Get-MailTrafficATPReport

此 cmdlet 仅在基于云的服务中可用。

使用 Get-MailTrafficATPReport cmdlet 可以查看过去 90 天内基于云的组织中Exchange Online Protection和Microsoft Defender for Office 365检测的结果。

有关以下语法部分的参数设置的详细信息,请参阅 Exchange cmdlet 语法

语法

Get-MailTrafficATPReport
   [-Action <MultiValuedProperty>]
   [-AggregateBy <String>]
   [-Direction <MultiValuedProperty>]
   [-Domain <MultiValuedProperty>]
   [-EndDate <DateTime>]
   [-EventType <MultiValuedProperty>]
   [-NumberOfRows <Int32>]
   [-Page <Int32>]
   [-PageSize <Int32>]
   [-PivotBy <MultiValuedProperty>]
   [-ProbeTag <String>]
   [-StartDate <DateTime>]
   [-SummarizeBy <MultiValuedProperty>]
   [<CommonParameters>]

说明

安全附件是 Microsoft Defender for Office 365 中的一项功能,可在特殊的虚拟机监控程序环境中打开电子邮件附件以检测恶意活动。

安全链接是Microsoft Defender for Office 365中的一项功能,用于检查电子邮件中的链接,以查看它们是否导致恶意网站。 在用户单击邮件中的链接后,系统会临时重写 URL,并对照已知的恶意网站列表来检查此 URL。 安全链接具有 URL 跟踪报告功能,有助于确定单击后到达恶意网站的人员。

在所指定的报表周期里,该 cmdlet 返回以下信息:

  • 日期
  • 事件类型
  • 方向
  • 判决来源
  • 邮件计数

您必须先获得权限,然后才能运行此 cmdlet。 虽然本主题中列出了此 cmdlet 的所有参数,但如果这些参数并未包含在分配给您的权限中,那么您将无法使用这些参数。 若要查找在贵组织中运行任何 cmdlet 或参数所需的权限,请参阅 Find the permissions required to run any Exchange cmdlet

示例

示例 1

Get-MailTrafficATPReport

此示例检索过去 92 天的邮件的详细信息。

示例 2

Get-MailTrafficATPReport -StartDate (Get-Date "12/25/2021 12:01 AM").ToUniversalTime() -EndDate (Get-Date "12/25/2021 11:59 PM").ToUniversalTime() -Direction Outbound

此示例检索 2021 年 12 月 25 日传出邮件的统计信息,并在表中显示结果。

参数

-Action

Action 参数按对消息执行的操作筛选报表。 若要查看此参数的有效值的完整列表,请运行命令: Get-MailFilterListReport -SelectionTarget Actions。 指定的操作必须与报表类型相对应。 例如,只能为恶意软件报告指定恶意软件筛选器操作。

Action 参数按 DLP 策略、传输规则、恶意软件筛选或垃圾邮件筛选所进行的操作来筛选报告。要查看该参数有效值的完整列表,请运行命令 Get-MailFilterListReport -SelectionTarget Actions。您指定的操作必须与报表类型对应。例如,您只能针对恶意软件报告指定恶意软件筛选操作。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-AggregateBy

AggregateBy 参数指定报告周期。 有效值为:Hour、Day 或 Summary。 默认值为 Day。

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Direction

Direction 参数按传入的邮件或待发邮件筛选结果。 有效值包含:

  • 入境
  • 出站
  • IntraOrg

可以指定用逗号分隔的多个值。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Domain

Domain 参数按基于云的组织中的接受的域来筛选结果。 可以指定用逗号分隔的多个域值。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EndDate

EndDate 参数指定协调世界时 (UTC) 中的日期范围的结束时间。

若要指定此参数的日期/时间值,请使用下列方法之一:

  • 指定 UTC 中的日期/时间值:例如,“2021-05-06 14:30:00z”。
  • 将日期/时间值指定为将本地时区中的日期/时间转换为 UTC 的公式:例如 (Get-Date "5/6/2021 9:30 AM").ToUniversalTime()。 有关详细信息,请参阅 Get-Date

如果使用 EndDate 参数,还必须使用 StartDate 参数。

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EventType

EventType 参数按事件类型筛选报表。 有效值包含:

  • 高级筛选器
  • 反恶意软件引擎
  • Campaign
  • 文件设置
  • 文件创建的信誉
  • 文件信誉
  • 指纹匹配
  • 常规筛选器
  • 模拟品牌
  • 模拟域
  • 模拟用户
  • 邮箱智能模拟
  • 传递的消息
  • 混合分析检测
  • 欺骗 DMARC
  • 欺骗外部域
  • 欺骗内部组织
  • URL 设置
  • URL 组织的信誉
  • URL 恶意声誉

注意:某些值对应于仅在Defender for Office 365 (计划 1 中可用的功能,计划 2 或计划 2 仅) 。

Update 如果值包含空格或需要引号,请使用以下语法: "Value1","Value2",..."ValueN"

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-NumberOfRows

NumberOfRows 参数指定要在报表中返回的行数。 最大值为 10000。

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Page

Page 参数指定您希望查看的结果的页数。 此参数的有效输入是介于 1 和 1000 之间的整数。 默认值为 1。

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PageSize

PageSize 参数指定每页的最大条目数量。 此参数的有效输入是介于 1 和 5000 之间的整数。 默认值为 1000。

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PivotBy

{{ Fill PivotBy Description }}

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-ProbeTag

保留此参数以供 Microsoft 内部使用。

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-StartDate

StartDate 参数指定协调世界时 (UTC) 中的日期范围的开始日期。

若要指定此参数的日期/时间值,请使用下列方法之一:

  • 指定 UTC 中的日期/时间值:例如,“2021-05-06 14:30:00z”。
  • 将日期/时间值指定为将本地时区中的日期/时间转换为 UTC 的公式:例如 (Get-Date "5/6/2021 9:30 AM").ToUniversalTime()。 有关详细信息,请参阅 Get-Date

如果使用 StartDate 参数,还必须使用 EndDate 参数。

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-SummarizeBy

SummarizeBy 参数根据您指定的值返回总和。 如果您的报告使用此参数接受的任意值筛选数据,则您可以使用 SummarizeBy 参数根据这些值对结果进行汇总。 若要减少报告中返回的行数,请考虑使用 SummarizeBy 参数。 汇总可以减少为报表检索的数据量,并更快地传递报表。 例如,与其在报告中的一行上查看 EventType 的特定值的每个实例,不如使用 SummarizeBy 参数在报告的一行中查看 EventType 的特定值的实例总数。

对于此 cmdlet,有效值为:

  • 操作
  • 方向
  • Domain
  • EventType

可以指定用逗号分隔的多个值。 指定值 Action 或 Domain 时,该值不会显示在结果中, (相应列中的值为空白) 。

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection