本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

使用 Office 365 的郵件保護報告以檢視有關惡意程式碼、垃圾郵件和規則偵測的資訊

Exchange Online
 

適用版本:Exchange Online, Exchange Online Protection

上次修改主題的時間:2016-12-09

如果您是Exchange Online或Exchange Online Protection (EOP) 管理員有良好機會您想要監視多少垃圾郵件和所偵測到惡意程式碼,或郵件流程規則,也稱為傳輸規則多久要比對。與在Office 365 系統管理中心互動式郵件保護報告,您可以快速取得摘要資料視覺報表及向下鑽研個別郵件的相關詳細資料的早 90 天。

Office 365 中的郵件防護報告


本主題涵蓋下列領域:

您可以自訂篩選寄件者及/或收件者或特定的網域上特定郵件保護報告。您還可以排程收件匣自動傳送郵件報告。若要了解如何執行這項作業,請參閱自訂及排定自動傳送給收件匣的 Office 365 中的郵件保護報告

您可以從Office 365 系統管理中心[報告] 頁面存取下列郵件保護報告。

 

報告 描述

排名最前面的寄件者及收件者

視您所選取的報告類型而定,顯示下列資訊:

  • 排名最前面的郵件收件者 – 全部郵件的前 10 名收件者。

  • 排名最前面的郵件寄件者 – 全部郵件的前 10 名寄件者。

  • 排名最前面的垃圾郵件收件者 – 垃圾郵件偵測的前 10 名收件者。

  • 排名最前面的惡意程式碼收件者 – 惡意程式碼偵測的前 10 名收件者。

郵件中排名最前面的惡意程式碼

顯示接收及傳送的郵件中前 10 個惡意程式碼。

惡意程式碼偵測

顯示在套用惡意程式碼動作之前,在送出或接收的郵件中的惡意程式碼偵測次數。選取圖形上的點可查看經過惡意程式碼篩選之個別郵件的詳細資料。

垃圾郵件偵測

顯示在送出或收到的郵件中偵測到的垃圾郵件,依垃圾郵件篩選類型來分組:

  • 已篩選的內容 - 由於郵件特性與垃圾郵件一致而識別為垃圾郵件的郵件。

  • SMTP 封鎖 – 根據寄件者/收件者篩選,在進入服務之前封鎖的郵件。

  • IP 封鎖 – 根據 IP 信譽,在進入服務之前封鎖的郵件。

根據預設,所有訊息都是包含在內。您可以修改特定的寄件者和/或收件者篩選此報告的詳細資料或您可以使用 *@domain 來取得單一網域上的報告。 若要了解如何執行這項作業,請參閱自訂及排定自動傳送給收件匣的 Office 365 中的郵件保護報告

選取圖形上的點可查看經過內容篩選的個別郵件的詳細資料。

傳送和接收的郵件

依流量類型分組顯示傳送及接收的郵件:

  • 良好郵件 – 收到且未識別為垃圾郵件或惡意程式碼的郵件。

  • 垃圾郵件 – 識別為垃圾郵件的郵件。

  • 惡意程式碼 - 包含惡意程式碼的郵件。

  • 郵件流程規則 (也稱為的傳輸規則) – 符合至少一項規則的郵件。

根據預設,所有訊息都是包含在內。您可以修改特定的寄件者和/或收件者篩選此報告的詳細資料或您可以使用 *@domain 來取得單一網域上的報告。若要了解如何執行這項作業,請參閱自訂及排定自動傳送給收件匣的 Office 365 中的郵件保護報告

沒有個別郵件的詳細資料。

詐騙郵件報告

針對具有 Office 365 企業版 E5 或已購買進階威脅保護 (ATP) 授權的客戶,此圖表會顯示傳送給您的組織出寄件者出現來代表您的組織,但實際的寄件者身分識別為不同的內送電子郵件。這是稱為 「 內部詐騙"。

組織可能會使用詐騙刻意良好的原因,且惡意詐騙某些類型。這份報告包含這兩種詐騙貴組織所接收的電子郵件類型與可協助您採取動作来允許或封鎖進一步電子郵件從該寄件者。 例如,您可能會合約傳送邀請給所有員工公司事件 – 類似電子郵件會在此報告中顯示為非垃圾郵件或良好郵件第三方。Office 365也偵測到惡意方式傳送您公司的郵件和標籤此Caught 為垃圾郵件

您可以看到詳細的檢視指定工作日的按一下圖表中的資料點。計數彙總是根據下列屬性:

  • 詐騙寄件者– 看起來從您的組織的可見的寄件者名稱。

  • True 寄件者– 實際的寄件者已登錄的 IP 位址相關聯。如果這個欄位是空白、 寄件者的網域未偵測出來的 DNS 記錄已由Office 365檢查時。

  • 寄件者 IP – 的 IP 位址或位址範圍詐騙郵件的寄件者相關聯。

  • 事件類型– 是否詐騙郵件已標示為 (當作垃圾郵件攔截到) 的垃圾郵件或非垃圾郵件 (良好郵件)。

您可以封鎖或允許選取 [新增 IP 封鎖或 IP 允許清單從在未來這個 IP 位址傳送的電子郵件。如果您知道所屬安全網域,僅新增至[允許] 清單的 IP 位址。

 

報告

描述

郵件最排名最前面的規則相符

顯示收到和送出的郵件上 10 個最符合的郵件流程規則。

郵件符合規則的數目

顯示郵件流程數規則比對,依據規則嚴重性。選取圖表上的一個點位於個別郵件詳細。

根據預設,所有訊息都是包含在內。您可以修改特定的寄件者和/或收件者篩選此報告的詳細資料或您可以使用 *@domain 來取得單一網域上的報告。 若要了解如何執行這項作業,請參閱自訂及排定自動傳送給收件匣的 Office 365 中的郵件保護報告

 

報告

描述

郵件排名最前面的 DLP 原則相符

顯示收到和送出的郵件前 10 個最符合的資料遺失防護 (DLP) 原則。

郵件最排名最前面的 DLP 規則相符

顯示收到和送出的郵件前 10 個最符合的 DLP 規則。

依郵件重要性分組的 DLP 原則相符

依嚴重性分組顯示郵件的 DLP 原則規則相符次數。選取圖形上的點可查看個別郵件的詳細資料。

郵件的 DLP 原則比對、覆寫及誤判

顯示 DLP 原則比對、覆寫 (不管 DLP 對比,使用者已傳送郵件) 和誤判 (使用者回報指出 DLP 比對不正確) 的次數。選取圖形上的點可查看個別郵件的詳細資料。

注意事項注意事項:
DLP 功能僅由特定Exchange Online和 EOP 訂閱方案提供。如需每個計劃中可用的 DLP 功能資訊,請參閱Exchange Online 服務說明Exchange Online Protection 服務說明中的資料外洩防護表格項目。

  • 您必須獲得權限才能執行此程序:

    • Exchange Online admins 以檢視Office 365 系統管理中心報告,您需要 「 全域管理員 」 Office 365系統管理角色及 Exchange 管理員角色列Exchange Online 中的功能權限主題中的 「 檢視報告 」 項目。

    • 若是 EOP 管理員,才能檢視Office 365 系統管理中心報告,您需要 「 全域管理員"Office 365 系統管理角色及EOP 中的功能權限主題中的 「 檢視報告 」 項目所列的 Exchange 管理員角色。

  • 如需資料何時可用及可用期間的相關資訊,請參閱 Exchange Online Protection 的報告與訊息追蹤中的「報告與郵件追蹤資料可用性和延遲性」。

  • 如果詳細報告包含超過 7 天的郵件,則報告可下載為 .csv 檔案,然後在 Excel 等應用程式中開啟。

  • 也可以透過遠端 Windows PowerShell 存取 Exchange 郵件保護報告包含。Exchange Online報告指令程式的完整清單,請參閱Exchange Online 中的報告指令程式]。

提示提示:
有問題嗎?在 Exchange 論壇中尋求協助。此論壇的網址為:Exchange ServerExchange OnlineExchange Online Protection

按一下郵件保護報告連結時,例如 [傳送和接收的郵件] 報告,將開啟新的視窗來顯示摘要層級資訊的互動式圖表。

傳送和接收的郵件報告

摘要資料:您可以選取適當的日期範圍,最多可查看 90 天的摘要資料。您可以修改圖形右邊的數列交叉分析篩選器,將檢視改為只顯示符合特定準則的郵件。例如,如果您要檢視垃圾郵件以外的所有郵件,請清除 [垃圾郵件] 交叉分析篩選器選項。有些報告在圖形上方也有參數可讓您進一步限制準則。如需報告及其參數的詳細資訊,您可以將游標置於報告標題旁邊的資訊連結上。

詳細資料:在某些報告中,按一下圖形內的特定資料點可取得詳細的郵件資料。選取一個點時,郵件詳細資料會顯示在表格的圖形下方。如果記錄太多超過一頁,您可以逐頁查看詳細郵件。每一項詳細資料列出以下內容:

  • 送出郵件的日期。

  • 郵件的寄件者和收件者 (每行只列出一個收件者)。

  • 郵件識別碼 (出現在郵件標頭中,通常類似下列格式:<08f1e0f6806a47b4ac103961109ae6ef@server.domain>)。

  • 郵件的主旨行文字。

視的報表類型,您可能會看到其他欄位包含垃圾郵件事件類型、 郵件流程規則比對,以及與規則關聯的動作等資訊。

下圖顯示 [垃圾郵件偵測] 報告及詳細資料。

垃圾郵件偵測報告
注意事項注意事項:
詳細資料數量可能與摘要計數不同。每一份報告會解釋如何計算詳細資料記錄筆數。
提示提示:
您可以按一下 [檢視表格] 連結來顯示表格,而不是圖形。不過,您在表格檢視內無法深入查看郵件詳細資料。

