在Microsoft Defender门户中查看Defender for Office 365报表

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

例如,在具有 Microsoft Defender for Office 365 计划 1 或计划 2 (的组织中,Microsoft 365 E5或 Microsoft Business Premium) 提供了各种与安全相关的报告。 如果具有必要的权限,可以在Microsoft Defender门户中查看和下载这些报表。

Microsoft Defender门户中https://security.microsoft.com的“Email &协作报表”页上的“报表>Email &协作>Email &协作报表”中提供了这些报表。 或者,若要直接转到Email &协作报表页,请使用 https://security.microsoft.com/emailandcollabreport

页面上提供了每个报表的摘要信息。 确定要查看的报表,然后选择“查看该报表 的详细信息 ”。

本文的其余部分介绍Defender for Office 365独有的报表。

注意

Email不需要Defender for Office 365的安全报告,请参阅在 Microsoft Defender 门户中查看电子邮件安全报告

对于已弃用或替换的报表,请参阅Microsoft Defender门户中Email安全报告更改中的表。

与邮件流相关的报表现在位于 Exchange 管理中心 (EAC) 中。 有关这些报表的详细信息,请参阅 新的 Exchange 管理中心中的邮件流报表

观看此简短视频,了解如何使用报表来了解组织中Defender for Office 365的有效性。

安全附件文件类型报告

注意

此报表已弃用。 威胁防护状态报告中提供了相同的信息。

安全附件邮件处置报告

注意

此报表已弃用。 威胁防护状态报告中提供了相同的信息。

邮件延迟报告

“邮件延迟”报告显示Defender for Office 365组织中遇到的邮件传递和引爆延迟的聚合视图。 服务中的邮件传递时间受许多因素影响,以秒为单位的绝对传递时间通常不是成功或问题的良好指标。 一天交货时间较慢可能被视为另一天的平均交货时间,反之亦然。 此报表尝试根据有关其他消息观察到的传递时间的统计数据来限定消息传递。

结果中不包括客户端延迟和网络延迟。

的“Email &协作报表”页上https://security.microsoft.com/emailandcollabreport,找到“邮件延迟报告”,然后选择“查看详细信息”。 或者,若要直接转到报表,请使用 https://security.microsoft.com/mailLatencyReport

“Email &协作报表”页上的“邮件延迟报告”小组件

“邮件延迟报告 ”页上,有以下选项卡可用:

  • 第 50 个百分位:消息传递时间的中间值。 可以将此值视为平均交付时间。 默认情况下,此选项卡处于选中状态。
  • 第 90 百分位:指示消息传递的延迟较高。 只有 10% 的消息花费的时间超过此值才能传递。
  • 第 99 百分位:指示消息传递的最大延迟。

无论选择哪种选项卡,图表都会显示按以下类别组织的消息:

  • 整体
  • 筛选器值) 中介绍了这些值的引爆 (

将鼠标悬停在图表中的某个类别上可查看每个类别中延迟的明细。

邮件延迟报表的第 50 百分位视图

在图表下方的详细信息表中,提供了以下信息:

  • 日期 (UTC)
  • 延迟
  • 消息计数
  • 第 50 百分位数
  • 第 90 百分位数
  • 第 99 百分位数

选择“筛选器,通过在打开的浮出控件中选择以下一个或多个值来修改报表和详细信息表:

  • 日期 (UTC) 开始日期结束日期
  • 消息视图:选择以下值之一:
    • 所有电子邮件
    • 引爆电子邮件:选择此值后,选择出现的以下值之一:
      • 内联引爆:邮件中的链接和附件在传递前由安全链接和安全附件进行全面测试。
      • 异步引爆:安全附件和电子邮件中的链接在传递后由安全链接测试的 动态 传递附件。

完成筛选器配置后,选择“应用”、“取消”清除筛选器”。

“邮件延迟报告”页上,“导出操作可用。

交付后活动报告

传递后活动报告显示有关在通过零小时自动清除 (ZAP) 传递后从用户邮箱中删除的电子邮件的信息。 有关 ZAP 的详细信息,请参阅 Exchange Online 中的零小时自动清除 (ZAP)

报表显示包含更新的威胁信息的实时信息。

的“Email &协作报表”页上https://security.microsoft.com/emailandcollabreport,找到“交付后活动”,然后选择“查看详细信息”。 或者,若要直接转到报表,请使用 https://security.microsoft.com/reports/ZapReport

“Email &协作报表”页上的“交付后活动”小组件。

在“ 交付后活动 ”页上,图表显示指定日期范围的以下信息:

  • 无威胁:ZAP 发现不是垃圾邮件的唯一传递邮件数。
  • 垃圾邮件:ZAP 针对垃圾邮件从邮箱中删除的唯一邮件数。
  • 钓鱼:ZAP 出于网络钓鱼从邮箱中删除的唯一邮件数。
  • 恶意软件:ZAP 出于网络钓鱼从邮箱中删除的唯一邮件数。

图下方的详细信息表显示了以下信息:

  • 主题

  • 接收时间

  • Sender

  • 收件人

  • ZAP 时间

  • 原始威胁

  • 原始位置

  • 更新了威胁

  • 更新了传递位置

  • 检测技术

    若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:

    • 在 Web 浏览器中水平滚动。
    • 缩小相应列的宽度。
    • 在 Web 浏览器中缩小字体功能。

选择“筛选器,通过在打开的浮出控件中选择以下一个或多个值来修改报表和详细信息表:

  • 日期 (UTC) 开始日期结束日期
  • 更新的威胁:选择以下值的一个矿石:
    • 无威胁
    • 垃圾邮件
    • 钓鱼
    • 恶意软件

完成筛选器配置后,选择“应用”、“取消”清除筛选器”。

在“交付后活动”页上,创建计划和导出”操作可用。

交付后活动报表。

威胁防护状态报告

威胁防护状态报告是一个视图,将Exchange Online Protection ( EOP) 和Defender for Office 365检测到并阻止的恶意内容和恶意电子邮件的信息汇集在一起。 有关详细信息,请参阅 威胁防护状态报告

排名靠前的发件人和收件人报告

“排名靠前的发件人和收件人”报表显示 EOP 和Defender for Office 365保护功能的主要收件人。 有关详细信息,请参阅 排名靠前的发件人和收件人报告

URL 保护报告

URL 保护报告提供在安全链接中检测到的威胁和对 URL 单击执行的操作的摘要和趋势视图。 如果未选择“在有效的安全链接策略中 跟踪用户单击次数 ”,则此报表没有来自用户的单击数据。

的“Email &协作报表”页上https://security.microsoft.com/emailandcollabreport,找到“URL 保护报表”,然后选择“查看详细信息”。 或者,若要直接转到报表,请使用 https://security.microsoft.com/URLProtectionActionReport

Email &协作报表页上的 URL 保护报表小组件

以下小节介绍了 URL 威胁防护 报告中的可用视图。

在 URL 保护报告中按 URL 查看数据,单击保护操作

URL 保护报告中的视图即 URL 单击保护操作

按 URL 查看数据”单击保护操作 视图显示组织中用户的 URL 单击次数和单击结果:

  • 允许:允许单击。
  • 租户管理员允许:安全链接策略中允许的单击次数。
  • 阻止:单击“已阻止”。
  • 租户管理员阻止:安全链接策略中阻止的单击数。
  • 阻止和单击通过:阻止的单击,其中用户单击到阻止的 URL。
  • 由租户管理员阻止并单击通过:管理员已阻止链接,但用户单击通过。
  • 在扫描期间单击:单击用户单击 URL 的挂起扫描页面。
  • 挂起扫描:单击正在等待扫描判决的 URL。

单击表示用户已通过阻止页面单击到恶意网站, (管理员可以禁用安全链接策略) 单击。

图表下方的详细信息表提供了过去 30 天内组织内发生的所有点击的近实时视图:

  • 单击时间
  • 用户
  • URL
  • 操作
  • 应用
  • 标记:有关用户标记的详细信息,请参阅 用户标记

选择“筛选器,通过在打开的浮出控件中选择以下一个或多个值来修改报表和详细信息表:

  • 日期 (UTC) 开始日期结束日期
  • 操作:与前面所述相同的 URL 单击保护操作。 默认情况下,租户管理员未选择“ 允许 ”和“ 允许 ”。
  • 评估:选择 “是 ”或“ ”。 有关详细信息,请参阅试用Microsoft Defender for Office 365
  • 域 (逗号分隔) :报告结果中列出的 URL 域。
  • 收件人 (逗号分隔)
  • 标记:保留值 “全部 ”或将其删除,在空框中双击,然后选择“ 优先级帐户”。 有关用户标记的详细信息,请参阅 用户标记

完成筛选器配置后,选择“应用”、“取消”清除筛选器”。

“URL 威胁防护”页上,可以使用“创建计划”、“请求报告”导出”操作。

在 URL 保护报告中按应用程序单击按 URL 查看数据

URL 保护报告中的 URL 单击保护操作视图

提示

报表中提供了来宾用户单击的 URL。 来宾用户帐户可能遭到入侵或访问组织内的恶意内容。

应用程序按 URL 单击查看数据 视图显示支持安全链接的应用的 URL 单击次数:

  • 电子邮件客户端
  • Teams
  • Office 文档

图表下方的详细信息表提供了过去 7 天组织中发生的所有点击的近实时视图:

选择“筛选器,通过在打开的浮出控件中选择以下一个或多个值来修改报表和详细信息表:

  • 日期 (UTC) 开始日期结束日期
  • 应用程序:按应用程序值单击,与前面所述相同。
  • 操作:与 按 URL 查看数据中所示的值相同,单击“保护操作”视图。 默认情况下,租户管理员未选择“ 允许 ”和“ 允许 ”。
  • 评估:选择 “是 ”或“ ”。 有关详细信息,请参阅试用Microsoft Defender for Office 365
  • 域 (逗号分隔) :报告结果中列出的 URL 域。
  • 收件人 (逗号分隔)
  • 标记:保留值 “全部 ”或将其删除,在空框中双击,然后选择“ 优先级帐户”。 有关用户标记的详细信息,请参阅 用户标记

完成筛选器配置后,选择“应用”、“取消”清除筛选器”。

“URL 威胁防护”页上,可以使用“创建计划”、“请求报告”导出”操作。

要查看的其他报表

除了本文中所述的报告外,下表还介绍了其他可用的报表:

报告 文章
资源管理器 (Microsoft Defender for Office 365 计划 2) 或实时检测 (Microsoft Defender for Office 365 计划 1) 威胁资源管理器(和实时检测)
Email不需要Defender for Office 365的安全报告 在Microsoft Defender门户中查看电子邮件安全报告
Exchange 管理中心中的邮件流报表 (EAC) 新的 Exchange 管理中心中的邮件流报告

PowerShell 报告 cmdlet:

报告 文章
主要发件人和收件人 Get-MailTrafficSummaryReport
主要恶意软件 Get-MailTrafficSummaryReport
威胁防护状态 Get-MailTrafficATPReport

Get-MailDetailATPReport

安全链接 Get-SafeLinksAggregateReport

Get-SafeLinksDetailReport

被盗用的用户 Get-CompromisedUserAggregateReport

Get-CompromisedUserDetailReport

邮件流状态 Get-MailflowStatusReport
欺骗用户 Get-SpoofMailReport
交付后活动摘要 Get-AggregateZapReport
交付后活动详细信息 Get-DetailZapReport

查看Defender for Office 365报表需要哪些权限?

请参阅 查看这些报表需要哪些权限?

如果报表未显示数据,该怎么办?

如果在报表中未看到数据,检查报表筛选器和双重检查正确设置策略。 来自内置保护、预设安全策略或自定义策略的安全链接策略和安全附件策略需要生效并作用于邮件。 有关详细信息,请参阅以下文章: