Insikter om massavsändare i Exchange Online Protection

Obs!

Funktionerna som beskrivs i den här artikeln är för närvarande i förhandsversion, är inte tillgängliga i alla organisationer och kan komma att ändras.

I Microsoft 365-organisationer med postlådor i Exchange Online eller fristående Exchange Online Protection-organisationer (EOP) utan Exchange Online-postlådor kan du med insikten om massutskick i Microsoft Defender-portalen se hur mycket e-post som identifierades som massutskick på den aktuella masströskelnivån i principer för skräppostskydd och simulera identifierad eller tillåten massutskick baserat på ändringar i tröskelvärdet för massutskick och kvaliteten på massutskickaren.

EOP tilldelar ett BCL-värde (bulk complaint level) till inkommande meddelanden från massavsändare. Ett högre BCL-värde anger att ett massmeddelande är mer sannolikt skräppost. Tröskelvärdet för massutskick i principer för skräppostskydd använder ett angivet BCL-värde för att identifiera meddelanden i grupp och vidta åtgärder för dem. Mer information om BCL finns i Massklagomålsnivå (BCL) i EOP.

Insikterna om massavsändare har följande funktioner:

  • Visa hur mycket e-post som identifieras som massutskick på varje BCL-nivå (1 till 9) under de senaste 60 dagarna.
  • Simulera ändringar av tröskelvärdet för massutskick och visa resultaten för det antal meddelanden som skulle levereras jämfört med de som identifierats som massutskick av standardprinciperna för skräppostskydd eller anpassade principer för skräppostskydd där du kan ange tröskelvärdet för BCL. Du kan inte ange tröskelvärdet för BCL i standard- eller strikt förinställda säkerhetsprinciper.
  • Visa information om meddelandeavsändare som påverkades av tröskelvärdet för massutskick, inklusive filtrering baserat på avsändarens kvalitet.

I den här artikeln beskrivs hur du använder massinsikten för avsändare i Microsoft Defender-portalen.

Vad behöver jag veta innan jag börjar?

  • Du öppnar Microsoft Defender-portalen på https://security.microsoft.com. Om du vill gå direkt till insiktssidan Massavsändare använder du https://security.microsoft.com/senderinsights.

  • Masssimulering och identifiering kanske inte fungerar korrekt om MX-posten för din Microsoft 365-domän pekar på en tjänst eller enhet från tredje part.

  • Du måste tilldelas behörigheter innan du kan utföra procedurerna i den här artikeln. Du har även följande alternativ:

    • Microsoft Defender XDR Unified rollbaserad åtkomstkontroll (RBAC) ( Om e-post & samarbete>defender för Office 365-behörigheter är aktiv. Påverkar endast Defender-portalen, inte PowerShell): Auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (hantera) eller auktorisering och inställningar/Säkerhetsinställningar/Kärnsäkerhetsinställningar (läs).

    • Exchange Online-behörigheter:

      • Lägg till, ändra och ta bort principer: Medlemskap i rollgrupperna Organisationshantering eller Säkerhetsadministratör .
      • Skrivskyddad åtkomst till principer: Medlemskap i rollgrupperna Global läsare, Säkerhetsläsare eller Visa endast organisationshantering .

    • Microsoft Entra-behörigheter: Medlemskap i följande roller ger användarna de behörigheter och behörigheter som krävs för andra funktioner i Microsoft 365:

      • Lägg till, ändra och ta bort principer: Medlemskap i rollerna Organisationshantering* eller Säkerhetsadministratör .
      • Skrivskyddad åtkomst till principer: Medlemskap i rollerna Global läsare eller Säkerhetsläsare .

      Viktigt

      * Microsoft rekommenderar att du använder roller med minst behörighet. Genom att använda konton med lägre behörighet kan du förbättra säkerheten för din organisation. Global administratör är en mycket privilegierad roll som bör begränsas till nödsituationsscenarier när du inte kan använda en befintlig roll.

  • De rekommenderade inställningarna för principer för skräppostskydd finns i avsnittet om Inställningar för EOP-principer för skräppostskydd.

Tips

Inställningar i standardprinciperna eller anpassade principer för skräppostskydd ignoreras om en mottagare också ingår i standard- eller strikt förinställda säkerhetsprinciper. Mer information finns i Ordning och prioritet för e-postskydd.

Tröskelvärdet Massutskick i en princip för skräppostskydd avgör det BCL-tröskelvärde som används för att identifiera ett meddelande som massutskick. Tröskelvärdet Bulk 7 innebär till exempel att meddelanden med BCL-värdet 7, 8 eller 9 identifieras som bulk. Vad som händer med massmeddelanden bestäms av åtgärden Masskompatibel nivå (BCL) som uppfyller eller överskrider åtgärden i principen för skräppostskydd (till exempel Flytta meddelande till mappen Skräppost, Karantän eller Ta bort meddelande). För enkelhetens skull kallas identifiering av ett meddelande som massutskick och åtgärder för det blockerat i insikterna om massavsändare.

Öppna insikter om massavsändare i Microsoft Defender-portalen

Insikterna om massavsändare är tillgängliga på följande platser:

  • I egenskaperna för standardprincipen för skräppostskydd eller anpassade principer för skräppostskydd:

    1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till E-post & Samarbetsprinciper>& Regler>Hotprinciper>Mot skräppost i avsnittet Principer . Om du vill gå direkt till sidan Principer för skräppostskydd använder du https://security.microsoft.com/antispam.

    2. På sidan Principer för skräppostskydd väljer du en anpassad princip för skräppostskydd ( typvärdet är Anpassad princip för skräppostskydd) eller standardprincipen för skräppostskydd med namnet Principen för inkommande skräppostskydd (standard) genom att klicka någon annanstans på raden än kryssrutan bredvid den första kolumnen.

    3. I den utfällbara menyn med information som öppnas väljer du Redigera tröskelvärde för skräppost och egenskaper längst ned i avsnittet Massutskickströskel & egenskaper för skräppost .

    4. I den utfällbara menyn Skräpposttröskel och egenskaper som öppnas innehåller insikterna om massutskick följande information om alla massutskick som identifierats av alla principer för skräppostskydd i organisationen under de senaste 60 dagarna:

      • Som standard visar insikten antalet massmeddelanden som har blockerats och tillåts vid det aktuella tröskelvärdet för BCL:

        Massutskicksinsikten i egenskaperna för standardprincipen för skräppostskydd med standardvärdet för BCL-tröskelvärdet.

      • Om du minskar tröskelvärdet för BCL för att blockera fler massutskick visar insikten antalet massmeddelanden som skulle blockeras och tillåtas vid det nya tröskelvärdet för BCL:

        Massutskicksinsikten i egenskaperna för standardprincipen för skräppostskydd med ett lägre BCL-tröskelvärde än det ursprungliga värdet.

      • Om du ökar tröskelvärdet för BCL för att tillåta fler massutskick, visar insikten antalet massmeddelanden som skulle blockeras och tillåtas vid det nya tröskelvärdet för BCL:

        Massutskicksinsikten i egenskaperna för standardprincipen för skräppostskydd med ett BCL-tröskelvärde som är högre än det ursprungliga värdet.

  • På sidan E-post & samarbetsrapporter och insikter :

    1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till avsnittet >E-post för e-post> & samarbete e-post & samarbetsrapporter och insikter. Om du vill gå direkt till sidan E-& samarbetsrapporter och insikter använder du https://security.microsoft.com/emailandcollabreport.

    2. På sidan E-post & samarbetsrapporter och insikter går du till avsnittet E-post & samarbetsinsikter och hittar insikter om massavsändare.

    Massutskicksinformationen på sidan E-& samarbetsrapporter och insikter i Microsoft Defender-portalen.

Om du vill visa detaljerad information om massidentifieringar och avsändare väljer du Visa insikter om massavsändare eller Visa information för att öppna insiktssidan Massavsändare .

Visa insiktssidan Massavsändare

Insiktssidan Massavsändare är tillgänglig med hjälp av följande metoder:

Insiktssidan Massutskick i Microsoft Defender-portalen.

Innan du kör en simulering anger värdena i tabellen mitt på sidan följande värden:

  • Massklagomålsnivå (BCL): Intervallet för möjliga BCL-värden (1 till 9).
  • All e-post: Det totala antalet meddelanden som identifierades vid varje BCL-värde (varav några kan vara 0).
  • Levereras vid aktuellt BCL-tröskelvärde: Antalet meddelanden som har levererats (identifieras inte som massutskick) för varje BCL-värde:
    • Om BCL-värdet är mindre än tröskelvärdet för aktuell massutskick levererades meddelandet (identifierades inte som mass):
      • Värdena Levereras med aktuellt BCL-tröskelvärde och Alla e-postvärden är desamma.
      • Värdet Levereras med aktuellt BCL-tröskelvärde matchar det e-postmeddelande som levereras med det aktuella konfigurationsvärdet .
    • Om BCL-värdet är större än eller lika med tröskelvärdet för aktuell massutskick identifierades meddelandet som massutskick och blockerades.
      • Värdet Levereras med aktuellt BCL-tröskelvärde för BCL-värdet är 0.
      • Värdet Alla e-postmeddelanden matchar det e-postmeddelande som identifieras med det aktuella tröskelvärdet för BCL .
  • Levereras vid nytt tröskelvärde för BCL: Antalet meddelanden som inte identifierades som massutskick efter att du har kört en simulering. Innan du kör en simulering är värdet meningslöst.

Om du vill köra en simulering använder du följande element på sidan:

  • Skjutreglaget aktuellt tröskelvärde för massutskick visar det aktuella tröskelvärdet för BCL baserat på hur du kom till insiktssidan Massavsändare :
    • Direkt: BCL-tröskelvärdet är 7.
    • Från egenskaperna för en princip för skräppostskydd: Tröskelvärdet för BCL är det aktuella värdet i principen för skräppostskydd.
  • Med skjutreglaget Nytt tröskelvärde för massutskick kan du simulera effekten av att öka och minska BCL-tröskelvärdet för levererade eller blockerade meddelanden.
  • Skjutreglaget för tröskelvärde för avsändarkvalitet för simulering anger ett tröskelvärde för tillförlitlighet för bra/dåliga avsändare som ska användas i BCL-uppdateringssimuleringen. Ett högre värde anger simulerade BCL-tröskelvärden baserat på mer tillförlitliga avsändare. Tröskelvärdet för avsändarkvalitet för avsändare baseras på följande faktorer:
    • Tidigare interaktioner med avsändaren.
    • Meddelandefrekvens från avsändaren.
    • Administratörs- eller användarfeedback om meddelanden från avsändaren.

När du har valt tröskelvärdet för ny e-post för massutskick och tröskelvärdet för simuleringssändarkvalitet väljer du Simulera:

  • Sidan uppdateras med antalet blockerade eller tillåtna meddelanden för de aktuella och nya simulerade BCL-tröskelvärdena.
  • Längst ned på sidan uppdateras med information om avsändare som skulle identifieras som massutskick.

Visa information om massavsändare på insiktssidan massavsändare

Informationstabellen för massavsändare längst ned på sidan innehåller data om massavsändare vars meddelanden identifierades som massutskick.

Tabellen kan innehålla avsändardata när du först öppnar insiktssidan Massavsändare om tröskelvärdet för aktuell massutskick och tröskelvärdet för simuleringsavsändare redan resulterade i massidentifiering av e-post innan du kör några simuleringar.

Annars inkluderas avsändare i avsändarinformationstabellen baserat på tröskelvärdet för aktuell massutskick och tröskelvärdet för simuleringsavsändarens kvalitet när du har kört en simulering.

För poster i avsändarinformationstabellen är följande kolumner alltid tillgängliga:

  • Avsändare: Avsändarens e-postadress.
  • BCL
  • Tröskelvärde för avsändarkvalitet för simulering

De återstående kolumnerna i tabellen med avsändarinformation beror på relationen mellan tröskelvärdet för aktuell massutskick och tröskelvärdet för nytt massutskick efter att du har kört en simulering:

  • Det nya tröskelvärdet för massutskick är lika med aktuellt tröskelvärde för massutskick:

    • Potentiell falsk positiv identifiering
    • Potentiell falsk negativ

    Om du vill filtrera resultatet väljer du Alla avsändare och sedan något av följande värden:

    • Potentiell falsk positiv identifiering: Endast avsändare där Potentiell falsk positiv är Sant visas.
    • Potentiell falsk negativ: Endast avsändare där Potentiell falsk negativ är Sant visas.

    Insiktssidan Massutskick innan du kör en simulering eller när du har kört en simulering där det nya BCL-tröskelvärdet är lika med det aktuella BCL-tröskelvärdet.

  • Tröskelvärdet för nya massutskick är lägre än tröskelvärdet för aktuell massutskick:

    • Ny avsändare blockerad
    • Potentiell falsk positiv identifiering

    Om du vill filtrera resultatet väljer du Alla avsändare och sedan något av följande värden:

    • Ny avsändare blockerad: Endast avsändare där Ny avsändare har blockerats är Sant visas.
    • Potentiell falsk positiv identifiering: Endast avsändare där Potentiell falsk positiv är Sant visas.

    Insiktssidan Massutskick när du har kört en simulering där det nya BCL-tröskelvärdet är mindre än det aktuella BCL-tröskelvärdet.

  • Det nya tröskelvärdet för massutskick är större än tröskelvärdet för aktuell massutskick:

    • Ny avsändare tillåts
    • Potentiell falsk negativ

    Om du vill filtrera resultatet väljer du Alla avsändare och sedan något av följande värden:

    • Ny avsändare tillåts: Endast avsändare där Ny avsändare tillåts är True visas.
    • Potentiell falsk negativ: Endast avsändare där Potentiell falsk negativ är Sant visas.

    Insiktssidan Massutskick efter att du har kört en simulering där det nya BCL-tröskelvärdet är större än det aktuella BCL-tröskelvärdet.

Om du vill ändra listan över poster från normalt till kompakt avstånd väljer du Ändra listavstånd till komprimerat eller normalt och väljer sedan Komprimera lista.

Använd sökrutan och ett motsvarande värde för att hitta specifika avsändare i tabellen.

Använd Exportera för att spara den lista över avsändare som visas i en CSV-fil. Standardfilnamnet är Massutskicksinformation – Microsoft Defender.csv och standardplatsen är den lokala mappen Hämtade filer. Om det redan finns en exporterad fil på den platsen ökas filnamnet (till exempel Insikter om massutskick – Microsoft Defender(1).csv).

Visa detaljerad information om en massavsändare på insiktssidan Massutskickare

Om du vill visa information om en specifik avsändare från avsändarinformationstabellen längst ned på insiktssidan Massavsändare klickar du var som helst på den andra raden än kryssrutan bredvid den första kolumnen. Den utfällbara menyn Avsändare som öppnas innehåller följande information om avsändaren:

  • Avsändare: Avsändarens e-postadress.
  • Meddelanden: Antalet meddelanden från avsändaren.
  • Meddelanden i inkorgen: Antalet meddelanden från avsändaren som levererades till användarens inkorgar.
  • Meddelanden i karantän eller skräppost: Antalet meddelanden från avsändaren som levererades till användarens skräppostmappar eller i karantän.
  • Administratörsinställning: Om avsändaren tillåts eller blockeras av värdena Hantera tillåter och blockerar i tillåt/blockera klientorganisationslistaGiltiga värden:
    • Tillåt: Det finns en tillåten post för meddelandesändaren.
    • Blockera: Det finns en blockpost för meddelandesändaren.
  • Tillåtna meddelanden för användare: Antalet meddelanden från avsändaren som har lagts till listan Säkra avsändare i användarpostlådor.
  • Användare blockerade meddelanden: Antalet meddelanden från avsändaren som lades till i listan Blockerade avsändare i användarpostlådor.
  • Falska positiva inlämningar: Antalet meddelanden från avsändaren som skickats som bra e-post har blockerats av misstag.
  • Falska negativa inskickade meddelanden: Antalet meddelanden från avsändaren som skickades som felaktig e-post som av misstag levererades.
  • Användaren har flyttat från skräppost till Inkorgen
  • Användaren har flyttat från Inkorgen till Skräppost
  • Användaren har tagit bort meddelanden
  • Meddelanden i karantän för administratör
  • Administratören flyttade e-postmeddelanden från Inkorgen till Skräppost
  • Administratören har tagit bort meddelanden

Den utfällbara menyn med avsändarinformation från avsändarinformationstabellen på insiktssidan Massavsändare.