Страница сущности Email в Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

У организаций Microsoft 365, в подписку которых входит Microsoft Defender для Office 365 или которые приобрели его как дополнение, есть страница сущности электронной почты. Страница сущности Email на портале Microsoft Defender содержит подробные сведения о сообщении электронной почты и любых связанных сущностях.

В этой статье описаны сведения и доступные действия на странице сущности «Электронная почта».

Разрешения и лицензирование для страницы сущностей Email

Чтобы использовать страницу сущности «Электронная почта», вам должны быть назначены соответствующие разрешения. Разрешения и лицензирование здесь такие же, как и у Threat Explorer (Обозреватель угроз) и функции обнаружения в режиме реального времени. Дополнительные сведения см. в статье Разрешения доступа и лицензирование для Обозревателя угроз и обнаружений в режиме реального времени.

Где найти страницу сущности Email

На страницу сущности Email нет прямых ссылок с верхних уровней портала Defender. Вместо этого действие Открыть объект электронной почты доступно в верхней части всплывающей панели сведений об электронной почте во многих функциях Defender для Office 365. Это всплывающее окно сведений об электронной почте называется панелью сводки Email и содержит сводное подмножество сведений на странице сущности Email. Панель сводки по электронной почте идентична для функций Defender для Office 365. Дополнительные сведения см. в разделе Сводная панель Email далее в этой статье.

Панель сводки электронного письма с действием Открыть объект электронной почты доступна в следующих местах:

  • На странице Расширенный поиск по адресу https://security.microsoft.com/v2/advanced-hunting: На вкладке Результаты запроса, связанного с электронной почтой, щелкните значение NetworkMessageId записи в таблице.

  • *На странице Оповещения по адресу https://security.microsoft.com/alerts: для оповещений, у которых в поле Источник обнаружения указано значение MDO или в поле Названия продуктов — значение Microsoft Defender для Office 365, выберите запись, щелкнув значение Имя оповещения. На открывающейся странице сведений об оповещении выберите сообщение в разделе Список сообщений .

  • Из отчета о состоянии защиты от угроз по адресу https://security.microsoft.com/reports/TPSEmailPhishReportATP:

    • Выберите Просмотреть данные по Email > Фишинг и любой из доступных вариантов разбивки диаграммы. В таблице сведений под диаграммой выберите запись, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом.
    • Выберите Просмотр данных по вредоносному ПО в электронной почте > и любой из доступных вариантов разбивки диаграммы. В таблице сведений под диаграммой выберите запись, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом.
    • Выберите Просмотр данных по Email > Спам и любой из доступных вариантов разбивки диаграммы. В таблице сведений под диаграммой выберите запись, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом.
  • На странице Проводник по адресу https://security.microsoft.com/threatexplorerv3 (Проводник угроз) или на странице Обнаружения в режиме реального времени по адресу https://security.microsoft.com/realtimereportsv3. Используйте один из следующих способов:

    • В Threat Explorer убедитесь, что выбрано представление All email> убедитесь, что в области сведений выбрана вкладка Email (представление)> щелкните значение Subject в записи.
    • В Threat Explorer или в разделе «Обнаружения в режиме реального времени» выберите представление Malware>, убедитесь, что в области сведений выбрана вкладка Email (представление)>, затем щелкните значение Subject в записи.
    • В обозревателе угроз или в разделе обнаружения в режиме реального времени выберите представление Phish>, убедитесь, что вкладка Email (представление) выбрана в области сведений >, затем щелкните значение Subject в записи.
  • На странице Инциденты по адресу https://security.microsoft.com/incidents: Для инцидентов со значением Названия продуктовMicrosoft Defender для Office 365 выберите инцидент, щелкнув значение Имя инцидента. На открывающейся странице сведений об инциденте выберите вкладку Доказательства и ответы (представление). На вкладке Все доказательства при значении Тип сущностиЭлектронная почта или на вкладке Электронные письма выберите запись, щелкнув в любом месте строки, кроме флажка.

  • На странице Карантинhttps://security.microsoft.com/quarantine убедитесь, что выбрана вкладка Электронная почта>, затем выберите запись, щелкнув в любом месте строки, кроме флажка.

  • На странице Отправки по адресу https://security.microsoft.com/reportsubmission:

    • Выберите вкладку Электронные письма>, затем выберите элемент, щелкнув в любом месте строки, кроме флажка.
    • Выберите вкладку Отмечено пользователем>, затем выберите запись, щелкнув в любом месте строки, кроме флажка.

Что находится на странице сущности Email

Снимок экрана: страница сущности Email с доступной областью сведений и вкладками.

Область сведений в левой части страницы содержит сворачиваемые разделы с подробными сведениями о сообщении. Эти разделы остаются постоянными, пока вы находитесь на странице. Доступные разделы:

  • Раздел "Теги ". Отображает все теги пользователей (включая учетную запись с приоритетом), назначенные отправителям или получателям. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей в Microsoft Defender для Office 365.

  • Раздел сведений об обнаружении:

    • Исходные угрозы

    • Исходное расположение доставки:

      • папка "Удаленные элементы"
      • Упал
      • Не удалось выполнить доставку
      • Папка "Входящие"
      • Папка нежелательной почты
      • Внешняя
      • Карантин
      • Unknown
    • Последние угрозы

    • Расположение последней доставки: расположение сообщения после системных действий в сообщении (например, ZAP) или действий администратора в сообщении (например, Перемещение к удаленным элементам). Действия пользователя с сообщением (например, удаление или архивация сообщения) не отображаются, поэтому это значение не гарантирует текущее расположение сообщения.

      Совет

      Существуют сценарии, в которых исходное расположение/ доставкиПоследнее расположение доставки и (или) действие доставки имеют значение Неизвестно. Например, вы можете:

      • Сообщение было доставлено (Действие доставкиДоставлено), но правило для папки «Входящие» переместило сообщение в папку по умолчанию, отличную от папки «Входящие» или папки «Нежелательная почта» (например, в папку «Черновики» или «Архив»).
      • ZAP пытался переместить сообщение после доставки, но сообщение не было найдено (например, пользователь переместил или удалил сообщение).
    • Технология обнаружения:

      • Расширенный фильтр: фишинговые сигналы на основе машинного обучения.
      • Кампания: сообщения, определенные как часть кампании.
      • Детонация файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
      • Репутация детонирования файлов: вложения, ранее обнаруженные при детонировании с помощью Safe Attachments в других организациях Microsoft 365.
      • Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
      • Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
      • Общий фильтр: фишинговые сигналы на основе правил аналитиков.
      • Подмена бренда: Имитация отправителем известных брендов.
      • Домен олицетворения: олицетворение доменов отправителей, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга.
      • Подмена пользователя: подмена защищённых отправителей, указанных в политиках защиты от фишинга или определённых с помощью аналитики почтовых ящиков.
      • Анализ содержимого LLM. Анализ специализированных крупных языковых моделей корпорации Майкрософт для обнаружения вредоносных сообщений электронной почты.
      • Бомбардировка почты: распределенная атака типа "отказ в обслуживании" (DDoS), которая обычно подписывает получателей на большое количество законных информационных бюллетеней и служб. Результирующий объем входящей электронной почты в течение нескольких минут будет перегружать почтовый ящик получателя и системы безопасности электронной почты и выступает в качестве предшественника вредоносных программ, программ-шантажистов или кражи данных.
      • Имитация на основе аналитики почтовых ящиков: Обнаружение имитации с использованием аналитики почтовых ящиков в политиках защиты от фишинга.
      • Обнаружение на основе смешанного анализа: несколько фильтров повлияли на вердикт по сообщению.
      • Spoof DMARC: сообщение не прошло проверку подлинности DMARC.
      • Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации.
      • Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации.
      • Детонация URL-адреса. Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении во время анализа детонации.
      • Репутация URL-адресов по результатам детонации: URL-адреса, ранее выявленные в ходе детонации Safe Links в других организациях Microsoft 365.
      • Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
    • Действие при доставке:

      • Доставлено
      • Спам
      • Заблокировано
    • Основное переопределение: источник

      • Значения для первичного переопределения:
        • Разрешено политикой организации
        • Разрешено политикой пользователя
        • Заблокировано политикой организации
        • Заблокировано политикой пользователя
        • Нет
      • Значения для источника первичного переопределения:
        • Сторонний фильтр
        • Перемещение во времени, инициированное администратором (ZAP)
        • Блок политики защиты от вредоносных программ по типу файла
        • Параметры политики защиты от нежелательнойam
        • Политика подключения
        • Правило потока обработки почты Exchange
        • Монопольный режим (пользовательское переопределение)
        • Фильтрация пропущена из-за локальной организации
        • Фильтр регионов по IP-адресам из политики
        • Языковой фильтр из политики
        • Моделирование фишинга
        • Выход из карантина
        • Почтовый ящик SecOps
        • Список адресов отправителей (переопределение администратором)
        • Список адресов отправителя (пользовательское переопределение)
        • Список доменов отправителей (переопределение администратором)
        • Список доменов отправителя (пользовательское переопределение)
        • Блок файлов списка разрешенных и заблокированных клиентов
        • Блокировка адреса электронной почты отправителя в списке разрешенных и заблокированных адресов организации
        • Подделаный блок списка разрешений и блокировок клиента
        • Блок URL-адресов списка разрешенных и заблокированных клиентов
        • Список доверенных контактов (пользовательское переопределение)
        • Доверенный домен (пользовательское переопределение)
        • Доверенный получатель (пользовательское переопределение)
        • Только доверенные отправители (пользовательское переопределение)
  • Раздел «Сведения об электронном письме»:

    • Направленность:
      • Входящие
      • Intra-irg
      • Исходящий
    • Получатель (Кому)*
    • Отправитель*
    • Время получения
    • Идентификатор интернет-сообщения*: Доступен в поле заголовка Message-ID сообщения. Пример значения: <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (обратите внимание на угловые скобки).
    • Идентификатор сетевого сообщения*: значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.
    • Идентификатор кластера
    • Language

    *Для копирования значения доступно действие Копировать в буфер обмена.

Вкладки (представления) в верхней части страницы позволяют эффективно анализировать электронную почту. Эти представления описаны в следующих подразделах.

Вид временной шкалы

В представлении Временная шкала отображаются события доставки и после доставки, произошедшие с сообщением.

В представлении доступны следующие сведения о событии обмена сообщениями. Выберите заголовок столбца для сортировки по столбцу. Чтобы добавить или удалить столбцы, выберите Настроить столбцы. По умолчанию выбираются все доступные столбцы.

  • Временная шкала (дата и время события)
  • Источник: например: System, **Администратор или User.
  • Типы событий
  • Результат
  • Threats
  • Сведения

Если с сообщением после доставки ничего не произошло, скорее всего, в представлении временной шкалы будет только одна строка со значением Типы событийИсходная доставка. Например, вы можете:

  • Значение Resultпапка «Входящие» — Доставлено.
  • Значение Result: Папка нежелательной почты — доставлено в нежелательную почту
  • Значение РезультатаКарантин — Заблокировано.

Последующие действия пользователей, администраторов или Microsoft 365 добавляют в представление дополнительные строки. Например, вы можете:

  • Значение Типы событийZAP , а значение ResultСообщение, перемещенное в карантин по ZAP.
  • Значение Типы событийВыпуск карантина , а значение РезультатаСообщение успешно освобождено из карантина.

Используйте поле Поиск, чтобы найти сведения на странице. Введите текст в поле, а затем нажмите клавишу ENTER.

Используйте Экспорт, чтобы экспортировать данные из представления в CSV-файл. Имя файла по умолчанию — Microsoft Defender.csv , а расположением по умолчанию является папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, — Microsoft Defender(1).csv).

Снимок экрана: представление временной шкалы на странице сущности Email.

Вид анализа

Представление Анализ содержит сведения, которые помогают глубоко проанализировать сообщение. В этом представлении доступны следующие сведения:

  • Раздел сведений об обнаружении угроз. Сведения об угрозах, обнаруженных в сообщении:

  • Раздел Сведения об обнаружении электронного письма: сведения о средствах защиты или переопределениях, которые повлияли на сообщение:

    • Все переопределения: все параметры организации или пользователя, которые имели возможность изменить предполагаемое расположение доставки сообщения. Например, если сообщение совпадает с правилом потока обработки почты и записью блока в списке разрешенных и заблокированных клиентов, здесь перечислены оба параметра. Значение свойства Primary Override : Source определяет параметр, который повлиял на доставку сообщения.

    • Основной источник переопределения: Отображает настройку организации или пользователя, изменившую предполагаемое место доставки сообщения (разрешено вместо блокировки или заблокировано вместо разрешения). Например, вы можете:

    • Правила транспорта Exchange (правила обработки почты): Если правила обработки почты повлияли на сообщение, отображаются имена правил и значения GUID. Действия, выполняемые над сообщениями правилами обработки почты, происходят до вынесения вердиктов о спаме и фишинге.

      Действие Копировать в буфер обмена доступно для копирования GUID правила. Дополнительные сведения о правилах для потока обработки почты см. в статье Mail flow rules (transport rules) in Exchange Online.

      Ссылка Перейти в Центр администрирования Exchange открывает страницу Правила в новом Центре администрирования Exchange по адресу https://admin.exchange.microsoft.com/#/transportrules.

    • Соединитель. Если сообщение было доставлено через входящий соединитель, отображается имя соединителя. Дополнительные сведения о соединителях см. в разделе Настройка потока обработки почты с помощью соединителей в Exchange Online.

    • Уровень массовой жалобы (BCL): более высокое значение BCL указывает, что сообщение с большей вероятностью будет спамом. Дополнительные сведения см. в статье Уровень жалоб на массовые рассылки (BCL).

    • Политика. Если здесь указан тип политики (например, Спам), выберите Настроить , чтобы открыть страницу связанной политики (например, на странице Политики защиты от нежелательной почты по адресу https://security.microsoft.com/antispam).

    • Действие политики

    • Идентификатор оповещения. Выберите значение Идентификатор оповещения, чтобы открыть страницу сведений об оповещении (как если бы вы нашли и выбрали оповещение на странице Оповещения по адресу https://security.microsoft.com/alerts). Действие Копировать в буфер обмена также доступно для копирования значения идентификатора оповещения.

    • Тип политики

    • Тип клиента: отображает тип клиента, отправляющего сообщение (например, REST).

    • Размер электронной почты

    • Правила защиты от потери данных

  • Раздел Сведения об отправителе и получателе. Сведения об отправителе сообщения и некоторые сведения о получателе:

    • Отображаемое имя отправителя
    • Адрес отправителя*
    • IP-адрес отправителя
    • Доменное имя отправителя*
    • Дата создания домена. Недавно созданный домен и другие сигналы сообщения могут идентифицировать сообщение как подозрительное.
    • Владелец домена
    • Отправитель MAIL с адреса*
    • Имя домена Sender MAIL FROM*
    • Return-Path
    • Домен Return-Path
    • Location
    • Домен получателя*
    • Кому: отображает первые 5000 символов любых адресов электронной почты в поле Кому сообщения.
    • Cc: Показывает первые 5 000 символов любых адресов электронной почты, указанных в поле Cc сообщения.
    • Список рассылки. Показывает группу рассылки (список рассылки), если получатель получил сообщение электронной почты в качестве участника списка. Для вложенных групп рассылки отображается группа рассылки верхнего уровня.
    • Пересылка. Указывает, было ли сообщение автоматически пересылаться на внешний адрес электронной почты. Отображаются пользователь переадресации и тип переадресации (правила потока обработки почты, правила папки "Входящие" или перенаправление SMTP).

    *Для копирования значения доступно действие Копировать в буфер обмена.

  • Раздел проверки подлинности. Сведения о результатах проверки подлинности по электронной почте:

    • Проверка подлинности сообщений на основе домена (DMARC)
      • Pass: Проверка DMARC для сообщения прошла успешно.
      • Fail: Проверка DMARC для сообщения завершилась неудачей.
      • BestGuessPass: запись DMARC TXT для домена не существует. Если бы она существовала, проверка DMARC сообщения прошла бы.
      • Нет. Указывает, что для отправляющего домена в DNS не существует записи DMARC TXT.
    • DomainKeys identified mail (DKIM): следующие значения:
      • Pass: проверка DKIM для переданного сообщения.
      • Fail (reason): Проверка DKIM для сообщения завершилась сбоем. Например, сообщение не было подписано DKIM или подпись DKIM не была проверена.
      • None: сообщение не было подписано DKIM. Этот результат может как указывать, так и не указывать на то, что у домена есть запись DKIM или что запись DKIM не дает результата. Этот результат указывает только на то, что это сообщение не было подписано.
    • Платформа политики отправителя (SPF): следующие значения:
      • Pass (IP address): проверка SPF обнаружил, что источник сообщения является допустимым для домена.
      • Fail (IP address): Проверка SPF показала, что источник сообщения недействителен для домена, а политика применения в записи SPF — -all (жёсткий отказ).
      • SoftFail (reason): Проверка SPF обнаружила, что источник сообщения не является допустимым для домена, а политика применения в записи SPF — ~all (мягкий сбой).
      • Neutral: Проверка SPF показала, что источник сообщения не является допустимым для домена, а политика применения в записи SPF — ?all (нейтральная).
      • None: у домена нет записи SPF или запись SPF не вычисляет результат.
      • TempError: При проверке SPF возникла временная ошибка (например, ошибка DNS). Та же проверка позже может завершиться успешно.
      • PermError: При проверке SPF возникла неустранимая ошибка. Например, домен имеет неправильно отформатированную запись SPF.
    • Составная проверка подлинности: SPF, DKIM, DMARC и другие сведения определяют, является ли отправитель сообщения (адрес from) подлинным. Дополнительные сведения см. в разделе Составная проверка подлинности.

    Совет

    Дополнительные сведения о результатах проверки подлинности электронной почты и способах устранения ошибок см. в руководстве по операциям безопасности для проверки подлинности электронной почты в Microsoft 365.

  • Раздел Связанных сущностей. Сведения о вложениях и URL-адресах в сообщении:

    • Сущность. Если выбрать вложения или URL-адреса, вы перейдете к представлению вложения или URL-адресу страницы сущности Email сообщения.
    • Общее число
    • Обнаруженные угрозы. Значения: Да или Нет.
  • Область сведений о сообщении:

    • Вкладка "Заголовок электронной почты в виде обычного текста ": содержит весь заголовок сообщения в виде обычного текста. Выберите Копировать заголовок сообщения , чтобы скопировать заголовок сообщения. Выберите Анализатор заголовков сообщений Майкрософт , чтобы открыть анализатор заголовков сообщений по адресу https://mha.azurewebsites.net/pages/mha.html. Вставьте скопированный заголовок сообщения на страницу, а затем выберите Анализ заголовков для получения сведений о заголовках и значениях сообщений.
    • Вкладка Кому . Отображает первые 5000 символов любых адресов электронной почты в поле Кому сообщения.
    • Вкладка Cc: показывает первые 5000 символов всех адресов электронной почты в поле «Копия» сообщения.

Снимок экрана: представление

Представление вложений

В представлении Вложения отображаются сведения обо всех вложенных файлах в сообщении и результаты сканирования этих вложений.

В этом представлении доступны следующие сведения о вложении. Выберите заголовок столбца для сортировки по столбцу. Чтобы добавить или удалить столбцы, выберите Настроить столбцы. По умолчанию выбираются все доступные столбцы.

  • Имя файла вложения: если щелкнуть по имени файла
  • Тип файла
  • Размер файла
  • Расширение файла
  • Угроза
  • Семейство вредоносных программ
  • Вложение SHA256. Для копирования значения SHA256 доступно действие Копировать в буфер обмена.
  • Сведения

Используйте поле Поиск, чтобы найти сведения на странице. Введите текст в поле, а затем нажмите клавишу ENTER.

Используйте Экспорт, чтобы экспортировать данные из представления в CSV-файл. Имя файла по умолчанию — Microsoft Defender.csv , а расположением по умолчанию является папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, — Microsoft Defender(1).csv).

Снимок экрана: представление

Сведения о вложении

Если выбрать запись в представлении Вложения, щелкнув значение Имя файла вложения, откроется всплывающая панель со следующей информацией:

  • Вкладка "Глубокий анализ". Сведения доступны на этой вкладке, если безопасные вложения сканировали (взорвали) вложение и оно было идентифицировано как вредоносное путем детонации. Эти сообщения можно определить в Обозреватель угроз с помощью следующих методов:
    • Фильтр запросов технологии обнаружения со значением Детонация файла.

    • Индикатор «Детонация доступна» в столбце «Сведения».

    • Количество детонаций, показанное на панели сводки по электронной почте.

    • Раздел Цепочка детонации: в Safe Attachments детонация одного файла может вызвать несколько детонаций. Цепочка детонации отслеживает путь к детонациям, включая исходный вредоносный файл, который вызвал вердикт, и все другие файлы, затронутые детонацией. Эти вложенные файлы могут не присутствовать непосредственно в сообщении электронной почты. Но включение анализа важно для определения того, почему файл был признан вредоносным.

      Если информация о дереве детонации недоступна, отображается значение Нет дерева детонации. В противном случае можно выбрать Экспорт , чтобы скачать сведения о цепочке детонации в CSV-файл. Имя файла по умолчанию — Detonation chain.csv , а расположение по умолчанию — папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, цепочка детонации(1).csv). CSV-файл содержит следующие сведения:

      • Вверху: файл верхнего уровня.
      • Level1: файл следующего уровня.
      • Level2: файл следующего уровня.
      • и так далее.

      В цепочке детонации и CSV-файле может отображаться только объект верхнего уровня, если ни одна из связанных сущностей не была определена как проблемная или не была подвергнута детонации.

    • Раздел сводки . Если сводные сведения о детонации не доступны, отображается значение No detonation summary (Сводка по детонации не отображается). В противном случае доступны следующие сводные сведения о детонации:

      • Время анализа
      • Вердикт: Вердикт по самому вложению.
      • Дополнительные сведения: Размер файла в байтах.
      • Индикаторы компрометации
    • Раздел "Снимки экрана": отображение всех снимков экрана, которые были сняты во время детонации. Снимки экрана для файлов контейнеров, таких как ZIP или RAR, которые содержат другие файлы, не создаются.

      Если снимки экрана детонации недоступны, отображается значение Нет отображаемых снимков экрана . В противном случае щелкните ссылку, чтобы просмотреть снимок экрана.

    • Раздел сведений о поведении. Показывает точные события, произошедшие во время детонации, а также проблемные или неопасные наблюдения, содержащие URL-адреса, IP-адреса, домены и файлы, обнаруженные во время детонации. Может не быть никаких сведений о поведении для файлов контейнеров, таких как ZIP или RAR, которые содержат другие файлы.

      Если сведения о поведении отсутствуют, отображается значение Без детонации . В противном случае можно выбрать Экспорт , чтобы скачать сведения о поведении в CSV-файл. Имя файла по умолчанию — Behavior details.csv , а расположением по умолчанию является папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, сведения о поведении(1).csv). CSV-файл содержит следующие сведения:

      • Time
      • Поведение
      • Свойство поведения
      • Процесс (PID)
      • Операция
      • Цель
      • Сведения
      • Результат
  • Вкладка Сведения о файле: раздел Сведения о файле содержит следующие сведения:
    • Имя файла
    • SHA256
    • Размер файла (в байтах)

Завершив работу во всплывающем меню сведений о файле, нажмите кнопку Закрыть.

Снимок экрана: всплывающее окно сведений о файле из представления

Блокировка вложений из представления "Вложения"

Если выбрать элемент в представлении Вложения, установив флажок рядом с именем файла, будет доступно действие Блокировать. Это действие добавляет файл в список разрешений и блокировок клиента как запись о блокировке. При выборе параметра Блокировать запускается мастер выполнения действий :

  1. На странице Выбор действий настройте один из следующих параметров в разделе Файл блокировки :

    • Срок действия не истекает : значение по умолчанию .
    • Никогда не истекает . Установите переключатель в положение "Выкл .", а затем выберите дату в поле Удалить .

    Завершив работу на странице Выбор действий , нажмите кнопку Далее.

  2. На странице Выбор целевых сущностей убедитесь, что выбран файл, который нужно заблокировать, и нажмите кнопку Далее.

  3. На странице Проверка и отправка настройте следующие параметры:

    • Название исправления: Введите уникальное имя, чтобы отслеживать состояние в Центре действий.
    • Описание: введите необязательное описание.

    Завершив работу на странице Проверка и отправка , нажмите кнопку Отправить.

Вид URL-адреса

В представлении URL-адреса отображаются сведения обо всех исходных или переписанных URL-адресах сообщения, а также результаты сканирования для каждого URL-адреса.

В этом представлении доступны следующие сведения о вложении. Выберите заголовок столбца для сортировки по столбцу. Чтобы добавить или удалить столбцы, выберите Настроить столбцы. По умолчанию выбираются все доступные столбцы.

  • URL-адрес
  • Угроза
  • Источник
  • Сведения

Используйте поле Поиск, чтобы найти сведения на странице. Введите текст в поле, а затем нажмите клавишу ENTER.

Используйте Экспорт, чтобы экспортировать данные из представления в CSV-файл. Имя файла по умолчанию — Microsoft Defender.csv , а расположением по умолчанию является папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, — Microsoft Defender(1).csv).

Снимок экрана: представление URL-адреса на странице сущности Email.

Сведения о URL-адресе

Если выбрать запись в представлении URL, щелкнув по значению URL, откроется выдвижная панель со следующей информацией:

  • Вкладка "Глубокий анализ". Сведения доступны на этой вкладке, если безопасные ссылки сканировали (взорвали) URL-адрес и он был идентифицирован как вредоносный путем детонации. Эти сообщения можно определить в Обозреватель угроз с помощью следующих методов:
    • Фильтр запросов по технологии обнаружения со значением детонация URL-адресов.

    • Индикатор «Детонация доступна» в столбце «Сведения».

    • Количество детонаций, показанное на панели сводки по электронной почте.

    • Раздел Цепочка детонации: детонация одного URL-адреса с помощью Safe Links может запускать несколько детонаций. Цепочка детонации отслеживает путь детонации, включая исходный вредоносный URL-адрес, вызвавшего вердикт, и все другие URL-адреса, затронутые детонацией. Эти URL-адреса могут не присутствовать непосредственно в сообщении электронной почты. Но включение анализа важно для определения того, почему URL-адрес был признан вредоносным.

      Если информация о дереве детонации недоступна, отображается значение Нет дерева детонации. В противном случае можно выбрать Экспорт , чтобы скачать сведения о цепочке детонации в CSV-файл. Имя файла по умолчанию — Detonation chain.csv , а расположение по умолчанию — папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, цепочка детонации(1).csv). CSV-файл содержит следующие сведения:

      • Вверху: файл верхнего уровня.
      • Level1: файл следующего уровня.
      • Level2: файл следующего уровня.
      • и так далее.

      В цепочке детонации и CSV-файле может отображаться только объект верхнего уровня, если ни одна из связанных сущностей не была определена как проблемная или не была подвергнута детонации.

    • Раздел сводки . Если сводные сведения о детонации не доступны, отображается значение No detonation summary (Сводка по детонации не отображается). В противном случае доступны следующие сводные сведения о детонации:

      • Время анализа
      • Вердикт: вердикт по самому URL-адресу.
    • Раздел "Снимки экрана": отображение всех снимков экрана, которые были сняты во время детонации. Снимки экрана не записываются, если URL-адрес открывается по ссылке, которая напрямую загружает файл. Однако скачанный файл отображается в цепочке детонации.

      Если снимки экрана детонации недоступны, отображается значение Нет отображаемых снимков экрана . В противном случае щелкните ссылку, чтобы просмотреть снимок экрана.

    • Раздел сведений о поведении. Показывает точные события, произошедшие во время детонации, а также проблемные или неопасные наблюдения, содержащие URL-адреса, IP-адреса, домены и файлы, обнаруженные во время детонации.

      Если сведения о поведении отсутствуют, отображается значение Без детонации . В противном случае можно выбрать Экспорт , чтобы скачать сведения о поведении в CSV-файл. Имя файла по умолчанию — Behavior details.csv , а расположением по умолчанию является папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, сведения о поведении(1).csv). CSV-файл содержит следующие сведения:

      • Time
      • Поведение
      • Свойство поведения
      • Процесс (PID)
      • Операция
      • Цель
      • Сведения
      • Результат
  • Вкладка СВЕДЕНИЯ о URL-адресе. Раздел сведения о URL-адресе содержит следующие сведения:
    • URL-адрес
    • Угроза

Завершив работу во всплывающем меню сведений о файле, нажмите кнопку Закрыть.

Снимок экрана: всплывающее окно сведений о URL-адресе из представления URL-адреса на странице сущности Email.

Блокировка URL-адресов в представлении URL-адресов

Если выбрать запись в представлении URL, установив флажок рядом с именем файла, Блокировать становится доступным. Это действие добавляет URL-адрес в список разрешений и блокировок клиента как запись блокировки. При выборе параметра Блокировать запускается мастер выполнения действий :

  1. На странице Выбор действий настройте один из следующих параметров в разделе URL-адрес блокировки :

    • Срок действия не истекает : значение по умолчанию .
    • Никогда не истекает . Установите переключатель в положение "Выкл .", а затем выберите дату в поле Удалить .

    Завершив работу на странице Выбор действий , нажмите кнопку Далее.

  2. На странице Выбор целевых сущностей убедитесь, что выбран URL-адрес, который нужно заблокировать, и нажмите кнопку Далее.

  3. На странице Проверка и отправка настройте следующие параметры:

    • Название исправления: Введите уникальное имя, чтобы отслеживать состояние в Центре действий.
    • Описание: введите необязательное описание.

    Завершив работу на странице Проверка и отправка , нажмите кнопку Отправить.

Просмотр похожих писем

В представлении Аналогичные сообщения электронной почты отображаются другие сообщения электронной почты с тем же отпечатком текста сообщения, что и это сообщение. Критерии соответствия в других сообщениях не применяются к этому представлению (например, отпечатки файловых вложений).

В этом представлении доступны следующие сведения о вложении. Выберите заголовок столбца для сортировки по столбцу. Чтобы добавить или удалить столбцы, выберите Настроить столбцы. По умолчанию выбираются все доступные столбцы.

  • Date
  • Тема
  • Получатель
  • Sender
  • IP-адрес отправителя
  • Переопределить
  • Действие по доставке
  • Расположение доставки

Используйте фильтр для фильтрации записей по дате начала и дате окончания.

Используйте поле Поиск, чтобы найти сведения на странице. Введите текст в поле, а затем нажмите клавишу ENTER.

Используйте Экспорт, чтобы экспортировать данные из представления в CSV-файл. Имя файла по умолчанию — Microsoft Defender.csv , а расположением по умолчанию является папка Загрузки . Если файл с таким именем уже существует, к имени файла добавляется число (например, — Microsoft Defender(1).csv).

Снимок экрана: представление похожих сообщений электронной почты на странице сущности Email.

Действия на странице объекта «Электронная почта»

В верхней части страницы сущности Email доступны следующие действия:

  • Принять меры. Дополнительные сведения см. в разделе Охота на угрозы: мастер принятия действий.
  • Copilot. Если у вас есть подписка на Microsoft Security Copilot (например, в Microsoft 365 E5), используйте это действие для создания сводки ИИ по данным сущностей, выбрав Создать в разделе сводки Email области Copilot.
  • Предпросмотр письма¹ ²
  • Дополнительные варианты:
    • Перейдите к электронной почте в карантине: доступно, только если сообщение было помещено в карантин. При выборе этого действия откроется вкладка Email на странице Карантин по адресу https://security.microsoft.com/quarantine, отфильтрованная по уникальному значению идентификатора сообщения. Дополнительные сведения см. в разделе Просмотр письма, помещенного в карантин.

    • Скачать электронную почту¹ ²

      Совет

      Скачать сообщение недоступно для сообщений, помещённых в карантин. Вместо этого скачайте копию сообщения, защищенную паролем, из карантина.

      Предварительный просмотр сообщения электронной почты и Скачать сообщение электронной почты доступны в Audit Logs и в таблице CloudAppEvents в Advanced Hunting (тип записи 38) для аудита и отчетности.

