在Microsoft 365 Defender门户中查看电子邮件安全报告
提示
是否知道可以在 Microsoft 365 Defender 中免费试用Office 365计划 2 中的功能? 在Microsoft 365 Defender门户试用中心使用为期 90 天的Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。
适用对象
Microsoft 365 Defender门户https://security.microsoft.com中提供了各种报表,可帮助你了解电子邮件安全功能(如Microsoft 365中的反垃圾邮件和反恶意软件功能)如何保护组织。 如果拥有 必要的权限,可以查看和下载本文中所述的这些报表。
备注
电子邮件&协作报 表页上的某些报表需要Microsoft Defender for Office 365。 有关这些报表的信息,请参阅Microsoft 365 Defender门户中的“查看Defender for Office 365报表”。
与邮件流相关的报表现在位于Exchange管理中心。 有关这些报表的详细信息,请参阅新Exchange管理中心的邮件流报表。
观看此简短视频,了解如何使用报表来了解组织中Defender for Office 365的有效性。
Microsoft 365 Defender门户中的电子邮件安全报告更改
下表介绍了Microsoft 365 Defender门户中已替换、移动或弃用的Exchange Online Protection (EOP) 和Microsoft Defender for Office 365报表。
| 已弃用的报表和 cmdlet | 新报表和 cmdlet | 消息中心 ID | Date |
|---|---|---|---|
| URL 跟踪 Get-URLTrace |
URL 保护报告 Get-SafeLinksAggregateReport Get-SafeLinksDetailReport |
MC2399999 | 2021 年 6 月 |
| 已发送和接收电子邮件报告 Get-MailTrafficReport Get-MailDetailReport |
威胁防护状态报告 邮件流状态报告 Get-MailTrafficATPReport Get-MailDetailATPReport Get-MailFlowStatusReport |
MC236025 | 2021 年 6 月 |
| 转发报表 无 cmdlet |
EAC 中的自动转发消息报表 无 cmdlet |
MC250533 | 2021 年 6 月 |
| 保险箱附件文件类型报表 Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport |
威胁防护状态报告:通过电子邮件 > 恶意软件查看数据 Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250532 | 2021 年 6 月 |
| 保险箱附件消息处置报告 Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport |
威胁防护状态报告:通过电子邮件 > 恶意软件查看数据 Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250531 | 2021 年 6 月 |
| 电子邮件报告中检测到的恶意软件 Get-MailTrafficReport Get-MailDetailMalwareReport |
威胁防护状态报告:通过电子邮件 > 恶意软件查看数据 Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250530 | 2021 年 6 月 |
| 垃圾邮件检测报告 Get-MailTrafficReport Get-MailDetailSpamReport |
威胁防护状态报告:通过电子邮件 > 垃圾邮件查看数据 Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250529 | 2021 年 10 月 |
| Get-AdvancedThreatProtectionDocumentReport Get-AdvancedThreatProtectionDocumentDetail |
Get-ContentMalwareMdoAggregateReport Get-ContentMalwareMdoDetailReport |
MC343433 | 2022 年 5 月 |
| Exchange传输规则报告 Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport |
Exchange EAC 中的传输规则报表 Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport |
MC316157 | 2022 年 4 月 |
| Get-MailTrafficTopReport | 热门发件人和收件人报表 Get-MailTrafficSummaryReport 注意:Get-MailTrafficTopReport 中的加密报告功能没有替代方法。 |
MC315742 | 2022 年 4 月 |
泄露的用户报告
备注
此报表在具有Exchange Online邮箱的Microsoft 365组织中可用。 它在独立Exchange Online Protection (EOP) 组织中不可用。
“ 被入侵的用户 ”报告显示在过去 7 天内标记为 “可疑 ”或 “受限” 的用户帐户数。 这些状态中的任一状态中的帐户都存在问题,甚至遭到入侵。 使用频繁时,可以使用报表在可疑或受限帐户中发现峰值甚至趋势。 有关被入侵用户的详细信息,请参阅 “响应已泄露的电子邮件帐户”。
聚合视图显示过去 90 天的数据,详细信息视图显示过去 30 天的数据。
若要在Microsoft 365 Defender门户https://security.microsoft.com中查看报表,请转到 “报 > 表电子邮件”&协作 > 电子邮件&协作报表。 在 “电子邮件&协作报告 ”页上,找到 “已入侵的用户 ”,然后单击 “查看详细信息”。 若要直接转到报表,请打开 https://security.microsoft.com/reports/CompromisedUsers。
在 “被入侵的用户 ”页上,图表显示指定日期范围的以下信息:
- 受限:由于模式高度可疑,用户帐户被限制不发送电子邮件。
- 可疑:用户帐户已发送可疑电子邮件,并且有被限制发送电子邮件的风险。
下图的详细信息表显示了以下信息:
- 创建时间
- 用户 ID
- 操作
- 标记:有关用户标记的详细信息,请参阅 用户标记。
可以通过单击“ 筛选器 ”并在浮出控件中选择一个或多个显示的以下值来筛选图表和详细信息表:
- 日期 (UTC):"开始"菜单日期 和 结束日期。
- 活动: 受限 或 可疑
- 标记: 所有 或指定的用户标记 (包括优先级帐户) 。
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
在 “已入侵的用户 ”页上,“创建计划” 
创建计划, 
请求报告 和 导出 按钮可用。
Exchange传输规则报告
Exchange传输规则 报表显示了邮件流规则 ((也称为传输规则)对组织中传入和传出邮件) 的影响。
若要在Microsoft 365 Defender门户中查看报表,请转到 “报 > 表电子邮件”&协作 > 电子邮件&协作报表。 在 “电子邮件&协作报告”页上,找到 Exchange传输规则,然后单击 “查看详细信息”。 若要直接转到报表,请打开 https://security.microsoft.com/reports/ETRRuleReport。
在 Exchange传输规则报表 页上,以下各节介绍了可用的图表和数据。
备注
Exchange传输规则报表 现已在 EAC 中提供。 有关详细信息,请参阅新 EAC 中的Exchange传输规则报告。
按方向划分的图表明细
如果 按方向选择图表明细,则可使用以下图表:
- 按Exchange传输规则查看数据:受邮件流规则影响的 入站 和 出站 邮件数。
- 按 DLP 查看数据Exchange传输规则:受数据丢失防护影响的 入站 和 出站 邮件数 (DLP) 邮件流规则。
下图下的详细信息表中显示了以下信息:
- Date
- DLP 策略 (仅 按 DLP Exchange传输规则查看数据)
- 传输规则
- 主题
- 发件人地址
- 收件人地址
- 严重性
- 方向
可以通过单击“ 筛选器 ”并在浮出控件中选择一个或多个显示的以下值来筛选图表和详细信息表:
- 日期 (UTC) "开始"菜单日期 和 结束日期。
- 方向: 出站 和 入站。
- 严重性:高严重性、中等严重性和****低严重性
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
在 Exchange传输规则报表 页上,“创建计划” 创建计划, 请求报告 和 导出 按钮可用。
按严重性划分的图表明细
如果 按严重性选择图表明细,则可使用以下图表:
按Exchange传输规则查看数据:高严重性、中等严重性和****低严重性 消息的数量。 将严重性级别设置为规则中的操作, (使用严重性级别 或 SetAuditSeverity) 审核此规则。 有关详细信息,请参阅Exchange Online中的邮件流规则操作。
按 DLP 查看数据Exchange传输规则:受 DLP 邮件流规则影响 的高严重性、中等严重性和****低严重性 邮件的数量。
下图下的详细信息表中显示了以下信息:
- Date
- DLP 策略 (仅 按 DLP Exchange传输规则查看数据)
- 传输规则
- 主题
- 发件人地址
- 收件人地址
- 严重性
- 方向
可以通过单击“ 筛选器 ”并在浮出控件中选择一个或多个显示的以下值来筛选图表和详细信息表:
- 日期 (UTC) "开始"菜单日期 和 结束日期
- 方向: 出站 和 入站
- 严重性:高严重性、中等严重性和****低严重性
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
在 Exchange传输规则报表 页上,“创建计划” 创建计划, 请求报告 和 导出 按钮可用。
转发报表
备注
此报表现已在 EAC 中提供。 有关详细信息,请 参阅新 EAC 中的自动转发消息报表。
邮件流状态报告
邮件流状态报表 是一个智能报表,显示有关传入和传出电子邮件、垃圾邮件检测、恶意软件、标识为“良好”的电子邮件以及边缘上允许或阻止的电子邮件的信息。 这是唯一包含边缘保护信息的报表,并显示在允许Exchange Online Protection (EOP) 进入服务进行评估之前阻止了多少电子邮件。 请务必了解,如果将邮件发送到五个收件人,我们将其计数为五个不同的消息,而不是一条消息。
若要在Microsoft 365 Defender门户https://security.microsoft.com中查看报表,请转到 “报 > 表电子邮件”&协作 > 电子邮件&协作报表。 在 “电子邮件&协作报表 ”页上,找到 “邮件流状态摘要 ”,然后单击 “查看详细信息”。 若要直接转到报表,请打开 https://security.microsoft.com/reports/mailflowStatusReport。
邮件流状态报表的类型视图
在 “邮件流状态”报表 页上,默认情况下会选择“ 类型 ”选项卡。 该图表显示指定日期范围的以下信息:
- 好邮件:确定不为垃圾邮件或用户或组织策略允许的电子邮件。
- Total
- 恶意软件:被各种筛选器阻止为恶意软件的电子邮件。
- 网络钓鱼电子邮件:被各种筛选器阻止为网络钓鱼的电子邮件。
- 垃圾邮件:被各种筛选器阻止为垃圾邮件的电子邮件。
- 边缘保护:在 EOP 或 Defender for Office 365 评估之前在边缘/外围被拒绝的电子邮件。
- 规则消息:由邮件流规则处理的电子邮件 (也称为传输规则) 。
下图的详细信息表显示了以下信息:
- 方向
- 类型
- 24 小时
- 3 天
- 7 天
- 15 天
- 30 天
可以通过单击“ 筛选器 ”并在浮出控件中选择一个或多个显示的以下值来筛选图表和详细信息表:
- 日期 (UTC):"开始"菜单日期 和 结束日期。
- 邮件方向: 入站 和 出站。
- 类型:
- 好邮件
- 恶意软件
- 垃圾邮件
- 边缘保护
- 规则消息
- 钓鱼电子邮件
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
返回“ 邮件流状态”报表 页,如果单击 “选择类别以获取更多详细信息”,则可以从以下值中进行选择:
- 网络钓鱼电子邮件:此选择将转到 威胁防护状态报告。
- 电子邮件中的恶意软件:此选择将转到 威胁防护状态报告。
- 垃圾邮件检测:此选择将转到 垃圾邮件检测报告。
- 边缘阻止的垃圾邮件:此选择将转到 垃圾邮件检测报告。
在 “邮件流状态”报表 页上,“创建计划” 创建计划 和 导出 按钮可用。
邮件流状态报表的方向视图
如果单击 “方向” 选项卡,图表将显示指定日期范围的以下信息:
- 入境
- 出站
可以通过单击“ 筛选器 ”并在浮出控件中选择一个或多个显示的以下值来筛选图表和详细信息表:
- 日期 (UTC):"开始"菜单日期 和 结束日期。
- 邮件方向: 入站 和 出站。
- 类型:
- 好邮件
- 恶意软件
- 垃圾邮件
- 边缘保护
- 规则消息
- 钓鱼电子邮件
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
返回“ 邮件流状态”报表 页,如果单击 “选择类别以获取更多详细信息”,则可以从以下值中进行选择:
- 网络钓鱼电子邮件:此选择将转到 威胁防护状态报告。
- 电子邮件中的恶意软件:此选择将转到 威胁防护状态报告。
- 垃圾邮件检测:此选择将转到 垃圾邮件检测报告。
- 边缘阻止的垃圾邮件:此选择将转到 垃圾邮件检测报告。
在 “邮件流状态”报表 页上,“创建计划” 创建计划 和 导出 按钮可用。
邮件流状态报表的邮件流视图
“邮件流”视图显示 Microsoft 的电子邮件威胁防护功能如何筛选组织中的传入和传出电子邮件。 此视图使用水平流图 (称为 Sankey 关系图) 提供有关总电子邮件计数的详细信息,以及配置的威胁防护功能(包括边缘防护、反恶意软件、反钓鱼、反垃圾邮件和反欺骗)如何影响此计数。
聚合视图和详细信息表视图允许 90 天的筛选。
关系图中的信息由 EOP 或 Defender for Office 365 技术进行颜色编码。
该图被组织成以下水平带:
- 电子邮件带总数 :此值始终首先显示。
- 边缘块 和 已处理 的带:
- 边缘块:在边缘筛选并标识为边缘保护的消息。
- 已处理:筛选堆栈处理的消息。
- 结果带:
- 规则块:由Exchange邮件流规则处理的消息 (传输规则) 。
- 恶意软件块:由各种筛选器标识为恶意软件的消息。*
- 网络钓鱼块:通过各种筛选器处理过程中标识为网络钓鱼的消息。*
- 垃圾邮件块:通过各种筛选器处理过程中标识为垃圾邮件的消息。*
- 模拟块:在Defender for Office 365中检测到为用户模拟或域模拟的消息。*
- 引爆块:通过保险箱附件策略或Defender for Office 365中的链接策略 保险箱保险箱在文件或 URL 爆炸期间检测到的消息。*
- 已删除 ZAP:通过零小时自动清除删除的消息 (ZAP) 。*
- 已传递:由于允许,向用户传递的消息。*
如果将鼠标悬停在关系图中的水平带上,则会看到相关消息的数量。
* 如果单击此元素,将展开图表以显示更多详细信息。 有关展开的节点中每个元素的说明,请参阅 检测技术。
关系图下方的详细信息表显示了以下信息:
- Date
- 电子邮件总数
- 边缘筛选
- 规则消息
- 反恶意软件引擎,保险箱附件,已筛选规则
- DMARC 模拟、欺骗、网络钓鱼筛选
- 引爆检测
- 已筛选反垃圾邮件
- 已删除 ZAP
- 检测到未检测到威胁的消息
如果在详细信息表中选择一行,则会在显示的详细信息浮出控件中显示电子邮件计数的进一步细分。
可以通过单击“ 筛选器 ”并在浮出控件中选择一个或多个显示的以下值来筛选图表和详细信息表:
- 日期 (UTC) "开始"菜单日期 和 结束日期。
- 方向: 出站 和 入站。
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
回到 “邮件流状态”报表 页上,可以单击 “显示趋势 ”以查看显示的 “邮件流趋势 ”浮出控件中的趋势图。
在 “邮件流状态”报表 页上,“导出” 导出 按钮可用。
恶意软件检测报告
备注
此报表已弃用。 威胁防护状态报表中提供了相同的信息。
邮件延迟报告
Defender for Office 365中的 邮件延迟报告 包含有关组织内遇到的邮件传递和引爆延迟的信息。 有关详细信息,请参 阅“邮件延迟”报告。
垃圾邮件检测报告
备注
此报表已弃用。 威胁防护状态报表中提供了相同的信息。
欺骗检测报告
欺骗检测 报告显示有关因欺骗而被阻止或允许的消息的信息。 有关欺骗的详细信息,请参阅 EOP 中的防欺骗保护。
报表的聚合视图允许 90 天的筛选,而详细信息视图仅允许十天的筛选。
若要在Microsoft 365 Defender门户中查看报表,请转到 “报 > 表电子邮件”&协作 > 电子邮件&协作报表。 在 “电子邮件&协作报告 ”页上,查找 欺骗检测 ,然后单击 “查看详细信息”。 若要直接转到报表,请打开 https://security.microsoft.com/reports/SpoofMailReport。
图表显示以下信息:
- 通过
- 失败
- SoftPass
- 无
- 其他
将鼠标悬停在图表中 (数据点) 一天时,可以看到检测到的欺骗消息数以及原因。
可以通过单击“ 筛选器 ”并在浮出控件中选择一个或多个显示的以下值来筛选图表和详细信息表:
- 日期 (UTC) "开始"菜单日期 和 结束日期
- 结果:
- 通过
- 失败
- SoftPass
- 无
- 其他
- 欺骗类型: 内部 和 外部
下图的详细信息表显示了以下信息:
- Date
- 被欺骗的用户
- 发送基础结构
- 欺骗类型
- 结果
- 结果代码
- SPF
- DKIM
- DMARC
- 消息计数
有关复合身份验证结果代码的详细信息,请参阅Microsoft 365中的反垃圾邮件标头。
在 “欺骗检测 ”页上,“创建计划” 创建计划, 请求报告 和 导出 按钮可用。
提交报告
提交报告 显示有关管理员已报告给 Microsoft 进行分析的项目的信息。 有关详细信息,请参阅“使用管理员提交将可疑垃圾邮件、网络钓鱼、URL 和文件提交到 Microsoft。
若要在Microsoft 365 Defender门户https://security.microsoft.com中查看报表,请转到 “报 > 表电子邮件”&协作 > 电子邮件&协作报表。 在 “电子邮件&协作报告 ”页上,找到 “提交 ”,然后单击 “查看详细信息”。 若要直接转到报表,请打开 https://security.microsoft.com/adminSubmissionReport。 若要转到 Microsoft 365 Defender门户中的管理员提交,请单击 “转到提交”。 管理员将能够查看过去 30 天的报表。
图表显示以下信息:
- Pending
- 已完成
可以通过单击“ 筛选器 ”并在浮出控件中选择一个或多个显示的以下值来筛选图表和详细信息表:
- 报告日期:"开始"菜单时间 和 结束时间
- 提交类型:
- 电子邮件
- URL
- 文件
- 提交 ID
- 网络消息 ID
- Sender
- 名称
- 提交者
- 提交原因:
- 不是垃圾
- 网络钓鱼
- 恶意软件
- 垃圾邮件
- 重新扫描状态:
- Pending
- 已完成
图下的详细信息表显示了相同的信息,并且具有与 “电子邮件&协作 > 提交”的“提交分析”选项卡上相同的 组 或 自定义列 选项。 有关详细信息, 请参阅查看 Microsoft 的电子邮件管理员提交。
在 “提交 ”页上,可以使用“ 导出 ”按钮。
威胁防护状态报告
威胁防护状态 报告在 EOP 和 Defender for Office 365 中均可用;但是,报表包含不同的数据。 例如,EOP 客户可以查看有关电子邮件中检测到的恶意软件的信息,但不能查看有关保险箱附件检测到的恶意文件的信息,SharePoint、OneDrive和Microsoft Teams。
该报表提供包含恶意内容的电子邮件计数,例如反恶意软件引擎阻止的文件或网站地址 (URL) 、零小时自动清除 (ZAP) ,以及反钓鱼策略中的保险箱链接、保险箱 附件和模拟保护功能等Defender for Office 365功能。 可以使用此信息来确定趋势或确定是否需要调整组织策略。
注意:请务必了解,如果将邮件发送到五个收件人,我们将其计数为五个不同的消息,而不是一条消息。
若要在Microsoft 365 Defender门户中查看报表,请转到 “报 > 表电子邮件”&协作 > 电子邮件&协作报表。 在 “电子邮件&协作报告 ”页上,找到 威胁防护状态 ,然后单击 “查看详细信息”。 若要直接转到报表,请打开以下 URL 之一:
- Defender for Office 365:https://security.microsoft.com/reports/TPSAggregateReportATP
- EOP: https://security.microsoft.com/reports/TPSAggregateReport
默认情况下,图表显示过去 7 天的数据。 如果在 威胁防护状态报告 页上单击“筛选器”,则可以选择 90 天的日期范围 (试用订阅可能限制为 30 天) 。 详细信息表允许筛选 30 天。
以下部分介绍了可用视图。
按概述查看数据
在“ 视图数据概述 ”视图中,图表中显示了以下检测信息:
- 电子邮件恶意软件
- 电子邮件网络钓鱼
- 电子邮件垃圾邮件
- 内容恶意软件
图表下方没有可用的详细信息表。
如果单击 “筛选器”,则可使用以下筛选器:
- 日期 (UTC) "开始"菜单日期 和 结束日期。
- 检测:与图表中的值相同。
- 受:MDO (Defender for Office 365) 和 EOP 保护。
- 标记: 所有 或指定的用户标记 (包括优先级帐户) 。 有关用户标记的详细信息,请参阅 用户标记。
- 方向:
- 全部
- 入境
- 出站
- 域: 全部 或 已接受的域。
- 策略类型:
- 全部
- 反恶意软件
- 安全附件
- 防网络钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
按检测技术按电子邮件 > 网络钓鱼和图表明细查看数据
备注
从 2021 年 5 月开始,电子邮件中的网络钓鱼检测已更新为包含网络钓鱼 URL 的消息附件 。 此更改可能会将一些检测卷 从“通过电子邮件 > 恶意软件查看”视图中的数据 转移到 “通过电子邮件 > 网络钓鱼”视图查看数据 中。 换句话说,带有网络钓鱼 URL(传统上标识为恶意软件)的消息附件现在可能被标识为网络钓鱼。
在 “按电子邮件 > 网络钓鱼查看数据 ”和 “按检测技术划分的图表明细 ”视图中,图表中显示了以下信息:
- 高级筛选器:基于机器学习的网络钓鱼信号。
- 市场活动*:标识为 活动一部分的消息。
- 文件引爆*:保险箱附件在引爆分析过程中检测到恶意附件。
- 文件引爆信誉*:以前由 其他Microsoft 365组织中保险箱附件引爆检测到的文件附件。
- 文件信誉:该消息包含以前在其他Microsoft 365组织中标识为恶意的文件。
- 指纹匹配:该消息与之前检测到的恶意消息非常相似。
- 常规筛选器:基于分析师规则的网络钓鱼信号。
- 模拟品牌:知名品牌的发件人模拟。
- 模拟域*:模拟你拥有或指定的发送方域,以便在 反网络钓鱼策略中进行保护。
- 模拟用户*:模拟在 反钓鱼策略 中指定或通过邮箱智能学习的受保护发件人。
- 邮箱智能模拟*: 反钓鱼策略中来自邮箱智能的模拟检测。
- 混合分析检测:多个筛选器促成了消息判决。
- 欺骗 DMARC:消息无法进行 DMARC 身份验证。
- 欺骗外部域:使用组织外部的域进行发件人电子邮件地址欺骗。
- 欺骗组织内:使用组织内部域的发件人电子邮件地址欺骗。
- URL 引爆*:保险箱链接在爆炸分析期间检测到消息中的恶意 URL。
- URL 引爆信誉*:以前由 其他Microsoft 365组织保险箱链接引爆检测到的 URL。
- URL 恶意信誉:该消息包含以前在其他Microsoft 365组织中标识为恶意的 URL。
*仅Defender for Office 365
在图表下方的详细信息表中,提供了以下信息:
- Date
- 主题
- 发件人
- Recipients
- 检测技术:图表中的相同检测技术值。
- 传递状态
- 发件人 IP
- 标记:有关用户标记的详细信息,请参阅 用户标记。
如果单击 “筛选器”,则可使用以下筛选器:
- 日期 (UTC) "开始"菜单日期 和 结束日期
- 检测:与图表中的值相同。
- 受以下保护:MDO (Defender for Office 365) 或 EOP
- 方向:
- 全部
- 入境
- 出站
- 标记: 所有 或指定的用户标记 (包括优先级帐户) 。
- 域: 全部 或 已接受的域。
- 策略类型:
- 全部
- 反恶意软件
- 安全附件
- 防网络钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
- 策略名称 (详细信息表视图仅): 全部 或指定的策略。
- 收件人
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
在 “威胁防护状态 ”页上,“创建计划” 创建计划, 请求报告 和 导出 按钮可用。
按检测技术按电子邮件 > 垃圾邮件和图表明细查看数据
在 “按电子邮件 > 垃圾邮件查看数据 和 按检测技术划分的图表细分 ”视图中,图表中显示了以下信息:
- 高级筛选器:基于机器学习的网络钓鱼信号。
- 批量:消息 的批量投诉级别 (BCL) 超出了垃圾邮件的定义阈值。
- 域信誉:该消息来自以前标识为在其他Microsoft 365组织中发送垃圾邮件的域。
- 指纹匹配:该消息与之前检测到的恶意消息非常相似。
- IP 信誉:该消息来自以前标识为在其他Microsoft 365组织中发送垃圾邮件的源。
- 混合分析检测:多个筛选器促成了消息的判决。
- URL 恶意信誉:该消息包含以前在其他Microsoft 365组织中标识为恶意的 URL。
在图表下方的详细信息表中,提供了以下信息:
- Date
- 主题
- 发件人
- Recipients
- 检测技术:图表中的相同检测技术值。
- 传递状态
- 发件人 IP
- 标记:有关用户标记的详细信息,请参阅 用户标记。
如果单击 “筛选器”,则可使用以下筛选器:
- 日期 (UTC) "开始"菜单日期 和 结束日期
- 检测:与图表中的值相同。
- 方向:
- 全部
- 入境
- 出站
- 标记: 所有 或指定的用户标记 (包括优先级帐户) 。
- 域: 全部 或 已接受的域。
- 策略类型:
- 全部
- 反恶意软件
- 安全附件
- 防网络钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
- 策略名称 (详细信息表视图仅): 全部 或指定的策略。
- 收件人
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
在 “威胁防护状态 ”页上,“创建计划” 创建计划, 请求报告 和 导出 按钮可用。
按电子邮件 > 恶意软件查看数据,按检测技术查看图表明细
备注
从 2021 年 5 月开始,电子邮件中的恶意软件检测已更新为在邮件附件中包含 有害 URL 。 此更改可能会 通过电子邮件 > 网络钓鱼视图 将一些检测卷从视图数据中移出,并 转移到“通过电子邮件 > 恶意软件查看数据 ”视图中。 换句话说,传统上标识为网络钓鱼的消息附件中的有害 URL 现在可能被标识为恶意软件。
在 “通过电子邮件 > 恶意软件查看数据 ”和 “按检测技术划分的图表明细 ”视图中,图表中显示了以下信息:
- 文件引爆*:保险箱附件在引爆分析过程中检测到恶意附件。
- 文件引爆信誉*:以前由 其他Microsoft 365组织中保险箱附件引爆检测到的文件附件。
- 文件信誉:该消息包含以前在其他Microsoft 365组织中标识为恶意的文件。
- 反恶意软件引擎*:来自反恶意软件引擎的检测。
- 反恶意软件策略文件类型块:由于) 反恶意软件策略中常见的附件筛选 (附件的文件类型,消息被阻止。
- URL 引爆*:保险箱链接在爆炸分析期间检测到消息中的恶意 URL。
- URL 引爆信誉*>:以前由 其他Microsoft 365组织保险箱链接引爆检测到的 URL。
- 市场活动*:标识为 活动一部分的消息。
*仅Defender for Office 365
在图表下方的详细信息表中,提供了以下信息:
- Date
- 主题
- 发件人
- Recipients
- 检测技术:图表中的相同检测技术值。
- 传递状态
- 发件人 IP
- 标记:有关用户标记的详细信息,请参阅 用户标记。
如果单击 “筛选器”,则可使用以下筛选器:
- 日期 (UTC) "开始"菜单日期 和 结束日期
- 检测:与图表中的值相同。
- 受以下保护:MDO (Defender for Office 365) 或 EOP
- 方向:
- 全部
- 入境
- 出站
- 标记: 所有 或指定的用户标记 (包括优先级帐户) 。
- 域: 全部 或 已接受的域。
- 策略类型:
- 全部
- 反恶意软件
- 安全附件
- 防网络钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
- 策略名称 (详细信息表视图仅): 全部 或指定的策略。
- 收件人
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
在 “威胁防护状态 ”页上,“创建计划” 创建计划, 请求报告 和 导出 按钮可用。
按策略类型划分的图表明细
在 “通过电子邮件 > 网络钓鱼查看数据”、“ 按电子邮件 > 垃圾邮件查看数据”或 “按电子邮件 > 查看数据”恶意软件 视图中, 按策略类型选择图表明细 显示图表中的以下信息:
- 反恶意软件
- 保险箱附件*
- 防网络钓鱼
- 反垃圾邮件
- 邮件流规则 (也称为传输规则)
- 其他
在图表下方的详细信息表中,提供了以下信息:
- Date
- 主题
- 发件人
- Recipients
- 检测技术:图表中的相同检测技术值。
- 传递状态
- 发件人 IP
- 标记:有关用户标记的详细信息,请参阅 用户标记。
如果单击 “筛选器”,则可使用以下筛选器:
- 日期 (UTC) "开始"菜单日期 和 结束日期
- 检测:如本文和检测技术中前面所述的 检测技术值。
- 受以下保护:MDO (Defender for Office 365) 或 EOP
- 方向:
- 全部
- 入境
- 出站
- 标记: 所有 或指定的用户标记 (包括优先级帐户) 。
- 域: 全部 或 已接受的域。
- 策略类型:
- 全部
- 反恶意软件
- 安全附件
- 防网络钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
- 策略名称 (详细信息表视图仅): 全部 或指定的策略。
- 收件人
*仅Defender for Office 365
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
在 “威胁防护状态 ”页上,“创建计划” 创建计划, 请求报告 和 导出 按钮可用。
按传递状态划分的图表明细
在 “通过电子邮件 > 网络钓鱼查看数据”、“ 通过电子邮件 > 垃圾邮件查看数据”或 “通过电子邮件 > 查看数据”恶意软件 视图中,选择 “按传递方式显示图表明细”状态 会在图表中显示以下信息:
- 托管邮箱:收件箱
- 托管邮箱:垃圾邮件
- 托管邮箱:自定义文件夹
- 托管邮箱:已删除的邮件
- 转发
- 本地服务器:已交付
- 隔离
- 交付失败
- 下降
在图表下方的详细信息表中,提供了以下信息:
- Date
- 主题
- 发件人
- Recipients
- 检测技术:图表中的相同检测技术值。
- 传递状态
- 发件人 IP
- 标记:有关用户标记的详细信息,请参阅 用户标记。
如果单击 “筛选器”,则可使用以下筛选器:
- 日期 (UTC) "开始"菜单日期 和 结束日期
- 检测:如本文和检测技术中前面所述的 检测技术值。
- 受以下保护:MDO (Defender for Office 365) 或 EOP
- 方向:
- 全部
- 入境
- 出站
- 标记: 所有 或指定的用户标记 (包括优先级帐户) 。
- 域: 全部 或 已接受的域。
- 策略类型:
- 全部
- 反恶意软件
- 安全附件
- 防网络钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
- 策略名称 (详细信息表视图仅): 全部 或指定的策略。
- 收件人
*仅Defender for Office 365
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
在 “威胁防护状态 ”页上,“创建计划” 创建计划, 请求报告 和 导出 按钮可用。
按内容 > 恶意软件查看数据
在“按内容>恶意软件查看数据”视图中,Microsoft Defender for Office 365组织的图表中显示以下信息:
- 反恶意软件引擎:SharePoint中检测到的恶意文件、OneDrive和Microsoft Teams Microsoft 365中的内置病毒检测。
- MDO 引爆:保险箱附件检测到用于SharePoint、OneDrive和Microsoft Teams的恶意文件。
- 文件信誉:该消息包含以前在其他Microsoft 365组织中标识为恶意的文件。
在图表下方的详细信息表中,提供了以下信息:
- 日期 (UTC)
- 附件的文件名
- 工作负载
- 检测技术:图表中的相同检测技术值。
- 文件大小
- 上次修改用户
如果单击 “筛选器”,则可使用以下筛选器:
- 日期 (UTC) "开始"菜单日期 和 结束日期。
- 检测:与图表中的值相同。
- 工作负荷:Teams、SharePoint 和 OneDrive
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
在 “威胁防护状态 ”页上,“创建计划” 创建计划, 请求报告 和 导出 按钮可用。
按系统替代查看数据,按原因查看图表明细
在 “按系统替代的视图数据 ”和 “按原因划分的图表明细 ”视图中,图表中显示了以下替代原因信息:
- 本地跳过
- IP 允许
- Exchange 邮件流规则 (传输规则)
- 组织允许的发件人
- 组织允许的域
- 未启用 ZAP
- 用户保险箱发件人
- 用户保险箱域
- 网络钓鱼模拟:有关详细信息,请参阅 配置向用户传递第三方网络钓鱼模拟以及向 SecOps 邮箱发送未经筛选的消息。
- 第三方筛选器
在图表下方的详细信息表中,提供了以下信息:
- Date
- 主题
- 发件人
- Recipients
- 系统重写
- 发件人 IP
- 标记:有关用户标记的详细信息,请参阅 用户标记。
如果单击 “筛选器”,则可使用以下筛选器:
- 日期 (UTC) "开始"菜单日期 和 结束日期
- 原因:与图表相同的值。
- 传递位置: 未启用垃圾邮件文件夹 或 SecOps 邮箱。
- 方向:
- 全部
- 入境
- 出站
- 标记: 所有 或指定的用户标记 (包括优先级帐户) 。
- 域: 全部 或 已接受的域。
- 策略类型: 全部
- 策略名称 (详细信息表视图仅): 全部
- 收件人
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
在 “威胁防护状态 ”页上,“导出” 导出 按钮可用。
按系统重写查看数据,按传递位置查看图表细分
在 “按系统覆盖的视图数据 ”和 “按传递位置视图划分的图表明细 ”中,图表中显示了以下替代原因信息:
- 垃圾邮件文件夹未启用
- SecOps 邮箱:有关详细信息,请参阅 配置向用户传递第三方网络钓鱼模拟以及向 SecOps 邮箱发送未经筛选的消息。
在图表下方的详细信息表中,提供了以下信息:
- Date
- 主题
- 发件人
- Recipients
- 系统重写
- 发件人 IP
- 标记:有关用户标记的详细信息,请参阅 用户标记。
如果单击 “筛选器”,则可使用以下筛选器:
- 日期 (UTC) "开始"菜单日期 和 结束日期
- 原因
- 本地跳过
- IP 允许
- Exchange 邮件流规则 (传输规则)
- 组织允许的发件人
- 组织允许的域
- 未启用 ZAP
- 用户保险箱发件人
- 用户保险箱域
- 网络钓鱼模拟:有关详细信息,请参阅 配置向用户传递第三方网络钓鱼模拟以及向 SecOps 邮箱发送未经筛选的消息。
- 第三方筛选器
- 传递位置: 未启用垃圾邮件文件夹 或 SecOps 邮箱。
- 方向:
- 全部
- 入境
- 出站
- 标记: 所有 或指定的用户标记 (包括优先级帐户) 。 有关用户标记的详细信息,请参阅 用户标记。
- 域: 全部 或 已接受的域。
- 策略类型:
- 全部
- 反恶意软件
- 保险箱附件*
- 防网络钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
- 策略名称 (详细信息表视图仅): 全部
- 收件人
*仅Defender for Office 365
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
在 “威胁防护状态 ”页上,“导出” 导出 按钮可用。
顶级恶意软件报告
顶部恶意软件 报告显示 EOP 中反恶意软件保护检测到的各种恶意软件。
若要在Microsoft 365 Defender门户中查看报表,请转到 “报 > 表电子邮件”&协作 > 电子邮件&协作报表。 在 “电子邮件&协作报告 ”页上,找到 “热门恶意软件” ,然后单击 “查看详细信息”。 若要直接转到报表,请打开 https://security.microsoft.com/reports/TopMalware。
将鼠标悬停在饼图中的楔子上时,可以看到一种恶意软件的名称,以及检测到有多少消息具有该恶意软件。
在 “顶部恶意软件”报表 页上,将显示饼图的较大版本。 图表下方的详细信息表显示了以下信息:
- 主要恶意软件
- Count
如果单击 “筛选器”,则可以指定日期范围 "开始"菜单日期 和 结束日期。
在 “顶部恶意软件 ”页上,“创建计划” 创建计划 和 导出 按钮可用。
顶级发件人和收件人报告
EOP 和 Defender for Office 365 中都提供了 顶级发件人和收件人 报表;但是,报表包含不同的数据。 例如,EOP 客户可以查看有关顶级恶意软件、垃圾邮件和网络钓鱼 (欺骗) 收件人的信息,但不能查看通过模拟保护检测到的保险箱附件或网络钓鱼检测到的恶意软件信息。
顶级发件人和收件人 显示组织中的热门邮件发件人,以及 EOP 检测到的邮件和Defender for Office 365保护功能的顶级收件人。 默认情况下,报表显示上周的数据,但数据可用于过去 90 天。
若要在Microsoft 365 Defender门户https://security.microsoft.com中查看报表,请转到 “报 > 表电子邮件”&协作 > 电子邮件&协作报表。 在 “电子邮件&协作报表 ”页上,找到 “热门发件人和收件人”报 表,然后单击 “查看详细信息”。 若要直接转到报表,请打开以下 URL 之一:
- Defender for Office 365:https://security.microsoft.com/reports/TopSenderRecipientsATP
- EOP: https://security.microsoft.com/reports/TopSenderRecipient
将鼠标悬停在饼图中的楔子上时,可以看到发件人或收件人的邮件数。
在 “顶部发件人和收件人 ”页上,将显示饼图的较大版本。 可使用以下图表:
- 显示顶级邮件发件人的数据 (这是默认视图)
- 显示顶级邮件收件人的数据
- 显示顶级垃圾邮件收件人的数据
- 显示 EOP) (顶级恶意软件收件人的数据
- 显示顶级网络钓鱼收件人的数据
- 显示 MDO) (顶级恶意软件收件人的数据
- 显示 MDO) (顶级网络钓鱼收件人的数据
数据会根据所选内容进行更改。
将鼠标悬停在饼图中的楔子上时,可以看到该特定发件人或收件人的消息计数。
下图的详细信息表显示发送方或收件人以及基于所选视图的消息计数。
可以通过单击“筛选器”并选择 "开始"菜单日期 和 结束日期 来筛选图表和详细信息表。 用户还可以按用户标记进行筛选。
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
在 “顶部发件人和收件人 ”页上,“导出” 导出 按钮可用。
URL 保护报告
URL 保护报告 仅在Microsoft Defender for Office 365中可用。 有关详细信息,请参阅 URL 保护报告。
用户报告的消息报告
重要
若要使 用户报告的消息 报告正常工作,必须为Microsoft 365环境 启用审核日志记录。 通常是由在 Exchange Online 中分配为审核日志的角色执行。 有关详细信息,请参阅打开或关闭Microsoft 365审核日志搜索。
用户报告的消息 报表显示有关用户通过使用报表邮件 加载项或 报表网络钓鱼加载项报告为垃圾邮件、网络钓鱼尝试或好邮件的电子邮件的信息。
若要在Microsoft 365 Defender门户中查看报表,请转到 “报 > 表电子邮件”&协作 > 电子邮件&协作报表。 在 “电子邮件&协作报告 ”页上,找到 用户报告的消息 ,然后单击 “查看详细信息”。 若要直接转到报表,请打开 https://security.microsoft.com/reports/userSubmissionReport。 若要转到 Microsoft 365 Defender门户中的管理员提交,请单击 “转到提交”。
可以通过单击“ 筛选器 ”并在浮出控件中选择一个或多个显示的以下值来筛选图表和详细信息表:
- 报告日期:"开始"菜单时间 和 结束时间
- 报告者
- 电子邮件主题
- 消息报告 ID
- 网络消息 ID
- Sender
- 报告原因
- 不是垃圾
- 网络钓鱼
- 垃圾邮件
- 网络钓鱼模拟: 是 或 否
配置完筛选器后,单击“ 应用”、“ 取消”或 “清除”筛选器。
若要对条目进行分组,请单击“ 组 ”,然后从下拉列表中选择以下值之一:
- 无
- 原因
- Sender
- 报告者
- 重新扫描结果
- 网络钓鱼模拟
下图的详细信息表显示了以下信息:
- 电子邮件主题
- 报告者
- 报告日期
- Sender
- 报告原因
- 重新扫描结果
- 标记:有关用户标记的详细信息,请参阅 用户标记。
若要将消息提交给 Microsoft 进行分析,请从表中选择消息条目,单击 “提交到 Microsoft 进行分析 ”,然后从下拉列表中选择以下值之一:
- 报表干净
- 报表网络钓鱼
- 报告恶意软件
- 报告垃圾邮件'
- 触发调查 (Defender for Office 365)
在 “用户报告的消息 ”页上,“导出” 导出 按钮可用。
查看这些报表需要哪些权限?
若要查看和使用本文中所述的报表,需要成为Microsoft 365 Defender门户中以下角色组之一的成员:
- 组织管理
- 安全管理员
- 安全信息读取者
- 全局读取者
有关详细信息,请参阅 Microsoft 365 Defender 门户中的权限。
注意:将用户添加到Microsoft 365 管理中心中相应的Azure Active Directory角色,为用户提供Microsoft 365 Defender门户中所需的权限 以及 Microsoft 365中其他功能的权限。 有关详细信息,请参阅关于管理员角色。
如果报表未显示数据,该怎么办?
如果未在报表中看到数据,请检查正在使用的筛选器,并仔细检查策略是否已正确设置。 若要了解详细信息,请参阅 “防范威胁”。
计划报表
在特定报表的主页上,单击
创建计划。“创建计划报表”向导随即打开。 在 “名称计划报 表”页上,查看或自定义 “名称” 值,然后单击 “下一步”。
在 “设置首选项 ”页上,配置以下设置:
- 频率:选择以下值之一:
- 每周 (默认)
- 每月
- "开始"菜单日期:开始生成报表的时间。 默认值为当前。
- 到期日期:报表生成结束时。 默认值为从今天起的一年。
完成后,单击“下一步”。
- 频率:选择以下值之一:
在 “收件人” 页上,为报表选择收件人。 默认值是电子邮件地址,但可以添加其他地址。
完成后,单击“下一步”。
在 “审阅 ”页上,查看所选内容。 可以单击相应部分中的 “返回 ”按钮或 “编辑 ”链接进行更改。
完成后,请单击“提交”。
托管的现有计划报表
若要管理已创建的计划报表,请执行以下步骤:
在Microsoft 365 Defender门户中https://security.microsoft.com,转到 “报>表”展开 电子邮件&协作>选择 “管理计划”。
若要直接转到“ 管理计划” 页,请使用 https://security.microsoft.com/ManageSubscription。
在 “管理计划 ”页上,为每个计划的报表显示以下信息:
- 计划开始日期
- 计划名称
- 报告类型
- Frequency
- 上次发送时间
查找要修改的现有计划报表。
选择计划报表后,请在打开的详细信息浮出控件中执行以下任何操作:
编辑名称:单击此按钮,更改浮出控件中显示的报表的名称,然后单击“ 保存”。
删除计划:单击此按钮,阅读显示 (以前的报表将不再可用于下载) ,然后单击 “保存”。
计划详细信息 部分:单击 “编辑首选项 ”以更改以下设置:
- 频率: 每周 或 每月
- 开始日期
- 有效期
完成后,单击“保存”。
“收件人” 部分:单击 “编辑收件人 ”以添加或删除计划的报表的收件人。 完成后,单击“ 保存”
完成后,单击“关闭”。
请求报告
在特定报表的主页上,单击
请求报告。随即打开 “创建按需报表 ”向导。 在 “按需名称”报表页上 ,查看或自定义 “名称” 值,然后单击 “下一步”。
在 “设置首选项”页上 ,查看或配置以下设置:
- "开始"菜单日期:开始生成报表的时间。 默认值为一个月前。
- 到期日期:报表生成结束时。 默认值为当前。
完成后,单击“下一步”。
在 “收件人” 页上,为报表选择收件人。 默认值是电子邮件地址,但可以添加其他地址。
完成后,单击“下一步”。
在 “审阅 ”页上,查看所选内容。 可以单击相应部分中的 “返回 ”按钮或 “编辑 ”链接进行更改。
完成后,请单击“提交”。
成功创建报表后,将转到 “新建按需报表创建 ”页,可在其中单击 “创建其他报 表”或 “完成”。
报表也可在报表 下载 页上使用,如下一部分所述。
下载报表
在Microsoft 365 Defender门户中https://security.microsoft.com,转到 “报>表”展开 电子邮件&协作>选择 “报表”进行下载。
若要直接转到 “报表”下载 页,请使用 https://security.microsoft.com/ReportsForDownload。
在 “下载报告 ”页上,会显示每个可用报表的以下信息:
- 开始日期
- 名称
- 报告类型
- 上次发送时间
- 方向
查找并选择要下载的报表。
导出报表
在特定报表的主页上,单击“ 如果 该链接) 可用,则导出 (。 将显示导 出条件 浮出控件,可在其中配置以下设置:
- 选择要导出的视图:选择以下值之一:
- 摘要:数据可用于过去 90 天。
- 详细信息:数据可用于过去 30 天。
- 日期 (UTC):"开始"菜单日期 和 结束日期。
配置完筛选器后,单击“ 导出”。 在打开的对话框中,可以选择打开文件、保存文件或记住所选内容。
每个导出.csv文件限制为 150,000 行。 如果数据包含超过 150,000 行,则会创建多个.csv文件。
相关主题
Microsoft 365 Defender门户中的智能报表和见解