使用威胁资源管理器调查安全攻击

在 Microsoft Defender for Office 365 中有两个订阅计划 - 计划 1 和计划 2。 两个计划中都有手动操作的威胁搜寻工具，名称和功能都不同。

Defender for Office 365计划 1 使用实时检测。 此功能是计划 2 中 威胁资源管理器 搜寻工具的子集。 威胁资源管理器包括：

• 实时 检测 报告，可实时显示检测。 威胁资源管理器提供了相同的功能，但它包括特定攻击的额外细节，例如突出显示攻击活动。 它还使安全运营团队能够修正威胁。 此功能包括触发“自动调查和响应调查”。
• “所有电子邮件”视图。 实时检测报告不包括它。
• 丰富的筛选功能和修正作。 有关详细信息，请参阅 Microsoft Defender For Office 365 服务说明：Defender for Office 365 计划中的功能可用性。

威胁资源管理器提供了功能强大的报告，使组织的安全运营团队能够有效地调查和响应威胁。 威胁仪表板为企业高管提供了对威胁形势的全面了解。 相比之下，威胁资源管理器使安全分析员和管理员能够深入了解针对租户的威胁的详细信息。

使用威胁资源管理器，组织可以：

• 查看 Microsoft 365 安全功能检测到的恶意软件。
• 查看有关钓鱼 URL 和选择裁定的数据。
• 从资源管理器中的视图启动自动调查和响应流程。
• 预览邮件头并下载电子邮件正文。
• 查看邮件日程表。
• 导出 URL 选择数据。
• 查找并调查系统先前传递的恶意电子邮件。
• 查看在 SharePoint Online、OneDrive 和 Microsoft Teams 中检测到的恶意文件。
• 获取威胁资源管理器中视图的概览（以及实时检测）。

使用威胁资源管理器和实时检测视图调查安全攻击

威胁资源管理器和实时检测分为以下视图：

• 所有电子邮件。 显示 Microsoft Defender for Office 365 分析的所有电子邮件。 它包含良好的和恶意电子邮件。 此功能仅存在于威胁资源管理器中，不可用于实时检测。 事实上，这是威胁资源管理器的默认视图。 默认情况下，此视图显示两天的数据。 但是，可以将此时间段扩展到 30 天。
• 恶意软件视图。 显示系统识别到恶意软件威胁的电子邮件。 此视图是实时检测的默认视图，显示两天的数据。 可以将此时间段扩展到 30 天。
• 网络钓鱼视图。 显示系统识别到网络钓鱼威胁的电子邮件。
• 内容恶意软件视图。 显示通过 OneDrive、SharePoint 或 Teams 共享的文件中识别的恶意检测。

以下部分说明了这些视图中的常见组件。

筛选器

可以使用各种筛选器根据电子邮件或文件属性查看数据。 如果要应用多个筛选器，系统会在“AND”模式下应用它们。 可以使用高级筛选器将其更改为“OR”模式。 也可以使用逗号为同一筛选器添加多个值。

图表

图表提供了基于筛选器的数据的可视化聚合视图。 可以使用不同的筛选器按不同维度查看数据。

结果网格

结果网格根据应用的筛选器显示电子邮件结果。 根据租户中的配置设置，结果网格以 UTC 或本地时区显示数据，第一列中提供了时区信息。 通过选择“在新窗口中打开”图标，可以从列表视图导航到单个电子邮件实体页面。 还可以自定义列以添加或删除列以优化视图。

详细窗格

可以选择超链接以访问“Email摘要”窗格， (“主题”列) 、“收件人”窗格或“IP”窗格中的条目。 电子邮件摘要窗格提供了访问“电子邮件实体窗格”的路径。 单个实体窗格（如 IP、收件人和 URL）反映相同的信息，但显示在基于单一选项卡的视图中。 通过这些窗格，可以根据组织的要求展开和折叠不同的分区。 对于 URL 等窗格，可以选择“查看所有电子邮件”或“查看所有单击”以查看包含该 URL 的完整电子邮件/单击集，并导出结果集。

操作

从威胁资源管理器中，可以触发诸如“删除电子邮件”之类的修正操作。 有关修正、修正限制和跟踪修正的详细信息，请参阅“修正恶意电子邮件”。

导出

可以选择“导出图表数据”以导出图表详细信息。 同样，选择“导出电子邮件列表”以导出电子邮件详细信息。 可以为电子邮件列表导出多达 200000 条记录。 但是，为了更好的系统性能和减少下载时间，应该使用电子邮件筛选器来限制导出的记录数。