¹ Для этого действия требуется роль предварительного просмотра . Эту роль можно назначить в следующих расположениях:

  • Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC) (если разрешение Электронная почта & совместная работа>Defender для Office 365активно. Влияет только на портал Defender, но не на PowerShell):
    • Операции безопасности/Необработанные данные (электронная почта и совместная работа)/Содержимое электронной почты и совместной работы (чтение)
    • Операции обеспечения безопасности/Необработанные данные (электронная почта и совместная работа)/Содержимое электронной почты и совместной работы: письма, связанные с оповещениями (чтение) Позволяет аналитикам просматривать или скачивать сообщения, связанные с определенными оповещениями системы безопасности. В настоящее время это разрешение применяется к оповещениям Сообщение электронной почты, помеченное пользователем как вредоносное ПО или фишинг и Сообщение электронной почты, помеченное пользователем как нежелательное. В некоторых случаях действия предварительного просмотра или скачивания для сообщения электронной почты, связанного с оповещением, могут быть доступны после короткой задержки.
  • Электронная почта и разрешения для совместной работы на портале Microsoft Defender:
    • Членство в группах ролей "Исследователь данных " или "Диспетчер обнаружения электронных данных".
    • Создайте новую группу ролей с назначенной ролью предварительного просмотра и добавьте пользователей в настраиваемую группу ролей.

2 Вы можете просматривать или скачивать сообщения электронной почты, доступные в облачных почтовых ящиках. Примеры, когда сообщения больше не доступны в почтовых ящиках:

  • Сообщение было отклонено до доставки или доставка не удалась.
  • Сообщение было удалено без возможности восстановления или окончательно удалено.
  • Для сообщения указано место доставки: On-prem/External.
  • ZAP переместил сообщение в карантин.

Снимок экрана: доступные действия в верхней части страницы сущности Email.

Панель сводки электронной почты

Панель сводки Email — это всплывающее окно сведений о электронной почте, доступное во многих функциях во встроенных функциях безопасности для всех облачных почтовых ящиков и в Defender для Office 365. Панель сводки Email содержит стандартные сводные сведения о сообщении электронной почты, взятые из полных сведений, доступных на странице сущности Email в Defender для Office 365.

Где найти панель сводки для сущности Email, описано ранее в этой статье, в разделе Где найти страницу сущности Email. В остальной части этого раздела описана информация, доступная на панели сводки по электронной почте во всех функциях.

Совет

Панель сводки Email доступна на странице Центра уведомлений на https://security.microsoft.com/action-center/ вкладках Ожидание или Журнал. Выберите действие со значением Тип сущностиEmail, щёлкнув в любом месте строки, кроме флажка или значения ИД расследования. Открывшаяся всплывающая панель сведений — это панель сводки Email, но Открыть сущность сообщения электронной почты недоступно в верхней части всплывающей панели.

В верхней части панели сводки Email доступны следующие сведения о сообщении:

  • Заголовок всплывающего окна — это значение поля «Тема» сообщения.
  • Количество вложений и ссылок в сообщении (не во всех функциях).
  • Все теги пользователей, назначенные получателям сообщения (включая тег учетной записи Priority). Дополнительные сведения см. в статье Теги пользователей в Microsoft Defender для Office 365
  • Действия, доступные в верхней части всплывающего окна, зависят от того, где вы открыли панель сводки Email. Доступные действия описаны в отдельных статьях о функциях.

Совет

Чтобы просмотреть сведения о других сообщениях, не выходя из области Email сводки текущего сообщения, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

На панели сводки Email доступны следующие разделы для всех функций (не имеет значения, где вы открыли панель сводки Email).

  • Раздел сведений о доставке:

    • Исходные угрозы
    • Последние угрозы
    • Исходное расположение
    • Последнее расположение доставки
    • Действие по доставке
    • Технологии обнаружения
    • Основное переопределение: Источник
    • Классификация угроз
  • Раздел «Сведения об электронном письме»:

    • Отображаемое имя отправителя
    • Адрес отправителя
    • Адрес электронной почты отправителя
    • Отправлено от имени
    • Путь к возврату
    • IP-адрес отправителя
    • Location
    • Получатели
    • Время получения
    • Направление
    • Идентификатор сетевого сообщения
    • Идентификатор сообщения в Интернете
    • Идентификатор кампании
    • DMARC
    • DKIM
    • SPF
    • Многофакторная аутентификация
  • Раздел URL-адресов. Сведения о любых URL-адресах в сообщении:

    • URL-адрес
    • Состояние угрозы

    Если в сообщении более трех URL-адресов, выберите Просмотреть все URL-адреса , чтобы просмотреть их все.

  • Раздел вложений. Сведения о любых вложениях файлов в сообщении:

    • Имя вложения
    • Угроза
    • Технология обнаружения и семейство вредоносных программ

    Если сообщение содержит более трех вложений, выберите Просмотреть все вложения , чтобы просмотреть все вложения.

Снимок экрана панели сводки электронной почты после выбора сообщения электронной почты в поддерживаемой функции Defender для Office 365.