Просмотр отчетов о безопасности электронной почты на портале Microsoft 365 Defender

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft 365 Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft 365 Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Область применения

• Exchange Online Protection
• Microsoft Defender для Office 365 (план 1 и план 2)
• Microsoft 365 Defender

Во всех организациях Microsoft 365 доступны различные отчеты, которые помогут вам узнать, как функции безопасности электронной почты защищают организацию. Если у вас есть необходимые разрешения, вы можете просмотреть и скачать эти отчеты, как описано в этой статье.

Отчеты доступны на портале Microsoft 365 Defender на https://security.microsoft.com странице отчетов о совместной работе Email & в разделе Отчеты>Email & совместная работа>Email & отчеты о совместной работе. Или, чтобы перейти непосредственно на страницу отчетов о совместной работе Email&, используйте https://security.microsoft.com/emailandcollabreport.

Сводные сведения по каждому отчету доступны на странице. Определите отчет, который требуется просмотреть, а затем выберите Просмотреть сведения для этого отчета.

В оставшейся части этой статьи описываются отчеты, которые являются эксклюзивными для Defender для Office 365.

Примечание.

• Некоторые отчеты на странице отчетов о совместной работе Email & являются эксклюзивными для Microsoft Defender для Office 365. Дополнительные сведения об этих отчетах см. в разделе Просмотр отчетов Defender для Office 365 на портале Microsoft 365 Defender.

• Отчеты, связанные с потоком обработки почты, теперь находятся в Центре администрирования Exchange. Дополнительные сведения об этих отчетах см. в статье Отчеты о потоке обработки почты в новом Центре администрирования Exchange.

  Ссылка на эти отчеты доступна на портале Defender по адресу Отчеты>Email & совместная работа>Email отчеты о взаимодействии &Exchange Mail Flow, что позволяет перейти к https://admin.exchange.microsoft.com/#/reports/mailflowreportsmain.>

Email изменения в отчете о безопасности на портале Microsoft 365 Defender

В следующей таблице описаны отчеты Exchange Online Protection (EOP) и Microsoft Defender для Office 365 на портале Microsoft 365 Defender, которые были заменены, перемещены или устарели.

Устаревшие отчеты и командлеты	Новый отчет и командлеты	Идентификатор центра сообщений	Дата
Трассировка URL-адреса Get-URLTrace	Отчет о защите URL-адресов Get-SafeLinksAggregateReport Get-SafeLinksDetailReport	MC2399999	Июнь 2021
Отправленный и полученный отчет по электронной почте Get-MailTrafficReport Get-MailDetailReport	отчет о состоянии защиты от угроз; Отчет о состоянии потока почты Get-MailTrafficATPReport Get-MailDetailATPReport Get-MailFlowStatusReport	MC236025	Июнь 2021
Переадресация отчета командлеты отсутствуют	Отчет об автоматически пересылаемых сообщениях в EAC командлеты отсутствуют	MC250533	Июнь 2021
Отчет о типах файлов безопасных вложений Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport	Отчет о состоянии защиты от угроз: просмотр данных по Email > вредоносных программ Get-MailTrafficATPReport Get-MailDetailATPReport	MC250532	Июнь 2021
Отчет о ликвидации сообщений о безопасных вложениях Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport	Отчет о состоянии защиты от угроз: просмотр данных по Email > вредоносных программ Get-MailTrafficATPReport Get-MailDetailATPReport	MC250531	Июнь 2021
Обнаруженная вредоносная программа в отчете по электронной почте Get-MailTrafficReport Get-MailDetailMalwareReport	Отчет о состоянии защиты от угроз: просмотр данных по Email > вредоносных программ Get-MailTrafficATPReport Get-MailDetailATPReport	MC250530	Июнь 2021
Отчет об обнаружении нежелательной почты Get-MailTrafficReport Get-MailDetailSpamReport	Отчет о состоянии защиты от угроз: просмотр данных по Email > спам Get-MailTrafficATPReport Get-MailDetailATPReport	MC250529	Октябрь 2021 г.
Get-AdvancedThreatProtectionDocumentReport Get-AdvancedThreatProtectionDocumentDetail	Get-ContentMalwareMdoAggregateReport Get-ContentMalwareMdoDetailReport	MC343433	Май 2022 г.
Отчет о правиле транспорта Exchange Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport	Отчет о правиле транспорта Exchange в EAC Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport	MC316157	Апрель 2022 г.
Get-MailTrafficTopReport	Основные отправители и получатели отчета Get-MailTrafficSummaryReport Примечание. Возможности создания отчетов о шифровании в Get-MailTrafficTopReport не заменяются.	MC315742	Апрель 2022 г.

Отчет о скомпрометированных пользователях

В отчете Скомпрометированные пользователи отображается количество учетных записей пользователей, которые были помечены как подозрительные или ограниченные в течение последних 7 дней. Учетные записи в любом из этих состояний являются проблемными или даже скомпрометированными. При частом использовании отчет можно использовать для выявления пиков и даже тенденций в подозрительных или ограниченных учетных записях. Дополнительные сведения о скомпрометированных пользователях см. в статье Реагирование на скомпрометированную учетную запись электронной почты.

В статистическом представлении отображаются данные за последние 90 дней, а в представлении подробных сведений — данные за последние 30 дней.

На странице отчетов о совместной работе Email & найдите https://security.microsoft.com/emailandcollabreportскомпрометированных пользователей, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/CompromisedUsers.

На странице Скомпрометированные пользователи на диаграмме показаны следующие сведения для указанного диапазона дат:

• Ограничено. Учетная запись пользователя была ограничена отправкой электронной почты из-за очень подозрительных шаблонов.
• Подозрительно: учетная запись пользователя отправила подозрительное сообщение электронной почты и может быть ограничена отправкой электронной почты.

В таблице сведений под диаграммой показаны следующие сведения:

• Время создания
• Идентификатор пользователя
• Действие
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания.
• Действие: ограниченное или подозрительное
• Тег: все или указанный тег пользователя (включая учетные записи с приоритетом).

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Скомпрометированные пользователи доступны действия Создание расписания, Запрос отчета и Экспорт.

Отчет о правиле транспорта Exchange

Примечание.

Отчет о правиле транспорта Exchange теперь доступен в EAC. Дополнительные сведения см. в статье Отчет о правилах транспорта Exchange в новом EAC.

Переадресация отчета

Примечание.

Этот отчет теперь доступен в EAC. Дополнительные сведения см. в статье Отчет об автоматически пересылаемых сообщениях в новом EAC.

Отчет о состоянии потока почты

Отчет о состоянии потока почты — это интеллектуальный отчет, в который отображаются сведения о входящих и исходящих сообщениях электронной почты, обнаружениях спама, вредоносных программах, сообщениях электронной почты, помеченных как "хорошие", а также сведения о электронной почте, разрешенной или заблокированной на границе. Это единственный отчет, содержащий сведения о защите границ. В отчете показано, сколько сообщений электронной почты заблокировано перед входом в службу для проверки Exchange Online Protection (EOP) или Defender для Microsoft 365.

Совет

Если сообщение отправляется пяти получателям, мы считаем его пятью различными сообщениями, а не одним сообщением.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportсводку состояния потока почты, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/mailflowStatusReport.

Доступные представления в отчете о состоянии потока почты описаны в следующих подразделах.

Представление типов для отчета о состоянии потока почты

На странице отчета о состоянии потока почты вкладка Тип выбрана по умолчанию. На диаграмме показаны следующие сведения для указанного диапазона дат:

• Вредоносные программы: Email, которые блокируются как вредоносные программы различными фильтрами.
• Total
• Хорошая почта: Email, которая не является спамом или разрешена политиками пользователей или организации.
• Фишинговый адрес электронной почты: Email, который заблокирован как фишинг различными фильтрами.
• Спам: Email, который блокируется как спам различными фильтрами.
• Защита ребер: Email, отклоненная на границе или периметре перед проверкой EOP или Defender для Office 365.
• Сообщения правил: Email сообщения, с которыми работали правила потока обработки почты (также известные как правила транспорта).

В таблице сведений под диаграммой показаны следующие сведения:

• Направление
• Тип
• 24 часа
• за 3 дня;
• 7 дней
• 15 дней
• 30 дней

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания.
• Направление почты: входящий и исходящий.
• Тип:
  • Хорошая почта
  • Вредоносная программа
  • Спам
  • Защита периметра
  • Сообщения правил
  • Фишинговое письмо

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На вкладке Тип выберите Выбрать категорию для получения дополнительных сведений , чтобы просмотреть дополнительные сведения:

• Фишинговое сообщение электронной почты. При выборе этого параметра вы перейдете в отчет о состоянии защиты от угроз.
• Вредоносные программы в сообщении электронной почты. При выборе этого параметра вы перейдете в отчет о состоянии защиты от угроз.
• Обнаружение нежелательной почты. При выборе этого параметра вы перейдете к отчету об обнаружении нежелательной почты.

На вкладке *Тип доступны действия Создание расписания и Экспорт.

Представление направления для отчета о состоянии потока почты

На вкладке Направление на диаграмме отображаются следующие сведения для указанного диапазона дат:

• Входящих
• Исходящий

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания.
• Направление почты: входящий и исходящий.
• Тип:
  • Хорошая почта
  • Вредоносная программа
  • Спам
  • Защита периметра
  • Сообщения правил
  • Фишинговое письмо

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На вкладке Направление выберите Выбрать категорию, чтобы получить дополнительные сведения :

• Фишинговое сообщение электронной почты. При выборе этого параметра вы перейдете в отчет о состоянии защиты от угроз.
• Вредоносные программы в сообщении электронной почты. При выборе этого параметра вы перейдете в отчет о состоянии защиты от угроз.
• Обнаружение нежелательной почты. При выборе этого параметра вы перейдете к отчету Об обнаружении нежелательной почты.

На вкладке Направление доступны действия Создание расписания и Экспорт.

Представление потока почты для отчета о состоянии потока почты

На вкладке Поток почты показано, как функции защиты от угроз электронной почты Корпорации Майкрософт фильтруют входящие и исходящие сообщения электронной почты в вашей организации. В этом представлении используется горизонтальная блок-схема (известная как схема Sankey ) для предоставления сведений об общем количестве сообщений электронной почты и о том, как функции защиты от угроз влияют на это число.

Статистическое представление и представление таблицы сведений позволяют фильтровать в течение 90 дней.

Информация на схеме закодирована цветом с помощью EOP и Defender для Office 365 технологий.

Схема организована в следующие горизонтальные полосы:

• Всего диапазон электронной почты : это значение всегда отображается первым.
• Блок edge и полоса обработки :
  • Блок edge: сообщения, которые были отфильтрованы по краю и определены как защита edge.
  • Обработано: сообщения, обработанные стеком фильтрации.
• Группа результатов:
  • Блок правил: сообщения, заблокированные правилами потока обработки почты Exchange (правилами транспорта).
  • Блок вредоносных программ: сообщения, которые были определены как вредоносные программы.^*
  • Блок фишинга: сообщения, которые были определены как фишинговые.^*
  • Блок спама: сообщения, которые были определены как спам.^*
  • Блок олицетворения: сообщения, обнаруженные как олицетворение пользователя или олицетворение домена в Defender для Office 365.^*
  • Блок детонации. Сообщения, обнаруженные во время детонации файла или URL-адреса политиками безопасных вложений или политиками безопасных ссылок в Defender для Office 365.^*
  • Удалено ZAP: сообщения, которые были удалены с помощью автоматической очистки (ZAP).^*
  • Доставлено: сообщения, которые были доставлены пользователям из-за разрешения.^*

Если наведите указатель мыши на горизонтальную полосу на схеме, вы увидите количество связанных сообщений.

^* Если выбрать этот элемент, схема будет развернута, чтобы отобразить дополнительные сведения. Описание каждого элемента в развернутых узлах см. в разделе Технологии обнаружения.

В таблице сведений под схемой показаны следующие сведения:

• Дата (UTC)
• Всего сообщений электронной почты
• Отфильтрованное по краю
• Сообщения правил
• Подсистема защиты от вредоносных программ, безопасные вложения, отфильтрованные правила
• Олицетворение DMARC, подделка, отфильтрованный фишинг
• Обнаружение детонации
• Фильтрация нежелательной почты
• Удалено ZAP
• Сообщения, в которых угрозы не обнаружены

Выберите строку в таблице сведений, чтобы просмотреть дальнейшую разбивку количества сообщений электронной почты во всплывающем всплывающем элементе сведений.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания.
• Направление: входящий и исходящий.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На вкладке Поток обработки почты выберите Показать тенденции , чтобы просмотреть графики трендов во всплывающем во всплывающем меню Тренды потока почты.

На вкладке Поток почты доступно действие Экспорт.

Отчет об обнаружении вредоносных программ

Примечание.

Этот отчет не рекомендуется использовать. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет о задержке почты

Отчет о задержке почты в Defender для Office 365 содержит сведения о задержке доставки почты и детонации в вашей организации. Дополнительные сведения см. в разделе Отчет о задержке почты.

Отчет о действиях после доставки

Примечание.

Этот отчет находится в процессе развертывания. Ожидается, что доступность по всему миру будет доступна к концу марта 2023 г.

В отчете о действиях после доставки отображаются сведения о сообщениях электронной почты, которые были удалены из почтовых ящиков пользователей после доставки с автоматической очисткой (ZAP). Дополнительные сведения о ZAP см. в разделе Автоматическая очистка нулевого часа (ZAP) в Exchange Online.

В отчете отображаются сведения в режиме реального времени с обновленными сведениями об угрозах.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportдействия после доставки и выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/ZapReport.

На странице Действия после доставки на диаграмме показаны следующие сведения для указанного диапазона дат:

• Нет угрозы. Количество уникальных доставленных сообщений, которые не были признаны спамом ZAP.
• Спам. Количество уникальных сообщений, которые были удалены из почтовых ящиков ZAP для спама.
• Фишинг: количество уникальных сообщений, которые были удалены из почтовых ящиков ZAP для фишинга.
• Вредоносные программы: количество уникальных сообщений, которые были удалены из почтовых ящиков ZAP для фишинга.

В таблице сведений под диаграммой показаны следующие сведения:

• Тема

• Время получения

• Sender

• Получатель

• Время ЗАП

• Исходная угроза

• Исходное расположение

• Обновленная угроза

• Обновленное расположение доставки

• Технология обнаружения

  Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания.
• Вердикт:
  • Нет угрозы
  • Спам
  • Фишинг
  • Вредоносная программа

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Действия после доставки доступны действия Создать расписание и Экспорт.

Отчет об обнаружении нежелательной почты

Примечание.

Этот отчет не рекомендуется использовать. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет об обнаружении подделок

В отчете Об обнаружении спуфингов отображаются сведения о сообщениях, которые были заблокированы или разрешены из-за спуфингом. Дополнительные сведения о спуфингом см. в разделе Защита от спуфингов в EOP.

Агрегированные и подробные представления отчета обеспечивают фильтрацию в течение 90 дней.

Примечание.

Последние доступные данные в отчете — от 3 до 4 дней.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportобнаружение спуфингов, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/SpoofMailReport.

На диаграмме показаны следующие сведения:

• Пройти
• Не
• SoftPass
• Нет
• Other

Наведите указатель мыши на день (точку данных) на диаграмме, чтобы узнать, сколько подделанных сообщений было обнаружено и почему.

В таблице сведений под диаграммой показаны следующие сведения:

• Date

• Подделанный пользователь

• Инфраструктура отправки

• Тип спуфинга

• Результат

• Код результата

• SPF

• DKIM

• DMARC

• Количество сообщений

  Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Дополнительные сведения о кодах результатов составной проверки подлинности см. в статье Заголовки сообщений защиты от нежелательной почты в Microsoft 365.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Результат:
  • Пройти
  • Не
  • SoftPass
  • Нет
  • Other
• Тип подделки: внутренний и внешний

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Отчет о спуфинговой почте доступны действия Создание расписания, Запрос отчета и Экспорт.

Отчет об отправке

В отчете Об отправке отображаются сведения о элементах, которые администраторы сообщили корпорации Майкрософт для анализа за последние 30 дней. Дополнительные сведения об отправке администратором см. в статье Использование отправки Администратор для отправки в корпорацию Майкрософт подозрительных спама, фишинга, URL-адресов и файлов.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportОтправки, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/adminSubmissionReport.

Чтобы перейти непосредственно на страницу Отправки на портале Defender, выберите Перейти к отправке.

На диаграмме показаны следующие сведения:

• Pending
• Выполнено

В таблице сведений под диаграммой отображаются те же сведения, что и группа,настройка столбцов и отправка в Майкрософт для действий анализа, что и на вкладке Сообщения электронной почты на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=email. Дополнительные сведения см. в разделе Просмотр отправки электронной почты администратора в Корпорацию Майкрософт.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата отправки: дата начала и дата окончания
• Идентификатор отправки
• Идентификатор сетевого сообщения
• Sender
• Получатель
• Имя отправки
• Отправлено
• Причина отправки:
  • Не является нежелательным
  • Фишинг
  • Вредоносная программа
  • Спам
• Состояние повторного сканирования:
  • Pending
  • Выполнено
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Отчета об отправке доступно действие Экспорт .

отчет о состоянии защиты от угроз;

Отчет о состоянии защиты от угроз доступен как в EOP, так и в Defender для Office 365. Однако отчеты содержат разные данные. Например, клиенты EOP могут просматривать сведения о вредоносных программах, обнаруженных в электронной почте, но не о вредоносных файлах, обнаруженных безопасными вложениями для SharePoint, OneDrive и Microsoft Teams.

Отчет содержит количество сообщений электронной почты с вредоносным содержимым. Например:

• Файлы или адреса веб-сайтов (URL-адреса), которые были заблокированы подсистемой защиты от вредоносных программ.
• Файлы или сообщения, на которые влияет автоматическая очистка (ZAP) нулевого часа
• Файлы или сообщения, заблокированные Defender для Office 365 функции: безопасные ссылки, безопасные вложения и функции защиты олицетворения в политиках защиты от фишинга.

Сведения, приведенные в этом отчете, можно использовать для выявления тенденций или определения необходимости корректировки политик организации.

Совет

Если сообщение отправляется пяти получателям, мы считаем его пятью различными сообщениями, а не одним сообщением.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportОтправки, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте один из следующих URL-адресов:

• Defender для Office 365:https://security.microsoft.com/reports/TPSAggregateReportATP
• EOP: https://security.microsoft.com/reports/TPSAggregateReport

По умолчанию на диаграмме показаны данные за последние семь дней. Выберите Фильтр на странице Отчет о состоянии защиты от угроз , чтобы выбрать диапазон дат 90 дней (пробные подписки могут быть ограничены 30 днями). Таблица сведений позволяет фильтровать данные за последние 30 дней.

Доступные представления описаны в следующих подразделах.

Просмотр данных по обзору

В представлении Просмотр данных по обзору на диаграмме отображаются следующие сведения об обнаружении:

• Email вредоносные программы
• Email фишинг
• Email спам
• Вредоносные программы содержимого (только Defender для Office 365)

Таблица подробных сведений не доступна под диаграммой.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания.
• Обнаружение: те же значения, что и на диаграмме.
• Защищено: MDO (Defender для Office 365) и EOP.
• Тег: все или указанный тег пользователя (включая учетные записи с приоритетом). Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Направление:
  • Все
  • Входящих
  • Исходящий
• Домен: все или обслуживаемый домен.
• Тип политики:
  • Все
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Просмотр данных по Email > фишингу и разбивке диаграмм по технологии обнаружения

Примечание.

В мае 2021 г. обнаружения фишинга в электронной почте были обновлены, включив в них вложения сообщений , содержащие фишинговые URL-адреса. Это изменение может привести к перемещению некоторых объемов обнаружения из представления Просмотр данных Email > вредоносных программ и в представление Просмотр данных по Email > фишинга. Иными словами, вложения сообщений с фишинговыми URL-адресами, которые традиционно определялись как вредоносные программы, теперь могут быть идентифицированы как фишинговые.

В представлении Просмотр данных по Email > фишинга и разбивки диаграмм по технологии обнаружения на диаграмме отображаются следующие сведения:

• Расширенный фильтр: фишинговые сигналы на основе машинного обучения.
• Кампания^*: сообщения, определенные как часть кампании.
• Детонация^* файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
• Репутация ^*детонации файлов. Вложения файлов, ранее обнаруженные детонациями безопасных вложений в других организациях Microsoft 365.
• Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
• Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
• Общий фильтр: фишинговые сигналы на основе правил аналитика.
• Бренд олицетворения: олицетворение отправителя известных брендов.
• Домен ^*олицетворения: олицетворение доменов отправителей, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга.
• Пользователь ^*олицетворения: олицетворение защищенных отправителей, указанных в политиках защиты от фишинга или полученных с помощью аналитики почтовых ящиков.
• Олицетворение аналитики почтовых ящиков. Обнаружение олицетворения из аналитики почтовых ящиков в политиках защиты от фишинга.^*
• Обнаружение смешанного анализа: несколько фильтров способствовали вердикту сообщения.
• Spoof DMARC: сообщение не удалось выполнить проверку подлинности DMARC.
• Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации.
• Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации.
• Детонация^* URL-адреса. Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении во время анализа детонации.
• Репутация ^*детонации URL-адресов: URL-адреса, ранее обнаруженные детонациями безопасных ссылок в других организациях Microsoft 365.
• Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.

^*Только Defender для Office 365

В таблице сведений под диаграммой доступны следующие сведения:

• Date
• Тема
• Sender
• Получатели
• Технология обнаружения. Те же значения технологии обнаружения на диаграмме.
• Состояние доставки.
• IP-адрес отправителя
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания
• Обнаружение: те же значения, что и на диаграмме.
• Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка защиты учетных записей с приоритетом в Microsoft Defender для Office 365.
• Оценка: Да или Нет.
• Защищено: MDO (Defender для Office 365) и EOP
• Направление:
  • Все
  • Входящих
  • Исходящий
• Тег: все или указанный тег пользователя (включая учетные записи с приоритетом).
• Домен: все или обслуживаемый домен.
• Тип политики:
  • Все
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие
• Имя политики (только представление таблицы сведений): все или указанная политика.
• Получатели

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных по Email > спама и разбивка диаграмм по технологии обнаружения

В представлении Просмотр данных по Email > спама и разбивки диаграмм по технологии обнаружения на диаграмме отображаются следующие сведения:

• Расширенный фильтр: фишинговые сигналы на основе машинного обучения.
• Массовый. Уровень массовой жалобы (BCL) сообщения превышает заданное пороговое значение для спама.
• Репутация домена. Сообщение было отправлено из домена, который ранее был определен как рассылка спама в других организациях Microsoft 365.
• Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
• Общий фильтр
• Репутация IP-адресов. Сообщение было отправлено из источника, который ранее был определен как отправляющий спам в других организациях Microsoft 365.
• Обнаружение смешанного анализа. Несколько фильтров способствовали вердикту для сообщения.
• Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.

В таблице сведений под диаграммой доступны следующие сведения:

• Date
• Тема
• Sender
• Получатели
• Технология обнаружения. Те же значения технологии обнаружения на диаграмме.
• Состояние доставки.
• IP-адрес отправителя
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Обнаружение: те же значения, что и на диаграмме.
• Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка защиты учетных записей с приоритетом в Microsoft Defender для Office 365.
• Направление:
  • Все
  • Входящих
  • Исходящий
• Тег: все или указанный тег пользователя (включая учетные записи с приоритетом).
• Домен: все или обслуживаемый домен.
• Тип политики:
  • Все
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие
• Имя политики (только представление таблицы сведений): все или указанная политика.
• Получатели

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных по Email > вредоносных программ и разбивка диаграмм по технологии обнаружения

Примечание.

В мае 2021 г. обнаружение вредоносных программ в электронной почте было обновлено для включения вредоносных URL-адресов во вложения сообщений. Это изменение может привести к смещению части объема обнаружения из представления данных Представления Email > представлении фишинга и в представление Просмотр данных по Email > вредоносных программ. Другими словами, вредоносные URL-адреса во вложениях сообщений, которые традиционно были определены как фишинг, теперь могут быть определены как вредоносные программы.

В представлении Просмотр данных по Email > вредоносных программ и диаграмм по технологии обнаружения на диаграмме отображаются следующие сведения:

• Детонация^* файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
• Репутация ^*детонации файлов. Вложения файлов, ранее обнаруженные детонациями безопасных вложений в других организациях Microsoft 365.
• Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
• Подсистема^* защиты от вредоносных программ. Обнаружение с помощью модулей защиты от вредоносных программ.
• Репутация вредоносного URL-адреса
• Детонация^* URL-адреса. Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении во время анализа детонации.
• Репутация ^*>детонации URL-адресов: URL-адреса, ранее обнаруженные детонациями безопасных ссылок в других организациях Microsoft 365.
• Кампания^*: сообщения, определенные как часть кампании.

^*Только Defender для Office 365

В таблице сведений под диаграммой доступны следующие сведения:

• Date

• Тема

• Sender

• Получатели

• Технология обнаружения. Те же значения технологии обнаружения на диаграмме.

• Состояние доставки

• IP-адрес отправителя

• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

  Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Обнаружение: те же значения, что и на диаграмме.
• Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка учетных записей приоритета в Microsoft Defender для Office 365.
• Оценка: Да или Нет.
• Защищено: MDO (Defender для Office 365) и EOP
• Направление:
  • Все
  • Входящих
  • Исходящий
• Тег: все или указанный тег пользователя (включая учетные записи с приоритетом).
• Домен: все или обслуживаемый домен.
• Тип политики:
  • Все
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие
• Имя политики (только представление таблицы сведений): все или указанная политика.
• Получатели

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Разбивка диаграммы по типу политики

В разделе Просмотр данных по Email > фишинг, Просмотр данных по Email > спаму или Просмотр данных по Email > вредоносных программ при выборе диаграммы разбивка по типу политики на диаграмме отображаются следующие сведения:

• Защита от вредоносных программ
• Безопасные вложения^*
• Защита от фишинга
• Защита от нежелательной почты
• Правило потока обработки почты (также известное как правило транспорта)
• Другие

В таблице сведений под диаграммой доступны следующие сведения:

• Date

• Тема

• Sender

• Получатели

• Технология обнаружения. Те же значения технологии обнаружения на диаграмме.

• Состояние доставки.

• IP-адрес отправителя

• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

  Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Обнаружение: значения технологии обнаружения, как описано ранее в этой статье и в разделе Технологии обнаружения.
• Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка учетных записей приоритета в Microsoft Defender для Office 365.
• Оценка: Да или Нет.
• Защищено: MDO (Defender для Office 365) и EOP
• Направление:
  • Все
  • Входящих
  • Исходящий
• Тег: все или указанный тег пользователя (включая учетные записи с приоритетом).
• Домен: все или обслуживаемый домен.
• Тип политики:
  • Все
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие
• Имя политики (только представление таблицы сведений): все или указанная политика.
• Получатели

^*Только Defender для Office 365

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Разбивка диаграммы по состоянию доставки

В разделе Просмотр данных по Email > фишинг, Просмотр данных по Email > спаму или Просмотр данных по Email > вредоносных программ при выборе диаграммы разбивка по состоянию доставки отображается следующая информация на диаграмме:

• Размещенный почтовый ящик: Входящие
• Размещенный почтовый ящик: нежелательный
• Размещенный почтовый ящик: настраиваемая папка
• Размещенный почтовый ящик: удаленные элементы
• Пересылаются
• Локальный сервер: доставлено
• Карантин
• Сбой доставки
• Упал

В таблице сведений под диаграммой доступны следующие сведения:

• Date

• Тема

• Sender

• Получатели

• Технология обнаружения. Те же значения технологии обнаружения на диаграмме.

• Состояние доставки.

• IP-адрес отправителя

• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

  Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Обнаружение: значения технологии обнаружения, как описано ранее в этой статье и в разделе Технологии обнаружения.
• Защищено: MDO (Defender для Office 365) и EOP
• Направление:
  • Все
  • Входящих
  • Исходящий
• Тег: все или указанный тег пользователя (включая учетные записи с приоритетом).
• Домен: все или обслуживаемый домен.
• Тип политики:
  • Все
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие
• Имя политики (только представление таблицы сведений): все или указанная политика.
• Получатели

^*Только Defender для Office 365

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных по содержимому > вредоносных программ

В представлении Просмотр данных по содержимому > вредоносных программ на диаграмме отображаются следующие сведения для Microsoft Defender для Office 365 организаций:

• Подсистема защиты от вредоносных программ: вредоносные файлы, обнаруженные в SharePoint, OneDrive и Microsoft Teams с помощью встроенного обнаружения вирусов в Microsoft 365.
• Детонация MDO: вредоносные файлы, обнаруженные безопасными вложениями для SharePoint, OneDrive и Microsoft Teams.
• Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.

В таблице сведений под диаграммой доступны следующие сведения:

• Date
• Имя файла вложения
• Workload
• Технология обнаружения. Те же значения технологии обнаружения на диаграмме.
• Размер файла
• Последнее изменение пользователя

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания.
• Обнаружение: те же значения, что и на диаграмме.
• Рабочая нагрузка: Teams, SharePoint и OneDrive

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступно действие Экспорт.

