Anzeigen von E-Mail-Sicherheitsberichten im Microsoft Defender-Portal
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
In allen Microsoft 365-Organisationen sind verschiedene Berichte verfügbar, die Ihnen helfen, zu sehen, wie E-Mail-Sicherheitsfeatures Ihre organization schützen. Wenn Sie über die erforderlichen Berechtigungen verfügen, können Sie diese Berichte wie in diesem Artikel beschrieben anzeigen und herunterladen.
Die Berichte sind im Microsoft Defender-Portal unter https://security.microsoft.com auf der Seite berichte für die Email & Zusammenarbeit unter Berichte>Email & Zusammenarbeit>Email & Berichte zur Zusammenarbeit verfügbar. Oder verwenden Sie , um direkt zur Seite Email & Zusammenarbeitsberichte zu wechselnhttps://security.microsoft.com/emailandcollabreport.
Zusammenfassungsinformationen für jeden Bericht sind auf der Seite verfügbar. Identifizieren Sie den Bericht, den Sie anzeigen möchten, und wählen Sie dann Details für diesen Bericht anzeigen aus.
Im weiteren Verlauf dieses Artikels werden die Berichte beschrieben, die ausschließlich für Defender for Office 365 gelten.
Hinweis
Einige der Berichte auf der Seite Email & Berichte zur Zusammenarbeit sind exklusiv für Microsoft Defender for Office 365. Informationen zu diesen Berichten finden Sie unter Anzeigen Defender for Office 365 Berichte im Microsoft Defender-Portal.
Berichte, die sich auf den Nachrichtenfluss beziehen, befinden sich jetzt im Exchange Admin Center. Weitere Informationen zu diesen Berichten finden Sie unter Nachrichtenflussberichte im neuen Exchange Admin Center.
Einen Link zu diesen Berichten finden Sie im Defender-Portal unter Berichte>Email & Zusammenarbeit>Email & Berichte> für die ZusammenarbeitExchange-Nachrichtenflussberichte, über die Sie zu gelangenhttps://admin.exchange.microsoft.com/#/reports/mailflowreportsmain.
Email Änderungen des Sicherheitsberichts im Microsoft Defender-Portal
Die Exchange Online Protection (EOP) und Microsoft Defender for Office 365 Berichte im Microsoft Defender-Portal, die ersetzt, verschoben oder veraltet wurden, werden in der folgenden Tabelle beschrieben.
Veralteter Bericht und Cmdlets | Neuer Bericht und Neue Cmdlets | Nachrichtencenter-ID | Datum |
---|---|---|---|
URL-Spur Get-URLTrace |
URL-Schutzbericht Get-SafeLinksAggregateReport Get-SafeLinksDetailReport |
MC239999 | Juni 2021 |
Bericht "Gesendete und empfangene E-Mails" Get-MailTrafficReport Get-MailDetailReport |
Threat Protection-Statusbericht Mailflow-status-Bericht Get-MailTrafficATPReport Get-MailDetailATPReport Get-MailFlowStatusReport |
MC236025 | Juni 2021 |
Weiterleitungsbericht keine Cmdlets |
Bericht über automatisch weitergeleitete Nachrichten im EAC keine Cmdlets |
MC250533 | Juni 2021 |
Bericht zu Dateitypen sicherer Anlagen Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport |
Threat Protection-status-Bericht: Anzeigen von Daten nach Email > Malware Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250532 | Juni 2021 |
Meldungsdispositionsbericht "Sichere Anlagen" Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport |
Threat Protection-status-Bericht: Anzeigen von Daten nach Email > Malware Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250531 | Juni 2021 |
Im E-Mail-Bericht erkannte Schadsoftware Get-MailTrafficReport Get-MailDetailMalwareReport |
Threat Protection-status-Bericht: Anzeigen von Daten nach Email > Malware Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250530 | Juni 2021 |
Bericht zur Spamerkennung Get-MailTrafficReport Get-MailDetailSpamReport |
Threat Protection-status-Bericht: Anzeigen von Daten nach Email > Spam Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250529 | Oktober 2021 |
Get-AdvancedThreatProtectionDocumentReport Get-AdvancedThreatProtectionDocumentDetail |
Get-ContentMalwareMdoAggregateReport Get-ContentMalwareMdoDetailReport |
MC343433 | Mai 2022 |
Exchange-Transportregelbericht Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport |
Exchange-Transportregelbericht im Exchange-Verwaltungskonsole Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport |
MC316157 | April 2022 |
Get-MailTrafficTopReport |
Top-Absender- und Empfängerbericht Get-MailTrafficSummaryReport Hinweis: Es gibt keinen Ersatz für die Verschlüsselungsberichtsfunktionen in Get-MailTrafficTopReport. |
MC315742 | April 2022 |
Bericht "Kompromittierte Benutzer"
Der Bericht Kompromittierte Benutzer zeigt die Anzahl der Benutzerkonten an, die innerhalb der letzten 7 Tage als verdächtig oder eingeschränkt gekennzeichnet wurden. Konten in einem dieser Zustände sind problematisch oder sogar kompromittiert. Bei häufiger Verwendung können Sie den Bericht verwenden, um Spitzen und sogar Trends in verdächtigen oder eingeschränkten Konten zu erkennen. Weitere Informationen zu kompromittierten Benutzern finden Sie unter Reagieren auf ein kompromittiertes E-Mail-Konto.
In der Aggregatansicht werden Daten für die letzten 90 Tage und in der Detailansicht Daten für die letzten 30 Tage angezeigt.
Suchen Sie auf der Seite Email & Berichte zur Zusammenarbeit unter https://security.microsoft.com/emailandcollabreportnach Kompromittierte Benutzer, und wählen Sie dann Details anzeigen aus. Oder verwenden Sie https://security.microsoft.com/reports/CompromisedUsers, um direkt zum Bericht zu wechseln.
Auf der Seite Kompromittierte Benutzer zeigt das Diagramm die folgenden Informationen für den angegebenen Datumsbereich an:
- Eingeschränkt: Das Benutzerkonto wurde aufgrund von stark verdächtigen Mustern für das Senden von E-Mails eingeschränkt.
- Verdächtig: Das Benutzerkonto hat verdächtige E-Mails gesendet und besteht die Gefahr, dass das Senden von E-Mails eingeschränkt wird.
Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen:
- Erstellungszeit
- Benutzer-ID
- Aktion
- Tags: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Wählen Sie Filter aus, um den Bericht und die Detailtabelle zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC):Startdatum und Enddatum.
- Aktivität: Eingeschränkt oder verdächtig
- Tag: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Prioritätskonto aus. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Auf der Seite Kompromittierte Benutzer sind die Aktionen Zeitplan erstellen, Bericht anfordern und Exportieren verfügbar.
Exchange-Transportregelbericht
Hinweis
Der Exchange-Transportregelbericht ist jetzt im EAC verfügbar. Weitere Informationen finden Sie unter Exchange-Transportregelbericht im neuen EAC.
Weiterleitungsbericht
Hinweis
Dieser Bericht ist jetzt im EAC verfügbar. Weitere Informationen finden Sie unter Bericht über automatisch weitergeleitete Nachrichten im neuen EAC.
Mailflow-status-Bericht
Der Bericht "Mailflow status" ist ein intelligenter Bericht, der Informationen zu eingehenden und ausgehenden E-Mails, Spamerkennungen, Schadsoftware, als "gut" identifizierten E-Mails und Informationen zu zulässigen oder blockierten E-Mails am Edge anzeigt. Dies ist der einzige Bericht, der Edgeschutzinformationen enthält. Der Bericht zeigt, wie viele E-Mails blockiert sind, bevor sie den Dienst zur Prüfung durch Exchange Online Protection (EOP) oder Defender für Microsoft 365 verwenden.
Tipp
Wenn eine Nachricht an fünf Empfänger gesendet wird, werden sie als fünf verschiedene Nachrichten und nicht als eine Nachricht gezählt.
Suchen Sie auf der Seite Email & Berichte zur Zusammenarbeit unter https://security.microsoft.com/emailandcollabreportnach Mailflow status Zusammenfassung, und wählen Sie dann Details anzeigen aus. Oder verwenden Sie https://security.microsoft.com/reports/mailflowStatusReport, um direkt zum Bericht zu wechseln.
Die verfügbaren Ansichten im Mailflow-status-Bericht werden in den folgenden Unterabschnitten beschrieben.
Typansicht für den Mailflow-status-Bericht
Auf der Berichtsseite Mailflow status ist standardmäßig die Registerkarte Typ ausgewählt. Das Diagramm zeigt die folgenden Informationen für den angegebenen Datumsbereich:
- Schadsoftware: Email, die von verschiedenen Filtern als Schadsoftware blockiert wird.
- Total
- Gute E-Mails: Email, die nicht als Spam eingestuft werden oder die durch Benutzer- oder Organisationsrichtlinien zulässig sind.
- Phishing-E-Mail: Email, die von verschiedenen Filtern als Phishing blockiert wird.
- Spam: Email, die von verschiedenen Filtern als Spam blockiert wird.
- Edge-Schutz: Email, die vor der Untersuchung durch EOP oder Defender for Office 365 am Rand/Umkreis abgelehnt wird.
- Regelnachrichten: Email Nachrichten, die durch Nachrichtenflussregeln (auch als Transportregeln bezeichnet) unter Quarantäne gesetzt wurden.
- Verhinderung von Datenverlust: Email Nachrichten, die durch Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) unter Quarantäne gesetzt wurden.
Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen:
- Richtung
- Typ
- 24 Stunden
- 3 Tage
- 7 Tage
- 15 Tage
- 30 Tage
Wählen Sie Filter aus, um den Bericht und die Detailtabelle zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC):Startdatum und Enddatum.
- E-Mail-Richtung: Wählen Sie Eingehend, Ausgehend und Organisationsintern aus.
-
Typ: Wählen Sie mindestens einen der folgenden Werte aus:
- Gute Post
- Schadsoftware
- Spam
- Edge-Schutz
- Regelmeldungen
- Phishing-E-Mail
- Verhinderung von Datenverlust
- Domäne: Wählen Sie Alle oder eine akzeptierte Domäne aus.
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Wählen Sie auf der Registerkarte Typ die Option Kategorie auswählen aus, um weitere Informationen anzuzeigen:
- Phishing-E-Mail: Diese Auswahl führt Sie zu View data by Email > Phish and Chart breakdown by Detection Technology in the Threat Protection status report.
- Schadsoftware in E-Mails: Diese Auswahl führt Sie zu Anzeigen von Daten nach Email > Schadsoftware und Diagrammaufschlüsselung nach Erkennungstechnologie im Bericht Threat Protection status.
- Spamerkennungen: Diese Auswahl führt Sie zu Anzeigen von Daten nach Email > Spam und Diagrammaufschlüsselung nach Erkennungstechnologie im Bericht Threat Protection status.
Auf der Registerkarte Typ sind die Aktionen Zeitplan erstellen und Exportieren verfügbar.
Richtungsansicht für den Mailflow-status-Bericht
Auf der Registerkarte Richtung zeigt das Diagramm die folgenden Informationen für den angegebenen Datumsbereich an:
- Eingehend
- Organisationsintern
- Ausgehend
Wählen Sie Filter aus, um den Bericht und die Detailtabelle zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
Datum (UTC):Startdatum und Enddatum.
Hinweis
Um Daten für ein bestimmtes Datum anzuzeigen, verwenden Sie den Tag danach. Um beispielsweise Daten vom 10. Januar anzuzeigen, verwenden Sie den 11. Januar im Filter. Die heutigen Daten stehen morgen für die Filterung zur Verfügung.
E-Mail-Richtung: Wählen Sie Eingehend, Ausgehend und Organisationsintern aus.
Typ: Wählen Sie mindestens einen der folgenden Werte aus:
- Gute Post
- Schadsoftware
- Spam
- Edge-Schutz
- Regelmeldungen
- Phishing-E-Mail
- Verhinderung von Datenverlust: Email Nachrichten, die durch Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) unter Quarantäne gesetzt wurden.
Domäne: Wählen Sie Alle oder eine akzeptierte Domäne aus.
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Wählen Sie auf der Registerkarte Richtung die Option Kategorie auswählen aus, um weitere Informationen anzuzeigen:
- Phishing-E-Mail: Diese Auswahl führt Sie zu View data by Email > Phish and Chart breakdown by Detection Technology in the Threat Protection status report.
- Schadsoftware in E-Mails: Diese Auswahl führt Sie zu Anzeigen von Daten nach Email > Schadsoftware und Diagrammaufschlüsselung nach Erkennungstechnologie im Bericht Threat Protection status.
- Spamerkennungen: Diese Auswahl führt Sie zu Anzeigen von Daten nach Email > Spam und Diagrammaufschlüsselung nach Erkennungstechnologie im Bericht Threat Protection status.
Auf der Registerkarte Richtung sind die Aktionen Zeitplan erstellen und Exportieren verfügbar.
Mailflowansicht für den Mailflow-status-Bericht
Auf der Registerkarte Mailflow wird gezeigt, wie die E-Mail-Bedrohungsschutzfunktionen von Microsoft eingehende und ausgehende E-Mails in Ihrem organization filtern. In dieser Ansicht wird ein horizontales Flussdiagramm (als Sankey-Diagramm bezeichnet) verwendet, um Details zur Gesamtzahl der E-Mails und zur Auswirkung von Bedrohungsschutzfeatures auf diese Anzahl bereitzustellen.
Die Aggregatansicht und die Detailtabellenansicht ermöglichen eine Filterung von 90 Tagen.
Die Informationen im Diagramm werden von EOP und Defender for Office 365 Technologien farbcodiert.
Das Diagramm ist in die folgenden horizontalen Bänder unterteilt:
- Gesamt-E-Mail-Band : Dieser Wert wird immer zuerst angezeigt.
-
Edgeblock und verarbeitetes Band:
- Edgeblock: Nachrichten, die am Edge gefiltert und als Edgeschutz identifiziert wurden.
- Verarbeitet: Nachrichten, die vom Filterstapel verarbeitet wurden.
- Ergebnisband:
- Block zur Verhinderung von Datenverlust
- Regelblock: Nachrichten, die durch Exchange-Nachrichtenflussregeln (Transportregeln) unter Quarantäne gesetzt wurden.
- Malware-Block: Nachrichten, die als Schadsoftware identifiziert wurden.*
- Phishingblock: Nachrichten, die als Phishing identifiziert wurden.*
- Spamblock: Nachrichten, die als Spam identifiziert wurden.*
- Identitätswechselblock: Nachrichten, die als Benutzeridentitätswechsel oder Domänenidentitätswechsel in Defender for Office 365 erkannt wurden.*
- Detonationsblock: Nachrichten, die während der Datei- oder URL-Detonation von Richtlinien für sichere Anlagen oder Richtlinien für sichere Links in Defender for Office 365 erkannt wurden.*
- ZAP entfernt: Nachrichten, die durch automatische Löschung (Zero-Hour Auto Purge, ZAP) entfernt wurden.*
- Übermittelt: Nachrichten, die aufgrund einer Zulassung an Benutzer übermittelt wurden.*
Wenn Sie im Diagramm auf ein horizontales Band zeigen, wird die Anzahl der zugehörigen Nachrichten angezeigt.
* Wenn Sie dieses Element auswählen, wird das Diagramm erweitert, um weitere Details anzuzeigen. Eine Beschreibung der einzelnen Elemente in den erweiterten Knoten finden Sie unter Erkennungstechnologien.
Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen:
- Datum (UTC)
- E-Mails gesamt
- Edge gefiltert
- Regelmeldungen
- Antischadsoftware-Engine, sichere Anlagen, regelgefiltert
- DMARC-Identitätswechsel, Spoof, Phish gefiltert
- Detonationserkennung
- Antispam gefiltert
- ZAP entfernt
- Nachrichten, bei denen keine Bedrohungen erkannt wurden
Wählen Sie eine Zeile in der Detailtabelle aus, um eine weitere Aufschlüsselung der E-Mail-Anzahl im daraufhin geöffneten Details-Flyout anzuzeigen.
Wählen Sie Filter aus, um den Bericht und die Detailtabelle zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC)Startdatum und Enddatum.
- E-Mail-Richtung: Wählen Sie Eingehend, Ausgehend und Organisationsintern aus.
- Domäne: Wählen Sie Alle oder eine akzeptierte Domäne aus.
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Wählen Sie auf der Registerkarte Mailflowdie Option Trends anzeigen aus, um Trenddiagramme im daraufhin geöffneten Flyout "Nachrichtenflusstrends" anzuzeigen.
Auf der Registerkarte Nachrichtenfluss ist die Aktion Exportieren verfügbar.
Bericht zur Erkennung von Schadsoftware
Hinweis
Dieser Bericht ist veraltet. Die gleichen Informationen sind im Bericht Threat Protection status verfügbar.
E-Mail-Latenzbericht
Der E-Mail-Latenzbericht in Defender for Office 365 enthält Informationen zur E-Mail-Zustellungs- und Detonationswartezeit in Ihrem organization. Weitere Informationen finden Sie unter E-Mail-Latenzbericht.
Aktivitätenbericht nach der Übermittlung
Der Bericht zu Aktivitäten nach der Übermittlung ist nur in Organisationen mit Microsoft Defender for Office 365 Plan 2 verfügbar. Weitere Informationen zum Bericht finden Sie unter Aktivitätenbericht nach der Übermittlung.
Spamerkennungsbericht
Hinweis
Dieser Bericht ist veraltet. Die gleichen Informationen sind im Bericht Threat Protection status verfügbar.
Bericht zu Spooferkennungen
Der Bericht spoof detections (Spooferkennungen ) enthält Informationen zu Nachrichten, die aufgrund von Spoofing blockiert oder zugelassen wurden. Weitere Informationen zum Spoofing finden Sie unter Anti-Spoofing-Schutz in EOP.
Die Aggregat- und Detailansichten des Berichts ermöglichen eine Filterung von 90 Tagen.
Hinweis
Die neuesten verfügbaren Daten im Bericht sind 3 bis 4 Tage alt.
Suchen Sie auf der Seite Email & Berichte zur Zusammenarbeit unter https://security.microsoft.com/emailandcollabreportnach Spooferkennungen, und wählen Sie dann Details anzeigen aus. Oder verwenden Sie https://security.microsoft.com/reports/SpoofMailReport, um direkt zum Bericht zu wechseln.
Das Diagramm zeigt die folgenden Informationen:
- Bestehen
- Fehler
- SoftPass
- Keine
- Other
Zeigen Sie auf einen Tag (Datenpunkt) im Diagramm, um zu sehen, wie viele gefälschte Nachrichten erkannt wurden und warum.
Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen:
Date
Spoofter Benutzer
Senden der Infrastruktur
Spoof-Typ
Ergebnis
Ergebniscode
SPF
DKIM
DMARC
Nachrichtenanzahl
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Verkleineren Sie in Ihrem Webbrowser.
Weitere Informationen zu zusammengesetzten Authentifizierungsergebniscodes finden Sie unter Antispam-Nachrichtenheader in Microsoft 365.
Wählen Sie Filter aus, um den Bericht und die Detailtabelle zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC)Startdatum und Enddatum
-
Ergebnis:
- Bestehen
- Fehler
- SoftPass
- Keine
- Other
- Spooftyp: Intern und Extern
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Auf der Seite Spoof-E-Mail-Bericht sind die Aktionen Zeitplan erstellen, Bericht anfordern und Exportieren verfügbar.
Übermittlungsbericht
Der Bericht Übermittlungen enthält Informationen zu Elementen, die Administratoren microsoft in den letzten 30 Tagen zur Analyse gemeldet haben. Weitere Informationen zu Administratorübermittlungen finden Sie unter Use Admin Submission to submit suspected spam, phish, URLs, and files to Microsoft.For more information about admin submissions, see Use Admin Submission to submit suspected spam, phish, URLs, and files to Microsoft.
Suchen Sie auf der Seite Email & Berichte zur Zusammenarbeit unter https://security.microsoft.com/emailandcollabreportnach Übermittlungen, und wählen Sie dann Details anzeigen aus. Oder verwenden Sie https://security.microsoft.com/adminSubmissionReport, um direkt zum Bericht zu wechseln.
Um direkt zur Seite Übermittlungen im Defender-Portal zu wechseln, wählen Sie Zu Übermittlungen wechseln aus.
Das Diagramm zeigt die folgenden Informationen:
- Ausstehend
- Abgeschlossen
Die Detailtabelle unter dem Diagramm zeigt die gleichen Informationen und enthält die gleichen verfügbaren Aktionen wie die Registerkarte E-Mails auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission?viewid=email:
- Anpassen von Spalten
- Gruppe
- An Microsoft zur Analyse übermitteln
Weitere Informationen finden Sie unter Anzeigen von E-Mail-Administratorübermittlungen an Microsoft.
Wählen Sie Filter aus, um den Bericht und die Detailtabelle zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Übermitteltes Datum: Startdatum und Enddatum
- Übermittlungs-ID
- Netzwerknachrichten-ID
- Sender
- Empfänger
- Übermittlungsname
- Übermittelt von
-
Grund für die Übermittlung:
- Kein Junk-E-Mail
- Erscheint sauber
- Erscheint verdächtig
- Phishing
- Schadsoftware
- Spam
-
Status erneut scannen:
- Ausstehend
- Abgeschlossen
- Tags: Alle oder ein oder mehrere Benutzertags.
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Auf der Seite Übermittlungen ist die Aktion Exportieren verfügbar.
Threat Protection-Statusbericht
Der Bericht Threat Protection status ist sowohl in EOP als auch in Defender for Office 365 verfügbar. Die Berichte enthalten jedoch unterschiedliche Daten. EOP-Kunden können beispielsweise Informationen zu schadsoftware anzeigen, die in E-Mails erkannt wurde, aber keine Informationen zu schädlichen Dateien, die von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams erkannt wurden.
Der Bericht enthält die Anzahl der E-Mail-Nachrichten mit schädlichen Inhalten. Zum Beispiel:
- Dateien oder Websiteadressen (URLs), die von der Anti-Malware-Engine blockiert wurden.
- Dateien oder Nachrichten, die von der automatischen Null-Stunden-Bereinigung (ZAP) betroffen sind
- Dateien oder Nachrichten, die von Defender for Office 365 Features blockiert wurden: Sichere Links, sichere Anlagen und Schutz vor Identitätswechseln in Antiphishingrichtlinien.
Sie können die Informationen in diesem Bericht verwenden, um Trends zu identifizieren oder zu bestimmen, ob Ihre Organisationsrichtlinien angepasst werden müssen.
Tipp
Wenn eine Nachricht an fünf Empfänger gesendet wird, werden sie als fünf verschiedene Nachrichten und nicht als eine Nachricht gezählt.
Suchen Sie auf der Seite Email & Berichte zur Zusammenarbeit unter https://security.microsoft.com/emailandcollabreportnach Übermittlungen, und wählen Sie dann Details anzeigen aus. Oder verwenden Sie eine der folgenden URLs, um direkt zum Bericht zu wechseln:
- Defender for Office 365:https://security.microsoft.com/reports/TPSAggregateReportATP
- EOP: https://security.microsoft.com/reports/TPSAggregateReport
Das Diagramm zeigt standardmäßig die Daten der letzten sieben Tage an. Wählen Sie auf der Seite Threat Protection status Berichtdie Option Filter aus, um einen Datumsbereich von 90 Tagen auszuwählen (Testabonnements können auf 30 Tage beschränkt sein). Die Detailtabelle ermöglicht das Filtern für 30 Tage.
Die verfügbaren Ansichten werden in den folgenden Unterabschnitten beschrieben.
Anzeigen von Daten nach Übersicht
In der Ansicht Daten nach Übersicht anzeigen werden die folgenden Erkennungsinformationen im Diagramm angezeigt:
- Email Schadsoftware
- Email Phish
- Email Spam
- Schadsoftware für Inhalte (nur Defender for Office 365: Dateien, die von integriertem Virenschutz in SharePoint Online, OneDrive und Microsoft Teams erkannt wurden, und sichere Anlagen für SharePoint, OneDrive und Microsoft Teams)
Unter dem Diagramm ist keine Detailtabelle verfügbar.
Wählen Sie Filter aus, um den Bericht zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC)Startdatum und Enddatum.
- Erkennung: Die gleichen Werte wie im Diagramm.
- Geschützt durch: MDO (Defender for Office 365) und EOP.
- Tag: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Prioritätskonto aus. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
- Richtung: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Eingehend, Ausgehend oder Organisationsintern aus.
- Domäne: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann eine akzeptierte Domäne aus.
-
Richtlinientyp: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann einen der folgenden Werte aus:
- Antischadsoftware
- Sichere Anlagen
- Anti-Phish
- Antispam
- Nachrichtenflussregel (Transportregel)
- Sonstige
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Anzeigen von Daten nach Email > Phish und Diagrammaufschlüsselung nach Erkennungstechnologie
Hinweis
Im Mai 2021 wurden Phishingerkennungen in E-Mails aktualisiert, um Nachrichtenanlagen einzuschließen , die Phishing-URLs enthalten. Diese Änderung könnte einen Teil des Erkennungsvolumens aus der Ansicht Daten anzeigen nach Email > Schadsoftware in die Ansicht Daten nach Email > Phish anzeigen verschieben. Mit anderen Worten, Nachrichtenanlagen mit Phishing-URLs, die traditionell als Schadsoftware identifiziert wurden, können jetzt stattdessen als Phishing identifiziert werden.
In der Ansicht Daten nach Email > Aufschlüsselung von Phish und Diagramm nach Erkennungstechnologie anzeigen werden die folgenden Informationen im Diagramm angezeigt:
- Erweiterter Filter: Phishingsignale basierend auf maschinellem Lernen.
- Kampagne*: Als Teil einer Kampagne identifizierte Nachrichten.
- Datei-Detonation*: Sichere Anlagen haben während der Detonationsanalyse eine schädliche Anlage erkannt.
- Zuverlässigkeit *der Dateienttonung: Dateianlagen, die zuvor von Detonationen sicherer Anlagen in anderen Microsoft 365-Organisationen erkannt wurden.
- Dateireputation: Die Nachricht enthält eine Datei, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
- Fingerabdruckabgleich: Die Nachricht ähnelt stark einer zuvor erkannten schädlichen Nachricht.
- Allgemeiner Filter: Phishingsignale basierend auf Analystenregeln.
- Identitätswechselmarke: Absenderidentität bekannter Marken.
- Identitätswechseldomäne*: Identitätswechsel von Absenderdomänen, die Sie besitzen oder für den Schutz in Antiphishingrichtlinien angegeben haben.
- Identitätswechselbenutzer*: Identitätswechsel von geschützten Absendern, die Sie in Antiphishingrichtlinien angegeben oder durch Postfachintelligenz gelernt haben.
