Podrobnosti a výsledky automatizovaného šetření
Platí pro:
- Microsoft Defender XDR
U Microsoft Defender XDR jsou při spuštění automatizovaného vyšetřování dostupné podrobnosti o daném šetření během automatizovaného procesu šetření i po jeho skončení. Pokud máte potřebná oprávnění, můžete tyto podrobnosti zobrazit v zobrazení podrobností o šetření, které vám poskytne aktuální stav a možnost schválit všechny čekající akce.
(NOVÉ) Sjednocená stránka šetření
Stránka šetření byla nedávno aktualizována tak, aby zahrnovala informace na vašich zařízeních, e-mailech a obsahu pro spolupráci. Nová sjednocená stránka pro šetření definuje společný jazyk a poskytuje jednotné prostředí pro automatické šetření napříč Microsoft Defender for Endpoint a Microsoft Defender pro Office 365. Pokud chcete získat přístup ke sjednocené stránce šetření, vyberte odkaz ve žlutém banneru, na který se zobrazí:
- Stránka jakékoli šetření v Portál dodržování předpisů Microsoft Purview
- Stránka pro šetření na portálu Microsoft Defender (https://security.microsoft.com)
- Všechny incidenty nebo prostředí centra akcí na portálu Microsoft Defender
Otevření zobrazení podrobností o šetření
Zobrazení podrobností o šetření můžete otevřít pomocí jedné z následujících metod:
Výběr položky v Centru akcí
Vylepšené centrum akcí (https://security.microsoft.com/action-center) spojuje nápravné akce napříč vašimi zařízeními, e-mailem & obsahem pro spolupráci a identitami. Uvedené akce zahrnují nápravné akce, které byly provedené automaticky nebo ručně. V Centru akcí můžete zobrazit akce, které čekají na schválení, a akce, které už byly schválené nebo dokončené. Můžete také přejít na další podrobnosti, například na stránku šetření.
Tip
Ke schválení, odmítnutí nebo vrácení akcí zpět musíte mít určitá oprávnění .
Přejděte na portál Microsoft Defender a přihlaste se.
V navigačním podokně zvolte Centrum akcí.
Na kartě Čekající nebo Historie vyberte položku. Otevře se jeho podokno informačního rámečku.
Zkontrolujte informace v podokně informačního rámečku a proveďte jeden z následujících kroků:
- Pokud chcete zobrazit další podrobnosti o vyšetřování, vyberte Otevřít stránku šetření .
- Výběrem možnosti Schválit zahajte čekající akci.
- Pokud chcete zabránit provedení čekající akce, vyberte Odmítnout .
- Výběrem možnosti Přejít na proaktivní vyhledávání přejděte do rozšířeného vyhledávání.
Otevření vyšetřování ze stránky s podrobnostmi o incidentu
Na stránce podrobností incidentu můžete zobrazit podrobné informace o incidentu, včetně výstrah aktivovaných informací o všech ovlivněných zařízeních, uživatelských účtech nebo poštovních schránkách.
Přejděte na portál Microsoft Defender a přihlaste se.
V navigačním podokně zvolte Incidenty, & výstrahy>Incidenty.
Vyberte položku v seznamu a pak zvolte Otevřít stránku incidentu.
Vyberte kartu Šetření a pak v seznamu vyberte šetření. Otevře se jeho podokno informačního rámečku.
Vyberte Otevřít stránku šetření.
Tady je příklad.
Podrobnosti o šetření
Zobrazení podrobností o šetření umožňuje zobrazit minulou, aktuální a čekající aktivitu související s šetřením. Tady je příklad.
V zobrazení Podrobnosti šetření můžete zobrazit informace o grafech šetření, výstrahách, zařízeních, identitách, klíčových zjištěních, entitách, protokolech a čekajících akcích , které jsou popsané v následující tabulce.
Poznámka
Konkrétní karty, které se zobrazí na stránce podrobností o šetření, závisí na tom, co vaše předplatné obsahuje. Pokud například vaše předplatné neobsahuje Microsoft Defender pro Office 365 Plán 2, nezobrazí se karta Poštovní schránky.
| Kartě | Popis |
|---|---|
| Graf šetření | Poskytuje vizuální znázornění vyšetřování. Znázorňuje entity a seznam zjištěných hrozeb, spolu s upozorněními a informacemi o tom, jestli nějaké akce čekají na schválení. Výběrem položky v grafu zobrazíte další podrobnosti. Když například vyberete ikonu Důkaz , přejdete na kartu Důkaz , kde uvidíte rozpoznané entity a jejich verdikty. |
| Upozornění | Seznamy výstrahy spojené s šetřením. Výstrahy můžou pocházet z funkcí ochrany před hrozbami na zařízení uživatele, v aplikacích Office, Microsoft Defender for Cloud Apps a dalších funkcích Microsoft Defender XDR. Pokud se zobrazí nepodporovaný typ upozornění, znamená to, že funkce automatizovaného vyšetřování nemůžou tuto výstrahu vyzvednout, aby bylo možné spustit automatizované šetření. Tyto výstrahy ale můžete prozkoumat ručně. |
| Zařízení | Seznamy zařízení zahrnutých do vyšetřování spolu s jejich úrovní nápravy. (Úrovně nápravy odpovídají úrovni automatizace pro skupiny zařízení.) |
| Poštovní schránky | Seznamy poštovní schránky, které jsou ovlivněny zjištěnými hrozbami. |
| Uživatelé | Seznamy uživatelské účty, které jsou ovlivněny zjištěnými hrozbami. |
| Důkazy | Seznamy důkazy vykazované výstrahami nebo vyšetřováním. Zahrnuje verdikty (Škodlivé, Podezřelé, Neznámé nebo Nenašly se žádné hrozby) a stav nápravy. |
| Entity | Poskytuje podrobnosti o každé analyzované entitě, včetně verdiktu pro jednotlivé typy entit (Škodlivé, Podezřelé nebo Nenašly se žádné hrozby). |
| Protokolu | Poskytuje chronologické a podrobné zobrazení všech akcí šetření provedených po aktivaci výstrahy. |
| Historie čekajících akcí | Seznamy položky, které k pokračování vyžadují schválení. Přejděte do Centra akcí (https://security.microsoft.com/action-center) a schvalte čekající akce. |
Stavy šetření
V následující tabulce jsou uvedené stavy šetření a jejich označení.
| Stav šetření | Vysvětlení |
|---|---|
| Benigní | Byly zkoumány artefakty a bylo zjištěno, že nebyly nalezeny žádné hrozby. |
| PendingResource | Automatizované šetření se pozastaví, protože buď čeká na schválení akce nápravy, nebo zařízení, na kterém byl artefakt nalezen, je dočasně nedostupné. |
| UnsupportedAlertType | Pro tento typ upozornění není k dispozici automatizované šetření. Další šetření je možné provést ručně pomocí rozšířeného proaktivního vyhledávání. |
| Selhalo | Nejméně jeden analyzátor šetření narazil na problém, kdy nemohl dokončit šetření. Pokud se šetření po schválení nápravných akcí nezdaří, je možné, že akce nápravy byly stále úspěšné. |
| Úspěšně napraveno | Automatické šetření bylo dokončeno a všechny nápravné akce byly dokončeny nebo schváleny. |
Pokud chcete poskytnout další kontext o tom, jak se zobrazují stavy šetření, uvádí následující tabulka výstrahy a jejich odpovídající stav automatizovaného šetření. Tato tabulka je uvedena jako příklad toho, co tým pro operace zabezpečení uvidí na portálu Microsoft Defender.
| Název upozornění | Závažnosti | Stav šetření | Stav | Kategorie |
|---|---|---|---|---|
| V souboru s imagí disku wim byl zjištěn malware | Informační | Benigní | Vyřešen | Malware |
| Malware byl zjištěn v souboru archivu rar | Informační | PendingResource | Nwe | Malware |
| Malware byl zjištěn v souboru archivu rar | Informační | UnsupportedAlertType | Nwe | Malware |
| Malware byl zjištěn v souboru archivu rar | Informační | UnsupportedAlertType | Nwe | Malware |
| Malware byl zjištěn v souboru archivu rar | Informační | UnsupportedAlertType | Nwe | Malware |
| V souboru zip archivu byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
| V souboru zip archivu byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
| V souboru zip archivu byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
| V souboru zip archivu byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
| Bylo zabráněno hacktool wpakill | Nízké | Selhalo | Nwe | Malware |
| GendowsBatch hacktool bylo zabráněno | Nízké | Selhalo | Nwe | Malware |
| Keygen hacktool bylo zabráněno | Nízké | Selhalo | Nwe | Malware |
| V souboru zip archivu byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
| Malware byl zjištěn v souboru archivu rar | Informační | PendingResource | Nwe | Malware |
| Malware byl zjištěn v souboru archivu rar | Informační | PendingResource | Nwe | Malware |
| V souboru zip archivu byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
| Malware byl zjištěn v souboru archivu rar | Informační | PendingResource | Nwe | Malware |
| Malware byl zjištěn v souboru archivu rar | Informační | PendingResource | Nwe | Malware |
| V souboru image disku ISO byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
| V souboru image disku ISO byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
| V datovém souboru pst outlooku byl zjištěn malware | Informační | UnsupportedAlertType | Nwe | Malware |
| V datovém souboru pst outlooku byl zjištěn malware | Informační | UnsupportedAlertType | Nwe | Malware |
| MediaGet detected | Střední | Částečně investičně | Nwe | Malware |
| TrojanEmailFile | Střední | Úspěšně odstraněno | Vyřešen | Malware |
| Zabránilo se malwaru CustomEnterpriseBlock | Informační | Úspěšně odstraněno | Vyřešen | Malware |
| Aktivní malware CustomEnterpriseBlock byl zablokovaný. | Nízké | Úspěšně odstraněno | Vyřešen | Malware |
| Aktivní malware CustomEnterpriseBlock byl zablokovaný. | Nízké | Úspěšně odstraněno | Vyřešen | Malware |
| Aktivní malware CustomEnterpriseBlock byl zablokovaný. | Nízké | Úspěšně odstraněno | Vyřešen | Malware |
| TrojanEmailFile | Střední | Benigní | Vyřešen | Malware |
| Zabránilo se malwaru CustomEnterpriseBlock | Informační | UnsupportedAlertType | Nwe | Malware |
| Zabránilo se malwaru CustomEnterpriseBlock | Informační | Úspěšně odstraněno | Vyřešen | Malware |
| TrojanEmailFile | Střední | Úspěšně odstraněno | Vyřešen | Malware |
| TrojanEmailFile | Střední | Benigní | Vyřešen | Malware |
| Aktivní malware CustomEnterpriseBlock byl zablokovaný. | Nízké | PendingResource | Nwe | Malware |
Další kroky
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.