Используйте страницу Отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке допустимых сообщений электронной почты и вложений электронной почты.
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Дополнительные сведения о том, как корпорация Майкрософт хранит и обрабатывает ваши отправки, проверка это.
В организациях Microsoft 365 с почтовыми ящиками Exchange Online администраторы могут использовать страницу Отправки на портале Microsoft Defender для отправки сообщений, URL-адресов и вложений в корпорацию Майкрософт для анализа. Существует два основных типа отправки администратором:
Администратор отправки. Администраторы определяют сообщения, вложения или URL-адреса (сущности) и сообщают о ней, выбрав Отправить в Корпорацию Майкрософт для анализа на вкладках на странице Отправки, как описано в разделе Администратор отправки.
После того как администратор сообщит сущность, на соответствующей вкладке на странице Отправки (в любом месте, кроме вкладки Пользователь сообщил ).
Администратор отправки сообщений, сообщаемых пользователем: встроенные пользовательские отчеты включено и настроено. Сообщения, сообщаемые пользователем, отображаются на вкладке Пользователь сообщается на странице Отправки , а администраторы могут отправлять или повторно отправлять сообщения в Корпорацию Майкрософт с вкладки Пользователь сообщил.
После того как администратор отправит сообщение с вкладки Пользователь сообщается , на соответствующей вкладке на странице Отправки также создается запись (например, на вкладке Электронная почта ). Эти типы отправки администратора описаны в разделе Администратор параметры сообщений, сообщаемых пользователями.
Когда администраторы или пользователи передают сообщения в Корпорацию Майкрософт для анализа, мы делаем следующие проверки:
- Email проверки подлинности проверка (только сообщения электронной почты). Указывает, пройдена ли проверка подлинности электронной почты или завершилась сбоем при доставке.
- Попадания в политику. Сведения о любых политиках или переопределениях, которые могли разрешить или заблокировать входящие сообщения электронной почты в организацию, тем самым переопределяя наши решения фильтрации.
- Репутация полезных данных или детонация. Актуальные сведения о любых URL-адресах и вложениях в сообщении.
- Анализ оценщиков. Проверка, выполненная людьми-оценщиками, чтобы подтвердить, являются ли сообщения вредоносными.
Важно!
В государственных организациях США (Microsoft 365 GCC, GCC High и DoD) администраторы могут отправлять сообщения электронной почты в корпорацию Майкрософт для анализа, но сообщения анализируются только на предмет проверки подлинности электронной почты и попаданий в политику. Анализ репутации полезных данных, детонации и оценки не выполняются по соображениям соответствия требованиям (данные не могут покидать границы организации).
Просмотрите это короткое видео, чтобы узнать, как использовать отправки администратора в Microsoft Defender для Office 365 для отправки сообщений в Корпорацию Майкрософт для оценки.
Дополнительные сведения о том, как пользователи могут отправлять сообщения и файлы в корпорацию Майкрософт, см. в статье Отправка сообщений и файлов в корпорацию Майкрософт.
Сведения о других способах отправки сообщений в Корпорацию Майкрософт на портале Defender см. в разделе Связанные параметры отчетов для администраторов.
Что нужно знать перед началом работы
Откройте портал Microsoft Defender по адресу https://security.microsoft.com/. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
- Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & совместной работы>Defender для Office 365 разрешения активны. Затрагивает только портал Defender, а не PowerShell: операции безопасности/Данные безопасности/Ответ (управление) или Операции безопасности/Данные безопасности/Основы данных безопасности (чтение).
- Email & разрешения на совместную работу на портале Microsoft Defender: членство в группах ролей "Администратор безопасности" или "Читатель безопасности".
- Microsoft Entra разрешений. Членство в ролях "Администратор безопасности" или "Читатель безопасности" предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.
Администраторы могут отправлять сообщения электронной почты старше 30 дней, если они по-прежнему доступны в почтовом ящике и не были очищены пользователем или администратором.
Администратор отправки регулируются по следующим тарифам:
- Максимальное количество заявок за любой 15-минутный период: 150 заявок
- Одни и те же отправки в течение 24-часового периода: три отправки
- Одни и те же отправки за 15-минутный период: одна отправка
Если пользователь сообщил параметры в организации отправлять сообщения пользователя (электронная почта и Microsoft Teams) в корпорацию Майкрософт (исключительно или в дополнение к почтовому ящику отчетов), мы делаем те же проверки, что и при отправке администраторами сообщений в Корпорацию Майкрософт для анализа со страницы Отправки . Таким образом, отправка или повторная отправка сообщений в корпорацию Майкрософт полезна администраторам только для сообщений, которые никогда не отправлялись в корпорацию Майкрософт, или если вы не согласны с первоначальным вердиктом.
Вкладка Файлы доступна на странице Отправки только в организациях с Microsoft Defender XDR или Microsoft Defender для конечной точки план 2. Сведения и инструкции по отправке файлов с вкладки Файлы см. в разделе Отправка файлов в Microsoft Defender для конечной точки.
Администратор отправки
Совет
Вкладка, на которой вы выбираете команду Отправить в Майкрософт для анализа , не имеет особого значения, если для параметра Выберите тип отправки задано правильное значение.
Сообщить о сомнительной электронной почте в Корпорацию Майкрософт
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.
На странице Отправки убедитесь, что выбрана вкладка Электронная почта .
На вкладке Электронная почта выберите Отправить в Корпорацию Майкрософт для анализа.
На первой странице открывающегося всплывающего окна Отправить в Майкрософт для анализа введите следующие сведения:
Выберите тип отправки: проверьте значение, Email выбрано.
Добавьте идентификатор сетевого сообщения или отправьте файл электронной почты. Выберите один из следующих параметров:
- Добавьте идентификатор сетевого сообщения электронной почты. Значение GUID доступно в заголовке X-MS-Exchange-Organization-Network-Message-Id или в заголовке X-MS-Office365-Filtering-Correlation-Id в сообщениях.
- Отправьте файл электронной почты (.msg или .eml). Выберите Обзор файлов. В открывшемся диалоговом окне найдите и выберите файл .eml или .msg, а затем нажмите кнопку Открыть.
Выберите по крайней мере одного получателя, у которого возникла проблема: укажите получателей для запуска политики проверка. Политика проверка определяет, было ли сообщение электронной почты обходить проверку из-за политик пользователя или организации или переопределения.
Почему вы отправляете это сообщение в корпорацию Майкрософт? Выберите одно из следующих значений:
- Это выглядит подозрительным: выбирайте это значение только в том случае, если вы не знаете или не знаете о вердикте сообщения и хотите получить вердикт от Корпорации Майкрософт. Выберите Отправить, а затем перейдите к шагу 6.
или
На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.
- Выберите Отправить.
или
Выберите Блокировать все сообщения электронной почты от этого отправителя или домена. Этот параметр создает запись блокировки для домена отправителя или адреса электронной почты в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.
После выбора этого параметра будут доступны следующие параметры:
- По умолчанию выбран параметр Отправитель , но вместо него можно выбрать Домен .
-
Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
- 1 день
- 7 дней
- 30 дней
- Срок действия не истекает
- Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
- Примечание о блокировке (необязательно): введите необязательные сведения о том, почему вы блокируете этот элемент.
Завершив работу на второй странице всплывающего меню Отправить в Майкрософт для анализа , выберите Отправить.
Нажмите кнопку Готово.
Через несколько секунд запись блока будет доступна на вкладке Домены & адреса на странице Разрешения или блокировки клиента Списки по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=Sender.
Отчеты о сомнительных вложениях электронной почты в Корпорацию Майкрософт
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.
На странице Отправки выберите вкладку Email вложения.
На вкладке вложения Email выберите Отправить в Корпорацию Майкрософт для анализа.
На первой странице открывающегося всплывающего окна Отправить в Майкрософт для анализа введите следующие сведения:
Выберите тип отправки: убедитесь, что выбрано значение, Email вложение.
Файл: выберите Обзор файлов , чтобы найти и выбрать файл для отправки.
Почему вы отправляете это вложение электронной почты в корпорацию Майкрософт? Выберите одно из следующих значений:
- Это выглядит подозрительно: выберите это значение, если вы не уверены и хотите вывести вердикт от корпорации Майкрософт, выберите Отправить, а затем перейдите к шагу 6.
или
На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.
- Выберите Отправить.
или
Выберите Блокировать этот файл. Этот параметр создает запись блока для файла в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.
После выбора этого параметра будут доступны следующие параметры:
-
Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
- 1 день
- 7 дней
- 30 дней
- Срок действия не истекает
- Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
- Примечание о блокировке (необязательно): введите необязательные сведения о том, почему вы блокируете этот элемент.
По завершении во всплывающем окне Отправить в Майкрософт для анализа нажмите кнопку Отправить.
-
Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
Нажмите кнопку Готово.
Через несколько секунд запись блока будет доступна на вкладке Файлы на странице Разрешения и блокировки клиента Списки по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=FileHash.
Сообщить о сомнительных URL-адресах в корпорацию Майкрософт
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.
На странице Отправки выберите вкладку URL-адреса .
На вкладке URL-адреса выберите Отправить в Корпорацию Майкрософт для анализа.
В открывавшемся всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:
Выберите тип отправки: убедитесь, что выбран URL-адрес значения.
URL-адрес: введите полный URL-адрес (например,
https://www.fabrikam.com/marketing.html
), а затем выберите его в появившемся поле. Одновременно можно ввести до 50 URL-адресов.Почему вы отправляете этот URL-адрес в корпорацию Майкрософт? Выберите одно из следующих значений:
- Это выглядит подозрительно: выберите это значение, если вы не уверены и хотите вывести вердикт от корпорации Майкрософт, выберите Отправить, а затем перейдите к шагу 6.
или
На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.
- Выберите Отправить.
или
Выберите Блокировать этот URL-адрес. Этот параметр создает запись блока для URL-адреса в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.
После выбора этого параметра будут доступны следующие параметры:
-
Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
- 1 день
- 7 дней
- 30 дней
- Срок действия не истекает
- Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
- Примечание о блокировке (необязательно). Введите необязательные сведения о том, почему вы блокируете этот itme.
По завершении во всплывающем окне Отправить в Майкрософт для анализа нажмите кнопку Отправить.
-
Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
Нажмите кнопку Готово.
Через несколько секунд запись блока будет доступна на вкладке URL-адрес на странице Разрешения или блокировки клиента Списки по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=Url.
Сообщить о хорошем сообщении электронной почты в Корпорацию Майкрософт
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.
На странице Отправки убедитесь, что выбрана вкладка Электронная почта .
На вкладке Электронная почта выберите Отправить в Корпорацию Майкрософт для анализа.
На первой странице открывающегося всплывающего окна Отправить в Майкрософт для анализа введите следующие сведения:
Выберите тип отправки: проверьте значение, Email выбрано.
Добавьте идентификатор сетевого сообщения или отправьте файл электронной почты. Выберите один из следующих параметров:
- Добавьте идентификатор сетевого сообщения электронной почты. Значение GUID доступно в заголовке X-MS-Exchange-Organization-Network-Message-Id в сообщении или в заголовке X-MS-Office365-Filtering-Correlation-Id в сообщениях, помещенных в карантин.
- Отправьте файл электронной почты (.msg или .eml). Выберите Обзор файлов. В открывшемся диалоговом окне найдите и выберите файл .eml или .msg, а затем нажмите кнопку Открыть.
Выберите по крайней мере одного получателя, у которого возникла проблема: укажите получателей для запуска политики проверка. Политика проверка определяет, был ли адрес электронной почты заблокирован из-за политик или переопределений пользователя или организации.
Почему вы отправляете это сообщение в корпорацию Майкрософт? Выберите одно из следующих значений:
- Оно выглядит чистым: выбирайте это значение только в том случае, если вы не знаете или не знаете о вердикте сообщения и хотите получить вердикт от Корпорации Майкрософт. Выберите Отправить, а затем перейдите к шагу 6.
или
- Я подтвердил, что это чисто: во всех остальных случаях выберите это значение после того, как вы уже определили вердикт сообщения как чистый. Нажмите кнопку Далее.
На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.
- Выберите Отправить.
или
Выберите Разрешить это сообщение: этот параметр создает запись разрешения для элементов сообщения в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.
После выбора этого параметра будут доступны следующие параметры:
Удалить разрешить запись после. Значение по умолчанию — 45 дней после последней даты использования, но вы можете выбрать из следующих значений:
- 1 день
- 7 дней
- 30 дней
- Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
Для подделанных отправителей это значение не имеет смысла, так как срок действия записей для подделанных отправителей никогда не истекает.
Когда выбрано 45 дней после последней даты использования , дата последней использованной записи разрешения обновляется при обнаружении вредоносного сообщения электронной почты во время потока обработки почты. Запись разрешения сохраняется в течение 45 дней после того, как система фильтрации определит, что сообщение электронной почты является чистым. Для всех остальных значений можно разрешить входные данные в определенную дату (1 день, 7 дней, 30 дней или конкретную дату).
Разрешить запись (необязательно): введите необязательные сведения о том, почему вы разрешаете этот элемент. Для подделанных отправителей любое введенное здесь значение не отображается в записи разрешения на вкладке Spoofed senders (Подделанные отправители) на странице Списки разрешения или блокировки клиента.
Завершив работу на второй странице всплывающего меню Отправить в Майкрософт для анализа , выберите Отправить.
Нажмите кнопку Готово.
Через несколько секунд связанные записи разрешения появятся на вкладках Домены & адреса, подделанные отправители, URL-адреса или Файлы на странице Разрешения и блокировки Списки клиента по адресу https://security.microsoft.com/tenantAllowBlockList.
Важно!
- Разрешенные записи добавляются во время потока обработки почты на основе фильтров, которые определили, что сообщение было вредоносным. Например, если адрес электронной почты отправителя и URL-адрес в сообщении были определены как недопустимые, для отправителя (адрес электронной почты или домен) и URL-адреса создается запись разрешения.
- Если адрес электронной почты отправителя не найден вредоносным в нашей системе фильтрации, отправка сообщения электронной почты в Корпорацию Майкрософт не приведет к созданию разрешенной записи в списке разрешенных и заблокированных клиентов.
- При повторном обнаружении разрешенного домена или адреса электронной почты, подделанного отправителя, URL-адреса или файла (сущности) все фильтры, связанные с сущностью, пропускаются. Для сообщений электронной почты все остальные сущности по-прежнему оцениваются системой фильтрации перед принятием решения.
- Если во время потока обработки почты сообщения из разрешенного домена или адреса электронной почты проходят другие проверки в стеке фильтрации, сообщения доставляются. Например, если сообщение проходит проверку подлинности по электронной почте, доставляется сообщение с разрешенного адреса электронной почты отправителя.
- По умолчанию разрешенные записи для доменов и адресов электронной почты хранятся в течение 45 дней после того, как система фильтрации определит, что сущность чиста, а затем запись разрешения удаляется. Для всех других значений, таких как 1 день, 7 дней, 30 дней, конкретная дата окончания срока действия разрешенной записи в определенную дату. По умолчанию срок действия записей для подделанных отправителей не истечет.
- Для сообщений, которые были неправильно заблокированы защитой олицетворения домена или пользователя, запись разрешения для домена или отправителя не создается в списке разрешений и блокировок клиента. Вместо этого домен или отправитель добавляется в раздел Доверенные отправители и доменыв политике защиты от фишинга , которая обнаружила сообщение.
- При переопределении вердикта в анализе спуфинга аналитики спуфинг становится записью разрешения или блокировки вручную, которая отображается только в подделанных отправителях на странице Разрешения или блокировки клиента Списки по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=SpoofItem.
Отчет о хороших вложениях электронной почты в Корпорацию Майкрософт
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.
На странице Отправки выберите вкладку Email вложения.
На вкладке вложения Email выберите Отправить в Корпорацию Майкрософт для анализа.
Во всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:
Выберите тип отправки: убедитесь, что выбрано значение, Email вложение.
Файл: выберите Обзор файлов , чтобы найти и выбрать файл для отправки.
Почему вы отправляете сообщение в Корпорацию Майкрософт? Выберите одно из следующих значений:
- Оно выглядит чистым: выберите это значение, если вы не уверены и хотите вывести вердикт от корпорации Майкрософт, выберите Отправить, а затем перейдите к шагу 6.
или
- Я подтвердил, что оно чисто: выберите это значение, если вы уверены, что элемент чист, а затем нажмите кнопку Далее.
На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.
- Выберите Отправить.
или
Выберите Разрешить этот файл: этот параметр создает запись разрешения для файла в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.
После выбора этого параметра будут доступны следующие параметры:
Удалить разрешить запись после. Значение по умолчанию — 45 дней после последней даты использования, но вы можете выбрать из следующих значений:
- 1 день
- 7 дней
- 30 дней
- Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
Если выбрано 45 дней после последней даты использования , дата последней использованной записи разрешения обновляется при обнаружении вредоносного вложения электронной почты во время потока обработки почты. Запись разрешения сохраняется в течение 45 дней после того, как система фильтрации определит, что вложение электронной почты является чистым. Для всех других значений, таких как 1 день, 7 дней, 30 дней, конкретная дата окончания срока действия разрешенной записи в определенную дату.
Разрешить запись (необязательно): введите необязательные сведения о том, почему вы разрешаете этот элемент.
Завершив работу на второй странице всплывающего меню Отправить в Майкрософт для анализа , выберите Отправить.
Нажмите кнопку Готово.
Через несколько секунд запись разрешить будет доступна на вкладке Файлы на странице Список разрешенных и заблокированных клиентов . Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.
Важно!
- По умолчанию разрешенные записи для файлов хранятся в течение 45 дней после того, как система фильтрации определит, что сущность чиста, а затем запись разрешения удаляется. Для всех других значений, таких как 1 день, 7 дней, 30 дней, конкретная дата окончания срока действия разрешенной записи в определенную дату.
- При повторном обнаружении файла во время потока обработки почты переопределяются детонация безопасных вложений или проверка репутации файла, а также все остальные фильтры на основе файлов. Если система фильтрации определяет, что все остальные сущности в сообщении электронной почты чисты, сообщение доставляется.
- Во время выбора все фильтры на основе файлов, включая детонацию безопасных вложений или проверки репутации файла, переопределяются, что позволяет пользователю получить доступ к файлу.
Отчет о хороших URL-адресах в Корпорацию Майкрософт
Для URL-адресов, сообщаемых как ложноположительные, мы разрешаем последующие сообщения, содержащие варианты исходного URL-адреса. Например, вы используете страницу Отправки , чтобы сообщить о неправильно заблокированном URL-адресе www.contoso.com/abc
. Если ваша организация позже получит сообщение, содержащее URL-адрес (напримерwww.contoso.com/abc
www.contoso.com/abc?id=1
www.contoso.com/abc/def/gty/uyt?id=5
, или www.contoso.com/abc/whatever
), сообщение не будет заблокировано на основе URL-адреса. Иными словами, вам не нужно сообщать корпорации Майкрософт о нескольких вариантах одного и того же URL-адреса.
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.
На странице Отправки выберите вкладку URL-адреса .
На вкладке URL-адреса выберите Отправить в Корпорацию Майкрософт для анализа.
В открывавшемся всплывающем окне Отправить в Корпорацию Майкрософт для анализа введите следующие сведения:
Выберите тип отправки: убедитесь, что выбран URL-адрес значения.
URL-адрес: введите полный URL-адрес (например,
https://www.fabrikam.com/marketing.html
), а затем выберите его в появившемся поле. Можно также указать домен верхнего уровня (например,https://www.fabrikam.com/*
), а затем выбрать его в появившемся поле. Одновременно можно ввести до 50 URL-адресов.Почему вы отправляете этот URL-адрес в корпорацию Майкрософт? Выберите одно из следующих значений:
- Оно выглядит чистым: выберите это значение, если вы не уверены и хотите вывести вердикт от корпорации Майкрософт, выберите Отправить, а затем перейдите к шагу 6.
или
На второй странице открывающегося всплывающего окна Отправить в Майкрософт для анализа выполните одно из следующих действий.
- Выберите Отправить.
или
Выберите Разрешить этот URL-адрес: этот параметр создает запись разрешения для URL-адреса в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.
После выбора этого параметра будут доступны следующие параметры:
Удалить разрешить запись после. Значение по умолчанию — 45 дней после последней даты использования, но вы можете выбрать из следующих значений:
- 1 день
- 7 дней
- 30 дней
- Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
Если выбрано 45 дней после последней даты использования , дата последней использованной записи разрешения обновляется при обнаружении вредоносного URL-адреса во время потока обработки почты. Допустимая запись сохраняется в течение 45 дней после того, как система фильтрации определит, что URL-адрес чист. Для всех других значений, таких как 1 день, 7 дней, 30 дней, конкретная дата окончания срока действия разрешенной записи в определенную дату.
Разрешить запись (необязательно): введите необязательные сведения о том, почему вы разрешаете этот элемент.
Завершив работу на второй странице всплывающего меню Отправить в Майкрософт для анализа , выберите Отправить.
Нажмите кнопку Готово.
Через несколько секунд запись разрешения будет доступна на вкладке URL-адрес на странице Разрешения и блокировки клиента Списки по адресу https://security.microsoft.com/tenantAllowBlockList?viewid=Url.
Примечание.
- По умолчанию разрешенные записи для URL-адресов хранятся в течение 45 дней после того, как система фильтрации определит, что сущность чиста, а затем запись разрешения удаляется. Для всех других значений, таких как 1 день, 7 дней, 30 дней, конкретная дата окончания срока действия разрешенной записи в определенную дату.
- При повторном обнаружении URL-адреса во время потока обработки почты проверка детонации безопасных ссылок или проверки репутации URL-адреса, а также все остальные фильтры на основе URL-адресов переопределяются. Если система фильтрации определяет, что все остальные сущности в сообщении электронной почты чисты, сообщение доставляется.
- Во время выбора все фильтры на основе URL-адресов, включая детонацию безопасных ссылок или проверки репутации URL-адресов, переопределяются, что позволяет пользователю получить доступ к содержимому по URL-адресу.
Отправка сообщений Teams в Корпорацию Майкрософт в Defender для Office 365 план 2
Совет
Отправка сообщения Teams в Корпорацию Майкрософт в настоящее время находится в предварительной версии, доступна не во всех организациях и может быть изменена.
В организациях Microsoft 365, которые имеют Microsoft Defender для Office 365 план 2 (лицензии на надстройки или включены в подписки, такие как Microsoft 365 E5), вы не можете отправлять сообщения Teams на вкладке Сообщения Teams на странице Отправки. Единственный способ отправить сообщение Teams в Корпорацию Майкрософт для анализа — отправить сообщение пользователя Teams с вкладки Пользователь сообщил , как описано в разделе Отправка сообщений о сообщениях пользователя в корпорацию Майкрософт для анализа далее в этой статье.
Записи на вкладке "Сообщения Teams " являются результатом отправки пользователем сообщения Teams в Корпорацию Майкрософт. Дополнительные сведения см. в разделе Просмотр преобразованных отправлений администратора далее в этой статье.
Просмотр отправки администратором электронной почты в Корпорацию Майкрософт
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.
На странице Отправки убедитесь, что выбрана вкладка Электронная почта .
На вкладке Электронная почта можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:
- Pending
- Выполнено
Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):
- Имя отправки*
- Отправитель*
- Получатель
- Отправлено*
- Дата отправки*
- Причина отправки*
- Статус*
- Результат*
- Причина доставки или блокировки
- Идентификатор отправки
- Идентификатор сетевого сообщения
- Направление
- IP-адрес отправителя
- Уровень массового соответствия (BCL)
- Destination
- Действие политики
- Имитация фишинга
- Теги*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
- Действие
Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:
- Причина
- Состояние
- Результат
- Tags
Чтобы разгруппировать записи, выберите Нет.
Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:
- Дата отправки: значения даты начала и даты окончания .
- Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
- Идентификатор сетевого сообщения
- Sender
- Получатель
- Имя отправки
- Отправлено
-
Причина отправки: любое из следующих значений:
- Не является нежелательным
- Отображается чисто
- Отображается подозрительно
- Фишинг
- Вредоносная программа
- Спам.
- Состояние: Ожидание и Завершено.
- Теги: все или выберите теги пользователей в раскрывающемся списке.
Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.
Экспорт используется для экспорта списка записей в CSV-файл.
Просмотр сведений об отправке администратором электронной почты
Если выбрать запись на вкладке Сообщения электронной почты на странице Отправки, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений.
В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:
- Заголовок всплывающего элемента — это значение сообщения Subject.
- Все теги пользователей, назначенные получателям сообщения (включая тег учетной записи Priority). Дополнительные сведения см. в разделе Теги пользователей в Microsoft Defender для Office 365
- В Defender для Office 365 действия, доступные в верхней части всплывающего элемента, описаны в разделе Действия для отправки администратором в Defender для Office 365.
Совет
Чтобы просмотреть сведения о других отправках, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
Следующие разделы всплывающего меню сведений относятся к отправке сообщений электронной почты:
Раздел сведений о результатах :
-
Результат: содержит значение Result для отправки. Например:
- Не должно быть заблокировано
- Разрешено из-за переопределений пользователей
- Разрешено из-за правила
-
Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например:
- Просмотр правил потока обработки почты Exchange (правил транспорта)
- Просмотрите это сообщение в Обозреватель (только Обозреватель угроз или обнаружение в режиме реального времени в Defender для Office 365)
- Поиск похожих сообщений в Обозреватель (Обозреватель угроз или обнаружение в режиме реального времени только в Defender для Office 365)
-
Результат: содержит значение Result для отправки. Например:
Раздел сведений об отправке:
- Дата отправки
- Имя отправки
- Тип отправки: значение Email.
- Причина отправки
- Идентификатор отправки
- Отправлено
- Состояние отправки
Раздел Разрешить сведения. Доступен только для отправки сообщений электронной почты, где значение Result имеет значение Разрешено из-за переопределений пользователей или Разрешено правилу: Содержит значения Name (email address) и Type (Sender) (Имя (адрес электронной почты) и Тип (Отправитель).
Остальная часть всплывающего меню сведений содержит разделы Сведения о доставке, Email сведения, URL-адреса и вложения, которые входят в панель сводки Email. Дополнительные сведения см. в разделе Сводная панель Email.
Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.
Просмотр отправки администратора Teams в Корпорацию Майкрософт в Defender для Office 365 плане 2
Совет
Отправка сообщения Teams в Корпорацию Майкрософт в настоящее время находится в предварительной версии, доступна не во всех организациях и может быть изменена.
На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Отправки в разделе Действия & отправки>. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission
На странице Отправки выберите вкладку Сообщения Teams .
Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):
- Имя отправки*
- Отправитель*
- Дата отправки*
- Причина отправки*
- Отправлено
- Статус*
- Результат*
- Получатель
- Идентификатор отправки
- Идентификатор сообщения Teams
- Destination
- Имитация фишинга
- Теги*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:
- Причина
- Состояние
- Результат
- Tags
Чтобы разгруппировать записи, выберите Нет.
Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:
- Дата отправки: дата начала и дата окончания.
- Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
- Идентификатор сообщения Teams
- Sender
- Получатель
- Сообщение Teams
- Отправлено
-
Причина отправки: любое из следующих значений:
- Не является нежелательным
- Отображается чисто
- Отображается подозрительно
- Фишинг
- Вредоносная программа
- Состояние: Ожидание и Завершено.
- Теги: все или выберите теги пользователей в раскрывающемся списке.
Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.
Экспорт используется для экспорта списка записей в CSV-файл.
Просмотр сведений об отправке администратора Teams
Если выбрать запись на вкладке Сообщения Teams на странице Отправки, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений.
В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:
- Название всплывающего элемента — это тема или первые 100 символов сообщения Teams.
- Текущий вердикт сообщения.
- Количество ссылок в сообщении.
- Просмотреть оповещение. Оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.
Совет
Чтобы просмотреть сведения о других отправках, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
Следующие разделы всплывающего меню сведений относятся к отправке Teams:
Раздел "Результаты отправки":
-
Результат: содержит значение Result для отправки. Например:
- Должен был быть заблокирован
- Мы не получили отправку, устраните проблему и повторно отправьте
-
Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например:
- Просмотр правил потока обработки почты Exchange (правил транспорта)
-
Результат: содержит значение Result для отправки. Например:
Раздел сведений об отправке:
- Дата отправки
- Имя отправки
- Тип отправки: значение Teams
- Причина отправки
- Идентификатор отправки
- Отправлено
- Состояние отправки
Остальная часть всплывающего меню сведений содержит разделы Сведения о сообщении, Отправителе, Участниках, Сведения о канале и URL-адресах , которые входят в панель сущностей сообщения Teams. Дополнительные сведения см. в разделе Панель сущностей Teams mMessage в Microsoft Defender для Office 365 план 2.
Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.
Просмотр отправки администраторов вложений электронной почты в Корпорацию Майкрософт
На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Отправки в разделе Действия & отправки>. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission
На странице Отправки выберите вкладку Email вложения.
На вкладке Email вложений можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:
- Pending
- Выполнено
Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):
- Имя файла вложения*
- Дата отправки*
- Причина отправки*
- Статус*
- Результат*
- Фильтр вердикта
- Причина доставки или блокировки
- Идентификатор отправки
- Идентификатор объекта
- Действие политики
- Отправлено
- Теги*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
- Действие
Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:
- Причина
- Состояние
- Результат
- Tags
Чтобы разгруппировать записи, выберите Нет.
Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:
- Дата отправки: дата начала и дата окончания.
- Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
- Имя файла вложения
- Отправлено
-
Причина отправки: любое из следующих значений:
- Не является нежелательным
- Отображается чисто
- Отображается подозрительно
- Фишинг
- Вредоносная программа
- Состояние: Ожидание и Завершено.
- Теги: все или выберите теги пользователей в раскрывающемся списке.
Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.
Экспорт используется для экспорта списка записей в CSV-файл.
Просмотр сведений об отправке администратором вложений электронной почты
Если выбрать запись на вкладке Email вложений на странице Отправки, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений.
В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:
- Заголовок всплывающего элемента — это имя файла вложения.
- Значения Состояние и Результат отправки.
- Просмотреть оповещение. В Defender для Office 365 при создании или обновлении отправки администратором активируется оповещение. При выборе этого действия вы перейдете к сведениям об оповещении.
Совет
Чтобы просмотреть сведения о других отправках, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
Следующие разделы всплывающего меню сведений относятся к отправке вложений по электронной почте:
Раздел сведений о результатах :
-
Результат: содержит значение Result для отправки. Например:
- Должен был быть заблокирован
- Не должно быть заблокировано
-
Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например:
- URL-адрес или файл блокировки в списке разрешенных или заблокированных клиентов
-
Результат: содержит значение Result для отправки. Например:
Раздел сведений об отправке:
- Дата отправки
- Имя отправки
- Тип отправки: значение File.
- Причина отправки
- Идентификатор отправки
- Отправлено
- Состояние отправки
Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.
Просмотр отправки администратором URL-адресов в Корпорацию Майкрософт
На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Отправки в разделе Действия & отправки>. Чтобы перейти непосредственно на страницу Отправки, используйте .https://security.microsoft.com/reportsubmission
На странице Отправки выберите вкладку URL-адреса .
На вкладке URL-адреса можно быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:
- Pending
- Выполнено
Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):
- URL-адрес*
- Дата отправки*
- Причина отправки*
- Статус*
- Результат*
- Фильтр вердикта
- Причина доставки или блокировки
- Идентификатор отправки
- Идентификатор объекта
- Действие политики
- Отправлено
- Теги*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
- Действие
Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:
- Причина
- Состояние
- Результат
- Tags
Чтобы разгруппировать записи, выберите Нет.
Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:
- Дата отправки: дата начала и дата окончания.
- Идентификатор отправки. Значение GUID, присвоенное каждой отправке.
- URL-адрес
- Отправлено
-
Причина отправки: любое из следующих значений:
- Не является нежелательным
- Отображается чисто
- Отображается подозрительно
- Фишинг
- Вредоносная программа
- Состояние: Ожидание и Завершено.
- Теги: все или выберите теги пользователей в раскрывающемся списке.
Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.
Экспорт используется для экспорта списка записей в CSV-файл.
Просмотр сведений об отправке администратора URL-адресов
Если выбрать запись на вкладке URL-адресастраницы Отправки, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений.
В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:
- Заголовок всплывающего элемента — домен URL-адреса.
- Значения Состояние и Результат отправки.
- Просмотреть оповещение. В Defender для Office 365 при создании или обновлении отправки администратором активируется оповещение. При выборе этого действия вы перейдете к сведениям об оповещении.
Совет
Чтобы просмотреть сведения о других отправках, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
Остальные разделы всплывающего меню сведений связаны с отправкой URL-адресов:
Раздел сведений о результатах :
-
Результат: содержит значение Result для отправки. Например:
- Должен был быть заблокирован
- Не должно быть заблокировано
-
Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например:
- URL-адрес или файл блокировки в списке разрешенных или заблокированных клиентов
-
Результат: содержит значение Result для отправки. Например:
Раздел сведений об отправке:
- Дата отправки
- URL-адрес
- Тип отправки: значение — URL-адрес.
- Причина отправки
- Идентификатор отправки
- Отправлено
- Состояние отправки
Разрешает сведения или Блок сведений . Доступно только для отправки URL-адресов, где URL-адрес был заблокирован или разрешен. Содержит значения Name (URL-домен) и Type (URL-адрес).
Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.
Результаты от Майкрософт
Результаты анализа сообщаемого элемента отображаются во всплывающем меню сведений, открываемом при выборе записи на вкладке Электронная почта, сообщения Teams, Email вложения или URL-адреса на странице Отправки:
- Возникновение сбоя при проверке подлинности электронной почты отправителя в момент доставки.
- Сведения о любых политиках или переопределениях, которые могли повлиять или переопределить вердикт сообщения из системы фильтрации.
- Результаты текущей детонации, чтобы узнать, были ли URL-адреса или файлы в сообщении вредоносными или нет.
- Отзывы от оценок.
При обнаружении переопределения или конфигурации политики результат должен быть доступен через несколько минут. Если не возникла проблема с проверкой подлинности электронной почты или доставка не была затронута переопределением или политикой, детонация и отзывы от оценщиков могут занять до дня.
Действия для отправки администратором в Defender для Office 365
В организациях с Microsoft Defender для Office 365 (лицензиями на надстройки или подписками, такими как Microsoft 365 E5 или Microsoft 365 бизнес премиум), следующие действия доступны для отправки администратором во всплывающем окне сведений, открывающемся после выбора записи в списке, щелкнув в любом месте строки, кроме поля проверка:
Открыть сущность электронной почты: доступно только во всплывающем элементе сведений на вкладке Электронная почта . Дополнительные сведения см. в разделе Что находится на странице сущности Email.
Действия: доступно только во всплывающем элементе сведений на вкладке Электронная почта . Это действие запускает тот же мастер действий, который доступен на странице сущности Email. Дополнительные сведения см. в разделе Действия на странице сущности Email.
Просмотреть оповещение. Оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.
В разделе Сведения о результатах также могут быть доступны следующие ссылки на Обозреватель угрозы в зависимости от состояния и результата сообщаемого элемента:
- Просмотрите это сообщение на вкладке Обозреватель: Только сообщения электронной почты.
- Поиск похожих сообщений в Обозреватель: только на вкладке "Сообщения электронной почты".
- Поиск ПО URL-адресу или файлу: Email только вложения или вкладки URL-адресов.
Администратор параметры сообщений, сообщаемые пользователем
Для сообщений электронной почты администраторы могут видеть, какие пользователи сообщают на вкладке Пользователь сообщил на странице Отправки , если выполняются следующие инструкции:
- Параметры , о которых сообщил пользователь , включены.
- Email сообщений. Вы используете поддерживаемые методы, чтобы пользователи сообщали о сообщениях:
- Сообщения Teams. Параметры пользовательских отчетов для сообщений Teams включено.
Примечания.
- Сообщения, сообщаемые пользователем, которые отправляются только в корпорацию Майкрософт или в корпорацию Майкрософт, а почтовый ящик отчетов отображаются на вкладке Пользователь сообщил .
- Сообщения, сообщаемые пользователем, которые отправляются только в почтовый ящик отчетов, отображаются на вкладке Пользователь сообщил со значением Неотправлено в Корпорацию Майкрософт. Администраторы должны сообщать об этих сообщениях в корпорацию Майкрософт для анализа.
В организациях с Microsoft Defender для Office 365 плана 2 (лицензии на надстройки или подписки, такие как Microsoft 365 E5), администраторы также могут просматривать сообщения пользователей в Microsoft Teams в Defender для Office 365 плане 2 (в настоящее время в предварительной версии).
В организациях с Defender для Office 365 план 2 (надстройка Для пользователя сообщила сообщения в Microsoft Teams в Defender для Office 365 плане 2 (в настоящее время находится в предварительной версии)
На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Действия & отправки>. Или, чтобы перейти непосредственно на страницу Отправки , используйте https://security.microsoft.com/reportsubmission.
На странице Отправки выберите вкладку Пользователь сообщил .
В следующих подразделах описаны сведения и действия, доступные на вкладке Пользователь сообщил на странице Отправки .
Просмотр сообщений, отправляемых пользователями в Корпорацию Майкрософт
На вкладке Пользователь сообщил , чтобы быстро отфильтровать представление, выбрав один из доступных быстрых фильтров:
- Threats
- Спам
- Нет угроз
- Моделирования
Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Значения по умолчанию помечены звездочкой (*):
- Имя и тип*
- Сообщает*
- Дата сообщения*
- Отправитель*
- Сообщаемая причина*
-
Результат*. Содержит следующие сведения для сообщений, сообщаемых пользователем:
-
Отправка сообщений, сообщаемые по>Корпорация Майкрософт и мой почтовый ящик отчетов или только майкрософт: значения, полученные из следующего анализа:
- Попадания в политику. Сведения о любых политиках или переопределениях, которые могли разрешать или блокировать входящие сообщения, включая переопределения для наших решений фильтрации. Результат должен быть доступен в течение нескольких минут. В противном случае детонация и отзывы от оценщиков могут занять до одного дня.
- Репутация полезных данных или детонация. Актуальные сведения о любых URL-адресах и файлах в сообщении.
- Анализ оценщиков. Проверка, выполненная людьми-оценщиками, чтобы подтвердить, являются ли сообщения вредоносными.
- Отправка сообщений, сообщаемые по>Только мой почтовый ящик отчетов. Значение всегда не отправляется в Корпорацию Майкрософт, так как сообщения не были проанализированы корпорацией Майкрософт.
-
Отправка сообщений, сообщаемые по>Корпорация Майкрософт и мой почтовый ящик отчетов или только майкрософт: значения, полученные из следующего анализа:
- Идентификатор сообщения
- Идентификатор сетевого сообщения
- Идентификатор сообщения Teams
- IP-адрес отправителя
- Сообщается из
- Имитация фишинга
- Преобразовано в отправку администратором
- Помечено как*
- Отмечено*
- Дата, помеченная
- Теги*. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Чтобы сгруппировать записи, выберите Группировать , а затем выберите одно из следующих значений:
- Sender
- Reported by (Сообщил)
- Результат
- Сообщается из
- Преобразовано в отправку администратором
- Tags
Чтобы разгруппировать записи, выберите Нет.
Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:
- Дата сообщения: дата начала и дата окончания.
- Reported by (Сообщил)
- Название
- Идентификатор сообщения
- Идентификатор сетевого сообщения
- Идентификатор сообщения Teams
- Sender
- Сообщаемая причина: значения Нет угроз, фишинга и спама.
- Сообщается из: значения Майкрософт и стороннего производителя.
- Имитация фишинга: значения Да и Нет.
- Преобразовано в отправку администратора: значения Да и Нет.
-
Тип сообщения: доступные значения:
- Электронная почта
- Сообщение Teams (только Defender для Office 365 план 2; в настоящее время находится в предварительной версии).
- Теги: все или выберите один или несколько тегов пользователей (включая учетную запись приоритета), назначенных пользователям. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей в Microsoft Defender для Office 365.
Завершив работу с всплывающий элемент Фильтр , нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.
Экспорт используется для экспорта списка записей в CSV-файл.
Дополнительные сведения о действиях, доступных для сообщений на вкладке Пользователь сообщается , см. в следующем подразделе.
Просмотр сведений о сообщении электронной почты, сообщаемом пользователем
Если выбрать запись, связанную с электронной почтой, на вкладке Пользователь сообщил на странице Отправки, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений.
В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:
- Заголовок всплывающего элемента — это значение сообщения Subject.
- Все теги пользователей, назначенные получателям сообщения (включая тег учетной записи Priority). Дополнительные сведения см. в разделе Теги пользователей в Microsoft Defender для Office 365
- Действия, доступные в верхней части всплывающего элемента, описаны в разделе действия Администратор для сообщений, сообщаемых пользователем.
Совет
Чтобы просмотреть сведения о других отправках, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
Следующие разделы всплывающего меню сведений относятся к отправке, сообщаемой пользователем:
Раздел сведений о результатах :
-
Результат: содержит значение Result для отправки. Например:
- Не должно быть заблокировано
- Разрешено из-за переопределений пользователей
- Разрешено из-за правила
-
Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например:
- Просмотр правил потока обработки почты Exchange (правил транспорта)
- Просмотрите это сообщение в Обозреватель (только Обозреватель угроз или обнаружение в режиме реального времени в Defender для Office 365)
- Поиск похожих сообщений в Обозреватель (Обозреватель угроз или обнаружение в режиме реального времени только в Defender для Office 365)
-
Результат: содержит значение Result для отправки. Например:
Раздел сведений о сообщении:
- Дата отправки
- Имя отправки
- Сообщаемая причина.
- Идентификатор сообщения
- Reported by (Сообщил)
- Имитация фишинга: значение Да или Нет.
- Преобразовано в отправку администратора: значение Да или Нет. Дополнительные сведения см. в разделе Просмотр преобразованных отправок администратора.
Остальная часть всплывающего меню сведений содержит разделы Сведения о доставке, Email сведения, URL-адреса и вложения, которые входят в панель сводки Email. Дополнительные сведения см. в разделе Сводная панель Email.
Совет
Если значением Result является имитация фишинга, всплывающий элемент сведений может содержать только следующие сведения:
- Раздел сведений о результатах
- Раздел сведений о сообщении
-
Email раздел сведений со следующими значениями:
- Идентификатор сетевого сообщения
- Sender
- Sent date
Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.
Просмотр сведений о сообщении Teams, сообщаемом пользователем, в Defender для Office 365 план 2
Совет
Отчеты пользователей о сообщениях в Microsoft Teams в настоящее время находятся в предварительной версии, доступны не во всех организациях и могут быть изменены.
В организациях Microsoft 365, имеющих Microsoft Defender для Office 365 план 2 (лицензии на надстройки или включенные в подписки, такие как Microsoft 365 E5), сообщения Teams доступны на вкладке Пользователь сообщил на странице Отправки. Их легко найти, отфильтровав результаты по значению Тип сообщенияв сообщении Teams.
Если выбрать запись сообщения Teams на вкладке Пользователь сообщил, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений.
В верхней части всплывающего окна сведений доступны следующие сведения о сообщении:
- Название всплывающего элемента — это тема или первые 100 символов сообщения Teams.
- Текущий вердикт сообщения.
- Количество ссылок в сообщении.
- Доступные действия описаны в разделе Администратор действий для сообщений, сообщаемых пользователем.
Совет
Чтобы просмотреть сведения о других отправках, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
Следующие разделы всплывающего меню сведений относятся к отправке в Teams, сообщаемой пользователем:
Раздел "Результаты отправки":
-
Результат: содержит значение Result для отправки. Например:
- Не должно быть заблокировано
- Не отправлено в Корпорацию Майкрософт
-
Рекомендуемые действия для отправки электронной почты: содержит ссылки на связанные действия. Например:
- Просмотр правил потока обработки почты Exchange (правил транспорта)
-
Результат: содержит значение Result для отправки. Например:
Раздел сведений о сообщении:
- Дата сообщения
- Имя отправки
- Сообщаемая причина.
- Идентификатор сообщения
- Reported by (Сообщил)
- Имитация фишинга: значение Да или Нет.
- Преобразовано в отправку администратора: значение Да или Нет. Дополнительные сведения см. в разделе Просмотр преобразованных отправок администратора.
Остальная часть всплывающего меню сведений содержит разделы Сведения о сообщении, Отправителе, Участниках, Сведения о канале и URL-адресах , которые входят в панель сущностей сообщения Teams. Дополнительные сведения см. в разделе Панель сущностей Teams mMessage в Microsoft Defender для Office 365 план 2.
Совет
Если значением Result является имитация фишинга, всплывающий элемент сведений может содержать только следующие сведения:
- Раздел сведений о результатах
- Раздел сведений о сообщении
-
Email раздел сведений со следующими значениями:
- Идентификатор сетевого сообщения
- Sender
- Sent date
Завершив во всплывающем окне сведений, нажмите кнопку Закрыть.
действия Администратор для сообщений, сообщаемого пользователем
На вкладке Пользователь сообщил действия для сообщений, сообщаемых пользователем, доступны на самой вкладке или во всплывающем меню сведений выбранной записи:
Выберите сообщение из списка, выбрав поле проверка рядом с первым столбцом. На вкладке Пользователь сообщил , доступны следующие действия:
- Отправка в Корпорацию Майкрософт для анализа
- Пометка как и уведомление
- Исследование триггеров (только Defender для Office 365 план 2)
Выберите сообщение из списка, щелкнув в любом месте строки, кроме поля проверка. В открываемом* всплывающем окне сведений доступны следующие действия:
- Отправка в Корпорацию Майкрософт для анализа
- Пометка как и уведомление
- Просмотр преобразованной отправки администратора
-
Действия только в Microsoft Defender для Office 365:
- Открытие сущности электронной почты
- Выполнение действий
- Просмотр оповещений
Действия для сообщений, сообщаемые пользователем в Defender для Office
Совет
Чтобы просмотреть сведения или выполнить действия с сообщениями других пользователей, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.
* В зависимости от характера и состояния сообщения некоторые действия могут быть недоступны, доступны непосредственно в верхней части всплывающего окна или доступны в разделе Дополнительные действия в верхней части всплывающего окна.
Эти действия описаны в следующих подразделах.
Примечание.
После того как пользователь сообщит о подозрительном сообщении, пользователь или администраторы не могут отменить отчет о сообщении, независимо от того, куда отправляется сообщение (в почтовый ящик отчетов, в корпорацию Майкрософт или и то, и другое). Пользователь может восстановить сообщение из папок "Удаленные" или "Нежелательная Email".
Отправка сообщений, сообщаемого пользователем, в корпорацию Майкрософт для анализа
Выбрав сообщение на вкладке Пользователь сообщил , используйте один из следующих методов, чтобы отправить сообщение в корпорацию Майкрософт:
На вкладке Пользователь сообщил: выберите Отправить в Майкрософт для анализа.
Во всплывающем окне сведений выбранного сообщения выберите Отправить в Майкрософт для анализа или Дополнительные параметры>Отправить в Майкрософт для анализа в верхней части всплывающего окна.
Во всплывающем окне Отправить в Майкрософт для анализа выполните следующие действия в зависимости от того, является ли сообщение сообщением электронной почты или сообщением Teams:
сообщения Email:
-
Почему вы отправляете это сообщение в корпорацию Майкрософт? Выберите одно из следующих значений:
Оно отображается как чистое или подозрительное. Выберите одно из этих значений, если вы не уверены и хотите получить вердикт от корпорации Майкрософт.
Выберите Отправить, а затем — Готово.
Я подтвердил, что оно чисто: выберите это значение, если вы уверены, что элемент чист, а затем нажмите кнопку Далее.
На следующей странице всплывающего элемента выполните одно из следующих действий.
- Выберите Отправить, а затем — Готово.
или
- Выберите Разрешить это сообщение: этот параметр создает запись разрешения для элементов сообщения в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.
После выбора этого параметра будут доступны следующие параметры:
-
Удалить разрешить запись после. Значение по умолчанию — 45 дней после последней даты использования, но вы можете выбрать из следующих значений:
- 1 день
- 7 дней
- 30 дней
- Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
Когда выбрано 45 дней после последней даты использования , дата последней использованной записи разрешения обновляется при обнаружении вредоносного сообщения электронной почты во время потока обработки почты. Запись разрешения сохраняется в течение 45 дней после того, как система фильтрации определит, что сообщение электронной почты является чистым. Для всех других значений, таких как 1 день, 7 дней, 30 дней, конкретная дата окончания срока действия разрешенной записи в определенную дату.
- Разрешить запись (необязательно): введите необязательные сведения о том, почему вы разрешаете этот элемент. Для подделанных отправителей любое введенное здесь значение не отображается в записи разрешения на вкладке Spoofed senders (Подделанные отправители) на странице Списки разрешения или блокировки клиента.
Завершив работу с всплывающей кнопкой, нажмите кнопку Отправить, а затем нажмите кнопку Готово.
Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :
- Фишинг
- Вредоносная программа
- Спам
Нажмите кнопку Далее.
На следующей странице всплывающего элемента выполните одно из следующих действий.
- Выберите Отправить, а затем — Готово.
или
- Выберите Блокировать все сообщения электронной почты от этого отправителя или домена. Этот параметр создает запись блокировки для домена отправителя или адреса электронной почты в списке разрешенных и заблокированных клиентов. Дополнительные сведения о списке разрешенных и заблокированных клиентов см. в разделе Управление разрешениями и блоками в списке разрешенных и заблокированных клиентов.
После выбора этого параметра будут доступны следующие параметры:
- По умолчанию выбран параметр Отправитель , но вместо него можно выбрать Домен .
-
Удалить запись блока после. Значение по умолчанию — 30 дней, но вы можете выбрать из следующих значений:
- 1 день
- 7 дней
- 30 дней
- Срок действия не истекает
- Конкретная дата: максимальное значение — 30 дней с сегодняшнего дня.
- Примечание о блокировке (необязательно): введите необязательные сведения о том, почему вы блокируете этот элемент.
Завершив работу с всплывающей кнопкой, нажмите кнопку Отправить, а затем нажмите кнопку Готово.
-
Почему вы отправляете это сообщение в корпорацию Майкрософт? Выберите одно из следующих значений:
Сообщения Teams. Выберите одно из следующих значений:
- Я подтвердил его чистоту
- Он выглядит чистым
- Он выглядит подозрительным
Выбрав одно из этих значений, нажмите кнопку Отправить, а затем — Готово.
Я подтвердил, что это угроза. Выберите это значение, если вы уверены, что элемент является вредоносным, а затем выберите одно из следующих значений в появившемся разделе Выбор категории :
Фишинг
Вредоносная программа
Выберите Отправить, а затем — Готово.
После отправки сообщения пользователя в Корпорацию Майкрософт на вкладке Пользователь сообщил, значение преобразовано в отправку администратора становится равным "Нет" на "Да", а соответствующая запись отправки администратора создается на соответствующей вкладке на странице Отправки (например, на вкладке "Сообщения электронной почты").
Запуск исследования в Defender для Office 365 план 2
- На вкладке Пользователь сообщил, выберите Триггер исследования в раскрывающемся списке Отправить в Корпорацию Майкрософт для анализа.
Дополнительные сведения см. в разделе Запуск исследования.
Уведомление пользователей о сообщениях, отправленных администратором в Майкрософт
После того как администратор отправит сообщение о пользователе в корпорацию Майкрософт с вкладки Пользователь сообщил, администраторы могут использовать действие Пометить как и уведомить, чтобы пометить сообщение вердиктом и отправить шаблонное уведомление пользователю, который сообщил о сообщении.
Доступные вердикты для сообщений электронной почты:
- Угрозы не найдены
- Фишинг
- Спам
Доступные вердикты для сообщений Teams:
- Угрозы не найдены
- Фишинг
Дополнительные сведения см . в разделе Уведомление пользователей на портале.
Просмотр преобразованных отправок администратора
После отправки администратором сообщения о пользователе в корпорацию Майкрософт с вкладки Пользователь сообщил , значение Преобразовано в отправку администратора имеет значение Да.
Если выбрать одно из этих сообщений, щелкнув в любом месте строки, кроме поля проверка рядом с именем, всплывающее окно сведений содержит дополнительные действия>Просмотр преобразованной отправки администратора.
Это действие переместит вас на соответствующую запись отправки администратора на соответствующей вкладке (например, на вкладке Электронная почта ).
Действия для сообщений, сообщаемого пользователем в Defender для Office 365
В организациях с Microsoft Defender для Office 365 (лицензиями на надстройки или подписками, такими как Microsoft 365 E5 или Microsoft 365 бизнес премиум), следующие действия также могут быть доступны во всплывающем всплывающем элементе сведений о сообщении пользователя, отправленном пользователем. вкладка "сообщается":
Открытие сущности электронной почты (только для сообщений электронной почты). Дополнительные сведения см. в статье Что находится на странице сущности Email.
Выполнение действий (только сообщения электронной почты). Это действие запускает тот же мастер действий, который доступен на странице сущности Email. Дополнительные сведения см. в разделе Действия на странице сущности Email.
Просмотреть оповещение. Оповещение активируется при создании или обновлении отправки администратором. При выборе этого действия вы перейдете к сведениям об оповещении.