在 Microsoft Defender 入口網站中檢視電子郵件安全性報告
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
在所有Microsoft 365 組織中,有各種報告可協助您了解電子郵件安全性功能如何保護您的組織。 如果您有 必要的許可權,您可以檢視和下載這些報表,如本文所述。
報表可在 Microsoft Defender 入口網站https://security.microsoft.com的 [Email & 共同作業報告] 頁面上>取得 Email & 共同作業>報告 Email & 共同作業報告。 或者,若要直接移至 Email & 共同作業報告頁面,請使用 https://security.microsoft.com/emailandcollabreport。
頁面上提供每個報表的摘要資訊。 識別您想要檢視的報表,然後選 取 [檢視 該報表的詳細數據]。
本文的其餘部分將說明 適用於 Office 365 的 Defender 專屬的報表。
注意事項
Email & 共同作業報告頁面上的某些報告是專屬於 適用於 Office 365 的 Microsoft Defender。 如需這些報表的相關信息,請參閱在 Microsoft Defender 入口網站中檢視 適用於 Office 365 的 Defender 報表。
與郵件流程相關的報表現在位於 Exchange 系統管理中心。 如需這些報告的詳細資訊,請參閱 新 Exchange 系統管理中心的郵件流程報告。
這些報告的連結可在 Defender > 入口網站中取得 Email & 共同>作業 Email & 共同作業報告>Exchange 郵件流程報告,這會帶您前往 https://admin.exchange.microsoft.com/#/reports/mailflowreportsmain。
Email Microsoft Defender 入口網站中的安全性報告變更
下表說明 Microsoft Defender 入口網站中已取代、移動或取代的 Exchange Online Protection (EOP) 和 適用於 Office 365 的 Microsoft Defender 報告。
已淘汰的報表和 Cmdlet | 新的報表和 Cmdlet | 訊息中心標識碼 | Date |
---|---|---|---|
URL 追蹤 Get-URLTrace |
URL 保護報告 Get-SafeLinksAggregateReport Get-SafeLinksDetailReport |
MC239999 | 2021 年 6 月 |
已傳送和接收的電子郵件報告 Get-MailTrafficReport Get-MailDetailReport |
威脅防護狀態報告 郵件流程狀態報告 Get-MailTrafficATPReport Get-MailDetailATPReport Get-MailFlowStatusReport |
MC236025 | 2021 年 6 月 |
轉送報表 沒有 Cmdlet |
EAC 中的自動轉寄訊息報告 沒有 Cmdlet |
MC250533 | 2021 年 6 月 |
安全附件檔類型報告 Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport |
威脅防護狀態報告:依 Email > 惡意代碼檢視數據 Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250532 | 2021 年 6 月 |
安全附件訊息處置報告 Get-AdvancedThreatProtectionTrafficReport Get-MailDetailMalwareReport |
威脅防護狀態報告:依 Email > 惡意代碼檢視數據 Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250531 | 2021 年 6 月 |
在電子郵件報告中偵測到惡意代碼 Get-MailTrafficReport Get-MailDetailMalwareReport |
威脅防護狀態報告:依 Email > 惡意代碼檢視數據 Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250530 | 2021 年 6 月 |
垃圾郵件偵測報告 Get-MailTrafficReport Get-MailDetailSpamReport |
威脅防護狀態報告:依 Email > 垃圾郵件檢視數據 Get-MailTrafficATPReport Get-MailDetailATPReport |
MC250529 | 2021 年 10 月 |
Get-AdvancedThreatProtectionDocumentReport Get-AdvancedThreatProtectionDocumentDetail |
Get-ContentMalwareMdoAggregateReport Get-ContentMalwareMdoDetailReport |
MC343433 | 2022 年 5 月 |
Exchange 傳輸規則報告 Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport |
EAC 中的 Exchange 傳輸規則報告 Get-MailTrafficPolicyReport Get-MailDetailTransportRuleReport |
MC316157 | 2022 年 4 月 |
Get-MailTrafficTopReport |
熱門寄件人和收件者報告 Get-MailTrafficSummaryReport 注意:Get-MailTrafficTopReport 中沒有加密報告功能的替代專案。 |
MC315742 | 2022 年 4 月 |
遭入侵的用戶報告
[ 遭入侵的使用者 ] 報告會顯示過去 7 天內標 示為可疑 或 受限制 的使用者帳戶數目。 任一狀態中的帳戶有問題或甚至遭到入侵。 使用頻繁時,您可以使用報告來找出可疑或受限制帳戶中的尖峰,甚至是趨勢。 如需遭入侵使用者的詳細資訊,請 參閱回應遭入侵的電子郵件帳戶。
匯總檢視會顯示過去 90 天的數據,而詳細數據檢視則顯示過去 30 天的數據。
在 Email & 共同作業報告] 頁面上https://security.microsoft.com/emailandcollabreport,尋找 [遭入侵的使用者],然後選取 [檢視詳細數據]。 或者,若要直接移至報表,請使用 https://security.microsoft.com/reports/CompromisedUsers。
在 [ 遭入侵的使用者 ] 頁面上,圖表會顯示指定日期範圍的下列資訊:
- 受限制:用戶帳戶因高度可疑模式而無法傳送電子郵件。
- 可疑:用戶帳戶已傳送可疑的電子郵件,而且有被限制無法傳送電子郵件的風險。
圖表下方的詳細資料表會顯示下列資訊:
- 建立時間
- User ID
- 動作
- 標籤:如需使用者標籤的詳細資訊,請參閱 使用者標籤。
選擇 [篩選 ] 以開啟的飛出視窗中選取下列一或多個值來修改報表和詳細資料表:
- 日期 (UTC) : 開始日期 和 結束日期。
- 活動: 受限制 或 可疑
- 標籤:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 優先順序帳戶]。 如需使用者標籤的詳細資訊,請參閱 使用者標籤。
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
在 [ 遭入侵的使用者] 頁面上,可以使用 [ 建立排程]、 [要求報告] 和 [ 匯出 ] 動作。
Exchange 傳輸規則報告
注意事項
Exchange 傳輸規則報告現在可在 EAC 中取得。 如需詳細資訊,請 參閱新 EAC 中的 Exchange 傳輸規則報告。
轉送報表
注意事項
此報表現在可在 EAC 中取得。 如需詳細資訊,請 參閱新 EAC 中的自動轉送訊息報告。
郵件流程狀態報告
郵件流程狀態報告是智慧報表,其中顯示傳入和傳出電子郵件、垃圾郵件偵測、惡意代碼、識別為「良好」的電子郵件,以及邊緣上允許或封鎖之電子郵件的相關信息。 這是唯一包含邊緣保護信息的報表。 此報表顯示在 Exchange Online Protection (EOP) 或適用於 Microsoft 365 的 Defender 輸入服務進行檢查之前,已封鎖多少電子郵件。
提示
如果郵件傳送給五位收件者,我們會將它計算為五個不同的訊息,而不是一則訊息。
在 Email & 共同作業報告] 頁面上https://security.microsoft.com/emailandcollabreport,尋找 [郵件流程狀態摘要],然後選取 [檢視詳細數據]。 或者,若要直接移至報表,請使用 https://security.microsoft.com/reports/mailflowStatusReport。
下列小節說明 郵件流程狀態報告中 的可用檢視。
郵件流程狀態報告的類型檢視
在 [ 郵件流程狀態報告 ] 頁面上,預設會選取 [ 類型 ] 索引標籤。 圖表會顯示指定日期範圍的下列資訊:
- 惡意代碼:Email 會被各種篩選條件封鎖為惡意代碼。
- Total
- 好郵件:決定不是垃圾郵件或使用者或組織原則允許的 Email。
- 網路釣魚電子郵件:Email 會被各種篩選條件封鎖為網路釣魚。
- 垃圾郵件:由各種篩選條件封鎖為垃圾郵件的 Email。
- 邊緣保護:在 EOP 或 適用於 Office 365 的 Defender 檢查之前,在邊緣/周邊拒絕的 Email。
- 規則訊息:Email 郵件流程規則隔離的郵件, (也稱為傳輸規則) 。
- 數據外洩防護:Email 由數據外泄防護 (DLP) 原則隔離的訊息。
圖表下方的詳細資料表會顯示下列資訊:
- 方向
- 類型
- 24 小時
- 3 天
- 7 天
- 15 天
- 30 天
選擇 [篩選 ] 以開啟的飛出視窗中選取下列一或多個值來修改報表和詳細資料表:
- 日期 (UTC) : 開始日期 和 結束日期。
- 郵件方向:選取 [ 輸入]、[ 輸出] 和 [組織 內部]。
-
類型:選取下列一或多個值:
- 好郵件
- 惡意程式碼
- 垃圾郵件
- Edge 保護
- 規則訊息
- 網路釣魚電子郵件
- 資料外洩防護
- 網域:選取 [全部 ] 或 [已接受的網域]。
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
在 [ 類型] 索引 標籤上, 選取 [選擇類別] 以取得詳細 資訊,以查看詳細資訊:
- 網路釣魚電子郵件:此選項會帶您在威脅防護狀態報告中,依偵測技術 Email > 網路釣魚和圖表明細來檢視數據。
- 電子郵件中的惡意代碼:此選取範圍會帶您在威脅防護狀態報告中檢視 Email > 惡意代碼和依偵測技術的圖表明細。
- 垃圾郵件偵測:此選取範圍會帶您在威脅防護狀態報告中,依偵測技術 Email > 垃圾郵件和圖表明細來檢視數據。
在 [類型] 索引標籤上,可以使用 [建立排程] 和 [匯出] 動作。
郵件流程狀態報告的方向檢視
在 [ 方向] 索引 標籤上,圖表會顯示指定日期範圍的下列資訊:
- 入境
- 組織內部
- 出埠
選擇 [篩選 ] 以開啟的飛出視窗中選取下列一或多個值來修改報表和詳細資料表:
日期 (UTC) : 開始日期 和 結束日期。
注意事項
若要查看特定日期的數據,請使用後天。 例如,若要查看 1 月 10 日的數據,請在篩選中使用 1 月 11 日。 今天的數據可用於明天篩選。
郵件方向:選取 [ 輸入]、[ 輸出] 和 [組織 內部]。
類型:選取下列一或多個值:
- 好郵件
- 惡意程式碼
- 垃圾郵件
- Edge 保護
- 規則訊息
- 網路釣魚電子郵件
- 數據外洩防護:Email 由數據外泄防護 (DLP) 原則隔離的訊息。
網域:選取 [全部 ] 或 [已接受的網域]。
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
在 [ 方向] 索引 標籤上, 選取 [選擇類別] 以取得詳細 資訊,以查看詳細資訊:
- 網路釣魚電子郵件:此選項會帶您在威脅防護狀態報告中,依偵測技術 Email > 網路釣魚和圖表明細來檢視數據。
- 電子郵件中的惡意代碼:此選項會帶您在威脅防護狀態報告中,依 Email > 惡意代碼和依偵測技術的圖表明細來檢視數據。
- 垃圾郵件偵測:此選項會帶您在威脅防護狀態報告中,依偵測技術 Email > 垃圾郵件和圖表明細來檢視數據。
在 [方向] 索引標籤上,可以使用 [建立排程] 和 [匯出] 動作。
郵件流程狀態報告的郵件流程檢視
[ 郵件流程] 索引 標籤會顯示Microsoft的電子郵件威脅防護功能如何篩選組織中的傳入和傳出電子郵件。 此檢視使用稱為 Sankey 圖表 (的水準流程圖) 提供電子郵件總數的詳細數據,以及威脅防護功能如何影響此計數。
匯總檢視和詳細數據表檢視允許 90 天的篩選。
圖表中的資訊是以 EOP 和 適用於 Office 365 的 Defender 技術的色彩編碼。
此圖表會組織成下列水準帶:
- 電子郵件 群組總計:此值一律會先顯示。
-
Edge 區塊 和 已處理的 帶:
- 邊緣區塊:已在邊緣篩選並識別為Edge Protection的訊息。
- 已處理:篩選堆疊所處理的訊息。
- 結果帶:
- 數據外泄防護區塊
- 規則封鎖:Exchange 郵件流程規則所隔離的郵件 (傳輸規則) 。
- 惡意代碼封鎖:識別為惡意代碼的訊息。*
- 網路釣魚區塊:識別為網路釣魚的訊息。*
- 垃圾郵件封鎖:識別為垃圾郵件的郵件。*
- 模擬區塊:在 適用於 Office 365 的 Defender 中偵測到為用戶模擬或網域仿真的訊息。*
- 衝突區塊:安全附件原則或安全鏈接原則在 適用於 Office 365 的 Defender 中偵測到的檔案或 URL 擷取訊息。*
- 已移除 ZAP:由零時差自動清除 (ZAP) 移除的訊息。*
- 已傳遞:因允許而傳遞給用戶的訊息。*
如果您將滑鼠停留在圖表中的水準帶,您會看到相關訊息的數目。
* 如果您選取此元素,圖表會展開以顯示進一步的詳細數據。 如需擴充節點中每個元素的描述,請參閱 偵測技術。
圖表下方的詳細資料表顯示下列資訊:
- UTC) (日期
- 電子郵件總數
- 已篩選邊緣
- 規則訊息
- 已篩選規則、安全附件、反惡意代碼引擎
- DMARC 模擬、詐騙、網路釣魚篩選
- 偵測到壟彈
- 已篩選反垃圾郵件
- 已移除 ZAP
- 未偵測到任何威脅的訊息
選取詳細數據數據表中的數據列,以查看開啟之詳細數據飛出視窗中電子郵件計數的進一步明細。
選擇 [篩選 ] 以開啟的飛出視窗中選取下列一或多個值來修改報表和詳細資料表:
- 開始日期和結束日期 (UTC) 日期。
- 郵件方向:選取 [ 輸入]、[ 輸出] 和 [組織 內部]。
- 網域:選取 [全部 ] 或 [已接受的網域]。
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
在 [ 郵件流程] 索引 標籤上,選取 [ 顯示趨勢 ],以在開啟的 [郵件流程趨勢 ] 飛出視窗中查看趨勢圖表。
在 [ 郵件流程] 索引 標籤上,可以使用 [ 匯出 ] 動作。
惡意代碼偵測報告
注意事項
此報表已被取代。 威脅 防護狀態報告中也提供相同的資訊。
郵件延遲報告
適用於 Office 365 的 Defender 中的郵件延遲報告包含組織內所經歷的郵件傳遞和擷取延遲的相關信息。 如需詳細資訊,請參閱 郵件延遲報告。
傳遞後活動報告
傳遞後活動報告僅適用於 適用於 Office 365 的 Microsoft Defender 方案 2 的組織。 如需報表的相關信息,請參閱 傳遞後活動報告。
垃圾郵件偵測報告
注意事項
此報表已被取代。 威脅 防護狀態報告中也提供相同的資訊。
詐騙偵測報告
詐騙 偵測報告會 顯示因詐騙而封鎖或允許之訊息的相關信息。 如需詐騙的詳細資訊,請參閱 EOP 中的反詐騙保護。
報表的匯總和詳細數據檢視允許 90 天的篩選。
注意事項
報表中最新的可用數據為 3 到 4 天。
在 Email & 共同作業報告] 頁面上https://security.microsoft.com/emailandcollabreport,尋找詐騙偵測,然後選取 [檢視詳細數據]。 或者,若要直接移至報表,請使用 https://security.microsoft.com/reports/SpoofMailReport。
此圖表會顯示下列資訊:
- 通過
- 失敗
- SoftPass
- 無
- 其他
將滑鼠停留在一天 (圖表中的數據點) ,以查看偵測到的詐騙訊息數目和原因。
圖表下方的詳細資料表會顯示下列資訊:
Date
詐騙使用者
傳送基礎結構
詐騙類型
結果
結果碼
SPF
DKIM
DMARC
訊息計數
若要查看所有資料行,您可能需要執行下列一或多個步驟:
- 在網頁瀏覽器中水平捲動。
- 縮小適當數據行的寬度。
- 縮小網頁瀏覽器。
如需複合驗證結果碼的詳細資訊,請參閱 Microsoft 365 中的反垃圾郵件訊息標頭。
選擇 [篩選 ] 以開啟的飛出視窗中選取下列一或多個值來修改報表和詳細資料表:
- 開始日期與結束日期) UTC (日期
-
結果:
- 通過
- 失敗
- SoftPass
- 無
- 其他
- 詐騙類型: 內部 和 外部
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
在 [ 詐騙郵件報告 ] 頁面上,可以使用 [ 建立排程]、 [要求報告] 和 [ 匯出 ] 動作。
提交報告
提交報告會顯示系統管理員在過去 30 天內回報給Microsoft進行分析之專案的相關信息。 如需系統管理員提交的詳細資訊,請參閱使用 管理員 提交將可疑的垃圾郵件、網路釣魚、URL 和檔案提交至Microsoft。
在 Email & 共同作業報告] 頁面上https://security.microsoft.com/emailandcollabreport,尋找 [提交],然後選取 [檢視詳細數據]。 或者,若要直接移至報表,請使用 https://security.microsoft.com/adminSubmissionReport。
若要直接移至 Defender 入口網站中的 [ 提交 ] 頁面,請選取 [移至提交]。
此圖表會顯示下列資訊:
- 擱置
- 已完成
圖表下方的詳細數據表會顯示相同的資訊,而且具有與 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=email上 [電子郵件] 索引標籤相同的可用動作動作::
- 自訂數據行
- 群
- 提交至Microsoft進行分析
如需詳細資訊,請 參閱檢視電子郵件管理員提交至Microsoft。
選擇 [篩選 ] 以開啟的飛出視窗中選取下列一或多個值來修改報表和詳細資料表:
- 提交日期: 開始日期 和 結束日期
- 提交標識碼
- 網路訊息標識碼
- Sender
- 收件者
- 提交名稱
- 提交者
-
提交的原因:
- 不是垃圾郵件
- 顯示為乾淨
- 顯示為可疑
- 網路釣魚
- 惡意程式碼
- 垃圾郵件
-
重新掃描狀態:
- 擱置
- 已完成
- 標籤: 所有 或一或多個 使用者標籤。
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
在 [ 提交] 頁面上,可以使用 [導出 ] 動作。
威脅防護狀態報告
EOP 和 適用於 Office 365 的 Defender 都提供威脅防護狀態報告。 不過,報表包含不同的數據。 例如,EOP 客戶可以檢視電子郵件中偵測到的惡意代碼相關信息,但無法檢視 SharePoint、OneDrive 和 Microsoft Teams 安全附件所偵測到惡意檔案的相關信息。
此報告提供含有惡意內容的電子郵件訊息計數。 例如:
- 檔案或網站位址 (反惡意代碼引擎封鎖的 URL) 。
- 受到零時差自動清除影響的檔案或訊息 (ZAP)
- 適用於 Office 365 的 Defender 功能封鎖的檔案或訊息:反網路釣魚原則中的安全連結、安全附件和模擬保護功能。
您可以使用此報告中的資訊來識別趨勢,或判斷您的組織原則是否需要調整。
提示
如果郵件傳送給五位收件者,我們會將它計算為五個不同的訊息,而不是一則訊息。
在 Email & 共同作業報告] 頁面上https://security.microsoft.com/emailandcollabreport,尋找 [提交],然後選取 [檢視詳細數據]。 或者,若要直接移至報表,請使用下列其中一個URL:
- 適用於 Office 365 的 Defender:https://security.microsoft.com/reports/TPSAggregateReportATP
- EOP: https://security.microsoft.com/reports/TPSAggregateReport
根據預設,圖表會顯示過去七天的資料。 選取 [威脅防護狀態報告] 頁面上的 [篩選],以選取 90 天的日期範圍 (試用訂閱可能限制為 30 天) 。 [詳細資料] 表格允許篩選 30 天。
下列小節說明可用的檢視。
依概觀檢視數據
在 [依 概觀檢視數據 ] 檢視中,下列偵測資訊會顯示在圖表中:
- Email 惡意代碼
- Email 網路釣魚
- Email 垃圾郵件
- 僅限內容惡意代碼 (適用於 Office 365 的 Defender:SharePoint Online、OneDrive 和 Microsoft Teams 內建病毒防護偵測到的檔案,以及適用於 SharePoint、OneDrive 和 Microsoft Teams)
圖表下方沒有可用的詳細數據表。
選取 [篩選 ] 以在開啟的飛出視窗中選取下列一或多個值來修改報表:
- 開始日期和結束日期 (UTC) 日期。
- 偵測:與圖表中的值相同。
- 受保護:MDO ( 適用於 Office 365 的 Defender) 和 EOP。
- 標籤:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 優先順序帳戶]。 如需使用者標籤的詳細資訊,請參閱 使用者標籤。
- 方向:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 輸入]、[ 輸出] 或 [組織 內部]。
- 網域:保留 [ 全部 ] 或 [移除] 值,按兩下空白方塊,然後選取 接受的網域。
-
原則類型:保留 [ 全部 ] 或 [移除] 值,按兩下空白方塊,然後選取下列其中一個值:
- 反惡意代碼
- 安全附件
- 防網路釣魚
- 反垃圾郵件
- 郵件流程規則 (傳輸規則)
- 其他人
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
依偵測技術 Email > 網路釣魚和圖表明細來檢視數據
注意事項
在 2021 年 5 月,電子郵件中的網路釣魚偵測已更新為包含包含網路釣魚 URL 的郵件附件 。 這項變更可能會將某些偵測磁碟區從 [檢視] 數據中移出,方法是 Email > 惡意代碼檢視,然後 Email > 網络釣魚檢視移至 [檢視數據]。 換句話說,具有傳統上識別為惡意代碼之網路釣魚 URL 的郵件附件現在可能會被識別為網路釣魚。
在 [依偵測技術 Email > 網络釣魚和圖表明細檢視] 檢視中,下列資訊會顯示在圖表中:
- 進階篩選:以機器學習為基礎的網路釣魚訊號。
- 營銷活動*:識別為 營銷活動的一部分的訊息。
- 檔案損毀*: 安全附件在 惡意分析期間偵測到惡意附件。
- 檔案損毀信譽*:其他Microsoft 365 組織中先前由 安全附件 偵測到的檔案附件。
- 檔案信譽:此訊息包含先前在其他Microsoft 365 組織中識別為惡意的檔案。
- 指紋比對:此訊息與先前偵測到的惡意訊息非常類似。
- 一般篩選:以分析師規則為基礎的網路釣魚訊號。
- 模擬品牌:傳送者模擬知名品牌。
- 模擬網域*:模擬您擁有或指定以在 反網路釣魚原則中保護的發件者網域。
- 模擬使用者*:模擬您在 反網路釣魚 原則中指定或透過信箱智慧學習的受保護髮件者。
- 信箱智慧模擬*:反網路釣魚原則中來自信箱智慧的模擬 偵測。
- 混合分析偵測:多個篩選條件對訊息決策有貢獻。
- 詐騙 DMARC:訊息 DMARC 驗證失敗。
- 詐騙外部網域:發件者電子郵件位址是使用組織外部的網域進行詐騙。
- 詐騙組織內部:寄件者電子郵件位址使用組織內部的網域進行詐騙。
- URL 擷取*: 安全連結 在入侵分析期間偵測到訊息中的惡意 URL。
- URL 損毀信譽*:先前由其他Microsoft 365 組織中 的安全連結 入侵所偵測到的 URL。
- URL 惡意信譽:此訊息包含先前在其他Microsoft 365 組織中識別為惡意的 URL。
*僅限 適用於 Office 365 的 Defender
在圖表下方的詳細數據表中,有下列資訊可供使用:
- Date
- 主旨
- Sender
- 收件者
- 偵測技術:圖表中的相同偵測技術值。
- 傳遞狀態
- 寄件者 IP
- 標籤:如需使用者標籤的詳細資訊,請參閱 使用者標籤。
若要查看所有資料行,您可能需要執行下列一或多個步驟:
- 在網頁瀏覽器中水平捲動。
- 縮小適當數據行的寬度。
- 縮小網頁瀏覽器。
選取 [篩選 ] 以在開啟的飛出視窗中選取下列一或多個值來修改報表:
- UTC) (日期:開始日期和結束日期
- 偵測:與圖表中的值相同。
- 優先順序帳戶保護: 是 和 否。 如需詳細資訊,請參閱在 適用於 Office 365 的 Microsoft Defender 中設定和檢閱優先順序帳戶保護。
- 評估: 是 或 否。
- 受保護:MDO (適用於 Office 365 的 Defender) 和 EOP
- 方向:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 輸入]、[ 輸出] 或 [組織 內部]。
- 標籤:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 優先順序帳戶]。 如需使用者標籤的詳細資訊,請參閱 使用者標籤。
- 網域:保留 [ 全部 ] 或 [移除] 值,按兩下空白方塊,然後選取 接受的網域。
-
原則類型:選取 [全部 ] 或下列其中一個值:
- 反惡意代碼
- 安全附件
- 防網路釣魚
- 反垃圾郵件
- 郵件流程規則 (傳輸規則)
- 其他人
- 原則名稱 (詳細數據表檢視僅) :選取 [全部 ] 或特定原則。
- 收件者 (以逗號分隔)
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
如果您按下第一欄旁邊複選框以外的任何位置,從詳細數據數據表中選取專案,就會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板,包含訊息 適用於 Office 365 的 Defender 中 Email 實體頁面上也可取得的摘要資訊。 如需 Email 摘要面板中資訊的詳細資訊,請參閱 Email 摘要面板。
在適用於 Microsoft 365 的 Defender 中,威脅防護狀態報告 Email 摘要面板頂端提供下列動作:
- 開啟電子郵件實體:如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的 Email 實體頁面。
- 採取動作:如需詳細資訊,請參閱 威脅搜捕:採取動作精靈。
在 [ 威脅防護狀態 ] 頁面上,可以使用 [ 建立排程]、 [要求報告] 和 [ 匯出 動作]。
依偵測技術 Email > 垃圾郵件和圖表明細來檢視數據
在 [依偵測技術檢視 Email > 垃圾郵件和圖表明細] 檢視中,下列信息會顯示在圖表中:
- 進階篩選:以機器學習為基礎的網路釣魚訊號。
- 大量: 訊息的 BCL) (大量抱怨層級 超過垃圾郵件的已定義閾值。
- 網域信譽:郵件來自先前在其他Microsoft 365 組織中識別為傳送垃圾郵件的網域。
- 指紋比對:此訊息與先前偵測到的惡意訊息非常類似。
- 一般篩選
- IP 信譽:郵件來自先前在其他Microsoft 365 組織中識別為傳送垃圾郵件的來源。
- 混合分析偵測:多個篩選條件對訊息的決策有貢獻。
- URL 惡意信譽:此訊息包含先前在其他Microsoft 365 組織中識別為惡意的 URL。
在圖表下方的詳細數據表中,有下列資訊可供使用:
- Date
- 主旨
- Sender
- 收件者
- 偵測技術:圖表中的相同偵測技術值。
- 傳遞狀態
- 寄件者 IP
- 標籤:如需使用者標籤的詳細資訊,請參閱 使用者標籤。
若要查看所有資料行,您可能需要執行下列一或多個步驟:
- 在網頁瀏覽器中水平捲動。
- 縮小適當數據行的寬度。
- 縮小網頁瀏覽器。
選取 [篩選 ] 以在開啟的飛出視窗中選取下列一或多個值來修改報表:
開始日期與結束日期) UTC (日期
偵測:與圖表中的值相同。
大量抱怨層級:選取 [大量偵測] 值時,滑桿可以依選取的 BCL 範圍來篩選報表。 您可以使用此資訊來確認或調整反垃圾郵件原則中的 BCL 閾值,以允許更多或更少的大量電子郵件進入您的組織。
如果未選取 [大量偵測] 值,則滑桿會呈現灰色,而且報表中不會包含大量偵測。
優先順序帳戶保護: 是 和 否。 如需詳細資訊,請參閱在 適用於 Office 365 的 Microsoft Defender 中設定和檢閱優先順序帳戶保護。
方向: 全部 或輸入 輸入輸入、 輸出 和組織 內部。
方向:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 輸入]、[ 輸出] 或 [組織 內部]。
標籤:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 優先順序帳戶]。 如需使用者標籤的詳細資訊,請參閱 使用者標籤。
網域:保留 [ 全部 ] 或 [移除] 值,按兩下空白方塊,然後選取 接受的網域。
原則類型:選取 [全部 ] 或下列其中一個值:
- 反惡意代碼
- 安全附件
- 防網路釣魚
- 反垃圾郵件
- 郵件流程規則 (傳輸規則)
- 其他人
原則名稱 (詳細數據表檢視僅) :選取 [全部 ] 或特定原則。
收件者
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
如果您按下第一欄旁邊複選框以外的任何位置,從詳細數據數據表中選取專案,就會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板,包含訊息 適用於 Office 365 的 Defender 中 Email 實體頁面上也可取得的摘要資訊。 如需 Email 摘要面板中資訊的詳細資訊,請參閱 Email 摘要面板。
在適用於 Microsoft 365 的 Defender 中,威脅防護狀態報告 Email 摘要面板頂端提供下列動作:
- 開啟電子郵件實體:如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的 Email 實體頁面。
- 採取動作:如需詳細資訊,請參閱 威脅搜捕:採取動作精靈。
在 [ 威脅防護狀態 ] 頁面上,可以使用 [ 建立排程]、 [要求報告] 和 [ 匯出 動作]。
依偵測技術 Email > 惡意代碼和圖表明細來檢視數據
注意事項
在 2021 年 5 月,已更新電子郵件中的惡意代碼偵測,以在郵件附件中包含 有害的 URL 。 這項變更可能會將某些偵測磁碟區從 [檢視] 數據中移出,方法是 Email > 網络釣魚檢視,然後 Email [惡意代碼] 檢視移至 [檢視數據>]。 換句話說,傳統上識別為網路釣魚之郵件附件中的有害 URL 現在可能會被識別為惡意代碼。
在 [依偵測技術 Email > 檢視數據和依偵測技術的圖表明細] 檢視中,下列資訊會顯示在圖表中:
- 檔案損毀*: 安全附件在 惡意分析期間偵測到惡意附件。
- 檔案損毀信譽*:其他Microsoft 365 組織中先前由 安全附件 偵測到的檔案附件。
- 檔案信譽:此訊息包含先前在其他Microsoft 365 組織中識別為惡意的檔案。
- 反惡意代碼引擎*:從反惡意代碼偵測。
- URL 惡意信譽
- URL 擷取*: 安全連結 在入侵分析期間偵測到訊息中的惡意 URL。
- URL 損毀信譽*:先前由其他Microsoft 365 組織中 的安全連結 入侵所偵測到的 URL。
- 營銷活動*:識別為 營銷活動的一部分的訊息。
*僅限 適用於 Office 365 的 Defender
在圖表下方的詳細數據表中,有下列資訊可供使用:
Date
主旨
Sender
收件者
偵測技術:圖表中的相同偵測技術值。
傳遞狀態
寄件者 IP
標籤:如需使用者標籤的詳細資訊,請參閱 使用者標籤。
若要查看所有資料行,您可能需要執行下列一或多個步驟:
- 在網頁瀏覽器中水平捲動。
- 縮小適當數據行的寬度。
- 縮小網頁瀏覽器。
選取 [篩選 ] 以在開啟的飛出視窗中選取下列一或多個值來修改報表:
- 開始日期與結束日期) UTC (日期
- 偵測:與圖表中的值相同。
- 優先順序帳戶保護: 是 和 否。 如需詳細資訊,請參閱在 適用於 Office 365 的 Microsoft Defender 中設定和檢閱優先順序帳戶。
- 評估: 是 或 否。
- 受保護:MDO (適用於 Office 365 的 Defender) 和 EOP
- 方向:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 輸入]、[ 輸出] 或 [組織 內部]。
- 標籤:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 優先順序帳戶]。 如需使用者標籤的詳細資訊,請參閱 使用者標籤。
- 網域:保留 [ 全部 ] 或 [移除] 值,按兩下空白方塊,然後選取 接受的網域。
-
原則類型:選取 [全部 ] 或下列其中一個值:
- 反惡意代碼
- 安全附件
- 防網路釣魚
- 反垃圾郵件
- 郵件流程規則 (傳輸規則)
- 其他人
- 原則名稱 (詳細數據表檢視僅) :選取 [全部 ] 或特定原則。
- 收件者 (以逗號分隔)
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
如果您按下第一欄旁邊複選框以外的任何位置,從詳細數據數據表中選取專案,就會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板,包含訊息 適用於 Office 365 的 Defender 中 Email 實體頁面上也可取得的摘要資訊。 如需 Email 摘要面板中資訊的詳細資訊,請參閱 Email 摘要面板。
在適用於 Microsoft 365 的 Defender 中,威脅防護狀態報告 Email 摘要面板頂端提供下列動作:
- 開啟電子郵件實體:如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的 Email 實體頁面。
- 採取動作:如需詳細資訊,請參閱 威脅搜捕:採取動作精靈。
在 [ 威脅防護狀態 ] 頁面上,可以使用 [ 建立排程]、 [要求報告] 和 [ 匯出 動作]。
依原則類型的圖表明細
在 [依網络釣魚 Email > 檢視數據]、[Email > 垃圾郵件檢視數據] 或 [依 Email > 惡意代碼檢視數據] 中,選取 [依原則類型的圖表分解] 會在圖表中顯示下列資訊:
- 反惡意代碼
- 安全附件*
- 防網路釣魚
- 反垃圾郵件
- 郵件流程規則 (也稱為傳輸規則)
- 其他人
在圖表下方的詳細數據表中,有下列資訊可供使用:
Date
主旨
Sender
收件者
偵測技術:圖表中的相同偵測技術值。
傳遞狀態
寄件者 IP
標籤:如需使用者標籤的詳細資訊,請參閱 使用者標籤。
若要查看所有資料行,您可能需要執行下列一或多個步驟:
- 在網頁瀏覽器中水平捲動。
- 縮小適當數據行的寬度。
- 縮小網頁瀏覽器。
選取 [篩選 ] 以在開啟的飛出視窗中選取下列一或多個值來修改報表:
- 開始日期與結束日期) UTC (日期
- 偵測:如本文和偵測技術中先前所述的 偵測技術值。
- 優先順序帳戶保護: 是 和 否。 如需詳細資訊,請參閱在 適用於 Office 365 的 Microsoft Defender 中設定和檢閱優先順序帳戶。
- 評估: 是 或 否。
- 受保護:MDO (適用於 Office 365 的 Defender) 和 EOP
- 方向:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 輸入]、[ 輸出] 或 [組織 內部]。
- 標籤:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 優先順序帳戶]。 如需使用者標籤的詳細資訊,請參閱 使用者標籤。
- 網域:保留 [ 全部 ] 或 [移除] 值,按兩下空白方塊,然後選取 接受的網域。
-
原則類型:選取 [全部 ] 或下列其中一個值:
- 反惡意代碼
- 安全附件
- 防網路釣魚
- 反垃圾郵件
- 郵件流程規則 (傳輸規則)
- 其他人
- 原則名稱 (詳細數據表檢視僅) :選取 [全部 ] 或特定原則。
- 收件者 (以逗號分隔)
*僅限 適用於 Office 365 的 Defender
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
如果您按下第一欄旁邊複選框以外的任何位置,從詳細數據數據表中選取專案,就會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板,包含訊息 適用於 Office 365 的 Defender 中 Email 實體頁面上也可取得的摘要資訊。 如需 Email 摘要面板中資訊的詳細資訊,請參閱 Email 摘要面板。
在適用於 Microsoft 365 的 Defender 中,威脅防護狀態報告 Email 摘要面板頂端提供下列動作:
- 開啟電子郵件實體:如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的 [Email 實體] 頁面。
- 採取動作:如需詳細資訊,請參閱 威脅搜捕:採取動作精靈。
在 [ 威脅防護狀態 ] 頁面上,可以使用 [ 建立排程]、 [要求報告] 和 [ 匯出 動作]。
依傳遞狀態的圖表明細
在 [依網络釣魚 Email > 檢視數據]、[Email > 垃圾郵件檢視數據] 或 [依 Email > 惡意代碼檢視數據] 中,選取 [依傳遞狀態排序圖表] 會在圖表中顯示下列資訊:
- 託管的信箱:收件匣
- 託管的信箱:垃圾郵件
- 託管的信箱:自定義資料夾
- 託管的信箱:已刪除的專案
- 轉發
- 內部部署伺服器:已傳遞
- 隔離區
- 傳遞失敗
- 下降
在圖表下方的詳細數據表中,有下列資訊可供使用:
Date
主旨
Sender
收件者
偵測技術:圖表中的相同偵測技術值。
傳遞狀態
寄件者 IP
標籤:如需使用者標籤的詳細資訊,請參閱 使用者標籤。
若要查看所有資料行,您可能需要執行下列一或多個步驟:
- 在網頁瀏覽器中水平捲動。
- 縮小適當數據行的寬度。
- 縮小網頁瀏覽器。
選取 [篩選 ] 以在開啟的飛出視窗中選取下列一或多個值來修改報表:
- 開始日期與結束日期) UTC (日期
- 偵測:如本文和偵測技術中先前所述的 偵測技術值。
- 受保護:MDO (適用於 Office 365 的 Defender) 和 EOP
- 方向:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 輸入]、[ 輸出] 或 [組織 內部]。
- 標籤:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 優先順序帳戶]。 如需使用者標籤的詳細資訊,請參閱 使用者標籤。
- 網域:保留 [ 全部 ] 或 [移除] 值,按兩下空白方塊,然後選取 接受的網域。
-
原則類型:選取 [全部 ] 或下列其中一個值:
- 反惡意代碼
- 安全附件
- 防網路釣魚
- 反垃圾郵件
- 郵件流程規則 (傳輸規則)
- 其他人
- 原則名稱 (詳細數據表檢視僅) :選取 [全部 ] 或特定原則。
- 收件者 (以逗號分隔)
*僅限 適用於 Office 365 的 Defender
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
如果您按下第一欄旁邊複選框以外的任何位置,從詳細數據數據表中選取專案,就會開啟電子郵件詳細數據飛出視窗。 此詳細數據飛出視窗稱為 Email 摘要面板,包含訊息 適用於 Office 365 的 Defender 中 Email 實體頁面上也可取得的摘要資訊。 如需 Email 摘要面板中資訊的詳細資訊,請參閱 Email 摘要面板。
在適用於 Microsoft 365 的 Defender 中,威脅防護狀態報告 Email 摘要面板頂端提供下列動作:
- 開啟電子郵件實體:如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的 [Email 實體] 頁面。
- 採取動作:如需詳細資訊,請參閱 威脅搜捕:採取動作精靈。
在 [ 威脅防護狀態 ] 頁面上,可以使用 [ 建立排程]、 [要求報告] 和 [ 匯出 動作]。
依內容 > 惡意代碼檢視數據
在 [依內容>惡意代碼檢視數據] 檢視中,下列資訊會顯示在 適用於 Office 365 的 Microsoft Defender 組織的圖表中:
- 反惡意代碼引擎:Microsoft 365 中的內建病毒偵測,在 SharePoint、OneDrive 和 Microsoft Teams 中偵測到惡意檔案。
- MDO 攻擊:SharePoint、OneDrive 和 Microsoft Teams 的安全附件偵測到惡意檔案。
- 檔案信譽:此訊息包含先前在其他Microsoft 365 組織中識別為惡意的檔案。
在圖表下方的詳細數據表中,有下列資訊可供使用:
- Date
- 附件檔名
- 工作負載
- 偵測技術:圖表中的相同偵測技術值。
- 檔案大小
- 上次修改使用者
選取 [篩選 ] 以在開啟的飛出視窗中選取下列一或多個值來修改報表:
- 開始日期和結束日期 (UTC) 日期。
- 偵測:與圖表中的值相同。
- 工作負載: Teams、 SharePoint 和 OneDrive
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
在 [ 威脅防護狀態 ] 頁面上,可以使用 [ 導出 ] 動作。
依系統覆寫檢視數據,並依原因檢視表明細
在 [ 依系統覆寫檢視數據 ] 和 [ 依原因的圖表分解 ] 檢視中,下列覆寫原因資訊會顯示在圖表中:
- 數據外洩防護:Email 由數據外泄防護 (DLP) 原則隔離的訊息。
- Exchange 傳輸規則
- Outlook) (專屬設定
- IP 允許
- 內部部署略過
- 組織允許的網域:網域是在 反垃圾郵件原則中允許的網域清單中指定。
- 組織允許的寄件者:在 反垃圾郵件原則的允許寄件者清單中指定寄件者。
- 網路釣魚模擬:如需詳細資訊,請參閱設定將 第三方網路釣魚模擬傳遞給使用者,並將未篩選的郵件傳遞至 SecOps 信箱。
- 寄件者網域清單
- TABL - 允許 URL 和檔案
- TABL - 允許檔案
- TABL - 已封鎖檔案
- TABL - 允許 URL
- TABL - 封鎖 URL
- TABL 寄件者電子郵件地址允許
- TABL 寄件者電子郵件地址區塊
- TABL 詐騙區塊
- 第三方篩選
- 信任的聯繫人清單 - 通訊簿中的寄件者
- 受信任的收件者地址清單
- 受信任的收件者網域清單
- 受信任的寄件人清單 (Outlook)
- 使用者安全網域
- 使用者安全寄件者
- 未啟用 ZAP
在圖表下方的詳細數據表中,有下列資訊可供使用:
- Date
- 主旨
- Sender
- 收件者
- 系統覆寫
- 寄件者 IP
- 標籤:如需使用者標籤的詳細資訊,請參閱 使用者標籤。
選取 [篩選 ] 以在開啟的飛出視窗中選取下列一或多個值來修改報表:
- 開始日期與結束日期) UTC (日期
- 原因:與圖表相同的值。
- 傳遞位置: 未啟用垃圾郵件資料夾 和 SecOps 信箱。
- 方向:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 輸入]、[ 輸出] 或 [組織 內部]。
- 標籤:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 優先順序帳戶]。 如需使用者標籤的詳細資訊,請參閱 使用者標籤。
- 網域:保留 [ 全部 ] 或 [移除] 值,按兩下空白方塊,然後選取 接受的網域。
-
原則類型:選取 [全部 ] 或下列其中一個值:
- 反惡意代碼
- 安全附件
- 防網路釣魚
- 反垃圾郵件
- 郵件流程規則 (傳輸規則)
- 其他人
- 原則名稱 (詳細數據表檢視僅) :選取 [全部 ] 或特定原則。
- 收件者 (以逗號分隔)
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
在 [ 威脅防護狀態 ] 頁面上,可以使用 [ 導出 ] 動作。
依系統覆寫和依傳遞位置的圖表明細檢視數據
在 [依 系統覆寫檢視數據 ] 和 [ 依傳遞位置的圖表分解 ] 檢視中,下列覆寫原因資訊會顯示在圖表中:
- 未啟用垃圾郵件資料夾
- SecOps 信箱:如需詳細資訊,請參閱設定將 第三方網路釣魚模擬傳遞給使用者,以及將未篩選的郵件傳遞至 SecOps 信箱。
在圖表下方的詳細數據表中,有下列資訊可供使用:
- Date
- 主旨
- Sender
- 收件者
- 系統覆寫
- 寄件者 IP
- 標籤:如需使用者標籤的詳細資訊,請參閱 使用者標籤。
選取 [篩選 ] 以在開啟的飛出視窗中選取下列一或多個值來修改報表:
- 開始日期與結束日期) UTC (日期
- 原因:與依原則類型細分的圖表值相同
- 傳遞位置: 未啟用垃圾郵件資料夾 和 SecOps 信箱。
- 方向:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 輸入]、[ 輸出] 或 [組織 內部]。
- 標籤:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 優先順序帳戶]。 如需使用者標籤的詳細資訊,請參閱 使用者標籤。
- 網域:保留 [ 全部 ] 或 [移除] 值,按兩下空白方塊,然後選取 接受的網域。
-
原則類型:選取 [全部 ] 或下列其中一個值:
- 反惡意代碼
- 安全附件
- 防網路釣魚
- 反垃圾郵件
- 郵件流程規則 (傳輸規則)
- 其他人
- 原則名稱 (詳細數據表檢視僅) :選取 [全部 ] 或特定原則。
- 收件者 (以逗號分隔)
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
在 [ 威脅防護狀態 ] 頁面上,可以使用 [ 導出 ] 動作。
主要惡意代碼報告
[熱門惡意代碼] 報告會顯示 EOP 中反惡意代碼保護所偵測到的各種惡意代碼。
在 Email & 共同作業報告] 頁面上https://security.microsoft.com/emailandcollabreport,尋找 [熱門惡意代碼]。
將滑鼠停留在餅圖中的一個 Wedge 上,以查看惡意代碼名稱和包含惡意代碼的訊息數目。
選 取 [檢視詳細數據 ] 以移至 [熱門惡意代碼報告 ] 頁面。 或者,若要直接移至報表,請使用 https://security.microsoft.com/reports/TopMalware。
在 [ 最上層惡意代碼報告 ] 頁面上,會顯示較大版本的餅圖。 圖表下方的詳細資料表會顯示下列資訊:
- 主要惡意代碼:惡意代碼名稱
- 計數:包含惡意代碼的訊息數目。
選取 [篩選 ] 來修改報表,方法是在開啟的飛出視窗中選取 [ 開始日期 ] 和 [ 結束日期 ] 值。
在 [ 最上層惡意代碼 ] 頁面上,可以使用 [ 建立排程 ] 和 [ 匯出 ] 動作。
熱門寄件人和收件者報告
EOP 和 適用於 Office 365 的 Defender 都提供熱門寄件人和收件者報告;不過,報表包含不同的數據。 例如,EOP 客戶可以檢視有關主要惡意代碼、垃圾郵件和網路釣魚的資訊, (詐騙) 收件者,但無法檢視 安全附件 偵測到的惡意代碼或 模擬保護偵測到網路釣魚的相關信息。
[熱門寄件人和收件者] 報告會顯示組織中的前 20 名郵件發件者,以及 EOP 和 適用於 Office 365 的 Defender 保護功能所偵測到之郵件的前 20 位收件者。 根據預設,報表會顯示過去一周的數據,但數據可供過去 90 天使用。
在 Email & 共同作業報告] 頁面上https://security.microsoft.com/emailandcollabreport,尋找熱門寄件人和收件者。
將滑鼠停留在餅圖中的一個郉,以查看寄件者或收件者的郵件數目。
選 取 [檢視詳細數據 ] 以移至 [熱門寄件人和收件者] 頁面。 或者,若要直接移至報表,請使用下列其中一個URL:
- 適用於 Office 365 的 Defender:https://security.microsoft.com/reports/TopSenderRecipientsATP
- EOP: https://security.microsoft.com/reports/TopSenderRecipient
在 [ 熱門發件人和收件者] 頁面上,會顯示較大版本的餅圖。 下列圖表可供使用:
- 在預設檢視 (顯示熱門郵件寄件人的數據)
- 顯示熱門郵件收件者的數據
- 顯示熱門垃圾郵件收件者的數據
- 顯示EOP) (主要惡意代碼收件者的數據
- 顯示熱門網路釣魚收件者的數據
- (MDO) 顯示主要惡意代碼收件者的數據
- 顯示熱門網路釣魚收件者 (MDO) 的數據
- 顯示前 intra.org 郵件寄件者的數據
- 顯示前 intra.org 郵件收件者的數據
- 顯示前 intra.org 垃圾郵件收件者的數據
- 顯示主要 intra.org 惡意代碼收件者的數據
- 顯示前 intra.org 網路釣魚收件者的數據
- (MDO) 顯示前 intra.org 名網路釣魚收件者的數據
- 顯示 (MDO) intra.org 惡意代碼收件者的數據
將滑鼠游標停留在餅圖中的 Wedge 上,以查看該特定寄件者或收件者的訊息計數。
針對每個圖表,圖表下方的詳細資料表會顯示下列資訊:
- 電子郵件地址
- 項目計數
- 標籤:如需使用者標籤的詳細資訊,請參閱 使用者標籤。
選取 [篩選 ] 以在開啟的飛出視窗中選取下列一或多個值來修改報表:
- 開始日期與結束日期) UTC (日期
- 標籤:保留 [ 全部 ] 或 [移除] 值,在空白方塊中按兩下,然後選取 [ 優先順序帳戶]。 如需使用者標籤的詳細資訊,請參閱 使用者標籤。
當您完成設定篩選時,請選取 [套用]、[取消] 或 [清除篩選]。
在 [ 熱門寄件人和收件者] 頁面上,可以使用 [ 匯 出] 動作。
URL 保護報告
URL 保護報告僅適用於 適用於 Office 365 的 Microsoft Defender。 如需詳細資訊,請參閱 URL 保護報告。
用戶回報的訊息報告
重要事項
若要讓 用戶回報的訊息 報表正常運作,您的Microsoft 365 組織 中必須開啟稽核記錄 , (默認會開啟) 。 如需詳細資訊, 請參閱開啟或關閉稽核。
使用者回報的郵件報表會使用 Outlook 中的內建 [報表] 按鈕或 [Microsoft報表訊息] 或 [報告網络釣魚] 載入巨集,顯示使用者回報為垃圾郵件、網路釣魚嘗試或良好郵件的相關信息。
在 Email & 共同作業報告] 頁面上https://security.microsoft.com/emailandcollabreport,尋找 [用戶回報的訊息],然後選取 [檢視詳細數據]。 或者,若要直接移至報表,請使用 https://security.microsoft.com/reports/userSubmissionReport。
若要直接移至 Defender 入口網站中 [提交] 頁面上的 [用戶報告] 索引卷標,請選取 [移至提交]。
此圖表會顯示下列資訊:
- 不是垃圾郵件
- 網路釣魚
- 垃圾郵件
圖表下方的詳細數據表會顯示相同的資訊,而且具有 [提交] 頁面https://security.microsoft.com/reportsubmission?viewid=user上 [用戶報告] 索引標籤上可用的相同動作:
- 自訂數據行
- 群
- 濾波器
- 標示為並通知
- 提交至Microsoft進行分析
如需詳細資訊,請參閱檢視用戶回報的訊息以Microsoft和 管理員 用戶回報訊息的動作。
在報表頁面上,可以使用 [ 導出 ] 動作。
檢視這些報告需要哪些許可權?
您必須獲得指派許可權,才能檢視和使用本文中所述的報表。 您有下列選項:
- Microsoft Defender 全面偵測回應 整合角色型訪問控制 (RBAC) ( 如果 Email & 共同作業>適用於 Office 365 的 Defender 許可權為作用中。只會影響 Defender 入口網站,而不會影響 PowerShell) : (讀取) 或授權和設定/系統設定/管理的安全性作業/安全性數據/安全性數據基本概念。
-
Email & Microsoft Defender 入口網站中的共同作業許可權:下列任一角色群組中的成員資格:
- 組織管理¹
- 安全性系統管理員
- 安全性讀取者
- 全域讀取者
- Microsoft Entra 權限:Microsoft Entra ID 中全域管理員、安全性系統管理員、安全性讀取者或全域讀取者角色的成員資格Microsoft 365 中,為使用者提供其他功能的必要許可權和許可權。
¹組織管理角色群組中的成員資格或全域管理員角色中的成員資格,必須在 (可用的報表中使用 [建立排程] 或 [要求報告] 動作) 。
重要事項
² Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
如果報表未顯示數據,該怎麼辦?
如果您在報表中看不到數據,請檢查報表篩選,並再次檢查您的保護原則是否已設定為偵測訊息並採取動作。 如需詳細資訊,請參閱下列文章:
- EOP 和 適用於 Office 365 的 Microsoft Defender 中保護原則的組態分析器
- EOP 和 適用於 Office 365 的 Microsoft Defender 中的預設安全策略
- 如何? 關閉垃圾郵件篩選?
下載和匯出報表資訊
根據報表和報表中的特定檢視,下列一或多個動作可能會在主報表頁面上使用,如先前所述:
匯出報表數據
提示
- 匯出的數據會受到導出時報表中設定的任何篩選條件所影響。
- 如果匯出的數據超過 150000 個項目,數據就會分割成多個檔案。
在報表頁面上,選取 [ 導出]。
在開啟的 [ 匯出條件 ] 飛出視窗中,檢閱並設定下列設定:
-
選取要匯出的檢視:選取下列其中一個值:
- 摘要:過去 90 天的數據可供使用。 這是預設值。
- 詳細數據:過去 30 天的數據可供使用。 支援一天的日期範圍。
-
UTC) (日期 :
- 開始日期:預設值為三個月前。
- 結束日期:預設值為今天。
當您在 [ 匯出條件 ] 飛出視窗中完成時,請選取 [ 匯出]。
[ 匯出 ] 按鈕會變更為 [匯出 ... ],並顯示進度列。
-
選取要匯出的檢視:選取下列其中一個值:
在開啟的 [ 另存新 檔] 對話框中,您會看到 .csv 檔案的預設名稱,以及預設 (本機 Downloads 資料夾的下載位置) ,但您可以變更這些值, 然後選取 [儲存] 以下載匯出的數據。
如果您看到 security.microsoft.com 想要下載多個檔案的對話框,請選取 [ 允許]。
排程週期性報告
若要建立排程的報告,您必須是 Exchange Online 中組織管理角色的成員,或是 Microsoft Entra ID 中的全域管理員*角色。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
在報表頁面上,選取 [ 建立排程 ] 以啟動新的排程報表精靈。
在 [ 名稱排程報表 ] 頁面上,檢閱或自定義 [名稱 ] 值,然後選取 [ 下一步]。
在 [ 設定喜好設定] 頁面上,檢閱或設定下列設定:
-
頻率:選取下列其中一個值:
- 每周 (預設)
- 每日 (此值會導致圖表中不會顯示任何數據)
- 每月
- 開始日期:輸入開始產生報表的日期。 預設值為 today。
- 到期日:輸入報表產生結束的日期。 預設值是今天起的一年。
當您在 [ 設定喜好設定 ] 頁面上完成時,請選取 [ 下一步]。
-
頻率:選取下列其中一個值:
在 [ 選取篩選] 頁面上,設定下列設定:
-
方向:選取下列其中一個值:
- 所有 (預設)
- 出埠
- 入境
- 寄件者位址
- 收件者地址
當您在 [ 選取篩選 ] 頁面上完成時,請選取 [ 下一步]。
-
方向:選取下列其中一個值:
在 [ 收件者] 頁面上,選擇 [傳 送電子郵件至 ] 方塊中報表的收件者。 預設值是您的電子郵件位址,但您可以執行下列其中一個步驟來新增其他位址:
- 按兩下方塊,等候使用者清單解析,然後從方塊下方的清單中選取使用者。
- 按兩下方塊,開始輸入值,然後從方塊下方的清單中選取使用者。
若要從清單中移除專案,請選擇 項目旁邊的 。
當您在 [ 收件者 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 檢閱] 頁面上,檢閱您的設定。 您可以在每個區段中選取 [編輯],以修改該區段內的設定。 或者,您可以選取 [上一頁 ] 或精靈中的特定頁面。
當您在 [ 檢閱] 頁面上完成時,請選取 [ 提交]。
在 [ 新排程的報表建立] 頁面上,您可以選取連結來檢視排程的報表或建立另一個報表。
當您在 [ 新排程的報表建立 ] 頁面上完成時,請選取 [ 完成]。
報表會根據您設定的排程,以電子郵件傳送給指定的收件者
排程的報表專案可在 [受 控排程 ] 頁面上取得,如下一小節所述。
管理現有的排程報表
如上一節所述建立排程報表之後,您可以在Defender入口網站的 [ 管理排程 ] 頁面上取得排程的報表專案。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [報告>Email & 共同作業>] 選取 [管理排程]。 或者,若要直接移至 [ 管理排程] 頁面,請使用 https://security.microsoft.com/ManageSubscription。
在 [ 管理排程] 頁面上 ,會針對每個排程的報表項目顯示下列資訊:
- 排程開始日期
- 排程名稱
- 報告類型
- Frequency
- 上次傳送
若要將清單從一般變更為精簡間距,請選取 [將列表間距變更為精簡或正常],然後選取 [壓縮清單]。
使用 [ 搜尋] 方 塊來尋找現有的排程報表專案。
若要修改排程的報表設定,請執行下列步驟:
按兩下複選框以外的數據列中的任何位置,以選取排程的報表專案。
在開啟的詳細資料飛出視窗中,執行下列任何步驟:
- 選取 [編輯名稱 ] 以變更排程報表的名稱。
- 選取區段中的 [編輯 ] 連結,以修改對應的設定。
設定和組態步驟與排 程報表中所述相同。
若要刪除排程的報表專案,請使用下列其中一種方法:
- 選取一個、多個或所有排程報表旁的複選框,然後選取出現在主頁面上的 [刪除] 動作。
- 按兩下複選框以外的數據列中的任何位置,選取排定的報表,然後在開啟的詳細數據飛出視窗中選取 [ 刪除 ]。
閱讀開啟的警告對話框,然後選取 [ 確定]。
回到 [ 管理排程 ] 頁面,已刪除的排程報表專案已不再列出,且已排程報表的先前報表會遭到刪除,且不再可供下載。
要求隨選報表以供下載
若要建立隨選報表,您必須是 Exchange Online 中組織管理角色的成員,或是 Microsoft Entra ID 中的全域管理員*角色。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
在報表頁面上,選取 [ 要求報 表] 以啟動新的隨選報表精靈。
在 [ 隨選名稱] 報表頁面上 ,檢閱或自定義 [名稱 ] 值,然後選取 [ 下一步]。
在 [ 設定喜好設定] 頁面上,檢閱或設定下列設定:
- 開始日期:輸入報表數據的開始日期。 預設值為一個月前。
- 到期日:輸入報表數據的結束日期。 預設值為 today。
當您在 [ 隨選名稱] 報 表頁面上完成時,請選取 [ 下一步]。
在 [ 收件者] 頁面上,選擇 [傳 送電子郵件至 ] 方塊中報表的收件者。 預設值是您的電子郵件位址,但您可以執行下列其中一個步驟來新增其他位址:
- 按兩下方塊,等候使用者清單解析,然後從方塊下方的清單中選取使用者。
- 按兩下方塊,開始輸入值,然後從方塊下方的清單中選取使用者。
若要從清單中移除專案,請選擇 項目旁邊的 。
當您在 [ 收件者 ] 頁面上完成時,請選取 [ 下一步]。
在 [ 檢閱] 頁面上,檢閱您的設定。 您可以在每個區段中選取 [編輯],以修改該區段內的設定。 或者,您可以選取 [上一頁 ] 或精靈中的特定頁面。
當您在 [ 檢閱] 頁面上完成時,請選取 [ 提交]。
在 [ 新隨選報表建立 ] 頁面上,您可以選取連結來建立另一份報表。
當您在 [ 新隨選報表建立 ] 頁面上完成時,請選取 [ 完成]。
報表建立工作 (最終完成的報表) 可在 [ 要下載的報 表] 頁面上取得,如下一小節所述。
下載報告
若要下載隨選報表,您必須是 Exchange Online 中組織管理角色的成員,或是 Microsoft Entra ID 中的全域管理員*角色。
重要事項
* Microsoft建議您使用許可權最少的角色。 使用較低許可權的帳戶有助於改善組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
在您如上一節所述要求隨選報表之後,您會檢查報表的狀態,最後在Defender入口網站的 [ 要下載 的報表] 頁面上下載報表。
在 Microsoft Defender 入口網站中https://security.microsoft.com,移至 [報告>Email & 共同作業>] 選取 [要下載的報表]。 或者,若要直接移至 [報表] 下載 頁面,請使用 https://security.microsoft.com/ReportsForDownload。
在 [ 要下載的報 表] 頁面上,會針對每個可用的報表顯示下列資訊:
- 開始日期
- 名稱
- 報告類型
- 上次傳送
-
狀態:
- 擱置中:報表仍在建立中,尚未可供下載。
- 完成 - 準備下載:報表產生已完成,且報表可供下載。
- 完成 - 找不到結果:報表產生已完成,但報表未包含任何數據,因此您無法下載。
若要下載報表,請選取報表開始日期下一個複選框,然後選取出現的 [下載報 表] 動作。
使用 [ 搜尋] 方 塊來尋找現有的報表。
在開啟的 [ 另存新 檔] 對話框中,您會看到 .csv 檔案的預設名稱,以及預設 (本機 Downloads 資料夾的下載位置) ,但您可以變更這些值, 然後選取 [儲存] 以下載報表。