Использование отчетов о защите почты в Office 365 для просмотра сведений об обнаруженных вредоносных программах, нежелательных сообщениях и сработавших правилах

Exchange Online
 

Применимо к:Exchange Online, Exchange Online Protection

Последнее изменение раздела:2016-12-09

Если вы администрируете Exchange Online или Exchange Online Protection (EOP), вероятно, вы хотите знать, сколько спама и вредоносных программ обнаруживается и как часто срабатывают правила потока обработки почты, также называемые правилами транспорта. Благодаря интерактивным отчетам о защите почты в Центр администрирования Office 365 вы можете быстро ознакомиться со сводными данными, а также изучить детальные сведения об отдельных сообщениях за последние 90 дней.

Отчеты о защите электронной почты в Office 365


В этой статье рассматриваются следующие темы:

В некоторых отчетах о защите почты можно настроить фильтр по отправителю и/или получателю либо по конкретному домену. Вы также можете планировать автоматическую отправку отчетов в папку "Входящие". Узнать, как это сделать, можно в статье Настройка автоматической отправки запланированных отчетов о защите почты в папку "Входящие" в Office 365.

Указанные ниже отчеты о защите почты доступны на странице Отчеты в Центр администрирования Office 365.

 

Отчет Описание

Пользователи, которые чаще всего отправляют и получают почту

Отображает следующие сведения в зависимости от типа выбранного отчета.

  • Получатели почты: первые в списке — 10 получателей с наибольшим числом сообщений.

  • Отправители почты: первые в списке — 10 пользователей с наибольшим числом отправленных сообщений.

  • Получатели нежелательной почты: первые в списке — 10 получателей с наибольшим числом обнаруженных нежелательных сообщений.

  • Получатели вредоносных программ: первые в списке — 10 получателей с наибольшим числом обнаруженных вредоносных программ.

Вредоносные программы для почты: первые в списке

Отображает 10 вредоносных программ, которые наиболее часто встречаются в отправляемой и получаемых сообщениях.

Обнаружения вредоносных программ

Отображает число обнаруженных вредоносных программ в отправленной или полученной почте до применения действия к вредоносной программе. Сведения об отдельных отфильтрованных сообщениях можно получить, выбрав точку на графике.

Обнаружения нежелательной почты

Отображает, какие нежелательные отфильтрованных были обнаружены в отправленной или полученной почте, сгруппированные по типу фильтрации нежелательной почты:

  • Фильтрация содержимого — почта, определенная как нежелательная из-за характеристик сообщения, схожих с характеристиками нежелательных сообщений.

  • SMTP заблокирован — сообщение было заблокировано перед тем, как оно попало в службу, из-за фильтрации отправителей или получателей.

  • IP-адрес заблокирован — сообщение было заблокировано перед тем, как оно попало в службу, из-за репутации IP-адреса.

По умолчанию включены все сообщения. Вы можете изменить сведения в этом отчете, фильтруя их по отправителю и/или получателю, либо использовать выражение *@домен, чтобы получить отчет по одному домену. Узнать, как это сделать, можно в статье Настройка автоматической отправки запланированных отчетов о защите почты в папку "Входящие" в Office 365.

Сведения об отдельных отфильтрованных сообщениях можно получить, выбрав точку на графике.

Отправленная и полученная почта

Отображает отправленные и полученные сообщения, сгруппированные по типу трафика:

  • Хорошая почта — сообщения, которые получены и не определены как нежелательная почта или вредоносная программа.

  • Нежелательная почта — сообщения, определенные как нежелательная почта.

  • Вредоносная программа — сообщения, содержащие вредоносную программу.

  • Правила потока обработки почты (также называемые правилами транспорта) — это сообщения, соответствующие по крайней мере одному правилу.

По умолчанию включены все сообщения. Вы можете изменить сведения в этом отчете, фильтруя их по отправителю и/или получателю, либо использовать выражение *@домен, чтобы получить отчет по одному домену. Узнать, как это сделать, можно в статье Настройка автоматической отправки запланированных отчетов о защите почты в папку "Входящие" в Office 365.

Сведения об отдельных сообщениях недоступны.

Отчет о поддельной почте

Для пользователей, которые приобрели план Office 365 корпоративный E5 или лицензии Advanced Threat Protection (ATP), на этой диаграмме отображаются входящие сообщения, отправленные якобы из вашей организации, но на самом деле адрес отправителя подделан. Это называется "внутренний спуфинг".

Организации могут использовать спуфинг специально, а некоторые виды спуфинга носят вредоносный характер. Этот отчет содержит сведения о поддельных сообщениях обоих типов, полученных вашей организацией, и элементы для разрешения или блокировки сообщений от этого отправителя. Например, вы можете поручить третьей стороне отправить всем сотрудникам приглашение на корпоративное мероприятие — такое сообщение будет отображаться в отчете как проверенное или Хорошая почта. Office 365 также определяет вредоносные сообщения, отправляемые от имени вашей компании, и помечает их тегами Перехвачено как нежелательная почта.

Вы можете просмотреть подробный отчет, выбрав на диаграмме точку данных, соответствующую определенному дню. Показатели группируются на основе следующих атрибутов:

  • Поддельный отправитель — указанное имя отправителя из вашей организации.

  • Настоящий отправитель — настоящий отправитель, связанный с зарегистрированным IP-адресом. Если это поле пустое, Office 365 не удалось обнаружить домен отправителя при проверке записи DNS.

  • IP-адрес отправителя — IP-адрес или диапазон адресов, связанный с отправителем поддельного сообщения.

  • Тип события — помечено ли поддельное сообщение как спам (Перехвачено как нежелательная почта) или проверенное (Хорошая почта).

Вы можете заблокировать или разрешить сообщения с этого IP-адреса, выбрав элемент Добавить в список заблокированных или разрешенных IP-адресов. Добавляйте IP-адреса в список разрешенных, только если они принадлежат надежным доменам.

 

Отчет

Описание

Соответствия правилам для почты: первые в списке

Отображает 10 правил потока обработки почты с наибольшим числом соответствий для полученных и отправленных сообщений.

Соответствия правилам для почты

Отображает число соответствий правилам потока обработки почты, сгруппированных по важности правила. Сведения об отдельных сообщениях можно получить, выбрав точку на графике.

По умолчанию включены все сообщения. Вы можете изменить сведения в этом отчете, фильтруя их по отправителю и/или получателю, либо использовать выражение *@домен, чтобы получить отчет по одному домену. Узнать, как это сделать, можно в статье Настройка автоматической отправки запланированных отчетов о защите почты в папку "Входящие" в Office 365.

 

Отчет

Описание

Соответствия политике DLP для почты: первые в списке

Отображает 10 политик предотвращения потери данных (DLP) с наибольшим числом соответствий для полученных и отправленных сообщений.

Соответствия правилам DLP для почты: первые в списке

Отображает 10 правил DLP с наибольшим числом соответствий для полученных и отправленных сообщений.

Соответствия политике DLP по уровню серьезности для почты

Отображает число соответствий правилам политики DLP для почтовых сообщений, сгруппированных по уровню серьезности. Сведения об отдельных сообщениях можно получить, выбрав точку на графике.

Соответствия политики DLP, переопределения и ложные срабатывания для почты

Отображает число соответствий политике DLP, переопределений (пользователь отправил почту несмотря на соответствие DLP) и ложных срабатываний (пользователь сообщил, что соответствие DLP было неверным). Сведения об отдельных сообщениях можно получить, выбрав точку на графике.

ПримечаниеПримечание.
Функция DLP доступна только для определенных планов подписки Exchange Online и EOP. Сведения о доступности этой функции для каждого плана см. в записях таблицы "Предотвращение потери данных" статей Описание службы Exchange Online и Описание службы Exchange Online Protection.

  • Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения.

    • Чтобы администраторы Exchange Online могли просматривать отчеты Центр администрирования Office 365, необходима роль "глобального администратора" Office 365 и роли администратора Exchange, перечисленные в разделе "Просмотр отчетов" статьи Разрешения компонентов в Exchange Online.

    • Чтобы администраторы EOP могли просматривать отчеты Центр администрирования Office 365, необходима роль "глобального администратора" Office 365 и роли администратора Exchange, перечисленные в разделе "Просмотр отчетов" статьи Разрешения на функции в службе EOP.

  • Сведения о том, когда и как долго данные доступны, см. в разделе "Доступность и задержка данных отчетов и трассировки сообщений" статьи Отчеты и трассировка сообщений в Exchange Online Protection.

  • Если подробный отчет выполняется для сообщений старше 7 дней, отчет можно загрузить как CSV-файл, который можно открыть, например, в Excel.

  • Отчеты о защите почты Exchange также доступны через удаленный сеанс Windows PowerShell. Полный список командлетов, связанных с отчетами Exchange Online, см. в статье Командлеты отчетов в Exchange Online.

СоветСовет.
Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.

При переходе по ссылке на отчет о защите почты, например отчет об отправленных и полученных сообщениях, открывается новое окно с интерактивной диаграммой и сводной информацией.

Отчет об отправленной и полученной почте

Сводные данные: вы можете выбрать соответствующий диапазон дат для просмотра сводных данных в пределах 90 дней. Представление можно изменить, чтобы просмотреть только сообщения, соответствующие определенным критериям, изменив срезы в правой части графика. Например, чтобы отобразить все сообщения, кроме нежелательных, отключите параметр Нежелательная почта. В некоторых отчетах над графиками могут быть параметры, которые позволяют дополнительно сузить область отображаемых данных. Для получения сведений об отчете и его параметрах наведите указатель на ссылку рядом с названием отчета.

Подробные данные: для некоторых отчетов доступны подробные данные о сообщения. Для их получения щелкните определенную точку данных на графике. После выбора точки сведения о сообщения отображаются под графиком в таблице. Если все записи не помещаются на одной странице, вы можете перейти на другие страницы. Подробные сведения о сообщения содержат следующие данные:

  • дата отправки сообщения;

  • отправитель и получатель сообщения (в одной строке указывается только один получатель);

  • код сообщения (берется из заголовка сообщения и отображается в следующем формате: <08f1e0f6806a47b4ac103961109ae6ef@сервер.домен>);

  • текст в строке темы сообщения.

В зависимости от типа отчета могут отображаться дополнительные поля, содержащие такие сведения, как тип события нежелательной почты, соответствующее правило потока обработки почты и действие, связанное с правилом.

На следующем рисунке показан отчет об обнаружениях нежелательной почты с подробными данными.

Отчет об обнаружении нежелательной почты
ПримечаниеПримечание.
Число подробных записей может отличаться от счетчика в сводных данных. Каждый отчет содержит описание способа вычисления количества записей.
СоветСовет.
Щелкните ссылку Просмотр таблицы для отображения данных в виде таблицы, а не графика. Однако в табличном представлении нельзя детализировать сведения о сообщении.

Подробные данные для сообщений старше 7 дней можно загрузить в файле. Это отображается как область на графике с серым фоном. При выборе точки данных в сводном графике для данных старше 7 дней, в нижней части страницы появляется ссылка Запросить этот отчет.

Обнаружения нежелательной почты сроком дольше семи дней

При выборе ссылки Запросить этот отчет вы увидите новую страницу, которая позволяет ввести сведения об уведомлении и отфильтровать запрос.

Параметры отчета о запросе

Вы можете указать перечисленные ниже параметры.

  • Дата и время начала и Дата и время окончания. Укажите диапазон дат для получения отчета. Дата и время окончания должны идти по крайней мере через 24 часа после даты и времени начала.

  • Состояние доставки. С помощью списка выберите состояние сообщения, сведения о котором необходимо просмотреть. Выберите Все, чтобы включить в поиск сообщения со всеми состояниями (это значение по умолчанию). Другие возможные значения.

    • Доставлено. Сообщение было успешно доставлено в место назначения.

    • Не доставлено. Сообщение не было доставлено. Это означает, что либо попытка доставить сообщение закончилась неудачно, либо оно не было доставлено в результате действий службы фильтрации. Например, было определено, что сообщение содержит вредоносную программу.

    • Расширено. Сообщение было отправлено в список рассылки и было расширено, чтобы просмотреть участников списка отдельно.

  • Код сообщения. Это идентификатор сообщения Интернета (также называемый кодом клиента), найденный в заголовке сообщения с маркером "Message-ID:". Пользователи могут предоставлять эти сведения, чтобы исследовать определенные сообщения.

    Этот идентификатор может иметь различную форму, зависящую от почтовой системы, из которой отправлено сообщение. Пример: <08f1e0f6806a47b4ac103961109ae6ef@сервер.домен>.

    ПримечаниеПримечание.
    Не забудьте включить полную строку идентификатора сообщения. Она может включать угловые скобки (<>).

    Этот идентификатор должен быть уникальным. Но он зависит от почтовой системы, отправившей сообщение и создавшей его, и не все почтовые системы, отправляющие сообщения, ведут себя одинаково. Поэтому существует вероятность, что при запросе сведений с использованием одного кода сообщения могут быть получены результаты для нескольких сообщений.

  • Исходный IP-адрес клиента. Укажите IP-адрес клиента отправителя.

  • Заголовок отчета. Укажите уникальный идентификатор для отчета. Он также будет использоваться как текст строки темы для уведомления по электронной почте. По умолчанию задано значение "<Отчет о трассировке сообщений> <день недели>, <текущая дата> <текущее время>". Ниже приведен пример: "Подробный отчет о нежелательной почте, четверг, 27 февраля 2014 г. 07:21:09".

  • Адрес электронной почты для уведомления. Укажите адрес электронной почты, на который нужно прислать уведомление после выполнения запроса на получение отчета. Этот адрес должен находиться в списке обслуживаемых доменов.

Щелкните Отправить, чтобы отправить запрос на получение отчета. Хотя числа отчетов, которые можно выполнить в течение 24 часов, должно быть достаточно для ваших потребностей в отчетах, при приближении к пороговому ограничению, о чем будет показано предупреждение, 24-часовой период можно превысить.

После нажатия кнопки Отправить должно появиться сообщение о том, что запрос отчета успешно отправлен и после его выполнения на адрес электронной почты (если он указан) будет отправлено уведомление. Для выполнения запроса может потребоваться несколько часов. (Если запрос обработан и данные, соответствующие критериям поиска, успешно получены, это уведомление будет содержать сведения об отчете и ссылку на загружаемый CSV-файл. Если данные, соответствующие критериям поиска, не найдены, вам будет предложено создать новый запрос с другими критериями для получения действительных результатов.)

Для просмотра состояния запросов отчета можно щелкнуть ссылку Просмотреть ожидающие и завершенные запросы на основной странице, после чего откроется страница ожидающих и завершенных запросов.

Ожидающие или завершенные запросы

На странице Ожидающие и завершенные запросы вы можете просмотреть состояние любых отправленных запросов (в дополнение к запросам отчетов здесь также показаны отправлены запросы трассировки сообщений). На этой странице можно отменить ожидающие запросы или загрузить выполненный отчет.

Список запросов можно отсортировать, щелкнув любой из заголовков столбцов. Помимо названия (заголовка) отчета, даты и времени отправки запроса, а также количества сообщений, в отчете выводятся следующие значения состояния.

  • Не запущено. Запрос отправлен, но еще не выполняется. На этом этапе вы можете отменить запрос.

  • Отменено. Запрос был отправлен, но затем отменен.

  • Выполняется. Запрос выполняется. Отменить или загрузить его невозможно.

  • Завершено. Запрос выполнен. Чтобы получить результаты в виде CSV-файла, щелкните Загрузить отчет. Обратите внимание, что если результаты содержат более 5000 сообщений для одного отчета, они будут усечены до 5000 сообщений. Если не получены все необходимые результаты, рекомендуется разбить поиск на несколько отчетов.

При выборе определенного отчета дополнительные сведения появляются в правой области, где отображаются условия поиска, выбранные для этого отчета.

ПримечаниеПримечание.
Отчеты автоматически удаляются через 10 дней. Удалить их вручную нельзя.

ВажноВажно!
Для просмотра загруженного отчета о защите почты или о правилах потока обработки почты вашей группе ролей должна быть назначена роль "Получатели с правом просмотра". По умолчанию эта роль назначена группам ролей: "Управление соответствием требованиям", "Служба технической поддержки", "Управление санацией", "Управление организацией" и "Управление организацией с правами только на просмотр". Для просмотра загруженных отчетов о DLP требуется роль "Защита от потери данных". По умолчанию она доступна только группе ролей "Управление соответствием требованиям".

После загрузки отчета со страницы Просмотр ожидающих и завершенных запросов или из сообщения с уведомлением вы можете открыть и просмотреть отчет в приложении, например, Microsoft Excel.

Во все типы отчета включены следующие сведения о каждом сообщении:

  • origin_timestamp. Дата и время в формате UTC, когда служба получила сообщение (согласно настройкам часового пояса).

  • sender_address. Адрес электронной почты отправителя в следующей форме: псевдоним@домен.

  • recipient_address. Получатель сообщения.

  • message_subject. Текст в строке темы сообщения. При необходимости эта строка усекается до первых 256 знаков.

  • total_bytes. Размер сообщения, включая вложения, в байтах.

  • message_id. Это идентификатор сообщения Интернета (также называемый кодом клиента), найденный в заголовке сообщения с маркером "Message-ID:". Он может иметь различную форму, зависящую от почтовой системы, из которой отправлено сообщение. Пример. <08f1e0f6806a47b4ac103961109ae6ef@сервер.домен>.

    Этот идентификатор должен быть уникальным. Но он зависит от почтовой системы, отправившей сообщение и создавшей его, и не все почтовые системы, отправляющие сообщения, ведут себя одинаково. Поэтому существует вероятность, что при запросе сведений с использованием одного кода сообщения могут быть получены результаты для нескольких сообщений.

  • network_message_id. Это уникальное значение идентификатора сообщения, которое сохраняется в различных копиях сообщения, которые могут создаваться в связи с развертыванием или расширением группы рассылки. В примере он имеет значение 1341ac7b13fb42ab4d4408cf7f55890f.

  • original_client_ip. IP-адрес клиента отправителя.

  • directionality. Это поле указывает, было ли сообщение входящим (1) или исходящим (2) из вашей организации.

В отчетах о сообщениях с обнаруженной нежелательной почтой также включаются следующие поля:

  • event_type. Указывает тип фильтрации нежелательной почты:

    • Фильтр содержимого — сообщение, определенное как нежелательное из-за его содержимого.

    • SMTP заблокирован — сообщение было заблокировано перед тем, как оно попало в службу, из-за фильтрации отправителей или получателей.

    • IP-адрес заблокирован — сообщение было заблокировано перед тем, как оно попало в службу, из-за репутации IP-адреса.

  • scl. Дополнительные сведения о различных значениях вероятности нежелательной почты и их значении см. в разделе Вероятность нежелательной почты.

  • country. Страна или регион, из которого было отправлено данное сообщение (если доступно).

  • language. Код языка, на котором написано сообщение (например, ru указывает на то, что сообщение написано на русском языке).

  • helo string. Строка HELO или EHLO почтового сервера, который подключается.

  • reverse_dns. Запись PTR отправляющего IP-адреса, называемая также обратным DNS-адресом.

В отчетах о сообщениях с обнаруженной вредоносной программой также включаются следующие поля:

  • event_type. Это поле всегда содержит значение Вредоносная программа.

  • filename. Имя файла, содержащего вредоносные программы.

  • malware_name. Имя обнаруженной вредоносной программы.

В отчеты о сообщениях, которые соответствуют правилам потока обработки почты, также включаются следующие поля:

  • ruleid. Код соответствующего правила, например 368067fd-c36c-4b56-9f38-08d0ffcf8b23. Код каждого правила уникальный, его можно получить с помощью удаленной консоли Windows PowerShell.

  • action. Примененное действие. Список доступных действий см. в разделе Почтовые действия правил поток в Exchange Online.

  • severity. Серьезность проверки сработавшего правила.

  • set_time. Дата и время (в формате UTC) выполнения правила.

  • mode. Режим правила. Возможные значения:

    • Принудительно — все действия правила используются принудительно.

    • Тест с подсказками политики — все действия правила отправляются, но другие принудительные действия не применяются.

    • Тест без подсказок политики — действия перечисляются в файле журнала, но отправители не получают никаких уведомлений; принудительные действия не применяются.

В отчеты о сообщениях, которые соответствуют политике DLP, также включаются следующие поля:

  • dlpid. Идентификатор соответствующей политики DLP. Код каждой политики уникальный, его можно получить с помощью удаленной консоли Windows PowerShell.

  • sender_override. Конечный пользователь сообщил о переопределении или ложном срабатывании правила.

  • Sender_just. Следует переопределить текст обоснования, приведенный пользователем в качестве причины классификации данных.

  • dcid. Идентификатор классификации данных, которые были обнаружены.

  • dc_count. Номер классификации данных, которые были обнаружены.

  • dc_conf. Уровень вероятности классификации данных, которые были обнаружены. Подробное описание уровня вероятности см. в разделе "Правила сущности" статьи Разработка пакетов правил конфиденциальной информации.

ПримечаниеПримечание.
Поля ruleid, action, severity, set_time и mode, указанные ранее для отчетов о правилах потока обработки почты, также включены в отчеты DLP.
 
Показ: