Просмотр Defender для Office 365 отчетов на портале Microsoft Defender
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
В организациях с Microsoft Defender для Office 365 (план 1) или планом 2 (например, Microsoft 365 E5 или Microsoft Business Premium) доступны различные отчеты, связанные с безопасностью. Если у вас есть необходимые разрешения, эти отчеты можно просмотреть и скачать на портале Microsoft Defender.
Отчеты доступны на портале Microsoft Defender на https://security.microsoft.com странице отчетов о совместной работе Email & в разделе Отчеты>Email & совместная работа>Email & отчеты о совместной работе. Или, чтобы перейти непосредственно на страницу отчетов о совместной работе Email &, используйте https://security.microsoft.com/emailandcollabreport.
Сводные сведения по каждому отчету доступны на странице. Определите отчет, который требуется просмотреть, а затем выберите Просмотреть сведения для этого отчета.
В оставшейся части этой статьи описываются отчеты, которые являются эксклюзивными для Defender для Office 365.
Примечание.
Email отчеты о безопасности, которые не требуют Defender для Office 365, описаны в разделе Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender.
Сведения об отчетах, которые были устарели или заменены, см. в таблице Email изменениях отчета о безопасности на портале Microsoft Defender.
Отчеты, связанные с потоком обработки почты, теперь находятся в Центре администрирования Exchange (EAC). Дополнительные сведения об этих отчетах см. в статье Отчеты о потоке обработки почты в новом Центре администрирования Exchange.
Просмотрите это короткое видео, чтобы узнать, как использовать отчеты для понимания эффективности Defender для Office 365 в организации.
Отчет о типах файлов безопасных вложений
Примечание.
Этот отчет не рекомендуется использовать. Те же сведения доступны в отчете о состоянии защиты от угроз.
Отчет о ликвидации сообщений о безопасных вложениях
Примечание.
Этот отчет не рекомендуется использовать. Те же сведения доступны в отчете о состоянии защиты от угроз.
Отчет о задержке почты
В отчете о задержке почты отображается совокупное представление задержки доставки почты и детонации в организации Defender для Office 365. Время доставки почты в службе зависит от многих факторов, и абсолютное время доставки в секундах часто не является хорошим показателем успеха или проблемы. Медленное время доставки в один день может считаться средним временем доставки в другой день или наоборот. Этот отчет пытается квалифицировать доставку сообщений на основе статистических данных о наблюдаемом времени доставки других сообщений.
Задержка на стороне клиента и задержка сети не включаются в результаты.
На странице отчетов о совместной работе Email & найдите https://security.microsoft.com/emailandcollabreportотчет о задержке почты и выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/mailLatencyReport.
На странице Отчет о задержке почты доступны следующие вкладки:
- 50-й процентиль: середина времени доставки сообщений. Это значение можно рассматривать как среднее время доставки. Эта вкладка выбрана по умолчанию.
- 90-й процентиль: указывает на высокую задержку доставки сообщений. На доставку только 10 % сообщений потребовалось больше времени, чем это значение.
- 99-й процентиль: указывает наибольшую задержку при доставке сообщений.
Независимо от выбранной вкладки на диаграмме отображаются сообщения, упорядоченные по следующим категориям:
- Общее представление
- Детонация (эти значения описаны в разделе Значения фильтра )
Наведите указатель мыши на категорию на диаграмме, чтобы увидеть разбивку задержки в каждой категории.
В таблице сведений под диаграммой доступны следующие сведения:
- Дата (UTC)
- Задержка
- Количество сообщений
- 50-й процентиль
- 90-й процентиль
- 99-й процентиль
Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:
- Дата (UTC): дата начала и дата окончания
-
Представление сообщения. Выберите одно из следующих значений:
- Все сообщения электронной почты
-
Детонированное сообщение электронной почты. После выбора этого значения выберите одно из следующих значений:
- Встроенная детонация. Ссылки и вложения в сообщениях полностью проверяются безопасными ссылками и безопасными вложениями перед доставкой.
- Асинхронная детонация. Динамическая доставка вложений с помощью безопасных вложений и ссылок в электронной почте, протестированных Safe Links после доставки.
Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.
На странице Отчет о задержке почты доступно действие Экспорт.
Отчет о действиях после доставки
В отчете о действиях после доставки отображаются сведения о сообщениях электронной почты, которые были удалены из почтовых ящиков пользователей после доставки с автоматической очисткой (ZAP). Дополнительные сведения о ZAP см. в разделе Автоматическая очистка нулевого часа (ZAP) в Exchange Online.
В отчете отображаются сведения в режиме реального времени с обновленными сведениями об угрозах.
На странице отчетов о совместной работе Email & найдите https://security.microsoft.com/emailandcollabreportдействия после доставки и выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/ZapReport.
На странице Действия после доставки на диаграмме показаны следующие сведения для указанного диапазона дат:
- Нет угрозы. Количество уникальных доставленных сообщений, которые не были признаны спамом ZAP.
- Спам. Количество уникальных сообщений, которые были удалены из почтовых ящиков ZAP для спама.
- Фишинг: количество уникальных сообщений, которые были удалены из почтовых ящиков ZAP для фишинга.
- Вредоносные программы: количество уникальных сообщений, которые были удалены из почтовых ящиков ZAP для фишинга.
В таблице сведений под диаграммой показаны следующие сведения:
Тема
Время получения
Sender
Получатель
Время ЗАП
Исходная угроза
Исходное расположение
Обновленная угроза
Обновленное расположение доставки
Технология обнаружения
Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:
- Прокрутите страницу по горизонтали в веб-браузере.
- Сужает ширину соответствующих столбцов.
- Уменьшение масштаба в веб-браузере.
Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:
- Дата (UTC): дата начала и дата окончания.
-
Обновленная угроза: выберите один из следующих значений:
- Нет угрозы
- Спам
- Фишинг
- Вредоносная программа
Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.
На странице Действия после доставки доступны действия Создать расписание и Экспорт.
отчет о состоянии защиты от угроз;
Отчет о состоянии защиты от угроз — это единое представление, объединяющее сведения о вредоносном содержимом и вредоносных сообщениях электронной почты, обнаруженных и заблокированных Exchange Online Protection (EOP) и Defender для Office 365. Дополнительные сведения см. в статье Отчет о состоянии защиты от угроз.
Отчет о лучших отправителях и получателях
В отчете Основные отправители и получатели отображаются основные получатели для EOP и функций защиты Defender для Office 365. Дополнительные сведения см. в разделе Основные отчеты отправителей и получателей.
Отчет о защите URL-адресов
Отчет о защите URL-адресов содержит сводку и представление тенденций для обнаруженных угроз и действий, выполняемых при щелчках URL-адреса в рамках безопасных ссылок. В этом отчете нет данных о щелчках от пользователей, если не выбран параметр Отслеживать щелчки пользователей в действующей политике безопасных ссылок.
На странице отчетов о совместной работе Email & найдите https://security.microsoft.com/emailandcollabreportотчет о защите URL-адресов и выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/URLProtectionActionReport.
Доступные представления в отчете о защите от угроз URL-адресов описаны в следующих подразделах.
Просмотр действия защиты данных по URL-адресу в отчете о защите URL-адресов
В представлении действия "Просмотр данных по URL-адресу" отображается количество щелчков URL-адреса пользователями в организации и результаты щелчка:
- Разрешено: разрешены щелчки.
- Разрешено администратором клиента: щелчки разрешены в политиках безопасных ссылок.
- Заблокировано: щелкните Заблокировано.
- Заблокировано администратором клиента. Щелчки, заблокированные в политиках безопасных ссылок.
- Заблокировано и нажато: заблокированные щелчки, когда пользователи переходили по заблокированным URL-адресу.
- Заблокировано администратором клиента и щелкнул: Администратор заблокировал ссылку, но пользователь щелкнул.
- Щелчок во время сканирования. Щелкает, где пользователи щелкают страницу ожидающей проверки по URL-адресу.
- Ожидание сканирования. Щелкает URL-адреса, ожидающие вердикта проверки.
Щелчок означает, что пользователь переключил страницу блокировки на вредоносный веб-сайт (администраторы могут отключить щелчок в политиках безопасных ссылок).
В таблице сведений под диаграммой представлено следующее представление всех щелчков, произошедших в организации за последние 30 дней, почти в режиме реального времени:
- Время щелчка
- Пользователь
- URL-адрес
- Действие
- Приложение
- Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:
- Дата (UTC): дата начала и дата окончания.
- Действие: те же действия по url-адресу, как описано ранее. По умолчанию значения Разрешено и Разрешено администратором клиента не выбраны.
- Оценка. Выберите Да или Нет. Дополнительные сведения см. в разделе Try Microsoft Defender для Office 365.
- Домены (разделенные запятыми): домены URL-адресов, перечисленные в результатах отчета.
- Получатели (разделенные запятыми)
- Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.
На странице Защита от угроз URL-адреса доступны действия Создание расписания, Запрос отчета и Экспорт.
Просмотр данных по URL-адресу в отчете о защите URL-адресов
Совет
В отчете доступны url-адреса, щелкаемые гостевыми пользователями. Учетные записи гостевых пользователей могут быть скомпрометированы или получить доступ к вредоносному содержимому внутри организации.
В представлении Просмотр данных по URL-адресу по щелчку по приложению отображается количество переходов по URL-адресу для приложений, поддерживающих безопасные ссылки:
- Клиент электронной почты
- Teams
- Документ Office
В таблице сведений под диаграммой представлено следующее представление почти в реальном времени всех щелчков, произошедших в организации за последние семь дней:
- Время щелчка
- Пользователь
- URL-адрес
- Действие: те же действия по url-адресу, которые описаны ранее в представлении действия "Просмотр данных по URL-адресу ".
- Приложение
- Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:
- Дата (UTC): дата начала и дата окончания.
- Приложение: тот же щелчок по значениям приложения, как описано ранее.
- Действие: те же значения, что и в представлении действия "Просмотр данных по URL-адресу". По умолчанию значения Разрешено и Разрешено администратором клиента не выбраны.
- Оценка. Выберите Да или Нет. Дополнительные сведения см. в разделе Try Microsoft Defender для Office 365.
- Домены (разделенные запятыми): домены URL-адресов, перечисленные в результатах отчета.
- Получатели (разделенные запятыми)
- Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.
На странице Защита от угроз URL-адреса доступны действия Создание расписания, Запрос отчета и Экспорт.
Дополнительные отчеты для просмотра
В дополнение к отчетам, описанным в этой статье, в следующих таблицах описаны другие доступные отчеты:
Отчет | Статья |
---|---|
Обозреватель (Microsoft Defender для Office 365 план 2) или обнаружение в режиме реального времени (Microsoft Defender для Office 365 (план 1)) | Обозреватель угроз (и обнаружение в режиме реального времени) |
Email отчеты о безопасности, для которых не требуется Defender для Office 365 | Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender |
Отчеты о потоке обработки почты в Центре администрирования Exchange (EAC) | Отчеты о потоке обработки почты в новом Центре администрирования Exchange |
Командлеты отчетов PowerShell:
Отчет | Статья |
---|---|
Пользователи, которые чаще всего отправляют и получают почту | Get-MailTrafficSummaryReport |
Самые распространенные вредоносные программы | Get-MailTrafficSummaryReport |
Статус защиты от угроз | Get-MailTrafficATPReport |
Безопасные ссылки | Get-SafeLinksAggregateReport |
Скомпрометированные пользователи | Get-CompromisedUserAggregateReport |
Состояние потока обработки почты | Get-MailflowStatusReport |
Подделанные пользователи | Get-SpoofMailReport |
Сводка по действиям после доставки | Get-AggregateZapReport |
Сведения о действии после доставки | Get-DetailZapReport |
Какие разрешения необходимы для просмотра отчетов Defender для Office 365?
См. раздел Какие разрешения необходимы для просмотра этих отчетов?
Что делать, если в отчетах не отображаются данные?
Если данные не отображаются в отчетах, проверка фильтры отчетов и дважды проверка правильность настройки политик. Политики безопасных ссылок и политики безопасных вложений из встроенной защиты, предустановленных политик безопасности или пользовательских политик должны действовать и действовать с сообщениями. Дополнительные сведения см. в следующих статьях:
- Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365
- Анализатор конфигурации для политик защиты в EOP и Microsoft Defender для Office 365
- Настройка политик Безопасных ссылок в Microsoft Defender для Office 365
- Настройка политик безопасных вложений в Microsoft Defender для Office 365