在Microsoft Defender门户中查看电子邮件安全报告
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
在所有Microsoft 365 组织中,可以使用各种报告来帮助你了解电子邮件安全功能如何保护组织。 如果具有 必要的权限,可按本文所述查看和下载这些报表。
Microsoft Defender门户中https://security.microsoft.com的“Email &协作报表”页上的“报表>Email &协作>Email &协作报表”中提供了这些报表。 或者,若要直接转到Email &协作报表页,请使用 https://security.microsoft.com/emailandcollabreport。
页面上提供了每个报表的摘要信息。 确定要查看的报表,然后选择“查看该报表 的详细信息 ”。
本文的其余部分介绍Defender for Office 365独有的报表。
注意
Email &协作报表页上的某些报表仅供Microsoft Defender for Office 365使用。 有关这些报表的信息,请参阅在Microsoft Defender门户中查看Defender for Office 365报表。
与邮件流相关的报表现在位于 Exchange 管理中心。 有关这些报表的详细信息,请参阅 新的 Exchange 管理中心中的邮件流报表。
Defender 门户中>提供了指向这些报表的链接Email &协作>Email &协作报表>Exchange 邮件流报表,这会转到 https://admin.exchange.microsoft.com/#/reports/mailflowreportsmain。
Email Microsoft Defender门户中的安全报告更改
下表介绍了Microsoft Defender门户中已替换、移动或弃用的Exchange Online Protection (EOP) 和Microsoft Defender for Office 365报表。
已弃用的报表和 cmdlet | 新报表和 cmdlet | 消息中心 ID | 日期 |
---|---|---|---|
URL 跟踪 Get-URLTrace |
URL 保护报告 Get-SafeLinksAggregateReport Get-SafeLinksDetailReport |
MC239999 | 2021 年 6 月 |
发送和接收的电子邮件报告 Get-MailTrafficReport Get-MailDetailReport |
威胁防护状态报告 邮件流状态报告 Get-MailTrafficATPReport Get-MailDetailATPReport Get-MailFlowStatusReport |
MC236025 | 2021 年 6 月 |
转发报表 无 cmdlet |
EAC 中的自动转发消息报告 无 cmdlet |
MC250533 | 2021 年 6 月 |
安全附件文件类型报告 Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport |
威胁防护状态报告:按Email>恶意软件查看数据 Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250532 | 2021 年 6 月 |
安全附件邮件处置报告 Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport |
威胁防护状态报告:按Email>恶意软件查看数据 Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250531 | 2021 年 6 月 |
电子邮件报告中检测到的恶意软件 Get-MailTrafficReport Get-MailDetailMalwareReport |
威胁防护状态报告:按Email>恶意软件查看数据 Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250530 | 2021 年 6 月 |
垃圾邮件检测报告 Get-MailTrafficReport Get-MailDetailSpamReport |
威胁防护状态报告:按垃圾邮件Email>查看数据 Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250529 | 2021 年 10 月 |
Get-AdvancedThreatProtectionDocumentReport Get-AdvancedThreatProtectionDocumentDetail |
Get-ContentMalwareMdoAggregateReport Get-ContentMalwareMdoDetailReport |
MC343433 | 2022 年 5 月 |
Exchange 传输规则报告 Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport |
EAC 中的 Exchange 传输规则报表 Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport |
MC316157 | 2022 年 4 月 |
Get-MailTrafficTopReport |
排名靠前的发件人和收件人报告 Get-MailTrafficSummaryReport 注意:Get-MailTrafficTopReport 中的加密报告功能无法替代。 |
MC315742 | 2022 年 4 月 |
泄露的用户报告
“ 已泄露的用户 ”报告显示过去 7 天内标记为 “可疑” 或 “受限” 的用户帐户数。 这两种状态之一的帐户存在问题,甚至遭到入侵。 通过频繁使用,可以使用报表来发现可疑或受限帐户中的峰值,甚至趋势。 有关已泄露用户的详细信息,请参阅 响应已泄露的电子邮件帐户。
聚合视图显示过去 90 天的数据,详细信息视图显示过去 30 天的数据。
在 的“Email &协作报表”页上https://security.microsoft.com/emailandcollabreport,找到“已泄露的用户”,然后选择“查看详细信息”。 或者,若要直接转到报表,请使用 https://security.microsoft.com/reports/CompromisedUsers。
在“ 已泄露的用户 ”页上,图表显示指定日期范围的以下信息:
- 受限:由于高度可疑的模式,用户帐户已受到限制,无法发送电子邮件。
- 可疑:用户帐户已发送可疑电子邮件,存在无法发送电子邮件的风险。
图下方的详细信息表显示了以下信息:
- 创建时间
- 用户 ID
- 操作
- 标记:有关用户标记的详细信息,请参阅 用户标记。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表和详细信息表:
- 日期 (UTC) : 开始日期 和 结束日期。
- 活动: 受限 或 可疑
- 标记:保留值 “全部 ”或将其删除,在空框中双击,然后选择“ 优先级帐户”。 有关用户标记的详细信息,请参阅 用户标记。
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
