Del via

Oplysninger om og resultater af automatiseret undersøgelse og svar (AIR) i Microsoft Defender for Office 365 Plan 2

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender for Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

I Microsoft 365-organisationer med Microsoft Defender for Office 365 Plan 2 er oplysninger om aktive og fuldførte undersøgelser fra automatiseret undersøgelse og svar (AIR) i Defender for Office 365 tilgængelige på siden Undersøgelser i Microsoft Defender portal på https://security.microsoft.com/airinvestigation. Undersøgelsesdetaljer giver dig opdateret status og (med de rette tilladelser) mulighed for at godkende eventuelle ventende handlinger.

Tip

Air detaljer og resultater er også tilgængelige i Microsoft Defender XDR på siden Undersøgelserhttps://security.microsoft.com/incidents. Du kan få flere oplysninger på unified-undersøgelsessiden.

Hvad har du brug for at vide, før du begynder?

  • Hvis du vil se tilladelser og licenskrav til AIR, skal du se Påkrævede tilladelser og licenser til AIR.

  • Antallet af mails beregnes på tidspunktet for undersøgelsen. Nogle optællinger genberegnes, når du åbner undersøgelses-pop op-vinduet (baseret på den underliggende forespørgsel).

    Følgende værdier for antallet af mails beregnes på undersøgelsestidspunktet og ændres ikke:

    • Mailklynger under fanen Mail .
    • Værdien for antallet af mails, der vises i pop op-vinduet mailklynger.

    Følgende værdier for antallet af mails afspejler de mails, der blev modtaget efter den indledende analyse af undersøgelsen:

    • Det antal mails, der vises nederst på fanen Mail i pop op-vinduet Mailklynger.

    • Antallet af mails, der vises i Stifinder (Threat Explorer)

      En mailklynge, der viser en oprindelig mængde på 10 meddelelser, viser f.eks. en mailliste på i alt 15, hvis der ankommer fem flere meddelelser mellem undersøgelsesanalysefasen, og når en administrator gennemser undersøgelsen. På samme måde kan gamle undersøgelser vise højere antal meddelelser end Threat Explorer-forespørgsler, fordi data i Microsoft Defender for Office 365 Plan 2 udløber syv dage efter afslutningen af en prøveversion og 30 dage senere for betalte licenser.

      Historiske og aktuelle antal mails vises i forskellige visninger for at give følgende oplysninger:

      • Maileffekten på tidspunktet for undersøgelsen.
      • Den aktuelle maileffekt frem til, hvornår afhjælpningen køres.

  • I forbindelse med mail kan du se en trussel om uregelmæssigheder i mængden som en del af undersøgelsen. En uregelmæssighed i mængden angiver en stigning i lignende mails omkring undersøgelseshændelsens tid sammenlignet med tidligere gange. En stigning i mailtrafik sammen med lighed i visse meddelelsesegenskaber (f.eks. emne, meddelelsesbrødtekst, afsenderdomæne og afsender-IP) angiver typisk starten på mailangreb. Men massemail, spam og legitime mailkampagner deler ofte de samme meddelelsesegenskaber.

Undersøgelser fra AIR i Defender for Office 365 Plan 2

I Defender-portalen på https://security.microsoft.comskal du gå til Mail & samarbejdsundersøgelser>. Du kan også gå direkte til siden Undersøgelser ved at bruge https://security.microsoft.com/airinvestigation.

Som standard vises undersøgelsesoplysninger fra i går og i dag, men du kan ændre datointervallet.

Følgende oplysninger vises på siden Undersøgelser . Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret:

  • Id: Det entydige id for undersøgelsen. Vælg Åbn i et nyt vindue for at åbne detaljerne for undersøgelsen som beskrevet i afsnittet Få vist oplysninger om undersøgelse .
  • Status: De tilgængelige statusværdier er beskrevet i afsnittet Undersøgelsesstatusværdier .
  • Registreringskilde: Denne værdi er altid Office365.
  • Efterforskning
  • Brugere
  • Oprettelsestidspunkt
  • Tidspunkt for seneste ændring
  • Antal trusler
  • Antal handlinger
  • Undersøgelsens varighed

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:

  • Afsnittet Undersøgelsestype : Vælg en eller flere af følgende værdier:
    • Manuel undersøgelse
    • Brugerrapporterede meddelelser
    • Zapped-fil
    • Zapped URL-adresse
    • Ændring af URL-dom
    • Brugeren er kompromitteret
  • Afsnittet Tidsinterval: Vælg værdier for startdato og slutdato. Data er tilgængelige for de sidste 72 dage.
  • Statussektion : Vælg en eller flere af følgende værdier, der er beskrevet i afsnittet Undersøgelsesstatusværdier :
    • Start
    • Løb
    • Der blev ikke fundet nogen trusler
    • Afbrudt af systemet
    • Ventende handling
    • Der blev fundet trusler
    • Afhjælpet
    • Delvist afhjælpet
    • Afbrudt af bruger
    • Mislykkedes
    • Sat i kø af throttling
    • Afbrudt af begrænsning

Når du er færdig i pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Brug søgefeltet til at finde oplysninger på siden. Skriv tekst i feltet, og tryk derefter på ENTER.

Brug Eksportér til at gemme de synlige oplysninger i en CSV-fil. Standardfilnavnet er Investigations – Microsoft Defender.csv, og standardplaceringen er den lokale downloadsmappe. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. Undersøgelser – Microsoft Defender (1).csv).

Værdier for undersøgelsesstatus

Statusværdierne for en undersøgelse angiver status for analysen og handlingerne. I takt med at undersøgelsen kører, opdateres værdien Status for at angive, om der blev fundet trusler, og om handlinger er blevet godkendt.

De statusværdier , der bruges i undersøgelser, er beskrevet på følgende liste:

  • Mislykket: Mindst én undersøgelsesanalyse stødte på et problem, hvor det ikke kunne fuldføres korrekt.

    Hvis en undersøgelse mislykkes, efter at afhjælpningshandlinger blev godkendt, kan afhjælpningshandlingerne stadig være lykkedes. Du kan finde flere oplysninger i undersøgelsesdetaljerne.

  • Der blev ikke fundet nogen trusler: Undersøgelsen blev afsluttet, og der blev ikke identificeret nogen trusler (kompromitterede brugerkonti, mailmeddelelser, URL-adresser eller filer).

    Hvis du har mistanke om, at noget ondsindet blev overset (et falsk negativt), kan du udføre handlinger ved hjælp af Threat Explorer (Explorer).

  • Delvist undersøgt (tidligere kendt som Trusler fundet): Den automatiserede undersøgelse fandt problemer, men uden specifikke afhjælpningshandlinger for at løse problemerne. Opstår, når en type brugeraktivitet blev identificeret, men ingen oprydningshandlinger er tilgængelige. Eksempler omfatter en af følgende brugeraktiviteter:

    • En DLP-hændelse (forebyggelse af datatab).
    • En mail, der sender uregelmæssigheder.
    • Sendt malware.
    • Sendt phishing.
    • Undersøgelsen fandt intet at gøre. Det kan f.eks. være:
      • Der er ingen skadelige URL-adresser, filer eller mails, der kan afhjælpes.
      • Der er ingen postkasseaktivitet at løse (du kan f.eks. deaktivere regler for videresendelse eller delegering).

    Hvis du har mistanke om, at noget ondsindet blev overset (et falsk negativt), kan du udføre handlinger ved hjælp af Threat Explorer (Explorer).

  • Delvist afhjælpet: Undersøgelsen resulterede i afhjælpningshandlinger, og nogle blev godkendt og afsluttet. Andre handlinger afventer stadig godkendelse.

  • Ventende handling: Undersøgelsen fandt en trussel (f.eks. en skadelig mail, en skadelig URL-adresse eller en risikofuld postkasseindstilling), og en handling til afhjælpning af truslen afventer godkendelse.

    Listen over ventende handlinger kan øges, når en undersøgelse kører. Vis undersøgelsesdetaljerne for at se, om andre elementer stadig afventer fuldførelse.

  • Sat i kø af begrænsning: En undersøgelse holdes i kø. Når andre undersøgelser er fuldført, startes efterforskninger i kø. Begrænsning hjælper med at undgå dårlig tjenesteydeevne.

    Ventende handlinger kan begrænse, hvor mange nye undersøgelser der kan køre. Sørg for at godkende eller afvise ventende handlinger.

  • Afhjælpning: Undersøgelsen blev afsluttet, og alle afhjælpningshandlinger blev godkendt (noteret som fuldt ud afhjælpet).

    Godkendte afhjælpningshandlinger kan have fejl, der forhindrer, at handlingerne udføres. Uanset om afhjælpningshandlinger er fuldført, ændres undersøgelsesstatussen ikke. Du kan finde flere oplysninger i undersøgelsesdetaljerne.

  • Kører: Undersøgelsesprocessen er i gang. Denne statusværdi forekommer også, når ventende handlinger godkendes.

  • Start: Undersøgelsen er blevet udløst og venter på at begynde at køre.

  • Afsluttet af systemet: Undersøgelsen stoppede. Det kan f.eks. være:

    • Ventende handlinger er udløbet (kan maksimalt være på én uge).
    • Der er for mange handlinger. For mange brugere, der klikker på skadelige URL-adresser, kan f.eks. overskride undersøgelsens mulighed for at køre alle analyserne, så undersøgelsen stopper.

    Hvis en undersøgelse stopper, før der blev udført handlinger, kan du prøve at bruge Threat Explorer (Explorer) til at finde og håndtere trusler.

  • Afsluttet af begrænsning: En undersøgelse stopper automatisk, når den er sat i kø for længe, stopper den.

    Du kan starte en undersøgelse fra Threat Explorer (Explorer).

Vis undersøgelsesdetaljer fra AIR i Defender for Office 365 Plan 2

Når du vælger Åbn i et nyt vindue i kolonnen Id for en post på siden Undersøgelserhttps://security.microsoft.com/airinvestigation, åbnes der en ny side med undersøgelsesoplysningerne.

Feltet på siden er værdien Undersøgelse (navn) på siden Undersøgelser . Eksempel: Klikket URL-adresse Dom ændret til ondsindet – <URL-adresse>.

Undertitlen på siden indeholder id'et og status for undersøgelsen. Undersøgelses-#660b79 er f.eks. fuldført – afhjælpning.

Resten af detaljesiden indeholder flere faner, der indeholder detaljerede oplysninger om undersøgelsen. Nogle faner er fælles for alle undersøgelser. Andre faner er tilgængelige baseret på undersøgelsens art og status.

Fanerne er beskrevet i følgende underafsnit.

Skærmbillede af siden med undersøgelsesoplysninger på Defender-portalen.

Fanen Undersøgelsesgraf i undersøgelsesdetaljerne

På siden med undersøgelsesoplysninger er fanen Undersøgelsesgraf den standardfane, der visuelt repræsenterer den aktuelle tilstand og resultaterne af undersøgelsen.

Under fanen Undersøgelsesgraf indeholder ruden Undersøgelsesoversigt følgende oplysninger:

  • Afsnittet Undersøgelsesstatustidslinje:
    • Startet
    • Afsluttet: Denne værdi findes kun for følgende statusværdier :
      • Der blev ikke fundet nogen trusler
      • Delvist afhjælpet
      • Afhjælpet
      • Afbrudt af systemet
      • Afbrudt af begrænsning
      • Afbrudt af bruger
      • Der blev fundet trusler
      • Mislykkedes
    • Varighed
    • Samlet ventende tid: Denne værdi findes kun for undersøgelser, der havde ventende handlinger, der afventer godkendelse, som til sidst blev godkendt eller udløbet.
  • Afsnittet Oplysninger om undersøgelse :
    • Status: Status for undersøgelsen. Hvis værdien ikke findes nogen trusler, findes der ingen andre værdier i sektionen.
    • Alvorsgrad af vigtig besked: Værdien Lav, **Mellem eller Høj.
    • Kategori: Kategorien for beskeder.
    • Registreringskilde: Værdien er typisk MDO.

Grafruden indeholder en visuel repræsentation af elementerne og aktiviteterne i undersøgelsen. Nogle elementer er fælles for alle undersøgelser, mens andre afhænger af undersøgelsens art og fremskridt.

  • Besked modtaget: Viser de relaterede beskeder. Vælg at gå til fanen Beskeder for at få flere oplysninger.

  • Postkasse: Viser de relaterede postkasser. Vælg at gå til fanen Postkasser for at få flere oplysninger.

  • Analyserede objekter: Viser antallet og typen af relaterede objekter, der blev analyseret under undersøgelsen. Det kan f.eks. være:

    • URL-adresser
    • Mailmeddelelser
    • filer
    • Mailklynger, som kan omfatte antallet af skadelige og antallet af afhjælpede.

    Vælg at gå til fanen Enheder for at få flere oplysninger.

  • Beviser: Viser antallet af fundne enheder. Vælg for at gå til fanen Beviser for at få flere oplysninger.

  • Afventer godkendelse: Viser, hvor længe systemet har ventet på, at en administrator skulle udføre den foreslåede manuelle afhjælpningshandling (f.eks. blød sletning af en mail). Vælg for at gå til fanen Ventende handlinger for at få flere oplysninger.

    Når en administrator har udført handlingen, erstattes dette element af Ventet på brugergodkendelse.

  • Ventede på brugergodkendelse: Viser, hvor lang tid det tog for en administrator at udføre den foreslåede manuelle afhjælpningshandling. Vælg for at gå til fanen Oversigt over ventende handlinger for at få flere oplysninger.

  • Resultat: Dette element er tilgængeligt, når undersøgelsen er afsluttet, og den duplikeres på følgende placeringer på siden:

    • I midten af grafen. Vælg ikonet for at gå til fanen Log .
    • I sidetitlen.
    • I ruden Undersøgelsesoversigt afsnittet >>Oplysninger om undersøgelsestatusværdi.

    Det kan f.eks. være:

    • Afhjælpet

    • Afbrudt af systemet:

    • Der blev ikke fundet nogen trusler

    • Delvist undersøgt

      Nogle resultater kan kræve gennemgang. Brug fanerne Beviser og Enheder til manuelt at undersøge og løse eventuelle problemer.

    • Delvist afhjælpet

      Et problem forhindrede afhjælpning af visse skadelige enheder. Brug fanerne Beviser og Enheder til manuelt at undersøge og løse eventuelle problemer.

Skærmbillede af graffanen Undersøgelse på siden med undersøgelsesoplysninger.

Fanen Beskeder i undersøgelsesdetaljerne

På siden med undersøgelsesoplysninger vises de beskeder, der er relateret til undersøgelsen, under fanen Beskeder .

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardkolonnerne er markeret med en stjerne *:

  • Beskednavn*
  • Tags*
  • Alvorlighed*
  • Hændelsesnavn*
  • Hændelses-id*
  • Status*
  • Kategori*
  • Påvirkede aktiver
  • Bruger*
  • Tjenestekilde*
  • Registreringskilde
  • Undersøgelsestilstand*
  • Seneste aktivitet*
  • Klassifikation*
  • Bestemmelse
  • Tildelt til*

Når du klikker på værdien beskednavn i en række, kommer du til detaljesiden for beskeden. Denne detaljeside svarer til at klikke på værdien beskednavn i den tilsvarende post på siden Beskederhttps://security.microsoft.com/alerts. Du kan få flere oplysninger under Analysér en besked.

Hvis du klikker et andet sted i rækken end værdien for beskednavnet eller afkrydsningsfeltet ud for den første kolonne, åbnes der et detaljeret pop op-vindue for beskeden. Dette pop op-vindue med detaljer svarer til at klikke et vilkårligt sted i rækken, bortset fra værdien for Beskednavn eller afkrydsningsfeltet ud for den første kolonne på den tilsvarende post på siden Beskederhttps://security.microsoft.com/alerts.

De handlinger, der er tilgængelige øverst i pop op-vinduet med beskedoplysninger, afhænger af beskedens art, der indeholder de samme handlinger, som er tilgængelige i detaljevinduet for den tilsvarende besked på siden Beskederhttps://security.microsoft.com/alerts. Beskeder med navnet Mailmeddelelser, der indeholder skadelig URL-adresse, er f.eks. fjernet efter levering, og følgende handlinger er tilgængelige i pop op-vinduet med beskedoplysninger:

  • Åbn beskedside: Åbner den samme side med oplysninger, som når du klikker på værdien Beskednavn for en post på siden Beskederhttps://security.microsoft.com/alerts. Du kan få flere oplysninger under Analysér en besked.

  • Administrer besked: Åbner pop op-vinduet Administrer besked , hvor du kan få vist og redigere oplysninger om hændelsen. Du kan få flere oplysninger under Administrer beskeder.

  • Få vist meddelelser i Stifinder: Åbner Stifinder (Threat Explorer) i visningen Alle mails , der er filtreret efter besked-id'et. Du kan få flere oplysninger om visningen Alle mails i Threat Explorer under Alle mailvisninger i Threat Explorer.

  • Flere handlinger>Linkbesked til en anden hændelse: Konfigurer følgende indstillinger i linkbeskeden til en anden hændelse , der åbnes:

    • Vælg en af følgende værdier:
      • Opret en ny hændelse
      • Link til en eksisterende hændelse: I feltet Hændelsesnavn eller -id , der vises, skal du begynde at skrive en værdi for at finde og vælge den eksisterende hændelse.
    • Kommentar: Angiv en valgfri kommentar.

    Når du er færdig i pop op-vinduet Linkbesked til en anden hændelse , skal du vælge Gem

  • Flere handlinger>Tune alert: Åbner et pop op-vindue med en tunebesked . Du kan få flere oplysninger under Trin 3 og nyere i Opret regelbetingelser for at finjustere beskeder.

  • Flere handlinger>Spørg Defender-eksperter. Åbner et Ask Defender Experts-pop op-vindue. Du kan få flere oplysninger under Samarbejd med eksperter efter behov.

Fanen Postkasser i undersøgelsesdetaljerne

På siden med oplysninger om undersøgelse er fanen Postkasser tilgængelig, hvis nogen postkasser blev inspiceret som en del af undersøgelsen.

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret:

  • Brugernavn
  • Risikoniveau
  • Risiko
  • Risikable aktiviteter
  • Opad
  • Urne

Hvis du klikker et vilkårligt sted i en række ud for afkrydsningsfeltet ud for den første kolonne, åbnes en pop op-vindue med oplysninger om postkassen med følgende oplysninger:

  • Dom
  • Vist navn 
  • Primær mailadresse
  • UPN
  • Objekt-id
  • Risikoniveau
  • Risiko

Vælg Flere oplysninger om brugeren for at åbne siden Brugerobjekt i Microsoft Defender XDR. Du kan få flere oplysninger på siden Brugerobjekt i Microsoft Defender XDR.

Fanen Beviser i undersøgelsesdetaljerne

På siden med undersøgelsesoplysninger viser fanen Beviser de mistænkelige enheder, der blev analyseret, og resultaterne af analysen.

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardkolonnerne er markeret med en stjerne *:

  • Først set*
  • Enhed*
  • Dom*
  • Afhjælpningsstatus*
  • Statusoplysninger
  • Påvirkede aktiver*
  • Registreringsoprindelse*
  • Trusler

Hvis du vil filtrere posterne, skal du vælge Filtrer. Følgende filtre er tilgængelige i pop op-vinduet Filter , der åbnes:

  • Objekt: Skriv et eller alle objektnavnet i feltet.
  • Dom: De værdier, du kan vælge, afhænger af dommens værdier under fanen .
  • Registreringsoprindelse: De værdier, du kan vælge, afhænger af værdierne for registreringsoprindelse under fanen .

Når du er færdig i pop op-vinduet Filtrer , skal du vælge Anvend. Hvis du vil rydde filtrene, skal du vælge Ryd filtre.

Hvis du klikker et vilkårligt sted i en anden række end afkrydsningsfeltet ud for den første kolonne, åbnes et pop op-vindue med detaljer. Det, der er tilgængeligt i pop op-vinduet, afhænger af bevismaterialets art (mail, fil, URL-adresse osv.).

Fanen Enheder i undersøgelsesdetaljerne

På siden med undersøgelsesoplysninger vises der oplysninger om de forskellige typer enheder, der blev registreret og analyseret under undersøgelsen, under fanen Enheder .

Skærmbillede af fanen Enheder på siden med undersøgelsesoplysninger.

Fanen Objekter er organiseret efter en visningsvalgrude (en oversigtsvisning og en visning for hver objekttype) og en tilsvarende detaljetabel for den pågældende visning:

  • Visning af dokumentationsoversigt : Dette er standardvisningen.

    Du kan sortere posterne i detaljetabellen ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret:

    • Objekttype (du kan ikke fravælge denne værdi): Indeholder de samme værdier som ruden til valg af visning, afhængigt af hændelsen. Det kan f.eks. være:

      • filer
      • URL-adresser
      • Mailindsendelser
      • Mails
      • IP-adresser
      • Mailklynger

      I følgende kolonner vises antallet for hver objekttype (række):

      • I alt
      • Afhjælpet
      • Ondsindet
      • Mistænkelig
      • Bekræftet
      • Der blev ikke fundet nogen trusler
      • Unknown
      • Ikke fundet
      • Ikke-medieret
      • Delvist afhjælpet

    Hvis du klikker et vilkårligt sted på en række ud for afkrydsningsfeltet ud for kolonnen Objekttype , kommer du til den relaterede visning fra valgsiden (f.eks . mails).

  • Filvisning : Du kan sortere posterne i detaljetabellen ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardkolonnerne er markeret med en stjerne *:

    • Dom*
    • Afhjælpningsstatus*
    • Statusoplysninger
    • Filsti*
    • Filnavn* (du kan ikke fravælge denne værdi)
    • Apparat*

  • Visning af URL-adresser : Du kan sortere posterne i detaljetabellen ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret:

    • Dom
    • Afhjælpningsstatus
    • Adresse (du kan ikke fravælge denne værdi)

    Hvis du klikker et vilkårligt sted i en anden række end afkrydsningsfeltet ud for den første kolonne, åbnes et pop op-vindue med oplysninger, der indeholder følgende oplysninger:

    • Oprindelig URL-adresse
    • Registreringssektion
    • Afsnittet Domæneoplysninger
    • Afsnittet Oplysninger om registrantkontakt
    • Prævalens for URL-adresse (de seneste 30 dage)

    Følgende handlinger for URL-adressen er også tilgængelige i pop op-vinduet:

    • Åbn SIDEN URL-adresse
    • Send til analyse
    • Administrer indikator
    • Vis i Stifinder
    • Gå på jagt

  • Visning af afsendelser af mails : Du kan sortere posterne i detaljetabellen ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret:

    • Dom
    • Afhjælpningsstatus
    • Emne
    • Afsender
    • Modtager
    • Rapporteret af
    • Rapporttype

    Hvis du klikker et vilkårligt sted i en anden række end afkrydsningsfeltet ud for den første kolonne, åbnes et pop op-vindue med oplysninger, der indeholder følgende oplysninger:

    • Afsnittet Med oplysninger om afsendelse af mail

    Handlingen Gå på jagt efter afsendelse af mailen er også tilgængelig i pop op-vinduet.

  • Visning af mails : Du kan sortere posterne i detaljetabellen ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret:

    • Dom
    • Afhjælpningsstatus
    • Dato for modtagelse af mail (du kan ikke fravælge denne værdi)
    • Leveringsstatus
    • Emne
    • Afsender
    • Modtager

    Hvis du klikker et vilkårligt sted i en anden række end afkrydsningsfeltet ud for den første kolonne, åbnes et pop op-vindue med oplysninger, der indeholder følgende oplysninger:

    • Afsnittet Mailoplysninger

    Vælg Flere oplysninger om mail for at få vist siden Mailobjekt i Defender for XDR.

    Følgende handlinger for mailen er også tilgængelige i pop op-vinduet:

    • Gå på jagt
    • Åbn i Stifinder

  • Visning af IP-adresser : Du kan sortere posterne i detaljetabellen ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret:

    • Dom
    • Afhjælpningsstatus
    • Adresse (du kan ikke fravælge denne værdi)

    Hvis du klikker et vilkårligt sted i en anden række end afkrydsningsfeltet ud for den første kolonne, åbnes et pop op-vindue med oplysninger, der indeholder følgende oplysninger:

    • Afsnittet IP-oplysninger
    • Registreringssektion
    • IP-observeret i afsnittet Organisationsenheder

    Følgende handlinger for IP-adresserne er også tilgængelige i pop op-vinduet:

    • Åbn SIDEN IP-adresse
    • Tilføj indikator
    • Åbn IP-indstillinger for cloudapps
    • Undersøg i aktivitetslog
    • Gå på jagt

  • Visning af mailklynger : Du kan sortere posterne i detaljetabellen ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret:

    • Dom
    • Afhjælpningsstatus
    • Navn på mailklynge (du kan ikke fravælge denne værdi)
    • Trusler
    • Antal mails
    • Malware
    • Phish
    • Phish med høj genkendelsessikkerhed
    • Spam
    • Leveret
    • Junked
    • Erstattet
    • Blokeret
    • Postkasse
    • Ikke i postkasse
    • I det lokale miljø/eksternt
    • Uregelmæssigheder i volumen

    Hvis du klikker et vilkårligt sted i en anden række end afkrydsningsfeltet ud for den første kolonne, åbnes et pop op-vindue med oplysninger, der indeholder følgende oplysninger:

    • Detaljesektion for mailklynge
    • Afsnittet Trusler
    • Afsnittet Seneste leveringsplaceringer
    • Afsnittet Oprindelige leveringsplaceringer

    Følgende handlinger for mailklyngen er også tilgængelige i pop op-vinduet:

    • Gå på jagt
    • Åbn i Stifinder

Fanen Log i undersøgelsesdetaljerne

På siden med undersøgelsesoplysninger vises alle de handlinger, der blev udført under undersøgelsen, under fanen Log .

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardkolonnerne er markeret med en stjerne *:

  • ID
  • Handlingstype
  • Handling*
  • Status*
  • Enhedsnavn*
  • Beskrivelse*
  • Kommentarer
  • Oprettelsestidspunkt
  • Starttidspunkt for udførelse*
  • Varighed*
  • Ventende varighed
  • Varighed af kø

Brug Eksportér til at gemme de synlige oplysninger i en CSV-fil. Standardfilnavnet er AirLogs.csv, og standardplaceringen er den lokale downloadsmappe. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. AirLogs (1).csv).

Hvis du klikker et vilkårligt sted i en anden række end afkrydsningsfeltet ud for den første kolonne, åbnes et oversigts-pop op-vindue, der indeholder følgende oplysninger:

  • Status
  • Opret
  • Udførelsesstart
  • Varighed
  • Beskrivelse

Tip

Hvis du vil se detaljer om andre poster uden at forlade pop op-vinduet med detaljer, skal du bruge Forrige element og Næste element øverst i pop op-vinduet.

Fanen Afventer godkendelse i undersøgelsesdetaljerne

På siden med oplysninger om undersøgelse viser fanen Ventende godkendelse ventende handlinger, der venter på fuldførelse af godkendelse (f.eks. blød sletning af meddelelser).

Fanen Afventer godkendelse er organiseret efter en visningsvalgrude (en visning for hver handlingstype) og en tilsvarende detaljetabel for den pågældende visning:

  • Blød sletning af mails: Du kan sortere posterne i detaljetabellen ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Standardkolonnerne er markeret med en stjerne *:
    • Undersøgelses-id
    • Først set
    • Detaljer
    • Antal mails
    • Malware
    • Phish
    • Phish med høj genkendelsessikkerhed
    • Spam
    • Leveret
    • Junked
    • Erstattet
    • Blokeret
    • Postkasse
    • Ikke i postkasse
    • I det lokale miljø/eksternt
    • Postkasse
    • Objekttype
    • Trusselstype
    • Emne

Brug Eksportér til at gemme de synlige oplysninger i en CSV-fil. Standardfilnavnet er AirActions.csv, og standardplaceringen er den lokale downloadsmappe. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. AirActions (1).csv).

Hvis du klikker et vilkårligt sted i en anden række end afkrydsningsfeltet ud for den første kolonne, åbnes et pop op-vindue med oplysninger, der indeholder følgende oplysninger:

  • Detaljesektion for mailklynge
    • Dom
    • Afhjælpningsstatus
    • Antal mails
    • Navn
    • Uregelmæssigheder i volumen
    • Forespørgselstid
  • Afsnittet Trusler :
    • Trusler: Opsummerer de trusler, der findes i mailklynge. Det kunne f.eks. være MaliciousUrl, HighConfPhish, Volume anomaly.
    • Antal for følgende trusselstyper, der findes i mailklyngen:
      • Malware
      • Phish
      • Phish med høj genkendelsessikkerhed
      • Spam
  • Afsnittet Seneste leveringsplacering : Tæller for følgende leveringssteder for meddelelser i mailklyngen:
    • Postkasse
    • Ikke i postkasse
    • I det lokale miljø/eksternt
  • Afsnittet Oprindelige leveringsplaceringer : Tæller for følgende oprindelige leveringssteder for meddelelser i mailklyngen:
    • Leveret
    • Junked
    • Erstattet
    • Blokeret

Følgende handlinger for mailmeddelelserne er også tilgængelige i pop op-vinduet:

  • Gå på jagt
  • Åbn i Stifinder

Godkend og Afvis beskrives i næste undersektion.

Godkend handlinger under fanen Afventer godkendelse i undersøgelsesdetaljerne

På fanen Afventer godkendelse på siden med undersøgelsesoplysninger skal du vælge en ventende handling ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for den første kolonne.

Det pop op-vindue med detaljer, der åbnes, er navngivet efter den afventende handling (f.eks. Blød sletning af mails). Læs oplysningerne i pop op-vinduet, og vælg derefter en af følgende værdier:

  • Godkend.
  • Afvis.

Tip

Godkendelse og/eller afvisning af alle handlinger i undersøgelsen lukker den fuldstændigt (værdien Status bliver afhjælpet). Det lykkedes ikke at godkende og/eller afvise alle handlinger i undersøgelsen, men lukker den ikke helt (statusværdien forbliver delvist afhjælpet).

Du behøver ikke at godkende alle handlinger. Hvis du ikke er enig i den anbefalede handling, eller hvis din organisation ikke vælger visse typer handlinger, kan du afvise handlingen eller undlade at foretage dig noget.

Fanen Ventende handlingers oversigt i undersøgelsesdetaljerne

På siden med oplysninger om undersøgelse viser fanen Oversigt over ventende handlinger ventende handlinger, der er fuldført.

Du kan sortere posterne ved at klikke på en tilgængelig kolonneoverskrift. Vælg Tilpas kolonner for at ændre de kolonner, der vises. Alle tilgængelige kolonner er som standard markeret:

  • Handlingstype
  • Ventetid
  • Enhed
  • Status
  • Håndteret af
  • Tidspunkt

Brug Eksportér til at gemme de synlige oplysninger i en CSV-fil. Standardfilnavnet er AirActions.csv, og standardplaceringen er den lokale downloadsmappe. Hvis der allerede findes en eksporteret rapport på denne placering, forøges filnavnet (f.eks. AirActions (1).csv).

Når du klikker på værdien Entity i en række, åbnes et detaljeret pop op-vindue med følgende oplysninger om mailklyngen:

  • Detaljesektion for mailklynge
  • Afsnittet Trusler
  • Afsnittet Seneste leveringsplaceringer
  • Afsnittet Oprindelige leveringsplaceringer

Følgende handlinger for mailklyngen er også tilgængelige i pop op-vinduet:

  • Gå på jagt
  • Åbn i Stifinder

Hvis du klikker et vilkårligt sted i en anden række end afkrydsningsfeltet ud for den første kolonne eller værdien Objekt , åbnes et pop op-vindue med oplysninger om handlingsoversigt, der indeholder følgende oplysninger:

  • Oversigtssektion :
    • Status
    • Opret
    • Udførelsesstart
    • Beskrivelse

Visse typer beskeder udløser en automatisk undersøgelse i Microsoft 365. Du kan få mere at vide under Politikker for advarsel om trusselsstyring.

  1. I Microsoft 365 Defender-portalen a https://security.microsoft.comskal du gå til Handlinger & indsendelser>Løsningscenter. Du kan også gå direkte til siden Løsningscenter ved at bruge https://security.microsoft.com/action-center/.
  2. Brug fanerne Ventende eller Oversigt på siden Løsningscenter til at finde handlingen.
  3. Vælg en handling i tabellen ved at vælge linket i kolonnen Undersøgelses-id .

Siden med undersøgelsesoplysninger åbnes.

Næste trin