Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Во всех организациях Microsoft 365 доступны различные отчеты, которые помогут вам узнать, как функции безопасности электронной почты защищают организацию. Если у вас есть необходимые разрешения, вы можете просмотреть и скачать эти отчеты, как описано в этой статье.

Отчеты доступны на портале Microsoft Defender на https://security.microsoft.com странице отчетов о совместной работе Email & в разделе Отчеты>Email & совместная работа>Email & отчеты о совместной работе. Или, чтобы перейти непосредственно на страницу отчетов о совместной работе Email &, используйте https://security.microsoft.com/emailandcollabreport.

Сводные сведения по каждому отчету доступны на странице. Определите отчет, который требуется просмотреть, а затем выберите Просмотреть сведения для этого отчета.

В оставшейся части этой статьи описываются отчеты, которые являются эксклюзивными для Defender для Office 365.

Примечание.

• Некоторые отчеты на странице отчетов о совместной работе Email & являются эксклюзивными для Microsoft Defender для Office 365. Дополнительные сведения об этих отчетах см. в разделе Просмотр отчетов Defender для Office 365 на портале Microsoft Defender.

• Отчеты, связанные с потоком обработки почты, теперь находятся в Центре администрирования Exchange. Дополнительные сведения об этих отчетах см. в статье Отчеты о потоке обработки почты в новом Центре администрирования Exchange.

  Ссылка на эти отчеты доступна на портале Defender в разделе Отчеты>Email & совместная работа>Email & отчеты о>потоке обработки почты Exchange, что позволяет перейти к https://admin.exchange.microsoft.com/#/reports/mailflowreportsmain.

Email изменения в отчете о безопасности на портале Microsoft Defender

В следующей таблице описаны отчеты Exchange Online Protection (EOP) и Microsoft Defender для Office 365 на портале Microsoft Defender, которые были заменены, перемещены или устарели.

Устаревшие отчеты и командлеты	Новый отчет и командлеты	Идентификатор центра сообщений	Date
Трассировка URL-адреса Get-URLTrace	Отчет о защите URL-адресов Get-SafeLinksAggregateReport Get-SafeLinksDetailReport	MC239999	Июнь 2021
Отправленный и полученный отчет по электронной почте Get-MailTrafficReport Get-MailDetailReport	отчет о состоянии защиты от угроз; Отчет о состоянии потока почты Get-MailTrafficATPReport Get-MailDetailATPReport Get-MailFlowStatusReport	MC236025	Июнь 2021
Переадресация отчета командлеты отсутствуют	Отчет об автоматически пересылаемых сообщениях в EAC командлеты отсутствуют	MC250533	Июнь 2021
Отчет о типах файлов безопасных вложений Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport	Отчет о состоянии защиты от угроз: просмотр данных по Email > вредоносных программ Get-MailTrafficATPReport Get-MailDetailATPReport	MC250532	Июнь 2021
Отчет о ликвидации сообщений о безопасных вложениях Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport	Отчет о состоянии защиты от угроз: просмотр данных по Email > вредоносных программ Get-MailTrafficATPReport Get-MailDetailATPReport	MC250531	Июнь 2021
Обнаруженная вредоносная программа в отчете по электронной почте Get-MailTrafficReport Get-MailDetailMalwareReport	Отчет о состоянии защиты от угроз: просмотр данных по Email > вредоносных программ Get-MailTrafficATPReport Get-MailDetailATPReport	MC250530	Июнь 2021
Отчет об обнаружении нежелательной почты Get-MailTrafficReport Get-MailDetailSpamReport	Отчет о состоянии защиты от угроз: просмотр данных по Email > спам Get-MailTrafficATPReport Get-MailDetailATPReport	MC250529	Октябрь 2021 г.
Get-AdvancedThreatProtectionDocumentReport Get-AdvancedThreatProtectionDocumentDetail	Get-ContentMalwareMdoAggregateReport Get-ContentMalwareMdoDetailReport	MC343433	Май 2022 г.
Отчет о правиле транспорта Exchange Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport	Отчет о правиле транспорта Exchange в EAC Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport	MC316157	Апрель 2022 г.
Get-MailTrafficTopReport	Основные отправители и получатели отчета Get-MailTrafficSummaryReport Примечание. Возможности создания отчетов о шифровании в Get-MailTrafficTopReport не заменяются.	MC315742	Апрель 2022 г.

Отчет о скомпрометированных пользователях

В отчете Скомпрометированные пользователи отображается количество учетных записей пользователей, которые были помечены как подозрительные или ограниченные в течение последних 7 дней. Учетные записи в любом из этих состояний являются проблемными или даже скомпрометированными. При частом использовании отчет можно использовать для выявления пиков и даже тенденций в подозрительных или ограниченных учетных записях. Дополнительные сведения о скомпрометированных пользователях см. в статье Реагирование на скомпрометированную учетную запись электронной почты.

В статистическом представлении отображаются данные за последние 90 дней, а в представлении подробных сведений — данные за последние 30 дней.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportскомпрометированных пользователей и выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/CompromisedUsers.

На странице Скомпрометированные пользователи на диаграмме показаны следующие сведения для указанного диапазона дат:

• Ограничено. Учетная запись пользователя была ограничена отправкой электронной почты из-за очень подозрительных шаблонов.
• Подозрительно: учетная запись пользователя отправила подозрительное сообщение электронной почты и может быть ограничена отправкой электронной почты.

В таблице сведений под диаграммой показаны следующие сведения:

• Время создания
• Идентификатор пользователя
• Действие
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания.
• Действие: ограниченное или подозрительное
• Тег: выберите все или указанный тег пользователя (включая учетную запись приоритета). Дополнительные сведения см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Скомпрометированные пользователи доступны действия Создание расписания, Запрос отчета и Экспорт.

Отчет о правиле транспорта Exchange

Примечание.

Отчет о правиле транспорта Exchange теперь доступен в EAC. Дополнительные сведения см. в статье Отчет о правилах транспорта Exchange в новом EAC.

Переадресация отчета

Примечание.

Этот отчет теперь доступен в EAC. Дополнительные сведения см. в статье Отчет об автоматически пересылаемых сообщениях в новом EAC.

Отчет о состоянии потока почты

Отчет о состоянии потока почты — это интеллектуальный отчет, в который отображаются сведения о входящих и исходящих сообщениях электронной почты, обнаружениях спама, вредоносных программах, сообщениях электронной почты, помеченных как "хорошие", а также сведения о электронной почте, разрешенной или заблокированной на границе. Это единственный отчет, содержащий сведения о защите границ. В отчете показано, сколько сообщений электронной почты заблокировано перед входом в службу для проверки Exchange Online Protection (EOP) или Defender для Microsoft 365.

Совет

Если сообщение отправляется пяти получателям, мы считаем его пятью различными сообщениями, а не одним сообщением.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportсводку состояния потока почты, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/mailflowStatusReport.

Доступные представления в отчете о состоянии потока почты описаны в следующих подразделах.

Представление типов для отчета о состоянии потока почты

На странице отчета о состоянии потока почты вкладка Тип выбрана по умолчанию. На диаграмме показаны следующие сведения для указанного диапазона дат:

• Вредоносные программы: Email, которые блокируются как вредоносные программы различными фильтрами.
• Total
• Хорошая почта: Email, которая не является спамом или разрешена политиками пользователей или организации.
• Фишинговый адрес электронной почты: Email, который заблокирован как фишинг различными фильтрами.
• Спам: Email, который блокируется как спам различными фильтрами.
• Защита ребер: Email, отклоненная на границе или периметре перед проверкой EOP или Defender для Office 365.
• Сообщения правил: Email сообщения, помещенные в карантин правилами потока обработки почты (также известными как правила транспорта).
• Защита от потери данных: Email сообщения, помещенные в карантин политиками защиты от потери данных (DLP).

В таблице сведений под диаграммой показаны следующие сведения:

• Направление
• Тип
• 24 часа
• за 3 дня;
• 7 дней
• 15 дней
• 30 дней

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания.
• Направление почты: выберите Входящие, Исходящие и Внутри организации.
• Тип: выберите одно или несколько из следующих значений:
  • Хорошая почта
  • Вредоносная программа
  • Спам
  • Защита периметра
  • Сообщения правил
  • Фишинговое письмо
  • Защита от потери данных
• Домен. Выберите Все или обслуживаемый домен.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На вкладке Тип выберите Выбрать категорию для получения дополнительных сведений , чтобы просмотреть дополнительные сведения:

• Фишинговое сообщение электронной почты. Этот выбор позволяет просмотреть данные по Email > фишинга и разбивки диаграмм по технологии обнаружения в отчете о состоянии защиты от угроз.
• Вредоносные программы в электронной почте. Этот параметр позволяет просмотреть данные по Email > вредоносных программ и диаграмм по технологии обнаружения в отчете о состоянии защиты от угроз.
• Обнаружение нежелательной почты. Этот параметр позволяет просмотреть данные по Email > Спам и разбивка диаграмм по технологии обнаружения в отчете о состоянии защиты от угроз.

На вкладке *Тип доступны действия Создание расписания и Экспорт.

Представление направления для отчета о состоянии потока почты

На вкладке Направление на диаграмме отображаются следующие сведения для указанного диапазона дат:

• Входящих
• Внутри организации
• Исходящий

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания.
• Направление почты: выберите Входящие, Исходящие и Внутри организации.
• Тип: выберите одно или несколько из следующих значений:
  • Хорошая почта
  • Вредоносная программа
  • Спам
  • Защита периметра
  • Сообщения правил
  • Фишинговое письмо
  • Защита от потери данных: Email сообщения, помещенные в карантин политиками защиты от потери данных (DLP).
• Домен. Выберите Все или обслуживаемый домен.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На вкладке Направление выберите Выбрать категорию, чтобы получить дополнительные сведения :

• Фишинговое сообщение электронной почты. Этот выбор позволяет просмотреть данные по Email > фишинга и разбивки диаграмм по технологии обнаружения в отчете о состоянии защиты от угроз.
• Вредоносные программы в электронной почте. Этот параметр позволяет просмотреть данные по Email > вредоносных программ и диаграмм по технологии обнаружения в отчете о состоянии защиты от угроз.
• Обнаружение нежелательной почты. Этот параметр позволяет просмотреть данные по Email > Спам и разбивка диаграмм по технологии обнаружения в отчете о состоянии защиты от угроз.

На вкладке Направление доступны действия Создание расписания и Экспорт.

Представление потока почты для отчета о состоянии потока почты

На вкладке Поток почты показано, как функции защиты от угроз электронной почты Корпорации Майкрософт фильтруют входящие и исходящие сообщения электронной почты в вашей организации. В этом представлении используется горизонтальная блок-схема (известная как схема Sankey ) для предоставления сведений об общем количестве сообщений электронной почты и о том, как функции защиты от угроз влияют на это число.

Статистическое представление и представление таблицы сведений позволяют фильтровать в течение 90 дней.

Информация на схеме закодирована цветом с помощью EOP и Defender для Office 365 технологий.

Схема организована в следующие горизонтальные полосы:

• Всего диапазон электронной почты : это значение всегда отображается первым.
• Блок edge и полоса обработки :
  • Блок edge: сообщения, которые были отфильтрованы по краю и определены как защита edge.
  • Обработано: сообщения, обработанные стеком фильтрации.
• Группа результатов:
  • Блок защиты от потери данных
  • Блок правил: сообщения, помещенные в карантин правилами потока обработки почты Exchange (правилами транспорта).
  • Блок вредоносных программ: сообщения, которые были определены как вредоносные программы.^*
  • Блок фишинга: сообщения, которые были определены как фишинговые.^*
  • Блок спама: сообщения, которые были определены как спам.^*
  • Блок олицетворения: сообщения, обнаруженные как олицетворение пользователя или олицетворение домена в Defender для Office 365.^*
  • Блок детонации. Сообщения, обнаруженные во время детонации файла или URL-адреса политиками безопасных вложений или политиками безопасных ссылок в Defender для Office 365.^*
  • Удалено ZAP: сообщения, которые были удалены с помощью автоматической очистки (ZAP).^*
  • Доставлено: сообщения, которые были доставлены пользователям из-за разрешения.^*

Если наведите указатель мыши на горизонтальную полосу на схеме, вы увидите количество связанных сообщений.

^* Если выбрать этот элемент, схема будет развернута, чтобы отобразить дополнительные сведения. Описание каждого элемента в развернутых узлах см. в разделе Технологии обнаружения.

В таблице сведений под схемой показаны следующие сведения:

• Дата (UTC)
• Всего сообщений электронной почты
• Отфильтрованное по краю
• Сообщения правил
• Подсистема защиты от вредоносных программ, безопасные вложения, отфильтрованные правила
• Олицетворение DMARC, подделка, отфильтрованный фишинг
• Обнаружение детонации
• Фильтрация нежелательной почты
• Удалено ZAP
• Сообщения, в которых угрозы не обнаружены

Выберите строку в таблице сведений, чтобы просмотреть дальнейшую разбивку количества сообщений электронной почты во всплывающем всплывающем элементе сведений.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания.
• Направление почты: выберите Входящие, Исходящие и Внутри организации.
• Домен. Выберите Все или обслуживаемый домен.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На вкладке Поток обработки почты выберите Показать тенденции , чтобы просмотреть графики трендов во всплывающем во всплывающем меню Тренды потока почты.

На вкладке Поток почты доступно действие Экспорт.

Отчет об обнаружении вредоносных программ

Примечание.

Этот отчет не рекомендуется использовать. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет о задержке почты

Отчет о задержке почты в Defender для Office 365 содержит сведения о задержке доставки почты и детонации в вашей организации. Дополнительные сведения см. в разделе Отчет о задержке почты.

Отчет о действиях после доставки

Отчет о действиях после доставки доступен только в организациях с Microsoft Defender для Office 365 план 2. Сведения об отчете см. в разделе Отчет о действиях после доставки.

Отчет об обнаружении нежелательной почты

Примечание.

Этот отчет не рекомендуется использовать. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет об обнаружении подделок

В отчете Об обнаружении спуфингов отображаются сведения о сообщениях, которые были заблокированы или разрешены из-за спуфингом. Дополнительные сведения о спуфингом см. в разделе Защита от спуфингов в EOP.

Агрегированные и подробные представления отчета обеспечивают фильтрацию в течение 90 дней.

Примечание.

Последние доступные данные в отчете — от 3 до 4 дней.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportобнаружение подделок, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/SpoofMailReport.

На диаграмме показаны следующие сведения:

• Пройти
• Не
• SoftPass
• Нет
• Other

Наведите указатель мыши на день (точку данных) на диаграмме, чтобы узнать, сколько подделанных сообщений было обнаружено и почему.

В таблице сведений под диаграммой показаны следующие сведения:

• Date

• Подделанный пользователь

• Инфраструктура отправки

• Тип спуфинга

• Результат

• Код результата

• SPF

• DKIM

• DMARC

• Количество сообщений

  Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Дополнительные сведения о кодах результатов составной проверки подлинности см. в статье Заголовки сообщений защиты от нежелательной почты в Microsoft 365.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Результат:
  • Пройти
  • Не
  • SoftPass
  • Нет
  • Other
• Тип подделки: внутренний и внешний

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Отчет о спуфинговой почте доступны действия Создание расписания, Запрос отчета и Экспорт.

Отчет об отправке

В отчете Об отправке отображаются сведения о элементах, которые администраторы сообщили корпорации Майкрософт для анализа за последние 30 дней. Дополнительные сведения об отправке администратором см. в статье Использование отправки Администратор для отправки в корпорацию Майкрософт подозрительных спама, фишинга, URL-адресов и файлов.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportОтправки, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/adminSubmissionReport.

Чтобы перейти непосредственно на страницу Отправки на портале Defender, выберите Перейти к отправке.

На диаграмме показаны следующие сведения:

• Pending
• Выполнено

В таблице сведений под диаграммой отображаются те же сведения и доступные действия, что и на вкладке Электронная почта на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=email:

• Настройка столбцов
• Группы
• Отправка в Корпорацию Майкрософт для анализа

Дополнительные сведения см. в разделе Просмотр отправки электронной почты администратора в Корпорацию Майкрософт.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата отправки: дата начала и дата окончания
• Идентификатор отправки
• Идентификатор сетевого сообщения
• Sender
• Получатель
• Имя отправки
• Отправлено
• Причина отправки:
  • Не является нежелательным
  • Отображается чисто
  • Отображается подозрительно
  • Фишинг
  • Вредоносная программа
  • Спам
• Состояние повторного сканирования:
  • Pending
  • Выполнено
• Теги: все или один или несколько тегов пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Отправки доступно действие Экспорт .

отчет о состоянии защиты от угроз;

Отчет о состоянии защиты от угроз доступен как в EOP, так и в Defender для Office 365. Однако отчеты содержат разные данные. Например, клиенты EOP могут просматривать сведения о вредоносных программах, обнаруженных в электронной почте, но не о вредоносных файлах, обнаруженных безопасными вложениями для SharePoint, OneDrive и Microsoft Teams.

Отчет содержит количество сообщений электронной почты с вредоносным содержимым. Например:

• Файлы или адреса веб-сайтов (URL-адреса), которые были заблокированы подсистемой защиты от вредоносных программ.
• Файлы или сообщения, на которые влияет автоматическая очистка (ZAP) нулевого часа
• Файлы или сообщения, заблокированные Defender для Office 365 функции: безопасные ссылки, безопасные вложения и функции защиты олицетворения в политиках защиты от фишинга.

Сведения, приведенные в этом отчете, можно использовать для выявления тенденций или определения необходимости корректировки политик организации.

Совет

Если сообщение отправляется пяти получателям, мы считаем его пятью различными сообщениями, а не одним сообщением.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportОтправки, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте один из следующих URL-адресов:

• Defender для Office 365:https://security.microsoft.com/reports/TPSAggregateReportATP
• EOP: https://security.microsoft.com/reports/TPSAggregateReport

По умолчанию на диаграмме показаны данные за последние семь дней. Выберите Фильтр на странице Отчет о состоянии защиты от угроз , чтобы выбрать диапазон дат 90 дней (пробные подписки могут быть ограничены 30 днями). Таблица сведений позволяет фильтровать данные за последние 30 дней.

Доступные представления описаны в следующих подразделах.

Просмотр данных по обзору

В представлении Просмотр данных по обзору на диаграмме отображаются следующие сведения об обнаружении:

• Email вредоносные программы
• Email фишинг
• Email спам
• Вредоносные программы содержимого (только Defender для Office 365: файлы, обнаруженные встроенной защитой от вирусов в SharePoint Online, OneDrive и Microsoft Teams,а также безопасные вложения для SharePoint, OneDrive и Microsoft Teams)

Таблица подробных сведений не доступна под диаграммой.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания.
• Обнаружение: те же значения, что и на диаграмме.
• Защищено: MDO (Defender для Office 365) и EOP.
• Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
• Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
• Тип политики: оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите одно из следующих значений:
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Просмотр данных по Email > фишингу и разбивке диаграмм по технологии обнаружения

Примечание.

В мае 2021 г. обнаружения фишинга в электронной почте были обновлены, включив в них вложения сообщений , содержащие фишинговые URL-адреса. Это изменение может привести к перемещению некоторых объемов обнаружения из представления Просмотр данных Email > вредоносных программ и в представление Просмотр данных по Email > фишинга. Иными словами, вложения сообщений с фишинговыми URL-адресами, которые традиционно определялись как вредоносные программы, теперь могут быть идентифицированы как фишинговые.

В представлении Просмотр данных по Email > фишинга и разбивки диаграмм по технологии обнаружения на диаграмме отображаются следующие сведения:

• Расширенный фильтр: фишинговые сигналы на основе машинного обучения.
• Кампания^*: сообщения, определенные как часть кампании.
• Детонация^* файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
• Репутация ^*детонации файлов. Вложения файлов, ранее обнаруженные детонациями безопасных вложений в других организациях Microsoft 365.
• Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
• Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
• Общий фильтр: фишинговые сигналы на основе правил аналитика.
• Бренд олицетворения: олицетворение отправителя известных брендов.
• Домен ^*олицетворения: олицетворение доменов отправителей, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга.
• Пользователь ^*олицетворения: олицетворение защищенных отправителей, указанных в политиках защиты от фишинга или полученных с помощью аналитики почтовых ящиков.
• Олицетворение аналитики почтовых ящиков. Обнаружение олицетворения из аналитики почтовых ящиков в политиках защиты от фишинга.^*
• Обнаружение смешанного анализа: несколько фильтров способствовали вердикту сообщения.
• Spoof DMARC: сообщение не удалось выполнить проверку подлинности DMARC.
• Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации.
• Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации.
• Детонация^* URL-адреса. Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении во время анализа детонации.
• Репутация ^*детонации URL-адресов: URL-адреса, ранее обнаруженные детонациями безопасных ссылок в других организациях Microsoft 365.
• Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.

^*Только Defender для Office 365

В таблице сведений под диаграммой доступны следующие сведения:

• Date
• Тема
• Sender
• Получатели
• Технология обнаружения. Те же значения технологии обнаружения на диаграмме.
• Состояние доставки.
• IP-адрес отправителя
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания
• Обнаружение: те же значения, что и на диаграмме.
• Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка защиты учетных записей с приоритетом в Microsoft Defender для Office 365.
• Оценка: Да или Нет.
• Защищено: MDO (Defender для Office 365) и EOP
• Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
• Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
• Тип политики: выберите Все или одно из следующих значений:
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие
• Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
• Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись из таблицы сведений, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью сводки Email и содержит сводные сведения, которые также доступны на странице сущности Email в Defender для Office 365 сообщения. Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.

В Defender для Microsoft 365 в верхней части панели Email сводки отчета о состоянии защиты от угроз доступны следующие действия:

• Открытие сущности электронной почты. Дополнительные сведения см. на странице сущности Email в Microsoft Defender для Office 365.
• Принять меры. Дополнительные сведения см. в разделе Исправление с помощью действия "Принять".

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных по Email > спама и разбивка диаграмм по технологии обнаружения

В представлении Просмотр данных по Email > спама и разбивки диаграмм по технологии обнаружения на диаграмме отображаются следующие сведения:

• Расширенный фильтр: фишинговые сигналы на основе машинного обучения.
• Массовый. Уровень массовой жалобы (BCL) сообщения превышает заданное пороговое значение для спама.
• Репутация домена. Сообщение было отправлено из домена, который ранее был определен как рассылка спама в других организациях Microsoft 365.
• Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
• Общий фильтр
• Репутация IP-адресов. Сообщение было отправлено из источника, который ранее был определен как отправляющий спам в других организациях Microsoft 365.
• Обнаружение смешанного анализа. Несколько фильтров способствовали вердикту для сообщения.
• Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.

В таблице сведений под диаграммой доступны следующие сведения:

• Date
• Тема
• Sender
• Получатели
• Технология обнаружения. Те же значения технологии обнаружения на диаграмме.
• Состояние доставки.
• IP-адрес отправителя
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

• Прокрутите страницу по горизонтали в веб-браузере.
• Сужает ширину соответствующих столбцов.
• Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания

• Обнаружение: те же значения, что и на диаграмме.

• Уровень массовой жалобы. Если выбрано значение ОбнаружениеМассовое , ползунок доступен для фильтрации отчета по выбранному диапазону BCL. Эти сведения можно использовать для подтверждения или настройки порогового значения BCL в политиках защиты от нежелательной почты, чтобы разрешить более или менее массовое использование электронной почты в вашей организации.

  Если значение Обнаружениемассовое не выбрано, ползунок неактивен и массовые обнаружения не включаются в отчет.

• Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка защиты учетных записей с приоритетом в Microsoft Defender для Office 365.

• Направление: Все или введите Входящие, Исходящие и Внутри организации.

• Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.

• Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

• Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.

• Тип политики: выберите Все или одно из следующих значений:

  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие

• Имя политики (только представление таблицы сведений): выберите Все или определенную политику.

• Получатели

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись из таблицы сведений, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью сводки Email и содержит сводные сведения, которые также доступны на странице сущности Email в Defender для Office 365 сообщения. Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.

В Defender для Microsoft 365 в верхней части панели Email сводки отчета о состоянии защиты от угроз доступны следующие действия:

• Открытие сущности электронной почты. Дополнительные сведения см. на странице сущности Email в Microsoft Defender для Office 365.
• Принять меры. Дополнительные сведения см. в разделе Исправление с помощью действия "Принять".

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных по Email > вредоносных программ и разбивка диаграмм по технологии обнаружения

Примечание.

В мае 2021 г. обнаружение вредоносных программ в электронной почте было обновлено для включения вредоносных URL-адресов во вложения сообщений. Это изменение может привести к смещению части объема обнаружения из представления данных Представления Email > представлении фишинга и в представление Просмотр данных по Email > вредоносных программ. Другими словами, вредоносные URL-адреса во вложениях сообщений, которые традиционно были определены как фишинг, теперь могут быть определены как вредоносные программы.

В представлении Просмотр данных по Email > вредоносных программ и диаграмм по технологии обнаружения на диаграмме отображаются следующие сведения:

• Детонация^* файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
• Репутация ^*детонации файлов. Вложения файлов, ранее обнаруженные детонациями безопасных вложений в других организациях Microsoft 365.
• Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
• Подсистема^* защиты от вредоносных программ. Обнаружение с помощью модулей защиты от вредоносных программ.
• Репутация вредоносного URL-адреса
• Детонация^* URL-адреса. Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении во время анализа детонации.
• Репутация ^*детонации URL-адресов: URL-адреса, ранее обнаруженные детонациями безопасных ссылок в других организациях Microsoft 365.
• Кампания^*: сообщения, определенные как часть кампании.

^*Только Defender для Office 365

В таблице сведений под диаграммой доступны следующие сведения:

• Date

• Тема

• Sender

• Получатели

• Технология обнаружения. Те же значения технологии обнаружения на диаграмме.

• Состояние доставки

• IP-адрес отправителя

• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

  Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Обнаружение: те же значения, что и на диаграмме.
• Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка учетных записей приоритета в Microsoft Defender для Office 365.
• Оценка: Да или Нет.
• Защищено: MDO (Defender для Office 365) и EOP
• Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
• Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
• Тип политики: выберите Все или одно из следующих значений:
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие
• Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
• Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись из таблицы сведений, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью сводки Email и содержит сводные сведения, которые также доступны на странице сущности Email в Defender для Office 365 сообщения. Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.

В Defender для Microsoft 365 в верхней части панели Email сводки отчета о состоянии защиты от угроз доступны следующие действия:

• Открытие сущности электронной почты. Дополнительные сведения см. на странице сущности Email в Microsoft Defender для Office 365.
• Принять меры. Дополнительные сведения см. в разделе Исправление с помощью действия "Принять".

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Разбивка диаграммы по типу политики

В разделе Просмотр данных по Email > фишинг, Просмотр данных по Email > спаму или Просмотр данных по Email > вредоносных программ при выборе диаграммы разбивка по типу политики на диаграмме отображаются следующие сведения:

• Защита от вредоносных программ
• Безопасные вложения^*
• Защита от фишинга
• Защита от нежелательной почты
• Правило потока обработки почты (также известное как правило транспорта)
• Другие

В таблице сведений под диаграммой доступны следующие сведения:

• Date

• Тема

• Sender

• Получатели

• Технология обнаружения. Те же значения технологии обнаружения на диаграмме.

• Состояние доставки.

• IP-адрес отправителя

• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

  Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Обнаружение: значения технологии обнаружения, как описано ранее в этой статье и в разделе Технологии обнаружения.
• Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка учетных записей приоритета в Microsoft Defender для Office 365.
• Оценка: Да или Нет.
• Защищено: MDO (Defender для Office 365) и EOP
• Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
• Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
• Тип политики: выберите Все или одно из следующих значений:
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие
• Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
• Получатели (разделенные запятыми)

^*Только Defender для Office 365

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись из таблицы сведений, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью сводки Email и содержит сводные сведения, которые также доступны на странице сущности Email в Defender для Office 365 сообщения. Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.

В Defender для Microsoft 365 в верхней части панели Email сводки отчета о состоянии защиты от угроз доступны следующие действия:

• Открытие сущности электронной почты. Дополнительные сведения см. на странице сущности Email в Microsoft Defender для Office 365.
• Принять меры. Дополнительные сведения см. в разделе Исправление с помощью действия "Принять".

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Разбивка диаграммы по состоянию доставки

В разделе Просмотр данных по Email > фишинг, Просмотр данных по Email > спаму или Просмотр данных по Email > вредоносных программ при выборе диаграммы разбивка по состоянию доставки отображается следующая информация на диаграмме:

• Размещенный почтовый ящик: Входящие
• Размещенный почтовый ящик: нежелательный
• Размещенный почтовый ящик: настраиваемая папка
• Размещенный почтовый ящик: удаленные элементы
• Пересылаются
• Локальный сервер: доставлено
• Карантин
• Сбой доставки
• Упал

В таблице сведений под диаграммой доступны следующие сведения:

• Date

• Тема

• Sender

• Получатели

• Технология обнаружения. Те же значения технологии обнаружения на диаграмме.

• Состояние доставки.

• IP-адрес отправителя

• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

  Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Обнаружение: значения технологии обнаружения, как описано ранее в этой статье и в разделе Технологии обнаружения.
• Защищено: MDO (Defender для Office 365) и EOP
• Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
• Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
• Тип политики: выберите Все или одно из следующих значений:
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие
• Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
• Получатели (разделенные запятыми)

^*Только Defender для Office 365

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись из таблицы сведений, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений о сообщении электронной почты. Это всплывающее окно сведений называется панелью сводки Email и содержит сводные сведения, которые также доступны на странице сущности Email в Defender для Office 365 сообщения. Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.

В Defender для Microsoft 365 в верхней части панели Email сводки отчета о состоянии защиты от угроз доступны следующие действия:

• Открытие сущности электронной почты. Дополнительные сведения см. на странице сущности Email в Microsoft Defender для Office 365.
• Принять меры. Дополнительные сведения см. в разделе Исправление с помощью действия "Принять".

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных по содержимому > вредоносных программ

В представлении Просмотр данных по содержимому > вредоносных программ на диаграмме отображаются следующие сведения для Microsoft Defender для Office 365 организаций:

• Подсистема защиты от вредоносных программ: вредоносные файлы, обнаруженные в SharePoint, OneDrive и Microsoft Teams с помощью встроенного обнаружения вирусов в Microsoft 365.
• MDO детонация: вредоносные файлы, обнаруженные безопасными вложениями для SharePoint, OneDrive и Microsoft Teams.
• Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.

В таблице сведений под диаграммой доступны следующие сведения:

• Date
• Имя файла вложения
• Workload
• Технология обнаружения. Те же значения технологии обнаружения на диаграмме.
• Размер файла
• Последнее изменение пользователя

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания.
• Обнаружение: те же значения, что и на диаграмме.
• Рабочая нагрузка: Teams, SharePoint и OneDrive

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступно действие Экспорт.

Просмотр данных по переопределению системы и разбивке диаграмм по причине

В представлении Просмотр данных по системным переопределениям и Разбивка диаграммы по причине на диаграмме отображаются следующие сведения о причинах переопределения:

• Защита от потери данных: Email сообщения, помещенные в карантин политиками защиты от потери данных (DLP).
• Правило транспорта Exchange
• Монопольный параметр (Outlook)
• Разрешить IP-адрес
• Локальный пропуск
• Разрешенные домены организации
• Разрешенные в организации отправители
• Моделирование фишинга. Дополнительные сведения см. в статье Настройка доставки сторонних фишинговых имитаций пользователям и нефильтрованных сообщений в почтовые ящики SecOps.
• Список доменов отправителя
• TABL — разрешен url-адрес и файл.
• TABL — разрешено использование файлов
• TABL — файл заблокирован
• TABL — разрешен URL-адрес
• TABL — URL-адрес заблокирован
• Адрес электронной почты отправителя TABL Разрешить
• Блок адреса электронной почты отправителя TABL
• Блок спуфингом TABL
• Сторонний фильтр
• Список доверенных контактов — отправитель в адресной книге
• Список адресов доверенных получателей
• Список доменов доверенных получателей
• Список надежных отправителей (Outlook)
• Безопасный домен пользователя
• Надежный отправитель пользователя
• ZAP не включен

В таблице сведений под диаграммой доступны следующие сведения:

• Date
• Тема
• Sender
• Получатели
• Переопределение системы
• IP-адрес отправителя
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Причина: те же значения, что и диаграмма.
• Расположение доставки: папка нежелательной почты не включена и почтовый ящик SecOps.
• Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
• Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
• Тип политики: выберите Все или одно из следующих значений:
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие
• Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
• Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступно действие Экспорт.

Просмотр данных по переопределению системы и разбивке диаграммы по расположению доставки

В представлении Просмотр данных по системным переопределениям и Разбивка диаграммы по расположению доставки на диаграмме отображаются следующие сведения о причинах переопределения:

• Папка нежелательной почты не включена
• Почтовый ящик SecOps. Дополнительные сведения см. в статье Настройка доставки сторонних симуляций фишинга пользователям и нефильтрованных сообщений в почтовые ящики SecOps.

В таблице сведений под диаграммой доступны следующие сведения:

• Date
• Тема
• Sender
• Получатели
• Переопределение системы
• IP-адрес отправителя
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Причина: те же значения, что и в разделе Разбивка диаграммы по типу политики
• Расположение доставки: папка нежелательной почты не включена и почтовый ящик SecOps.
• Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
• Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
• Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
• Тип политики: выберите Все или одно из следующих значений:
  • Защита от вредоносных программ
  • Безопасные вложения
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (правило транспорта)
  • Другие
• Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
• Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступно действие Экспорт.

Лучший отчет о вредоносных программах

В отчете "Основные вредоносные программы " показаны различные виды вредоносных программ, обнаруженных защитой от вредоносных программ в EOP.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportосновные вредоносные программы.

Наведите указатель мыши на клин в круговой диаграмме, чтобы увидеть имя вредоносной программы и количество сообщений, содержащих вредоносную программу.

Выберите Просмотреть сведения , чтобы перейти на страницу Основной отчет о вредоносных программах . Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/TopMalware.

На странице Основной отчет о вредоносных программах отображается большая версия круговой диаграммы. В таблице сведений под диаграммой показаны следующие сведения:

• Основные вредоносные программы: имя вредоносной программы
• Количество сообщений, содержащих вредоносную программу.

Выберите Фильтр , чтобы изменить отчет, выбрав значения Дата начала и Дата окончания в открывавшемся всплывающем окне.

На странице Основные вредоносные программы доступны действия Создание расписания и Экспорт.

Отчет о лучших отправителях и получателях

Отчет "Основные отправители и получатели" доступен как в EOP, так и в Defender для Office 365, однако отчеты содержат разные данные. Например, клиенты EOP могут просматривать сведения о наиболее распространенных вредоносных программах, спаме и получателях фишинга (спуфингом), но не сведения о вредоносных программах, обнаруженных безопасными вложениями или фишинге, обнаруженных защитой олицетворения.

В отчете "Основные отправители и получатели" отображаются 20 основных отправителей сообщений в организации, а также 20 основных получателей сообщений, обнаруженных EOP и Defender для Office 365 функциями защиты. По умолчанию в отчете отображаются данные за последнюю неделю, но доступны данные за последние 90 дней.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportосновные отправители и получатели.

Наведите указатель мыши на клин в круговой диаграмме, чтобы увидеть количество сообщений для отправителя или получателя.

Выберите Просмотреть сведения , чтобы перейти на страницу Основные отправители и получатели . Или, чтобы перейти непосредственно к отчету, используйте один из следующих URL-адресов:

• Defender для Office 365:https://security.microsoft.com/reports/TopSenderRecipientsATP
• EOP: https://security.microsoft.com/reports/TopSenderRecipient

На странице Основные отправители и получатели отображается большая версия круговой диаграммы. Доступны следующие диаграммы:

• Отображение данных для основных отправителей почты (представление по умолчанию)
• Отображение данных для основных получателей почты
• Отображение данных для основных получателей нежелательной почты
• Отображение данных для основных получателей вредоносных программ (EOP)
• Отображение данных для основных получателей фишинга
• Отображение данных для основных получателей вредоносных программ (MDO)
• Отображение данных для основных получателей фишинга (MDO)
• Отображение данных для основных intra.org отправителей почты
• Отображение данных для основных intra.org получателей почты
• Отображение данных для основных intra.org получателей спама
• Отображение данных для основных intra.org получателей вредоносных программ
• Отображение данных для наиболее intra.org получателей фишинга
• Отображение данных для наиболее intra.org получателей фишинга (MDO)
• Отображение данных для основных получателей вредоносных программ intra.org (MDO)

Наведите указатель мыши на клин в круговой диаграмме, чтобы увидеть количество сообщений для конкретного отправителя или получателя.

Для каждой диаграммы в таблице сведений под диаграммой отображаются следующие сведения:

• Адрес электронной почты
• Item count
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC)Дата начала и Дата окончания
• Тег: выберите все или указанный тег пользователя (включая учетную запись приоритета). Дополнительные сведения см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Основные отправители и получатели доступно действие Экспорт.

Отчет о защите URL-адресов

Отчет о защите URL-адресов доступен только в Microsoft Defender для Office 365. Дополнительные сведения см. в разделе Отчет о защите URL-адресов.

Отчет о сообщениях пользователя

Важно!

Чтобы отчет о сообщениях, сообщаемых пользователем , работал правильно, ведение журнала аудита должно быть включено в организации Microsoft 365 (он включен по умолчанию). Дополнительные сведения см. в разделе Включение и отключение аудита.

В отчете о сообщениях, сообщаемых пользователем, отображаются сведения о сообщениях электронной почты, которые пользователи сообщили как нежелательные, попытки фишинга или хорошую почту, с помощью встроенной кнопки Отчет в Outlook в Интернете или надстройках Microsoft Report Message или Report Phishing.

На странице Email & отчетов о совместной работе найдите https://security.microsoft.com/emailandcollabreportсообщения, сообщаемые пользователем, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/userSubmissionReport.

Чтобы перейти непосредственно на вкладку Пользователь сообщил на странице Отправки на портале Defender, выберите Перейти к отправке.

На диаграмме показаны следующие сведения:

• Не является нежелательным
• Фишинг
• Спам

В таблице сведений под диаграммой показаны те же сведения и те же действия, которые доступны на вкладке Пользователь сообщается на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=user:

• Настройка столбцов
• Группы
• Фильтр
• Пометка как и уведомление
• Отправка в Корпорацию Майкрософт для анализа

Дополнительные сведения см. в разделах Просмотр сообщений, сообщаемого пользователем в Корпорацию Майкрософт, и Администратор действия для сообщений, сообщаемые пользователем.

На странице отчета доступно действие Экспорт.

Какие разрешения необходимы для просмотра этих отчетов?

Вам необходимо назначить разрешения, прежде чем вы сможете просматривать и использовать отчеты, описанные в этой статье. Возможны следующие варианты:

• Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (влияет только на портал Defender, а не PowerShell): операции безопасности/Данные безопасности,Основы данных безопасности (чтение) или Авторизация и параметры/Параметры системы/управление.
• Email & разрешения на совместную работу на портале Microsoft Defender: членство в любой из следующих групп ролей:
  • Управление организацией^*
  • Администратор безопасности
  • Читатель сведений о безопасности
  • Глобальный читатель
• разрешения Microsoft Entra. Членство в ролях глобального администратора^*, администратора безопасности, читателя безопасности или глобального читателя в Microsoft Entra ID предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

^*Членство в группе ролей "Управление организацией" или роли глобального администратора требуется для использования действий создания расписания или запроса отчета в отчетах (если это возможно).

Что делать, если в отчетах не отображаются данные?

Если данные не отображаются в отчетах, проверка фильтры отчетов и двойное проверка, что политики защиты настроены для обнаружения сообщений и выполнения действий с сообщениями. Дополнительные сведения см. в следующих статьях:

• Анализатор конфигурации для политик защиты в EOP и Microsoft Defender для Office 365
• Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365
• Разделы справки отключить фильтрацию спама?

Скачивание и экспорт сведений об отчете

В зависимости от отчета и конкретного представления в отчете на странице main отчета может быть доступно одно или несколько из следующих действий, как описано ранее:

• Экспорт
• Создание расписания
• Отчет о запросе

Экспорт данных отчета

Совет

• На экспортированные данные влияют все фильтры, настроенные в отчете во время экспорта.
• Если экспортированные данные превышают 15 000 записей, данные разбиваются на несколько файлов.

1. На странице отчета выберите Экспорт.

2. Во всплывающем окне Условия экспорта просмотрите и настройте следующие параметры:

   • Выберите представление для экспорта. Выберите одно из следующих значений:
     • Сводка. Доступны данные за последние 90 дней. Это значение используется по умолчанию.
     • Сведения: доступны данные за последние 30 дней. Поддерживается диапазон дат в один день.
   • Дата (UTC):
     • Дата начала. Значение по умолчанию — три месяца назад.
     • Дата окончания: значение по умолчанию — сегодня.

   По завершении во всплывающем окне Условия экспорта выберите Экспорт.

   Кнопка Экспорт изменится на Экспорт... и отображается индикатор выполнения.

3. В открывшемся диалоговом окне Сохранить как вы увидите имя файла .csv по умолчанию и расположение для скачивания (локальная папка Загрузки по умолчанию), но вы можете изменить эти значения и нажать кнопку Сохранить , чтобы скачать экспортированные данные.

   Если появится диалоговое окно, в которое security.microsoft.com требуется скачать несколько файлов, выберите Разрешить.

Планирование повторяющихся отчетов

Примечание.

Чтобы создавать запланированные отчеты, необходимо быть членом роли управления организацией в Exchange Online или ролью глобального администратора в Microsoft Entra ID.

1. На странице отчета выберите Создать расписание , чтобы запустить мастер создания запланированных отчетов.

2. На странице Имя запланированного отчета просмотрите или настройте значение Имя , а затем нажмите кнопку Далее.

3. На странице Установка параметров просмотрите или настройте следующие параметры:

   • Частота: выберите одно из следующих значений:
     • Еженедельно (по умолчанию)
     • Ежедневно (это значение приводит к тому, что данные не отображаются на диаграммах)
     • Ежемесячно
   • Дата начала. Введите дату начала создания отчета. Значение по умолчанию — сегодня.
   • Дата окончания срока действия. Введите дату окончания создания отчета. Значение по умолчанию — один год с сегодняшнего дня.

   Завершив работу на странице Установка параметров , нажмите кнопку Далее.

4. На странице Выбор фильтров настройте следующие параметры:

   • Направление: выберите одно из следующих значений:
     • Все (по умолчанию)
     • Исходящий
     • Входящих
   • Адрес отправителя
   • Адрес получателя

   Завершив работу на странице Выбор фильтров , нажмите кнопку Далее.