- Identitätswechsel der Postfachintelligenz*: Identitätswechselerkennungen von Postfachintelligenz in Antiphishingrichtlinien.
- Erkennung gemischter Analysen: Mehrere Filter haben zur Bewertung der Nachricht beigetragen.
- Spoof-DMARC: Fehler bei der Nachricht bei der DMARC-Authentifizierung.
- Spoof externe Domäne: Absender-E-Mail-Adressspoofing mithilfe einer Domäne, die für Ihre organization extern ist.
- Spoof innerhalb der Organisation: Spoofing der Absender-E-Mail-Adresse mithilfe einer Domäne, die für Ihre organization intern ist.
- URL-Detonation*: Sichere Links haben während der Detonationsanalyse eine schädliche URL in der Nachricht erkannt.
- URL-Detonationsreputation*: URLs, die zuvor von Safe Links-Detonationen in anderen Microsoft 365-Organisationen erkannt wurden.
- Url mit schädlichem Ruf: Die Nachricht enthält eine URL, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
*Nur Defender for Office 365
In der Detailtabelle unterhalb des Diagramms sind die folgenden Informationen verfügbar:
- Date
- Subject
- Sender
- Empfänger
- Erkennungstechnologie: Die gleichen Erkennungstechnologiewerte aus dem Diagramm.
- Zustellungsstatus
- Sender-IP
- Tags: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Verkleineren Sie in Ihrem Webbrowser.
Wählen Sie Filter aus, um den Bericht zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC): Startdatum und Enddatum
- Erkennung: Die gleichen Werte wie im Diagramm.
- Prioritätskontoschutz: Ja und Nein. Weitere Informationen finden Sie unter Konfigurieren und Überprüfen des Schutzes von Prioritätskonten in Microsoft Defender for Office 365.
- Auswertung: Ja oder Nein.
- Geschützt durch: MDO (Defender for Office 365) und EOP
- Richtung: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Eingehend, Ausgehend oder Organisationsintern aus.
- Tag: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Prioritätskonto aus. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
- Domäne: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann eine akzeptierte Domäne aus.
-
Richtlinientyp: Wählen Sie Alle oder einen der folgenden Werte aus:
- Antischadsoftware
- Sichere Anlagen
- Anti-Phish
- Antispam
- Nachrichtenflussregel (Transportregel)
- Sonstige
- Richtlinienname (nur Detailtabellenansicht):Wählen Sie Alle oder eine bestimmte Richtlinie aus.
- Empfänger (durch Kommas getrennt)
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Wenn Sie einen Eintrag aus der Detailtabelle auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält zusammengefasste Informationen, die auch auf der Entitätsseite Email in Defender for Office 365 für die Nachricht verfügbar sind. Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Der Email Zusammenfassungsbereich.
In Defender für Microsoft 365 sind die folgenden Aktionen oben im Email Zusammenfassungsbereich für den Bericht Threat Protection status verfügbar:
- E-Mail-Entität öffnen: Weitere Informationen finden Sie auf der Seite Email Entität in Microsoft Defender for Office 365.
- Aktion ausführen: Weitere Informationen finden Sie unter Bedrohungssuche: Der Assistent zum Ausführen von Aktionen.
Auf der Seite Threat Protection status sind die Aktionen Zeitplan erstellen, Bericht anfordern und Exportieren verfügbar.
Anzeigen von Daten nach Email > Spam- und Diagrammaufschlüsselung nach Erkennungstechnologie
In der Ansicht Daten anzeigen nach Email > Spam- und Diagrammaufschlüsselung nach Erkennungstechnologie werden die folgenden Informationen im Diagramm angezeigt:
- Erweiterter Filter: Phishingsignale basierend auf maschinellem Lernen.
- Massen: Die Massenbeschwerdeebene (Bulk Complaint Level, BCL) der Nachricht überschreitet den definierten Schwellenwert für Spam.
- Domänenreputation: Die Nachricht stammt aus einer Domäne, die zuvor in anderen Microsoft 365-Organisationen als Spam gesendet wurde.
- Fingerabdruckabgleich: Die Nachricht ähnelt stark einer zuvor erkannten schädlichen Nachricht.
- Allgemeiner Filter
- IP-Zuverlässigkeit: Die Nachricht stammt von einer Quelle, die zuvor in anderen Microsoft 365-Organisationen als Spamversand identifiziert wurde.
- Erkennung gemischter Analysen: Mehrere Filter haben zur Bewertung der Nachricht beigetragen.
- Url mit schädlichem Ruf: Die Nachricht enthält eine URL, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
In der Detailtabelle unterhalb des Diagramms sind die folgenden Informationen verfügbar:
- Date
- Subject
- Sender
- Empfänger
- Erkennungstechnologie: Die gleichen Erkennungstechnologiewerte aus dem Diagramm.
- Zustellungsstatus
- Sender-IP
- Tags: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Verkleineren Sie in Ihrem Webbrowser.
Wählen Sie Filter aus, um den Bericht zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
Datum (UTC)Startdatum und Enddatum
Erkennung: Die gleichen Werte wie im Diagramm.
Massenbeschwerdeebene: Wenn der ErkennungswertMassen ausgewählt ist, steht der Schieberegler zum Filtern des Berichts nach dem ausgewählten BCL-Bereich zur Verfügung. Sie können diese Informationen verwenden, um den BCL-Schwellenwert in Antispamrichtlinien zu bestätigen oder anzupassen, um mehr oder weniger Massen-E-Mails in Ihre organization zuzulassen.
Wenn der ErkennungswertMassen nicht ausgewählt ist, ist der Schieberegler abgeblendet, und Massenerkennungen sind nicht im Bericht enthalten.
Prioritätskontoschutz: Ja und Nein. Weitere Informationen finden Sie unter Konfigurieren und Überprüfen des Schutzes von Prioritätskonten in Microsoft Defender for Office 365.
Richtung: Alle oder geben Sie eingehend, ausgehend und organisationsintern ein.
Richtung: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Eingehend, Ausgehend oder Organisationsintern aus.
Tag: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Prioritätskonto aus. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Domäne: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann eine akzeptierte Domäne aus.
Richtlinientyp: Wählen Sie Alle oder einen der folgenden Werte aus:
- Antischadsoftware
- Sichere Anlagen
- Anti-Phish
- Antispam
- Nachrichtenflussregel (Transportregel)
- Sonstige
Richtlinienname (nur Detailtabellenansicht):Wählen Sie Alle oder eine bestimmte Richtlinie aus.
Empfänger
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Wenn Sie einen Eintrag aus der Detailtabelle auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält zusammengefasste Informationen, die auch auf der Entitätsseite Email in Defender for Office 365 für die Nachricht verfügbar sind. Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Der Email Zusammenfassungsbereich.
In Defender für Microsoft 365 sind die folgenden Aktionen oben im Email Zusammenfassungsbereich für den Bericht Threat Protection status verfügbar:
- E-Mail-Entität öffnen: Weitere Informationen finden Sie auf der Seite Email Entität in Microsoft Defender for Office 365.
- Aktion ausführen: Weitere Informationen finden Sie unter Bedrohungssuche: Der Assistent zum Ausführen von Aktionen.
Auf der Seite Threat Protection status sind die Aktionen Zeitplan erstellen, Bericht anfordern und Exportieren verfügbar.
Anzeigen von Daten nach Email > Malware und Diagrammaufschlüsselung nach Erkennungstechnologie
Hinweis
Im Mai 2021 wurden Schadsoftwareerkennungen in E-Mails aktualisiert, um schädliche URLs in Nachrichtenanlagen einzuschließen. Diese Änderung könnte einen Teil des Erkennungsvolumens aus der Ansicht Daten anzeigen nach Email > Phish in die Ansicht Daten anzeigen nach Email > Schadsoftware verschieben. Mit anderen Worten, schädliche URLs in Nachrichtenanlagen, die traditionell als Phishing identifiziert wurden, können jetzt stattdessen als Schadsoftware identifiziert werden.
In der Ansicht Daten anzeigen nach Email > Aufschlüsselung von Schadsoftware und Diagramm nach Erkennungstechnologie werden die folgenden Informationen im Diagramm angezeigt:
- Datei-Detonation*: Sichere Anlagen haben während der Detonationsanalyse eine schädliche Anlage erkannt.
- Zuverlässigkeit *der Dateienttonung: Dateianlagen, die zuvor von Detonationen sicherer Anlagen in anderen Microsoft 365-Organisationen erkannt wurden.
- Dateireputation: Die Nachricht enthält eine Datei, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
- Anti-Malware-Engine*: Erkennung von Antischadsoftware.
- URL-Reputation als schädlich eingestuft
- URL-Detonation*: Sichere Links haben während der Detonationsanalyse eine schädliche URL in der Nachricht erkannt.
- URL-Detonationsreputation*: URLs, die zuvor von Safe Links-Detonationen in anderen Microsoft 365-Organisationen erkannt wurden.
- Kampagne*: Als Teil einer Kampagne identifizierte Nachrichten.
*Nur Defender for Office 365
In der Detailtabelle unterhalb des Diagramms sind die folgenden Informationen verfügbar:
Date
Subject
Sender
Empfänger
Erkennungstechnologie: Die gleichen Erkennungstechnologiewerte aus dem Diagramm.
Übermittlungsstatus
Sender-IP
Tags: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Verkleineren Sie in Ihrem Webbrowser.
Wählen Sie Filter aus, um den Bericht zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC)Startdatum und Enddatum
- Erkennung: Die gleichen Werte wie im Diagramm.
- Prioritätskontoschutz: Ja und Nein. Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Prioritätskonten in Microsoft Defender for Office 365.
- Auswertung: Ja oder Nein.
- Geschützt durch: MDO (Defender for Office 365) und EOP
- Richtung: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Eingehend, Ausgehend oder Organisationsintern aus.
- Tag: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Prioritätskonto aus. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
- Domäne: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann eine akzeptierte Domäne aus.
-
Richtlinientyp: Wählen Sie Alle oder einen der folgenden Werte aus:
- Antischadsoftware
- Sichere Anlagen
- Anti-Phish
- Antispam
- Nachrichtenflussregel (Transportregel)
- Sonstige
- Richtlinienname (nur Detailtabellenansicht):Wählen Sie Alle oder eine bestimmte Richtlinie aus.
- Empfänger (durch Kommas getrennt)
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Wenn Sie einen Eintrag aus der Detailtabelle auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält zusammengefasste Informationen, die auch auf der Entitätsseite Email in Defender for Office 365 für die Nachricht verfügbar sind. Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Der Email Zusammenfassungsbereich.
In Defender für Microsoft 365 sind die folgenden Aktionen oben im Email Zusammenfassungsbereich für den Bericht Threat Protection status verfügbar:
- E-Mail-Entität öffnen: Weitere Informationen finden Sie auf der Seite Email Entität in Microsoft Defender for Office 365.
- Aktion ausführen: Weitere Informationen finden Sie unter Bedrohungssuche: Der Assistent zum Ausführen von Aktionen.
Auf der Seite Threat Protection status sind die Aktionen Zeitplan erstellen, Bericht anfordern und Exportieren verfügbar.
Diagrammaufschlüsselung nach Richtlinientyp
In den Ansichten Daten nach Email > Phish anzeigen, Daten nach Email > Spam anzeigen oder Daten nach Email > Schadsoftware anzeigen, werden auf Diagrammaufschlüsselung nach Richtlinientyp die folgenden Informationen im Diagramm angezeigt:
- Antischadsoftware
- Sichere Anlagen*
- Anti-Phish
- Antispam
- Nachrichtenflussregel (auch als Transportregel bezeichnet)
- Sonstige
In der Detailtabelle unterhalb des Diagramms sind die folgenden Informationen verfügbar:
Date
Subject
Sender
Empfänger
Erkennungstechnologie: Die gleichen Erkennungstechnologiewerte aus dem Diagramm.
Zustellungsstatus
Sender-IP
Tags: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Verkleineren Sie in Ihrem Webbrowser.
Wählen Sie Filter aus, um den Bericht zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC)Startdatum und Enddatum
- Erkennung: Erkennungstechnologiewerte, wie zuvor in diesem Artikel und unter Erkennungstechnologien beschrieben.
- Prioritätskontoschutz: Ja und Nein. Weitere Informationen finden Sie unter Konfigurieren und Überprüfen von Prioritätskonten in Microsoft Defender for Office 365.
- Auswertung: Ja oder Nein.
- Geschützt durch: MDO (Defender for Office 365) und EOP
- Richtung: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Eingehend, Ausgehend oder Organisationsintern aus.
- Tag: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Prioritätskonto aus. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
- Domäne: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann eine akzeptierte Domäne aus.
-
Richtlinientyp: Wählen Sie Alle oder einen der folgenden Werte aus:
- Antischadsoftware
- Sichere Anlagen
- Anti-Phish
- Antispam
- Nachrichtenflussregel (Transportregel)
- Sonstige
- Richtlinienname (nur Detailtabellenansicht):Wählen Sie Alle oder eine bestimmte Richtlinie aus.
- Empfänger (durch Kommas getrennt)
*Nur Defender for Office 365
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Wenn Sie einen Eintrag aus der Detailtabelle auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält zusammengefasste Informationen, die auch auf der Entitätsseite Email in Defender for Office 365 für die Nachricht verfügbar sind. Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Der Email Zusammenfassungsbereich.
In Defender für Microsoft 365 sind die folgenden Aktionen oben im Email Zusammenfassungsbereich für den Bericht Threat Protection status verfügbar:
- E-Mail-Entität öffnen: Weitere Informationen finden Sie auf der Seite Email Entität in Microsoft Defender for Office 365.
- Aktion ausführen: Weitere Informationen finden Sie unter Bedrohungssuche: Der Assistent zum Ausführen von Aktionen.
Auf der Seite Threat Protection status sind die Aktionen Zeitplan erstellen, Bericht anfordern und Exportieren verfügbar.
Diagrammaufschlüsselung nach Status
Wählen Sie in den Ansichten Daten nach Email > Phish anzeigen, Daten nach Email > Spam anzeigen oder Daten nach Email > Schadsoftware anzeigen aus, und wählen Sie Diagrammaufschlüsselung nach Übermittlung aus, status die folgenden Informationen im Diagramm angezeigt werden:
- Gehostetes Postfach: Posteingang
- Gehostetes Postfach: Junk
- Gehostetes Postfach: Benutzerdefinierter Ordner
- Gehostetes Postfach: Gelöschte Elemente
- Weitergegeben
- Lokaler Server: Übermittelt
- Quarantäne
- Fehler bei der Übermittlung
- Abgeworfen
In der Detailtabelle unterhalb des Diagramms sind die folgenden Informationen verfügbar:
Date
Subject
Sender
Empfänger
Erkennungstechnologie: Die gleichen Erkennungstechnologiewerte aus dem Diagramm.
Zustellungsstatus
Sender-IP
Tags: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:
- Horizontales Scrollen in Ihrem Webbrowser.
- Schränken Sie die Breite der entsprechenden Spalten ein.
- Verkleineren Sie in Ihrem Webbrowser.
Wählen Sie Filter aus, um den Bericht zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC)Startdatum und Enddatum
- Erkennung: Erkennungstechnologiewerte, wie zuvor in diesem Artikel und unter Erkennungstechnologien beschrieben.
- Geschützt durch: MDO (Defender for Office 365) und EOP
- Richtung: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Eingehend, Ausgehend oder Organisationsintern aus.
- Tag: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Prioritätskonto aus. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
- Domäne: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann eine akzeptierte Domäne aus.
-
Richtlinientyp: Wählen Sie Alle oder einen der folgenden Werte aus:
- Antischadsoftware
- Sichere Anlagen
- Anti-Phish
- Antispam
- Nachrichtenflussregel (Transportregel)
- Sonstige
- Richtlinienname (nur Detailtabellenansicht):Wählen Sie Alle oder eine bestimmte Richtlinie aus.
- Empfänger (durch Kommas getrennt)
*Nur Defender for Office 365
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Wenn Sie einen Eintrag aus der Detailtabelle auswählen, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken, wird ein Flyout für E-Mail-Details geöffnet. Dieses Details-Flyout wird als Email Zusammenfassungsbereich bezeichnet und enthält zusammengefasste Informationen, die auch auf der Entitätsseite Email in Defender for Office 365 für die Nachricht verfügbar sind. Ausführliche Informationen zu den Informationen im Email Zusammenfassungsbereich finden Sie unter Der Email Zusammenfassungsbereich.
In Defender für Microsoft 365 sind die folgenden Aktionen oben im Email Zusammenfassungsbereich für den Bericht Threat Protection status verfügbar:
- E-Mail-Entität öffnen: Weitere Informationen finden Sie auf der Seite Email Entität in Microsoft Defender for Office 365.
- Aktion ausführen: Weitere Informationen finden Sie unter Bedrohungssuche: Der Assistent zum Ausführen von Aktionen.
Auf der Seite Threat Protection status sind die Aktionen Zeitplan erstellen, Bericht anfordern und Exportieren verfügbar.
Anzeigen von Daten nach Content > Malware
In der Ansicht Daten nach Schadsoftware > anzeigen werden im Diagramm für Microsoft Defender for Office 365 Organisationen die folgenden Informationen angezeigt:
- Anti-Malware-Engine: Schädliche Dateien, die in SharePoint, OneDrive und Microsoft Teams durch die integrierte Virenerkennung in Microsoft 365 erkannt wurden.
- MDO Detonation: Schädliche Dateien, die von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams erkannt wurden.
- Dateireputation: Die Nachricht enthält eine Datei, die zuvor in anderen Microsoft 365-Organisationen als böswillig identifiziert wurde.
In der Detailtabelle unterhalb des Diagramms sind die folgenden Informationen verfügbar:
- Date
- Dateiname der Anlage
- Arbeitslast
- Erkennungstechnologie: Die gleichen Erkennungstechnologiewerte aus dem Diagramm.
- Dateigröße
- Zuletzt geänderter Benutzer
Wählen Sie Filter aus, um den Bericht zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC)Startdatum und Enddatum.
- Erkennung: Die gleichen Werte wie im Diagramm.
- Workload: Teams, SharePoint und OneDrive
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Auf der Seite Bedrohungsschutz status ist die Aktion Exportieren verfügbar.
Anzeigen von Daten nach Systemüberschreibung und Diagrammaufschlüsselung nach Grund
In der Ansicht Daten nach Systemüberschreibung anzeigen und Diagrammaufschlüsselung nach Grund werden die folgenden Informationen zum Außerkraftsetzungsgrund im Diagramm angezeigt:
- Verhinderung von Datenverlust: Email Nachrichten, die durch Dlp-Richtlinien (Data Loss Prevention, Verhinderung von Datenverlust) unter Quarantäne gesetzt wurden.
- Exchange-Transportregel
- Exklusive Einstellung (Outlook)
- IP Zulassen
- Lokales Überspringen
- Von der Organisation zugelassene Domänen: Die Domäne wird in der Liste der zulässigen Domänen in einer Antispamrichtlinie angegeben.
- Von der Organisation zugelassene Absender: Der Absender wird in der Liste der zulässigen Absender in einer Antispamrichtlinie angegeben.
- Phishingsimulation: Weitere Informationen finden Sie unter Konfigurieren der Übermittlung von Phishingsimulationen von Drittanbietern an Benutzer und ungefilterte Nachrichten an SecOps-Postfächer.
- Liste der Absenderdomänen
- TABL : URL und Datei zulässig
- TABL – Datei zulässig
- TABL : Datei blockiert
- TABL – URL zulässig
- TABL – URL blockiert
- TABL-Absender-E-Mail-Adresse zulassen
- TABL Sender-E-Mail-Adressblock
- TABL-Spoofblock
- Filter von Drittanbietern
- Liste vertrauenswürdiger Kontakte – Absender im Adressbuch
- Adressliste für vertrauenswürdige Empfänger
- Liste der vertrauenswürdigen Empfängerdomänen
- Liste vertrauenswürdiger Absender (Outlook)
- Benutzersichere Domäne
- Benutzersicherer Absender
- ZAP nicht aktiviert
In der Detailtabelle unterhalb des Diagramms sind die folgenden Informationen verfügbar:
- Date
- Subject
- Sender
- Empfänger
- Systemüberschreibung
- Sender-IP
- Tags: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Wählen Sie Filter aus, um den Bericht zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC)Startdatum und Enddatum
- Ursache: Die gleichen Werte wie das Diagramm.
- Übermittlungsort: Junk-E-Mail-Ordner nicht aktiviert und SecOps-Postfach.
- Richtung: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Eingehend, Ausgehend oder Organisationsintern aus.
- Tag: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Prioritätskonto aus. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
- Domäne: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann eine akzeptierte Domäne aus.
-
Richtlinientyp: Wählen Sie Alle oder einen der folgenden Werte aus:
- Antischadsoftware
- Sichere Anlagen
- Anti-Phish
- Antispam
- Nachrichtenflussregel (Transportregel)
- Sonstige
- Richtlinienname (nur Detailtabellenansicht):Wählen Sie Alle oder eine bestimmte Richtlinie aus.
- Empfänger (durch Kommas getrennt)
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Auf der Seite Bedrohungsschutz status ist die Aktion Exportieren verfügbar.
Anzeigen von Daten nach Systemüberschreibung und Diagrammaufschlüsselung nach Übermittlungsort
In der Ansicht Daten nach Systemüberschreibung anzeigen und Diagrammaufschlüsselung nach Übermittlungsort werden die folgenden Informationen zum Außerkraftsetzungsgrund im Diagramm angezeigt:
- Junk-E-Mail-Ordner nicht aktiviert
- SecOps-Postfach: Weitere Informationen finden Sie unter Konfigurieren der Übermittlung von Phishingsimulationen von Drittanbietern an Benutzer und ungefilterte Nachrichten an SecOps-Postfächer.
In der Detailtabelle unterhalb des Diagramms sind die folgenden Informationen verfügbar:
- Date
- Subject
- Sender
- Empfänger
- Systemüberschreibung
- Sender-IP
- Tags: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Wählen Sie Filter aus, um den Bericht zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC)Startdatum und Enddatum
- Ursache: Dieselben Werte wie in Diagrammaufschlüsselung nach Richtlinientyp
- Übermittlungsort: Junk-E-Mail-Ordner nicht aktiviert und SecOps-Postfach.
- Richtung: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Eingehend, Ausgehend oder Organisationsintern aus.
- Tag: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Prioritätskonto aus. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
- Domäne: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann eine akzeptierte Domäne aus.
-
Richtlinientyp: Wählen Sie Alle oder einen der folgenden Werte aus:
- Antischadsoftware
- Sichere Anlagen
- Anti-Phish
- Antispam
- Nachrichtenflussregel (Transportregel)
- Sonstige
- Richtlinienname (nur Detailtabellenansicht):Wählen Sie Alle oder eine bestimmte Richtlinie aus.
- Empfänger (durch Kommas getrennt)
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Auf der Seite Bedrohungsschutz status ist die Aktion Exportieren verfügbar.
Top Malware-Bericht
Der Top-Malware-Bericht zeigt die verschiedenen Arten von Schadsoftware, die vom Anti-Malware-Schutz in EOP erkannt wurde.
Suchen Sie auf der Seite Email & Berichte zur Zusammenarbeit unter https://security.microsoft.com/emailandcollabreportnach Top Malware.
Zeigen Sie im Kreisdiagramm auf einen Keil, um den Namen der Schadsoftware und die Anzahl der Nachrichten anzuzeigen, die die Schadsoftware enthalten.
Wählen Sie Details anzeigen aus, um zur Seite Mit den häufigsten Schadsoftwareberichten zu gelangen. Oder verwenden Sie https://security.microsoft.com/reports/TopMalware, um direkt zum Bericht zu wechseln.
Auf der Seite Top malware report wird eine größere Version des Kreisdiagramms angezeigt. Die Detailtabelle unterhalb des Diagramms enthält die folgenden Informationen:
- Top Malware: Der Name der Malware
- Anzahl: Wie viele Nachrichten enthielt die Schadsoftware.
Wählen Sie Filter aus, um den Bericht zu ändern, indem Sie im geöffneten Flyout die Werte Startdatum und Enddatum auswählen.
Auf der Seite Top Malware sind die Aktionen Zeitplan erstellen und Exportieren verfügbar.
Berichte zu den wichtigsten Absendern und Empfängern
Der Bericht Wichtigste Absender und Empfänger ist sowohl in EOP als auch in Defender for Office 365 verfügbar. Die Berichte enthalten jedoch unterschiedliche Daten. EOP-Kunden können z. B. Informationen zu den häufigsten Empfängern von Schadsoftware, Spam und Phishing (Spoofing) anzeigen, aber keine Informationen über Schadsoftware, die von sicheren Anlagen oder Phishing erkannt wurde, die vom Identitätswechselschutz erkannt wurde.
Der Bericht Wichtigste Absender und Empfänger zeigt die 20 wichtigsten Nachrichtensender im organization sowie die 20 wichtigsten Empfänger für Nachrichten an, die von EOP erkannt wurden, und Defender for Office 365 Schutzfunktionen. Standardmäßig werden im Bericht Daten für die letzte Woche angezeigt, aber die Daten sind für die letzten 90 Tage verfügbar.
Suchen Sie auf der Seite Email & Berichte für die Zusammenarbeit unter https://security.microsoft.com/emailandcollabreportnach Den häufigsten Absendern und Empfängern.
Zeigen Sie im Kreisdiagramm auf einen Keil, um die Anzahl der Nachrichten für den Absender oder Empfänger anzuzeigen.
Wählen Sie Details anzeigen aus, um zur Seite Wichtigste Absender und Empfänger zu wechseln. Oder verwenden Sie eine der folgenden URLs, um direkt zum Bericht zu wechseln:
- Defender for Office 365:https://security.microsoft.com/reports/TopSenderRecipientsATP
- EOP: https://security.microsoft.com/reports/TopSenderRecipient
Auf der Seite Oberste Absender und Empfänger wird eine größere Version des Kreisdiagramms angezeigt. Die folgenden Diagramme sind verfügbar:
- Anzeigen von Daten für Die wichtigsten E-Mail-Absender (Standardansicht)
- Anzeigen von Daten für Die wichtigsten E-Mail-Empfänger
- Anzeigen von Daten für Die häufigsten Spamempfänger
- Anzeigen von Daten für Die häufigsten Schadsoftwareempfänger (EOP)
- Anzeigen von Daten für Die häufigsten Phishing-Empfänger
- Anzeigen von Daten für Empfänger der häufigsten Schadsoftware (MDO)
- Anzeigen von Daten für Die häufigsten Phish-Empfänger (MDO)
- Anzeigen von Daten für E-Mail-Absender der intra.org
- Anzeigen von Daten für E-Mail-Empfänger mit intra.org
- Anzeigen von Daten für Die häufigsten intra.org Spam-Empfänger
- Anzeigen von Daten für Empfänger von top intra.org Schadsoftware
- Anzeigen von Daten für Intra.org Phishing-Empfänger mit den höchsten intra.org
- Anzeigen von Daten für Intra.org Phishing-Empfänger (MDO)
- Anzeigen von Daten für Empfänger der häufigsten intra.org Schadsoftware (MDO)
Zeigen Sie im Kreisdiagramm auf einen Keil, um die Nachrichtenanzahl für diesen bestimmten Absender oder Empfänger anzuzeigen.
Für jedes Diagramm enthält die Detailtabelle unterhalb des Diagramms die folgenden Informationen:
- E-Mail-Adresse
- Item count
- Tags: Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Wählen Sie Filter aus, um den Bericht zu ändern, indem Sie einen oder mehrere der folgenden Werte im daraufhin geöffneten Flyout auswählen:
- Datum (UTC)Startdatum und Enddatum
- Tag: Behalten Sie den Wert Alle bei, oder entfernen Sie ihn, doppelklicken Sie in das leere Feld, und wählen Sie dann Prioritätskonto aus. Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
Wenn Sie die Konfiguration der Filter abgeschlossen haben, wählen Sie Anwenden, Abbrechen oder Filter löschen aus.
Auf der Seite Oberste Absender und Empfänger ist die Aktion Exportieren verfügbar.
URL-Schutzbericht
Der URL-Schutzbericht ist nur in Microsoft Defender for Office 365 verfügbar. Weitere Informationen finden Sie unter URL-Schutzbericht.
Bericht über vom Benutzer gemeldete Nachrichten
Wichtig
Damit der Bericht "Vom Benutzer gemeldete Nachrichten" ordnungsgemäß funktioniert, muss die Überwachungsprotokollierung in Ihrem Microsoft 365-organization aktiviert sein (standardmäßig aktiviert). Weitere Informationen finden Sie unter Aktivieren oder Deaktivieren der Überwachung.
Der Bericht "Vom Benutzer gemeldete Nachrichten " enthält Informationen zu E-Mail-Nachrichten, die Benutzer als Junk, Phishingversuche oder gute E-Mails gemeldet haben, indem sie die integrierte Schaltfläche Bericht in Outlook oder die Add-Ins Microsoft Report Message oder Report Phishing verwenden.
Suchen Sie auf der Seite Email & Berichte für die Zusammenarbeit unter https://security.microsoft.com/emailandcollabreportNach Benutzer gemeldete Nachrichten, und wählen Sie dann Details anzeigen aus. Oder verwenden Sie https://security.microsoft.com/reports/userSubmissionReport, um direkt zum Bericht zu wechseln.
Um direkt zur Registerkarte Benutzer gemeldet auf der Seite Übermittlungen im Defender-Portal zu wechseln, wählen Sie Zu Übermittlungen wechseln aus.
Das Diagramm zeigt die folgenden Informationen:
- Kein Junk-E-Mail
- Phishing
- Spam
Die Detailtabelle unterhalb des Diagramms zeigt die gleichen Informationen und aktionen, die auf der Registerkarte Vom Benutzer gemeldet auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmission?viewid=userverfügbar sind:
- Anpassen von Spalten
- Gruppe
- Filter
- Als markieren und benachrichtigen
- An Microsoft zur Analyse übermitteln
Weitere Informationen finden Sie unter Anzeigen von Benutzern gemeldeten Nachrichten an Microsoft und Admin Aktionen für vom Benutzer gemeldete Nachrichten.
Auf der Berichtsseite ist die Aktion Exportieren verfügbar.
Welche Berechtigungen sind erforderlich, um diese Berichte anzuzeigen?
Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die in diesem Artikel beschriebenen Berichte anzeigen und verwenden können. Sie haben folgende Optionen:
- Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell): Sicherheitsvorgänge/Sicherheitsdaten/Sicherheitsdatengrundlagen (lesen) oder Autorisierung und Einstellungen/Systemeinstellungen/Verwalten.
-
Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal: Mitgliedschaft in einer der folgenden Rollengruppen:
- Organisationsmanagement¹
- Sicherheitsadministrator
- Sicherheitsleseberechtigter
- Globaler Reader
- Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator²", "Sicherheitsadministrator", "Sicherheitsleseberechtigter" oder "Globaler Leser" in Microsoft Entra ID erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.
¹ Die Mitgliedschaft in der Rollengruppe "Organisationsverwaltung" oder "Globaler Administrator" ist erforderlich, um die Aktionen "Zeitplan erstellen" oder "Bericht anfordern" in Berichten verwenden zu können (sofern verfügbar).
Wichtig
² Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Was geschieht, wenn in den Berichten keine Daten angezeigt werden?
Wenn in den Berichten keine Daten angezeigt werden, überprüfen Sie die Berichtsfilter, und überprüfen Sie, ob Ihre Schutzrichtlinien so konfiguriert sind, dass Nachrichten erkannt und entsprechende Maßnahmen ergriffen werden. Weitere Informationen finden Sie in den folgenden Artikeln:
- Konfigurationsanalyse für Schutzrichtlinien in EOP und Microsoft Defender for Office 365
- Voreingestellte Sicherheitsrichtlinien in EOP und Microsoft Defender for Office 365
- Gewusst wie Spamfilter deaktivieren?
Herunterladen und Exportieren von Berichtsinformationen
Abhängig vom Bericht und der spezifischen Ansicht im Bericht ist möglicherweise eine oder mehrere der folgenden Aktionen auf der Standard Berichtsseite verfügbar, wie zuvor beschrieben:
Exportieren von Berichtsdaten
Tipp
- Die exportierten Daten werden von Filtern beeinflusst, die zum Zeitpunkt des Exports im Bericht konfiguriert sind.
- Wenn die exportierten Daten 15.000 Einträge überschreiten, werden die Daten in mehrere Dateien aufgeteilt.
Wählen Sie auf der Berichtsseite Exportieren aus.
Überprüfen und konfigurieren Sie im flyout Exportbedingungen , das geöffnet wird, die folgenden Einstellungen:
-
Wählen Sie eine Zu exportierende Ansicht aus: Wählen Sie einen der folgenden Werte aus:
- Zusammenfassung: Daten der letzten 90 Tage sind verfügbar. Dies ist der Standardwert.
- Details: Daten der letzten 30 Tage sind verfügbar. Ein Datumsbereich von einem Tag wird unterstützt.
-
Datum (UTC):
- Startdatum: Der Standardwert liegt drei Monate zurück.
- Enddatum: Der Standardwert ist heute.
Wenn Sie im Flyout Exportbedingungen fertig sind, wählen Sie Exportieren aus.
Die Schaltfläche Exportieren ändert sich in Exportieren... und eine Statusanzeige wird angezeigt.
-
Wählen Sie eine Zu exportierende Ansicht aus: Wählen Sie einen der folgenden Werte aus:
Im daraufhin geöffneten Dialogfeld Speichern unter werden der Standardname der .csv-Datei und der Downloadspeicherort (standardmäßig der lokale Ordner Downloads) angezeigt. Sie können diese Werte jedoch ändern und dann Speichern auswählen, um die exportierten Daten herunterzuladen.
Wenn ein Dialogfeld angezeigt wird, in dem security.microsoft.com mehrere Dateien herunterladen möchten, wählen Sie Zulassen aus.
Planen von wiederkehrenden Berichten
Um geplante Berichte zu erstellen, müssen Sie Mitglied der Rolle "Organisationsverwaltung" in Exchange Online oder der Rolle "Globaler Administrator*" in Microsoft Entra ID sein.
Wichtig
* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Wählen Sie auf der Berichtsseite Zeitplan erstellen aus, um den Assistenten für neue geplante Berichte zu starten.
Überprüfen oder passen Sie auf der Seite Name geplanter Bericht den Wert Name an, und wählen Sie dann Weiter aus.
Überprüfen oder konfigurieren Sie auf der Seite Einstellungen festlegen die folgenden Einstellungen:
-
Häufigkeit: Wählen Sie einen der folgenden Werte aus:
- Wöchentlich (Standard)
- Täglich (dieser Wert führt dazu, dass keine Daten in Diagrammen angezeigt werden)
- Monatlich
- Startdatum: Geben Sie das Datum ein, an dem die Erstellung des Berichts beginnt. Der Standardwert ist heute.
- Ablaufdatum: Geben Sie das Datum ein, an dem die Generierung des Berichts endet. Der Standardwert ist ein Jahr ab heute.
Wenn Sie auf der Seite Einstellungen festlegen fertig sind, wählen Sie Weiter aus.
-
Häufigkeit: Wählen Sie einen der folgenden Werte aus:
Konfigurieren Sie auf der Seite Filter auswählen die folgenden Einstellungen:
-
Richtung: Wählen Sie einen der folgenden Werte aus:
- Alle (Standard)
- Ausgehend
- Eingehend
- Absenderadresse
- Empfängeradresse
Wenn Sie auf der Seite Filter auswählen fertig sind, wählen Sie Weiter aus.
-
Richtung: Wählen Sie einen der folgenden Werte aus:
Wählen Sie auf der Seite Empfänger im Feld E-Mail senden an die Option Empfänger für den Bericht aus. Der Standardwert ist Ihre E-Mail-Adresse, aber Sie können andere hinzufügen, indem Sie einen der folgenden Schritte ausführen:
- Klicken Sie in das Feld, warten Sie, bis die Liste der Benutzer aufgelöst wurde, und wählen Sie dann den Benutzer aus der Liste unterhalb des Felds aus.
- Klicken Sie in das Feld, beginnen Sie mit der Eingabe eines Werts, und wählen Sie dann den Benutzer aus der Liste unterhalb des Felds aus.
Um einen Eintrag aus der Liste zu entfernen, wählen Sie neben dem Eintrag aus.
Wenn Sie auf der Seite Empfänger fertig sind, wählen Sie Weiter aus.
Überprüfen Sie auf der Seite Überprüfen Ihre Einstellungen. Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Sie können auch Zurück oder die spezifische Seite im Assistenten auswählen.
Wenn Sie auf der Seite Überprüfen fertig sind, wählen Sie Absenden aus.
Auf der Seite Neuer geplanter Bericht erstellt können Sie die Links auswählen, um den geplanten Bericht anzuzeigen oder einen anderen Bericht zu erstellen.
Wenn Sie auf der Seite Neuer geplanter Bericht erstellt fertig sind, wählen Sie Fertig aus.
Die Berichte werden basierend auf dem von Ihnen konfigurierten Zeitplan per E-Mail an die angegebenen Empfänger gesendet.
Der Geplante Berichtseintrag ist auf der Seite Verwaltete Zeitpläne verfügbar, wie im nächsten Unterabschnitt beschrieben.
Verwalten vorhandener geplanter Berichte
Nachdem Sie einen geplanten Bericht wie im vorherigen Abschnitt beschrieben erstellt haben, ist der Eintrag für den geplanten Bericht im Defender-Portal auf der Seite Zeitpläne verwalten verfügbar.
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Berichte>Email & Zusammenarbeit> die Option Zeitpläne verwalten aus. Oder verwenden Sie , um direkt zur Seite Zeitpläne verwalten zu wechseln https://security.microsoft.com/ManageSubscription.
Auf der Seite Zeitpläne verwalten werden die folgenden Informationen für jeden geplanten Berichtseintrag angezeigt:
- Startdatum planen
- Zeitplanname
- Berichttyp
- Frequency
- Zuletzt gesendet
Um den Listenabstand von normal in compact zu ändern, wählen Sie Listenabstand ändern in komprimieren oder normal und dann Liste komprimieren aus.
Verwenden Sie das Suchfeld , um nach einem vorhandenen geplanten Berichtseintrag zu suchen.
Führen Sie die folgenden Schritte aus, um die Einstellungen für den geplanten Bericht zu ändern:
Wählen Sie den geplanten Berichtseintrag aus, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen klicken.
Führen Sie im daraufhin geöffneten Details-Flyout einen der folgenden Schritte aus:
- Wählen Sie Namen bearbeiten aus, um den Namen des geplanten Berichts zu ändern.
- Wählen Sie den Link Bearbeiten im Abschnitt aus, um die entsprechenden Einstellungen zu ändern.
Die Einstellungen und Konfigurationsschritte sind identisch mit den unter Zeitplanbericht beschriebenen Schritten.
Verwenden Sie eine der folgenden Methoden, um einen geplanten Berichtseintrag zu löschen:
- Aktivieren Sie das Kontrollkästchen neben einem, mehreren oder allen geplanten Berichten, und aktivieren Sie dann die Aktion Löschen, die auf der Seite Standard angezeigt wird.
- Wählen Sie den geplanten Bericht aus, indem Sie an einer anderen Stelle in der Zeile als dem Kontrollkästchen klicken, und wählen Sie dann löschen im details-Flyout aus, das geöffnet wird.
Lesen Sie das daraufhin geöffnete Warnungsdialogfeld, und wählen Sie dann OK aus.
Zurück auf der Seite Zeitpläne verwalten wird der gelöschte geplante Berichtseintrag nicht mehr aufgeführt, und vorherige Berichte für den geplanten Bericht werden gelöscht und stehen nicht mehr zum Download zur Verfügung.
Anfordern von On-Demand-Berichten zum Download
Um Bedarfsgesteuerte Berichte zu erstellen, müssen Sie Mitglied der Rolle "Organisationsverwaltung" in Exchange Online oder der Rolle "Globaler Administrator*" in Microsoft Entra ID sein.
Wichtig
* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Wählen Sie auf der Berichtsseite Bericht anfordern aus, um den Assistenten für neue bedarfsgesteuerte Berichte zu starten.
Überprüfen oder passen Sie auf der Seite Name on-Demand-Bericht den Wert Name an, und wählen Sie dann Weiter aus.
Überprüfen oder konfigurieren Sie auf der Seite Einstellungen festlegen die folgenden Einstellungen:
- Startdatum: Geben Sie das Startdatum für die Berichtsdaten ein. Der Standardwert ist vor einem Monat.
- Ablaufdatum: Geben Sie das Enddatum für die Berichtsdaten ein. Der Standardwert ist heute.
Wenn Sie auf der Seite Name on-Demand-Bericht fertig sind, wählen Sie Weiter aus.
Wählen Sie auf der Seite Empfänger im Feld E-Mail senden an die Option Empfänger für den Bericht aus. Der Standardwert ist Ihre E-Mail-Adresse, aber Sie können andere hinzufügen, indem Sie einen der folgenden Schritte ausführen:
- Klicken Sie in das Feld, warten Sie, bis die Liste der Benutzer aufgelöst wurde, und wählen Sie dann den Benutzer aus der Liste unterhalb des Felds aus.
- Klicken Sie in das Feld, beginnen Sie mit der Eingabe eines Werts, und wählen Sie dann den Benutzer aus der Liste unterhalb des Felds aus.
Um einen Eintrag aus der Liste zu entfernen, wählen Sie neben dem Eintrag aus.
Wenn Sie auf der Seite Empfänger fertig sind, wählen Sie Weiter aus.
Überprüfen Sie auf der Seite Überprüfen Ihre Einstellungen. Sie können in jedem Abschnitt Bearbeiten auswählen, um die Einstellungen in diesem Abschnitt zu ändern. Sie können auch Zurück oder die spezifische Seite im Assistenten auswählen.
Wenn Sie auf der Seite Überprüfen fertig sind, wählen Sie Absenden aus.
Auf der Seite Neuer bedarfsgesteuerter Bericht erstellt können Sie den Link auswählen, um einen weiteren Bericht zu erstellen.
Wenn Sie auf der Seite Neuer On-Demand-Bericht erstellt fertig sind, wählen Sie Fertig aus.
Die Aufgabe zum Erstellen des Berichts (und schließlich der fertige Bericht) ist auf der Seite Berichte zum Herunterladen verfügbar, wie im nächsten Unterabschnitt beschrieben.
Herunterladen von Berichten
Zum Herunterladen von bedarfsgesteuerten Berichten müssen Sie Mitglied der Rolle "Organisationsverwaltung" in Exchange Online oder der Rolle "Globaler Administrator*" in Microsoft Entra ID sein.
Wichtig
* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Nachdem Sie einen bedarfsgesteuerten Bericht wie im vorherigen Abschnitt beschrieben angefordert haben, überprüfen Sie die status des Berichts und laden den Bericht schließlich auf der Seite Berichte zum Download im Defender-Portal herunter.
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Berichte>Email & Zusammenarbeit>die Option Berichte zum Download auswählen. Oder verwenden Sie https://security.microsoft.com/ReportsForDownload, um direkt zur Seite Berichte für den Download zu wechseln.
Auf der Seite Berichte zum Download werden die folgenden Informationen für jeden verfügbaren Bericht angezeigt:
- Anfangstermin
- Name
- Berichttyp
- Zuletzt gesendet
-
Status:
- Ausstehend: Der Bericht wird noch erstellt und kann noch nicht heruntergeladen werden.
- Vollständig – Bereit zum Download: Die Berichtsgenerierung ist abgeschlossen, und der Bericht kann heruntergeladen werden.
- Vollständig – Keine Ergebnisse gefunden: Die Berichtsgenerierung ist abgeschlossen, aber der Bericht enthält keine Daten, sodass Sie ihn nicht herunterladen können.
Um den Bericht herunterzuladen, aktivieren Sie das Kontrollkästchen als Nächstes im Startdatum des Berichts, und wählen Sie dann die angezeigte Aktion Bericht herunterladen aus.
Verwenden Sie das Suchfeld , um nach einem vorhandenen Bericht zu suchen.
Im daraufhin geöffneten Dialogfeld Speichern unter werden der Standardname der .csv-Datei und der Downloadspeicherort (standardmäßig der lokale Ordner Downloads) angezeigt. Sie können diese Werte jedoch ändern und dann Speichern auswählen, um den Bericht herunterzuladen.
Verwandte Artikel
Schutz vor Schadsoftware in EOP