Ansichten:

Verstehen Sie, wie verdächtig eine von einem Benutzer gemeldete E-Mail ist, und ergreifen Sie geeignete Maßnahmen zur Minderung, Behebung und Prävention basierend auf einer detaillierten Analyse.

Die Seite mit den Analysedetails bietet Administratoren eine umfassende Ansicht jeder gemeldeten E-Mail. Vom Vorschau der Nachricht und Überprüfung ihrer Klassifizierung (wie Phishing, Spam oder markiert) bis hin zur Identifizierung der wichtigsten verdächtigen Indikatoren können Administratoren die Art der Bedrohung bewerten. Der Bildschirm ermöglicht auch die gezielte Minderung ähnlicher historischer E-Mails und bietet Maßnahmen zur Behebung und Prävention, um zukünftige Bedrohungen zu sperren. Durch die Nutzung dieses Bildschirms können Sicherheitsteams effizienter auf von Benutzern gemeldete Bedrohungen reagieren, den manuellen Aufwand reduzieren und den Schutz in der gesamten Organisation stärken.
Erfahren Sie mehr über die bewährten Methoden zur Nutzung der vom Benutzer gemeldeten E-Mail-Analyse- und Antwortfunktion.
Abschnitt
Beschreibung und Einstellung
E-Mail-Vorschau
Vorschau einer gemeldeten E-Mail, um deren grundlegende Details, Anhänge und den Inhalt zu überprüfen.
  1. Klicken Sie auf E-Mail anzeigen neben der Betreffzeile der gemeldeten E-Mail
  2. Überprüfen Sie im Bildschirm E-Mail-Details die wichtigsten Informationen, einschließlich Absender, Empfänger, Melder, Nachrichten-ID und Anhangsnamen.
    Die Anhangsliste zeigt nur die ersten 10 Anhänge an.
  3. Verwenden Sie die Registerkarte HTML oder Einfacher Text, um den E-Mail-Text in Ihrem bevorzugten Format anzuzeigen.
Analyseergebnis
Sehen Sie sich das Analyseergebnis einer gemeldeten E-Mail an, einschließlich ihrer Klassifizierung (Phishing, Spam oder markiert), einer Zusammenfassung ihrer verdächtigen Merkmale und der wichtigsten verdächtigen Indikatoren während der Analyse.
Risikominderung
Anzeigen historischer E-Mails, die aufgrund gemeinsamer Indikatoren in einer gemeldeten E-Mail als ähnliche Bedrohungen oder Risiken identifiziert wurden.
Je nach Ihrer konfigurierten Einstellung in Berichte von E-Mail-Berichte kann das System Sicherheitsmaßnahmen automatisch anwenden oder manuelle Kontrolle ermöglichen
  • Automatisierte Aktionen
    Das System ergreift automatisch Maßnahmen bei einer identifizierten E-Mail, indem es Spam in den Junk-Mail-Ordner verschiebt oder Phishing-E-Mails unter Quarantäne stellt.
    Klicken Sie auf Details unter Ergebnis, um die Protokolle zur Schadensbegrenzung anzuzeigen, und klicken Sie auf die Zahl unter Betroffene Benutzer, um zu sehen, wer die E-Mail noch erhalten hat.
  • Manuelle Aktionen
    Das System listet identifizierte E-Mails mit grundlegenden Details und empfohlenen Maßnahmen auf. Sie können die Maßnahme einzeln oder in Gruppen anwenden.
    Nach der Minderung klicken Sie auf Details unter Ergebnis, um die Minderungprotokolle anzuzeigen, und klicken Sie auf die Zahl unter Betroffene Benutzer, um zu sehen, wer die E-Mail noch erhalten hat.
Ein Fortschrittsbalken zeigt Echtzeitstatus-Updates an.
Um eine Phishing-Simulation für betroffene Benutzer zu starten, klicken Sie auf das Drei-Punkte-Menü am Ende jedes Elements und wählen Sie Security Awareness Training erstellen, und folgen Sie dann den Anweisungen.
Behebung und Prävention
Sehen Sie sich die Abhilfemaßnahmen und Präventionsmaßnahmen an, die das System basierend auf Ihrer Konfiguration in Berichte von E-Mail-Berichte automatisch implementiert oder zur manuellen Steuerung anbietet.
  • Automatisierte Aktionen
    Das System ergänzt automatisch die Korrelationsregeln von Correlated Intelligence, um ähnliche Phishing-Bedrohungen zu blockieren, und aktualisiert Anti-Spam-Muster, um ähnliche unerwünschte Nachrichten zu erkennen. Wenn Correlated Intelligence und der erweiterte Spam-Schutz in den Richtlinien aktiviert sind, werden diese Verbesserungen automatisch angewendet. Dies erhöht die Erkennungsabdeckung und reduziert manuellen Aufwand.
    Ein Fortschrittsbalken zeigt Echtzeitstatus-Updates an.
  • Manuelle Aktionen
    Das System identifiziert das relevanteste Objekt aus der gemeldeten E-Mail, wie z.B. die Absenderadresse, die Absenderdomäne, die URL oder die URL-Domäne, und ermöglicht es Ihnen, es zu einer von Correlated Intelligence verwalteten Überwachungsliste hinzuzufügen.
    Sobald hinzugefügt, wird ein Erkennungssignal automatisch für den Objekttyp mit dem Namen Überwachtes <object type> aus von Benutzern gemeldeten E-Mails generiert. Diese Signale tragen zu einer systemgenerierten Korrelationsregel Benutzerbericht-gesteuerte Bedrohungserkennung bei, die hilft, andere E-Mails mit demselben überwachten Objekt zu erkennen. Weitere Informationen darüber, wie Korrelationsregeln und Erkennungssignale funktionieren, finden Sie unter Anzeigen von Korrelationsregeln und Erkennungssignalen.
    Um diese Erkennungssignale zu verwalten, gehen Sie zu RichtlinienAllgemeine EinstellungenKorrelierte IntelligenzKorrelationsregeln und Erkennungssignale und suchen Sie sie auf der Registerkarte Erkennungssignale. Sie können alle Objekte, die Sie hinzufügen, im Analyse-Detailbildschirm finden.
    Um zukünftige Risiken zu vermeiden, gehen Sie zu Ihren Advanced Threat Protection-Richtlinieneinstellungen und fügen Sie Benutzerbericht-gesteuerte Bedrohungserkennung als benutzerdefinierte Regel unter Korrelierte Intelligenz hinzu.