Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложений электронной почты.

Дополнительные сведения о том, как Корпорация Майкрософт хранит и обрабатывает ваши отправки, см. в этой статье.

В организациях Microsoft 365 с почтовыми ящиками Exchange Online администраторы могут использовать страницу Отправки на портале Microsoft Defender для отправки сообщений, URL-адресов и вложений в Корпорацию Майкрософт для анализа. Существует два основных типа отправки администратором:

• Отправки, созданные администратором. Администраторы определяют сообщения, вложения или URL-адреса (сущности) и сообщают о ней, нажимая кнопку Отправить в Майкрософт для анализа на вкладках на странице Отправки , как описано в разделе Отправки, инициированные администратором .

  После того как администратор сообщит сущность, на соответствующей вкладке на странице Отправки (в любом месте, кроме вкладки Пользователь сообщил ).

• Отправка пользователями сообщений, отправленных администратором. Встроенный интерфейс создания отчетов пользователей включен и настроен. Сообщения, сообщаемые пользователем, отображаются на вкладке Пользователь сообщается на странице Отправки , а администраторы могут отправлять или повторно отправлять сообщения в Корпорацию Майкрософт с вкладки Пользователь сообщил.

  После того как администратор отправит сообщение с вкладки Пользователь сообщается , на соответствующей вкладке на странице Отправки также создается запись (например, на вкладке Электронная почта ). Эти типы отправки администратора описаны в разделе Параметры администратора для сообщений, сообщаемых пользователями .

Когда администраторы или пользователи передают сообщения в Корпорацию Майкрософт для анализа, мы делаем следующие проверки:

• Проверка проверки подлинности по электронной почте (только сообщения электронной почты): была ли выполнена проверка подлинности электронной почты при доставке.
• Попадания в политику. Сведения о любых политиках или переопределениях, которые могли разрешить или заблокировать входящие сообщения электронной почты в организацию, тем самым переопределяя наши решения фильтрации.
• Репутация полезных данных или детонация. Актуальные сведения о любых URL-адресах и вложениях в сообщении.
• Анализ оценщиков. Проверка, выполненная людьми-оценщиками, чтобы подтвердить, являются ли сообщения вредоносными.

Просмотрите это короткое видео, чтобы узнать, как использовать отправки администратора в Microsoft Defender для Office 365 для отправки сообщений в Корпорацию Майкрософт для оценки.

Дополнительные сведения о том, как пользователи могут отправлять сообщения и файлы в корпорацию Майкрософт, см. в статье Отправка сообщений и файлов в корпорацию Майкрософт.

Сведения о других способах отправки сообщений в Корпорацию Майкрософт на портале Defender см. в разделе Связанные параметры отчетов для администраторов.

Что нужно знать перед началом работы

• Откройте портал Microsoft Defender по адресу https://security.microsoft.com/. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR (если активны разрешения Microsoft Defender & совместной работы>Defender для Office 365. Затрагивает только портал Defender, а не PowerShell: операции безопасности/Данные безопасности/Ответ (управление) или Операции безопасности/Данные безопасности/Основы данных безопасности (чтение).
  • Электронная почта & разрешения на совместную работу на портале Microsoft Defender: членство в группах ролей "Администратор безопасности " или "Читатель безопасности ".
  • Разрешения Microsoft Entra. Членство в ролях "Администратор безопасности " или "Читатель безопасности " предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

• Администраторы могут отправлять сообщения электронной почты старше 30 дней, если они по-прежнему доступны в почтовом ящике и не были очищены пользователем или администратором.

• Отправка администратором регулируется по следующим тарифам:

  • Максимальное количество заявок за любой 15-минутный период: 150 заявок
  • Одни и те же отправки в течение 24-часового периода: три отправки
  • Одни и те же отправки за 15-минутный период: одна отправка

• Если пользователь сообщил параметры в организации отправлять сообщения пользователя (электронная почта и Microsoft Teams) в корпорацию Майкрософт (исключительно или в дополнение к почтовому ящику отчетов), мы делаем те же проверки, что и при отправке администраторами сообщений в Корпорацию Майкрософт для анализа со страницы Отправки . Таким образом, отправка или повторная отправка сообщений в корпорацию Майкрософт полезна администраторам только для сообщений, которые никогда не отправлялись в корпорацию Майкрософт, или если вы не согласны с первоначальным вердиктом.

• Вкладка Файлы доступна на странице Отправки только в организациях с Microsoft Defender XDR или Microsoft Defender для конечной точки плана 2. Сведения и инструкции по отправке файлов с вкладки Файлы см. в статье Отправка файлов в Microsoft Defender для конечной точки.

Отправленные администратором отправки

Сообщить о сомнительной электронной почте в Корпорацию Майкрософт

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

2. На странице Отправки убедитесь, что выбрана вкладка Электронная почта .

3. На вкладке Электронная почта выберите Отправить в Корпорацию Майкрософт для анализа.

4. На первой странице открывающегося всплывающего окна Отправить в Майкрософт для анализа введите следующие сведения:

   • Выберите тип отправки: убедитесь, что выбрано значение Электронная почта .

   • Добавьте идентификатор сетевого сообщения или отправьте файл электронной почты. Выберите один из следующих параметров:

     • Добавьте идентификатор сетевого сообщения электронной почты. Значение GUID доступно в заголовке X-MS-Exchange-Organization-Network-Message-Id или в заголовке X-MS-Office365-Filtering-Correlation-Id в сообщениях.
     • Отправьте файл электронной почты (.msg или .eml). Выберите Обзор файлов. В открывшемся диалоговом окне найдите и выберите файл .eml или .msg, а затем нажмите кнопку Открыть.

   • Выберите по крайней мере одного получателя, у которого возникла проблема: укажите получателей для выполнения проверки политики. Проверка политики определяет, было ли сообщение электронной почты обходить проверку из-за политик пользователя или организации или переопределения.

   • Почему вы отправляете это сообщение в корпорацию Майкрософт? Выберите одно из следующих значений:

     • Это выглядит подозрительным: выбирайте это значение только в том случае, если вы не знаете или не знаете о вердикте сообщения и хотите получить вердикт от Корпорации Майкрософт. Выберите Отправить, а затем перейдите к шагу 6.

     или

     • Я подтвердил, что это угроза. Во всех остальных случаях выберите это значение после того, как вы уже определили сообщение как вредоносное. Выберите одно из следующих значений в появившемся разделе Выберите категорию :

       • Фишинг
       • Вредоносная программа
       • Спам

       Нажмите кнопку Далее.

       

5. На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.

   • Выберите Отправить.

   или

   • Выберите Блокировать все сообщения электронной почты от этого отправителя или домена. Этот параметр создает запись блокировки для домена отправителя или адреса электронной почты в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

     После выбора этого параметра будут доступны следующие параметры:

     • По умолчанию выбран параметр Отправитель , но вместо него можно выбрать Домен .
     • Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
       • 1 день
       • 7 дней
       • 30 дней
       • Срок действия не истекает
       • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
     • Примечание о блокировке (необязательно): введите необязательные сведения о том, почему вы блокируете этот элемент.

     Завершив работу на второй странице всплывающего меню Отправить в Майкрософт для анализа , выберите Отправить.

     

6. Нажмите кнопку Готово.

Через несколько секунд запись блока будет доступна на вкладке Домены & адреса на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=Sender.

Отчеты о сомнительных вложениях электронной почты в Корпорацию Майкрософт

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

2. На странице Отправки выберите вкладку Вложения электронной почты .

3. На вкладке Вложения электронной почты выберите Отправить в Корпорацию Майкрософт для анализа.

4. На первой странице открывающегося всплывающего окна Отправить в Майкрософт для анализа введите следующие сведения:

   • Выберите тип отправки: убедитесь, что выбрано значение Вложение электронной почты .

   • Файл: выберите Обзор файлов , чтобы найти и выбрать файл для отправки.

   • Почему вы отправляете это вложение электронной почты в корпорацию Майкрософт? Выберите одно из следующих значений:

     • Это выглядит подозрительно: выберите это значение, если вы не уверены и хотите вывести вердикт от корпорации Майкрософт, выберите Отправить, а затем перейдите к шагу 6.

     или

     • Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :

       • Фишинг
       • Вредоносная программа

       Нажмите кнопку Далее.

       

5. На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.

   • Выберите Отправить.

   или

   • Выберите Блокировать этот файл. Этот параметр создает запись блока для файла в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

     После выбора этого параметра будут доступны следующие параметры:

     • Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
       • 1 день
       • 7 дней
       • 30 дней
       • Срок действия не истекает
       • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
     • Примечание о блокировке (необязательно): введите необязательные сведения о том, почему вы блокируете этот элемент.

     По завершении во всплывающем окне Отправить в Майкрософт для анализа нажмите кнопку Отправить.

   

6. Нажмите кнопку Готово.

Через несколько секунд запись блока будет доступна на вкладке Файлы на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash.

Сообщить о сомнительных URL-адресах в корпорацию Майкрософт

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

2. На странице Отправки выберите вкладку URL-адреса .

3. На вкладке URL-адреса выберите Отправить в Корпорацию Майкрософт для анализа.

4. В открывавшемся всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:

   • Выберите тип отправки: убедитесь, что выбран URL-адрес значения.

   • URL-адрес: введите полный URL-адрес (например, https://www.fabrikam.com/marketing.html), а затем выберите его в появившемся поле. Одновременно можно ввести до 50 URL-адресов.

   • Почему вы отправляете этот URL-адрес в корпорацию Майкрософт? Выберите одно из следующих значений:

     • Это выглядит подозрительно: выберите это значение, если вы не уверены и хотите вывести вердикт от корпорации Майкрософт, выберите Отправить, а затем перейдите к шагу 6.

     или

     • Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :

       • Фишинг
       • Вредоносная программа

       Нажмите кнопку Далее.

       

5. На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.

   • Выберите Отправить.

   или

   • Выберите Блокировать этот URL-адрес. Этот параметр создает запись блока для URL-адреса в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

     После выбора этого параметра будут доступны следующие параметры:

     • Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
       • 1 день
       • 7 дней
       • 30 дней
       • Срок действия не истекает
       • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
     • Примечание о блокировке (необязательно). Введите необязательные сведения о том, почему вы блокируете этот itme.

     По завершении во всплывающем окне Отправить в Майкрософт для анализа нажмите кнопку Отправить.

   

6. Нажмите кнопку Готово.

Через несколько секунд запись блока будет доступна на вкладке URL-адрес на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Сообщить о хорошем сообщении электронной почты в Корпорацию Майкрософт

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

2. На странице Отправки убедитесь, что выбрана вкладка Электронная почта .

3. На вкладке Электронная почта выберите Отправить в Корпорацию Майкрософт для анализа.

4. На первой странице открывающегося всплывающего окна Отправить в Майкрософт для анализа введите следующие сведения:

   • Выберите тип отправки: убедитесь, что выбрано значение Электронная почта .

   • Добавьте идентификатор сетевого сообщения или отправьте файл электронной почты. Выберите один из следующих параметров:

     • Добавьте идентификатор сетевого сообщения электронной почты. Значение GUID доступно в заголовке X-MS-Exchange-Organization-Network-Message-Id в сообщении или в заголовке X-MS-Office365-Filtering-Correlation-Id в сообщениях, помещенных в карантин.
     • Отправьте файл электронной почты (.msg или .eml). Выберите Обзор файлов. В открывшемся диалоговом окне найдите и выберите файл .eml или .msg, а затем нажмите кнопку Открыть.

   • Выберите по крайней мере одного получателя, у которого возникла проблема: укажите получателей для выполнения проверки политики. Проверка политики определяет, было ли сообщение заблокировано из-за политик или переопределений пользователя или организации.

   • Почему вы отправляете это сообщение в корпорацию Майкрософт? Выберите одно из следующих значений:

     • Оно выглядит чистым: выбирайте это значение только в том случае, если вы не знаете или не знаете о вердикте сообщения и хотите получить вердикт от Корпорации Майкрософт. Выберите Отправить, а затем перейдите к шагу 6.

     или

     • Я подтвердил, что это чисто: во всех остальных случаях выберите это значение после того, как вы уже определили вердикт сообщения как чистый. Нажмите кнопку Далее.

   

5. На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.

   • Выберите Отправить.

   или

   • Выберите Разрешить это сообщение: этот параметр создает запись разрешения для элементов сообщения в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

     После выбора этого параметра будут доступны следующие параметры:

     • Удалить разрешить запись после. Значение по умолчанию — 45 дней после последней даты использования, но вы можете выбрать из следующих значений:

       • 1 день
       • 7 дней
       • 30 дней
       • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.

       Для подделанных отправителей это значение не имеет смысла, так как срок действия записей для подделанных отправителей никогда не истекает.

       Когда выбрано 45 дней после последней даты использования , дата последней использованной записи разрешения обновляется при обнаружении вредоносного сообщения электронной почты во время потока обработки почты. Запись разрешения сохраняется в течение 45 дней после того, как система фильтрации определит, что сообщение электронной почты является чистым.

     • Разрешить запись (необязательно): введите необязательные сведения о том, почему вы разрешаете этот элемент. Для подделанных отправителей любое введенное здесь значение не отображается в записи разрешения на вкладке Спуфинированные отправители на странице Списки разрешенных и заблокированных клиентов .

     Завершив работу на второй странице всплывающего меню Отправить в Майкрософт для анализа , выберите Отправить.

     

6. Нажмите кнопку Готово.

Через несколько секунд соответствующие записи разрешений отображаются на вкладках Домены & адреса, подделанные отправители, URL-адреса или Файлы на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList.

Отчет о хороших вложениях электронной почты в Корпорацию Майкрософт

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

2. На странице Отправки выберите вкладку Вложения электронной почты .

3. На вкладке Вложения электронной почты выберите Отправить в Корпорацию Майкрософт для анализа.

4. Во всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:

   • Выберите тип отправки: убедитесь, что выбрано значение Вложение электронной почты .

   • Файл: выберите Обзор файлов , чтобы найти и выбрать файл для отправки.

   • Почему вы отправляете сообщение в Корпорацию Майкрософт? Выберите одно из следующих значений:

     • Оно выглядит чистым: выберите это значение, если вы не уверены и хотите вывести вердикт от корпорации Майкрософт, выберите Отправить, а затем перейдите к шагу 6.

     или

     • Я подтвердил, что оно чисто: выберите это значение, если вы уверены, что элемент чист, а затем нажмите кнопку Далее.

   

5. На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.

   • Выберите Отправить.

   или

   • Выберите Разрешить этот файл: этот параметр создает запись разрешения для файла в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

     После выбора этого параметра будут доступны следующие параметры:

     • Удалить разрешить запись после. Значение по умолчанию — 45 дней после последней даты использования, но вы можете выбрать из следующих значений:

       • 1 день
       • 7 дней
       • 30 дней
       • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.

       Если выбрано 45 дней после последней даты использования , дата последней использованной записи разрешения обновляется при обнаружении вредоносного вложения электронной почты во время потока обработки почты. Запись разрешения сохраняется в течение 45 дней после того, как система фильтрации определит, что вложение электронной почты является чистым.

     • Разрешить запись (необязательно): введите необязательные сведения о том, почему вы разрешаете этот элемент.

     Завершив работу на второй странице всплывающего меню Отправить в Майкрософт для анализа , выберите Отправить.

   

6. Нажмите кнопку Готово.

Через несколько секунд запись разрешить будет доступна на вкладке Файлы на странице Список разрешенных и заблокированных клиентов . Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

Отчет о хороших URL-адресах в Корпорацию Майкрософт

Для URL-адресов, сообщаемых как ложноположительные, мы разрешаем последующие сообщения, содержащие варианты исходного URL-адреса. Например, вы используете страницу Отправки , чтобы сообщить о неправильно заблокированном URL-адресе www.contoso.com/abc. Если ваша организация позже получит сообщение, содержащее URL-адрес (напримерwww.contoso.com/abcwww.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5, или www.contoso.com/abc/whatever), сообщение не будет заблокировано на основе URL-адреса. Иными словами, вам не нужно сообщать корпорации Майкрософт о нескольких вариантах одного и того же URL-адреса.

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

2. На странице Отправки выберите вкладку URL-адреса .

3. На вкладке URL-адреса выберите Отправить в Корпорацию Майкрософт для анализа.

4. В открывавшемся всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:

   • Выберите тип отправки: убедитесь, что выбран URL-адрес значения.

   • URL-адрес: введите полный URL-адрес (например, https://www.fabrikam.com/marketing.html), а затем выберите его в появившемся поле. Можно также указать домен верхнего уровня (например, https://www.fabrikam.com/*), а затем выбрать его в появившемся поле. Одновременно можно ввести до 50 URL-адресов.

   • Почему вы отправляете этот URL-адрес в корпорацию Майкрософт? Выберите одно из следующих значений:

     • Оно выглядит чистым: выберите это значение, если вы не уверены и хотите вывести вердикт от корпорации Майкрософт, выберите Отправить, а затем перейдите к шагу 6.

     или

     • Я подтвердил, что оно чисто: выберите это значение, если вы уверены, что элемент чист, а затем нажмите кнопку Далее.

       

5. На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.

   • Выберите Отправить.

   или

   • Выберите Разрешить этот URL-адрес: этот параметр создает запись разрешения для URL-адреса в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

     После выбора этого параметра будут доступны следующие параметры:

     • Удалить разрешить запись после. Значение по умолчанию — 45 дней после последней даты использования, но вы можете выбрать из следующих значений:

       • 1 день
       • 7 дней
       • 30 дней
       • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.

       Если выбрано 45 дней после последней даты использования , дата последней использованной записи разрешения обновляется при обнаружении вредоносного URL-адреса во время потока обработки почты. Допустимая запись сохраняется в течение 45 дней после того, как система фильтрации определит, что URL-адрес чист.

     • Разрешить запись (необязательно): введите необязательные сведения о том, почему вы разрешаете этот элемент.

     Завершив работу на второй странице всплывающего меню Отправить в Майкрософт для анализа , выберите Отправить.

   

6. Нажмите кнопку Готово.

Через несколько секунд запись разрешения будет доступна на вкладке URL-адрес на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Отправка сообщений Teams в Microsoft в Defender для Office 365 (план 2)

В организациях Microsoft 365, имеющих Microsoft Defender для Office 365 плана 2 (лицензии на надстройки или включенные в подписки, такие как Microsoft 365 E5), вы не можете отправлять сообщения Teams на вкладке Сообщения Teams на странице Отправки . Единственный способ отправить сообщение Teams в Корпорацию Майкрософт для анализа — отправить сообщение пользователя Teams с вкладки Пользователь сообщил , как описано в разделе Отправка сообщений о сообщениях пользователя в корпорацию Майкрософт для анализа далее в этой статье.

Записи на вкладке "Сообщения Teams " являются результатом отправки пользователем сообщения Teams в Корпорацию Майкрософт. Дополнительные сведения см. в разделе Просмотр преобразованных отправлений администратора далее в этой статье.

Просмотр отправки администратором электронной почты в Корпорацию Майкрософт

На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

На странице Отправки убедитесь, что выбрана вкладка Электронная почта .

На вкладке Электронная почта можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:

• Pending
• Выполнено

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Имя отправки^*
• Отправитель^*
• Получатель
• Отправлено^*
• Дата отправки^*
• Причина отправки^*
• Статус^*
• Результат^*
• Причина доставки или блокировки
• Идентификатор отправки
• Идентификатор сетевого сообщения
• Направление
• IP-адрес отправителя
• Уровень массового соответствия (BCL)
• Destination
• Действие политики
• Имитация фишинга
• Теги^*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Действие

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

• Причина
• Состояние
• Результат
• Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Дата отправки: значения даты начала и даты окончания .
• Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
• Идентификатор сетевого сообщения
• Sender
• Получатель
• Имя отправки
• Отправлено
• Причина отправки: любое из следующих значений:
  • Не является нежелательным
  • Отображается чисто
  • Отображается подозрительно
  • Фишинг
  • Вредоносная программа
  • Спам.
• Состояние: Ожидание и Завершено.
• Теги: все или выберите теги пользователей в раскрывающемся списке.

Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Просмотр сведений об отправке администратором электронной почты

Если выбрать запись на вкладке Сообщения электронной почты на странице Отправки , щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

• Заголовок всплывающего элемента — это значение сообщения Subject.
• Все теги пользователей, назначенные получателям сообщения (включая тег учетной записи Priority). Дополнительные сведения см. в статье Теги пользователей в Microsoft Defender для Office 365.
• В Defender для Office 365 действия, доступные в верхней части всплывающего окна, описаны в разделе Действия для отправки администратором в Defender для Office 365 .

Следующие разделы всплывающего меню сведений относятся к отправке сообщений электронной почты:

• Раздел сведений о результатах :

  • Результат: содержит значение Result для отправки. Например:
    • Не должно быть заблокировано
    • Разрешено из-за переопределений пользователей
    • Разрешено из-за правила
  • Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например:
    • Просмотр правил потока обработки почты Exchange (правил транспорта)
    • Просмотрите это сообщение в обозревателе (только в Обозревателе угроз или обнаружения в режиме реального времени в Defender для Office 365)
    • Поиск похожих сообщений в обозревателе (только в Обозревателе угроз или обнаружения в режиме реального времени в Defender для Office 365)

• Раздел сведений об отправке:

  • Дата отправки
  • Имя отправки
  • Тип отправки: значение Электронной почты.
  • Причина отправки
  • Идентификатор отправки
  • Отправлено
  • Состояние отправки

• Раздел Разрешить сведения. Доступен только для отправки сообщений электронной почты, где значение Result имеет значение Разрешено из-за переопределений пользователей или Разрешено правилу: Содержит значения Name (email address) и Type (Sender) (Имя (адрес электронной почты) и Тип (Отправитель).

Остальная часть всплывающего меню сведений содержит разделы Сведения о доставке, Сведения о электронной почте, URL-адреса и вложения , которые входят в панель Сводка по электронной почте. Дополнительные сведения см. в разделе Сводная панель электронной почты.

Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.

Просмотр отправки администратора Teams в Microsoft в Defender для Office 365 (план 2)

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Отправкив разделе Действия & отправки>. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

На странице Отправки выберите вкладку Сообщения Teams .

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Имя отправки^*
• Отправитель^*
• Дата отправки^*
• Причина отправки^*
• Отправлено
• Статус^*
• Результат^*
• Получатель
• Идентификатор отправки
• Идентификатор сообщения Teams
• Destination
• Имитация фишинга
• Теги^*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

• Причина
• Состояние
• Результат
• Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Дата отправки: дата начала и дата окончания.
• Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
• Идентификатор сообщения Teams
• Sender
• Получатель
• Сообщение Teams
• Отправлено
• Причина отправки: любое из следующих значений:
  • Не является нежелательным
  • Отображается чисто
  • Отображается подозрительно
  • Фишинг
  • Вредоносная программа
• Состояние: Ожидание и Завершено.
• Теги: все или выберите теги пользователей в раскрывающемся списке.

Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Просмотр сведений об отправке администратора Teams

Если выбрать запись на вкладке Сообщения Teams на странице Отправки , щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

• Название всплывающего элемента — это тема или первые 100 символов сообщения Teams.
• Текущий вердикт сообщения.
• Количество ссылок в сообщении.
• Просмотреть оповещение. Оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.

Следующие разделы всплывающего меню сведений относятся к отправке Teams:

• Раздел "Результаты отправки":

  • Результат: содержит значение Result для отправки. Например:
    • Должен был быть заблокирован
    • Мы не получили отправку, устраните проблему и повторно отправьте
  • Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например:
    • Просмотр правил потока обработки почты Exchange (правил транспорта)

• Раздел сведений об отправке:

  • Дата отправки
  • Имя отправки
  • Тип отправки: значение Teams
  • Причина отправки
  • Идентификатор отправки
  • Отправлено
  • Состояние отправки

Остальная часть всплывающего меню сведений содержит разделы Сведения о сообщении, Отправителе, Участниках, Сведения о канале и URL-адресах , которые входят в панель сущностей сообщения Teams. Дополнительные сведения см. в разделе Панель сущностей Teams mMessage в Microsoft Defender для Office 365 план 2.

Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.

Просмотр отправки администраторов вложений электронной почты в Корпорацию Майкрософт

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Отправкив разделе Действия & отправки>. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

На странице Отправки выберите вкладку Вложения электронной почты .

На вкладке Вложения электронной почты можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:

• Pending
• Выполнено

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Имя файла вложения^*
• Дата отправки^*
• Причина отправки^*
• Статус^*
• Результат^*
• Фильтр вердикта
• Причина доставки или блокировки
• Идентификатор отправки
• Идентификатор объекта
• Действие политики
• Отправлено
• Теги^*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Действие

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

• Причина
• Состояние
• Результат
• Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Дата отправки: дата начала и дата окончания.
• Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
• Имя файла вложения
• Отправлено
• Причина отправки: любое из следующих значений:
  • Не является нежелательным
  • Отображается чисто
  • Отображается подозрительно
  • Фишинг
  • Вредоносная программа
• Состояние: Ожидание и Завершено.
• Теги: все или выберите теги пользователей в раскрывающемся списке.

Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Просмотр сведений об отправке администратором вложений электронной почты

Если выбрать запись на вкладке Вложения электронной почты на странице Отправки , щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

• Заголовок всплывающего элемента — это имя файла вложения.
• Значения Состояние и Результат отправки.
• Просмотреть оповещение. В Defender для Office 365 оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.

Следующие разделы всплывающего меню сведений относятся к отправке вложений по электронной почте:

• Раздел сведений о результатах :

  • Результат: содержит значение Result для отправки. Например:
    • Должен был быть заблокирован
    • Не должно быть заблокировано
  • Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например:
    • URL-адрес или файл блокировки в списке разрешенных или заблокированных клиентов

• Раздел сведений об отправке:

  • Дата отправки
  • Имя отправки
  • Тип отправки: значение File.
  • Причина отправки
  • Идентификатор отправки
  • Отправлено
  • Состояние отправки

Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.

Просмотр отправки администратором URL-адресов в Корпорацию Майкрософт

На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Отправкив разделе Действия & отправки>. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

На странице Отправки выберите вкладку URL-адреса .

На вкладке URL-адреса можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:

• Pending
• Выполнено

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• URL-адрес^*
• Дата отправки^*
• Причина отправки^*
• Статус^*
• Результат^*
• Фильтр вердикта
• Причина доставки или блокировки
• Идентификатор отправки
• Идентификатор объекта
• Действие политики
• Отправлено
• Теги^*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Действие

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

• Причина
• Состояние
• Результат
• Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Дата отправки: дата начала и дата окончания.
• Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
• URL-адрес
• Отправлено
• Причина отправки: любое из следующих значений:
  • Не является нежелательным
  • Отображается чисто
  • Отображается подозрительно
  • Фишинг
  • Вредоносная программа
• Состояние: Ожидание и Завершено.
• Теги: все или выберите теги пользователей в раскрывающемся списке.

Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Просмотр сведений об отправке администратора URL-адресов

Если выбрать запись на вкладке URL-адресастраницы Отправки , щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

• Заголовок всплывающего элемента — домен URL-адреса.
• Значения Состояние и Результат отправки.
• Просмотреть оповещение. В Defender для Office 365 оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.

Остальные разделы всплывающего меню сведений связаны с отправкой URL-адресов:

• Раздел сведений о результатах :

  • Результат: содержит значение Result для отправки. Например:
    • Должен был быть заблокирован
    • Не должно быть заблокировано
  • Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например:
    • URL-адрес или файл блокировки в списке разрешенных или заблокированных клиентов

• Раздел сведений об отправке:

  • Дата отправки
  • URL-адрес
  • Тип отправки: значение — URL-адрес.
  • Причина отправки
  • Идентификатор отправки
  • Отправлено
  • Состояние отправки

• Разрешает сведения или Блок сведений . Доступно только для отправки URL-адресов, где URL-адрес был заблокирован или разрешен. Содержит значения Name (URL-домен) и Type (URL-адрес).

Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.

Результаты от Майкрософт

Результаты анализа сообщаемого элемента отображаются во всплывающем меню сведений, который открывается при выборе записи на вкладке Emails, Teams messages, Email attachments или URL-адресастраницы Отправки :

• Возникновение сбоя при проверке подлинности электронной почты отправителя в момент доставки.
• Сведения о любых политиках или переопределениях, которые могли повлиять или переопределить вердикт сообщения из системы фильтрации.
• Результаты текущей детонации, чтобы узнать, были ли URL-адреса или файлы в сообщении вредоносными или нет.
• Отзывы от оценок.

При обнаружении переопределения или конфигурации политики результат должен быть доступен через несколько минут. Если не возникла проблема с проверкой подлинности электронной почты или доставка не была затронута переопределением или политикой, детонация и отзывы от оценщиков могут занять до дня.

Действия для отправки администратором в Defender для Office 365

В организациях с Microsoft Defender для Office 365 (лицензиями на надстройки или подписками, такими как Microsoft 365 E5 или Microsoft 365 бизнес премиум), следующие действия доступны для отправки администратором во всплывающем окне сведений, открывающемся после выбора записи из списка, щелкнув в любом месте строки, кроме флажка:

• Открыть сущность электронной почты: доступно только во всплывающем элементе сведений на вкладке Электронная почта . Дополнительные сведения см . в разделе Что находится на странице сущности Email.

• Действия: доступно только во всплывающем элементе сведений на вкладке Электронная почта . Это действие запускает тот же мастер действий, который доступен на странице Сущности электронной почты. Дополнительные сведения см. в разделе Действия на странице сущности Электронной почты.

• Просмотреть оповещение. Оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.

• В разделе Сведения о результатах также могут быть доступны следующие ссылки для обозревателя угроз в зависимости от состояния и результата сообщаемого элемента:

  • Просмотрите это сообщение только навкладке Обозреватель: Сообщения электронной почты .
  • Найдите похожие сообщения только навкладке Обозреватель: сообщения электронной почты .
  • Поиск ПО URL-адресу или файлу: только вложения электронной почты или вкладки URL-адреса .

Параметры администратора для сообщений, сообщаемые пользователем

Для сообщений электронной почты администраторы могут видеть, какие пользователи сообщают на вкладке Пользователь сообщил на странице Отправки , если выполняются следующие инструкции:

• Параметры , о которых сообщил пользователь , включены.
• Сообщения электронной почты. Вы используете поддерживаемые методы, чтобы пользователи сообщали о сообщениях:
  • Надстройки Microsoft Report Message или Report Phishing.
  • Встроенная кнопка "Отчет" в Outlook в Интернете.
  • Поддерживаемые сторонние средства создания отчетов
• Сообщения Teams. Параметры пользовательских отчетов для сообщений Teams включено.

Примечания.

• Сообщения, сообщаемые пользователем, которые отправляются только в корпорацию Майкрософт или в корпорацию Майкрософт, а почтовый ящик отчетов отображаются на вкладке Пользователь сообщил .
• Сообщения, сообщаемые пользователем, которые отправляются только в почтовый ящик отчетов, отображаются на вкладке Пользователь сообщил со значением Неотправлено в Корпорацию Майкрософт. Администраторы должны сообщать об этих сообщениях в корпорацию Майкрософт для анализа.

В организациях с Microsoft Defender для Office 365 (план 2) (лицензии на надстройки или подписки, такие как Microsoft 365 E5), администраторы также могут просматривать сообщения пользователей в Microsoft Teams в Defender для Office 365 план 2 (в настоящее время находится в предварительной версии).

В организациях с Defender для Office 365 (план 2) (надстройка Для пользователя, сообщающая сообщения в Microsoft Teams в Defender для Office 365 план 2 (в настоящее время находится в предварительной версии)

На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

На странице Отправки выберите вкладку Пользователь сообщил .

В следующих подразделах описаны сведения и действия, доступные на вкладке Пользователь сообщил на странице Отправки .

Просмотр сообщений, отправляемых пользователями в Корпорацию Майкрософт

На вкладке Пользователь сообщил , чтобы быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:

• Threats
• Спам
• Нет угроз
• Моделирования

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (^*):

• Имя и тип^*
• Сообщает^*
• Дата сообщения^*
• Отправитель^*
• Сообщаемая причина^*
• Результат^*. Содержит следующие сведения для сообщений, сообщаемых пользователем:
  • Отправка сообщений, сообщаемые по>Корпорация Майкрософт и мой почтовый ящик отчетов или только майкрософт: значения, полученные из следующего анализа:
    • Попадания в политику. Сведения о любых политиках или переопределениях, которые могли разрешать или блокировать входящие сообщения, включая переопределения для наших решений фильтрации. Результат должен быть доступен в течение нескольких минут. В противном случае детонация и отзывы от оценщиков могут занять до одного дня.
    • Репутация полезных данных или детонация. Актуальные сведения о любых URL-адресах и файлах в сообщении.
    • Анализ оценщиков. Проверка, выполненная людьми-оценщиками, чтобы подтвердить, являются ли сообщения вредоносными.
  • Отправка сообщений, сообщаемые по>Только мой почтовый ящик отчетов. Значение всегда не отправляется в Корпорацию Майкрософт, так как сообщения не были проанализированы корпорацией Майкрософт.
• Идентификатор сообщения
• Идентификатор сетевого сообщения
• Идентификатор сообщения Teams
• IP-адрес отправителя
• Сообщается из
• Имитация фишинга
• Преобразовано в отправку администратором
• Помечено как^*
• Отмечено^*
• Дата, помеченная
• Теги^*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

• Sender
• Reported by (Сообщил)
• Результат
• Сообщается из
• Преобразовано в отправку администратором
• Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

• Дата сообщения: дата начала и дата окончания.
• Reported by (Сообщил)
• Название
• Идентификатор сообщения
• Идентификатор сетевого сообщения
• Идентификатор сообщения Teams
• Sender
• Сообщаемая причина: значения Нет угроз, фишинга и спама.
• Сообщается из: значения Майкрософт и стороннего производителя.
• Имитация фишинга: значения Да и Нет.
• Преобразовано в отправку администратора: значения Да и Нет.
• Тип сообщения: доступные значения:
  • Электронная почта
  • Сообщение Teams (только в Defender для Office 365 плана 2; в настоящее время находится в предварительной версии).
• Теги: все или выберите один или несколько тегов пользователей (включая учетную запись приоритета), назначенных пользователям. Дополнительные сведения о тегах пользователей см . в статье Теги пользователей в Microsoft Defender для Office 365.

Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Дополнительные сведения о действиях, доступных для сообщений на вкладке Пользователь сообщается , см. в следующем подразделе.

Просмотр сведений о сообщении электронной почты, сообщаемом пользователем

Если выбрать запись, связанную с электронной почтой, на вкладке Пользователь сообщил на странице Отправки , щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

• Заголовок всплывающего элемента — это значение сообщения Subject.
• Все теги пользователей, назначенные получателям сообщения (включая тег учетной записи Priority). Дополнительные сведения см. в статье Теги пользователей в Microsoft Defender для Office 365.
• Действия, доступные в верхней части всплывающего элемента, описаны в разделе Действия администратора для сообщений, сообщаемых пользователем .

Следующие разделы всплывающего меню сведений относятся к отправке, сообщаемой пользователем:

• Раздел сведений о результатах :

  • Результат: содержит значение Result для отправки. Например:
    • Не должно быть заблокировано
    • Разрешено из-за переопределений пользователей
    • Разрешено из-за правила
  • Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например:
    • Просмотр правил потока обработки почты Exchange (правил транспорта)
    • Просмотрите это сообщение в обозревателе (только в Обозревателе угроз или обнаружения в режиме реального времени в Defender для Office 365)
    • Поиск похожих сообщений в обозревателе (только в Обозревателе угроз или обнаружения в режиме реального времени в Defender для Office 365)

• Раздел сведений о сообщении:

  • Дата отправки
  • Имя отправки
  • Сообщаемая причина.
  • Идентификатор сообщения
  • Reported by (Сообщил)
  • Имитация фишинга: значение Да или Нет.
  • Преобразовано в отправку администратора: значение Да или Нет. Дополнительные сведения см. в разделе Просмотр преобразованных отправок администратора.

Остальная часть всплывающего меню сведений содержит разделы Сведения о доставке, Сведения о электронной почте, URL-адреса и вложения , которые входят в панель Сводка по электронной почте. Дополнительные сведения см. в разделе Сводная панель электронной почты.

Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.

Просмотр сведений о сообщениях Teams в Defender для Office 365 (план 2)

В организациях Microsoft 365, у которых есть Microsoft Defender для Office 365 (план 2) (лицензии на надстройки или включенные в подписки, такие как Microsoft 365 E5), сообщения Teams для пользователей доступны на вкладке Пользователь сообщил на странице Отправки . Их легко найти, отфильтровав результаты по значению Тип сообщенияв сообщении Teams.

Если выбрать запись сообщения Teams на вкладке Пользователь сообщил , щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

• Название всплывающего элемента — это тема или первые 100 символов сообщения Teams.
• Текущий вердикт сообщения.
• Количество ссылок в сообщении.
• Доступные действия описаны в разделе Действия администратора для сообщений, сообщаемых пользователем .

Следующие разделы всплывающего меню сведений относятся к отправке в Teams, сообщаемой пользователем:

• Раздел "Результаты отправки":

  • Результат: содержит значение Result для отправки. Например:
    • Не должно быть заблокировано
    • Не отправлено в Корпорацию Майкрософт
  • Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например:
    • Просмотр правил потока обработки почты Exchange (правил транспорта)

• Раздел сведений о сообщении:

  • Дата сообщения
  • Имя отправки
  • Сообщаемая причина.
  • Идентификатор сообщения
  • Reported by (Сообщил)
  • Имитация фишинга: значение Да или Нет.
  • Преобразовано в отправку администратора: значение Да или Нет. Дополнительные сведения см. в разделе Просмотр преобразованных отправок администратора.

Остальная часть всплывающего меню сведений содержит разделы Сведения о сообщении, Отправителе, Участниках, Сведения о канале и URL-адресах , которые входят в панель сущностей сообщения Teams. Дополнительные сведения см. в разделе Панель сущностей Teams mMessage в Microsoft Defender для Office 365 план 2.

Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.

Действия администратора для сообщений, сообщаемые пользователями

На вкладке Пользователь сообщил действия для сообщений, сообщаемых пользователем, доступны на самой вкладке или во всплывающем меню сведений выбранной записи:

• Выберите сообщение из списка, установив флажок рядом с первым столбцом. На вкладке Пользователь сообщил , доступны следующие действия:

  • Отправка в Корпорацию Майкрософт для анализа
  • Пометка как и уведомление
  • Исследование триггеров (только Defender для Office 365(план 2)

• Выберите сообщение из списка, щелкнув в любом месте строки, кроме флажка. В открываемом^* всплывающем окне сведений доступны следующие действия:

  • Отправка в Корпорацию Майкрософт для анализа
  • Пометка как и уведомление
  • Просмотр преобразованной отправки администратора
  • Действия только в Microsoft Defender для Office 365:
    • Открытие сущности электронной почты
    • Выполнение действий
    • Просмотр оповещений

Действия для сообщений, сообщаемые пользователем в Defender для Office

^* В зависимости от характера и состояния сообщения некоторые действия могут быть недоступны, доступны непосредственно в верхней части всплывающего окна или доступны в разделе Дополнительные действия в верхней части всплывающего окна.

Эти действия описаны в следующих подразделах.

Отправка сообщений, сообщаемого пользователем, в корпорацию Майкрософт для анализа

Выбрав сообщение на вкладке Пользователь сообщил , используйте один из следующих методов, чтобы отправить сообщение в корпорацию Майкрософт:

• На вкладке Пользователь сообщил: выберите Отправить в Майкрософт для анализа.

• Во всплывающем окне сведений выбранного сообщения выберите Отправить в Майкрософт для анализа или Дополнительные параметры>Отправить в Майкрософт для анализа в верхней части всплывающего окна.

Во всплывающем окне Отправить в Майкрософт для анализа выполните следующие действия в зависимости от того, является ли сообщение сообщением электронной почты или сообщением Teams:

• Сообщения электронной почты:

  • Почему вы отправляете это сообщение в корпорацию Майкрософт? Выберите одно из следующих значений:

    • Оно отображается как чистое или подозрительное. Выберите одно из этих значений, если вы не уверены и хотите получить вердикт от корпорации Майкрософт.

      Выберите Отправить, а затем — Готово.

    • Я подтвердил, что оно чисто: выберите это значение, если вы уверены, что элемент чист, а затем нажмите кнопку Далее.

      На следующей странице всплывающего элемента выполните одно из следующих действий.

      • Выберите Отправить, а затем — Готово.

      или

      • Выберите Разрешить это сообщение: этот параметр создает запись разрешения для элементов сообщения в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

      После выбора этого параметра будут доступны следующие параметры:

      • Удалить разрешить запись после. Значение по умолчанию — 45 дней после последней даты использования, но вы можете выбрать из следующих значений:
        • 1 день
        • 7 дней
        • 30 дней
        • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.

      Когда выбрано 45 дней после последней даты использования , дата последней использованной записи разрешения обновляется при обнаружении вредоносного сообщения электронной почты во время потока обработки почты. Запись разрешения сохраняется в течение 45 дней после того, как система фильтрации определит, что сообщение электронной почты является чистым.

      • Разрешить запись (необязательно): введите необязательные сведения о том, почему вы разрешаете этот элемент. Для подделанных отправителей любое введенное здесь значение не отображается в записи разрешения на вкладке Спуфинированные отправители на странице Списки разрешенных и заблокированных клиентов .

      Завершив работу с всплывающей кнопкой, нажмите кнопку Отправить, а затем нажмите кнопку Готово.

    • Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :

      • Фишинг
      • Вредоносная программа
      • Спам

      Нажмите кнопку Далее.

      На следующей странице всплывающего элемента выполните одно из следующих действий.

      • Выберите Отправить, а затем — Готово.

      или

      • Выберите Блокировать все сообщения электронной почты от этого отправителя или домена. Этот параметр создает запись блокировки для домена отправителя или адреса электронной почты в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

      После выбора этого параметра будут доступны следующие параметры:

      • По умолчанию выбран параметр Отправитель , но вместо него можно выбрать Домен .
      • Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
        • 1 день
        • 7 дней
        • 30 дней
        • Срок действия не истекает
        • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
      • Примечание о блокировке (необязательно): введите необязательные сведения о том, почему вы блокируете этот элемент.

      Завершив работу с всплывающей кнопкой, нажмите кнопку Отправить, а затем нажмите кнопку Готово.

  

• Сообщения Teams. Выберите одно из следующих значений:

  • Я подтвердил его чистоту
  • Он выглядит чистым
  • Он выглядит подозрительным

  Выбрав одно из этих значений, нажмите кнопку Отправить, а затем — Готово.

  • Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :

  • Фишинг

  • Вредоносная программа

    Выберите Отправить, а затем — Готово.

После отправки сообщения пользователя в Корпорацию Майкрософт на вкладке Пользователь сообщил, значение преобразовано в отправку администратора становится равным "Нет" на "Да", а соответствующая запись отправки администратора создается на соответствующей вкладке на странице Отправки (например, на вкладке "Сообщения электронной почты").

Запуск исследования в Defender для Office 365 (план 2)

• На вкладке Пользователь сообщил, выберите Триггер исследования в раскрывающемся списке Отправить в Корпорацию Майкрософт для анализа.

Дополнительные сведения см. в разделе Запуск исследования.

Уведомление пользователей о сообщениях, отправленных администратором в Майкрософт

После того как администратор отправит сообщение о пользователе в корпорацию Майкрософт с вкладки Пользователь сообщил, администраторы могут использовать действие Пометить как и уведомить, чтобы пометить сообщение вердиктом и отправить шаблонное уведомление пользователю, который сообщил о сообщении.

• Доступные вердикты для сообщений электронной почты:

  • Угрозы не найдены
  • Фишинг
  • Спам

• Доступные вердикты для сообщений Teams:

  • Угрозы не найдены
  • Фишинг

Дополнительные сведения см . в разделе Уведомление пользователей на портале.

Просмотр преобразованных отправок администратора

После отправки администратором сообщения о пользователе в корпорацию Майкрософт с вкладки Пользователь сообщил , значение Преобразовано в отправку администратора имеет значение Да.

Если выбрать одно из этих сообщений, щелкнув в любом месте строки, кроме флажка рядом с именем, всплывающее окно сведений содержит дополнительные действия>Просмотр преобразованной отправки администратора.

Это действие переместит вас на соответствующую запись отправки администратора на соответствующей вкладке (например, на вкладке Электронная почта ).

Действия для сообщений пользователей в Defender для Office 365

В организациях с Microsoft Defender для Office 365 (лицензиями на надстройки или подписками, такими как Microsoft 365 E5 или Microsoft 365 бизнес премиум) также могут быть доступны следующие действия во всплывающем всплывающем элементе сообщения, сообщаемом пользователем на вкладке Пользователь сообщил :

• Открыть сущность электронной почты (только сообщения электронной почты). Дополнительные сведения см . в разделе Что находится на странице Сущность электронной почты.

• Выполнение действий (только сообщения электронной почты). Это действие запускает тот же мастер действий, который доступен на странице сущности электронной почты. Дополнительные сведения см. в разделе Действия на странице сущности Электронной почты.

• Просмотреть оповещение. Оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.