Get-MailDetailATPReport

Questo cmdlet è disponibile solamente nel servizio basato sul cloud.

Usare il cmdlet Get-MailDetailATPReport per elencare i dettagli sui rilevamenti di Exchange Online Protection e Microsoft Defender per Office 365 nell'organizzazione basata sul cloud negli ultimi 10 giorni.

Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.

Sintassi

Get-MailDetailATPReport
   [-DataSource <String>]
   [-Direction <MultiValuedProperty>]
   [-Domain <MultiValuedProperty>]
   [-EndDate <DateTime>]
   [-EventType <MultiValuedProperty>]
   [-MalwareName <MultiValuedProperty>]
   [-MessageId <MultiValuedProperty>]
   [-MessageTraceId <MultiValuedProperty>]
   [-Page <Int32>]
   [-PageSize <Int32>]
   [-ProbeTag <String>]
   [-RecipientAddress <MultiValuedProperty>]
   [-SenderAddress <MultiValuedProperty>]
   [-StartDate <DateTime>]
   [<CommonParameters>]

Descrizione

Allegati sicuri è una funzionalità di Microsoft Defender per Office 365 che apre gli allegati di posta elettronica in un ambiente hypervisor speciale per rilevare attività dannose.

Collegamenti sicuri è una funzionalità di Microsoft Defender per Office 365 che controlla i collegamenti nei messaggi di posta elettronica per verificare se portano a siti Web dannosi. Quando un utente seleziona un collegamento all'interno di un messaggio, l'URL viene temporaneamente riscritto e confrontato con un elenco di siti Web dannosi noti. Collegamenti sicuri include la funzionalità di creazione di rapporti relativi alla traccia dell'URL per determinare chi è stato indirizzato a un sito Web dannoso.

Per il periodo di segnalazione specificato, il cmdlet restituisce le seguenti informazioni:

  • Data
  • ID messaggio
  • ID traccia messaggio
  • Dominio
  • Oggetto
  • Dimensioni messaggio
  • Direzione: i valori sono Inbound, Outbound o Unknown. Sconosciuto significa che i messaggi non sono stati elaborati dallo stack di filtri. In altre parole, i messaggi sono stati eliminati sul bordo prima che entrassero nello stack di filtro, quindi non è possibile indicare la direzione per loro.
  • Indirizzo mittente
  • Indirizzo destinatario
  • Tipo evento
  • Livello di reclamo in blocco
  • Tipo di verdetto
  • Azione
  • Nome file
  • Nome malware

Questo cmdlet è limitato a 10.000 risultati. Se si raggiunge questo limite, è possibile usare i parametri disponibili per filtrare l'output.

È necessario disporre delle autorizzazioni prima di poter eseguire questo cmdlet. Sebbene in questo argomento vengano elencati tutti i parametri relativi al cmdlet, si potrebbe non avere accesso ad alcuni di essi qualora non siano inclusi nelle autorizzazioni assegnate. Per individuare le autorizzazioni necessarie per eseguire cmdlet o parametri nell'organizzazione, vedere Trovare le autorizzazioni necessarie per eseguire i cmdlet di Exchange.

Esempio

Esempio 1

Get-MailDetailATPReport -StartDate 7/22/2018 -EndDate 7/31/2018

Questo esempio restituisce le azioni per gli ultimi 10 giorni di luglio 2018. Nota: i clienti con sottoscrizioni Defender per Office 365 potranno ottenere fino a 30 giorni di dati.

Parametri

-DataSource

{{ Fill DataSource Description }}

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Direction

Il parametro Direction consente di filtrare i risultati in base ai messaggi in entrata o in uscita. I valori validi sono:

  • Inbound
  • In uscita
  • IntraOrg

È possibile specificare più valori separati da virgole.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Domain

Il parametro Domain consente di filtrare i risultati in base a un dominio accettato nell'organizzazione basata su cloud. È possibile specificare più valori di domini separati da virgole oppure il valore All.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EndDate

Il parametro EndDate consente di specificare la data di fine dell'intervallo di date.

Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data. Se si immette la data, racchiudere il valore tra virgolette (), ad esempio "09/01/2018".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EventType

Il parametro EventType consente di filtrare il rapporto in base al tipo di evento. I valori validi sono:

  • Filtro avanzato
  • Motore antimalware
  • Campagna
  • Detonazione file
  • Reputazione della detonazione dei file
  • Reputazione dei file
  • Corrispondenza delle impronte digitali
  • Filtro generale
  • Marchio di rappresentazione
  • Dominio di rappresentazione
  • Utente di rappresentazione
  • Rappresentazione dell'intelligence per le cassette postali
  • Messaggio passato
  • Rilevamento analisi mista
  • Spoof DMARC
  • Spoof external domain
  • Spoof all'interno dell'organizzazione
  • Detonazione di URL
  • Reputazione della detonazione dell'URL
  • Reputazione dannosa dell'URL

Nota: alcuni valori corrispondono alle funzionalità disponibili solo in Defender per Office 365 (solo piano 1 e piano 2 o piano 2).

È possibile immettere più valori separati da virgole. Se i valori contengono spazi o altrimenti richiedono virgolette, usare la sintassi seguente: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-MalwareName

Il parametro MalwareName filtra i risultati in base al payload del malware. I valori validi sono:

  • Excel
  • EXE
  • Flash
  • Altri
  • PDF
  • PowerPoint
  • URL

È possibile specificare più valori separati da virgole.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-MessageId

Il parametro MessageId consente di filtrare i risultati in base al campo dell'intestazione Message-ID del messaggio. Questo valore è anche noto come ID client. Il formato di Message-ID dipende dal server di messaggistica che ha inviato il messaggio. Questo valore deve essere univoco per ciascun messaggio. Tuttavia, non tutti i server di messaggistica creano i valori di Message-ID nello stesso modo. Assicurarsi di includere la stringa id messaggio completa (che può includere parentesi angolari) e racchiudere il valore tra virgolette (ad esempio, "d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com").

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-MessageTraceId

Il parametro MessageTraceId filtra i risultati in base al valore dell'ID traccia del messaggio. Questo valore GUID viene generato per ogni messaggio elaborato dal sistema (ad esempio, c20e0f7a-f06b-41df-fe33-08d9da155ac1).

È possibile specificare più valori separati da virgole.

Il valore MessageTraceId è disponibile anche nell'output dei cmdlet seguenti:

  • Get-MailDetailDlpPolicyReport
  • Get-MailDetailEncryptionReport
  • Get-MailDetailTransportRuleReport
  • Get-MessageTrace
  • Get-MessageTraceDetail
Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Page

Il parametro Page consente di specificare il numero della pagina dei risultati da visualizzare. I valori validi per questo parametro sono i numeri interi compresi tra 1 e 1000. Il valore predefinito è 1.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PageSize

Il parametro PageSize consente di specificare il numero massimo di voci per pagina. I valori validi per questo parametro sono i numeri interi compresi tra 1 e 5000. Il valore predefinito è 1000.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-ProbeTag

Questo parametro è riservato all'uso interno da parte di Microsoft.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-RecipientAddress

Il parametro RecipientAddress consente di filtrare i risultati in base all'indirizzo di posta elettronica del destinatario. È possibile specificare più valori separati da virgole.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-SenderAddress

Il parametro SenderAddress consente di filtrare i risultati in base all'indirizzo di posta elettronica del mittente. È possibile specificare più valori separati da virgole.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-StartDate

Il parametro StartDate consente di specificare la data di inizio dell'intervallo di date.

Usare il formato data breve definito nelle impostazioni Opzioni internazionali nel computer in cui viene eseguito il comando. Ad esempio, se il computer è configurato per l'utilizzo del formato di data breve mm/dd/yyyy, immettere 01/09/2018 per specificare il 1° settembre 2018. È possibile immettere solo la data oppure specificare la data e l'ora del giorno. Se si immette la data e l'ora del giorno, racchiudere il valore tra virgolette ("), ad esempio "01/09/2018".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection