MailDetailMalware レポート
MailDetailMalware REST URI は、メッセージの処理中にマルウェアが含まれていると判断された電子メール メッセージの処理ステップに関する詳細を提供します。レポートの開始と終了の日付/時刻を要求に指定できます。
最終更新日: 2015年9月17日
適用対象: Office 365
REST URI
https://reports.office365.com/ecp/reportingwebservice/reporting.svc/MailDetailMalware[?ODATA options]
フィールド
以下のフィールドを、$select、$filter および $orderby ODATA2 クエリ オプションで指定できます。$select オプションが指定されない場合、すべてのフィールドが返されます。
名前 |
WCF 型* |
EDM 型* |
[入力/出力]** 説明 |
値の例 |
提供されたバージョン |
---|---|---|---|---|---|
Action |
文字列 |
指定なし |
[入力/出力] メッセージに対して行われた動作の説明です (存在する場合)。 このフィールドは空白、またはアクションが実行されていない場合は null になる場合があります。 有効なアクション値に関しては、「MailFilterList レポート」を参照してください。 |
SetSpamConfidenceLevel、RejectMessage |
2013-V1 |
Date |
System.DateTime |
Edm.DateTime |
[入力/出力] メッセージにマルウェアが含まれていることが検出された日時です。 |
短い形式の日付 (たとえば、03/10/2013) または引用符付きの 日付/時刻 (たとえば、"03/10/2013 4:55 PM") |
2013-V1 |
Direction |
文字列 |
指定なし |
[入力/出力] マルウェアを含むものとして検出された電子メール メッセージが、組織に送られてきた (Inbound) か組織から送られた (Outbound) かを指定します。 |
指定できる値はInbound と Outbound だけです。 |
2013-V1 |
Domain |
文字列 |
指定されていません |
[入力/出力] 電子メール メッセージを処理した完全修飾ドメイン名です。 |
example.onmicrosoft.com |
2013-V1 |
EndDate |
System.DateTime |
Edm.DateTime |
[入力] このフィールドは、レポートの期間を制限するのに使用されます。 このフィールドを $filter クエリ オプションに使用して、レポート期間の終了日時を設定します。EndDate を $filter オプションに指定した場合、StartDate も指定する必要があります。 |
短い形式の日付 (たとえば、03/10/2013) または引用符付きの 日付/時刻 (たとえば、"03/10/2013 4:55 PM") |
2013-V12013-V1 |
EventType |
文字列 |
指定なし |
[入力/出力] 記録されるスキャン イベントの種類。 有効な EventType 値については、「MailFilterList レポート」を参照してください。 |
SpamContentFiltered、SpamIPBlock |
2013-V1 |
FileName |
文字列 |
指定なし |
[入力/出力] マルウェアを実行するものして判別された添付ファイルのファイル名です。 |
MalwareFileName.ext |
2013-V1 |
Index |
整数 |
Edm.Int64 |
[入力/出力]1 つのメッセージに複数のアクションを実行できます。 この値は、マルウェア プロセス ルールがメッセージに適用された順序を示します。$filter= オプション内で使用されるときは eq オペランドは許可されません。 |
4 |
2013-V1 |
MalwareName |
文字列 |
指定なし |
検出されたマルウェア ファイルの業界標準の名前です。 |
SQL Slammer |
2013-V1 |
MessageId |
文字列 |
指定なし |
[入力/出力] メッセージのインターネット MessageID ヘッダーです (指定されている場合)。この値は明示的に null にすることもできます。 |
メッセージに ID が指定されていない場合、レポート データは、Atom の場合は <d:MessageId m:null="true" />、JSON の場合は "MessageId":null になります。 |
2013-V1 |
MessageSize |
整数 |
Edm.Int64 |
[入力/出力] メッセージのサイズ (バイト単位)。 |
130840 |
2013-V1 |
MessageTraceId |
System.Guid |
Edm.Guid |
[入力/出力] 詳細メッセージ転送トレース情報を取得するために使用する識別子です。MessageTraceId フィールドの内部形式は、フォーマットが変わる場合があるので、不明なものと見なすことをお勧めします。メッセージ トレースについては、「MessageTrace レポート」を参照してください。 |
ae4ad8f6-7613-411c-e67e-08cfc740629 |
2013-V1 |
Organization |
文字列 |
指定なし |
[入力/出力] 電子メール メッセージを処理した完全修飾ドメイン名です。 |
example.onmicrosoft.com |
2013-V1 |
RecipientAddress |
文字列 |
指定なし |
[入力/出力] メッセージの送信先ユーザーの SMTP 電子メール アドレスです。 |
userone@example.onmicrosoft.com |
2013-V1 |
SenderAddress |
文字列 |
指定なし |
[入力/出力] メッセージの送信元とされているユーザーの SMTP 電子メール アドレスです。 マルウェアの電子メール メッセージでは送信元のアドレスを偽装することが一般的なので、それらを完全に信頼することはできません。 |
usertwo@example.onmicrosoft.com |
2013-V1 |
StartDate |
System.DateTime |
Edm.DateTime |
[入力] このフィールドは、レポートの期間を制限するのに使用されます。 このフィールドを $filter クエリ オプションに使用して、レポート期間の開始日時を設定します。StartDate を $filter オプションに指定した場合、EndDate も指定する必要があります。 |
短い形式の日付 (たとえば、03/10/2013) または引用符付きの 日付/時刻 (たとえば、"03/10/2013 4:55 PM") |
2013-V1 |
Subject |
文字列 |
指定なし |
[入力/出力] メッセージの件名行です (メッセージに存在していた場合)。 |
Free M0ney WoN! |
2013-V1 |
*WCF 型は、Visual Studio に Windows Communications Framework (WCF) Service Reference を作成する場合にフィールドに割り当てられる .NET Framework データ型を参照します。EDM 型は、Atom 形式のレポートで返される ADO.NET エンティティ データ モデル (EDM) 型を参照します。
**[入力/出力]: 入力パラメーターとレポート出力列のセクションを参照してください。
解説
レポート内の各エントリにはメタデータの複数のフィールドが含まれます。詳しくは、「Office 365 レポート Web サービスが返す一般的なメタデータ」を参照してください。
Date フィールドは、メッセージが Office 365 システムで処理された日時を示し、それらのサーバーのタイム ゾーンで報告されます。
StartDate と EndDate の使用
StartDate と EndDate フィールドは、レポート結果では有用な情報を提供しませんし、レポート出力では常に 0001-01-01T00:00:00Z に設定されます。これらは、レポート時間枠で簡単に制限を行えるようにするためのもので、「毎日」のレポートよりも細かく時間指定できるようにします。
これは、たとえば、電子メールベースのサービス拒否攻撃を時間単位で記録するときに特に役立ちます。 これらのフィールドを使用する際、StartDate フィールドと EndDate フィールドの両方を $filter オプションに含める必要があります。どちらもオプションですが、一方を指定した場合、もう一方も指定する必要があります。StartDate/EndDate のペアがクエリに指定されていない場合、既定のレポート期間は、前の 2 週間になります。下記の「例」のセクションで、StartDate フィールドと EndDate フィールドの使用方法について示します。
例
以下の MailDetailMalware REST URL の例は、2012 年 9 月 1 日から 2013 年 1 月 1 日までの間に検出されたマルウェアに関する情報を、MalwareName に基づいてソートして Atom XML 形式で示すように要求します。この例では、レポートの feed 要素に entry 要素が含まれていないので、この組織では該当期間にマルウェアが検出されなかったことが示されています。
https://reports.office365.com/ecp/reportingwebservice/reporting.svc/MailDetailMalware?
$select=Action,Date,Direction,FileName,MalwareName&
$filter=StartDate%20eq%20datetime'2012-09-01T00:00:00Z'%20and%20EndDate%20eq%20datetime'2013-01-01T00:00:00Z'%20&
$orderby=MalwareName&
$format=Atom
<?xml version="1.0" encoding="utf-8"?>
<feed xml:base="https://reports.office365.com/ecp/ReportingWebService/Reporting.svc/"
xmlns="http://www.w3.org/2005/Atom"
xmlns:d="https://schemas.microsoft.com/ado/2007/08/dataservices"
xmlns:m="https://schemas.microsoft.com/ado/2007/08/dataservices/metadata">
<id>https://reports.office365.com/ecp/reportingwebservice/reporting.svc/MailDetailMalware</id>
<title type="text">MailDetailMalware</title>
<updated>2013-02-08T07:31:25Z</updated>
<link rel="self" title="MailDetailMalware" href="MailDetailMalware" />
<author>
<name />
</author>
</feed>
入力パラメーターとレポート出力列
フィールド表の [入力/出力] という表記には次の意味があります。
[フィールド] 表で [入力] が付いているフィールドは、主に $filter=、$orderby= およびレポートが返すエントリを制限する他のクエリ オプションで使用するためのものです。[フィールド] 表で [入力] が付いているフィールドは、$select= オプションに含めることができ、レポート エントリに表示されますが、有用なデータは入っていません。
[フィールド] 表で [入力/出力] が付いているフィールドは、列選択 ($select=) およびエントリ制限 ($filter= と $orderby=) オプションの両方で使用できます。これらのフィールドを $select= オプションに含めると、レポート エントリに表示され、利用可能な場合には有用なデータが入っています。
互換性
MailDetailMalware レポートは Office 365 サービス バージョン 2013-V1 で導入されました。バージョン管理の詳細については、「Office 365 レポート Web サービスのバージョン管理」を参照してください。
対応する PowerShell コマンドレット
MailDetailMalware レポートは、Get-MailDetailMalwareReport Windows PowerShell コマンドレットと同じ情報を返します。
権限
レポートにアクセスするアカウントには、その Office 365 組織の管理権限が必要です。このレポートを Office 365 コントロール パネルで表示できる場合、そのアカウントには REST Web サービスからデータを取得する権限があります。このレポートでは、ユーザーを参照のみ可受信者の役割に割り当てる必要があります。既定の Office 365 権限構造では、次の管理者権限があるユーザーはこのレポートにアクセスできます: 課金管理者、全体管理者、パスワード管理者、サービス管理者、ユーザー管理の管理者。
データの細分性、永続性、可用性
このレポートで使用できる情報には、各イベントの正確な日付と時刻が含まれます。StartDate と EndDate フィールドを $filter オプションに含めて、ふさわしい期間や間隔を指定できます。時刻は電子メール メッセージをスキャンするサーバーのタイム ゾーンで報告されます。
このレポートの情報は、7 日間またはサブスクリプションをキャンセルするまで利用可能です。
イベントがレポートに表示されるまで、最大で 24 時間遅れる場合があります。