Поделиться через

Аналитика массовых отправителей в Exchange Online Protection

Примечание.

Функции, описанные в этой статье, в настоящее время находятся в предварительной версии, доступны не во всех организациях и могут быть изменены.

В организациях Microsoft 365 с почтовыми ящиками в Exchange Online или автономных организациях Exchange Online Protection (EOP) без почтовых ящиков Exchange Online аналитические сведения о массовых отправителях на портале Microsoft Defender позволяют увидеть, сколько сообщений электронной почты было определено как массовое на текущем пороговом уровне в политиках защиты от нежелательной почты, а также имитировать идентифицированные и разрешенные массовые сообщения электронной почты на основе изменений порогового значения массового отправителя и качества массового отправителя.

EOP присваивает значение уровня массовых жалоб (BCL) входящим сообщениям от массовых отправителей. Более высокое значение BCL указывает, что массовое сообщение, скорее всего, будет спамом. Пороговое значение массовой электронной почты в политиках защиты от нежелательной почты использует указанное значение BCL для выявления массовых сообщений и принятия с ними мер. Дополнительные сведения о BCL см. в разделе Уровень массовой жалобы (BCL) в EOP.

Аналитические сведения о массовых отправителях имеют следующие возможности.

  • Просмотрите, сколько почты определяется как массовый на каждом уровне BCL (от 1 до 9) за последние 60 дней.
  • Смоделируйте изменения в пороговом значении массовой электронной почты и просмотрите результаты по количеству сообщений, которые будут доставлены или определены как массовые в политиках защиты от нежелательной почты или пользовательских политик защиты от нежелательной почты, где можно задать пороговое значение BCL. Невозможно задать пороговое значение BCL в стандартных или строгих предустановленных политиках безопасности.
  • Просмотрите сведения об отправителях сообщений, на которые повлияло пороговое значение массовой электронной почты, включая фильтрацию на основе качества отправителя.

В этой статье описывается использование аналитических сведений о массовых отправителях на портале Microsoft Defender.

Что нужно знать перед началом работы

  • Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу аналитических сведений о массовых отправителях , используйте https://security.microsoft.com/senderinsights.

  • Массовое моделирование и обнаружение могут работать неправильно, если запись MX для домена Microsoft 365 указывает на стороннюю службу или устройство.

  • Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

    • Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR (если активны разрешения Microsoft Defender & совместной работы>Defender для Office 365. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).

    • Разрешения Exchange Online:

      • Добавление, изменение и удаление политик. Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
      • Доступ только для чтения к политикам: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".

    • Разрешения Microsoft Entra. Членство в следующих ролях предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365:

      • Добавление, изменение и удаление политик. Членство в ролях "Управление организацией"* или "Администратор безопасности ".
      • Доступ только для чтения к политикам. Членство в ролях "Глобальный читатель" или "Читатель безопасности ".

      Важно!

      * Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

  • Рекомендуемые параметры политик защиты от спама см. в разделе Параметры политики защиты от нежелательной почты EOP.

Совет

Параметры в политиках защиты от нежелательной почты по умолчанию или пользовательских политиках защиты от нежелательной почты игнорируются, если получатель также включен в стандартные или строгие предустановленные политики безопасности. Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.

Значение массового порога в политике защиты от нежелательной почты определяет пороговое значение BCL, используемое для определения сообщения как массового. Например, пороговое значение 7 означает, что сообщения со значением BCL 7, 8 или 9 определяются как массовые. Что происходит с массовыми сообщениями, определяется действием уровня BCL, выполненного или превышенного в политике защиты от нежелательной почты (например, Переместить сообщение в папку нежелательной почты, Карантин или Удалить сообщение). Для простоты определение сообщения как массового и выполнение действий с ним называется заблокированным в аналитических сведениях о массовых отправителях.

Открытие аналитических сведений о массовых отправителях на портале Microsoft Defender

Аналитические сведения о массовых отправителях доступны в следующих расположениях:

  • В свойствах политики защиты от нежелательной почты по умолчанию или настраиваемых политик защиты от нежелательной почты:

    1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Политики совместной работы> по электронной почте && правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.

    2. На странице Политики защиты от нежелательной почты выберите настраиваемую политику защиты от нежелательной почты (значение ТипНастраиваемая политика защиты от нежелательной почты) или политику защиты от нежелательной почты по умолчанию с именем Политика входящего спама (по умолчанию), щелкнув в любом месте строки, кроме флажка рядом с первым столбцом.

    3. Во всплывающем всплывающем элементе сведений выберите Изменить пороговое значение и свойства спама в нижней части раздела Пороговое значение массовой электронной почты & свойства спама .

    4. В открывшемся всплывающем окне Пороговое значение нежелательной почты и свойств аналитические сведения о массовых отправителях содержат следующие сведения обо всех массовых сообщениях электронной почты, обнаруженных всеми политиками защиты от нежелательной почты в организации за последние 60 дней:

      • По умолчанию аналитика показывает количество массовых сообщений, которые были заблокированы и разрешены в текущем пороге BCL:

        Массовые отправители анализ в свойствах политики защиты от нежелательной почты по умолчанию с пороговым значением BCL по умолчанию.

      • Если уменьшить пороговое значение BCL, чтобы заблокировать больше массовых сообщений электронной почты, в аналитических сведениях показано количество массовых сообщений, которые будут заблокированы и разрешены в новом пороговом значении BCL:

        Массовые отправители содержат сведения о свойствах политики защиты от нежелательной почты по умолчанию с пороговым значением BCL ниже исходного значения.

      • Если увеличить пороговое значение BCL, чтобы разрешить больше массовой электронной почты, в аналитических сведениях показано количество массовых сообщений, которые будут заблокированы и разрешены при новом пороговом значении BCL:

        Массовые отправители содержат сведения о свойствах политики защиты от нежелательной почты по умолчанию с пороговым значением BCL, превышающим исходное значение.

  • На странице Отчеты и аналитические сведения о совместной работе по электронной почте & :

    1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Отчеты>Электронная почта & совместной работы раздел >Электронная почта & отчеты и аналитические сведения о совместной работе. Или, чтобы перейти непосредственно на страницу Отчеты и аналитические сведения по электронной почте & совместной работы , используйте https://security.microsoft.com/emailandcollabreport.

    2. На странице Отчеты и аналитические сведения о совместной работе по электронной почте & перейдите в раздел Аналитика по электронной почте & совместной работы и найдите аналитические сведения о массовых отправителях.

    Сведения о массовых отправителях на странице

Чтобы просмотреть подробные сведения о массовых обнаружениях и отправителях, выберите Просмотреть аналитические сведения о массовых отправителях или Просмотреть сведения , чтобы открыть страницу Аналитика массовых отправителей .

Просмотр страницы аналитических сведений о массовых отправителях

Страница аналитики массовых отправителей доступна с помощью следующих методов:

  • Непосредственно в https://security.microsoft.com/senderinsights.
  • При выборе пункта Просмотреть аналитические сведения о массовых отправителях во всплывающем меню Пороговое значение и свойства нежелательной почты в сведениях о настраиваемой политике защиты от нежелательной почты или политике защиты от нежелательной почты по умолчанию на странице Политики защиты от нежелательной почты по адресу https://security.microsoft.com/antispam.
  • При выборе пункта Просмотреть сведения в карточке аналитики массовых отправителей на странице Отчеты и аналитические сведения по электронной почте & совместной работы на https://security.microsoft.com/emailandcollabreportстранице .

Страница аналитических сведений о массовых отправителях на портале Microsoft Defender.

Перед выполнением имитации значения в таблице в середине страницы указывают следующие значения:

  • Уровень массовой жалобы (BCL) — диапазон возможных значений BCL (от 1 до 9).
  • Все сообщения электронной почты: общее количество сообщений, которые были определены по каждому значению BCL (некоторые из которых могут иметь значение 0).
  • Доставлено с текущим пороговым значением BCL: количество доставленных сообщений (не определено как массовое) для каждого значения BCL:
    • Если значение BCL меньше порогового значения текущего массового сообщения электронной почты , сообщение было доставлено (не было определено как массовое):
      • Значения Доставлено с текущим пороговым значением BCL и Все сообщения электронной почты совпадают.
      • Значение Доставлено при текущем пороговом значении BCL соответствует сообщению Email, доставленным по текущему значению конфигурации .
    • Если значение BCL больше или равно значению порогового значения текущего массового сообщения электронной почты , сообщение было определено как массовое и заблокировано.
      • Значение Доставлено при текущем пороговом значении BCL для значения BCL равно 0.
      • Значение "Все сообщения электронной почты " соответствует сообщению Email, указанному по текущему пороговом значению BCL .
  • Доставлено с новым пороговым значением BCL. Количество сообщений, которые не были идентифицированы как массовые сообщения электронной почты после запуска имитации. Перед выполнением имитации значение не имеет смысла.

Чтобы запустить имитацию, используйте следующие элементы на странице:

  • На ползунке текущего порогового значения массовой электронной почты отображается текущее пороговое значение BCL в зависимости от того, как вы попали на страницу аналитики массовых отправителей :
    • Напрямую. Пороговое значение BCL равно 7.
    • Из свойств политики защиты от нежелательной почты: пороговое значение BCL является текущим значением в политике защиты от нежелательной почты.
  • Ползунок "Новый порог массовой электронной почты " позволяет имитировать влияние увеличения и уменьшения порогового значения BCL для доставленных или заблокированных сообщений.
  • Ползунок Порог качества отправителя имитации указывает порог надежности хорошего или плохого отправителя для использования в имитации обновления BCL. Более высокое значение указывает на смоделированные пороговые результаты BCL на основе более надежных отправителей. Пороговое значение качества отправителя имитации для отправителей основано на следующих факторах:
    • Прошлые взаимодействия с отправителем.
    • Частота сообщений от отправителя.
    • Отзывы администраторов или пользователей о сообщениях от отправителя.

После выбора значений Пороговое значение для создания массовой электронной почты и Порог качества отправителя имитации выберите Имитация:

  • Страница обновляется числом заблокированных и разрешенных сообщений для текущих и новых имитированных пороговых уровней BCL.
  • В нижней части страницы содержатся сведения об отправителях, которые будут определены как массовые.

Просмотр сведений о массовых отправителях на странице аналитических сведений о массовых отправителях

Таблица сведений о массовых отправителях в нижней части страницы содержит данные о массовых отправителях, чьи сообщения были определены как массовые.

Таблица может содержать данные отправителя при первом открытии страницы аналитических сведений о массовых отправителях , если значения Текущее пороговое значение массовой электронной почты и Порог качества отправителя имитации уже привели к массовой идентификации электронной почты перед выполнением симуляции.

В противном случае отправители включаются в таблицу сведений об отправителях на основе значений Текущее пороговое значение массовой электронной почты и Пороговое значение качества отправителя имитации после запуска моделирования.

Для записей в таблице сведений об отправителях всегда доступны следующие столбцы:

  • Sender: адрес электронной почты отправителя.
  • BCL
  • Порог качества отправителя имитации

Остальные столбцы в таблице сведений об отправителе зависят от связи между значениями Текущее пороговое значение массовой электронной почты и Новое пороговое значение массовой электронной почты после выполнения имитации:

  • Новое пороговое значение массовой электронной почты равно текущему пороговом значению массовой электронной почты:

    • Потенциальный ложноположительный результат
    • Потенциальный ложноотрицательный результат

    Чтобы отфильтровать результаты, выберите Все отправители , а затем выберите одно из следующих значений:

    • Потенциальный ложноположительный результат: отображаются только те отправители, у которых потенциальный ложноположительный результат имеет значение True .
    • Потенциальный ложноотрицательный результат. Отображаются только те отправители, у которых значение Потенциальное ложноотрицательное значение True .

    Страница аналитики массовых отправителей перед запуском имитации или после имитации, где новое пороговое значение BCL равно текущему порогу BCL.

  • Новое пороговое значение массовой электронной почты меньше текущего порогового значения массовой электронной почты:

    • Новый отправитель заблокирован
    • Потенциальный ложноположительный результат

    Чтобы отфильтровать результаты, выберите Все отправители , а затем выберите одно из следующих значений:

    • Новый заблокированный отправитель. Отображаются только те, у которых новый отправитель заблокирован с значением True .
    • Потенциальный ложноположительный результат: отображаются только те отправители, у которых потенциальный ложноположительный результат имеет значение True .

    Страница аналитических сведений о массовых отправителях после выполнения имитации, где новое пороговое значение BCL меньше текущего порогового значения BCL.

  • Новое пороговое значение массовой электронной почты больше текущего порогового значения массовой электронной почты:

    • Разрешен новый отправитель
    • Потенциальный ложноотрицательный результат

    Чтобы отфильтровать результаты, выберите Все отправители , а затем выберите одно из следующих значений:

    • Новый разрешенный отправитель. Отображаются только те отправители, для которых разрешено значениеTrue .
    • Потенциальный ложноотрицательный результат. Отображаются только те отправители, у которых значение Потенциальное ложноотрицательное значение True .

    Страница аналитики массовых отправителей после выполнения имитации, где новое пороговое значение BCL больше текущего порогового значения BCL.

Чтобы изменить список записей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Используйте поле Поиск и соответствующее значение, чтобы найти конкретных отправителей в таблице.

Используйте команду Экспорт , чтобы сохранить отображаемый список отправителей в CSV-файл. Имя файла по умолчанию — Аналитика массовых отправителей — Microsoft Defender.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортируемый файл уже существует в этом расположении, имя файла увеличивается (например, аналитика массовых отправителей — Microsoft Defender(1).csv).

Просмотр подробных сведений о массовом отправителе на странице аналитических сведений о массовых отправителях

Чтобы просмотреть сведения о конкретном отправителе из таблицы сведений об отправителях в нижней части страницы аналитики массовых отправителей , щелкните в любом месте строки, кроме флажка рядом с первым столбцом. Открывающееся всплывающее окно Сведения об отправителе содержит следующие сведения об отправителе:

  • Sender: адрес электронной почты отправителя.
  • Сообщения: количество сообщений от отправителя.
  • Сообщения в папке "Входящие" — количество сообщений от отправителя, доставленных в папки "Входящие".
  • Сообщения в карантине или нежелательная почта: количество сообщений от отправителя, которые были доставлены в пользовательские папки нежелательной почты или помещены в карантин.
  • Параметр администратора. Указывает, разрешен ли или заблокирован отправитель с помощью параметра Управление разрешает и блоки в списке разрешенных и заблокированныхклиентов Допустимые значения:
    • Разрешить: для отправителя сообщения существует допустимая запись.
    • Блокировать. Для отправителя сообщения существует запись блока.
  • Сообщения, разрешенные пользователем. Количество сообщений от отправителя, которые были добавлены в список надежных отправителей в почтовых ящиках пользователей.
  • Сообщения, заблокированные пользователем. Количество сообщений от отправителя, которые были добавлены в список Заблокированные отправители в почтовых ящиках пользователей.
  • Ложноположительные отправки. Количество сообщений от отправителя, которые были отправлены как сообщения, отправленные как хорошие сообщения, случайно заблокированы.
  • Ложноотрицательная отправка: количество сообщений от отправителя, которые были отправлены как неправильное сообщение, случайно доставленное.
  • Пользователь перемещен из нежелательной почты в папку "Входящие"
  • Пользователь перемещен из папки "Входящие" в нежелательную почту
  • Сообщения, удаленные пользователем
  • Сообщения администратора, помещенные в карантин
  • Администратор переместил сообщения электронной почты из папки "Входящие" в нежелательную почту
  • Сообщения, удаленные администратором

Всплывающее окно сведений об отправителе из таблицы сведений об отправителе на странице Аналитические сведения о массовых отправителях.