Namespace:microsoft.graph.security
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
表示Microsoft处理威胁提交后评审的结果。
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| “类别” | microsoft.graph.security.submissionResultCategory | 提交结果类别。 可能的值为:notJunk、、spamphishing、unknownnoResultAvailablespoofunknownFutureValueblockedByPolicyallowedByPolicymalwarebeingAnalyzednotSubmittedToMicrosoftallowedDueToUserOverrideblockedDueToOrganizationOverrideblockedDueToUserOverrideallowedDueToOrganizationOverrideitemNotfoundthreatsFounddomainImpersonationbrandImpersonationuserImpersonationnoThreatsFoundspoofedBlockedphishingSimulationauthenticationFailure、spoofedAllowed、、 bulk和 。reasonLostInTransit 必须使用 Prefer: include-unknown-enum-members 请求标头来获取此可演变枚举中的以下值:beingAnalyzed、、notSubmittedToMicrosoft、phishingSimulation、blockedDueToOrganizationOverrideblockedDueToUserOverrideitemNotfoundthreatsFounduserImpersonationallowedDueToUserOverrideallowedDueToOrganizationOverridenoThreatsFounddomainImpersonation、brandImpersonation、 spoofedBlockedspoofedAllowedauthenticationFailurebulk和 。reasonLostInTransit |
| 细节 | security.submissionResultDetail | 指定Microsoft提供的额外详细信息,以证实其分析结果。 |
| detectedFiles | Collection (security.submissionDetectedFile) | 指定Microsoft在提交的电子邮件中检测到的文件。 |
| detectedUrls | 集合(字符串) | 指定Microsoft在提交的电子邮件中检测到的 URL。 |
| userMailboxSetting | security.userMailboxSetting | 指定以逗号分隔的字符串表示的用户邮箱的设置。 |
userMailboxSetting 值
| 成员 | 说明 |
|---|---|
| 无 | 没有与此威胁提交相关的用户邮箱设置。 |
| junkMailDeletion | 提交的电子邮件已应用垃圾邮件删除。 |
| isFromAddressInAddressBook | 提交的电子邮件来自通讯簿中的地址。 |
| isFromAddressInAddressSafeList | 提交的电子邮件来自地址安全列表中的地址。 |
| isFromAddressInAddressBlockList | 提交的电子邮件来自地址安全列表中的地址。 |
| isFromAddressInAddressImplicitSafeList | 提交的电子邮件来自地址隐式安全列表中的地址。 |
| isFromAddressInAddressImplicitJunkList | 提交的电子邮件来自地址隐式垃圾邮件列表中的地址。 |
| isFromDomainInDomainSafeList | 提交的电子邮件来自域安全列表中的域。 |
| isFromDomainInDomainBlockList | 提交的电子邮件来自域阻止列表中的域。 |
| isRecipientInRecipientSafeList | 提交的电子邮件是收件人安全列表中的收件人。 |
| customRule | 提交的电子邮件由一个用户自定义规则处理。 |
| senderPraPresent | 提交的电子邮件来自之前演示的发件人。 |
| fromFirstTimeSender | 提交的电子邮件来自第一次发件人。 |
| 独家 | 所提交电子邮件的收件人独占收件人的通讯簿,而仅允许通讯簿联系人发送。 |
| priorSeenPass | 已提交的电子邮件之前已看到已传递。 |
| senderAuthenticationSucceeded | 已成功对提交的电子邮件进行身份验证。 |
| isJunkMailRuleEnabled | 已启用垃圾邮件规则。 |
| unknownFutureValue | 未知的未来值。 |
submissionResultDetail 值
| 成员 | 说明 |
|---|---|
| 无 | Microsoft没有要共享的结果的其他详细信息。 |
| underInvestigation | Microsoft仍在分析样本,结果应很快可用。 |
| simulatedThreat | 报告的邮件被阻止,因为它是网络钓鱼模拟电子邮件发送给用户进行网络钓鱼教育。 若要将 EOP/MDO 配置为允许,请签出高级传递 |
| allowedBySecOps | 由于安全操作员邮箱的高级传递流,允许报告的邮件。 若要阻止邮件,请将其从高级传递中删除。 |
| allowedByThirdPartyFilters | 报告的消息被允许或阻止,因为第三方筛选器使用 EOP/MDO。 配置增强筛选,以便 EOP/MDO 可以准确筛选。 |
| messageNotFound | Microsoft无法对报告的消息提供判决,因为Microsoft找不到实际消息。 通过在 security.microsoft.com 中使用提交上传电子邮件来重新提交。 |
| urlFileShouldNotBeBlocked | Microsoft找到要清理的报告实体。 包含它的现有电子邮件已发布。 网络钓鱼和恶意软件筛选器将在几周后从中学习。 在筛选器了解之前,请在租户允许/阻止列表中创建允许条目(如果尚未完成)。 |
| urlFileShouldBeBlocked | Microsoft发现报告的实体是恶意实体。 包含它的现有电子邮件已被隔离。 网络钓鱼和恶意软件筛选器将在几周后从中学习。 在筛选器了解之前,请在租户允许/阻止列表中创建阻止条目(如果尚未完成)。 |
| urlFileCannotMakeDecision | Microsoft目前无法作出判决。 重新提交它,以在分析后得到判决。 使用租户允许/阻止列表可立即允许/阻止它(如果尚未这样做)。 |
| domainImpersonation | 由于域模拟策略设置,报告的消息被允许或阻止。 配置域模拟策略,以便 EOP/MDO 可以相应地进行筛选。 |
| userImpersonation | 由于用户模拟策略设置,报告的消息被允许或阻止。 配置用户模拟策略,以便 EOP/MDO 可以相应地进行筛选。 |
| brandImpersonation | 由于品牌模拟策略设置,报告的消息被允许或阻止。 配置品牌模拟策略,以便 EOP/MDO 可以相应地进行筛选。 |
| outboundShouldNotBeBlocked | 报告的传出消息已发现干净,Microsoft将在未来几周内更新其基于机器学习的出站筛选器。 |
| outboundShouldBeBlocked | 报告的传出消息已发现恶意,Microsoft将在未来几周内更新其基于机器学习的出站筛选器。 |
| outboundBulk | Microsoft发现报告的邮件是垃圾邮件。 出站筛选器将在几周后学习。 |
| outboundCannotMakeDecision | Microsoft目前无法作出判决。 重新提交它,以在分析后得到判决。 |
| outboundNotRescanned | Microsoft无法对报告的出站消息提供判决,因为Microsoft找不到实际消息。 通过在 security.microsoft.com 中使用提交上传电子邮件来重新提交。 |
| zeroHourAutoPurgeAllowed | 报告的邮件已被从隔离区中删除,因为它被发现是干净的。 |
| zeroHourAutoPurgeBlocked | 报告的邮件被阻止或隔离,因为它被发现是恶意邮件。 |
| zeroHourAutoPurgeQuarantineReleased | 报告的邮件已从隔离区中释放,尽管由于邮件在传递后变成了恶意邮件,但因 zap 而被隔离。 |
| onPremisesSkip | 无法分析报告的消息,因为此消息经过 Exchange Online 保护的本地设置。 配置混合设置,使 EOP/MDO 在传递到交换本地邮箱之前可以扫描邮件。 |
| allowedByTenantAllowBlockList | 报告的消息被允许,因为电子邮件中的一个或多个实体位于租户允许/阻止列表中。 从租户允许/阻止列表中删除允许,以便 EOP/MDO 可以相应地进行筛选。 |
| blockedByTenantAllowBlockList | 报告的消息被阻止,因为电子邮件中的一个或多个实体位于租户允许/阻止列表中。 从租户允许/阻止列表中删除块,以便 EOP/MDO 可以相应地进行筛选。 |
| allowedUrlByTenantAllowBlockList | 已允许报告的 URL,因为它位于租户允许/阻止列表中。 从租户允许/阻止列表中删除允许,以便 EOP/MDO 可以相应地进行筛选。 |
| allowedFileByTenantAllowBlockList | 已允许报告的文件,因为它位于租户允许/阻止列表中。 从租户允许/阻止列表中删除允许,以便 EOP/MDO 可以相应地进行筛选。 |
| allowedSenderByTenantAllowBlockList | 已允许报告的邮件,因为电子邮件的发件人位于租户允许/阻止列表中。 从租户允许/阻止列表中删除允许,以便 EOP/MDO 可以相应地进行筛选 |
| allowedRecipientByTenantAllowBlockList | 报告的传出邮件被允许,因为收件人位于租户允许/阻止列表中。 从租户允许/阻止中删除允许,以便 EOP/MDO 可以相应地进行筛选。 |
| blockedUrlByTenantAllowBlockList | 报告的 URL 已被阻止,因为它位于租户允许/阻止列表中。 从租户允许/阻止列表中删除块,以便 EOP/MDO 可以相应地进行筛选。 |
| blockedFileByTenantAllowBlockList | 报告的文件被阻止,因为它位于租户允许/阻止列表中。 从租户允许/阻止列表中删除块,以便 EOP/MDO 可以相应地进行筛选。 |
| blockedSenderByTenantAllowBlockList | 由于电子邮件的发件人位于“租户允许/阻止”列表中,因此报告的邮件已被阻止。 从租户允许/阻止列表中删除阻止,以便 EOP/MDO 可以相应地进行筛选 |
| blockedRecipientByTenantAllowBlockList | 报告的传出邮件被阻止,因为收件人位于租户允许/阻止列表中。 从租户允许/阻止中删除块,以便 EOP/MDO 可以相应地进行筛选。 |
| allowedByConnection | 报告的消息被允许,因为发送 IP 位于托管连接筛选器策略上。 从托管连接筛选器策略中删除 IP,以便 EOP/MDO 可以相应地进行筛选。 |
| blockedByConnection | 报告的消息被阻止,因为发送 IP 位于托管连接筛选器策略上。 从托管连接筛选器策略中删除 IP,以便 EOP/MDO 可以相应地进行筛选。 |
| allowedByExchangeTransportRule | 报告的消息是允许的,因为组织具有相关的交换传输规则。 删除交换传输规则,以便 EOP/MDO 可以相应地进行筛选。 |
| blockedByExchangeTransportRule | 报告的邮件被阻止,因为组织具有相关的交换传输规则。 删除交换传输规则,以便 EOP/MDO 可以相应地进行筛选。 |
| quarantineReleased | 报告的消息已从隔离区中释放,尽管已由 EOP/MDO 隔离。 |
| quarantineReleasedThenBlocked | 报告的邮件在从隔离区中释放后被用户设置阻止。 删除用户设置,以便将邮件释放到收件箱。 |
| junkMailRuleDisabled | 已将报告的邮件传递到垃圾邮件文件夹,但已禁用垃圾邮件文件夹。 启用垃圾邮件文件夹设置,以便 EOP/MDO 可以相应地传递电子邮件。 |
| allowedByUserSetting | 由于 outlook 中的用户安全或受信任的发件人设置,因此允许报告的邮件。 删除安全或受信任的发件人设置,以便 EOP/MDO 可以相应地进行筛选。 |
| blockedByUserSetting | 由于 Outlook 中的用户阻止或受信任的发件人设置,报告的邮件被阻止。 删除阻止或受信任的发件人设置,以便 EOP/MDO 可以相应地进行筛选。 |
| allowedByTenant | 由于租户策略或策略操作设置,允许报告的消息。 查看 EOP/MDO 策略或策略操作设置,以便 EOP/MDO 可以相应地进行筛选。 |
| blockedByTenant | 由于租户策略或策略操作设置,报告的消息被阻止。 查看 EOP/MDO 策略或策略操作设置,以便 EOP/MDO 可以相应地进行筛选。 |
| invalidFalsePositive | EOP/MDO 已允许报告的消息。 |
| invalidFalseNegative | 报告的消息已被 EOP/MDO 阻止。 |
| spoofBlocked | 系统将报告的消息确定为欺骗,因此被阻止。 在租户允许/阻止列表中创建欺骗允许,以便 EOP/MDO 可以允许来自此欺骗发件人的电子邮件。 |
| goodReclassifiedAsBad | Microsoft发现报告的消息是恶意的。 现有电子邮件已隔离。 网络钓鱼和恶意软件筛选器将在几周后从中学习。 在筛选器了解之前,请在租户允许/阻止列表中创建阻止条目(如果尚未完成)。 |
| goodReclassifiedAsBulk | Microsoft发现报告的邮件是垃圾邮件。 垃圾邮件和批量筛选器将在几周后从此邮件中学习。 在筛选器了解之前,请在租户允许/阻止列表中创建阻止条目(如果尚未完成)。 |
| goodReclassifiedAsGood | Microsoft发现报告的邮件是干净的,如果你不同意此判决,请重新提交电子邮件。 在Microsoft阻止消息之前,请在租户允许/阻止列表中创建阻止条目(如果尚未这样做)。 |
| goodReclassifiedAsCannotMakeDecision | Microsoft目前无法作出判决。 重新提交它,以在分析后得到判决。 使用租户允许/阻止列表可立即阻止它(如果尚未这样做)。 |
| badReclassifiedAsGood | Microsoft发现报告的消息是干净的。 已发布现有电子邮件。 网络钓鱼和恶意软件筛选器将在几周后从中学习。 在筛选器了解之前,请在租户允许/阻止列表中创建允许条目(如果尚未完成)。 |
| badReclassifiedAsBulk | Microsoft发现报告的邮件是垃圾邮件。 垃圾邮件和批量筛选器将在几周后从此邮件中学习。 在筛选器了解之前,请在租户允许/阻止列表中创建允许条目(如果尚未完成)。 |
| badReclassifiedAsBad | Microsoft发现报告的消息是恶意的。 如果不同意此判决,请重新提交电子邮件。 在允许消息之前,请在租户允许/阻止列表中创建允许条目(如果尚未这样做)。 |
| badReclassifiedAsCannotMakeDecision | Microsoft目前无法作出判决。 重新提交它,以在分析后得到判决。 使用租户允许/阻止列表可立即允许它(如果尚未这样做)。 |
| unknownFutureValue | 任何现在未使用的未来值。 |
| willNotifyOnceDone | 我们将在分析完你的消息后立即通知你。 |
| checkUserReportedSettings | 如果要将邮件提交到Microsoft,请转到“用户报告设置”,然后在“报告的邮件目标”下选择“仅Microsoft”或Microsoft和我的报告邮箱。 |
| partOfEducationCampaign | 报告的消息是钓鱼教育活动的一部分。 有关详细信息,请参阅高级传递或攻击模拟页。 |
| allowedByAdvancedDelivery | 由于安全操作员邮箱的高级传递流,允许报告的邮件。 若要阻止邮件,请将其从高级传递中删除。 |
| allowedByEnhancedFiltering | 如果不再希望允许此项删除条目,则报告的消息可能是由于连接器策略的增强筛选而允许的。 |
| itemDeleted | Microsoft无法对报告的消息提供判决,因为Microsoft找不到实际消息。 通过在 security.microsoft.com 中使用提交上传电子邮件来重新提交。 |
| itemFoundClean | Microsoft发现报告的邮件是干净的,如果你不同意此判决,请重新提交电子邮件。 在Microsoft阻止消息之前,请在租户允许/阻止列表中创建阻止条目(如果尚未这样做)。 |
| itemFoundMalicious | Microsoft发现报告的消息是恶意的。 如果不同意此判决,请重新提交电子邮件。 在允许消息之前,请在租户允许/阻止列表中创建允许条目(如果尚未这样做)。 |
| unableToMakeDecision | Microsoft目前无法作出判决。 重新提交它,以在分析后得到判决。 使用租户允许/阻止列表可立即允许或阻止它(如果尚未这样做)。 |
| domainResembledYourOrganization | 报告的消息来自类似于组织的域。 重新计算项,如果它看起来仍然干净,请将发件人域添加到反网络钓鱼策略中的受信任域列表。 |
| endUserBeingImpersonated | 模拟最终用户的人发送了此报告消息。 重新评估项目,如果它看起来仍然干净,请将发件人的地址添加到反钓鱼策略中的受信任发件人列表。 |
| associatedWithBrand | 报告的消息包含似乎与特定品牌关联的内容。 查看 ,如果认为它干净且必要,请使用租户允许阻止列表以允许这些项在将来使用。 |
| senderFailedAuthentication | 报告的消息未传递,因为它的身份验证失败。 查看域身份验证设置或联系域所有者。 |
| endUserBeingSpoofed | 系统将报告的消息确定为欺骗,因此被阻止。 在租户允许/阻止列表中创建欺骗允许,以便 EOP/MDO 可以允许来自此欺骗发件人的电子邮件。 |
| itemFoundBulk | Microsoft查找要批量的报告消息。 垃圾邮件和批量筛选器将在几周后从此邮件中学习。 在筛选器了解之前,请在租户允许/阻止列表中创建阻止条目(如果尚未这样做)。 |
| itemNotReceivedByService | Microsoft无法对报告的消息提供判决,因为Microsoft找不到实际消息。 验证没有任何策略或邮件流规则阻止项目访问我们的服务。 |
| itemFoundSpam | Microsoft发现报告的邮件是垃圾邮件。 垃圾邮件和批量筛选器将在几周后从此邮件中学习。 在筛选器了解之前,请在租户允许/阻止列表中创建阻止条目(如果尚未这样做)。 |
关系
无。
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"@odata.type": "#microsoft.graph.security.submissionResult",
"category": "String",
"detail": "String",
"userMailboxSetting": "String",
"detectedUrls": [
"String"
],
"detectedFiles": [
{
"@odata.type": "microsoft.graph.security.submissionDetectedFile"
}
]
}