Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Совет
Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.
В организациях с Microsoft Defender for Office 365 планом 1 или планом 2 (например, Microsoft 365 E3/G3, Microsoft 365 бизнес премиум или Microsoft 365 E5/A5/G5) доступен ряд отчетов, связанных с безопасностью. Если у вас есть необходимые разрешения, эти отчеты можно просмотреть и скачать на портале Microsoft Defender.
Отчеты доступны на портале Microsoft Defender по адресу https://security.microsoft.com на странице Отчеты по электронной почте и совместной работе в разделе Отчеты>Электронная почта и совместная работа>Отчеты по электронной почте и совместной работе. Или, чтобы напрямую перейти на страницу Отчеты по электронной почте и совместной работе, используйте https://security.microsoft.com/emailandcollabreport.
Сводные сведения по каждому отчету доступны на странице. Определите отчет, который требуется просмотреть, а затем выберите Просмотреть сведения для этого отчета.
В остальной части этой статьи описываются отчеты, которые являются эксклюзивными для Defender для Office 365.
Совет
Панель мониторинга «Обзор» для Microsoft 365 доступна на странице Email & collaboration>Обзор или непосредственно по адресу https://security.microsoft.com/emailandcollaborationoverviewreport. Дополнительные сведения см. в разделе панель мониторинга "Обзор" в Microsoft Defender для Office 365.
Email отчеты о безопасности, для которых не требуется Defender для Office 365, описаны в разделе Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender.
Сведения о устаревших или замененных отчетах см. в таблице в статье Изменения отчетов по безопасности электронной почты на портале Microsoft Defender.
Отчеты, связанные с потоком обработки почты, теперь находятся в Центре администрирования Exchange (EAC). Дополнительные сведения об этих отчетах см. в статье Отчеты о потоке обработки почты в новом Центре администрирования Exchange.
Просмотрите это короткое видео, чтобы узнать, как использовать отчеты для понимания эффективности Defender для Office 365 в организации.
Отчет о типах файлов безопасных вложений
Примечание.
Этот отчет устарел. Те же сведения доступны в отчете о состоянии защиты от угроз.
Отчет о ликвидации сообщений о безопасных вложениях
Примечание.
Этот отчет устарел. Те же сведения доступны в отчете о состоянии защиты от угроз.
Отчет о задержке почты
Отчет о задержке почты показывает обобщенное представление о задержках доставки и детонации почты в вашей организации Defender для Office 365. Многие факторы влияют на время доставки почты в службе, и абсолютное время доставки в секундах часто не является хорошим показателем успеха или проблемы. Медленное время доставки в один день может считаться средним временем доставки в другой день или наоборот. Этот отчет пытается квалифицировать доставку сообщений на основе статистических данных о наблюдаемом времени доставки других сообщений.
Задержка на стороне клиента и задержка сети не включаются в результаты.
На странице Отчеты по электронной почте и совместной работе в https://security.microsoft.com/emailandcollabreportнайдите Отчет о задержке доставки почты, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/mailLatencyReport.
На странице Отчет о задержке почты доступны следующие вкладки:
- 50-й процентиль: середина времени доставки сообщений. Это значение можно рассматривать как среднее время доставки. Эта вкладка выбрана по умолчанию.
- 90-й процентиль: указывает на высокую задержку доставки сообщений. На доставку только 10 % сообщений потребовалось больше времени, чем это значение.
- 99-й процентиль: указывает наибольшую задержку при доставке сообщений.
Независимо от выбранной вкладки на диаграмме отображаются сообщения, упорядоченные по следующим категориям:
- Общее представление
-
Детонация (эти значения описаны в
разделе Значения фильтра )
Наведите указатель мыши на категорию на диаграмме, чтобы увидеть разбивку задержки в каждой категории.
В таблице сведений под диаграммой доступны следующие сведения:
- Дата (UTC)
- Задержка
- Количество сообщений
- 50-й процентиль
- 90-й процентиль
- 99-й процентиль
Выберите
Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:
- Дата (UTC): дата начала и дата окончания
-
Представление сообщения: выберите одно из следующих значений:
- Все сообщения электронной почты
-
Детонированное сообщение электронной почты. После выбора этого значения выберите одно из следующих значений:
- Встроенная детонация. Безопасные ссылки и безопасные вложения полностью тестируют ссылки и вложения в сообщениях перед доставкой.
- Асинхронная детонация. Динамическая доставка вложений с помощью безопасных вложений и ссылок в электронной почте, протестированных Safe Links после доставки.
Завершив настройку фильтров, выберите Применить, Отмена или
Очистить фильтры.
На странице Отчет о задержке почты
доступно действие Экспорт.
Отчет о действиях после доставки
В отчете Действия после доставки содержатся сведения о сообщениях электронной почты, которые были удалены из почтовых ящиков пользователей после доставки с помощью функции автоматической очистки в нулевой час (ZAP). Дополнительные сведения о ZAP см. в статье Автоматическая очистка нулевого часа (ZAP) в Exchange Online.
В отчете отображаются сведения в режиме реального времени с обновленными сведениями об угрозах.
На странице Отчеты об электронной почте и совместной работе по адресу https://security.microsoft.com/emailandcollabreport, найдите Действия после доставки, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/PostDeliveryActivities.
На странице Действия после доставки на диаграмме показаны следующие сведения для указанного диапазона дат:
- Нет угрозы. Количество уникальных доставленных сообщений, которые не были признаны спамом ZAP.
- Спам: количество уникальных сообщений, удаленных из почтовых ящиков ZAP для спама.
- Фишинг: количество уникальных сообщений, удаленных из почтовых ящиков ZAP для фишинга.
- Вредоносная программа: количество уникальных сообщений, удаленных из почтовых ящиков ZAP для фишинга.
В таблице сведений под диаграммой показаны следующие сведения:
Тема
Время получения
Sender
Получатель
Время ZAP
Исходная угроза
Исходное расположение
Обновленная угроза
Обновленное расположение доставки
Технология обнаружения
Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:
- Прокрутите страницу по горизонтали в веб-браузере.
- Сузьте ширину соответствующих столбцов.
- Уменьшите масштаб в браузере.
Выберите
Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:
- Дата (UTC): дата начала и дата окончания.
-
Обновленная угроза: выберите одно или несколько из следующих значений:
- Нет угрозы
- Спам
- Фишинг
- Вредоносная программа
Завершив настройку фильтров, выберите Применить, Отмена или
Очистить фильтры.
На странице
Действия после доставки доступны действия Создать расписание и
Экспорт.
Отчет о защите & оценке состояния безопасности
Примечание.
Для этого отчета требуется Microsoft Defender для Office 365, план 2.
Этот отчет в настоящее время находится в предварительной версии, он доступен не во всех организациях и может быть изменен.
Отчет «Аналитика защиты и состояния безопасности» — это отчет, формируемый по запросу для конкретного арендатора. Это поможет вам понять, насколько эффективно ваша организация защищена от угроз, предназначенных для рабочих нагрузок электронной почты и совместной работы. Отчет объединяет эффективность защиты, состояние безопасности и действия по угрозам в едином загружаемом представлении. Его можно использовать для оценки риска, выявления пробелов в конфигурации и информирования заинтересованных лиц о результатах безопасности.
На странице Отчеты по электронной почте и совместной работе по адресу https://security.microsoft.com/emailandcollabreport найдите Сведения о защите и состоянии безопасности, а затем выберите Создать, чтобы сформировать отчет. После создания отчета доступны следующие действия:
- Скачать отчет. Скачайте отчет в виде HTML-файла.
- Открыть отчет. Откройте отчет на портале Defender. Отчет длинный, поэтому прокрутите страницу, чтобы просмотреть все разделы, или используйте панель навигации для перехода непосредственно к интересующим областям в отчете. Печать в формате PDF доступна для сохранения или печати отчета.
Отчет содержит данные за предыдущие 30 дней, и вы можете создавать новую версию отчета каждые 24 часа. Если создание отчета завершается сбоем, можно повторить попытку через 60 минут.
Что содержит отчет
Отчет содержит следующие сведения:
- Телеметрические данные для конкретного клиента из Microsoft Defender для Office 365.
- Метрики, охватывающие обнаружение угроз, предотвращение, результаты доставки и охват политики.
- Разбивка угроз по типу, достоверности, технологии обнаружения и влиянию на пользователей.
Вместе эти данные показывают как то, какие угрозы присутствовали, так и то, насколько эффективно ваши средства защиты справились с ними.
Рекомендуемые действия
Используйте отчет, чтобы:
- Определите пробелы в конфигурации, такие как неполный охват политикой или неоптимальные пороговые параметры.
- Изучите сценарии, в которых угрозы были доставлены в папку "Входящие" или папку "Нежелательная Email" из-за переопределений политики или выбора конфигурации.
- Определите, являются ли учетные записи с приоритетами (если они настроены) непропорционально целевыми.
- Уделяйте первоочередное внимание мерам по устранению проблем для пользователей с высоким риском и распространенных типов угроз.
- Поддержка принятия оперативных решений, улучшения положения и взаимодействия с заинтересованными лицами.
Разделы отчета
- Краткий обзор: Обзор того, сколько угроз и нежелательных сообщений было обнаружено в течение отчетного периода.
- Эффективность: полное представление об угрозах, которые Defender для Office 365 заблокировал в электронной почте.
- Ландшафт угроз: более широкое поведение злоумышленников и методы, основанные на статьях об аналитике угроз.
- Классификация угроз: Угрозы, обнаруженные ИИ, для которых определяются намерение и тип с использованием анализа на базе большой языковой модели (LLM).
- Угрозы нулевого дня (детонация): угрозы, обнаруженные с помощью песочницы, что указывает на уязвимость к расширенным атакам и методам уклонения.
- Приоритетные учетные записи: пятерка пользователей, помеченных как приоритетные учетные записи, которые были нацелены на фишинг и вредоносные программы.
- Охват политикой. Указывает, гарантирует ли конфигурация политики, что все пользователи могут воспользоваться защитой ключей.
- Места доставки: куда в конечном итоге попадают угрозы, напрямую отражая степень подверженности пользователей.
- Тенденции обнаружения: изменение объемов активности и обнаружения угроз за отчетный период.
- Технология обнаружения входящего трафика: какие уровни обнаружения задействованы, помогая оценить эшелонированную защиту.
- Уровень порогового значения политики фишинга: как агрессивность обнаружения угроз связана с результатами и риском ложноположительных срабатываний.
- Статистика карантина: Процент сообщений электронной почты, помещённых в карантин, которые впоследствии были выпущены из него (вероятно, это ложные срабатывания), чтобы помочь вам точнее настроить защиту.
Вопросы и ответы
Как рассчитывается охват политикой?
Покрытие политики рассчитывается путем оценки частоты обработки сообщений для каждого пользователя безопасными вложениями и безопасными ссылками:
- Защищено: более 95 % сообщений были обработаны для песочницы.
- Частично защищено: обработано от 10% до 95% сообщений.
- Незащищено: обработано менее 10 % сообщений.
Если общий охват политик ниже ожидаемого, проверьте свои политики, чтобы убедиться, что в них включены нужные пользователи, группы и домены.
Почему в аналитических сведениях о приоритетных учетных записях не отображаются имена пользователей?
Идентификаторы пользователей скрываются и отображаются как GUID учетных записей Microsoft Entra. Чтобы определить соответствующего пользователя, можно найти отображаемый GUID в центре администрирования Microsoft Entra.
Чем этот отчет отличается от панелей мониторинга портала Defender?
Отчет предоставляет консолидированное представление на определенный момент времени, ориентированное на результаты и состояние, созданное непосредственно из телеметрии клиента во время создания отчета.
Можно ли с помощью функции «Advanced Hunting» проверить эти результаты?
Да. Выберите Перейти к расширенному поиску в отчёте, чтобы открыть соответствующие запросы расширенного поиска. Со временем добавляются дополнительные запросы и аналитические сведения.
Как предоставить отзыв об отчете?
Отправьте отзыв по адресу https://aka.ms/PPIReportFeedback.
отчет о состоянии защиты от угроз;
Отчет о состоянии защиты от угроз — это единое представление, объединяющее сведения о вредоносном содержимом и вредоносном сообщении электронной почты, обнаруженных и заблокированных встроенными функциями безопасности для всех облачных почтовых ящиков и Defender для Office 365. Дополнительные сведения см. в статье Отчет о состоянии защиты от угроз.
Отчет о лучших отправителях и получателях
В отчете "Основные отправители и получатели " отображаются основные получатели для функций защиты электронной почты и совместной работы. Дополнительные сведения см. в разделе Основные отчеты отправителей и получателей.
Отчет о защите URL-адресов
Отчет о защите URL-адресов содержит сводку и представление тенденций для обнаруженных угроз и действий, выполняемых при щелчках URL-адреса в рамках безопасных ссылок. В этом отчете нет данных о щелчках от пользователей, если не выбран параметр Отслеживать щелчки пользователей в действующей политике безопасных ссылок.
На странице Отчеты об электронной почте и совместной работе на сайте https://security.microsoft.com/emailandcollabreport найдите Отчет о защите URL-адресов, а затем выберите Просмотреть подробности. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/URLProtectionActionReport.
Доступные представления в отчете Защита от URL-угроз описаны в следующих подразделах.
Просмотр данных о действии защиты при переходе по URL в отчете о защите URL-адресов
В представлении «Просмотр данных по действию защиты от переходов по URL» отображается количество переходов по URL-адресам, выполненных пользователями в организации, и результаты этих переходов:
- Разрешено: разрешены щелчки.
- Разрешено администратором клиента: щелчки разрешены в политиках безопасных ссылок.
- Заблокировано: щелкните Заблокировано.
- Заблокировано администратором клиента: Переходы заблокированы политиками «Безопасные ссылки».
- Заблокировано, но переход выполнен: заблокированные клики, при которых пользователи переходили по заблокированному URL-адресу.
- Заблокировано администратором клиента, но переход выполнен: администратор заблокировал ссылку, но пользователь всё же перешёл по ней.
- Переход во время сканирования: Клики, при которых пользователи переходят со страницы ожидания проверки по URL-адресу.
- Ожидается сканирование: Переходы по URL-адресам, ожидающим вердикта проверки.
Щелчок означает, что пользователь перешёл через страницу блокировки на вредоносный веб-сайт (администраторы могут отключить возможность такого перехода в политиках безопасных ссылок).
В таблице сведений под диаграммой представлено следующее представление всех щелчков, произошедших в организации за последние 30 дней, почти в режиме реального времени:
- Время щелчка
- Пользователь
- URL-адрес
- Действие
- Приложение
- Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Выберите
Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:
- Дата (UTC): дата начала и дата окончания.
- Действие: те же действия защиты при переходе по URL, как описано ранее. По умолчанию значения Разрешено и Разрешено администратором клиента не выбраны.
- Оценка. Выберите Да или Нет. Дополнительные сведения см. в статье Try Microsoft Defender для Office 365.
- Домены (разделенные запятыми): домены URL-адресов, перечисленные в результатах отчета.
- Получатели (разделенные запятыми)
- Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Завершив настройку фильтров, выберите Применить, Отмена или
Очистить фильтры.
На странице
Защита от угроз URL-адреса доступны действия Создание расписания,
Запрос отчета и
Экспорт.
Просмотр данных о переходах по URL-адресам по приложениям в отчете о защите URL-адресов
Совет
В отчете доступны данные о переходах по URL, выполненных гостями. Гостевые учетные записи могут быть скомпрометированы или получить доступ к вредоносному содержимому внутри организации.
В представлении Данные о щелчках по URL-адресам по приложениям отображается количество щелчков по URL-адресам в приложениях, поддерживающих Safe Links:
- Клиент электронной почты
- Teams
- Документ Office
В таблице сведений под диаграммой представлено следующее представление почти в реальном времени всех щелчков, произошедших в организации за последние семь дней:
- Время щелчка
- Пользователь
- URL-адрес
- Действие: те же действия защиты от переходов по URL, что были ранее описаны для представления «Просмотр данных по действию защиты от переходов по URL».
- Приложение
- Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Выберите
Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:
- Дата (UTC): дата начала и дата окончания.
- Приложение: те же значения кликов по приложению, как описано ранее.
- Действие: те же значения, что показаны в представлении действия «Просмотр данных по защите от переходов по URL-адресам». По умолчанию значения Разрешено и Разрешено администратором клиента не выбраны.
- Оценка. Выберите Да или Нет. Дополнительные сведения см. в статье Try Microsoft Defender для Office 365.
- Домены (разделенные запятыми): домены URL-адресов, перечисленные в результатах отчета.
- Получатели (разделенные запятыми)
- Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
Завершив настройку фильтров, выберите Применить, Отмена или
Очистить фильтры.
На странице
Защита от угроз URL-адреса доступны действия Создание расписания,
Запрос отчета и
Экспорт.
Другие отчеты для просмотра
В дополнение к отчетам, описанным в этой статье, в следующих таблицах описаны другие доступные отчеты:
| Отчет | Статья |
|---|---|
| Explorer (Microsoft Defender для Office 365 (план 2)) или обнаружение в режиме реального времени (Microsoft Defender для Office 365 (план 1)) | Обозреватель угроз (и обнаружение в режиме реального времени) |
| Отчеты по безопасности электронной почты, для которых не требуется Defender для Office 365 | Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender |
| Отчеты о потоке обработки почты в Центре администрирования Exchange (EAC) | Отчеты о потоке обработки почты в новом Центре администрирования Exchange |
Командлеты PowerShell для создания отчетов:
| Отчет | Статья |
|---|---|
| Пользователи, которые чаще всего отправляют и получают почту | Get-MailTrafficSummaryReport |
| Самые распространенные вредоносные программы | Get-MailTrafficSummaryReport |
| Статус защиты от угроз | Get-MailTrafficATPReport |
| Безопасные ссылки | Get-SafeLinksAggregateReport |
| Скомпрометированные пользователи | Get-CompromisedUserAggregateReport |
| Состояние потока обработки почты | Get-MailflowStatusReport |
| Подделанные пользователи | Get-SpoofMailReport |
| Сводка по действиям после доставки | Get-AggregateZapReport |
| Подробности действия после доставки | Get-DetailZapReport |
Какие разрешения необходимы для просмотра отчетов Defender для Office 365?
См. раздел Какие разрешения необходимы для просмотра этих отчетов?
Что делать, если в отчетах не отображаются данные?
Если данные не отображаются в отчетах, проверьте фильтры отчетов и еще раз убедитесь, что ваши политики настроены правильно. Политики Safe Links и Safe Attachments в составе встроенной защиты, предустановленных политик безопасности или настраиваемых политик защиты от угроз должны быть включены и применяться к сообщениям. Дополнительные сведения см. в следующих статьях: