消息
“邮件”(Messages) 页面会显示您的邮件和搜索结果,并允许您查找可能的威胁。每页最多可以显示 100 封邮件。
邮件页面图标
下表显示了“邮件”(Messages) 页面上使用的图标及其含义。
|
||
|
||
|
邮件已手动补救或重新分类。如果邮件经过了补救,则会在“操作”(Action) 旁边显示图标;如果对邮件进行了重新分类,则会在“判定”(Verdict) 旁边显示图标。 |
|
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
搜索和过滤
使用日历控件来显示定义的时间段(最近的日、周或月)或过去 90 天内某个自定义时间范围内的数据。
使用搜索字段来搜索感兴趣的字符串或指示符,例如散列或 URL。
判定结果
n BEC :商业邮件感染 (BEC) 是一种复杂的骗局,它利用社交工程和入侵技术对组织造成经济损失。
n 诈骗 :诈骗的重点是利用彩票或勒索欺诈等手段对个人造成经济损失。
n 网络钓鱼 :这些邮件被判定为欺诈性复制或模仿合法服务,试图获取用户名、密码、信用卡号等敏感信息。
邮件报告
邮件报告允许您调查有关邮件的详细信息。选择 > 图标或点击消息行上的任意位置,以访问该消息的报告。
n 邮件方向、Microsoft 邮件 ID 以及在进行补救时是否已读取邮件
通过该邮件报告还可以访问“对话视图”(Conversation View) 和“EML 下载”(EML Downloads)。
时间表
n 已接收 (Received) :收到邮件的时间以及邮件方向相关详细信息
n 判定 (Verdict) :有关所呈现的任何判定或由谁执行操作的信息
判定和技术
“判定和技术”(Verdict and Techniques) 面板显示应用于邮件的判定的直观表示,以及检测到的可能对判定有影响的技术。
技术采用了颜色编码,以表明其严重性。恶意文件名/SHA256 和 URL 会在可用时动态显示。如果无法使用动态文本,
则会显示静态说明。
您可以直接从此面板对邮件进行补救和/或重新分类。点击“补救和重新分类”(Remediate and Reclassify) 按钮,然后按照移动和重新分类邮件中提供的说明进行操作。
邮箱列表
“邮箱列表”(Mailbox List) 显示收到传入邮件和内部邮件的最终用户邮箱的列表。此列表还会显示邮件在上次补救操作之前是否已读取,以及邮件中的任何补救错误。如果用户在系统尝试补救邮件之前删除或移动了邮件,则可能会发生补救错误。
邮件预览
“邮件预览”(Email Preview) 功能允许超级管理员和管理员用户请求和查看向最终用户显示的内容,而无需下载 EML 文件。消息显示为图像。点击 打开邮件预览 (Open Email Preview) 按钮以查看预览。
当用户预览邮件时会创建审核日志记录。审核日志可从 管理 (Administration) 、 业务 (Business) 、 首选项 (Preferences) 下载。
对话视图
对话视图提供对话的整体视图。使用对话视图可跟踪对话中的邮件,同时全面了解邮件流。这在确定威胁的来源及其在组织内的传播方式时非常有用。
进入邮件报告后,点击页面右上角的 对话视图 (Conversation View) 按钮即可查看与特定邮件相关的邮件。
点击
+
图标可展开对话的节点,以便您查看对话中更早或更晚的邮件。展开的节点将被添加到节点下方显示的邮件网格中。
节点和邮件采用了颜色编码,以表示方向、传入、传出或内部。
节点圆圈内的数字表示邮件被发送到的地址数量。节点中的图标表示是否检测到威胁或应用了判定。在选择节点时,网格中的相应邮件会被突出显示。
XDR 透视菜单
如果您的思科安全邮件威胁防御业务与思科 XDR 集成,则可以从邮件报告中访问 XDR 透视菜单。有关与 XDR 集成的信息,请参阅XDR。
移动和重新分类邮件
如果您认为邮件分类不正确,请使用“邮件”(Messages) 页面来移动或重新分类邮件。通过更改每页显示的邮件数,一次最多可以移动或重新分类 100 封邮件。您还可以直接从“邮件报告”(Message Report) 页面的“判定与技术”(Verdict and Techniques) 面板移动和重新分类邮件。
您还可以使用补救和重新分类 API 对邮件进行移动和重新分类。有关详细信息,请参阅 API 指南 https://developer.cisco.com/docs/message-search-api/ 。
注意:
重新分类只会影响对所选邮件的判定。这并不表示对所选发件人未来发送的邮件或根据邮件内容采取的行动有
任何改变。邮件将排队等待思科 Talos 审核。Talos 可能会使用反馈来影响未来的分类。对于误报的邮件,请考虑添加
判定覆盖规则。
关于混合 Exchange 帐户
思科安全邮件威胁防御 只能对 Exchange Online (O365) 中的邮箱执行。如果您正在将邮箱从现场 Exchange 迁移到 Exchange Online (O365),则补救(移动或删除)将仅适用于 Exchange Online (O365) 中的邮箱。您不会收到现场 Exchange 邮箱补救失败的通知。
读取补救模式
如果处于“读取”模式,则可以对邮件重新分类(应用不同的判定)。
2. 从下拉菜单中选择判定。您可以将邮件重新分类为 BEC 、 诈骗 (Scam) 、 网络钓鱼 (Phishing) 、 恶意 (Malicious) 、 垃圾邮件 (Spam) 、 灰色邮件 (Graymail) 或 中性 (Neutral) ,或者也可以选择 保留判定 (Keep verdict) 。
读/写补救模式
如果处于读/写补救模式,则可以将可疑邮件从用户收件箱移至其垃圾邮件或垃圾桶,或移至其无法访问的隔离区文件夹。
同样,如果您确定被移至垃圾邮件、垃圾桶或隔离区的邮件并无可疑之处,则可以将其移回用户的收件箱。您也可以彻底删除邮件。该过程还允许您对邮件重新分类(应用不同的判定)。
2. 从“重新分类”(Reclassify) 下拉菜单中选择判定。您可以将邮件重新分类为 BEC 、 诈骗 (Scam) 、 网络钓鱼 (Phishing) 、 恶意 (Malicious) 、 垃圾邮件 (Spam)、灰色邮件 (Graymail) 或 中性 (Neutral) ,或者也可以选择 保留判定 (Keep verdict) 。
3. 从“请求操作”(Request Action) 下拉菜单中选择操作。您可以选择 移至垃圾邮件 (Move to Junk) 、 移至垃圾桶 (Move to Trash) 、 移至收件箱 (Move to Inbox) 、 移至隔离区 (Move to Quarantine) 、 删除 (Delete) ,或者也可以选择 不移动 (Do Not Move) 。
4. 点击 更新 (Update) 以应用新分类并对邮件执行操作。
删除邮件
超级管理员和管理员用户可以使用“重新分类/补救”工作流程中的“删除”操作从邮箱中永久删除邮件。已删除的邮件会被移至 recoverableitemspurges 文件夹。用户无法访问此文件夹,并且思科安全邮件威胁防御无法将已删除的邮件恢复到收件箱。
2. 从“重新分类”(Reclassify) 下拉菜单中选择判定。您可以将邮件重新分类为 BEC 、 诈骗 (Scam) 、 网络钓鱼 (Phishing) 、 恶意 (Malicious) 、 垃圾邮件 (Spam) 、 灰色邮件 (Graymail) 或 中性 (Neutral) ,或者也可以选择 保留判定 (Keep verdict) 。
3. 从“请求操作”(Request Action) 下拉菜单中选择 删除 (Delete) 。
5. “确认删除”(Confirm Deletion) 对话框指明邮件无法恢复,并确认是否要继续。点击 删除 (Delete) 以继续。
隔离邮件
隔离区文件夹是为每个邮箱自动创建的,并且 Outlook 用户不会看到该文件夹。超级管理员和管理员用户可以在 管理 (Administration) > 企业 (Business) 页面中看到隐藏文件夹的名称。在 Outlook 中,隔离区文件夹中的邮件将根据您的“已删除邮件”(Deleted Items) 清除设置自动进行清除。思科安全邮件威胁防御 当邮件从隔离区文件夹中清除后,其无法再被恢复到用户收件箱。
2. 从“重新分类”(Reclassify) 下拉菜单中选择判定。您可以将邮件重新分类为 BEC 、 诈骗 (Scam) 、 网络钓鱼 (Phishing) 、 恶意 (Malicious) 、 垃圾邮件 (Spam) 、 灰色邮件 (Graymail) 或 中性 (Neutral) ,或者也可以 保留判定 (Keep verdict) 。
3. 从“请求操作”(Request Action) 下拉菜单中选择 移至隔离区 (Move to Quarantine) 。
反馈