Поиск угроз в обозревателе угроз и обнаружения в режиме реального времени в Microsoft Defender для Office 365

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

Организации Microsoft 365, в подписку которых входит Microsoft Defender для Office 365 или которые приобрели его как надстройку, имеют Explorer (также известный как Threat Explorer) или Обнаружение в реальном времени. Эти функции представляют собой мощные средства практически в режиме реального времени, помогающие командам по операциям безопасности (SecOps) исследовать угрозы и реагировать на них. Дополнительные сведения см. в статье Об Обозревателе угроз и обнаружениях в режиме реального времени в Microsoft Defender для Office 365.

Обозреватель угроз или обнаружения в режиме реального времени позволяют выполнять следующие действия:

  • Видеть вредоносные программы, обнаруженные функциями безопасности Microsoft 365.
  • Просмотр фишингового URL-адреса и данных о вердиктах по кликам.
  • Запустите автоматизированный процесс исследования и реагирования (только Обозреватель угроз).
  • Исследуйте вредоносные сообщения электронной почты.
  • И многое другое.

Просмотрите это короткое видео, чтобы узнать, как охотиться и исследовать угрозы электронной почты и совместной работы с помощью Defender для Office 365.

Совет

Расширенная охота в Microsoft Defender XDR поддерживает простой в использовании построитель запросов, который не использует язык запросов Kusto (KQL). Дополнительные сведения см. в статье Создание запросов в интерактивном режиме.

В следующих разделах рассматривается процесс поиска угроз в Threat Explorer и Real-time detections, включая оповещения, теги и сведения об угрозах в электронной почте, а также расширенные возможности, такие как правила почтового потока и входящие соединители.

Совет

Сведения о сценариях работы с электронной почтой с использованием Threat Explorer и обнаружения в режиме реального времени см. в следующих статьях:

Если вы ищете атаки, использующие вредоносные URL-адреса, встроенные в QR-коды, значение фильтра URL SourceQR code в представлениях All email, Malware и Phish в Threat Explorer или Real-time detections позволяет искать сообщения электронной почты с URL-адресами, извлеченными из QR-кодов.

Что нужно знать перед началом работы

Прежде чем приступить к работе, ознакомьтесь со следующими требованиями к лицензированию и разрешениям для обнаружения угроз в режиме реального времени.

Пошаговое руководство по Обозревателю угроз и обнаружению в режиме реального времени

Обозреватель угроз или Обнаружения в режиме реального времени доступны в разделе Электронная почта и совместная работа на портале Microsoft Defender по адресу https://security.microsoft.com:

  • Обнаружения в режиме реального времени доступны в плане 1 Defender для Office 365. Страница обнаружения в режиме реального времени доступна непосредственно по адресу https://security.microsoft.com/realtimereportsv3.

    Снимок экрана: выбор параметра «Обнаружения в режиме реального времени» в разделе «Электронная почта и совместная работа» на портале Microsoft Defender.

  • Обозреватель угроз доступен в Microsoft Defender для Office 365, план 2. Страница Explorer доступна напрямую по адресу https://security.microsoft.com/threatexplorerv3.

    Снимок экрана с выбранным вариантом «Обозреватель» в разделе «Электронная почта и совместная работа» на портале Microsoft Defender.

Обозреватель угроз содержит те же сведения и возможности, что и обнаружение в режиме реального времени, но со следующими дополнительными функциями:

  • Дополнительные представления.
  • Дополнительные параметры фильтрации свойств, включая параметр для сохранения запросов.
  • Действия по поиску угроз и их устранению.

Дополнительные сведения о различиях между Defender для Office 365 (план 1) и Defender для Office 365 (план 2) см. в шпаргалке по Defender для Office 365 (план 1) и Defender для Office 365 (план 2).

Используйте вкладки (представления) в верхней части страницы, чтобы начать расследование.

Доступные представления в Threat Explorer и разделе "Обнаружения в режиме реального времени" описаны в следующей таблице:

Вид Угрозы
Обозреватель
В режиме реального времени
Обнаружения
Описание
Все сообщения электронной почты Представление по умолчанию для обозревателя угроз. Сведения обо всех сообщениях электронной почты, отправляемых внешними пользователями в вашу организацию, или сообщениях электронной почты, отправляемых между внутренними пользователями в вашей организации.
Вредоносная программа Представление по умолчанию для обнаружений в реальном времени. Сведения о сообщениях электронной почты, содержащих вредоносные программы.
Фишинг Сведения о сообщениях электронной почты, содержащих фишинговые угрозы.
Кампании Сведения о вредоносной электронной почте, которую Defender для Office 365 плана 2 определил как часть скоординированной кампании фишинга или вредоносных программ.
Вредоносное содержимое Сведения о вредоносных файлах, обнаруженных следующими функциями:
Переходы по URL-адресу Сведения о щелчках пользователем URL-адресов в сообщениях электронной почты, сообщениях Teams, файлах SharePoint и файлах OneDrive.

Используйте фильтр даты и времени и доступные свойства фильтра в представлении, чтобы уточнить результаты:

Совет

Не забудьте выбрать Обновить после создания или обновления фильтра. Фильтры влияют на сведения на диаграмме и область сведений в представлении.

Сужение области внимания в Обозревателе угроз или в разделе «Обнаружения в режиме реального времени» можно представить как слои, чтобы было проще возвращаться к предыдущим шагам:

  • Первый слой — это представление, которое вы используете.
  • Второе — это фильтры, которые вы используете в этом представлении.

Например, вы можете восстановить последовательность действий, которые выполнили, чтобы найти угрозу, зафиксировав свои решения следующим образом: Чтобы найти проблему в Обозревателе угроз, я использовал представление Вредоносные программы и фильтр Получатель.

Кроме того, обязательно протестируйте параметры отображения. Разные аудитории (например, управление) могут лучше или хуже реагировать на различные представления одних и того же данных.

Например, в Threat Explorer в представлении Все сообщения электронной почты в области сведений в нижней части страницы доступны представления (вкладки) Источник сообщения и Кампании:

  • Для некоторых аудиторий карта мира на вкладке Email источник может лучше показать, насколько широко распространены обнаруженные угрозы.

    Снимок экрана карты мира в представлении источника электронной почты в области сведений представления «Все сообщения электронной почты» в Threat Explorer.

  • Другие могут найти подробные сведения в таблице на вкладке Кампании более полезными для передачи информации.

    Снимок экрана таблицы сведений на вкладке

Данные об угрозах, отображаемые на вкладках"Источник электронной почты" и "Кампании", можно использовать для следующих результатов:

  • Чтобы показать необходимость обеспечения безопасности и защиты.
  • Для последующей демонстрации эффективности любых действий.

Изучение подозрительных сообщений электронной почты

В представлениях Все электронные письма, Вредоносные программы или Фишинг в обозревателе угроз или в разделе обнаружения в режиме реального времени результаты для сообщений электронной почты отображаются в таблице на вкладке Email (представление) в области сведений под диаграммой.

Если вы видите подозрительное электронное письмо, щелкните значение Subject в строке таблицы. Откроется всплывающее окно сведений, содержащее сущность Open email в верхней части всплывающего окна.

Снимок экрана с действиями, доступными во всплывающей панели сведений об электронной почте после выбора значения «Тема» на вкладке «Электронная почта» в области сведений в представлении «Все сообщения электронной почты».

Страница сущности Email объединяет все, что вам нужно знать о сообщении и его содержимом, чтобы вы могли определить, является ли сообщение угрозой. Дополнительные сведения см. в статье Обзор страницы сущности «Электронная почта».

Устранение угроз электронной почты

После того как вы определите, что сообщение электронной почты представляет угрозу, нейтрализуйте эту угрозу в Threat Explorer или в разделе Real-time detections с помощью Принять меры.

Принять меры доступно в представлениях Все сообщения электронной почты, Вредоносные программы или Фишинг в Обозревателе угроз либо в разделе обнаружения в режиме реального времени на вкладке Электронная почта в области сведений под диаграммой:

  • Выберите одну или несколько записей в таблице, установив флажок рядом с первым столбцом. Выполнить действие доступно непосредственно на вкладке.

    Снимок экрана вкладки «Электронная почта» в таблице сведений с выбранным сообщением и активной командой «Принять меры».

    Совет

    Действие "Выполнить" заменяет раскрывающийся список Действия сообщения .

    Если выбрать не более 100 записей, можно выполнить несколько действий для сообщений в мастере Выполнить действие.

    Если выбрать от 101 до 200 000 записей, в мастере выполнения действий доступны только следующие действия:

    • Обозреватель угроз: Переместить или удалить и Предложить исправление доступны, но эти параметры взаимоисключающие (можно выбрать только один из них).
    • Обнаружения в режиме реального времени: доступны только отправка в Microsoft для проверки и создание соответствующих записей разрешения и блокировки в списке разрешений и блокировок клиента.
  • Щелкните по значению Тема у записи в таблице. В открывшемся всплывающем окне сведений в верхней части находится Принять меры.

    Действия, доступные на вкладке «Сведения» после выбора значения в поле «Тема» на вкладке «Электронная почта» в области сведений в представлении «Все сообщения электронной почты».

Используйте мастер "Выполнить действие" для исправления сообщений

При выборе Выполнить действие открывается мастер Выполнить действие во всплывающей области. Доступные действия в мастере выполнения действий в Defender для Office 365 плана 2 и Defender для Office 365 плана 1 перечислены в следующей таблице:

Действие Defender для
Office 365 план 2
Defender для
Office 365 план 1
Перемещение или удаление ✔¹
  Освобождение сообщений, помещенных в карантин, для некоторых или всех исходных получателей 2
Отправить в Корпорацию Майкрософт для проверки
   Разрешить или заблокировать записи в списке разрешенных и заблокированных клиентов
Запуск автоматического исследования
Предложение исправления

¹ Для этого действия требуется роль «Поиск и очистка» в разделе «Разрешения для электронной почты и совместной работы» или разрешение «Операции безопасности/Данные безопасности/Расширенные действия для электронной почты и совместной работы (управление)» в системе единого управления доступом на основе ролей (RBAC) Microsoft Defender XDR. По умолчанию роль поиска и очистки назначается только группам ролей "Исследователь данных " и "Управление организацией ". Вы можете добавить пользователей в эти группы ролей или создать новую группу ролей с назначенной ролью Поиск и очистка , а также добавить пользователей в настраиваемую группу ролей.

2 Этот параметр доступен для сообщений в карантине при выборе папки "Входящие" в качестве места перемещения.

³ Это действие доступно в разделе Отправить в Корпорацию Майкрософт для проверки.

Мастер «Принять меры» содержит следующие страницы и параметры:

  1. На странице Выбор действий ответа доступны следующие параметры:

    • Показать все действия ответа. Этот параметр доступен только в Обозреватель угроз.

      По умолчанию некоторые действия недоступны или неактивны в зависимости от значения последнего расположения доставки сообщения. Чтобы отобразить все доступные действия ответа, переместите переключатель в положение Вкл.

    • Перемещение или удаление. Выберите одно из доступных значений, которые отображаются:

      • Нежелательные: Переместить сообщение в папку "Нежелательная почта".

      • Папка "Входящие". Переместите сообщение в папку "Входящие". При выборе этого значения также могут отображаться следующие параметры:

        • Переместить обратно в папку "Отправленные": если сообщение было отправлено внутренним отправителем и было обратимо удалено (перемещено в папку "Элементы с возможностью восстановления\Удаления"), при выборе этого параметра будет предпринята попытка переместить сообщение обратно в папку "Отправленные". Этот параметр отменяется, если вы ранее выбрали Переместить или удалить>обратимо удаленные элементы , а также выбрали Удалить копию отправителя в сообщении.

        • Для сообщений со значением Карантин для свойства Последнее расположение доставки при выборе папки "Входящие" сообщение освобождается из карантина, поэтому также доступны следующие параметры:

          • Освободить одного или нескольких исходных получателей сообщения электронной почты. Если выбрать это значение, появится поле, в котором можно выбрать или отменить выбор исходных получателей сообщения, помещенного в карантин.
          • Выпуск для всех получателей
      • Удаленные элементы. Переместите сообщение в папку Удаленные.

