Просмотр Defender для Office 365 отчетов на портале Microsoft Defender

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях с Microsoft Defender для Office 365 (план 1) или планом 2 (например, Microsoft 365 E5 или Microsoft Business Premium) доступны различные отчеты, связанные с безопасностью. Если у вас есть необходимые разрешения, эти отчеты можно просмотреть и скачать на портале Microsoft Defender.

Отчеты доступны на портале Microsoft Defender на https://security.microsoft.com странице отчетов о совместной работе Email & в разделе Отчеты>Email & совместная работа>Email & отчеты о совместной работе. Или, чтобы перейти непосредственно на страницу отчетов о совместной работе Email &, используйте https://security.microsoft.com/emailandcollabreport.

Сводные сведения по каждому отчету доступны на странице. Определите отчет, который требуется просмотреть, а затем выберите Просмотреть сведения для этого отчета.

В оставшейся части этой статьи описываются отчеты, которые являются эксклюзивными для Defender для Office 365.

Примечание.

Email отчеты о безопасности, которые не требуют Defender для Office 365, описаны в разделе Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender.

Сведения об отчетах, которые были устарели или заменены, см. в таблице Email изменениях отчета о безопасности на портале Microsoft Defender.

Отчеты, связанные с потоком обработки почты, теперь находятся в Центре администрирования Exchange (EAC). Дополнительные сведения об этих отчетах см. в статье Отчеты о потоке обработки почты в новом Центре администрирования Exchange.

Просмотрите это короткое видео, чтобы узнать, как использовать отчеты для понимания эффективности Defender для Office 365 в организации.

Отчет о типах файлов безопасных вложений

Примечание.

Этот отчет не рекомендуется использовать. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет о ликвидации сообщений о безопасных вложениях

Примечание.

Этот отчет не рекомендуется использовать. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет о задержке почты

В отчете о задержке почты отображается совокупное представление задержки доставки почты и детонации в организации Defender для Office 365. Время доставки почты в службе зависит от многих факторов, и абсолютное время доставки в секундах часто не является хорошим показателем успеха или проблемы. Медленное время доставки в один день может считаться средним временем доставки в другой день или наоборот. Этот отчет пытается квалифицировать доставку сообщений на основе статистических данных о наблюдаемом времени доставки других сообщений.

Задержка на стороне клиента и задержка сети не включаются в результаты.

На странице отчетов о совместной работе Email & найдите https://security.microsoft.com/emailandcollabreportотчет о задержке почты и выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/mailLatencyReport.

На странице Отчет о задержке почты доступны следующие вкладки:

• 50-й процентиль: середина времени доставки сообщений. Это значение можно рассматривать как среднее время доставки. Эта вкладка выбрана по умолчанию.
• 90-й процентиль: указывает на высокую задержку доставки сообщений. На доставку только 10 % сообщений потребовалось больше времени, чем это значение.
• 99-й процентиль: указывает наибольшую задержку при доставке сообщений.

Независимо от выбранной вкладки на диаграмме отображаются сообщения, упорядоченные по следующим категориям:

• Общее представление
• Детонация (эти значения описаны в разделе Значения фильтра )

Наведите указатель мыши на категорию на диаграмме, чтобы увидеть разбивку задержки в каждой категории.

В таблице сведений под диаграммой доступны следующие сведения:

• Дата (UTC)
• Задержка
• Количество сообщений
• 50-й процентиль
• 90-й процентиль
• 99-й процентиль

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания
• Представление сообщения. Выберите одно из следующих значений:
  • Все сообщения электронной почты
  • Детонированное сообщение электронной почты. После выбора этого значения выберите одно из следующих значений:
    • Встроенная детонация. Ссылки и вложения в сообщениях полностью проверяются безопасными ссылками и безопасными вложениями перед доставкой.
    • Асинхронная детонация. Динамическая доставка вложений с помощью безопасных вложений и ссылок в электронной почте, протестированных Safe Links после доставки.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Отчет о задержке почты доступно действие Экспорт.

Отчет о действиях после доставки

В отчете о действиях после доставки отображаются сведения о сообщениях электронной почты, которые были удалены из почтовых ящиков пользователей после доставки с автоматической очисткой (ZAP). Дополнительные сведения о ZAP см. в разделе Автоматическая очистка нулевого часа (ZAP) в Exchange Online.

В отчете отображаются сведения в режиме реального времени с обновленными сведениями об угрозах.

На странице отчетов о совместной работе Email & найдите https://security.microsoft.com/emailandcollabreportдействия после доставки и выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/ZapReport.

На странице Действия после доставки на диаграмме показаны следующие сведения для указанного диапазона дат:

• Нет угрозы. Количество уникальных доставленных сообщений, которые не были признаны спамом ZAP.
• Спам. Количество уникальных сообщений, которые были удалены из почтовых ящиков ZAP для спама.
• Фишинг: количество уникальных сообщений, которые были удалены из почтовых ящиков ZAP для фишинга.
• Вредоносные программы: количество уникальных сообщений, которые были удалены из почтовых ящиков ZAP для фишинга.

В таблице сведений под диаграммой показаны следующие сведения:

• Тема

• Время получения

• Sender

• Получатель

• Время ЗАП

• Исходная угроза

• Исходное расположение

• Обновленная угроза

• Обновленное расположение доставки

• Технология обнаружения

  Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сужает ширину соответствующих столбцов.
  • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания.
• Обновленная угроза: выберите один из следующих значений:
  • Нет угрозы
  • Спам
  • Фишинг
  • Вредоносная программа

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Действия после доставки доступны действия Создать расписание и Экспорт.

отчет о состоянии защиты от угроз;

Отчет о состоянии защиты от угроз — это единое представление, объединяющее сведения о вредоносном содержимом и вредоносных сообщениях электронной почты, обнаруженных и заблокированных Exchange Online Protection (EOP) и Defender для Office 365. Дополнительные сведения см. в статье Отчет о состоянии защиты от угроз.

Отчет о лучших отправителях и получателях

В отчете Основные отправители и получатели отображаются основные получатели для EOP и функций защиты Defender для Office 365. Дополнительные сведения см. в разделе Основные отчеты отправителей и получателей.

Отчет о защите URL-адресов

Отчет о защите URL-адресов содержит сводку и представление тенденций для обнаруженных угроз и действий, выполняемых при щелчках URL-адреса в рамках безопасных ссылок. В этом отчете нет данных о щелчках от пользователей, если не выбран параметр Отслеживать щелчки пользователей в действующей политике безопасных ссылок.

На странице отчетов о совместной работе Email & найдите https://security.microsoft.com/emailandcollabreportотчет о защите URL-адресов и выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/URLProtectionActionReport.

Доступные представления в отчете о защите от угроз URL-адресов описаны в следующих подразделах.

Просмотр действия защиты данных по URL-адресу в отчете о защите URL-адресов

В представлении действия "Просмотр данных по URL-адресу" отображается количество щелчков URL-адреса пользователями в организации и результаты щелчка:

• Разрешено: разрешены щелчки.
• Разрешено администратором клиента: щелчки разрешены в политиках безопасных ссылок.
• Заблокировано: щелкните Заблокировано.
• Заблокировано администратором клиента. Щелчки, заблокированные в политиках безопасных ссылок.
• Заблокировано и нажато: заблокированные щелчки, когда пользователи переходили по заблокированным URL-адресу.
• Заблокировано администратором клиента и щелкнул: Администратор заблокировал ссылку, но пользователь щелкнул.
• Щелчок во время сканирования. Щелкает, где пользователи щелкают страницу ожидающей проверки по URL-адресу.
• Ожидание сканирования. Щелкает URL-адреса, ожидающие вердикта проверки.

Щелчок означает, что пользователь переключил страницу блокировки на вредоносный веб-сайт (администраторы могут отключить щелчок в политиках безопасных ссылок).

В таблице сведений под диаграммой представлено следующее представление всех щелчков, произошедших в организации за последние 30 дней, почти в режиме реального времени:

• Время щелчка
• Пользователь
• URL-адрес
• Действие
• Приложение
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания.
• Действие: те же действия по url-адресу, как описано ранее. По умолчанию значения Разрешено и Разрешено администратором клиента не выбраны.
• Оценка. Выберите Да или Нет. Дополнительные сведения см. в разделе Try Microsoft Defender для Office 365.
• Домены (разделенные запятыми): домены URL-адресов, перечисленные в результатах отчета.
• Получатели (разделенные запятыми)
• Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Защита от угроз URL-адреса доступны действия Создание расписания, Запрос отчета и Экспорт.

Просмотр данных по URL-адресу в отчете о защите URL-адресов

Совет

В отчете доступны url-адреса, щелкаемые гостевыми пользователями. Учетные записи гостевых пользователей могут быть скомпрометированы или получить доступ к вредоносному содержимому внутри организации.

В представлении Просмотр данных по URL-адресу по щелчку по приложению отображается количество переходов по URL-адресу для приложений, поддерживающих безопасные ссылки:

• Клиент электронной почты
• Teams
• Документ Office

В таблице сведений под диаграммой представлено следующее представление почти в реальном времени всех щелчков, произошедших в организации за последние семь дней:

• Время щелчка
• Пользователь
• URL-адрес
• Действие: те же действия по url-адресу, которые описаны ранее в представлении действия "Просмотр данных по URL-адресу ".
• Приложение
• Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

• Дата (UTC): дата начала и дата окончания.
• Приложение: тот же щелчок по значениям приложения, как описано ранее.
• Действие: те же значения, что и в представлении действия "Просмотр данных по URL-адресу". По умолчанию значения Разрешено и Разрешено администратором клиента не выбраны.
• Оценка. Выберите Да или Нет. Дополнительные сведения см. в разделе Try Microsoft Defender для Office 365.
• Домены (разделенные запятыми): домены URL-адресов, перечисленные в результатах отчета.
• Получатели (разделенные запятыми)
• Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Защита от угроз URL-адреса доступны действия Создание расписания, Запрос отчета и Экспорт.

Дополнительные отчеты для просмотра

В дополнение к отчетам, описанным в этой статье, в следующих таблицах описаны другие доступные отчеты:

Отчет	Статья
Обозреватель (Microsoft Defender для Office 365 план 2) или обнаружение в режиме реального времени (Microsoft Defender для Office 365 (план 1))	Обозреватель угроз (и обнаружение в режиме реального времени)
Email отчеты о безопасности, для которых не требуется Defender для Office 365	Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender
Отчеты о потоке обработки почты в Центре администрирования Exchange (EAC)	Отчеты о потоке обработки почты в новом Центре администрирования Exchange

Командлеты отчетов PowerShell:

Отчет	Статья
Пользователи, которые чаще всего отправляют и получают почту	Get-MailTrafficSummaryReport
Самые распространенные вредоносные программы	Get-MailTrafficSummaryReport
Статус защиты от угроз	Get-MailTrafficATPReport Get-MailDetailATPReport
Безопасные ссылки	Get-SafeLinksAggregateReport Get-SafeLinksDetailReport
Скомпрометированные пользователи	Get-CompromisedUserAggregateReport Get-CompromisedUserDetailReport
Состояние потока обработки почты	Get-MailflowStatusReport
Подделанные пользователи	Get-SpoofMailReport
Сводка по действиям после доставки	Get-AggregateZapReport
Сведения о действии после доставки	Get-DetailZapReport

Какие разрешения необходимы для просмотра отчетов Defender для Office 365?

См. раздел Какие разрешения необходимы для просмотра этих отчетов?

Что делать, если в отчетах не отображаются данные?

Если данные не отображаются в отчетах, проверка фильтры отчетов и дважды проверка правильность настройки политик. Политики безопасных ссылок и политики безопасных вложений из встроенной защиты, предустановленных политик безопасности или пользовательских политик должны действовать и действовать с сообщениями. Дополнительные сведения см. в следующих статьях:

• Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365
• Анализатор конфигурации для политик защиты в EOP и Microsoft Defender для Office 365
• Настройка политик Безопасных ссылок в Microsoft Defender для Office 365
• Настройка политик безопасных вложений в Microsoft Defender для Office 365