Сведения об Обозревателе угроз и обнаружении угроз в режиме реального времени в Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Организации Microsoft 365, в подписку которых входит Microsoft Defender для Office 365 или которые приобрели его как надстройку, имеют Explorer (также известный как Threat Explorer) или Обнаружение в реальном времени. Эти функции представляют собой мощные средства отчетности практически в реальном времени, которые помогают командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них.

В зависимости от вашей подписки в разделе Электронная почта & совместная работа на портале Microsoft Defender по адресу https://security.microsoft.com доступен Обозреватель угроз или обнаружения в режиме реального времени:

  • Обнаружения в режиме реального времени доступны в плане 1 Defender для Office 365. Страница обнаружения в режиме реального времени доступна непосредственно по адресу https://security.microsoft.com/realtimereportsv3.

    Снимок экрана: выбор параметра «Обнаружения в режиме реального времени» в разделе «Электронная почта и совместная работа» на портале Microsoft Defender.

  • Обозреватель угроз доступен в Microsoft Defender для Office 365, план 2. Страница Explorer доступна напрямую по адресу https://security.microsoft.com/threatexplorerv3.

    Снимок экрана с выбранным вариантом «Обозреватель» в разделе «Электронная почта и совместная работа» на портале Microsoft Defender.

Обозреватель угроз содержит те же сведения и возможности, что и обнаружение в режиме реального времени, но со следующими дополнительными функциями:

  • Дополнительные представления.
  • Дополнительные параметры фильтрации свойств, включая параметр для сохранения запросов.
  • Дополнительные действия.

Дополнительные сведения о различиях между Defender для Office 365 (план 1) и Defender для Office 365 (план 2) см. в шпаргалке по Defender для Office 365 (план 1) и Defender для Office 365 (план 2).

В остальной части этой статьи описываются представления и возможности, доступные в Обозревателе угроз и разделе «Обнаружения в режиме реального времени».

Разрешения и лицензирование для Обозревателя угроз и обнаружений в режиме реального времени

Чтобы использовать «Обозреватель» или обнаружения в режиме реального времени, вам должны быть назначены соответствующие разрешения. Возможны следующие варианты:

  • Microsoft Defender XDR Единое управление доступом на основе ролей (RBAC) (если разрешение Электронная почта & совместная работа>Defender для Office 365активно. Влияет только на портал Defender, но не на PowerShell):
    • Доступ для чтения заголовков сообщений электронной почты и Teams: Операции безопасности/Необработанные данные (электронная почта и совместная работа)/Метаданные электронной почты и совместной работы (чтение).
    • Просмотр и скачивание сообщений электронной почты: Операции безопасности/Необработанные данные (электронная почта и совместная работа)/Содержимое электронной почты и совместной работы (чтение).
    • Устранение вредоносных сообщений электронной почты: Операции безопасности/Данные безопасности/Электронная почта и расширенные действия для совместной работы (управление).
  • Электронная почта и разрешения для совместной работы на портале Microsoft Defender:
    • Полный доступ. Членство в группах ролей "Управление организацией " или "Администратор безопасности ". Для выполнения всех доступных действий требуются дополнительные разрешения:
      • Предварительный просмотр и скачивание сообщений. Требуется роль предварительного просмотра , которая по умолчанию назначается только группам ролей "Исследователь данных " или "Диспетчер обнаружения электронных данных". Кроме того, можно создать новую группу ролей с назначенной ролью предварительной версии и добавить пользователей в настраиваемую группу ролей.
      • Перемещение сообщений в почтовые ящики и их удаление. Требуется роль поиска и очистки , которая по умолчанию назначается только группам ролей "Исследователь данных " или "Управление организацией ". Кроме того, можно создать новую группу ролей с назначенной ролью "Поиск и очистка " и добавить пользователей в настраиваемую группу ролей.
    • Доступ только для чтения: Членство в группе ролей Читатель безопасности.
  • Разрешения Microsoft Entra: Членство в этих ролях предоставляет пользователям необходимые разрешения, а также разрешения для других функций в Microsoft 365:
    • Полный доступ: членство в ролях глобального администратора* или администратора безопасности . Для выполнения всех доступных действий требуются дополнительные разрешения:

      • Предварительный просмотр и скачивание сообщений. Требуется роль предварительного просмотра , которая по умолчанию назначается только группам ролей "Исследователь данных " или "Диспетчер обнаружения электронных данных".
    • Найдите правила потока обработки почты Exchange (правила транспорта) по имени в разделе Обозреватель угрозы: членство в ролях "Администратор безопасности" или "Читатель безопасности".

    • Доступ только для чтения. Членство в ролях "Глобальный читатель" или "Читатель безопасности ".

      Важно!

      * Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

Совет

Уведомления о спаме конечных пользователей и сообщения, созданные системой, недоступны в Обозреватель угроз. Эти типы сообщений доступны, если есть правило потока почты (также известное как правило транспорта почты), для которого доступно переопределение.

Записи журнала аудита создаются при предварительном просмотре или скачивании сообщений электронной почты администраторами. Вы можете выполнить поиск действий AdminMailAccess в журнале аудита администратора по пользователю. Инструкции см. в разделе Аудит нового поиска.

Сообщения электронной почты, доставленные в модерируемые почтовые ящики или модерируемые группы рассылки, отображаются в обозревателе угроз Threat Explorer. Но действия модератора (например, утверждение или отклонение сообщений) и сообщения, выпущенные модератором членам группы рассылки, не регистрируются и не отображаются в Обозреватель угроз.

Чтобы использовать Threat Explorer или обнаружения в режиме реального времени, вам должна быть назначена лицензия Defender для Office 365 (входящая в вашу подписку или доступная в виде дополнительной лицензии).

Обозреватель угроз или Обнаружения в режиме реального времени содержат данные для пользователей, которым назначены лицензии Defender для Office 365.

Элементы обозревателя угроз и обнаружения в режиме реального времени

Обозреватель угроз и обнаружения в режиме реального времени содержат следующие элементы:

  • Представления: вкладки в верхней части страницы, которые группируют обнаружения по угрозам. Представление влияет на остальные данные и параметры на странице.

    В следующей таблице перечислены представления, доступные в Threat Explorer и обнаружениях в режиме реального времени.

    Вид Угрозы
    Обозреватель
    В режиме реального времени
    Обнаружения
    Описание
    Все сообщения электронной почты Представление по умолчанию для обозревателя угроз. Сведения обо всех сообщениях электронной почты, отправляемых внешними пользователями в вашу организацию (входящие), сообщениях электронной почты, отправляемых внутренними пользователями организации внешним пользователям (исходящие), и сообщениях электронной почты, отправляемых между внутренними пользователями в организации (intra-org).
    Вредоносная программа Представление по умолчанию для обнаружений в реальном времени. Сведения о сообщениях электронной почты, содержащих вредоносные программы.
    Фишинг Сведения о сообщениях электронной почты, содержащих фишинговые угрозы.
    Кампании Сведения о вредоносной электронной почте, которую Defender для Office 365 плана 2 определил как часть скоординированной кампании фишинга или вредоносных программ.
    Вредоносное содержимое Сведения о файлах, обрабатываемых следующими функциями:
    Переходы по URL-адресу Сведения о щелчках пользователем URL-адресов в сообщениях электронной почты, сообщениях Teams, файлах SharePoint и файлах OneDrive.

    Эти представления подробно описаны в этой статье, в том числе различия между Threat Explorer и обнаружением в режиме реального времени.

    Совет

    Обнаружения в режиме реального времени показывают только обнаружения вредоносных сообщений электронной почты на момент доставки. Обозреватель угроз показывает все обнаружения в электронной почте на момент доставки, а также действия после доставки.

  • Фильтры даты и времени. По умолчанию представление фильтруется по вчерашней и сегодняшней дате. Чтобы изменить фильтр дат, выберите диапазон дат, а затем выберите значения даты начала и окончания до 30 дней назад.

    Снимок экрана с фильтром даты, используемым в Threat Explorer и разделе

  • Фильтры свойств (запросы): фильтруйте результаты в представлении по доступным свойствам сообщения, файла или угрозы. Доступные фильтруемые свойства зависят от представления. Некоторые свойства доступны во многих представлениях, в то время как другие свойства ограничены определенным представлением.

    Доступные фильтры свойств для каждого представления перечислены в этой статье, а также описаны различия между Обозревателем угроз и обнаружениями в реальном времени.

    Инструкции по созданию фильтров свойств см. в разделе Фильтры свойств в Threat Explorer и обнаружениях в режиме реального времени.

    Обозреватель угроз позволяет сохранять запросы для последующего использования, как описано в разделе Сохраненные запросы в Обозреватель угроз.

  • Диаграммы. Каждое представление содержит визуальное статистическое представление отфильтрованных или нефильтрованных данных. Доступные сводные элементы можно использовать, чтобы по-разному структурировать диаграмму.

    Часто можно использовать «Экспорт данных диаграммы», чтобы экспортировать отфильтрованные или неотфильтрованные данные диаграммы в CSV-файл.

    Диаграммы и доступные сводные представления подробно описаны в этой статье, включая различия между Обозревателем угроз и обнаружением в реальном времени.

    Совет

    Чтобы удалить диаграмму со страницы (что увеличивает размер области сведений), используйте один из следующих методов:

    • Выберите Представление диаграммы>Представление списка в верхней части страницы.
    • Выберите Показать представление списка между диаграммой и областью сведений.
  • Область сведений. Область сведений для представления обычно отображает таблицу, содержащую отфильтрованные или нефильтрованные данные. Доступные представления (вкладки) можно использовать для организации данных в области сведений различными способами. Например, представление может содержать диаграммы, карты или другие таблицы.

    Если область сведений содержит таблицу, часто можно использовать экспорт для выборочного экспорта до 200 000 отфильтрованных или нефильтрованных результатов в CSV-файл.

    Совет

    Во всплывающем окне Экспорт можно выбрать некоторые или все доступные свойства для экспорта. Выбранные значения сохраняются для каждого пользователя. Выбранные значения в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

Снимок экрана: главная страница обозревателя угроз с данными отчетов в режиме реального времени на портале Defender для Office 365.

Представление «Все сообщения электронной почты» в Обозревателе угроз

В представлении Все сообщения электронной почты в обозревателе угроз отображаются сведения обо всех входящих, исходящих и сообщениях электронной почты внутри организации. В представлении отображаются вредоносные и не вредоносные сообщения электронной почты. Например, вы можете:

  • В письме обнаружен фишинг или вредоносное ПО.
  • Письмо определено как спам или массовая рассылка.
  • Письмо определено как не содержащее угроз.

Это представление используется по умолчанию в Обозреватель угроз. Чтобы открыть представление Все сообщения электронной почты на странице Обозреватель на портале Defender по адресу , перейдите на https://security.microsoft.comвкладку Email & совместная работа>Обозреватель>Все сообщения электронной почты. Или перейдите непосредственно на страницу Обозреватель с помощью https://security.microsoft.com/threatexplorerv3и убедитесь, что выбрана вкладка Все сообщения электронной почты.

Снимок экрана представления «Все сообщения электронной почты» в Обозревателе угроз с диаграммой, доступными вариантами перехода для диаграммы и представлениями для таблицы сведений.

Фильтруемые свойства в представлении "Все сообщения электронной почты" в Проводнике угроз

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в Обозреватель угроз и обнаружение в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле действия Доставка в представлении Все сообщения электронной почты , описаны в следующей таблице:

Свойство Тип
Базовый
Адрес отправителя Текст. Разделите несколько значений запятыми.
Получатели Текст. Разделите несколько значений запятыми.
домен отправителя; Текст. Разделите несколько значений запятыми.
домен получателя; Текст. Разделите несколько значений запятыми.
Тема Текст. Разделите несколько значений запятыми.
Отображаемое имя отправителя Текст. Разделите несколько значений запятыми.
Отправитель почты с адреса Текст. Разделите несколько значений запятыми.
Отправитель почты из домена Текст. Разделите несколько значений запятыми.
Путь к возврату Текст. Разделите несколько значений запятыми.
Домен возвращаемого пути Текст. Разделите несколько значений запятыми.
Семейство вредоносных программ Текст. Разделите несколько значений запятыми.
Теги Текст. Разделите несколько значений запятыми.

Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Поддельный домен Текст. Разделите несколько значений запятыми.
Олицетворенный пользователь Текст. Разделите несколько значений запятыми.
Правило потока обработки почты Exchange Текст. Разделите несколько значений запятыми.
Правило защиты от потери данных Текст. Разделите несколько значений запятыми.
Контекст Выберите одно или несколько значений:
  • Evaluation
  • Защита учетных записей с приоритетом
Разъём Текст (имя соединителя). Разделите несколько значений запятыми.
Действие доставки Выберите одно или несколько значений:
  • Заблокировано: Email сообщения, которые были помещены в карантин, которые не были доставлены или были удалены.
  • Доставлено: Email доставлен в папку "Входящие" или другую папку пользователя, в которой пользователь может получить доступ к сообщению.
  • Доставлено в нежелательную почту: Электронное письмо доставлено в папку "Нежелательная почта" пользователя или в папку "Удаленные", где пользователь может получить доступ к письму.
  • Заменено: вложения сообщений, замененные функцией динамической доставки в политиках «Безопасные вложения».
Дополнительное действие Выберите одно или несколько значений:
Направление Выберите одно или несколько значений:
  • Входящие
  • Внутри организации
  • Исходящий
Технология обнаружения Выберите одно или несколько значений:
  • Расширенный фильтр: сигналы на основе машинного обучения.
  • Защита от вредоносных программ
  • Массовая рассылка
  • Кампания
  • Репутация домена
  • Детонация файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
  • Репутация детонирования файлов: вложения, ранее обнаруженные при детонировании с помощью Safe Attachments в других организациях Microsoft 365.
  • Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
  • Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
  • Общий фильтр
  • Подмена бренда: Имитация отправителем известных брендов.
  • Домен олицетворения: олицетворение доменов отправителей, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга
  • Олицетворение пользователя
  • Репутация IP-адресов
  • Анализ содержимого LLM. Анализ специализированных крупных языковых моделей корпорации Майкрософт для обнаружения вредоносных сообщений электронной почты.
  • Бомбардировка почты: распределенная атака типа "отказ в обслуживании" (DDoS), которая обычно подписывает получателей на большое количество законных информационных бюллетеней и служб. Результирующий объем входящей электронной почты в течение нескольких минут будет перегружать почтовый ящик получателя и системы безопасности электронной почты и выступает в качестве предшественника вредоносных программ, программ-шантажистов или кражи данных.
  • Имитация на основе аналитики почтовых ящиков: Обнаружение имитации с использованием аналитики почтовых ящиков в политиках защиты от фишинга.
  • Обнаружение на основе смешанного анализа: несколько фильтров повлияли на вердикт по сообщению.
  • spoof DMARC: сообщение не прошло проверку подлинности DMARC.
  • Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации.
  • Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации.
  • Детонация URL-адреса: Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении в ходе детонационного анализа.</li
  • Репутация URL-адресов по результатам детонации: URL-адреса, ранее выявленные в ходе детонации Safe Links в других организациях Microsoft 365.
  • Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
Классификация угроз Выберите одно или несколько значений:
  • Бизнес-аналитика
  • Создание контакта
  • Подарочный карта
  • Счет
  • Зарплата
  • < Сбор персональных данных/li>
  • Задача
Дополнительные сведения см. в разделе Классификация угроз в Microsoft Defender для Office 365.
Исходное расположение доставки Выберите одно или несколько значений:
  • папка "Удаленные элементы"
  • Упал
  • Сбой
  • Входящие/папка
  • Папка «Нежелательная почта»
  • Локальный/внешний
  • Карантин
  • Unknown
Последнее расположение доставки¹ Те же значения, что и Исходное место доставки
Уровень достоверности фишинга Выберите одно или несколько значений:
  • Высокий
  • Normal
Основное переопределение Выберите одно или несколько значений:
  • Разрешено политикой организации
  • Разрешено политикой пользователя
  • Заблокировано политикой организации
  • Заблокировано политикой пользователя
  • Нет
Основной источник переопределения Сообщения могут иметь несколько переопределений разрешения или блокировки, как указано в источнике переопределения. Переопределение, которое в конечном итоге разрешило или заблокировало сообщение, идентифицируется в источнике первичного переопределения.
Выберите одно или несколько значений:
  • Сторонний фильтр
  • Перемещение во времени, инициированное администратором (ZAP)
  • Блок политики защиты от вредоносных программ по типу файла
  • Параметры политики защиты от нежелательнойam
  • Политика подключения
  • Правило потока обработки почты Exchange
  • Монопольный режим (пользовательское переопределение)
  • Фильтрация пропущена из-за локальной организации
  • Фильтр регионов по IP-адресам из политики
  • Языковой фильтр из политики
  • Моделирование фишинга
  • Выход из карантина
  • Почтовый ящик SecOps
  • Список адресов отправителей (переопределение администратором)
  • Список адресов отправителя (пользовательское переопределение)
  • Список доменов отправителей (переопределение администратором)
  • Список доменов отправителя (пользовательское переопределение)
  • Блок файлов списка разрешенных и заблокированных клиентов
  • Блокировка адреса электронной почты отправителя в списке разрешенных и заблокированных адресов организации
  • Подделаный блок списка разрешений и блокировок клиента
  • Блок URL-адресов списка разрешенных и заблокированных клиентов
  • Список доверенных контактов (пользовательское переопределение)
  • Доверенный домен (пользовательское переопределение)
  • Доверенный получатель (пользовательское переопределение)
  • Только доверенные отправители (пользовательское переопределение)
Переопределить источник Те же значения, что и источник первичного переопределения
Тип политики Выберите одно или несколько значений:
  • Политика защиты от вредоносных программ
  • Политика защиты от фишинга
  • Правило потока обработки почты Exchange (правило потока обработки почты), Политика фильтрации размещенного содержимого (политика защиты от нежелательной почты), Политика фильтрации исходящего спама (политика исходящего спама), Политика безопасных вложений
  • Unknown
Действие политики Выберите одно или несколько значений:
  • Добавить X-заголовок
  • Сообщение со скрытой копией
  • Удалить сообщение
  • Изменение темы
  • Переместить в папку "Нежелательная почта"
  • Никаких действий не было предпринят
  • Сообщение перенаправления
  • Отправка в карантин
Тип угрозы Выберите одно или несколько значений:
  • Вредоносная программа
  • Фишинг
  • Спам
Пересылаемое сообщение Выберите одно или несколько значений:
  • True
  • Ложь
Список рассылки Текст. Разделите несколько значений запятыми.
Размер электронного письма Целое число. Разделите несколько значений запятыми.
Расширенные
Идентификатор сообщения Интернета Текст. Разделите несколько значений запятыми.

Доступно в поле заголовка Message-ID в заголовке сообщения. Пример значения: <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (обратите внимание на угловые скобки).
Идентификатор сетевого сообщения Текст. Разделите несколько значений запятыми.

Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.
IP²-адрес отправителя Текст. Разделите несколько значений запятыми.
Вложение SHA256 Текст. Разделите несколько значений запятыми.
Идентификатор кластера Текст. Разделите несколько значений запятыми.
Идентификатор оповещения Текст. Разделите несколько значений запятыми.
Идентификатор политики оповещений Текст. Разделите несколько значений запятыми.
Идентификатор кампании Текст. Разделите несколько значений запятыми.
Сигнал URL-адреса ZAP Текст. Разделите несколько значений запятыми.
Urls
Число URL-адресов Целое число. Разделите несколько значений запятыми.
домен URL-адреса³ Текст. Разделите несколько значений запятыми.
Домен и путь URL³ Текст. Разделите несколько значений запятыми.
URL³ Текст. Разделите несколько значений запятыми.
Путь URL³ Текст. Разделите несколько значений запятыми.
Источник URL-адреса Выберите одно или несколько значений:
  • Вложения
  • Облачное вложение
  • Текст письма
  • заголовок Email
  • QR-код
  • Тема
  • Unknown
Щелкните вердикт Выберите одно или несколько значений:
  • Разрешено: пользователю было разрешено открыть URL-адрес.
  • Блокировка отменена: пользователю было запрещено напрямую открывать URL-адрес, но он отменил блокировку, чтобы открыть URL-адрес.
  • Заблокировано: пользователю было запрещено открывать URL-адрес.
  • Ошибка: пользователю была представлена страница ошибки или произошла ошибка при записи вердикта.
  • Сбой. При записи вердикта произошло неизвестное исключение. Возможно, пользователь открыл URL-адрес.
  • Нет: не удается записать вердикт для URL-адреса. Возможно, пользователь открыл URL-адрес.
  • Ожидание вердикта: Пользователю была показана страница ожидания детонации.
  • Ожидающий вердикт проигнорирован: пользователю была показана страница проверки, но он проигнорировал предупреждение, чтобы открыть URL-адрес.
Угроза URL Выберите одно или несколько значений:
  • Вредоносная программа
  • Фишинг
  • Спам
Файл
Количество вложений Целое число. Разделите несколько значений запятыми.
Имя файла вложения Текст. Разделите несколько значений запятыми.
Тип файла Текст. Разделите несколько значений запятыми.
Расширение файла Текст. Разделите несколько значений запятыми.
Размер файла Целое число. Разделите несколько значений запятыми.
Проверка подлинности
SPF Выберите одно или несколько значений:
  • Сбой
  • Нейтральный
  • Нет
  • Пройти
  • Постоянная ошибка
  • Мягкий сбой
  • Временная ошибка
DKIM Выберите одно или несколько значений:
  • Ошибка
  • Сбой
  • Ignore
  • Нет
  • Пройти
  • Test
  • Timeout
  • Unknown
DMARC Выберите одно или несколько значений:
  • Этап предварительной оценки
  • Сбой
  • Нет
  • Пройдено
  • Постоянная ошибка
  • Прохождение селектора
  • Временная ошибка
  • Unknown
Композитный Выберите одно или несколько значений:
  • Сбой
  • Нет
  • Пройти
  • Мягкий проход

Совет

  • ¹ Последнее место доставки не включает действия конечных пользователей с сообщениями. Например, если пользователь удалил сообщение или переместил его в архив или PST-файл.

    Существуют сценарии, в которых исходное расположение/ доставкиПоследнее расположение доставки и (или) действие доставки имеют значение Неизвестно. Например, вы можете:

    • Сообщение было доставлено (Действие доставкиДоставлено), но правило для папки «Входящие» переместило сообщение в папку по умолчанию, отличную от папки «Входящие» или папки «Нежелательная почта» (например, в папку «Черновики» или «Архив»).
    • ZAP пытался переместить сообщение после доставки, но сообщение не было найдено (например, пользователь переместил или удалил сообщение).
  • 2 Значения IP-адреса отправителя иногда регистрируются как пустые или 0.0.0.0 в следующих сценариях:

    • Автоматические ответы.
    • Недоставленное электронное письмо, которое не удалось доставить.
    • Электронное письмо, в котором IP-адрес отправителя является внутренним IP-адресом Майкрософт. Например, уведомления и оповещения, созданные системой, или пересылаемые сообщения, доставляемые с IP-адресов Microsoft.

    В этих сценариях IP-адреса могут отображаться в трассировке сообщений Exchange.

  • ³ По умолчанию поиск по URL-адресу соответствует http, если явно не указано иное значение. Например, вы можете:

    • Поиск с префиксом http:// и без него в URL, домене URL и домене и пути URL должен показывать одни и те же результаты.
    • Найдите https:// префикс в URL-адресе. Если значение не указано, по умолчанию используется префикс http://.
    • / в начале и в конце полей URL-путь, домен URL, домен URL и путь игнорируется.
    • / в конце поля URL-адреса не учитывается.

Сводные сведения для диаграммы в представлении Все сообщения электронной почты в Обозреватель угроз

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Доступные опорные точки диаграммы описаны в следующих подразделах.

Сводка диаграммы по действиям доставки в представлении «Все сообщения электронной почты» в Threat Explorer

Хотя по умолчанию этот срез не выглядит выбранным, Действие доставки является срезом диаграммы по умолчанию в представлении Все электронные письма.

Срез Действие доставки группирует данные на диаграмме по действиям, выполненным над сообщениями в указанном диапазоне даты и времени и с учетом фильтров свойств.

Снимок экрана диаграммы в представлении «Все сообщения электронной почты» в Обозревателе угроз с использованием сводки по действию доставки.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого действия доставки.

Сводка по доменам отправителей в представлении «Все сообщения электронной почты» в Обозревателе угроз

Срез Домен отправителя группирует данные на диаграмме по доменам, указанным в сообщениях, для указанного диапазона даты и времени и выбранных фильтров свойств.

Снимок экрана диаграммы в представлении «Все сообщения электронной почты» в обозревателе угроз с использованием сводки «Домен отправителя».

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена отправителя.

Сводная диаграмма IP-адресов отправителей в представлении «Все электронные письма» в Обозревателе угроз

Сводка IP-адресов отправителя упорядочивает диаграмму по исходным IP-адресам сообщений для указанного диапазона даты и времени и фильтров свойств.

Снимок экрана с диаграммой в представлении «Все электронные письма» в Обозревателе угроз с применением фильтра по IP-адресу отправителя.

При наведении указателя мыши на точку данных на диаграмме отображается количество IP-адресов каждого отправителя.

Вкладка диаграммы «Технология обнаружения» в представлении «Все сообщения электронной почты» в Threat Explorer

Срез Технология обнаружения группирует диаграмму по функции, которая выявила сообщения за указанный диапазон дат и времени и с учетом фильтров свойств.

Снимок экрана диаграммы в представлении «Все электронные письма» в Обозревателе угроз с переходом по параметру «Технология обнаружения».

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Сводная таблица диаграммы классификации угроз в представлении «Все сообщения электронной почты» в Обозревателе угроз

Опорный элемент Классификация угроз упорядочивает диаграмму по классифицированным угрозам. Дополнительные сведения см. в разделе Классификация угроз в Microsoft Defender для Office 365.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой классификации.

Сводная диаграмма полных URL-адресов в представлении «Все сообщения электронной почты» в Threat Explorer

Сводка полных URL-адресов группирует диаграмму по полным URL-адресам, содержащимся в сообщениях, с учетом указанного диапазона даты и времени и фильтров свойств.

Снимок экрана диаграммы в представлении «Все сообщения электронной почты» в Threat Explorer с использованием сводки «Полный URL-адрес».

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого полного URL-адреса.

Сводка по домену URL-адреса в представлении «Все электронные письма» в Threat Explorer

Срез доменов URL-адресов группирует диаграмму по доменам URL-адресов, содержащихся в сообщениях, с учетом указанного диапазона даты и времени и фильтров свойств.

Снимок экрана диаграммы в представлении «Все сообщения электронной почты» в Обозревателе угроз с использованием перехода по домену URL-адреса.

При наведении на точку данных на диаграмме отображается число для каждого домена URL.

Сводная диаграмма доменов URL-адресов и путей в представлении «Все сообщения электронной почты» в Обозревателе угроз

Сводка домена и пути URL-адреса упорядочивает диаграмму по доменам и путям в URL-адресах в сообщениях для указанного диапазона даты и времени и фильтров свойств.

Снимок экрана диаграммы в представлении «Все электронные письма» в Обозревателе угроз с использованием URL-домена и пути для детализации.

При наведении указателя мыши на точку данных на диаграмме отображается счетчик для каждого домена URL-адреса и пути.

Представления для области сведений в представлении "Все сообщения электронной почты" в Threat Explorer

Доступные представления (вкладки) в области сведений представления Все сообщения электронной почты описаны в следующих подразделах.

Представление электронной почты в области сведений в представлении «Все сообщения электронной почты» в обозревателе угроз

Email — это представление по умолчанию для области сведений в представлении Все сообщения электронной почты.

В представлении Email показана таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):

  • Дата*
  • Тема*
  • Получатель*
  • домен получателя;
  • Теги*
  • Адрес отправителя*
  • Отображаемое имя отправителя
  • Домен отправителя*
  • IP-адрес отправителя
  • Адрес электронной почты отправителя
  • Отправитель почты из домена
  • Дополнительные действия*
  • Действие по доставке
  • Последнее расположение доставки*
  • Исходное расположение доставки*
  • Система переопределяет источник
  • Системные переопределения
  • Идентификатор оповещения
  • Идентификатор сообщения в Интернете
  • Идентификатор сетевого сообщения
  • Язык почты
  • Правило потока обработки почты Exchange
  • Соединитель
  • Context
  • Правило защиты от потери данных
  • Тип угрозы*
  • Технология обнаружения
  • Классификация угроз
  • Количество вложений
  • Число URL-адресов
  • Размер электронной почты

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сузьте ширину соответствующих столбцов.
  • Удалите столбцы из представления.
  • Уменьшите масштаб в браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

Когда вы выбираете одну или несколько записей из списка, установив флажок рядом с первым столбцом, становится доступно Предпринять действие. Дополнительные сведения см. в разделе Поиск угроз: устранение сообщений электронной почты.

Снимок экрана вкладки «Электронная почта» в таблице сведений с выбранным сообщением и активной командой «Принять меры».

В значении Тема для записи доступно действие Открыть в новом окне. Это действие открывает сообщение на странице сущности Email.

При выборе значений Тема или Получатель в записи открываются всплывающие элементы сведений. Эти всплывающие окна описаны в следующих подразделах.

Сведения об электронной почте из представления "Электронная почта" области сведений в представлении "Все сообщения электронной почты"

При выборе значения Subject для записи в таблице откроется всплывающее окно сведений о сообщении электронной почты. Эта всплывающая панель сведений называется панелью сводки по электронному письму и содержит стандартизированную сводную информацию, которая также доступна на странице сущности электронного письма для этого сообщения.

Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email в Defender.

Следующие действия доступны в верхней части панели сводки по электронной почте в Threat Explorer и Real-time detections:

  • Открыть объект электронной почты
  • Заголовок представления
  • Принять меры: Дополнительные сведения см. в статье Поиск угроз: устранение угроз в электронной почте.
  • Дополнительные варианты:
    • Предпросмотр письма¹ ²
    • Скачать электронную почту¹ 2 ³
    • Открыть в проводнике
    • Идти охота

¹ Для действий Предпросмотр письма и Скачать письмо требуется роль Предпросмотр в разделе Разрешения для электронной почты и совместной работы. По умолчанию эта роль назначается группам ролей "Исследователь данных " и "Диспетчер обнаружения электронных данных". По умолчанию члены групп ролей "Управление организацией " или "Администраторы безопасности " не могут выполнять эти действия. Чтобы разрешить эти действия для членов этих групп, можно выбрать следующие варианты:

  • Добавьте пользователей в группы ролей "Исследователь данных " или "Диспетчер обнаружения электронных данных ".
  • Создайте новую группу ролей с назначенной ролью "Поиск и очистка " и добавьте пользователей в настраиваемую группу ролей.

2 Вы можете просматривать или скачивать сообщения электронной почты, доступные в облачных почтовых ящиках и карантине. Примеры, когда сообщения больше не доступны в почтовых ящиках:

  • Сообщение было отклонено до доставки или доставка не удалась.
  • Сообщение было временно удалено (удалено из папки "Удаленные", при этом сообщение перемещается в папку "Элементы с возможностью восстановления\Удаления").
  • ZAP переместил сообщение в карантин.

³ Скачивание электронной почты для сообщений, помещенных в карантин, доступно с защитой паролем. Вы также можете скачать копию сообщения, защищенную паролем, из карантина.

Go hunt доступна только в обозревателе угроз. Он недоступен в функциях обнаружения в режиме реального времени.

Сведения о получателе из представления «Электронная почта» в области сведений в представлении «Все сообщения электронной почты»

Если выбрать запись, щелкнув значение Recipient, откроется всплывающая панель сведений со следующей информацией:

Совет

Чтобы просмотреть сведения о других получателях, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

  • Раздел сводки :

    • Роль. Указывает, назначены ли получателю какие-либо роли администратора.
    • Политики:
      • Имеет ли пользователь разрешение на просмотр архивных сведений.
      • Имеет ли пользователь разрешение на просмотр сведений о хранении.
      • Покрывается ли пользователь защитой от потери данных (DLP).
      • Распространяется ли действие управления мобильными устройствами на пользователя в https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.
  • Email разделе: таблица, в которой содержатся следующие связанные сведения о сообщениях, отправляемых получателю:

    • Date
    • Тема
    • Получатель

    Выберите Просмотреть все сообщения электронной почты, чтобы открыть Обозреватель угрозы на новой вкладке, отфильтрованной по получателю.

  • Раздел последних оповещений: таблица со следующими связанными сведениями о последних оповещениях:

    • Серьезность
    • Политика оповещения
    • Категория
    • Действия

    Если есть более трех последних оповещений, выберите Просмотреть все последние оповещения , чтобы просмотреть все из них.

    • Раздел "Последние действия": отображаются сводные результаты поиска получателя в журнале аудита:

      • Date
      • IP-адрес.
      • Действия
      • Элемент

      Если у получателя более трех записей журнала аудита, выберите Просмотреть все последние действия , чтобы просмотреть все из них.

    Совет

    Члены группы ролей Администраторы безопасности в разделе Разрешения для электронной почты и совместной работы не могут развернуть раздел Недавние действия. Вы должны быть участником группы ролей в разделе Разрешения Exchange Online, которой назначена роль Журналы аудита, Аналитик Information Protection или Специалист по расследованию Information Protection. По умолчанию эти роли назначаются группам ролей Управление записями, Управление соответствием требованиям, Information Protection, Аналитики Information Protection, Information Protection Следователи и Управление организацией. В эти группы ролей можно добавить членов администраторов безопасности или создать новую группу ролей с назначенной ролью Журналы аудита .

Снимок экрана со всплывающей панелью сведений о получателе после выбора значения получателя на вкладке «Электронная почта» в области сведений в представлении «Все сообщения электронной почты».

Представление переходов по URL в области сведений представления «Все сообщения электронной почты» в обозревателе угроз

В представлении Клики по URL отображается график, который можно организовать с помощью сводных таблиц. Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Опорные точки диаграммы описаны в следующих подразделах.

Снимок экрана области сведений представления «Все сообщения электронной почты» в Threat Explorer с выбранной вкладкой «Переходы по URL» и отображением доступных вариантов перехода, при этом ни один из них не выбран.

Совет

В Threat Explorer каждый элемент в представлении Щелчки по URL-адресам имеет действие Просмотреть все щелчки, которое открывает представление "Щелчки по URL-адресам" в новой вкладке.

Сводные данные по доменам URL-адресов для представления переходов по URL-адресам в области сведений представления «Все сообщения электронной почты» в Threat Explorer

Хотя этот опорный параметр диаграммы кажется невыбранным, домен URL является опорным параметром диаграммы по умолчанию в представлении «Клики по URL».

В сводке домены URL-адресов отображаются различные домены в URL-адресах в сообщениях электронной почты за указанный диапазон даты и времени и с учетом фильтров свойств.

Снимок экрана области сведений в представлении «Все сообщения электронной почты» в Обозревателе угроз с вкладкой «Переходы по URL-адресам» и выбранным параметром детализации по домену URL-адреса.

При наведении на точку данных на диаграмме отображается число для каждого домена URL.

Щелкните элемент «Вердикт» в представлении «Переходы по URL-адресам», чтобы открыть область сведений в представлении «Все сообщения электронной почты» в Threat Explorer

В сводной таблице вердиктов переходов по ссылкам отображаются различные вердикты для URL-адресов, по которым переходили из сообщений электронной почты, для указанного диапазона даты и времени и выбранных фильтров свойств.

Снимок экрана области сведений в представлении «Все сообщения электронной почты» в Обозревателе угроз с вкладкой «Переходы по URL-адресам» и выбранным элементом «Вердикт по щелчку».

При наведении указателя мыши на точку данных на диаграмме отображается количество по каждому вердикту по клику.

Сводка по URL-адресам для представления переходов по URL-адресам в области сведений представления "Вся электронная почта" в Обозревателе угроз

В сводке URL-адресов отображаются различные URL-адреса, которые были щелканы в сообщениях электронной почты для указанного диапазона даты и времени и фильтров свойств.

Снимок экрана области сведений в представлении «Все сообщения электронной почты» в Обозревателе угроз с вкладкой «Переходы по URL» и выбранной сводкой по URL.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого URL-адреса.

Сводка по домену и пути URL-адреса для представления переходов по URL-адресам в области сведений представления "Все сообщения электронной почты" в Threat Explorer

В срезе домен URL и путь отображаются различные домены и пути URL-адресов, по которым щелкнули в сообщениях электронной почты, за указанный диапазон даты и времени и с учетом фильтров свойств.

Снимок экрана области сведений в представлении «Все сообщения электронной почты» в Обозревателе угроз с вкладкой «Переходы по URL» и выбранным элементом детализации по домену и пути URL.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена URL-адреса и пути к файлу.

Представление "Основные URL-адреса" для области сведений в представлении "Все сообщения электронной почты" в Обозревателе угроз

В представлении Верхние URL-адреса отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

  • URL-адрес
  • Сообщения заблокированы
  • Сообщения, помеченные как нежелательные
  • Доставленные сообщения
Основные сведения о URL-адресах для представления "Все сообщения электронной почты"

Если выбрать запись, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется панель сведений со следующей информацией:

Совет

Чтобы просмотреть сведения о других URL-адресах, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

  • В верхней части всплывающего окна доступны следующие действия:
    • Страница "Открыть URL-адрес"

    • Отправить на анализ:

      • Отчет очистки
      • Сообщение о фишинге
      • Сообщить о вредоносных программах
    • Управление индикатором:

      • Добавление индикатора
      • Управление в списке блокировок клиента

      Если выбрать любой из этих параметров, вы перейдете на страницу Отправки на портале Defender.

    • Дополнительные сведения:

      • Открыть в проводнике
      • Охота
  • Исходный URL-адрес
  • Раздел обнаружения:
    • Вердикт аналитики угроз
    • x активных оповещений, y инцидентов: горизонтальная столбчатая диаграмма, показывающая количество оповещений с высоким, средним, низким уровнем важности и информационных, связанных с этой ссылкой.
    • Ссылка на Просмотр всех инцидентов и предупреждений на странице URL.
  • Раздел сведений о домене :
    • Доменное имя и ссылка на Просмотреть страницу домена.
    • Регистрант
    • Зарегистрировано в
    • Обновлено
    • Срок действия истекает
  • Раздел контактных данных регистратора:
    • Регистратор
    • Страна или регион
    • Почтовый адрес
    • Электронная почта
    • Телефон
    • Дополнительные сведения: Ссылка на Открыть в Whois.
  • Раздел Распространенность URL-адресов (за последние 30 дней): содержит количество устройств, Email и щелчков. Выберите каждое значение, чтобы просмотреть полный список.
  • Устройства: отображаются затронутые устройства:
    • Дата (первая/последняя)

    • Устройства

      Если задействовано более двух устройств, выберите Просмотреть все устройства , чтобы просмотреть все устройства.

Снимок экрана всплывающего окна сведений после выбора записи на вкладке «Основные URL-адреса» в представлении «Все сообщения электронной почты» в Обозревателе угроз.

Представление самых популярных щелчков для области сведений в представлении «Все сообщения электронной почты» в Threat Explorer

Представление Самые частые клики отображает таблицу с подробными сведениями. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

  • URL-адрес
  • Заблокировано
  • Разрешено
  • Блок переопределен
  • Ожидается вердикт
  • Ожидающий вердикт пропущен
  • Нет
  • Страница ошибки
  • Сбой

Совет

Выбраны все доступные столбцы. Если выбрать параметр Настроить столбцы, вы не сможете отменить выбор столбцов.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сузьте ширину соответствующих столбцов.
  • Уменьшите масштаб в браузере.

Если выбрать запись, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель сведений. Сведения во всплывающем меню такие же, как описано в разделе Основные СВЕДЕНИЯ о URL-адресах для представления "Все сообщения электронной почты".

Представление «Наиболее часто атакуемые пользователи» для области сведений в представлении «Вся электронная почта» в Threat Explorer

В представлении "Основные целевые пользователи " данные упорядочиваются в таблицу пяти основных получателей, на которых нацеливались самые угрозы. Таблица содержит следующие сведения:

Совет

Используйте Экспорт, чтобы экспортировать список из не более чем 3000 пользователей и соответствующие попытки.

Представление источника сообщения электронной почты для области сведений в представлении «Все сообщения электронной почты» в Обозревателе угроз

В представлении источника Email отображаются источники сообщений на карте мира.

Снимок экрана карты мира в представлении источника электронной почты в области сведений представления «Все сообщения электронной почты» в Threat Explorer.

Представление «Кампания» для области сведений в представлении «Все сообщения электронной почты» в Обозревателе угроз

Представление Campaign показывает таблицу сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца.

Сведения в таблице такие же, как описано в таблице подробных сведений на странице Кампании.

Если выбрать запись, щелкнув в любом месте строки, кроме флажка рядом с Имя, откроется всплывающая панель со сведениями. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о кампании.

Просмотр вредоносных программ в обозревателе угроз и обнаружения в режиме реального времени

В представлении Вредоносное ПО в Обозревателе угроз и разделе «Обнаружения в режиме реального времени» отображаются сведения о сообщениях электронной почты, в которых было обнаружено вредоносное ПО. Это представление используется по умолчанию при обнаружении в режиме реального времени.

Чтобы открыть представление Вредоносные программы , выполните одно из следующих действий.

  • Обозреватель угроз: на странице Обозреватель на портале Defender по адресу https://security.microsoft.comперейдите в раздел Электронная почта & совместная работа>Обозреватель> и откройте вкладку Вредоносные программы. Или сразу перейдите на страницу Обозреватель по ссылке https://security.microsoft.com/threatexplorerv3, а затем выберите вкладку Вредоносные программы.
  • Обнаружения в режиме реального времени: На странице Обнаружения в режиме реального времени на портале Defender перейдите в раздел https://security.microsoft.comEmail & совместная работа>Обозреватель>и откройте вкладку Вредоносные программы. Или перейдите непосредственно на страницу Обнаружения в режиме реального времени по ссылке https://security.microsoft.com/realtimereportsv3 и убедитесь, что выбрана вкладка Вредоносные программы.

Снимок экрана с представлением «Вредоносные программы» в Обозревателе угроз, на котором показаны диаграмма, доступные сводные представления для диаграммы и представления для таблицы сведений.

Фильтруемые свойства в представлении «Вредоносные программы» в Threat Explorer и в разделе «Обнаружения в режиме реального времени»

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в Обозреватель угроз и обнаружение в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле Адрес отправителя в представлении Вредоносные программы , описаны в следующей таблице:

Свойство Тип Угрозы
Обозреватель
В режиме реального времени
Обнаружения
Базовый
Адрес отправителя Текст. Разделите несколько значений запятыми.
Получатели Текст. Разделите несколько значений запятыми.
домен отправителя; Текст. Разделите несколько значений запятыми.
домен получателя; Текст. Разделите несколько значений запятыми.
Тема Текст. Разделите несколько значений запятыми.
Отображаемое имя отправителя Текст. Разделите несколько значений запятыми.
Отправитель почты с адреса Текст. Разделите несколько значений запятыми.
Отправитель почты из домена Текст. Разделите несколько значений запятыми.
Путь к возврату Текст. Разделите несколько значений запятыми.
Домен возвращаемого пути Текст. Разделите несколько значений запятыми.
Семейство вредоносных программ Текст. Разделите несколько значений запятыми.
Теги Текст. Разделите несколько значений запятыми.

Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Правило потока обработки почты Exchange Текст. Разделите несколько значений запятыми.
Правило защиты от потери данных Текст. Разделите несколько значений запятыми.
Контекст Выберите одно или несколько значений:
  • Evaluation
  • Защита учетных записей с приоритетом
Разъём Текст (имя соединителя). Разделите несколько значений запятыми.
Действие доставки Выберите одно или несколько значений:
Дополнительное действие Выберите одно или несколько значений:
Направление Выберите одно или несколько значений:
  • Входящие
  • Внутри организации
  • Исходящий
Технология обнаружения Выберите одно или несколько значений:
  • Расширенный фильтр: сигналы на основе машинного обучения.
  • Защита от вредоносных программ
  • Массовая рассылка
  • Кампания
  • Репутация домена
  • Детонация файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
  • Репутация детонирования файлов: вложения, ранее обнаруженные при детонировании с помощью Safe Attachments в других организациях Microsoft 365.
  • Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
  • Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
  • Общий фильтр
  • Подмена бренда: Имитация отправителем известных брендов.
  • Домен олицетворения: олицетворение доменов отправителей, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга
  • Олицетворение пользователя
  • Репутация IP-адресов
  • Анализ содержимого LLM. Анализ специализированных крупных языковых моделей корпорации Майкрософт для обнаружения вредоносных сообщений электронной почты.
  • Бомбардировка почты: распределенная атака типа "отказ в обслуживании" (DDoS), которая обычно подписывает получателей на большое количество законных информационных бюллетеней и служб. Результирующий объем входящей электронной почты в течение нескольких минут будет перегружать почтовый ящик получателя и системы безопасности электронной почты и выступает в качестве предшественника вредоносных программ, программ-шантажистов или кражи данных.
  • Имитация на основе аналитики почтовых ящиков: Обнаружение имитации с использованием аналитики почтовых ящиков в политиках защиты от фишинга.
  • Обнаружение на основе смешанного анализа: несколько фильтров повлияли на вердикт по сообщению.
  • spoof DMARC: сообщение не прошло проверку подлинности DMARC.
  • Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации.
  • Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации.
  • Детонация URL-адреса. Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении во время анализа детонации.
  • Репутация URL-адресов по результатам детонации: URL-адреса, ранее выявленные в ходе детонации Safe Links в других организациях Microsoft 365.
  • Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
Исходное расположение доставки Выберите одно или несколько значений:
  • папка "Удаленные элементы"
  • Упал
  • Сбой
  • Входящие/папка
  • Папка «Нежелательная почта»
  • Локальный/внешний
  • Карантин
  • Unknown
Последнее расположение доставки Те же значения, что и Исходное место доставки
Основное переопределение Выберите одно или несколько значений:
  • Разрешено политикой организации
  • Разрешено политикой пользователя
  • Заблокировано политикой организации
  • Заблокировано политикой пользователя
  • Нет
Основной источник переопределения Сообщения могут иметь несколько переопределений разрешения или блокировки, как указано в источнике переопределения. Переопределение, которое в конечном итоге разрешило или заблокировало сообщение, идентифицируется в источнике первичного переопределения.
Выберите одно или несколько значений:
  • Сторонний фильтр
  • Перемещение во времени, инициированное администратором (ZAP)
  • Блок политики защиты от вредоносных программ по типу файла
  • Параметры политики защиты от нежелательнойam
  • Политика подключения
  • Правило потока обработки почты Exchange
  • Монопольный режим (пользовательское переопределение)
  • Фильтрация пропущена из-за локальной организации
  • Фильтр регионов по IP-адресам из политики
  • Языковой фильтр из политики
  • Моделирование фишинга
  • Выход из карантина
  • Почтовый ящик SecOps
  • Список адресов отправителей (переопределение администратором)
  • Список адресов отправителя (пользовательское переопределение)
  • Список доменов отправителей (переопределение администратором)
  • Список доменов отправителя (пользовательское переопределение)
  • Блок файлов списка разрешенных и заблокированных клиентов
  • Блокировка адреса электронной почты отправителя в списке разрешенных и заблокированных адресов организации
  • Подделаный блок списка разрешений и блокировок клиента
  • Блок URL-адресов списка разрешенных и заблокированных клиентов
  • Список доверенных контактов (пользовательское переопределение)
  • Доверенный домен (пользовательское переопределение)
  • Доверенный получатель (пользовательское переопределение)
  • Только доверенные отправители (пользовательское переопределение)
Переопределить источник Те же значения, что и источник первичного переопределения
Тип политики Выберите одно или несколько значений:
  • Политика защиты от вредоносных программ
  • Политика защиты от фишинга
  • Правило потока обработки почты Exchange (правило потока обработки почты), Политика фильтрации размещенного содержимого (политика защиты от нежелательной почты), Политика фильтрации исходящего спама (политика исходящего спама), Политика безопасных вложений
  • Unknown
Действие политики Выберите одно или несколько значений:
  • Добавить X-заголовок
  • Сообщение со скрытой копией
  • Удалить сообщение
  • Изменение темы
  • Переместить в папку "Нежелательная почта"
  • Никаких действий не было предпринят
  • Сообщение перенаправления
  • Отправка в карантин
Размер электронного письма Целое число. Разделите несколько значений запятыми.
Расширенные
Идентификатор сообщения Интернета Текст. Разделите несколько значений запятыми.

Доступно в поле заголовка Message-ID в заголовке сообщения. Пример значения: <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (обратите внимание на угловые скобки).
Идентификатор сетевого сообщения Текст. Разделите несколько значений запятыми.

Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.
IP-адрес отправителя Текст. Разделите несколько значений запятыми.
Вложение SHA256 Текст. Разделите несколько значений запятыми.
Идентификатор кластера Текст. Разделите несколько значений запятыми.
Идентификатор оповещения Текст. Разделите несколько значений запятыми.
Идентификатор политики оповещений Текст. Разделите несколько значений запятыми.
Идентификатор кампании Текст. Разделите несколько значений запятыми.
Сигнал URL-адреса ZAP Текст. Разделите несколько значений запятыми.
Urls
Число URL-адресов Целое число. Разделите несколько значений запятыми.
Домен URL-адреса Текст. Разделите несколько значений запятыми.
Домен и путь URL-адреса Текст. Разделите несколько значений запятыми.
URL-адрес Текст. Разделите несколько значений запятыми.
URL-путь Текст. Разделите несколько значений запятыми.
Источник URL-адреса Выберите одно или несколько значений:
  • Вложения
  • Облачное вложение
  • Текст письма
  • заголовок Email
  • QR-код
  • Тема
  • Unknown
Щелкните вердикт Выберите одно или несколько значений:
  • Разрешено
  • Блок переопределен
  • Заблокировано
  • Ошибка
  • Сбой
  • Нет
  • Ожидается вердикт
  • Ожидающий вердикт пропущен
Угроза URL Выберите одно или несколько значений:
  • Вредоносная программа
  • Фишинг
  • Спам
Файл
Количество вложений Целое число. Разделите несколько значений запятыми.
Имя файла вложения Текст. Разделите несколько значений запятыми.
Тип файла Текст. Разделите несколько значений запятыми.
Расширение файла Текст. Разделите несколько значений запятыми.
Размер файла Целое число. Разделите несколько значений запятыми.
Проверка подлинности
SPF Выберите одно или несколько значений:
  • Сбой
  • Нейтральный
  • Нет
  • Пройти
  • Постоянная ошибка
  • Мягкий сбой
  • Временная ошибка
DKIM Выберите одно или несколько значений:
  • Ошибка
  • Сбой
  • Ignore
  • Нет
  • Пройти
  • Test
  • Timeout
  • Unknown
DMARC Выберите одно или несколько значений:
  • Этап предварительной оценки
  • Сбой
  • Нет
  • Пройти
  • Постоянная ошибка
  • Прохождение селектора
  • Временная ошибка
  • Unknown
Композитный Выберите одно или несколько значений:
  • Сбой
  • Нет
  • Пройти
  • Мягкий проход

Точки перехода для диаграммы в представлении «Вредоносные программы» в обозревателе угроз и разделе «Обнаружения в режиме реального времени»

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводные диаграммы, доступные в представлении Malware в Обозревателе угроз и в разделе обнаружения в режиме реального времени, перечислены в следующей таблице:

Сводная таблица Угрозы
Обозреватель
В режиме реального времени
Обнаружения
Семейство вредоносных программ
Домен отправителя
IP-адрес отправителя
Действие по доставке
Классификация угроз
Технология обнаружения

Доступные опорные точки диаграммы описаны в следующих подразделах.

Сводка по диаграмме семейств вредоносных программ в представлении «Вредоносные программы» в Обозревателе угроз

Хотя по умолчанию этот параметр группировки не выглядит выбранным, Семейство вредоносных программ является параметром группировки диаграммы по умолчанию в представлении Вредоносные программы в Обозревателе угроз.

Сводка семейства вредоносных программ упорядочивает диаграмму по семейству вредоносных программ, обнаруженных в сообщениях, для указанного диапазона даты и времени и фильтров свойств.

Снимок экрана диаграммы в представлении «Вредоносные программы» в Threat Explorer с использованием сводки по семейству вредоносных программ.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого семейства вредоносных программ.

Сводка по доменам отправителей в представлении «Вредоносные программы» в Обозревателе угроз

Группировка по домену отправителя упорядочивает диаграмму по домену отправителя сообщений, в которых было обнаружено вредоносное ПО, для указанного диапазона даты и времени и фильтров свойств.

Снимок экрана диаграммы в представлении «Вредоносные программы» в Обозревателе угроз с использованием сводки по домену отправителя.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена отправителя.

Сводная таблица для диаграммы IP-адресов отправителей в представлении «Вредоносные программы» в Обозревателе угроз

Сводка IP-адресов отправителя упорядочивает диаграмму по исходному IP-адресу сообщений, содержащих вредоносные программы для указанного диапазона даты и времени и фильтров свойств.

Снимок экрана диаграммы в представлении

При наведении указателя мыши на точку данных на диаграмме отображается число для каждого исходного IP-адреса.

Сводка по действиям доставки в представлении «Вредоносные программы» в Threat Explorer и в разделе «Обнаружения в режиме реального времени»

Хотя по умолчанию этот срез не выглядит выбранным, действие доставки используется как срез диаграммы по умолчанию в представлении Вредоносные программы в разделе обнаружений в реальном времени.

Сводка по Действию доставки группирует диаграмму по тому, что произошло с сообщениями, в которых было обнаружено вредоносное ПО, за указанный диапазон даты и времени и с учётом фильтров по свойствам.

Снимок экрана диаграммы в представлении

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого действия доставки.

Сводная диаграмма классификации угроз в представлении «Вредоносное ПО» в Обозревателе угроз и разделе «Обнаружения в режиме реального времени»

Опорный элемент Классификация угроз упорядочивает диаграмму по классифицированным угрозам. Дополнительные сведения см. в разделе Классификация угроз в Microsoft Defender для Office 365.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой классификации.

Сводка по технологиям обнаружения в представлении «Вредоносные программы» в Обозревателе угроз и в обнаружениях в реальном времени

Раздел Технология обнаружения упорядочивает диаграмму по функции, которая обнаружила вредоносное ПО в сообщениях за указанный диапазон даты и времени и с учетом фильтров свойств.

Снимок экрана диаграммы в представлении «Вредоносные программы» в Threat Explorer с использованием среза «Технология обнаружения».

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Представления области сведений для представления "Вредоносные программы" в Обозревателе угроз и в разделе "Обнаружения в режиме реального времени"

Доступные представления (вкладки) в области сведений представления "Вредоносные программы " перечислены в следующей таблице и описаны в следующих подразделах.

Вид Угрозы
Обозреватель
В режиме реального времени
Обнаружения
Электронная почта
Основные семейства вредоносных программ
Основные целевые пользователи
источник Email
Кампания

Представление электронной почты для области сведений в представлении «Вредоносные программы» в Обозревателе угроз и разделе «Обнаружение в режиме реального времени»

Электронная почта используется по умолчанию в качестве представления для области сведений в представлении Вредоносные программы в Threat Explorer и разделе «Обнаружения в реальном времени».

В представлении Email показана таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы.

В следующей таблице показаны столбцы, доступные в обозревателе угроз и обнаружениях в режиме реального времени. Значения по умолчанию помечаются звездочкой (*).

Столбец Угрозы
Обозреватель
В режиме реального времени
Обнаружения
Дата*
Тема*
Получатель*
домен получателя;
Теги*
Адрес отправителя*
Отображаемое имя отправителя
Домен отправителя*
IP-адрес отправителя
Адрес электронной почты отправителя
Отправитель почты из домена
Дополнительные действия*
Действие по доставке
Последнее расположение доставки*
Исходное расположение доставки*
Система переопределяет источник
Системные переопределения
Идентификатор оповещения
Идентификатор сообщения в Интернете
Идентификатор сетевого сообщения
Язык почты
Правило потока обработки почты Exchange
Соединитель
Context
Правило защиты от потери данных
Тип угрозы*
Технология обнаружения
Классификация угроз
Количество вложений
Число URL-адресов
Размер электронной почты

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сузьте ширину соответствующих столбцов.
  • Удалите столбцы из представления.
  • Уменьшите масштаб в браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

Когда вы выбираете одну или несколько записей из списка, установив флажок рядом с первым столбцом, становится доступно Предпринять действие. Дополнительные сведения см. в разделе Поиск угроз: устранение сообщений электронной почты.

Снимок экрана вкладки «Электронная почта» в таблице сведений с выбранным сообщением и активной командой «Принять меры».

При выборе значений Тема или Получатель в записи открываются всплывающие элементы сведений. Эти всплывающие окна описаны в следующих подразделах.

Сведения об электронном письме из представления «Электронная почта» в области сведений в представлении «Вредоносное ПО»

При выборе значения Subject для записи в таблице откроется всплывающее окно сведений о сообщении электронной почты. Эта всплывающая панель сведений называется панелью сводки по электронному письму и содержит стандартизированную сводную информацию, которая также доступна на странице сущности электронного письма для этого сообщения.

Дополнительные сведения о панели сводки Email см. в разделе Панели сводки Email.

Доступные действия в верхней части панели сводки электронной почты для Обозревателя угроз и Обнаружения в режиме реального времени описаны в разделе «Сведения об электронной почте» в представлении Email области сведений в представлении «Все сообщения электронной почты».

Сведения о получателе из представления «Электронная почта» в области сведений в представлении «Вредоносные программы»

Когда вы выбираете запись, щёлкнув значение Получатель, открывается всплывающая панель сведений. Сведения во всплывающем окне соответствуют описанию, приведенному в разделе Сведения о получателе в представлении "Электронная почта" области сведений в представлении "Все сообщения электронной почты".

Представление «Наиболее распространённые семейства вредоносных программ» для области сведений в представлении «Вредоносные программы» в Threat Explorer

В представлении Основные семейства вредоносных программ в области сведений данные упорядочиваются в таблицу основных семейств вредоносных программ. В таблице представлены следующие компоненты:

  • Столбец "Основные семейства вредоносных программ": имя семейства вредоносных программ.

    Если выбрать имя семейства вредоносных программ, откроется всплывающее окно сведений, содержащее следующие сведения:

    • Email разделе: таблица, содержащая следующие связанные сведения для сообщений, содержащих файл вредоносной программы:

      • Date
      • Тема
      • Получатель

      Выберите Просмотреть все сообщения электронной почты, чтобы открыть Обозреватель угрозы на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

    • Раздел технических сведений

    Снимок экрана всплывающей панели сведений после выбора семейства вредоносных программ на вкладке «Основные семейства вредоносных программ» в области сведений в представлении «Вредоносные программы» в Threat Explorer.

  • Количество попыток. Если выбрать количество попыток, Обозреватель угроза откроется на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

Представление наиболее часто атакуемых пользователей для области сведений в представлении "Вредоносные программы" в Threat Explorer

В представлении Основные целевые пользователи данные упорядочиваются в таблицу пяти основных получателей, на которых нацелились вредоносные программы. В таблице представлены следующие компоненты:

Совет

Используйте Экспорт, чтобы экспортировать список из не более чем 3000 пользователей и соответствующие попытки.

Представление источника электронного письма для области сведений в представлении «Вредоносные программы» в Обозревателе угроз

В представлении источника Email отображаются источники сообщений на карте мира.

Представление "Кампания" для области сведений в представлении "Вредоносные программы" в Обозревателе угроз

Представление Campaign показывает таблицу сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца.

Таблица сведений идентична таблице сведений на странице Кампании.

Если выбрать запись, щелкнув в любом месте строки, кроме флажка рядом с Имя, откроется всплывающая панель со сведениями. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о кампании.

Представление "Фишинг" в обозревателе угроз и обнаружения в режиме реального времени

Представление Фишинг в Обозревателе угроз и разделе «Обнаружения в режиме реального времени» показывает сведения об сообщениях электронной почты, которые были определены как фишинговые.

Чтобы открыть представление Phish, выполните одно из следующих действий:

  • Обозреватель угроз: на странице Обозреватель на портале Defender по адресу https://security.microsoft.comперейдите в раздел Email & collaboration>Обозреватель>и откройте вкладку Фишинг. Или сразу перейдите на страницу Обозреватель с помощью https://security.microsoft.com/threatexplorerv3и затем выберите вкладку Фишинг.
  • Обнаружения в режиме реального времени: На странице Обнаружения в режиме реального времени на портале Defender по адресу https://security.microsoft.comперейдите на вкладку Email & collaboration>Explorer>Фишинг. Или перейдите непосредственно на страницу Обнаружения в режиме реального времени с помощью https://security.microsoft.com/realtimereportsv3, а затем выберите вкладку Фишинг.

Снимок экрана с представлением Phish в Обозревателе угроз, показывающий диаграмму, доступные для нее переходы и представления таблицы сведений.

Фильтруемые свойства в представлении «Фишинг» в Обозревателе угроз и в обнаружениях в режиме реального времени

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в Обозреватель угроз и обнаружение в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле Адрес отправителя в представлении Вредоносные программы , описаны в следующей таблице:

Свойство Тип Угрозы
Обозреватель
В режиме реального времени
Обнаружения
Базовый
Адрес отправителя Текст. Разделите несколько значений запятыми.
Получатели Текст. Разделите несколько значений запятыми.
домен отправителя; Текст. Разделите несколько значений запятыми.
домен получателя; Текст. Разделите несколько значений запятыми.
Тема Текст. Разделите несколько значений запятыми.
Отображаемое имя отправителя Текст. Разделите несколько значений запятыми.
Отправитель почты с адреса Текст. Разделите несколько значений запятыми.
Отправитель почты из домена Текст. Разделите несколько значений запятыми.
Путь к возврату Текст. Разделите несколько значений запятыми.
Домен возвращаемого пути Текст. Разделите несколько значений запятыми.
Теги Текст. Разделите несколько значений запятыми.

Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Поддельный домен Текст. Разделите несколько значений запятыми.
Олицетворенный пользователь Текст. Разделите несколько значений запятыми.
Правило потока обработки почты Exchange Текст. Разделите несколько значений запятыми.
Правило защиты от потери данных Текст. Разделите несколько значений запятыми.
Контекст Выберите одно или несколько значений:
  • Evaluation
  • Защита учетных записей с приоритетом
Разъём Текст (имя соединителя). Разделите несколько значений запятыми.
Действие доставки Выберите одно или несколько значений:
Дополнительное действие Выберите одно или несколько значений:
  • Автоматическое исправление
  • Динамическая доставка
  • Исправление вручную
  • Нет
  • Выход из карантина
  • Повторно обработано
  • ZAP
Направление Выберите одно или несколько значений:
  • Входящие
  • Внутри организации
  • Исходящий
Технология обнаружения Выберите одно или несколько значений:
  • Расширенный фильтр
  • Защита от вредоносных программ
  • Массовая рассылка
  • Кампания
  • Репутация домена
  • Детонация файла
  • Репутация детонации файла
  • Репутация файла
  • Сопоставление отпечатков
  • Общий фильтр
  • Олицетворение фирменной символики
  • Домен для олицетворения
  • Олицетворение пользователя
  • Репутация IP-адресов
  • Анализ содержимого LLM
  • Бомбардировка почты
  • Олицетворение на основе аналитики почтовых ящиков
  • Обнаружение с помощью смешанного анализа
  • подделка DMARC
  • Подмена внешнего домена
  • Спуфинг внутри организации
  • Детонация URL-адресов
  • Репутация детонации URL-адресов
  • Репутация вредоносного URL-адреса
Классификация угроз Выберите одно или несколько значений:
  • Бизнес-аналитика
  • Создание контакта
  • Подарочный карта
  • Счет
  • Зарплата
  • < Сбор персональных данных/li>
  • Задача
Дополнительные сведения см. в разделе Классификация угроз в Microsoft Defender для Office 365.
Исходное расположение доставки Выберите одно или несколько значений:
  • папка "Удаленные элементы"
  • Упал
  • Сбой
  • Входящие/папка
  • Папка «Нежелательная почта»
  • Локальный/внешний
  • Карантин
  • Unknown
Последнее расположение доставки Те же значения, что и Исходное место доставки
Уровень достоверности фишинга Выберите одно или несколько значений:
  • Высокий
  • Normal
Основное переопределение Выберите одно или несколько значений:
  • Разрешено политикой организации
  • Разрешено политикой пользователя
  • Заблокировано политикой организации
  • Заблокировано политикой пользователя
  • Нет
Основной источник переопределения Сообщения могут иметь несколько переопределений разрешения или блокировки, как указано в источнике переопределения. Переопределение, которое в конечном итоге разрешило или заблокировало сообщение, идентифицируется в источнике первичного переопределения.
Выберите одно или несколько значений:
  • Сторонний фильтр
  • Перемещение во времени, инициированное администратором (ZAP)
  • Блок политики защиты от вредоносных программ по типу файла
  • Параметры политики защиты от нежелательнойam
  • Политика подключения
  • Правило потока обработки почты Exchange
  • Монопольный режим (пользовательское переопределение)
  • Фильтрация пропущена из-за локальной организации
  • Фильтр регионов по IP-адресам из политики
  • Языковой фильтр из политики
  • Моделирование фишинга
  • Выход из карантина
  • Почтовый ящик SecOps
  • Список адресов отправителей (переопределение администратором)
  • Список адресов отправителя (пользовательское переопределение)
  • Список доменов отправителей (переопределение администратором)
  • Список доменов отправителя (пользовательское переопределение)
  • Блок файлов списка разрешенных и заблокированных клиентов
  • Блокировка адреса электронной почты отправителя в списке разрешенных и заблокированных адресов организации
  • Подделаный блок списка разрешений и блокировок клиента
  • Блок URL-адресов списка разрешенных и заблокированных клиентов
  • Список доверенных контактов (пользовательское переопределение)
  • Доверенный домен (пользовательское переопределение)
  • Доверенный получатель (пользовательское переопределение)
  • Только доверенные отправители (пользовательское переопределение)
Переопределить источник Те же значения, что и источник первичного переопределения
Тип политики Выберите одно или несколько значений:
  • Политика защиты от вредоносных программ
  • Политика защиты от фишинга
  • Правило потока обработки почты Exchange (правило потока обработки почты), Политика фильтрации размещенного содержимого (политика защиты от нежелательной почты), Политика фильтрации исходящего спама (политика исходящего спама), Политика безопасных вложений
  • Unknown
Действие политики Выберите одно или несколько значений:
  • Добавить X-заголовок
  • Сообщение со скрытой копией
  • Удалить сообщение
  • Изменение темы
  • Переместить в папку "Нежелательная почта"
  • Никаких действий не было предпринят
  • Сообщение перенаправления
  • Отправка в карантин
Размер электронного письма Целое число. Разделите несколько значений запятыми.
Расширенные
Идентификатор сообщения Интернета Текст. Разделите несколько значений запятыми.

Доступно в поле заголовка Message-ID в заголовке сообщения. Пример значения: <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (обратите внимание на угловые скобки).
Идентификатор сетевого сообщения Текст. Разделите несколько значений запятыми.

Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.
IP-адрес отправителя Текст. Разделите несколько значений запятыми.
Вложение SHA256 Текст. Разделите несколько значений запятыми.
Идентификатор кластера Текст. Разделите несколько значений запятыми.
Идентификатор оповещения Текст. Разделите несколько значений запятыми.
Идентификатор политики оповещений Текст. Разделите несколько значений запятыми.
Идентификатор кампании Текст. Разделите несколько значений запятыми.
Сигнал URL-адреса ZAP Текст. Разделите несколько значений запятыми.
Urls
Число URL-адресов Целое число. Разделите несколько значений запятыми.
Домен URL-адреса Текст. Разделите несколько значений запятыми.
Домен и путь URL-адреса Текст. Разделите несколько значений запятыми.
URL-адрес Текст. Разделите несколько значений запятыми.
URL-путь Текст. Разделите несколько значений запятыми.
Источник URL-адреса Выберите одно или несколько значений:
  • Вложения
  • Облачное вложение
  • Текст письма
  • заголовок Email
  • QR-код
  • Тема
  • Unknown
Щелкните вердикт Выберите одно или несколько значений:
  • Разрешено
  • Блок переопределен
  • Заблокировано
  • Ошибка
  • Сбой
  • Нет
  • Ожидается вердикт
  • Ожидающий вердикт пропущен
Угроза URL Выберите одно или несколько значений:
  • Вредоносная программа
  • Фишинг
  • Спам
Файл
Количество вложений Целое число. Разделите несколько значений запятыми.
Имя файла вложения Текст. Разделите несколько значений запятыми.
Тип файла Текст. Разделите несколько значений запятыми.
Расширение файла Текст. Разделите несколько значений запятыми.
Размер файла Целое число. Разделите несколько значений запятыми.
Проверка подлинности
SPF Выберите одно или несколько значений:
  • Сбой
  • Нейтральный
  • Нет
  • Пройти
  • Постоянная ошибка
  • Мягкий сбой
  • Временная ошибка
DKIM Выберите одно или несколько значений:
  • Ошибка
  • Сбой
  • Ignore
  • Нет
  • Пройти
  • Test
  • Timeout
  • Unknown
DMARC Выберите одно или несколько значений:
  • Этап предварительной оценки
  • Сбой
  • Нет
  • Пройти
  • Постоянная ошибка
  • Прохождение селектора
  • Временная ошибка
  • Unknown
Композитный Выберите одно или несколько значений:
  • Сбой
  • Нет
  • Пройти
  • Мягкий проход

Опорные точки для диаграммы в представлении «Фишинг» в Обозревателе угроз и в разделе обнаружения в режиме реального времени

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводные данные диаграмм, доступные в представлении Phish в Threat Explorer и Real-time detections, перечислены в следующей таблице:

Сводная таблица Угрозы
Обозреватель
В режиме реального времени
Обнаружения
Домен отправителя
IP-адрес отправителя
Действие по доставке
Технология обнаружения
Классификация угроз
Полный URL-адрес
Домен URL-адреса
Домен и путь URL-адреса

Доступные опорные точки диаграммы описаны в следующих подразделах.

Сводка по домену отправителя в представлении «Фишинг» в Обозревателе угроз и в разделе «Обнаружения в реальном времени»

Хотя по умолчанию кажется, что это разбиение не выбрано, домен отправителя является разбиением диаграммы по умолчанию в представлении Phish в разделе «Обнаружения в реальном времени».

Срез Домен отправителя группирует данные на диаграмме по доменам, указанным в сообщениях, для указанного диапазона даты и времени и выбранных фильтров свойств.

Снимок экрана диаграммы в представлении

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого домена отправителя.

Сводная таблица диаграммы IP-адресов отправителей в представлении «Фишинг» в обозревателе угроз

Сводка IP-адресов отправителя упорядочивает диаграмму по исходным IP-адресам сообщений для указанного диапазона даты и времени и фильтров свойств.

Снимок экрана диаграммы в представлении

При наведении указателя мыши на точку данных на диаграмме отображается число для каждого исходного IP-адреса.

Сводная диаграмма действий при доставке в представлении «Фишинг» в Обозревателе угроз и обнаружениях в режиме реального времени

Хотя по умолчанию эта сводка не выглядит выбранной, Действие доставки является сводкой диаграммы по умолчанию в представлении Phish в Обозревателе угроз.

Срез Действие доставки группирует данные на диаграмме по действиям, выполненным над сообщениями в указанном диапазоне даты и времени и с учетом фильтров свойств.

Снимок экрана диаграммы в представлении Phish в Обозревателе угроз с использованием опорного элемента «Действие доставки».

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого действия доставки.

Сводная диаграмма технологий обнаружения в представлении «Фишинг» в Обозревателе угроз и разделе «Обнаружения в реальном времени»

Срез технологии обнаружения группирует данные на диаграмме по функции, с помощью которой были выявлены фишинговые сообщения, за указанный диапазон даты и времени и с учетом фильтров свойств.

Снимок диаграммы в представлении Phish в Обозревателе угроз с использованием среза

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Сводная диаграмма классификации угроз в представлении «Фишинг» в Обозревателе угроз и в обнаружениях в режиме реального времени

Опорный элемент Классификация угроз упорядочивает диаграмму по классифицированным угрозам. Дополнительные сведения см. в разделе Классификация угроз в Microsoft Defender для Office 365.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой классификации.

Полная сводка по диаграмме URL-адресов в представлении Phish в Обозревателе угроз

Сводка полных URL-адресов упорядочивает диаграмму по полным URL-адресам в фишинговых сообщениях для указанного диапазона даты и времени и фильтров свойств.

Снимок экрана диаграммы в представлении «Фишинг» в Обозревателе угроз с переходом по параметру «Полный URL-адрес».

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого полного URL-адреса.

Сводная диаграмма доменов URL в представлении «Фишинг» в Обозревателе угроз и в разделе «Обнаружения в режиме реального времени»

Срез доменов URL группирует данные на диаграмме по доменам в URL фишинговых сообщений, соответствующих указанному диапазону даты и времени и фильтрам свойств.

Снимок экрана графика в представлении

При наведении на точку данных на диаграмме отображается число для каждого домена URL.

Сводная диаграмма по домену и пути URL-адреса в представлении «Фишинг» в Обозревателе угроз

Сводная таблица домена URL-адреса и пути упорядочивает диаграмму по доменам и путям в URL-адресах в фишинговых сообщениях для указанного диапазона даты и времени и фильтров свойств.

Снимок экрана диаграммы в представлении Phish в Threat Explorer с использованием сведения по домену URL-адреса и пути.

При наведении указателя мыши на точку данных на диаграмме отображается счетчик для каждого домена URL-адреса и пути.

Представления для области сведений в представлении "Фишинг" в Обозревателе угроз

Доступные представления (вкладки) в области сведений представления Phish перечислены в следующей таблице и описаны в последующих подразделах.

Вид Угрозы
Обозреватель
В режиме реального времени
Обнаружения
Электронная почта
Переходы по URL-адресу
Основные URL-адреса
Топ кликов
Основные целевые пользователи
источник Email
Кампания

Представление электронной почты для области сведений в представлении "Фишинг" в Threat Explorer и обнаружениях в режиме реального времени

Электронная почта используется по умолчанию для области сведений в представлении Phish в Обозревателе угроз и разделе «Обнаружения в режиме реального времени».

В представлении Email показана таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы.

В следующей таблице показаны столбцы, доступные в обозревателе угроз и обнаружениях в режиме реального времени. Значения по умолчанию помечаются звездочкой (*).

Столбец Угрозы
Обозреватель
В режиме реального времени
Обнаружения
Дата*
Тема*
Получатель*
домен получателя;
Теги*
Адрес отправителя*
Отображаемое имя отправителя
Домен отправителя*
IP-адрес отправителя
Адрес электронной почты отправителя
Отправитель почты из домена
Дополнительные действия*
Действие по доставке
Последнее расположение доставки*
Исходное расположение доставки*
Система переопределяет источник
Системные переопределения
Идентификатор оповещения
Идентификатор сообщения в Интернете
Идентификатор сетевого сообщения
Язык почты
Правило обработки почты Exchange
Соединитель
Степень уверенности в том, что это фишинг
Context
Правило защиты от потери данных
Тип угрозы*
Технология обнаружения
Классификация угроз
Количество вложений
Число URL-адресов
размер электронной почты

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сузьте ширину соответствующих столбцов.
  • Удалите столбцы из представления.
  • Уменьшите масштаб в браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

Когда вы выбираете одну или несколько записей из списка, установив флажок рядом с первым столбцом, становится доступно Предпринять действие. Дополнительные сведения см. в разделе Поиск угроз: устранение сообщений электронной почты.

Снимок экрана вкладки «Электронная почта» в таблице сведений с выбранным сообщением и активной командой «Принять меры».

При выборе значений Тема или Получатель в записи открываются всплывающие элементы сведений. Эти всплывающие окна описаны в следующих подразделах.

Сведения об электронном письме из представления «Электронная почта» в области сведений представления «Фишинг»

При выборе значения Subject для записи в таблице откроется всплывающее окно сведений о сообщении электронной почты. Эта всплывающая панель сведений называется панелью сводки по электронному письму и содержит стандартизированную сводную информацию, которая также доступна на странице сущности электронного письма для этого сообщения.

Дополнительные сведения об информации на панели сводки электронной почты см. в разделе Панель сводки электронной почты в разделе «Возможности Defender для Office 365».

Доступные действия в верхней части панели сводки электронной почты для Обозревателя угроз и Обнаружения в режиме реального времени описаны в разделе «Сведения об электронной почте» в представлении Email области сведений в представлении «Все сообщения электронной почты».

Сведения о получателе из области сведений в представлении «Phish», вкладка «Email»

Когда вы выбираете запись, щёлкнув значение Получатель, открывается всплывающая панель сведений. Сведения во всплывающем окне соответствуют описанию, приведенному в разделе Сведения о получателе в представлении "Электронная почта" области сведений в представлении "Все сообщения электронной почты".

Представление щелчков по URL-адресам для области сведений в представлении фишинга в Обозревателе угроз и разделе «Обнаружения в режиме реального времени»

В представлении Клики по URL отображается график, который можно организовать с помощью сводных таблиц. Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Варианты детализации диаграммы, доступные в представлении Malware в Обозревателе угроз и в разделе «Обнаружения в режиме реального времени», описаны в следующей таблице:

Сводная таблица Угрозы
Обозреватель
В режиме реального времени
Обнаружения
Домен URL-адреса
Щелкните вердикт
URL-адрес
Домен и путь URL-адреса

Те же элементы детализации диаграммы доступны для представления Вся электронная почта и описаны в Обозревателе угроз:

Снимок экрана области сведений в представлении Phish в Threat Explorer с выбранной вкладкой

Совет

В Threat Explorer для каждого перехода в представлении Щелчки по URL-адресам доступно действие Просмотреть все щелчки, которое открывает представление щелчков по URL-адресам в Threat Explorer в новой вкладке. Это действие недоступно в Real-time detections, так как представление Щелчки по URL-адресам недоступно в Real-time detections.

Представление "Основные URL-адреса" для области сведений в представлении "Фишинг" в Обозревателе угроз и разделе "Обнаружения в режиме реального времени"

В представлении Верхние URL-адреса отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

  • URL-адрес
  • Сообщения заблокированы
  • Сообщения, помеченные как нежелательные
  • Доставленные сообщения
Сведения об основных URL-адресах в представлении Phish

Если выбрать запись, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель сведений. Сведения во всплывающем меню такие же, как описано в разделе Основные СВЕДЕНИЯ о URL-адресах для представления "Все сообщения электронной почты".

Совет

Действие Перейти к поиску доступно только в обозревателе угроз. Он недоступен в функциях обнаружения в режиме реального времени.

Представление основных щелчков в области сведений для представления «Фишинг» в Обозревателе угроз и обнаружениях в режиме реального времени

Представление Самые частые клики отображает таблицу с подробными сведениями. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

  • URL-адрес
  • Заблокировано
  • Разрешено
  • Блок переопределен
  • Ожидается вердикт
  • Ожидающий вердикт пропущен
  • Нет
  • Страница ошибки
  • Сбой

Совет

Выбраны все доступные столбцы. Если выбрать параметр Настроить столбцы, вы не сможете отменить выбор столбцов.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сузьте ширину соответствующих столбцов.
  • Уменьшите масштаб в браузере.

Если выбрать запись, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель сведений. Сведения во всплывающем меню такие же, как описано в разделе Основные СВЕДЕНИЯ о URL-адресах для представления "Все сообщения электронной почты".

Представление пользователей, наиболее часто становящихся целью атак, для области сведений в представлении "Фишинг" в Обозревателе угроз

В представлении "Основные целевые пользователи " данные упорядочиваются в таблицу пяти основных получателей, на которых были направлены попытки фишинга. В таблице представлены следующие компоненты:

Совет

Используйте Экспорт, чтобы экспортировать список из не более чем 3000 пользователей и соответствующие попытки.

Представление источника электронного письма для области сведений в представлении "Фишинг" в Обозревателе угроз

В представлении источника Email отображаются источники сообщений на карте мира.

Представление кампании для области сведений в представлении фишинга в Обозревателе угроз

Представление Campaign показывает таблицу сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца.

Сведения в таблице такие же, как описано в таблице подробных сведений на странице Кампании.

Если выбрать запись, щелкнув в любом месте строки, кроме флажка рядом с Имя, откроется всплывающая панель со сведениями. Сведения во всплывающем элементе совпадают с описанием в разделе Сведения о кампании.

Представление "Кампании" в Обозревателе угроз

В представлении «Кампании» в Обозревателе угроз отображаются сведения об угрозах, которые были идентифицированы как скоординированные фишинговые атаки и атаки с использованием вредоносных программ, направленные либо на вашу организацию, либо на другие организации в Microsoft 365.

Чтобы открыть представление Кампании на странице Обозреватель на портале Defender по адресу https://security.microsoft.com, перейдите на вкладку Email & collaboration>Обозреватель>Кампании. Или перейдите прямо на страницу Обозреватель с помощью https://security.microsoft.com/threatexplorerv3, а затем выберите вкладку Кампании.

Все доступные сведения и действия идентичны информации и действиям на странице Кампании по адресу https://security.microsoft.com/campaignsv3. Дополнительные сведения см. на странице Кампании на портале Microsoft Defender.

Снимок экрана представления

Представление вредоносного содержимого в Обозревателе угроз и обнаружения в режиме реального времени

В представлении Вредоносное содержимое в Обозревателе угроз и в разделе "Обнаружения в режиме реального времени" отображается информация о файлах, обработанных:

Чтобы открыть представление Содержимое вредоносных программ , выполните одно из следующих действий.

  • Threat Explorer: на странице Explorer на портале Defender по адресу https://security.microsoft.com перейдите: Email & collaboration>Explorer>Вредоносное содержимое. Или перейдите непосредственно на страницу Explorer по ссылке https://security.microsoft.com/threatexplorerv3, а затем выберите вкладку Вредоносное содержимое.
  • Обнаружения в режиме реального времени: На странице Обнаружения в режиме реального времени на портале Defender по адресу https://security.microsoft.comперейдите в раздел Электронная почта и совместная работа>Обозреватель>и откройте вкладку Вредоносное содержимое. Или перейдите непосредственно на страницу Обнаружения в режиме реального времени с помощью https://security.microsoft.com/realtimereportsv3, а затем выберите вкладку Вредоносное содержимое.

Снимок экрана представления вредоносного ПО Cotent в Обозревателе угроз, показывающий диаграмму, доступные варианты перехода для диаграммы и представления для таблицы сведений.

Фильтруемые свойства в представлении вредоносного содержимого в Обозревателе угроз и в разделе «Обнаружения в режиме реального времени»

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в Обозреватель угроз и обнаружение в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле Имя файла в представлении Содержимое вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени, описаны в следующей таблице:

Свойство Тип Угрозы
Обозреватель
В режиме реального времени
Обнаружения
Файл
Имя файла Текст. Разделите несколько значений запятыми.
Рабочая нагрузка Выберите одно или несколько значений:
  • OneDrive
  • SharePoint
  • Teams
Сайт Текст. Разделите несколько значений запятыми.
Владелец файла Текст. Разделите несколько значений запятыми.
Автор последнего изменения Текст. Разделите несколько значений запятыми.
SHA256 Целое число. Разделите несколько значений запятыми.

Чтобы найти хэш-значение SHA256 файла, выполните следующую команду в PowerShell: Get-FileHash -Path "<Path>\<Filename>" -Algorithm SHA256.
Семейство вредоносных программ Текст. Разделите несколько значений запятыми.
Технология обнаружения Выберите одно или несколько значений:
  • Расширенный фильтр
  • Защита от вредоносных программ
  • Массовая рассылка
  • Кампания
  • Репутация домена
  • Детонация файла
  • Репутация детонации файла
  • Репутация файла
  • Сопоставление отпечатков
  • Общий фильтр
  • Олицетворение фирменной символики
  • Домен для олицетворения
  • Олицетворение пользователя
  • Репутация IP-адресов
  • Анализ содержимого LLM
  • Бомбардировка почты
  • Олицетворение на основе аналитики почтовых ящиков
  • Обнаружение с помощью смешанного анализа
  • подделка DMARC
  • Подмена внешнего домена
  • Спуфинг внутри организации
  • Детонация URL-адресов
  • Репутация детонации URL-адресов
  • Репутация вредоносного URL-адреса
Тип угрозы Выберите одно или несколько значений:
  • Блокировка
  • Вредоносная программа
  • Фишинг
  • Спам

Сводные данные для диаграммы в представлении вредоносного содержимого в Обозревателе угроз и обнаружении в режиме реального времени

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Сводки диаграмм, доступные в представлении Содержимое вредоносных программ в Обозреватель угроз и обнаружения в режиме реального времени, перечислены в следующей таблице:

Сводная таблица Угрозы
Обозреватель
В режиме реального времени
Обнаружения
Семейство вредоносных программ
Технология обнаружения
Workload

Доступные опорные точки диаграммы описаны в следующих подразделах.

Сводка по семействам вредоносных программ в представлении «Вредоносное содержимое» в Threat Explorer и обнаружениях в режиме реального времени

Хотя этот срез не выглядит выбранным по умолчанию, семейство вредоносных программ является срезом диаграммы по умолчанию в представлении Вредоносное содержимое в обозревателе угроз и разделе обнаружений в режиме реального времени.

Сводка семейства вредоносных программ упорядочивает диаграмму по вредоносным программам, обнаруженным в файлах в SharePoint, OneDrive и Microsoft Teams, используя указанный диапазон даты и времени и фильтры свойств.

Снимок экрана диаграммы в представлении

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждого семейства вредоносных программ.

Сводная диаграмма технологии обнаружения в представлении вредоносного содержимого в обозревателе угроз и в разделе «Обнаружения в режиме реального времени»

Сегмент Технология обнаружения группирует диаграмму по функции, которая обнаружила вредоносное ПО в файлах в SharePoint, OneDrive и Microsoft Teams за указанный диапазон даты и времени и с учетом фильтров свойств.

Снимок экрана диаграммы в представлении вредоносного содержимого в Threat Explorer с использованием сводки по технологии обнаружения.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Сводная диаграмма по рабочим нагрузкам в представлении вредоносного содержимого в Обозревателе угроз и разделе «Обнаружения в режиме реального времени»

Сводка рабочей нагрузки упорядочивает диаграмму по месту обнаружения вредоносной программы (SharePoint, OneDrive или Microsoft Teams) для указанного диапазона даты и времени и фильтров свойств.

Снимок экрана диаграммы в представлении «Вредоносные программы» в Обозревателе угроз с использованием параметра «Рабочая нагрузка».

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой рабочей нагрузки.

Представления для области сведений в представлении вредоносного содержимого в Обозревателе угроз и разделе "Обнаружения в режиме реального времени"

В Threat Explorer и Real-time detections область сведений в представлении Вредоносное содержимое содержит только одну вкладку с именем Документы. Это представление описано в следующем подразделе.

Представление документа для области сведений в представлении вредоносного содержимого в Обозревателе угроз и разделе «Обнаружения в режиме реального времени»

Документ является представлением по умолчанию и только для области сведений в представлении Содержимое вредоносных программ .

В представлении "Документ" отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):

  • Дата*
  • Имя*
  • Рабочей нагрузки*
  • Угрозу*
  • Технология обнаружения*
  • Последнее изменение пользователя*
  • Владелец файла*
  • Размер (байт)*
  • Время последнего изменения
  • Путь к сайту
  • Путь к файлу
  • Идентификатор документа
  • SHA256
  • Дата обнаружения
  • Семейство вредоносных программ
  • Context

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сузьте ширину соответствующих столбцов.
  • Удалите столбцы из представления.
  • Уменьшите масштаб в браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

При выборе значения имени файла в столбце Имя откроется всплывающее окно сведений. Всплывающее окно содержит следующие сведения:

  • Раздел сводки :

    • Filename
    • Путь к сайту
    • Путь к файлу
    • Идентификатор документа
    • SHA256
    • Дата последнего изменения
    • Автор последнего изменения
    • Угроза
    • Технология обнаружения
  • Раздел сведений :

    • Дата обнаружения
    • Обнаружено
    • Имя вредоносной программы
    • Автор последнего изменения
    • Размер файла
    • Владелец файла
  • Раздел «Список электронной почты»: таблица, содержащая следующую связанную информацию для сообщений, содержащих вредоносный файл.

    • Date
    • Тема
    • Получатель

    Выберите Просмотреть все сообщения электронной почты, чтобы открыть Обозреватель угрозы на новой вкладке, отфильтрованной по имени семейства вредоносных программ.

  • Последние действия: отображаются сводные результаты поиска получателя в журнале аудита :

    • Date
    • IP-адрес.
    • Действия
    • Элемент

    Если у получателя более трех записей журнала аудита, выберите Просмотреть все последние действия , чтобы просмотреть все из них.

    Совет

    Члены группы ролей Администраторы безопасности в разделе Разрешения для электронной почты и совместной работы не могут развернуть раздел Недавние действия. Вы должны быть участником группы ролей в разделе Разрешения Exchange Online, которой назначена роль Журналы аудита, Аналитик Information Protection или Специалист по расследованию Information Protection. По умолчанию эти роли назначаются группам ролей Управление записями, Управление соответствием требованиям, Information Protection, Аналитики Information Protection, Information Protection Следователи и Управление организацией. В эти группы ролей можно добавить членов администраторов безопасности или создать новую группу ролей с назначенной ролью Журналы аудита .

Снимок экрана всплывающей панели сведений в представлении «Документ» для области сведений представления вредоносного содержимого в Обозревателе угроз и обнаружениях в режиме реального времени.

Представление переходов по URL-адресам в Обозревателе угроз

Представление Переходы по URL-адресам в Обозревателе угроз показывает все переходы пользователей по URL-адресам в сообщениях электронной почты, в поддерживаемых файлах Office в SharePoint и OneDrive, а также в Microsoft Teams.

Чтобы открыть представление URL clicks на странице Explorer в портале Defender по адресу https://security.microsoft.com, перейдите в раздел Email & collaboration>Explorer> и выберите вкладку URL clicks. Или сразу перейдите на страницу Explorer с помощью https://security.microsoft.com/threatexplorerv3 и затем выберите вкладку URL clicks.

Снимок экрана представления щелчков по URL-адресам в Обозревателе угроз, показывающий диаграмму, доступные точки перехода для диаграммы и представления таблицы сведений.

Свойства, доступные для фильтрации в представлении переходов по URL-адресам в Обозревателе угроз

По умолчанию к данным не применяются фильтры свойств. Действия по созданию фильтров (запросов) описаны в разделе Фильтры в Обозреватель угроз и обнаружение в режиме реального времени далее в этой статье.

Фильтруемые свойства, доступные в поле Получатели в представлении «Переходы по URL-адресам» в Обозревателе угроз, описаны в следующей таблице:

Свойство Тип
Базовый
Получатели Текст. Разделите несколько значений запятыми.
Теги Текст. Разделите несколько значений запятыми.

Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Идентификатор сетевого сообщения Текст. Разделите несколько значений запятыми.

Значение GUID, доступное в поле заголовка X-MS-Exchange-Organization-Network-Message-Id в заголовке сообщения.
URL-адрес Текст. Разделите несколько значений запятыми.
Действие по щелчку Выберите одно или несколько значений:
  • Разрешено
  • Страница блокировки
  • Переопределение страницы блокировки
  • Страница ошибки
  • Сбой
  • Нет
  • Страница ожидания детонации
  • Переопределение страницы ожидания детонации
Тип угрозы Выберите одно или несколько значений:
  • Разрешить
  • Блокировка
  • Вредоносная программа
  • Фишинг
  • Спам
Технология обнаружения Выберите одно или несколько значений:
  • Детонация URL-адресов
  • Репутация детонации URL-адресов
  • Репутация вредоносного URL-адреса
Щелкните Идентификатор Текст. Разделите несколько значений запятыми.
IP-адрес клиента Текст. Разделите несколько значений запятыми.

Сводные данные для диаграммы в представлении переходов URL-адреса в Обозреватель угрозы

Диаграмма имеет представление по умолчанию, но вы можете выбрать значение в разделе Выбор сводки для гистограммы , чтобы изменить порядок упорядочения и отображения отфильтрованных или нефильтрованных данных диаграммы.

Доступные опорные точки диаграммы описаны в следующих подразделах.

Сводная таблица по доменам URL-адресов в представлении переходов по URL-адресам в Обозревателе угроз

Хотя этот срез не выглядит выбранным по умолчанию, домен URL-адреса является срезом диаграммы по умолчанию в представлении «Клики по URL-адресам».

Срез по доменам URL-адресов группирует данные на диаграмме по доменам URL-адресов, по которым пользователи щелкали в сообщениях электронной почты, файлах Office или Microsoft Teams, за указанный диапазон даты и времени и с учетом фильтров по свойствам.

Снимок экрана диаграммы в представлении щелчков по URL-адресам в Обозревателе угроз с использованием перехода к домену URL-адреса.

При наведении на точку данных на диаграмме отображается число для каждого домена URL.

Диаграмма рабочей нагрузки в представлении переходов по URL-адресам в Обозревателе угроз

Сводная рабочая нагрузка упорядочивает диаграмму по расположению выбранного URL-адреса (электронная почта, файлы Office или Microsoft Teams) для указанного диапазона даты и времени и фильтров свойств.

Снимок экрана диаграммы в представлении щелчков по URL-адресам в Обозревателе угроз с использованием сводки «Рабочая нагрузка».

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой рабочей нагрузки.

Сводная диаграмма технологий обнаружения в представлении переходов по URL-адресам в Обозревателе угроз

Срез технологии обнаружения группирует диаграмму по функции, которая выявила переходы по URL-ссылкам в электронной почте, файлах Office или Microsoft Teams за указанный диапазон даты и времени и с учетом фильтров по свойствам.

Снимок экрана: диаграмма в представлении переходов по URL-адресу в Обозреватель угроз с использованием сводки технологии обнаружения.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии обнаружения.

Сводная диаграмма по типам угроз в представлении переходов по URL-адресам в Обозревателе угроз

Срез Тип угрозы группирует данные на диаграмме по результатам для URL-адресов, по которым щелкнули в сообщениях электронной почты, файлах Office или Microsoft Teams, за указанный диапазон даты и времени и с учетом фильтров свойств.

Снимок экрана диаграммы в представлении щелчков по URL-адресам в Обозревателе угроз с использованием сводки по типу угрозы.

При наведении указателя мыши на точку данных на диаграмме отображается количество для каждой технологии типа угроз.

Представления для области сведений в представлении переходов по URL-адресам в Обозревателе угроз

Доступные представления (вкладки) в области сведений для представления переходов по URL-адресам описаны в следующих подразделах.

Представление результатов для области сведений представления переходов по URL-адресам в Обозревателе угроз

Результаты используются по умолчанию в области сведений в представлении Клики по URL-адресам.

В представлении Результаты отображается таблица сведений. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбраны все столбцы:

  • Время нажатия
  • Получатель
  • Действие щелчка URL-адреса
  • URL-адрес
  • Tags
  • Идентификатор сетевого сообщения
  • Идентификатор клика
  • IP-адрес клиента
  • Цепочка URL-адресов
  • Тип угрозы
  • Технология обнаружения

Совет

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сузьте ширину соответствующих столбцов.
  • Удалите столбцы из представления.
  • Уменьшите масштаб в браузере.

Настраиваемые параметры столбцов сохраняются для каждого пользователя. Настраиваемые параметры столбцов в режиме просмотра инкогнито или InPrivate сохраняются до закрытия веб-браузера.

Выберите одну или несколько записей, установив флажок рядом с первым столбцом в строке, а затем выберите Просмотреть все сообщения электронной почты, чтобы открыть Обозреватель угроз в представлении Все сообщения электронной почты в новой вкладке с фильтрацией по значениям Идентификатор сетевого сообщения для выбранных сообщений.

Представление наиболее популярных переходов по URL-адресам для области сведений в представлении переходов по URL-адресам в Threat Explorer

Представление Самые частые клики отображает таблицу с подробными сведениями. Вы можете отсортировать записи, щелкнув доступный заголовок столбца:

  • URL-адрес
  • Заблокировано
  • Разрешено
  • Блок переопределен
  • Ожидается вердикт
  • Ожидающий вердикт пропущен
  • Нет
  • Страница ошибки
  • Сбой

Совет

Выбраны все доступные столбцы. Если выбрать параметр Настроить столбцы, вы не сможете отменить выбор столбцов.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сузьте ширину соответствующих столбцов.
  • Уменьшите масштаб в браузере.

Выберите запись, установив флажок рядом с первым столбцом в строке, а затем выберите Просмотреть все переходы, чтобы открыть Обозреватель угроз на новой вкладке в представлении «Переходы по URL».

Если выбрать запись, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель сведений. Сведения во всплывающем меню такие же, как описано в разделе Основные СВЕДЕНИЯ о URL-адресах для представления "Все сообщения электронной почты".

Представление наиболее часто атакуемых пользователей для области подробностей в представлении переходов по URL-адресам в Обозревателе угроз

В представлении Топ целевых пользователей данные упорядочиваются в таблицу пяти основных получателей, щелкнувших URL-адреса. В таблице представлены следующие компоненты:

Совет

Используйте Экспорт, чтобы экспортировать список из не более чем 3000 пользователей и соответствующие попытки.

Фильтры свойств в обозревателе угроз и в обнаружениях в режиме реального времени

Базовый синтаксис фильтра свойств или запроса:

Условие = <Свойство фильтра><Оператор фильтра><Значение свойства или значения>

В нескольких условиях используется следующий синтаксис:

<Условие1><И | ИЛИ><Условие2><И | ИЛИ><Условие3>... <И | ИЛИ><УсловиеN>

Совет

Поиск с подстановочными знаками (*** или ?) не поддерживается в текстовых или целых значениях. Свойство Subject использует частичное сопоставление текста и выдает результаты, аналогичные поиску с подстановочными знаками.

Шаги для создания условий фильтрации по свойствам или условий запроса одинаковы во всех представлениях в Обозревателе угроз и обнаружении в режиме реального времени:

  1. Определите свойство фильтра с помощью таблиц в разделах описания представления предварительного просмотра ранее в этой статье.

  2. Выберите доступный оператор фильтра. Доступные операторы фильтра зависят от типа свойства, как описано в следующей таблице:

    Оператор фильтра Тип свойства
    Равно любому из Текст
    Целое число
    Дискретные значения
    Не равно ни одному из Текст
    Дискретные значения
    Больше Целое число
    Менее Целое число
  3. Введите или выберите одно или несколько значений свойств. Для текстовых значений и целых чисел можно ввести несколько значений, разделенных запятыми.

    Несколько значений в значении свойства используют логический оператор OR. Например, Адрес отправителя>равен любому из следующих значений>bob@fabrikam.com,cindy@fabrikam.com означает Адрес отправителя>равен любому из следующих значений>bob@fabrikam.com ИЛИ cindy@fabrikam.com.

    После ввода или выбора одного или нескольких значений свойства под полями настройки фильтра отображается сформированное условие фильтра.

    Совет

    Для свойств, для которых требуется выбрать одно или несколько доступных значений, использование свойства в условии фильтра со всеми выбранными значениями приводит к тому же результату, что и не использование свойства в условии фильтра.

  4. Чтобы добавить еще одно условие, повторите предыдущие три шага.

    Условия под полями создания фильтра разделяются логическим оператором, выбранным во время создания второго или последующих условий. Значение по умолчанию — AND, но также можно выбрать ИЛИ.

    Один и тот же логический оператор используется для всех условий: все они И или ВСЕ ИЛИ. Чтобы изменить существующие логические операторы, выберите поле логический оператор, а затем выберите И или ИЛИ.

    Чтобы изменить существующее условие, дважды щелкните его, чтобы вернуть выбранное свойство, оператор фильтра и значения в соответствующие поля.

    Чтобы удалить существующее условие, на условии выберите .

  5. Чтобы применить фильтр к диаграмме и таблице сведений, выберите Обновить.

    Снимок экрана: пример запроса в Обозреватель угроз или обнаружения в режиме реального времени с несколькими условиями.

Сохраненные запросы в Обозреватель угроз

Совет

Запрос на сохранение является частью средств отслеживания угроз и недоступен при обнаружении в режиме реального времени. Сохраненные запросы и средства отслеживания угроз доступны только в Defender для Office 365 плана 2.

Запрос на сохранение недоступен в представлении Содержимое вредоносных программ.

В большинстве представлений в Обозревателе угроз можно сохранять фильтры (запросы) для дальнейшего использования. Сохраненные запросы доступны на странице Средства отслеживания угроз на портале Defender по адресу https://security.microsoft.com/threattrackerv2. Дополнительные сведения о средствах отслеживания угроз см. в разделе Средства отслеживания угроз в Microsoft Defender для Office 365 план 2.

Чтобы сохранить запросы в Обозреватель угроз, сделайте следующее:

  1. После создания фильтра или запроса, как описано ранее, выберите Сохранить запрос>Сохранить запрос Сохранить запрос.

  2. Во всплывающем окне Сохранить запрос настройте следующие параметры:

    • Имя запроса. Введите уникальное имя запроса.
    • Выберите один из приведенных ниже вариантов.
      • Точные даты. Выберите дату начала и дату окончания в полях. Самая старая дата начала, которую вы можете выбрать, составляет 30 дней до сегодняшнего дня. Самая новая дата окончания, которую можно выбрать, — сегодня.
      • Относительные даты: Выберите количество дней в поле Показывать последние nn дней при выполнении поиска. Значение по умолчанию — 7, но можно выбрать от 1 до 30.
    • Запрос отслеживания. По умолчанию этот параметр не выбран. Этот параметр влияет на то, выполняется ли запрос автоматически:
      • Отслеживать запрос не выбрано: запрос доступен для выполнения вручную в Обозревателе угроз. Запрос сохраняется на вкладке Сохраненные запросы на странице Средства отслеживания угроз со значением свойства Отслеживаемый запросNo.
      • Выбранный запрос отслеживания . Запрос периодически выполняется в фоновом режиме. Запрос доступен на вкладке Сохраненные запросы на странице Средства отслеживания угроз со значением свойства Отслеживаемый запросДа. Периодические результаты запроса отображаются на вкладке Отслеживаемые запросы на странице Средства отслеживания угроз .

    По завершении во всплывающем окне Сохранить запрос нажмите кнопку Сохранить, а затем нажмите кнопку ОК в диалоговом окне подтверждения.

Снимок экрана всплывающей панели «Сохранить запрос» в обозревателе угроз на портале Defender.

На вкладках Сохраненный запрос или Отслеживаемый запрос на странице Средство отслеживания угроз на портале Defender по адресу https://security.microsoft.com/threattrackerv2можно выбрать Обзор в столбце Действия, чтобы открыть и использовать запрос в Обозреватель угроз.

Когда вы открываете запрос, выбрав Обзор на странице Отслеживание угроз, Сохранить запрос как и Параметры сохраненного запроса теперь доступны в разделе Сохранить запрос на странице Проводник:

  • Если выбрать Сохранить запрос как, откроется всплывающее окно Сохранить запрос со всеми ранее выбранными параметрами. Если вы внесете изменения, нажмите кнопку Сохранить, а затем нажмите кнопку ОК в диалоговом окне Успешно , обновленный запрос будет сохранен как новый запрос на странице средства отслеживания угроз (для его просмотра может потребоваться выбрать Обновить ).

  • Если выбрать Сохраненные параметры запроса, откроется всплывающее окно Сохраненные параметры запроса , где можно обновить дату и отслеживать параметры запроса существующего запроса.

Снимок экрана функции «Сохранить запрос» в Threat Explorer с доступными параметрами «Сохранить запрос как» и «Параметры сохранённого запроса».

Дополнительная информация