Panel jednostki wiadomości usługi Teams w Microsoft Defender dla Office 365

Podobnie jak w panelu podsumowania Email dla wiadomości e-mail, organizacje platformy Microsoft 365, które mają Ochrona usługi Office 365 w usłudze Microsoft Defender (plan 1) lub plan 2 (licencje dodatków lub zawarte w subskrypcjach, takich jak Microsoft 365 E5), mają komunikat usługi Microsoft Teams panelu jednostki w portalu Microsoft Defender. Panel jednostki wiadomości usługi Teams to wysuwane szczegóły zawierające wszystkie dane usługi Microsoft Teams dotyczące podejrzanych lub złośliwych czatów, kanałów i czatów grupowych na jednym panelu z możliwością działania.

W tym artykule opisano informacje i akcje w panelu jednostek komunikatów usługi Teams.

Uprawnienia i licencjonowanie dla panelu jednostek komunikatów usługi Teams

Aby użyć strony jednostki Email, musisz mieć przypisane uprawnienia. Masz następujące możliwości:

• Pełny dostęp:

  • Email & uprawnienia do współpracy w portalu Microsoft Defender: członkostwo w grupach ról Zarządzanie organizacją, Administrator zabezpieczeń lub Administrator kwarantanny.
  • uprawnienia Microsoft Entra: Członkostwo w jednej z następujących ról daje użytkownikom wymagane uprawnienia i uprawnienia do innych funkcji w usłudze Microsoft 365: administrator^* globalny, administrator zabezpieczeń lub operator zabezpieczeń.

• Dostęp tylko do odczytu:

  • uprawnienia Microsoft Entra: Czytelnik globalny lub Czytelnik zabezpieczeń.

• Usuwanie użytkowników z czatów usługi Teams: wymaga członkostwa w jednej z następujących ról Microsoft Entra: administrator^* globalny, administrator zabezpieczeń lub operator zabezpieczeń.

  Ważna

  ^* Firma Microsoft zdecydowanie opowiada się za zasadą najniższych uprawnień. Przypisanie kont tylko minimalnych uprawnień niezbędnych do wykonywania ich zadań pomaga zmniejszyć zagrożenia bezpieczeństwa i wzmocnić ogólną ochronę organizacji. Administrator globalny to rola o wysokim poziomie uprawnień, którą należy ograniczyć do scenariuszy awaryjnych lub gdy nie możesz użyć innej roli.

Gdzie można znaleźć panel jednostki komunikatów usługi Teams

Nie ma bezpośrednich linków do panelu jednostek komunikatów usługi Teams z najwyższych poziomów portalu usługi Defender. Zamiast tego panel jednostki komunikatów usługi Teams jest dostępny w następujących lokalizacjach:

• Na stronie Kwarantanna pod adresem https://security.microsoft.com/quarantine: Wybierz kartę >Komunikat usługi Teams wybierz wpis, klikając dowolne miejsce w wierszu innym niż pole wyboru. Otwierany jest panel jednostki komunikatów usługi Teams.

• Na stronie Przesłane pod adresem https://security.microsoft.com/reportsubmission:

  • Wybierz kartę >Wiadomości usługi Teams, wybierając wpis, klikając dowolne miejsce w wierszu innym niż pole wyboru.

  • Wybierz kartę >Raporty użytkowników, wybierając pozycję Teams, klikając dowolne miejsce w wierszu innym niż pole wyboru. Otwierany jest panel jednostki komunikatów usługi Teams.

    Możesz filtrować wpisy, wybierając pozycję Filtruj> typ >komunikatuTeams.

• Na stronie Zaawansowane wyszukiwanie zagrożeń pod adresem https://security.microsoft.com/v2/advanced-huntingwybierz wartość TeamsMessageId (link) z tabeli MessageEvents w wynikach zapytania. Otwierany jest panel jednostki komunikatów usługi Teams. Przykład:

  UrlClickEvents
  | where ThreatTypes !="" and Workload =="Teams"
  | summarize count() by Url, ThreatTypes, ActionType, Workload
  | project Url, ThreatTypes, ActionType, Workload, ClickCount=count_
  | top 20 by ClickCount
  
  UrlClickEvents
  | limit 100
  
  MessageEvents
  | limit 100
  

Co jest w panelu jednostki komunikatów usługi Teams

Następujące informacje są dostępne w górnej części panelu jednostki komunikatów usługi Teams:

• Tytuł wysuwanego elementu to temat lub pierwsze 100 znaków komunikatu usługi Teams.
• Bieżący werdykt komunikatu.
• Liczba linków w wiadomości.
• Akcje dostępne w górnej części wysuwanego okienka zależą od miejsca otwarcia panelu jednostki komunikatów usługi Teams.

Następne sekcje w panelu jednostek komunikatów usługi Teams zależą od miejsca jego otwarcia:

• Komunikaty usługi Teams poddane kwarantannie
• Wyświetlanie szczegółów przesyłania przez administratora usługi Teams
• Wyświetlanie szczegółów komunikatów aplikacji Teams zgłoszonych przez użytkownika w usłudze Defender for Office 365 Plan 2

Pozostała część panelu jednostki komunikatów usługi Teams zawiera następujące informacje, niezależnie od tego, gdzie została otwarta:

• Sekcja szczegółów komunikatu:

  • Zagrożeń
  • Lokalizacja komunikatu
  • Adres nadawcy
  • Odebrany czas
  • Technologia wykrywania
  • Identyfikator komunikatu usługi Teams: możesz użyć tej wartości jako identyfikatora komunikatu usługi Teams w usłudze Defender dla Office 365.

• Sekcja nadawcy:

  • Nazwa i adres e-mail nadawcy
  • Domain (Domena)
  • Zewnętrzne: wartość Tak wskazuje, że komunikat został wysłany między użytkownikiem wewnętrznym a użytkownikiem zewnętrznym.

• Jedna z następujących sekcji, w zależności od tego, czy wiadomość pochodzi z czatu, czy kanału:

  • Czat: sekcja Uczestnicy :
    • Typ konwersacji
    • Nazwa czatu
    • Nazwa i adres e-mail: zawiera nazwę i adresy e-mail wszystkich uczestników (w tym nadawcę). Jeśli jest więcej niż 10 uczestników, łączy się również z panelem pomocniczym, który wyświetla listę wszystkich uczestników czatu w momencie podejrzenia zagrożenia.
  • Kanał: sekcja Szczegóły kanału :
    • Typ konwersacji
    • Nazwa konwersacji: zawiera nazwę kanału.
    • Nazwa i adres e-mail: zawiera nazwę i adres kanału.

• Sekcja adresów URL:

  • Nazwa i typ Zawiera adres URL komunikatu usługi Teams.
  • Zagrożenie

  Jeśli komunikat ma więcej niż 10 adresów URL, wybierz pozycję Wyświetl wszystkie adresy URL , aby wyświetlić wszystkie z nich.

Usuwanie użytkowników z czatów w usłudze Teams w panelu jednostki wiadomości usługi Teams

W panelu jednostki usługi Teams możesz wybrać pozycję Podejmij akcję w górnej części wysuwanego okienka (często w obszarze Więcej akcji), aby usunąć użytkowników z czatu w usłudze Teams.

Wykonaj następujące kroki w kreatorze akcji Take :

1. Na stronie Wybieranie akcji odpowiedzi wybierz pozycję Usuń użytkownika z konwersacji w sekcji Akcje na poziomie konwersacji , a następnie wybierz pozycję Dalej.

2. Na stronie Wybieranie jednostek docelowych skonfiguruj następujące opcje:

   • Nazwa Wprowadź unikatową, opisową nazwę scenariusza usuwania użytkownika.
   • Opis: wprowadź opcjonalne szczegóły.

   Pozostała część strony zawiera tabelę szczegółów zawierającą następujące informacje o użytkownikach w czacie:

   • Element zawartości, na który ma to wpływ: adres e-mail użytkownika.
   • Akcja: Ta wartość jest zawsze usuń użytkownika z konwersacji.
   • Jednostka docelowa: wartość identyfikatora GUID identyfikatora wątku czatu.
   • Wygasa

   Domyślnie wszyscy użytkownicy czatu są wybierani, w tym użytkownicy zewnętrzni, których nie można usunąć z czatu. Sprawdź, czy wybrani są użytkownicy wewnętrzni , którzy mają zostać usunięci z czatu.

   Po zakończeniu na stronie Wybieranie jednostek docelowych wybierz pozycję Dalej.

   

3. Na stronie Przeglądanie i przesyłanie przejrzyj poprzednie wybory.

   Wybierz pozycję Wstecz , aby wrócić i zmienić wybrane opcje.

   Po zakończeniu na stronie Przeglądanie i przesyłanie wybierz pozycję Prześlij.

Usuwanie użytkowników z czatu w usłudze Teams jest rejestrowane na karcie Historia na stronie Centrum akcji pod adresem https://security.microsoft.com/action-center/history. Wyniki można filtrować według typu >akcjaUsuń użytkowników z konwersacji w usłudze Teams i/lub komunikatu Teams typu>jednostki. W szczegółach alertu możesz potwierdzić, że użytkownicy zostali lub nie zostali usunięci z czatu w usłudze Teams.

Aby uzyskać więcej informacji

Microsoft Defender dla strony jednostki Office 365 Email i sposobu jej działania

Bezpieczne linki w Microsoft Defender dla Office 365

Automatyczne przeczyszczanie o zerowej godzinie (ZAP) w usłudze Microsoft Teams