Get-MailDetailATPReport
Dieses Cmdlet ist nur im cloudbasierten Dienst verfügbar.
Verwenden Sie das Cmdlet Get-MailDetailATPReport, um Details zu Exchange Online Protection und Microsoft Defender for Office 365 Erkennungen in Ihren cloudbasierten organization der letzten 10 Tage aufzulisten.
Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.
Syntax
Get-MailDetailATPReport
[-DataSource <String>]
[-Direction <MultiValuedProperty>]
[-Domain <MultiValuedProperty>]
[-EndDate <DateTime>]
[-EventType <MultiValuedProperty>]
[-MalwareName <MultiValuedProperty>]
[-MessageId <MultiValuedProperty>]
[-MessageTraceId <MultiValuedProperty>]
[-Page <Int32>]
[-PageSize <Int32>]
[-ProbeTag <String>]
[-RecipientAddress <MultiValuedProperty>]
[-SenderAddress <MultiValuedProperty>]
[-StartDate <DateTime>]
[<CommonParameters>]
Beschreibung
Sichere Anlagen ist ein Feature in Microsoft Defender for Office 365, das E-Mail-Anlagen in einer speziellen Hypervisorumgebung öffnet, um schädliche Aktivitäten zu erkennen.
Sichere Links sind ein Feature in Microsoft Defender for Office 365, das Links in E-Mail-Nachrichten überprüft, um festzustellen, ob sie zu schädlichen Websites führen. Wenn ein Benutzer in einer Nachricht auf einen Link klickt, wird die URL vorübergehend umgeschrieben und anhand einer Liste bekannter, schädlicher Websites überprüft. Sichere Links enthalten das Url-Ablaufverfolgungs-Berichterstellungsfeature, um festzustellen, wer auf eine schädliche Website geklickt hat.
Für den Zeitraum, den Sie für die Berichterstellung angeben, werden mit dem Cmdlet die folgenden Informationen zurückgegeben:
- Datum
- Nachrichten-ID
- Id der Nachrichtenablaufverfolgung
- Domäne
- Betreff
- Nachrichtengröße
- Richtung: Die Werte sind Eingehend, Ausgehend oder Unbekannt. Unbekannt bedeutet, dass die Nachrichten nicht vom Filterstapel verarbeitet wurden. Anders ausgedrückt: Die Nachrichten wurden am Rand abgelegt, bevor sie in unseren Filterstapel gelangt sind, sodass wir die Richtung für sie nicht ermitteln können.
- Absenderadresse
- Empfängeradresse
- Ereignistyp
- Massenbeschwerdeebene
- Bewertungstyp
- Aktion
- Dateiname
- Name der Schadsoftware
Dieses Cmdlet ist auf 10.000 Ergebnisse beschränkt. Wenn Sie diesen Grenzwert erreichen, können Sie die verfügbaren Parameter verwenden, um die Ausgabe zu filtern.
Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.
Beispiele
Beispiel 1
Get-MailDetailATPReport -StartDate 7/22/2018 -EndDate 7/31/2018
In diesem Beispiel werden die Aktionen für die letzten 10 Tage im Juli 2018 zurückgegeben. (Hinweis: Kunden mit Defender for Office 365-Abonnements können daten von bis zu 30 Tagen abrufen.)
Parameter
-DataSource
{{ Fill DataSource Description }}
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-Direction
Der Direction-Parameter filtert die Ergebnisse nach eingehenden oder ausgehenden Nachrichten. Gültige Werte sind:
- Eingehend
- Ausgehend
- IntraOrg
Es können mehrere Werte durch Kommata getrennt angegeben werden.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-Domain
Der Domain-Parameter filtert die Ergebnisse nach Absender- oder Empfängerdomäne. Sie können mehrere Domänenwerte durch Kommata getrennt oder den All-Wert angeben.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | True |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-EndDate
Der EndDate-Parameter gibt das Enddatum des Datumsbereichs an.
Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können nur das Datum eingeben. Wenn Sie das Datum eingeben, schließen Sie den Wert in Anführungszeichen ("), z. B. "01.09.2018".
Type: | DateTime |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-EventType
Der Parameter EventType filtert den Bericht nach Ereignistyp. Gültige Werte sind:
- Erweiterter Filter
- Antischadsoftware-Engine
- Kampagne
- Dateidetonation
- Reputation der Dateidetonation
- Datei-Reputation
- Fingerabdruckübereinstimmung
- Allgemeiner Filter
- Vorgetäuschte Marke
- Vorgetäuschte Domäne
- Vorgetäuschte Benutzeridentität
- Mailbox Intelligence-basierte Identitätsvortäuschung
- Nachricht übergeben
- Erkennung durch gemischte Analysen
- Spoof DMARC
- Spoofing externer Domäne
- Organisationsinternes Spoofing
- URL-Detonation
- Reputation der URL-Detonation
- URL-Reputation als schädlich eingestuft
Hinweis: Einige Werte entsprechen Features, die nur in Defender for Office 365 verfügbar sind (nur Plan 1 und Plan 2 oder Plan 2).
Mehrere Werte können durch Kommata getrennt eingegeben werden. Wenn die Werte Leerzeichen oder anderweitig erforderliche Anführungszeichen enthalten, verwenden Sie die folgende Syntax: "Value1","Value2",..."ValueN"
.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-MalwareName
Der MalwareName-Parameter filtert die Ergebnisse nach Nutzlast der Schadsoftware. Gültige Werte sind:
- Excel
- EXE
- Blitz
- Sonstige
- PowerPoint
- URL
Es können mehrere Werte durch Kommata getrennt angegeben werden.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-MessageId
Der MessageId-Parameter filtert die Ergebnisse nach derMessage-ID-Kopfzeile der Nachricht. Dieser Wert wird auch Client-ID genannt. Das Format der Message-ID hängt von dem Messagingserver ab, der die Nachricht gesendet hat. Der Wert muss für jede Nachricht eindeutig sein. Allerdings erstellen nicht alle Messagingserver Werte für die Message-ID auf dieselbe Weise. Achten Sie darauf, die vollständige Nachrichten-ID-Zeichenfolge (die spitze Klammern enthalten kann) einzuschließen und den Wert in Anführungszeichen (z. B. "d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com") einzuschließen.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-MessageTraceId
Der Parameter MessageTraceId filtert die Ergebnisse nach dem Wert der Ablaufverfolgungs-ID der Nachricht. Dieser GUID-Wert wird für jede Nachricht generiert, die vom System verarbeitet wird (z. B. c20e0f7a-f06b-41df-fe33-08d9da155ac1).
Es können mehrere Werte durch Kommata getrennt angegeben werden.
Der MessageTraceId-Wert ist auch in der Ausgabe der folgenden Cmdlets verfügbar:
- Get-MailDetailDlpPolicyReport
- Get-MailDetailEncryptionReport
- Get-MailDetailTransportRuleReport
- Get-MessageTrace
- Get-MessageTraceDetail
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-Page
Der Page-Parameter gibt die Seitenanzahl der anzuzeigenden Ergebnisse an. Gültige Eingabewerte für diesen Parameter sind ganze Zahlen zwischen 1 und 1000. Der Standardwert ist 1.
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-PageSize
Der PageSize-Parameter gibt die maximale Anzahl von Einträgen pro Seite an. Gültige Eingabewerte für diesen Parameter sind ganze Zahlen zwischen 1 und 5000. Der Standardwert ist 1000.
Type: | Int32 |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-ProbeTag
Dieser Parameter ist für die interne Verwendung durch Microsoft reserviert.
Type: | String |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-RecipientAddress
Der RecipientAddress-Parameter filtert die Ergebnisse nach der E-Mail-Adresse des Empfängers. Es können mehrere Werte durch Kommata getrennt angegeben werden.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-SenderAddress
Der SenderAddress-Parameter filtert die Ergebnisse nach der E-Mail-Adresse des Absenders. Es können mehrere Werte durch Kommata getrennt angegeben werden.
Type: | MultiValuedProperty |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |
-StartDate
Der StartDate-Parameter gibt das Startdatum und die Uhrzeit des Datumsbereichs an.
Verwenden Sie das unter "Regionale Einstellungen" definierte kurze Datumsformat für den Computer, auf dem der Befehl ausgeführt wird. Wenn auf dem Computer z. B. das kurze Datumsformat TT.MM.JJJJ konfiguriert ist, geben Sie "01.09.2018" ein, um als Datum den 1. September 2018 anzugeben. Sie können entweder nur das Datum oder das Datum und die Uhrzeit angeben. Wenn Sie Datum und Uhrzeit eingeben, setzen Sie den Wert in Anführungszeichen ("), z. B. "01.09.2018".
Type: | DateTime |
Position: | Named |
Default value: | None |
Required: | False |
Accept pipeline input: | False |
Accept wildcard characters: | False |
Applies to: | Exchange Online, Exchange Online Protection |