Visualizzare i report di sicurezza della posta elettronica nel portale di Microsoft Defender
Consiglio
Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
In tutte le organizzazioni di Microsoft 365 sono disponibili diversi report che consentono di vedere in che modo le funzionalità di sicurezza della posta elettronica proteggono l'organizzazione. Se si dispone delle autorizzazioni necessarie, è possibile visualizzare e scaricare questi report come descritto in questo articolo.
I report sono disponibili nel portale https://security.microsoft.com di Microsoft Defender nella pagina report di collaborazione Email & in Report>Email & report di collaborazione>Email & collaborazione. In alternativa, per passare direttamente alla pagina Email & report di collaborazione, usare https://security.microsoft.com/emailandcollabreport.
Le informazioni di riepilogo per ogni report sono disponibili nella pagina. Identificare il report da visualizzare e quindi selezionare Visualizza dettagli per il report.
Il resto di questo articolo descrive i report esclusivi di Defender per Office 365.
Nota
Alcuni report nella pagina Email & report di collaborazione sono esclusivi per Microsoft Defender per Office 365. Per informazioni su questi report, vedere Visualizzare i report Defender per Office 365 nel portale di Microsoft Defender.
I report correlati al flusso di posta sono ora disponibili nell'interfaccia di amministrazione di Exchange. Per altre informazioni su questi report, vedere Report sul flusso di posta nella nuova interfaccia di amministrazione di Exchange.
Un collegamento a questi report è disponibile nel portale di Defender in Report>Email & collaborazione>Email & report di> collaborazioneReport del flusso di posta di Exchange, che consente di passare a https://admin.exchange.microsoft.com/#/reports/mailflowreportsmain.
Email modifiche del report di sicurezza nel portale di Microsoft Defender
I report Exchange Online Protection (EOP) e Microsoft Defender per Office 365 nel portale di Microsoft Defender che sono stati sostituiti, spostati o deprecati sono descritti nella tabella seguente.
Report utenti compromessi
Il report Utenti compromessi mostra il numero di account utente contrassegnati come sospetti o con restrizioni negli ultimi 7 giorni. Gli account in uno di questi stati sono problematici o addirittura compromessi. Con l'uso frequente, è possibile usare il report per individuare i picchi, e anche le tendenze, in account sospetti o con restrizioni. Per altre informazioni sugli utenti compromessi, vedere Risposta a un account di posta elettronica compromesso.
La visualizzazione di aggregazione mostra i dati degli ultimi 90 giorni e la visualizzazione dettagli mostra i dati degli ultimi 30 giorni.
Nella pagina Email & report di collaborazione in https://security.microsoft.com/emailandcollabreportindividuare Utenti compromessi e quindi selezionare Visualizza dettagli. In alternativa, per passare direttamente al report, usare https://security.microsoft.com/reports/CompromisedUsers.
Nella pagina Utenti compromessi il grafico mostra le informazioni seguenti per l'intervallo di date specificato:
- Con restrizioni: all'account utente è stato impedito di inviare messaggi di posta elettronica a causa di modelli altamente sospetti.
- Sospetto: l'account utente ha inviato messaggi di posta elettronica sospetti ed è a rischio di essere limitato dall'invio di messaggi di posta elettronica.
La tabella dei dettagli sotto il grafico mostra le informazioni seguenti:
- Ora di creazione
- ID utente
- Azione
- Tag: per altre informazioni sui tag utente, vedere Tag utente.
Selezionare Filtro per modificare il report e la tabella dei dettagli selezionando uno o più dei valori seguenti nel riquadro a comparsa visualizzato:
- Data (UTC):data di inizio e data di fine.
- Attività: con restrizioni o sospette
- Tag: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Account con priorità. Per altre informazioni sui tag utente, vedere Tag utente.
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Nella pagina Utenti compromessi sono disponibili le azioni Crea pianificazione, Richiedi report ed Esporta.
Report delle regole di trasporto di Exchange
Nota
Il report delle regole di trasporto di Exchange è ora disponibile nell'interfaccia di amministrazione di Exchange. Per altre informazioni, vedere Report sulle regole di trasporto di Exchange nella nuova interfaccia di amministrazione di Exchange.
Report di inoltro
Nota
Questo report è ora disponibile nell'interfaccia di amministrazione di Exchange. Per altre informazioni, vedere Report messaggi inoltrati automaticamente nella nuova interfaccia di amministrazione di Exchange.
Report sullo stato del flusso di posta
Il report sullo stato del flusso di posta elettronica è un report intelligente che mostra informazioni sulla posta elettronica in ingresso e in uscita, rilevamenti di posta indesiderata, malware, posta elettronica identificata come "buona" e informazioni sulla posta elettronica consentita o bloccata sul perimetro. Questo è l'unico report che contiene informazioni sulla protezione perimetrale. Il report mostra la quantità di posta elettronica bloccata prima di accedere al servizio per l'esame da parte di Exchange Online Protection (EOP) o Defender per Microsoft 365.
Consiglio
Se un messaggio viene inviato a cinque destinatari, viene conteggiato come cinque messaggi diversi, non un messaggio.
Nella pagina Email & report di collaborazione in https://security.microsoft.com/emailandcollabreport, trovare Riepilogo dello stato del flusso di posta e quindi selezionare Visualizza dettagli. In alternativa, per passare direttamente al report, usare https://security.microsoft.com/reports/mailflowStatusReport.
Le visualizzazioni disponibili nel report stato flusso di posta sono descritte nelle sottosezioni seguenti.
Visualizzazione tipo per il report stato flusso di posta
Nella pagina Report stato flusso di posta la scheda Tipo è selezionata per impostazione predefinita. Il grafico mostra le informazioni seguenti per l'intervallo di date specificato:
- Malware: Email bloccato come malware da vari filtri.
- Totale
- Buona posta: Email che non è stato determinato come posta indesiderata o che è consentito dai criteri dell'utente o dell'organizzazione.
- Posta elettronica di phishing: Email bloccato come phishing da vari filtri.
- Spam: Email bloccato come posta indesiderata da vari filtri.
- Protezione perimetrale: Email rifiutata nel bordo/perimetro prima dell'esame da parte di EOP o Defender per Office 365.
- Messaggi di regola: Email messaggi messi in quarantena dalle regole del flusso di posta (note anche come regole di trasporto).
- Prevenzione della perdita di dati: Email messaggi messi in quarantena dai criteri di prevenzione della perdita dei dati.
La tabella dei dettagli sotto il grafico mostra le informazioni seguenti:
- Direzione
- Tipo
- 24 ore
- 3 giorni
- 7 giorni
- 15 giorni
- 30 giorni
Selezionare Filtro per modificare il report e la tabella dei dettagli selezionando uno o più dei valori seguenti nel riquadro a comparsa visualizzato:
- Data (UTC):data di inizio e data di fine.
- Direzione posta: selezionare In ingresso, In uscita e Intra-org.
-
Tipo: selezionare uno o più dei valori seguenti:
- Buona posta
- Malware
- Posta indesiderata
- Protezione perimetrale
- Messaggi di regola
- Posta di phishing
- Prevenzione della perdita di dati
- Dominio: selezionare Tutto o un dominio accettato.
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Nella scheda Tipo selezionare Scegli una categoria per altri dettagli per visualizzare altre informazioni:
- Posta elettronica di phishing: questa selezione consente di visualizzare i dati in base a Email > suddivisione phish e grafico in base alla tecnologia di rilevamento nel report sullo stato della protezione dalle minacce.
- Malware nella posta elettronica: questa selezione consente di visualizzare i dati Email > suddivisione malware e grafico in base alla tecnologia di rilevamento nel report sullo stato della protezione dalle minacce.
- Rilevamenti di posta indesiderata: questa selezione consente di visualizzare i dati in base a Email > la scomposizione posta indesiderata e il grafico in base alla tecnologia di rilevamento nel report sullo stato di protezione dalle minacce.
Nella scheda Tipo sono disponibili le azioni Crea pianificazione ed Esporta.
Visualizzazione direzione per il report sullo stato del flusso di posta
Nella scheda Direzione il grafico mostra le informazioni seguenti per l'intervallo di date specificato:
- Inbound
- All'interno dell'organizzazione
- In uscita
Selezionare Filtro per modificare il report e la tabella dei dettagli selezionando uno o più dei valori seguenti nel riquadro a comparsa visualizzato:
Data (UTC):data di inizio e data di fine.
Nota
Per visualizzare i dati per una data specifica, usare il giorno successivo. Ad esempio, per visualizzare i dati del 10 gennaio, usare l'11 gennaio nel filtro. I dati di oggi sono disponibili per il filtro di domani.
Direzione posta: selezionare In ingresso, In uscita e Intra-org.
Tipo: selezionare uno o più dei valori seguenti:
- Buona posta
- Malware
- Posta indesiderata
- Protezione perimetrale
- Messaggi di regola
- Posta di phishing
- Prevenzione della perdita di dati: Email messaggi messi in quarantena dai criteri di prevenzione della perdita dei dati.
Dominio: selezionare Tutto o un dominio accettato.
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Nella scheda Direzione selezionare Scegli una categoria per altri dettagli per visualizzare altre informazioni:
- Posta elettronica di phishing: questa selezione consente di visualizzare i dati in base a Email > suddivisione phish e grafico in base alla tecnologia di rilevamento nel report sullo stato della protezione dalle minacce.
- Malware nella posta elettronica: questa selezione consente di visualizzare i dati Email > suddivisione malware e grafico in base alla tecnologia di rilevamento nel report sullo stato della protezione dalle minacce.
- Rilevamenti di posta indesiderata: questa selezione consente di visualizzare i dati in base a Email > la scomposizione posta indesiderata e il grafico in base alla tecnologia di rilevamento nel report sullo stato di protezione dalle minacce.
Nella scheda Direzione sono disponibili le azioni Crea pianificazione ed Esporta.
Visualizzazione Flusso di posta per il report stato flusso di posta
La scheda Flusso di posta mostra come le funzionalità di protezione dalle minacce alla posta elettronica di Microsoft filtrano la posta elettronica in ingresso e in uscita nell'organizzazione. Questa vista usa un diagramma di flusso orizzontale (noto come diagramma Sankey ) per fornire dettagli sul numero totale di messaggi di posta elettronica e sul modo in cui le funzionalità di protezione dalle minacce influiscono su questo conteggio.
La vista di aggregazione e la vista tabella dei dettagli consentono 90 giorni di filtro.
Le informazioni nel diagramma sono codificate a colori da EOP e Defender per Office 365 tecnologie.
Il diagramma è organizzato nelle bande orizzontali seguenti:
- Banda di posta elettronica totale : questo valore viene sempre visualizzato per primo.
-
Blocco perimetrale e banda elaborata :
- Blocco edge: messaggi filtrati in corrispondenza del bordo e identificati come Protezione perimetrale.
- Elaborato: messaggi gestiti dallo stack di filtri.
- Banda risultati:
- Blocco di prevenzione della perdita dei dati
- Blocco di regole: messaggi messi in quarantena dalle regole del flusso di posta di Exchange (regole di trasporto).
- Blocco malware: messaggi identificati come malware.*
- Blocco di phishing: messaggi identificati come phishing.*
- Blocco posta indesiderata: messaggi identificati come posta indesiderata.*
- Blocco di rappresentazione: messaggi rilevati come rappresentazione utente o rappresentazione di dominio in Defender per Office 365.*
- Blocco detonazione: messaggi rilevati durante la detonazione di file o URL da criteri allegati sicuri o criteri di collegamenti sicuri in Defender per Office 365.*
- ZAP rimosso: messaggi rimossi da zero ore di eliminazione automatica (ZAP).*
- Recapitato: messaggi recapitati agli utenti a causa di un permesso.*
Se si passa il mouse su una banda orizzontale nel diagramma, viene visualizzato il numero di messaggi correlati.
* Se si seleziona questo elemento, il diagramma si espande per visualizzare altri dettagli. Per una descrizione di ogni elemento nei nodi espansi, vedere Tecnologie di rilevamento.
La tabella dei dettagli sotto il diagramma mostra le informazioni seguenti:
- Data (UTC)
- Totale messaggio di posta elettronica
- Bordo filtrato
- Messaggi di regola
- Motore antimalware, allegati sicuri, regola filtrata
- Rappresentazione DMARC, spoofing, phish filtrato
- Rilevamento detonazione
- Protezione dalla posta indesiderata filtrata
- ZAP rimosso
- Messaggi in cui non sono state rilevate minacce
Selezionare una riga nella tabella dei dettagli per visualizzare un'ulteriore suddivisione dei conteggi dei messaggi di posta elettronica nel riquadro a comparsa dei dettagli visualizzato.
Selezionare Filtro per modificare il report e la tabella dei dettagli selezionando uno o più dei valori seguenti nel riquadro a comparsa visualizzato:
- Data (UTC)Data di inizio e Data di fine.
- Direzione posta: selezionare In ingresso, In uscita e Intra-org.
- Dominio: selezionare Tutto o un dominio accettato.
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Nella scheda Flusso di posta selezionare Mostra tendenze per visualizzare i grafici delle tendenze nel riquadro a comparsa Tendenze flusso di posta visualizzato.
Nella scheda Flusso di posta è disponibile l'azione Esporta .
Report rilevamenti di malware
Nota
Questo report è stato deprecato. Le stesse informazioni sono disponibili nel report sullo stato della protezione dalle minacce.
Report di latenza della posta
Il report Latenza di posta in Defender per Office 365 contiene informazioni sul recapito della posta e sulla latenza di detonazione riscontrata all'interno dell'organizzazione. Per altre informazioni, vedere Report sulla latenza di posta.
Report attività post-recapito
Il report Attività post-recapito è disponibile solo nelle organizzazioni con Microsoft Defender per Office 365 Piano 2. Per informazioni sul report, vedere Report attività post-recapito.
Report sui rilevamenti della posta indesiderata
Nota
Questo report è stato deprecato. Le stesse informazioni sono disponibili nel report sullo stato della protezione dalle minacce.
Report rilevamenti spoofing
Il report Rilevamenti spoof mostra informazioni sui messaggi bloccati o consentiti a causa dello spoofing. Per altre informazioni sullo spoofing, vedere Protezione anti-spoofing in EOP.
Le visualizzazioni di aggregazione e dettagli del report consentono 90 giorni di filtro.
Nota
I dati disponibili più recenti nel report sono vecchi da 3 a 4 giorni.
Nella pagina Email & report di collaborazione in https://security.microsoft.com/emailandcollabreportindividuare i rilevamenti spoof e quindi selezionare Visualizza dettagli. In alternativa, per passare direttamente al report, usare https://security.microsoft.com/reports/SpoofMailReport.
Il grafico mostra le informazioni seguenti:
- Passare
- Fallire
- SoftPass
- Nessuna
- Altro
Passare il puntatore del mouse su un giorno (punto dati) nel grafico per vedere quanti messaggi spoofing sono stati rilevati e perché.
La tabella dei dettagli sotto il grafico mostra le informazioni seguenti:
Data
Utente con spoofing
Invio dell'infrastruttura
Tipo spoof
Risultato
Codice risultato
SPF
DKIM
DMARC
Numero di messaggi
Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:
- Scorrere orizzontalmente nel Web browser.
- Restringere la larghezza delle colonne appropriate.
- Ridurre lo zoom indietro nel Web browser.
Per altre informazioni sui codici dei risultati dell'autenticazione composita, vedere Intestazioni dei messaggi di protezione dalla posta indesiderata in Microsoft 365.
Selezionare Filtro per modificare il report e la tabella dei dettagli selezionando uno o più dei valori seguenti nel riquadro a comparsa visualizzato:
- Data (UTC)Data di inizio e data di fine
-
Risultato:
- Passare
- Fallire
- SoftPass
- Nessuna
- Altro
- Tipo spoof: interno ed esterno
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Nella pagina Report di posta spoof sono disponibili le azioni Crea pianificazione, Richiedi report ed Esporta.
Report invii
Il report Invii mostra informazioni sugli elementi che gli amministratori hanno segnalato a Microsoft per l'analisi degli ultimi 30 giorni. Per altre informazioni sugli invii di amministratori, vedere Usare Amministrazione invio per inviare messaggi di posta indesiderata, phishing, URL e file sospetti a Microsoft.
Nella pagina Email & report di collaborazione in https://security.microsoft.com/emailandcollabreportindividuare Invii e quindi selezionare Visualizza dettagli. In alternativa, per passare direttamente al report, usare https://security.microsoft.com/adminSubmissionReport.
Per passare direttamente alla pagina Invii nel portale di Defender, selezionare Vai agli invii.
Il grafico mostra le informazioni seguenti:
- In sospeso
- Operazione completata
La tabella dei dettagli sotto il grafico mostra le stesse informazioni e ha le stesse azioni disponibili della scheda Messaggi di posta elettronica nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=email:
- Personalizzare le colonne
- Gruppo
- Inviare a Microsoft per l'analisi
Per altre informazioni, vedere Visualizzare gli invii di amministratori di posta elettronica a Microsoft.
Selezionare Filtro per modificare il report e la tabella dei dettagli selezionando uno o più dei valori seguenti nel riquadro a comparsa visualizzato:
- Data di invio: data di inizio e data di fine
- ID invio
- ID messaggio di rete
- Mittente
- Destinatario
- Nome invio
- Inviato da
-
Motivo dell'invio:
- Non spazzatura
- Appare pulito
- Sembra sospetto
- Phishing
- Malware
- Posta indesiderata
-
Ripetere l'analisi dello stato:
- In sospeso
- Operazione completata
- Tag: tutti o uno o più tag utente.
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Nella pagina Invii è disponibile l'azione Esporta .
Report dello stato di protezione dalle minacce
Il report sullo stato di Protezione dalle minacce è disponibile sia in EOP che in Defender per Office 365. Tuttavia, i report contengono dati diversi. Ad esempio, i clienti EOP possono visualizzare informazioni sul malware rilevato nella posta elettronica, ma non informazioni sui file dannosi rilevati da Allegati sicuri per SharePoint, OneDrive e Microsoft Teams.
Il report fornisce il conteggio dei messaggi di posta elettronica con contenuto dannoso. Ad esempio:
- File o indirizzi di siti Web (URL) bloccati dal motore antimalware.
- File o messaggi interessati dall'eliminazione automatica a zero ore (ZAP)
- File o messaggi bloccati dalle funzionalità di Defender per Office 365: collegamenti sicuri, allegati sicuri e funzionalità di protezione della rappresentazione nei criteri anti-phishing.
È possibile usare le informazioni contenute in questo report per identificare le tendenze o determinare se i criteri dell'organizzazione devono essere rettificati.
Consiglio
se un messaggio viene inviato a cinque destinatari, viene conteggiato come cinque messaggi diversi, non un messaggio.
Nella pagina Email & report di collaborazione in https://security.microsoft.com/emailandcollabreportindividuare Invii e quindi selezionare Visualizza dettagli. In alternativa, per passare direttamente al report, usare uno degli URL seguenti:
- Defender per Office 365:https://security.microsoft.com/reports/TPSAggregateReportATP
- EOP: https://security.microsoft.com/reports/TPSAggregateReport
Per impostazione predefinita, il grafico mostra i dati degli ultimi sette giorni. Selezionare Filtro nella pagina Del report sullo stato della protezione dalle minacce per selezionare un intervallo di date di 90 giorni (le sottoscrizioni di valutazione potrebbero essere limitate a 30 giorni). La tabella dei dettagli consente di filtrare per 30 giorni.
Le visualizzazioni disponibili sono descritte nelle sottosezioni seguenti.
Visualizzare i dati in base alla panoramica
Nella visualizzazione Visualizza dati per panoramica nel grafico vengono visualizzate le informazioni di rilevamento seguenti:
- Email malware
- Email phish
- Email posta indesiderata
- Malware per il contenuto (solo Defender per Office 365: file rilevati dalla protezione antivirus predefinita in SharePoint Online, OneDrive e Microsoft Teams e allegati sicuri per SharePoint, OneDrive e Microsoft Teams)
Sotto il grafico non è disponibile alcuna tabella dei dettagli.
Selezionare Filtro per modificare il report selezionando uno o più dei valori seguenti nel riquadro a comparsa che si apre:
- Data (UTC)Data di inizio e Data di fine.
- Rilevamento: gli stessi valori del grafico.
- Protetto da: MDO (Defender per Office 365) ed EOP.
- Tag: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Account con priorità. Per altre informazioni sui tag utente, vedere Tag utente.
- Direzione: lasciare il valore All o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Inbound, Outbound o Intra-org.
- Dominio: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare un dominio accettato.
-
Tipo di criterio: lasciare il valore All o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare uno dei valori seguenti:
- Antimalware
- Allegati sicuri
- Anti-phish
- Protezione dalla posta indesiderata
- Regola flusso di posta (regola di trasporto)
- Altri
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Visualizzare i dati per Email > suddivisione di phish e grafico in base alla tecnologia di rilevamento
Nota
Nel maggio 2021, i rilevamenti di phishing nella posta elettronica sono stati aggiornati per includere gli allegati dei messaggi che contengono URL di phishing. Questa modifica potrebbe spostare parte del volume di rilevamento fuori dalla visualizzazione Visualizza dati Email > Malware e nella visualizzazione Visualizza dati in base Email > visualizzazione Phish. In altre parole, gli allegati dei messaggi con URL di phishing tradizionalmente identificati come malware ora potrebbero essere identificati come phishing.
Nella visualizzazione Visualizza dati per Email > suddivisione phish e grafico per tecnologia di rilevamento, nel grafico vengono visualizzate le informazioni seguenti:
- Filtro avanzato: segnali di phishing basati su Machine Learning.
- Campagna*: messaggi identificati come parte di una campagna.
- Detonazione dei* file: allegati sicuri hanno rilevato un allegato dannoso durante l'analisi della detonazione.
- Reputazione *di detonazione dei file: allegati di file precedentemente rilevati da detonazioni di allegati sicuri in altre organizzazioni di Microsoft 365.
- Reputazione file: il messaggio contiene un file identificato in precedenza come dannoso in altre organizzazioni di Microsoft 365.
- Corrispondenza delle impronte digitali: il messaggio è simile a un messaggio dannoso rilevato in precedenza.
- Filtro generale: segnali di phishing basati sulle regole degli analisti.
- Marchio di rappresentazione: mittente rappresentazione di marchi noti.
- Dominio di* rappresentazione: Rappresentazione dei domini mittente di cui si è proprietari o specificati per la protezione nei criteri anti-phishing.
- Utente di rappresentazione*: Rappresentazione di mittenti protetti specificati nei criteri anti-phishing o appresi tramite l'intelligence per le cassette postali.
- Rappresentazione *dell'intelligence per le cassette postali: rilevamenti di rappresentazione dall'intelligence delle cassette postali nei criteri anti-phishing.
- Rilevamento analisi mista: più filtri hanno contribuito al verdetto del messaggio.
- Spoof DMARC: il messaggio non è riuscito con l'autenticazione DMARC.
- Dominio esterno spoofing: spoofing dell'indirizzo di posta elettronica del mittente usando un dominio esterno all'organizzazione.
- Spoof all'interno dell'organizzazione: spoofing dell'indirizzo di posta elettronica del mittente usando un dominio interno all'organizzazione.
- Detonazione dell'URL*: i collegamenti sicuri hanno rilevato un URL dannoso nel messaggio durante l'analisi della detonazione.
- Reputazione *della detonazione degli URL: URL rilevati in precedenza da detonazioni di Collegamenti sicuri in altre organizzazioni di Microsoft 365.
- Reputazione dannosa dell'URL: il messaggio contiene un URL identificato in precedenza come dannoso in altre organizzazioni di Microsoft 365.
*solo Defender per Office 365
Nella tabella dei dettagli sotto il grafico sono disponibili le informazioni seguenti:
- Data
- Oggetto
- Mittente
- Destinatari
- Tecnologia di rilevamento: gli stessi valori della tecnologia di rilevamento del grafico.
- Stato del recapito
- Indirizzo IP mittente
- Tag: per altre informazioni sui tag utente, vedere Tag utente.
Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:
- Scorrere orizzontalmente nel Web browser.
- Restringere la larghezza delle colonne appropriate.
- Ridurre lo zoom indietro nel Web browser.
Selezionare Filtro per modificare il report selezionando uno o più dei valori seguenti nel riquadro a comparsa che si apre:
- Data (UTC):data di inizio e data di fine
- Rilevamento: gli stessi valori del grafico.
- Protezione dell'account con priorità: Sì e No. Per altre informazioni, vedere Configurare ed esaminare la protezione degli account con priorità in Microsoft Defender per Office 365.
- Valutazione: Sì o No.
- Protetto da: MDO (Defender per Office 365) ed EOP
- Direzione: lasciare il valore All o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Inbound, Outbound o Intra-org.
- Tag: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Account con priorità. Per altre informazioni sui tag utente, vedere Tag utente.
- Dominio: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare un dominio accettato.
-
Tipo di criterio: selezionare Tutti o uno dei valori seguenti:
- Antimalware
- Allegati sicuri
- Anti-phish
- Protezione dalla posta indesiderata
- Regola flusso di posta (regola di trasporto)
- Altri
- Nome criterio (solo visualizzazione tabella dettagli): selezionare Tutto o un criterio specifico.
- Destinatari (separati da virgole)
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Se si seleziona una voce dalla tabella dei dettagli facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, verrà visualizzato un riquadro a comparsa dei dettagli del messaggio di posta elettronica. Questo riquadro a comparsa dei dettagli è noto come pannello di riepilogo Email e contiene informazioni riepilogative disponibili anche nella pagina dell'entità Email in Defender per Office 365 per il messaggio. Per informazioni dettagliate sulle informazioni nel pannello di riepilogo Email, vedere Il pannello di riepilogo Email.
In Defender per Microsoft 365 sono disponibili le azioni seguenti nella parte superiore del pannello di riepilogo Email per il report sullo stato della protezione dalle minacce:
- Aprire l'entità di posta elettronica: per altre informazioni, vedere La pagina dell'entità Email in Microsoft Defender per Office 365.
- Azione: per informazioni, vedere Ricerca delle minacce: Procedura guidata Esegui azione.
Nella pagina Stato di Protezione dalle minacce sono disponibili le azioni Crea pianificazione, Richiedi report ed Esporta.
Visualizzare i dati in base Email > spamming e suddivisione del grafico in base alla tecnologia di rilevamento
Nella visualizzazione Visualizza dati per Email > Posta indesiderata e Grafico in base alla visualizzazione Tecnologia di rilevamento, nel grafico vengono visualizzate le informazioni seguenti:
- Filtro avanzato: segnali di phishing basati su Machine Learning.
- Bulk: il livello di reclamo bulk (BCL) del messaggio supera la soglia definita per la posta indesiderata.
- Reputazione del dominio: il messaggio proviene da un dominio identificato in precedenza come invio di posta indesiderata in altre organizzazioni di Microsoft 365.
- Corrispondenza delle impronte digitali: il messaggio è simile a un messaggio dannoso rilevato in precedenza.
- Filtro generale
- Reputazione IP: il messaggio proviene da un'origine precedentemente identificata come invio di posta indesiderata in altre organizzazioni di Microsoft 365.
- Rilevamento analisi mista: più filtri hanno contribuito al verdetto per il messaggio.
- Reputazione dannosa dell'URL: il messaggio contiene un URL identificato in precedenza come dannoso in altre organizzazioni di Microsoft 365.
Nella tabella dei dettagli sotto il grafico sono disponibili le informazioni seguenti:
- Data
- Oggetto
- Mittente
- Destinatari
- Tecnologia di rilevamento: gli stessi valori della tecnologia di rilevamento del grafico.
- Stato del recapito
- Indirizzo IP mittente
- Tag: per altre informazioni sui tag utente, vedere Tag utente.
Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:
- Scorrere orizzontalmente nel Web browser.
- Restringere la larghezza delle colonne appropriate.
- Ridurre lo zoom indietro nel Web browser.
Selezionare Filtro per modificare il report selezionando uno o più dei valori seguenti nel riquadro a comparsa che si apre:
Data (UTC)Data di inizio e data di fine
Rilevamento: gli stessi valori del grafico.
Livello di reclamo bulk: quando il valore di rilevamentoBulk è selezionato, il dispositivo di scorrimento è disponibile per filtrare il report in base all'intervallo BCL selezionato. È possibile usare queste informazioni per confermare o modificare la soglia BCL nei criteri di protezione dalla posta indesiderata per consentire più o meno messaggi di posta elettronica in blocco nell'organizzazione.
Se il valore Rilevamentobulk non è selezionato, il dispositivo di scorrimento è disattivato e i rilevamenti bulk non sono inclusi nel report.
Protezione dell'account con priorità: Sì e No. Per altre informazioni, vedere Configurare ed esaminare la protezione degli account con priorità in Microsoft Defender per Office 365.
Direzione: tutti o immettere Inbound, Outbound e Intra-org.
Direzione: lasciare il valore All o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Inbound, Outbound o Intra-org.
Tag: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Account con priorità. Per altre informazioni sui tag utente, vedere Tag utente.
Dominio: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare un dominio accettato.
Tipo di criterio: selezionare Tutti o uno dei valori seguenti:
- Antimalware
- Allegati sicuri
- Anti-phish
- Protezione dalla posta indesiderata
- Regola flusso di posta (regola di trasporto)
- Altri
Nome criterio (solo visualizzazione tabella dettagli): selezionare Tutto o un criterio specifico.
Destinatari
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Se si seleziona una voce dalla tabella dei dettagli facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, verrà visualizzato un riquadro a comparsa dei dettagli del messaggio di posta elettronica. Questo riquadro a comparsa dei dettagli è noto come pannello di riepilogo Email e contiene informazioni riepilogative disponibili anche nella pagina dell'entità Email in Defender per Office 365 per il messaggio. Per informazioni dettagliate sulle informazioni nel pannello di riepilogo Email, vedere Il pannello di riepilogo Email.
In Defender per Microsoft 365 sono disponibili le azioni seguenti nella parte superiore del pannello di riepilogo Email per il report sullo stato della protezione dalle minacce:
- Aprire l'entità di posta elettronica: per altre informazioni, vedere La pagina dell'entità Email in Microsoft Defender per Office 365.
- Azione: per informazioni, vedere Ricerca delle minacce: Procedura guidata Esegui azione.
Nella pagina Stato di Protezione dalle minacce sono disponibili le azioni Crea pianificazione, Richiedi report ed Esporta.
Visualizzare i dati in base alla suddivisione Email > malware e grafico in base alla tecnologia di rilevamento
Nota
Nel maggio 2021, i rilevamenti di malware nella posta elettronica sono stati aggiornati per includere URL dannosi negli allegati dei messaggi. Questa modifica potrebbe spostare parte del volume di rilevamento dalla visualizzazione Visualizza dati Email > visualizzazione Phish e nella visualizzazione Visualizza dati da Email > Malware. In altre parole, gli URL dannosi negli allegati dei messaggi tradizionalmente identificati come phishing ora potrebbero essere identificati come malware.
Nella visualizzazione Visualizza dati per Email > malware e grafico in base alla visualizzazione Tecnologia di rilevamento, nel grafico vengono visualizzate le informazioni seguenti:
- Detonazione dei* file: allegati sicuri hanno rilevato un allegato dannoso durante l'analisi della detonazione.
- Reputazione *di detonazione dei file: allegati di file precedentemente rilevati da detonazioni di allegati sicuri in altre organizzazioni di Microsoft 365.
- Reputazione file: il messaggio contiene un file identificato in precedenza come dannoso in altre organizzazioni di Microsoft 365.
- Motore *antimalware: rilevamento da antimalware.
- Reputazione dannosa dell'URL
- Detonazione dell'URL*: i collegamenti sicuri hanno rilevato un URL dannoso nel messaggio durante l'analisi della detonazione.
- Reputazione *della detonazione degli URL: URL rilevati in precedenza da detonazioni di Collegamenti sicuri in altre organizzazioni di Microsoft 365.
- Campagna*: messaggi identificati come parte di una campagna.
*solo Defender per Office 365
Nella tabella dei dettagli sotto il grafico sono disponibili le informazioni seguenti:
Data
Oggetto
Mittente
Destinatari
Tecnologia di rilevamento: gli stessi valori della tecnologia di rilevamento del grafico.
Stato recapito
Indirizzo IP mittente
Tag: per altre informazioni sui tag utente, vedere Tag utente.
Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:
- Scorrere orizzontalmente nel Web browser.
- Restringere la larghezza delle colonne appropriate.
- Ridurre lo zoom indietro nel Web browser.
Selezionare Filtro per modificare il report selezionando uno o più dei valori seguenti nel riquadro a comparsa che si apre:
- Data (UTC)Data di inizio e data di fine
- Rilevamento: gli stessi valori del grafico.
- Protezione dell'account con priorità: Sì e No. Per altre informazioni, vedere Configurare ed esaminare gli account con priorità in Microsoft Defender per Office 365.
- Valutazione: Sì o No.
- Protetto da: MDO (Defender per Office 365) ed EOP
- Direzione: lasciare il valore All o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Inbound, Outbound o Intra-org.
- Tag: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Account con priorità. Per altre informazioni sui tag utente, vedere Tag utente.
- Dominio: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare un dominio accettato.
-
Tipo di criterio: selezionare Tutti o uno dei valori seguenti:
- Antimalware
- Allegati sicuri
- Anti-phish
- Protezione dalla posta indesiderata
- Regola flusso di posta (regola di trasporto)
- Altri
- Nome criterio (solo visualizzazione tabella dettagli): selezionare Tutto o un criterio specifico.
- Destinatari (separati da virgole)
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Se si seleziona una voce dalla tabella dei dettagli facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, verrà visualizzato un riquadro a comparsa dei dettagli del messaggio di posta elettronica. Questo riquadro a comparsa dei dettagli è noto come pannello di riepilogo Email e contiene informazioni riepilogative disponibili anche nella pagina dell'entità Email in Defender per Office 365 per il messaggio. Per informazioni dettagliate sulle informazioni nel pannello di riepilogo Email, vedere Il pannello di riepilogo Email.
In Defender per Microsoft 365 sono disponibili le azioni seguenti nella parte superiore del pannello di riepilogo Email per il report sullo stato della protezione dalle minacce:
- Aprire l'entità di posta elettronica: per altre informazioni, vedere La pagina dell'entità Email in Microsoft Defender per Office 365.
- Azione: per informazioni, vedere Ricerca delle minacce: Procedura guidata Esegui azione.
Nella pagina Stato di Protezione dalle minacce sono disponibili le azioni Crea pianificazione, Richiedi report ed Esporta.
Suddivisione del grafico in base al tipo di criterio
Nelle visualizzazioni Visualizza dati per Email > Phish, Visualizza dati in base Email > Posta indesiderata o Visualizza dati in base Email alle > visualizzazioni Malware, selezionando Suddivisione grafico per tipo di criterio vengono visualizzate le informazioni seguenti nel grafico:
- Antimalware
- Allegati sicuri*
- Anti-phish
- Protezione dalla posta indesiderata
- Regola del flusso di posta (nota anche come regola di trasporto)
- Altri
Nella tabella dei dettagli sotto il grafico sono disponibili le informazioni seguenti:
Data
Oggetto
Mittente
Destinatari
Tecnologia di rilevamento: gli stessi valori della tecnologia di rilevamento del grafico.
Stato del recapito
Indirizzo IP mittente
Tag: per altre informazioni sui tag utente, vedere Tag utente.
Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:
- Scorrere orizzontalmente nel Web browser.
- Restringere la larghezza delle colonne appropriate.
- Ridurre lo zoom indietro nel Web browser.
Selezionare Filtro per modificare il report selezionando uno o più dei valori seguenti nel riquadro a comparsa che si apre:
- Data (UTC)Data di inizio e data di fine
- Rilevamento: valori della tecnologia di rilevamento come descritto in precedenza in questo articolo e in Tecnologie di rilevamento.
- Protezione dell'account con priorità: Sì e No. Per altre informazioni, vedere Configurare ed esaminare gli account con priorità in Microsoft Defender per Office 365.
- Valutazione: Sì o No.
- Protetto da: MDO (Defender per Office 365) ed EOP
- Direzione: lasciare il valore All o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Inbound, Outbound o Intra-org.
- Tag: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Account con priorità. Per altre informazioni sui tag utente, vedere Tag utente.
- Dominio: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare un dominio accettato.
-
Tipo di criterio: selezionare Tutti o uno dei valori seguenti:
- Antimalware
- Allegati sicuri
- Anti-phish
- Protezione dalla posta indesiderata
- Regola flusso di posta (regola di trasporto)
- Altri
- Nome criterio (solo visualizzazione tabella dettagli): selezionare Tutto o un criterio specifico.
- Destinatari (separati da virgole)
*solo Defender per Office 365
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Se si seleziona una voce dalla tabella dei dettagli facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, verrà visualizzato un riquadro a comparsa dei dettagli del messaggio di posta elettronica. Questo riquadro a comparsa dei dettagli è noto come pannello di riepilogo Email e contiene informazioni riepilogative disponibili anche nella pagina dell'entità Email in Defender per Office 365 per il messaggio. Per informazioni dettagliate sulle informazioni nel pannello di riepilogo Email, vedere Il pannello di riepilogo Email.
In Defender per Microsoft 365 sono disponibili le azioni seguenti nella parte superiore del pannello di riepilogo Email per il report sullo stato della protezione dalle minacce:
- Aprire l'entità di posta elettronica: per altre informazioni, vedere La pagina dell'entità Email in Microsoft Defender per Office 365.
- Azione: per informazioni, vedere Ricerca delle minacce: Procedura guidata Esegui azione.
Nella pagina Stato di Protezione dalle minacce sono disponibili le azioni Crea pianificazione, Richiedi report ed Esporta.
Suddivisione del grafico in base allo stato del recapito
Nelle visualizzazioni Visualizza dati per Email > Phish, Visualizza dati in base Email > Posta indesiderata o Visualizza dati in base Email alle > visualizzazioni Malware, selezionando Suddivisione grafico per stato recapito vengono visualizzate le informazioni seguenti nel grafico:
- Cassetta postale ospitata: Posta in arrivo
- Cassetta postale ospitata: Posta indesiderata
- Cassetta postale ospitata: cartella personalizzata
- Cassetta postale ospitata: Elementi eliminati
- Inoltrato
- Server locale: recapitato
- Quarantena
- Recapito non riuscito
- Caduto
Nella tabella dei dettagli sotto il grafico sono disponibili le informazioni seguenti:
Data
Oggetto
Mittente
Destinatari
Tecnologia di rilevamento: gli stessi valori della tecnologia di rilevamento del grafico.
Stato del recapito
Indirizzo IP mittente
Tag: per altre informazioni sui tag utente, vedere Tag utente.
Per visualizzare tutte le colonne, è probabile che sia necessario eseguire una o più delle operazioni seguenti:
- Scorrere orizzontalmente nel Web browser.
- Restringere la larghezza delle colonne appropriate.
- Ridurre lo zoom indietro nel Web browser.
Selezionare Filtro per modificare il report selezionando uno o più dei valori seguenti nel riquadro a comparsa che si apre:
- Data (UTC)Data di inizio e data di fine
- Rilevamento: valori della tecnologia di rilevamento come descritto in precedenza in questo articolo e in Tecnologie di rilevamento.
- Protetto da: MDO (Defender per Office 365) ed EOP
- Direzione: lasciare il valore All o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Inbound, Outbound o Intra-org.
- Tag: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Account con priorità. Per altre informazioni sui tag utente, vedere Tag utente.
- Dominio: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare un dominio accettato.
-
Tipo di criterio: selezionare Tutti o uno dei valori seguenti:
- Antimalware
- Allegati sicuri
- Anti-phish
- Protezione dalla posta indesiderata
- Regola flusso di posta (regola di trasporto)
- Altri
- Nome criterio (solo visualizzazione tabella dettagli): selezionare Tutto o un criterio specifico.
- Destinatari (separati da virgole)
*solo Defender per Office 365
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Se si seleziona una voce dalla tabella dei dettagli facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna, verrà visualizzato un riquadro a comparsa dei dettagli del messaggio di posta elettronica. Questo riquadro a comparsa dei dettagli è noto come pannello di riepilogo Email e contiene informazioni riepilogative disponibili anche nella pagina dell'entità Email in Defender per Office 365 per il messaggio. Per informazioni dettagliate sulle informazioni nel pannello di riepilogo Email, vedere Il pannello di riepilogo Email.
In Defender per Microsoft 365 sono disponibili le azioni seguenti nella parte superiore del pannello di riepilogo Email per il report sullo stato della protezione dalle minacce:
- Aprire l'entità di posta elettronica: per altre informazioni, vedere La pagina dell'entità Email in Microsoft Defender per Office 365.
- Azione: per informazioni, vedere Ricerca delle minacce: Procedura guidata Esegui azione.
Nella pagina Stato di Protezione dalle minacce sono disponibili le azioni Crea pianificazione, Richiedi report ed Esporta.
Visualizzare i dati in base al malware per il contenuto >
Nella visualizzazione View data by Content Malware (Visualizza dati per malware contenuto>) vengono visualizzate le informazioni seguenti nel grafico per le organizzazioni Microsoft Defender per Office 365:
- Motore antimalware: file dannosi rilevati in SharePoint, OneDrive e Microsoft Teams dal rilevamento di virus incorporato in Microsoft 365.
- MDO detonazione: file dannosi rilevati da allegati sicuri per SharePoint, OneDrive e Microsoft Teams.
- Reputazione file: il messaggio contiene un file identificato in precedenza come dannoso in altre organizzazioni di Microsoft 365.
Nella tabella dei dettagli sotto il grafico sono disponibili le informazioni seguenti:
- Data
- Nome file allegato
- Carico di lavoro
- Tecnologia di rilevamento: gli stessi valori della tecnologia di rilevamento del grafico.
- Dimensioni file
- Ultima modifica utente
Selezionare Filtro per modificare il report selezionando uno o più dei valori seguenti nel riquadro a comparsa che si apre:
- Data (UTC)Data di inizio e Data di fine.
- Rilevamento: gli stessi valori del grafico.
- Carico di lavoro: Teams, SharePoint e OneDrive
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Nella pagina Stato di Protezione dalle minacce è disponibile l'azione Esporta .
Visualizzare i dati in base all'override del sistema e alla suddivisione del grafico per motivo
Nella visualizzazione View data by System override and Chart breakdown by Reason (Visualizza dati in base all'override di sistema) e Chart breakdown by Reason (Visualizzazione dati per override di sistema) nel grafico vengono visualizzate le informazioni seguenti sul motivo dell'override:
- Prevenzione della perdita dei dati: Email messaggi messi in quarantena dai criteri di prevenzione della perdita dei dati.
- Regola di trasporto di Exchange
- Impostazione esclusiva (Outlook)
- Consenti IP
- Skip locale
- Domini consentiti dall'organizzazione: il dominio viene specificato nell'elenco dei domini consentiti in un criterio di protezione dalla posta indesiderata.
- Mittenti consentiti dall'organizzazione: il mittente viene specificato nell'elenco mittenti consentiti in un criterio di protezione dalla posta indesiderata.
- Simulazione di phishing: per altre informazioni, vedere Configurare il recapito di simulazioni di phishing di terze parti agli utenti e messaggi non filtrati alle cassette postali SecOps.
- Elenco di domini del mittente
- TABL - Sia l'URL che il file sono consentiti
- TABL - File consentito
- TABL - File bloccato
- TABL - URL consentito
- TABL - URL bloccato
- TABL Sender email address Allow
- Blocco di indirizzi di posta elettronica del mittente TABL
- Blocco spoof TABL
- Filtro di terze parti
- Elenco contatti attendibili - Mittente nella Rubrica
- Elenco indirizzi destinatari attendibili
- Elenco di domini destinatari attendibili
- Elenco mittenti attendibili (Outlook)
- Dominio sicuro per l'utente
- Mittente sicuro per l'utente
- ZAP non abilitato
Nella tabella dei dettagli sotto il grafico sono disponibili le informazioni seguenti:
- Data
- Oggetto
- Mittente
- Destinatari
- Sostituzione del sistema
- Indirizzo IP mittente
- Tag: per altre informazioni sui tag utente, vedere Tag utente.
Selezionare Filtro per modificare il report selezionando uno o più dei valori seguenti nel riquadro a comparsa che si apre:
- Data (UTC)Data di inizio e data di fine
- Motivo: gli stessi valori del grafico.
- Percorso recapito: cartella Posta indesiderata non abilitata e cassetta postale SecOps.
- Direzione: lasciare il valore All o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Inbound, Outbound o Intra-org.
- Tag: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Account con priorità. Per altre informazioni sui tag utente, vedere Tag utente.
- Dominio: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare un dominio accettato.
-
Tipo di criterio: selezionare Tutti o uno dei valori seguenti:
- Antimalware
- Allegati sicuri
- Anti-phish
- Protezione dalla posta indesiderata
- Regola flusso di posta (regola di trasporto)
- Altri
- Nome criterio (solo visualizzazione tabella dettagli): selezionare Tutto o un criterio specifico.
- Destinatari (separati da virgole)
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Nella pagina Stato di Protezione dalle minacce è disponibile l'azione Esporta .
Visualizzare i dati in base all'override del sistema e alla suddivisione del grafico in base alla posizione di recapito
Nella visualizzazione Visualizza dati per override di sistema e Suddivisione del grafico per località di recapito , nel grafico vengono visualizzate le informazioni seguenti sul motivo dell'override:
- Cartella Posta indesiderata non abilitata
- Cassetta postale SecOps: per altre informazioni, vedere Configurare il recapito di simulazioni di phishing di terze parti agli utenti e messaggi non filtrati alle cassette postali SecOps.
Nella tabella dei dettagli sotto il grafico sono disponibili le informazioni seguenti:
- Data
- Oggetto
- Mittente
- Destinatari
- Sostituzione del sistema
- Indirizzo IP mittente
- Tag: per altre informazioni sui tag utente, vedere Tag utente.
Selezionare Filtro per modificare il report selezionando uno o più dei valori seguenti nel riquadro a comparsa che si apre:
- Data (UTC)Data di inizio e data di fine
- Motivo: gli stessi valori della suddivisione grafico per tipo di criterio
- Percorso recapito: cartella Posta indesiderata non abilitata e cassetta postale SecOps.
- Direzione: lasciare il valore All o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Inbound, Outbound o Intra-org.
- Tag: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Account con priorità. Per altre informazioni sui tag utente, vedere Tag utente.
- Dominio: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare un dominio accettato.
-
Tipo di criterio: selezionare Tutti o uno dei valori seguenti:
- Antimalware
- Allegati sicuri
- Anti-phish
- Protezione dalla posta indesiderata
- Regola flusso di posta (regola di trasporto)
- Altri
- Nome criterio (solo visualizzazione tabella dettagli): selezionare Tutto o un criterio specifico.
- Destinatari (separati da virgole)
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Nella pagina Stato di Protezione dalle minacce è disponibile l'azione Esporta .
Report malware principale
Il report malware top mostra i vari tipi di malware che è stato rilevato dalla protezione anti-malware in EOP.
Nella pagina Email & report di collaborazione in https://security.microsoft.com/emailandcollabreportindividuare Malware principale.
Passare il puntatore del mouse su un cuneo nel grafico a torta per visualizzare il nome del malware e quanti messaggi contenevano il malware.
Selezionare Visualizza dettagli per passare alla pagina Top malware report (Top malware report ). In alternativa, per passare direttamente al report, usare https://security.microsoft.com/reports/TopMalware.
Nella pagina Report malware superiore viene visualizzata una versione più grande del grafico a torta. La tabella dei dettagli sotto il grafico mostra le seguenti informazioni:
- Malware principale: il nome del malware
- Conteggio: quanti messaggi contenevano il malware.
Selezionare Filtra per modificare il report selezionando i valori Data inizio e Data di fine nel riquadro a comparsa aperto.
Nella pagina Malware principale sono disponibili le azioni Crea pianificazione ed Esportazione.
Report mittenti e destinatari principali
Il report Mittenti e destinatari principali è disponibile sia in EOP che in Defender per Office 365. Tuttavia, i report contengono dati diversi. Ad esempio, i clienti EOP possono visualizzare informazioni sui principali destinatari di malware, posta indesiderata e phishing (spoofing), ma non informazioni sul malware rilevato da allegati sicuri o phishing rilevato dalla protezione dalla rappresentazione.
Il report Mittenti e destinatari principali mostra i primi 20 mittenti dell'organizzazione, nonché i primi 20 destinatari per i messaggi rilevati da EOP e le funzionalità di protezione Defender per Office 365. Per impostazione predefinita, il report mostra i dati dell'ultima settimana, ma i dati sono disponibili per gli ultimi 90 giorni.
Nella pagina Email & report di collaborazione in https://security.microsoft.com/emailandcollabreportindividuare i mittenti e i destinatari principali.
Passare il puntatore del mouse su un cuneo nel grafico a torta per visualizzare il numero di messaggi per il mittente o il destinatario.
Selezionare Visualizza dettagli per passare alla pagina Mittenti e destinatari principali . In alternativa, per passare direttamente al report, usare uno degli URL seguenti:
- Defender per Office 365:https://security.microsoft.com/reports/TopSenderRecipientsATP
- EOP: https://security.microsoft.com/reports/TopSenderRecipient
Nella pagina Mittenti e destinatari principali viene visualizzata una versione più grande del grafico a torta. Sono disponibili i grafici seguenti:
- Visualizzare i dati per i mittenti di posta elettronica principali (visualizzazione predefinita)
- Visualizzare i dati per i destinatari di posta elettronica principali
- Visualizzare i dati per i principali destinatari della posta indesiderata
- Visualizzare i dati per i principali destinatari di malware (EOP)
- Visualizzare i dati per i principali destinatari di phishing
- Visualizzare i dati per i principali destinatari di malware (MDO)
- Visualizzare i dati per i principali destinatari di phish (MDO)
- Visualizzare i dati per i mittenti di posta intra.org principali
- Visualizzare i dati per i destinatari di posta intra.org principali
- Visualizzare i dati per i destinatari principali intra.org posta indesiderata
- Visualizzare i dati per i principali destinatari di malware intra.org
- Visualizzare i dati per i principali destinatari del phishing intra.org
- Visualizzare i dati per i principali destinatari di phishing intra.org (MDO)
- Visualizzare i dati per i principali destinatari di malware intra.org (MDO)
Passare il puntatore del mouse su un cuneo nel grafico a torta per visualizzare il conteggio dei messaggi per il mittente o il destinatario specifico.
Per ogni grafico, la tabella dei dettagli sotto il grafico mostra le informazioni seguenti:
- Indirizzo di posta elettronica
- Numero elementi
- Tag: per altre informazioni sui tag utente, vedere Tag utente.
Selezionare Filtro per modificare il report selezionando uno o più dei valori seguenti nel riquadro a comparsa che si apre:
- Data (UTC)Data di inizio e data di fine
- Tag: lasciare il valore Tutto o rimuoverlo, fare doppio clic nella casella vuota e quindi selezionare Account con priorità. Per altre informazioni sui tag utente, vedere Tag utente.
Al termine della configurazione dei filtri, seleziona Applica, Annulla o Cancella filtri.
Nella pagina Mittenti e destinatari principali è disponibile l'azione Esporta .
Report protezione URL
Il report protezione URL è disponibile solo in Microsoft Defender per Office 365. Per altre informazioni, vedere Report sulla protezione degli URL.
Report dei messaggi segnalati dall'utente
Importante
Affinché il report Messaggi segnalati dall'utente funzioni correttamente, la registrazione di controllo deve essere attivata nell'organizzazione di Microsoft 365 (è attivata per impostazione predefinita). Per altre informazioni, vedere Attivare o disattivare il controllo.
Il report Messaggi segnalati dall'utente mostra informazioni sui messaggi di posta elettronica segnalati dagli utenti come messaggi di posta indesiderata, tentativi di phishing o messaggi di posta elettronica validi usando il pulsante Report predefinito in Outlook o i componenti aggiuntivi Microsoft Report Message o Report Phishing.
Nella pagina Email & report di collaborazione in https://security.microsoft.com/emailandcollabreportindividuare Messaggi segnalati dall'utente e quindi selezionare Visualizza dettagli. In alternativa, per passare direttamente al report, usare https://security.microsoft.com/reports/userSubmissionReport.
Per passare direttamente alla scheda Utente segnalato nella pagina Invii nel portale di Defender, selezionare Vai agli invii.
Il grafico mostra le informazioni seguenti:
- Non spazzatura
- Phishing
- Posta indesiderata
La tabella dei dettagli sotto il grafico mostra le stesse informazioni e ha le stesse azioni disponibili nella scheda Utente segnalato nella pagina Invii all'indirizzo https://security.microsoft.com/reportsubmission?viewid=user:
- Personalizzare le colonne
- Gruppo
- Filtro
- Contrassegnare come e notificare
- Inviare a Microsoft per l'analisi
Per altre informazioni, vedere Visualizzare i messaggi segnalati dall'utente a Microsoft e Amministrazione azioni per i messaggi segnalati dall'utente.
Nella pagina del report è disponibile l'azione Esporta .
Quali autorizzazioni sono necessarie per visualizzare questi report?
Prima di poter visualizzare e usare i report descritti in questo articolo, è necessario disporre delle autorizzazioni necessarie. Sono disponibili le opzioni seguenti:
- Microsoft Defender XDR Controllo degli accessi in base al ruolo unificato (Se Email & collaborazione>Defender per Office 365 autorizzazioni è Attivo. Influisce solo sul portale di Defender e non su PowerShell: operazioni di sicurezza/Dati di sicurezza/Informazioni di base sui dati di sicurezza (lettura) o Autorizzazioni e impostazioni/Impostazioni di sistema/Gestione.
-
Email & autorizzazioni di collaborazione nel portale di Microsoft Defender: Appartenenza a uno dei gruppi di ruoli seguenti:
- Gestione dell'organizzazione¹
- Amministratore della sicurezza
- Ruolo con autorizzazioni di lettura per la sicurezza
- Lettore globale
- Microsoft Entra autorizzazioni: l'appartenenza ai ruoli Amministratore globale¹ ², Amministratore della sicurezza, Lettore di sicurezza o Lettore globale in Microsoft Entra ID offre agli utenti le autorizzazioni e le autorizzazioni necessarie per altre funzionalità in Microsoft 365.
¹ L'appartenenza al gruppo di ruoli Gestione organizzazione o al ruolo Amministratore globale è necessaria per usare le azioni Crea pianificazione o Richiedi report nei report (se disponibile).
Importante
² Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Cosa succede se i report non visualizzano i dati?
Se i dati non vengono visualizzati nei report, controllare i filtri del report e verificare che i criteri di protezione siano configurati per rilevare e intervenire sui messaggi. Per altre informazioni, vedere gli articoli seguenti:
- Analizzatore di configurazione per i criteri di protezione in EOP e Microsoft Defender per Office 365
- Criteri di sicurezza predefiniti in EOP e Microsoft Defender per Office 365
- Ricerca per categorie disattivare il filtro della posta indesiderata?
Scaricare ed esportare informazioni sul report
A seconda del report e della visualizzazione specifica nel report, una o più delle azioni seguenti potrebbero essere disponibili nella pagina principale del report, come descritto in precedenza:
Esportare i dati del report
Consiglio
- I dati esportati sono interessati da eventuali filtri configurati nel report al momento dell'esportazione.
- Se i dati esportati superano 150000 voci, i dati vengono suddivisi in più file.
Nella pagina del report selezionare Esporta.
Nel riquadro a comparsa Esporta condizioni visualizzato esaminare e configurare le impostazioni seguenti:
-
Selezionare una visualizzazione da esportare: selezionare uno dei valori seguenti:
- Riepilogo: sono disponibili i dati degli ultimi 90 giorni. Questo è il valore predefinito.
- Dettagli: sono disponibili i dati degli ultimi 30 giorni. È supportato un intervallo di date di un giorno.
-
Data (UTC)::
- Data di inizio: il valore predefinito è tre mesi fa.
- Data di fine: il valore predefinito è oggi.
Al termine del riquadro a comparsa Esporta condizioni , selezionare Esporta.
Il pulsante Esporta cambia in Esportazione e viene visualizzata una barra di stato.
-
Selezionare una visualizzazione da esportare: selezionare uno dei valori seguenti:
Nella finestra di dialogo Salva con nome visualizzata viene visualizzato il nome predefinito del file .csv e il percorso di download (la cartella Download locale per impostazione predefinita), ma è possibile modificare tali valori e quindi selezionare Salva per scaricare i dati esportati.
Se viene visualizzata una finestra di dialogo che security.microsoft.com vuole scaricare più file, selezionare Consenti.
Pianificare report ricorrenti
Per creare report pianificati, è necessario essere membri del ruolo di gestione dell'organizzazione in Exchange Online o del ruolo Amministratore* globale in Microsoft Entra ID.
Importante
* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Nella pagina del report selezionare Crea pianificazione per avviare la creazione guidata report pianificata.
Nella pagina Nome report pianificato esaminare o personalizzare il valore Nome e quindi selezionare Avanti.
Nella pagina Imposta preferenze esaminare o configurare le impostazioni seguenti:
-
Frequenza: selezionare uno dei valori seguenti:
- Settimanale (impostazione predefinita)
- Giornaliero (questo valore non comporta la visualizzazione di dati nei grafici)
- Mensile
- Data di inizio: immettere la data di inizio della generazione del report. Il valore predefinito è oggi.
- Data di scadenza: immettere la data di fine della generazione del report. Il valore predefinito è un anno da oggi.
Al termine della pagina Imposta preferenze , selezionare Avanti.
-
Frequenza: selezionare uno dei valori seguenti:
Nella pagina Seleziona filtri configurare le impostazioni seguenti:
-
Direzione: selezionare uno dei valori seguenti:
- Tutto (impostazione predefinita)
- In uscita
- Inbound
- Indirizzo del mittente
- Indirizzo del destinatario:
Al termine della pagina Seleziona filtri , selezionare Avanti.
-
Direzione: selezionare uno dei valori seguenti:
Nella pagina Destinatari scegliere i destinatari per il report nella casella Invia messaggio di posta elettronica a . Il valore predefinito è l'indirizzo di posta elettronica, ma è possibile aggiungerne altri eseguendo una delle operazioni seguenti:
- Fare clic nella casella, attendere la risoluzione dell'elenco di utenti e quindi selezionare l'utente dall'elenco sotto la casella.
- Fare clic nella casella, iniziare a digitare un valore e quindi selezionare l'utente dall'elenco sotto la casella.
Per rimuovere una voce dall'elenco, selezionare accanto alla voce.
Al termine della pagina Destinatari , selezionare Avanti.
Nella pagina Revisione esaminare le impostazioni. È possibile selezionare Modifica in ogni sezione per modificare le impostazioni all'interno della sezione. In alternativa, è possibile selezionare Indietro o la pagina specifica nella procedura guidata.
Al termine della pagina Revisione, selezionare Invia.
Nella pagina Nuovo report pianificato creato è possibile selezionare i collegamenti per visualizzare il report pianificato o crearne un altro.
Al termine della pagina Nuovo report pianificato creato , selezionare Fine.
I report vengono inviate tramite posta elettronica ai destinatari specificati in base alla pianificazione configurata
La voce del report pianificata è disponibile nella pagina Pianificazioni gestite , come descritto nella sottosezione successiva.
Gestire i report pianificati esistenti
Dopo aver creato un report pianificato come descritto nella sezione precedente, la voce del report pianificato è disponibile nella pagina Gestisci pianificazioni nel portale di Defender.
Nel portale di Microsoft Defender in https://security.microsoft.compassare a Report>Email & collaborazione> selezionare Gestisci pianificazioni. In alternativa, per passare direttamente alla pagina Gestisci pianificazioni , usare https://security.microsoft.com/ManageSubscription.
Nella pagina Gestisci pianificazioni vengono visualizzate le informazioni seguenti per ogni voce di report pianificata:
- Data di inizio pianificazione
- Nome pianificazione
- Tipo di rapporto
- Frequenza
- Ultimo invio
Per modificare l'elenco da spaziatura normale a spaziatura compatta, selezionare Modifica spaziatura elenco in compatta o normale e quindi selezionare Elenco compatto.
Utilizzare la casella di ricerca per trovare una voce di report pianificata esistente.
Per modificare le impostazioni pianificate del report, seguire questa procedura:
Selezionare la voce del report pianificata facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo.
Nel riquadro a comparsa dei dettagli visualizzato eseguire una delle operazioni seguenti:
- Selezionare Modifica nome per modificare il nome del report pianificato.
- Selezionare il collegamento Modifica nella sezione per modificare le impostazioni corrispondenti.
Le impostazioni e i passaggi di configurazione sono gli stessi descritti in Pianificazione report.
Per eliminare una voce di report pianificata, usare uno dei metodi seguenti:
- Selezionare la casella di controllo accanto a uno, più o tutti i report pianificati e quindi selezionare l'azione Elimina visualizzata nella pagina principale.
- Selezionare il report pianificato facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo e quindi selezionare Elimina nel riquadro a comparsa dei dettagli visualizzato.
Leggere la finestra di dialogo di avviso visualizzata e quindi selezionare OK.
Nella pagina Gestisci pianificazioni la voce del report pianificato eliminato non è più elencata e i report precedenti per il report pianificato vengono eliminati e non sono più disponibili per il download.
Richiedere report su richiesta per il download
Per creare report su richiesta, è necessario essere membri del ruolo di gestione dell'organizzazione in Exchange Online o del ruolo Amministratore* globale in Microsoft Entra ID.
Importante
* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Nella pagina del report selezionare Richiedi report per avviare la creazione guidata nuovo report su richiesta.
Nella pagina Nome report su richiesta esaminare o personalizzare il valore Nome e quindi selezionare Avanti.
Nella pagina Imposta preferenze esaminare o configurare le impostazioni seguenti:
- Data di inizio: immettere la data di inizio per i dati del report. Il valore predefinito è un mese fa.
- Data di scadenza: immettere la data di fine per i dati del report. Il valore predefinito è oggi.
Al termine, nella pagina Nome report su richiesta selezionare Avanti.
Nella pagina Destinatari scegliere i destinatari per il report nella casella Invia messaggio di posta elettronica a . Il valore predefinito è l'indirizzo di posta elettronica, ma è possibile aggiungerne altri eseguendo una delle operazioni seguenti:
- Fare clic nella casella, attendere la risoluzione dell'elenco di utenti e quindi selezionare l'utente dall'elenco sotto la casella.
- Fare clic nella casella, iniziare a digitare un valore e quindi selezionare l'utente dall'elenco sotto la casella.
Per rimuovere una voce dall'elenco, selezionare accanto alla voce.
Al termine della pagina Destinatari , selezionare Avanti.
Nella pagina Revisione esaminare le impostazioni. È possibile selezionare Modifica in ogni sezione per modificare le impostazioni all'interno della sezione. In alternativa, è possibile selezionare Indietro o la pagina specifica nella procedura guidata.
Al termine della pagina Revisione, selezionare Invia.
Nella pagina Nuovo report su richiesta creato è possibile selezionare il collegamento per creare un altro report.
Al termine della pagina Nuovo report su richiesta creato , selezionare Fine.
L'attività di creazione del report (e infine il report completato) è disponibile nella pagina Report per il download , come descritto nella sottosezione successiva.
Scarica report
Per scaricare i report su richiesta, è necessario essere membri del ruolo di gestione dell'organizzazione in Exchange Online o del ruolo Amministratore* globale in Microsoft Entra ID.
Importante
* Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.
Dopo aver richiesto un report su richiesta come descritto nella sezione precedente, controllare lo stato del report e infine scaricare il report nella pagina Report per il download nel portale di Defender.
Nel portale di Microsoft Defender in https://security.microsoft.compassare a Report>Email & collaborazione> selezionare Report per il download. In alternativa, per passare direttamente alla pagina Report per il download , usare https://security.microsoft.com/ReportsForDownload.
Nella pagina Report per il download vengono visualizzate le informazioni seguenti per ogni report disponibile:
- Data di inizio
- Nome
- Tipo di rapporto
- Ultimo invio
-
Stato:
- In sospeso: il report è ancora in fase di creazione e non è ancora disponibile per il download.
- Completa - Pronto per il download: la generazione del report è completa e il report è disponibile per il download.
- Completa- Nessun risultato trovato: la generazione del report è completa, ma il report non contiene dati, quindi non è possibile scaricarlo.
Per scaricare il report, selezionare la casella di controllo successiva nella data di inizio del report e quindi selezionare l'azione Scarica report visualizzata.
Utilizzare la casella Di ricerca per trovare un report esistente.
Nella finestra di dialogo Salva con nome visualizzata viene visualizzato il nome predefinito del file .csv e il percorso di download (la cartella Download locale per impostazione predefinita), ma è possibile modificare tali valori e quindi selezionare Salva per scaricare il report.
Articoli correlati
Protezione da posta indesiderata in EOP
Visualizzare i report del flusso di posta nell'interfaccia di amministrazione di Exchange