Anzeigen Defender for Office 365 Berichte im Microsoft Defender-Portal

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

In Organisationen mit Microsoft Defender for Office 365 Plan 1 oder Plan 2 (z. B. Microsoft 365 E5 oder Microsoft Business Premium) stehen eine Vielzahl sicherheitsbezogener Berichte zur Verfügung. Wenn Sie über die erforderlichen Berechtigungen verfügen, können Sie diese Berichte im Microsoft Defender-Portal anzeigen und herunterladen.

Die Berichte sind im Microsoft Defender-Portal unter https://security.microsoft.com auf der Seite berichte für die Email & Zusammenarbeit unter Berichte>Email & Zusammenarbeit>Email & Berichte zur Zusammenarbeit verfügbar. Oder verwenden Sie , um direkt zur Seite Email & Zusammenarbeitsberichte zu wechselnhttps://security.microsoft.com/emailandcollabreport.

Zusammenfassungsinformationen für jeden Bericht sind auf der Seite verfügbar. Identifizieren Sie den Bericht, den Sie anzeigen möchten, und wählen Sie dann Details für diesen Bericht anzeigen aus.

Im weiteren Verlauf dieses Artikels werden die Berichte beschrieben, die ausschließlich für Defender for Office 365 gelten.

Hinweis

Email Sicherheitsberichte, die keine Defender for Office 365 erfordern, werden unter Anzeigen von E-Mail-Sicherheitsberichten im Microsoft Defender-Portal beschrieben.

Berichte, die veraltet oder ersetzt wurden, finden Sie in der Tabelle in Email Änderungen des Sicherheitsberichts im Microsoft Defender-Portal.

Berichte, die sich auf den Nachrichtenfluss beziehen, befinden sich jetzt im Exchange Admin Center (EAC). Weitere Informationen zu diesen Berichten finden Sie unter Nachrichtenflussberichte im neuen Exchange Admin Center.

Sehen Sie sich dieses kurze Video an, um zu erfahren, wie Sie berichte verwenden können, um die Effektivität von Defender for Office 365 in Ihrem organization zu verstehen.

Bericht zu Dateitypen sicherer Anlagen

Hinweis

Dieser Bericht ist veraltet. Die gleichen Informationen sind im Bericht Threat Protection status verfügbar.

Meldungsdispositionsbericht "Sichere Anlagen"

Hinweis

Dieser Bericht ist veraltet. Die gleichen Informationen sind im Bericht Threat Protection status verfügbar.

E-Mail-Latenzbericht

Der E-Mail-Latenzbericht zeigt Ihnen eine aggregierte Ansicht der E-Mail-Zustellungs- und Detonationswartezeit innerhalb Ihres Defender for Office 365 organization. Die Zustellungszeiten im Dienst sind von vielen Faktoren betroffen, und die absolute Lieferzeit in Sekunden ist oft kein guter Indikator für Erfolg oder Problem. Eine langsame Lieferzeit an einem Tag kann als durchschnittliche Lieferzeit an einem anderen Tag angesehen werden oder umgekehrt. Dieser Bericht versucht, die Nachrichtenübermittlung basierend auf statistischen Daten über die beobachteten Zustellungszeiten anderer Nachrichten zu qualifizieren.

Clientseitige und Netzwerklatenz sind nicht enthalten.

Suchen Sie auf der Seite Email & Berichte zur Zusammenarbeit unter https://security.microsoft.com/emailandcollabreportnach E-Mail-Latenzbericht, und wählen Sie dann Details anzeigen aus. Oder verwenden Sie https://security.microsoft.com/mailLatencyReport, um direkt zum Bericht zu wechseln.

Das E-Mail-Latenzberichtswidget auf der Seite Email & Berichte zur Zusammenarbeit

Auf der Berichtsseite E-Mail-Latenz sind die folgenden Registerkarten verfügbar:

  • 50. Perzentil: Die Mitte für nachrichtenübermittlungszeiten. Sie können diesen Wert als durchschnittliche Lieferzeit betrachten. Diese Registerkarte ist standardmäßig ausgewählt.
  • 90. Perzentil: Gibt eine hohe Latenz für die Nachrichtenübermittlung an. Nur 10 % der Nachrichten dauerten länger als dieser Wert.
  • 99. Perzentil: Gibt die höchste Latenz für die Nachrichtenübermittlung an.

Unabhängig von der ausgewählten Registerkarte zeigt das Diagramm Nachrichten in den folgenden Kategorien an:

  • Insgesamt
  • Detonation (diese Werte werden in den Filterwerten erläutert)

Zeigen Sie auf eine Kategorie im Diagramm, um eine Aufschlüsselung der Latenz in jeder Kategorie anzuzeigen.

Die 50. Perzentilansicht des E-Mail-Latenzberichts

In der Detailtabelle unterhalb des Diagramms sind die folgenden Informationen verfügbar:

  • Datum (UTC)
  • Latenz
  • Nachrichtenanzahl
  • 50. Perzentil
  • 90. Perzentil
  • 99. Perzentil

Wählen Sie Filter aus, um den Bericht und die Detailtabelle zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:

  • Datum (UTC): Startdatum und Enddatum
  • Nachrichtenansicht: Einer der folgenden Werte:
    • Alle Nachrichten
    • Detonierte Nachrichten: Einer der folgenden Werte:
      • Inlinedetonation: Anlagen und Links in Nachrichten, die vor der Übermittlung durch sichere Anlagen und sichere Links vollständig getestet werden.
      • Asynchrone Detonation: Dynamische Übermittlung von Anlagen in sicheren Anlagen und Links in E-Mails, die nach der Zustellung durch sichere Links getestet wurden.

Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.

Auf der Berichtsseite E-Mail-Latenz ist die Aktion Exportieren verfügbar.

Aktivitätenbericht nach der Übermittlung

Der Bericht zu Aktivitäten nach der Zustellung enthält Informationen zu E-Mail-Nachrichten, die nach der Zustellung durch automatische Löschzeit (Zero-Hour Auto Purge, ZAP) aus Benutzerpostfächern entfernt wurden. Weitere Informationen zu ZAP finden Sie unter Zero-Hour Auto Purge (ZAP) in Exchange Online.

Der Bericht zeigt Echtzeitinformationen mit aktualisierten Bedrohungsinformationen an.

Suchen Sie auf der Seite Email & Berichte zur Zusammenarbeit unter https://security.microsoft.com/emailandcollabreportnach übermittlungsbezogene Aktivitäten, und wählen Sie dann Details anzeigen aus. Oder verwenden Sie https://security.microsoft.com/reports/ZapReport, um direkt zum Bericht zu wechseln.

Das Widget

Auf der Seite Post-Delivery-Aktivitäten werden im Diagramm die folgenden Informationen für den angegebenen Datumsbereich angezeigt:

  • Keine Bedrohung: Die Anzahl der eindeutig übermittelten Nachrichten, die von ZAP als nicht spamt eingestuft wurden.
  • Spam: Die Anzahl der eindeutigen Nachrichten, die von ZAP für Spam aus Postfächern entfernt wurden.
  • Phishing: Die Anzahl der eindeutigen Nachrichten, die von ZAP für Phishing aus Postfächern entfernt wurden.
  • Schadsoftware: Die Anzahl der eindeutigen Nachrichten, die von ZAP für Phishing aus Postfächern entfernt wurden.

Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen:

  • Subject

  • Empfangene Zeit

  • Sender

  • Empfänger

  • ZAP-Zeit

  • Ursprüngliche Bedrohung

  • Ursprünglicher Speicherort

  • Aktualisierte Bedrohung

  • Aktualisierter Lieferort

  • Erkennungstechnologie

    Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

    • Horizontales Scrollen in Ihrem Webbrowser.
    • Schränken Sie die Breite der entsprechenden Spalten ein.
    • Verkleineren Sie in Ihrem Webbrowser.

Wählen Sie Filter aus, um den Bericht und die Detailtabelle zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:

  • Datum (UTC):Startdatum und Enddatum.
  • Urteil:
    • Keine Bedrohung
    • Spam
    • Phishing
    • Schadsoftware

Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.

Auf der Seite Post delivery activities sind die Aktionen Zeitplan erstellen und Exportieren verfügbar.

Der Bericht zu Aktivitäten nach der Übermittlung.

Threat Protection-Statusbericht

Der Bericht Threat Protection status ist eine einzelne Ansicht, die Informationen zu schädlichen Inhalten und schädlichen E-Mails zusammenführt, die von Exchange Online Protection (EOP) und Defender for Office 365 erkannt und blockiert wurden. Weitere Informationen finden Sie unter Threat Protection status Bericht.

Berichte zu den wichtigsten Absendern und Empfängern

Der Bericht Wichtigste Absender und Empfänger zeigt die wichtigsten Empfänger für EOP- und Defender for Office 365-Schutzfunktionen an. Weitere Informationen finden Sie unter Bericht mit den wichtigsten Absendern und Empfängern.

URL-Schutzbericht

Der URL-Schutzbericht enthält Zusammenfassungs- und Trendansichten für erkannte Bedrohungen und Aktionen, die bei URL-Klicks als Teil von sicheren Links ausgeführt werden. Dieser Bericht enthält keine Klickdaten von Benutzern, wenn Benutzerklicks nachverfolgen in der effektiven Richtlinie für sichere Links nicht ausgewählt ist.

Suchen Sie auf der Seite Email & Berichte zur Zusammenarbeit unter https://security.microsoft.com/emailandcollabreportnach URL-Schutzbericht, und wählen Sie dann Details anzeigen aus. Oder verwenden Sie https://security.microsoft.com/URLProtectionActionReport, um direkt zum Bericht zu wechseln.

Das Url-Schutzberichtswidget auf der Seite Email & Berichte zur Zusammenarbeit

Die verfügbaren Ansichten im URL-Bedrohungsschutzbericht werden in den folgenden Unterabschnitten beschrieben.

Anzeigen von Daten nach URL- Klickschutzaktion im URL-Schutzbericht

Die Ansicht URL-Klickschutzaktion im URL-Schutzbericht

Die Aktionsansicht Daten nach URL-Klick anzeigen zeigt die Anzahl der URL-Klicks nach Benutzern im organization und die Ergebnisse des Klickens an:

  • Zulässig: Klicks sind zulässig.
  • Vom Mandantenadministrator zugelassen: In Richtlinien für sichere Links zulässige Klicks.
  • Blockiert: Klicken Sie auf blockiert.
  • Vom Mandantenadministrator blockiert: Die in Richtlinien für sichere Links blockierten Klicks.
  • Blockiert und durchgeklicken: Blockierte Klicks, bei denen Benutzer auf die blockierte URL klicken.
  • Vom Mandantenadministrator blockiert und durchgeklicken: Admin hat den Link blockiert, aber der Benutzer klickte sich durch.
  • Durchgeklicken während der Überprüfung: Klicks, auf denen Benutzer auf die Seite mit der ausstehenden Überprüfung zur URL klicken.
  • Ausstehende Überprüfung: Klickt auf URLs, die eine Überprüfungsbewertung ausstehen.

Ein Klick gibt an, dass der Benutzer durch die Sperrseite zur schädlichen Website geklickt hat (Administratoren können das Durchklicken in Richtlinien für sichere Links deaktivieren).

Die Detailtabelle unterhalb des Diagramms enthält die folgende Ansicht nahezu in Echtzeit für alle Klicks, die innerhalb der organization der letzten 30 Tage aufgetreten sind:

  • Klickzeit
  • Benutzer
  • URL
  • Aktion
  • App
  • Tags: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.

Wählen Sie Filter aus, um den Bericht und die Detailtabelle zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:

  • Datum (UTC):Startdatum und Enddatum.
  • Aktion: Die gleichen URL-Klickschutzaktionen wie zuvor beschrieben.
  • Auswertung: Wählen Sie Ja oder Nein aus. Weitere Informationen finden Sie unter Testen Microsoft Defender for Office 365.
  • Domänen (durch Kommas getrennt): Die in den Berichtsergebnissen aufgeführten URL-Domänen.
  • Empfänger (durch Kommas getrennt)
  • Tag: Alle oder das angegebene Benutzertag (einschließlich Prioritätskonten).

Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.

Auf der Seite URL Threat Protection sind die Aktionen Zeitplan erstellen, Bericht anfordern und Exportieren verfügbar.

Anzeigen von Daten nach URL click by application im URL-Schutzbericht

Die Aktionsansicht

Die Ansicht Daten nach URL anzeigen , klick nach Anwendung zeigt die Anzahl der URL-Klicks nach Apps an, die sichere Links unterstützen:

  • E-Mail-Client
  • Microsoft Teams
  • Office-Dokument

Die Detailtabelle unterhalb des Diagramms enthält die folgende Ansicht nahezu in Echtzeit für alle Klicks, die innerhalb der organization der letzten sieben Tage aufgetreten sind:

Wählen Sie Filter aus, um den Bericht und die Detailtabelle zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:

  • Datum (UTC):Startdatum und Enddatum.
  • Anwendung: Die gleichen Click-by-Anwendungswerte wie zuvor beschrieben.
  • Aktion
  • Auswertung: Wählen Sie Ja oder Nein aus. Weitere Informationen finden Sie unter Testen Microsoft Defender for Office 365.
  • Domänen (durch Kommas getrennt): Die in den Berichtsergebnissen aufgeführten URL-Domänen.
  • Empfänger (durch Kommas getrennt)
  • Tag: Alle oder das angegebene Benutzertag (einschließlich Prioritätskonten).

Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.

Auf der Seite URL Threat Protection sind die Aktionen Zeitplan erstellen, Bericht anfordern und Exportieren verfügbar.

Hinweis

URL-Klicks von Gastbenutzern sind auch im Bericht verfügbar. Das Gastbenutzerkonto kann weiterhin kompromittiert sein oder auf schädliche Inhalte innerhalb des organization zugreifen.

Weitere anzuzeigende Berichte

Zusätzlich zu den in diesem Artikel beschriebenen Berichten werden in den folgenden Tabellen weitere verfügbare Berichte beschrieben:

Bericht Artikel
Explorer (Microsoft Defender for Office 365 Plan 2) oder Echtzeiterkennungen (Microsoft Defender for Office 365 Plan 1) Sicherheitsrisiken-Explorer (und Echtzeit-Erkennung)
Email Sicherheitsberichte, die keine Defender for Office 365 erfordern Anzeigen von E-Mail-Sicherheitsberichten im Microsoft Defender-Portal
Nachrichtenflussberichte im Exchange Admin Center (EAC) Nachrichtenflussberichte im neuen Exchange Admin Center

PowerShell-Berichts-Cmdlets:

Bericht Artikel
Häufigste Absender und Empfänger Get-MailTrafficSummaryReport
Wichtigste Schadsoftware Get-MailTrafficSummaryReport
Bedrohungsschutzstatus Get-MailTrafficATPReport

Get-MailDetailATPReport

Sichere Links Get-SafeLinksAggregateReport

Get-SafeLinksDetailReport

Kompromittierte Benutzer Get-CompromisedUserAggregateReport

Get-CompromisedUserDetailReport

nachrichtenfluss status Get-MailflowStatusReport
Gespoofte Benutzer Get-SpoofMailReport
Zusammenfassung der Postzustellungsaktivität Get-AggregateZapReport
Details zur Postzustellungsaktivität Get-DetailZapReport

Welche Berechtigungen sind erforderlich, um die Defender for Office 365 Berichte anzuzeigen?

Weitere Informationen finden Sie unter Welche Berechtigungen sind zum Anzeigen dieser Berichte erforderlich?

Was geschieht, wenn in den Berichten keine Daten angezeigt werden?

Wenn in den Berichten keine Daten angezeigt werden, überprüfen Sie die Berichtsfilter, und überprüfen Sie, ob Ihre Richtlinien ordnungsgemäß eingerichtet sind. Richtlinien für sichere Links und Sichere Anlagen aus integriertem Schutz, voreingestellten Sicherheitsrichtlinien oder benutzerdefinierten Richtlinien müssen in Kraft sein und auf Nachrichten reagieren. Weitere Informationen finden Sie in den folgenden Artikeln: