檢視次數:
此畫面可讓您追蹤由 雲端電子郵件閘道保護 接收或發送的電子郵件訊息中的安全威脅偵測。雲端電子郵件閘道保護 保留最多 90 天的政策事件日誌。政策事件日誌搜尋的滑動窗口為 60 連續天,可能跨越日曆月份。
Policy Events畫面提供以下搜尋條件:
  • Period:您查詢的時間範圍。
    • Last 1 hour
    • Last 24 hours
    • Last 7 days
    • Last 14 days
    • Last 30 days
    • Custom range
  • Direction:訊息的方向。
    • Incoming
    • Outgoing
  • Recipient:信封收件人地址。最多可指定 10 個電子郵件地址。
  • Sender:信封寄件者地址。最多可指定 10 個電子郵件地址。
  • Email Header (To):訊息標頭中的收件者地址。最多可指定 10 個電子郵件地址。
  • Email Header (From):訊息標頭中的發件人地址。最多可指定 10 個電子郵件地址。
    注意
    注意
    設定前述四個地址欄位時請注意以下事項:
    • 指定一個確切的電子郵件地址或使用萬用字元 (*) 來替代搜尋中的任何字元。在電子郵件地址的一般格式 (local-part@domain) 中,請注意:
      • 本地部分必須是萬用字元 (*) 或不以 * 開頭的字元串,例如 *@example.com 或 test*@example.com。
      • 網域必須是萬用字元 (*) 或不以 * 結尾的字元字串,例如 example@* 或 example@*.test.com。
      • 如果此欄位留空,預設會使用 *@*。
    • 策略性地使用萬用字元 (*) 來擴展或縮小您的搜尋結果。例如,在網域部分放置萬用字元 (*) 以搜尋所有網域上的特定使用者帳號,或在本地部分放置萬用字元 (*) 以匹配特定網域上的所有帳號。
  • Subject:電子郵件訊息主題。
    Subject 欄位支援以下內容:
    • 模糊匹配
      輸入一個或多個關鍵字進行模糊匹配。如果您輸入多個關鍵字,所有關鍵字將基於邏輯 AND 進行匹配,這意味著匹配的主題必須包含每個關鍵字。萬用字元 (*) 將自動添加在每個關鍵字的前後以進行模糊匹配。
    • 完全關鍵字或片語匹配
      將關鍵字或片語用引號括起來以進行精確匹配。只有包含該精確關鍵字或片語的記錄才會被匹配。
    例如,有三個電子郵件主題:
    • Subject1: 你好,世界
    • Subject2: 你好,新世界
    • Subject3: "你好"
    如果您在Subject欄位中輸入Hello world,這是一個模糊匹配,Subject1 和 Subject2 都會被匹配。如果您輸入"Hello world",這是一個使用引號的精確匹配,只有 Subject1 會被匹配。如果您想搜索 Subject3,請注意引號是包含在主題本身中的。在這種特殊情況下,請使用反斜杠 (\\) 作為轉義字符並輸入\"Hello\"進行搜索。
  • 規則名稱:由電子郵件訊息觸發的規則名稱。
    規則名稱 欄位支援以下內容:
    • 當您點選此文字框時,最多會列出 20 條規則供您選擇。
    • 從列出的規則中選擇或輸入關鍵字以進行模糊匹配。
  • 安全威脅類型:在電子郵件訊息中檢測到的威脅類型。
    • All:查詢所有訊息。
    • Domain-based Authentication:查詢未通過基於域驗證的訊息。
      • All:查詢發件人 IP 匹配、SPF、DKIM 和 DMARC 驗證失敗的郵件。
      • Sender IP Match:查詢未通過發件人 IP 匹配檢查的訊息。
      • SPF:查詢未通過SPF檢查的訊息。
      • DKIM:查詢未通過 DKIM 驗證的郵件。
      • DMARC:查詢未通過DMARC驗證的郵件。
    • 勒索軟體:查詢被識別為勒索軟體的訊息。
      • Detected by Web Reputation
      • Detected by Pattern-based Scanning
      • Detected by Predictive Machine Learning
      • Detected by Virtual Analyzer
      • Detected by Spam Protection
    • Advanced Persistent Threat:查詢觸發進階安全威脅政策的訊息。
      • All:查詢所有觸發進階安全威脅政策的訊息。
      • Analyzed Advanced Threats (Files):根據沙箱和政策配置查詢被識別為高級文件威脅的訊息
      • Analyzed Advanced Threats (URLs):根據沙箱和政策配置查詢被識別為高級 URL 威脅的訊息
      • Probable Advanced Threats:查詢根據策略配置被視為可疑的訊息,或因分析期間發生例外情況而未發送到沙箱的訊息。
    • 惡意程式:查詢觸發惡意程式標準的訊息。
      惡意程式被選為安全威脅類型時,Detected By欄位會顯示以下選項:
      • All:查詢所有觸發惡意程式條件的訊息。
      • Machine Learning:查詢包含惡意程式的訊息,這些訊息是由Machine Learning偵測到的。
      • Pattern-based scanning:查詢包含惡意程式的訊息,這些訊息是由傳統模式掃描檢測到的。
    • Suspicious Objects:查詢包含可疑檔案和網址的訊息。
      • All:查詢所有包含可疑物件的訊息。
      • Suspicious Files (Apex Central):查詢所有包含可疑檔案的訊息,這些可疑檔案符合從 Apex Central 同步的可疑物件。
      • Suspicious Files (Trend Vision One):查詢所有包含可疑檔案的訊息,這些可疑檔案符合從 Trend Vision One 同步的可疑物件。
      • Suspicious URLs (Apex Central):查詢所有包含可疑 URL 的訊息,這些 URL 與從 Apex Central 同步的可疑物件相符。
      • Suspicious URLs (Trend Vision One):查詢所有包含可疑 URL 的訊息,這些 URL 符合從 Trend Vision One 同步的可疑物件。
    • Scan Exception:查詢觸發掃瞄例外的訊息。
      • Virtual Analyzer scan exception
      • Virtual Analyzer submission quota exception
      • Password protected attachment
      • Other exceptions
    • 垃圾簡訊:查詢被識別為垃圾郵件的訊息。
    • Business Email Compromise (BEC):查詢觸發商務電子郵件入侵(BEC)標準的訊息。
      • All:查詢所有觸發 BEC 條件的訊息。
      • Detected by Antispam Engine:查詢由垃圾郵件防護引擎驗證為BEC攻擊的訊息。
      • Detected by writing style analysis:查詢經過寫作風格分析確認為BEC攻擊的訊息。
      • Suspected by Antispam Engine:查詢被垃圾郵件防護引擎懷疑為BEC攻擊的郵件。
    • 網路釣魚:查詢在垃圾郵件正在過濾中觸發網路釣魚條件或在相關情報中觸發安全風險條件的訊息。
      • All:查詢所有在垃圾郵件正在過濾中觸發網路釣魚條件或在相關情報中觸發安全風險條件的訊息。
      • Detected by Antispam Engine:查詢被垃圾郵件防護引擎驗證為網路釣魚的訊息。
      • Detected by Correlated Intelligence:查詢由相關智能驗證為網路釣魚的訊息。
    • Graymail:查詢觸發灰郵件標準的訊息。
      • All:查詢所有灰郵件訊息。
      • Marketing message and newsletter
      • Social network notification
      • Forum notification
      • Bulk email message
    • 網頁信譽評等服務:查詢觸發網頁信譽評等標準的訊息。
    • Anomaly:查詢在關聯智能中觸發異常標準的訊息。
      • All:查詢在關聯智慧中觸發異常標準的所有訊息。
      • Suspicious Email:查詢安全威脅類型為可疑電子郵件的訊息。
      • Possibly Unwanted Email:查詢安全威脅類型為可能不需要的電子郵件的訊息。
    • Content:查詢觸發訊息內容條件的訊息。例如,訊息的標頭、正文或附件符合指定的關鍵字或表達式。
    • Attachment:查詢觸發郵件附件條件的郵件。
    • 資料外洩防護:查詢觸發資料外洩防護政策的訊息。
  • 安全威脅名稱:在電子郵件訊息中檢測到的威脅名稱。
    Trend Micro Email Security 會自動建議趨勢威脅(例如行動條碼網路釣魚,也稱為 QR code phishing)或在您環境中偵測到的主要威脅。
  • Message ID:訊息的唯一識別碼。
當您查詢政策事件資訊時,使用各種條件欄位來限制您的搜尋。查詢完成後,雲端電子郵件閘道保護 會提供符合條件的日誌記錄列表。選擇一個或多個記錄並點選 Export Selected 將其匯出為 CSV 檔案。如有需要,點選 Export All 匯出所有查詢的日誌記錄。如果要匯出的日誌記錄數量很大,匯出任務需要一些時間才能完成。前往 LogsLog Export Query 檢查匯出狀態。請注意,您一次最多可以匯出 50,000 條日誌記錄,每天最多可以匯出所有查詢的日誌記錄 5 次。
查詢政策事件資訊的最有效方式是提供發件人和收件人的電子郵件地址、郵件主題和郵件 ID,以及您想要搜尋的時間範圍。對於有多個收件人的電子郵件,結果將組織為一個條目。
除了搜尋條件外,詳細的政策事件資訊還提供以下內容:
  • Timestamp:政策事件發生的時間。點選Timestamp值以查看給定訊息的事件詳細資訊。
  • Message Size:訊息的大小。此資訊並非總是可用。
  • 處理行動:對電子郵件訊息採取的中毒處理行動。
    • Attachment sanitized:已移除附件中的活動內容。
    • Attachment deleted upon failure to remove active content:已刪除無法移除的活動內容附件。
    • Attachment deleted:已從訊息中刪除附件。
    • BCC:已將密件副本(BCC)發送給收件人。
    • Bypassed:未攔截訊息。
    • 已清除:已清除訊息中的惡意程式。
    • Delivered:已將訊息傳送給收件者。
    • Message deleted:已刪除整封電子郵件。
    • Notification sent:當政策被觸發時,向收件人發送通知訊息。
    • Quarantined:在最終使用者控制台中將訊息隔離,等待使用者操作。被隔離的訊息可以被檢視並手動刪除或傳送。
    • Recipient changed:已更改收件人並根據觸發的政策將訊息重新導向至不同的收件人。
    • Stamp inserted:已將印章插入訊息正文。
    • Subject tagged:在郵件主題行中插入可配置的文字。
    • Submitted for encryption:已提交至加密伺服器進行處理。加密完成後,雲端電子郵件閘道保護 將排隊等待傳送訊息。
    • X-Header inserted:已在訊息標頭中插入 X-Header。
  • (選填) Risk Rating:由沙箱識別的訊息風險評級。
  • (選擇性) Violating URLs:訊息中違反網頁信譽評等標準的 URL。
  • (選填) Violating Files:訊息中違反惡意程式、勒索軟體或附件相關標準的檔案。
  • (選填) 惡意程式:訊息中檢測到的特定惡意程式。
  • (選擇性) Scanned File Reports:訊息中附加檔案的報告。如果檔案已分析高級威脅,檔案的風險等級將顯示在此處。如果存在報告,點選檢視報告以查看詳細報告。
    僅對由沙箱分析的可疑檔案提供詳細報告。
  • (Optional) Scanned URL Reports:訊息中嵌入的 URL 報告。如果 URL 被分析為高級威脅,則會在此顯示 URL 的風險等級。如果存在報告,點選 檢視報告 以查看詳細報告。
  • (Optional) DLP 事件:有關該訊息觸發的 DLP 事件的資訊。點選 檢視詳細資訊 以查看事件詳情。
  • (可選)Analyzed Report:有關在訊息中檢測到的 BEC 相關特徵的資訊。
  • (可選)Exception Details:由該訊息觸發的特定例外。
  • (選擇性) Antispam Engine Scan Details:有關該郵件的垃圾郵件防護引擎掃瞄詳細資訊。詳情請參閱 垃圾郵件防護引擎掃瞄詳細資料
相關資訊