Просмотр отчетов Defender для Office 365 на портале Microsoft Defender

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

В организациях с Microsoft Defender for Office 365 планом 1 или планом 2 (например, Microsoft 365 E3/G3, Microsoft 365 бизнес премиум или Microsoft 365 E5/A5/G5) доступен ряд отчетов, связанных с безопасностью. Если у вас есть необходимые разрешения, эти отчеты можно просмотреть и скачать на портале Microsoft Defender.

Отчеты доступны на портале Microsoft Defender по адресу https://security.microsoft.com на странице Отчеты по электронной почте и совместной работе в разделе Отчеты>Электронная почта и совместная работа>Отчеты по электронной почте и совместной работе. Или, чтобы напрямую перейти на страницу Отчеты по электронной почте и совместной работе, используйте https://security.microsoft.com/emailandcollabreport.

Сводные сведения по каждому отчету доступны на странице. Определите отчет, который требуется просмотреть, а затем выберите Просмотреть сведения для этого отчета.

В остальной части этой статьи описываются отчеты, которые являются эксклюзивными для Defender для Office 365.

Совет

Панель мониторинга «Обзор» для Microsoft 365 доступна на странице Email & collaboration>Обзор или непосредственно по адресу https://security.microsoft.com/emailandcollaborationoverviewreport. Дополнительные сведения см. в разделе панель мониторинга "Обзор" в Microsoft Defender для Office 365.

Email отчеты о безопасности, для которых не требуется Defender для Office 365, описаны в разделе Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender.

Сведения о устаревших или замененных отчетах см. в таблице в статье Изменения отчетов по безопасности электронной почты на портале Microsoft Defender.

Отчеты, связанные с потоком обработки почты, теперь находятся в Центре администрирования Exchange (EAC). Дополнительные сведения об этих отчетах см. в статье Отчеты о потоке обработки почты в новом Центре администрирования Exchange.

Просмотрите это короткое видео, чтобы узнать, как использовать отчеты для понимания эффективности Defender для Office 365 в организации.

Отчет о типах файлов безопасных вложений

Примечание.

Этот отчет устарел. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет о ликвидации сообщений о безопасных вложениях

Примечание.

Этот отчет устарел. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет о задержке почты

Отчет о задержке почты показывает обобщенное представление о задержках доставки и детонации почты в вашей организации Defender для Office 365. Многие факторы влияют на время доставки почты в службе, и абсолютное время доставки в секундах часто не является хорошим показателем успеха или проблемы. Медленное время доставки в один день может считаться средним временем доставки в другой день или наоборот. Этот отчет пытается квалифицировать доставку сообщений на основе статистических данных о наблюдаемом времени доставки других сообщений.

Задержка на стороне клиента и задержка сети не включаются в результаты.

На странице Отчеты по электронной почте и совместной работе в https://security.microsoft.com/emailandcollabreportнайдите Отчет о задержке доставки почты, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/mailLatencyReport.

Виджет

На странице Отчет о задержке почты доступны следующие вкладки:

  • 50-й процентиль: середина времени доставки сообщений. Это значение можно рассматривать как среднее время доставки. Эта вкладка выбрана по умолчанию.
  • 90-й процентиль: указывает на высокую задержку доставки сообщений. На доставку только 10 % сообщений потребовалось больше времени, чем это значение.
  • 99-й процентиль: указывает наибольшую задержку при доставке сообщений.

Независимо от выбранной вкладки на диаграмме отображаются сообщения, упорядоченные по следующим категориям:

  • Общее представление
  • Детонация (эти значения описаны в разделе Значения фильтра )

Наведите указатель мыши на категорию на диаграмме, чтобы увидеть разбивку задержки в каждой категории.

Представление 50-го процентиля отчета о задержке почты

В таблице сведений под диаграммой доступны следующие сведения:

  • Дата (UTC)
  • Задержка
  • Количество сообщений
  • 50-й процентиль
  • 90-й процентиль
  • 99-й процентиль

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания
  • Представление сообщения: выберите одно из следующих значений:
    • Все сообщения электронной почты
    • Детонированное сообщение электронной почты. После выбора этого значения выберите одно из следующих значений:
      • Встроенная детонация. Безопасные ссылки и безопасные вложения полностью тестируют ссылки и вложения в сообщениях перед доставкой.
      • Асинхронная детонация. Динамическая доставка вложений с помощью безопасных вложений и ссылок в электронной почте, протестированных Safe Links после доставки.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Отчет о задержке почты доступно действие Экспорт.

Отчет о действиях после доставки

В отчете Действия после доставки содержатся сведения о сообщениях электронной почты, которые были удалены из почтовых ящиков пользователей после доставки с помощью функции автоматической очистки в нулевой час (ZAP). Дополнительные сведения о ZAP см. в статье Автоматическая очистка нулевого часа (ZAP) в Exchange Online.

В отчете отображаются сведения в режиме реального времени с обновленными сведениями об угрозах.

На странице Отчеты об электронной почте и совместной работе по адресу https://security.microsoft.com/emailandcollabreport, найдите Действия после доставки, а затем выберите Просмотреть сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/PostDeliveryActivities.

Виджет «Действия после доставки» на странице отчетов по электронной почте и совместной работе.

На странице Действия после доставки на диаграмме показаны следующие сведения для указанного диапазона дат:

  • Нет угрозы. Количество уникальных доставленных сообщений, которые не были признаны спамом ZAP.
  • Спам: количество уникальных сообщений, удаленных из почтовых ящиков ZAP для спама.
  • Фишинг: количество уникальных сообщений, удаленных из почтовых ящиков ZAP для фишинга.
  • Вредоносная программа: количество уникальных сообщений, удаленных из почтовых ящиков ZAP для фишинга.

В таблице сведений под диаграммой показаны следующие сведения:

  • Тема

  • Время получения

  • Sender

  • Получатель

  • Время ZAP

  • Исходная угроза

  • Исходное расположение

  • Обновленная угроза

  • Обновленное расположение доставки

  • Технология обнаружения

    Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

    • Прокрутите страницу по горизонтали в веб-браузере.
    • Сузьте ширину соответствующих столбцов.
    • Уменьшите масштаб в браузере.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания.
  • Обновленная угроза: выберите одно или несколько из следующих значений:
    • Нет угрозы
    • Спам
    • Фишинг
    • Вредоносная программа

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Действия после доставки доступны действия Создать расписание и Экспорт.

Отчет о действиях после доставки.

Отчет о защите & оценке состояния безопасности

Примечание.

Для этого отчета требуется Microsoft Defender для Office 365, план 2.

Этот отчет в настоящее время находится в предварительной версии, он доступен не во всех организациях и может быть изменен.

Отчет «Аналитика защиты и состояния безопасности» — это отчет, формируемый по запросу для конкретного арендатора. Это поможет вам понять, насколько эффективно ваша организация защищена от угроз, предназначенных для рабочих нагрузок электронной почты и совместной работы. Отчет объединяет эффективность защиты, состояние безопасности и действия по угрозам в едином загружаемом представлении. Его можно использовать для оценки риска, выявления пробелов в конфигурации и информирования заинтересованных лиц о результатах безопасности.

На странице Отчеты по электронной почте и совместной работе по адресу https://security.microsoft.com/emailandcollabreport найдите Сведения о защите и состоянии безопасности, а затем выберите Создать, чтобы сформировать отчет. После создания отчета доступны следующие действия:

  • Скачать отчет. Скачайте отчет в виде HTML-файла.
  • Открыть отчет. Откройте отчет на портале Defender. Отчет длинный, поэтому прокрутите страницу, чтобы просмотреть все разделы, или используйте панель навигации для перехода непосредственно к интересующим областям в отчете. Печать в формате PDF доступна для сохранения или печати отчета.

Отчет содержит данные за предыдущие 30 дней, и вы можете создавать новую версию отчета каждые 24 часа. Если создание отчета завершается сбоем, можно повторить попытку через 60 минут.

Снимок экрана виджета отчета

Что содержит отчет

Отчет содержит следующие сведения:

  • Телеметрические данные для конкретного клиента из Microsoft Defender для Office 365.
  • Метрики, охватывающие обнаружение угроз, предотвращение, результаты доставки и охват политики.
  • Разбивка угроз по типу, достоверности, технологии обнаружения и влиянию на пользователей.

Вместе эти данные показывают как то, какие угрозы присутствовали, так и то, насколько эффективно ваши средства защиты справились с ними.

Используйте отчет, чтобы:

  • Определите пробелы в конфигурации, такие как неполный охват политикой или неоптимальные пороговые параметры.
  • Изучите сценарии, в которых угрозы были доставлены в папку "Входящие" или папку "Нежелательная Email" из-за переопределений политики или выбора конфигурации.
  • Определите, являются ли учетные записи с приоритетами (если они настроены) непропорционально целевыми.
  • Уделяйте первоочередное внимание мерам по устранению проблем для пользователей с высоким риском и распространенных типов угроз.
  • Поддержка принятия оперативных решений, улучшения положения и взаимодействия с заинтересованными лицами.

Разделы отчета

  • Краткий обзор: Обзор того, сколько угроз и нежелательных сообщений было обнаружено в течение отчетного периода.
  • Эффективность: полное представление об угрозах, которые Defender для Office 365 заблокировал в электронной почте.
  • Ландшафт угроз: более широкое поведение злоумышленников и методы, основанные на статьях об аналитике угроз.
  • Классификация угроз: Угрозы, обнаруженные ИИ, для которых определяются намерение и тип с использованием анализа на базе большой языковой модели (LLM).
  • Угрозы нулевого дня (детонация): угрозы, обнаруженные с помощью песочницы, что указывает на уязвимость к расширенным атакам и методам уклонения.
  • Приоритетные учетные записи: пятерка пользователей, помеченных как приоритетные учетные записи, которые были нацелены на фишинг и вредоносные программы.
  • Охват политикой. Указывает, гарантирует ли конфигурация политики, что все пользователи могут воспользоваться защитой ключей.
  • Места доставки: куда в конечном итоге попадают угрозы, напрямую отражая степень подверженности пользователей.
  • Тенденции обнаружения: изменение объемов активности и обнаружения угроз за отчетный период.
  • Технология обнаружения входящего трафика: какие уровни обнаружения задействованы, помогая оценить эшелонированную защиту.
  • Уровень порогового значения политики фишинга: как агрессивность обнаружения угроз связана с результатами и риском ложноположительных срабатываний.
  • Статистика карантина: Процент сообщений электронной почты, помещённых в карантин, которые впоследствии были выпущены из него (вероятно, это ложные срабатывания), чтобы помочь вам точнее настроить защиту.

Вопросы и ответы

Как рассчитывается охват политикой?

Покрытие политики рассчитывается путем оценки частоты обработки сообщений для каждого пользователя безопасными вложениями и безопасными ссылками:

  • Защищено: более 95 % сообщений были обработаны для песочницы.
  • Частично защищено: обработано от 10% до 95% сообщений.
  • Незащищено: обработано менее 10 % сообщений.

Если общий охват политик ниже ожидаемого, проверьте свои политики, чтобы убедиться, что в них включены нужные пользователи, группы и домены.

Почему в аналитических сведениях о приоритетных учетных записях не отображаются имена пользователей?

Идентификаторы пользователей скрываются и отображаются как GUID учетных записей Microsoft Entra. Чтобы определить соответствующего пользователя, можно найти отображаемый GUID в центре администрирования Microsoft Entra.

Чем этот отчет отличается от панелей мониторинга портала Defender?

Отчет предоставляет консолидированное представление на определенный момент времени, ориентированное на результаты и состояние, созданное непосредственно из телеметрии клиента во время создания отчета.

Можно ли с помощью функции «Advanced Hunting» проверить эти результаты?

Да. Выберите Перейти к расширенному поиску в отчёте, чтобы открыть соответствующие запросы расширенного поиска. Со временем добавляются дополнительные запросы и аналитические сведения.

Как предоставить отзыв об отчете?

Отправьте отзыв по адресу https://aka.ms/PPIReportFeedback.

отчет о состоянии защиты от угроз;

Отчет о состоянии защиты от угроз — это единое представление, объединяющее сведения о вредоносном содержимом и вредоносном сообщении электронной почты, обнаруженных и заблокированных встроенными функциями безопасности для всех облачных почтовых ящиков и Defender для Office 365. Дополнительные сведения см. в статье Отчет о состоянии защиты от угроз.

Отчет о лучших отправителях и получателях

В отчете "Основные отправители и получатели " отображаются основные получатели для функций защиты электронной почты и совместной работы. Дополнительные сведения см. в разделе Основные отчеты отправителей и получателей.

Отчет о защите URL-адресов

Отчет о защите URL-адресов содержит сводку и представление тенденций для обнаруженных угроз и действий, выполняемых при щелчках URL-адреса в рамках безопасных ссылок. В этом отчете нет данных о щелчках от пользователей, если не выбран параметр Отслеживать щелчки пользователей в действующей политике безопасных ссылок.

На странице Отчеты об электронной почте и совместной работе на сайте https://security.microsoft.com/emailandcollabreport найдите Отчет о защите URL-адресов, а затем выберите Просмотреть подробности. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/URLProtectionActionReport.

Виджет отчета о защите URL-адресов на странице отчетов по электронной почте и совместной работе

Доступные представления в отчете Защита от URL-угроз описаны в следующих подразделах.

Просмотр данных о действии защиты при переходе по URL в отчете о защите URL-адресов

Представление действия защиты при переходе по URL в отчете о защите URL-адресов

В представлении «Просмотр данных по действию защиты от переходов по URL» отображается количество переходов по URL-адресам, выполненных пользователями в организации, и результаты этих переходов:

  • Разрешено: разрешены щелчки.
  • Разрешено администратором клиента: щелчки разрешены в политиках безопасных ссылок.
  • Заблокировано: щелкните Заблокировано.
  • Заблокировано администратором клиента: Переходы заблокированы политиками «Безопасные ссылки».
  • Заблокировано, но переход выполнен: заблокированные клики, при которых пользователи переходили по заблокированному URL-адресу.
  • Заблокировано администратором клиента, но переход выполнен: администратор заблокировал ссылку, но пользователь всё же перешёл по ней.
  • Переход во время сканирования: Клики, при которых пользователи переходят со страницы ожидания проверки по URL-адресу.
  • Ожидается сканирование: Переходы по URL-адресам, ожидающим вердикта проверки.

Щелчок означает, что пользователь перешёл через страницу блокировки на вредоносный веб-сайт (администраторы могут отключить возможность такого перехода в политиках безопасных ссылок).

В таблице сведений под диаграммой представлено следующее представление всех щелчков, произошедших в организации за последние 30 дней, почти в режиме реального времени:

  • Время щелчка
  • Пользователь
  • URL-адрес
  • Действие
  • Приложение
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания.
  • Действие: те же действия защиты при переходе по URL, как описано ранее. По умолчанию значения Разрешено и Разрешено администратором клиента не выбраны.
  • Оценка. Выберите Да или Нет. Дополнительные сведения см. в статье Try Microsoft Defender для Office 365.
  • Домены (разделенные запятыми): домены URL-адресов, перечисленные в результатах отчета.
  • Получатели (разделенные запятыми)
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Защита от угроз URL-адреса доступны действия Создание расписания, Запрос отчета и Экспорт.

Просмотр данных о переходах по URL-адресам по приложениям в отчете о защите URL-адресов

Представление действий защиты при нажатии URL-адреса в отчете о защите URL-адресов

Совет

В отчете доступны данные о переходах по URL, выполненных гостями. Гостевые учетные записи могут быть скомпрометированы или получить доступ к вредоносному содержимому внутри организации.

В представлении Данные о щелчках по URL-адресам по приложениям отображается количество щелчков по URL-адресам в приложениях, поддерживающих Safe Links:

  • Клиент электронной почты
  • Teams
  • Документ Office

В таблице сведений под диаграммой представлено следующее представление почти в реальном времени всех щелчков, произошедших в организации за последние семь дней:

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания.
  • Приложение: те же значения кликов по приложению, как описано ранее.
  • Действие: те же значения, что показаны в представлении действия «Просмотр данных по защите от переходов по URL-адресам». По умолчанию значения Разрешено и Разрешено администратором клиента не выбраны.
  • Оценка. Выберите Да или Нет. Дополнительные сведения см. в статье Try Microsoft Defender для Office 365.
  • Домены (разделенные запятыми): домены URL-адресов, перечисленные в результатах отчета.
  • Получатели (разделенные запятыми)
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Защита от угроз URL-адреса доступны действия Создание расписания, Запрос отчета и Экспорт.

Другие отчеты для просмотра

В дополнение к отчетам, описанным в этой статье, в следующих таблицах описаны другие доступные отчеты:

Отчет Статья
Explorer (Microsoft Defender для Office 365 (план 2)) или обнаружение в режиме реального времени (Microsoft Defender для Office 365 (план 1)) Обозреватель угроз (и обнаружение в режиме реального времени)
Отчеты по безопасности электронной почты, для которых не требуется Defender для Office 365 Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender
Отчеты о потоке обработки почты в Центре администрирования Exchange (EAC) Отчеты о потоке обработки почты в новом Центре администрирования Exchange

Командлеты PowerShell для создания отчетов:

Отчет Статья
Пользователи, которые чаще всего отправляют и получают почту Get-MailTrafficSummaryReport
Самые распространенные вредоносные программы Get-MailTrafficSummaryReport
Статус защиты от угроз Get-MailTrafficATPReport

Get-MailDetailATPReport

Безопасные ссылки Get-SafeLinksAggregateReport

Get-SafeLinksDetailReport

Скомпрометированные пользователи Get-CompromisedUserAggregateReport

Get-CompromisedUserDetailReport

Состояние потока обработки почты Get-MailflowStatusReport
Подделанные пользователи Get-SpoofMailReport
Сводка по действиям после доставки Get-AggregateZapReport
Подробности действия после доставки Get-DetailZapReport

Какие разрешения необходимы для просмотра отчетов Defender для Office 365?

См. раздел Какие разрешения необходимы для просмотра этих отчетов?

Что делать, если в отчетах не отображаются данные?

Если данные не отображаются в отчетах, проверьте фильтры отчетов и еще раз убедитесь, что ваши политики настроены правильно. Политики Safe Links и Safe Attachments в составе встроенной защиты, предустановленных политик безопасности или настраиваемых политик защиты от угроз должны быть включены и применяться к сообщениям. Дополнительные сведения см. в следующих статьях: