Аналитика массовых отправителей в облачных организациях

Применяется к: ✅ Built-in security features for all cloud mailboxes, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Во всех организациях с облачными почтовыми ящиками аналитические сведения о массовых отправителях на портале Microsoft Defender позволяют просматривать сведения об обнаружении массовой электронной почты (также известной как серая почта) в вашей организации.

Microsoft 365 присваивает значение уровня массовой жалобы (BCL) входящим сообщениям от массовых отправителей. Более высокое значение BCL указывает, что массовое сообщение, скорее всего, будет спамом. Пороговое значение массовой электронной почты в политиках защиты от нежелательной почты использует указанное пороговое значение BCL для выявления массовых сообщений и принятия с ними мер. Дополнительные сведения о BCL см. в разделе Уровень массовой жалобы (BCL).

Аналитические сведения о массовых отправителях имеют следующие возможности.

Просмотрите, сколько почты определяется как массовый на каждом уровне BCL (от 1 до 9) за последние 60 дней.
Имитируйте изменения порогового значения массовой электронной почты в политиках защиты от нежелательной почты. В результатах показано количество сообщений, которые будут доставлены, и количество сообщений, определенных как массовые.

Совет

Пороговое значение BCL можно изменить в политике защиты от нежелательной почты по умолчанию и пользовательских политиках защиты от нежелательной почты. Нельзя изменить пороговое значение BCL в Standard или строгих предустановленных политиках безопасности.
Просмотр сведений об отправителях сообщений, на которые влияет пороговое значение массовой электронной почты, включая фильтрацию на основе качества отправителя.

В этой статье описывается использование аналитических сведений о массовых отправителях на портале Microsoft Defender.

Что нужно знать перед началом работы

Откройте портал Microsoft Defender по адресу https://security.microsoft.com. Чтобы перейти непосредственно на страницу аналитических сведений о массовых отправителях , используйте https://security.microsoft.com/senderinsights.
Массовое моделирование и обнаружение могут работать неправильно, если запись MX для домена Microsoft 365 указывает на службу или устройство сторонних разработчиков.
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
- Microsoft Defender XDR единое управление доступом на основе ролей (RBAC) (если Email & разрешения для совместной работы>Defender для Office 365активны. Влияет только на портал Defender, а не На PowerShell: авторизация и параметры/Параметры безопасности/Основные параметры безопасности (управление) или Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение).
- разрешения Exchange Online:
  - Добавление, изменение и удаление политик. Членство в группах ролей "Управление организацией" или "Администратор безопасности ".
  - Доступ только для чтения к политикам: членство в группах ролей "Глобальный читатель", "Читатель безопасности" или "Управление организацией только для просмотра ".
- разрешения Microsoft Entra. Членство в следующих ролях предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365:
  - Добавление, изменение и удаление политик. Членство в ролях "Управление организацией"^* или "Администратор безопасности ".
  - Доступ только для чтения к политикам. Членство в ролях "Глобальный читатель" или "Читатель безопасности ".
  Важно!
  
  ^* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.
Рекомендуемые параметры для политик защиты от нежелательной почты см. в разделе Параметры политики защиты от нежелательной почты.

Совет

Параметры в политиках защиты от нежелательной почты по умолчанию или пользовательских политиках защиты от нежелательной почты игнорируются, если получатель также включен в Standard или строгие предустановленные политики безопасности. Дополнительные сведения см. в разделе Порядок и приоритет защиты электронной почты.

Значение массового порога в политике защиты от нежелательной почты определяет пороговое значение BCL, используемое для определения сообщения как массового. Например, пороговое значение 7 означает, что сообщения со значением BCL 7, 8 или 9 определяются как массовые. То, что происходит с массовыми сообщениями, определяется действием уровня массовой жалобы (BCL) в политике защиты от нежелательной почты (например, Перемещение сообщения в папку "Нежелательная Email", "Карантин" или "Удалить сообщение"). Для простоты определение сообщения как массового и выполнение действий с сообщением называется заблокированным в аналитике массовых отправителей.

Открытие аналитических сведений о массовых отправителях на портале Microsoft Defender

Аналитические сведения о массовых отправителях доступны в следующих расположениях:

В свойствах политики защиты от нежелательной почты по умолчанию или настраиваемых политик защиты от нежелательной почты:
1. На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Email & политики совместной работы>& правила>Политики> угрозЗащита от спама в разделе Политики. Или, чтобы перейти непосредственно на страницу Политики защиты от нежелательной почты , используйте https://security.microsoft.com/antispam.
2. На странице Политики защиты от нежелательной почты выберите настраиваемую политику защиты от нежелательной почты (значение Тип — Настраиваемая политика защиты от нежелательной почты) или политику защиты от нежелательной почты по умолчанию с именем Политика входящего спама (по умолчанию), щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом.
3. Во всплывающем всплывающем элементе сведений выберите Изменить пороговое значение и свойства спама в нижней части раздела Пороговое значение массовой электронной почты & свойства спама .
4. В открывшемся всплывающем окне Пороговое значение нежелательной почты и свойств аналитические сведения о массовых отправителях содержат следующие сведения обо всех массовых сообщениях электронной почты, обнаруженных всеми политиками защиты от нежелательной почты в организации за последние 60 дней:
  - По умолчанию аналитика показывает количество сообщений, которые были доставлены и определены как массовые по текущему порогу BCL политики защиты от нежелательной почты.
  - При уменьшении порогового значения массовой электронной почты отображается:
    - Сколько сообщений будет доставлено меньше.
    - Сколько еще сообщений будет определено как массовые.
    - Сколько идентификаторов массовых сообщений, скорее всего, будут ложноположительными (хорошее сообщение электронной почты идентифицируется как плохое).
  - Увеличение порогового значения массовой электронной почты показывает:
    - Сколько еще сообщений будет доставлено.
    - Сколько меньше сообщений будет определено как массовые.
    - Сколько идентификаторов массовых сообщений, скорее всего, будут ложными отрицательными (доставлено неправильное сообщение электронной почты).
На странице отчетов и аналитических сведений о совместной работе Email &:
1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в раздел Отчеты>Email & совместная>работа Email & отчеты и аналитические сведения о совместной работе. Или, чтобы перейти непосредственно на страницу отчетов и аналитических сведений о совместной работе Email &, используйте https://security.microsoft.com/emailandcollabreport.
2. На странице Email & отчетов и аналитических сведений о совместной работе перейдите в раздел аналитика Email & совместной работы и найдите аналитические сведения о массовых отправителях.

Чтобы просмотреть подробные сведения о массовых обнаружениях и отправителях, выберите Просмотреть аналитические сведения о массовых отправителях или Просмотреть сведения , чтобы открыть страницу Аналитика массовых отправителей .

Просмотр страницы аналитических сведений о массовых отправителях

Страница аналитики массовых отправителей доступна с помощью следующих методов:

Непосредственно в https://security.microsoft.com/senderinsights.
При выборе пункта Просмотреть аналитические сведения о массовых отправителях во всплывающем меню Пороговое значение и свойства нежелательной почты в сведениях о настраиваемой политике защиты от нежелательной почты или политике защиты от нежелательной почты по умолчанию на странице Политики защиты от нежелательной почты по адресу https://security.microsoft.com/antispam.
При выборе пункта Просмотреть сведения в карта аналитики массовых отправителей на странице отчетов и аналитических сведений о совместной работе Email & по адресу https://security.microsoft.com/emailandcollabreport.

Перед выполнением имитации значения в таблице в середине страницы указывают следующие значения:

Уровень массовой жалобы (BCL) — диапазон возможных значений BCL (от 1 до 9).
Все сообщения электронной почты: общее количество сообщений, которые были определены по каждому значению BCL (некоторые из которых могут иметь значение 0).
Доставлено с текущим пороговым значением BCL: количество доставленных сообщений (не определено как массовое) для каждого значения BCL:
- Если значение BCL меньше порогового значения текущего массового сообщения электронной почты , сообщение было доставлено (не было определено как массовое):
  - Значения Доставлено с текущим пороговым значением BCL и Все сообщения электронной почты совпадают.
  - Значение Доставлено при текущем пороговом значении BCL соответствует Email, переданное по текущему значению конфигурации.
- Если значение BCL больше или равно значению порогового значения текущего массового сообщения электронной почты , сообщение было определено как массовое и заблокировано.
  - Значение Доставлено при текущем пороговом значении BCL для значения BCL равно 0.
  - Значение "Все сообщения электронной почты" соответствует Email, определенному в текущем пороговом значении BCL.
Доставлено с новым пороговым значением BCL. Количество сообщений, которые не были идентифицированы как массовые сообщения электронной почты после запуска имитации. Перед выполнением имитации значение не имеет смысла.

Чтобы запустить имитацию, используйте следующие элементы на странице:

На ползунке текущего порогового значения массовой электронной почты отображается текущее пороговое значение BCL в зависимости от того, как вы попали на страницу аналитики массовых отправителей :
- Напрямую. Пороговое значение BCL равно 7.
- Из свойств политики защиты от нежелательной почты: пороговое значение BCL является текущим значением в политике защиты от нежелательной почты.
Ползунок "Новый порог массовой электронной почты " позволяет имитировать влияние увеличения и уменьшения порогового значения BCL для доставленных или заблокированных сообщений.
Ползунок Порог качества отправителя имитации указывает порог надежности хорошего или плохого отправителя для использования в имитации обновления BCL. Более высокое значение указывает на смоделированные пороговые результаты BCL на основе более надежных отправителей. Пороговое значение качества отправителя имитации для отправителей основано на следующих факторах:
- Прошлые взаимодействия с отправителем.
- Частота сообщений от отправителя.
- Администратор или отзыв пользователя о сообщениях от отправителя.

После выбора значений Пороговое значение для создания массовой электронной почты и Порог качества отправителя имитации выберите Имитация:

Страница обновляется числом заблокированных и разрешенных сообщений для текущих и новых имитированных пороговых уровней BCL.
В нижней части страницы содержатся сведения об отправителях, которые будут определены как массовые.

Просмотр сведений о массовых отправителях на странице аналитических сведений о массовых отправителях

Таблица сведений о массовых отправителях в нижней части страницы содержит данные о массовых отправителях, чьи сообщения были определены как массовые.

Таблица может содержать данные отправителя при первом открытии страницы аналитических сведений о массовых отправителях , если значения Текущее пороговое значение массовой электронной почты и Порог качества отправителя имитации уже привели к массовой идентификации электронной почты перед выполнением симуляции.

В противном случае отправители включаются в таблицу сведений об отправителях на основе значений Текущее пороговое значение массовой электронной почты и Пороговое значение качества отправителя имитации после запуска моделирования.

Для записей в таблице сведений об отправителях всегда доступны следующие столбцы:

Sender: адрес электронной почты отправителя.
BCL
Порог качества отправителя имитации

Остальные столбцы в таблице сведений об отправителе зависят от связи между значениями Текущее пороговое значение массовой электронной почты и Новое пороговое значение массовой электронной почты после выполнения имитации:

Новое пороговое значение массовой электронной почты равно текущему пороговом значению массовой электронной почты:
- Потенциальный ложноположительный результат
- Потенциальный ложноотрицательный результат
Чтобы отфильтровать результаты, выберите Все отправители , а затем выберите одно из следующих значений:
- Потенциальный ложноположительный результат: отображаются только те отправители, у которых потенциальный ложноположительный результат имеет значение True .
- Потенциальный ложноотрицательный результат. Отображаются только те отправители, у которых значение Потенциальное ложноотрицательное значение True .
Новое пороговое значение массовой электронной почты меньше текущего порогового значения массовой электронной почты:
- Новый отправитель заблокирован
- Потенциальный ложноположительный результат
Чтобы отфильтровать результаты, выберите Все отправители , а затем выберите одно из следующих значений:
- Новый заблокированный отправитель. Отображаются только те, у которых новый отправитель заблокирован с значением True .
- Потенциальный ложноположительный результат: отображаются только те отправители, у которых потенциальный ложноположительный результат имеет значение True .
Новое пороговое значение массовой электронной почты больше текущего порогового значения массовой электронной почты:
- Разрешен новый отправитель
- Потенциальный ложноотрицательный результат
Чтобы отфильтровать результаты, выберите Все отправители , а затем выберите одно из следующих значений:
- Новый разрешенный отправитель. Отображаются только те отправители, для которых разрешено значениеTrue .
- Потенциальный ложноотрицательный результат. Отображаются только те отправители, у которых значение Потенциальное ложноотрицательное значение True .

Чтобы изменить список записей с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Используйте поле Поиск и соответствующее значение, чтобы найти конкретных отправителей в таблице.

Используйте команду Экспорт , чтобы сохранить отображаемый список отправителей в CSV-файл. Имя файла по умолчанию — Аналитика массовых отправителей — Microsoft Defender.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортируемый файл уже существует в этом расположении, имя файла увеличивается (например, аналитика массового отправителя — Microsoft Defender(1).csv).

Просмотр подробных сведений о массовом отправителе на странице аналитических сведений о массовых отправителях

Чтобы просмотреть сведения о конкретном отправителе из таблицы сведений об отправителях в нижней части страницы аналитики массовых отправителей, щелкните в любом месте строки, кроме поля проверка рядом с первым столбцом. Открывающееся всплывающее окно Сведения об отправителе содержит следующие сведения об отправителе:

Sender: адрес электронной почты отправителя.
Сообщения: количество сообщений от отправителя.
Сообщения в папке "Входящие" — количество сообщений от отправителя, доставленных в папки "Входящие".
Сообщения в карантине или нежелательная Email: количество сообщений от отправителя, которые были доставлены пользователю в папки нежелательной Email или помещены в карантин.
Администратор параметр: разрешено или заблокировано ли в списке разрешенных или заблокированных для клиента отправителя. Допустимые значения:
- Разрешить: для отправителя сообщения существует допустимая запись.
- Блокировать. Для отправителя сообщения существует запись блока.
Сообщения, разрешенные пользователем. Количество сообщений от отправителя, где отправитель находится в списке Надежные отправители в почтовых ящиках пользователей.
Сообщения, заблокированные пользователем. Количество сообщений от отправителя, в котором отправитель находится в списке Заблокированные отправители в почтовых ящиках пользователей.
Ложноположительные отправки. Количество сообщений от отправителя, которые были отправлены как сообщения, отправленные как хорошие сообщения, случайно заблокированы.
Ложноотрицательная отправка: количество сообщений от отправителя, которые были отправлены как неправильное сообщение, случайно доставленное.
Пользователь перемещен из нежелательной Email в папку "Входящие"
Пользователь перемещен из папки "Входящие" в папку "Нежелательная Email"
Сообщения, удаленные пользователем
Администратор сообщения, помещенные в карантин
Администратор перемещены сообщения электронной почты из папки "Входящие" в нежелательную Email
Администратор удаленные сообщения

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-07-03