Ansichten:
Dieser Bildschirm ermöglicht es Ihnen, Bedrohungserkennungen in E-Mail-Nachrichten zu verfolgen, die von Cloud Email Gateway Protection empfangen oder gesendet wurden. Cloud Email Gateway Protection speichert bis zu 180 Tage lang Protokolle von Richtlinienereignissen. Das Zeitfenster für die Suche in den Protokollen von Richtlinienereignissen beträgt 60 aufeinanderfolgende Tage, die sich über Kalendermonate erstrecken können.
Der Bildschirm Policy Events bietet die folgenden Suchkriterien an:
  • Zeitraum: Der Zeitraum für Ihre Abfrage.
    • Last 1 hour
    • Letzte 24 Stunden
    • Letzte 7 Tage
    • Letzte 14 Tage
    • Letzte 30 Tage
    • Benutzerdefinierter Bereich
  • Richtung: Die Richtung der Nachrichten.
    • Eingehend
    • Ausgehend
  • Empfänger: Die Empfängeradresse des Umschlags. Geben Sie bis zu 10 E-Mail-Adressen an.
  • Absender: Die Absenderadresse des Umschlags. Geben Sie bis zu 10 E-Mail-Adressen an.
  • Email Header (To): Die Empfängeradresse im Nachrichtenkopf. Geben Sie bis zu 10 E-Mail-Adressen an.
  • Email Header (From): Die Absenderadresse im Nachrichtenkopf. Geben Sie bis zu 10 E-Mail-Adressen an.
    Hinweis
    Hinweis
    Achten Sie auf Folgendes, wenn Sie die vorhergehenden vier Adressfelder festlegen:
    • Geben Sie eine genaue E-Mail-Adresse an oder verwenden Sie Platzhalter (*) um beliebige Zeichen in einer Suche zu ersetzen. Im allgemeinen Format einer E-Mail-Adresse (lokaler Teil@Domain) beachten Sie, dass:
      • Der lokale Teil muss ein Platzhalter (*) oder eine Zeichenfolge sein, die nicht mit * beginnt, zum Beispiel *@example.com oder test*@example.com.
      • Die Domain muss ein Platzhalter (*) oder eine Zeichenfolge sein, die nicht mit * endet, zum Beispiel example@* oder example@*.test.com.
      • Wenn dieses Feld leer gelassen wird, wird standardmäßig *@* verwendet.
    • Verwenden Sie Platzhalter (*) strategisch, um Ihre Suchergebnisse zu erweitern oder einzugrenzen. Setzen Sie beispielsweise einen Platzhalter (*) im Domain-Teil ein, um nach einem bestimmten Benutzerkonto auf allen Domains zu suchen, oder im lokalen Teil, um alle Konten auf einer bestimmten Domain zu finden.
  • Betreff: Der Betreff der E-Mail-Nachricht.
    Das Feld Betreff unterstützt Folgendes:
    • Ungefähre Übereinstimmung
      Geben Sie ein oder mehrere Schlüsselwörter für eine unscharfe Übereinstimmung ein. Wenn Sie mehr als ein Schlüsselwort eingeben, werden alle Schlüsselwörter basierend auf einem logischen UND abgeglichen, was bedeutet, dass das übereinstimmende Subjekt jedes Schlüsselwort enthalten muss. Platzhalter (*) werden automatisch vor und nach jedem Schlüsselwort für eine unscharfe Übereinstimmung hinzugefügt.
    • Exakte Übereinstimmung von Schlüsselwort oder Phrase
      Setzen Sie ein Schlüsselwort oder einen Ausdruck in Anführungszeichen, um eine genaue Übereinstimmung zu erzielen. Es werden nur Datensätze abgeglichen, die das genaue Schlüsselwort oder den genauen Ausdruck enthalten.
    Zum Beispiel gibt es drei Betreffe:
    • Betreff1: Hallo Welt
    • Betreff2: Hallo neue Welt
    • Betreff3: "Hallo"
    Wenn Sie Hello world im Feld Betreff eingeben, handelt es sich um eine unscharfe Übereinstimmung, und Subject1 und Subject2 werden übereinstimmen. Wenn Sie "Hello world" eingeben, handelt es sich um eine genaue Übereinstimmung mit Anführungszeichen, und nur Subject1 wird übereinstimmen. Wenn Sie nach Subject3 suchen möchten, beachten Sie, dass Anführungszeichen im Betreff selbst enthalten sind. Verwenden Sie in diesem speziellen Fall Backslashes (\) als Escape-Zeichen und geben Sie \"Hello\" für die Suche ein.
  • Regelname: Der Name der Richtlinienregel, die durch E-Mail-Nachrichten ausgelöst wurde.
    Das Feld Regelname unterstützt Folgendes:
    • Es werden maximal 20 verwendete Richtlinienregeln aufgelistet, aus denen Sie wählen können, wenn Sie in dieses Textfeld klicken.
    • Wählen Sie aus den aufgeführten Richtlinienregeln oder geben Sie Schlüsselwörter für eine unscharfe Übereinstimmung ein.
  • Bedrohungsart: Der Typ der in E-Mail-Nachrichten erkannten Bedrohungen.
    • !!All!!: Alle Nachrichten abfragen.
    • Domain-based Authentication: Abfragen der Nachrichten, die die domänenbasierte Authentifizierung nicht übergehen konnten.
      • !!All!!: Abfragen der Nachrichten, die bei der Sender-IP-Übereinstimmung, SPF, DKIM und DMARC-Authentifizierung fehlgeschlagen sind.
      • Sender IP Match: Abfragen der Nachrichten, die die Überprüfung der Absender-IP-Übereinstimmung nicht bestanden haben.
      • !!SPF!!: Abfragen der Nachrichten, die den SPF-Check nicht bestanden haben.
      • DKIM: Abfragen der Nachrichten, die die DKIM-Überprüfung nicht bestanden haben.
      • !!DMARC!!: Abfragen der Nachrichten, die die DMARC-Authentifizierung nicht bestanden haben.
    • Ransomware: Abfragen der Nachrichten, die als Ransomware identifiziert wurden.
      • Detected by Web Reputation:
      • Detected by Pattern-based Scanning
      • Detected by Predictive Machine Learning
      • Erkannt von Virtual Analyzer
      • Detected by Spam Protection
    • Erweiterte beständige Bedrohung: Abfragen der Nachrichten, die die erweiterte Bedrohungsrichtlinie ausgelöst haben.
      • !!All!!: Alle Nachrichten abfragen, die die erweiterte Bedrohungsrichtlinie auslösen.
      • Analyzed Advanced Threats (Files): Abfragen der Nachrichten, die gemäß Virtual Analyzer und der Richtlinienkonfiguration als fortgeschrittene Dateibedrohungen identifiziert wurden
      • Analyzed Advanced Threats (URLs): Abfragen der Nachrichten, die gemäß Virtual Analyzer und der Richtlinienkonfiguration als fortgeschrittene URL-Bedrohungen identifiziert wurden
      • Probable Advanced Threats: Abfragen der Nachrichten, die gemäß der Richtlinienkonfiguration als verdächtig behandelt werden oder der Nachrichten, die aufgrund von Ausnahmen, die während der Analyse aufgetreten sind, nicht an den Virtual Analyzer gesendet wurden.
    • Malware: Abfragen der Nachrichten, die die Malware-Kriterien ausgelöst haben.
      Wenn Malware als Bedrohungsart ausgewählt ist, wird das Feld Entdeckt von mit den folgenden Optionen angezeigt:
      • !!All!!: Alle Nachrichten abfragen, die die Malware-Kriterien auslösen.
      • Vorausschauendes Maschinenlernen: Abfragen Sie die Nachrichten, die Malware enthalten, wie durch Vorausschauendes Maschinenlernen erkannt.
      • Pattern-basierte Suche: Abfragen der Nachrichten, die Malware enthalten, wie sie durch das traditionelle musterbasierte Scannen erkannt wurden.
    • Verdächtige Objekte: Abfragen der Nachrichten, die verdächtige Dateien und URLs enthalten.
      • !!All!!: Alle Nachrichten abfragen, die verdächtige Objekte enthalten.
      • Suspicious Files (Apex Central): Alle Nachrichten abfragen, die verdächtige Dateien enthalten, die mit den aus Apex Central synchronisierten verdächtigen Objekten übereinstimmen.
      • Suspicious Files (Trend Vision One): Alle Nachrichten abfragen, die verdächtige Dateien enthalten, die mit den von Trend Vision One synchronisierten verdächtigen Objekten übereinstimmen.
      • Suspicious URLs (Apex Central): Alle Nachrichten abfragen, die verdächtige URLs enthalten, die mit den verdächtigen Objekten übereinstimmen, die von Apex Central synchronisiert wurden.
      • Suspicious URLs (Trend Vision One): Alle Nachrichten abfragen, die verdächtige URLs enthalten und mit den verdächtigen Objekten übereinstimmen, die von Trend Vision One synchronisiert wurden.
    • Scan Exception: Abfragen der Nachrichten, die DURCHSUCHEN-Ausnahmen ausgelöst haben.
      • Virtual Analyzer-Scanausnahme
      • !!Virtual Analyzer submission quota exception!!
      • Password protected attachment
      • Other exceptions
    • Spam: Abfragen der Nachrichten, die als Spam identifiziert wurden.
    • Business Email Compromise (BEC): Abfragen der Nachrichten, die die Business Email Compromise (BEC)-Kriterien ausgelöst haben.
      • !!All!!: Alle Nachrichten abfragen, die die BEC-Kriterien auslösen.
      • Detected by Antispam Engine: Abfragen Sie die Nachrichten, die von der Antispam Engine als BEC-Angriffe verifiziert wurden.
      • Detected by writing style analysis: Abfragen der Nachrichten, die durch Schreibstilanalyse als BEC-Angriffe verifiziert wurden.
      • Suspected by Antispam Engine: Abfragen der Nachrichten, die von der Antispam Engine als BEC-Angriffe verdächtigt werden.
    • Phishing: Abfragen der Nachrichten, die die Phishing-Kriterien im Spam-Filter oder die Sicherheitsrisikokriterien in der Korrelativen Intelligenz ausgelöst haben.
      • !!All!!: Alle Nachrichten abfragen, die die Phishing-Kriterien im Spam-Filter oder die Sicherheitsrisikokriterien in der Korrelativen Intelligenz auslösen.
      • Detected by Antispam Engine: Abfragen Sie die Nachrichten, die von der Antispam Engine als Phishing verifiziert wurden.
      • Detected by Correlated Intelligence: Abfragen Sie die Nachrichten, die von Correlated Intelligence als Phishing verifiziert wurden.
    • Graymail: Abfragen der Nachrichten, die die Graymail-Kriterien ausgelöst haben.
      • !!All!!: Alle Graymail-Nachrichten abfragen.
      • Marketing-Nachricht und -Newsletter
      • Benachrichtigung über soziale Netzwerke
      • Forenbenachrichtigung
      • E-Mail-Massennachricht
    • Web Reputation: Abfragen der Nachrichten, die die Web Reputation-Kriterien ausgelöst haben.
    • Anomalie: Abfragen der Nachrichten, die die Anomaliekriterien in der korrelierten Intelligenz ausgelöst haben.
      • !!All!!: Alle Nachrichten abfragen, die die Anomaliekriterien in der korrelierten Intelligenz ausgelöst haben.
      • Suspicious Email: Abfragen der Nachrichten, deren Anomalie-Bedrohungsart Verdächtige E-Mail ist.
      • Possibly Unwanted Email: Abfragen Sie die Nachrichten, deren Anomalie-Bedrohungsart möglicherweise unerwünschte E-Mail ist.
      • Customized Anomaly: Abfragen der Nachrichten, die durch benutzerdefinierte Korrelationsregeln als Anomalien erkannt wurden.
    • Inhalt: Abfragen der Nachrichten, die die Nachrichteninhalt-Kriterien ausgelöst haben. Zum Beispiel, wenn der Header, der Hauptteil oder der Anhang einer Nachricht mit den angegebenen Schlüsselwörtern oder Ausdrücken übereinstimmt.
    • Anhang: Abfragen der Nachrichten, die die Kriterien für Nachrichtenanhänge ausgelöst haben.
    • Prävention vor Datenverlust: Abfragen der Nachrichten, die die Prävention vor Datenverlust-Richtlinie ausgelöst haben.
  • Bedrohungsname: Der Name der in E-Mail-Nachrichten erkannten Bedrohungen.
    Trend Micro Email Security schlägt automatisch aktuelle Bedrohungen vor (wie Quishing, auch bekannt als QR-Code-Phishing) oder die wichtigsten Bedrohungen, die in Ihrer Umgebung erkannt wurden.
  • Nachrichten-ID: Ein eindeutiger Bezeichner für die Nachricht.
Wenn Sie Informationen zu Richtlinienereignissen abfragen, verwenden Sie die verschiedenen Kriterienfelder, um Ihre Suche einzuschränken. Nach der Durchführung einer Abfrage stellt Cloud Email Gateway Protection eine Liste von Protokolldatensätzen bereit, die die Kriterien erfüllen. Wählen Sie einen oder mehrere Datensätze aus und klicken Sie auf Export Selected, um sie in eine CSV-Datei zu exportieren. Klicken Sie auf Alle exportieren, um bei Bedarf alle abgefragten Protokolldatensätze zu exportieren. Wenn die Anzahl der zu exportierenden Protokolldatensätze groß ist, benötigt die Exportaufgabe Zeit, um abgeschlossen zu werden. Gehen Sie zu ProtokolleLog Export Query, um den Exportstatus zu überprüfen. Beachten Sie, dass Sie bis zu 50.000 Protokolldatensätze auf einmal exportieren können und die maximale Anzahl der Exporte aller abgefragten Protokolldatensätze 5 Mal pro Tag beträgt.
Der effizienteste Weg, um Informationen zu Richtlinienereignissen abzufragen, besteht darin, sowohl die E-Mail-Adressen des Absenders und des Empfängers, den Betreff der Nachricht als auch die Nachrichten-ID innerhalb eines Zeitraums anzugeben, den Sie durchsuchen möchten. Für eine E-Mail-Nachricht mit mehreren Empfängern wird das Ergebnis als ein Eintrag organisiert.
Zusätzlich zu den Suchkriterien bietet die detaillierte Richtlinienereignisinformation Folgendes:
  • Zeitstempel: Die Zeit, zu der das Richtlinienereignis aufgetreten ist. Klicken Sie auf den Zeitstempel-Wert, um die Ereignisdetails für eine bestimmte Nachricht anzuzeigen.
  • Message Size: Größe der Nachricht. Diese Information ist nicht immer verfügbar.
  • Aktion: Die durchgeführte Aktion an der E-Mail-Nachricht.
    • Attachment sanitized: Aktive Inhalte im Anhang wurden entfernt.
    • Attachment deleted upon failure to remove active content: Der Anhang mit aktivem Inhalt, der nicht entfernt werden konnte, wurde gelöscht.
    • Anhang wurde gelöscht: Den Anhang aus der Nachricht gelöscht.
    • BCC: Eine Blindkopie (BCC) an den Empfänger gesendet.
    • Bypassed: Die Nachricht wurde nicht abgefangen.
    • Entfernt: Nachricht von Malware entfernt.
    • Zugestellt: Die Nachricht wurde an den Empfänger zugestellt.
    • Message deleted: Die gesamte E-Mail-Nachricht wurde gelöscht.
    • Benachrichtigung wurde gesendet: Hat eine Benachrichtigungsnachricht an den Empfänger gesendet, als eine Richtlinie ausgelöst wurde.
    • In Quarantäne verschoben: Hat die Nachricht in der Quarantäne zurückgehalten und wartet auf Benutzeraktionen in der End User Console. Nachrichten, die in der Quarantäne gehalten werden, können überprüft und manuell gelöscht oder zugestellt werden.
    • Recipient changed: Hat den Empfänger geändert und die Nachricht gemäß der ausgelösten Richtlinie an einen anderen Empfänger weitergeleitet.
    • Stamp inserted: Ein Stempel wurde in den Nachrichtenkörper eingefügt.
    • Betreff wurde gekennzeichnet: Konfigurierbarer Text in die Betreffzeile der Nachricht eingefügt.
    • Submitted for encryption: Zur Verarbeitung an den Verschlüsselungsserver übermittelt. Nach dem Abschluss der Verschlüsselung reiht Cloud Email Gateway Protection die Nachricht für die Zustellung in die Warteschlange ein.
    • X-Kopfzeile eingefügt: Ein X-Header wurde in den Nachrichtenkopf eingefügt.
  • (Optional) Risk Rating: Die Risikobewertung der Nachricht, die vom Virtual Analyzer identifiziert wurde.
  • (Optional) Violating URLs: Die URLs in der Nachricht, die die Web Reputation-Kriterien verletzt haben.
  • (Optional) Violating Files: Die Dateien in der Nachricht, die gegen die Malware-, Ransomware- oder anlagenbezogenen Kriterien verstoßen haben.
  • (Optional) Malware: Die spezifische Malware, die in der Nachricht erkannt wurde.
  • (Optional) Scanned File Reports: Die Berichte für die angehängten Dateien in Nachrichten. Wenn eine Datei auf fortgeschrittene Bedrohungen analysiert wird, wird die Risikostufe für die Datei hier angezeigt. Wenn ein Bericht existiert, klicken Sie auf Bericht anzeigen, um den detaillierten Bericht zu sehen.
    Detaillierte Berichte sind nur für verdächtige Dateien verfügbar, die von Virtual Analyzer analysiert werden.
  • (Optional) Scanned URL Reports: Die Berichte für die eingebetteten URLs in Nachrichten. Wenn eine URL als fortgeschrittene Bedrohungen analysiert wird, wird die Risikostufe der URL hier angezeigt. Wenn ein Bericht existiert, klicken Sie auf Bericht anzeigen, um den detaillierten Bericht zu sehen.
  • (Optional) DLP-Vorfall: Die Informationen über den durch die Nachricht ausgelösten DLP-Vorfall. Klicken Sie auf Details anzeigen, um die Vorfalldetails zu überprüfen.
  • (Optional) Analyzed Report: Die Informationen über BEC-bezogene Merkmale, die in der Nachricht erkannt wurden.
  • (Optional) Ausnahmedetails: Die spezifische Ausnahme, die durch die Nachricht ausgelöst wurde.
  • (Optional) Antispam Engine Scan Details: Die Details des Antispam Engine-Durchsuchens für die Nachricht. Weitere Informationen finden Sie unter Details der Antispam Engine-Durchsuchung.
Zugehörige Informationen