Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender

Совет

Знаете ли вы, что можете бесплатно опробовать возможности Microsoft Defender для Office 365 Plan 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте о том, кто может зарегистрироваться и использовать условия пробной версии на Microsoft Defender для Office 365.

В этой статье описывается, как просматривать и скачивать отчеты о безопасности электронной почты на портале Microsoft Defender для мониторинга эффективности функций защиты электронной почты в организации.

Все организации Microsoft 365 имеют отчеты, в которых показано, как функции безопасности электронной почты защищают вашу организацию. Если у вас есть необходимые разрешения, вы можете просмотреть и скачать эти отчеты, как описано в этой статье.

Отчеты доступны на портале Microsoft Defender по адресу https://security.microsoft.com на странице Отчеты по электронной почте и совместной работе в разделе Отчеты>Электронная почта и совместная работа>Отчеты по электронной почте и совместной работе. Или, чтобы напрямую перейти на страницу Отчеты по электронной почте и совместной работе, используйте https://security.microsoft.com/emailandcollabreport.

Сводные сведения по каждому отчету доступны на странице. Определите отчет, который требуется просмотреть, а затем выберите Просмотреть сведения для этого отчета.

В следующих разделах описаны отчеты по безопасности электронной почты, доступные во всех Microsoft 365 организациях с Exchange Online почтовыми ящиками.

Примечание.

Изменения в отчете о безопасности электронной почты на портале Microsoft Defender

Отчеты, замененные, перемещенные или нерекомендуемые, описаны в следующей таблице.

Устаревший отчет и командлеты Новый отчет и командлеты Идентификатор центра сообщений Дата
Трассировка URL-адреса

Get-URLTrace
Отчет о защите URL-адресов

Get-SafeLinksAggregateReport
Get-SafeLinksDetailReport
MC239999 Июнь 2021
Отправленный и полученный отчет по электронной почте

Get-MailTrafficReport
Get-MailDetailReport
отчет о состоянии защиты от угроз;
Отчет о состоянии потока почты

Get-MailTrafficATPReport
Get-MailDetailATPReport
Get-MailFlowStatusReport
MC236025 Июнь 2021
Переадресация отчета

командлеты отсутствуют
Отчет об автоматически пересылаемых сообщениях в EAC

командлеты отсутствуют
MC250533 Июнь 2021
Отчет о типах файлов безопасных вложений

Get-AdvancedThreatProtectionTrafficReport
Get-MailDetailMalwareReport
Отчет о состоянии защиты от угроз: просмотр данных по вредоносным программам в электронной почте >

Get-MailTrafficATPReport
Get-MailDetailATPReport
MC250532 Июнь 2021
Отчет об обработке сообщений функцией «Безопасные вложения»

Get-AdvancedThreatProtectionTrafficReport
Get-MailDetailMalwareReport
Отчет о состоянии защиты от угроз: просмотр данных по вредоносным программам в электронной почте >

Get-MailTrafficATPReport
Get-MailDetailATPReport
MC250531 Июнь 2021
Обнаруженная вредоносная программа в отчете по электронной почте

Get-MailTrafficReport
Get-MailDetailMalwareReport
Отчет о состоянии защиты от угроз: просмотр данных по вредоносным программам в электронной почте >

Get-MailTrafficATPReport
Get-MailDetailATPReport
MC250530 Июнь 2021
Отчет об обнаружении нежелательной почты

Get-MailTrafficReport
Get-MailDetailSpamReport
Отчет о состоянии защиты от угроз: просмотр данных по Email > спам

Get-MailTrafficATPReport
Get-MailDetailATPReport
MC250529 Октябрь 2021 г.
Get-AdvancedThreatProtectionDocumentReport

Get-AdvancedThreatProtectionDocumentDetail
Get-ContentMalwareMdoAggregateReport

Get-ContentMalwareMdoDetailReport
MC343433 Май 2022 г.
Отчет о правилах обработки почтового потока Exchange

Get-MailTrafficPolicyReport
Get-MailDetailTransportRuleReport
Отчет о правиле обработки почтового потока Exchange в EAC

Get-MailTrafficPolicyReport
Get-MailDetailTransportRuleReport
MC316157 Апрель 2022 г.
Get-MailTrafficTopReport Основные отправители и получатели отчета

Get-MailTrafficSummaryReport

Обзор отчетов Microsoft Purview
MC315742 Апрель 2022 г.

Отчет о скомпрометированных пользователях

В отчете Скомпрометированные пользователи отображается количество учетных записей пользователей, помеченных как подозрительные или ограниченные , за последние 7 дней. Учетные записи в любом из этих состояний являются проблемными или даже скомпрометированными. При частом использовании отчет можно использовать для выявления пиков и даже тенденций в подозрительных или ограниченных учетных записях. Дополнительные сведения о скомпрометированных пользователях см. в статье Реагирование на скомпрометированную учетную запись электронной почты.

Снимок экрана виджета

В статистическом представлении отображаются данные за последние 90 дней, а в представлении подробных сведений — данные за последние 30 дней.

На странице Отчеты по электронной почте и совместной работе в https://security.microsoft.com/emailandcollabreport, найдите раздел Скомпрометированные пользователи, а затем выберите Просмотреть подробности. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/CompromisedUsers.

На странице Скомпрометированные пользователи на диаграмме показаны следующие сведения для указанного диапазона дат:

  • Ограничено. Учетная запись пользователя была ограничена отправкой электронной почты из-за очень подозрительных шаблонов.
  • Подозрительно: учетная запись пользователя отправила подозрительное сообщение электронной почты и может быть ограничена отправкой электронной почты.

Представление

В таблице сведений под диаграммой показаны следующие сведения:

  • Время создания
  • Идентификатор пользователя
  • Действие
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания.
  • Действие: ограниченное или подозрительное
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Скомпрометированные пользователи доступны действия Создание расписания, Запрос отчета и Экспорт.

Отчет о правиле потока обработки почты Exchange

Примечание.

Отчет о правилах транспорта Exchange теперь доступен в EAC. Дополнительные сведения см. в статье Отчет о правилах транспорта Exchange в новом EAC.

Отчет о переадресации

Примечание.

Отчет переадресации теперь доступен в EAC. Дополнительные сведения см. в статье Отчет об автоматически пересылаемых сообщениях в новом EAC.

Отчет о состоянии потока почты

Отчет о состоянии потока почты — это интеллектуальный отчет, в который отображаются сведения о входящих и исходящих сообщениях электронной почты, обнаружениях спама, вредоносных программах, сообщениях электронной почты, помеченных как "хорошие", а также сведения о электронной почте, разрешенной или заблокированной на границе. Этот отчет является единственным отчетом, содержащим сведения о защите границ. В отчете показано, сколько сообщений электронной почты заблокировано перед входом в службу для проверки Microsoft 365.

Совет

  • Если сообщение отправляется пяти получателям, мы считаем его пятью различными сообщениями, а не одним сообщением.

  • В отчете о состоянии потока почты показана основная угроза , ответственная за блокировку или карантин сообщений. Threat Explorer или обнаружения в режиме реального времени и Расширенный поиск в Defender для Office 365 Plan 2 показывают основные и вторичные угрозы, которые приводят к блокировке сообщений или их помещению в карантин. Несоответствие или подсчет одного и того же элемента несколько раз не приводит к увеличению количества сообщений в этих других функциях отчетности. Увеличенное число сообщений является результатом одновременного отображения всех обнаруженных угроз.

  • Общее количество сообщений в отчете о состоянии потока обработки почты также может превышать количество сообщений в следующих местах из-за активности автоматической очистки нулевого часа (ZAP):

    • Обозреватель угроз или обнаружения в режиме реального времени.
    • Таблица сведений отчета о состоянии защиты от угроз.
    • Результат выполнения командлетов Get-MailDetailATPReport или Get-MailTrafficATPReport в Exchange Online PowerShell.

    ZAP удаляет сообщения из почтовых ящиков после доставки, поэтому действия ZAP не влияют на количество сообщений в отчете о состоянии потока почты. Действия ZAP действительно влияют на количество сообщений в Threat Explorer или в разделе «Обнаружения в режиме реального времени». В Defender для Office 365 используйте отчет о действиях после доставки, чтобы понять жизненный цикл ZAP для сообщений в организации.

На странице Отчеты по электронной почте и совместной работе в https://security.microsoft.com/emailandcollabreport найдите Сводка состояния почтового потока, а затем выберите Просмотреть подробные сведения. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/mailflowStatusReport.

Виджет

Доступные представления в отчете о состоянии потока почты описаны в следующих подразделах.

Представление по типу для отчета о состоянии потока обработки почты

Представление «Тип» в отчете о состоянии потока обработки почты.

На странице отчета о состоянии потока почты вкладка Тип выбрана по умолчанию. На диаграмме показаны следующие сведения для указанного диапазона дат:

  • Вредоносные программы: Email заблокированы как вредоносные программы различными фильтрами.
  • Total
  • Нормальная почта: Электронное письмо, определенное как не являющееся спамом или разрешенное политиками пользователя или организации.
  • Фишинговый адрес электронной почты: Email заблокирован как фишинг различными фильтрами.
  • Спам: Email заблокирован как спам различными фильтрами.
  • Пограничная защита: Электронное письмо отклонено на границе или периметре до проверки средствами Microsoft 365.
  • Сообщения о правилах: Сообщения электронной почты, помещенные в карантин правилами обработки почты (также называемыми транспортными правилами).
  • Защита от потери данных: Сообщение помещено в карантин политиками защиты от потери данных (DLP).

В таблице сведений под диаграммой показаны следующие сведения:

  • Направление
  • Тип
  • 24 часа
  • за 3 дня;
  • 7 дней
  • 15 дней
  • 30 дней

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания.
  • Направление почты: выберите Входящие, Исходящие и Внутри организации.
  • Тип: выберите одно или несколько из следующих значений:
    • Хорошая почта
    • Вредоносная программа
    • Спам
    • Защита периметра
    • Сообщения правил
    • Фишинговое письмо
    • Защита от потери данных
  • Домен. Выберите Все или обслуживаемый домен.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На вкладке Тип выберите Выбрать категорию для получения дополнительных сведений , чтобы просмотреть дополнительные сведения:

На вкладке Тип доступны действия Создать расписание и Экспорт.

Представление направления для отчета о состоянии потока почты

Представление

На вкладке Направление на диаграмме отображаются следующие сведения для указанного диапазона дат:

  • Входящие
  • Внутри организации
  • Исходящий

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания.

    Примечание.

    Чтобы просмотреть данные для определенной даты, используйте следующий день. Например, чтобы просмотреть данные за 10 января, используйте в фильтре значение 11 января. Сегодняшние данные доступны для фильтрации завтра.

    Данные отчета в течение нескольких дней постоянно обновляются, поэтому чем дольше вы ожидаете выполнения отчета, тем стабильнее количество сообщений и классификации. Например, чтобы вернуть исчерпывающие еженедельные данные с воскресенья 10-го по субботу 17-го, запустите отчет в пятницу 23-го. Один и тот же отчет, если сформировать его в воскресенье, 18-го числа, или во вторник, 20-го числа, может содержать немного отличающиеся данные о количестве сообщений и их классификации.

  • Направление почты: выберите Входящие, Исходящие и Внутри организации.

  • Тип: выберите одно или несколько из следующих значений:

  • Домен. Выберите Все или обслуживаемый домен.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На вкладке Направление выберите Выбрать категорию, чтобы получить дополнительные сведения :

На вкладке Направление доступны действия Создание расписания и Экспорт.

Представление потока почты для отчета о состоянии потока почты

На вкладке Поток почты показано, как функции защиты от угроз электронной почты Корпорации Майкрософт фильтруют входящие и исходящие сообщения электронной почты в вашей организации. В этом представлении используется горизонтальная блок-схема (известная как схема Sankey ) для предоставления сведений об общем количестве сообщений электронной почты и о том, как функции защиты от угроз влияют на это число.

Представление

Статистическое представление и представление таблицы сведений позволяют фильтровать в течение 90 дней.

Схема организована в следующие горизонтальные полосы:

  • Общий диапазон электронной почты: Это значение всегда отображается первым.
  • Краевой блок и обработанная полоса:
    • Блокировка на периферии: сообщения, отфильтрованные на периферии и определённые как относящиеся к защите на периферии.
    • Обработано: сообщения, обрабатываемые стеком фильтрации.
  • Диапазон результатов:
    • Блок защиты от потери данных
    • Блок правил: сообщения, помещенные в карантин правилами потока обработки почты Exchange (правилами транспорта).
    • Блок вредоносных программ: сообщения, определенные как вредоносные программы.*
    • Блок фишинга: сообщения, идентифицированные как фишинговые.*
    • Блок спама: сообщения, определенные как спам.*
    • Блокировка имитации: сообщения, распознанные как имитация пользователя или домена в Defender в Office 365.*
    • Блок детонации. Сообщения, обнаруженные во время детонации файла или URL-адреса политиками безопасных вложений или политиками безопасных ссылок в Defender для Office 365.*
    • ZAP удалено: сообщения, удалённые автоматическим удалением в нулевой час (ZAP).*
    • Доставлено: сообщения, доставленные пользователям в результате применения разрешающего правила.*

Если наведите указатель мыши на горизонтальную полосу на схеме, вы увидите количество связанных сообщений.

* Если выбрать этот элемент, схема будет развернута, чтобы отобразить дополнительные сведения. Описание каждого элемента в развернутых узлах см. в разделе Технологии обнаружения.

Сведения о блокировке фишинга в представлении «Поток обработки почты» в отчете о состоянии потока обработки почты.

Если в Defender для Office 365 выбранобщий фильтр блокировки >фишинга, отображаются результаты классификации угроз. Дополнительные сведения см. в разделе Классификация угроз в Microsoft Defender для Office 365.

Снимок экрана с выбором блока

В таблице сведений под схемой показаны следующие сведения:

  • Дата (UTC)
  • Всего сообщений электронной почты
  • Фильтрация краёв
  • Сообщения правил
  • Подсистема защиты от вредоносных программ, безопасные вложения, отфильтрованные правила
  • Имитация DMARC, подмена, фишинг отфильтрован
  • Обнаружение детонации
  • Фильтрация нежелательной почты
  • Удалено ZAP
  • Сообщения, в которых угрозы не обнаружены

Выберите строку в таблице сведений, чтобы просмотреть более подробную разбивку числа сообщений электронной почты во всплывающей панели сведений, которая откроется.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания.
  • Направление почты: выберите Входящие, Исходящие и Внутри организации.
  • Домен. Выберите Все или обслуживаемый домен.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На вкладке Поток почты выберите Показать тренды, чтобы просмотреть графики трендов во всплывающей области Тренды потока почты, которая откроется.

Всплывающая панель «Тенденции потока обработки почты» в представлении «Поток обработки почты» в отчете о состоянии потока обработки почты.

На вкладке Поток почты доступно действие Экспорт.

Отчет об обнаружении вредоносных программ

Примечание.

Отчет об обнаружении вредоносных программ не рекомендуется. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет о задержке почты

Отчет о задержках обработки почты в Defender для Office 365 содержит сведения о задержках доставки почты и детонации, наблюдаемых в вашей организации. Дополнительные сведения см. в разделе Отчет о задержке почты.

Отчет о действиях после доставки

Отчет о действиях после доставки доступен только в организациях, использующих Microsoft Defender для Office 365 Plan 2. Сведения об отчете см. в разделе Отчет о действиях после доставки.

Отчет об обнаружении нежелательной почты

Примечание.

Отчет об обнаружении нежелательной почты устарел. Те же сведения доступны в отчете о состоянии защиты от угроз.

Отчет об обнаружении подделок

В отчете Об обнаружении спуфингов отображаются сведения о сообщениях, заблокированных или разрешенных из-за спуфингов. Дополнительные сведения о спуфингом см. в разделе Защита от спуфингов.

Агрегированные и подробные представления отчета обеспечивают фильтрацию в течение 90 дней.

Примечание.

Последние доступные данные в отчете — от 3 до 4 дней.

На странице Отчеты по электронной почте и совместной работе в https://security.microsoft.com/emailandcollabreport найдите Обнаружения подмены, а затем выберите Просмотреть подробности. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/SpoofMailReport.

Виджет обнаружения подмены на странице отчетов об электронной почте и совместной работе.

На диаграмме показаны следующие сведения:

  • Пройти
  • Сбой
  • SoftPass
  • Нет
  • Other

Наведите указатель мыши на день (точку данных) на диаграмме, чтобы узнать, сколько подделанных сообщений было обнаружено и почему.

В таблице сведений под диаграммой показаны следующие сведения:

  • Date

  • Подделанный пользователь

  • Инфраструктура отправки

  • Тип спуфинга

  • Результат

  • Код результата

  • SPF

  • DKIM

  • DMARC

  • Количество сообщений

    Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

    • Прокрутите страницу по горизонтали в веб-браузере.
    • Сузьте ширину соответствующих столбцов.
    • Уменьшите масштаб в браузере.

Дополнительные сведения о кодах результатов составной проверки подлинности см. в разделе Заголовки сообщений защиты от нежелательной почты.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Результат:
    • Пройти
    • Сбой
    • SoftPass
    • Нет
    • Other
  • Тип спуфинга: Внутренний и Внешний

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Отчёт о поддельных сообщениях доступны действия: Создать расписание, Запросить отчёт и Экспорт.

Страница отчета о поддельных сообщениях на портале Microsoft Defender.

Отчет по отправкам

В отчете Отправки отображаются сведения об элементах, которые администраторы отправили в корпорацию Майкрософт для анализа за последние 30 дней. Дополнительные сведения об отправках администратором см. в статье Отправка администратором подозрительных спам-сообщений, фишинговых сообщений, URL-адресов и файлов в Microsoft.

На странице Отчеты по электронной почте и совместной работе по адресу https://security.microsoft.com/emailandcollabreport найдите Отправленные элементы, а затем выберите Просмотреть подробности. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/adminSubmissionReport.

Чтобы перейти непосредственно на страницу Отправки на портале Defender, выберите Перейти к отправке.

Виджет «Отправки» на странице отчетов по электронной почте и совместной работе.

На диаграмме показаны следующие сведения:

  • В ожидании
  • Выполнено

Таблица сведений под диаграммой содержит те же сведения и те же доступные действия, что и на вкладке Электронная почта на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=email:

  • Настройка столбцов
  • Группа
  • Отправка в Корпорацию Майкрософт для анализа

Дополнительные сведения см. в разделе Просмотр отправок администратором сообщений электронной почты в Microsoft.

Выберите Фильтр , чтобы изменить отчет и таблицу сведений, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата отправки: дата начала и дата окончания
  • Идентификатор отправки
  • Идентификатор сетевого сообщения
  • Sender
  • Получатель
  • Имя отправки
  • Отправлено
  • Причина отправки:
    • Не спам
    • Выглядит чисто
    • Выглядит подозрительно
    • Фишинг
    • Вредоносная программа
    • Спам
  • Состояние повторного сканирования:
    • В ожидании
    • Выполнено
  • Теги: все или один или несколько тегов пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Отправки доступно действие Экспорт .

Страница отчета об отправках на портале Microsoft Defender.

отчет о состоянии защиты от угроз;

Отчет о состоянии защиты от угроз доступен во всех организациях с облачными почтовыми ящиками, а также в организациях Microsoft 365 с Defender для Office 365 (входит или входит в подписку на надстройку). Однако отчеты содержат разные данные. Например, организация Microsoft 365 без Defender для Office 365 может просматривать сведения о вредоносных программах, обнаруженных в электронной почте, но не сведения о вредоносных файлах, обнаруженных безопасными вложениями для SharePoint, OneDrive и Microsoft Teams.

Отчет содержит количество сообщений электронной почты с вредоносным содержимым. Например, вы можете:

Сведения, приведенные в этом отчете, можно использовать для выявления тенденций или определения необходимости корректировки политик организации.

Совет

Если сообщение отправляется пяти получателям, оно считается пятью различными сообщениями, а не одним сообщением.

На странице Отчеты об электронной почте и совместной работе по адресу https://security.microsoft.com/emailandcollabreport найдите Состояние защиты от угроз, а затем выберите Просмотреть подробности. Или, чтобы перейти непосредственно к отчету, используйте один из следующих URL-адресов:

Виджет «Состояние защиты от угроз» на странице отчетов по электронной почте и совместной работе.

По умолчанию на диаграмме показаны данные за последние семь дней. Выберите Фильтр на странице Отчет о состоянии защиты от угроз , чтобы выбрать диапазон дат 90 дней (пробные подписки могут быть ограничены 30 днями). Таблица сведений позволяет фильтровать данные за последние 30 дней.

Доступные представления описаны в следующих подразделах.

Просмотр данных: Обзор

Представление

В представлении Просмотр данных по обзору на диаграмме отображаются следующие сведения об обнаружении:

Таблица подробных сведений не доступна под диаграммой.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания.
  • Обнаружение: те же значения, что и на диаграмме.
  • Защищено: MDO (Defender для Office 365) и EOP (встроенные функции безопасности для всех облачных почтовых ящиков).
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Просмотр данных по фишинговым письмам > и разбивка диаграммы по технологиям обнаружения

Представление технологии обнаружения для фишинговых сообщений электронной почты в отчете о состоянии защиты от угроз.

Примечание.

В мае 2021 г. средства обнаружения фишинга в электронной почте были обновлены и теперь включают вложения сообщений, содержащие фишинговые URL-адреса. Это изменение может привести к переносу части объема обнаружений из представления Просмотр данных по электронной почте: > Вредоносное ПО в представление Просмотр данных по электронной почте: > Фишинг. Иными словами, вложения сообщений с фишинговыми URL-адресами, традиционно определяющимися как вредоносные программы, теперь могут быть идентифицированы как фишинговые.

В представлениях Просмотр данных по фишингу в электронной почте > и Разбивка диаграммы по технологии обнаружения на диаграмме отображаются следующие сведения:

  • Расширенный фильтр: фишинговые сигналы на основе машинного обучения.
  • Кампания*: сообщения, определенные как часть кампании.
  • Детонация* файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
  • Репутация детонации файла*: Файловые вложения, ранее выявленные при детонации с помощью Safe Attachments в других организациях Microsoft 365.
  • Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
  • Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
  • Общий фильтр: фишинговые сигналы на основе правил аналитиков.
  • Подмена бренда: Имитация отправителем известных брендов.
  • Подмена домена*: подмена доменов отправителя, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга.
  • Имитация пользователя*: Имитация защищенных отправителей, указанных в политиках защиты от фишинга или выявленных с помощью аналитики почтовых ящиков.
  • Анализ содержимого LLM. Анализ специализированных крупных языковых моделей корпорации Майкрософт для обнаружения вредоносных сообщений электронной почты.
  • Имитация на основе аналитики почтовых ящиков*: Обнаружение имитации на основе аналитики почтовых ящиков в политиках защиты от фишинга.
  • Обнаружение на основе смешанного анализа: несколько фильтров повлияли на вердикт по сообщению.
  • Spoof DMARC: сообщение не прошло проверку подлинности DMARC.
  • Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации.
  • Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации.
  • Детонация URL-адресов*: Safe Links обнаружила вредоносный URL в сообщении при анализе методом детонации.
  • Репутация URL-адресов, выявленных при детонации*: URL-адреса, ранее выявленные в ходе детонации Safe Links в других организациях Microsoft 365.
  • Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.

*Только Defender для Office 365

В таблице сведений под диаграммой доступны следующие сведения:

  • Date
  • Тема
  • Sender
  • Получатели
  • Технология обнаружения. Те же значения технологии обнаружения на диаграмме.
  • Состояние доставки.
  • IP-адрес отправителя
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сузьте ширину соответствующих столбцов.
  • Уменьшите масштаб в браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC): дата начала и дата окончания
  • Обнаружение: те же значения, что и на диаграмме.
  • Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка защиты учетных записей с приоритетом в Microsoft Defender для Office 365.
  • Оценка: Да или Нет.
  • Защищено: MDO (Defender для Office 365) и EOP (встроенные функции безопасности для всех облачных почтовых ящиков).
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись в таблице сведений, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель со сведениями об электронном сообщении. Эта всплывающая панель сведений называется панелью сводки электронной почты и содержит сводную информацию, которая также доступна для этого сообщения на странице сущности электронной почты в Defender для Office 365. Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.

В Defender для Microsoft 365 в верхней части панели Email сводки отчета о состоянии защиты от угроз доступны следующие действия:

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных: спам по электронной почте > и разбивка на диаграмме по технологии обнаружения

Представление технологии обнаружения нежелательной почты в отчете о состоянии защиты от угроз.

В представлениях Данные по спаму в электронной почте > и Разбивка диаграммы по технологиям обнаружения на диаграмме отображается следующая информация:

  • Расширенный фильтр: фишинговые сигналы на основе машинного обучения.
  • Массовый. Уровень массовой жалобы (BCL) сообщения превышает заданное пороговое значение для спама.
  • Репутация домена. Сообщение было отправлено из домена, который ранее был определен как рассылка спама в других организациях Microsoft 365.
  • Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
  • Общий фильтр
  • Репутация IP-адресов. Сообщение было отправлено из источника, который ранее был определен как отправляющий спам в других организациях Microsoft 365.
  • Бомбардировка почты: сообщения, обнаруженные в рамках атаки с использованием почты, когда злоумышленники заполняют целевые адреса электронной почты подавляющим объемом сообщений.
  • Смешанный результат анализа: На итоговый вердикт по сообщению повлияли несколько фильтров.
  • Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.

В таблице сведений под диаграммой доступны следующие сведения:

  • Date
  • Тема
  • Sender
  • Получатели
  • Технология обнаружения. Те же значения технологии обнаружения на диаграмме.
  • Состояние доставки.
  • IP-адрес отправителя
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

  • Прокрутите страницу по горизонтали в веб-браузере.
  • Сузьте ширину соответствующих столбцов.
  • Уменьшите масштаб в браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания

  • Обнаружение: те же значения, что и на диаграмме.

  • Уровень массовых жалоб: Если для параметра Обнаружение выбрано значение Массовая (отдельно или вместе с другими значениями), ползунок становится доступен для фильтрации отчета по выбранному диапазону значений BCL. Эти сведения можно использовать для подтверждения или настройки порогового значения BCL в политиках защиты от нежелательной почты, чтобы разрешить более или менее массовое использование электронной почты в вашей организации.

    Если значение Обнаружениемассовое не выбрано, ползунок неактивен и массовые обнаружения не включаются в отчет.

  • Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка защиты учетных записей с приоритетом в Microsoft Defender для Office 365.

  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.

  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.

  • Тип политики: выберите Все или одно из следующих значений:

    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.

  • Получатели

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись в таблице сведений, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель со сведениями об электронном сообщении. Эта всплывающая панель сведений называется панелью сводки электронной почты и содержит сводную информацию, которая также доступна для этого сообщения на странице сущности электронной почты в Defender для Office 365. Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.

В Defender для Microsoft 365 в верхней части панели Email сводки отчета о состоянии защиты от угроз доступны следующие действия:

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных по Email > вредоносных программ и разбивка диаграмм по технологии обнаружения

Представление технологии обнаружения вредоносных программ в отчете о состоянии защиты от угроз.

Примечание.

В мае 2021 г. обнаружение вредоносных программ в электронной почте было обновлено для включения вредоносных URL-адресов во вложения сообщений. Это изменение может привести к переносу части объёма обнаружений из представления «Просмотр данных по фишингу в электронной почте >» в представление «Просмотр данных по вредоносным программам в электронной почте >». Другими словами, вредоносные URL-адреса во вложениях сообщений, традиционно определяемых как фишинг, теперь могут быть определены как вредоносные программы.

В представлениях «Просмотр данных по > вредоносным программам в электронной почте» и «Разбивка диаграммы по технологии обнаружения» на диаграмме отображается следующая информация:

  • Модуль защиты от вредоносных программ*: Обнаружение средствами защиты от вредоносных программ.
  • Кампания*: сообщения, определенные как часть кампании.
  • Детонация* файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
  • Репутация детонации файла*: Файловые вложения, ранее выявленные при детонации с помощью Safe Attachments в других организациях Microsoft 365.
  • Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
  • Детонация URL-адресов*: Safe Links обнаружила вредоносный URL в сообщении при анализе методом детонации.
  • Репутация URL-адресов, выявленных при детонации*: URL-адреса, ранее выявленные в ходе детонации Safe Links в других организациях Microsoft 365.
  • Репутация вредоносного URL-адреса

*Только Defender для Office 365

В таблице сведений под диаграммой доступны следующие сведения:

  • Date

  • Тема

  • Sender

  • Получатели

  • Технология обнаружения. Те же значения технологии обнаружения на диаграмме.

