Get-MailDetailATPReport
Этот командлет доступен только в облачной службе.
Используйте командлет Get-MailDetailATPReport для получения сведений об обнаружении Exchange Online Protection и Microsoft Defender для Office 365 в облачной организации за последние 10 дней.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
Get-MailDetailATPReport
[-DataSource <String>]
[-Direction <MultiValuedProperty>]
[-Domain <MultiValuedProperty>]
[-EndDate <DateTime>]
[-EventType <MultiValuedProperty>]
[-MalwareName <MultiValuedProperty>]
[-MessageId <MultiValuedProperty>]
[-MessageTraceId <MultiValuedProperty>]
[-Page <Int32>]
[-PageSize <Int32>]
[-ProbeTag <String>]
[-RecipientAddress <MultiValuedProperty>]
[-SenderAddress <MultiValuedProperty>]
[-StartDate <DateTime>]
[<CommonParameters>] Описание
Безопасные вложения — это функция в Microsoft Defender для Office 365, которая открывает вложения электронной почты в специальной среде низкоуровневой оболочки для обнаружения вредоносных действий.
Безопасные ссылки — это функция в Microsoft Defender для Office 365, которая проверяет ссылки в сообщениях электронной почты на наличие вредоносных веб-сайтов. Когда пользователь выбирает ссылку в сообщении, URL-адрес временно перезаписывается и сверяется со списком известных вредоносных веб-сайтов. "Безопасные ссылки" включает функцию отчетов о трассировке URL-адреса, которая помогает определить пользователя, прошедшего по ссылке на вредоносный веб-сайт.
Командлет возвращает следующие сведения за указанный отчетный период:
- Дата
- ИД сообщения
- Идентификатор трассировки сообщений
- Домен
- Subject
- Размер сообщения
- Направление: значения входящего, исходящего или неизвестного. Неизвестно означает, что сообщения не были обработаны стеком фильтрации. Другими словами, сообщения были удалены на краю, прежде чем они попали в наш фильтрующий стек, поэтому мы не можем определить направление для них.
- Адрес отправителя
- Адрес получателя
- Тип события
- Уровень массовой жалобы
- Тип вердикта
- Действие
- Имя файла
- Имя вредоносной программы
Этот командлет ограничен 10 000 результатами. При достижении этого предела можно использовать доступные параметры для фильтрации выходных данных.
Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.
Примеры
Пример 1
Get-MailDetailATPReport -StartDate 7/22/2018 -EndDate 7/31/2018В этом примере возвращаются действия за последние 10 дней в июле 2018 г. (Примечание. Клиенты с Defender для Office 365 подписками смогут получать данные за 30 дней.)
Параметры
-DataSource
{{ Fill DataSource Description }}
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-Direction
Параметр Direction фильтрует результаты по входящим или исходящим сообщениям. Допустимые значения:
- Входящих
- Исходящий
- IntraOrg
Вы можете указать несколько значений, разделив их запятыми.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-Domain
Параметр Domain фильтрует результаты по обслуживаемому домену в облачной организации. Можно указать несколько значений доменов, разделяя их запятыми, или значение All.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | True |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-EndDate
Параметр EndDate указывает дату окончания из диапазона дат.
Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Вы можете ввести только дату. Если ввести дату, заключите значение в кавычки ("), например 01.09.2018 г.
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-EventType
Параметр EventType фильтрует отчет по типу события. Допустимые значения:
- Расширенный фильтр
- Подсистема защиты от вредоносных программ
- Кампания
- Отключение файла
- Репутация отключения файла
- Репутация файла
- Сопоставление отпечатков
- Общий фильтр
- Олицетворение фирменной символики
- Олицетворение домена
- Олицетворение пользователя
- Олицетворение на основе аналитики почтовых ящиков
- Передано сообщение
- Обнаружение с помощью смешанного анализа
- Спуфинг DMARC
- Спуфинг внешнего домена
- Спуфинг внутри организации
- Отключение URL-адресов
- Репутация отключения URL-адресов
- Репутация вредоносного URL-адреса
Примечание. Некоторые значения соответствуют функциям, доступным только в Defender для Office 365 (только план 1 и план 2 или только план 2).
Update Если значения содержат пробелы или иным образом требуют кавычек, используйте следующий синтаксис: "Value1","Value2",..."ValueN".
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-MalwareName
Параметр MalwareName фильтрует результаты по полезным данным вредоносных программ. Допустимые значения:
- Excel
- EXE
- Вспышки
- Другие
- PowerPoint
- URL-адрес
Вы можете указать несколько значений, разделив их запятыми.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-MessageId
Параметр MessageId фильтрует результаты по полю темы Message-ID сообщения. Это значение еще зовется идентификатором клиента. Формат Message-ID зависит от сервера обмена сообщениями, с которого было отправлено сообщение. Значение должно быть уникальным для каждого сообщения. Но не все серверы обмена сообщениями создают значения для параметра Message-ID одинаковым способом. Обязательно включите полную строку идентификатора сообщения (которая может включать угловые скобки) и заключите значение в кавычки (например, "d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com").
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-MessageTraceId
Параметр MessageTraceId фильтрует результаты по значению идентификатора трассировки сообщения. Это значение GUID создается для каждого сообщения, обрабатываемого системой (например, c20e0f7a-f06b-41df-fe33-08d9da155ac1).
Вы можете указать несколько значений, разделив их запятыми.
Значение MessageTraceId также доступно в выходных данных следующих командлетов:
- Get-MailDetailDlpPolicyReport
- Get-MailDetailEncryptionReport
- Get-MailDetailTransportRuleReport
- Get-MessageTrace
- Get-MessageTraceDetail
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-Page
Параметр Page указывает номер страницы результатов, которую необходимо просмотреть. Допустимое значение для этого параметра — целое число от 1 до 1000. Значение по умолчанию равно 1.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-PageSize
Параметр PageSize указывает максимальное число записей на странице. Допустимое значение для этого параметра — целое число от 1 до 5000. Значение параметра по умолчанию — 1000.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-ProbeTag
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-RecipientAddress
Параметр RecipientAddress фильтрует результаты по адресу электронной почты получателя. Вы можете указать несколько значений, разделив их запятыми.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-SenderAddress
Параметр SenderAddress фильтрует результаты по адресу электронной почты отправителя. Вы можете указать несколько значений, разделив их запятыми.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |
-StartDate
Параметр StartDate указывает дату начала из диапазона дат.
Используйте формат короткой даты, определенный в настройках региональных параметров на компьютере, на котором выполняется команда. Например, если компьютер настроен на использование формата короткой даты мм / дд / гггг, введите 09/01/2018, чтобы указать 1 сентября 2018 года. Допускается ввод только даты или даты и времени. Если вы вводите дату и время суток, заключите значение в кавычки ("), например 01.09.2018.
| Type: | DateTime |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Online, Exchange Online Protection |