分析 Exchange 欺骗电子邮件规则的结果 |第 9#12 部分

在本文中，我们将回顾可用于分析我们创建的 Exchange Online 欺骗电子邮件规则结果的选项。
术语“分析”与我们回答基本问题的能力相关，例如：

1. 我们创建的 Exchange Online 规则被“触发”了多少次？
2. 我们创建的 Exchange Online 规则在什么情况下被“触发”？

这些信息与我们的许多不同目的相关，但对我来说，主要有三个目标：

1. 能够识别误报场景——意思是合法邮件被错误地识别为欺骗电子邮件并被删除或阻止而不是到达组织用户邮箱的场景。
2. 验证 Exchange Online 欺骗电子邮件规则是否满足其目的，这意味着 - 设法识别欺骗电子邮件事件并设法执行配置的所需“操作”。
3. 识别欺骗电子邮件攻击的特定“趋势”，例如从特定收件人发送或针对特定组织收件人的欺骗电子邮件攻击等。

最大的问题是 - Exchange Online 是否包含可以为我们提供此类信息的内置报告工具？

答案是“是”和“否”。
“是”，Exchange Online 包含一个内置报告工具，使我们能够显示特定 Exchange Online 规则的“使用情况报告”，例如 - Exchange 本地 Exchange Online 规则已“触发”。 ”

“否”，目前，Exchange Online 报告提供的信息不包括有关“触发 Exchange Online 规则”的每个特定事件的信息。 ”

例如，通过使用 Exchange Online 构建的报告，我们可以了解特定的 Exchange Online 规则在上个月被“触发”20 次，但该报告并没有告诉我们是针对哪个“源收件人”或“目标收件人”规则被触发。

好消息是，针对 Exchange Online 的这些缺陷，有一个解决方案可以提供有关触发 Exchange Online 规则的每个单独事件的详细报告。

在线消息追踪工具和历史搜索

我们将在当前文章中介绍的解决方案是通过使用 Exchange Online 消息跟踪工具来实现的。

Exchange Online 邮件跟踪工具，可以为我们提供有关每封传入邮件以及每个邮件的非常详细的信息发送给 Office 365 收件人以及从 Office 365 收件人发送的传出邮件。

Exchange Online 会将此信息保留 90 天。

此外，Exchange Online 还包括一个非常有用的功能，但同时也是一个未知且不熟悉的功能，即历史搜索。

Exchange Online 邮件跟踪功能 - 历史搜索，使我们能够将所有信息导出到 CSV文件（CSV 代表逗号分隔值）。

当我们有 CSV 文件中的信息时，我们可以使用 Microsoft Excel 等工具来帮助我们分析 CSV 文件中存储的数据。

使用 CSV 的 Exchange Online 导出的信息可以视为非常详细的信息，好消息是每次触发特定的 Exchange Online 规则时，该信息都会保存并显示在 CSV 文件中。

不太好的消息是，有关触发的 Exchange Online 规则的信息与 Exchange Online 规则的“名称”无关，而是与 Exchange Online 规则的 GUID（全局唯一标识符）相关。

GUID 以数值形式实现。

换句话说，当我们需要分析存储在 CSV 文件中的数据时，我们需要查找特定 Exchange Online 规则的 GUID 号。

现在的问题是 - 我们如何知道特定 Exchange Online 规则的 GUID 号是什么？

答案是——通过使用 PowerShell 命令来“揭示”这些信息

总而言之 - 存在分析有关特定 Exchange Online 规则的信息的选项，但我们需要付出一点努力才能收获成功的果实

使用 Exchange Online 邮件跟踪工具和历史搜索选项

• 登录 Exchange 管理门户
• 在左侧菜单栏上，选择 - 邮件流
• 在顶部菜单栏上，选择 - 消息跟踪

默认日期范围为 48 小时。
为了能够“激活”Exchange Online 邮件跟踪选项历史搜索