Get-MailTrafficATPReport

Модуль:

ExchangePowerShell

Применяется к:

Exchange Online, Exchange Online Protection

Этот командлет доступен только в облачной службе.

Используйте командлет Get-MailTrafficATPReport для просмотра результатов обнаружения Exchange Online Protection и Microsoft Defender для Office 365 в облачной организации за последние 90 дней.

Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.

Синтаксис

Get-MailTrafficATPReport
   [-Action <MultiValuedProperty>]
   [-AggregateBy <String>]
   [-Direction <MultiValuedProperty>]
   [-Domain <MultiValuedProperty>]
   [-EndDate <DateTime>]
   [-EventType <MultiValuedProperty>]
   [-NumberOfRows <Int32>]
   [-Page <Int32>]
   [-PageSize <Int32>]
   [-PivotBy <MultiValuedProperty>]
   [-ProbeTag <String>]
   [-StartDate <DateTime>]
   [-SummarizeBy <MultiValuedProperty>]
   [<CommonParameters>]

Описание

Безопасные вложения — это функция в Microsoft Defender для Office 365, которая открывает вложения электронной почты в специальной среде низкоуровневой оболочки для обнаружения вредоносных действий.

Безопасные ссылки — это функция в Microsoft Defender для Office 365, которая проверяет ссылки в сообщениях электронной почты на наличие вредоносных веб-сайтов. Когда пользователь выбирает ссылку в сообщении, URL-адрес временно перезаписывается и сверяется со списком известных вредоносных веб-сайтов. "Безопасные ссылки" включает функцию отчетов о трассировке URL-адреса, которая помогает определить пользователя, прошедшего по ссылке на вредоносный веб-сайт.

Командлет возвращает следующие сведения за указанный отчетный период:

• Дата
• Тип события
• Направление
• Источник вердиктов
• Количество сообщений

Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.

Примеры

Пример 1

Get-MailTrafficATPReport

В этом примере извлекаются сведения о сообщениях за последние 92 дня.

Пример 2

Get-MailTrafficATPReport -StartDate (Get-Date "12/25/2021 12:01 AM").ToUniversalTime() -EndDate (Get-Date "12/25/2021 11:59 PM").ToUniversalTime() -Direction Outbound

В этом примере извлекается статистика исходящих сообщений за 25 декабря 2021 г. и отображаются результаты в таблице.

Параметры

-Action

Параметр Action фильтрует отчет по действиям, выполненным с сообщениями. Чтобы просмотреть полный список допустимых значений для этого параметра, выполните команду : Get-MailFilterListReport -SelectionTarget Actions. Заданное действие должно соответствовать типу отчета. Например, можно указать только действия фильтра вредоносных программ для отчетов о вредоносных программах.

Параметр Action фильтрует отчет по действиям политик DLP, транспортными правилами, фильтрами вредоносных программ и фильтрами нежелательной почты. Чтобы просмотреть полный список допустимых значений данного параметра, выполните команду Get-MailFilterListReport -SelectionTarget Actions. Заданное действие должно соответствовать типу отчета. Например, можно указать только действия фильтра вредоносных программ для отчетов о вредоносных программах.

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-AggregateBy

Параметр AggregateBy определяет отчетный период. Допустимые значения: Hour, Day или Summary. Значение по умолчанию — Day.

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-Direction

Параметр Direction фильтрует результаты по входящим или исходящим сообщениям. Допустимые значения:

• Входящих
• Исходящий
• IntraOrg

Вы можете указать несколько значений, разделив их запятыми.

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-Domain

Параметр Domain фильтрует результаты по обслуживаемому домену в облачной организации. Можно указать несколько значений домена, разделенных запятыми.

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	True
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-EndDate

Параметр EndDate указывает конец диапазона дат в формате UTC.

Чтобы указать значение даты или времени для этого параметра, воспользуйтесь одним из следующих вариантов:

• Укажите значение даты и времени в формате UTC. Например, "2021-05-06 14:30:00z".
• Укажите значение даты и времени в виде формулы, которая преобразует дату и время в местном часовом поясе в utc: например, (Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Для получения дополнительной информации см. Get-Date.

Если используется параметр EndDate, необходимо также использовать параметр StartDate.

Type:	DateTime
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-EventType

Параметр EventType фильтрует отчет по типу события. Допустимые значения:

• Расширенный фильтр
• Подсистема защиты от вредоносных программ
• Кампания
• Отключение файла
• Репутация отключения файла
• Репутация файла
• Сопоставление отпечатков
• Общий фильтр
• Олицетворение фирменной символики
• Олицетворение домена
• Олицетворение пользователя
• Олицетворение на основе аналитики почтовых ящиков
• Передано сообщение
• Обнаружение с помощью смешанного анализа
• Спуфинг DMARC
• Спуфинг внешнего домена
• Спуфинг внутри организации
• Отключение URL-адресов
• Репутация отключения URL-адресов
• Репутация вредоносного URL-адреса

Примечание. Некоторые значения соответствуют функциям, доступным только в Defender для Office 365 (только план 1 и план 2 или только план 2).

Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-NumberOfRows

Параметр NumberOfRows указывает количество строк, возвращаемых в отчете. Максимальное значение — 10 000.

Type:	Int32
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-Page

Параметр Page указывает номер страницы результатов, которую необходимо просмотреть. Допустимое значение для этого параметра — целое число от 1 до 1000. Значение по умолчанию равно 1.

Type:	Int32
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-PageSize

Параметр PageSize указывает максимальное число записей на странице. Допустимое значение для этого параметра — целое число от 1 до 5000. Значение параметра по умолчанию — 1000.

Type:	Int32
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-PivotBy

{{ Заполнение описания сводного побия }}

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-ProbeTag

Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.

Type:	String
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-StartDate

Параметр StartDate указывает начало диапазона дат в формате UTC.

Чтобы указать значение даты или времени для этого параметра, воспользуйтесь одним из следующих вариантов:

• Укажите значение даты и времени в формате UTC. Например, "2021-05-06 14:30:00z".
• Укажите значение даты и времени в виде формулы, которая преобразует дату и время в местном часовом поясе в utc: например, (Get-Date "5/6/2021 9:30 AM").ToUniversalTime(). Для получения дополнительной информации см. Get-Date.

Если используется параметр StartDate, необходимо также использовать параметр EndDate.

Type:	DateTime
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection

-SummarizeBy

Параметр SummarizeBy возвращает итоговый результат с учетом указанных значений. Если в вашем отчете данные фильтруются с помощью любого из допустимых значений этого параметра, параметр SummarizeBy можно использовать для вычисления итогового результата с учетом этих значений. Чтобы уменьшить количество строк, возвращаемых в отчете, можно использовать параметр SummarizeBy. Суммирование уменьшает объем данных, извлекаемых для отчета, и ускоряет доставку отчета. Например, вместо того чтобы отображать каждый экземпляр конкретного значения параметра EventType в отдельной строке отчета, с помощью параметра SummarizeBy можно отобразить итоговое число экземпляров этого значения параметра EventType в одной строке отчета.

Для этого командлета допустимы следующие значения:

• Действие
• Направление
• Домен
• EventType

Вы можете указать несколько значений, разделив их запятыми. При указании значений Action или Domain значение не отображается в результатах (значения в соответствующих столбцах пусты).

Type:	MultiValuedProperty
Position:	Named
Default value:	None
Required:	False
Accept pipeline input:	False
Accept wildcard characters:	False
Applies to:	Exchange Online, Exchange Online Protection