  • Состояние доставки.

  • IP-адрес отправителя

  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

    Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

    • Прокрутите страницу по горизонтали в веб-браузере.
    • Сузьте ширину соответствующих столбцов.
    • Уменьшите масштаб в браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Обнаружение: те же значения, что и на диаграмме.
  • Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка учетных записей приоритета в Microsoft Defender для Office 365.
  • Оценка: Да или Нет.
  • Защищено: MDO (Defender для Office 365) и EOP (встроенные функции безопасности для всех облачных почтовых ящиков).
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись в таблице сведений, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель со сведениями об электронном сообщении. Эта всплывающая панель сведений называется панелью сводки электронной почты и содержит сводную информацию, которая также доступна для этого сообщения на странице сущности электронной почты в Defender для Office 365. Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.

В Defender для Microsoft 365 в верхней части панели Email сводки отчета о состоянии защиты от угроз доступны следующие действия:

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Разбивка диаграммы по типу политики

Представление типа политики для фишинговых сообщений, спама или вредоносных программ в отчете о состоянии защиты от угроз.

В представлениях Просмотр данных по электронной почте: >фишинг, Просмотр данных по электронной почте: >спам или Просмотр данных по электронной почте: >вредоносное ПО при выборе Разбивка диаграммы по типу политики на диаграмме отображается следующая информация:

  • Защита от вредоносных программ
  • Безопасные вложения*
  • Защита от фишинга
  • Защита от нежелательной почты
  • Правило потока обработки почты (также известное как правило транспорта)
  • Другие

В таблице сведений под диаграммой доступны следующие сведения:

  • Date

  • Тема

  • Sender

  • Получатели

  • Технология обнаружения: Те же значения для технологии обнаружения, что описаны в разделе Просмотр данных по Email > фишинга и разбивка диаграммы по технологии обнаружения.

  • Состояние доставки.

  • IP-адрес отправителя

  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

    Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

    • Прокрутите страницу по горизонтали в веб-браузере.
    • Сузьте ширину соответствующих столбцов.
    • Уменьшите масштаб в браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Обнаружение: значения технологии обнаружения, как описано ранее в этой статье и в разделе Технологии обнаружения.
  • Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка учетных записей приоритета в Microsoft Defender для Office 365.
  • Оценка: Да или Нет.
  • Защищено: MDO (Defender для Office 365) и EOP (встроенные функции безопасности для всех облачных почтовых ящиков).
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

*Только Defender для Office 365

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись в таблице сведений, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель со сведениями об электронном сообщении. Эта всплывающая панель сведений называется панелью сводки электронной почты и содержит сводную информацию, которая также доступна для этого сообщения на странице сущности электронной почты в Defender для Office 365. Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.

В Defender для Microsoft 365 в верхней части панели Email сводки отчета о состоянии защиты от угроз доступны следующие действия:

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных о фишинге в электронной почте > и разбивку диаграммы по классификации угроз (Defender для Office 365)

Представление классификации угроз для фишинговых сообщений электронной почты в отчете о состоянии защиты от угроз.

Классификация угроз в Defender для Office 365 использует ИИ для выявления и классификации угроз. Дополнительные сведения см. в разделе Классификация угроз в Microsoft Defender для Office 365.

В представлении Просмотр данных по фишингу в электронной почте >при выборе Разбивка диаграммы по классификации угроз на диаграмме отображаются следующие сведения:

  • Сбор персональных данных
  • Бизнес-аналитика
  • Счет
  • Зарплата
  • Подарочный карта
  • Создание контакта
  • Задача
  • Нет

В таблице сведений под диаграммой доступны следующие сведения:

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Раздел обнаружения:
    • Репутация вредоносных URL-адресов. Сообщение содержит URL-адрес, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
    • Расширенный фильтр: фишинговые сигналы на основе машинного обучения.
    • Общий фильтр: фишинговые сигналы на основе правил аналитиков.
    • Подделывание внутри организации. Подделывание адреса электронной почты отправителя с использованием домена, который является внутренним для вашей организации.
    • Подделывание внешнего домена. Подделывание адреса электронной почты отправителя с использованием домена, который является внешним для вашей организации.
    • Spoof DMARC: сообщение не прошло проверку подлинности DMARC.
    • Подмена бренда: Имитация отправителем известных брендов.
    • Обнаружение на основе смешанного анализа: несколько фильтров повлияли на вердикт по сообщению.
    • Репутация файла. Сообщение содержит файл, который ранее был идентифицирован как вредоносный в других организациях Microsoft 365.
    • Сопоставление отпечатков пальцев. Сообщение очень похоже на предыдущее обнаруженное вредоносное сообщение.
    • Репутация URL-адресов по результатам детонации: URL-адреса, ранее выявленные в ходе детонации Safe Links в других организациях Microsoft 365.
    • Детонация URL-адреса. Безопасные ссылки обнаружили вредоносный URL-адрес в сообщении во время анализа детонации.
    • Подмена пользователя: подмена защищённых отправителей, указанных в политиках защиты от фишинга или определённых с помощью аналитики почтовых ящиков.
    • Домен олицетворения: олицетворение доменов отправителей, которыми вы владеете или которые указаны для защиты в политиках защиты от фишинга.
    • Имитация на основе аналитики почтовых ящиков: Обнаружение имитации с использованием аналитики почтовых ящиков в политиках защиты от фишинга.
    • Детонация файла. Безопасные вложения обнаружили вредоносное вложение во время анализа детонации.
    • Репутация детонирования файлов: вложения, ранее обнаруженные при детонировании с помощью Safe Attachments в других организациях Microsoft 365.
    • Кампания: сообщения, определенные как часть кампании.
  • Классификация угроз. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите доступное значение.
  • Защита учетных записей с приоритетом: Да и Нет. Дополнительные сведения см. в статье Настройка и проверка защиты учетных записей с приоритетом в Microsoft Defender для Office 365.
  • Оценка: Да или Нет.
  • Защищено: MDO (Defender для Office 365) и EOP (встроенные функции безопасности для всех облачных почтовых ящиков).
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись в таблице сведений, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель со сведениями об электронном сообщении. Эта всплывающая панель сведений называется панелью сводки электронной почты и содержит сводную информацию, которая также доступна для этого сообщения на странице сущности электронной почты в Defender для Office 365. Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.

В верхней части панели сводки Email для отчета о состоянии защиты от угроз доступны следующие действия:

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Разбивка диаграммы по состоянию доставки

Представление

В представлениях Просмотр данных по электронной почте: > фишинг, Просмотр данных по электронной почте: > спам или Просмотр данных по электронной почте: > вредоносные программы при выборе Разбивка диаграммы по состоянию доставки на диаграмме отображается следующая информация:

  • Почтовый ящик на хостинге: Входящие
  • Размещенный почтовый ящик: Нежелательная почта
  • Размещенный почтовый ящик: настраиваемая папка
  • Размещенный почтовый ящик: удаленные элементы
  • Переслано
  • Локальный сервер: поставлен
  • Карантин
  • Сбой доставки
  • Упал

В таблице сведений под диаграммой доступны следующие сведения:

  • Date

  • Тема

  • Sender

  • Получатели

  • Технология обнаружения: Те же значения для технологии обнаружения, что описаны в разделе Просмотр данных по Email > фишинга и разбивка диаграммы по технологии обнаружения.

  • Состояние доставки.

  • IP-адрес отправителя

  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

    Чтобы просмотреть все столбцы, скорее всего, потребуется выполнить одно или несколько из следующих действий:

    • Прокрутите страницу по горизонтали в веб-браузере.
    • Сузьте ширину соответствующих столбцов.
    • Уменьшите масштаб в браузере.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Обнаружение: значения технологии обнаружения, как описано ранее в этой статье и в разделе Технологии обнаружения.
  • Защищено: MDO (Defender для Office 365) и EOP (встроенные функции безопасности для всех облачных почтовых ящиков).
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

*Только Defender для Office 365

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

Если выбрать запись в таблице сведений, щелкнув в любом месте строки, кроме флажка рядом с первым столбцом, откроется всплывающая панель со сведениями об электронном сообщении. Эта всплывающая панель сведений называется панелью сводки электронной почты и содержит сводную информацию, которая также доступна для этого сообщения на странице сущности электронной почты в Defender для Office 365. Дополнительные сведения о панели сводки Email см. в разделе Сводная панель Email.

В Defender для Microsoft 365 в верхней части панели Email сводки отчета о состоянии защиты от угроз доступны следующие действия:

На странице Состояние защиты от угроз доступны действия Создать расписание, Запрос отчета и Экспорт.

Просмотр данных по содержимому > вредоносных программ

Представление вредоносного содержимого в отчете о состоянии защиты от угроз.

В представлении Просмотр данных по вредоносному ПО в содержимом > на диаграмме отображаются следующие сведения для организаций, использующих Microsoft Defender для Office 365:

В таблице сведений под диаграммой доступны следующие сведения:

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания.
  • Обнаружение: те же значения, что и на диаграмме.
  • Рабочая нагрузка: Teams, SharePoint и OneDrive

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступно действие Экспорт.

Просмотр данных по системному переопределению и разбивка диаграммы по причинам

Представления «Переопределение сообщений» и «Разбивка диаграммы по причинам» в отчете о состоянии защиты от угроз.

В представлении Просмотр данных по системным переопределениям и Разбивка диаграммы по причине на диаграмме отображаются следующие сведения о причинах переопределения:

В таблице сведений под диаграммой доступны следующие сведения:

  • Date
  • Тема
  • Sender
  • Получатели
  • Системное переопределение
  • IP-адрес отправителя
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Причина: те же значения, что и диаграмма.
  • Место доставки: папка нежелательной почты отключена и почтовый ящик SecOps.
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступно действие Экспорт.

Просмотр данных по системному переопределению и разбивке диаграммы по месту доставки

Представление «Переопределение сообщения и разбивка диаграммы по расположению доставки» в отчете о состоянии защиты от угроз.

В представлениях Данные по параметру «Системное переопределение» и Разбивка диаграммы по местоположению доставки на диаграмме отображается следующая информация о причине переопределения:

В таблице сведений под диаграммой доступны следующие сведения:

  • Date
  • Тема
  • Sender
  • Получатели
  • Системное переопределение
  • IP-адрес отправителя
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Причина: те же значения, что и в разделе Разбивка диаграммы по типу политики
  • Место доставки: папка нежелательной почты отключена и почтовый ящик SecOps.
  • Направление. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Входящие, Исходящие или Внутри организации.
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.
  • Домен. Оставьте значение Все или удалите его, дважды щелкните пустое поле и выберите обслуживаемый домен.
  • Тип политики: выберите Все или одно из следующих значений:
    • Защита от вредоносных программ
    • Безопасные вложения
    • Защита от фишинга
    • Защита от нежелательной почты
    • Правило потока обработки почты (правило транспорта)
    • Другие
  • Имя политики (только представление таблицы сведений): выберите Все или определенную политику.
  • Получатели (разделенные запятыми)

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Состояние защиты от угроз доступно действие Экспорт.

Лучший отчет о вредоносных программах

В отчете "Основные вредоносные программы " показаны различные виды вредоносных программ, обнаруженных защитой от вредоносных программ.

На странице Email и отчеты о совместной работе по адресу https://security.microsoft.com/emailandcollabreport найдите Основные вредоносные программы.

Наведите указатель мыши на клин в круговой диаграмме, чтобы увидеть имя вредоносной программы и количество сообщений, содержащих вредоносную программу.

Виджет

Выберите Просмотреть сведения , чтобы перейти на страницу Основной отчет о вредоносных программах . Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/TopMalware.

На странице Основной отчет о вредоносных программах отображается большая версия круговой диаграммы. В таблице сведений под диаграммой показаны следующие сведения:

  • Основные вредоносные программы: имя вредоносной программы
  • Количество сообщений, содержащих вредоносную программу.

Выберите Фильтр , чтобы изменить отчет, выбрав значения Дата начала и Дата окончания в открывавшемся всплывающем окне.

На странице Наиболее распространенное вредоносное ПО доступны действия Создать расписание и Экспорт.

Представление отчета о наиболее распространенных вредоносных программах.

Отчет о лучших отправителях и получателях

Отчет Основные отправители и получатели доступен во всех организациях, использующих облачные почтовые ящики, а также в организациях Microsoft 365 с Defender для Office 365 (включенным в подписку или приобретенным как дополнительная подписка). Однако отчеты содержат разные данные. Например, организации без Defender для Office 365 могут просматривать сведения о наиболее распространенных получателях вредоносных программ, спама и фишинга (спуфинго), но не о вредоносных программах, обнаруженных безопасными вложениями или фишинге, обнаруженных защитой олицетворения.

В отчете "Основные отправители и получатели " отображаются 20 основных отправителей сообщений в организации и 20 основных получателей сообщений, обнаруженных с помощью функций защиты Microsoft 365. По умолчанию в отчете отображаются данные за последнюю неделю, но доступны данные за последние 90 дней.

На странице Отчеты по электронной почте и совместной работе по адресу https://security.microsoft.com/emailandcollabreport найдите Основные отправители и получатели.

Наведите указатель мыши на клин в круговой диаграмме, чтобы увидеть количество сообщений для отправителя или получателя.

Мини-приложение

Выберите Просмотреть сведения , чтобы перейти на страницу Основные отправители и получатели . Или, чтобы перейти непосредственно к отчету, используйте один из следующих URL-адресов:

На странице Основные отправители и получатели отображается большая версия круговой диаграммы. Доступны следующие диаграммы:

  • Отображение данных для основных отправителей почты (представление по умолчанию)
  • Отображение данных для основных получателей почты
  • Отображение данных для основных получателей нежелательной почты
  • Отображение данных для основных получателей вредоносных программ
  • Отображение данных для основных получателей фишинга
  • Отображение данных для основных получателей вредоносных программ (MDO)
  • Показать данные для главных получателей фишинговых сообщений (MDO)
  • Отображение данных для основных intra.org отправителей почты
  • Отображение данных для основных intra.org получателей почты
  • Отображение данных для основных intra.org получателей спама
  • Отображение данных для основных intra.org получателей вредоносных программ
  • Показать данные по основным получателям фишинговых сообщений в intra.org
  • Показать данные для основных получателей фишинговых сообщений внутри организации (MDO)
  • Показать данные для основных получателей вредоносных сообщений intra.org (MDO)

Наведите указатель мыши на клин в круговой диаграмме, чтобы увидеть количество сообщений для конкретного отправителя или получателя.

Для каждой диаграммы в таблице сведений под диаграммой отображаются следующие сведения:

  • Адрес электронной почты
  • Число элементов
  • Теги. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Выберите Фильтр , чтобы изменить отчет, выбрав одно или несколько из следующих значений во всплывающем меню:

  • Дата (UTC)Дата начала и Дата окончания
  • Тег. Оставьте значение Все или удалите его, дважды щелкните в пустом поле, а затем выберите Учетная запись приоритета. Дополнительные сведения о тегах пользователей см. в разделе Теги пользователей.

Завершив настройку фильтров, выберите Применить, Отмена или Очистить фильтры.

На странице Основные отправители и получатели доступно действие Экспорт.

Представление «Показать данные для основных отправителей почты» в отчете «Основные отправители и получатели».

Отчет о защите URL-адресов

Отчет о защите URL-адресов доступен только в Microsoft Defender для Office 365. Дополнительные сведения см. в разделе Отчет о защите URL-адресов.

Отчет о сообщениях, на которые пожаловались пользователи

Важно!

Чтобы отчет о сообщениях, сообщаемых пользователем , работал правильно, ведение журнала аудита должно быть включено в организации Microsoft 365 (он включен по умолчанию). Дополнительные сведения см. в разделе Включение и отключение аудита.

В отчете Сообщения, сообщаемые пользователем , отображаются сведения о сообщениях электронной почты, которые пользователи сообщили как нежелательные, попытки фишинга или хорошая почта, с помощью встроенной кнопки Отчет в Outlook.

На странице Отчеты по электронной почте и совместной работе по адресу https://security.microsoft.com/emailandcollabreport найдите Сообщения, о которых сообщили пользователи, а затем выберите Просмотреть подробности. Или, чтобы перейти непосредственно к отчету, используйте https://security.microsoft.com/reports/userSubmissionReport.

Чтобы перейти непосредственно на вкладку Пользователь сообщил на странице Отправки на портале Defender, выберите Перейти к отправке.

Виджет сообщений, о которых сообщили пользователи, на странице отчетов по электронной почте и совместной работе.

На диаграмме показаны следующие сведения:

  • Не спам
  • Фишинг
  • Спам

Таблица сведений под диаграммой содержит ту же информацию и те же действия, которые доступны на вкладке Сообщения пользователей на странице Отправки по адресу https://security.microsoft.com/reportsubmission?viewid=user:

  • Настройка столбцов
  • Группа
  • Фильтр
  • Пометить и уведомить
  • Отправка в Корпорацию Майкрософт для анализа

Дополнительные сведения см. в разделах Просмотр сообщений, о которых пользователи сообщили в Microsoft и Действия администратора для сообщений, о которых сообщили пользователи.

Отчет о сообщениях, сообщаемых пользователем.

На странице отчета доступно действие Экспорт.

Какие разрешения необходимы для просмотра этих отчетов?

Вам должны быть назначены разрешения, прежде чем вы сможете просматривать и использовать отчеты, описанные в этой статье. Возможны следующие варианты:

  • Microsoft Defender XDR единая система управления доступом на основе ролей (RBAC) (если для Email & collaboration>Defender для Office 365 разрешение имеет значение Активно. Влияет только на портал Defender, не на PowerShell): Авторизация и параметры/Параметры безопасности/Основные параметры безопасности (чтение) или Авторизация и параметры/Параметры системы/Только чтение.
  • Разрешения для электронной почты и совместной работы на портале Microsoft Defender: Членство в любой из следующих групп ролей:
    • Управление организацией¹
    • Администратор безопасности
    • Читатель сведений о безопасности
    • Глобальный ридер
  • Разрешения Microsoft Entra: членство в одной из ролей Глобального администратора¹ ², Администратора безопасности, Читателя безопасности или Глобального читателя в Microsoft Entra ID предоставляет пользователям необходимые разрешения и разрешения для использования других функций Microsoft 365.

¹ Членство в группе ролей "Управление организацией" или роли глобального администратора требуется для использования действий создания расписания или Запроса отчета в отчетах (если это доступно).

Важно!

2 Корпорация Майкрософт решительно выступает за принцип минимальных привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

Что делать, если в отчетах не отображаются данные?

Если в отчетах не отображаются данные, проверьте фильтры отчета и еще раз убедитесь, что ваши политики угроз настроены на обнаружение сообщений и применение к ним мер. Дополнительные сведения см. в следующих статьях:

Скачивание и экспорт сведений об отчете

В зависимости от отчета и конкретного представления отчета на главной странице отчета может быть доступно одно или несколько следующих действий:

Экспорт данных отчета

Совет

  • Настроенные фильтры во время экспорта влияют на экспортируемые данные.
  • Если экспортированные данные превышают 150 000 записей, данные разбиваются на несколько файлов.
  1. На странице отчета выберите Экспорт.

  2. Во всплывающем окне Условия экспорта просмотрите и настройте следующие параметры:

    • Выберите представление для экспорта. Выберите одно из следующих значений:
      • Сводка. Доступны данные за последние 90 дней. Значение по умолчанию.
      • Сведения: доступны данные за последние 30 дней. Поддерживается диапазон дат в один день.
    • Дата (UTC):
      • Дата начала. Значение по умолчанию — три месяца назад.
      • Дата окончания: значение по умолчанию — сегодня.

    По завершении во всплывающем окне Условия экспорта выберите Экспорт.

    Кнопка Экспорт изменится на Экспорт... и отображается индикатор выполнения.

  3. В открывшемся диалоговом окне Сохранить как вы увидите имя файла .csv по умолчанию и расположение для скачивания (локальная папка Загрузки по умолчанию), но вы можете изменить эти значения и нажать кнопку Сохранить , чтобы скачать экспортированные данные.

    Если появится диалоговое окно, в которое security.microsoft.com требуется скачать несколько файлов, выберите Разрешить.

Планирование повторяющихся отчетов

Чтобы создавать запланированные отчеты, необходимо быть членом роли управления организацией в Exchange Online или ролью глобального администратора* в Microsoft Entra ID.

Важно!

* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

  1. На странице отчета выберите Создать расписание , чтобы запустить мастер создания запланированных отчетов.

  2. На странице Имя запланированного отчета просмотрите или настройте значение Имя , а затем нажмите кнопку Далее.

  3. На странице Установка параметров просмотрите или настройте следующие параметры:

    • Частота: выберите одно из следующих значений:
      • Еженедельно (по умолчанию)
      • Ежедневно (это значение приводит к тому, что данные не отображаются на диаграммах)
      • Ежемесячно
    • Дата начала. Введите дату начала создания отчета. Значение по умолчанию — сегодня.
    • Дата окончания срока действия. Введите дату окончания создания отчета. Значение по умолчанию — один год с сегодняшнего дня.

    Завершив работу на странице Установка параметров , нажмите кнопку Далее.

  4. На странице Выбор фильтров настройте следующие параметры:

    • Направление: выберите одно из следующих значений:
      • Все (по умолчанию)
      • Исходящий
      • Входящие
    • Адрес отправителя
    • Адрес получателя

    Завершив работу на странице Выбор фильтров , нажмите кнопку Далее.

  5. На странице Получатели выберите получателей для отчета в поле Отправить сообщение электронной почты . Значением по умолчанию является адрес электронной почты, но вы можете добавить других пользователей, выполнив одно из следующих действий:

    • Щелкните в поле, дождитесь, пока загрузится список пользователей, а затем выберите пользователя из списка под ним.
    • Щелкните поле, начните вводить значение и выберите пользователя из списка под полем.

    Чтобы удалить запись из списка, щелкните рядом с записью.

    Завершив работу на странице Получатели , нажмите кнопку Далее.

  6. На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

    Завершив работу на странице Рецензирование, нажмите кнопку Отправить.

  7. На странице Создание нового запланированного отчета можно выбрать ссылки для просмотра запланированного отчета или создания другого отчета.

    Завершив работу на странице Создание отчета по расписанию , нажмите кнопку Готово.

Отчеты отправляются по электронной почте указанным получателям в соответствии с настроенным расписанием.

Запись о запланированном отчете доступна на странице Управление расписаниями, как описано в следующем подразделе.

Управление существующими запланированными отчетами

После создания запланированного отчета, как описано в разделе "Расписание повторяющихся отчетов", запись запланированного отчета доступна на странице "Управление расписаниями" на портале Defender.

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Отчеты>Email & совместная работа> выберите Управление расписаниями. Или, чтобы перейти непосредственно на страницу Управление расписаниями , используйте https://security.microsoft.com/ManageSubscription.

На странице Управление расписаниями для каждой записи запланированного отчета отображаются следующие сведения:

  • Запланированная дата начала
  • Имя расписания
  • Тип отчета
  • Frequency
  • Последнее отправленное

Чтобы изменить список с обычного на компактный, выберите Изменить интервал списка на компактный или обычный, а затем выберите Компактный список.

Используйте поле Поиск, чтобы найти существующую запись запланированного отчета.

Чтобы изменить параметры запланированного отчета, сделайте следующее:

  1. Щелкните в любом месте строки, кроме флажка, чтобы выбрать запись запланированного отчета.

  2. В открывавшемся всплывающем окне сведений выполните одно из следующих действий.

    • Выберите Изменить имя , чтобы изменить имя запланированного отчета.
    • Щелкните ссылку Изменить в разделе, чтобы изменить соответствующие параметры.

    Параметры и шаги конфигурации совпадают с инструкциями, описанными в разделе "Расписание повторяющихся отчетов".

Чтобы удалить запись запланированного отчета, используйте один из следующих методов:

  • Установите флажок рядом с одним, несколькими или всеми запланированными отчетами, а затем выберите действие Удалить, которое появится на основной странице.
  • Выберите запланированный отчет, щелкнув в любом месте строки, кроме флажка, а затем выберите Удалить на открывающейся всплывающей панели сведений.

Прочтите открывающееся диалоговое окно предупреждения и нажмите кнопку ОК.

На странице Управление расписаниями удаленная запись запланированного отчета больше не отображается, а предыдущие отчеты для запланированного отчета удаляются и больше не доступны для скачивания.

Запросить отчеты по запросу для скачивания

Чтобы создавать отчеты по запросу, необходимо быть членом роли управления организацией в Exchange Online или ролью глобального администратора* в Microsoft Entra ID.

Важно!

* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

  1. На странице отчета выберите Запрос отчета , чтобы запустить мастер создания отчетов по запросу.

  2. На странице отчета Имя по запросу просмотрите или настройте значение Имя , а затем нажмите кнопку Далее.

  3. На странице Установка параметров просмотрите или настройте следующие параметры:

    • Дата начала. Введите дату начала для данных отчета. Значение по умолчанию — месяц назад.
    • Дата окончания срока действия. Введите дату окончания для данных отчета. Значение по умолчанию — сегодня.

    Когда вы закончите работу на странице Отчет "Имя" по запросу, выберите Далее.

  4. На странице Получатели выберите получателей для отчета в поле Отправить сообщение электронной почты . Значением по умолчанию является адрес электронной почты, но вы можете добавить других пользователей, выполнив одно из следующих действий:

    • Щелкните в поле, дождитесь, пока загрузится список пользователей, а затем выберите пользователя из списка под ним.
    • Щелкните поле, начните вводить значение и выберите пользователя из списка под полем.

    Чтобы удалить запись из списка, щелкните рядом с записью.

    Завершив работу на странице Получатели , нажмите кнопку Далее.

  5. На странице Рецензирование проверьте параметры. Вы можете выбрать Изменить в любом разделе, чтобы изменить параметры в этом разделе. Вы также можете выбрать Назад или конкретную страницу в мастере.

    Завершив работу на странице Рецензирование, нажмите кнопку Отправить.

  6. На странице Создание отчета по запросу можно щелкнуть ссылку, чтобы создать другой отчет.

    Завершив работу на странице Создание отчета по запросу , нажмите кнопку Готово.

Задача создания отчета (и, в конечном итоге, готовый отчет) доступна на странице Отчеты для скачивания , как описано в следующем подразделе.

Скачивание отчетов

Чтобы скачивать отчеты по запросу, необходимо быть членом роли управления организацией в Exchange Online или ролью глобального администратора* в Microsoft Entra ID.

Важно!

* Корпорация Майкрософт решительно выступает за принцип наименьших привилегий. Назначение учетным записям только минимальных разрешений, необходимых для выполнения их задач, помогает снизить риски безопасности и повысить общую защиту вашей организации. Глобальный администратор — это очень привилегированная роль, которую следует ограничить сценариями чрезвычайных ситуаций или в случаях, когда вы не можете использовать другую роль.

После того как вы запросите отчет по требованию, как описано в разделе Запрос отчетов по требованию для скачивания, вы можете проверить состояние отчета, а затем скачать его на странице Отчеты для скачивания на портале Defender.

На портале Microsoft Defender по адресу https://security.microsoft.comвыберите Отчеты>Email & совместная работа> выберите Отчеты для скачивания. Или, чтобы перейти непосредственно на страницу Отчеты для скачивания , используйте https://security.microsoft.com/ReportsForDownload.

На странице Отчеты для скачивания для каждого доступного отчета отображаются следующие сведения:

  • Дата начала
  • Название
  • Тип отчета
  • Последнее отправленное
  • Состояние:
    • Ожидание. Отчет все еще создается и пока недоступен для скачивания.
    • Завершено — готово к скачиванию. Создание отчета завершено, и отчет доступен для скачивания.
    • Завершено — результаты не найдены: создание отчета завершено, но отчет не содержит данных, поэтому его невозможно скачать.

Чтобы скачать отчет, установите флажок рядом с датой начала отчета, а затем выберите действие Скачать отчет, которое появится.

Используйте поле Поиск, чтобы найти существующий отчет.

В открывшемся диалоговом окне Сохранить как вы увидите имя файла .csv по умолчанию и расположение загрузки (локальная папка Загрузки по умолчанию), но вы можете изменить эти значения и нажать кнопку Сохранить , чтобы скачать отчет.

Защита от нежелательной почты

Защита от вредоносных программ

Просмотр отчетов о потоках обработки почты в EAC

Просмотр отчетов для Defender для Office 365