在“已泄露的用户”页上,可以使用“创建计划”、“请求报告”和“导出”操作。
Exchange 传输规则报告
注意
Exchange 传输规则报告现已在 EAC 中提供。 有关详细信息,请参阅 新 EAC 中的 Exchange 传输规则报告。
转发报表
注意
此报告现已在 EAC 中提供。 有关详细信息,请参阅 新 EAC 中的自动转发消息报告。
邮件流状态报告
Mailflow 状态报告是一个智能报告,显示有关传入和传出电子邮件、垃圾邮件检测、恶意软件、标识为“良好”的电子邮件的信息,以及有关边缘允许或阻止的电子邮件的信息。 这是唯一包含边缘保护信息的报表。 报告显示Exchange Online Protection (EOP) 或 Defender for Microsoft 365 在进入服务进行检查之前阻止的电子邮件量。
提示
如果邮件发送给五个收件人,我们会将其计为五封不同的邮件,而不是一封邮件。
在 的“Email &协作报表”页上https://security.microsoft.com/emailandcollabreport,找到“邮件流状态摘要”,然后选择“查看详细信息”。 或者,若要直接转到报表,请使用 https://security.microsoft.com/reports/mailflowStatusReport。
邮件 流状态报告中 的可用视图在以下小节中介绍。
邮件流状态报表的类型视图
默认情况下,在 “邮件流状态”报表 页上,“ 类型 ”选项卡处于选中状态。 该图表显示指定日期范围的以下信息:
- 恶意软件:Email被各种筛选器阻止为恶意软件。
- Total
- 好邮件:确定不是垃圾邮件或用户或组织策略允许的Email。
- 钓鱼电子邮件:Email被各种筛选器阻止为钓鱼。
- 垃圾邮件:被各种筛选器阻止为垃圾邮件的Email。
- 边缘保护:在 EOP 或Defender for Office 365检查之前在边缘/外围拒绝的Email。
- 规则邮件:Email邮件流规则隔离的邮件 (也称为传输规则) 。
- 数据丢失防护:Email通过数据丢失防护 (DLP) 策略隔离的邮件。
图下方的详细信息表显示了以下信息:
- 方向
- 类型
- 24 小时
- 3 天
- 7 天
- 15 天
- 30 天
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表和详细信息表:
- 日期 (UTC) : 开始日期 和 结束日期。
- 邮件方向:选择 “入站”、“ 出站”和“ 组织内部”。
-
类型:选择以下一个或多个值:
- 好邮件
- 恶意软件
- 垃圾邮件
- 边缘保护
- 规则消息
- 钓鱼电子邮件
- 数据丢失防护
- 域:选择“ 全部 ”或 接受的域。
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
在“ 类型 ”选项卡上,选择“ 选择类别”以了解更多详细信息 ,以查看详细信息:
- 钓鱼电子邮件:此选择可让你在威胁防护状态报告中按Email>网络钓鱼和图表细分(按检测技术)查看数据。
- 电子邮件中的恶意软件:此选择将带你在威胁防护状态报告中按Email>恶意软件查看数据,并按检测技术图表细分。
- 垃圾邮件检测:此选择将带你在威胁防护状态报告中按Email>垃圾邮件和按检测技术图表细分来查看数据。
邮件流状态报表的方向视图
在“ 方向 ”选项卡上,图表显示指定日期范围的以下信息:
- 入境
- 组织内部
- 出站
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表和详细信息表:
日期 (UTC) : 开始日期 和 结束日期。
注意
若要查看特定日期的数据,请使用第二天。 例如,若要查看 1 月 10 日的数据,请在筛选器中使用 1 月 11 日。 今天的数据将于明天进行筛选。
邮件方向:选择 “入站”、“ 出站”和“ 组织内部”。
类型:选择以下一个或多个值:
- 好邮件
- 恶意软件
- 垃圾邮件
- 边缘保护
- 规则消息
- 钓鱼电子邮件
- 数据丢失防护:Email通过数据丢失防护 (DLP) 策略隔离的邮件。
域:选择“ 全部 ”或 接受的域。
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
在“ 方向 ”选项卡上,选择“ 选择类别”了解更多详细信息 ,以查看详细信息:
- 钓鱼电子邮件:此选择可让你在威胁防护状态报告中按Email>网络钓鱼和图表细分(按检测技术)查看数据。
- 电子邮件中的恶意软件:此选择将带你在威胁防护状态报告中按Email>恶意软件查看数据,并按检测技术图表细分。
- 垃圾邮件检测:此选择将带你在威胁防护状态报告中按Email>垃圾邮件和按检测技术图表细分来查看数据。
在“方向”选项卡上,“创建计划”和“导出”操作可用。
邮件流状态报表的邮件流视图
“ 邮件流 ”选项卡显示Microsoft的电子邮件威胁防护功能如何筛选组织中的传入和传出电子邮件。 此视图使用水平流图 (称为 Sankey 关系图) 来提供有关电子邮件总数以及威胁防护功能如何影响此计数的详细信息。
聚合视图和详细信息表视图允许筛选 90 天。
图中的信息由 EOP 和Defender for Office 365技术进行颜色编码。
关系图分为以下水平带:
- 电子邮件 频带总数:始终首先显示此值。
-
边缘块 和 已处理的 带区:
- 边缘块:在边缘筛选并标识为边缘保护的消息。
- 已处理:筛选堆栈处理的消息。
- 结果带:
- 数据丢失防护块
- 规则阻止:Exchange 邮件流规则 (传输规则) 隔离的邮件。
- 恶意软件阻止:标识为恶意软件的邮件。*
- 钓鱼阻止:标识为钓鱼的邮件。*
- 垃圾邮件阻止:标识为垃圾邮件的邮件。*
- 模拟块:在 Defender for Office 365 中检测到为用户模拟或域模拟的消息。*
- 引爆块:Defender for Office 365中的安全附件策略或安全链接策略在文件或 URL 引爆过程中检测到的消息。*
- ZAP 已删除:通过零小时自动清除 (ZAP) 删除的邮件。*
- 已传递:由于允许而发送给用户的消息。*
如果将鼠标悬停在图表中的水平带上,则会看到相关消息的数量。
* 如果选择此元素,则关系图会展开以显示更多详细信息。 有关展开节点中每个元素的说明,请参阅 检测技术。
关系图下方的详细信息表显示了以下信息:
- 日期 (UTC)
- 电子邮件总数
- 边缘筛选
- 规则消息
- 反恶意软件引擎、安全附件、已筛选规则
- DMARC 模拟、欺骗、网络钓鱼筛选
- 引爆检测
- 已筛选反垃圾邮件
- ZAP 已删除
- 未检测到威胁的消息
在详细信息表中选择一行,可在打开的详细信息浮出控件中查看电子邮件计数的进一步明细。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表和详细信息表:
- 日期 (UTC) 开始日期 和 结束日期。
- 邮件方向:选择 “入站”、“ 出站”和“ 组织内部”。
- 域:选择“ 全部 ”或 接受的域。
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
在“邮件流”选项卡上,选择“显示趋势”,在打开的“邮件流趋势”浮出控件中查看趋势图。
在“邮件流”选项卡上,“导出”操作可用。
恶意软件检测报告
注意
此报表已弃用。 威胁防护状态报告中提供了相同的信息。
邮件延迟报告
Defender for Office 365中的邮件延迟报告包含有关组织内遇到的邮件传递和引爆延迟的信息。 有关详细信息,请参阅 邮件延迟报告。
交付后活动报告
交付后活动报告仅在计划 2 Microsoft Defender for Office 365组织中可用。 有关报表的信息,请参阅 交付后活动报告。
垃圾邮件检测报告
注意
此报表已弃用。 威胁防护状态报告中提供了相同的信息。
欺骗检测报告
欺骗检测报告显示有关因欺骗而被阻止或允许的消息的信息。 有关欺骗的详细信息,请参阅 EOP 中的反欺骗保护。
报表的聚合视图和详细信息视图允许 90 天的筛选。
注意
报表中的最新可用数据为 3 到 4 天。
在 的“Email &协作报表”页上https://security.microsoft.com/emailandcollabreport,找到“欺骗检测”,然后选择“查看详细信息”。 或者,若要直接转到报表,请使用 https://security.microsoft.com/reports/SpoofMailReport。
该图表显示以下信息:
- 通过
- 失败
- SoftPass
- 无
- 其他
将鼠标悬停在图表中 (数据点) 一天,以查看检测到的欺骗消息数以及原因。
图下方的详细信息表显示了以下信息:
Date
欺骗用户
发送基础结构
欺骗类型
结果
结果代码
SPF
DKIM
DMARC
消息计数
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
有关复合身份验证结果代码的详细信息,请参阅 Microsoft 365 中的反垃圾邮件标头。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表和详细信息表:
- 日期 (UTC) 开始日期 和 结束日期
-
结果:
- 通过
- 失败
- SoftPass
- 无
- 其他
- 欺骗类型:内部和外部
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
在 “欺骗邮件报告 ”页上,可以使用“ 创建计划”、“ 请求报告”和“ 导出 ”操作。
提交报告
提交报告显示有关管理员在过去 30 天内向Microsoft报告以供分析的项目的信息。 有关管理员提交的详细信息,请参阅使用管理员提交将可疑的垃圾邮件、网络钓鱼、URL 和文件提交到Microsoft。
在 的“Email &协作报表”页上https://security.microsoft.com/emailandcollabreport,找到“提交”,然后选择“查看详细信息”。 或者,若要直接转到报表,请使用 https://security.microsoft.com/adminSubmissionReport。
若要直接转到 Defender 门户中 的“提交 ”页,请选择“ 转到提交”。
该图表显示以下信息:
- Pending
- 已完成
图下方的详细信息表显示的信息和可用的操作操作与提交页上https://security.microsoft.com/reportsubmission?viewid=email的“电子邮件”选项卡相同:
- 自定义列
- 群
- 提交到Microsoft进行分析
有关详细信息,请参阅 查看Microsoft的电子邮件管理员提交。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表和详细信息表:
- 提交日期: 开始日期 和 结束日期
- 提交 ID
- 网络消息 ID
- Sender
- 收件人
- 提交名称
- 提交者
-
提交原因:
- 不是垃圾
- 显示干净
- 出现可疑
- 网络钓鱼
- 恶意软件
- 垃圾邮件
-
重新扫描状态:
- Pending
- 已完成
- 标记: 所有 或一个或多个 用户标记。
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
在 “提交” 页上,“ 导出 ”操作可用。
威胁防护状态报告
威胁防护状态报告在 EOP 和 Defender for Office 365中均可用。 但是,报表包含不同的数据。 例如,EOP 客户可以查看有关电子邮件中检测到的恶意软件的信息,但不能查看 SharePoint、OneDrive 和 Microsoft Teams 安全附件检测到的恶意文件的相关信息。
报表提供包含恶意内容的电子邮件计数。 例如:
- 文件或网站地址 (反恶意软件引擎阻止的 URL) 。
- 受零小时自动清除 (ZAP) 影响的文件或消息
- 被Defender for Office 365功能阻止的文件或邮件:安全链接、安全附件和防钓鱼策略中的模拟保护功能。
可以使用此报表中的信息来确定趋势或确定是否需要调整组织策略。
提示
如果邮件发送给五个收件人,我们会将其计为五个不同的邮件,而不是一封邮件。
在 的“Email &协作报表”页上https://security.microsoft.com/emailandcollabreport,找到“提交”,然后选择“查看详细信息”。 或者,若要直接转到报表,请使用以下 URL 之一:
- Defender for Office 365:https://security.microsoft.com/reports/TPSAggregateReportATP
- EOP: https://security.microsoft.com/reports/TPSAggregateReport
默认情况下,图表显示过去七天的数据。 在“威胁防护状态报告”页上选择“筛选”,选择 90 天的日期范围, (试用订阅) 限制为 30 天。 详细信息表允许筛选 30 天。
以下小节介绍了可用的视图。
按概述查看数据
在“ 按概述查看数据 ”视图中,图表中显示了以下检测信息:
- Email恶意软件
- Email钓鱼
- Email垃圾邮件
- 仅内容恶意软件 (Defender for Office 365:SharePoint Online、OneDrive 和 Microsoft Teams 中的内置病毒防护检测到的文件,以及 SharePoint、OneDrive 和 Microsoft Teams 的安全附件)
图表下方没有详细信息表。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表:
- 日期 (UTC) 开始日期 和 结束日期。
- 检测:与图表中的值相同。
- 保护者:MDO (Defender for Office 365) 和 EOP。
- 标记:保留值 “全部 ”或将其删除,在空框中双击,然后选择“ 优先级帐户”。 有关用户标记的详细信息,请参阅 用户标记。
- 方向:将值保留 为“全部 ”或将其删除,在空框中双击,然后选择“ 入站”、“ 出站”或“ 组织内”。
- 域:保留值 “全部 ”或将其删除,在空框中双击,然后选择 接受的域。
-
策略类型:将值保留 为“全部 ”或将其删除,在空框中双击,然后选择以下值之一:
- 反恶意软件
- 安全附件
- 防钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
按Email>网络钓鱼和图表细分(按检测技术)查看数据
注意
2021 年 5 月,电子邮件中的网络钓鱼检测已更新为包含钓鱼 URL 的邮件附件 。 此更改可能会将某些检测卷从“Email>恶意软件”视图移出“查看数据”视图,而转移到“按Email>网络钓鱼”视图查看数据。 换句话说,现在可能会将具有传统上标识为恶意软件的钓鱼 URL 的邮件附件标识为钓鱼。
在“按Email>网络钓鱼查看数据”和“按检测技术细分图表”视图中,图表中显示了以下信息:
- 高级筛选器:基于机器学习的网络钓鱼信号。
- 市场活动*:标识为 市场活动一部分的消息。
- 文件引爆*: 安全附件在 爆炸分析过程中检测到恶意附件。
- 文件引爆信誉*:以前在其他Microsoft 365 组织中的 安全附件 引爆检测到的文件附件。
- 文件信誉:该消息包含以前在其他 Microsoft 365 组织中标识为恶意的文件。
- 指纹匹配:该消息与以前检测到的恶意消息非常相似。
- 常规筛选器:基于分析规则的网络钓鱼信号。
- 模拟品牌:发送者模拟知名品牌。
- 模拟域*:模拟你拥有或指定用于 在防钓鱼策略中保护的发件人域。
- 模拟用户*:模拟在 反钓鱼策略 中指定的或通过邮箱智能了解到的受保护发件人。
- 邮箱智能模拟*:反 网络钓鱼策略中来自邮箱智能的模拟检测。
- 混合分析检测:多个筛选器促成了消息判决。
- 欺骗 DMARC:消息 DMARC 身份验证失败。
- 欺骗外部域:发件人电子邮件地址欺骗使用组织外部的域。
- 组织内部欺骗:使用组织内部域的发件人电子邮件地址欺骗。
- URL 引*爆: 安全链接 在爆炸分析期间检测到邮件中的恶意 URL。
- URL 引爆信誉*:以前在其他Microsoft 365 组织中的 安全链接 引爆检测到的 URL。
- URL 恶意信誉:邮件包含以前在其他Microsoft 365 组织中标识为恶意的 URL。
*仅限Defender for Office 365
在图表下方的详细信息表中,提供了以下信息:
- Date
- 主题
- Sender
- 收件人
- 检测技术:图表中的相同检测技术值。
- 传递状态
- 发件人 IP
- 标记:有关用户标记的详细信息,请参阅 用户标记。
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表:
- 日期 (UTC) : 开始日期 和 结束日期
- 检测:与图表中的值相同。
- 优先级帐户保护: “是” 和 “否”。 有关详细信息,请参阅在 Microsoft Defender for Office 365 中配置和查看优先级帐户保护。
- 评估: 是 或 否。
- 保护者:MDO (Defender for Office 365) 和 EOP
- 方向:将值保留 为“全部 ”或将其删除,在空框中双击,然后选择“ 入站”、“ 出站”或“ 组织内”。
- 标记:保留值 “全部 ”或将其删除,在空框中双击,然后选择“ 优先级帐户”。 有关用户标记的详细信息,请参阅 用户标记。
- 域:保留值 “全部 ”或将其删除,在空框中双击,然后选择 接受的域。
-
策略类型:选择 “全部 ”或以下值之一:
- 反恶意软件
- 安全附件
- 防钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
- 策略名称 (详细信息表视图仅) :选择 “全部 ”或特定策略。
- 收件人 (逗号分隔)
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
如果通过单击第一列旁边的检查框以外的任意位置从详细信息表中选择条目,则会打开电子邮件详细信息浮出控件。 此详细信息浮出控件称为“Email摘要面板”,其中包含邮件Defender for Office 365 Email实体页上也提供的汇总信息。 有关Email摘要面板中的信息的详细信息,请参阅Email摘要面板。
在 Defender for Microsoft 365 中,威胁防护状态报告的Email摘要面板顶部提供了以下操作:
- 打开电子邮件实体:有关详细信息,请参阅 Microsoft Defender for Office 365 中的Email实体页。
- 采取措施:有关信息,请参阅 威胁搜寻:执行操作向导。
在 “威胁防护状态 ”页上,可以使用“ 创建计划”、“ 请求报告”和“ 导出 ”操作。
按Email>垃圾邮件和图表细分(按检测技术)查看数据
在“按Email>垃圾邮件查看数据”和“按检测技术细分图表”视图中,图表中显示了以下信息:
- 高级筛选器:基于机器学习的网络钓鱼信号。
- 批量:邮件 的 BCL) (批量投诉级别 超过为垃圾邮件定义的阈值。
- 域信誉:邮件来自以前在其他Microsoft 365 组织中标识为发送垃圾邮件的域。
- 指纹匹配:该消息与以前检测到的恶意消息非常相似。
- 常规筛选器
- IP 信誉:该邮件来自以前在其他Microsoft 365 组织中标识为发送垃圾邮件的源。
- 混合分析检测:多个筛选器促成了消息的判决。
- URL 恶意信誉:邮件包含以前在其他Microsoft 365 组织中标识为恶意的 URL。
在图表下方的详细信息表中,提供了以下信息:
- Date
- 主题
- Sender
- 收件人
- 检测技术:图表中的相同检测技术值。
- 传递状态
- 发件人 IP
- 标记:有关用户标记的详细信息,请参阅 用户标记。
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表:
日期 (UTC) 开始日期 和 结束日期
检测:与图表中的值相同。
批量投诉级别:选择“ 检测 ”值 “批量 ”时,滑块可用于按所选 BCL 范围筛选报表。 可以使用此信息在反垃圾邮件策略中确认或调整 BCL 阈值,以允许更多或更少的批量电子邮件进入组织。
如果未选择 “检测 ”值 “批量 ”,则滑块灰显,并且报表中不包含批量检测。
优先级帐户保护: “是” 和 “否”。 有关详细信息,请参阅在 Microsoft Defender for Office 365 中配置和查看优先级帐户保护。
方向: 全部 或输入 “入站”、“ 出站 ”和“ 组织内部”。
方向:将值保留 为“全部 ”或将其删除,在空框中双击,然后选择“ 入站”、“ 出站”或“ 组织内”。
标记:保留值 “全部 ”或将其删除,在空框中双击,然后选择“ 优先级帐户”。 有关用户标记的详细信息,请参阅 用户标记。
域:保留值 “全部 ”或将其删除,在空框中双击,然后选择 接受的域。
策略类型:选择 “全部 ”或以下值之一:
- 反恶意软件
- 安全附件
- 防钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
策略名称 (详细信息表视图仅) :选择 “全部 ”或特定策略。
收件人
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
如果通过单击第一列旁边的检查框以外的任意位置从详细信息表中选择条目,则会打开电子邮件详细信息浮出控件。 此详细信息浮出控件称为“Email摘要面板”,其中包含邮件Defender for Office 365 Email实体页上也提供的汇总信息。 有关Email摘要面板中的信息的详细信息,请参阅Email摘要面板。
在 Defender for Microsoft 365 中,威胁防护状态报告的Email摘要面板顶部提供了以下操作:
- 打开电子邮件实体:有关详细信息,请参阅 Microsoft Defender for Office 365 中的Email实体页。
- 采取措施:有关信息,请参阅 威胁搜寻:执行操作向导。
在 “威胁防护状态 ”页上,可以使用“ 创建计划”、“ 请求报告”和“ 导出 ”操作。
按Email>恶意软件查看数据,并按检测技术进行图表细分
注意
2021 年 5 月,电子邮件中的恶意软件检测已更新,以在邮件附件中包含 有害 URL 。 此更改可能会通过Email网络钓鱼视图将某些检测量从“查看数据”>转移到“按Email>恶意软件查看数据”视图中。 换句话说,传统上标识为网络钓鱼的邮件附件中的有害 URL 现在可能改为被标识为恶意软件。
在“按Email>恶意软件查看数据”和“按检测技术细分图表”视图中,图表中显示了以下信息:
- 文件引爆*: 安全附件在 爆炸分析过程中检测到恶意附件。
- 文件引爆信誉*:以前在其他Microsoft 365 组织中的 安全附件 引爆检测到的文件附件。
- 文件信誉:该消息包含以前在其他 Microsoft 365 组织中标识为恶意的文件。
- 反恶意软件引擎*:从反恶意软件进行检测。
- URL 恶意声誉
- URL 引*爆: 安全链接 在爆炸分析期间检测到邮件中的恶意 URL。
- URL 引爆信誉*:以前在其他Microsoft 365 组织中的 安全链接 引爆检测到的 URL。
- 市场活动*:标识为 市场活动一部分的消息。
*仅限Defender for Office 365
在图表下方的详细信息表中,提供了以下信息:
Date
主题
Sender
收件人
检测技术:图表中的相同检测技术值。
传递状态
发件人 IP
标记:有关用户标记的详细信息,请参阅 用户标记。
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表:
- 日期 (UTC) 开始日期 和 结束日期
- 检测:与图表中的值相同。
- 优先级帐户保护: “是” 和 “否”。 有关详细信息,请参阅在 Microsoft Defender for Office 365 中配置和查看优先级帐户。
- 评估: 是 或 否。
- 保护者:MDO (Defender for Office 365) 和 EOP
- 方向:将值保留 为“全部 ”或将其删除,在空框中双击,然后选择“ 入站”、“ 出站”或“ 组织内”。
- 标记:保留值 “全部 ”或将其删除,在空框中双击,然后选择“ 优先级帐户”。 有关用户标记的详细信息,请参阅 用户标记。
- 域:保留值 “全部 ”或将其删除,在空框中双击,然后选择 接受的域。
-
策略类型:选择 “全部 ”或以下值之一:
- 反恶意软件
- 安全附件
- 防钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
- 策略名称 (详细信息表视图仅) :选择 “全部 ”或特定策略。
- 收件人 (逗号分隔)
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
如果通过单击第一列旁边的检查框以外的任意位置从详细信息表中选择条目,则会打开电子邮件详细信息浮出控件。 此详细信息浮出控件称为“Email摘要面板”,其中包含邮件Defender for Office 365 Email实体页上也提供的汇总信息。 有关Email摘要面板中的信息的详细信息,请参阅Email摘要面板。
在 Defender for Microsoft 365 中,威胁防护状态报告的Email摘要面板顶部提供了以下操作:
- 打开电子邮件实体:有关详细信息,请参阅 Microsoft Defender for Office 365 中的Email实体页。
- 采取措施:有关信息,请参阅 威胁搜寻:执行操作向导。
在 “威胁防护状态 ”页上,可以使用“ 创建计划”、“ 请求报告”和“ 导出 ”操作。
按策略类型划分的图表细分
在“按网络钓鱼Email>查看数据”、“按Email>垃圾邮件查看数据”或“按Email>恶意软件查看数据”视图中,选择“按策略类型划分图表”会显示以下信息:
- 反恶意软件
- 安全附件*
- 防钓鱼
- 反垃圾邮件
- 邮件流规则 (也称为传输规则)
- 其他
在图表下方的详细信息表中,提供了以下信息:
Date
主题
Sender
收件人
检测技术:图表中的相同检测技术值。
传递状态
发件人 IP
标记:有关用户标记的详细信息,请参阅 用户标记。
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表:
- 日期 (UTC) 开始日期 和 结束日期
- 检测:如本文和检测技术中所述的 检测技术值。
- 优先级帐户保护: “是” 和 “否”。 有关详细信息,请参阅在 Microsoft Defender for Office 365 中配置和查看优先级帐户。
- 评估: 是 或 否。
- 保护者:MDO (Defender for Office 365) 和 EOP
- 方向:将值保留 为“全部 ”或将其删除,在空框中双击,然后选择“ 入站”、“ 出站”或“ 组织内”。
- 标记:保留值 “全部 ”或将其删除,在空框中双击,然后选择“ 优先级帐户”。 有关用户标记的详细信息,请参阅 用户标记。
- 域:保留值 “全部 ”或将其删除,在空框中双击,然后选择 接受的域。
-
策略类型:选择 “全部 ”或以下值之一:
- 反恶意软件
- 安全附件
- 防钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
- 策略名称 (详细信息表视图仅) :选择 “全部 ”或特定策略。
- 收件人 (逗号分隔)
*仅限Defender for Office 365
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
如果通过单击第一列旁边的检查框以外的任意位置从详细信息表中选择条目,则会打开电子邮件详细信息浮出控件。 此详细信息浮出控件称为“Email摘要面板”,其中包含邮件Defender for Office 365 Email实体页上也提供的汇总信息。 有关Email摘要面板中的信息的详细信息,请参阅Email摘要面板。
在 Defender for Microsoft 365 中,威胁防护状态报告的Email摘要面板顶部提供了以下操作:
- 打开电子邮件实体:有关详细信息,请参阅 Microsoft Defender for Office 365 中的Email实体页。
- 采取措施:有关信息,请参阅 威胁搜寻:执行操作向导。
在 “威胁防护状态 ”页上,可以使用“ 创建计划”、“ 请求报告”和“ 导出 ”操作。
按传递状态划分的图表细分
在“按Email>网络钓鱼查看数据”、“按Email>垃圾邮件查看数据”或“按Email>恶意软件查看数据”视图中,选择“按传递状态划分图表”会显示以下信息:
- 托管邮箱:收件箱
- 托管邮箱:垃圾邮件
- 托管邮箱:自定义文件夹
- 托管邮箱:已删除的项目
- 转发
- 本地服务器:已交付
- 隔离
- 传递失败
- 下降
在图表下方的详细信息表中,提供了以下信息:
Date
主题
Sender
收件人
检测技术:图表中的相同检测技术值。
传递状态
发件人 IP
标记:有关用户标记的详细信息,请参阅 用户标记。
若要查看所有列,可能需要执行以下步骤中的一个或多个步骤:
- 在 Web 浏览器中水平滚动。
- 缩小相应列的宽度。
- 在 Web 浏览器中缩小字体功能。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表:
- 日期 (UTC) 开始日期 和 结束日期
- 检测:如本文和检测技术中所述的 检测技术值。
- 保护者:MDO (Defender for Office 365) 和 EOP
- 方向:将值保留 为“全部 ”或将其删除,在空框中双击,然后选择“ 入站”、“ 出站”或“ 组织内”。
- 标记:保留值 “全部 ”或将其删除,在空框中双击,然后选择“ 优先级帐户”。 有关用户标记的详细信息,请参阅 用户标记。
- 域:保留值 “全部 ”或将其删除,在空框中双击,然后选择 接受的域。
-
策略类型:选择 “全部 ”或以下值之一:
- 反恶意软件
- 安全附件
- 防钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
- 策略名称 (详细信息表视图仅) :选择 “全部 ”或特定策略。
- 收件人 (逗号分隔)
*仅限Defender for Office 365
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
如果通过单击第一列旁边的检查框以外的任意位置从详细信息表中选择条目,则会打开电子邮件详细信息浮出控件。 此详细信息浮出控件称为“Email摘要面板”,其中包含邮件Defender for Office 365 Email实体页上也提供的汇总信息。 有关Email摘要面板中的信息的详细信息,请参阅Email摘要面板。
在 Defender for Microsoft 365 中,威胁防护状态报告的Email摘要面板顶部提供了以下操作:
- 打开电子邮件实体:有关详细信息,请参阅 Microsoft Defender for Office 365 中的Email实体页。
- 采取措施:有关信息,请参阅 威胁搜寻:执行操作向导。
在 “威胁防护状态 ”页上,可以使用“ 创建计划”、“ 请求报告”和“ 导出 ”操作。
按内容 > 恶意软件查看数据
在“按内容>恶意软件查看数据”视图中,Microsoft Defender for Office 365组织的图表中显示了以下信息:
- 反恶意软件引擎:Microsoft 365 中的内置病毒检测在 SharePoint、OneDrive 和 Microsoft Teams 中检测到的恶意文件。
- MDO引爆:SharePoint、OneDrive 和 Microsoft Teams 的安全附件检测到的恶意文件。
- 文件信誉:该消息包含以前在其他 Microsoft 365 组织中标识为恶意的文件。
在图表下方的详细信息表中,提供了以下信息:
- Date
- 附件的文件名
- Workload
- 检测技术:图表中的相同检测技术值。
- 文件大小
- 上次修改用户
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表:
- 日期 (UTC) 开始日期 和 结束日期。
- 检测:与图表中的值相同。
- 工作负载: Teams、 SharePoint 和 OneDrive
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
在“威胁防护状态”页上,“导出”操作可用。
按系统替代查看数据,按原因按图表细分
在“ 按系统替代查看数据 ”和 “按原因细分图表 ”视图中,图表中显示了以下替代原因信息:
- 数据丢失防护:Email通过数据丢失防护 (DLP) 策略隔离的邮件。
- Exchange 传输规则
- Outlook) (独占设置
- IP 允许
- 本地跳过
- 组织允许的域:在 反垃圾邮件策略的允许域列表中指定域。
- 组织允许的发件人:发件人在 反垃圾邮件策略的允许发件人列表中指定。
- 钓鱼模拟:有关详细信息,请参阅 配置向用户传递第三方网络钓鱼模拟和将未筛选的邮件传递到 SecOps 邮箱。
- 发件人域列表
- TABL - 允许 URL 和文件
- TABL - 允许的文件
- TABL - 文件已阻止
- TABL - 允许的 URL
- TABL - URL 已阻止
- TABL 发件人电子邮件地址允许
- TABL 发件人电子邮件地址块
- TABL 欺骗块
- 第三方筛选器
- 受信任联系人列表 - 通讯簿中的发件人
- 受信任的收件人地址列表
- 受信任的收件人域列表
- Outlook) (受信任发件人列表
- 用户安全域
- 用户安全发件人
- 未启用 ZAP
在图表下方的详细信息表中,提供了以下信息:
- Date
- 主题
- Sender
- 收件人
- 系统替代
- 发件人 IP
- 标记:有关用户标记的详细信息,请参阅 用户标记。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表:
- 日期 (UTC) 开始日期 和 结束日期
- 原因:与图表相同的值。
- 传递位置: 未启用垃圾邮件文件夹 和 SecOps 邮箱。
- 方向:将值保留 为“全部 ”或将其删除,在空框中双击,然后选择“ 入站”、“ 出站”或“ 组织内”。
- 标记:保留值 “全部 ”或将其删除,在空框中双击,然后选择“ 优先级帐户”。 有关用户标记的详细信息,请参阅 用户标记。
- 域:保留值 “全部 ”或将其删除,在空框中双击,然后选择 接受的域。
-
策略类型:选择 “全部 ”或以下值之一:
- 反恶意软件
- 安全附件
- 防钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
- 策略名称 (详细信息表视图仅) :选择 “全部 ”或特定策略。
- 收件人 (逗号分隔)
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
在“威胁防护状态”页上,“导出”操作可用。
按系统替代和图表细分(按传递位置)查看数据
在“ 按系统替代查看数据 ”和 “按传递位置划分图表细分 ”视图中,图表中显示了以下替代原因信息:
- 未启用“垃圾邮件”文件夹
- SecOps 邮箱:有关详细信息,请参阅 配置向用户传递第三方网络钓鱼模拟和将未筛选的邮件传递到 SecOps 邮箱。
在图表下方的详细信息表中,提供了以下信息:
- Date
- 主题
- Sender
- 收件人
- 系统替代
- 发件人 IP
- 标记:有关用户标记的详细信息,请参阅 用户标记。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表:
- 日期 (UTC) 开始日期 和 结束日期
- 原因:与按策略类型细分图表中的值相同
- 传递位置: 未启用垃圾邮件文件夹 和 SecOps 邮箱。
- 方向:将值保留 为“全部 ”或将其删除,在空框中双击,然后选择“ 入站”、“ 出站”或“ 组织内”。
- 标记:保留值 “全部 ”或将其删除,在空框中双击,然后选择“ 优先级帐户”。 有关用户标记的详细信息,请参阅 用户标记。
- 域:保留值 “全部 ”或将其删除,在空框中双击,然后选择 接受的域。
-
策略类型:选择 “全部 ”或以下值之一:
- 反恶意软件
- 安全附件
- 防钓鱼
- 反垃圾邮件
- 邮件流规则 (传输规则)
- 其他
- 策略名称 (详细信息表视图仅) :选择 “全部 ”或特定策略。
- 收件人 (逗号分隔)
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
在“威胁防护状态”页上,“导出”操作可用。
排名靠前的恶意软件报告
排名靠前的恶意软件报告显示 EOP 中的反恶意软件保护检测到的各种恶意软件。
在 的“Email &协作报告”页上https://security.microsoft.com/emailandcollabreport,找到“热门恶意软件”。
将鼠标悬停在饼图中的楔子上,可查看恶意软件名称以及包含恶意软件的邮件数。
选择“ 查看详细信息 ”,转到“ 热门恶意软件报告 ”页。 或者,若要直接转到报表,请使用 https://security.microsoft.com/reports/TopMalware。
在 “顶部恶意软件报告 ”页上,显示较大版本的饼图。 图表下方的详细信息表显示了以下信息:
- 热门恶意软件:恶意软件名称
- 计数:包含恶意软件的邮件数。
选择“筛选器”,通过在打开的浮出控件中选择“开始日期”和“结束日期”值来修改报表。
排名靠前的发件人和收件人报告
在 EOP 和 Defender for Office 365 中都提供“排名靠前的发件人和收件人”报表;但是,这些报表包含不同的数据。 例如,EOP 客户可以查看有关热门恶意软件、垃圾邮件和钓鱼 (欺骗) 收件人的信息,但不能查看 安全附件 检测到的恶意软件或 模拟保护检测到的网络钓鱼的信息。
“排名靠前的发件人和收件人”报表显示组织中的前 20 个邮件发件人,以及 EOP 检测到的邮件的前 20 个收件人,以及Defender for Office 365保护功能。 默认情况下,报表显示上周的数据,但过去 90 天的数据可用。
在 的“Email &协作报告”页上https://security.microsoft.com/emailandcollabreport,找到“排名靠前的发件人和收件人”。
将鼠标悬停在饼图中的楔子上,可查看发件人或收件人的邮件数。
选择“ 查看详细信息 ”,转到 “排名靠前的发件人和收件人” 页。 或者,若要直接转到报表,请使用以下 URL 之一:
- Defender for Office 365:https://security.microsoft.com/reports/TopSenderRecipientsATP
- EOP: https://security.microsoft.com/reports/TopSenderRecipient
在 “排名靠前的发件人和收件人 ”页上,将显示较大版本的饼图。 以下图表可用:
- 显示默认视图) (邮件发件人的数据
- 显示排名靠前的邮件收件人的数据
- 显示排名靠前的垃圾邮件收件人的数据
- 显示 EOP) (排名靠前的恶意软件收件人的数据
- 显示热门网络钓鱼收件人的数据
- 显示排名靠前的恶意软件收件人 (MDO) 的数据
- 显示热门网络钓鱼收件人的数据 (MDO)
- 显示排名靠前 intra.org 的邮件发件人的数据
- 显示邮件收件人排名靠前 intra.org 的数据
- 显示排名靠前 intra.org 垃圾邮件收件人的数据
- 显示排名靠前 intra.org 恶意软件收件人的数据
- 显示热门 intra.org 钓鱼收件人的数据
- 显示热门 intra.org 钓鱼收件人 (MDO) 的数据
- 显示排名靠前 intra.org 恶意软件收件人的数据 (MDO)
将鼠标悬停在饼图中的楔子上,以查看该特定发件人或收件人的邮件计数。
对于每个图表,图表下方的详细信息表显示以下信息:
- 电子邮件地址
- Item count
- 标记:有关用户标记的详细信息,请参阅 用户标记。
选择“筛选器”,通过在打开的浮出控件中选择以下一个或多个值来修改报表:
- 日期 (UTC) 开始日期 和 结束日期
- 标记:保留值 “全部 ”或将其删除,在空框中双击,然后选择“ 优先级帐户”。 有关用户标记的详细信息,请参阅 用户标记。
完成筛选器配置后,选择“应用”、“取消”或“清除筛选器”。
在“排名靠前的发件人和收件人”页上,“导出”操作可用。
URL 保护报告
URL 保护报告仅在 Microsoft Defender for Office 365 中可用。 有关详细信息,请参阅 URL 保护报告。
用户报告的消息
重要
为了使 用户报告的消息 报告正常工作,必须在 Microsoft 365 组织中 启用审核日志记录 , (默认) 。 有关详细信息,请参阅 打开或关闭审核。
“用户报告的邮件”报告显示有关用户通过使用 Outlook 中的内置“报告”按钮或Microsoft“报告邮件”或“报告钓鱼”加载项报告为垃圾邮件、网络钓鱼尝试或良好邮件的电子邮件的信息。
在 的“Email &协作报告”页上https://security.microsoft.com/emailandcollabreport,找到“用户报告的消息”,然后选择“查看详细信息”。 或者,若要直接转到报表,请使用 https://security.microsoft.com/reports/userSubmissionReport。
若要直接转到 Defender 门户中“提交”页上的“用户报告”选项卡,请选择“转到提交”。
该图表显示以下信息:
- 不是垃圾
- 网络钓鱼
- 垃圾邮件
关系图下方的详细信息表显示了相同的信息,并且具有相同的操作,这些操作在 “提交” 页上https://security.microsoft.com/reportsubmission?viewid=user的 “用户报告” 选项卡上可用:
- 自定义列
- 群
- 滤波器
- 标记为 并通知
- 提交到Microsoft进行分析
有关详细信息,请参阅查看用户报告的消息到Microsoft和用户报告的消息管理员操作。
在报表页上,“导出”操作可用。
查看这些报表需要哪些权限?
需要先获得权限,然后才能查看和使用本文中所述的报表。 可以选择下列选项:
- Microsoft Defender XDR基于角色的统一访问控制 (RBAC) (如果Email &协作>Defender for Office 365权限为活动。仅影响 Defender 门户,而不影响 PowerShell) :安全操作/安全数据/安全数据基础知识 (读取) 或授权和设置/系统设置/管理。
-
Email & Microsoft Defender门户中的协作权限:以下任一角色组中的成员身份:
- 组织管理¹
- 安全管理员
- 安全信息读取者
- 全局读取器
- Microsoft Entra权限:Microsoft Entra ID 中的全局管理员 ²、安全管理员、安全读取者或全局读取者角色的成员身份为用户提供Microsoft 365 中其他功能的所需权限和权限。
¹ 需要组织管理角色组或全局管理员角色的成员身份才能在报表中使用创建计划或请求报表操作 ((如果可用) )。
重要
² Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
如果报表未显示数据,该怎么办?
如果未在报表中看到数据,检查报告筛选器和双重检查,保护策略配置为检测消息并对其进行操作。 有关详细信息,请参阅以下文章:
- 用于 EOP 和 Microsoft Defender for Office 365 中的保护策略的配置分析器
- 在 EOP 和 Microsoft Defender for Office 365 中预设安全策略
- 如何实现关闭垃圾邮件筛选?
下载和导出报表信息
根据报表和报表中的特定视图,main报表页上可能会提供以下一个或多个操作,如前所述:
导出报表数据
提示
- 导出的数据受导出时报表中配置的任何筛选器的影响。
- 如果导出的数据超过 150000 个条目,则数据将拆分为多个文件。
在报表页上,选择“ 导出”。
在打开的 “导出条件 ”浮出控件中,查看并配置以下设置:
-
选择要导出的视图:选择以下值之一:
- 摘要:过去 90 天的数据可用。 此值为默认值。
- 详细信息:提供过去 30 天的数据。 支持一天的日期范围。
-
日期 (UTC) :
- 开始日期:默认值为三个月前。
- 结束日期:默认值为今天。
完成“ 导出条件 ”浮出控件后,选择“ 导出”。
“ 导出 ”按钮更改为“ 正在导出...” ,并显示进度栏。
-
选择要导出的视图:选择以下值之一:
在打开的“ 另存为 ”对话框中,你会看到 .csv 文件的默认名称和下载位置 (默认) 本地“下载”文件夹,但可以更改这些值,然后选择“ 保存 ”以下载导出的数据。
如果看到 security.microsoft.com 想要下载多个文件的对话框,请选择“ 允许”。
计划定期报告
若要创建计划报表,你需要是 Exchange Online 中的组织管理角色的成员,或者是 Microsoft Entra ID 中的全局管理员*角色。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
在报表页上,选择“创建计划”以启动新的计划报表向导。
在 “命名计划报表 ”页上,查看或自定义 “名称” 值,然后选择“ 下一步”。
在 “设置首选项 ”页上,查看或配置以下设置:
-
频率:选择以下值之一:
- 每周 (默认)
- 每日 (此值会导致图表中未显示任何数据)
- 每月
- 开始日期:输入报表生成开始的日期。 默认值为今天。
- 到期日期:输入报表生成结束的日期。 默认值为从今天开始的一年。
完成“ 设置首选项 ”页后,选择“ 下一步”。
-
频率:选择以下值之一:
在 “选择筛选器” 页上,配置以下设置:
-
方向:选择以下值之一:
- 所有 (默认)
- 出站
- 入境
- 发件人地址
- 收件人地址
完成“ 选择筛选器” 页后,选择“ 下一步”。
-
方向:选择以下值之一:
在“ 收件人 ”页上,在“ 将电子邮件发送到 ”框中选择报表的收件人。 默认值为电子邮件地址,但可以通过执行以下步骤之一添加其他地址:
- 在框中单击,等待用户列表解析,然后从该框下面的列表中选择该用户。
- 单击该框,开始键入一个值,然后从该框下面的列表中选择用户。
若要从列表中删除条目,请选择 该条目旁边的项。
完成“ 收件人 ”页面后,选择“ 下一步”。
在“ 审阅 ”页上,查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。
完成“ 审阅”页面后,选择“ 提交”。
在“ 新建计划报表已创建 ”页上,可以选择查看计划报表或创建其他报表的链接。
在“ 新建计划报表创建 ”页上完成操作后,选择“ 完成”。
根据配置的计划,报告通过电子邮件发送给指定的收件人
计划的报表条目可在 “托管计划 ”页上使用,如下一小节中所述。
管理现有计划报表
按照上一部分所述创建计划报表后,可在 Defender 门户中的 “管理计划 ”页上使用计划的报表条目。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“报表>Email &协作>”,选择“管理计划”。 或者,若要直接转到 “管理计划 ”页,请使用 https://security.microsoft.com/ManageSubscription。
在 “管理计划 ”页上,每个计划的报表条目都显示以下信息:
- 计划开始日期
- 计划名称
- 报告类型
- Frequency
- 上次发送
若要将列表从普通间距更改为精简间距,请选择“ 将列表间距更改为精简或正常”,然后选择“ 压缩列表”。
使用“ 搜索 ”框查找现有的计划报表条目。
若要修改计划的报表设置,请执行以下步骤:
单击行中除“检查”框以外的任意位置,选择计划的报表条目。
在打开的详细信息浮出控件中,执行以下步骤之一:
- 选择“编辑名称”以更改计划报表的名称。
- 选择 部分中的 “编辑” 链接以修改相应的设置。
设置和配置步骤与 计划报表中所述相同。
若要删除计划的报表条目,请使用以下方法之一:
- 选择一个或多个或所有计划报表旁边的检查框,然后选择“main”页上显示的“删除”操作。
- 单击行中除“检查”框以外的任意位置,选择计划的报表,然后在打开的详细信息浮出控件中选择“删除”。
阅读打开的警告对话框,然后选择“ 确定”。
返回到 “管理计划 ”页,不再列出已删除的计划报表条目,并且计划报表的先前报表将被删除,不再可供下载。
请求按需报告以供下载
若要创建按需报表,你需要是 Exchange Online 中的组织管理角色的成员,或者是 Microsoft Entra ID 中的全局管理员*角色。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
在报表页上,选择“请求报表”以启动新的按需报表向导。
在 “按需命名报表 ”页上,查看或自定义 “名称” 值,然后选择“ 下一步”。
在 “设置首选项 ”页上,查看或配置以下设置:
- 开始日期:输入报表数据的开始日期。 默认值为一个月前。
- 到期日期:输入报表数据的结束日期。 默认值为今天。
完成“ 按需名称报表 ”页后,选择“ 下一步”。
在“ 收件人 ”页上,在“ 将电子邮件发送到 ”框中选择报表的收件人。 默认值为电子邮件地址,但可以通过执行以下步骤之一添加其他地址:
- 在框中单击,等待用户列表解析,然后从该框下面的列表中选择该用户。
- 单击该框,开始键入一个值,然后从该框下面的列表中选择用户。
若要从列表中删除条目,请选择 该条目旁边的项。
完成“ 收件人 ”页面后,选择“ 下一步”。
在“ 审阅 ”页上,查看设置。 可以在每个部分中选择“编辑”来修改该部分中的设置。 或者,可以在向导中选择“ 后退 ”或特定页面。
完成“ 审阅”页面后,选择“ 提交”。
在 “新建按需报表已创建 ”页上,可以选择创建另一个报表的链接。
在“ 新建按需报表创建 ”页上完成操作后,选择“ 完成”。
报表创建任务 (,最终完成的报表) 可在“ 供下载的报表 ”页上使用,如下一小节中所述。
下载报表
若要下载按需报表,你需要是 Exchange Online 中的组织管理角色的成员,或者是 Microsoft Entra ID 中的全局管理员*角色。
重要
* Microsoft建议使用权限最少的角色。 使用权限较低的帐户有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。
按上一部分所述请求按需报告后,检查报表的状态,并最终在 Defender 门户的“要下载的报表”页面上下载报表。
在 Microsoft Defender 门户中https://security.microsoft.com,转到“报表Email &>协作>选择”报表“进行下载。 或者,若要直接转到 “报表下载 ”页,请使用 https://security.microsoft.com/ReportsForDownload。
在 “下载报表 ”页上,将显示每个可用报表的以下信息:
- 开始日期
- 名称
- 报告类型
- 上次发送
-
状态:
- 挂起:报表仍在创建中,尚无法下载。
- 完成 - 可供下载:报表生成已完成,报表可供下载。
- 完成 - 未找到结果:报表生成已完成,但报表不包含任何数据,因此无法下载。
若要下载报表,请选择报表开始日期旁边的“检查”框,然后选择出现的“下载报表”操作。
使用“ 搜索 ”框查找现有报表。
在打开的“ 另存为 ”对话框中,你会看到默认 .csv 文件名称和下载位置 (默认) 本地“下载”文件夹,但可以更改这些值,然后选择“ 保存 ”以下载报表。