Панель сущностей сообщений Teams в Microsoft Defender для Office 365

Как и в случае с панелью сводки по электронной почте для сообщений электронной почты, организации Microsoft 365, использующие Microsoft Defender для Office 365, план 1 или план 2 (дополнительные лицензии или включенные в подписки, такие как Microsoft 365 E5), имеют панель сущности сообщения Microsoft Teams в портале Microsoft Defender. Панель сущности сообщений Teams — это всплывающее окно сведений, включающее все данные Microsoft Teams о подозрительных или вредоносных чатах, каналах и групповых чатах на одной панели с возможностью действий.

В этой статье описываются сведения и действия на панели сущностей сообщений Teams.

Разрешения и лицензирование для панели сущностей сообщений Teams

Чтобы использовать панель сущностей сообщений Teams, вам должны быть назначены соответствующие разрешения. Возможны следующие варианты:

  • Полный доступ:

  • Доступ только для чтения:

    • Разрешения Microsoft Entra: Глобальный читатель или Читатель сведений о безопасности.
  • Удаление пользователей из чатов Teams. Требуется членство в одной из следующих Microsoft Entra ролей: глобальный администратор*, администратор безопасности или оператор безопасности.

    Важно!

    * Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

Где найти панель сущностей сообщений Teams

Нет прямых ссылок на панель сущностей сообщений Teams на верхних уровнях портала Defender. Вместо этого панель сущностей сообщений Teams доступна в следующих расположениях:

  • На странице Карантин в https://security.microsoft.com/quarantine: выберите вкладку Сообщение Teams>, затем выберите запись, щелкнув в любом месте строки, кроме флажка. Открывающаяся всплывающая панель сведений — это панель сущности сообщения в Teams.

  • На странице Отправки по адресу https://security.microsoft.com/reportsubmission:

    • На вкладке Teams messages> выберите запись, щелкнув в любом месте строки, кроме флажка.

    • Выберите вкладку Сообщения пользователей>, затем выберите запись Teams, щелкнув в любом месте строки, кроме флажка. Открывающаяся всплывающая панель сведений — это панель сущности сообщения в Teams.

      Чтобы отфильтровать записи, выберите Фильтровать>тип> сообщенияTeams.

  • На странице Расширенная охота по адресу https://security.microsoft.com/v2/advanced-huntingвыберите значение TeamsMessageId (ссылка) из таблицы MessageEvents в результатах запроса. Открывающаяся всплывающая панель сведений — это панель сущности сообщения в Teams. Например, вы можете:

    UrlClickEvents
    | where ThreatTypes !="" and Workload =="Teams"
    | summarize count() by Url, ThreatTypes, ActionType, Workload
    | project Url, ThreatTypes, ActionType, Workload, ClickCount=count_
    | top 20 by ClickCount
    
    UrlClickEvents
    | limit 100
    
    MessageEvents
    | limit 100
    

Что находится на панели сущностей сообщений Teams

В верхней части панели сущности сообщения Teams доступны следующие сведения:

  • Название всплывающего элемента — это тема или первые 100 символов сообщения Teams.
  • Текущий вердикт сообщения.
  • Количество ссылок в сообщении.
  • Действия, доступные в верхней части всплывающего элемента, зависят от того, где вы открыли панель сущности сообщения Teams.

Совет

Чтобы просмотреть сведения о других сообщениях Teams, не покидая панель сущности сообщения Teams текущего сообщения, используйте предыдущий элемент и следующий элемент в верхней части всплывающего элемента.

Следующие разделы на панели сущностей сообщений Teams зависят от того, где вы открыли его:

Остальная часть панели сущности сообщения Teams содержит следующие сведения, независимо от того, где вы ее открыли:

  • Раздел сведений о сообщении:

    • Threats
    • Расположение сообщения
    • Адрес отправителя
    • Время получения
    • Технология обнаружения
    • Идентификатор сообщения Teams. Это значение можно использовать в качестве идентификатора сообщения Teams в Defender для Office 365.
  • Раздел отправителя :

    • Имя и адрес электронной почты отправителя
    • Домен
    • Внешний: значение Да указывает, что сообщение было отправлено между внутренним пользователем и внешним пользователем.
  • Один из следующих разделов в зависимости от того, является ли сообщение из чата или канала:

    • Чат: раздел Участники :
      • Тип беседы
      • Имя чата
      • Имя и адрес электронной почты: содержит имена и адреса электронной почты всех участников (включая отправителя). Если участников более 10, он также содержит ссылку на дополнительную панель, где перечислены все участники чата на момент предполагаемой угрозы.
    • Канал: раздел Сведений о канале :
      • Тип беседы
      • Имя беседы: содержит имя канала.
      • Имя и адрес электронной почты: содержит имя и адрес канала.
  • Раздел URL-адресов:

    • Имя и тип Содержит URL-адрес из сообщения Teams.
    • Угроза

    Если сообщение содержит более 10 URL-адресов, выберите Просмотреть все URL-адреса , чтобы просмотреть их все.

Снимок экрана: панель

Удаление пользователей из чатов Teams на панели сущностей сообщений Teams

Выполните следующие действия, чтобы удалить пользователей из чата Teams на панели сущностей сообщения Teams.

Совет

Вы можете удалить из чата только внутренних пользователей в организации.

При удалении пользователей из чата отправитель чата не блокируется, и удаленные пользователи могут начинать новые чаты с отправителем.

На панели сущностей Teams можно выбрать Действие в верхней части всплывающего окна (часто в разделе Дополнительные действия), чтобы удалить пользователей из чата Teams.

В мастере выполнения действий выполните следующие действия.

  1. На странице Выбор действий ответа выберите Удалить пользователя из беседы в разделе Действия уровня беседы , а затем нажмите кнопку Далее.

  2. На странице Выбор целевых сущностей настройте следующие параметры:

    • Имя Введите уникальное описательное имя для сценария удаления пользователя.
    • Описание: введите необязательные сведения.

    Остальная часть страницы содержит таблицу сведений со следующими сведениями о пользователях в чате:

    • Затронутый ресурс: адрес электронной почты пользователя.
    • Действие. Это значение всегда равно Удалить пользователя из беседы.
    • Целевая сущность: значение GUID идентификатора потока чата.
    • Срок действия истекает

    По умолчанию выбираются все пользователи в чате, включая внешних пользователей, которых нельзя удалить из чата. Убедитесь, что выбраны внутренние пользователи, которых нужно удалить из чата.

    Завершив работу на странице Выбор целевых сущностей , нажмите кнопку Далее.

    Снимок экрана: страница

  3. На странице Проверка и отправка просмотрите предыдущие выбранные варианты.

    Нажмите кнопку Назад , чтобы вернуться и изменить выбранные параметры.

    Завершив работу на странице Проверка и отправка , нажмите кнопку Отправить.

Удаление пользователей из чата Teams регистрируется на вкладке Журнал страницы Центра действий по адресу https://security.microsoft.com/action-center/history. Результаты можно отфильтровать по типу действия>Удаление пользователей из бесед Teams и/или типу сущности>Сообщение Teams. В сведениях об оповещении можно проверить, были ли пользователи удалены из чата Teams.

Совет

Удаление пользователей из чатов Teams не приводит к созданию идентификатора расследования или автоматического расследования.

Страница сущности электронной почты в Microsoft Defender для Office 365 и как она работает

Безопасные ссылки в Microsoft Defender для Office 365

Автоматическое удаление при нулевом часе (ZAP) в Microsoft Teams