Просмотр данных по переопределению системы и разбивке диаграмм по причине

В представлении Просмотр данных по системным переопределениям и Разбивка диаграммы по причине на диаграмме отображаются следующие сведения о причинах переопределения:

• Правило транспорта Exchange (правило потока обработки почты)
• Разрешить IP-адрес
• Локальный пропуск
• Разрешенные домены организации
• Разрешенные в организации отправители
• Моделирование фишинга. Дополнительные сведения см. в статье Настройка доставки сторонних фишинговых имитаций пользователям и нефильтрованных сообщений в почтовые ящики SecOps.
• TABL — разрешен url-адрес и файл.
• TABL — разрешено использование файлов
• TABL — файл заблокирован
• TABL — разрешено отправителю
• TABL — отправитель заблокирован
• TABL — разрешен URL-адрес
• TABL — URL-адрес заблокирован
• Сторонний фильтр
• Безопасный домен пользователя
• Надежный отправитель пользователя
• ZAP не включен

В таблице сведений под диаграммой доступны следующие сведения:

• Date
• Тема
• Sender
• Получатели
• Переопределение системы
• IP-адрес отправителя
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Причина: те же значения, что и диаграмма.
• Расположение доставки: папка нежелательной почты не включена или почтовый ящик SecOps.
• Направление:
  • Все
  • Входящих
  • Исходящий
• Тег: все или указанный тег пользователя (включая учетные записи с приоритетом).
• Домен: все или обслуживаемый домен.
• Тип политики: Все
• Имя политики (только представление таблицы сведений): Все
• Получатели

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступно действие Экспорт.

Просмотр данных по переопределению системы и разбивке диаграммы по расположению доставки

В представлении Просмотр данных по системным переопределениям и Разбивка диаграммы по расположению доставки на диаграмме отображаются следующие сведения о причинах переопределения:

• Папка нежелательной почты не включена
• Почтовый ящик SecOps. Дополнительные сведения см. в статье Настройка доставки сторонних симуляций фишинга пользователям и нефильтрованных сообщений в почтовые ящики SecOps.

В таблице сведений под диаграммой доступны следующие сведения:

• Date
• Тема
• Sender
• Получатели
• Переопределение системы
• IP-адрес отправителя
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Причина: те же значения, что и в разделе Разбивка диаграммы по типу политики
• Расположение доставки: папка нежелательной почты не включена или почтовый ящик SecOps.
• Направление:
  • Все
  • Входящих
  • Исходящий
• Тег: все или указанный тег пользователя (включая учетные записи с приоритетом). Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Домен: все или обслуживаемый домен.
• Тип политики:
  • Все
  • Защита от вредоносных программ
  • Безопасные вложения (только Defender для Office 365)
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие
• Имя политики (только представление таблицы сведений): Все
• Получатели

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступно действие Экспорт.

Лучший отчет о вредоносных программах

В отчете "Основные вредоносные программы " показаны различные виды вредоносных программ, обнаруженных защитой от вредоносных программ в EOP.

На странице отчетов о совместной работе Email & найдите https://security.microsoft.com/emailandcollabreportосновные вредоносные программы.

Наведите указатель мыши на клин в круговой диаграмме, чтобы увидеть имя вредоносной программы и количество сообщений, содержащих вредоносную программу.

Выберите Просмотреть сведения , чтобы перейти на страницу Основной отчет о вредоносных программах . Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/TopMalware.

На странице Основной отчет о вредоносных программах отображается большая версия круговой диаграммы. В таблице сведений под диаграммой показаны следующие сведения:

• Основные вредоносные программы: имя вредоносной программы
• Количество сообщений, содержащих вредоносную программу.

Выберите Фильтр , чтобы изменить отчет, выбрав значения Дата начала и Дата окончания в открывавшемся всплывающем окне.

На странице Основные вредоносные программы доступны действия Создание расписания и Экспорт.

Отчет о лучших отправителях и получателях

Отчет "Основные отправители и получатели" доступен как в EOP, так и в Defender для Office 365, однако отчеты содержат разные данные. Например, клиенты EOP могут просматривать сведения о наиболее распространенных вредоносных программах, спаме и получателях фишинга (спуфингом), но не сведения о вредоносных программах, обнаруженных безопасными вложениями или фишинге, обнаруженных защитой олицетворения.

В отчете "Основные отправители и получатели" отображаются 20 основных отправителей сообщений в организации, а также 20 основных получателей сообщений, обнаруженных EOP и Defender для Office 365 функциями защиты. По умолчанию в отчете отображаются данные за последнюю неделю, но доступны данные за последние 90 дней.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportосновные отправители и получатели.

Наведите указатель мыши на клин в круговой диаграмме, чтобы увидеть количество сообщений для отправителя или получателя.

Выберите Просмотреть сведения , чтобы перейти на страницу Основные отправители и получатели . Или, чтобы перейти непосредственно к отчету, используйте один из следующих URL-адресов:

• Defender для Office 365:https://security.microsoft.com/reports/TopSenderRecipientsATP
• EOP: https://security.microsoft.com/reports/TopSenderRecipient

На странице Основные отправители и получатели отображается большая версия круговой диаграммы. Доступны следующие диаграммы:

• Отображение данных для основных отправителей почты (представление по умолчанию)
• Отображение данных для основных получателей почты
• Отображение данных для основных получателей нежелательной почты
• Отображение данных для основных получателей вредоносных программ (EOP)
• Отображение данных для основных получателей фишинга
• Отображение данных для основных получателей вредоносных программ (MDO)
• Отображение данных для основных получателей фишинга (MDO)

Наведите указатель мыши на клин в круговой диаграмме, чтобы увидеть количество сообщений для конкретного отправителя или получателя.

Для каждой диаграммы в таблице сведений под диаграммой отображаются следующие сведения:

• Адрес электронной почты
• Item count
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Tag

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Основные отправители и получатели доступно действие Экспорт.

Отчет о защите URL-адресов

Отчет о защите URL-адресов доступен только в Microsoft Defender для Office 365. Дополнительные сведения см. в разделе Отчет о защите URL-адресов.

Отчет о сообщениях пользователя

Важно!

Чтобы отчет о сообщениях, сообщаемых пользователем , работал правильно, ведение журнала аудита должно быть включено в организации Microsoft 365 (он включен по умолчанию). Дополнительные сведения см. в разделе Включение и отключение аудита.

В отчете о сообщениях, сообщаемых пользователем, отображаются сведения о сообщениях электронной почты, которые пользователи сообщили как нежелательные, попытки фишинга или хорошую почту, с помощью встроенной кнопки Отчет в Outlook в Интернете или надстройках Microsoft Report Message или Report Phishing.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportсообщения, сообщаемые пользователем, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/userSubmissionReport.

Чтобы перейти непосредственно на страницу Отправки на портале Defender, выберите Перейти к отправке.

На диаграмме показаны следующие сведения:

• Спам
• Фишинг
• Не является нежелательным

В таблице сведений под диаграммой отображаются те же сведения и те же группы, настройка столбцов, отправка в Корпорацию Майкрософт для анализа и пометка и уведомление действий, как указано на вкладке Пользователь сообщил на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=user. Дополнительные сведения см. в разделе Просмотр сообщений, отправляемых пользователями в Корпорацию Майкрософт.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата сообщения: время начала и время окончания
• Reported by (Сообщил)
• Название
• Идентификатор сообщения
• Идентификатор сетевого сообщения
• Идентификатор сообщения Teams (в настоящее время находится в предварительной версии)
• Sender
• Сообщаемая причина
  • Нет угроз
  • Threats
  • Спам
• Сообщается от: **Майкрософт и стороннего производителя
• Имитация фишинга: Да и Нет.
• Преобразовано в отправку администратором: Да и Нет.
• Тип сообщения:
  • Отправить сообщение
  • Сообщение Teams (в настоящее время находится в предварительной версии)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Чтобы сгруппировать записи, выберите Группировать и выберите одно из следующих значений в раскрывающемся списке:

• Нет
• Причина
• Sender
• Reported by (Сообщил)
• Повторное сканирование результата
• Имитация фишинга

На странице Сообщения, сообщаемые пользователем, доступно действие Экспорт.

Какие разрешения необходимы для просмотра этих отчетов?

Вам необходимо назначить разрешения, прежде чем вы сможете просматривать и использовать отчеты, описанные в этой статье. Возможны следующие варианты:

• Microsoft 365 Defender управление доступом на основе ролей (RBAC): в настоящее время для этого параметра требуется членство в программе предварительной версии Microsoft 365 Defender.
• & Email RBAC для совместной работы на портале Microsoft 365 Defender: членство в любой из следующих групп ролей:
  • Управление организацией^*
  • Администратор безопасности
  • Читатель сведений о безопасности
  • Глобальный читатель
• Azure AD RBAC. Членство в ролях глобального администратора^*, администратора безопасности, читателя безопасности или глобального читателя в Azure Active Directory предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365. ^* Членство в группе ролей "Управление организацией" или роли глобального администратора требуется для использования действий Создания расписания или Запроса отчета в отчетах (если доступно).

Что делать, если в отчетах не отображаются данные?

Если данные не отображаются в отчетах, проверка фильтры отчетов и двойное проверка, что политики защиты настроены для обнаружения сообщений и выполнения действий с сообщениями. Дополнительные сведения см. в следующих статьях:

• Анализатор конфигурации для политик защиты в EOP и Microsoft Defender для Office 365
• Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365
• Разделы справки отключить фильтрацию спама?

Скачивание и экспорт сведений об отчете

В зависимости от отчета и, возможно, конкретного представления в отчете на странице main отчета может быть доступно одно или несколько из следующих действий, как описано ранее:

• Экспорт
• Создание расписания
• Отчет о запросе

Экспорт данных отчета

Совет

• На экспортированные данные влияют все фильтры, настроенные в отчете во время экспорта.
• Если экспортированные данные превышают 15 000 записей, данные разбиваются на несколько файлов.

1. На странице отчета выберите Экспорт.

2. Во всплывающем окне Условия экспорта просмотрите и настройте следующие параметры:

   • Выберите представление для экспорта. Выберите одно из следующих значений:
     • Сводка. Доступны данные за последние 90 дней. Это значение используется по умолчанию.
     • Сведения: доступны данные за последние 30 дней. Поддерживается диапазон дат в один день.
   • Дата (UTC):
     • Дата начала. Значение по умолчанию — три месяца назад.
     • Дата окончания: значение по умолчанию — сегодня.

   По завершении во всплывающем окне Условия экспорта выберите Экспорт.

   Кнопка Экспорт изменится на Экспорт... и отображается индикатор выполнения.

3. В открывшемся диалоговом окне Сохранить как вы увидите имя файла .csv по умолчанию и расположение для скачивания (локальная папка Загрузки по умолчанию), но вы можете изменить эти значения и нажать кнопку Сохранить , чтобы скачать экспортированные данные.

   Если появится диалоговое окно, в которое security.microsoft.com требуется скачать несколько файлов, выберите Разрешить.

Планирование повторяющихся отчетов

Примечание.

Чтобы создавать запланированные отчеты, необходимо быть членом роли управления организацией в Exchange Online или ролью глобального администратора в Azure AD.

1. На странице отчета выберите Создать расписание , чтобы запустить мастер создания запланированных отчетов.

2. На странице Имя запланированного отчета просмотрите или настройте значение Имя , а затем нажмите кнопку Далее.

3. На странице Установка параметров просмотрите или настройте следующие параметры:

   • Частота: выберите одно из следующих значений:
     • Еженедельно (по умолчанию)
     • Ежедневно
     • Ежемесячно
   • Дата начала. Введите дату начала создания отчета. Значение по умолчанию — сегодня.
   • Дата окончания срока действия. Введите дату окончания создания отчета. Значение по умолчанию — один год с сегодняшнего дня.

   Завершив работу на странице Установка параметров , нажмите кнопку Далее.

4. На странице Выбор фильтров настройте следующие параметры:

   • Направление: выберите одно из следующих значений:
     • Все (по умолчанию)
     • Исходящий
     • Входящих
   • Адрес отправителя
   • Адрес получателя

   Завершив работу на странице Выбор фильтров , нажмите кнопку Далее.

5. На странице Получатели выберите получателей для отчета в поле Отправить сообщение электронной почты . Значением по умолчанию является адрес электронной почты, но вы можете добавить других пользователей, выполнив одно из следующих действий:

• Щелкните поле, дождитесь разрешения списка пользователей, а затем выберите пользователя из списка под полем.
• Щелкните поле, начните вводить значение и выберите пользователя из списка под полем.

Чтобы удалить запись из списка, щелкните рядом с записью.

Завершив работу на странице Получатели , нажмите кнопку Далее.

6. На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

   Завершив работу на странице Рецензирование, нажмите кнопку Отправить.

7. На странице Создание нового запланированного отчета можно выбрать ссылки для просмотра запланированного отчета или создания другого отчета.

   Завершив работу на странице Создание отчета по расписанию , нажмите кнопку Готово.

Отчеты отправляются по электронной почте указанным получателям в соответствии с настроенным расписанием.

Запись запланированного отчета доступна на странице Управляемые расписания, как описано в следующем подразделе.

Управление существующими запланированными отчетами

После создания запланированного отчета, как описано в предыдущем разделе, запись запланированного отчета будет доступна на странице Управление расписаниями на портале Defender.

На портале Microsoft 365 Defender по адресу https://security.microsoft.comвыберите Отчеты>Email & совместная работа> выберите Управление расписаниями. Или, чтобы перейти непосредственно на страницу Управление расписаниями , используйте https://security.microsoft.com/ManageSubscription.

На странице Управление расписаниями для каждой записи запланированного отчета отображаются следующие сведения:

• Планирование даты начала
• Имя расписания
• Тип отчета
• Frequency
• Последнее отправленное

Чтобы изменить список с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Используйте поле Поиск, чтобы найти существующую запись запланированного отчета.

Чтобы изменить параметры запланированного отчета, сделайте следующее:

1. Выберите запись запланированного отчета, щелкнув в любом месте строки, кроме поля проверка.

2. В открывавшемся всплывающем окне сведений выполните одно из следующих действий.

   • Выберите Изменить имя , чтобы изменить имя запланированного отчета.
   • Щелкните ссылку Изменить в разделе, чтобы изменить соответствующие параметры.

   Параметры и действия по настройке совпадают с инструкциями, описанными в разделе Расписание отчета.

Чтобы удалить запись запланированного отчета, используйте один из следующих методов:

• Выберите поле проверка рядом с одним, несколькими или всеми запланированными отчетами, а затем выберите действие Удалить, которое появится на странице main.
• Выберите запланированный отчет, щелкнув в любом месте строки, кроме поля проверка, а затем выберите Удалить во всплывающем окне сведений.

Прочтите открывающееся диалоговое окно предупреждения и нажмите кнопку ОК.

На странице Управление расписаниями удаленная запись запланированного отчета больше не отображается, а предыдущие отчеты для запланированного отчета удаляются и больше не доступны для скачивания.

Запрос отчетов по запросу для скачивания

Запрос отчетов по запросу

Примечание.

Чтобы создавать отчеты по запросу, необходимо быть членом роли управления организацией в Exchange Online или ролью глобального администратора в Azure AD.

1. На странице отчета выберите Запрос отчета , чтобы запустить мастер создания отчетов по запросу.

2. На странице отчета Имя по запросу просмотрите или настройте значение Имя , а затем нажмите кнопку Далее.

3. На странице Установка параметров просмотрите или настройте следующие параметры:

   • Дата начала. Введите дату начала для данных отчета. Значение по умолчанию — месяц назад.
   • Дата окончания срока действия. Введите дату окончания для данных отчета. Значение по умолчанию — сегодня.

   Завершив работу на странице отчета имя по запросу , нажмите кнопку Далее.

4. На странице Получатели выберите получателей для отчета в поле Отправить сообщение электронной почты . Значением по умолчанию является адрес электронной почты, но вы можете добавить других пользователей, выполнив одно из следующих действий:

• Щелкните поле, дождитесь разрешения списка пользователей, а затем выберите пользователя из списка под полем.
• Щелкните поле, начните вводить значение и выберите пользователя из списка под полем.

Чтобы удалить запись из списка, щелкните рядом с записью.

Завершив работу на странице Получатели , нажмите кнопку Далее.

5. На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

   Завершив работу на странице Рецензирование, нажмите кнопку Отправить.

6. На странице Создание отчета по запросу можно щелкнуть ссылку, чтобы создать другой отчет.

   Завершив работу на странице Создание отчета по запросу , нажмите кнопку Готово.

Задача создания отчета (и, в конечном итоге, готовый отчет) доступна на странице Отчеты для скачивания , как описано в следующем подразделе.

Скачивание отчетов

Примечание.

Чтобы скачивать отчеты по запросу, необходимо быть членом роли управления организацией в Exchange Online или ролью глобального администратора в Azure AD.

После запроса отчета по запросу, как описано в предыдущем разделе, вы проверка состояние отчета и в конечном итоге скачайте отчет на странице Отчеты для скачивания на портале Defender.

На портале Microsoft 365 Defender по адресу https://security.microsoft.comвыберите Отчеты>Email & совместная работа> выберите Отчеты для скачивания. Или, чтобы перейти непосредственно на страницу Отчеты для скачивания , используйте https://security.microsoft.com/ReportsForDownload.

На странице Отчеты для скачивания для каждого доступного отчета отображаются следующие сведения:

• Дата начала
• Название
• Тип отчета
• Последнее отправленное
• Состояние:
  • Ожидание. Отчет все еще создается и пока недоступен для скачивания.
  • Завершено — готово к скачиванию. Создание отчета завершено, и отчет доступен для скачивания.
  • Завершено — результаты не найдены: создание отчета завершено, но отчет не содержит данных, поэтому его невозможно скачать.

Чтобы скачать отчет, выберите поле проверка рядом с датой начала отчета, а затем выберите действие Загрузить отчет, которое появится.

Используйте поле Поиск, чтобы найти существующий отчет.

В открывшемся диалоговом окне Сохранить как вы увидите имя файла .csv по умолчанию и расположение загрузки (локальная папка Загрузки по умолчанию), но вы можете изменить эти значения и нажать кнопку Сохранить , чтобы скачать отчет.

Статьи по теме

Защита от нежелательной почты в EOP

Защита от вредоносных программ в EOP

Просмотр отчетов о потоках обработки почты в EAC

Просмотр отчетов для Defender для Office 365