Get-MailTrafficATPReport

Синтаксис

Get-MailTrafficATPReport
   [-Action <MultiValuedProperty>]
   [-AggregateBy <String>]
   [-Direction <MultiValuedProperty>]
   [-Domain <MultiValuedProperty>]
   [-EndDate <DateTime>]
   [-EventType <MultiValuedProperty>]
   [-NumberOfRows <Int32>]
   [-Page <Int32>]
   [-PageSize <Int32>]
   [-PivotBy <MultiValuedProperty>]
   [-ProbeTag <String>]
   [-StartDate <DateTime>]
   [-SummarizeBy <MultiValuedProperty>]
   [<CommonParameters>]

Описание

Безопасные вложения — это функция в Microsoft Defender для Office 365, которая открывает вложения электронной почты в специальной среде гипервизора для обнаружения вредоносных действий.

Безопасные ссылки — это функция в Microsoft Defender для Office 365, которая проверяет ссылки в сообщениях электронной почты, чтобы узнать, приводят ли они к вредоносным веб-сайтам. Когда пользователь выбирает ссылку в сообщении, URL-адрес временно перезаписывается и сверяется со списком известных вредоносных веб-сайтов. "Безопасные ссылки" включает функцию отчетов о трассировке URL-адреса, которая помогает определить пользователя, прошедшего по ссылке на вредоносный веб-сайт.

Командлет возвращает следующие сведения за указанный отчетный период:

  • Домен
  • Дата
  • Тип события
  • Direction
  • Action
  • SubType
  • Источник политики
  • Источник вердикта
  • Состояние доставки
  • Количество сообщений

Чтобы увидеть все эти столбцы (проблемы с шириной), запишите вывод в файл. Например, Get-MailTrafficATPReport | Out-String -Width 4096 | Out-File "C:\Users\admin\Desktop\Mail Traffic ATP Report.txt".

Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.

Примеры

Пример 1

Get-MailTrafficATPReport -Direction Inbound -StartDate 06/13/2018 -EndDate 06/15/2018

В этом примере вы можете получить сведения о входящих сообщениях в период с 13 июня 2018 г. по 15 июня 2018 г.

Пример 2

Get-MailTrafficATPReport -StartDate 7/20/2018 -EndDate 7/20/2018 -Direction Outbound | Format-Table Domain,Date,EventType,Action,MessageCount

В этом примере извлекает статистику исходяющих сообщений от 20 июля 2018 г. и отображает результаты в таблице. Каждая уникальная комбинация EventType и Action отображается в отдельной строке таблицы.

Пример 3

Get-MailTrafficATPReport -StartDate 7/20/2018 -EndDate 7/20/2018 -Direction Outbound -SummarizeBy Domain,EventType | Format-Table Domain,Date,EventType,Action,MessageCount

Этот пример похож на предыдущий, но теперь результаты суммируются. Так как EventType — одно из суммированных значений, строки таблицы теперь содержат уникальные значения Action. Общее число строк в отчете уменьшается, а значения MessageCount соответственно больше в каждой строке.

Параметры

-Action

Параметр Action фильтрует отчет действием, принятым в сообщениях. Чтобы просмотреть полный список допустимых значений для этого параметра, выполните команду: Get-MailFilterListReport -SelectionTarget Actions . Заданное действие должно соответствовать типу отчета. Например, можно указать только действия фильтра вредоносных программ для отчетов о вредоносных программах.

Параметр Action фильтрует отчет по действиям политик DLP, транспортными правилами, фильтрами вредоносных программ и фильтрами нежелательной почты. Чтобы просмотреть полный список допустимых значений данного параметра, выполните команду Get-MailFilterListReport -SelectionTarget Actions. Заданное действие должно соответствовать типу отчета. Например, можно указать только действия фильтра вредоносных программ для отчетов о вредоносных программах.

Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection
-AggregateBy

Параметр AggregateBy определяет отчетный период. Допустимые значения: Hour, Day или Summary. Значение по умолчанию — Day.

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection
-Direction

Параметр Direction фильтрует результаты по входящим или исходящим сообщениям. Допустимые значения — входящие и исходящие.

Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection
-Domain

Параметр Domain фильтрует результаты по обслуживаемому домену в облачной организации. Можно указать несколько значений доменов, разделяя их запятыми, или значение All.

Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection
-EndDate

Параметр EndDate указывает дату окончания из диапазона дат.

Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".

Type:DateTime
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection
-EventType

Параметр EventType фильтрует отчет по типу события. Допустимые значения:

  • Переданное сообщение (указывает на хорошее сообщение.)

Фишинговые события по электронной почте:

  • Расширенный фильтр фишинга (указывает сообщение, пойманное моделью машинного обучения.)
  • Anti-spoof: Intra-org (Указывает внутреннее сообщение, пойманное защитой от фишинга.)
  • Anti-spoof: внешний домен (указывает внешнее сообщение, пойманное защитой от фишинга.)
  • Dmarc (Указывает сообщение, для которого отправитель был отмечен как не подлинность DMARC.)
  • Вымысление домена (указывает сообщение, вымысляющее домен, защищенный политикой защиты от * фишинга.)
  • Вымысление пользователя (указывает сообщение, вымысляющее пользователя, защищенное политикой защиты от * фишинга.)
  • Вымысление бренда (указывает сообщение, пойманное фильтрами фишинга, как вымысление известного бренда.)
  • Общий фильтр фишинга (указывает сообщение, пойманное базовой защитой от фишинга.)
  • Вредоносная репутация URL-адреса (указывает сообщение с известным вредоносным URL-адресом, пойманным фильтрами фишинга.)
  • Phish ZAP (Указывает сообщение фишинга или нежелательной почты, обнаруженное и автоматическое отсеяно после доставки.)

Email malware EventTypes:

  • Антивирусный двигатель (указывает сообщение, пойманное в движке антивирусной программы.)
  • Безопасные вложения ATP (указывает сообщение с вредоносным вложением, заблокированным * Defender для Office 365.)
  • Безопасные ссылки ATP * (указывает, когда вредоносная ссылка заблокирована Defender для Office 365.)
  • ZAP (Указывает сообщение с обнаруженной вредоносной программой и автоматической чисткой после доставки.)
  • Репутация файла Office 365 (указывает сообщение с заблокированным вредоносным файлом.)
  • Блок типа файла политики по борьбе с вредоносными программами (указывает, когда фильтр типов общих вложений блокирует файл.)

Вредоносные программы контента EventTypes:

  • AtpDocumentMalware * (Указывает вредоносный контент, обнаруженный в безопасных вложениях.)
  • AvDocumentMalware (Указывает вредоносные программы, найденные с помощью антивирусного двигателя. Для отчетности требуется Defender для Office 365 или E5.)

* Требуется Defender для Office 365 (включен в Microsoft 365 E5 или в подписку на надстройки).

Update Если значения содержат пробелы или иным образом требуют кавычка, используйте следующий синтаксис: "Value1","Value2",..."ValueN" .

Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection
-NumberOfRows

Параметр NumberOfRows указывает количество строк, возвращаемого в отчете. Максимальное значение — 10000.

Type:Int32
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection
-Page

Параметр Page указывает номер страницы результатов, которую необходимо просмотреть. Допустимое значение для этого параметра — целое число от 1 до 1000. Значение по умолчанию равно 1.

Type:Int32
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection
-PageSize

Параметр PageSize указывает максимальное число записей на странице. Допустимое значение для этого параметра — целое число от 1 до 5000. Значение параметра по умолчанию — 1000.

Type:Int32
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection
-PivotBy

{{ Заполните pivotBy Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection
-ProbeTag

Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.

Type:String
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection
-StartDate

Параметр StartDate указывает дату начала из диапазона дат.

Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время дня, заключите это значение в кавычки ("), например," 09/01/2018 5:00 PM ".

Type:DateTime
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection
-SummarizeBy

Параметр SummarizeBy возвращает итоговый результат с учетом указанных значений. Если в вашем отчете данные фильтруются с помощью любого из допустимых значений этого параметра, параметр SummarizeBy можно использовать для вычисления итогового результата с учетом этих значений. Чтобы уменьшить количество строк, возвращаемых в отчете, можно использовать параметр SummarizeBy. Обобщение уменьшает объем данных, полученных для отчета, и обеспечивает более быструю доставку отчета. Например, вместо того чтобы отображать каждый экземпляр конкретного значения параметра EventType в отдельной строке отчета, с помощью параметра SummarizeBy можно отобразить итоговое число экземпляров этого значения параметра EventType в одной строке отчета.

Допустимые значения:

  • Action
  • Direction
  • Домен
  • EventType

Вы можете указать несколько значений, разделив их запятыми. При указании значений Action или Domain значение не отображается в результатах (значения в соответствующих столбцах пустые).

Type:MultiValuedProperty
Position:Named
Default value:None
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

Входные данные

Выходные данные