Поделиться через


Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender

Совет

Знаете ли вы, что можете бесплатно опробовать функции XDR в Microsoft Defender для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Во всех организациях Microsoft 365 доступны различные отчеты, которые помогут вам узнать, как функции безопасности электронной почты защищают организацию. Если у вас есть необходимые разрешения, вы можете просмотреть и скачать эти отчеты, как описано в этой статье.

Отчеты доступны на портале https://security.microsoft.com Microsoft Defender на странице Отчеты по электронной почте & совместной работы в разделе Отчеты>по электронной почте & совместной работы>Электронная почта & отчеты о совместной работе. Или, чтобы перейти непосредственно на страницу отчеты по электронной почте & совместной работы , используйте https://security.microsoft.com/emailandcollabreport.

Сводные сведения по каждому отчету доступны на странице. Определите отчет, который требуется просмотреть, а затем выберите Просмотреть сведения для этого отчета.

В оставшейся части этой статьи описываются отчеты, которые являются эксклюзивными для Defender для Office 365.

Примечание.

Изменения отчета о безопасности электронной почты на портале Microsoft Defender

В следующей таблице описаны отчеты Exchange Online Protection (EOP) и Microsoft Defender для Office 365 на портале Microsoft Defender, которые были заменены, перемещены или устарели.

Устаревшие отчеты и командлеты Новый отчет и командлеты Идентификатор центра сообщений Date
Трассировка URL-адреса

Get-URLTrace
Отчет о защите URL-адресов

Get-SafeLinksAggregateReport
Get-SafeLinksDetailReport
MC239999 Июнь 2021
Отправленный и полученный отчет по электронной почте

Get-MailTrafficReport
Get-MailDetailReport
отчет о состоянии защиты от угроз;
Отчет о состоянии потока почты

Get-MailTrafficATPReport
Get-MailDetailATPReport
Get-MailFlowStatusReport
MC236025 Июнь 2021
Переадресация отчета

командлеты отсутствуют
Отчет об автоматически пересылаемых сообщениях в EAC

командлеты отсутствуют
MC250533 Июнь 2021
Отчет о типах файлов безопасных вложений

Get-AdvancedThreatProtectionTrafficReport
Get-MailDetailMalwareReport
Отчет о состоянии защиты от угроз: просмотр данных по электронной почте > вредоносных программ

Get-MailTrafficATPReport
Get-MailDetailATPReport
MC250532 Июнь 2021
Отчет о ликвидации сообщений о безопасных вложениях

Get-AdvancedThreatProtectionTrafficReport
Get-MailDetailMalwareReport
Отчет о состоянии защиты от угроз: просмотр данных по электронной почте > вредоносных программ

Get-MailTrafficATPReport
Get-MailDetailATPReport
MC250531 Июнь 2021
Обнаруженная вредоносная программа в отчете по электронной почте

Get-MailTrafficReport
Get-MailDetailMalwareReport
Отчет о состоянии защиты от угроз: просмотр данных по электронной почте > вредоносных программ

Get-MailTrafficATPReport
Get-MailDetailATPReport
MC250530 Июнь 2021
Отчет об обнаружении нежелательной почты

Get-MailTrafficReport
Get-MailDetailSpamReport
Отчет о состоянии защиты от угроз: просмотр данных по спаму по электронной почте >

Get-MailTrafficATPReport
Get-MailDetailATPReport
MC250529 Октябрь 2021 г.
Get-AdvancedThreatProtectionDocumentReport

Get-AdvancedThreatProtectionDocumentDetail
Get-ContentMalwareMdoAggregateReport

Get-ContentMalwareMdoDetailReport
MC343433 Май 2022 г.
Отчет о правиле транспорта Exchange

Get-MailTrafficPolicyReport
Get-MailDetailTransportRuleReport
Отчет о правиле транспорта Exchange в EAC

Get-MailTrafficPolicyReport
Get-MailDetailTransportRuleReport
MC316157 Апрель 2022 г.
Get-MailTrafficTopReport Основные отправители и получатели отчета

Get-MailTrafficSummaryReport

Примечание. Возможности создания отчетов о шифровании в Get-MailTrafficTopReport не заменяются.
MC315742 Апрель 2022 г.

Отчет о скомпрометированных пользователях

В отчете Скомпрометированные пользователи отображается количество учетных записей пользователей, которые были помечены как подозрительные или ограниченные в течение последних 7 дней. Учетные записи в любом из этих состояний являются проблемными или даже скомпрометированными. При частом использовании отчет можно использовать для выявления пиков и даже тенденций в подозрительных или ограниченных учетных записях. Дополнительные сведения о скомпрометированных пользователях см. в статье Реагирование на скомпрометированную учетную запись электронной почты.

Мини-приложение скомпрометированных пользователей на странице Отчеты о совместной работе по электронной почте &.

В статистическом представлении отображаются данные за последние 90 дней, а в представлении подробных сведений — данные за последние 30 дней.

На странице Отчеты о совместной работе по электронной почте & найдите https://security.microsoft.com/emailandcollabreportскомпрометированных пользователей, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/CompromisedUsers.

На странице Скомпрометированные пользователи на диаграмме показаны следующие сведения для указанного диапазона дат:

  • Ограничено. Учетная запись пользователя была ограничена отправкой электронной почты из-за очень подозрительных шаблонов.
  • Подозрительно: учетная запись пользователя отправила подозрительное сообщение электронной почты и может быть ограничена отправкой электронной почты.

Представление

В таблице сведений под диаграммой показаны следующие сведения:

  • Время создания
  • Идентификатор пользователя
  • Действие
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания.
  • Действие: ограниченное или подозрительное
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Скомпрометированные пользователи доступны действия Создание расписания, Запрос отчета и Экспорт.

Отчет о правиле транспорта Exchange

Примечание.

Отчет о правиле транспорта Exchange теперь доступен в EAC. Дополнительные сведения см. в статье Отчет о правилах транспорта Exchange в новом EAC.

Переадресация отчета

Примечание.

Этот отчет теперь доступен в EAC. Дополнительные сведения см. в статье Отчет об автоматически пересылаемых сообщениях в новом EAC.

Отчет о состоянии потока почты

Отчет о состоянии потока почты — это интеллектуальный отчет, в который отображаются сведения о входящих и исходящих сообщениях электронной почты, обнаружениях спама, вредоносных программах, сообщениях электронной почты, помеченных как "хорошие", а также сведения о электронной почте, разрешенной или заблокированной на границе. Это единственный отчет, содержащий сведения о защите границ. В отчете показано, сколько сообщений электронной почты заблокировано перед входом в службу для проверки Exchange Online Protection (EOP) или Defender для Microsoft 365.

Совет

Если сообщение отправляется пяти получателям, мы считаем его пятью различными сообщениями, а не одним сообщением.

На странице Отчеты по электронной почте & совместной работы найдите https://security.microsoft.com/emailandcollabreportсводку о состоянии потока почты, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/mailflowStatusReport.

Мини-приложение

Доступные представления в отчете о состоянии потока почты описаны в следующих подразделах.

Представление типов для отчета о состоянии потока почты

Представление Тип в отчете о состоянии потока почты.

На странице отчета о состоянии потока почты вкладка Тип выбрана по умолчанию. На диаграмме показаны следующие сведения для указанного диапазона дат:

  • Вредоносные программы: электронная почта, которая заблокирована как вредоносная программа различными фильтрами.
  • Total
  • Хорошая почта: электронная почта, которая не является спамом или разрешена политиками пользователя или организации.
  • Фишинговая почта: электронная почта, которая заблокирована как фишинг с помощью различных фильтров.
  • Спам: электронная почта, которая заблокирована как спам различными фильтрами.
  • Защита edge: электронная почта, отклоненная на границе или периметре перед проверкой EOP или Defender для Office 365.
  • Сообщения правил: сообщения электронной почты, помещенные в карантин правилами потока обработки почты (также известные как правила транспорта).
  • Защита от потери данных. Сообщения электронной почты, помещенные в карантин политиками защиты от потери данных (DLP).

В таблице сведений под диаграммой показаны следующие сведения:

  • Направление
  • Тип
  • 24 часа
  • за 3 дня;
  • 7 дней
  • 15 дней
  • 30 дней

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания.
  • Направление почты: выберите Входящие, Исходящие и Внутри организации.
  • Тип: выберите одно или несколько из следующих значений:
    • Хорошая почта
    • Вредоносная программа
    • Спам
    • Защита периметра
    • Сообщения правил
    • Фишинговое письмо
    • Защита от потери данных
  • Домен. Выберите Все или обслуживаемый домен.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На вкладке Тип выберите Выбрать категорию для получения дополнительных сведений , чтобы просмотреть дополнительные сведения:

На вкладке *Тип доступны действия Создание расписания и Экспорт.

Представление направления для отчета о состоянии потока почты

Представление Направление в отчете о состоянии потока почты.

На вкладке Направление на диаграмме отображаются следующие сведения для указанного диапазона дат:

  • Прибывающий
  • Внутри организации
  • Исходящий

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания.
  • Направление почты: выберите Входящие, Исходящие и Внутри организации.
  • Тип: выберите одно или несколько из следующих значений:
    • Хорошая почта
    • Вредоносная программа
    • Спам
    • Защита периметра
    • Сообщения правил
    • Фишинговое письмо
    • Защита от потери данных. Сообщения электронной почты, помещенные в карантин политиками защиты от потери данных (DLP).
  • Домен. Выберите Все или обслуживаемый домен.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На вкладке Направление выберите Выбрать категорию, чтобы получить дополнительные сведения :

На вкладке Направление доступны действия Создание расписания и Экспорт.

Представление потока почты для отчета о состоянии потока почты

На вкладке Поток почты показано, как функции защиты от угроз электронной почты Корпорации Майкрософт фильтруют входящие и исходящие сообщения электронной почты в вашей организации. В этом представлении используется горизонтальная блок-схема (известная как схема Sankey ) для предоставления сведений об общем количестве сообщений электронной почты и о том, как функции защиты от угроз влияют на это число.

Представление

Статистическое представление и представление таблицы сведений позволяют фильтровать в течение 90 дней.

Информация на схеме закодирована по цвету технологиямИ EOP и Defender для Office 365 .

Схема организована в следующие горизонтальные полосы:

  • Всего диапазон электронной почты : это значение всегда отображается первым.
  • Блок edge и полоса обработки :
    • Блок edge: сообщения, которые были отфильтрованы по краю и определены как защита edge.
    • Обработано: сообщения, обработанные стеком фильтрации.
  • Группа результатов:
    • Блок защиты от потери данных
    • Блок правил: сообщения, помещенные в карантин правилами потока обработки почты Exchange (правилами транспорта).
    • Блок вредоносных программ: сообщения, которые были определены как вредоносные программы.*
    • Блок фишинга: сообщения, которые были определены как фишинговые.*
    • Блок спама: сообщения, которые были определены как спам.*
    • Блок олицетворения: сообщения, обнаруженные как олицетворение пользователя или олицетворение домена в Defender для Office 365.*
    • Блок детонации: сообщения, обнаруженные во время детонации файла или URL-адреса политиками безопасных вложений или политиками безопасных ссылок в Defender для Office 365.*
    • Удалено ZAP: сообщения, которые были удалены с помощью автоматической очистки (ZAP).*
    • Доставлено: сообщения, которые были доставлены пользователям из-за разрешения.*

Если наведите указатель мыши на горизонтальную полосу на схеме, вы увидите количество связанных сообщений.

* Если выбрать этот элемент, схема будет развернута, чтобы отобразить дополнительные сведения. Описание каждого элемента в развернутых узлах см. в разделе Технологии обнаружения.

Сведения о блоке фишинга в представлении Поток обработки почты в отчете о состоянии потока почты.

В таблице сведений под схемой показаны следующие сведения:

  • Дата (UTC)
  • Всего сообщений электронной почты
  • Отфильтрованное по краю
  • Сообщения правил
  • Подсистема защиты от вредоносных программ, безопасные вложения, отфильтрованные правила
  • Олицетворение DMARC, подделка, отфильтрованный фишинг
  • Обнаружение детонации
  • Фильтрация нежелательной почты
  • Удалено ZAP
  • Сообщения, в которых угрозы не обнаружены

Выберите строку в таблице сведений, чтобы просмотреть дальнейшую разбивку количества сообщений электронной почты во всплывающем всплывающем элементе сведений.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания.
  • Направление почты: выберите Входящие, Исходящие и Внутри организации.
  • Домен. Выберите Все или обслуживаемый домен.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На вкладке Поток обработки почты выберите Показать тенденции , чтобы просмотреть графики трендов во всплывающем во всплывающем меню Тренды потока почты.

Всплывающий элемент Тренды потока почты в представлении Поток почты в отчете о состоянии потока почты.

На вкладке Поток почты доступно действие Экспорт.

Отчет об обнаружении вредоносных программ

Примечание.

Этот отчет не рекомендуется использовать. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет о задержке почты

Отчет о задержке почты в Defender для Office 365 содержит сведения о задержке доставки почты и детонации в вашей организации. Дополнительные сведения см. в разделе Отчет о задержке почты.

Отчет о действиях после доставки

Отчет о действиях после доставки доступен только в организациях с Microsoft Defender для Office 365 (план 2). Сведения об отчете см. в разделе Отчет о действиях после доставки.

Отчет об обнаружении нежелательной почты

Примечание.

Этот отчет не рекомендуется использовать. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет об обнаружении подделок

В отчете Об обнаружении спуфингов отображаются сведения о сообщениях, которые были заблокированы или разрешены из-за спуфингом. Дополнительные сведения о спуфингом см. в разделе Защита от спуфингов в EOP.

Агрегированные и подробные представления отчета обеспечивают фильтрацию в течение 90 дней.

Примечание.

Последние доступные данные в отчете — от 3 до 4 дней.

На странице Отчеты о совместной работе по электронной почте & найдите обнаружение спуфингов, а затем выберите Просмотреть сведения.https://security.microsoft.com/emailandcollabreport Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/SpoofMailReport.

Мини-приложение обнаружения подделок на странице Отчеты о совместной работе по электронной почте &.

На диаграмме показаны следующие сведения:

  • Проходить
  • Провалить
  • SoftPass
  • Нет
  • Other

Наведите указатель мыши на день (точку данных) на диаграмме, чтобы узнать, сколько подделанных сообщений было обнаружено и почему.

В таблице сведений под диаграммой показаны следующие сведения:

  • Date

  • Подделанный пользователь

  • Инфраструктура отправки

  • Тип спуфинга

  • Результат

  • Код результата

  • SPF

  • DKIM

  • DMARC

  • Количество сообщений

    Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

    • Прокрутите страницу по горизонтали в веб-браузере.
    • Сужает ширину соответствующих столбцов.
    • Уменьшение масштаба в веб-браузере.

Дополнительные сведения о кодах результатов составной проверки подлинности см. в статье Заголовки сообщений защиты от нежелательной почты в Microsoft 365.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Результат:
    • Проходить
    • Провалить
    • SoftPass
    • Нет
    • Other
  • Тип подделки: внутренний и внешний

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Отчет о спуфинговой почте доступны действия Создание расписания, Запрос отчета и Экспорт.

Страница отчета о спуфинговом сообщении на портале Microsoft Defender.

Отчет об отправке

В отчете Об отправке отображаются сведения о элементах, которые администраторы сообщили корпорации Майкрософт для анализа за последние 30 дней. Дополнительные сведения об отправке администратором см. в статье Использование отправки администратором для отправки подозрительных спама, фишинга, URL-адресов и файлов в Корпорацию Майкрософт.

На странице Отчеты о совместной работе по электронной почте & найдите Отправки, а затем выберите Просмотреть сведения.https://security.microsoft.com/emailandcollabreport Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/adminSubmissionReport.

Чтобы перейти непосредственно на страницу Отправки на портале Defender, выберите Перейти к отправке.

Мини-приложение Отправки на странице Отчеты о совместной работе по электронной почте &.

На диаграмме показаны следующие сведения:

  • Pending
  • Выполнено

В таблице сведений под диаграммой отображаются те же сведения и доступные действия, что и на вкладке Электронная почта на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=email:

  • Настройка столбцов
  • Группа
  • Отправка в Корпорацию Майкрософт для анализа

Дополнительные сведения см. в разделе Просмотр отправки электронной почты администратора в Корпорацию Майкрософт.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата отправки: дата начала и дата окончания
  • Идентификатор отправки
  • Идентификатор сетевого сообщения
  • Sender
  • Получатель
  • Имя отправки
  • Отправлено
  • Причина отправки:
    • Не является нежелательным
    • Отображается чисто
    • Отображается подозрительно
    • Фишинг
    • Вредоносная программа
    • Спам
  • Состояние повторного сканирования:
    • Pending
    • Выполнено
  • Теги: все или один или несколько тегов пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Отправки доступно действие Экспорт .

Страница отчета об отправке на портале Microsoft Defender.

отчет о состоянии защиты от угроз;

Отчет о состоянии защиты от угроз доступен в EOP и Defender для Office 365. Однако отчеты содержат разные данные. Например, клиенты EOP могут просматривать сведения о вредоносных программах, обнаруженных в электронной почте, но не о вредоносных файлах, обнаруженных безопасными вложениями для SharePoint, OneDrive и Microsoft Teams.

Отчет содержит количество сообщений электронной почты с вредоносным содержимым. Например:

Сведения, приведенные в этом отчете, можно использовать для выявления тенденций или определения необходимости корректировки политик организации.

Совет

Если сообщение отправляется пяти получателям, мы считаем его пятью различными сообщениями, а не одним сообщением.

На странице Отчеты о совместной работе по электронной почте & найдите Отправки, а затем выберите Просмотреть сведения.https://security.microsoft.com/emailandcollabreport Или, чтобы перейти непосредственно к отчету, используйте один из следующих URL-адресов:

Мини-приложение

По умолчанию на диаграмме показаны данные за последние семь дней. Выберите Фильтр на странице Отчет о состоянии защиты от угроз , чтобы выбрать диапазон дат 90 дней (пробные подписки могут быть ограничены 30 днями). Таблица сведений позволяет фильтровать данные за последние 30 дней.

Доступные представления описаны в следующих подразделах.

Просмотр данных по обзору

Представление Обзор в отчете о состоянии защиты от угроз.

В представлении Просмотр данных по обзору на диаграмме отображаются следующие сведения об обнаружении:

Таблица подробных сведений не доступна под диаграммой.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания.
  • Обнаружение: те же значения, что и на диаграмме.
  • Защищено: MDO (Defender для Office 365) и EOP.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Просмотр данных по фишингу электронной почты > и разбивке диаграмм по технологии обнаружения

Представление технологии обнаружения для фишинговых сообщений электронной почты в отчете о состоянии защиты от угроз.

Примечание.

В мае 2021 г. обнаружения фишинга в электронной почте были обновлены, включив в них вложения сообщений , содержащие фишинговые URL-адреса. Это изменение может переместить часть объема обнаружения из представления Просмотр данных по электронной почте > вредоносных программ в представление Просмотр данных по электронной почте в представление Просмотр данных по электронной почте > фишинга . Иными словами, вложения сообщений с фишинговыми URL-адресами, которые традиционно определялись как вредоносные программы, теперь могут быть идентифицированы как фишинговые.

В представлении Просмотр данных по электронной почте > фишинга и разбивки диаграмм по технологии обнаружения на диаграмме отображаются следующие сведения:

  • Расширенный фильтр: фишинговые сигналы на основе машинного обучения.
  • Кампания*: сообщения, определенные как часть кампании.
  • Детонация* файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
  • Репутация *детонации файлов. Вложения файлов, ранее обнаруженные детонациями безопасных вложений в других организациях Microsoft 365.
  • Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
  • Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
  • Общий фильтр: фишинговые сигналы на основе правил аналитика.
  • Бренд олицетворения: олицетворение отправителя известных брендов.
  • Домен *олицетворения: олицетворение доменов отправителей, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга.
  • Пользователь *олицетворения: олицетворение защищенных отправителей, указанных в политиках защиты от фишинга или полученных с помощью аналитики почтовых ящиков.
  • Олицетворение аналитики почтовых ящиков. Обнаружение олицетворения из аналитики почтовых ящиков в политиках защиты от фишинга.*
  • Обнаружение смешанного анализа: несколько фильтров способствовали вердикту сообщения.
  • Spoof DMARC: сообщение не удалось выполнить проверку подлинности DMARC.
  • Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации.
  • Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации.
  • Детонация* URL-адреса. Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении во время анализа детонации.
  • Репутация *детонации URL-адресов: URL-адреса, ранее обнаруженные детонациями безопасных ссылок в других организациях Microsoft 365.
  • Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.

* Только Defender для Office 365

В таблице сведений под диаграммой доступны следующие сведения:

  • Date
  • Тема
  • Sender
  • Получатели
  • Технология обнаружения. Те же значения технологии обнаружения на диаграмме.
  • Состояние доставки.
  • IP-адрес отправителя
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания
  • Обнаружение: те же значения, что и на диаграмме.
  • Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см . в статье Настройка и проверка защиты приоритетных учетных записей в Microsoft Defender для Office 365.
  • Оценка: Да или Нет.
  • Защищено: MDO (Defender для Office 365) и EOP
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись из таблицы сведений, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью Сводка по электронной почте и содержит сводные сведения, которые также доступны на странице Сущности электронной почты в Defender для Office 365 для сообщения. Дополнительные сведения о панели "Сводка по электронной почте" см. в разделе Сводная панель электронной почты.

В Defender для Microsoft 365 в верхней части панели "Сводка по электронной почте" для отчета о состоянии защиты от угроз доступны следующие действия:

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных по спаму по электронной почте > и разбивке диаграмм по технологии обнаружения

Представление технологии обнаружения нежелательной почты в отчете о состоянии защиты от угроз.

В представлении Просмотр данных по спаму по электронной почте > и разбивка диаграммы по технологии обнаружения на диаграмме отображаются следующие сведения:

  • Расширенный фильтр: фишинговые сигналы на основе машинного обучения.
  • Массовый. Уровень массовой жалобы (BCL) сообщения превышает заданное пороговое значение для спама.
  • Репутация домена. Сообщение было отправлено из домена, который ранее был определен как рассылка спама в других организациях Microsoft 365.
  • Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
  • Общий фильтр
  • Репутация IP-адресов. Сообщение было отправлено из источника, который ранее был определен как отправляющий спам в других организациях Microsoft 365.
  • Обнаружение смешанного анализа. Несколько фильтров способствовали вердикту для сообщения.
  • Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.

В таблице сведений под диаграммой доступны следующие сведения:

  • Date
  • Тема
  • Sender
  • Получатели
  • Технология обнаружения. Те же значения технологии обнаружения на диаграмме.
  • Состояние доставки.
  • IP-адрес отправителя
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания

  • Обнаружение: те же значения, что и на диаграмме.

  • Уровень массовой жалобы. Если выбрано значение ОбнаружениеМассовое , ползунок доступен для фильтрации отчета по выбранному диапазону BCL. Эти сведения можно использовать для подтверждения или настройки порогового значения BCL в политиках защиты от нежелательной почты, чтобы разрешить более или менее массовое использование электронной почты в вашей организации.

    Если значение Обнаружениемассовое не выбрано, ползунок неактивен и массовые обнаружения не включаются в отчет.

  • Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см . в статье Настройка и проверка защиты приоритетных учетных записей в Microsoft Defender для Office 365.

  • Направление: Все или введите Входящие, Исходящие и Внутри организации.

  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.

  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.

  • Тип политики: выберите Все или одно из следующих значений:

    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.

  • Получатели

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись из таблицы сведений, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью Сводка по электронной почте и содержит сводные сведения, которые также доступны на странице Сущности электронной почты в Defender для Office 365 для сообщения. Дополнительные сведения о панели "Сводка по электронной почте" см. в разделе Сводная панель электронной почты.

В Defender для Microsoft 365 в верхней части панели "Сводка по электронной почте" для отчета о состоянии защиты от угроз доступны следующие действия:

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных по вредоносным программам электронной почты > и разбивка диаграмм по технологии обнаружения

Представление технологии обнаружения вредоносных программ в отчете о состоянии защиты от угроз.

Примечание.

В мае 2021 г. обнаружение вредоносных программ в электронной почте было обновлено для включения вредоносных URL-адресов во вложения сообщений. Это изменение может переместить часть объема обнаружения из представления Просмотр данных по электронной почте фишинга в представление Просмотр данных по электронной > почте в представление Просмотр данных по электронной почте > вредоносных программ. Другими словами, вредоносные URL-адреса во вложениях сообщений, которые традиционно были определены как фишинг, теперь могут быть определены как вредоносные программы.

В представлении Просмотр данных по вредоносным программам электронной почты > и Разбивка диаграммы по технологии обнаружения на диаграмме отображаются следующие сведения:

  • Детонация* файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
  • Репутация *детонации файлов. Вложения файлов, ранее обнаруженные детонациями безопасных вложений в других организациях Microsoft 365.
  • Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
  • Подсистема* защиты от вредоносных программ: обнаружение с помощью защиты от вредоносных программ.
  • Репутация вредоносного URL-адреса
  • Детонация* URL-адреса. Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении во время анализа детонации.
  • Репутация *детонации URL-адресов: URL-адреса, ранее обнаруженные детонациями безопасных ссылок в других организациях Microsoft 365.
  • Кампания*: сообщения, определенные как часть кампании.

* Только Defender для Office 365

В таблице сведений под диаграммой доступны следующие сведения:

  • Date

  • Тема

  • Sender

  • Получатели

  • Технология обнаружения. Те же значения технологии обнаружения на диаграмме.

  • Состояние доставки

  • IP-адрес отправителя

  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

    Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

    • Прокрутите страницу по горизонтали в веб-браузере.
    • Сужает ширину соответствующих столбцов.
    • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Обнаружение: те же значения, что и на диаграмме.
  • Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см . в статье Настройка и проверка приоритетных учетных записей в Microsoft Defender для Office 365.
  • Оценка: Да или Нет.
  • Защищено: MDO (Defender для Office 365) и EOP
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись из таблицы сведений, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью Сводка по электронной почте и содержит сводные сведения, которые также доступны на странице Сущности электронной почты в Defender для Office 365 для сообщения. Дополнительные сведения о панели "Сводка по электронной почте" см. в разделе Сводная панель электронной почты.

В Defender для Microsoft 365 в верхней части панели "Сводка по электронной почте" для отчета о состоянии защиты от угроз доступны следующие действия:

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Разбивка диаграммы по типу политики

Представление типа политики для фишинговых сообщений, спама или вредоносных программ в отчете о состоянии защиты от угроз.

В представлениях Просмотр данных по электронной почте > Фишинг, Просмотр данных по спаму по электронной почте >или Просмотр данных по электронной почте > вредоносных программ при выборе диаграммы разбивка по типу политики отображаются следующие сведения на диаграмме:

  • Защита от вредоносных программ
  • Безопасные вложения*
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (также известное как правило транспорта)
  • Другие

В таблице сведений под диаграммой доступны следующие сведения:

  • Date

  • Тема

  • Sender

  • Получатели

  • Технология обнаружения. Те же значения технологии обнаружения на диаграмме.

  • Состояние доставки.

  • IP-адрес отправителя

  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

    Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

    • Прокрутите страницу по горизонтали в веб-браузере.
    • Сужает ширину соответствующих столбцов.
    • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Обнаружение: значения технологии обнаружения, как описано ранее в этой статье и в разделе Технологии обнаружения.
  • Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см . в статье Настройка и проверка приоритетных учетных записей в Microsoft Defender для Office 365.
  • Оценка: Да или Нет.
  • Защищено: MDO (Defender для Office 365) и EOP
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

* Только Defender для Office 365

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись из таблицы сведений, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью Сводка по электронной почте и содержит сводные сведения, которые также доступны на странице Сущности электронной почты в Defender для Office 365 для сообщения. Дополнительные сведения о панели "Сводка по электронной почте" см. в разделе Сводная панель электронной почты.

В Defender для Microsoft 365 в верхней части панели "Сводка по электронной почте" для отчета о состоянии защиты от угроз доступны следующие действия:

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Разбивка диаграммы по состоянию доставки

Представление Состояние доставки для фишинговых сообщений электронной почты и сообщений с вредоносными программами в отчете о состоянии защиты от угроз.

В представлениях Просмотр данных по электронной почте > Фишинг, Просмотр данных по спаму по электронной почте >или Просмотр данных по электронной почте > вредоносных программ при выборе диаграммы Разбивка по состоянию доставки отображаются следующие сведения на диаграмме:

  • Размещенный почтовый ящик: Входящие
  • Размещенный почтовый ящик: нежелательный
  • Размещенный почтовый ящик: настраиваемая папка
  • Размещенный почтовый ящик: удаленные элементы
  • Пересылаются
  • Локальный сервер: доставлено
  • Карантин
  • Сбой доставки
  • Упал

В таблице сведений под диаграммой доступны следующие сведения:

  • Date

  • Тема

  • Sender

  • Получатели

  • Технология обнаружения. Те же значения технологии обнаружения на диаграмме.

  • Состояние доставки.

  • IP-адрес отправителя

  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

    Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

    • Прокрутите страницу по горизонтали в веб-браузере.
    • Сужает ширину соответствующих столбцов.
    • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Обнаружение: значения технологии обнаружения, как описано ранее в этой статье и в разделе Технологии обнаружения.
  • Защищено: MDO (Defender для Office 365) и EOP
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

* Только Defender для Office 365

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись из таблицы сведений, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью Сводка по электронной почте и содержит сводные сведения, которые также доступны на странице Сущности электронной почты в Defender для Office 365 для сообщения. Дополнительные сведения о панели "Сводка по электронной почте" см. в разделе Сводная панель электронной почты.

В Defender для Microsoft 365 в верхней части панели "Сводка по электронной почте" для отчета о состоянии защиты от угроз доступны следующие действия:

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных по содержимому > вредоносных программ

Представление Содержимое вредоносных программ в отчете о состоянии защиты от угроз.

В представлении Просмотр данных по содержимому > вредоносных программ на диаграмме для Microsoft Defender для организаций Office 365 отображаются следующие сведения:

В таблице сведений под диаграммой доступны следующие сведения:

  • Date
  • Имя файла вложения
  • Workload
  • Технология обнаружения. Те же значения технологии обнаружения на диаграмме.
  • Размер файла
  • Последнее изменение пользователя

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания.
  • Обнаружение: те же значения, что и на диаграмме.
  • Рабочая нагрузка: Teams, SharePoint и OneDrive

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступно действие Экспорт.

Просмотр данных по переопределению системы и разбивке диаграмм по причине

Представление Переопределение сообщения и разбивка диаграммы по причинам в отчете о состоянии защиты от угроз.

В представлении Просмотр данных по системным переопределениям и Разбивка диаграммы по причине на диаграмме отображаются следующие сведения о причинах переопределения:

  • Защита от потери данных: сообщения электронной почты, помещенные в карантин политиками защиты от потери данных (DLP).
  • Правило транспорта Exchange
  • Монопольный параметр (Outlook)
  • Разрешить IP-адрес
  • Локальный пропуск
  • Разрешенные домены организации
  • Разрешенные в организации отправители
  • Моделирование фишинга. Дополнительные сведения см. в статье Настройка доставки сторонних фишинговых имитаций пользователям и нефильтрованных сообщений в почтовые ящики SecOps.
  • Список доменов отправителя
  • TABL — разрешен url-адрес и файл.
  • TABL — разрешено использование файлов
  • TABL — файл заблокирован
  • TABL — разрешен URL-адрес
  • TABL — URL-адрес заблокирован
  • Адрес электронной почты отправителя TABL Разрешить
  • Блок адреса электронной почты отправителя TABL
  • Блок спуфингом TABL
  • Сторонний фильтр
  • Список доверенных контактов — отправитель в адресной книге
  • Список адресов доверенных получателей
  • Список доменов доверенных получателей
  • Список надежных отправителей (Outlook)
  • Безопасный домен пользователя
  • Надежный отправитель пользователя
  • ZAP не включен

В таблице сведений под диаграммой доступны следующие сведения:

  • Date
  • Тема
  • Sender
  • Получатели
  • Переопределение системы
  • IP-адрес отправителя
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Причина: те же значения, что и диаграмма.
  • Расположение доставки: папка нежелательной почты не включена и почтовый ящик SecOps.
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступно действие Экспорт.

Просмотр данных по переопределению системы и разбивке диаграммы по расположению доставки

Представление Переопределение сообщения и разбивка диаграммы по расположению доставки в отчете о состоянии защиты от угроз.

В представлении Просмотр данных по системным переопределениям и Разбивка диаграммы по расположению доставки на диаграмме отображаются следующие сведения о причинах переопределения:

В таблице сведений под диаграммой доступны следующие сведения:

  • Date
  • Тема
  • Sender
  • Получатели
  • Переопределение системы
  • IP-адрес отправителя
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Причина: те же значения, что и в разделе Разбивка диаграммы по типу политики
  • Расположение доставки: папка нежелательной почты не включена и почтовый ящик SecOps.
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступно действие Экспорт.

Лучший отчет о вредоносных программах

В отчете "Основные вредоносные программы " показаны различные виды вредоносных программ, обнаруженных защитой от вредоносных программ в EOP.

На странице Отчеты о совместной работе по электронной почте & найдите https://security.microsoft.com/emailandcollabreportосновные вредоносные программы.

Наведите указатель мыши на клин в круговой диаграмме, чтобы увидеть имя вредоносной программы и количество сообщений, содержащих вредоносную программу.

Мини-приложение

Выберите Просмотреть сведения , чтобы перейти на страницу Основной отчет о вредоносных программах . Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/TopMalware.

На странице Основной отчет о вредоносных программах отображается большая версия круговой диаграммы. В таблице сведений под диаграммой показаны следующие сведения:

  • Основные вредоносные программы: имя вредоносной программы
  • Количество сообщений, содержащих вредоносную программу.

Выберите Фильтр , чтобы изменить отчет, выбрав значения Дата начала и Дата окончания в открывавшемся всплывающем окне.

На странице Основные вредоносные программы доступны действия Создание расписания и Экспорт.

Представление основного отчета о вредоносных программах.

Отчет о лучших отправителях и получателях

Отчет "Основные отправители и получатели " доступен как в EOP, так и в Defender для Office 365. однако отчеты содержат разные данные. Например, клиенты EOP могут просматривать сведения о наиболее распространенных вредоносных программах, спаме и получателях фишинга (спуфингом), но не сведения о вредоносных программах, обнаруженных безопасными вложениями или фишинге, обнаруженных защитой олицетворения.

В отчете "Основные отправители и получатели " отображаются 20 основных отправителей сообщений в организации, а также 20 основных получателей сообщений, обнаруженных функциями защиты EOP и Defender для Office 365. По умолчанию в отчете отображаются данные за последнюю неделю, но доступны данные за последние 90 дней.

На странице Отчеты о совместной работе по электронной почте & найдите https://security.microsoft.com/emailandcollabreportосновные отправители и получатели.

Наведите указатель мыши на клин в круговой диаграмме, чтобы увидеть количество сообщений для отправителя или получателя.

Мини-приложение

Выберите Просмотреть сведения , чтобы перейти на страницу Основные отправители и получатели . Или, чтобы перейти непосредственно к отчету, используйте один из следующих URL-адресов:

На странице Основные отправители и получатели отображается большая версия круговой диаграммы. Доступны следующие диаграммы:

  • Отображение данных для основных отправителей почты (представление по умолчанию)
  • Отображение данных для основных получателей почты
  • Отображение данных для основных получателей нежелательной почты
  • Отображение данных для основных получателей вредоносных программ (EOP)
  • Отображение данных для основных получателей фишинга
  • Отображение данных для основных получателей вредоносных программ (MDO)
  • Отображение данных для основных получателей фишинга (MDO)
  • Отображение данных для основных intra.org отправителей почты
  • Отображение данных для основных intra.org получателей почты
  • Отображение данных для основных intra.org получателей спама
  • Отображение данных для основных intra.org получателей вредоносных программ
  • Отображение данных для наиболее intra.org получателей фишинга
  • Отображение данных для основных intra.org получателей фишинга (MDO)
  • Отображение данных для основных intra.org получателей вредоносных программ (MDO)

Наведите указатель мыши на клин в круговой диаграмме, чтобы увидеть количество сообщений для конкретного отправителя или получателя.

Для каждой диаграммы в таблице сведений под диаграммой отображаются следующие сведения:

  • Адрес электронной почты
  • Item count
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Основные отправители и получатели доступно действие Экспорт.

Представление Показать данные для основных отправителей почты в отчете Топ отправителей и получателей.

Отчет о защите URL-адресов

Отчет о защите URL-адресов доступен только в Microsoft Defender для Office 365. Дополнительные сведения см. в разделе Отчет о защите URL-адресов.

Отчет о сообщениях пользователя

Важно!

Чтобы отчет о сообщениях, сообщаемых пользователем , работал правильно, ведение журнала аудита должно быть включено в организации Microsoft 365 (он включен по умолчанию). Дополнительные сведения см. в разделе Включение и отключение аудита.

В отчете о сообщениях, сообщаемых пользователем , отображаются сведения о сообщениях электронной почты, которые пользователи сообщили как нежелательные, фишинговые попытки или хорошая почта, с помощью встроенной кнопки Отчет в Outlook в Интернете или надстройки "Сообщение отчета" или "Сообщить о фишинге".

На странице Отчеты о совместной работе по электронной почте & найдите сообщения, сообщаемые пользователем, а затем выберите Просмотреть сведения.https://security.microsoft.com/emailandcollabreport Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/userSubmissionReport.

Чтобы перейти непосредственно на вкладку Пользователь сообщил на странице Отправки на портале Defender, выберите Перейти к отправке.

Мини-приложение сообщений, сообщаемых пользователем, на странице Отчеты о совместной работе по электронной почте &.

На диаграмме показаны следующие сведения:

  • Не является нежелательным
  • Фишинг
  • Спам

В таблице сведений под диаграммой показаны те же сведения и те же действия, которые доступны на вкладке Пользователь сообщается на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=user:

  • Настройка столбцов
  • Группа
  • Фильтр
  • Пометка как и уведомление
  • Отправка в Корпорацию Майкрософт для анализа

Дополнительные сведения см. в разделах Просмотр сообщений, сообщаемого пользователем в Корпорацию Майкрософт , и Действия администратора для сообщений, сообщаемые пользователем.

Отчет о сообщениях, сообщаемых пользователем.

На странице отчета доступно действие Экспорт.

Отчет о сообщениях, сообщаемых пользователем.

Какие разрешения необходимы для просмотра этих отчетов?

Вам необходимо назначить разрешения, прежде чем вы сможете просматривать и использовать отчеты, описанные в этой статье. Возможны следующие варианты:

  • Единое управление доступом на основе ролей (RBAC) в Microsoft Defender XDR (если активны разрешения Microsoft Defender & совместной работы>Defender для Office 365. Влияет только на портал Defender, а не На PowerShell: операции безопасности/Данные безопасности/Основы данных безопасности (чтение) или Авторизация и параметры/Параметры системы/управление.
  • Электронная почта & разрешения на совместную работу на портале Microsoft Defender: членство в любой из следующих групп ролей:
    • Управление организацией¹
    • Администратор безопасности
    • Читатель сведений о безопасности
    • Глобальное средство чтения
  • Разрешения Microsoft Entra. Членство в ролях "Глобальный администратор ¹", "Администратор безопасности", "Читатель безопасности" или "Глобальный читатель" в Идентификаторе Microsoft Entra предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

¹ Членство в группе ролей "Управление организацией" или роли глобального администратора требуется для использования действий создания расписания или Запроса отчета в отчетах (если это доступно).

Важно!

2 Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

Что делать, если в отчетах не отображаются данные?

Если данные в отчетах не отображаются, проверьте фильтры отчетов и убедитесь, что политики защиты настроены для обнаружения сообщений и выполнения действий с сообщениями. Дополнительные сведения см. в следующих статьях:

Скачивание и экспорт сведений об отчете

В зависимости от отчета и конкретного представления в отчете на главной странице отчета может быть доступно одно или несколько из следующих действий, как описано ранее:

Экспорт данных отчета

Совет

  • На экспортированные данные влияют все фильтры, настроенные в отчете во время экспорта.
  • Если экспортированные данные превышают 15 000 записей, данные разбиваются на несколько файлов.
  1. На странице отчета выберите Экспорт.

  2. Во всплывающем окне Условия экспорта просмотрите и настройте следующие параметры:

    • Выберите представление для экспорта. Выберите одно из следующих значений:
      • Сводка. Доступны данные за последние 90 дней. Это значение используется по умолчанию.
      • Сведения: доступны данные за последние 30 дней. Поддерживается диапазон дат в один день.
    • Дата (UTC):
      • Дата начала. Значение по умолчанию — три месяца назад.
      • Дата окончания: значение по умолчанию — сегодня.

    По завершении во всплывающем окне Условия экспорта выберите Экспорт.

    Кнопка Экспорт изменится на Экспорт... и отображается индикатор выполнения.

  3. В открывшемся диалоговом окне Сохранить как вы увидите имя файла .csv по умолчанию и расположение для скачивания (локальная папка Загрузки по умолчанию), но вы можете изменить эти значения и нажать кнопку Сохранить , чтобы скачать экспортированные данные.

    Если появится диалоговое окно, в которое security.microsoft.com требуется скачать несколько файлов, выберите Разрешить.

Планирование повторяющихся отчетов

Чтобы создавать запланированные отчеты, необходимо быть членом роли управления организацией в Exchange Online или роли глобального администратора* в Microsoft Entra ID.

Важно!

* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

  1. На странице отчета выберите Создать расписание , чтобы запустить мастер создания запланированных отчетов.

  2. На странице Имя запланированного отчета просмотрите или настройте значение Имя , а затем нажмите кнопку Далее.

  3. На странице Установка параметров просмотрите или настройте следующие параметры:

    • Частота: выберите одно из следующих значений:
      • Еженедельно (по умолчанию)
      • Ежедневно (это значение приводит к тому, что данные не отображаются на диаграммах)
      • Ежемесячно
    • Дата начала. Введите дату начала создания отчета. Значение по умолчанию — сегодня.
    • Дата окончания срока действия. Введите дату окончания создания отчета. Значение по умолчанию — один год с сегодняшнего дня.

    Завершив работу на странице Установка параметров , нажмите кнопку Далее.

  4. На странице Выбор фильтров настройте следующие параметры:

    • Направление: выберите одно из следующих значений:
      • Все (по умолчанию)
      • Исходящий
      • Прибывающий
    • Адрес отправителя
    • Адрес получателя

    Завершив работу на странице Выбор фильтров , нажмите кнопку Далее.

  5. На странице Получатели выберите получателей для отчета в поле Отправить сообщение электронной почты . Значением по умолчанию является адрес электронной почты, но вы можете добавить других пользователей, выполнив одно из следующих действий:

    • Щелкните поле, дождитесь разрешения списка пользователей, а затем выберите пользователя из списка под полем.
    • Щелкните поле, начните вводить значение и выберите пользователя из списка под полем.

    Чтобы удалить запись из списка, щелкните рядом с записью.

    Завершив работу на странице Получатели , нажмите кнопку Далее.

  6. На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

    Завершив работу на странице Рецензирование, нажмите кнопку Отправить.

  7. На странице Создание нового запланированного отчета можно выбрать ссылки для просмотра запланированного отчета или создания другого отчета.

    Завершив работу на странице Создание отчета по расписанию , нажмите кнопку Готово.

Отчеты отправляются по электронной почте указанным получателям в соответствии с настроенным расписанием.

Запись запланированного отчета доступна на странице Управляемые расписания, как описано в следующем подразделе.

Управление существующими запланированными отчетами

После создания запланированного отчета, как описано в предыдущем разделе, запись запланированного отчета будет доступна на странице Управление расписаниями на портале Defender.

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Отчеты>Электронная почта & совместная работа> выберите Управление расписаниями. Или, чтобы перейти непосредственно на страницу Управление расписаниями , используйте https://security.microsoft.com/ManageSubscription.

На странице Управление расписаниями для каждой записи запланированного отчета отображаются следующие сведения:

  • Планирование даты начала
  • Имя расписания
  • Тип отчета
  • Frequency
  • Последнее отправленное

Чтобы изменить список с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Используйте поле Поиск, чтобы найти существующую запись запланированного отчета.

Чтобы изменить параметры запланированного отчета, сделайте следующее:

  1. Выберите запись запланированного отчета, щелкнув в любом месте строки, кроме флажка.

  2. В открывавшемся всплывающем окне сведений выполните одно из следующих действий.

    • Выберите Изменить имя , чтобы изменить имя запланированного отчета.
    • Щелкните ссылку Изменить в разделе, чтобы изменить соответствующие параметры.

    Параметры и действия по настройке совпадают с инструкциями, описанными в разделе Расписание отчета.

Чтобы удалить запись запланированного отчета, используйте один из следующих методов:

  • Установите флажок рядом с одним, несколькими или всеми запланированными отчетами, а затем выберите действие Удалить, которое появится на главной странице.
  • Выберите запланированный отчет, щелкнув в любом месте строки, кроме флажка, а затем выберите Удалить во всплывающем окне сведений.

Прочтите открывающееся диалоговое окно предупреждения и нажмите кнопку ОК.

На странице Управление расписаниями удаленная запись запланированного отчета больше не отображается, а предыдущие отчеты для запланированного отчета удаляются и больше не доступны для скачивания.

Запрос отчетов по запросу для скачивания

Чтобы создавать отчеты по запросу, необходимо быть членом роли управления организацией в Exchange Online или роли глобального администратора* в Идентификаторе Microsoft Entra.

Важно!

* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

  1. На странице отчета выберите Запрос отчета , чтобы запустить мастер создания отчетов по запросу.

  2. На странице отчета Имя по запросу просмотрите или настройте значение Имя , а затем нажмите кнопку Далее.

  3. На странице Установка параметров просмотрите или настройте следующие параметры:

    • Дата начала. Введите дату начала для данных отчета. Значение по умолчанию — месяц назад.
    • Дата окончания срока действия. Введите дату окончания для данных отчета. Значение по умолчанию — сегодня.

    Завершив работу на странице отчета имя по запросу , нажмите кнопку Далее.

  4. На странице Получатели выберите получателей для отчета в поле Отправить сообщение электронной почты . Значением по умолчанию является адрес электронной почты, но вы можете добавить других пользователей, выполнив одно из следующих действий:

    • Щелкните поле, дождитесь разрешения списка пользователей, а затем выберите пользователя из списка под полем.
    • Щелкните поле, начните вводить значение и выберите пользователя из списка под полем.

    Чтобы удалить запись из списка, щелкните рядом с записью.

    Завершив работу на странице Получатели , нажмите кнопку Далее.

  5. На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

    Завершив работу на странице Рецензирование, нажмите кнопку Отправить.

  6. На странице Создание отчета по запросу можно щелкнуть ссылку, чтобы создать другой отчет.

    Завершив работу на странице Создание отчета по запросу , нажмите кнопку Готово.

Задача создания отчета (и, в конечном итоге, готовый отчет) доступна на странице Отчеты для скачивания , как описано в следующем подразделе.

Скачивание отчетов

Чтобы скачать отчеты по запросу, необходимо быть членом роли управления организацией в Exchange Online или роли глобального администратора* в Microsoft Entra ID.

Важно!

* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это очень привилегированная роль, которая должна быть ограничена сценариями чрезвычайных ситуаций, когда вы не можете использовать существующую роль.

После запроса отчета по запросу, как описано в предыдущем разделе, вы проверяете состояние отчета и в конечном итоге скачиваете отчет на странице Отчеты для скачивания на портале Defender.

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Отчеты>Электронная почта & совместной работы> выберите Отчеты для скачивания. Или, чтобы перейти непосредственно на страницу Отчеты для скачивания , используйте https://security.microsoft.com/ReportsForDownload.

На странице Отчеты для скачивания для каждого доступного отчета отображаются следующие сведения:

  • Дата начала
  • Название
  • Тип отчета
  • Последнее отправленное
  • Состояние:
    • Ожидание. Отчет все еще создается и пока недоступен для скачивания.
    • Завершено — готово к скачиванию. Создание отчета завершено, и отчет доступен для скачивания.
    • Завершено — результаты не найдены: создание отчета завершено, но отчет не содержит данных, поэтому его невозможно скачать.

Чтобы скачать отчет, установите флажок рядом с датой начала отчета, а затем выберите действие Скачивание отчета.

Используйте поле Поиск, чтобы найти существующий отчет.

В открывшемся диалоговом окне Сохранить как вы увидите имя файла .csv по умолчанию и расположение загрузки (локальная папка Загрузки по умолчанию), но вы можете изменить эти значения и нажать кнопку Сохранить , чтобы скачать отчет.

Защита от нежелательной почты в EOP

Защита от вредоносных программ в EOP

Просмотр отчетов о потоках обработки почты в EAC

Просмотр отчетов для Defender для Office 365