可下載超過 7 天的郵件的詳細資料。這在圖形中會顯示為灰色背景的區域。當您在超過 7 天的資料摘要圖中選取資料點時,頁面底部會顯示 [要求此報告] 連結。

超過 7 天的垃圾郵件偵測

按一下 [要求此報告] 連結時,將出現新的頁面讓您提供通知資訊及進一步篩選要求。

要求報告參數

您可以指定下列參數:

  • 開始日期和時間結束日期和時間   指定您要報告資料的日期範圍。結束日期和時間至少必須超過 24 小時。

  • 傳遞狀態   使用清單選取您要檢視相關資訊的郵件狀態。保留預設值 [全部],以涵蓋所有狀態。其他可能的值為:

    • 已傳遞   郵件已成功傳遞至預定的目的地。

    • 失敗   郵件未傳遞。已嘗試傳遞但失敗,或因為篩選服務所採取的動作而未傳遞郵件。例如,若郵件經判定確實包含惡意程式碼。

    • 已展開   郵件已傳送至通訊群組清單並已展開,所以可個別檢視的清單成員。

  • 郵件 ID   這是在具有「Message-ID」Token 之郵件的標頭中找到的網際網路訊息 ID (也稱為「用戶端 ID」)。使用者可為您提供此資訊,以便調查特定郵件。

    此 ID 的形式會視傳送郵件系統而有所不同。以下為範例:<08f1e0f6806a47b4ac103961109ae6ef@server.domain>。

    注意事項注意事項:
    務必包括完整的郵件識別碼字串。此可能包含角括弧 (<>)。

    此識別碼必須是唯一的;但是,它的產生依存於傳送郵件系統,而且並非所有傳送郵件系統的行為都相同。因此,查詢單一郵件識別碼時,可能會取得多封郵件的結果。

  • 原始用戶端 IP 位址   指定寄件者用戶端的 IP 位址。

  • 報告標題   指定此報告的唯一識別碼。這也會用作電子郵件通知的主旨行文字。預設值是「<報告類型>詳細報告<星期幾>, <目前日期> <目前時間>」。以下為範例:「垃圾郵件詳細報告 Thursday, February 27, 2014 7:21:09 AM」。

  • 通知電子郵件地址   指定想要在報告要求完成時收到通知的電子郵件地址。此地址必須位於公認的網域清單內。

按一下 [送出] 提交報告要求。雖然執行長達 24 小時的報告數量應該可以滿足您的報告需求,但在允許您執行長達 24 小時的報告數量接近臨界值時會警告您。

按一下 [送出] 按鈕後,應該會出訊息表示已順利送出報告要求,而要求完成時會將電子郵件通知傳送至電子郵件地址 (若有提供)。可能需要數個小時,才能完成報告要求。(如果已處理要求,而且已順利擷取與搜尋準則相符的資料,此通知郵件將包含報告的相關資訊及可下載 .csv 檔案的連結。如果找不到符合所指定搜尋準則的資料,則系統會要求您提交具有已變更準則的新要求,以取得有效結果。)

若要檢視報告要求的狀態,您可以從主頁面按一下 [檢視擱置和完成的要求] 連結,以開啟 [擱置或完成的要求] 頁面。

擱置或已完成的要求

[擱置或完成的要求] 頁面可讓您查看任何已提交的要求的狀態 (除了報告要求,也會列出您提交的郵件追蹤要求)。在這裡,您可以取消擱置的要求,或下載已完成的報告。

按一下任何欄標題可排序要求清單。除了報告標題、要求提交日期和時間,以及報告中的郵件數目之外,還會列出下列狀態值:

  • 未開始   已提交要求,但尚未執行。此時,您可以選擇取消要求。

  • 已取消   已提交要求,但已取消。

  • 進行中   要求正在執行,您無法取消要求或下載報告。

  • 已完成   要求已完成,因此您可以按一下 [下載此報告] 來擷取 .csv 檔案形式的結果。請注意,如果報告的結果超過 5,000 封郵件,則會截斷為 5,000 封郵件。如果您看不到所有需要的結果,則建議您將搜尋分成多個查詢。

選取特定報告時,右窗格會顯示其他資訊,其中會顯示您為該報告指定的搜尋準則。

注意事項注意事項:
10 天之後會自動刪除報告。無法手動刪除報告。

重要事項重要事項:
若要檢視已下載的郵件保護和郵件流程規則報告,您必須指派給角色群組的 「 僅檢視收件者 」 角色。根據預設,下列角色群組已指派給此角色: 相符性管理、 服務台、 檢疫管理、 組織管理及 View-Only Organization Management。若要檢視已下載的 DLP 報告,所需的角色 「 資料外洩防護",且根據預設,則只有相符性管理角色群組。

[檢視擱置或完成的要求] 頁面或從通知電子郵件下載報告時,您可以在 Microsoft Excel 等應用程式中開啟和檢視報告。

每一種報告都包含每個郵件的下列資訊:

  • origin_timestamp   服務接收到郵件的日期和時間 (使用設定的 UTC 時區)。

  • sender_address   採用 alias@domain 形式的寄件者電子郵件地址。

  • recipient_address   郵件的收件者。

  • message_subject   郵件的主旨行文字。必要時,此主旨行會截短為前 256 個字元。

  • total_bytes   含附件的郵件大小 (位元組)。

  • message_id   這是在具有「Message-ID:」Token 之郵件的標頭中找到的網際網路訊息 ID (也稱為「用戶端 ID」)。此 ID 的形式會視傳送郵件系統而有所不同。以下為範例:<08f1e0f6806a47b4ac103961109ae6ef@server.domain>。

    此識別碼必須是唯一的;但是,它的產生依存於傳送郵件系統,而且並非所有傳送郵件系統的行為都相同。因此,查詢單一郵件識別碼時,可能會取得多封郵件的結果。

  • network_message_id   這是唯一的郵件 ID 值,會持續存在於郵件所有因為複本發送或通訊群組展開等原因而產生的副本上。範例值是 1341ac7b13fb42ab4d4408cf7f55890f。

  • original_client_ip   寄件者用戶端的 IP 位址。

  • directionality   此欄位表示郵件是否送入組織 (1),或是否從組織送出 (2)。

關於偵測到為垃圾郵件的郵件,報告也會包含下列欄位:

  • event_type   代表垃圾郵件篩選類型是否為:

    • 內容篩選   根據郵件的內容而識別為垃圾郵件。

    • SMTP 封鎖   根據寄件者/收件者篩選,已在進入服務之前封鎖郵件。

    • IP 封鎖   根據 IP 信譽,已在進入服務之前封鎖郵件。

  • scl   如需不同 SCL 值及其意義的詳細資訊,請參閱<垃圾郵件信賴等級>。

  • 國家/地區 郵件的來源國家或地區 (如果有的話)。

  • 語言   用來撰寫郵件的語言代碼 (例如,en 表示郵件以英文撰寫)。

  • helo 字串   連線郵件伺服器的 HELO 或 EHLO 字串。

  • reverse_dns   傳送端 IP 位址 (也稱為反向 DNS 位址) 的 PTR 記錄。

關於偵測到惡意程式碼的郵件,報告也會包含下列欄位:

  • event_type   這一律為 [惡意程式碼]

  • filename   含有惡意程式碼之檔案的名稱。

  • malware_name   偵測到的惡意程式碼名稱。

關於符合某個 [郵件流程規則的郵件報告也會包含下列欄位:

  • ruleid   符合的規則識別碼,例如 368067fd-c36c-4b56-9f38-08d0ffcf8b23。每個規則都有唯一的識別碼。您可以透過遠端 Windows PowerShell 取得此值

  • 巨集指令  已套用動作。可用動作清單,請參閱 < 郵件流程規則動作在 Exchange Online

  • severity   相符規則的稽核嚴重性。

  • set_time   規則比對的日期和時間 (UTC)。

  • mode   規則的模式。可能的值為:

    • 強制   將強制執行規則上的所有動作。

    • 搭配原則提示來測試   將會傳送任何「原則提示」動作,但將不會處理其他強制執行動作。

    • 不搭配原則提示就測試   動作將會列在記錄檔中,但是不會以任何方法通知寄件者,而且不會處理強制執行動作。

關於符合 DLP 原則的郵件,報告也會包含下列欄位:

  • dlpid   符合的 DLP 原則識別碼。每個原則都有唯一的識別碼。您可以透過遠端 Windows PowerShell 取得此值。

  • sender_override   使用者回報指出規則為覆寫或誤判。

  • Sender_just   使用者提供的理由文字,說明應該覆寫資料分類的原因。

  • dcid   相符資料分類的識別碼。

  • dc_count   相符資料分類的計數。

  • dc_conf   相符資料分類的顯著水準。如需顯示水準的詳細說明,請參閱<開發敏感資訊規則套件>中的「實體規則」一節。

注意事項注意事項:
郵件流程規則報告針對先前定義的ruleidactionseverityset_time模式欄位也會出現在 DLP 報告。
 
顯示: