Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложений электронной почты.

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Дополнительные сведения о том, как корпорация Майкрософт сохраняет и обрабатывает ваши отправки, см. в статье Сообщение о подозрительных сообщениях электронной почты в Корпорацию Майкрософт.

В организациях Microsoft 365 с почтовыми ящиками Exchange Online администраторы могут использовать страницу Отправки на портале Microsoft Defender для отправки сообщений, URL-адресов и вложений в корпорацию Майкрософт для анализа. Существует два основных типа отправки администратором:

  • Материалы, отправленные администраторами: Администраторы выявляют сообщения, вложения или URL-адреса (сущности) и сообщают о них, выбирая Отправить в Microsoft для анализа на вкладках страницы Отправленные материалы, как описано в разделе Материалы, отправленные администраторами.

    После того как администратор сообщает о сущности, на соответствующей вкладке страницы Отправки появляется запись (на любой вкладке, кроме Сообщено пользователем).

  • Отправка администратором сообщений, о которых сообщили пользователи: встроенная функция сообщения пользователей включена и настроена. Сообщения, сообщаемые пользователем, отображаются на вкладке Пользователь сообщается на странице Отправки , а администраторы могут отправлять или повторно отправлять сообщения в Корпорацию Майкрософт с вкладки Пользователь сообщил.

    После того как администратор отправит сообщение с вкладки Пользователь сообщается , на соответствующей вкладке на странице Отправки также создается запись (например, на вкладке Электронная почта ). На вкладке Пользователь сообщил администраторы могут просматривать эти сообщения, отправлять их в Microsoft на анализ (или повторно отправлять), присваивать им вердикт и уведомлять пользователя, сообщившего о них. Полный набор действий администратора см. в разделе "Параметры администратора" для сообщений, сообщаемых пользователем.

Когда администраторы или пользователи передают сообщения в Корпорацию Майкрософт для анализа, мы делаем следующие проверки:

  • Проверка подлинности электронной почты (только сообщения электронной почты): Указывает, была ли проверка подлинности электронной почты успешно пройдена или не пройдена при доставке.
  • Срабатывания политик: Сведения о любых политиках или переопределениях, которые могли разрешить или заблокировать доставку входящего сообщения электронной почты в вашу организацию вопреки нашим вердиктам фильтрации.
  • Репутация полезной нагрузки/детонация: Актуальная проверка всех URL-адресов и вложений в сообщении.
  • Анализ, выполненный оценщиками: Проверка, выполненная людьми-оценщиками, для подтверждения того, являются ли сообщения вредоносными.

Важно!

В организациях правительства США (Microsoft 365 GCC, GCC High и DoD) администраторы могут отправлять сообщения электронной почты в Microsoft для анализа, но эти сообщения анализируются только на предмет проверки подлинности электронной почты и срабатываний политик. Анализ репутации полезных данных, детонации и оценки не выполняются по соображениям соответствия требованиям (данные не могут покидать границы организации).

Просмотрите это короткое видео, чтобы узнать, как использовать отправки администратора в Microsoft Defender для Office 365 для отправки сообщений в Корпорацию Майкрософт для оценки.

Дополнительные сведения о том, как пользователи могут отправлять сообщения и файлы в корпорацию Майкрософт, см. в статье Отправка сообщений и файлов в корпорацию Майкрософт.

Сведения о других способах, с помощью которых администраторы могут сообщать о сообщениях в Microsoft через портал Defender, см. в разделе Связанные параметры отправки отчетов для администраторов.

Что нужно знать перед началом работы

Прежде чем использовать страницу отправки , ознакомьтесь со следующими требованиями и рекомендациями.

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com/. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission

  • Прежде чем вы сможете выполнить процедуры, описанные в этой статье, вам должны быть назначены разрешения. Возможны следующие варианты:

  • Администраторы могут отправлять сообщения электронной почты старше 30 дней, если они по-прежнему доступны в почтовом ящике и не были очищены пользователем или администратором.

  • Отправки администраторов ограничиваются со следующей частотой:

    • Максимальное количество заявок за любой 15-минутный период: 150 заявок
    • Одни и те же отправки в течение 24-часового периода: три отправки
    • Одни и те же отправки за 15-минутный период: одна отправка
  • Если в организации в параметрах сообщений, сообщаемых пользователями настроена отправка сообщений, сообщаемых пользователями (электронной почты и сообщений Microsoft Teams), в Microsoft (только туда или также в почтовый ящик для отчетов), мы выполняем те же проверки, что и когда администраторы отправляют сообщения в Microsoft для анализа на странице Отправки. Таким образом, отправка или повторная отправка сообщений в корпорацию Майкрософт полезна администраторам только для сообщений, которые никогда не отправлялись в корпорацию Майкрософт, или если вы не согласны с первоначальным вердиктом.

  • Вкладка Файлы доступна на странице Отправленные файлы только в организациях, использующих Microsoft Defender или Microsoft Defender для конечной точки, план 2. Сведения и инструкции по отправке файлов с вкладки Files см. в разделе Отправка файлов в Microsoft Defender для конечной точки.

Отправки, созданные администратором

Совет

Вкладка, на которой вы выбираете команду Отправить в Майкрософт для анализа , не имеет особого значения, если для параметра Выберите тип отправки задано правильное значение.

Сообщить о сомнительной электронной почте в Корпорацию Майкрософт

Чтобы сообщить в Microsoft о подозрительном сообщении электронной почты для анализа, выполните следующие действия:

  1. На портале Defender в разделе https://security.microsoft.comДействия и отправки>Отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

  2. На странице Отправки убедитесь, что выбрана вкладка Электронная почта .

  3. На вкладке Электронная почта выберите Отправить в Корпорацию Майкрософт для анализа.

  4. На первой странице открывающегося всплывающего окна Отправить в Майкрософт для анализа введите следующие сведения:

    • Выберите тип отправки: проверьте значение, Email выбрано.

    • Добавьте идентификатор сетевого сообщения или отправьте файл электронной почты. Выберите один из следующих параметров:

      • Добавьте идентификатор сетевого сообщения электронной почты. Значение GUID доступно в заголовке X-MS-Exchange-Organization-Network-Message-Id или в заголовке X-MS-Office365-Filtering-Correlation-Id в сообщениях.
      • Отправьте файл электронной почты (.msg или .eml). Выберите Обзор файлов. В открывшемся диалоговом окне найдите и выберите файл .eml или .msg, а затем нажмите кнопку Открыть.
    • Выберите хотя бы одного получателя, у которого была проблема: укажите получателей, для которых нужно выполнить проверку политики. Проверка политики определяет, было ли электронное письмо пропущено при проверке из-за политик пользователя или организации либо из-за переопределения.

    • Почему вы отправляете это сообщение в корпорацию Майкрософт? Выберите одно из следующих значений:

      • Это выглядит подозрительно: выбирайте этот вариант только в том случае, если вы не знаете или не уверены в вердикте сообщения и хотите получить вердикт от Microsoft. Выберите Отправить, а затем перейдите к шагу 6.

      или

      • Я подтвердил, что это угроза. Во всех остальных случаях выберите это значение после того, как вы уже определили сообщение как вредоносное. Выберите одно из следующих значений в появившемся разделе Выберите категорию :

        • Фишинг
        • Вредоносная программа
        • Спам

        Нажмите кнопку Далее.

        Отправьте ложноотрицательное (плохое) сообщение электронной почты в корпорацию Майкрософт для анализа на странице Отправки на портале Defender.

  5. На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.

    • Выберите Отправить.

    или

    • Выберите Блокировать все сообщения электронной почты от этого отправителя или домена. Этот параметр создает запись блокировки для домена отправителя или адреса электронной почты в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

      После выбора этого параметра будут доступны следующие параметры:

      • По умолчанию выбран параметр Отправитель , но вместо него можно выбрать Домен .
      • Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
        • 1 день
        • 7 дней
        • 30 дней
        • Срок действия не истекает
        • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
      • Примечание о блокировке (необязательно): введите необязательные сведения о том, почему вы блокируете этот элемент.

      Закончив работу со второй страницей всплывающей панели Отправить в Майкрософт для анализа, выберите Отправить.

      Выберите, следует ли создать соответствующую запись блока для домена отправителя или адреса электронной почты в списке разрешенных и заблокированных клиентов.

  6. Нажмите кнопку Готово.

Спустя некоторое время запись о блокировке станет доступна на вкладке Домены & адреса на странице Списки разрешений и блокировок организации по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=Sender.

Примечание.

Отправка администратором для почтовых ящиков локальной среды поддерживается только для сообщений, которым менее 7 дней.

В настоящее время отправка администратором путем отправки файлов из локальных почтовых ящиков не поддерживается.

Сообщайте Microsoft о подозрительных вложениях в электронной почте

Чтобы отправить сомнительные вложения электронной почты в Microsoft для анализа, выполните следующие действия:

  1. На портале Defender в разделе https://security.microsoft.comДействия и отправки>Отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

  2. На странице Отправки выберите вкладку Email вложения.

  3. На вкладке вложения Email выберите Отправить в Корпорацию Майкрософт для анализа.

  4. На первой странице открывающегося всплывающего окна Отправить в Майкрософт для анализа введите следующие сведения:

    • Выберите тип отправки: убедитесь, что выбрано значение Вложение эл. почты.

    • Файл: выберите Обзор файлов , чтобы найти и выбрать файл для отправки.

    • Почему вы отправляете это вложение электронной почты в корпорацию Майкрософт? Выберите одно из следующих значений:

      • Это выглядит подозрительно: выберите это значение, если вы не уверены и хотите вывести вердикт от корпорации Майкрософт, выберите Отправить, а затем перейдите к шагу 6.

      или

      • Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :

        • Фишинг
        • Вредоносная программа

        Нажмите кнопку Далее.

        Отправьте ложноотрицательное (неправильное) вложение электронной почты в корпорацию Майкрософт для анализа на странице Отправки на портале Defender.

  5. На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.

    • Выберите Отправить.

    или

    • Выберите Блокировать этот файл: этот параметр создает запись о блокировке файла в списке разрешений и блокировок организации. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

      После выбора этого параметра будут доступны следующие параметры:

      • Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
        • 1 день
        • 7 дней
        • 30 дней
        • Срок действия не истекает
        • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
      • Примечание о блокировке (необязательно): введите необязательные сведения о том, почему вы блокируете этот элемент.

      По завершении во всплывающем окне Отправить в Майкрософт для анализа нажмите кнопку Отправить.

    Выберите, нужно ли создать соответствующую запись о блокировке для файла в списке разрешений и блокировок арендатора.

  6. Нажмите кнопку Готово.

Через некоторое время запись о блокировке будет доступна на вкладке Files на странице Списки разрешений и блокировок для организации по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash.

Сообщить о сомнительных URL-адресах в корпорацию Майкрософт

Чтобы сообщить о сомнительных URL-адресах Microsoft для анализа, выполните следующие действия:

  1. На портале Defender в разделе https://security.microsoft.comДействия и отправки>Отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

  2. На странице Отправки выберите вкладку URL-адреса .

  3. На вкладке URL-адреса выберите Отправить в Корпорацию Майкрософт для анализа.

  4. В открывавшемся всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:

    • Выберите тип отправки: убедитесь, что выбрано значение URL.

    • URL-адрес: введите полный URL-адрес (например, https://www.fabrikam.com/marketing.html), а затем выберите его в появившемся поле. Одновременно можно ввести до 50 URL-адресов.

    • Почему вы отправляете этот URL-адрес в корпорацию Майкрософт? Выберите одно из следующих значений:

      • Это выглядит подозрительно: выберите это значение, если вы не уверены и хотите вывести вердикт от корпорации Майкрософт, выберите Отправить, а затем перейдите к шагу 6.

      или

      • Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :

        • Фишинг
        • Вредоносная программа

        Нажмите кнопку Далее.

        Отправьте ложноотрицательный (плохой) URL-адрес в корпорацию Майкрософт для анализа на странице Отправки на портале Defender.

  5. На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.

    • Выберите Отправить.

    или

    • Выберите Блокировать этот URL-адрес. Этот параметр создает запись блока для URL-адреса в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

      После выбора этого параметра будут доступны следующие параметры:

      • Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
        • 1 день
        • 7 дней
        • 30 дней
        • Срок действия не истекает
        • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
      • Примечание о блокировке (необязательно): введите необязательные сведения о том, почему вы блокируете этот элемент.

      По завершении во всплывающем окне Отправить в Майкрософт для анализа нажмите кнопку Отправить.

    Выберите, нужно ли создать соответствующую запись о блокировке для URL-адреса в списке разрешений/блокировок арендатора.

  6. Нажмите кнопку Готово.

Через некоторое время запись о блокировке будет доступна на вкладке URL на странице Списки разрешений и блокировок арендатора по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Сообщить о хорошем сообщении электронной почты в Корпорацию Майкрософт

Примечание.

Пометка сообщения как "не должно было быть заблокировано" не приводит к автоматическому отключению защиты от подмены личности в вашем арендаторе. Для легитимных отправителей, сообщения от которых регулярно помечаются средством защиты от подмены домена или пользователя, обновите раздел Доверенные отправители и домены в политике защиты от фишинга, в которой было обнаружено сообщение, или создайте разрешающую запись в списке разрешений и блокировок клиента.

  1. На портале Defender в разделе https://security.microsoft.comДействия и отправки>Отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

  2. На странице Отправки убедитесь, что выбрана вкладка Электронная почта .

  3. На вкладке Электронная почта выберите Отправить в Корпорацию Майкрософт для анализа.

  4. На первой странице открывающегося всплывающего окна Отправить в Майкрософт для анализа введите следующие сведения:

    • Выберите тип отправки: проверьте значение, Email выбрано.

    • Добавьте идентификатор сетевого сообщения или отправьте файл электронной почты. Выберите один из следующих параметров:

      • Добавьте идентификатор сетевого сообщения электронной почты. Значение GUID доступно в заголовке X-MS-Exchange-Organization-Network-Message-Id в сообщении или в заголовке X-MS-Office365-Filtering-Correlation-Id в сообщениях, помещенных в карантин.
      • Отправьте файл электронной почты (.msg или .eml). Выберите Обзор файлов. В открывшемся диалоговом окне найдите и выберите файл .eml или .msg, а затем нажмите кнопку Открыть.
    • Выберите хотя бы одного получателя, у которого была проблема: укажите получателей, для которых нужно выполнить проверку политики. Проверка политик определяет, было ли сообщение электронной почты заблокировано из-за политик или переопределений, заданных пользователем или организацией.

    • Почему вы отправляете это сообщение в корпорацию Майкрософт? Выберите одно из следующих значений:

      • Оно выглядит чистым: выбирайте это значение только в том случае, если вы не знаете или не знаете о вердикте сообщения и хотите получить вердикт от Корпорации Майкрософт. Выберите Отправить, а затем перейдите к шагу 6.

      или

      • Я подтвердил, что это чисто: во всех остальных случаях выберите это значение после того, как вы уже определили вердикт сообщения как чистый. Нажмите кнопку Далее.

    Отправьте ложноположительное (хорошее) сообщение электронной почты в корпорацию Майкрософт для анализа на странице Отправки на портале Defender.

  5. На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.

    • Выберите Отправить.

    или

    • Выберите Разрешить это сообщение: этот параметр создает разрешающую запись для элементов сообщения в списке разрешенных и заблокированных элементов клиента. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

      После выбора этого параметра будут доступны следующие параметры:

      • Удалить запись из списка разрешённых после: По умолчанию установлено значение 45 дней после последнего использования, но вы можете выбрать одно из следующих значений:

        • 1 день
        • 7 дней
        • 30 дней
        • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.

        Для подделанных отправителей это значение не имеет смысла, так как срок действия записей для подделанных отправителей никогда не истекает.

        Когда выбран параметр 45 дней после даты последнего использования, дата последнего использования записи в списке разрешений обновляется при обнаружении вредоносного сообщения электронной почты при обработке почты. Запись разрешения сохраняется в течение 45 дней после того, как система фильтрации определит, что сообщение электронной почты является чистым. Для всех остальных значений срок действия разрешенной записи истекает в определенную дату (1 день, 7 дней, 30 дней или конкретная дата).

      • Примечание к разрешению (необязательно): введите необязательную информацию о том, почему вы разрешаете этот элемент. Для подменённых отправителей любое введённое здесь значение не отображается в записи списка разрешённых на вкладке Подменённые отправители на странице Списки разрешённых и заблокированных объектов клиента.

      Закончив работу со второй страницей всплывающей панели Отправить в Майкрософт для анализа, выберите Отправить.

      Выберите, следует ли создать соответствующую разрешающую запись для элементов этого сообщения в списке Tenant Allow/Block List.

  6. Нажмите кнопку Готово.

Через несколько секунд связанные записи разрешений появятся на вкладках Домены & адреса, подделанные отправители, URL-адреса или Files на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList.

Важно!

  • Разрешенные записи добавляются во время потока обработки почты на основе фильтров, которые определили, что сообщение было вредоносным. Например, если адрес электронной почты отправителя и URL-адрес в сообщении были определены как недопустимые, для отправителя (адрес электронной почты или домен) и URL-адреса создается запись разрешения.
  • Если адрес электронной почты отправителя не найден вредоносным в нашей системе фильтрации, отправка сообщения электронной почты в Корпорацию Майкрософт не приведет к созданию разрешенной записи в списке разрешенных и заблокированных клиентов.
  • При повторном обнаружении разрешенного домена или адреса электронной почты, подделанного отправителя, URL-адреса или файла (сущности) все фильтры, связанные с сущностью, пропускаются. Для сообщений электронной почты все остальные сущности по-прежнему оцениваются системой фильтрации перед принятием решения.
  • Если во время потока обработки почты сообщения из разрешенного домена или адреса электронной почты проходят другие проверки в стеке фильтрации, сообщения доставляются. Например, если сообщение проходит проверку подлинности по электронной почте, доставляется сообщение с разрешенного адреса электронной почты отправителя.
  • По умолчанию разрешенные записи для доменов и адресов электронной почты хранятся в течение 45 дней после того, как система фильтрации определит, что сущность чиста, а затем запись разрешения удаляется. Для всех остальных значений, таких как 1 день, 7 дней, 30 дней или конкретная дата, срок действия разрешения на вход истекает в указанную дату. По умолчанию срок действия записей для подменённых отправителей не ограничен.
  • Для сообщений, которые были ошибочно заблокированы защитой от выдачи себя за домен или пользователя, разрешающая запись для домена или отправителя не создается в списке разрешений и блокировок клиента (Tenant Allow/Block List). Вместо этого домен или отправитель добавляется в раздел Доверенные отправители и доменыв политике защиты от фишинга , которая обнаружила сообщение.
  • Когда вы переопределяете вердикт в аналитике спуфинга, поддельный отправитель становится записью, вручную добавленной в список разрешённых или заблокированных, которая отображается только в разделе Поддельные отправители на странице Списки разрешённых и заблокированных элементов организации по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.
  • Если разрешено по крайней мере 7 адресов электронной почты в одном домене в списке разрешенных и заблокированных клиентов, отправка автоматически свертывает адреса электронной почты в запись разрешенного домена. Это действие происходит, когда отправка пытается добавить адрес электронной почты, разрешенный для этого домена.

Сообщать в Microsoft о безопасных вложениях электронной почты

Чтобы отправить безопасное вложение электронной почты в корпорацию Microsoft на анализ, выполните следующие действия:

  1. На портале Defender в разделе https://security.microsoft.comДействия и отправки>Отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

  2. На странице Отправки выберите вкладку Email вложения.

  3. На вкладке вложения Email выберите Отправить в Корпорацию Майкрософт для анализа.

  4. Во всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:

    • Выберите тип отправки: убедитесь, что выбрано значение Вложение эл. почты.

    • Файл: выберите Обзор файлов , чтобы найти и выбрать файл для отправки.

    • Почему вы отправляете сообщение в Корпорацию Майкрософт? Выберите одно из следующих значений:

      • Оно выглядит чистым: выберите это значение, если вы не уверены и хотите вывести вердикт от корпорации Майкрософт, выберите Отправить, а затем перейдите к шагу 6.

      или

      • Я подтвердил, что оно чисто: выберите это значение, если вы уверены, что элемент чист, а затем нажмите кнопку Далее.

    Отправьте в Microsoft для анализа на странице

  5. На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.

    • Выберите Отправить.

    или

    • Выберите Разрешить этот файл: этот параметр создает запись о разрешении для файла в списке Tenant Allow/Block List. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

      После выбора этого параметра будут доступны следующие параметры:

      • Удалить запись из списка разрешённых после: По умолчанию установлено значение 45 дней после последнего использования, но вы можете выбрать одно из следующих значений:

        • 1 день
        • 7 дней
        • 30 дней
        • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.

        Если выбрано через 45 дней после последнего использования, дата последнего использования записи разрешения обновляется при обнаружении вредоносного вложения электронного письма при обработке почты. Запись разрешения сохраняется в течение 45 дней после того, как система фильтрации определит, что вложение электронной почты является чистым. Для всех остальных значений, таких как 1 день, 7 дней, 30 дней или конкретная дата, срок действия разрешения на вход истекает в указанную дату.

      • Примечание к разрешению (необязательно): введите необязательную информацию о том, почему вы разрешаете этот элемент.

      Закончив работу со второй страницей всплывающей панели Отправить в Майкрософт для анализа, выберите Отправить.

    Выберите, следует ли создать для файла соответствующую разрешающую запись в списке Tenant Allow/Block.

  6. Нажмите кнопку Готово.

Через несколько секунд запись разрешения будет доступна на вкладке Files на странице Список разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

Важно!

  • По умолчанию записи в списке разрешений для файлов хранятся в течение 45 дней после того как система фильтрации определит, что объект является безопасным, а затем запись из списка разрешений удаляется. Для всех остальных значений, таких как 1 день, 7 дней, 30 дней или конкретная дата, срок действия разрешения на вход истекает в указанную дату.
  • При повторном обнаружении файла при прохождении почтового потока обходятся проверка методом детонации Safe Attachments, проверка репутации файла и все остальные фильтры на основе файлов. Если система фильтрации определяет, что все остальные сущности в сообщении электронной почты чисты, сообщение доставляется.
  • Во время выбора все фильтры на основе файлов, включая детонацию безопасных вложений или проверки репутации файла, переопределяются, что позволяет пользователю получить доступ к файлу.

Сообщить Microsoft о надежных URL-адресах

Для URL-адресов, сообщаемых как ложноположительные, мы разрешаем последующие сообщения, содержащие варианты исходного URL-адреса. Например, вы используете страницу Отправки , чтобы сообщить о неправильно заблокированном URL-адресе www.contoso.com/abc. Если ваша организация позже получит сообщение, содержащее URL-адрес (напримерwww.contoso.com/abcwww.contoso.com/abc?id=1www.contoso.com/abc/def/gty/uyt?id=5, или www.contoso.com/abc/whatever), сообщение не будет заблокировано на основе URL-адреса. Иными словами, вам не нужно сообщать корпорации Майкрософт о нескольких вариантах одного и того же URL-адреса.

  1. На портале Defender в разделе https://security.microsoft.comДействия и отправки>Отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

  2. На странице Отправки выберите вкладку URL-адреса .

  3. На вкладке URL-адреса выберите Отправить в Корпорацию Майкрософт для анализа.

  4. В открывавшемся всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:

    • Выберите тип отправки: убедитесь, что выбрано значение URL.

    • URL-адрес: введите полный URL-адрес (например, https://www.fabrikam.com/marketing.html), а затем выберите его в появившемся поле. Можно также указать домен верхнего уровня (например, https://www.fabrikam.com/*), а затем выбрать его в появившемся поле. Одновременно можно ввести до 50 URL-адресов.

    • Почему вы отправляете этот URL-адрес в корпорацию Майкрософт? Выберите одно из следующих значений:

      • Оно выглядит чистым: выберите это значение, если вы не уверены и хотите вывести вердикт от корпорации Майкрософт, выберите Отправить, а затем перейдите к шагу 6.

      или

      • Я подтвердил, что оно чисто: выберите это значение, если вы уверены, что элемент чист, а затем нажмите кнопку Далее.

        Отправьте URL-адрес ложноположительного результата (хороший) в корпорацию Майкрософт для анализа на странице Отправки на портале Defender.

  5. На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.

    • Выберите Отправить.

    или

    • Выберите Разрешить этот URL-адрес: этот параметр создает запись разрешения для URL-адреса в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.

      После выбора этого параметра будут доступны следующие параметры:

      • Удалить запись из списка разрешённых после: По умолчанию установлено значение 45 дней после последнего использования, но вы можете выбрать одно из следующих значений:

        • 1 день
        • 7 дней
        • 30 дней
        • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.

        Если выбрано 45 дней с момента последнего использования, дата последнего использования записи в списке разрешений обновляется при обнаружении вредоносного URL-адреса во время обработки почтового потока. Допустимая запись сохраняется в течение 45 дней после того, как система фильтрации определит, что URL-адрес чист. Для всех остальных значений, таких как 1 день, 7 дней, 30 дней или конкретная дата, срок действия разрешения на вход истекает в указанную дату.

      • Примечание к разрешению (необязательно): введите необязательную информацию о том, почему вы разрешаете этот элемент.

      Закончив работу со второй страницей всплывающей панели Отправить в Майкрософт для анализа, выберите Отправить.

    Выберите, следует ли создать соответствующую запись разрешения для URL-адреса в списке разрешенных и заблокированных клиентов.

  6. Нажмите кнопку Готово.

Через несколько секунд запись разрешения будет доступна на вкладке URL-адрес на странице Списки разрешенных и заблокированных клиентов по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=Url.

Примечание.

  • По умолчанию записи в списке разрешений для URL-адресов хранятся в течение 45 дней после того, как система фильтрации определит, что объект безопасен, а затем эта запись удаляется из списка разрешений. Для всех остальных значений, таких как 1 день, 7 дней, 30 дней или конкретная дата, срок действия разрешения на вход истекает в указанную дату.
  • Когда URL-адрес снова встречается при обработке почтового потока, проверки детонации или репутации URL-адреса в Safe Links, а также все остальные фильтры на основе URL-адресов игнорируются. Если система фильтрации определяет, что все остальные сущности в сообщении электронной почты чисты, сообщение доставляется.
  • Во время выбора все фильтры на основе URL-адресов, включая детонацию безопасных ссылок или проверки репутации URL-адресов, переопределяются, что позволяет пользователю получить доступ к содержимому по URL-адресу.

Отправка сообщений Teams в Microsoft в Defender для Office 365 плана 2

Совет

Отправка сообщения Teams в Корпорацию Майкрософт в настоящее время находится в предварительной версии, доступна не во всех организациях и может быть изменена.

В организациях Microsoft 365, использующих Microsoft Defender для Office 365, план 2 (в виде дополнительных лицензий или входящий в состав подписок, таких как Microsoft 365 E5), вы не можете отправлять на рассмотрение сообщения Teams на странице Отправки на вкладке Сообщения Teams. Единственным способом отправки сообщения Teams в Microsoft для анализа является отправка сообщения Teams с вкладки "Пользователь сообщает", как описано в разделе "Отправка сообщений, сообщаемых пользователем" в Microsoft для анализа.

Записи на вкладке "Сообщения Teams " являются результатом отправки пользователем сообщения Teams в Корпорацию Майкрософт. Дополнительные сведения см. в разделе Просмотр преобразованных отправок администратора.

Просмотр отправленных администраторами сообщений электронной почты в Microsoft

На портале Defender в разделе https://security.microsoft.comДействия и отправки>Отправки. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

На странице Отправки убедитесь, что выбрана вкладка Электронная почта .

На вкладке Электронная почта можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:

  • В ожидании
  • Выполнено

Быстрые фильтры, доступные для отправки администратором на вкладке Электронная почта на странице Отправки.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):

  • Имя отправки*
  • Отправитель*
  • Получатель
  • Отправлено*
  • Дата отправки*
  • Причина отправки*
  • Статус*
  • Результат*
  • Причина доставки или блокировки
  • Идентификатор отправки
  • Идентификатор сетевого сообщения
  • Направление
  • IP-адрес отправителя
  • Уровень пакетного соответствия (BCL)
  • Destination
  • Действие политики
  • Имитация фишинга
  • Является спором. Дополнительные сведения см. в разделе Оспаривать результат отправки в Корпорацию Майкрософт.
  • Теги*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Действие

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

  • Причина
  • Состояние
  • Результат
  • Состояние спора
  • Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

  • Дата отправки: значения даты начала и даты окончания .
  • Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
  • Идентификатор сетевого сообщения
  • Sender
  • Получатель
  • Имя отправки
  • Отправлено
  • Причина отправки: любое из следующих значений:
    • Не спам
    • Выглядит чисто
    • Выглядит подозрительно
    • Фишинг
    • Вредоносная программа
    • Спам.
  • Состояние: Ожидание и Завершено.
  • Теги: все или выберите теги пользователей в раскрывающемся списке.

Когда закончите работу во всплывающем меню Фильтр, нажмите Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Просмотр сведений об отправке администратором электронной почты

Если выбрать запись на вкладке Сообщения электронной почты на странице Отправки, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

Совет

Чтобы просмотреть сведения о других отправках, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Следующие разделы всплывающего меню сведений относятся к отправке сообщений электронной почты:

  • Раздел сведений о результатах :

    • Результат: содержит значение Result для отправки. Например, вы можете:

      • Не должно быть заблокировано
      • Разрешено благодаря пользовательским переопределениям
      • Разрешено из-за правила
    • Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например, вы можете:

      • Просмотреть правила обработки почты Exchange (правила транспорта)
      • Просмотреть это сообщение в Explorer (только в Threat Explorer или в разделе Real-time detections в Defender для Office 365)
      • Поиск похожих сообщений в обозревателе (только в Threat Explorer или в разделе "Обнаружения в режиме реального времени" в Defender для Office 365)
    • Если вы оспорили вердикт в сообщении, в поле отображаются сведения о результатах спора:

      • Дата и адрес электронной почты администратора, который оспорил сообщение.
      • Просмотр сведений о споре. Только для чтения копия всплывающего окна Сведения о споре , которую администратор заполнил, когда он оспорил сообщение.
      • Просмотреть исходную отправку: Исходная всплывающая панель со сведениями об отправке сообщения электронной почты.

      Снимок экрана: поле спорных результатов для сообщений электронной почты.

  • Раздел сведений об отправке:

    • Дата отправки
    • Имя отправки
    • Тип отправки: значение Email.
    • Причина отправки
    • Идентификатор отправки
    • Отправлено
    • Состояние отправки
  • Раздел Сведения о разрешении: доступен только для отправки по электронной почте, где значение ResultРазрешено из-за пользовательских переопределений или Разрешено правилом: содержит значения Name (адрес электронной почты) и Type (Отправитель).

В остальной части всплывающей панели сведений содержатся разделы Сведения о доставке, Сведения об электронной почте, URL-адреса и Вложения, которые являются частью панели сводки по электронной почте. Дополнительные сведения см. в разделе Сводная панель Email.

Когда закончите работу во всплывающей панели сведений, выберите Закрыть.

Просмотр отправок в Microsoft, выполненных администраторами Teams, в Defender для Office 365, план 2

На портале Defender по адресу https://security.microsoft.com перейдите на страницу Submissions в разделе Actions & submissions>Submissions. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

На странице Отправки выберите вкладку Сообщения Teams .

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):

  • Имя отправки*
  • Отправитель*
  • Дата отправки*
  • Причина отправки*
  • Отправлено
  • Статус*
  • Результат*
  • Получатель
  • Идентификатор отправки
  • Идентификатор сообщения Teams
  • Destination
  • Имитация фишинга
  • Теги*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

  • Причина
  • Состояние
  • Результат
  • Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

  • Дата отправки: дата начала и дата окончания.
  • Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
  • Идентификатор сообщения Teams
  • Sender
  • Получатель
  • Сообщение Teams
  • Отправлено
  • Причина отправки: любое из следующих значений:
    • Не спам
    • Выглядит чисто
    • Выглядит подозрительно
    • Фишинг
    • Вредоносная программа
  • Состояние: Ожидание и Завершено.
  • Теги: все или выберите теги пользователей в раскрывающемся списке.

Когда закончите работу во всплывающем меню Фильтр, нажмите Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Просмотр сведений об отправке, выполненной администратором Teams

Если выбрать запись на вкладке Сообщения Teams на странице Материалы, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель сведений.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

  • Название всплывающего элемента — это тема или первые 100 символов сообщения Teams.
  • Текущий вердикт сообщения.
  • Количество ссылок в сообщении.
  • Просмотреть оповещение. Оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.

Совет

Чтобы просмотреть сведения о других отправках, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Следующие разделы во всплывающей панели сведений связаны с отправленными материалами Teams:

  • Раздел "Результаты отправки":

    • Результат: содержит значение Result для отправки. Например, вы можете:
      • Должен был быть заблокирован
      • Мы не получили отправку, устраните проблему и повторно отправьте
    • Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например, вы можете:
      • Просмотреть правила обработки почты Exchange (правила транспорта)
  • Раздел сведений об отправке:

    • Дата отправки
    • Имя отправки
    • Тип отправления: значение — Teams
    • Причина отправки
    • Идентификатор отправки
    • Отправлено
    • Состояние отправки

Остальная часть всплывающего меню сведений содержит разделы Сведения о сообщении, Отправителе, Участниках, Сведения о канале и URL-адресах , которые входят в панель сущностей сообщения Teams. Дополнительные сведения см. в разделе Панель сущностей сообщений Teams в Microsoft Defender для Office 365.

Совет

Сведения об удалении пользователей из чатов Teams см. в статье Удаление пользователей из чатов Teams на панели сущности сообщений Teams.

Когда закончите работу во всплывающей панели сведений, выберите Закрыть.

Просмотр отправленных администраторами в Microsoft вложений электронной почты

На портале Defender по адресу https://security.microsoft.com перейдите на страницу Submissions в разделе Actions & submissions>Submissions. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

На странице Отправки выберите вкладку Email вложения.

На вкладке Email вложений можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:

  • В ожидании
  • Выполнено

Быстрые фильтры, доступные для отправки администратором на вкладке Email вложений на странице Отправки.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):

  • Имя файла вложения*
  • Дата отправки*
  • Причина отправки*
  • Статус*
  • Результат*
  • Вердикт фильтра
  • Причина доставки или блокировки
  • Идентификатор отправки
  • Идентификатор объекта
  • Действие политики
  • Отправлено
  • Теги*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Действие

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

  • Причина
  • Состояние
  • Результат
  • Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

  • Дата отправки: дата начала и дата окончания.
  • Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
  • Имя файла вложения
  • Отправлено
  • Причина отправки: любое из следующих значений:
    • Не спам
    • Выглядит чисто
    • Выглядит подозрительно
    • Фишинг
    • Вредоносная программа
  • Состояние: Ожидание и Завершено.
  • Теги: все или выберите теги пользователей в раскрывающемся списке.

Когда закончите работу во всплывающем меню Фильтр, нажмите Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Просмотр сведений об отправке администратором вложений электронной почты

Если выбрать запись на вкладке Вложения электронной почты на странице Отправки, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется выдвижная панель сведений.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

  • Заголовок всплывающего элемента — это имя файла вложения.
  • Значения Состояние и Результат отправки.
  • Просмотреть оповещение. В Defender для Office 365 оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.

Совет

Чтобы просмотреть сведения о других отправках, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Следующие разделы всплывающего меню сведений относятся к отправке вложений по электронной почте:

  • Раздел сведений о результатах :

    • Результат: содержит значение Result для отправки. Например, вы можете:
      • Должен был быть заблокирован
      • Не должно быть заблокировано
    • Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например, вы можете:
      • Блокировка URL-адреса или файла в списке разрешенных и заблокированных объектов организации
  • Раздел сведений об отправке:

    • Дата отправки
    • Имя отправки
    • Тип отправки: значение File.
    • Причина отправки
    • Идентификатор отправки
    • Отправлено
    • Состояние отправки

Когда закончите работу во всплывающей панели сведений, выберите Закрыть.

Просмотр отправок URL-адресов администратором в Microsoft

На портале Defender по адресу https://security.microsoft.com перейдите на страницу Submissions в разделе Actions & submissions>Submissions. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

На странице Отправки выберите вкладку URL-адреса .

На вкладке URL-адреса можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:

  • В ожидании
  • Выполнено

Быстрые фильтры, доступные для отправок администратора на вкладке «URL-адреса» на странице «Отправки».

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

  • Причина
  • Состояние
  • Результат
  • Состояние спора
  • Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

  • Дата отправки: дата начала и дата окончания.
  • Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
  • URL-адрес
  • Отправлено
  • Причина отправки: любое из следующих значений:
    • Не спам
    • Выглядит чисто
    • Выглядит подозрительно
    • Фишинг
    • Вредоносная программа
  • Состояние: Ожидание и Завершено.
  • Теги: все или выберите теги пользователей в раскрывающемся списке.

Когда закончите работу во всплывающем меню Фильтр, нажмите Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Просмотреть сведения об отправке URL-адреса администратором

Если выбрать запись на вкладке URL-адреса на странице Отправки, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется область сведений.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

  • Заголовок всплывающего окна — домен URL-адреса.
  • Значения Состояние и Результат отправки.
  • Просмотреть оповещение. В Defender для Office 365 оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.

Совет

Чтобы просмотреть сведения о других отправках, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Остальные разделы всплывающего меню сведений связаны с отправкой URL-адресов:

  • Раздел сведений о результатах :

    • Результат: содержит значение Result для отправки. Например, вы можете:

      • Должен был быть заблокирован
      • Не должно быть заблокировано
    • Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например, вы можете:

      • Блокировка URL-адреса или файла в списке разрешенных и заблокированных объектов организации
    • Если вы оспорили вердикт по URL-адресу, в поле отображаются сведения о результатах спора:

      • Дата и адрес электронной почты администратора, который оспорил сообщение.
      • Просмотр сведений о споре. Только для чтения копия всплывающего окна Сведения о споре , которую администратор заполнил, когда он оспорил сообщение.
      • Просмотреть исходную отправку: Исходная всплывающая панель сведений об отправке URL-адреса.

      Снимок экрана: поле спорных результатов для URL-адресов.

  • Раздел сведений об отправке:

    • Дата отправки
    • URL-адрес
    • Тип отправки: значение — URL-адрес.
    • Причина отправки
    • Идентификатор отправки
    • Отправлено
    • Состояние отправки
  • Сведения о разрешении или Сведения о блокировке: доступно только для отправки URL, если URL был заблокирован или разрешен; содержит поля Name (домен URL) и Type (URL).

Когда закончите работу во всплывающей панели сведений, выберите Закрыть.

Результаты от Майкрософт

Результаты анализа сообщаемого элемента отображаются во всплывающем меню сведений, открываемом при выборе записи на вкладке Электронная почта, сообщения Teams, Email вложения или URL-адреса на странице Отправки:

  • Возникновение сбоя при проверке подлинности электронной почты отправителя в момент доставки.
  • Сведения о любых политиках или переопределяющих правилах, которые могли повлиять на вердикт сообщения, вынесенный системой фильтрации, или переопределить его.
  • Результаты текущей детонации, чтобы узнать, были ли URL-адреса или файлы в сообщении вредоносными или нет.
  • Отзывы от оценок.

Дополнительные сведения о том, как Microsoft обрабатывает отправки, см. в статье о том, как отправки обрабатываются за кулисами.

При обнаружении переопределения или конфигурации политики результат должен быть доступен через несколько минут. Если не возникла проблема с проверкой подлинности электронной почты или доставка не была затронута переопределением или политикой, детонация и отзывы от оценщиков могут занять до дня.

Примечание.

В Defender для Office 365 плане 2 для сообщений о фишинге, о которых сообщили администраторы и пользователи, доступна оценка с помощью агентного ИИ. Агентная система оценивания имеет несколько уровней: модель оценивания на основе машинного обучения, агентное оценивание и оценщики-люди. Если машинное обучение возвращает вердикт с высокой достоверностью, это вердикт отображается для результата отправки. Если нет, сообщение отправляется на агентную оценку для дополнительного анализа или формирования ответа. После этого сообщение отправляется к человеку-оценщику для окончательной проверки, если это необходимо.

Функция «Ответы на отправленные сообщения» на базе ИИ предоставляет пояснения, созданные генеративным ИИ, для сообщений электронной почты, отправленных администраторами и пользователями в Microsoft. Дополнительные сведения см. в разделе Определения результатов отправки.

Оспаривать результат отправки в Корпорацию Майкрософт

Если вы не согласны с вердиктом по сообщению электронной почты или URL-адресу, которые вы отправили в Microsoft, вы можете оспорить этот вердикт для подходящих объектов. Оспаривание элемента отличается от повторного отправки элемента:

  • Спор: выберите Результат отправки спора , чтобы оспорить подходящие элементы.
    • Первоначальный вердикт и история сохранены.
    • Вы можете оспорить элемент только один раз.
  • Повторная отправка: выберите Отправить в Майкрософт для анализа, чтобы повторно отправить подходящие элементы.
    • Анализ начинается заново без предыдущего вердикта или истории.
    • Элемент можно повторно отправить несколько раз.

Процедуры, описанные в этом разделе, можно использовать для оспаривания отправленных администратором элементов, которые соответствуют всем следующим критериям:

  • Элемент был отправлен с вкладки Электронная почта или URL-адреса на странице Отправки .

  • Значение свойства Status имеет значение Completed.

  • Свойство Result является одним из следующих значений:

    • Обнаруженные угрозы
    • Угрозы не найдены
    • Спам
    • Массовая рассылка
  • Элемент ранее не оспаривался (фильтр по параметру Не оспаривается>).

    Совет

    Чтобы оспорить элементы на вкладке Отправленные пользователем , сначала необходимо преобразовать отправку пользователя в отправку администратора.

  1. На странице Отправки на портале Defender перейдите на вкладку Электронная почта или URL-адреса :

  2. На вкладке выполните одно из следующих действий.

    • Выберите один или несколько подходящих элементов, установив флажок рядом с первым столбцом, а затем выберите действие Результат отправки спора, которое отобразится.

      Снимок экрана с выбранной записью на вкладке «URL-адреса» страницы «Отправки», где выделен результат отправки возражения.

    • Выберите доступный для выбора элемент, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом. В открывающемся всплывающем окне сведений выберите Результат отправки спора.

      Снимок экрана со всплывающей панелью сведений о записи в отправках администратора, где можно выбрать результат отправки спора.

  3. В открывавшемся всплывающем окне Сведения о споре настройте следующие параметры:

    • Расскажите нам, что не удавалось: выберите одно или несколько из следующих значений:
      • Результат
      • Причина
      • Рекомендуемые действия
    • Дополнительные сведения (необязательно): введите объяснение, которое, по вашему мнению, может оказаться полезным.
    • Снимок экрана: выберите этот параметр, чтобы отправить изображение в формате JPG или PNG меньше одного МБ.

    Важно!

    Если не выбрать результат, элемент не будет отправлен в корпорацию Майкрософт для повторной оценки. Вместо этого на вкладке Сообщения электронной почты или URL-адреса создается запись без повторного отправки элемента. Значения, отличные от Result , принимаются в качестве обратной связи.

    Когда закончите работу во всплывающей панели Сведения о споре, выберите Отправить спор.

    Снимок экрана: всплывающее меню

  4. Во всплывающем окне Спор отправлено выберите Готово.

    Снимок экрана всплывающей панели «Спор отправлен».

Просмотр спорных элементов

На вкладке Сообщения электронной почты или URL-адресастраницы Отправки для спорных элементов доступны следующие элементы управления:

  • Группы>Состояние спора группирования записей на странице в следующие категории:

    • Не оспаривается
    • Представление спора
    • Оспорено
  • Настроить столбцы>Является спором добавляет столбец Является спором к записям на странице.

  • Фильтр>Спор>Фильтры "Да" или "Нет" фильтруют записи на странице по тому, был ли оспорен элемент.

Всплывающая панель сведений для отправленного сообщения электронной почты или отправленного URL-адреса содержит сведения о спорном элементе и связанные с ним ссылки.

Действия для отправки администратором в Defender для Office 365

В организациях с Microsoft Defender для Office 365 (лицензии на надстройки или подписки, такие как Microsoft 365 E5 или Microsoft 365 бизнес премиум), следующие действия доступны для отправки администратором во всплывающем окне сведений, открывающемся после выбора записи в списке, щелкнув в любом месте строки, кроме поля проверка:

  • Открыть сущность сообщения электронной почты: Доступно только во всплывающей панели сведений для записей на вкладке Электронные письма. Дополнительные сведения см. в разделе Что содержится на странице сущности Email.

  • Выполнить действия: доступно только во всплывающей панели сведений для записей на вкладке Электронные письма. Это действие запускает тот же мастер действий, который доступен на странице сущности Email. Дополнительные сведения см. в разделе Действия на странице сущности Email.

  • Просмотреть оповещение. Оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.

  • В разделе Сведения о результатах также могут быть доступны следующие ссылки на Обозреватель угрозы в зависимости от состояния и результата сообщаемого элемента:

    • Просмотреть это сообщение в Explorer: только на вкладке Emails.
    • Поиск похожих сообщений в Explorer: только на вкладке Электронная почта.
    • Поиск URL-адреса или файла: только на вкладках Вложения эл. почты или URL.

Параметры администратора для сообщений, о которых сообщили пользователи

Для сообщений электронной почты администраторы могут видеть, что отправляют пользователи, на вкладке Сообщено пользователями на странице Отправленные материалы, если выполняются следующие условия:

Примечания.

  • Сообщения, о которых сообщил пользователь и которые отправляются только в Microsoft или в Microsoft и в почтовый ящик для отчетов, отображаются на вкладке Сообщено пользователями.
  • Сообщения, о которых сообщил пользователь и которые отправляются только в почтовый ящик для отчетов, отображаются на вкладке Сообщения, о которых сообщил пользователь со значением РезультатНе отправлено в Microsoft. Администраторы должны сообщать об этих сообщениях в корпорацию Майкрософт для анализа.

В организациях с Microsoft Defender для Office 365 (план 1) или планом 2 (лицензии на надстройки или подписки, такие как Microsoft 365 E5), администраторы также могут просматривать сообщения пользователей в Microsoft Teams.

На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.

На странице Отправки выберите вкладку Пользователь сообщил .

Вкладка "Пользователь сообщил" предоставляет сведения и действия, включая просмотр сообщений, сообщаемые пользователем, просмотр сведений о сообщении электронной почты пользователя и действия администратора для сообщений, сообщаемые пользователем.

Просмотр сообщений, отправляемых пользователями в Корпорацию Майкрософт

На вкладке Сообщено пользователем можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:

  • Threats
  • Спам
  • Нет угроз
  • Моделирования

Быстрые фильтры на вкладке «Сообщения пользователей» страницы «Отправка материалов».

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):

  • Имя и тип*
  • Кем сообщено*
  • Дата сообщения*
  • Отправитель*
  • Сообщаемая причина*
  • Результат*. Содержит следующие сведения для сообщений, сообщаемых пользователем:
    • Отправлять сообщаемые элементы в>Microsoft и мой почтовый ящик для сообщений или только Microsoft: Значения, полученные на основе следующего анализа:
      • Совпадения с политиками: Сведения о любых политиках или переопределениях, которые могли разрешить или заблокировать входящие сообщения, включая переопределения наших решений фильтрации. Результат должен быть доступен в течение нескольких минут. В противном случае срабатывание и обратная связь от проверяющих могут занять до суток.
      • Репутация и детонация вложений: Актуальная проверка всех URL-адресов и файлов в сообщении.
      • Анализ, выполненный экспертами: проверка, проведённая людьми, чтобы определить, являются ли сообщения вредоносными.
    • Отправлять отмеченные элементы в>Только в мой почтовый ящик для сообщений: значение всегда Не отправлено в Microsoft, так как сообщения не были проанализированы Microsoft.
  • Идентификатор зарегистрированного сообщения
  • Идентификатор сетевого сообщения
  • Идентификатор сообщения Teams
  • IP-адрес отправителя
  • Сообщается из
  • Имитация фишинга
  • Преобразовано в отправку администратором
  • Помечено как*
  • Отмечено*
  • Дата, помеченная
  • Теги*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:

  • Sender
  • Сообщил
  • Результат
  • Сообщается из
  • Преобразовано в отправку администратором
  • Tags

Чтобы разгруппировать записи, выберите Нет.

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

  • Дата сообщения: дата начала и дата окончания.
  • Сообщил
  • Название
  • Идентификатор зарегистрированного сообщения
  • Идентификатор сетевого сообщения
  • Идентификатор сообщения Teams
  • Sender
  • Сообщаемая причина: значения Нет угроз, фишинга и спама.
  • Источник сообщения: Значения Microsoft и третьих лиц.
  • Имитация фишинга: значения Да и Нет.
  • Преобразовано в отправку администратора: значения Да и Нет.
  • Тип отправки: доступные значения:
    • Электронная почта
    • Сообщение в Teams (только для плана 2 Defender для Office 365; сейчас доступно в предварительной версии).
  • Теги: все или выберите один или несколько тегов пользователей (включая учетную запись приоритета), назначенных пользователям. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей в Microsoft Defender для Office 365.

Когда закончите работу во всплывающем меню Фильтр, нажмите Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Экспорт используется для экспорта списка записей в CSV-файл.

Дополнительные сведения о действиях, доступных для сообщений на вкладке "Пользователь сообщил ", см. в разделе "Действия администратора" для сообщений, отправляемых пользователем.

Просмотр сведений о сообщении электронной почты, сообщаемом пользователем

Если выбрать запись, связанную с электронной почтой, на вкладке Сообщено пользователем на странице Материалы, щелкнув в любом месте строки, кроме флажка в первом столбце, откроется всплывающая панель со сведениями.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

Совет

Чтобы просмотреть сведения о других отправках, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Следующие разделы во всплывающей области сведений относятся к материалам, отправленным пользователями:

  • Раздел сведений о результатах :

    • Результат: содержит значение Result для отправки. Например, вы можете:
      • Не должно быть заблокировано
      • Разрешено благодаря пользовательским переопределениям
      • Разрешено из-за правила
    • Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например, вы можете:
      • Просмотреть правила обработки почты Exchange (правила транспорта)
      • Просмотреть это сообщение в Explorer (только в Threat Explorer или в разделе Real-time detections в Defender для Office 365)
      • Поиск похожих сообщений в обозревателе (только в Threat Explorer или в разделе "Обнаружения в режиме реального времени" в Defender для Office 365)
  • Раздел сведений о сообщении, о котором сообщили:

    • Дата отправки
    • Имя отправки
    • Сообщаемая причина.
    • Идентификатор зарегистрированного сообщения
    • Сообщил
    • Имитация фишинга: значение Да или Нет.
    • Преобразовано в отправку администратора: значение Да или Нет. Дополнительные сведения см. в разделе Просмотр преобразованных отправок администратора.

В остальной части всплывающей панели сведений содержатся разделы Сведения о доставке, Сведения об электронной почте, URL-адреса и Вложения, которые являются частью панели сводки по электронной почте. Дополнительные сведения см. в разделе Сводная панель Email.

Совет

Если значение Resultсимуляция фишинга, всплывающая панель сведений может содержать только следующую информацию:

  • Раздел сведений о результатах
  • Раздел сведений о сообщении, на которое поступила жалоба
  • раздел «Сведения об электронной почте» со следующими значениями:
    • Идентификатор сетевого сообщения
    • Sender
    • Дата отправки

Когда закончите работу во всплывающей панели сведений, выберите Закрыть.

Просмотр сведений о сообщениях Teams, о которых сообщили пользователи, в Microsoft Defender для Office 365 (план 2)

В организациях Microsoft 365, которые имеют Microsoft Defender для Office 365 плана 2 (лицензии на надстройки или включены в подписки, такие как Microsoft 365 E5), сообщения Teams, сообщаемые пользователями, доступны на вкладке Пользователь сообщил на странице Отправки. Их легко найти, если отфильтровать результаты по значению Сообщение Teams в поле Тип сообщения.

Если щёлкнуть элемент сообщения Teams на вкладке Сообщения от пользователей в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель сведений.

В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:

Совет

Чтобы просмотреть сведения о других отправках, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Следующие разделы во всплывающей области сведений относятся к материалам Teams, о которых сообщили пользователи:

  • Раздел "Результаты отправки":

    • Результат: содержит значение Result для отправки. Например, вы можете:
      • Не должно быть заблокировано
      • Не отправлено в Корпорацию Майкрософт
    • Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например, вы можете:
      • Просмотреть правила обработки почты Exchange (правила транспорта)
  • Раздел сведений о сообщении, о котором сообщили:

    • Дата сообщения
    • Имя отправки
    • Сообщаемая причина.
    • Идентификатор зарегистрированного сообщения
    • Сообщил
    • Имитация фишинга: значение Да или Нет.
    • Преобразовано в отправку администратора: значение Да или Нет. Дополнительные сведения см. в разделе Просмотр преобразованных отправок администратора.

Остальная часть всплывающего меню сведений содержит разделы Сведения о сообщении, Отправителе, Участниках, Сведения о канале и URL-адресах , которые входят в панель сущностей сообщения Teams. Дополнительные сведения см. в разделе Панель сущностей сообщений Teams в Microsoft Defender для Office 365.

Совет

Сведения об удалении пользователей из чатов Teams см. в статье Удаление пользователей из чатов Teams на панели сущности сообщений Teams.

Если значение Resultсимуляция фишинга, всплывающая панель сведений может содержать только следующую информацию:

  • Раздел сведений о результатах
  • Раздел сведений о сообщении, на которое поступила жалоба
  • раздел «Сведения об электронной почте» со следующими значениями:
    • Идентификатор сетевого сообщения
    • Sender
    • Дата отправки

Когда закончите работу во всплывающей панели сведений, выберите Закрыть.

Действия администратора для сообщений, о которых сообщили пользователи

На вкладке Пользователь сообщил действия для сообщений, сообщаемых пользователем, доступны на самой вкладке или во всплывающем меню сведений выбранной записи:

* В зависимости от характера и состояния сообщения некоторые действия могут быть недоступны, доступны непосредственно в верхней части всплывающего окна или доступны в разделе Дополнительные действия в верхней части всплывающего окна.

Эти действия описаны в следующих подразделах.

Примечание.

После того как пользователь сообщит о подозрительном сообщении, пользователь или администраторы не могут отменить отчет о сообщении, независимо от того, куда отправляется сообщение (в почтовый ящик отчетов, в корпорацию Майкрософт или и то, и другое). Пользователь может восстановить сообщение из папок "Удаленные" или "Нежелательная Email".

Отправка сообщений, сообщаемого пользователем, в корпорацию Майкрософт для анализа

Выбрав сообщение на вкладке Пользователь сообщил , используйте один из следующих методов, чтобы отправить сообщение в корпорацию Майкрософт:

  • На вкладке Пользователь сообщил: выберите Отправить в Майкрософт для анализа.

  • Во всплывающем окне сведений выбранного сообщения выберите Отправить в Майкрософт для анализа или Дополнительные параметры>Отправить в Майкрософт для анализа в верхней части всплывающего окна.

Во всплывающем окне Отправить в Майкрософт для анализа выполните следующие действия в зависимости от того, является ли сообщение сообщением электронной почты или сообщением Teams:

  • сообщения Email:

    • Почему вы отправляете это сообщение в корпорацию Майкрософт? Выберите одно из следующих значений:
      • Оно отображается как чистое или подозрительное. Выберите одно из этих значений, если вы не уверены и хотите получить вердикт от корпорации Майкрософт.

        Выберите Отправить, а затем — Готово.

      • Я подтвердил, что оно чисто: выберите это значение, если вы уверены, что элемент чист, а затем нажмите кнопку Далее.

        На следующей странице всплывающего элемента выполните одно из следующих действий.

        • Выберите Отправить, а затем — Готово.

        или

        После выбора этого параметра будут доступны следующие параметры:

        • Удалить разрешение на вход через: Значение по умолчанию — 45 дней после последнего использования, но вы можете выбрать одно из следующих значений:
          • 1 день
          • 7 дней
          • 30 дней
          • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.

        Когда выбран параметр 45 дней после даты последнего использования, дата последнего использования записи в списке разрешений обновляется при обнаружении вредоносного сообщения электронной почты при обработке почты. Запись разрешения сохраняется в течение 45 дней после того, как система фильтрации определит, что сообщение электронной почты является чистым. Для всех остальных значений, таких как 1 день, 7 дней, 30 дней или конкретная дата, срок действия разрешения на вход истекает в указанную дату.

        • Примечание к разрешению (необязательно): введите необязательную информацию о том, почему вы разрешаете этот элемент. Для подменённых отправителей любое введённое здесь значение не отображается в записи списка разрешённых на вкладке Подменённые отправители на странице Списки разрешённых и заблокированных объектов клиента.

        Завершив работу с всплывающей кнопкой, нажмите кнопку Отправить, а затем нажмите кнопку Готово.

      • Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :

        • Фишинг
        • Вредоносная программа
        • Спам

        Нажмите кнопку Далее.

        На следующей странице всплывающего элемента выполните одно из следующих действий.

        • Выберите Отправить, а затем — Готово.

        или

        После выбора этого параметра будут доступны следующие параметры:

        • По умолчанию выбран параметр Отправитель , но вместо него можно выбрать Домен .
        • Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
          • 1 день
          • 7 дней
          • 30 дней
          • Срок действия не истекает
          • Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
        • Примечание о блокировке (необязательно): введите необязательные сведения о том, почему вы блокируете этот элемент.

        Завершив работу с всплывающей кнопкой, нажмите кнопку Отправить, а затем нажмите кнопку Готово.

    Доступные действия в раскрывающемся списке «Отправить в Microsoft для анализа».

  • Сообщения Teams: Выберите одно из следующих значений:

    • Я подтвердил его чистоту
    • Он выглядит чистым
    • Он выглядит подозрительным

    Выбрав одно из этих значений, нажмите кнопку Отправить, а затем — Готово.

    • Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :

    • Фишинг

    • Вредоносная программа

      Выберите Отправить, а затем — Готово.

После того как вы отправите сообщение, о котором сообщил пользователь, в Microsoft с вкладки Пользователь сообщил, значение поля Преобразовано в отправку администратора изменится с Нет на Да, а на соответствующей вкладке страницы Отправки (например, на вкладке Электронная почта) будет создана соответствующая запись об отправке администратором.

Запустить расследование в Microsoft Defender для Office 365 (план 2)

Чтобы активировать автоматическое исследование сообщения, сообщаемого пользователем, используйте следующее действие:

  • На вкладке Сообщено пользователем выберите Запустить расследование в раскрывающемся списке рядом с Отправить в Microsoft для анализа.

Действие «Запустить расследование» в раскрывающемся списке «Отправить в Microsoft для анализа».

Дополнительные сведения см. в статье Администратор безопасности инициирует расследование в Обозревателе угроз.

Уведомление пользователей о сообщениях, отправленных администратором в Майкрософт

После того как администратор отправит сообщение о пользователе в корпорацию Майкрософт с вкладки Пользователь сообщил, администраторы могут использовать действие Пометить как и уведомить, чтобы пометить сообщение вердиктом и отправить шаблонное уведомление пользователю, который сообщил о сообщении.

  • Доступные вердикты для сообщений электронной почты:

    • Угрозы не найдены
    • Фишинг
    • Спам
  • Доступные вердикты для сообщений Teams:

    • Угрозы не найдены
    • Фишинг

Дополнительные сведения см . в разделе Уведомление пользователей на портале.

Просмотр преобразованных отправок администратора

После отправки администратором сообщения о пользователе в корпорацию Майкрософт с вкладки Пользователь сообщил , значение Преобразовано в отправку администратора имеет значение Да.

Если выбрать одно из этих сообщений, щелкнув в любом месте строки, кроме флажка рядом с именем, всплывающая панель сведений содержит Дополнительные действия>Просмотреть преобразованную отправку администратора.

Это действие переводит вас к соответствующей записи отправки в панели администратора на нужной вкладке (например, на вкладке Emails).

Действия для сообщений, о которых сообщили пользователи, в Defender для Office 365

В организациях, использующих Microsoft Defender для Office 365 (с дополнительными лицензиями или в составе подписок, таких как Microsoft 365 E5 или Microsoft 365 бизнес премиум), в области сведений о сообщении, о котором сообщил пользователь, на вкладке Сообщения, о которых сообщили пользователи также могут быть доступны следующие действия:

  • Открыть сущность электронной почты (только сообщения электронной почты): Дополнительные сведения см. в статье Что есть на странице сущности электронной почты.

  • Выполнение действий (только сообщения электронной почты). Это действие запускает тот же мастер действий, который доступен на странице сущности Email. Дополнительные сведения см. в разделе Действия на странице сущности Email.

  • Просмотреть оповещение. Оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.