Informationen zu bedrohungsbasierten Explorer und Echtzeiterkennungen in Microsoft Defender for Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Microsoft 365-Organisationen, die Microsoft Defender for Office 365 in ihrem Abonnement enthalten oder als Add-On erworben haben, verfügen über Explorer (auch als Bedrohungs-Explorer bezeichnet) oder Echtzeiterkennungen. Diese Features sind leistungsstarke Berichterstellungstools nahezu in Echtzeit, mit denen Security Operations-Teams (SecOps) Bedrohungen untersuchen und darauf reagieren können.

Abhängig von Ihrem Abonnement sind Explorer Bedrohungserkennungen oder Echtzeiterkennungen im Abschnitt Email & Zusammenarbeit im Microsoft Defender-Portal unter https://security.microsoft.comverfügbar:

Threat Explorer enthält die gleichen Informationen und Funktionen wie Echtzeiterkennungen, aber mit den folgenden zusätzlichen Features:

  • Weitere Ansichten.
  • Weitere Optionen zum Filtern von Eigenschaften, einschließlich der Option zum Speichern von Abfragen.
  • Weitere Aktionen.

Weitere Informationen zu den Unterschieden zwischen Defender for Office 365 Plan 1 und Plan 2 finden Sie im Spickzettel Defender for Office 365 Plan 1 vs. Plan 2.

Im weiteren Verlauf dieses Artikels werden die Ansichten und Features erläutert, die unter Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar sind.

Berechtigungen und Lizenzierung für Bedrohungserkennungen Explorer und Echtzeiterkennungen

Um Explorer- oder Echtzeiterkennungen verwenden zu können, müssen Ihnen Berechtigungen zugewiesen werden. Sie haben folgende Optionen:

  • Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell):
    • Lesezugriff für E-Mail- und Teams-Nachrichtenheader: Sicherheitsvorgänge/Rohdaten (E-Mail & Zusammenarbeit)/Email & Metadaten für die Zusammenarbeit (lesen).
    • Vorschau und Herunterladen von E-Mail-Nachrichten: Sicherheitsvorgänge/Rohdaten (E-Mail & Zusammenarbeit)/Email & Zusammenarbeitsinhalte (lesen).
    • Beheben schädlicher E-Mails: Sicherheitsvorgänge/Sicherheitsdaten/Email & erweiterte Aktionen für die Zusammenarbeit (Verwalten).
  • Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal:
    • Vollzugriff: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator . Für alle verfügbaren Aktionen sind weitere Berechtigungen erforderlich:
      • Vorschau und Herunterladen von Nachrichten: Erfordert die Vorschaurolle , die standardmäßig nur den Rollengruppen Datenermittler oder eDiscovery-Manager zugewiesen ist. Alternativ können Sie eine neue Rollengruppe mit zugewiesener Vorschaurolle erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
      • Verschieben von Nachrichten in Postfächern und Löschen von Nachrichten aus Postfächern: Erfordert die Rolle Suchen und Bereinigen , die standardmäßig nur den Rollengruppen Datenermittler oder Organisationsverwaltung zugewiesen ist. Alternativ können Sie eine neue Rollengruppe mit zugewiesener Rolle Suchen und Löschen erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
    • Schreibgeschützter Zugriff: Mitgliedschaft in der Rollengruppe "Sicherheitsleseberechtigter ".
  • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in diesen Rollen erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365:
    • Vollzugriff: Mitgliedschaft in der Rolle "Globaler Administrator* " oder "Sicherheitsadministrator ".

    • Suchen Sie nach Exchange-Nachrichtenflussregeln (Transportregeln) anhand des Namens in Threat Explorer: Mitgliedschaft in den Rollen "Sicherheitsadministrator" oder "Sicherheitsleseberechtigter".

    • Schreibgeschützter Zugriff: Mitgliedschaft in der Rolle "Globaler Leser " oder "Sicherheitsleseberechtigter ".

      Wichtig

      * Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Tipp

Spambenachrichtigungen von Endbenutzern und vom System generierte Nachrichten sind in Threat Explorer nicht verfügbar. Diese Nachrichtentypen sind verfügbar, wenn eine Nachrichtenflussregel (auch als Transportregel bezeichnet) überschrieben werden soll.

Überwachungsprotokolleinträge werden generiert, wenn Administratoren eine Vorschau anzeigen oder E-Mail-Nachrichten herunterladen. Sie können das Administratorüberwachungsprotokoll nach Benutzer nach AdminMailAccess-Aktivität durchsuchen. Anweisungen finden Sie unter Überwachen der neuen Suche.

Um Bedrohungs- Explorer- oder Echtzeiterkennungen verwenden zu können, muss Ihnen eine Lizenz für Defender for Office 365 zugewiesen werden (in Ihrem Abonnement oder in einer Add-On-Lizenz enthalten).

Bedrohungserkennungen Explorer oder Echtzeiterkennungen enthalten Daten für Benutzer, denen Defender for Office 365 Lizenzen zugewiesen sind.

Elemente von Bedrohungs- Explorer und Echtzeiterkennungen

Bedrohungserkennungen Explorer und Echtzeiterkennungen enthalten die folgenden Elemente:

  • Ansichten: Registerkarten oben auf der Seite, die Erkennungen nach Bedrohung organisieren. Die Ansicht wirkt sich auf die restlichen Daten und Optionen auf der Seite aus.

    In der folgenden Tabelle sind die verfügbaren Ansichten unter Bedrohungserkennungen Explorer und Echtzeiterkennungen aufgeführt:

    Anzeigen Bedrohung
    Explorer
    Echtzeit
    Entdeckungen
    Beschreibung
    Alle E-Mails Standardansicht für threat Explorer. Informationen zu allen E-Mail-Nachrichten, die von externen Benutzern an Ihre organization gesendet werden, oder E-Mails, die zwischen internen Benutzern in Ihrem organization gesendet werden.
    Schadsoftware Standardansicht für Echtzeiterkennungen. Informationen zu E-Mail-Nachrichten, die Schadsoftware enthalten.
    Phishing Informationen zu E-Mail-Nachrichten, die Phishing-Bedrohungen enthalten.
    Feldzüge Informationen zu schädlichen E-Mails, die Defender for Office 365 Plan 2 als Teil einer koordinierten Phishing- oder Schadsoftwarekampagne identifiziert wurden.
    Schadsoftware für Inhalte Informationen zu schädlichen Dateien, die von den folgenden Features erkannt werden:
    URL-Klicks Informationen zu Benutzerklicks auf URLs in E-Mail-Nachrichten, Teams-Nachrichten, SharePoint-Dateien und OneDrive-Dateien.

    Diese Ansichten werden in diesem Artikel ausführlich beschrieben, einschließlich der Unterschiede zwischen Bedrohungserkennungen Explorer und Echtzeiterkennungen.

  • Datums-/Uhrzeitfilter: Standardmäßig wird die Ansicht nach gestern und heute gefiltert. Um den Datumsfilter zu ändern, wählen Sie den Datumsbereich und dann Startdatum und Enddatum werte vor 30 Tagen aus.

    Screenshot des Datumsfilters, der in bedrohungsbasierten Explorer- und Echtzeiterkennungen im Defender-Portal verwendet wird.

  • Eigenschaftenfilter (Abfragen):Filtern Sie die Ergebnisse in der Ansicht nach den verfügbaren Nachrichten-, Datei- oder Bedrohungseigenschaften. Die verfügbaren filterbaren Eigenschaften hängen von der Ansicht ab. Einige Eigenschaften sind in vielen Ansichten verfügbar, während andere Eigenschaften auf eine bestimmte Ansicht beschränkt sind.

    Die verfügbaren Eigenschaftenfilter für jede Ansicht sind in diesem Artikel aufgeführt, einschließlich der Unterschiede zwischen Bedrohungserkennungen Explorer und Echtzeiterkennungen.

    Anweisungen zum Erstellen von Eigenschaftenfiltern finden Sie unter Eigenschaftenfilter in Bedrohungs- Explorer und Echtzeiterkennungen.

    Mit Threat Explorer können Sie Abfragen zur späteren Verwendung speichern, wie im Abschnitt Gespeicherte Abfragen in Threat Explorer beschrieben.

  • Diagramme: Jede Ansicht enthält eine visuelle, aggregierte Darstellung der gefilterten oder ungefilterten Daten. Sie können verfügbare Pivots verwenden, um das Diagramm auf unterschiedliche Weise zu organisieren.

    Häufig können Sie Diagrammdaten exportieren verwenden, um gefilterte oder ungefilterte Diagrammdaten in eine CSV-Datei zu exportieren.

    Die Diagramme und verfügbaren Pivots werden in diesem Artikel ausführlich beschrieben, einschließlich der Unterschiede zwischen Bedrohungserkennungen Explorer und Echtzeiterkennungen.

    Tipp

    Um das Diagramm von der Seite zu entfernen (wodurch die Größe des Detailbereichs maximiert wird), verwenden Sie eine der folgenden Methoden:

    • Wählen Sie oben auf der Seite Diagrammansicht>Listenansicht aus.
    • Wählen Sie Listenansicht zwischen dem Diagramm und dem Detailbereich anzeigen aus.
  • Detailbereich: Der Detailbereich für eine Ansicht zeigt in der Regel eine Tabelle an, die die gefilterten oder ungefilterten Daten enthält. Sie können die verfügbaren Ansichten (Registerkarten) verwenden, um die Daten im Detailbereich auf unterschiedliche Weise zu organisieren. Beispielsweise kann eine Ansicht Diagramme, Karten oder andere Tabellen enthalten.

    Wenn der Detailbereich eine Tabelle enthält, können Sie häufig exportieren , um bis zu 200.000 gefilterte oder ungefilterte Ergebnisse selektiv in eine CSV-Datei zu exportieren.

    Tipp

    Im Export-Flyout können Sie einige oder alle verfügbaren Eigenschaften für den Export auswählen. Die Auswahl wird pro Benutzer gespeichert. Auswahlen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Screenshot der Seite

Ansicht "Alle E-Mails" in threat Explorer

Die Ansicht Alle E-Mails in Threat Explorer zeigt Informationen zu allen E-Mail-Nachrichten an, die von externen Benutzern an Ihre organization gesendet werden, sowie E-Mails, die zwischen internen Benutzern in Ihrem organization gesendet werden. Die Ansicht zeigt schädliche und nicht schädliche E-Mails an. Zum Beispiel:

  • Email Phishing oder Schadsoftware identifiziert.
  • Email als Spam oder Massenvorgang identifiziert.
  • Email ohne Bedrohungen identifiziert.

Diese Ansicht ist die Standardansicht in Threat Explorer. Um die Ansicht Alle E-Mails auf der Seite Explorer im Defender-Portal unter https://security.microsoft.comzu öffnen, wechseln Sie zu Email & Registerkarte Zusammenarbeit>Explorer>Alle E-Mails. Oder wechseln Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und überprüfen Sie dann, ob die Registerkarte Alle E-Mails ausgewählt ist.

Screenshot der Ansicht

Filterbare Eigenschaften in der Ansicht Alle E-Mails in Threat Explorer

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Aktionsfeld Übermittlung in der Ansicht Alle E-Mails verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft Typ
Basic
Absenderadresse Text Trennen Sie mehrere Werte durch Kommas.
Empfänger Text Trennen Sie mehrere Werte durch Kommas.
Absenderdomäne Text Trennen Sie mehrere Werte durch Kommas.
Empfängerdomäne Text Trennen Sie mehrere Werte durch Kommas.
Betreff Text Trennen Sie mehrere Werte durch Kommas.
Anzeigename des Absenders Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail von Adresse Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail aus Domäne Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfad Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfaddomäne Text Trennen Sie mehrere Werte durch Kommas.
Malware-Familie Text Trennen Sie mehrere Werte durch Kommas.
Tags Text Trennen Sie mehrere Werte durch Kommas.

Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Identitätswechseldomäne Text Trennen Sie mehrere Werte durch Kommas.
Angenommener Benutzer Text Trennen Sie mehrere Werte durch Kommas.
Exchange-Transportregel Text Trennen Sie mehrere Werte durch Kommas.
Regel zur Verhinderung von Datenverlust Text Trennen Sie mehrere Werte durch Kommas.
Kontext Wählen Sie einen oder mehrere Werte aus:
  • Evaluation
  • Prioritätskontoschutz
Connector Text Trennen Sie mehrere Werte durch Kommas.
Übermittlungsaktion Wählen Sie einen oder mehrere Werte aus:
  • Blockiert: Email Nachrichten, die unter Quarantäne standen, die nicht übermittelt wurden oder gelöscht wurden.
  • Übermittelt: Email an den Posteingang des Benutzers oder einen anderen Ordner übermittelt, in dem der Benutzer auf die Nachricht zugreifen kann.
  • An Junk übermittelt: Email in den Ordner Junk-Email oder Gelöschte Elemente des Benutzers übermittelt, in dem der Benutzer auf die Nachricht zugreifen kann.
  • Ersetzt: Nachrichtenanlagen, die in Richtlinien für sichere Anlagen durch dynamische Übermittlung ersetzt wurden.
Zusätzliche Aktion Wählen Sie einen oder mehrere Werte aus:
Directionality Wählen Sie einen oder mehrere Werte aus:
  • Eingehend
  • Intra-irg
  • Ausgehend
Erkennungstechnologie Wählen Sie einen oder mehrere Werte aus:
  • Erweiterter Filter: Signale basierend auf maschinellem Lernen.
  • Schutz vor Schadsoftware
  • Masse
  • Kampagnen
  • Domänenreputation
  • Datei-Detonation: Sichere Anlagen haben während der Detonationsanalyse eine schädliche Anlage erkannt.
  • Zuverlässigkeit der Dateienttonung: Dateianlagen, die zuvor von Detonationen sicherer Anlagen in anderen Microsoft 365-Organisationen erkannt wurden.
  • Dateireputation: Die Nachricht enthält eine Datei, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
  • Fingerabdruckabgleich: Die Nachricht ähnelt stark einer zuvor erkannten schädlichen Nachricht.
  • Allgemeiner Filter
  • Identitätswechselmarke: Absenderidentität bekannter Marken.
  • Identitätswechseldomäne: Identitätswechsel von Absenderdomänen, die Sie besitzen oder für den Schutz in Antiphishingrichtlinien angegeben haben
  • Vorgetäuschte Benutzeridentität
  • IP-Reputation
  • Identitätswechsel der Postfachintelligenz: Identitätswechselerkennungen von Postfachintelligenz in Antiphishingrichtlinien.
  • Erkennung gemischter Analysen: Mehrere Filter haben zur Bewertung der Nachricht beigetragen.
  • spoof DMARC: Fehler bei der Nachricht bei der DMARC-Authentifizierung.
  • Spoof externe Domäne: Absender-E-Mail-Adressspoofing mithilfe einer Domäne, die für Ihre organization extern ist.
  • Spoof innerhalb der Organisation: Spoofing der Absender-E-Mail-Adresse mithilfe einer Domäne, die für Ihre organization intern ist.
  • URL-Detonationsreputation: URLs, die zuvor von Safe Links-Detonationen in anderen Microsoft 365-Organisationen erkannt wurden.
  • Url mit schädlichem Ruf: Die Nachricht enthält eine URL, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
Ursprünglicher Lieferort Wählen Sie einen oder mehrere Werte aus:
  • Ordner "Gelöschte Elemente"
  • Abgeworfen
  • Fehlgeschlagen
  • Posteingang/Ordner
  • Junk-E-Mail-Ordner
  • Lokal/extern
  • Quarantäne
  • Unknown
Letzter Lieferort¹ Dieselben Werte wie der ursprüngliche Lieferort
Phish-Konfidenzniveau Wählen Sie einen oder mehrere Werte aus:
  • High
  • Normal
Primäre Außerkraftsetzung Wählen Sie einen oder mehrere Werte aus:
  • Zulässig durch organization-Richtlinie
  • Durch Benutzerrichtlinie zugelassen
  • Durch organization-Richtlinie blockiert
  • Durch Benutzerrichtlinie blockiert
  • Keine
Primäre Außerkraftsetzungsquelle Nachrichten können mehrere Zulassungs- oder Blocküberschreibungen aufweisen, wie unter Außerkraftsetzungsquelle angegeben. Die Außerkraftsetzung, die die Nachricht letztendlich zugelassen oder blockiert hat, wird in der primären Außerkraftsetzungsquelle identifiziert.
Wählen Sie einen oder mehrere Werte aus:
  • Drittanbieterfilter
  • Admin initiierte Zeitreise (ZAP)
  • Antischadsoftwarerichtlinienblock nach Dateityp
  • Antispam-Richtlinieneinstellungen
  • Verbindungsrichtlinie
  • Exchange-Transportregel
  • Exklusiver Modus (Benutzerüberschreibung)
  • Filterung aufgrund von lokalen organization übersprungen
  • IP-Regionsfilter aus richtlinie
  • Sprachfilter aus Richtlinie
  • Phishing-Simulation
  • Release unter Quarantäne stellen
  • SecOps-Postfach
  • Absenderadressenliste (Admin Außerkraftsetzung)
  • Absenderadressenliste (Benutzerüberschreibung)
  • Absenderdomänenliste (Admin Außerkraftsetzung)
  • Absenderdomänenliste (Benutzerüberschreibung)
  • Dateiblock "Mandanten zulassen/blockieren"
  • E-Mail-Adressblock der Absenderliste für Mandanten zulassen/blockieren
  • Spoofblock "Mandanten zulassen/blockierende Liste"
  • URL-Block "Mandanten zulassen/Blockieren der Liste"
  • Liste vertrauenswürdiger Kontakte (Benutzerüberschreibung)
  • Vertrauenswürdige Domäne (Benutzerüberschreibung)
  • Vertrauenswürdiger Empfänger (Benutzerüberschreibung)
  • Nur Vertrauenswürdige Absender (Benutzerüberschreibung)
Quelle außer Kraft setzen Dieselben Werte wie primäre Außerkraftsetzungsquelle
Richtlinientyp Wählen Sie einen oder mehrere Werte aus:
  • Anti-Schadsoftware-Richtlinie
  • Antiphishingrichtlinie
  • Exchange-Transportregel (Nachrichtenflussregel), Filterrichtlinie für gehostete Inhalte (Antispamrichtlinie), Richtlinie für gehostete ausgehende Spamfilter (Ausgehende Spamrichtlinie), Richtlinie für sichere Anlagen
  • Unknown
Richtlinienaktion Wählen Sie einen oder mehrere Werte aus:
  • Hinzufügen eines x-Headers
  • Bcc-Nachricht
  • Nachricht löschen
  • Betreff ändern
  • In Junk-Email Ordner verschieben
  • Keine Aktion ausgeführt
  • Umleitungsnachricht
  • Senden in Quarantäne
Bedrohungstyp Wählen Sie einen oder mehrere Werte aus:
  • Schadsoftware
  • Phishing
  • Spam
Weitergeleitete Nachricht Wählen Sie einen oder mehrere Werte aus:
  • True
  • False
Verteilerliste Text Trennen Sie mehrere Werte durch Kommas.
Email Größe Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Erweitert
Internetnachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Verfügbar im Feld Message-ID header im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern).
Netzwerknachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.
Sender-IP Text Trennen Sie mehrere Werte durch Kommas.
Anlage SHA256 Text Trennen Sie mehrere Werte durch Kommas.
Cluster-ID Text Trennen Sie mehrere Werte durch Kommas.
Warnungs-ID Text Trennen Sie mehrere Werte durch Kommas.
Warnungsrichtlinien-ID Text Trennen Sie mehrere Werte durch Kommas.
Kampagnen-ID Text Trennen Sie mehrere Werte durch Kommas.
ZAP-URL-Signal Text Trennen Sie mehrere Werte durch Kommas.
Urls
URL-Anzahl Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
URL-Domäne² Text Trennen Sie mehrere Werte durch Kommas.
URL-Domäne und Pfad² Text Trennen Sie mehrere Werte durch Kommas.
URL² Text Trennen Sie mehrere Werte durch Kommas.
URL-Pfad² Text Trennen Sie mehrere Werte durch Kommas.
URL-Quelle Wählen Sie einen oder mehrere Werte aus:
  • Anhänge
  • Cloudanlage
  • Email Text
  • Email-Header
  • QR-Code
  • Subject
  • Unknown
Klicken Sie auf "Urteil". Wählen Sie einen oder mehrere Werte aus:
  • Zulässig: Der Benutzer durfte die URL öffnen.
  • Blockieren überschrieben: Der Benutzer wurde daran gehindert, die URL direkt zu öffnen, aber er überschreibt den Block, um die URL zu öffnen.
  • Blockiert: Der Benutzer konnte die URL nicht öffnen.
  • Fehler: Dem Benutzer wurde die Fehlerseite angezeigt, oder beim Erfassen des Urteils ist ein Fehler aufgetreten.
  • Fehler: Beim Erfassen des Urteils ist eine unbekannte Ausnahme aufgetreten. Möglicherweise hat der Benutzer die URL geöffnet.
  • Keine: Das Urteil für die URL kann nicht erfasst werden. Möglicherweise hat der Benutzer die URL geöffnet.
  • Ausstehendes Urteil: Dem Benutzer wurde die Ausstehende Seite für die Detonation angezeigt.
  • Ausstehendes Urteil umgangen: Dem Benutzer wurde die Detonationsseite angezeigt, aber er übergibt die Nachricht, um die URL zu öffnen.
URL-Bedrohung Wählen Sie einen oder mehrere Werte aus:
  • Schadsoftware
  • Phishing
  • Spam
Datei
Anlagenanzahl Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Dateiname der Anlage Text Trennen Sie mehrere Werte durch Kommas.
Dateityp Text Trennen Sie mehrere Werte durch Kommas.
Dateinamenerweiterung Text Trennen Sie mehrere Werte durch Kommas.
Dateigröße Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Authentifizierung
SPF Wählen Sie einen oder mehrere Werte aus:
  • Fehler
  • Neutral
  • Keine
  • Bestehen
  • Dauerhafter Fehler
  • Weicher Fehler
  • Temporärer Fehler
DKIM Wählen Sie einen oder mehrere Werte aus:
  • Error
  • Fehler
  • Ignore
  • Keine
  • Bestehen
  • Test
  • Timeout
  • Unknown
DMARC Wählen Sie einen oder mehrere Werte aus:
  • Best guess pass
  • Fehler
  • Keine
  • Bestehen
  • Dauerhafter Fehler
  • Selektordurchlauf
  • Temporärer Fehler
  • Unknown
Zusammengesetzt Wählen Sie einen oder mehrere Werte aus:
  • Fehler
  • Keine
  • Bestehen
  • Soft Pass

Tipp

¹ Der letzte Übermittlungsspeicherort enthält keine Endbenutzeraktionen für Nachrichten. Beispielsweise, wenn der Benutzer die Nachricht gelöscht oder die Nachricht in ein Archiv oder eine PST-Datei verschoben hat.

Es gibt Szenarien, in denen der ursprüngliche Zustellungsort/Der letzte Zustellungsort und/oder die Übermittlungsaktion den Wert Unbekannt aufweisen. Zum Beispiel:

  • Die Nachricht wurde zugestellt (Übermittlungsaktion ist Zugestellt), aber eine Posteingangsregel hat die Nachricht in einen anderen Standardordner als den Ordner Posteingang oder Junk-Email verschoben (z. B. den Ordner Entwurf oder Archiv).
  • ZAP hat versucht, die Nachricht nach der Zustellung zu verschieben, aber die Nachricht wurde nicht gefunden (z. B. der Benutzer hat die Nachricht verschoben oder gelöscht).

² Standardmäßig wird eine URL-Suche zugeordnet http, es sei denn, es wird explizit ein anderer Wert angegeben. Zum Beispiel:

  • Bei der Suche mit und ohne präfix http:// in URL, URL-Domäneund URL-Domäne und Pfad sollten die gleichen Ergebnisse angezeigt werden.
  • Suchen Sie in der URL nach dem https:// Präfix. Wenn kein Wert angegeben wird, wird das http:// Präfix angenommen.
  • / am Anfang und Ende der Felder URL-Pfad, URL-Domäne, URL-Domäne und Pfad werden ignoriert.
  • / am Ende des URL-Felds wird ignoriert.

Pivots für das Diagramm in der Ansicht Alle E-Mails in Threat Explorer

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Pivotieren des Übermittlungsaktionsdiagramms in der Ansicht "Alle E-Mails" in Threat Explorer

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Übermittlungsaktion der Standarddiagramm-Pivot in der Ansicht Alle E-Mails .

Der Pivot "Übermittlungsaktion " organisiert das Diagramm nach den Aktionen, die für Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter ausgeführt werden.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Übermittlungsaktionen angezeigt.

Pivotieren des Absenderdomänendiagramms in der Ansicht Alle E-Mails in Threat Explorer

Der Pivot Absenderdomäne organisiert das Diagramm nach den Domänen in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absenderdomänen angezeigt.

Pivotieren des Absender-IP-Diagramms in der Ansicht "Alle E-Mails" in Threat Explorer

Der Pivot Absender-IP organisiert das Diagramm nach den Quell-IP-Adressen von Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absender-IP-Adressen angezeigt.

Pivotieren des Erkennungstechnologiediagramms in der Ansicht "Alle E-Mails" in "Threat Explorer

Der Pivot "Erkennungstechnologie " organisiert das Diagramm nach dem Feature, das Meldungen für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Pivot für das Vollständige URL-Diagramm in der Ansicht Alle E-Mails in Threat Explorer

Der Pivot Vollständige URL organisiert das Diagramm nach den vollständigen URLs in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen vollständigen URLs angezeigt.

Url-Domänendiagramm in der Ansicht Alle E-Mails in Threat Explorer

Der URL-Domänen-Pivot organisiert das Diagramm nach den Domänen in URLs in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.

Url-Domänen- und Pfaddiagramm pivotieren in der Ansicht Alle E-Mails in Threat Explorer

Die URL-Domäne und der Pfad-Pivot organisiert das Diagramm nach den Domänen und Pfaden in URLs in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede URL-Domäne und jeden Pfad angezeigt.

Ansichten für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Ansicht Alle E-Mails werden in den folgenden Unterabschnitten beschrieben.

Email Ansicht für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Email ist die Standardansicht für den Detailbereich in der Ansicht Alle E-Mails.

Die ansicht Email zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:

  • Datum*
  • Betreff*
  • Empfänger*
  • Empfängerdomäne
  • Schilder*
  • Absenderadresse*
  • Anzeigename des Absenders
  • Absenderdomäne*
  • Sender-IP
  • Absender-E-Mail von Adresse
  • Absender-E-Mail aus Domäne
  • Zusätzliche Aktionen*
  • Übermittlungsaktion
  • Letzter Lieferort*
  • Ursprünglicher Lieferort*
  • Quelle für Systemüberschreibungen
  • Systemüberschreibungen
  • Warnungs-ID
  • Internetnachrichten-ID
  • Netzwerknachrichten-ID
  • E-Mail-Sprache
  • Exchange-Transportregel
  • Connector
  • Context
  • Regel zur Verhinderung von Datenverlust
  • Bedrohungstyp*
  • Erkennungstechnologie
  • Anlagenanzahl
  • URL-Anzahl
  • Email Größe

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Entfernen Sie Spalten aus der Ansicht.
  • Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wenn Sie einen oder mehrere Einträge aus der Liste auswählen, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, ist aktion ausführen verfügbar. Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung.

Screenshot: Email Ansicht (Registerkarte) der Detailtabelle mit ausgewählter Nachricht und aktiver Aktion ausführen.

Im Wert Betreff für den Eintrag ist die Aktion In neuem Fenster öffnen verfügbar. Durch diese Aktion wird die Nachricht auf der Entitätsseite Email geöffnet.

Wenn Sie in einem Eintrag auf die Werte Betreff oder Empfänger klicken, werden Details-Flyouts geöffnet. Diese Flyouts werden in den folgenden Unterabschnitten beschrieben.

Email Details aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails

Wenn Sie den Betreffwert eines Eintrags in der Tabelle auswählen, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält standardisierte Zusammenfassungsinformationen, die auch auf der Entitätsseite Email für die Nachricht verfügbar sind.

Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Der Email Zusammenfassungsbereich in Defender.

Die folgenden Aktionen sind oben im Email Zusammenfassungsbereich für Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar:

  • E-Mail-Entität öffnen
  • Kopfzeile anzeigen
  • Maßnahmen ergreifen: Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung.
  • Weitere Optionen:
    • Email Preview¹ ²
    • E-Mail herunterladen ² ² ¹
    • Anzeigen in Explorer
    • Gehe jagen

¹ Die Aktionen Email Vorschau und E-Mail herunterladen erfordern die Vorschaurolle in Email & Berechtigungen für die Zusammenarbeit. Standardmäßig wird diese Rolle den Rollengruppen Datenermittler und eDiscovery-Manager zugewiesen. Standardmäßig können Mitglieder der Rollengruppen Organisationsverwaltung oder Sicherheitsadministratoren diese Aktionen nicht ausführen. Um diese Aktionen für die Mitglieder dieser Gruppen zuzulassen, haben Sie die folgenden Optionen:

  • Fügen Sie die Benutzer den Rollengruppen Datenermittler oder eDiscovery-Manager hinzu.
  • Erstellen Sie eine neue Rollengruppe mit zugewiesener Rolle Suchen und Bereinigen , und fügen Sie die Benutzer der benutzerdefinierten Rollengruppe hinzu.

² Sie können eine Vorschau von E-Mail-Nachrichten anzeigen oder herunterladen, die in Microsoft 365-Postfächern verfügbar sind. Beispiele für Nachrichten, die nicht mehr in Postfächern verfügbar sind, sind:

  • Die Nachricht wurde verworfen, bevor die Übermittlung fehlgeschlagen war.
  • Die Nachricht wurde vorläufig gelöscht (aus dem Ordner "Gelöschte Elemente", wodurch die Nachricht in den Ordner "Wiederherstellbare Elemente\Löschungen" verschoben wird).
  • ZAP hat die Nachricht in Quarantäne verschoben.

¹ E-Mail herunterladen ist für Nachrichten, die unter Quarantäne gestellt wurden, nicht verfügbar. Laden Sie stattdessen eine kennwortgeschützte Kopie der Nachricht aus der Quarantäne herunter.

Go-Suche ist nur in Threat Explorer verfügbar. Sie ist in Echtzeiterkennungen nicht verfügbar.

Empfängerdetails aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails

Wenn Sie einen Eintrag auswählen, indem Sie auf den Wert Empfänger klicken, wird ein Details-Flyout mit den folgenden Informationen geöffnet:

Tipp

Um Details zu anderen Empfängern anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element am oberen Rand des Flyouts.

  • Zusammenfassungsabschnitt :

    • Rolle: Gibt an, ob dem Empfänger Administratorrollen zugewiesen sind.
    • Richtlinien:
      • Gibt an, ob der Benutzer über die Berechtigung zum Anzeigen von Archivinformationen verfügt.
      • Gibt an, ob der Benutzer über die Berechtigung zum Anzeigen von Aufbewahrungsinformationen verfügt.
      • Gibt an, ob der Benutzer durch die Verhinderung von Datenverlust (Data Loss Prevention, DLP) abgedeckt ist.
      • Gibt an, ob der Benutzer von der Mobile-Verwaltung unter https://portal.office.com/EAdmin/Device/IntuneInventory.aspxabgedeckt wird.
  • Email Abschnitt: Eine Tabelle mit den folgenden verwandten Informationen für Nachrichten, die an den Empfänger gesendet werden:

    • Date
    • Subject
    • Empfänger

    Wählen Sie Alle E-Mails anzeigen aus, um threat Explorer auf einer neuen Registerkarte zu öffnen, die nach dem Empfänger gefiltert ist.

  • Abschnitt "Zuletzt verwendete Warnungen": Eine Tabelle mit den folgenden verwandten Informationen für verwandte aktuelle Warnungen:

    • Schweregrad
    • Warnungsrichtlinie
    • Kategorie
    • Aktivitäten

    Wenn mehr als drei aktuelle Warnungen vorhanden sind, wählen Sie Alle zuletzt angezeigten Warnungen anzeigen aus, um alle anzuzeigen.

    • Abschnitt "Letzte Aktivität": Zeigt die zusammengefassten Ergebnisse einer Überwachungsprotokollsuche für den Empfänger an:

      • Date
      • IP-Adresse
      • Aktivität
      • Item

      Wenn der Empfänger über mehr als drei Überwachungsprotokolleinträge verfügt, wählen Sie Alle zuletzt ausgeführten Aktivitäten anzeigen aus, um alle anzuzeigen.

    Tipp

    Mitglieder der Rollengruppe Sicherheitsadministratoren in Email & Berechtigungen für die Zusammenarbeit können den Abschnitt Letzte Aktivität nicht erweitern. Sie müssen Mitglied einer Rollengruppe in Exchange Online Berechtigungen sein, denen die Rollen Überwachungsprotokolle, Information Protection Analyst oder Information Protection Prüfer zugewiesen sind. Standardmäßig werden diese Rollen den Rollengruppen Datensatzverwaltung, Complianceverwaltung, Information Protection, Information Protection Analysts, Information Protection Investigators und Organization Management zugewiesen. Sie können die Mitglieder von Sicherheitsadministratoren diesen Rollengruppen hinzufügen oder eine neue Rollengruppe mit der zugewiesenen Rolle Überwachungsprotokolle erstellen.

Screenshot des Flyouts mit den Empfängerdetails, nachdem Sie auf der Registerkarte Email des Detailbereichs in der Ansicht Alle E-Mails einen Empfängerwert ausgewählt haben.

Ansicht "URL-Klicks" für den Detailbereich der Ansicht "Alle E-Mails" in "Threat Explorer

In der Ansicht URL-Klicks wird ein Diagramm angezeigt, das mithilfe von Pivots organisiert werden kann. Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Screenshot: Detailbereich der Ansicht

Tipp

In Threat Explorer verfügt jeder Pivot in der Ansicht URL-Klicks über die Aktion Alle Klicks anzeigen, mit der die Ansicht URL-Klicks auf einer neuen Registerkarte geöffnet wird.

URL-Domänen-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Obwohl dieser Diagramm-Pivot nicht ausgewählt zu sein scheint, ist die URL-Domäne der Standard-Diagramm-Pivot in der Ansicht URL-Klicks .

Der URL-Domänen-Pivot zeigt die verschiedenen Domänen in URLs in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter an.

Screenshot des Detailbereichs der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.

Klicken Sie für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Der Pivot Klickbewertung zeigt die verschiedenen Bewertungen für angeklickte URLs in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter an.

Screenshot: Detailbereich der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Klickbewertungen angezeigt.

URL-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Der URL-Pivot zeigt die verschiedenen URLs an, auf die in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und eigenschaftenfilter geklickt wurde.

Screenshot: Detailbereich der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen URLs angezeigt.

URL-Domäne und Pfad-Pivot für die Ansicht URL-Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Der Url-Domänen- und Pfad-Pivot zeigt die verschiedenen Domänen und Dateipfade von URLs an, auf die in E-Mail-Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter geklickt wurden.

Screenshot des Detailbereichs der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede URL-Domäne und jeden Dateipfad angezeigt.

Ansicht "Top URLs" für den Detailbereich der Ansicht "Alle E-Mails" in Threat Explorer

In der Ansicht Top URLs wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

  • URL
  • Blockierte Nachrichten
  • Nachrichten mit Junk-E-Mail
  • Übermittelte Nachrichten
Details zu den wichtigsten URLs für die Ansicht "Alle E-Mails"

Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Details-Flyout mit den folgenden Informationen geöffnet:

Tipp

Um Details zu anderen URLs anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Vorheriges Element und Nächstes Element oben im Flyout.

  • Die folgenden Aktionen sind oben im Flyout verfügbar:
    • URL-Seite öffnen

    • Zur Analyse übermitteln:

      • Berichts-sauber
      • Phishing melden
      • Melden von Schadsoftware
    • Indikator verwalten:

      • Indikator hinzufügen
      • Verwalten in Mandantenblockierungsliste

      Wenn Sie eine dieser Optionen auswählen, gelangen Sie im Defender-Portal zur Seite Übermittlungen .

    • Mehr:

      • Anzeigen in Explorer
      • Gehen Sie auf die Jagd
  • Ursprüngliche URL
  • Abschnitt "Erkennung ":
    • Threat Intelligence-Bewertung
    • x aktive Warnungen y Incidents: Ein horizontales Balkendiagramm, das die Anzahl der Warnungen "Hoch", " Mittel", " Niedrig" und " Info " anzeigt, die sich auf diesen Link beziehen.
    • Ein Link zur Seite Alle Incidents & Warnungen in URL anzeigen.
  • Abschnitt "Domänendetails ":
    • Domänenname und ein Link zur Seite Domäne anzeigen.
    • Registrant
    • Registriert am
    • Aktualisiert am
    • Läuft ab am
  • Kontaktinformationen für Registranten:
    • Registrator
    • Land/Region
    • Postanschrift
    • E-Mail
    • Telefon
    • Weitere Informationen: Ein Link zum Öffnen bei Whois.
  • Abschnitt URL-Prävalenz (letzte 30 Tage): Enthält die Anzahl von Geräten, Email und Klicks. Wählen Sie jeden Wert aus, um die vollständige Liste anzuzeigen.
  • Geräte: Zeigt die betroffenen Geräte an:
    • Datum (First/Last)

    • Geräte

      Wenn mehr als zwei Geräte beteiligt sind, wählen Sie Alle Geräte anzeigen aus, um alle geräte anzuzeigen.

Screenshot des Details-Flyouts nach dem Auswählen eines Eintrags auf der Registerkarte

Ansicht mit den ersten Klicks für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

In der Ansicht Mit den höchsten Klicks wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

  • URL
  • Gesperrt
  • Allowed
  • Block überschrieben
  • Ausstehendes Urteil
  • Ausstehendes Urteil umgangen
  • Keine
  • Fehlerseite
  • Versagen

Tipp

Alle verfügbaren Spalten sind ausgewählt. Wenn Sie Spalten anpassen auswählen, können Sie die Auswahl von Spalten nicht aufheben.

