使用Microsoft Defender识别和处理钓鱼邮件的完整指南

如何处理和识别使用Microsoft Defender的钓鱼邮件

在之前的博客文章中，我们介绍了Microsoft Defender如何加强您的电子邮件安全。如果您还没有阅读，可能想从那里开始。

在这篇博客文章中，我们将深入探讨如何在Microsoft Defender中处理钓鱼邮件，这将使您作为IT经理的工作更加轻松。让我们开始吧。

本博客是3章系列的一部分

我们正在深入探讨Microsoft Defender和钓鱼报告。本博客是三部曲的第二部分。

如果您想阅读全部内容，以下是相关文章：

使用Microsoft Defender加强电子邮件安全
如何使用Microsoft Defender处理和识别钓鱼邮件
我们的新钓鱼报告按钮如何直接与Microsoft Defender集成

希望您喜欢。

大多数公司的钓鱼报告都很混乱

仔细看看您的公司。当同事发现钓鱼邮件时，他们是如何向IT报告的？

很可能，他们通过多种方式报告：

在Teams中给您发消息：“嘿，我刚收到这封邮件，很奇怪。您能看看吗？”
将邮件转发给您：“看下面，这是钓鱼邮件吗？”
来到您的工位：“这是钓鱼邮件吗？”

这些都是好的情况，因为他们确实联系了您。最坏的情况是，他们忽略邮件甚至点击了链接。

问题是：对于IT部门来说，无法很好地了解公司内的报告情况。您必须把所有信息拼凑起来。此外，如果员工都以不同的方式报告，显然他们不知道最佳方式。这是不一致的。

解决方案：Microsoft Defender

钓鱼邮件的报告、处理和删除

在Microsoft Defender中，您可以在一个地方完成所有操作。您可以发现钓鱼邮件，阻止恶意链接并为所有员工删除这些邮件。您可以查看同事报告的钓鱼邮件，进行调查，并以有效的方式处理它们。

不过，某些功能需要特殊许可证。一切都在一个地方。

您可以在Microsoft Defender中做什么

当您的同事报告钓鱼邮件，或者您的电子邮件设置和垃圾邮件过滤器将邮件阻止为潜在钓鱼邮件时，一切就开始了。

因为当这两种情况中的任何一种发生时，您都可以看到并采取行动。

以下是具体方法。

Defender中的操作和提交是个宝库

魔法发生在"操作和提交"标签下。在这里，您可以看到同事报告的所有钓鱼邮件。这意味着您可以仔细查看并采取行动。

您可以：

如果不是钓鱼邮件，再次释放它们
进一步调查 - 预览邮件
提取URL并为所有用户阻止它
阻止发件人
阻止URL
如果确实是钓鱼邮件，为组织中的所有用户删除该邮件

这是关键。您可以为所有用户阻止URL、发件人、IP或删除钓鱼邮件，这大大提高了您的安全性。

调查邮件意味着什么？

当您调查邮件时，意味着您可以预览同事报告的邮件。您可以检查链接、域、IP、文本 - 嗯，所有内容 - 所有元数据。

基于这些信息，您可以采取行动。

您可以：

从所有人那里删除邮件
停用链接，这样没有人可以点击该链接
将邮件移动到例如隔离区，以确保在您进一步调查之前用户无法看到该邮件
向Microsoft报告，以便他们可以调查并可能从其他公司删除它

当然，如果没有危害，您可以再次释放它，让每个人都可以访问。

远不止这些好处

当您开始时，您将看到远不止能够轻松处理和删除钓鱼邮件的好处：

✅ 集中报告：邮件立即发送给正确的人 - 不再需要从各处收集数据 ✅ 更快分类：在您可以实际采取行动的环境中获取调查所需的元数据和原始消息 ✅ 更好的可见性：查看还有谁收到了相同的钓鱼尝试 ✅ 改进的响应时间：在威胁传播之前采取行动 ✅ 培训洞察：识别哪些用户报告，以及谁需要更多意识 ✅ 威胁情报：发现趋势并主动更新安全策略

也许最重要的是： ✅ 员工与IT之间的协作：它帮助您与所有员工建立直接协作和沟通。他们知道该做什么，他们帮助您创建更好的安全性。

这一切都非常酷，也是我们看到许多公司所缺少的。

设置您的Defender以匹配您的安全性

您可能在想：“那么我是否必须一直坐着更新Microsoft Defender，以便在有人报告时发现它？”

不，别担心。

在"事件和警报"下，您可以设置当有人点击钓鱼按钮时需要发生什么。

您可以：

设置当某些内容被报告为钓鱼时应提醒和通知谁
设置规则，在不同场景下创建不同的操作 - 例如，如果域等于X，则自动从每个人的收件箱中删除所有邮件
为报告钓鱼的员工创建自动"感谢消息"，以激励他们将来继续这样做

您可以在这里做很多事情，确保当报告钓鱼邮件时，您可以快速反应，有时甚至可以自动化。

而且您可以在一个地方为所有员工做这件事。

但为什么要在Microsoft Defender中做？

有许多服务制作第三方按钮来报告钓鱼。我们的许多竞争对手都有自己的"报告钓鱼"按钮。

您可能可以从这些服务提供的应用程序中的这些按钮获得许多相同的信息。

问题是，即使您可能从中获得许多很酷的见解和功能，但当您实际必须对这些邮件采取行动时，您必须回到Microsoft Defender。

这就是为什么我们建议只使用Microsoft Defender自己的按钮。

这样您就可以在一个地方拥有所有内容。

这也是为什么我们没有开发自己的按钮。相反，我们将我们的应用程序与Microsoft的按钮集成。

这意味着您可以在我们的应用程序中看到有多少人报告来自我们的钓鱼模拟 - 但您也可以在Microsoft Defender中看到并采取行动。对于真实攻击和钓鱼模拟，它是同一个按钮。

这是双赢。

您可以在这里阅读更多关于此功能的信息。

如何开始使用Microsoft Defender？

这些功能很酷，但使用它们的第一步是设置当人们报告邮件时应发生什么，然后让人们开始报告钓鱼。

这可能听起来像是一项繁琐的任务，可能不会容易，因为人们需要学习新习惯。但这是值得的。

步骤很简单：

决定谁应该接收钓鱼报告，并相应地设置路由
教育您的用户 - 分享内部指南，运行快速午餐会议，发布提醒，并使用钓鱼模拟
跟踪采用 - 监控谁在使用该按钮，并跟进需要复习的团队

困难的部分是让人们开始报告。幸运的是，这对他们来说应该相当容易。

他们只需在Outlook中点击"报告"：

在全员会议上向他们展示如何操作。写一个小指南。向他们展示为什么这很重要。向他们展示这对您意味着什么，以及您如何从中受益。

大多数人可能认为当他们报告钓鱼邮件时Microsoft会收到通知，但它也可以直接发送给您并帮助您。人们需要理解这一点。

当他们开始报告时，您可以跟踪采用情况，并用它来进一步激励。这是一场马拉松，不是短跑。祝您好运;)

使用钓鱼培训开始

训练人们使用该按钮的另一个聪明方法是运行钓鱼模拟。这既训练您的员工识别钓鱼邮件，也训练您的公司遵循您的"应急计划"。

Verizon的2025年数据泄露调查报告支持这种方法。该报告发现，最近接受过钓鱼培训的员工报告钓鱼邮件的可能性是四倍，报告率从5%增加到21%。

目标是：

不要点击钓鱼链接
点击报告按钮

您可以通过进行钓鱼培训在安全的环境中做到这一点。