Get-MailDetailATPReport

Esse cmdlet só está disponível no serviço baseado em nuvem.

Use o cmdlet Get-MailDetailATPReport para listar detalhes sobre detecções de Proteção do Exchange Online e Microsoft Defender para Office 365 em sua organização baseada em nuvem nos últimos 10 dias.

Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.

Syntax

Get-MailDetailATPReport
   [-DataSource <String>]
   [-Direction <MultiValuedProperty>]
   [-Domain <MultiValuedProperty>]
   [-EndDate <DateTime>]
   [-EventType <MultiValuedProperty>]
   [-MalwareName <MultiValuedProperty>]
   [-MessageId <MultiValuedProperty>]
   [-MessageTraceId <MultiValuedProperty>]
   [-Page <Int32>]
   [-PageSize <Int32>]
   [-ProbeTag <String>]
   [-RecipientAddress <MultiValuedProperty>]
   [-SenderAddress <MultiValuedProperty>]
   [-StartDate <DateTime>]
   [<CommonParameters>]

Description

Anexos seguros é um recurso em Microsoft Defender para Office 365 que abre anexos de email em um ambiente de hipervisor especial para detectar atividades mal-intencionadas.

Links Seguros é um recurso no Microsoft Defender para Office 365 que verifica links em mensagens de email para ver se eles levam a sites mal-intencionados. Quando um usuário clica em um link em uma mensagem, a URL é reescrita temporariamente e verificada em uma lista de sites mal-intencionados conhecidos. Links Seguros inclui o recurso de relatório de rastreamento de URL para ajudar a determinar quem clicou em um site mal-intencionado.

Para o período do relatório especificado, o cmdlet retorna as seguintes informações:

  • Data
  • ID da Mensagem
  • ID de rastreamento de mensagem
  • Domínio
  • Assunto
  • Tamanho da mensagem
  • Direção: os valores são Entrada, Saída ou Desconhecido. Desconhecido significa que as mensagens não foram processadas pela pilha de filtragem. Em outras palavras, as mensagens foram soltas na borda antes de entrarem em nossa pilha de filtragem, então não podemos dizer a direção para elas.
  • Endereço do remetente
  • Endereço do destinatário
  • Tipo de Evento
  • Nível de reclamação em massa
  • Tipo de Veredicto
  • Ação
  • Nome do Arquivo
  • Nome do malware

Esse cmdlet é limitado a 10.000 resultados. Se você atingir esse limite, poderá usar os parâmetros disponíveis para filtrar a saída.

Para executar esse cmdlet, você precisa ter permissões. Embora este tópico liste todos os parâmetros do cmdlet, talvez você não tenha acesso a alguns parâmetros se eles não estiverem incluídos nas permissões atribuídas a você. Para localizar as permissões necessárias para executar qualquer cmdlet ou parâmetro em sua organização, confira Find the permissions required to run any Exchange cmdlet.

Exemplos

Exemplo 1

Get-MailDetailATPReport -StartDate 7/22/2018 -EndDate 7/31/2018

Este exemplo retorna as ações dos últimos 10 dias em julho de 2018. (Observação: clientes com assinaturas Defender para Office 365 poderão obter até 30 dias de dados.)

Parâmetros

-DataSource

{{ Preencher Descrição do DataSource }}

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Direction

O parâmetro Direction filtra os resultados por mensagens de entrada ou de saída. Os valores válidos são:

  • Entrada
  • Saída
  • Intraorg

Vários valores, separados por vírgulas, podem ser especificados.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Domain

O parâmetro Domain filtra os resultados por um domínio aceito na organização baseada na nuvem. Você pode especificar vários valores de domínio separados por vírgulas ou o valor All.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EndDate

O parâmetro EndDate especifica a data de término do intervalo de datas.

Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para usar o formato de data abreviada mm/dd/yyyy, insira 01/09/2018 para especificar 1º de setembro de 2018. Você só pode inserir a data. Se você inserir a data, inclua o valor entre aspas ("), por exemplo, "01/09/2018".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-EventType

O parâmetro EventType filtra o relatório pelo tipo de evento. Os valores válidos são:

  • Filtro avançado
  • Mecanismo anti-malware
  • Campanha
  • Detonação de arquivo
  • Reputação da detonação de arquivo
  • Reputação de arquivos
  • Correspondência de impressão digital
  • Filtro geral
  • Marca de usurpação de identidade
  • Domínio de usurpação de identidade
  • Usuário de usurpação de identidade
  • Usurpação de identidade da inteligência de caixa de correio
  • Mensagem passada
  • Detecção de análise mista
  • DMARC falso
  • Domínio externo falso
  • Falsificação dentro da organização
  • Detonação de URL
  • Reputação da detonação de URL
  • Reputação mal-intencionada de URL

Observação: alguns valores correspondem a recursos que só estão disponíveis em Defender para Office 365 (plano 1 e plano 2 ou plano 2 somente).

Update Se os valores contiverem espaços ou exigirem aspas, use a seguinte sintaxe: "Value1","Value2",..."ValueN".

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-MalwareName

O parâmetro MalwareName filtra os resultados por conteúdo de malware. Os valores válidos são:

  • Excel
  • EXE
  • Flash
  • Outros
  • PDF
  • PowerPoint
  • URL

Vários valores, separados por vírgulas, podem ser especificados.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-MessageId

O parâmetro MessageId filtra os resultados pelo Message-ID campo do cabeçalho da mensagem. Este valor é conhecido também como ID do cliente. O formato da Message-ID depende do Messaging Server que envia a mensagem. O valor deve ser exclusivo para cada mensagem. No entanto, nem todos os Messaging Servers criam valores para o Message-ID da mesma maneira. Certifique-se de incluir a cadeia de caracteres ID de mensagem completa (que pode incluir colchetes de ângulo) e incluir o valor entre aspas (por exemplo, "d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com").

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-MessageTraceId

O parâmetro MessageTraceId filtra os resultados pelo valor da ID de rastreamento da mensagem. Esse valor GUID é gerado para cada mensagem processada pelo sistema (por exemplo, c20e0f7a-f06b-41df-fe33-08d9da155ac1).

Vários valores, separados por vírgulas, podem ser especificados.

O valor MessageTraceId também está disponível na saída dos seguintes cmdlets:

  • Get-MailDetailDlpPolicyReport
  • Get-MailDetailEncryptionReport
  • Get-MailDetailTransportRuleReport
  • Get-MessageTrace
  • Get-MessageTraceDetail
Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Page

O parâmetro Page especifica o número de página dos resultados que você pretende exibir. A entrada válida para este parâmetro é um número inteiro entre 1 e 1000. O valor padrão é 1.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PageSize

O parâmetro PageSize especifica o número máximo de entradas por página. A entrada válida para esse parâmetro é um número inteiro entre 1 e 5000. O valor padrão é 1000.

Type:Int32
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-ProbeTag

Esse parâmetro está reservado para uso interno da Microsoft.

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-RecipientAddress

O parâmetro RecipientAddress filtra os resultados pelo endereço de email do destinatário. Vários valores, separados por vírgulas, podem ser especificados.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-SenderAddress

O parâmetro SenderAddress filtra os resultados pelo endereço de email do remetente. Vários valores, separados por vírgulas, podem ser especificados.

Type:MultiValuedProperty
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-StartDate

O parâmetro StartDate especifica a data de início do intervalo de datas.

Use o formato de data curto definido nas configurações de opções regionais no computador no qual você está executando o comando. Por exemplo, se o computador estiver configurado para usar o formato de data abreviada mm/dd/yyyy, insira 01/09/2018 para especificar 1º de setembro de 2018. Pode inserir apenas a data ou pode inserir a data e a hora do dia. Se você inserir a data e a hora do dia, inclua o valor entre aspas ("), por exemplo, "01/09/2018".

Type:DateTime
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection