Acerca do Explorer de Ameaças e deteções em tempo real no Microsoft Defender para Office 365

Dica

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

As organizações do Microsoft 365 que Microsoft Defender para Office 365 incluídas na subscrição ou compradas como um suplemento têm Explorer (também conhecido como Explorer de Ameaças) ou deteções em tempo real. Estas funcionalidades são ferramentas de relatórios poderosas e quase em tempo real que ajudam as equipas de Operações de Segurança (SecOps) a investigar e a responder a ameaças.

Dependendo da sua subscrição, a Explorer de Ameaças ou as deteções em tempo real estão disponíveis na secção colaboração Email & no portal do Microsoft Defender em https://security.microsoft.com:

O Explorer de ameaças contém as mesmas informações e capacidades que as deteções em tempo real, mas com as seguintes funcionalidades adicionais:

  • Mais vistas.
  • Mais opções de filtragem de propriedades, incluindo a opção para guardar consultas.
  • Mais ações.

Para obter mais informações sobre as diferenças entre Defender para Office 365 Plano 1 e Plano 2, consulte a folha de truques e dicas Defender para Office 365 Plano 1 vs. Plano 2.

O resto deste artigo explica as vistas e funcionalidades que estão disponíveis em Deteções de ameaças Explorer e em tempo real.

Permissões e licenciamento para deteções de ameaças Explorer e em tempo real

Para utilizar Explorer ou deteções em tempo real, tem de ter permissões atribuídas. Você tem as seguintes opções:

  • Microsoft Defender XDR controlo de acesso baseado em funções unificadas (RBAC) (Se Email & colaboração>Defender para Office 365 permissões estiver Ativa. Afeta apenas o portal do Defender e não o PowerShell):
    • Acesso de leitura para e-mail e cabeçalhos de mensagens do Teams: Operações de segurança/Dados não processados (colaboração & de e-mail)/Email & metadados de colaboração (leitura).
    • Pré-visualizar e transferir mensagens de e-mail: Operações de segurança/Dados não processados (colaboração & de e-mail)/Email & conteúdo de colaboração (leitura).
    • Remediar e-mail malicioso: operações de segurança/Dados de segurança/Email & ações avançadas de colaboração (gerir).
  • Email & permissões de colaboração no portal do Microsoft Defender:
    • Acesso total: associação aos grupos de funções Gestão da Organização ou Administrador de Segurança . São necessárias mais permissões para realizar todas as ações disponíveis:
      • Pré-visualizar e transferir mensagens: requer a função de Pré-visualização , que é atribuída apenas aos grupos de funções Investigador de Dados ou Gestor de Deteção de Dados Eletrónicos por predefinição. Em alternativa, pode criar um novo grupo de funções com a função Pré-visualização atribuída e adicionar os utilizadores ao grupo de funções personalizada.
      • Mover mensagens e eliminar mensagens de caixas de correio: requer a função Procurar e Remover , que é atribuída apenas aos grupos de funções Investigador de Dados ou Gestão da Organização por predefinição. Em alternativa, pode criar um novo grupo de funções com a função Procurar e Remover atribuída e adicionar os utilizadores ao grupo de funções personalizado.
    • Acesso só de leitura: associação ao grupo de funções Leitor de Segurança .
  • Microsoft Entra permissões: associar estas funções dá aos utilizadores as permissões e permissões necessárias para outras funcionalidades no Microsoft 365:
    • Acesso total: associação às funções Administrador Global ou Administrador*de Segurança .

    • Procure regras de fluxo de correio do Exchange (regras de transporte) por nome em Explorer de Ameaças: Associação nas funções Administrador de Segurança ou Leitor de Segurança.

    • Acesso só de leitura: associação nas funções Leitor Global ou Leitor de Segurança .

      Importante

      * A Microsoft recomenda que utilize funções com menos permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Dica

As notificações de spam do utilizador final e as mensagens geradas pelo sistema não são disponíveis no Explorer de Ameaças. Estes tipos de mensagens estão disponíveis se existir uma regra de fluxo de correio (também conhecida como regra de transporte) para substituir.

As entradas do registo de auditoria são geradas quando os administradores pré-visualizam ou transferem mensagens de e-mail. Pode procurar no registo de auditoria de administrador por utilizador a atividade AdminMailAccess . Para obter instruções, consulte Auditar Nova Pesquisa.

Para utilizar o Explorer de Ameaças ou deteções em tempo real, tem de lhe ser atribuída uma licença para Defender para Office 365 (incluído na sua subscrição ou numa licença de suplemento).

As Explorer de ameaças ou deteções em tempo real contêm dados para utilizadores com licenças Defender para Office 365 atribuídas.

Elementos da Explorer de Ameaças e deteções em tempo real

As Explorer de ameaças e as deteções em tempo real contêm os seguintes elementos:

  • Vistas: separadores na parte superior da página que organizam as deteções por ameaça. A vista afeta os restantes dados e opções na página.

    A tabela seguinte lista as vistas disponíveis em Explorer de Ameaças e Deteções em tempo real:

    Exibir Ameaça
    Explorador
    Tempo real
    deteções
    Descrição
    Todos os e-mails Vista predefinida para Explorer de Ameaças. Informações sobre todas as mensagens de e-mail enviadas por utilizadores externos para a sua organização ou e-mails enviados entre utilizadores internos na sua organização.
    Malware Vista predefinida para deteções em tempo real. Informações sobre mensagens de e-mail que contêm software maligno.
    Golpe Informações sobre mensagens de e-mail que contêm ameaças de phishing.
    Campanhas Informações sobre e-mails maliciosos que Defender para Office 365 Plano 2 identificados como parte de uma campanha coordenada de phishing ou software maligno.
    Software maligno de conteúdo Informações sobre ficheiros maliciosos detetados pelas seguintes funcionalidades:
    Cliques na URL Informações sobre o utilizador clica em URLs em mensagens de e-mail, mensagens do Teams, ficheiros do SharePoint e ficheiros do OneDrive.

    Estas vistas são descritas detalhadamente neste artigo, incluindo as diferenças entre as deteções de ameaças Explorer e em tempo real.

  • Filtros de data/hora: por predefinição, a vista é filtrada por ontem e hoje. Para alterar o filtro de data, selecione o intervalo de datas e, em seguida, selecione Data de Início e Valores de data de fim até 30 dias atrás.

    Captura de ecrã do filtro de data utilizado em Deteções de ameaças Explorer e em tempo real no portal do Defender.

  • Filtros de propriedade (consultas): filtre os resultados na vista pelas propriedades de mensagem, ficheiro ou ameaça disponíveis. As propriedades filtráveis disponíveis dependem da vista. Algumas propriedades estão disponíveis em muitas vistas, enquanto outras propriedades estão limitadas a uma vista específica.

    Os filtros de propriedade disponíveis para cada vista estão listados neste artigo, incluindo as diferenças entre as deteções de ameaças Explorer e em tempo real.

    Para obter instruções para criar filtros de propriedades, veja Filtros de propriedade em Explorer de ameaças e Deteções em tempo real

    O Explorer de ameaças permite-lhe guardar consultas para utilização posterior, conforme descrito na secção Consultas guardadas no Explorer de Ameaças.

  • Gráficos: cada vista contém um elemento visual, representação agregada dos dados filtrados ou não filtrados. Pode utilizar os pivôs disponíveis para organizar o gráfico de formas diferentes.

    Muitas vezes, pode utilizar Exportar dados de gráficos para exportar dados de gráficos filtrados ou não filtrados para um ficheiro CSV.

    Os gráficos e os pivôs disponíveis são descritos em detalhe neste artigo, incluindo as diferenças entre as deteções de ameaças Explorer e em tempo real.

    Dica

    Para remover o gráfico da página (que maximiza o tamanho da área de detalhes), utilize um dos seguintes métodos:

    • Selecione Vista de Lista de Vista> de Gráfico na parte superior da página.
    • Selecione Mostrar vista de lista entre o gráfico e a área de detalhes.
  • Área de detalhes: a área de detalhes de uma vista mostra normalmente uma tabela que contém os dados filtrados ou não filtrados. Pode utilizar as vistas disponíveis (separadores) para organizar os dados na área de detalhes de formas diferentes. Por exemplo, uma vista pode conter gráficos, mapas ou tabelas diferentes.

    Se a área de detalhes contiver uma tabela, muitas vezes pode utilizar Exportar para exportar seletivamente até 200 000 resultados filtrados ou não filtrados para um ficheiro CSV.

    Dica

    Na lista de opções Exportar , pode selecionar algumas ou todas as propriedades disponíveis a exportar. As seleções são guardadas por utilizador. As seleções no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.

Captura de ecrã da página main no Explorador de ameaças a mostrar dados de relatórios em tempo real no portal do Defender para Office 365.

Todas as vistas de e-mail no Explorer de Ameaças

A vista Todos os e-mails no Explorer Ameaças mostra informações sobre todas as mensagens de e-mail enviadas por utilizadores externos para a sua organização e e-mails enviados entre utilizadores internos na sua organização. A vista mostra e-mails maliciosos e não maliciosos. Por exemplo:

  • Email identificado phishing ou software maligno.
  • Email identificados como spam ou em massa.
  • Email identificados sem ameaças.

Esta vista é a predefinição no Explorer De ameaças. Para abrir a vista Todos os e-mails na página Explorer no portal do Defender em https://security.microsoft.com, aceda a Email & colaboração>Explorer Todos> os separadores de e-mail. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, verifique se o separador Todos os e-mails está selecionado.

Captura de ecrã a mostrar a vista Todos os e-mails no Explorer de Ameaças a mostrar o gráfico, os pivôs disponíveis para o gráfico e as vistas para a tabela de detalhes.

Propriedades filtráveis na vista Todos os e-mails no Explorer Ameaças

Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.

As propriedades filtráveis que estão disponíveis na caixa Ação de entrega na vista Todos os e-mails estão descritas na seguinte tabela:

Propriedade Tipo
Básica
Endereço do remetente. Texto. Separe múltiplos valores por vírgulas.
Destinatários Texto. Separe múltiplos valores por vírgulas.
Domínio do remetente Texto. Separe múltiplos valores por vírgulas.
Domínio do destinatário Texto. Separe múltiplos valores por vírgulas.
Assunto Texto. Separe múltiplos valores por vírgulas.
Nome a apresentar do remetente Texto. Separe múltiplos valores por vírgulas.
E-mail do remetente do endereço Texto. Separe múltiplos valores por vírgulas.
E-mail do remetente do domínio Texto. Separe múltiplos valores por vírgulas.
Caminho de retorno Texto. Separe múltiplos valores por vírgulas.
Domínio do caminho de retorno Texto. Separe múltiplos valores por vírgulas.
Família de software maligno Texto. Separe múltiplos valores por vírgulas.
Marcações Texto. Separe múltiplos valores por vírgulas.

Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador.
Domínio representado Texto. Separe múltiplos valores por vírgulas.
Utilizador representado Texto. Separe múltiplos valores por vírgulas.
Regra de transporte do Exchange Texto. Separe múltiplos valores por vírgulas.
Regra de prevenção de perda de dados Texto. Separe múltiplos valores por vírgulas.
Contexto Selecione um ou mais valores:
  • Avaliação
  • Proteção de conta prioritária
Conector Texto. Separe múltiplos valores por vírgulas.
Ação de entrega Selecione um ou mais valores:
  • Bloqueado: Email mensagens que foram colocadas em quarentena, que falharam a entrega ou que foram removidas.
  • Entregue: Email entregues na Caixa de Entrada do utilizador ou noutra pasta onde o utilizador possa aceder à mensagem.
  • Entregue em lixo: Email entregues na pasta Email de Lixo do utilizador ou na pasta Itens Eliminados onde o utilizador pode aceder à mensagem.
  • Substituído: anexos de mensagens que foram substituídos pela Entrega Dinâmica em políticas de Anexos Seguros.
Ação adicional Selecione um ou mais valores:
Directionality Selecione um ou mais valores:
  • Entrada
  • Intra-irg
  • Saída
Tecnologia de deteção Selecione um ou mais valores:
  • Filtro avançado: sinais baseados na aprendizagem automática.
  • Proteção antimalware
  • Em massa
  • Campanha
  • Reputação de domínio
  • Detonação de ficheiros: os Anexos Seguros detetaram um anexo malicioso durante a análise de detonação.
  • Reputação de detonação de ficheiros: anexos de ficheiros anteriormente detetados por detonações de Anexos Seguros noutras organizações do Microsoft 365.
  • Reputação de ficheiros: a mensagem contém um ficheiro que foi anteriormente identificado como malicioso noutras organizações do Microsoft 365.
  • Correspondência de impressões digitais: a mensagem assemelha-se a uma mensagem maliciosa detetada anteriormente.
  • Filtro geral
  • Marca de representação: Representação de remetentes de marcas conhecidas.
  • Domínio de representação: representação de domínios do remetente que possui ou especificou para proteção em políticas anti-phishing
  • Usuário de usurpação de identidade
  • Reputação de IP
  • Representação de informações de caixa de correio: deteções de representação de informações de caixas de correio em políticas anti-phishing.
  • Deteção de análise mista: vários filtros contribuíram para o veredicto da mensagem.
  • spoof DMARC: a mensagem falhou na autenticação DMARC.
  • Spoof external domain (Spoof external domain): spoofing de endereços de e-mail do remetente com um domínio externo à sua organização.
  • Spoof intra-org: spoofing de endereços de e-mail do remetente através de um domínio interno para a sua organização.
  • Reputação de detonação de URL: URLs anteriormente detetados por detonações de Ligações Seguras noutras organizações do Microsoft 365.
  • Reputação maliciosa de URL: a mensagem contém um URL que foi anteriormente identificado como malicioso noutras organizações do Microsoft 365.
Localização de entrega original Selecione um ou mais valores:
  • pasta Itens Excluídos
  • Largado
  • Falhou
  • Caixa de Entrada/pasta
  • Pasta Lixo Eletrônico
  • No local/externo
  • Quarentena
  • Unknown
Localização de entrega mais recente¹ Os mesmos valores da localização de entrega original
Nível de confiança phish Selecione um ou mais valores:
  • High
  • Normal
Substituição primária Selecione um ou mais valores:
  • Permitido pela política da organização
  • Permitido pela política de utilizador
  • Bloqueado pela política da organização
  • Bloqueado pela política de utilizador
  • Nenhum
Origem de substituição primária As mensagens podem ter várias substituições de permissão ou bloqueio, conforme identificado em Substituir origem. A substituição que acabou por permitir ou bloquear a mensagem é identificada na origem de substituição primária.
Selecione um ou mais valores:
  • Filtro de Terceiros
  • Administração viagem no tempo iniciada (ZAP)
  • Bloco de política antimalware por tipo de ficheiro
  • Definições de política antisspam
  • Política de ligação
  • Regra de transporte do Exchange
  • Modo exclusivo (Substituição do utilizador)
  • Filtragem ignorada devido a organização no local
  • Filtro de região ip da política
  • Filtro de idioma da política
  • Simulação de Phishing
  • Versão de quarentena
  • Caixa de Correio secOps
  • Lista de endereços do remetente (Administração Substituir)
  • Lista de endereços do remetente (Substituição do utilizador)
  • Lista de domínios do remetente (substituição de Administração)
  • Lista de domínios do remetente (Substituição do utilizador)
  • Bloco de ficheiros Permitir/Bloquear Lista de Inquilinos
  • Bloco de endereço de e-mail do remetente Permitir/Bloquear Lista de Inquilinos
  • Bloco spoof Permitir/Bloquear Lista de Inquilinos
  • Bloco de URL de Lista de Permissões/Blocos de Inquilinos
  • Lista de contactos fidedigna (Substituição do utilizador)
  • Domínio fidedigno (Substituição do utilizador)
  • Destinatário fidedigno (Substituição do utilizador)
  • Apenas remetentes fidedignos (Substituição do utilizador)
Substituir origem Os mesmos valores que a origem de substituição primária
Tipo de política Selecione um ou mais valores:
  • Política anti-malware
  • Política anti-phishing
  • Regra de transporte do Exchange (regra de fluxo de correio), política de filtro de conteúdo alojado (política antisspessoal), Política de filtro de spam de saída alojada (política de spam de saída), política de Anexos Seguros
  • Unknown
Ação de política Selecione um ou mais valores:
  • Adicionar cabeçalho x
  • Mensagem Bcc
  • Excluir mensagem
  • Modificar assunto
  • Mover para a pasta Email de Lixo
  • Nenhuma ação tomada
  • Redirecionar mensagem
  • Enviar para quarentena
Tipo de ameaça Selecione um ou mais valores:
  • Malware
  • Golpe
  • Spam
Mensagem reencaminhada Selecione um ou mais valores:
  • Verdadeiro
  • Falso
Lista de distribuição Texto. Separe múltiplos valores por vírgulas.
Email tamanho Número inteiro. Separe múltiplos valores por vírgulas.
Avançado
ID da Mensagem da Internet Texto. Separe múltiplos valores por vírgulas.

Disponível no campo cabeçalho Message-ID no cabeçalho da mensagem. Um valor de exemplo é <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenha em atenção os parênteses angulares).
ID da mensagem de rede Texto. Separe múltiplos valores por vírgulas.

Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem.
IP do remetente Texto. Separe múltiplos valores por vírgulas.
Anexo SHA256 Texto. Separe múltiplos valores por vírgulas.
Cluster ID Texto. Separe múltiplos valores por vírgulas.
ID do Alerta Texto. Separe múltiplos valores por vírgulas.
ID da Política de Alerta Texto. Separe múltiplos valores por vírgulas.
ID da Campanha Texto. Separe múltiplos valores por vírgulas.
Sinal de URL do ZAP Texto. Separe múltiplos valores por vírgulas.
URLs
Contagem de URLs Número inteiro. Separe múltiplos valores por vírgulas.
Domínio de URL² Texto. Separe múltiplos valores por vírgulas.
Domínio de URL e path² Texto. Separe múltiplos valores por vírgulas.
URL² Texto. Separe múltiplos valores por vírgulas.
Caminho do URL² Texto. Separe múltiplos valores por vírgulas.
Origem do URL Selecione um ou mais valores:
  • Anexos
  • Anexo na nuvem
  • Email corpo
  • cabeçalho Email
  • Código QR
  • Assunto
  • Unknown
Clique no veredicto Selecione um ou mais valores:
  • Permitido: o utilizador foi autorizado a abrir o URL.
  • Bloqueio substituído: o utilizador foi impedido de abrir diretamente o URL, mas ultrapassou o bloco para abrir o URL.
  • Bloqueado: o utilizador foi impedido de abrir o URL.
  • Erro: O utilizador foi apresentado com a página de erro ou ocorreu um erro ao capturar o veredicto.
  • Falha: ocorreu uma exceção desconhecida ao capturar o veredicto. O utilizador pode ter aberto o URL.
  • Nenhum: não é possível capturar o veredicto do URL. O utilizador pode ter aberto o URL.
  • Veredicto pendente: O utilizador foi apresentado com a página de detonação pendente.
  • Veredicto pendente ignorado: o utilizador foi apresentado com a página de detonação, mas anularam a mensagem para abrir o URL.
Ameaça de URL Selecione um ou mais valores:
  • Malware
  • Golpe
  • Spam
Arquivo
Contagem de Anexos Número inteiro. Separe múltiplos valores por vírgulas.
Nome do arquivo anexo Texto. Separe múltiplos valores por vírgulas.
Tipo de arquivo Texto. Separe múltiplos valores por vírgulas.
Extensão de Arquivo Texto. Separe múltiplos valores por vírgulas.
Tamanho do Arquivo Número inteiro. Separe múltiplos valores por vírgulas.
Autenticação
SPF Selecione um ou mais valores:
  • Falha
  • Neutro
  • Nenhum
  • Passagem
  • Erro permanente
  • Falha suave
  • Erro temporário
DKIM Selecione um ou mais valores:
  • Erro
  • Falha
  • Ignore
  • Nenhum
  • Passagem
  • Test
  • Timeout
  • Unknown
DMARCDMARC Selecione um ou mais valores:
  • Melhor passe de estimativa
  • Falha
  • Nenhum
  • Passagem
  • Erro permanente
  • Passe do seletor
  • Erro temporário
  • Unknown
Composto Selecione um ou mais valores:
  • Falha
  • Nenhum
  • Passagem
  • Passagem suave

Dica

¹ A localização de entrega mais recente não inclui ações do utilizador final nas mensagens. Por exemplo, se o utilizador tiver eliminado a mensagem ou movido a mensagem para um ficheiro PST ou arquivo.

Existem cenários em que localização de entrega Original Localização/de entrega mais recente e/ou Ação de entrega têm o valor Desconhecido. Por exemplo:

  • A mensagem foi entregue (a ação de entrega é Entregue), mas uma regra da Caixa de Entrada moveu a mensagem para uma pasta predefinida que não a pasta Caixa de Entrada ou Email de Lixo (por exemplo, a pasta Rascunho ou Arquivo).
  • O ZAP tentou mover a mensagem após a entrega, mas a mensagem não foi encontrada (por exemplo, o utilizador moveu ou eliminou a mensagem).

² Por predefinição, uma pesquisa de URL mapeia para http, a menos que seja especificado explicitamente outro valor. Por exemplo:

  • Procurar com e sem o http:// prefixo em URL, Domínio de URL e Domínio de URL e Caminho deve mostrar os mesmos resultados.
  • Procure o https:// prefixo no URL. Quando não é especificado nenhum valor, é assumido o http:// prefixo.
  • / no início e no fim do caminho do URL, o Domínio do URL, o domínio do URL e os campos de caminho são ignorados.
  • / no final do campo URL é ignorado.

Pivots for the chart in the All email view in Threat Explorer

O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.

Tabela dinâmica do gráfico de ações de entrega na vista Todos os e-mails no Explorer Ameaças

Embora este pivô não pareça selecionado por predefinição, a ação Entrega é o pivô de gráfico predefinido na vista Todos os e-mails .

O pivô da ação Entrega organiza o gráfico pelas ações executadas nas mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Todos os e-mails em Explorer de Ameaças com o pivô Ação de entrega.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada ação de entrega.

Sender domain chart pivot in the All email view in Threat Explorer

O sender domain pivot organiza o gráfico pelos domínios em mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Todos os e-mails em Explorer de Ameaças com o pivô do domínio do Remetente.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio do remetente.

Pivô do gráfico IP do remetente na vista Todos os e-mails no Explorer Ameaças

O pivô IP do Remetente organiza o gráfico pelos endereços IP de origem das mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã a mostrar o gráfico na vista Todos os e-mails em Explorer de Ameaças com o pivô IP do Remetente.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada endereço IP do remetente.

Pivot do gráfico de tecnologia de deteção na vista Todos os e-mails no Explorer Deteção

O pivô Tecnologia de deteção organiza o gráfico pela funcionalidade que identificou mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Todos os e-mails em Explorer de Ameaças com o pivô Tecnologia de deteção.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.

Pivô de gráfico de URL completo na vista Todos os e-mails no Explorer Ameaças

O pivô URL Completo organiza o gráfico pelos URLs completos em mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã a mostrar o gráfico na vista Todos os e-mails em Explorer de Ameaças com o pivô URL Completo.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada URL completo.

Pivô do gráfico de domínio do URL na vista Todos os e-mails no Explorer Ameaças

O pivô do domínio de URL organiza o gráfico pelos domínios em URLs em mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Todos os e-mails em Explorer de Ameaças com o pivô do domínio do URL.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada domínio de URL.

Pivot do domínio do URL e do gráfico de caminhos na vista Todos os e-mails em Explorer de Ameaças

O domínio de URL e o pivot do caminho organizam o gráfico pelos domínios e caminhos em URLs em mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Todos os e-mails em Explorer de Ameaças com o domínio de URL e o pivot do caminho.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio e caminho de URL.

Vistas para a área de detalhes da vista Todos os e-mails em Explorer Ameaças

As vistas disponíveis (separadores) na área de detalhes da vista Todos os e-mails estão descritas nas seguintes subsecções.

Email vista para a área de detalhes da vista Todos os e-mails em Explorer de Ameaças

Email é a vista predefinida para a área de detalhes na vista Todos os e-mails.

A vista Email mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas. Os valores padrão são marcados com um asterisco (*):

  • Data*
  • Assunto*
  • Destinatário*
  • Domínio do destinatário
  • Etiquetas*
  • Endereço do remetente*
  • Nome a apresentar do remetente
  • Domínio do remetente*
  • IP do remetente
  • E-mail do remetente do endereço
  • E-mail do remetente do domínio
  • Ações adicionais*
  • Ação de entrega
  • Localização de entrega mais recente*
  • Localização de entrega original*
  • Origem das substituições do sistema
  • Substituições do sistema
  • ID do Alerta
  • ID da mensagem da Internet
  • ID da mensagem de rede
  • Idioma do correio
  • Regra de transporte do Exchange
  • Connector
  • Context
  • Regra de prevenção de perda de dados
  • Tipo de ameaça*
  • Tecnologia de deteção
  • Contagem de Anexos
  • Contagem de URLs
  • Email tamanho

Dica

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

  • Desloque-se horizontalmente no browser.
  • Reduza a largura das colunas adequadas.
  • Remover colunas da vista.
  • Reduza o zoom no browser.

As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.

Quando seleciona uma ou mais entradas da lista ao selecionar a caixa de marcar junto à primeira coluna, a ação Tomar está disponível. Para obter informações, veja Investigação de ameaças: Email remediação.

Captura de ecrã a mostrar a vista de Email (separador) da tabela de detalhes com uma mensagem selecionada e Tomar medidas ativas.

No valor Assunto da entrada, a ação Abrir numa nova janela está disponível. Esta ação abre a mensagem na página Email entidade.

Quando clica nos valores Assunto ou Destinatário numa entrada, as listas de opções de detalhes são abertas. Estas listas de opções estão descritas nas seguintes subsecções.

Email detalhes da vista de Email da área de detalhes na vista Todos os e-mails

Quando seleciona o valor Assunto de uma entrada na tabela, é aberta uma lista de opções de detalhes de e-mail. Esta lista de opções de detalhes é conhecida como o painel de resumo Email e contém informações de resumo padronizadas que também estão disponíveis na página de entidade Email da mensagem.

Para obter detalhes sobre as informações no painel de resumo Email, consulte o painel de resumo Email no Defender.

As seguintes ações estão disponíveis na parte superior do painel de resumo Email para deteções de ameaças Explorer e em tempo real:

  • Abrir entidade de e-mail
  • Ver cabeçalho
  • Tomar medidas: para obter informações, veja Investigação de ameaças: Email remediação.
  • Mais opções:
    • Email pré-visualização¹ ²
    • Transferir e-mail¹ ² ³
    • Ver no Explorer
    • Go hunt

¹ As ações de pré-visualização Email e Transferir e-mail requerem a função pré-visualização nas permissões de colaboração Email &. Por predefinição, esta função é atribuída aos grupos de funções Investigador de Dados e Gestor de Deteção de Dados Eletrónicos . Por predefinição, os membros dos grupos de funções Gestão da Organização ou Administradores de Segurança não podem efetuar estas ações. Para permitir estas ações para os membros desses grupos, tem as seguintes opções:

  • Adicione os utilizadores aos grupos de funções Investigador de Dados ou Gestor de Deteção de Dados Eletrónicos .
  • Crie um novo grupo de funções com a função Procurar e Remover atribuída e adicione os utilizadores ao grupo de funções personalizado.

² Pode pré-visualizar ou transferir mensagens de e-mail disponíveis nas caixas de correio do Microsoft 365. Exemplos de quando as mensagens já não estão disponíveis nas caixas de correio incluem:

  • A mensagem foi removida antes da entrega ou da entrega falhar.
  • A mensagem foi eliminada de forma recuperável (eliminada da pasta Itens eliminados, que move a mensagem para a pasta Itens Recuperáveis\Eliminações).
  • ZAP moveu a mensagem para quarentena.

³ O e-mail de transferência não está disponível para mensagens que foram colocadas em quarentena. Em vez disso, transfira uma cópia protegida por palavra-passe da mensagem a partir da quarentena.

Go hunt está disponível apenas em Explorer de Ameaças. Não está disponível em Deteções em tempo real.

Detalhes do destinatário da vista de Email da área de detalhes na vista Todos os e-mails

Quando seleciona uma entrada ao clicar no valor Destinatário , é aberta uma lista de opções de detalhes com as seguintes informações:

Dica

Para ver detalhes sobre outros destinatários sem sair da lista de opções de detalhes, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.

  • Secção resumo :

    • Função: se o destinatário tem alguma função de administrador atribuída.
    • Políticas:
      • Se o utilizador tem permissão para ver informações de arquivo.
      • Se o utilizador tem permissão para ver as informações de retenção.
      • Se o utilizador está abrangido pela prevenção de perda de dados (DLP).
      • Se o utilizador está abrangido pela Gestão de dispositivos móveis em https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.
  • Email secção: uma tabela que mostra as seguintes informações relacionadas para as mensagens enviadas ao destinatário:

    • Date
    • Assunto
    • Recipiente

    Selecione Ver todos os e-mails para abrir o Explorer de Ameaças num novo separador filtrado pelo destinatário.

  • Secção Alertas recentes : uma tabela que mostra as seguintes informações relacionadas para alertas recentes relacionados:

    • Gravidade
    • Política de alerta
    • Categoria
    • Atividades

    Se existirem mais de três alertas recentes, selecione Ver todos os alertas recentes para ver todos.

    • Secção Atividade recente : mostra os resultados resumidos de uma pesquisa de Registo de auditoria para o destinatário:

      • Date
      • Endereço IP
      • Atividades
      • Item

      Se o destinatário tiver mais de três entradas de registo de auditoria, selecione Ver todas as atividades recentes para ver todas.

    Dica

    Os membros do grupo de funções Administradores de Segurança no E-mail & permissões de colaboração não podem expandir a secção Atividade recente . Tem de ser membro de um grupo de funções nas permissões do Exchange Online que tenha as funções Registos de Auditoria, Analista de Proteção de Informações ou Investigador de Proteção de Informações atribuídas. Por predefinição, essas funções são atribuídas aos grupos de funções Gestão de Registos, Gestão de Conformidade, Proteção de Informações, Analistas de Proteção de Informações, Investigadores do Information Protection e Gestão de Organizações . Pode adicionar os membros dos Administradores de Segurança a esses grupos de funções ou pode criar um novo grupo de funções com a função Registos de Auditoria atribuída.

Captura de ecrã da lista de opções de detalhes do destinatário depois de selecionar um valor destinatário no separador E-mail da área de detalhes na vista Todos os e-mails.

O URL clica na vista para a área de detalhes da vista Todos os e-mails no Explorador de Ameaças

A vista de cliques de URL mostra um gráfico que pode ser organizado através de pivôs. O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico são descritos nas seguintes subsecções.

Captura de ecrã a mostrar a área de detalhes da vista Todos os e-mails no Explorador de Ameaças com o separador Cliques de URL selecionado e a mostrar os pivôs disponíveis sem nenhum pivô selecionado.

Dica

No Explorador de Ameaças, cada pivot na vista de cliques em URL tem uma ação Ver todos os cliques que abre a vista de cliques de URL num novo separador.

Pivô de domínio de URL para a vista de cliques do URL para a área de detalhes da vista Todos os e-mails no Explorador de Ameaças

Embora este gráfico dinâmico não pareça estar selecionado, o domínio de URL é o pivô de gráfico predefinido na vista de cliques de URL .

O pivô do domínio do URL mostra os diferentes domínios em URLs em mensagens de e-mail para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã da área de detalhes da vista Todos os e-mails no Explorador de Ameaças com o separador Cliques de URL e o pivô do domínio de URL selecionado.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada domínio de URL.

Clique no pivô do veredicto para a vista de cliques do URL para obter a área de detalhes da vista Todos os e-mails no Explorador de Ameaças

O pivô Clique no veredicto mostra os diferentes veredictos para URLs clicados em mensagens de e-mail para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã da área de detalhes da vista Todos os e-mails no Explorador de Ameaças com o separador Cliques no URL e o pivô Clique no veredicto selecionado.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada veredicto de clique.

O pivô de URL para o URL clica na vista de detalhes da vista Todos os e-mails no Explorador de Ameaças

O pivô do URL mostra os diferentes URLs que foram clicados nas mensagens de e-mail para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã da área de detalhes da vista Todos os e-mails no Explorador de Ameaças com o separador Cliques de URL e o pivô de URL selecionado.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada URL.

Domínio de URL e pivot de caminho para a vista de cliques de URL para a área de detalhes da vista Todos os e-mails no Explorador de Ameaças

O domínio de URL e o pivot do caminho mostram os diferentes domínios e caminhos de ficheiro de URLs que foram clicados em mensagens de e-mail para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã da área de detalhes da vista Todos os e-mails no Explorador de Ameaças com o separador Cliques de URL e o domínio de URL e o pivot do caminho selecionados.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio de URL e caminho de ficheiro.

Vista de URLs principais para a área de detalhes da vista Todos os e-mails no Explorador de Ameaças

A vista UrLs Principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:

  • URL
  • Mensagens bloqueadas
  • Mensagens de lixo
  • Mensagens entregues
Principais detalhes de URLs para a vista Todos os e-mails

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de verificação junto à primeira coluna, é aberta uma lista de opções de detalhes com as seguintes informações:

Dica

Para ver detalhes sobre outros URLs sem deixar a lista de opções de detalhes, utilize o item Anterior e o item Seguinte na parte superior da lista de opções.

  • As seguintes ações estão disponíveis na parte superior da lista de opções:
    • Abrir página de URL

    • Submeter para análise:

      • Relatório limpo
      • Reportar phishing
      • Reportar software maligno
    • Indicador Gerir:

      • Adicionar indicador
      • Gerir na lista de blocos de inquilinos

      Selecionar qualquer uma destas opções leva-o para a página Submissões no portal do Defender.

    • Mais:

      • Ver no Explorador
      • Ir caçar
  • Original URL
  • Secção de deteção:
    • Veredicto das informações sobre ameaças
    • x incidentes de alertas ativos y: um gráfico de barras horizontal que mostra o número de alertas De Alto, Médio, Baixo e Informações que estão relacionados com esta ligação.
    • Uma ligação para Ver todos os incidentes & alertas na página de URL.
  • Secção de detalhes do domínio :
    • Nome de domínio e uma ligação para Ver página de domínio.
    • Entidade de registo
    • Registado em
    • Atualizado em
    • Expira a
  • Secção Informações de contacto do registo :
    • Entidade de registo
    • País/região
    • Endereço para correspondência
    • Email
    • Telefone
    • Mais informações: uma ligação para Abrir no Whois.
  • Secção Prevalência de URL (últimos 30 dias): contém o número de Dispositivos, E-mail e Cliques. Selecione cada valor para ver a lista completa.
  • Dispositivos: mostra os dispositivos afetados:
    • Data (Primeiro/Último)

    • Dispositivos

      Se estiverem envolvidos mais de dois dispositivos, selecione Ver todos os dispositivos para ver todos.

Captura de ecrã a mostrar a lista de opções de detalhes depois de selecionar uma entrada no separador URLs principais na vista Todos os e-mails no Explorador de Ameaças.

Vista de cliques superiores para a área de detalhes da vista Todos os e-mails no Explorador de Ameaças

A vista Cliques principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:

  • URL
  • Bloqueado
  • Permitido
  • Bloqueio substituído
  • Veredicto pendente
  • Veredicto pendente ignorado
  • Nenhum
  • Página de erro
  • Falha

Dica

Todas as colunas disponíveis estão selecionadas. Se selecionar Personalizar colunas, não poderá desselecionar colunas.

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

  • Desloque-se horizontalmente no browser.
  • Reduza a largura das colunas adequadas.
  • Reduza o zoom no browser.

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes dos URLs principais para a vista Todos os e-mails.

Vista de utilizadores principais direcionados para a área de detalhes da vista Todos os e-mails em Explorer De ameaças

A vista Utilizadores principais visados organiza os dados numa tabela dos cinco principais destinatários visados pela maioria das ameaças. A tabela contém as seguintes informações:

Dica

Utilize Exportar para exportar a lista de até 3000 utilizadores e as tentativas correspondentes.

Email vista de origem para a área de detalhes da vista Todos os e-mails em Explorer De ameaças

A vista de origem Email mostra origens de mensagens num mapa do mundo.

Captura de ecrã do mapa do mundo na vista de origem Email na área de detalhes da vista Todos os e-mails no Explorer Ameaças.

Vista de campanha para a área de detalhes da vista Todos os e-mails em Explorer De ameaças

A vista Campanha mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível.

As informações na tabela são as mesmas descritas na tabela de detalhes na página Campanhas.

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao Nome, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes da campanha.

Vista de software maligno no Explorer de Ameaças e deteções em tempo real

A vista Software Maligno no Explorer de Ameaças e deteções em tempo real mostra informações sobre mensagens de e-mail que foram encontradas com software maligno. Esta vista é a predefinição em Deteções em tempo real.

Para abrir a vista Software Maligno , siga um dos seguintes passos:

Captura de ecrã a mostrar a vista Software Maligno no Explorer de Ameaças a mostrar o gráfico, os pivôs disponíveis para o gráfico e as vistas para a tabela de detalhes.

Propriedades filtráveis na vista Software Maligno em Deteções de ameaças Explorer e em tempo real

Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.

As propriedades filtráveis que estão disponíveis na caixa Endereço do remetente na vista Software Maligno estão descritas na seguinte tabela:

Propriedade Tipo Ameaça
Explorador
Tempo real
deteções
Básica
Endereço do remetente. Texto. Separe múltiplos valores por vírgulas.
Destinatários Texto. Separe múltiplos valores por vírgulas.
Domínio do remetente Texto. Separe múltiplos valores por vírgulas.
Domínio do destinatário Texto. Separe múltiplos valores por vírgulas.
Assunto Texto. Separe múltiplos valores por vírgulas.
Nome a apresentar do remetente Texto. Separe múltiplos valores por vírgulas.
E-mail do remetente do endereço Texto. Separe múltiplos valores por vírgulas.
E-mail do remetente do domínio Texto. Separe múltiplos valores por vírgulas.
Caminho de retorno Texto. Separe múltiplos valores por vírgulas.
Domínio do caminho de retorno Texto. Separe múltiplos valores por vírgulas.
Família de software maligno Texto. Separe múltiplos valores por vírgulas.
Marcações Texto. Separe múltiplos valores por vírgulas.

Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador.
Regra de transporte do Exchange Texto. Separe múltiplos valores por vírgulas.
Regra de prevenção de perda de dados Texto. Separe múltiplos valores por vírgulas.
Contexto Selecione um ou mais valores:
  • Avaliação
  • Proteção de conta prioritária
Conector Texto. Separe múltiplos valores por vírgulas.
Ação de entrega Selecione um ou mais valores:
Ação adicional Selecione um ou mais valores:
Directionality Selecione um ou mais valores:
  • Entrada
  • Intra-irg
  • Saída
Tecnologia de deteção Selecione um ou mais valores:
  • Filtro avançado: sinais baseados na aprendizagem automática.
  • Proteção antimalware
  • Em massa
  • Campanha
  • Reputação de domínio
  • Detonação de ficheiros: os Anexos Seguros detetaram um anexo malicioso durante a análise de detonação.
  • Reputação de detonação de ficheiros: anexos de ficheiros anteriormente detetados por detonações de Anexos Seguros noutras organizações do Microsoft 365.
  • Reputação de ficheiros: a mensagem contém um ficheiro que foi anteriormente identificado como malicioso noutras organizações do Microsoft 365.
  • Correspondência de impressões digitais: a mensagem assemelha-se a uma mensagem maliciosa detetada anteriormente.
  • Filtro geral
  • Marca de representação: Representação de remetentes de marcas conhecidas.
  • Domínio de representação: representação de domínios do remetente que possui ou especificou para proteção em políticas anti-phishing
  • Usuário de usurpação de identidade
  • Reputação de IP
  • Representação de informações de caixa de correio: deteções de representação de informações de caixas de correio em políticas anti-phishing.
  • Deteção de análise mista: vários filtros contribuíram para o veredicto da mensagem.
  • spoof DMARC: a mensagem falhou na autenticação DMARC.
  • Spoof external domain (Spoof external domain): spoofing de endereços de e-mail do remetente com um domínio externo à sua organização.
  • Spoof intra-org: spoofing de endereços de e-mail do remetente através de um domínio interno para a sua organização.
  • Detonação de URL: as Ligações Seguras detetaram um URL malicioso na mensagem durante a análise de detonação.
  • Reputação de detonação de URL: URLs anteriormente detetados por detonações de Ligações Seguras noutras organizações do Microsoft 365.
  • Reputação maliciosa de URL: a mensagem contém um URL que foi anteriormente identificado como malicioso noutras organizações do Microsoft 365.
Localização de entrega original Selecione um ou mais valores:
  • pasta Itens Excluídos
  • Largado
  • Falhou
  • Caixa de Entrada/pasta
  • Pasta Lixo Eletrônico
  • No local/externo
  • Quarentena
  • Unknown
Localização de entrega mais recente Os mesmos valores da localização de entrega original
Substituição primária Selecione um ou mais valores:
  • Permitido pela política da organização
  • Permitido pela política de utilizador
  • Bloqueado pela política da organização
  • Bloqueado pela política de utilizador
  • Nenhum
Origem de substituição primária As mensagens podem ter várias substituições de permissão ou bloqueio, conforme identificado em Substituir origem. A substituição que acabou por permitir ou bloquear a mensagem é identificada na origem de substituição primária.
Selecione um ou mais valores:
  • Filtro de Terceiros
  • Administração viagem no tempo iniciada (ZAP)
  • Bloco de política antimalware por tipo de ficheiro
  • Definições de política antisspam
  • Política de ligação
  • Regra de transporte do Exchange
  • Modo exclusivo (Substituição do utilizador)
  • Filtragem ignorada devido a organização no local
  • Filtro de região ip da política
  • Filtro de idioma da política
  • Simulação de Phishing
  • Versão de quarentena
  • Caixa de Correio secOps
  • Lista de endereços do remetente (Administração Substituir)
  • Lista de endereços do remetente (Substituição do utilizador)
  • Lista de domínios do remetente (substituição de Administração)
  • Lista de domínios do remetente (Substituição do utilizador)
  • Bloco de ficheiros Permitir/Bloquear Lista de Inquilinos
  • Bloco de endereço de e-mail do remetente Permitir/Bloquear Lista de Inquilinos
  • Bloco spoof Permitir/Bloquear Lista de Inquilinos
  • Bloco de URL de Lista de Permissões/Blocos de Inquilinos
  • Lista de contactos fidedigna (Substituição do utilizador)
  • Domínio fidedigno (Substituição do utilizador)
  • Destinatário fidedigno (Substituição do utilizador)
  • Apenas remetentes fidedignos (Substituição do utilizador)
Substituir origem Os mesmos valores que a origem de substituição primária
Tipo de política Selecione um ou mais valores:
  • Política anti-malware
  • Política anti-phishing
  • Regra de transporte do Exchange (regra de fluxo de correio), política de filtro de conteúdo alojado (política antisspessoal), Política de filtro de spam de saída alojada (política de spam de saída), política de Anexos Seguros
  • Unknown
Ação de política Selecione um ou mais valores:
  • Adicionar cabeçalho x
  • Mensagem Bcc
  • Excluir mensagem
  • Modificar assunto
  • Mover para a pasta Email de Lixo
  • Nenhuma ação tomada
  • Redirecionar mensagem
  • Enviar para quarentena
Email tamanho Número inteiro. Separe múltiplos valores por vírgulas.
Avançado
ID da Mensagem da Internet Texto. Separe múltiplos valores por vírgulas.

Disponível no campo cabeçalho Message-ID no cabeçalho da mensagem. Um valor de exemplo é <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenha em atenção os parênteses angulares).
ID da mensagem de rede Texto. Separe múltiplos valores por vírgulas.

Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem.
IP do remetente Texto. Separe múltiplos valores por vírgulas.
Anexo SHA256 Texto. Separe múltiplos valores por vírgulas.
Cluster ID Texto. Separe múltiplos valores por vírgulas.
ID do Alerta Texto. Separe múltiplos valores por vírgulas.
ID da Política de Alerta Texto. Separe múltiplos valores por vírgulas.
ID da Campanha Texto. Separe múltiplos valores por vírgulas.
Sinal de URL do ZAP Texto. Separe múltiplos valores por vírgulas.
URLs
Contagem de URLs Número inteiro. Separe múltiplos valores por vírgulas.
Domínio de URL Texto. Separe múltiplos valores por vírgulas.
Domínio e caminho do URL Texto. Separe múltiplos valores por vírgulas.
URL Texto. Separe múltiplos valores por vírgulas.
Caminho do URL Texto. Separe múltiplos valores por vírgulas.
Origem do URL Selecione um ou mais valores:
  • Anexos
  • Anexo na nuvem
  • Email corpo
  • cabeçalho Email
  • Código QR
  • Assunto
  • Unknown
Clique no veredicto Selecione um ou mais valores:
  • Permitido
  • Bloqueio substituído
  • Bloqueado
  • Erro
  • Falha
  • Nenhum
  • Veredicto pendente
  • Veredicto pendente ignorado
Ameaça de URL Selecione um ou mais valores:
  • Malware
  • Golpe
  • Spam
Arquivo
Contagem de Anexos Número inteiro. Separe múltiplos valores por vírgulas.
Nome do arquivo anexo Texto. Separe múltiplos valores por vírgulas.
Tipo de arquivo Texto. Separe múltiplos valores por vírgulas.
Extensão de Arquivo Texto. Separe múltiplos valores por vírgulas.
Tamanho do Arquivo Número inteiro. Separe múltiplos valores por vírgulas.
Autenticação
SPF Selecione um ou mais valores:
  • Falha
  • Neutro
  • Nenhum
  • Passagem
  • Erro permanente
  • Falha suave
  • Erro temporário
DKIM Selecione um ou mais valores:
  • Erro
  • Falha
  • Ignore
  • Nenhum
  • Passagem
  • Test
  • Timeout
  • Unknown
DMARCDMARC Selecione um ou mais valores:
  • Melhor passe de estimativa
  • Falha
  • Nenhum
  • Passagem
  • Erro permanente
  • Passe do seletor
  • Erro temporário
  • Unknown
Composto Selecione um ou mais valores:
  • Falha
  • Nenhum
  • Passagem
  • Passagem suave

Pivots for the chart in the Malware view in Threat Explorer and Real-time Detections (Pivots for the chart in the Malware view in Threat Explorer and Real-time Detections (Pivots for the chart in the Malware view in Threat Explorer and Real-time Detections

O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico que estão disponíveis na vista Software Maligno no Explorer de Ameaças e deteções em tempo real estão listados na seguinte tabela:

Pivot Ameaça
Explorador
Tempo real
deteções
Família de software maligno
Domínio do remetente
IP do remetente
Ação de entrega
Tecnologia de deteção

Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.

Gráfico de família de software maligno dinâmico na vista Software Maligno no Explorer De ameaças

Embora este pivô não pareça selecionado por predefinição, a família Malware é o gráfico predefinido na vista Software Maligno no Explorer De ameaças.

O pivô da família Malware organiza o gráfico pela família de software maligno detetado nas mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã a mostrar o gráfico na vista Software Maligno no Explorer de Ameaças com o pivô Família de software maligno.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada família de software maligno.

Sender domain chart pivot in the Malware view in Threat Explorer

O sender domain pivot organiza o gráfico pelo domínio do remetente de mensagens que foram encontradas para conter software maligno para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Software Maligno em Explorer de Ameaças com o pivô do domínio do Remetente.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio do remetente.

Pivô do gráfico IP do remetente na vista Software Maligno no Explorer Ameaças

O pivô IP do Remetente organiza o gráfico pelo endereço IP de origem das mensagens que foram encontradas para conter software maligno para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Software Maligno em Explorer de Ameaças com o pivô IP do Remetente.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada endereço IP de origem.

Pivot do gráfico de ações de entrega na vista Software Maligno no Explorer de Ameaças e deteções em tempo real

Embora este pivô não pareça selecionado por predefinição, a ação entrega é o gráfico predefinido na vista Software Maligno em Deteções em tempo real.

O pivô da ação de entrega organiza o gráfico pelo que aconteceu às mensagens que foram encontradas para conter software maligno para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Software Maligno no Explorer de Ameaças com o pivô Ação de entrega.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada ação de entrega.

Pivot do gráfico de tecnologia de deteção na vista Software Maligno no Explorer de Ameaças e deteções em tempo real

O pivô tecnologia de deteção organiza o gráfico pela funcionalidade que identificou software maligno em mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Software Maligno no Explorer de Ameaças com o pivô Tecnologia de deteção.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.

Vistas para a área de detalhes da vista Software Maligno em Deteções de ameaças Explorer e em tempo real

As vistas disponíveis (separadores) na área de detalhes da vista Software Maligno estão listadas na tabela seguinte e são descritas nas seguintes subsecções.

Exibir Ameaça
Explorador
Tempo real
deteções
Email
Principais famílias de software maligno
Principais utilizadores visados
Email origem
Campanha

Email vista para a área de detalhes da vista Software Maligno em Deteções de ameaças Explorer e em tempo real

Email é a vista predefinida para a área de detalhes da vista Software Maligno em Deteções de ameaças Explorer e em tempo real.

A vista Email mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas.

A tabela seguinte mostra as colunas que estão disponíveis em Deteções de ameaças Explorer e em tempo real. Os valores predefinidos são marcados com um asterisco (*).

Coluna Ameaça
Explorador
Tempo real
deteções
Data*
Assunto*
Destinatário*
Domínio do destinatário
Etiquetas*
Endereço do remetente*
Nome a apresentar do remetente
Domínio do remetente*
IP do remetente
E-mail do remetente do endereço
E-mail do remetente do domínio
Ações adicionais*
Ação de entrega
Localização de entrega mais recente*
Localização de entrega original*
Origem das substituições do sistema
Substituições do sistema
ID do Alerta
ID da mensagem da Internet
ID da mensagem de rede
Idioma do correio
Regra de transporte do Exchange
Connector
Context
Regra de prevenção de perda de dados
Tipo de ameaça*
Tecnologia de deteção
Contagem de Anexos
Contagem de URLs
Email tamanho

Dica

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

  • Desloque-se horizontalmente no browser.
  • Reduza a largura das colunas adequadas.
  • Remover colunas da vista.
  • Reduza o zoom no browser.

As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.

Quando seleciona uma ou mais entradas da lista ao selecionar a caixa de marcar junto à primeira coluna, a ação Tomar está disponível. Para obter informações, veja Investigação de ameaças: Email remediação.

Captura de ecrã a mostrar a vista de Email (separador) da tabela de detalhes com uma mensagem selecionada e Tomar medidas ativas.

Quando clica nos valores Assunto ou Destinatário numa entrada, as listas de opções de detalhes são abertas. Estas listas de opções estão descritas nas seguintes subsecções.

Email detalhes da vista de Email da área de detalhes na vista Software Maligno

Quando seleciona o valor Assunto de uma entrada na tabela, é aberta uma lista de opções de detalhes de e-mail. Esta lista de opções de detalhes é conhecida como o painel de resumo Email e contém informações de resumo padronizadas que também estão disponíveis na página de entidade Email da mensagem.

Para obter detalhes sobre as informações no painel de resumo Email, consulte Os painéis de resumo Email.

As ações disponíveis na parte superior do painel de resumo Email de deteções de Explorer Ameaças e Deteções em tempo real são descritas na Email detalhes da vista Email da área de detalhes na vista Todos os e-mails.

Detalhes do destinatário da vista Email da área de detalhes na vista Software Maligno

Quando seleciona uma entrada ao clicar no valor Destinatário , é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes do destinatário na vista de Email da área de detalhes na vista Todos os e-mails.

As principais famílias de software maligno veem a área de detalhes da vista Software Maligno em Explorer De software maligno

A vista Principais famílias de software maligno para a área de detalhes organiza os dados numa tabela das principais famílias de software maligno. A tabela mostra:

  • Coluna principais famílias de software maligno : o nome da família de software maligno.

    Se selecionar um nome de família de software maligno, é aberta uma lista de opções de detalhes que contém as seguintes informações:

    • Email secção: uma tabela que mostra as seguintes informações relacionadas para mensagens que contêm o ficheiro de software maligno:

      • Date
      • Assunto
      • Recipiente

      Selecione Ver todos os e-mails para abrir o Explorer de Ameaças num novo separador filtrado pelo nome da família de software maligno.

    • Secção detalhes técnicos

    Captura de ecrã da lista de opções de detalhes depois de selecionar uma família de software maligno no separador Principais famílias de software maligno da área de detalhes na vista Software Maligno do Explorer De ameaças.

  • O número de tentativas: se selecionar o número de tentativas, a Explorer Ameaça é aberta num novo separador filtrado pelo nome da família de software maligno.

Vista de utilizadores principais direcionados para a área de detalhes da vista Software Maligno no Explorer

A vista Utilizadores principais visados organiza os dados numa tabela dos cinco principais destinatários visados por software maligno. A tabela mostra:

Dica

Utilize Exportar para exportar a lista de até 3000 utilizadores e as tentativas correspondentes.

Email vista de origem para a área de detalhes da vista Software Maligno em Explorer De ameaças

A vista de origem Email mostra origens de mensagens num mapa do mundo.

Vista de campanha para a área de detalhes da vista Software Maligno no Explorer De ameaças

A vista Campanha mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível.

A tabela de detalhes é idêntica à tabela de detalhes na página Campanhas.

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao Nome, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes da campanha.

Vista de phish no Explorer de Ameaças e deteções em tempo real

A vista Phish no Explorer de Ameaças e deteções em tempo real mostra informações sobre mensagens de e-mail que foram identificadas como phishing.

Para abrir a vista Phish , siga um dos seguintes passos:

Captura de ecrã da vista Phish em Threat Explorer a mostrar o gráfico, os pivôs disponíveis para o gráfico e as vistas para a tabela de detalhes.

Propriedades filtráveis na vista Phish em Deteções de ameaças Explorer e em tempo real

Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.

As propriedades filtráveis que estão disponíveis na caixa Endereço do remetente na vista Software Maligno estão descritas na seguinte tabela:

Propriedade Tipo Ameaça
Explorador
Tempo real
deteções
Básica
Endereço do remetente. Texto. Separe múltiplos valores por vírgulas.
Destinatários Texto. Separe múltiplos valores por vírgulas.
Domínio do remetente Texto. Separe múltiplos valores por vírgulas.
Domínio do destinatário Texto. Separe múltiplos valores por vírgulas.
Assunto Texto. Separe múltiplos valores por vírgulas.
Nome a apresentar do remetente Texto. Separe múltiplos valores por vírgulas.
E-mail do remetente do endereço Texto. Separe múltiplos valores por vírgulas.
E-mail do remetente do domínio Texto. Separe múltiplos valores por vírgulas.
Caminho de retorno Texto. Separe múltiplos valores por vírgulas.
Domínio do caminho de retorno Texto. Separe múltiplos valores por vírgulas.
Marcações Texto. Separe múltiplos valores por vírgulas.

Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador.
Domínio representado Texto. Separe múltiplos valores por vírgulas.
Utilizador representado Texto. Separe múltiplos valores por vírgulas.
Regra de transporte do Exchange Texto. Separe múltiplos valores por vírgulas.
Regra de prevenção de perda de dados Texto. Separe múltiplos valores por vírgulas.
Contexto Selecione um ou mais valores:
  • Avaliação
  • Proteção de conta prioritária
Conector Texto. Separe múltiplos valores por vírgulas.
Ação de entrega Selecione um ou mais valores:
Ação adicional Selecione um ou mais valores:
  • Correção automatizada
  • Entrega Dinâmica
  • Remediação manual
  • Nenhum
  • Versão de quarentena
  • Reprocessado
  • ZAP
Directionality Selecione um ou mais valores:
  • Entrada
  • Intra-irg
  • Saída
Tecnologia de deteção Selecione um ou mais valores:
  • Filtro avançado
  • Proteção antimalware
  • Em massa
  • Campanha
  • Reputação de domínio
  • Detonação de arquivo
  • Reputação da detonação de arquivo
  • Reputação de arquivos
  • Correspondência de impressão digital
  • Filtro geral
  • Marca de usurpação de identidade
  • Domínio de usurpação de identidade
  • Usuário de usurpação de identidade
  • Reputação de IP
  • Usurpação de identidade da inteligência de caixa de correio
  • Detecção de análise mista
  • spoof DMARC
  • Domínio externo falso
  • Falsificação dentro da organização
  • Detonação de URL
  • Reputação da detonação de URL
  • Reputação mal-intencionada de URL
Localização de entrega original Selecione um ou mais valores:
  • pasta Itens Excluídos
  • Largado
  • Falhou
  • Caixa de Entrada/pasta
  • Pasta Lixo Eletrônico
  • No local/externo
  • Quarentena
  • Unknown
Localização de entrega mais recente Os mesmos valores da localização de entrega original
Nível de confiança phish Selecione um ou mais valores:
  • High
  • Normal
Substituição primária Selecione um ou mais valores:
  • Permitido pela política da organização
  • Permitido pela política de utilizador
  • Bloqueado pela política da organização
  • Bloqueado pela política de utilizador
  • Nenhum
Origem de substituição primária As mensagens podem ter várias substituições de permissão ou bloqueio, conforme identificado em Substituir origem. A substituição que acabou por permitir ou bloquear a mensagem é identificada na origem de substituição primária.
Selecione um ou mais valores:
  • Filtro de Terceiros
  • Administração viagem no tempo iniciada (ZAP)
  • Bloco de política antimalware por tipo de ficheiro
  • Definições de política antisspam
  • Política de ligação
  • Regra de transporte do Exchange
  • Modo exclusivo (Substituição do utilizador)
  • Filtragem ignorada devido a organização no local
  • Filtro de região ip da política
  • Filtro de idioma da política
  • Simulação de Phishing
  • Versão de quarentena
  • Caixa de Correio secOps
  • Lista de endereços do remetente (Administração Substituir)
  • Lista de endereços do remetente (Substituição do utilizador)
  • Lista de domínios do remetente (substituição de Administração)
  • Lista de domínios do remetente (Substituição do utilizador)
  • Bloco de ficheiros Permitir/Bloquear Lista de Inquilinos
  • Bloco de endereço de e-mail do remetente Permitir/Bloquear Lista de Inquilinos
  • Bloco spoof Permitir/Bloquear Lista de Inquilinos
  • Bloco de URL de Lista de Permissões/Blocos de Inquilinos
  • Lista de contactos fidedigna (Substituição do utilizador)
  • Domínio fidedigno (Substituição do utilizador)
  • Destinatário fidedigno (Substituição do utilizador)
  • Apenas remetentes fidedignos (Substituição do utilizador)
Substituir origem Os mesmos valores que a origem de substituição primária
Tipo de política Selecione um ou mais valores:
  • Política anti-malware
  • Política anti-phishing
  • Regra de transporte do Exchange (regra de fluxo de correio), política de filtro de conteúdo alojado (política antisspessoal), Política de filtro de spam de saída alojada (política de spam de saída), política de Anexos Seguros
  • Unknown
Ação de política Selecione um ou mais valores:
  • Adicionar cabeçalho x
  • Mensagem Bcc
  • Excluir mensagem
  • Modificar assunto
  • Mover para a pasta Email de Lixo
  • Nenhuma ação tomada
  • Redirecionar mensagem
  • Enviar para quarentena
Email tamanho Número inteiro. Separe múltiplos valores por vírgulas.
Avançado
ID da Mensagem da Internet Texto. Separe múltiplos valores por vírgulas.

Disponível no campo cabeçalho Message-ID no cabeçalho da mensagem. Um valor de exemplo é <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (tenha em atenção os parênteses angulares).
ID da mensagem de rede Texto. Separe múltiplos valores por vírgulas.

Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem.
IP do remetente Texto. Separe múltiplos valores por vírgulas.
Anexo SHA256 Texto. Separe múltiplos valores por vírgulas.
Cluster ID Texto. Separe múltiplos valores por vírgulas.
ID do Alerta Texto. Separe múltiplos valores por vírgulas.
ID da Política de Alerta Texto. Separe múltiplos valores por vírgulas.
ID da Campanha Texto. Separe múltiplos valores por vírgulas.
Sinal de URL do ZAP Texto. Separe múltiplos valores por vírgulas.
URLs
Contagem de URLs Número inteiro. Separe múltiplos valores por vírgulas.
Domínio de URL Texto. Separe múltiplos valores por vírgulas.
Domínio e caminho do URL Texto. Separe múltiplos valores por vírgulas.
URL Texto. Separe múltiplos valores por vírgulas.
Caminho do URL Texto. Separe múltiplos valores por vírgulas.
Origem do URL Selecione um ou mais valores:
  • Anexos
  • Anexo na nuvem
  • Email corpo
  • cabeçalho Email
  • Código QR
  • Assunto
  • Unknown
Clique no veredicto Selecione um ou mais valores:
  • Permitido
  • Bloqueio substituído
  • Bloqueado
  • Erro
  • Falha
  • Nenhum
  • Veredicto pendente
  • Veredicto pendente ignorado
Ameaça de URL Selecione um ou mais valores:
  • Malware
  • Golpe
  • Spam
Arquivo
Contagem de Anexos Número inteiro. Separe múltiplos valores por vírgulas.
Nome do arquivo anexo Texto. Separe múltiplos valores por vírgulas.
Tipo de arquivo Texto. Separe múltiplos valores por vírgulas.
Extensão de Arquivo Texto. Separe múltiplos valores por vírgulas.
Tamanho do Arquivo Número inteiro. Separe múltiplos valores por vírgulas.
Autenticação
SPF Selecione um ou mais valores:
  • Falha
  • Neutro
  • Nenhum
  • Passagem
  • Erro permanente
  • Falha suave
  • Erro temporário
DKIM Selecione um ou mais valores:
  • Erro
  • Falha
  • Ignore
  • Nenhum
  • Passagem
  • Test
  • Timeout
  • Unknown
DMARCDMARC Selecione um ou mais valores:
  • Melhor passe de estimativa
  • Falha
  • Nenhum
  • Passagem
  • Erro permanente
  • Passe do seletor
  • Erro temporário
  • Unknown
Composto Selecione um ou mais valores:
  • Falha
  • Nenhum
  • Passagem
  • Passagem suave

Pivots for the chart in the Phish view in Threat Explorer and Real-time Detections (Pivots for the chart in the Phish view in Threat Explorer and Real-time Detections) (Pivots for the chart in the Phish view in Threat Explorer and Real-time Detection

O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico que estão disponíveis na vista Phish em Deteções de ameaças Explorer e em tempo real estão listados na seguinte tabela:

Pivot Ameaça
Explorador
Tempo real
deteções
Domínio do remetente
IP do remetente
Ação de entrega
Tecnologia de deteção
URL Completo
Domínio de URL
Domínio e caminho do URL

Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.

Sender domain chart pivot in the Phish view in Threat Explorer and Real-time detections

Embora este pivô não pareça selecionado por predefinição, o domínio do Remetente é o pivô de gráfico predefinido na vista Phish em Deteções em tempo real.

O sender domain pivot organiza o gráfico pelos domínios em mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Phish em Threat Explorer using the Sender domain pivot (Pivô do domínio do Remetente).

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio do remetente.

Sender IP chart pivot in the Phish view in Threat Explorer

O pivô IP do Remetente organiza o gráfico pelos endereços IP de origem das mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Phish em Threat Explorer using the Sender IP pivot (PIV do Remetente).

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada endereço IP de origem.

Tabela de gráficos de ações de entrega na vista Phish em Deteções de ameaças Explorer e em tempo real

Embora este pivô não pareça selecionado por predefinição, a ação entrega é o pivô de gráfico predefinido na vista Phish no Explorer De ameaças.

O pivô da ação Entrega organiza o gráfico pelas ações executadas nas mensagens para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Phish em Threat Explorer com o pivô Ação de entrega.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada ação de entrega.

Gráfico de tecnologia de deteção dinâmico na vista Phish em Deteções de ameaças Explorer e em tempo real

O pivô tecnologia de deteção organiza o gráfico pela funcionalidade que identificou as mensagens de phishing para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Phish em Threat Explorer using the Detection technology pivot (Tecnologia de deteção).

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.

Pivô de gráfico de URL completo na vista Phish no Explorer De Ameaças

O pivô URL Completo organiza o gráfico pelos URLs completos em mensagens de phishing para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Phish em Threat Explorer com o pivô URL Completo.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada URL completo.

Pivô do gráfico de domínio de URL na vista Phish em Deteções de ameaças Explorer e em tempo real

O pivô do domínio de URL organiza o gráfico pelos domínios em URLs em mensagens de phishing para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Phish em Threat Explorer com o pivô do domínio de URL.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada domínio de URL.

O domínio de URL e o gráfico de caminhos na vista Phish no Explorer

O domínio de URL e o pivot do caminho organizam o gráfico pelos domínios e caminhos em URLs em mensagens de phishing para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Phish em Threat Explorer com o domínio de URL e o pivot de caminho.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada domínio e caminho de URL.

Vistas para a área de detalhes da vista Phish em Threat Explorer

As vistas disponíveis (separadores) na área de detalhes da vista Phish estão listadas na tabela seguinte e são descritas nas seguintes subsecções.

Exibir Ameaça
Explorador
Tempo real
deteções
Email
Cliques na URL
URLs principais
Cliques principais
Principais utilizadores visados
Email origem
Campanha

Email vista para a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real

Email é a vista predefinida para a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real.

A vista Email mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas.

A tabela seguinte mostra as colunas que estão disponíveis em Deteções de ameaças Explorer e em tempo real. Os valores predefinidos são marcados com um asterisco (*).

Coluna Ameaça
Explorador
Tempo real
deteções
Data*
Assunto*
Destinatário*
Domínio do destinatário
Etiquetas*
Endereço do remetente*
Nome a apresentar do remetente
Domínio do remetente*
IP do remetente
E-mail do remetente do endereço
E-mail do remetente do domínio
Ações adicionais*
Ação de entrega
Localização de entrega mais recente*
Localização de entrega original*
Origem das substituições do sistema
Substituições do sistema
ID do Alerta
ID da mensagem da Internet
ID da mensagem de rede
Idioma do correio
Regra de transporte do Exchange
Connector
Nível de confiança phish
Context
Regra de prevenção de perda de dados
Tipo de ameaça*
Tecnologia de deteção
Contagem de Anexos
Contagem de URLs
Email tamanho

Dica

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

  • Desloque-se horizontalmente no browser.
  • Reduza a largura das colunas adequadas.
  • Remover colunas da vista.
  • Reduza o zoom no browser.

As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.

Quando seleciona uma ou mais entradas da lista ao selecionar a caixa de marcar junto à primeira coluna, a ação Tomar está disponível. Para obter informações, veja Investigação de ameaças: Email remediação.

Captura de ecrã a mostrar a vista de Email (separador) da tabela de detalhes com uma mensagem selecionada e Tomar medidas ativas.

Quando clica nos valores Assunto ou Destinatário numa entrada, as listas de opções de detalhes são abertas. Estas listas de opções estão descritas nas seguintes subsecções.

Email detalhes da vista Email da área de detalhes na vista Phish

Quando seleciona o valor Assunto de uma entrada na tabela, é aberta uma lista de opções de detalhes de e-mail. Esta lista de opções de detalhes é conhecida como o painel de resumo Email e contém informações de resumo padronizadas que também estão disponíveis na página de entidade Email da mensagem.

Para obter detalhes sobre as informações no painel de resumo Email, consulte o painel de resumo Email nas funcionalidades Defender para Office 365.

As ações disponíveis na parte superior do painel de resumo Email de deteções de Explorer Ameaças e Deteções em tempo real são descritas na Email detalhes da vista Email da área de detalhes na vista Todos os e-mails.

Detalhes do destinatário da vista Email da área de detalhes na vista Phish

Quando seleciona uma entrada ao clicar no valor Destinatário , é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes do destinatário na vista de Email da área de detalhes na vista Todos os e-mails.

O URL clica na vista para obter a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real

A vista de cliques de URL mostra um gráfico que pode ser organizado através de pivôs. O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico que estão disponíveis na vista Software Maligno no Explorer de Ameaças e deteções em tempo real estão descritos na seguinte tabela:

Pivot Ameaça
Explorador
Tempo real
deteções
Domínio de URL
Clique no veredicto
URL
Domínio e caminho do URL

Os mesmos pivôs do gráfico estão disponíveis e descritos para a vista Todos os e-mails no Explorer De ameaças:

Captura de ecrã a mostrar a área de detalhes da vista Phish em Threat Explorer com o separador CLIQUES do URL selecionado e a mostrar os pivôs disponíveis sem nenhum pivô selecionado.

Dica

Em Explorer de Ameaças, cada pivô na vista de cliques de URL tem uma ação Ver todos os cliques que abre a vista de cliques de URL em Explorer de Ameaças num novo separador. Esta ação não está disponível em Deteções em tempo real, porque a vista de cliques em URL não está disponível em Deteções em tempo real.

Vista de URLs principais para a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real

A vista UrLs Principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:

  • URL
  • Mensagens bloqueadas
  • Mensagens de lixo
  • Mensagens entregues
Principais detalhes dos URLs para a vista Phish

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes dos URLs principais para a vista Todos os e-mails.

Dica

A ação de caça do Go só está disponível no Explorer de Ameaças. Não está disponível em Deteções em tempo real.

Vista de cliques principais para a área de detalhes da vista Phish em Deteções de ameaças Explorer e em tempo real

A vista Cliques principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:

  • URL
  • Bloqueado
  • Permitido
  • Bloqueio substituído
  • Veredicto pendente
  • Veredicto pendente ignorado
  • Nenhum
  • Página de erro
  • Falha

Dica

Todas as colunas disponíveis estão selecionadas. Se selecionar Personalizar colunas, não poderá desselecionar colunas.

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

  • Desloque-se horizontalmente no browser.
  • Reduza a largura das colunas adequadas.
  • Reduza o zoom no browser.

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes dos URLs principais para a vista Todos os e-mails.

Vista de utilizadores principais direcionados para a área de detalhes da vista Phish em Threat Explorer

A vista Utilizadores principais visados organiza os dados numa tabela dos cinco principais destinatários visados por tentativas de phishing. A tabela mostra:

Dica

Utilize Exportar para exportar a lista de até 3000 utilizadores e as tentativas correspondentes.

Email vista de origem para a área de detalhes da vista Phish em Threat Explorer

A vista de origem Email mostra origens de mensagens num mapa do mundo.

Vista de campanha para a área de detalhes da vista Phish em Threat Explorer

A vista Campanha mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível.

As informações na tabela são as mesmas descritas na tabela de detalhes na página Campanhas.

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto ao Nome, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes da campanha.

Vista de campanhas no Explorer de Ameaças

A vista Campanhas no Explorer Ameaças mostra informações sobre ameaças que foram identificadas como ataques coordenados de phishing e software maligno, específicos da sua organização ou de outras organizações no Microsoft 365.

Para abrir a vista Campanhas na página Explorer no portal do Defender em https://security.microsoft.com, aceda a Email & colaboração>Explorer>separadorCampaigns. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, selecione o separador Campanhas.

Todas as informações e ações disponíveis são idênticas às informações e ações na página Campanhas em https://security.microsoft.com/campaignsv3. Para obter mais informações, veja a página Campanhas no portal do Microsoft Defender.

Captura de ecrã a mostrar a vista Campanhas em Explorer de Ameaças a mostrar o gráfico, os pivôs disponíveis para o gráfico e as vistas para a tabela de detalhes.

Vista de software maligno de conteúdo em Deteções de ameaças Explorer e em tempo real

A vista Software maligno de conteúdo no Explorer de Ameaças e deteções em tempo real mostra informações sobre ficheiros que foram identificados como software maligno por:

Para abrir a vista Software maligno de conteúdo , siga um dos seguintes passos:

Captura de ecrã a mostrar a vista de software maligno Cotent no Explorer a mostrar o gráfico, os pivôs disponíveis para o gráfico e as vistas para a tabela de detalhes.

Propriedades filtráveis na vista Software maligno de conteúdo em Deteções de Explorer e Em tempo real

Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.

As propriedades filtráveis que estão disponíveis na caixa Nome do ficheiro na vista Software maligno de conteúdo em Explorer de ameaças e deteções em tempo real estão descritas na seguinte tabela:

Propriedade Tipo Ameaça
Explorador
Tempo real
deteções
Arquivo
Nome do arquivo Texto. Separe múltiplos valores por vírgulas.
Workload Selecione um ou mais valores:
  • OneDrive
  • SharePoint
  • Teams
Site Texto. Separe múltiplos valores por vírgulas.
Proprietário do ficheiro Texto. Separe múltiplos valores por vírgulas.
Última modificação por Texto. Separe múltiplos valores por vírgulas.
SHA256 Número inteiro. Separe múltiplos valores por vírgulas.

Para localizar o valor hash SHA256 de um ficheiro no Windows, execute o seguinte comando numa Linha de Comandos: certutil.exe -hashfile "<Path>\<Filename>" SHA256.
Família de software maligno Texto. Separe múltiplos valores por vírgulas.
Tecnologia de deteção Selecione um ou mais valores:
  • Filtro avançado
  • Proteção antimalware
  • Em massa
  • Campanha
  • Reputação de domínio
  • Detonação de arquivo
  • Reputação da detonação de arquivo
  • Reputação de arquivos
  • Correspondência de impressão digital
  • Filtro geral
  • Marca de usurpação de identidade
  • Domínio de usurpação de identidade
  • Usuário de usurpação de identidade
  • Reputação de IP
  • Usurpação de identidade da inteligência de caixa de correio
  • Detecção de análise mista
  • spoof DMARC
  • Domínio externo falso
  • Falsificação dentro da organização
  • Detonação de URL
  • Reputação da detonação de URL
  • Reputação mal-intencionada de URL
Tipo de ameaça Selecione um ou mais valores:
  • Bloquear
  • Malware
  • Golpe
  • Spam

Pivots for the chart in the Content malware view in Threat Explorer and Real-time Detections (Pivots for the chart in the Content malware view in Threat Explorer and Real-time Detections (Pivots for the chart in the Content malware view in Threat Explorer and Real-time Detections

O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico que estão disponíveis na vista Conteúdo de software maligno no Explorer de Ameaças e deteções em tempo real estão listados na seguinte tabela:

Pivot Ameaça
Explorador
Tempo real
deteções
Família de software maligno
Tecnologia de deteção
Workload

Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.

Gráfico de família de software maligno dinâmico na vista Software maligno de conteúdo no Explorer de ameaças e deteções em tempo real

Embora este pivô não pareça selecionado por predefinição, a família Malware é o pivô de gráfico predefinido na vista Software maligno de conteúdo em Deteções de ameaças Explorer e em tempo real.

O pivô da família Software Maligno organiza o gráfico pelo software maligno identificado em ficheiros no SharePoint, OneDrive e Microsoft Teams com os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã a mostrar o gráfico na vista Software maligno de conteúdo em Explorer a utilizar o pivô Família de software maligno.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada família de software maligno.

Gráfico de tecnologia de deteção dinâmico na vista Software maligno de conteúdo em Deteções de Explorer e Em tempo real

O pivô Tecnologia de deteção organiza o gráfico pela funcionalidade que identificou software maligno em ficheiros no SharePoint, OneDrive e Microsoft Teams para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Software maligno de conteúdo em Explorer de Ameaças com o pivô Tecnologia de deteção.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.

Tabela dinâmica do gráfico de cargas de trabalho na vista Software maligno de conteúdo em Deteções de ameaças Explorer e em tempo real

O pivot Carga de Trabalho organiza o gráfico pelo local onde o software maligno foi identificado (SharePoint, OneDrive ou Microsoft Teams) para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista Software Maligno em Explorer de Ameaças com o pivô Carga de Trabalho.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada carga de trabalho.

Vistas para a área de detalhes da vista Software maligno conteúdo em Deteções de software maligno Explorer e Em tempo real

Em Explorer de ameaças e deteções em tempo real, a área de detalhes da vista Software maligno conteúdo contém apenas uma vista (separador) denominada Documentos. Esta vista está descrita na seguinte subsecção.

Vista de documento para a área de detalhes da vista Conteúdo de software maligno em Deteções de software maligno Explorer e Em tempo real

O documento é a vista predefinida e apenas para a área de detalhes na vista Conteúdo de software maligno .

A vista Documento mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas. Os valores padrão são marcados com um asterisco (*):

  • Data*
  • Nome*
  • Carga de trabalho*
  • Ameaça*
  • Tecnologia de deteção*
  • Última modificação do utilizador*
  • Proprietário do ficheiro*
  • Tamanho (bytes)*
  • Hora da última modificação
  • Caminho do site
  • Caminho do arquivo
  • ID do Documento
  • SHA256
  • Data detetada
  • Família de software maligno
  • Context

Dica

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

  • Desloque-se horizontalmente no browser.
  • Reduza a largura das colunas adequadas.
  • Remover colunas da vista.
  • Reduza o zoom no browser.

As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.

Quando seleciona um valor de nome de ficheiro na coluna Nome , é aberta uma lista de opções de detalhes. A lista de opções contém as seguintes informações:

  • Secção resumo :

    • Filename
    • Caminho do site
    • Caminho do arquivo
    • ID do Documento
    • SHA256
    • Última data de modificação
    • Última modificação por
    • Ameaça
    • Tecnologia de deteção
  • Secção de detalhes :

    • Data detetada
    • Detetado por
    • Nome do software maligno
    • Última modificação por
    • Tamanho do ficheiro
    • Proprietário do ficheiro
  • Email secção de lista: uma tabela que mostra as seguintes informações relacionadas para mensagens que contêm o ficheiro de software maligno:

    • Date
    • Assunto
    • Recipiente

    Selecione Ver todos os e-mails para abrir o Explorer de Ameaças num novo separador filtrado pelo nome da família de software maligno.

  • Atividade recente: mostra os resultados resumidos de uma pesquisa de Registo de auditoria para o destinatário:

    • Date
    • Endereço IP
    • Atividades
    • Item

    Se o destinatário tiver mais de três entradas de registo de auditoria, selecione Ver todas as atividades recentes para ver todas.

    Dica

    Os membros do grupo de funções Administradores de Segurança no Email & permissões de colaboração não podem expandir a secção Atividade recente. Tem de ser membro de um grupo de funções no Exchange Online permissões que tenha as funções Registos de Auditoria, Analista Proteção de Informações ou Proteção de Informações Investigador atribuídas. Por predefinição, essas funções são atribuídas aos grupos de funções Gestão de Registos, Gestão de Conformidade, Proteção de InformaçõesProteção de Informações AnalistasProteção de Informações e Gestão de Organizações. Pode adicionar os membros dos Administradores de Segurança a esses grupos de funções ou pode criar um novo grupo de funções com a função Registos de Auditoria atribuída.

Captura de ecrã a mostrar a lista de opções de detalhes da vista Documento para a área de detalhes da vista Software maligno Conteúdo em Deteções de ameaças Explorer e Em tempo real.

Vista de cliques em URL no Explorer Ameaças

O URL clica na vista em Ameaça Explorer mostra todos os cliques de utilizador em URLs no e-mail, em ficheiros suportados do Office no SharePoint e no OneDrive e no Microsoft Teams.

Para abrir a vista de cliques de URL na página Explorer no portal do Defender em https://security.microsoft.com, aceda ao separador Email & colaboração>Explorer>URL clica no separador. Em alternativa, aceda diretamente à página Explorer com https://security.microsoft.com/threatexplorerv3e, em seguida, selecione o separador Cliques do URL.

Captura de ecrã a mostrar a vista de cliques em URL no Explorer a mostrar o gráfico, os pivôs disponíveis para o gráfico e as vistas para a tabela de detalhes.

Propriedades filtráveis na vista de cliques do URL em Explorer de Ameaças

Por predefinição, não são aplicados filtros de propriedade aos dados. Os passos para criar filtros (consultas) estão descritos na secção Filtros em Ameaças Explorer e Deteções em tempo real mais à frente neste artigo.

As propriedades filtráveis que estão disponíveis na caixa Destinatários na vista de cliques de URL na vista Ameaças Explorer estão descritas na seguinte tabela:

Propriedade Tipo
Básica
Destinatários Texto. Separe múltiplos valores por vírgulas.
Marcações Texto. Separe múltiplos valores por vírgulas.

Para obter mais informações sobre etiquetas de utilizador, consulte Etiquetas de utilizador.
ID da mensagem de rede Texto. Separe múltiplos valores por vírgulas.

Um valor GUID disponível no campo de cabeçalho X-MS-Exchange-Organization-Network-Message-Id no cabeçalho da mensagem.
URL Texto. Separe múltiplos valores por vírgulas.
Clicar na ação Selecione um ou mais valores:
  • Permitido
  • Bloquear página
  • Bloquear substituição de página
  • Página de erro
  • Falha
  • Nenhum
  • Página de detonação pendente
  • Substituição pendente da página de detonação
Tipo de ameaça Selecione um ou mais valores:
  • Permitir
  • Bloquear
  • Malware
  • Golpe
  • Spam
Tecnologia de deteção Selecione um ou mais valores:
  • Detonação de URL
  • Reputação da detonação de URL
  • Reputação mal-intencionada de URL
Clique em ID Texto. Separe múltiplos valores por vírgulas.
IP do Cliente Texto. Separe múltiplos valores por vírgulas.

Pivots for the chart in the URL clicks view in Threat Explorer

O gráfico tem uma vista predefinida, mas pode selecionar um valor em Selecionar gráfico dinâmico para histograma para alterar a forma como os dados do gráfico filtrados ou não filtrados são organizados e apresentados.

Os pivôs do gráfico disponíveis são descritos nas seguintes subsecções.

Pivô do gráfico de domínio de URL na vista de cliques de URL no Explorer

Embora este pivô não pareça selecionado por predefinição, o domínio de URL é o pivô de gráfico predefinido na vista de cliques de URL .

O pivô do domínio de URL organiza o gráfico pelos domínios em URLs em que os utilizadores clicaram no e-mail, nos ficheiros do Office ou no Microsoft Teams para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista de cliques em URL em Explorer de ameaças com o pivô do domínio de URL.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada domínio de URL.

Tabela dinâmica do gráfico de carga de trabalho na vista de cliques do URL no Explorer Ameaças

O pivô Carga de Trabalho organiza o gráfico pela localização do URL clicado (e-mail, ficheiros do Office ou Microsoft Teams) para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista de cliques do URL em Explorer de Ameaças com o pivô Carga de trabalho.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada carga de trabalho.

Gráfico de tecnologia de deteção dinâmico na vista de cliques do URL em Explorer de Ameaças

O pivô Tecnologia de deteção organiza o gráfico pela funcionalidade que identificou os cliques do URL no e-mail, nos ficheiros do Office ou no Microsoft Teams para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista cliques em URL em Explorer de Ameaças com o pivô Tecnologia de deteção.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem de cada tecnologia de deteção.

Gráfico de tipo de ameaça na vista de cliques do URL em Explorer de Ameaças

O pivot Tipo de ameaça organiza o gráfico pelos resultados dos URLs clicados no e-mail, nos ficheiros do Office ou no Microsoft Teams para os filtros de propriedade e intervalo de data/hora especificados.

Captura de ecrã do gráfico na vista de cliques do URL em Explorer de ameaças com o pivô Tipo de ameaça.

Pairar o cursor sobre um ponto de dados no gráfico mostra a contagem para cada tecnologia de tipo de ameaça.

Vistas para a área de detalhes da vista de cliques do URL em Explorer de Ameaças

As vistas disponíveis (separadores) na área de detalhes da vista de cliques de URL são descritas nas seguintes subsecções.

Vista de resultados para a área de detalhes da vista de cliques do URL em Explorer de Ameaças

Os resultados são a vista predefinida para a área de detalhes na vista de cliques de URL .

A vista Resultados mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível. Selecione Personalizar colunas para alterar as colunas apresentadas. Por predefinição, todas as colunas estão selecionadas:

  • Hora clicada
  • Recipiente
  • Ação de clique do URL
  • URL
  • Marcas
  • ID da mensagem de rede
  • Clique em ID
  • IP do Cliente
  • Cadeia de URL
  • Tipo de ameaça
  • Tecnologia de deteção

Dica

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

  • Desloque-se horizontalmente no browser.
  • Reduza a largura das colunas adequadas.
  • Remover colunas da vista.
  • Reduza o zoom no browser.

As definições de coluna personalizadas são guardadas por utilizador. As definições de coluna personalizadas no modo de navegação Incógnito ou InPrivate são guardadas até fechar o browser.

Selecione uma ou entradas ao selecionar a caixa de marcar junto à primeira coluna da linha e, em seguida, selecione Ver todos os e-mails para abrir a Explorer de Ameaças na vista Todos os e-mails num novo separador filtrado pelos valores de ID da mensagem de rede das mensagens selecionadas.

Vista de cliques superiores para a área de detalhes da vista de cliques de URL no Explorer

A vista Cliques principais mostra uma tabela de detalhes. Pode ordenar as entradas ao clicar num cabeçalho de coluna disponível:

  • URL
  • Bloqueado
  • Permitido
  • Bloqueio substituído
  • Veredicto pendente
  • Veredicto pendente ignorado
  • Nenhum
  • Página de erro
  • Falha

Dica

Todas as colunas disponíveis estão selecionadas. Se selecionar Personalizar colunas, não poderá desselecionar colunas.

Para ver todas as colunas, é provável que tenha de efetuar um ou mais dos seguintes passos:

  • Desloque-se horizontalmente no browser.
  • Reduza a largura das colunas adequadas.
  • Reduza o zoom no browser.

Selecione uma entrada ao selecionar a caixa de marcar junto à primeira coluna da linha e, em seguida, selecione Ver todos os cliques para abrir a Explorer de Ameaças num novo separador na vista cliques em URL.

Quando seleciona uma entrada ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna, é aberta uma lista de opções de detalhes. As informações na lista de opções são as mesmas descritas em Detalhes dos URLs principais para a vista Todos os e-mails.

Vista de utilizadores principais direcionados para a área de detalhes da vista de cliques do URL em Explorer de Ameaças

A vista Utilizadores principais visados organiza os dados numa tabela dos cinco principais destinatários que clicaram nos URLs. A tabela mostra:

Dica

Utilize Exportar para exportar a lista de até 3000 utilizadores e as tentativas correspondentes.

Filtros de propriedade em Deteções de ameaças Explorer e em tempo real

A sintaxe básica de um filtro/consulta de propriedade é:

Condition = <Filter property><Filter operator><Property value or value or values>

Várias condições utilizam a seguinte sintaxe:

<Condição1><E | OU><Condição2><E | OU><Condição3>... <E | OU><ConditionN>

Dica

As pesquisas de carateres universais (**** ou ?) não são suportadas em valores de texto ou número inteiro. A propriedade Assunto utiliza correspondência de texto parcial e produz resultados semelhantes a uma pesquisa de carateres universais.

Os passos para criar condições de filtragem/consulta de propriedades são os mesmos em todas as vistas em Deteções de ameaças Explorer e em tempo real:

  1. Identifique a propriedade filter com as tabelas nas secções de descrição da vista de pré-visualização anteriormente neste artigo.

  2. Selecione um operador de filtro disponível. Os operadores de filtro disponíveis dependem do tipo de propriedade, conforme descrito na tabela seguinte:

    Operador de filtro Tipo de propriedade
    Igual a qualquer um dos Texto
    Número inteiro
    Valores discretos
    Igual a nenhum de Texto
    Valores discretos
    Maior que Número inteiro
    Menor que Número inteiro
  3. Introduza ou selecione um ou mais valores de propriedade. Para valores de texto e números inteiros, pode introduzir vários valores separados por vírgulas.

    Vários valores no valor da propriedade utilizam o operador lógico OR. Por exemplo, Endereço >do remetenteIgual a qualquer um dos meios Endereço> do >bob@fabrikam.com,cindy@fabrikam.com remetenteIgual a qualquer um de>bob@fabrikam.com OU cindy@fabrikam.com.

    Depois de introduzir ou selecionar um ou mais valores de propriedade, a condição de filtro concluída é apresentada abaixo das caixas de criação do filtro.

    Dica

    Para propriedades que exigem que selecione um ou mais valores disponíveis, utilizar a propriedade na condição de filtro com todos os valores selecionados tem o mesmo resultado que não utilizar a propriedade na condição de filtro.

  4. Para adicionar outra condição, repita os três passos anteriores.

    As condições abaixo das caixas de criação do filtro são separadas pelo operador lógico que foi selecionado no momento em que criou as segundas condições ou condições subsequentes. O valor predefinido é E, mas também pode selecionar OU.

    O mesmo operador lógico é utilizado entre todas as condições: são todas E ou são todas OU. Para alterar os operadores lógicos existentes, selecione a caixa operador lógico e, em seguida, selecione E ou OU.

    Para editar uma condição existente, faça duplo clique na mesma para trazer a propriedade selecionada, o operador de filtro e os valores de volta para as caixas correspondentes.

    Para remover uma condição existente, selecione na condição.

  5. Para aplicar o filtro ao gráfico e à tabela de detalhes, selecione Atualizar

    Captura de ecrã de uma consulta de exemplo em Explorer de ameaças ou deteções em tempo real que mostram várias condições.

Consultas guardadas no Explorer de Ameaças

Dica

A consulta Guardar faz parte dos Controladores de ameaças e não está disponível em Deteções em tempo real. As consultas guardadas e os Controladores de ameaças só estão disponíveis no Defender para Office 365 Plano 2.

A consulta Guardar não está disponível na vista Software maligno de conteúdo.

A maioria das vistas no Threat Explorer permitem-lhe guardar filtros (consultas) para utilização posterior. As consultas guardadas estão disponíveis na página Monitorização de ameaças no portal do Defender em https://security.microsoft.com/threattrackerv2. Para obter mais informações sobre os Controladores de ameaças, veja Controladores de ameaças no Microsoft Defender para Office 365 Plano 2.

Para guardar consultas no threat Explorer, siga os seguintes passos:

  1. Depois de criar o filtro/consulta conforme descrito anteriormente, selecione Guardar consulta>Guardar consulta.

  2. Na lista de opções Guardar consulta que é aberta, configure as seguintes opções:

    • Nome da consulta: introduza um nome exclusivo para a consulta.
    • Selecione uma das opções a seguir:
      • Datas exatas: selecione uma data de início e uma data de fim nas caixas. A data de início mais antiga que pode selecionar é 30 dias antes de hoje. A data de fim mais recente que pode selecionar é hoje.
      • Datas relativas: selecione o número de dias em Mostrar últimos nn dias quando a pesquisa é executada. O valor predefinido é 7, mas pode selecionar 1 a 30.
    • Controlar consulta: por predefinição, esta opção não está selecionada. Esta opção afeta se a consulta é executada automaticamente:
      • Controlar a consulta não selecionada: a consulta está disponível para ser executada manualmente no Explorer de Ameaças. A consulta é guardada no separador Consultas guardadas na página Monitorização de ameaças com o valor da propriedade Consulta monitorizadaNão.
      • Controlar a consulta selecionada: a consulta é executada periodicamente em segundo plano. A consulta está disponível no separador Consultas guardadas na página Monitorização de ameaças com o valor da propriedade Consulta monitorizadaSim. Os resultados periódicos da consulta são apresentados no separador Consultas registadas na página Monitorização de ameaças .

    Quando terminar na lista de opções Guardar consulta , selecione Guardar e, em seguida, selecione OK na caixa de diálogo de confirmação.

Captura de ecrã da lista de opções Guardar consulta no Explorer Ameaças no portal do Defender.

Nos separadores Consulta guardada ou Consulta monitorizada na página Monitorização de ameaças no portal do Defender em https://security.microsoft.com/threattrackerv2, pode selecionar Explorar na coluna Ações para abrir e utilizar a consulta no Explorer De ameaças.

Quando abre a consulta ao selecionar Explorarna página Monitorização de ameaças, as definições Guardar consulta como e Guardada estão agora disponíveis na consulta Guardar na página Explorer:

  • Se selecionar Guardar consulta como, a lista de opções Guardar consulta é aberta com todas as definições selecionadas anteriormente. Se fizer alterações, selecione Guardar e, em seguida, selecione OK na caixa de diálogo Êxito , a consulta atualizada é guardada como uma nova consulta na página Monitorização de ameaças (poderá ter de selecionar Atualizar para a ver).

  • Se selecionar Definições de consulta guardadas, a lista de opções Definições de consulta guardadas é aberta onde pode atualizar a data e Controlar as definições de consulta da consulta existente.

Captura de ecrã a mostrar a opção Guardar consulta no Explorer Ameaças com as definições Guardar consulta como e Consulta guardada disponíveis.

Mais informações