分,当前在传递操作筛选器中显示的“ZAP 删除”值将消失。 你将可以通过其他 操作 通过 ZAP 尝试搜索所有电子邮件。

系统重写

系统重写 使你可以对消息的预期传递位置进行异常。 根据筛选堆栈标识的威胁和其他检测,重写系统提供的传递位置。 可通过租户或用户策略设置系统重写,以根据策略建议传递消息。 重写可以识别由于配置差距导致的恶意消息的无意传递,例如用户设置的过于广泛的保险箱发件人策略。 这些替代值可以是:

  • 用户策略允许:用户在邮箱级别创建策略以允许域或发件人。

  • 被用户策略阻止:用户在邮箱级别创建策略来阻止域或发件人。

  • 组织的安全团队设置策略或Exchange邮件流规则 (也称为传输规则,) 允许其组织中的用户发送发件人和域。 这可以用于一组用户或整个组织。

  • 被组织策略阻止:组织的安全团队设置策略或邮件流规则来阻止组织中用户的发件人、域、邮件语言或源 IP。 这可以应用于一组用户或整个组织。

  • 被组织策略阻止的文件扩展名:组织的安全团队通过反恶意软件策略设置阻止文件扩展名。 这些值现在将显示在电子邮件详细信息中,以帮助进行调查。 Secops 团队还可以使用丰富筛选功能来筛选被阻止的文件扩展名。

资源管理器中的系统替代。

URL 和单击体验的改进

改进包括:

  • 显示完整的单击 URL (包括 URL 浮出控件的 Clicks 部分中 URL) 的一部分的任何查询参数。 目前,URL 域和路径显示在标题栏中。 我们将扩展该信息以显示完整的 URL。

  • 修复了 URL 筛选器 (URL 与 URL 域URL 域和路径) :更新会影响搜索包含 URL/单击判断的消息。 我们启用了对协议不可知搜索的支持,因此你可以在不使用 http的情况下搜索 URL。 默认情况下,URL 搜索映射到 http,除非显式指定了另一个值。 例如:

    • 使用或不 http:// 使用 URLURL 域、URL 域 和路径筛选器字段中的前缀 进行 搜索。 搜索应显示相同的结果。
    • URL 中搜索https://前缀。 如果未指定任何值, http:// 则假定前缀。
    • /URL 路径URL 域、URL 域****和路径 字段的开头和结尾被忽略。 /URL 字段末尾将被忽略。

网络钓鱼置信度

网络钓鱼置信度有助于确定电子邮件被归类为“网络钓鱼”的信心程度。 两个可能的值是 “高 ”和“ 普通”。 在初始阶段,此筛选器仅在威胁资源管理器的网络钓鱼视图中可用。

资源管理器中的网络钓鱼置信度。

ZAP URL 信号

ZAP URL 信号通常用于 ZAP 网络钓鱼警报方案,其中电子邮件被标识为网络钓鱼并在传递后删除。 此信号将警报与资源管理器中的相应结果连接。 它是警报的 IOC 之一。

为了改进搜寻过程,我们更新了威胁资源管理器和实时检测,使搜寻体验更加一致。 此处概述了这些更改:

按用户标记筛选

现在可以对系统或自定义用户标记进行排序和筛选,以快速掌握威胁的范围。 若要了解详细信息,请参阅 用户标记

重要

按用户标记进行筛选和排序目前为公共预览版。 在商业发布之前,可能会大幅修改此功能。 Microsoft 不就所提供的信息提供任何明示或暗示的保证。

时区改进

你将在门户中看到电子邮件记录的时区以及导出的数据。 它将在电子邮件网格、详细信息浮出控件、电子邮件时间线和类似电子邮件等体验中可见,因此结果集的时区是明确的。

刷新过程中的更新

一些用户已评论与自动刷新 (混淆,例如,一旦更改日期,页面刷新) 和手动刷新 (其他筛选器) 。 同样,删除筛选器会导致自动刷新。 修改查询时更改筛选器可能会导致搜索体验不一致。 为了解决这些问题,我们将转向手动筛选机制。

从体验的角度来看,用户可以从筛选器集和日期) 中应用和删除 (的不同筛选器范围,并在定义查询后选择刷新按钮来筛选结果。 现在屏幕上还强调刷新按钮。 我们还更新了相关的工具提示和产品内文档。

要添加到筛选器的图表下钻取

现在可以绘制图例值,以将其添加为筛选器。 选择 “刷新 ”按钮以筛选结果。

产品内信息更新

产品中现在提供了其他详细信息,例如网格中的搜索结果总数 (请参阅下) 。 我们改进了标签、错误消息和工具提示,以提供有关筛选器、搜索体验和结果集的详细信息。

威胁资源管理器中的扩展功能

目标最高的用户

今天,我们将在“ 热门恶意软件系列 ”部分中,在“恶意软件”视图中公开电子邮件的首要目标用户列表。 我们还将在“网络钓鱼”和“所有电子邮件”视图中扩展此视图。 你将能够看到前五个目标用户,以及每个用户针对相应视图的尝试次数。 例如,对于网络钓鱼视图,你将看到网络钓鱼尝试次数。

你将能够导出目标用户列表(最多 3,000 个限制)以及每个电子邮件视图的脱机分析尝试次数。 此外,选择 (尝试次数,例如,下图中的 13 次尝试) 将在威胁资源管理器中打开筛选的视图,以便您可以跨电子邮件和威胁查看该用户的更多详细信息。

Exchange传输规则

作为数据扩充的一部分,你将能够看到应用于消息的所有不同Exchange传输规则 (ETR) 。 此信息将在“电子邮件网格”视图中提供。 若要查看它,请在网格中选择 列选项,然后从列选项 添加Exchange传输规则。 在电子邮件的 “详细信息 ”浮出控件上也会显示它。

你将能够看到应用于消息的 GUID 和传输规则的名称。 你将能够使用传输规则的名称搜索消息。 这是一个“包含”搜索,这意味着你也可以执行部分搜索。

重要

ETR 搜索和名称可用性取决于分配给你的特定角色。 需要具有以下角色/权限之一才能查看 ETR 名称和搜索。 如果未分配任何这些角色,则无法看到传输规则的名称或使用 ETR 名称搜索消息。 但是,可以在“电子邮件详细信息”中看到 ETR 标签和 GUID 信息。 电子邮件网格、电子邮件浮出控件、筛选器和导出中的其他记录查看体验不会受到影响。

  • 仅 EXO - 数据丢失防护:全部
  • 仅 EXO - O365SupportViewConfig:All
  • Microsoft Azure Active Directory或 EXO - 安全管理员:全部
  • AAD或 EXO - 安全读取器:全部
  • 仅 EXO - 传输规则:全部
  • 仅 EXO - View-Only配置:全部

在电子邮件网格、详细信息浮出控件和导出的 CSV 中,ETR 会显示名称/GUID,如下所示。

入站连接器

连接器是自定义电子邮件流向和流出Microsoft 365或Office 365组织的说明集合。 它们使你能够应用任何安全限制或控件。 在威胁资源管理器中,现在可以查看与电子邮件相关的连接器,并使用连接器名称搜索电子邮件。

搜索连接器的性质是“contains”,这意味着部分关键字搜索也应该有效。 在主网格视图、详细信息浮出控件和导出的 CSV 中,连接器以名称/GUID 格式显示,如下所示:

威胁资源管理器和实时检测中的新功能

查看发送给模拟用户和域的网络钓鱼电子邮件

若要识别针对模拟用户的用户和域的网络钓鱼尝试,必须添加到 “用户”列表以进行保护。 对于域,管理员必须启用 组织域,或将域名添加到 域进行保护。 要保护的域位于 模拟部分**的“反钓鱼策略”页 上。

若要查看网络钓鱼消息并搜索模拟用户或域,请使用资源管理器 的电子邮件>网络钓鱼视图

此示例使用威胁资源管理器。

  1. 安全&合规中心 (https://protection.office.com)中,选择威胁管理>资源管理器 (或实时检测) 。

  2. 在“视图”菜单中,选择“电子邮件>网络钓鱼”。

    可在此处选择 模拟域模拟用户

  3. 要么 选择 模拟域,然后在文本框中键入受保护的域。

    例如,搜索受保护的域名,如 contosocontoso.comcontoso.com.au

  4. 选择“电子邮件”选项卡下的任何邮件的主题>“详细信息”选项卡,查看其他模拟信息,如模拟域/检测到的位置。

    OR

    选择 模拟用户 ,并在文本框中键入受保护用户的电子邮件地址。

    提示

    为了获得最佳结果,请使用 完整的电子邮件地址 搜索受保护的用户。 如果搜索 firstname.lastname@contoso.com,例如在调查用户模拟时,你会发现受保护的用户更快、更成功。 搜索受保护域时,搜索将采用根域 (contoso.com(例如) )和域名 (contoso) 。 搜索根域 contoso.com 将返回 contoso.com 和域名 contoso 的模拟。

  5. 选择“电子邮件选项卡**”选项卡** > 下的任何邮件 的主题,查看有关用户或域以及 检测到的位置 的其他模拟信息。

    “威胁资源管理器”详细信息窗格,用于显示检测位置的受保护用户,以及此处检测到的威胁 (用户的网络钓鱼模拟)

备注

在步骤 3 或 5 中,如果选择 检测技术 并分别选择模拟 模拟用户,则“电子邮件选项卡**”选项卡** > 中有关用户或域的信息,并且 检测到的位置 将仅显示在 “反网络钓鱼”策略页上列出的与用户或域相关的消息上。

预览电子邮件标头和下载电子邮件正文

现在可以在威胁资源管理器中预览电子邮件标头并下载电子邮件正文。 管理员可以分析下载的标头/电子邮件是否存在威胁。 由于下载电子邮件可能会有信息泄露的风险,因此此过程由基于角色的访问控制 (RBAC) 控制。 需要一个新的角色 “预览”才能授予在全电子邮件视图中下载邮件的功能。 但是,查看电子邮件标头不需要任何其他角色 (除了在威胁资源管理器) 中查看邮件所需的角色。 若要创建具有预览角色的新角色组,请执行以下操作:

  1. 选择仅具有预览角色的内置角色组,例如数据调查器或电子数据展示管理器。
  2. 选择 “复制”角色组
  3. 选择新角色组的名称和说明,然后选择 “下一步”。
  4. 根据需要添加和删除角色,但保留预览角色,修改角色。
  5. 添加成员,然后选择 “创建角色组”。

资源管理器和实时检测还可获取新字段,这些字段提供更完整的电子邮件登陆位置的图片。 这些更改使搜寻更易于安全操作。 但主要结果是可以一目了然地知道问题电子邮件的位置。

这是怎么做到的? 传递状态现在分为两列:

  • 传递操作 - 电子邮件的状态。
  • 传递位置 - 路由电子邮件的位置。

传递操作 是由于现有策略或检测而对电子邮件执行的操作。 以下是电子邮件的可能操作:

交付 垃圾邮件 Blocked 取代
电子邮件已传递到用户的收件箱或文件夹,用户可以访问它。 电子邮件已发送到用户的“垃圾邮件”或“已删除”文件夹,用户可以访问它。 被隔离、失败或被删除的电子邮件。 用户无法访问这些邮件。 电子邮件的恶意附件替换为.txt文件,这些文件指出附件是恶意的。

下面是用户可以查看和看不到的内容:

最终用户可访问 最终用户无法访问
交付 Blocked
垃圾邮件 取代

传递位置 显示运行传递后的策略和检测的结果。 它链接到 传递操作。 以下是可能的值:

  • 收件箱或文件夹:电子邮件位于收件箱或文件夹中, (根据电子邮件规则) 。
  • 本地或外部:邮箱在云中不存在,但位于本地。
  • 垃圾文件夹:电子邮件位于用户的“垃圾邮件”文件夹中。
  • 已删除的项目文件夹:用户的“已删除邮件”文件夹中的电子邮件。
  • 隔离:电子邮件处于隔离状态,不在用户的邮箱中。
  • 失败:电子邮件无法访问邮箱。
  • 删除:电子邮件在邮件流中的某个位置丢失。

电子邮件时间线

电子邮件时间线 是一项新的资源管理器功能,可改进管理员的搜寻体验。 它缩短了检查不同位置以尝试了解事件所花费的时间。 当在电子邮件到达时或接近同一时间发生多个事件时,这些事件将显示在时间线视图中。 在 “特殊操作 ”列中捕获电子邮件传递后发生的一些事件。 管理员可以将时间线中的信息与邮件传递后采取的特殊行动结合起来,以深入了解其策略的工作原理、邮件最终路由的位置,以及在某些情况下,最终评估是什么。

有关详细信息,请参阅调查并修正Office 365中传递的恶意电子邮件

导出 URL 单击数据

现在可以导出 URL 单击的报表以Microsoft Excel查看其 网络消息 ID单击“判断”,这有助于解释 URL 单击流量的来源。 工作原理如下:在Office 365快速启动栏上的威胁管理中,按照以下链进行操作:

探险 家 >查看网络钓鱼 >点击 >顶部 URLURL 顶部单击选择>任何记录以打开 URL 浮出控件。

在列表中选择 URL 时,会在弹出面板上看到新的“ 出”按钮。 使用此按钮可将数据移动到Excel电子表格,以便更轻松地进行报告。

按照此路径到达实时检测报表中的同一位置:

探险 家 >实时检测 >查看网络钓鱼 >Url >顶部 URL顶部单击选择>任何记录以打开 URL 浮出控件>导航到 “单击” 选项卡。

提示

通过资源管理器或关联的第三方工具搜索 ID 时,网络消息 ID 会将单击映射回特定邮件。 此类搜索标识与单击结果关联的电子邮件。 具有关联的网络消息 ID 可实现更快、更强大的分析。

查看通过技术在电子邮件中检测到的恶意软件

假设你想要看到通过Microsoft 365技术排序的电子邮件中检测到恶意软件。 为此,请使用资源管理器 (或实时检测) 的电子邮件>恶意软件 视图。

  1. 在安全&合规中心 () https://protection.office.com 中,选择 威胁管理 > 资源管理器 (或实时 检测) 。 (本示例使用 Explorer.)

  2. “视图 ”菜单中,选择 “电子邮件 > 恶意软件”。

  3. 单击 “发送方”,然后选择 “基本 > 检测”技术

    检测技术现在可用作报表的筛选器。

  4. 选择一个选项。 然后选择 “刷新 ”按钮以应用该筛选器。

报表使用所选的技术选项刷新以显示电子邮件中检测到的恶意软件的结果。 在此处,可以进行进一步分析。

查看网络钓鱼 URL 并单击判决数据

假设你想要在电子邮件中看到通过 URL 进行网络钓鱼尝试,包括允许、阻止和重写 URL 的列表。 若要标识已单击的 URL,必须配置保险箱链接。 请确保设置保险箱链接策略,以便通过保险箱链接保护和记录单击判断。

若要查看邮件中的网络钓鱼 URL 并单击网络钓鱼邮件中的 URL,请使用资源管理器或实时检测的 EmailPhish > 视图。

  1. 在安全&合规中心 () https://protection.office.com 中,选择 威胁管理 > 资源管理器 (或实时 检测) 。 (本示例使用 Explorer.)

  2. “视图 ”菜单中,选择 “电子邮件 > 网络钓鱼”。

  3. 单击 “发件人”,然后选择 URL > 单击“判断”。

  4. 选择一个或多个选项,例如 “阻止 ”和“ 阻止”重写,然后选择要应用该筛选器的选项在同一行上的 “刷新 ”按钮。 (请勿刷新浏览器窗口。)

    报表将刷新以在报表下的 URL 选项卡上显示两个不同的 URL 表:

    • 前 URL 是筛选到的消息中的 URL,以及每个 URL 的电子邮件传递操作计数。 在网络钓鱼电子邮件视图中,此列表通常包含合法 URL。 攻击者在邮件中包括好 URL 和坏 URL,以尝试传递它们,但它们使恶意链接看起来更有趣。 URL 表按电子邮件总数排序,但此列隐藏以简化视图。

    • 点击次数最多的 是单击的保险箱链接包装 URL,按总单击计数排序。 此列也不会显示,以简化视图。 逐列的总计数指示每个单击 URL 的保险箱链接单击判断计数。 在网络钓鱼电子邮件视图中,这些 URL 通常是可疑的或恶意的 URL。 但该视图可能包含不是威胁但位于网络钓鱼消息中的 URL。 此处不会显示未拖网链接的 URL 单击。

    这两个 URL 表通过传递操作和位置显示网络钓鱼电子邮件中的顶级 URL。 这些表显示在出现警告的情况下被阻止或访问的 URL 单击,因此你可以查看向用户显示哪些潜在的不良链接以及用户单击了哪些错误链接。 在此处,可以进行进一步分析。 例如,在图表下方,可以看到在组织环境中被阻止的电子邮件中的顶级 URL。

    选择一个 URL 以查看更详细的信息。

    备注

    在 URL 浮出控件对话框中,删除对电子邮件的筛选,以显示环境中 URL 公开的完整视图。 这使你可以筛选资源管理器中关注的电子邮件,查找潜在威胁的特定 URL,然后通过 URL 详细信息对话框) 扩展你对环境中 URL 公开 (的了解,而无需向资源管理器视图本身添加 URL 筛选器。

单击判决的解释

在“电子邮件”或“URL”浮出控件中,在“顶部单击”以及我们的筛选体验中,你将看到不同的单击判断值:

  • 没有: 无法捕获 URL 的判决。 用户可能已单击该 URL。
  • 允许: 允许用户导航到 URL。
  • 封锁: 阻止用户导航到 URL。
  • 待定判决: 向用户提供了挂起爆炸的页面。
  • 已阻止重写: 阻止用户直接导航到 URL。 但用户会覆盖该块以导航到 URL。
  • 未作出的判决被绕过: 向用户显示引爆页。 但用户会覆盖消息以访问 URL。
  • 错误: 向用户显示错误页,或在捕获判决时出错。
  • 失败: 捕获判决时发生了未知异常。 用户可能已单击该 URL。

查看用户报告的电子邮件

假设你想要通过报表消息 加载项或 报表网络钓鱼加载项看到组织中用户报告为 垃圾 邮件、非垃圾 邮件或 网络钓鱼 的电子邮件。 若要查看它们,请使用资源管理器 (或实时检测) 的 EmailSubmissions > 视图。

  1. 在安全&合规中心 () https://protection.office.com 中,选择 威胁管理 > 资源管理器 (或实时 检测) 。 (本示例使用 Explorer.)

  2. “视图 ”菜单中,选择 “电子邮件 > 提交”。

  3. 单击 “发件人”,然后选择 “基本 > 报表”类型

  4. 选择一个选项,如 网络钓鱼,然后选择 “刷新 ”按钮。

报表将刷新以显示有关组织中人员报告为网络钓鱼尝试的电子邮件的数据。 可以使用此信息进行进一步分析,并在必要时调整Microsoft Defender for Office 365中的防钓鱼策略

开始自动调查和响应

备注

Microsoft Defender for Office 365 计划 2 和 Office 365 E5 中提供了自动 调查和响应 功能。

自动调查和响应 可以节省安全运营团队调查和缓解网络攻击所花费的时间和精力。 除了配置可以触发安全 playbook 的警报外,还可以从资源管理器中的视图开始自动调查和响应过程。 有关详细信息,请参阅示 例:安全管理员从资源管理器触发调查

使用资源管理器和实时检测的更多方法

除了本文中概述的方案外,资源管理器 (或实时检测) 还提供了更多报告选项。 另请参阅以下文章:

所需的许可证和权限

必须有Microsoft Defender for Office 365才能使用资源管理器或实时检测。

  • 资源管理器包含在Defender for Office 365计划 2 中。
  • 实时检测报告包含在计划 1 Defender for Office 365中。
  • 计划为应受Defender for Office 365保护的所有用户分配许可证。 资源管理器和实时检测显示许可用户的检测数据。

若要查看和使用资源管理器或实时检测,必须具有适当的权限,例如授予安全管理员或安全读取器的权限。

  • 对于安全&合规中心,必须分配以下角色之一:

    • 组织管理
    • 安全管理员 (可以在Azure Active Directory管理中心 () https://aad.portal.azure.com 中分配此项
    • 安全信息读取者
  • 对于Exchange Online,必须在 Exchange 管理中心 (EAC) 或 Exchange Online PowerShell 中分配以下角色之一:

    • 组织管理
    • 仅查看组织管理
    • 仅查看收件人
    • 合规性管理

若要详细了解角色和权限,请参阅以下资源:

威胁资源管理器和实时检测之间的差异

  • Defender for Office 365计划 1 中提供了 实时检测 报告。 威胁资源管理器 在Defender for Office 365计划 2 中可用。
  • 使用实时检测报告可以实时查看检测。 威胁资源管理器也这样做,但它也提供了给定攻击的其他详细信息。
  • 威胁资源管理器中提供了 “所有电子邮件 ”视图,但不适用于实时检测报表。
  • 威胁资源管理器中包含更多筛选功能和可用操作。 有关详细信息,请参阅Microsoft Defender for Office 365服务说明:跨Defender for Office 365计划的功能可用性

使用“电子邮件实体”页调查电子邮件