Podrobnosti a výsledky automatizovaného šetření v Microsoftu 365
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Pokud v Microsoft Defender pro Office 365 dojde k automatizovanému šetření, podrobnosti o šetření jsou k dispozici během automatizovaného vyšetřování a po jeho skončení. Pokud máte potřebná oprávnění, můžete tyto podrobnosti zobrazit na portálu Microsoft Defender. Podrobnosti o vyšetřování poskytují aktuální stav a možnost schválit všechny čekající akce.
Tip
Podívejte se na novou sjednocenou stránku šetření na portálu Microsoft Defender. Další informace najdete v tématu (NOVÉ!) Sjednocená stránka šetření
Stav šetření
Stav šetření označuje průběh analýzy a akcí. S tím, jak probíhá šetření, se stav mění tak, aby indikoval, jestli byly nalezeny hrozby a jestli byly akce schváleny.
Stav | Popis |
---|---|
Spouštění | Šetření se aktivovalo a čeká se na spuštění. |
Tekoucí | Proces vyšetřování byl zahájen a probíhá. K tomuto stavu dochází také při schválení čekajících akcí . |
Nenašly se žádné hrozby. | Šetření skončilo a nebyly zjištěny žádné hrozby (uživatelský účet, e-mailová zpráva, adresa URL nebo soubor). TIP: Pokud máte podezření, že se něco zmeškalo (například falešně negativní), můžete provést akci pomocí Průzkumníka hrozeb. |
Částečně prověřováno | Automatizované šetření zjistilo problémy, ale neexistují žádné konkrétní nápravné akce, které by tyto problémy vyřešily. Stav Částečně prověřováno může nastat, když byl identifikován určitý typ aktivity uživatele, ale nejsou k dispozici žádné akce čištění. Mezi příklady patří některá z následujících aktivit uživatelů:
Poznámka: Tento částečně prověřovaný stav býval označený jako Nalezené hrozby. Při vyšetřování se nenašly žádné škodlivé adresy URL, soubory ani e-mailové zprávy, které by bylo možné napravit, a žádné aktivity poštovní schránky, které by bylo potřeba opravit, například vypnutí pravidel přeposílání nebo delegování. TIP: Pokud máte podezření, že se něco zmeškalo (například falešně negativní), můžete to prozkoumat a provést akci pomocí Průzkumníka hrozeb. |
Ukončeno podle systému | Vyšetřování se zastavilo. Vyšetřování se může zastavit z několika důvodů:
TIP: Pokud se vyšetřování zastaví před provedením akcí, zkuste hrozby najít a vyřešit pomocí Průzkumníka hrozeb . |
Čekající akce | Vyšetřování zjistilo hrozbu, jako je škodlivý e-mail, škodlivá adresa URL nebo nastavení rizikové poštovní schránky, a akce k nápravě hrozby čekající na schválení. Stav čekající akce se aktivuje, když se najde jakákoli hrozba s odpovídající akcí. Seznam čekajících akcí se ale může s probíhajícím šetřením navýšit. Podívejte se na podrobnosti o šetření a zjistěte, jestli ještě čekají na dokončení jiné položky. |
Napraveno | Šetření bylo dokončeno a všechny nápravné akce byly schváleny (označeny jako plně napravit). POZNÁMKA: Schválené nápravné akce můžou obsahovat chyby, které brání provádění akcí. Stav šetření se nezmění bez ohledu na to, jestli se nápravné akce úspěšně dokončily. Podívejte se na podrobnosti o šetření. |
Částečně napraveno | Šetření vedlo k nápravě a některé byly schváleny a dokončeny. Další akce stále čekají na vyřízení. |
Selhalo | Nejméně u jednoho analyzátoru šetření došlo k problému, kdy se nepodařilo správně dokončit. POZNÁMKA Pokud se šetření po schválení nápravných akcí nezdaří, je možné, že akce nápravy byly stále úspěšné. Podívejte se na podrobnosti o šetření. |
Zařazeno do fronty omezováním | Vyšetřování probíhá ve frontě. Po dokončení jiných šetření se zahájí vyšetřování zařazená do fronty. Omezování pomáhá vyhnout se nízkému výkonu služby. TIP: Nevyřízené akce můžou omezit počet nových šetření, která se můžou spustit. Nezapomeňte schválit (nebo odmítnout) čekající akce. |
Ukončeno omezováním | Pokud je vyšetřování ve frontě příliš dlouho, zastaví se. TIP: Šetření můžete zahájit v Průzkumníku hrozeb. |
Zobrazení podrobností o šetření
- Přejděte na portál Microsoft Defender (https://security.microsoft.com) a přihlaste se.
- V navigačním podokně vyberte Akce & odeslání>Centra akcí.
- Na kartě Čeká na vyřízení nebo Historie vyberte akci. Otevře se jeho podokno informačního rámečku.
- V podokně informačního rámečku vyberte Otevřít stránku šetření.
- Další informace o vyšetřování najdete na různých kartách.
Zobrazení podrobností o upozornění souvisejícím s šetřením
Některé druhy upozornění aktivují automatizované šetření v Microsoftu 365. Další informace najdete v tématu Zásady upozornění, které aktivují automatizovaná šetření.
- Přejděte na portál Microsoft Defender (https://security.microsoft.com) a přihlaste se.
- V navigačním podokně vyberte Centrum akcí.
- Na kartě Čeká na vyřízení nebo Historie vyberte akci. Otevře se jeho podokno informačního rámečku.
- V podokně informačního rámečku vyberte Otevřít stránku šetření.
- Výběrem karty Výstrahy zobrazíte seznam všech výstrah přidružených k danému šetření.
- Výběrem položky v seznamu otevřete její kontextové podokno. Tam si můžete prohlédnout další informace o upozornění.
Mějte na paměti následující body
Email počty se počítají v době šetření a některé počty se přepočítávají při otevření informačních rámečků šetření (na základě podkladového dotazu).
Počty e-mailů zobrazené pro e-mailové clustery na kartě Email a hodnota množství e-mailů zobrazená v informačním rámečku clusteru se počítají v době šetření a nemění se.
Počet e-mailů zobrazený v dolní části karty Email informačního rámečku e-mailového clusteru a počet e-mailových zpráv zobrazených v Průzkumníkovi odráží e-mailové zprávy přijaté po počáteční analýze vyšetřování.
E-mailový cluster, který zobrazuje původní množství 10 e-mailových zpráv, by proto v případě, že mezi fází analýzy šetření dorazí pět dalších e-mailových zpráv, a když správce šetření zkontroluje, zobrazí celkem 15 e-mailových zpráv. Stejně tak stará šetření můžou začít zobrazovat vyšší počty, než ukazují dotazy Průzkumníka, protože platnost dat v plánu Microsoft Defender pro Office 365 Plan 2 vyprší po sedmi dnech u zkušebních verzí a po 30 dnech u placených licencí.
Zobrazení historických i aktuálních počtů v různých zobrazeních se provádí tak, aby bylo vidět dopad e-mailu v době šetření a aktuální dopad až do okamžiku spuštění nápravy.
V kontextu e-mailu se může v rámci vyšetřování zobrazit hrozba anomálie objemu. Anomálie svazku značí špičku v podobných e-mailových zprávách v době šetření události v porovnání s dřívějšími časovými rámci. Špička e-mailového provozu spolu s určitými vlastnostmi (například doména předmětu a odesílatele, podobnost těla a IP adresa odesílatele) je typická pro začátek e-mailových kampaní nebo útoků. Tyto vlastnosti ale běžně sdílejí hromadné, spamové a legitimní e-mailové kampaně.
Objemové anomálie představují potenciální hrozbu, a proto mohou být méně závažné v porovnání s malwarem nebo phishingovými hrozbami, které jsou identifikovány pomocí antivirových modulů, detonace nebo škodlivé pověsti.
Nemusíte schvalovat každou akci. Pokud s doporučenou akcí nesouhlasíte nebo vaše organizace nevybere určité typy akcí, můžete tyto akce odmítnout nebo je jednoduše ignorovat a nic nedělat.
Schválením nebo odmítnutím všech akcí se šetření úplně ukončí (stav se opraví), ale když některé akce zůstanou neúplné, stav šetření se změní na částečně napravený stav.