5. На странице Получатели выберите получателей для отчета в поле Отправить сообщение электронной почты . Значением по умолчанию является адрес электронной почты, но вы можете добавить других пользователей, выполнив одно из следующих действий:

   • Щелкните поле, дождитесь разрешения списка пользователей, а затем выберите пользователя из списка под полем.
   • Щелкните поле, начните вводить значение и выберите пользователя из списка под полем.

   Чтобы удалить запись из списка, щелкните рядом с записью.

   Завершив работу на странице Получатели , нажмите кнопку Далее.

6. На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

   Завершив работу на странице Рецензирование, нажмите кнопку Отправить.

7. На странице Создание нового запланированного отчета можно выбрать ссылки для просмотра запланированного отчета или создания другого отчета.

   Завершив работу на странице Создание отчета по расписанию , нажмите кнопку Готово.

Отчеты отправляются по электронной почте указанным получателям в соответствии с настроенным расписанием.

Запись запланированного отчета доступна на странице Управляемые расписания, как описано в следующем подразделе.

Управление существующими запланированными отчетами

После создания запланированного отчета, как описано в предыдущем разделе, запись запланированного отчета будет доступна на странице Управление расписаниями на портале Defender.

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Отчеты>Email & совместная работа> выберите Управление расписаниями. Или, чтобы перейти непосредственно на страницу Управление расписаниями , используйте https://security.microsoft.com/ManageSubscription.

На странице Управление расписаниями для каждой записи запланированного отчета отображаются следующие сведения:

• Планирование даты начала
• Имя расписания
• Тип отчета
• Frequency
• Последнее отправленное

Чтобы изменить список с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Используйте поле Поиск, чтобы найти существующую запись запланированного отчета.

Чтобы изменить параметры запланированного отчета, сделайте следующее:

1. Выберите запись запланированного отчета, щелкнув в любом месте строки, кроме поля проверка.

2. В открывавшемся всплывающем окне сведений выполните одно из следующих действий.

   • Выберите Изменить имя , чтобы изменить имя запланированного отчета.
   • Щелкните ссылку Изменить в разделе, чтобы изменить соответствующие параметры.

   Параметры и действия по настройке совпадают с инструкциями, описанными в разделе Расписание отчета.

Чтобы удалить запись запланированного отчета, используйте один из следующих методов:

• Выберите поле проверка рядом с одним, несколькими или всеми запланированными отчетами, а затем выберите действие Удалить, которое появится на странице main.
• Выберите запланированный отчет, щелкнув в любом месте строки, кроме поля проверка, а затем выберите Удалить во всплывающем окне сведений.

Прочтите открывающееся диалоговое окно предупреждения и нажмите кнопку ОК.

На странице Управление расписаниями удаленная запись запланированного отчета больше не отображается, а предыдущие отчеты для запланированного отчета удаляются и больше не доступны для скачивания.

Запрос отчетов по запросу для скачивания

Запрос отчетов по запросу

Примечание.

Чтобы создавать отчеты по запросу, необходимо быть членом роли управления организацией в Exchange Online или ролью глобального администратора в Microsoft Entra ID.

1. На странице отчета выберите Запрос отчета , чтобы запустить мастер создания отчетов по запросу.

2. На странице отчета Имя по запросу просмотрите или настройте значение Имя , а затем нажмите кнопку Далее.

3. На странице Установка параметров просмотрите или настройте следующие параметры:

   • Дата начала. Введите дату начала для данных отчета. Значение по умолчанию — месяц назад.
   • Дата окончания срока действия. Введите дату окончания для данных отчета. Значение по умолчанию — сегодня.

   Завершив работу на странице отчета имя по запросу , нажмите кнопку Далее.

4. На странице Получатели выберите получателей для отчета в поле Отправить сообщение электронной почты . Значением по умолчанию является адрес электронной почты, но вы можете добавить других пользователей, выполнив одно из следующих действий:

   • Щелкните поле, дождитесь разрешения списка пользователей, а затем выберите пользователя из списка под полем.
   • Щелкните поле, начните вводить значение и выберите пользователя из списка под полем.

   Чтобы удалить запись из списка, щелкните рядом с записью.

   Завершив работу на странице Получатели , нажмите кнопку Далее.

5. На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

   Завершив работу на странице Рецензирование, нажмите кнопку Отправить.

6. На странице Создание отчета по запросу можно щелкнуть ссылку, чтобы создать другой отчет.

   Завершив работу на странице Создание отчета по запросу , нажмите кнопку Готово.

Задача создания отчета (и, в конечном итоге, готовый отчет) доступна на странице Отчеты для скачивания , как описано в следующем подразделе.

Скачивание отчетов

Примечание.

Чтобы скачивать отчеты по запросу, необходимо быть членом роли управления организацией в Exchange Online или ролью глобального администратора в Microsoft Entra ID.

После запроса отчета по запросу, как описано в предыдущем разделе, вы проверка состояние отчета и в конечном итоге скачайте отчет на странице Отчеты для скачивания на портале Defender.

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Отчеты>Email & совместная работа> выберите Отчеты для скачивания. Или, чтобы перейти непосредственно на страницу Отчеты для скачивания , используйте https://security.microsoft.com/ReportsForDownload.

На странице Отчеты для скачивания для каждого доступного отчета отображаются следующие сведения:

• Дата начала
• Название
• Тип отчета
• Последнее отправленное
• Состояние:
  • Ожидание. Отчет все еще создается и пока недоступен для скачивания.
  • Завершено — готово к скачиванию. Создание отчета завершено, и отчет доступен для скачивания.
  • Завершено — результаты не найдены: создание отчета завершено, но отчет не содержит данных, поэтому его невозможно скачать.

Чтобы скачать отчет, выберите поле проверка рядом с датой начала отчета, а затем выберите действие Загрузить отчет, которое появится.

Используйте поле Поиск, чтобы найти существующий отчет.

В открывшемся диалоговом окне Сохранить как вы увидите имя файла .csv по умолчанию и расположение загрузки (локальная папка Загрузки по умолчанию), но вы можете изменить эти значения и нажать кнопку Сохранить , чтобы скачать отчет.

Статьи по теме

Защита от нежелательной почты в EOP

Защита от вредоносных программ в EOP

Просмотр отчетов о потоках обработки почты в EAC

Просмотр отчетов для Defender для Office 365