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Verkleineren Sie in Ihrem Webbrowser.

Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.

Ansicht mit den wichtigsten Zielbenutzern für den Detailbereich der Ansicht "Alle E-Mails" in Threat Explorer

In der Ansicht Am häufigsten ausgerichtete Benutzer werden die Daten in einer Tabelle mit den fünf wichtigsten Empfängern organisiert, die von den meisten Bedrohungen betroffen sind. Die Tabelle enthält die folgenden Informationen:

  • Am häufigsten ausgerichtete Benutzer: Die E-Mail-Adresse des Empfängers. Wenn Sie eine Empfängeradresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Empfängerdetails aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

  • Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Empfänger gefiltert wird.

Tipp

Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.

Email Ursprungsansicht für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Die Email-Ursprungsansicht zeigt Nachrichtenquellen auf einer Weltkarte an.

Screenshot der Weltkarte in der Email Ursprungsansicht im Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Kampagnenansicht für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer

Die Ansicht Kampagne zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.

Die Informationen in der Tabelle sind die gleichen wie in der Detailtabelle auf der Seite Kampagnen beschrieben.

Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Kampagnendetails beschrieben.

Ansicht "Schadsoftware" in bedrohungsbasierten Explorer und Echtzeiterkennungen

Die Ansicht Schadsoftware unter Bedrohungserkennungen Explorer und Echtzeit-Erkennungen zeigt Informationen zu E-Mail-Nachrichten an, die gefunden wurden, dass sie Schadsoftware enthalten. Diese Ansicht ist die Standardansicht in Echtzeiterkennungen.

Führen Sie zum Öffnen der Ansicht Schadsoftware einen der folgenden Schritte aus:

Screenshot: Ansicht

Filterbare Eigenschaften in der Ansicht Schadsoftware in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Feld Absenderadresse in der Ansicht Schadsoftware verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft Typ Bedrohung
Explorer
Echtzeit
Entdeckungen
Basic
Absenderadresse Text Trennen Sie mehrere Werte durch Kommas.
Empfänger Text Trennen Sie mehrere Werte durch Kommas.
Absenderdomäne Text Trennen Sie mehrere Werte durch Kommas.
Empfängerdomäne Text Trennen Sie mehrere Werte durch Kommas.
Betreff Text Trennen Sie mehrere Werte durch Kommas.
Anzeigename des Absenders Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail von Adresse Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail aus Domäne Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfad Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfaddomäne Text Trennen Sie mehrere Werte durch Kommas.
Malware-Familie Text Trennen Sie mehrere Werte durch Kommas.
Tags Text Trennen Sie mehrere Werte durch Kommas.

Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Exchange-Transportregel Text Trennen Sie mehrere Werte durch Kommas.
Regel zur Verhinderung von Datenverlust Text Trennen Sie mehrere Werte durch Kommas.
Kontext Wählen Sie einen oder mehrere Werte aus:
  • Evaluation
  • Prioritätskontoschutz
Connector Text Trennen Sie mehrere Werte durch Kommas.
Übermittlungsaktion Wählen Sie einen oder mehrere Werte aus:
Zusätzliche Aktion Wählen Sie einen oder mehrere Werte aus:
Directionality Wählen Sie einen oder mehrere Werte aus:
  • Eingehend
  • Intra-irg
  • Ausgehend
Erkennungstechnologie Wählen Sie einen oder mehrere Werte aus:
  • Erweiterter Filter: Signale basierend auf maschinellem Lernen.
  • Schutz vor Schadsoftware
  • Masse
  • Kampagnen
  • Domänenreputation
  • Datei-Detonation: Sichere Anlagen haben während der Detonationsanalyse eine schädliche Anlage erkannt.
  • Zuverlässigkeit der Dateienttonung: Dateianlagen, die zuvor von Detonationen sicherer Anlagen in anderen Microsoft 365-Organisationen erkannt wurden.
  • Dateireputation: Die Nachricht enthält eine Datei, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
  • Fingerabdruckabgleich: Die Nachricht ähnelt stark einer zuvor erkannten schädlichen Nachricht.
  • Allgemeiner Filter
  • Identitätswechselmarke: Absenderidentität bekannter Marken.
  • Identitätswechseldomäne: Identitätswechsel von Absenderdomänen, die Sie besitzen oder für den Schutz in Antiphishingrichtlinien angegeben haben
  • Vorgetäuschte Benutzeridentität
  • IP-Reputation
  • Identitätswechsel der Postfachintelligenz: Identitätswechselerkennungen von Postfachintelligenz in Antiphishingrichtlinien.
  • Erkennung gemischter Analysen: Mehrere Filter haben zur Bewertung der Nachricht beigetragen.
  • spoof DMARC: Fehler bei der Nachricht bei der DMARC-Authentifizierung.
  • Spoof externe Domäne: Absender-E-Mail-Adressspoofing mithilfe einer Domäne, die für Ihre organization extern ist.
  • Spoof innerhalb der Organisation: Spoofing der Absender-E-Mail-Adresse mithilfe einer Domäne, die für Ihre organization intern ist.
  • URL-Detonation: Sichere Links haben während der Detonationsanalyse eine schädliche URL in der Nachricht erkannt.
  • URL-Detonationsreputation: URLs, die zuvor von Safe Links-Detonationen in anderen Microsoft 365-Organisationen erkannt wurden.
  • Url mit schädlichem Ruf: Die Nachricht enthält eine URL, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
Ursprünglicher Lieferort Wählen Sie einen oder mehrere Werte aus:
  • Ordner "Gelöschte Elemente"
  • Abgeworfen
  • Fehlgeschlagen
  • Posteingang/Ordner
  • Junk-E-Mail-Ordner
  • Lokal/extern
  • Quarantäne
  • Unknown
Letzter Lieferort Dieselben Werte wie der ursprüngliche Lieferort
Primäre Außerkraftsetzung Wählen Sie einen oder mehrere Werte aus:
  • Zulässig durch organization-Richtlinie
  • Durch Benutzerrichtlinie zugelassen
  • Durch organization-Richtlinie blockiert
  • Durch Benutzerrichtlinie blockiert
  • Keine
Primäre Außerkraftsetzungsquelle Nachrichten können mehrere Zulassungs- oder Blocküberschreibungen aufweisen, wie unter Außerkraftsetzungsquelle angegeben. Die Außerkraftsetzung, die die Nachricht letztendlich zugelassen oder blockiert hat, wird in der primären Außerkraftsetzungsquelle identifiziert.
Wählen Sie einen oder mehrere Werte aus:
  • Drittanbieterfilter
  • Admin initiierte Zeitreise (ZAP)
  • Antischadsoftwarerichtlinienblock nach Dateityp
  • Antispam-Richtlinieneinstellungen
  • Verbindungsrichtlinie
  • Exchange-Transportregel
  • Exklusiver Modus (Benutzerüberschreibung)
  • Filterung aufgrund von lokalen organization übersprungen
  • IP-Regionsfilter aus richtlinie
  • Sprachfilter aus Richtlinie
  • Phishing-Simulation
  • Release unter Quarantäne stellen
  • SecOps-Postfach
  • Absenderadressenliste (Admin Außerkraftsetzung)
  • Absenderadressenliste (Benutzerüberschreibung)
  • Absenderdomänenliste (Admin Außerkraftsetzung)
  • Absenderdomänenliste (Benutzerüberschreibung)
  • Dateiblock "Mandanten zulassen/blockieren"
  • E-Mail-Adressblock der Absenderliste für Mandanten zulassen/blockieren
  • Spoofblock "Mandanten zulassen/blockierende Liste"
  • URL-Block "Mandanten zulassen/Blockieren der Liste"
  • Liste vertrauenswürdiger Kontakte (Benutzerüberschreibung)
  • Vertrauenswürdige Domäne (Benutzerüberschreibung)
  • Vertrauenswürdiger Empfänger (Benutzerüberschreibung)
  • Nur Vertrauenswürdige Absender (Benutzerüberschreibung)
Quelle außer Kraft setzen Dieselben Werte wie primäre Außerkraftsetzungsquelle
Richtlinientyp Wählen Sie einen oder mehrere Werte aus:
  • Anti-Schadsoftware-Richtlinie
  • Antiphishingrichtlinie
  • Exchange-Transportregel (Nachrichtenflussregel), Filterrichtlinie für gehostete Inhalte (Antispamrichtlinie), Richtlinie für gehostete ausgehende Spamfilter (Ausgehende Spamrichtlinie), Richtlinie für sichere Anlagen
  • Unknown
Richtlinienaktion Wählen Sie einen oder mehrere Werte aus:
  • Hinzufügen eines x-Headers
  • Bcc-Nachricht
  • Nachricht löschen
  • Betreff ändern
  • In Junk-Email Ordner verschieben
  • Keine Aktion ausgeführt
  • Umleitungsnachricht
  • Senden in Quarantäne
Email Größe Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Erweitert
Internetnachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Verfügbar im Feld Message-ID header im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern).
Netzwerknachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.
Sender-IP Text Trennen Sie mehrere Werte durch Kommas.
Anlage SHA256 Text Trennen Sie mehrere Werte durch Kommas.
Cluster-ID Text Trennen Sie mehrere Werte durch Kommas.
Warnungs-ID Text Trennen Sie mehrere Werte durch Kommas.
Warnungsrichtlinien-ID Text Trennen Sie mehrere Werte durch Kommas.
Kampagnen-ID Text Trennen Sie mehrere Werte durch Kommas.
ZAP-URL-Signal Text Trennen Sie mehrere Werte durch Kommas.
Urls
URL-Anzahl Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
URL-Domäne Text Trennen Sie mehrere Werte durch Kommas.
URL-Domäne und -Pfad Text Trennen Sie mehrere Werte durch Kommas.
URL Text Trennen Sie mehrere Werte durch Kommas.
URL-Pfad Text Trennen Sie mehrere Werte durch Kommas.
URL-Quelle Wählen Sie einen oder mehrere Werte aus:
  • Anhänge
  • Cloudanlage
  • Email Text
  • Email-Header
  • QR-Code
  • Subject
  • Unknown
Klicken Sie auf "Urteil". Wählen Sie einen oder mehrere Werte aus:
  • Erlaubt
  • Block überschrieben
  • Gesperrt
  • Error
  • Versagen
  • Keine
  • Ausstehendes Urteil
  • Ausstehendes Urteil umgangen
URL-Bedrohung Wählen Sie einen oder mehrere Werte aus:
  • Schadsoftware
  • Phishing
  • Spam
Datei
Anlagenanzahl Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Dateiname der Anlage Text Trennen Sie mehrere Werte durch Kommas.
Dateityp Text Trennen Sie mehrere Werte durch Kommas.
Dateinamenerweiterung Text Trennen Sie mehrere Werte durch Kommas.
Dateigröße Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Authentifizierung
SPF Wählen Sie einen oder mehrere Werte aus:
  • Fehler
  • Neutral
  • Keine
  • Bestehen
  • Dauerhafter Fehler
  • Weicher Fehler
  • Temporärer Fehler
DKIM Wählen Sie einen oder mehrere Werte aus:
  • Error
  • Fehler
  • Ignore
  • Keine
  • Bestehen
  • Test
  • Timeout
  • Unknown
DMARC Wählen Sie einen oder mehrere Werte aus:
  • Best guess pass
  • Fehler
  • Keine
  • Bestehen
  • Dauerhafter Fehler
  • Selektordurchlauf
  • Temporärer Fehler
  • Unknown
Zusammengesetzt Wählen Sie einen oder mehrere Werte aus:
  • Fehler
  • Keine
  • Bestehen
  • Soft Pass

Pivots für das Diagramm in der Ansicht Schadsoftware in Bedrohungs- Explorer und Echtzeiterkennungen

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die Diagramm-Pivots, die in der Ansicht Schadsoftware unter Bedrohungs Explorer erkennungen und Echtzeiterkennungen verfügbar sind, sind in der folgenden Tabelle aufgeführt:

Pivot Bedrohung
Explorer
Echtzeit
Entdeckungen
Malware-Familie
Absenderdomäne
Sender-IP
Übermittlungsaktion
Erkennungstechnologie

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Diagramm zur Schadsoftwarefamilie in der Ansicht "Schadsoftware" in "Bedrohung" Explorer

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Schadsoftwarefamilie der Standarddiagramm-Pivot in der Ansicht Schadsoftware in Threat Explorer.

Der Pivot malware family organisiert das Diagramm nach der Schadsoftwarefamilie, die in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter erkannt wurde.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Schadsoftwarefamilien angezeigt.

Sender domain chart pivot in the Malware view in Threat Explorer

Der Pivot Absenderdomäne organisiert das Diagramm nach der Absenderdomäne von Nachrichten, die schadsoftware für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter enthalten.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absenderdomänen angezeigt.

Pivot des Absender-IP-Diagramms in der Ansicht Schadsoftware in Threat Explorer

Der Pivot Absender-IP organisiert das Diagramm nach der Quell-IP-Adresse von Nachrichten, die schadsoftware für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter enthalten.

Screenshot des Diagramms in der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen Quell-IP-Adressen angezeigt.

Pivotieren des Übermittlungsaktionsdiagramms in der Ansicht "Schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Übermittlungsaktion der Standarddiagramm-Pivot in der Ansicht Schadsoftware in Echtzeiterkennungen.

Der Pivot "Übermittlungsaktion " organisiert das Diagramm nach den Vorgängen von Nachrichten, die Schadsoftware für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter enthalten.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Übermittlungsaktionen angezeigt.

Diagramm "Erkennungstechnologie" in der Ansicht "Schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Der Pivot Erkennungstechnologie organisiert das Diagramm nach dem Feature, das Schadsoftware in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Ansichten für den Detailbereich der Ansicht Schadsoftware in Bedrohungs- Explorer und Echtzeiterkennungen

Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Schadsoftwareansicht sind in der folgenden Tabelle aufgeführt und in den folgenden Unterabschnitten beschrieben.

Anzeigen Bedrohung
Explorer
Echtzeit
Entdeckungen
E-Mail
Top-Schadsoftwarefamilien
Am häufigsten ausgerichtete Benutzer
Email Ursprung
Kampagnen

Email Ansicht für den Detailbereich der Ansicht Schadsoftware unter Bedrohungserkennungen Explorer und Echtzeiterkennungen

Email ist die Standardansicht für den Detailbereich der Ansicht Schadsoftware unter Bedrohungserkennungen Explorer und Echtzeiterkennungen.

Die ansicht Email zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern.

In der folgenden Tabelle sind die Spalten aufgeführt, die unter Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar sind. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet.

Spalte Bedrohung
Explorer
Echtzeit
Entdeckungen
Datum*
Betreff*
Empfänger*
Empfängerdomäne
Schilder*
Absenderadresse*
Anzeigename des Absenders
Absenderdomäne*
Sender-IP
Absender-E-Mail von Adresse
Absender-E-Mail aus Domäne
Zusätzliche Aktionen*
Übermittlungsaktion
Letzter Lieferort*
Ursprünglicher Lieferort*
Quelle für Systemüberschreibungen
Systemüberschreibungen
Warnungs-ID
Internetnachrichten-ID
Netzwerknachrichten-ID
E-Mail-Sprache
Exchange-Transportregel
Connector
Context
Regel zur Verhinderung von Datenverlust
Bedrohungstyp*
Erkennungstechnologie
Anlagenanzahl
URL-Anzahl
Email Größe

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Entfernen Sie Spalten aus der Ansicht.
  • Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wenn Sie einen oder mehrere Einträge aus der Liste auswählen, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, ist aktion ausführen verfügbar. Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung.

Screenshot: Email Ansicht (Registerkarte) der Detailtabelle mit ausgewählter Nachricht und aktiver Aktion ausführen.

Wenn Sie in einem Eintrag auf die Werte Betreff oder Empfänger klicken, werden Details-Flyouts geöffnet. Diese Flyouts werden in den folgenden Unterabschnitten beschrieben.

Email Details aus der Email Ansicht des Detailbereichs in der Schadsoftwareansicht

Wenn Sie den Betreffwert eines Eintrags in der Tabelle auswählen, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält standardisierte Zusammenfassungsinformationen, die auch auf der Entitätsseite Email für die Nachricht verfügbar sind.

Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Die Email Zusammenfassungspanels.

Die verfügbaren Aktionen am oberen Rand des Email Zusammenfassungsbereichs für Explorer Bedrohungserkennungen und Echtzeiterkennungen werden in den Email Details aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

Empfängerdetails aus der Email Ansicht des Detailbereichs in der Schadsoftwareansicht

Wenn Sie einen Eintrag auswählen, indem Sie auf den Wert Empfänger klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Empfängerdetails aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

Ansicht der wichtigsten Schadsoftwarefamilien für den Detailbereich der Ansicht "Schadsoftware" in "Threat Explorer

Die Ansicht Top Malware Familien für den Detailbereich organisiert die Daten in einer Tabelle der wichtigsten Malware-Familien. Die Tabelle zeigt Folgendes:

  • Top Malware Familien Spalte: Der Name der Malware-Familie.

    Wenn Sie einen Malware-Familiennamen auswählen, wird ein Details-Flyout geöffnet, das die folgenden Informationen enthält:

    • Email Abschnitt: Eine Tabelle mit den folgenden verwandten Informationen für Nachrichten, die die Schadsoftwaredatei enthalten:

      • Date
      • Subject
      • Empfänger

      Wählen Sie Alle E-Mails anzeigen aus, um threat Explorer auf einer neuen Registerkarte zu öffnen, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

    • Abschnitt "Technische Details"

    Screenshot des Details-Flyouts, nachdem Sie eine Malwarefamilie auf der Registerkarte Top-Malware-Familien des Detailbereichs in der Ansicht Malware von Threat Explorer ausgewählt haben.

  • Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

Ansicht der am häufigsten betroffenen Benutzer für den Detailbereich der Ansicht Schadsoftware in Threat Explorer

Die Ansicht Am häufigsten zielorientierte Benutzer organisiert die Daten in einer Tabelle mit den fünf wichtigsten Empfängern, die von Schadsoftware betroffen sind. Die Tabelle zeigt Folgendes:

  • Benutzer mit den höchsten Zielzielen: Die E-Mail-Adresse des Am häufigsten betroffenen Benutzers. Wenn Sie eine E-Mail-Adresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind identisch mit den Informationen, die in der Ansicht "Am häufigsten zielorientierte Benutzer" für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer beschrieben werden.

  • Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

Tipp

Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.

Email Ursprungsansicht für den Detailbereich der Ansicht Schadsoftware in Threat Explorer

Die Email-Ursprungsansicht zeigt Nachrichtenquellen auf einer Weltkarte an.

Kampagnenansicht für den Detailbereich der Ansicht Schadsoftware in Threat Explorer

Die Ansicht Kampagne zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.

Die Detailtabelle ist mit der Detailtabelle auf der Seite Kampagnen identisch.

Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Kampagnendetails beschrieben.

Phishingansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Die Ansicht "Phishing" in "Bedrohungserkennungen Explorer" und "Echtzeiterkennungen" zeigt Informationen zu E-Mail-Nachrichten an, die als Phishing identifiziert wurden.

Führen Sie zum Öffnen der Phish-Ansicht einen der folgenden Schritte aus:

Screenshot der Ansicht

Filterbare Eigenschaften in der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Feld Absenderadresse in der Ansicht Schadsoftware verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft Typ Bedrohung
Explorer
Echtzeit
Entdeckungen
Basic
Absenderadresse Text Trennen Sie mehrere Werte durch Kommas.
Empfänger Text Trennen Sie mehrere Werte durch Kommas.
Absenderdomäne Text Trennen Sie mehrere Werte durch Kommas.
Empfängerdomäne Text Trennen Sie mehrere Werte durch Kommas.
Betreff Text Trennen Sie mehrere Werte durch Kommas.
Anzeigename des Absenders Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail von Adresse Text Trennen Sie mehrere Werte durch Kommas.
Absender-E-Mail aus Domäne Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfad Text Trennen Sie mehrere Werte durch Kommas.
Rückgabepfaddomäne Text Trennen Sie mehrere Werte durch Kommas.
Tags Text Trennen Sie mehrere Werte durch Kommas.

Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Identitätswechseldomäne Text Trennen Sie mehrere Werte durch Kommas.
Angenommener Benutzer Text Trennen Sie mehrere Werte durch Kommas.
Exchange-Transportregel Text Trennen Sie mehrere Werte durch Kommas.
Regel zur Verhinderung von Datenverlust Text Trennen Sie mehrere Werte durch Kommas.
Kontext Wählen Sie einen oder mehrere Werte aus:
  • Evaluation
  • Prioritätskontoschutz
Connector Text Trennen Sie mehrere Werte durch Kommas.
Übermittlungsaktion Wählen Sie einen oder mehrere Werte aus:
Zusätzliche Aktion Wählen Sie einen oder mehrere Werte aus:
  • Automatisierte Behebung
  • Dynamische Übermittlung
  • Manuelle Wartung
  • Keine
  • Release unter Quarantäne stellen
  • Aufbereitet
  • ZAP
Directionality Wählen Sie einen oder mehrere Werte aus:
  • Eingehend
  • Intra-irg
  • Ausgehend
Erkennungstechnologie Wählen Sie einen oder mehrere Werte aus:
  • Erweiterter Filter
  • Schutz vor Schadsoftware
  • Masse
  • Kampagnen
  • Domänenreputation
  • Dateidetonation
  • Reputation der Dateidetonation
  • Datei-Reputation
  • Fingerabdruckübereinstimmung
  • Allgemeiner Filter
  • Vorgetäuschte Marke
  • Vorgetäuschte Domäne
  • Vorgetäuschte Benutzeridentität
  • IP-Reputation
  • Mailbox Intelligence-basierte Identitätsvortäuschung
  • Erkennung durch gemischte Analysen
  • Spoofen von DMARC
  • Spoofing externer Domäne
  • Organisationsinternes Spoofing
  • URL-Detonation
  • Reputation der URL-Detonation
  • URL-Reputation als schädlich eingestuft
Ursprünglicher Lieferort Wählen Sie einen oder mehrere Werte aus:
  • Ordner "Gelöschte Elemente"
  • Abgeworfen
  • Fehlgeschlagen
  • Posteingang/Ordner
  • Junk-E-Mail-Ordner
  • Lokal/extern
  • Quarantäne
  • Unknown
Letzter Lieferort Dieselben Werte wie der ursprüngliche Lieferort
Phish-Konfidenzniveau Wählen Sie einen oder mehrere Werte aus:
  • High
  • Normal
Primäre Außerkraftsetzung Wählen Sie einen oder mehrere Werte aus:
  • Zulässig durch organization-Richtlinie
  • Durch Benutzerrichtlinie zugelassen
  • Durch organization-Richtlinie blockiert
  • Durch Benutzerrichtlinie blockiert
  • Keine
Primäre Außerkraftsetzungsquelle Nachrichten können mehrere Zulassungs- oder Blocküberschreibungen aufweisen, wie unter Außerkraftsetzungsquelle angegeben. Die Außerkraftsetzung, die die Nachricht letztendlich zugelassen oder blockiert hat, wird in der primären Außerkraftsetzungsquelle identifiziert.
Wählen Sie einen oder mehrere Werte aus:
  • Drittanbieterfilter
  • Admin initiierte Zeitreise (ZAP)
  • Antischadsoftwarerichtlinienblock nach Dateityp
  • Antispam-Richtlinieneinstellungen
  • Verbindungsrichtlinie
  • Exchange-Transportregel
  • Exklusiver Modus (Benutzerüberschreibung)
  • Filterung aufgrund von lokalen organization übersprungen
  • IP-Regionsfilter aus richtlinie
  • Sprachfilter aus Richtlinie
  • Phishing-Simulation
  • Release unter Quarantäne stellen
  • SecOps-Postfach
  • Absenderadressenliste (Admin Außerkraftsetzung)
  • Absenderadressenliste (Benutzerüberschreibung)
  • Absenderdomänenliste (Admin Außerkraftsetzung)
  • Absenderdomänenliste (Benutzerüberschreibung)
  • Dateiblock "Mandanten zulassen/blockieren"
  • E-Mail-Adressblock der Absenderliste für Mandanten zulassen/blockieren
  • Spoofblock "Mandanten zulassen/blockierende Liste"
  • URL-Block "Mandanten zulassen/Blockieren der Liste"
  • Liste vertrauenswürdiger Kontakte (Benutzerüberschreibung)
  • Vertrauenswürdige Domäne (Benutzerüberschreibung)
  • Vertrauenswürdiger Empfänger (Benutzerüberschreibung)
  • Nur Vertrauenswürdige Absender (Benutzerüberschreibung)
Quelle außer Kraft setzen Dieselben Werte wie primäre Außerkraftsetzungsquelle
Richtlinientyp Wählen Sie einen oder mehrere Werte aus:
  • Anti-Schadsoftware-Richtlinie
  • Antiphishingrichtlinie
  • Exchange-Transportregel (Nachrichtenflussregel), Filterrichtlinie für gehostete Inhalte (Antispamrichtlinie), Richtlinie für gehostete ausgehende Spamfilter (Ausgehende Spamrichtlinie), Richtlinie für sichere Anlagen
  • Unknown
Richtlinienaktion Wählen Sie einen oder mehrere Werte aus:
  • Hinzufügen eines x-Headers
  • Bcc-Nachricht
  • Nachricht löschen
  • Betreff ändern
  • In Junk-Email Ordner verschieben
  • Keine Aktion ausgeführt
  • Umleitungsnachricht
  • Senden in Quarantäne
Email Größe Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Erweitert
Internetnachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Verfügbar im Feld Message-ID header im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern).
Netzwerknachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.
Sender-IP Text Trennen Sie mehrere Werte durch Kommas.
Anlage SHA256 Text Trennen Sie mehrere Werte durch Kommas.
Cluster-ID Text Trennen Sie mehrere Werte durch Kommas.
Warnungs-ID Text Trennen Sie mehrere Werte durch Kommas.
Warnungsrichtlinien-ID Text Trennen Sie mehrere Werte durch Kommas.
Kampagnen-ID Text Trennen Sie mehrere Werte durch Kommas.
ZAP-URL-Signal Text Trennen Sie mehrere Werte durch Kommas.
Urls
URL-Anzahl Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
URL-Domäne Text Trennen Sie mehrere Werte durch Kommas.
URL-Domäne und -Pfad Text Trennen Sie mehrere Werte durch Kommas.
URL Text Trennen Sie mehrere Werte durch Kommas.
URL-Pfad Text Trennen Sie mehrere Werte durch Kommas.
URL-Quelle Wählen Sie einen oder mehrere Werte aus:
  • Anhänge
  • Cloudanlage
  • Email Text
  • Email-Header
  • QR-Code
  • Subject
  • Unknown
Klicken Sie auf "Urteil". Wählen Sie einen oder mehrere Werte aus:
  • Erlaubt
  • Block überschrieben
  • Gesperrt
  • Error
  • Versagen
  • Keine
  • Ausstehendes Urteil
  • Ausstehendes Urteil umgangen
URL-Bedrohung Wählen Sie einen oder mehrere Werte aus:
  • Schadsoftware
  • Phishing
  • Spam
Datei
Anlagenanzahl Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Dateiname der Anlage Text Trennen Sie mehrere Werte durch Kommas.
Dateityp Text Trennen Sie mehrere Werte durch Kommas.
Dateinamenerweiterung Text Trennen Sie mehrere Werte durch Kommas.
Dateigröße Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.
Authentifizierung
SPF Wählen Sie einen oder mehrere Werte aus:
  • Fehler
  • Neutral
  • Keine
  • Bestehen
  • Dauerhafter Fehler
  • Weicher Fehler
  • Temporärer Fehler
DKIM Wählen Sie einen oder mehrere Werte aus:
  • Error
  • Fehler
  • Ignore
  • Keine
  • Bestehen
  • Test
  • Timeout
  • Unknown
DMARC Wählen Sie einen oder mehrere Werte aus:
  • Best guess pass
  • Fehler
  • Keine
  • Bestehen
  • Dauerhafter Fehler
  • Selektordurchlauf
  • Temporärer Fehler
  • Unknown
Zusammengesetzt Wählen Sie einen oder mehrere Werte aus:
  • Fehler
  • Keine
  • Bestehen
  • Soft Pass

Pivots für das Diagramm in der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die diagrammbasierten Pivots, die in der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar sind, sind in der folgenden Tabelle aufgeführt:

Pivot Bedrohung
Explorer
Echtzeit
Entdeckungen
Absenderdomäne
Sender-IP
Übermittlungsaktion
Erkennungstechnologie
Vollständige URL
URL-Domäne
URL-Domäne und -Pfad

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Sender domain chart pivot in the Phish view in Threat Explorer and Real-time detections

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Absenderdomäne der Standarddiagramm-Pivot in der Phish-Ansicht in Echtzeiterkennungen.

Der Pivot Absenderdomäne organisiert das Diagramm nach den Domänen in Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Absenderdomänen angezeigt.

Pivot des Absender-IP-Diagramms in der Phish-Ansicht in Threat Explorer

Der Pivot Absender-IP organisiert das Diagramm nach den Quell-IP-Adressen von Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen Quell-IP-Adressen angezeigt.

Bereitstellungsaktionsdiagramm in der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Übermittlungsaktion der Standard-Diagramm-Pivot in der Phish-Ansicht in Threat Explorer.

Der Pivot "Übermittlungsaktion " organisiert das Diagramm nach den Aktionen, die für Nachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter ausgeführt werden.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Übermittlungsaktionen angezeigt.

Erkennungstechnologie-Diagramm in der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Der Pivot "Erkennungstechnologie " organisiert das Diagramm nach dem Feature, das die Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Pivot für vollständige URL-Diagramme in der Ansicht "Phish" in Threat Explorer

Der Pivot "Vollständige URL " organisiert das Diagramm nach den vollständigen URLs in Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen vollständigen URLs angezeigt.

URL-Domänendiagramm in der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Der URL-Domänen-Pivot organisiert das Diagramm nach den Domänen in URLs in Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.

Url-Domänen- und Pfaddiagramm-Pivot in der Phish-Ansicht in Threat Explorer

Der URL-Domänen- und Pfad-Pivot organisiert das Diagramm nach den Domänen und Pfaden in URLs in Phishingnachrichten für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Phish-Ansicht in Threat Explorer unter Verwendung der URL-Domäne und des Pfad-Pivots.

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede URL-Domäne und jeden Pfad angezeigt.

Ansichten für den Detailbereich der Phish-Ansicht in Threat Explorer

Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Phish-Ansicht sind in der folgenden Tabelle aufgeführt und in den folgenden Unterabschnitten beschrieben.

Anzeigen Bedrohung
Explorer
Echtzeit
Entdeckungen
E-Mail
URL-Klicks
Top-URLs
Top-Klicks
Am häufigsten ausgerichtete Benutzer
Email Ursprung
Kampagnen

Email Ansicht für den Detailbereich der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen

Email ist die Standardansicht für den Detailbereich der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen.

Die ansicht Email zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern.

In der folgenden Tabelle sind die Spalten aufgeführt, die unter Bedrohungserkennungen Explorer und Echtzeiterkennungen verfügbar sind. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet.

Spalte Bedrohung
Explorer
Echtzeit
Entdeckungen
Datum*
Betreff*
Empfänger*
Empfängerdomäne
Schilder*
Absenderadresse*
Anzeigename des Absenders
Absenderdomäne*
Sender-IP
Absender-E-Mail von Adresse
Absender-E-Mail aus Domäne
Zusätzliche Aktionen*
Übermittlungsaktion
Letzter Lieferort*
Ursprünglicher Lieferort*
Quelle für Systemüberschreibungen
Systemüberschreibungen
Warnungs-ID
Internetnachrichten-ID
Netzwerknachrichten-ID
E-Mail-Sprache
Exchange-Transportregel
Connector
Phish-Konfidenzniveau
Context
Regel zur Verhinderung von Datenverlust
Bedrohungstyp*
Erkennungstechnologie
Anlagenanzahl
URL-Anzahl
Email Größe

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Entfernen Sie Spalten aus der Ansicht.
  • Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wenn Sie einen oder mehrere Einträge aus der Liste auswählen, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren, ist aktion ausführen verfügbar. Weitere Informationen finden Sie unter Bedrohungssuche: Email Wartung.

Screenshot: Email Ansicht (Registerkarte) der Detailtabelle mit ausgewählter Nachricht und aktiver Aktion ausführen.

Wenn Sie in einem Eintrag auf die Werte Betreff oder Empfänger klicken, werden Details-Flyouts geöffnet. Diese Flyouts werden in den folgenden Unterabschnitten beschrieben.

Email Details aus der Email Ansicht des Detailbereichs in der Phish-Ansicht

Wenn Sie den Betreffwert eines Eintrags in der Tabelle auswählen, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält standardisierte Zusammenfassungsinformationen, die auch auf der Entitätsseite Email für die Nachricht verfügbar sind.

Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Der Email-Zusammenfassungsbereich in Defender for Office 365 Features.

Die verfügbaren Aktionen am oberen Rand des Email Zusammenfassungsbereichs für Explorer Bedrohungserkennungen und Echtzeiterkennungen werden in den Email Details aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

Empfängerdetails aus der Email Ansicht des Detailbereichs in der Phish-Ansicht

Wenn Sie einen Eintrag auswählen, indem Sie auf den Wert Empfänger klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Empfängerdetails aus der Email Ansicht des Detailbereichs in der Ansicht Alle E-Mails beschrieben.

Url-Klickansicht für den Detailbereich der Phish-Ansicht in Bedrohungs- Explorer und Echtzeiterkennungen

In der Ansicht URL-Klicks wird ein Diagramm angezeigt, das mithilfe von Pivots organisiert werden kann. Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die Diagramm-Pivots, die in der Ansicht Schadsoftware unter Bedrohungs Explorer erkennungen und Echtzeiterkennungen verfügbar sind, werden in der folgenden Tabelle beschrieben:

Pivot Bedrohung
Explorer
Echtzeit
Entdeckungen
URL-Domäne
Klicken Sie auf "Urteil".
URL
URL-Domäne und -Pfad

Die gleichen Diagramm-Pivots sind verfügbar und werden für die Ansicht Alle E-Mails in Threat Explorer beschrieben:

Screenshot des Detailbereichs der Ansicht

Tipp

In Threat Explorer verfügt jeder Pivot in der Ansicht URL-Klicks über die Aktion Alle Klicks anzeigen, die die Ansicht URL-Klicks in Bedrohungs-Explorer auf einer neuen Registerkarte öffnet. Diese Aktion ist in Echtzeiterkennungen nicht verfügbar, da die Ansicht URL-Klicks in Echtzeiterkennungen nicht verfügbar ist.

Ansicht "Top URLs" für den Detailbereich der Ansicht "Phish" in "Threat Explorer" und "Echtzeiterkennungen"

In der Ansicht Top URLs wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

  • URL
  • Blockierte Nachrichten
  • Nachrichten mit Junk-E-Mail
  • Übermittelte Nachrichten
Details zu den wichtigsten URLs für die Phish-Ansicht

Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.

Tipp

Die Aktion Go hunt ist nur in Threat Explorer verfügbar.The Go hunt action is only available in Threat Explorer. Sie ist in Echtzeiterkennungen nicht verfügbar.

Ansicht mit den höchsten Klicks für den Detailbereich der Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen

In der Ansicht Mit den höchsten Klicks wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

  • URL
  • Gesperrt
  • Allowed
  • Block überschrieben
  • Ausstehendes Urteil
  • Ausstehendes Urteil umgangen
  • Keine
  • Fehlerseite
  • Versagen

Tipp

Alle verfügbaren Spalten sind ausgewählt. Wenn Sie Spalten anpassen auswählen, können Sie die Auswahl von Spalten nicht aufheben.

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Verkleineren Sie in Ihrem Webbrowser.

Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.

Ansicht der am häufigsten betroffenen Benutzer für den Detailbereich der Phish-Ansicht in Threat Explorer

In der Ansicht Am häufigsten ausgerichtete Benutzer werden die Daten in einer Tabelle mit den fünf wichtigsten Empfängern organisiert, die von Phishingversuchen betroffen waren. Die Tabelle zeigt Folgendes:

  • Benutzer mit den höchsten Zielzielen: Die E-Mail-Adresse des Am häufigsten betroffenen Benutzers. Wenn Sie eine E-Mail-Adresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind identisch mit den Informationen, die in der Ansicht "Am häufigsten zielorientierte Benutzer" für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer beschrieben werden.

  • Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

Tipp

Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.

Email Ursprungsansicht für den Detailbereich der Phish-Ansicht in Threat Explorer

Die Email-Ursprungsansicht zeigt Nachrichtenquellen auf einer Weltkarte an.

Kampagnenansicht für den Detailbereich der Phish-Ansicht in Threat Explorer

Die Ansicht Kampagne zeigt eine Detailtabelle an. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken.

Die Informationen in der Tabelle sind die gleichen wie in der Detailtabelle auf der Seite Kampagnen beschrieben.

Wenn Sie einen Eintrag auswählen, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen neben dem Namen klicken, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Kampagnendetails beschrieben.

Ansicht "Kampagnen" in "Threat Explorer"

Die Ansicht Kampagnen in Threat Explorer enthält Informationen zu Bedrohungen, die als koordinierte Phishing- und Schadsoftwareangriffe identifiziert wurden, entweder speziell für Ihre organization oder für andere Organisationen in Microsoft 365.

Um die Ansicht Kampagnen auf der Seite Explorer im Defender-Portal unter https://security.microsoft.comzu öffnen, wechseln Sie zu Email & Registerkarte Zusammenarbeit>Explorer>Campaigns. Oder navigieren Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte Kampagnen aus.

Alle verfügbaren Informationen und Aktionen sind mit den Informationen und Aktionen auf der Seite Kampagnen unter https://security.microsoft.com/campaignsv3identisch. Weitere Informationen finden Sie auf der Seite Kampagnen im Microsoft Defender-Portal.

Screenshot der Ansicht

Ansicht von Schadsoftware in Bedrohungs- Explorer und Echtzeiterkennungen

Die Ansicht Inhalt schadsoftware in Bedrohungs- Explorer und Echtzeiterkennungen zeigt Informationen zu Dateien an, die von als Schadsoftware identifiziert wurden:

Führen Sie einen der folgenden Schritte aus, um die Ansicht Schadsoftware inhalt zu öffnen:

Screenshot der Ansicht

Filterbare Eigenschaften in der Ansicht "Inhalt schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Feld Dateiname in der Ansicht Schadsoftware inhalt unter Explorer Bedrohungserkennungen und Echtzeiterkennungen verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft Typ Bedrohung
Explorer
Echtzeit
Entdeckungen
Datei
Dateiname Text Trennen Sie mehrere Werte durch Kommas.
Arbeitslast Wählen Sie einen oder mehrere Werte aus:
  • OneDrive
  • SharePoint
  • Microsoft Teams
Website Text Trennen Sie mehrere Werte durch Kommas.
Dateibesitzer Text Trennen Sie mehrere Werte durch Kommas.
Zuletzt geändert von Text Trennen Sie mehrere Werte durch Kommas.
SHA256 Ganze Zahl. Trennen Sie mehrere Werte durch Kommas.

Um den SHA256-Hashwert einer Datei in Windows zu ermitteln, führen Sie den folgenden Befehl an einer Eingabeaufforderung aus: certutil.exe -hashfile "<Path>\<Filename>" SHA256.
Malware-Familie Text Trennen Sie mehrere Werte durch Kommas.
Erkennungstechnologie Wählen Sie einen oder mehrere Werte aus:
  • Erweiterter Filter
  • Schutz vor Schadsoftware
  • Masse
  • Kampagnen
  • Domänenreputation
  • Dateidetonation
  • Reputation der Dateidetonation
  • Datei-Reputation
  • Fingerabdruckübereinstimmung
  • Allgemeiner Filter
  • Vorgetäuschte Marke
  • Vorgetäuschte Domäne
  • Vorgetäuschte Benutzeridentität
  • IP-Reputation
  • Mailbox Intelligence-basierte Identitätsvortäuschung
  • Erkennung durch gemischte Analysen
  • Spoofen von DMARC
  • Spoofing externer Domäne
  • Organisationsinternes Spoofing
  • URL-Detonation
  • Reputation der URL-Detonation
  • URL-Reputation als schädlich eingestuft
Bedrohungstyp Wählen Sie einen oder mehrere Werte aus:
  • Blockieren
  • Schadsoftware
  • Phishing
  • Spam

Pivots für das Diagramm in der Ansicht "Inhalt schadsoftware" unter Bedrohungserkennungen Explorer und Echtzeiterkennungen

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die diagrammbasierten Pivots, die in der Ansicht Schadsoftware für Inhalt in bedrohungsbasierten Explorer und Echtzeiterkennungen verfügbar sind, sind in der folgenden Tabelle aufgeführt:

Pivot Bedrohung
Explorer
Echtzeit
Entdeckungen
Malware-Familie
Erkennungstechnologie
Arbeitslast

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Diagramm zur Schadsoftwarefamilie in der Ansicht "Inhalt schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die Schadsoftwarefamilie der Standarddiagramm-Pivot in der Ansicht Schadsoftware inhalt in Bedrohungs- Explorer und Echtzeiterkennungen.

Der Pivot der Schadsoftwarefamilie organisiert das Diagramm anhand der schadsoftware, die in Dateien in SharePoint, OneDrive und Microsoft Teams identifiziert wurde, indem der angegebene Datums-/Uhrzeitbereich und Eigenschaftenfilter verwendet werden.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Schadsoftwarefamilien angezeigt.

Diagramm "Erkennungstechnologie" in der Ansicht "Schadsoftware" in "Bedrohungs- Explorer" und "Echtzeiterkennungen"

Der Pivot Erkennungstechnologie organisiert das Diagramm nach dem Feature, das Schadsoftware in Dateien in SharePoint, OneDrive und Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Pivotieren des Arbeitsauslastungsdiagramms in der Ansicht "Inhalt schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Der Pivot Workload organisiert das Diagramm nach dem Ort, an dem die Schadsoftware identifiziert wurde (SharePoint, OneDrive oder Microsoft Teams) für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede Workload angezeigt.

Ansichten für den Detailbereich der Ansicht "Inhalt schadsoftware" unter Bedrohungserkennungen Explorer und Echtzeiterkennungen

Unter Bedrohungs Explorer erkennungen und Echtzeiterkennungen enthält der Detailbereich der Ansicht Schadsoftware inhalt nur eine Ansicht (Registerkarte) mit dem Namen Dokumente. Diese Ansicht wird im folgenden Unterabschnitt beschrieben.

Dokumentansicht für den Detailbereich der Ansicht "Inhalt schadsoftware" in Bedrohungserkennungen Explorer und Echtzeiterkennungen

Dokument ist die standard- und einzige Ansicht für den Detailbereich in der Ansicht Schadsoftware inhalt .

In der Dokumentansicht wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Die Standardwerte sind mit einem Sternchen (*) gekennzeichnet:

  • Datum*
  • Name*
  • Arbeitsbelastung*
  • Bedrohung*
  • Erkennungstechnologie*
  • Zuletzt geänderter Benutzer*
  • Dateibesitzer*
  • Größe (Bytes)*
  • Zeitpunkt der letzten Änderung
  • Websitepfad
  • Dateipfad
  • Dokument-ID
  • SHA256
  • Erkanntes Datum
  • Malware-Familie
  • Context

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Entfernen Sie Spalten aus der Ansicht.
  • Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wenn Sie in der Spalte Name einen Dateinamenwert auswählen, wird ein Details-Flyout geöffnet. Das Flyout enthält die folgenden Informationen:

  • Zusammenfassungsabschnitt :

    • Filename
    • Websitepfad
    • Dateipfad
    • Dokument-ID
    • SHA256
    • Datum der letzten Änderung
    • Zuletzt geändert von
    • Bedrohung
    • Erkennungstechnologie
  • Detailabschnitt :

    • Erkanntes Datum
    • Erkannt von
    • Name der Schadsoftware
    • Zuletzt geändert von
    • Dateigröße
    • Dateibesitzer
  • Email Listenabschnitt: Eine Tabelle mit den folgenden verwandten Informationen für Nachrichten, die die Schadsoftwaredatei enthalten:

    • Date
    • Subject
    • Empfänger

    Wählen Sie Alle E-Mails anzeigen aus, um threat Explorer auf einer neuen Registerkarte zu öffnen, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

  • Letzte Aktivität: Zeigt die zusammengefassten Ergebnisse einer Überwachungsprotokollsuche für den Empfänger an:

    • Date
    • IP-Adresse
    • Aktivität
    • Item

    Wenn der Empfänger über mehr als drei Überwachungsprotokolleinträge verfügt, wählen Sie Alle zuletzt ausgeführten Aktivitäten anzeigen aus, um alle anzuzeigen.

    Tipp

    Mitglieder der Rollengruppe Sicherheitsadministratoren in Email & Berechtigungen für die Zusammenarbeit können den Abschnitt Letzte Aktivität nicht erweitern. Sie müssen Mitglied einer Rollengruppe in Exchange Online Berechtigungen sein, denen die Rollen Überwachungsprotokolle, Information Protection Analyst oder Information Protection Prüfer zugewiesen sind. Standardmäßig werden diese Rollen den Rollengruppen Datensatzverwaltung, Complianceverwaltung, Information Protection, Information Protection Analysts, Information Protection Investigators und Organization Management zugewiesen. Sie können die Mitglieder von Sicherheitsadministratoren diesen Rollengruppen hinzufügen oder eine neue Rollengruppe mit der zugewiesenen Rolle Überwachungsprotokolle erstellen.

Screenshot des Details-Flyouts aus der Dokumentansicht für den Detailbereich der Ansicht

Ansicht "URL-Klicks" in "Threat Explorer

Die Ansicht URL-Klicks in Threat Explorer zeigt alle Benutzerklicks auf URLs in E-Mails, in unterstützten Office-Dateien in SharePoint und OneDrive und in Microsoft Teams an.

Um die Ansicht URL-Klicks auf der Seite Explorer im Defender-Portal unter https://security.microsoft.comzu öffnen, wechseln Sie zu Email & Registerkarte "Collaboration>Explorer>URL clicks". Oder navigieren Sie mit direkt zur Seitehttps://security.microsoft.com/threatexplorerv3Explorer, und wählen Sie dann die Registerkarte URL-Klicks aus.

Screenshot der Ansicht

Filterbare Eigenschaften in der Ansicht "URL-Klicks" in Threat Explorer

Standardmäßig werden keine Eigenschaftenfilter auf die Daten angewendet. Die Schritte zum Erstellen von Filtern (Abfragen) werden weiter unten in diesem Artikel im Abschnitt Filter in Threat Explorer und Echtzeiterkennungen beschrieben.

Die filterbaren Eigenschaften, die im Feld Empfänger in der Ansicht URL-Klicks in Threat Explorer verfügbar sind, werden in der folgenden Tabelle beschrieben:

Eigenschaft Typ
Basic
Empfänger Text Trennen Sie mehrere Werte durch Kommas.
Tags Text Trennen Sie mehrere Werte durch Kommas.

Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Netzwerknachrichten-ID Text Trennen Sie mehrere Werte durch Kommas.

Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.
URL Text Trennen Sie mehrere Werte durch Kommas.
Klickaktion Wählen Sie einen oder mehrere Werte aus:
  • Erlaubt
  • Seite "Blockieren"
  • Außerkraftsetzung von Blockseiten
  • Fehlerseite
  • Versagen
  • Keine
  • Seite "Ausstehende Detonation"
  • Außerkraftsetzung der Ausstehender Detonation
Bedrohungstyp Wählen Sie einen oder mehrere Werte aus:
  • Zulassen
  • Blockieren
  • Schadsoftware
  • Phishing
  • Spam
Erkennungstechnologie Wählen Sie einen oder mehrere Werte aus:
  • URL-Detonation
  • Reputation der URL-Detonation
  • URL-Reputation als schädlich eingestuft
Klicken Sie auf ID. Text Trennen Sie mehrere Werte durch Kommas.
Client-IP Text Trennen Sie mehrere Werte durch Kommas.

Pivots für das Diagramm in der Ansicht "URL-Klicks" in Threat Explorer

Das Diagramm verfügt über eine Standardansicht, aber Sie können einen Wert unter Pivot für Histogramm auswählen auswählen auswählen, um zu ändern, wie die gefilterten oder ungefilterten Diagrammdaten organisiert und angezeigt werden.

Die verfügbaren Diagramm pivots werden in den folgenden Unterabschnitten beschrieben.

Url-Domänendiagramm in der Ansicht "URL-Klicks" in "Threat Explorer

Obwohl dieser Pivot standardmäßig nicht ausgewählt aussieht, ist die URL-Domäne der Standarddiagramm-Pivot in der Ansicht URL-Klicks .

Der URL-Domänen-Pivot organisiert das Diagramm nach den Domänen in URLs, auf die Benutzer in E-Mails, Office-Dateien oder Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter geklickt haben.

Screenshot des Diagramms in der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen URL-Domänen angezeigt.

Workloaddiagramm-Pivot in der Ansicht "URL-Klicks" in Threat Explorer

Der Pivot Workload organisiert das Diagramm nach der Position der angeklickten URL (E-Mail, Office-Dateien oder Microsoft Teams) für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie mit dem Mauszeiger auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl für jede Workload angezeigt.

Pivotieren des Erkennungstechnologiediagramms in der Ansicht "URL-Klicks" in Threat Explorer

Der Pivot Erkennungstechnologie organisiert das Diagramm nach dem Feature, das die URL-Klicks in E-Mails, Office-Dateien oder Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter identifiziert hat.

Screenshot des Diagramms in der Ansicht

Wenn Sie auf einen Datenpunkt im Diagramm zeigen, wird die Anzahl der einzelnen Erkennungstechnologien angezeigt.

Diagramm "Bedrohungstyp" in der Ansicht "URL-Klicks" in "Threat Explorer

Der Pivot Bedrohungstyp organisiert das Diagramm nach den Ergebnissen der urLs in E-Mails, Office-Dateien oder Microsoft Teams für den angegebenen Datums-/Uhrzeitbereich und Eigenschaftenfilter.

Screenshot des Diagramms in der Ansicht

Wenn Sie im Diagramm auf einen Datenpunkt zeigen, wird die Anzahl der einzelnen Bedrohungstypen angezeigt.

Ansichten für den Detailbereich der Ansicht "URL-Klicks" in Threat Explorer

Die verfügbaren Ansichten (Registerkarten) im Detailbereich der Ansicht URL-Klicks werden in den folgenden Unterabschnitten beschrieben.

Ergebnisansicht für den Detailbereich der Ansicht "URL-Klicks" in Threat Explorer

Ergebnisse ist die Standardansicht für den Detailbereich in der Ansicht URL-Klicks .

In der Ansicht Ergebnisse wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken. Wählen Sie Spalten anpassen aus, um die angezeigten Spalten zu ändern. Standardmäßig sind alle Spalten ausgewählt:

  • Angeklickte Uhrzeit
  • Empfänger
  • URL-Klickaktion
  • URL
  • Tags
  • Netzwerknachrichten-ID
  • Klicken Sie auf ID.
  • Client-IP
  • URL-Kette
  • Bedrohungstyp
  • Erkennungstechnologie

Tipp

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Entfernen Sie Spalten aus der Ansicht.
  • Verkleineren Sie in Ihrem Webbrowser.

Benutzerdefinierte Spalteneinstellungen werden pro Benutzer gespeichert. Benutzerdefinierte Spalteneinstellungen im Inkognito- oder InPrivate-Browsermodus werden gespeichert, bis Sie den Webbrowser schließen.

Wählen Sie einen Eintrag oder einen Eintrag aus, indem Sie das Kontrollkästchen neben der ersten Spalte in der Zeile aktivieren, und wählen Sie dann Alle E-Mails anzeigen aus, um threat Explorer in der Ansicht Alle E-Mails auf einer neuen Registerkarte zu öffnen, die nach den Netzwerknachrichten-ID-Werten der ausgewählten Nachrichten gefiltert wird.

Ansicht mit den höchsten Klicks für den Detailbereich der Ansicht "URL-Klicks" in Threat Explorer

In der Ansicht Mit den höchsten Klicks wird eine Detailtabelle angezeigt. Sie können die Einträge sortieren, indem Sie auf eine verfügbare Spaltenüberschrift klicken:

  • URL
  • Gesperrt
  • Allowed
  • Block überschrieben
  • Ausstehendes Urteil
  • Ausstehendes Urteil umgangen
  • Keine
  • Fehlerseite
  • Versagen

Tipp

Alle verfügbaren Spalten sind ausgewählt. Wenn Sie Spalten anpassen auswählen, können Sie die Auswahl von Spalten nicht aufheben.

Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Verkleineren Sie in Ihrem Webbrowser.

Wählen Sie einen Eintrag aus, indem Sie das Kontrollkästchen neben der ersten Spalte in der Zeile aktivieren, und wählen Sie dann Alle Klicks anzeigen aus, um bedrohungsbasierte Explorer in einer neuen Registerkarte in der Url-Klickansicht zu öffnen.

Wenn Sie einen Eintrag auswählen, indem Sie auf eine beliebige Stelle in der Zeile klicken, die sich nicht auf das Kontrollkästchen neben der ersten Spalte befindet, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind die gleichen wie unter Top URLs Details für die Ansicht Alle E-Mails beschrieben.

Ansicht mit den wichtigsten Zielbenutzern für den Detailbereich der Ansicht "URL-Klicks" in Threat Explorer

In der Ansicht Am häufigsten ausgerichtete Benutzer werden die Daten in einer Tabelle der fünf wichtigsten Empfänger organisiert, die auf URLs geklickt haben. Die Tabelle zeigt Folgendes:

  • Benutzer mit den höchsten Zielzielen: Die E-Mail-Adresse des Am häufigsten betroffenen Benutzers. Wenn Sie eine E-Mail-Adresse auswählen, wird ein Details-Flyout geöffnet. Die Informationen im Flyout sind identisch mit den Informationen, die in der Ansicht "Am häufigsten zielorientierte Benutzer" für den Detailbereich der Ansicht Alle E-Mails in Threat Explorer beschrieben werden.

  • Die Anzahl der Versuche: Wenn Sie die Anzahl der Versuche auswählen, wird threat Explorer auf einer neuen Registerkarte geöffnet, die nach dem Namen der Schadsoftwarefamilie gefiltert ist.

Tipp

Verwenden Sie Exportieren , um die Liste von bis zu 3000 Benutzern und die entsprechenden Versuche zu exportieren.

Eigenschaftenfilter in Bedrohungs- Explorer und Echtzeiterkennungen

Die grundlegende Syntax eines Eigenschaftenfilters/einer -Abfrage lautet:

Bedingung = <Filtereigenschaft><Filteroperator><Eigenschaftswert oder -werte>

Für mehrere Bedingungen wird die folgende Syntax verwendet:

<Bedingung1><UND | OR><Bedingung2><AND | OR><Bedingung3>... <AND | OR><ConditionN>

Tipp

In Text- oder Ganzzahlwerten werden Keine Wildcardsuchen (**** oder ?) unterstützt. Die Subject-Eigenschaft verwendet partielle Textabgleiche und liefert Ergebnisse, die einer Wildcardsuche ähneln.

Die Schritte zum Erstellen von Eigenschaftenfilter-/Abfragebedingungen sind in allen Ansichten in Bedrohungserkennungen Explorer und Echtzeiterkennungen identisch:

  1. Identifizieren Sie die Filtereigenschaft mithilfe der Tabellen in den Beschreibungsabschnitten der Vorschauansicht weiter oben in diesem Artikel.

  2. Wählen Sie einen verfügbaren Filteroperator aus. Die verfügbaren Filteroperatoren hängen vom Eigenschaftentyp ab, wie in der folgenden Tabelle beschrieben:

    Filteroperator Eigenschaftentyp
    Gleich "any" von Text
    Ganze Zahl
    Diskrete Werte
    Gleich keine von Text
    Diskrete Werte
    Größer als Ganze Zahl
    Weniger als Ganze Zahl
  3. Geben Sie einen oder mehrere Eigenschaftswerte ein, oder wählen Sie sie aus. Für Textwerte und ganze Zahlen können Sie mehrere Werte durch Kommas getrennt eingeben.

    Mehrere Werte im Eigenschaftswert verwenden den logischen OR-Operator. Absenderadresse>Gleich>bob@fabrikam.com,cindy@fabrikam.com bedeutet z. B. Absenderadresse>gleich oder>bob@fabrikam.comcindy@fabrikam.com.

    Nachdem Sie einen oder mehrere Eigenschaftswerte eingegeben oder ausgewählt haben, wird die abgeschlossene Filterbedingung unterhalb der Filtererstellungsfelder angezeigt.

    Tipp

    Bei Eigenschaften, bei denen Sie einen oder mehrere verfügbare Werte auswählen müssen, führt die Verwendung der Eigenschaft in der Filterbedingung mit allen ausgewählten Werten zu demselben Ergebnis wie die Verwendung der Eigenschaft in der Filterbedingung.

  4. Um eine weitere Bedingung hinzuzufügen, wiederholen Sie die vorherigen drei Schritte.

    Die Bedingungen unterhalb der Filtererstellungsfelder werden durch den logischen Operator getrennt, der zum Zeitpunkt der Erstellung der zweiten oder nachfolgenden Bedingungen ausgewählt wurde. Der Standardwert ist AND, Sie können aber auch ODER auswählen.

    Derselbe logische Operator wird zwischen allen Bedingungen verwendet: Sie sind alle AND oder sind alle OR. Um die vorhandenen logischen Operatoren zu ändern, wählen Sie das Feld logischer Operator und dann AND oder OR aus.

    Um eine vorhandene Bedingung zu bearbeiten, doppelklicken Sie darauf, um die ausgewählte Eigenschaft, den Filteroperator und die Werte wieder in die entsprechenden Felder zu bringen.

    Um eine vorhandene Bedingung zu entfernen, wählen Sie die Bedingung aus.

  5. Um den Filter auf das Diagramm und die Detailtabelle anzuwenden, wählen Sie Aktualisieren aus.

    Screenshot einer Beispielabfrage in Bedrohungserkennungen Explorer oder Echtzeiterkennungen mit mehreren Bedingungen.

Gespeicherte Abfragen in Threat Explorer

Tipp

Die Speicherabfrage ist Teil von Bedrohungstrackern und nicht in Echtzeiterkennungen verfügbar. Gespeicherte Abfragen und Bedrohungstracker sind nur in Defender for Office 365 Plan 2 verfügbar.

Die Abfrage speichern ist in der Ansicht "Inhalt schadsoftware" nicht verfügbar.

Mit den meisten Ansichten in Threat Explorer können Sie Filter (Abfragen) zur späteren Verwendung speichern. Gespeicherte Abfragen sind auf der Seite Bedrohungsnachverfolgung im Defender-Portal unter https://security.microsoft.com/threattrackerv2verfügbar. Weitere Informationen zu Bedrohungstrackern finden Sie unter Bedrohungstracker in Microsoft Defender for Office 365 Plan 2.

Führen Sie die folgenden Schritte aus, um Abfragen in Threat Explorer zu speichern:

  1. Nachdem Sie den Filter/die Abfrage wie zuvor beschrieben erstellt haben, wählen Sie Abfrage> speichernAbfrage speichern Aus.

  2. Konfigurieren Sie im daraufhin geöffneten Flyout Abfrage speichern die folgenden Optionen:

    • Abfragename: Geben Sie einen eindeutigen Namen für die Abfrage ein.
    • Wählen Sie eine der folgenden Optionen aus:
      • Genaue Datumsangaben: Wählen Sie in den Feldern ein Start- und Enddatum aus. Das älteste Startdatum, das Sie auswählen können, liegt 30 Tage vor dem heutigen Tag. Das neueste Enddatum, das Sie auswählen können, ist heute.
      • Relative Datumsangaben: Wählen Sie die Anzahl der Tage in show last nn days when search is run (Letzte nn Tage anzeigen) aus. Der Standardwert ist 7, Aber Sie können 1 bis 30 auswählen.
    • Abfrage nachverfolgen: Diese Option ist standardmäßig nicht ausgewählt. Diese Option wirkt sich darauf aus, ob die Abfrage automatisch ausgeführt wird:
      • Abfrage nachverfolgen nicht ausgewählt: Die Abfrage kann manuell in Threat Explorer ausgeführt werden. Die Abfrage wird auf der Registerkarte Gespeicherte Abfragen auf der Seite Bedrohungsnachverfolgung mit der Eigenschaft "Nachverfolgte Abfrage"gespeichert.
      • Ausgewählte Abfrage nachverfolgen : Die Abfrage wird in regelmäßigen Abständen im Hintergrund ausgeführt. Die Abfrage ist auf der Registerkarte Gespeicherte Abfragen auf der Seite Bedrohungsnachverfolgung mit dem Wert der Eigenschaft "Nachverfolgte Abfrage " verfügbar. Die regelmäßigen Ergebnisse der Abfrage werden auf der Registerkarte Nachverfolgte Abfragen auf der Seite Bedrohungsnachverfolgung angezeigt.

    Wenn Sie mit dem Flyout Abfrage speichern fertig sind, wählen Sie Speichern und dann im Bestätigungsdialogfeld OK aus.

Screenshot des Flyouts

Auf den Registerkarten Gespeicherte Abfrage oder Nachverfolgte Abfrage auf der Seite Bedrohungsnachverfolgung im Defender-Portal unter https://security.microsoft.com/threattrackerv2können Sie in der Spalte Aktionendie Option Durchsuchen auswählen, um die Abfrage in Threat Explorer zu öffnen und zu verwenden.

Wenn Sie die Abfrage öffnen, indem Sie auf der Seite Bedrohungsnachverfolgung die Option Durchsuchen auswählen, sind jetzt die Einstellungen Abfrage speichern unter und Gespeicherte Abfrage auf der Seite Explorer verfügbar:

  • Wenn Sie Abfrage speichern unter auswählen, wird das Flyout Abfrage speichern mit allen zuvor ausgewählten Einstellungen geöffnet. Wenn Sie Änderungen vornehmen, wählen Sie Speichern aus, und klicken Sie dann im Dialogfeld Erfolg auf OK. Die aktualisierte Abfrage wird als neue Abfrage auf der Seite Bedrohungsnachverfolgung gespeichert (Möglicherweise müssen Sie Aktualisieren auswählen, um sie anzuzeigen).

  • Wenn Sie Gespeicherte Abfrageeinstellungen auswählen, wird das Flyout Gespeicherte Abfrageeinstellungen geöffnet, in dem Sie die Datums- und Nachverfolgungsabfrageeinstellungen der vorhandenen Abfrage aktualisieren können.

Screenshot: Abfrage in Bedrohungs-Explorer speichern mit den verfügbaren Einstellungen

Weitere Informationen