Панель сущностей сообщений Teams в Microsoft Defender для Office 365

Как и на панели сводки Email для сообщений электронной почты, организации Microsoft 365 с Microsoft Defender для Office 365 (план 1) или планом 2 (лицензии на надстройки или включенные в подписки, такие как Microsoft 365 E5), имеют панель сущностей сообщений Microsoft Teams в Microsoft Defender портал. Панель сущности сообщений Teams — это всплывающее окно сведений, включающее все данные Microsoft Teams о подозрительных или вредоносных чатах, каналах и групповых чатах на одной панели с возможностью действий.

В этой статье описываются сведения и действия на панели сущностей сообщений Teams.

Разрешения и лицензирование для панели сущностей сообщений Teams

Чтобы использовать страницу сущности Email, необходимо назначить разрешения. Возможны следующие варианты:

• Полный доступ:

  • Email & разрешения на совместную работу на портале Microsoft Defender: членство в группах ролей "Управление организацией", "Администратор безопасности" или "Администратор карантина".
  • Microsoft Entra разрешений. Членство в одной из следующих ролей предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365: глобальный администратор^*, администратор безопасности или оператор безопасности.

• Доступ только для чтения:

  • разрешения Microsoft Entra: глобальное средство чтения или средство чтения безопасности.

• Удаление пользователей из чатов Teams. Требуется членство в одной из следующих Microsoft Entra ролей: глобальный администратор^*, администратор безопасности или оператор безопасности.

  Важно!

  ^* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

Где найти панель сущностей сообщений Teams

Нет прямых ссылок на панель сущностей сообщений Teams на верхних уровнях портала Defender. Вместо этого панель сущностей сообщений Teams доступна в следующих расположениях:

• На странице Карантин на https://security.microsoft.com/quarantineвкладке >Сообщение Teams выберите запись, щелкнув в любом месте строки, кроме поля проверка. Откроется всплывающий элемент сведений— это панель сущности сообщения Teams.

• На странице Отправки по адресу https://security.microsoft.com/reportsubmission:

  • На вкладке >Сообщения Teams выберите запись, щелкнув в любом месте строки, кроме поля проверка.

  • На вкладке >Пользователь сообщил, выберите запись Teams, щелкнув в любом месте строки, кроме поля проверка. Откроется всплывающий элемент сведений— это панель сущности сообщения Teams.

    Чтобы отфильтровать записи, выберите Фильтровать>тип> сообщенияTeams.

• На странице Расширенная охота по адресу https://security.microsoft.com/v2/advanced-huntingвыберите значение TeamsMessageId (ссылка) из таблицы MessageEvents в результатах запроса. Откроется всплывающий элемент сведений— это панель сущности сообщения Teams. Например, вы можете:

  UrlClickEvents
  | where ThreatTypes !="" and Workload =="Teams"
  | summarize count() by Url, ThreatTypes, ActionType, Workload
  | project Url, ThreatTypes, ActionType, Workload, ClickCount=count_
  | top 20 by ClickCount
  
  UrlClickEvents
  | limit 100
  
  MessageEvents
  | limit 100
  

Что находится на панели сущностей сообщений Teams

В верхней части панели сущности сообщения Teams доступны следующие сведения:

• Название всплывающего элемента — это тема или первые 100 символов сообщения Teams.
• Текущий вердикт сообщения.
• Количество ссылок в сообщении.
• Действия, доступные в верхней части всплывающего элемента, зависят от того, где вы открыли панель сущности сообщения Teams.

Следующие разделы на панели сущностей сообщений Teams зависят от того, где вы ее открыли:

• Сообщения Teams, помещенные в карантин
• Просмотр сведений об отправке администратора Teams
• Просмотр сведений о сообщениях Teams в Defender для Office 365 плана 2

Остальная часть панели сущности сообщения Teams содержит следующие сведения, независимо от того, где вы ее открыли:

• Раздел сведений о сообщении:

  • Threats
  • Расположение сообщения
  • Адрес отправителя
  • Время получения
  • Технология обнаружения
  • Идентификатор сообщения Teams. Это значение можно использовать в качестве идентификатора сообщения Teams в Defender для Office 365.

• Раздел отправителя :

  • Имя и адрес электронной почты отправителя
  • Домен
  • Внешний: значение Да указывает, что сообщение было отправлено между внутренним пользователем и внешним пользователем.

• Один из следующих разделов в зависимости от того, является ли сообщение из чата или канала:

  • Чат: раздел Участники :
    • Тип беседы
    • Имя чата
    • Имя и адрес электронной почты: содержит имена и адреса электронной почты всех участников (включая отправителя). Если участников более 10, он также ссылается на дополнительную панель, на которую перечислены все участники чата на момент предполагаемой угрозы.
  • Канал: раздел Сведений о канале :
    • Тип беседы
    • Имя беседы: содержит имя канала.
    • Имя и адрес электронной почты: содержит имя и адрес канала.

• Раздел URL-адресов:

  • Имя и тип Содержит URL-адрес из сообщения Teams.
  • Угроза

  Если сообщение содержит более 10 URL-адресов, выберите Просмотреть все URL-адреса , чтобы просмотреть их все.

Удаление пользователей из чатов Teams на панели сущностей сообщений Teams

На панели сущностей Teams можно выбрать Действие в верхней части всплывающего окна (часто в разделе Дополнительные действия), чтобы удалить пользователей из чата Teams.

В мастере выполнения действий выполните следующие действия.

1. На странице Выбор действий ответа выберите Удалить пользователя из беседы в разделе Действия уровня беседы , а затем нажмите кнопку Далее.

2. На странице Выбор целевых сущностей настройте следующие параметры:

   • Имя Введите уникальное описательное имя для сценария удаления пользователя.
   • Описание: введите необязательные сведения.

   Остальная часть страницы содержит таблицу сведений со следующими сведениями о пользователях в чате:

   • Затронутый ресурс: адрес электронной почты пользователя.
   • Действие. Это значение всегда равно Удалить пользователя из беседы.
   • Целевая сущность: значение GUID идентификатора потока чата.
   • Срок действия истекает

   По умолчанию выбираются все пользователи в чате, включая внешних пользователей, которых нельзя удалить из чата. Убедитесь, что выбраны внутренние пользователи, которых нужно удалить из чата.

   Завершив работу на странице Выбор целевых сущностей , нажмите кнопку Далее.

   

3. На странице Проверка и отправка просмотрите предыдущие выбранные варианты.

   Нажмите кнопку Назад , чтобы вернуться и изменить выбранные параметры.

   Завершив работу на странице Проверка и отправка , нажмите кнопку Отправить.

Удаление пользователей из чата Teams записывается на вкладке Журнал на странице Центра уведомлений по адресу https://security.microsoft.com/action-center/history. Результаты можно отфильтровать по типу> действияУдалить пользователей из бесед Teams и (или) Тип сущности>Сообщение Teams. В сведениях об оповещении можно подтвердить, что пользователи были удалены из чата Teams или не были удалены.

Дополнительные сведения

Microsoft Defender для страницы сущностей Office 365 Email и принцип ее работы

Безопасные ссылки в Microsoft Defender для Office 365

Автоматическая очистка нулевого часа (ZAP) в Microsoft Teams