      • Элементы, удаленные с возможностью восстановления: Переместите сообщение в папку "Элементы с возможностью восстановления\Удаления", что эквивалентно удалению сообщения из папки "Удаленные элементы". Сообщение может быть восстановлено пользователем и администраторами.

        Удалить копию отправителя: Если сообщение было отправлено внутренним отправителем, также попробуйте выполнить обратимое удаление сообщения из папки «Отправленные» отправителя.

      • Жестко удаленные элементы: очистка удаленного сообщения. Администраторы могут восстанавливать окончательно удаленные элементы с помощью функции восстановления отдельных элементов. Дополнительные сведения о жестко удаленных и обратимо удаленных элементах см. в разделе Обратимо удаленные и жестко удаленные элементы.

    • Отправить в Майкрософт для проверки. Выберите одно из отображаемых доступных значений:

      • Я подтвердил, что оно чисто: выберите это значение, если вы уверены, что сообщение чисто. Отобразятся следующие параметры:

        • Разрешить такие сообщения: если выбрать это значение, в список разрешений и блокировок клиента будут добавлены разрешающие записи для отправителя, а также для всех связанных URL-адресов и вложений в сообщении. Также отображаются следующие параметры:
          • Удалить запись после. Значение по умолчанию — 1 день, но можно также выбрать 7 дней, 30 дней или конкретную дату , которая меньше 30 дней.
          • Разрешить примечание к записи: Введите необязательное примечание, содержащее дополнительные сведения.
      • Оно отображается как чистое или подозрительное. Выберите одно из этих значений, если вы не уверены и хотите получить вердикт от корпорации Майкрософт.

      • Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :

        • Фишинг
        • Вредоносная программа
        • Спам

        После выбора одного из этих значений откроется всплывающая панель Выберите сущности для блокировки, в которой можно выбрать одну или несколько сущностей, связанных с сообщением (адрес отправителя, домен отправителя, URL-адреса или вложения), чтобы добавить их в список разрешений и блокировок клиента в качестве записей блокировки.

        Выбрав блокированные элементы, выберите Добавить правило блокировки , чтобы закрыть всплывающее окно Выбрать сущности для блокировки . Или не выберите элементы, а затем нажмите кнопку Отмена.

        Вернитесь на страницу Выбор действий ответа и выберите параметр окончания срока действия для записей блока:

        • Срок действия: выберите дату окончания срока действия записей блокировки.
        • Срок действия не истекает

        Отображается количество заблокированных сущностей (например, 4/4 сущностей, которые нужно заблокировать). Выберите Изменить , чтобы снова открыть правило Добавить в блок и внести изменения.

    • Запустить автоматическое расследование: Только в Threat Explorer. Выберите одно из указанных ниже значений:

      • Изучение электронной почты
      • Исследование получателя
      • Исследовать отправителя. Это значение применяется только к отправителям в вашей организации.
      • Контакты получателей
    • Предложить исправление. Выберите одно из указанных ниже значений.

      • Создать: При выборе этого значения отправляется сообщение электронной почты с запросом на обратимое удаление, которое должен утвердить администратор в Центре действий. Этот результат также известен как двухэтапное подтверждение.

      • Добавить к существующему: Используйте этот параметр, чтобы применить действия к этому сообщению электронной почты в рамках существующей процедуры устранения. В поле Отправить письмо для следующих мер по устранению выберите существующую меру по устранению.

        Совет

        Сотрудники SecOps, у которых недостаточно разрешений, могут использовать эту возможность, чтобы создать задачу по устранению, но пользователь с необходимыми разрешениями должен утвердить это действие в Центре действий.

    Завершив работу на странице Выбор действий ответа , нажмите кнопку Далее.

  2. На странице Выбор целевых сущностей настройте следующие параметры:

    • Имя и описание. Введите уникальное описательное имя и необязательное описание для отслеживания и идентификации выбранного действия.

    Остальная часть страницы — это таблица, в которую перечислены затронутые ресурсы. Таблица организована по следующим столбцам:

    • Затронутый ресурс. Затронутые ресурсы с предыдущей страницы. Например, вы можете:
      • Адрес электронной почты получателя
      • Весь клиент
    • Действие: выбранные действия для ресурсов с предыдущей страницы. Например, вы можете:
      • Значения из отправки в Майкрософт для проверки:
        • Отметить как безопасное
        • Report
        • Отчет как вредоносная программа, отчет как спам или отчет как фишинг
        • Блокировка отправителя
        • Блокировка домена отправителя
        • Заблокировать URL
        • Вложение блока
      • Значения из Инициировать автоматическое расследование:
        • Изучение электронной почты
        • Исследование получателя
        • Изучение отправителя
        • Контакты получателей
      • Значения из Propose remediation:
        • Создание исправления
        • Добавление к существующему исправлению
    • Целевая сущность: например:
      • Значение идентификатора сетевого сообщения сообщения электронной почты.
      • Адрес электронной почты заблокированного отправителя.
      • Домен заблокированного отправителя.
      • Заблокированный URL-адрес.
      • Заблокированное вложение.
    • Истекает: значение указывается только для записей с разрешением или блокировкой в списке разрешений и блокировок арендатора. Например, вы можете:
      • Никогда не истечет срок действия для записей блока.
      • Дата окончания срока действия разрешенных или заблокированных записей.
    • Область: Как правило, это значение MDO.

    На этом этапе можно также отменить некоторые действия. Например, если вы хотите создать только запись о блокировке в списке разрешенных и заблокированных элементов организации, не отправляя этот объект в Microsoft, это можно сделать здесь.

    Завершив работу на странице Выбор целевых сущностей , нажмите кнопку Далее.

  3. На странице Проверка и отправка просмотрите предыдущие выбранные варианты.

    Выберите Экспорт , чтобы экспортировать затронутые ресурсы в CSV-файл. По умолчанию файл называется Impacted assets.csv и находится в папке Downloads.

    Нажмите кнопку Назад , чтобы вернуться и изменить выбранные параметры.

    Завершив работу на странице Проверка и отправка , нажмите кнопку Отправить.

Совет

В государственных организациях США (Microsoft 365 GCC, GCC High и DoD) администраторы могут выполнять действия Мягкое удаление, Переместить в папку нежелательной почты, Переместить в папку "Удаленные", Безвозвратное удаление и Переместить в папку "Входящие". Действия Удалить копию отправителя и Переместить в папку "Входящие" из папки карантина недоступны. Кроме того, журналы действий доступны только по адресу https://security.microsoft.com/threatincidents, а не в центре уведомлений по адресу https://security.microsoft.com/action-center.

Может потребоваться некоторое время, прежде чем результаты этих действий появятся на соответствующих страницах, но это не влияет на скорость устранения проблемы.

Возможности охоты за угрозами с помощью Threat Explorer и обнаружения в режиме реального времени

Threat Explorer или обнаружения в режиме реального времени помогают вашей группе специалистов по безопасности эффективно расследовать угрозы и реагировать на них. В этом разделе рассматривается поиск угроз из оповещений, использование тегов пользователей для фильтрации целевых объектов с высоким уровнем ценности и понимание сведений об угрозах электронной почты, таких как технологии обнаружения.

Поиск угроз на основе оповещений

Страница Оповещения доступна на портале Defender в разделе Инциденты & оповещения>Оповещения или непосредственно по адресу https://security.microsoft.com/alerts.

Для многих оповещений со значением Источника обнаруженияMDO в верхней части всплывающей панели сведений об оповещении доступно действие Просмотреть сообщения в Explorer.

Всплывающая панель сведений об оповещении открывается, когда вы щелкаете в любом месте оповещения, кроме флажка рядом с первым столбцом. Например, вы можете:

  • Обнаружен переход по потенциально вредоносному URL-адресу
  • Результат отправки администратора завершен
  • Email сообщения, содержащие вредоносный URL-адрес, удалены после доставки
  • Сообщения электронной почты удаляются после доставки
  • Сообщения, содержащие вредоносную сущность, не удалены после доставки
  • Фишинговое сообщение не удалено, так как ZAP отключен

Снимок экрана: доступные действия во всплывающем элементе оповещений со значением MDO источника Обнаружения на странице Оповещения на портале Defender.

При выборе Просмотреть сообщения в Проводнике откроется Обозреватель угроз в представлении Все сообщения электронной почты, где для этого оповещения будет выбран фильтр свойств Идентификатор оповещения. Значение идентификатора оповещения — это уникальное значение GUID для оповещения (например, 89e00cdc-4312-7774-6000-08dc33a24419).

Alert ID — это свойство, доступное для фильтрации в следующих представлениях в Threat Explorer и Real-time detections:

В этих представлениях идентификатор оповещения доступен как доступный для выбора столбец в области сведений под диаграммой на следующих вкладках (представлениях):

Во всплывающем окне сведений о сообщении электронной почты, открывающемся при щелчке значения "Тема" из одной из записей, ссылка "Идентификатор оповещения" доступна в разделе сведений о Email всплывающего элемента. Если щелкнуть ссылку Идентификатор оповещения , откроется страница Просмотр оповещений по адресу https://security.microsoft.com/viewalertsv2 с выбранным оповещением, а для оповещения откроется всплывающее окно сведений.

Снимок экрана со всплывающей панелью сведений об оповещении на странице «Просмотр оповещений» после выбора идентификатора оповещения во всплывающей панели сведений об электронном письме для записи на вкладке «Электронная почта» в представлениях «Все сообщения электронной почты», «Вредоносные программы» или «Фишинг» в Threat Explorer или Real-time detections.

Используйте теги для поиска угроз в Threat Explorer

В Defender для Office 365, план 2, если вы используете теги пользователей для обозначения особо важных учетных записей (например, тег Priority account), можно использовать эти теги в качестве фильтров. Этот метод показывает попытки фишинга, направленные на высокоценные целевые учетные записи в течение определенного периода времени. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Теги пользователей доступны в следующих местах в обозревателе угроз:

Сведения об угрозах для сообщений электронной почты

Действия перед доставкой и после доставки сообщений электронной почты объединяются в одну запись независимо от различных событий после доставки, которые повлияли на сообщение. Например, вы можете:

Во всплывающем элементе сведений об электронной почте на вкладке Email (представление) в представлении Все сообщения электронной почты, вредоносные программы или фишинг отображаются связанные угрозы и соответствующие технологии обнаружения, связанные с сообщением электронной почты. Сообщение может содержать ноль, одну или несколько угроз.

  • В разделе Сведения о доставке свойство Технология обнаружения показывает технологию обнаружения, которая идентифицировала угрозу. Технология обнаружения также доступна в виде среза диаграммы или столбца в таблице сведений во многих представлениях в Threat Explorer и Real-time detections.

  • В разделе URL-адреса отображаются конкретные сведения об угрозах для всех URL-адресов в сообщении. Например, вредоносные программы, фишинг, **Спам или Нет.

Совет

Анализ вердиктов может не обязательно быть привязан к сущностям. Перед назначением вердикта фильтры оценивают содержимое и другие сведения сообщения электронной почты. Например, сообщение электронной почты может быть классифицировано как фишинговое или нежелательное, но ни у каких URL-адресов в сообщении нет отметки с фишингом или спамом.

Выберите Открыть сущность электронной почты в верхней части всплывающего окна, чтобы просмотреть исчерпывающие сведения о сообщении электронной почты. Дополнительные сведения см. на странице сущности "Электронная почта" в Microsoft Defender для Office 365.

Снимок экрана: всплывающее окно сведений об электронной почте после выбора значения

Расширенные возможности в Обозреватель угроз

Обозреватель угроз включает специальные фильтры для правил обработки почтового потока в Exchange (транспортных правил) и входящих соединителей, которые недоступны в разделе «Обнаружения в реальном времени».

Изучение правил потока обработки почты Exchange в обозревателе угроз

Совет

Для поиска правил потока обработки почты по имени в обозревателе угроз требуются определенные разрешения. Дополнительные сведения см. в разделе "Разрешения" и "Лицензирование" для обнаружения угроз и обнаружения в режиме реального времени. Для просмотра имен правил во всплывающих окнах сведений об электронной почте, в таблицах сведений и в экспортированных результатах специальные разрешения не требуются.

Чтобы найти сообщения, на которые повлияли правила обработки почты Exchange (также называемые правилами транспортировки), у вас есть следующие варианты в представлениях Все сообщения электронной почты, Вредоносные программы и Фишинг в обозревателе угроз (но не в представлении "Обнаружения в реальном времени"):

  • Правило транспорта Exchange — это доступное для выбора значение для фильтруемых свойств Основной источник переопределения, Источник переопределения и Тип политики.
  • Правило транспорта Exchange — это фильтруемое свойство. Введите частичное текстовое значение для имени правила.

Дополнительные сведения о фильтрации правил транспорта Exchange см. в представлении "Все сообщения электронной почты" в обозревателе угроз, в представлении "Вредоносные программы" в обозревателе угроз и обнаружениях в режиме реального времени, а также в представлении фишинга в обозревателе угроз и обнаружениях в режиме реального времени.

В представлении Email в области сведений представлений Все сообщения электронной почты, Вредоносные программы и Фишинг в Threat Explorer также доступен столбец Транспортное правило Exchange, который по умолчанию не выбран. В этом столбце показано имя правила транспорта. Дополнительные сведения о столбце правила транспорта Exchange на вкладке Email см. в разделах Представление Email для области сведений представления All email в Threat Explorer, Представление Email для области сведений представления Malware в Threat Explorer и Обнаружения в режиме реального времени и Представление Email для области сведений представления Phish в Threat Explorer и Обнаружения в режиме реального времени.

Совет

Сведения о разрешениях, необходимых для поиска правил обработки почты по имени в Обозревателе угроз, см. в разделе Разрешения и лицензирование для Обозревателя угроз и обнаружения в режиме реального времени. Для просмотра имен правил во всплывающих окнах сведений об электронной почте, в таблицах сведений и в экспортированных результатах специальные разрешения не требуются.

Проверьте входящие соединители при поиске угроз

Соединители для входящих подключений задают определенные параметры для источников электронной почты для Microsoft 365. Дополнительные сведения см. в разделе Настройка потока обработки почты с помощью соединителей в Exchange Online.

Чтобы найти сообщения, на которые повлияли входные соединители, можно использовать фильтруемое свойство Connector для поиска сообщений по имени соединителя в представлениях Все сообщения электронной почты, Вредоносные программы и Фишинговые сообщения в Обозревателе угроз (но не в представлении «Обнаружения в реальном времени»). Введите частичное текстовое значение для имени соединителя. Дополнительные сведения о фильтруемом свойстве Connector см. в статьях Представление "Все сообщения электронной почты" в Threat Explorer, Представление вредоносных программ в Threat Explorer и обнаружения в режиме реального времени и Представление фишинга в Threat Explorer и обнаружения в режиме реального времени.

Во вкладке (представлении) Email в области сведений для представлений All email, Malware и Phish в Threat Explorer также доступен столбец Connector, который по умолчанию не выбран. В этом столбце показано имя соединителя. Дополнительные сведения о столбце Коннектор на вкладке Электронная почта см. в статьях Представление «Электронная почта» для области сведений в представлении «Все сообщения электронной почты» в Threat Explorer, Представление «Электронная почта» для области сведений в представлении «Вредоносные программы» в Threat Explorer и в разделе «Обнаружения в режиме реального времени» и Представление «Электронная почта» для области сведений в представлении «Фишинг» в Threat Explorer и в разделе «Обнаружения в режиме реального времени».

Сценарии безопасности электронной почты в Обозревателе угроз и обнаружениях в режиме реального времени

Конкретные сценарии см. в следующих статьях:

Дополнительные возможности поиска угроз и реагирования

Помимо сценариев, описанных в этой статье, вам доступны и другие возможности в Explorer или в разделе «Обнаружения в режиме реального времени». Дополнительные сведения см. в следующих статьях: