Поделиться через


Просмотр Defender для Office 365 отчетов на портале Microsoft Defender

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях с Microsoft Defender для Office 365 (план 1) или планом 2 (например, Microsoft 365 E5 или Microsoft Business Premium) доступны различные отчеты, связанные с безопасностью. Если у вас есть необходимые разрешения, эти отчеты можно просмотреть и скачать на портале Microsoft Defender.

Отчеты доступны на портале Microsoft Defender на https://security.microsoft.com странице отчетов о совместной работе Email & в разделе Отчеты>Email & совместная работа>Email & отчеты о совместной работе. Или, чтобы перейти непосредственно на страницу отчетов о совместной работе Email &, используйте https://security.microsoft.com/emailandcollabreport.

Сводные сведения по каждому отчету доступны на странице. Определите отчет, который требуется просмотреть, а затем выберите Просмотреть сведения для этого отчета.

В оставшейся части этой статьи описываются отчеты, которые являются эксклюзивными для Defender для Office 365.

Примечание.

Email отчеты о безопасности, которые не требуют Defender для Office 365, описаны в разделе Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender.

Сведения об отчетах, которые были устарели или заменены, см. в таблице Email изменениях отчета о безопасности на портале Microsoft Defender.

Отчеты, связанные с потоком обработки почты, теперь находятся в Центре администрирования Exchange (EAC). Дополнительные сведения об этих отчетах см. в статье Отчеты о потоке обработки почты в новом Центре администрирования Exchange.

Просмотрите это короткое видео, чтобы узнать, как использовать отчеты для понимания эффективности Defender для Office 365 в организации.

Отчет о типах файлов безопасных вложений

Примечание.

Этот отчет не рекомендуется использовать. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет о ликвидации сообщений о безопасных вложениях

Примечание.

Этот отчет не рекомендуется использовать. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет о задержке почты

В отчете о задержке почты отображается совокупное представление задержки доставки почты и детонации в организации Defender для Office 365. Время доставки почты в службе зависит от многих факторов, и абсолютное время доставки в секундах часто не является хорошим показателем успеха или проблемы. Медленное время доставки в один день может считаться средним временем доставки в другой день или наоборот. Этот отчет пытается квалифицировать доставку сообщений на основе статистических данных о наблюдаемом времени доставки других сообщений.

Задержка на стороне клиента и задержка сети не включаются в результаты.

На странице отчетов о совместной работе Email & найдите https://security.microsoft.com/emailandcollabreportотчет о задержке почты и выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/mailLatencyReport.

Мини-приложение

На странице Отчет о задержке почты доступны следующие вкладки:

  • 50-й процентиль: середина времени доставки сообщений. Это значение можно рассматривать как среднее время доставки. Эта вкладка выбрана по умолчанию.
  • 90-й процентиль: указывает на высокую задержку доставки сообщений. На доставку только 10 % сообщений потребовалось больше времени, чем это значение.
  • 99-й процентиль: указывает наибольшую задержку при доставке сообщений.

Независимо от выбранной вкладки на диаграмме отображаются сообщения, упорядоченные по следующим категориям:

  • Общее представление
  • Детонация (эти значения описаны в разделе Значения фильтра )

Наведите указатель мыши на категорию на диаграмме, чтобы увидеть разбивку задержки в каждой категории.

Представление 50-го процентиля отчета о задержке почты

В таблице сведений под диаграммой доступны следующие сведения:

  • Дата (UTC)
  • Задержка
  • Количество сообщений
  • 50-й процентиль
  • 90-й процентиль
  • 99-й процентиль

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания
  • Представление сообщения. Выберите одно из следующих значений:
    • Все сообщения электронной почты
    • Детонированное сообщение электронной почты. После выбора этого значения выберите одно из следующих значений:
      • Встроенная детонация. Ссылки и вложения в сообщениях полностью проверяются безопасными ссылками и безопасными вложениями перед доставкой.
      • Асинхронная детонация. Динамическая доставка вложений с помощью безопасных вложений и ссылок в электронной почте, протестированных Safe Links после доставки.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Отчет о задержке почты доступно действие Экспорт.

Отчет о действиях после доставки

В отчете о действиях после доставки отображаются сведения о сообщениях электронной почты, которые были удалены из почтовых ящиков пользователей после доставки с автоматической очисткой (ZAP). Дополнительные сведения о ZAP см. в разделе Автоматическая очистка нулевого часа (ZAP) в Exchange Online.

В отчете отображаются сведения в режиме реального времени с обновленными сведениями об угрозах.

На странице отчетов о совместной работе Email & найдите https://security.microsoft.com/emailandcollabreportдействия после доставки и выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/ZapReport.

Мини-приложение

На странице Действия после доставки на диаграмме показаны следующие сведения для указанного диапазона дат:

  • Нет угрозы. Количество уникальных доставленных сообщений, которые не были признаны спамом ZAP.
  • Спам. Количество уникальных сообщений, которые были удалены из почтовых ящиков ZAP для спама.
  • Фишинг: количество уникальных сообщений, которые были удалены из почтовых ящиков ZAP для фишинга.
  • Вредоносные программы: количество уникальных сообщений, которые были удалены из почтовых ящиков ZAP для фишинга.

В таблице сведений под диаграммой показаны следующие сведения:

  • Тема

  • Время получения

  • Sender

  • Получатель

  • Время ЗАП

  • Исходная угроза

  • Исходное расположение

  • Обновленная угроза

  • Обновленное расположение доставки

  • Технология обнаружения

    Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

    • Прокрутите страницу по горизонтали в веб-браузере.
    • Сужает ширину соответствующих столбцов.
    • Уменьшение масштаба в веб-браузере.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания.
  • Обновленная угроза: выберите один из следующих значений:
    • Нет угрозы
    • Спам
    • Фишинг
    • Вредоносная программа

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Действия после доставки доступны действия Создать расписание и Экспорт.

Отчет о действиях после доставки.

отчет о состоянии защиты от угроз;

Отчет о состоянии защиты от угроз — это единое представление, объединяющее сведения о вредоносном содержимом и вредоносных сообщениях электронной почты, обнаруженных и заблокированных Exchange Online Protection (EOP) и Defender для Office 365. Дополнительные сведения см. в статье Отчет о состоянии защиты от угроз.

Отчет о лучших отправителях и получателях

В отчете Основные отправители и получатели отображаются основные получатели для EOP и функций защиты Defender для Office 365. Дополнительные сведения см. в разделе Основные отчеты отправителей и получателей.

Отчет о защите URL-адресов

Отчет о защите URL-адресов содержит сводку и представление тенденций для обнаруженных угроз и действий, выполняемых при щелчках URL-адреса в рамках безопасных ссылок. В этом отчете нет данных о щелчках от пользователей, если не выбран параметр Отслеживать щелчки пользователей в действующей политике безопасных ссылок.

На странице отчетов о совместной работе Email & найдите https://security.microsoft.com/emailandcollabreportотчет о защите URL-адресов и выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/URLProtectionActionReport.

Мини-приложение отчета о защите URL-адресов на странице отчетов о совместной работе Email &

Доступные представления в отчете о защите от угроз URL-адресов описаны в следующих подразделах.

Просмотр действия защиты данных по URL-адресу в отчете о защите URL-адресов

Представление, а именно ДЕЙСТВИЕ по щелчку URL-адреса в отчете о защите URL-адресов

В представлении действия "Просмотр данных по URL-адресу" отображается количество щелчков URL-адреса пользователями в организации и результаты щелчка:

  • Разрешено: разрешены щелчки.
  • Разрешено администратором клиента: щелчки разрешены в политиках безопасных ссылок.
  • Заблокировано: щелкните Заблокировано.
  • Заблокировано администратором клиента. Щелчки, заблокированные в политиках безопасных ссылок.
  • Заблокировано и нажато: заблокированные щелчки, когда пользователи переходили по заблокированным URL-адресу.
  • Заблокировано администратором клиента и щелкнул: Администратор заблокировал ссылку, но пользователь щелкнул.
  • Щелчок во время сканирования. Щелкает, где пользователи щелкают страницу ожидающей проверки по URL-адресу.
  • Ожидание сканирования. Щелкает URL-адреса, ожидающие вердикта проверки.

Щелчок означает, что пользователь переключил страницу блокировки на вредоносный веб-сайт (администраторы могут отключить щелчок в политиках безопасных ссылок).

В таблице сведений под диаграммой представлено следующее представление всех щелчков, произошедших в организации за последние 30 дней, почти в режиме реального времени:

  • Время щелчка
  • Пользователь
  • URL-адрес
  • Действие
  • Приложение
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания.
  • Действие: те же действия по url-адресу, как описано ранее. По умолчанию значения Разрешено и Разрешено администратором клиента не выбраны.
  • Оценка. Выберите Да или Нет. Дополнительные сведения см. в разделе Try Microsoft Defender для Office 365.
  • Домены (разделенные запятыми): домены URL-адресов, перечисленные в результатах отчета.
  • Получатели (разделенные запятыми)
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Защита от угроз URL-адреса доступны действия Создание расписания, Запрос отчета и Экспорт.

Просмотр данных по URL-адресу в отчете о защите URL-адресов

Представление действия защиты щелчка URL-адреса в отчете о защите URL-адресов

Совет

В отчете доступны url-адреса, щелкаемые гостевыми пользователями. Учетные записи гостевых пользователей могут быть скомпрометированы или получить доступ к вредоносному содержимому внутри организации.

В представлении Просмотр данных по URL-адресу по щелчку по приложению отображается количество переходов по URL-адресу для приложений, поддерживающих безопасные ссылки:

  • Клиент электронной почты
  • Teams
  • Документ Office

В таблице сведений под диаграммой представлено следующее представление почти в реальном времени всех щелчков, произошедших в организации за последние семь дней:

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания.
  • Приложение: тот же щелчок по значениям приложения, как описано ранее.
  • Действие: те же значения, что и в представлении действия "Просмотр данных по URL-адресу". По умолчанию значения Разрешено и Разрешено администратором клиента не выбраны.
  • Оценка. Выберите Да или Нет. Дополнительные сведения см. в разделе Try Microsoft Defender для Office 365.
  • Домены (разделенные запятыми): домены URL-адресов, перечисленные в результатах отчета.
  • Получатели (разделенные запятыми)
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Защита от угроз URL-адреса доступны действия Создание расписания, Запрос отчета и Экспорт.

Дополнительные отчеты для просмотра

В дополнение к отчетам, описанным в этой статье, в следующих таблицах описаны другие доступные отчеты:

Отчет Статья
Обозреватель (Microsoft Defender для Office 365 план 2) или обнаружение в режиме реального времени (Microsoft Defender для Office 365 (план 1)) Обозреватель угроз (и обнаружение в режиме реального времени)
Email отчеты о безопасности, для которых не требуется Defender для Office 365 Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender
Отчеты о потоке обработки почты в Центре администрирования Exchange (EAC) Отчеты о потоке обработки почты в новом Центре администрирования Exchange

Командлеты отчетов PowerShell:

Отчет Статья
Пользователи, которые чаще всего отправляют и получают почту Get-MailTrafficSummaryReport
Самые распространенные вредоносные программы Get-MailTrafficSummaryReport
Статус защиты от угроз Get-MailTrafficATPReport

Get-MailDetailATPReport

Безопасные ссылки Get-SafeLinksAggregateReport

Get-SafeLinksDetailReport

Скомпрометированные пользователи Get-CompromisedUserAggregateReport

Get-CompromisedUserDetailReport

Состояние потока обработки почты Get-MailflowStatusReport
Подделанные пользователи Get-SpoofMailReport
Сводка по действиям после доставки Get-AggregateZapReport
Сведения о действии после доставки Get-DetailZapReport

Какие разрешения необходимы для просмотра отчетов Defender для Office 365?

См. раздел Какие разрешения необходимы для просмотра этих отчетов?

Что делать, если в отчетах не отображаются данные?

Если данные не отображаются в отчетах, проверка фильтры отчетов и дважды проверка правильность настройки политик. Политики безопасных ссылок и политики безопасных вложений из встроенной защиты, предустановленных политик безопасности или пользовательских политик должны действовать и действовать с сообщениями. Дополнительные сведения см. в следующих статьях: