Partager via


Get-MailDetailATPReport

Cette cmdlet est disponible uniquement dans le service cloud.

Utilisez l’applet de commande Get-MailDetailATPReport pour répertorier des détails sur les détections de Exchange Online Protection et de Microsoft Defender pour Office 365 dans votre organization cloud au cours des 10 derniers jours.

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Syntax

Get-MailDetailATPReport
   [-DataSource <String>]
   [-Direction <MultiValuedProperty>]
   [-Domain <MultiValuedProperty>]
   [-EndDate <DateTime>]
   [-EventType <MultiValuedProperty>]
   [-MalwareName <MultiValuedProperty>]
   [-MessageId <MultiValuedProperty>]
   [-MessageTraceId <MultiValuedProperty>]
   [-Page <Int32>]
   [-PageSize <Int32>]
   [-ProbeTag <String>]
   [-RecipientAddress <MultiValuedProperty>]
   [-SenderAddress <MultiValuedProperty>]
   [-StartDate <DateTime>]
   [<CommonParameters>]

Description

Pièces jointes sécurisées est une fonctionnalité de Microsoft Defender pour Office 365 qui ouvre les pièces jointes dans un environnement d’hyperviseur spécial pour détecter les activités malveillantes.

Les liens fiables sont une fonctionnalité de Microsoft Defender pour Office 365 qui vérifie les liens dans les messages électroniques pour voir s’ils mènent à des sites web malveillants. Lorsqu’un utilisateur clique sur un lien dans un message, l’URL est temporairement réécrite et vérifiée par rapport à une liste de sites web malveillants connus. La fonctionnalité Liens fiables inclut la fonctionnalité de génération de rapport sur le suivi des URL pour vous aider à déterminer qui a cliqué sur un site web malveillant.

Pour la période de rapport spécifiée, la cmdlet renvoie les informations suivantes :

  • Date
  • Message ID
  • Message Trace ID
  • Domain
  • Subject
  • Taille du message
  • Direction : les valeurs sont entrantes, sortantes ou inconnues. Inconnu signifie que les messages n’ont pas été traités par la pile de filtrage. En d’autres termes, les messages ont été déposés à la périphérie avant d’entrer dans notre pile de filtrage, de sorte que nous ne pouvons pas indiquer la direction pour eux.
  • Adresse de l’expéditeur
  • Adresse du destinataire
  • Type d'événement
  • Niveau de plainte en bloc
  • Verdict Type
  • Action
  • Nom de fichier
  • Nom du programme malveillant

Cette applet de commande est limitée à 10 000 résultats. Si vous atteignez cette limite, vous pouvez utiliser les paramètres disponibles pour filtrer la sortie.

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cette rubrique répertorie tous les paramètres de cette cmdlet, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour rechercher les autorisations requises pour exécuter une cmdlet ou un paramètre dans votre organisation, voir Find the permissions required to run any Exchange cmdlet.

Exemples

Exemple 1

Get-MailDetailATPReport -StartDate 7/22/2018 -EndDate 7/31/2018

Cet exemple retourne les actions des 10 derniers jours en juillet 2018. (Remarque : les clients disposant d’abonnements Defender pour Office 365 pourront obtenir jusqu’à 30 jours de données.)

Paramètres

-DataSource

{{ Fill DataSource Description }}

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Direction

Le paramètre Direction permet de filtrer les résultats selon les messages qui entrent ou qui sortent. Les valeurs valides sont les suivantes :

  • Entrant
  • Sortant
  • IntraOrg

Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Domain

Le paramètre Domain permet de filtrer les résultats selon chaque domaine dans une organisation cloud. Vous pouvez spécifier plusieurs valeurs séparées par des virgules, ou la valeur All.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EndDate

Le paramètre EndDate indique la fin de la plage de dates définies.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer la date uniquement. Si vous entrez la date, placez la valeur entre guillemets (), par exemple, « 01/09/2018 ».

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EventType

Le paramètre EventType filtre le rapport en fonction du type d’événement. Les valeurs valides sont les suivantes :

  • Filtre avancé
  • Moteur anti-programme malveillant
  • Campagne
  • Détonation de fichier
  • Réputation de détonation de fichier
  • Réputation des fichiers
  • Correspondance de l’empreinte
  • Filtre général
  • Marque d’emprunt d’identité
  • Domaine d’emprunt d’identité
  • Utilisateur emprunt d’identité
  • Emprunt d’identité sur la veille des boîtes aux lettre
  • Message passé
  • Détection d’analyse mixte
  • Usurper une identité DMARC
  • Usurpation d’un domaine externe
  • Usurpation d’organisation intra-organisation
  • Détonation d’URL
  • Réputation de détonation d’URL
  • Réputation d’URL malveillante

Remarque : Certaines valeurs correspondent à des fonctionnalités disponibles uniquement dans Defender pour Office 365 (plan 1 et plan 2 ou plan 2 uniquement).

Vous pouvez entrer plusieurs valeurs séparées par des virgules. Si les valeurs contiennent des espaces ou requièrent des guillemets, utilisez la syntaxe suivante : "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-MalwareName

Le paramètre MalwareName filtre les résultats en fonction de la charge utile des programmes malveillants. Les valeurs valides sont les suivantes :

  • Excel
  • EXE
  • Flash
  • Autres
  • PDF
  • PowerPoint
  • URL

Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-MessageId

Le paramètre MessageId permet de filtrer les résultats en tenant compte de l’en-tête Message-ID dans un message. Cette valeur est également appelée ID client. Le format du paramètre Message-ID est fonction du serveur de messagerie. La valeur doit être unique pour chaque message. Toutefois, les serveurs ne sont pas tous en mesure de créer des valeurs Message-ID identiques. Veillez à inclure la chaîne d’ID de message complète (qui peut inclure des crochets) et à placer la valeur entre guillemets (par exemple, «d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com »).

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-MessageTraceId

Le paramètre MessageTraceId filtre les résultats en fonction de la valeur d’ID de trace du message. Cette valeur GUID est générée pour chaque message traité par le système (par exemple, c20e0f7a-f06b-41df-fe33-08d9da155ac1).

Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

La valeur MessageTraceId est également disponible dans la sortie des applets de commande suivantes :

  • Get-MailDetailDlpPolicyReport
  • Get-MailDetailEncryptionReport
  • Get-MailDetailTransportRuleReport
  • Get-MessageTrace
  • Get-MessageTraceDetail
Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Page

Le paramètre Page indique le numéro de page des résultats que vous voulez afficher. L’entrée valide pour ce paramètre est un entier entre 1 et 1 000. La valeur par défaut est 1.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PageSize

Le paramètre PageSize indique le nombre maximal d’entrées par page. La valeur valide pour ce paramètre est un entier compris entre 1 et 5 000. Par défaut, la valeur 1 000 s’applique.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-ProbeTag

Ce paramètre est réservé à l’usage interne chez Microsoft.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-RecipientAddress

Le paramètre RecipientAddress permet de filtrer les résultats par adresse de messagerie du destinataire. Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-SenderAddress

Le paramètre SenderAddress permet de filtrer les résultats par adresse de messagerie de l’expéditeur. Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-StartDate

Le paramètre StartDate indique le début de la plage de dates définies.

Utilisez le format de date courte défini dans les paramètres Options régionales sur l’ordinateur où la commande est exécutée. Par exemple, si l’ordinateur est configuré pour utiliser le format de date courte jj/mm/aaaa, entrez 01/09/2018 pour spécifier le 1er septembre 2018. Vous pouvez entrer uniquement la date ou vous pouvez entrer la date et l'heure du jour. Si vous entrez la date et l’heure du jour, placez la valeur entre guillemets (), par exemple, « 01/09/2018 ».

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection