Jaa

Microsoft Defender for Office 365 suunnitelman 2 automaattisten tutkimusten ja vastausten tiedot ja tulokset

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Microsoft 365 -organisaatioissa, joilla on Microsoft Defender for Office 365 palvelupaketti 2, tietoja Defender for Office 365 automaattisista tutkimuksista ja vastauksista suoritetuista aktiivisista ja suoritetuista tutkimuksista on Microsoft Defender -portaali osoitteessa https://security.microsoft.com/airinvestigation. Tutkimustiedot antavat sinulle ajan tasalla olevan tilan ja (oikeilla käyttöoikeuksilla) mahdollisuuden hyväksyä odottavia toimintoja.

Vihje

AIR-tiedot ja tulokset ovat myös saatavilla Microsoft Defender XDR Tutkinta-sivulla osoitteessa https://security.microsoft.com/incidents. Lisätietoja on Unified Investigation -sivulla.

Mitä on hyvä tietää ennen aloittamista?

  • Jos haluat nähdä AIR-käyttöoikeuden ja -lisenssivaatimuksen, katso Airin vaaditut käyttöoikeudet ja käyttöoikeudet.

  • Sähköpostimäärät lasketaan tutkimuksen ajankohtana. Jotkin määrät lasketaan uudelleen, kun avaat tutkimusten avauspainikeita (pohjana olevan kyselyn perusteella).

    Seuraavat sähköpostien määrän arvot lasketaan tutkimushetkellä, eivätkä ne muutu:

    • Sähköpostiklusterit Sähköposti-välilehdessä .
    • Sähköpostiklustereiden pikaikkunassa näkyvä sähköpostimäärän arvo.

    Seuraavat sähköpostien määrän arvot kuvastavat sähköpostiviestejä, jotka on vastaanotettu tutkimuksen ensimmäisen analyysin jälkeen:

    • Sähköpostien määrä, joka näkyy sähköpostiklusterien pikaikkunan Sähköposti-välilehden alareunassa.

    • Resurssienhallinnassa näkyvä sähköpostimäärä (Threat Explorer)

      Esimerkiksi sähköpostiklusteri, joka näyttää alkuperäisen määrän 10 viestiä, näyttää sähköpostiluettelon yhteensä 15, jos tutkimusanalyysivaiheen ja kun järjestelmänvalvoja tarkistaa tutkimuksen. Samoin vanhat tutkimukset saattavat näyttää suurempia viestimääriä kuin Threat Explorer -kyselyt, koska Microsoft Defender for Office 365 palvelupaketin 2 tiedot vanhenevat seitsemän päivän kuluttua kokeilujakson päättymisestä ja 30 päivää myöhemmin maksetuista käyttöoikeuksista.

      Historia- ja nykyiset sähköpostiviestien määrät näytetään eri näkymissä seuraavien tietojen antamista varten:

      • Sähköpostivaikutus tutkintahetkellä.
      • Nykyinen sähköpostitehoste aina korjauksen suorittamiseen asti.

  • Sähköpostissa saattaa näkyä volyymipoikkeamauhka osana tutkimusta. Volyymipoikkeama ilmaisee samankaltaisten sähköpostiviestien piikin tutkimustapahtuman ajan ympärillä aikaisempiin aikoihin verrattuna. Sähköpostiliikenteen piikki ja samankaltaisuus tietyissä viestin ominaisuuksissa (esimerkiksi aihe, viestin leipäteksti, lähettäjän toimialue ja lähettäjän IP) osoittavat yleensä sähköpostihyökkäysten alun. Joukkosähköposti-, roskaposti- ja lailliset sähköpostikampanjat jakavat yleensä nämä samat viestiominaisuudet.

Airin tutkimukset Defender for Office 365 suunnitelmassa 2

Siirry Defender-portaalissa kohtaan https://security.microsoft.comSähköposti & yhteistyö>Tutkimukset. Voit myös siirtyä suoraan Tutkinta-sivulle valitsemalla https://security.microsoft.com/airinvestigation.

Oletusarvoisesti näytetään tutkimustiedot eilisestä ja tästä päivästä, mutta voit muuttaa päivämääräaluetta.

Seuraavat tiedot näkyvät Tutkimukset-sivulla . Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina:

  • Tunnus: Tutkimuksen yksilöivä tunnus. Valitse Avaa uudessa ikkunassa , jos haluat avata tutkimuksen tiedot Näytä tutkimuksen tiedot -osiossa kuvatulla tavalla.
  • Tila: Käytettävissä olevat tila-arvot on kuvattu Tutkimuksen tila -arvot -osassa.
  • Tunnistamislähde: Tämä arvo on aina Office365.
  • Tutkimus
  • Käyttäjät
  • Luontiaika
  • Edellinen muutosaika
  • Uhkien määrä
  • Toimintojen määrä
  • Tutkinnan kesto

Jos haluat suodattaa merkinnät, valitse Suodata. Seuraavat suodattimet ovat käytettävissä avautuvassa Suodatin-pikaikkunassa:

  • Tutkimustyypin osa: Valitse vähintään yksi seuraavista arvoista:
    • Manuaalinen tutkimus
    • Käyttäjän ilmoittamat viestit
    • Zapped-tiedosto
    • Zapped URL
    • URL-tuomion muutos
    • Käyttäjä vaarantunut
  • Aika-alueen osa: Valitse Aloituspäivä - ja Lopetuspäivämäärä-arvot . Tiedot ovat käytettävissä viimeisten 72 päivän ajalta.
  • Tila-osa : Valitse vähintään yksi seuraavista Tutkinnan tila -arvot -osiossa kuvatuista arvoista:
    • Aloitetaan
    • Juokseva
    • Uhkia ei löytynyt
    • Järjestelmä lopettaa
    • Odottava toiminto
    • Löydettyjä uhkia
    • Korjattu
    • Osittain korjattu
    • Käyttäjän lopettama
    • Epäonnistui
    • Rajoittamisen jonottama
    • Rajoitus lopettaa

Kun olet valmis Suodatin-pikaikkunassa, valitse Käytä. Jos haluat tyhjentää suodattimet, valitse Tyhjennä suodattimet.

Etsi tietoja sivulta hakuruudun avulla. Kirjoita teksti ruutuun ja paina ENTER-näppäintä.

Tallenna näkyvät tiedot CSV-tiedostoon Vie-toiminnolla. Oletustiedostonimi on Investigations – Microsoft Defender.csv, ja oletussijainti on paikallinen Lataukset-kansio. Jos viety raportti on jo olemassa kyseisessä sijainnissa, tiedostonimi kasvaa (esimerkiksi Investigations - Microsoft Defender (1).csv).

Tutkinnan tila-arvot

Tutkimuksen Tila-arvot ilmaisevat analyysin ja toimintojen edistymisen. Tutkimuksen aikana Tila-arvo päivitetään osoittamaan, onko uhkia löytynyt ja onko toimet hyväksytty.

Tutkinnassa käytettävät Tila-arvot on kuvattu seuraavassa luettelossa:

  • Epäonnistui: Ainakin yhdessä tutkimusanalysaattorissa ilmeni ongelma, jossa sitä ei voitu suorittaa oikein.

    Jos tutkimus epäonnistuu korjaustoimien hyväksymisen jälkeen, korjaustoimet ovat ehkä vielä onnistuneet. Lisätietoja on tutkimuksen tiedoissa.

  • Uhkia ei löytynyt: Tutkimus on valmis, eikä uhkia tunnistettu (vaarantuneet käyttäjätilit, sähköpostiviestit, URL-osoitteet tai tiedostot).

    Jos epäilet, että jotakin haitallista ei löytynyt (epätosi negatiivinen), voit ryhtyä toimiin Käyttämällä Uhkienhallintaa (Explorer)..

  • Osittain tutkittu (aiemmin löydetty nimellä Uhat): Automatisoitu tutkimus löysi ongelmia, mutta ei erityisiä korjaustoimia ongelmien ratkaisemiseksi. Tapahtuu, kun tunnistettiin jonkin tyyppinen käyttäjän toiminta, mutta puhdistustoimintoja ei ole käytettävissä. Esimerkkejä ovat jokin seuraavista käyttäjän toimista:

    • Tietojen menetyksen estämistapahtuma (DLP).
    • Sähköpostiviesti, jossa lähetetään poikkeama.
    • Lähetetty haittaohjelma.
    • Lähetetty tietojenkalastelu.
    • Tutkimuksessa ei löytynyt mitään tekemistä. Esimerkki:
      • Ei haitallisia URL-osoitteita, tiedostoja tai sähköpostiviestejä korjattavaksi.
      • Postilaatikon toimintoja ei ole korjattava (esimerkiksi poista käytöstä edelleenlähetyssäännöt tai delegointi).

    Jos epäilet, että jotakin haitallista ei löytynyt (epätosi negatiivinen), voit ryhtyä toimiin Käyttämällä Uhkienhallintaa (Explorer)..

  • Osittain korjaava: Tutkimus johti korjaustoimiin, joista osa hyväksyttiin ja saatiin päätökseen. Muut toiminnot odottavat hyväksyntää.

  • Odottaa toimia: Tutkimus löysi uhan (esimerkiksi pahantahtoisen sähköpostin, haitallisen URL-osoitteen tai riskialttiin postilaatikon asetuksen), ja toiminto uhan korjaamiseksi odottaa hyväksyntää.

    Odottavien toimintojen luettelo voi kasvaa tutkinnan aikana. Tarkastele tutkimuksen tietoja nähdäksesi, odottavatko muut kohteet vielä valmistumista.

  • Rajoituksen jonottama: tutkinta on jonossa. Kun muut tutkimukset ovat valmiita, jonossa olevat tutkimukset alkavat. Rajoittaminen auttaa välttämään huonon palvelun suorituskyvyn.

    Odottavat toiminnot voivat rajoittaa uusien tutkimusten suorittamista. Varmista, että hyväksyt tai hylkäät odottavat toiminnot.

  • Korjaus: Tutkimus saatiin päätökseen ja kaikki korjaustoimet hyväksyttiin (todettiin korjautuneiksi).

    Hyväksytyillä korjaustoimilla voi olla virheitä, jotka estävät toimintojen suorittamisen. Riippumatta siitä, onko korjaustoimet suoritettu onnistuneesti, tutkimuksen tila ei muutu. Lisätietoja on tutkimuksen tiedoissa.

  • Käynnissä: Tutkintaprosessi on käynnissä. Tämä tila-arvo ilmenee myös, kun odottavat toiminnot hyväksytään.

  • Aloitetaan: Tutkimus on käynnistetty ja se odottaa suorituksen aloittamista.

  • Järjestelmän lopettama: Tutkinta keskeytettiin. Esimerkki:

    • Odottavat toiminnot ovat vanhentuneet (käytettävissä enintään viikon ajan).
    • Liian monta toimintoa. Esimerkiksi liian moni käyttäjä, joka napsauttaa haitallisia URL-osoitteita, voi ylittää tutkimuksen kyvyn suorittaa kaikki analysoijat, joten tutkimus pysähtyy.

    Jos tutkimus pysähtyy ennen toimintojen aloittamista, yritä etsiä ja käsitellä uhkia Explorerin avulla .

  • Rajoitus lopettaa: Tutkimus pysähtyy automaattisesti, kun se on ollut jonossa liian kauan, se pysähtyy.

    Voit aloittaa tutkinnan Uhkienhallinnasta (Explorer).

Airin tutkimustietojen tarkastelu Defender for Office 365 suunnitelmassa 2

Kun valitset Avaa uudessa ikkunassaTiedot-sarakkeessaTutkinta-sivulla osoitteessa https://security.microsoft.com/airinvestigation, uusi sivu avautuu ja sisältää tutkimustiedot.

Sivun ruutu on Tutkinta-sivun Investigation-arvo (nimi). Esimerkiksi napsautetun URL-osoitteen tuomio muuttui haitalliseksi – <URL-osoitteeksi>.

Sivun alaotsikko sisältää tutkimuksen tunnuksen ja tilan. Esimerkiksi Tutkimus-#660b79 on valmis – Korjataan.

Tietosivun loppuosassa on useita välilehtiä, jotka sisältävät yksityiskohtaisia tietoja tutkimuksesta. Jotkin välilehdet ovat yleisiä kaikissa tutkimuksissa. Muita välilehtiä on saatavilla tutkimuksen luonteen ja tilan perusteella.

Välilehdet on kuvattu seuraavissa alikohdissa.

Näyttökuva Defender-portaalin tutkinnan tietosivusta.

Tutkimuskaavio-välilehti tutkimuksen tiedoissa

Tutkimustietosivulla Investigation graph -välilehti on oletusvälilehti, joka edustaa visuaalisesti tutkimuksen nykyistä tilaa ja tuloksia.

Tutkimuskaavio-välilehdenTutkinnan yhteenveto -ruutu sisältää seuraavat tiedot:

  • Tutkinnan tilan aikarivin osa:
    • Alkoivat
    • Päättynyt: Tämä arvo on käytettävissä vain seuraaville tila-arvoille :
      • Uhkia ei löytynyt
      • Osittain korjattu
      • Korjattu
      • Järjestelmän lopettama
      • Rajoitus lopettaa
      • Käyttäjän lopettama
      • Löydettyjä uhkia
      • Epäonnistui
    • Kesto
    • Odottava kokonaisaika: Tämä arvo on käytössä vain tutkimuksissa, joissa oli odottavia toimia odottamassa hyväksyntää ja jotka lopulta hyväksyttiin tai vanhentuivat.
  • Tutkimustiedot-osio :
    • Tila: Tutkimuksen tila. Jos arvo on Ei uhkia, osiossa ei ole muita arvoja.
    • Ilmoituksen vakavuus: Pieni, **Normaali tai Suuri.
    • Luokka: Ilmoitusluokka.
    • Tunnistamislähde: Arvo on yleensä MDO.

Kaavioruutu sisältää visuaalisen esityksen tutkimuksen elementeistä ja toiminnoista. Jotkin elementit ovat yleisiä kaikissa tutkimuksissa, kun taas toiset riippuvat tutkimuksen luonteesta ja edistymisestä.

  • Vastaanotettu ilmoitus: Näyttää liittyvät ilmoitukset. Valitse tämä, jos haluat lisätietoja Ilmoitukset-välilehdestä .

  • Postilaatikko: Näyttää liittyvät postilaatikot. Valitse tämä, jos haluat lisätietoja Postilaatikot-välilehdestä .

  • Analysoidut entiteetit: Näyttää tutkimuksen aikana analysoitujen liittyvien entiteettien määrän ja tyypin. Esimerkki:

    • URL-osoitteet
    • Sähköpostiviestit
    • Tiedostot
    • Sähköpostiklusterit, joihin saattaa sisältyä haitallisten yksiköiden määrä ja korjattavien viestien määrä.

    Valitse tämä, jos haluat lisätietoja Entiteetit-välilehdestä .

  • Näyttö: Näyttää löydettyjen entiteettien määrän. Jos haluat lisätietoja, siirry Todiste-välilehteen.

  • Odottaa hyväksyntää: Näyttää, kuinka kauan järjestelmä on odottanut järjestelmänvalvojan suorittavan ehdotettua manuaalista korjaustoimintoa (esimerkiksi sähköpostiviestin pehmeä poisto). Valitse tämä, jos haluat lisätietoja Odottaa toimintoja -välilehdestä.

    Kun järjestelmänvalvoja on tehnyt toiminnon, tämä kohde korvataan Odottaa käyttäjän hyväksyntää -toiminnolla.

  • Odotettiin käyttäjän hyväksyntää: Näyttää, kuinka kauan järjestelmänvalvojalta kesti suorittaa ehdotettu manuaalinen korjaustoiminto. Valitse tämä, jos haluat lisätietoja Odottaa toimintoja -historiavälilehdelle .

  • Tulos: Tämä kohde on käytettävissä, kun tutkimus on valmis, ja se kopioidaan seuraavissa sivun sijainneissa:

    • Kaavion keskellä. Valitse kuvake siirtyäksesi Loki-välilehteen .
    • Sivun otsikossa.
    • Tutkinnan yhteenveto -ruudussa >Tutkimustiedot-osion>Tilan arvo.

    Esimerkki:

    • Korjattu

    • Järjestelmä lopettaa:

    • Uhkia ei löytynyt

    • Osittain tutkittu

      Jotkin havainnot saattavat vaatia tarkastelua. Käytä Todiste- ja Entiteetit-välilehtiä mahdollisten ongelmien tutkimiseen ja korjaamiseen manuaalisesti.

    • Osittain korjattu

      Ongelma esti joidenkin haitallisten entiteettien korjaamisen. Käytä Todiste- ja Entiteetit-välilehtiä mahdollisten ongelmien tutkimiseen ja korjaamiseen manuaalisesti.

Näyttökuva tutkimustietosivun Investigation graph -välilehdestä.

Tutkinnan tietojen Ilmoitukset-välilehti

Tutkinnan tiedot -sivulla Ilmoitukset-välilehdessä näkyvät tutkintaan liittyvät hälytykset.

Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletussarakkeet on merkitty tähdellä *:

  • Ilmoituksen nimi*
  • Tunnisteet*
  • Vakavuus*
  • Tapauksen nimi*
  • Tapauksen tunnus*
  • Tila*
  • Luokka*
  • Kohderesurssit, joihin vaikutus vaikuttaa
  • Käyttäjä*
  • Palvelulähde*
  • Tunnistamislähde
  • Tutkinnan tila*
  • Viimeisin aktiviteetti*
  • Luokitus*
  • Määrätietoisuus
  • Vastuuhenkilö*

Kun napsautat Ilmoituksen nimi -arvoa rivillä, siirryt ilmoituksen tietosivulle. Tämä tietosivu on sama kuin napsautettaessa Ilmoituksen nimi -arvoa vastaavassa merkinnässä Ilmoitukset-sivulla osoitteessa https://security.microsoft.com/alerts. Lisätietoja on kohdassa Ilmoituksen analysointi.

Napsauttamalla jotakin muuta rivin kohtaa kuin Ilmoituksen nimi -arvoa tai ensimmäisen sarakkeen vieressä olevaa valintaruutua avautuu ilmoituksen tiedot-pikaikkuna. Tämä tietojen avauspainike on sama kuin napsautetaan mitä tahansa muuta riviä kuin Ilmoituksen nimi -arvoa tai -kohteen vastaavan merkinnän ensimmäisen sarakkeen vieressä olevaa valintaruutua https://security.microsoft.com/alerts.

Toiminnot, jotka ovat käytettävissä hälytystietojen pikaikkunan yläosassa, riippuvat hälytyksen luonteesta, ja ne sisältävät samat toiminnot, jotka ovat käytettävissä vastaavan ilmoituksen tiedot-pikaikkunassa Ilmoitukset-sivulla osoitteessa https://security.microsoft.com/alerts. Esimerkiksi ilmoituksille nimeltä Sähköpostiviestit, jotka sisältävät toimituksen jälkeen poistettuja haitallisia URL-osoitteita , on seuraavat toiminnot käytettävissä ilmoituksen tietojen pikaikkunassa:

  • Avaa ilmoitussivu: Avaa saman tietosivun kuin napsauttaessasi merkinnän Ilmoituksen nimi -arvoa Ilmoitukset-sivulla osoitteessa https://security.microsoft.com/alerts. Lisätietoja on kohdassa Ilmoituksen analysointi.

  • Ilmoitusten hallinta: Avaa Ilmoitusten hallinta -pikaikkunan, jossa voit tarkastella ja muokata tapahtuman tietoja. Lisätietoja on kohdassa Ilmoitusten hallinta.

  • Näytä viestit Resurssienhallinnassa: Avaa Resurssienhallinnan (Threat Explorer) Kaikki ilmoitukset - tunnuksen suodattamana. Lisätietoja Threat Explorerin Kaikki sähköpostit -näkymästä on kohdassa Kaikki sähköpostit -näkymä Threat Explorerissa.

  • Lisää toimintoja>Linkki-ilmoitus toiseen ongelmaan: Määritä linkitettävässä ilmoitusikkunassa seuraavat vaihtoehdot:

    • Valitse jokin seuraavista arvoista:
      • Luo uusi tapaus
      • Linkki olemassa olevaan tapaukseen: Kirjoita avautuvaan Tapauksen nimi- tai Tunnus-ruutuun arvo, jonka haluat etsiä, ja valitse olemassa oleva tapaus.
    • Kommentti: Kirjoita valinnainen kommentti.

    Kun olet valmis Linkitä ilmoitus toiseen tapaus - pikaikkunassa, valitse Tallenna

  • Lisää toimintoja>Viritä ilmoitus: Avaa Tune-ilmoituksen pikaikkunan. Lisätietoja on kohdassa Vaihe 3 ja sitä uudemmat kohdat Sääntöehtojen luominen ilmoitusten hienosäätämiseksi.

  • Lisää toimintoja>Kysy Defender-asiantuntijoilta. Avaa Kysy defenderiasiantuntijoilta -pikaikkunan. Lisätietoja on kohdassa Tee yhteistyötä asiantuntijoiden kanssa pyydettäessä.

Postilaatikot-välilehti tutkimustiedoissa

Tutkimuksen tietosivulla Postilaatikot-välilehti on käytettävissä, jos mahdolliset postilaatikot on tarkistettu osana tutkimusta.

Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina:

  • Käyttäjänimi
  • Riskitaso
  • Riski
  • Riskialttiit toiminnot
  • Ylöspäin
  • Uurna

Napsauttamalla mitä tahansa muuta riviä kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua avaa postilaatikon tietojen pikaikkunan, jossa on seuraavat tiedot:

  • Tuomio
  • Näyttönimi
  • Ensisijainen sähköpostiosoite
  • UPN
  • Objektitunnus
  • Riskitaso
  • Riski

Avaa Käyttäjä-entiteettisivu Microsoft Defender XDR valitsemalla Lisätietoja käyttäjästä. Lisätietoja on kohdassa käyttäjän entiteettisivu Microsoft Defender XDR.

Tutkimuksen tietojen Todiste-välilehti

Tutkimuksen tiedot -sivulla Todiste-välilehdessä näkyvät epäilyttävät entiteetit, jotka analysoitiin, ja analyysin tulokset.

Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletussarakkeet on merkitty tähdellä *:

  • Ensimmäinen nähty*
  • Kokonaisuus*
  • Tuomio*
  • Korjauksen tila*
  • Tilan tiedot
  • Kohderesurssit, joihin vaikutus vaikuttaa*
  • Tunnistamisen alkuperä*
  • Uhkia

Jos haluat suodattaa merkinnät, valitse Suodata. Seuraavat suodattimet ovat käytettävissä avautuvassa Suodatin-pikaikkunassa:

  • Entiteetti: Kirjoita ruutuun entiteetin nimi tai osa siitä.
  • Tuomio: Valittavissa olevat arvot määräytyvät välilehden Tuomion arvojen mukaan.
  • Tunnistamisen alkuperä: Valittavissa olevat arvot riippuvat -välilehden Tunnistaminen-alkuperäarvoista .

Kun olet valmis Suodatin-pikaikkunassa, valitse Käytä. Jos haluat tyhjentää suodattimet, valitse Tyhjennä suodattimet.

Kun napsautat jotakin muuta riviä kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua, näkyviin tulee tietojen pikaikkuna. Pikaikkunan käytettävissä olevat tiedot määräytyvät näytön luonteen mukaan (kuten sähköpostiviesti, tiedosto tai URL-osoite).

Tutkimustietojen Entiteetit-välilehti

Tutkimuksen tietosivulla Entiteetit-välilehti näyttää tietoja erityyppisistä entiteeteistä, joita tutkimuksen aikana kohdattiin ja analysoitiin.

Näyttökuva Tutkinnan tiedot -sivun Entiteetit-välilehdestä.

Entiteetit-välilehti on järjestetty näkymän valintaruudun (yhteenvetonäkymä ja näkymä kullekin entiteettityypille) ja vastaavan tietotaulukon mukaan:

  • Todisteyhteenvedon näkymä: Tämä on oletusnäkymä.

    Voit lajitella tietotaulukon merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina:

    • Entiteettityyppi (et voi poistaa tämän arvon valintaa): Sisältää samat arvot kuin näkymän valintaruutu tapahtuman mukaan. Esimerkki:

      • Tiedostot
      • URL-osoitteet
      • Sähköpostilähetykset
      • Sähköpostit
      • IP-osoitteet
      • Sähköpostiklusterit

      Seuraavissa sarakkeissa näkyy kunkin entiteettityypin (rivin) määrä:

      • Yhteensä
      • Korjattu
      • Ilkeä
      • Epäluuloinen
      • Tarkistaa
      • Uhkia ei löytynyt
      • tuntematon
      • Ei löydy
      • Korjaamaton
      • Osittain korjattu

    Napsauttamalla mitä tahansa rivin kohtaa muualla kuin Entiteettityyppi-sarakkeen vieressä oleva valintaruutu vie sinut siihen liittyvään näkymään valintasivulta (esimerkiksi Sähköpostit).

  • Tiedostot-näkymä : Voit lajitella tietotaulukon merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletussarakkeet on merkitty tähdellä *:

    • Tuomio*
    • Korjauksen tila*
    • Tilan tiedot
    • Tiedostopolku*
    • Tiedostonimi* (et voi poistaa tämän arvon valintaa)
    • Laite*

  • URL-osoitteet-näkymä : Voit lajitella tietotaulukon merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina:

    • Tuomio
    • Korjauksen tila
    • Osoite (et voi poistaa tämän arvon valintaa)

    Napsauttamalla mitä tahansa muuta riviä kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua avautuu tietojen pikaikkuna, joka sisältää seuraavat tiedot:

    • Alkuperäinen URL-osoite
    • Tunnistamisosa
    • Toimialueen tiedot -osa
    • Rekisteröijän yhteystiedot -osa
    • URL-osoitteen esiintyvyys (viimeiset 30 päivää) -osa

    Myös seuraavat URL-osoitteen toiminnot ovat käytettävissä pikaikkunassa:

    • Avaa URL-sivu
    • Lähetä analyysia varten
    • Ilmaisimen hallinta
    • Näytä Resurssienhallinnassa
    • Mene metsästämään

  • Sähköpostin lähetysnäkymä : Voit lajitella tietotaulukon merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina:

    • Tuomio
    • Korjauksen tila
    • Aihe
    • Lähettäjä
    • Vastaanottaja
    • Raportoija
    • Raporttityyppi

    Napsauttamalla mitä tahansa muuta riviä kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua avautuu tietojen pikaikkuna, joka sisältää seuraavat tiedot:

    • Sähköpostin lähetyksen tiedot -osa

    Sähköpostin lähettämisen Go hunt -toiminto on saatavilla myös pikaikkunassa.

  • Sähköpostit-näkymä : Voit lajitella tietotaulukon merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina:

    • Tuomio
    • Korjauksen tila
    • Sähköpostin vastaanottopäivä (et voi poistaa tämän arvon valintaa)
    • Toimituksen tila
    • Aihe
    • Lähettäjä
    • Vastaanottaja

    Napsauttamalla mitä tahansa muuta riviä kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua avautuu tietojen pikaikkuna, joka sisältää seuraavat tiedot:

    • Sähköpostin tiedot -osa

    Valitse Lisätietoja sähköpostista , jos haluat tarkastella Sähköposti-entiteettisivua Defender for XDR:ssä.

    Pikaikkunassa ovat käytettävissä myös seuraavat sähköpostiviestin toiminnot:

    • Mene metsästämään
    • Avaa Resurssienhallinnassa

  • IP-osoitteiden näkymä: Voit lajitella tietotaulukon merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina:

    • Tuomio
    • Korjauksen tila
    • Osoite (et voi poistaa tämän arvon valintaa)

    Napsauttamalla mitä tahansa muuta riviä kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua avautuu tietojen pikaikkuna, joka sisältää seuraavat tiedot:

    • IP-tietojen osa
    • Tunnistamisosa
    • Organisaation laitteissa havaittu IP-osoite

    Pikaikkunassa ovat käytettävissä myös seuraavat IP-osoitteiden toiminnot:

    • Avaa IP-osoitesivu
    • Lisää ilmaisin
    • Pilvisovelluksen IP-asetusten avaaminen
    • Tutki toimintalokissa
    • Mene metsästämään

  • Sähköpostiklusterit-näkymä : Voit lajitella tietotaulukon merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina:

    • Tuomio
    • Korjauksen tila
    • Postiklusterin nimi (et voi poistaa tämän arvon valintaa)
    • Uhkia
    • Sähköpostien määrä
    • Haittaohjelma
    • Tietojen kalastelu
    • Erittäin luotettava tietojenkalastelu
    • Roskaposti
    • Toimitetaan
    • Roskaposti
    • Korvata
    • Tukossa
    • Postilaatikko
    • Ei ole postilaatikossa
    • On-prem/external
    • Tilavuuspoikkeama

    Napsauttamalla mitä tahansa muuta riviä kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua avautuu tietojen pikaikkuna, joka sisältää seuraavat tiedot:

    • Sähköpostiklusterin tiedot -osa
    • Uhat-osa
    • Uusimmat toimitussijainnit -osa
    • Alkuperäiset toimitussijainnit -osa

    Myös seuraavat sähköpostiklusterin toiminnot ovat käytettävissä pikaikkunassa:

    • Mene metsästämään
    • Avaa Resurssienhallinnassa

Tutkimustietojen Loki-välilehti

Tutkimustietosivulla Loki-välilehdessä näkyvät kaikki tutkimuksen aikana toteutetut toimet.

Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletussarakkeet on merkitty tähdellä *:

  • HENKILÖLLISYYSTODISTUS
  • Toiminnon tyyppi
  • Toiminta*
  • Tila*
  • Laitteen nimi*
  • Kuvaus*
  • Kommentit
  • Luontiaika
  • Suorituksen alkamisaika*
  • Kesto*
  • Odottaa kestoa
  • Jonossa olevan keston asettaminen jonoon

Tallenna näkyvät tiedot CSV-tiedostoon Vie-toiminnolla. Oletustiedostonimi on AirLogs.csv ja oletussijainti on paikallinen Lataukset-kansio. Jos viety raportti on jo olemassa kyseisessä sijainnissa, tiedostonimi kasvaa (esimerkiksi AirLogs (1).csv).

Napsauttamalla mitä tahansa muuta riviä kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua avautuu yhteenvetoikkuna, joka sisältää seuraavat tiedot:

  • Tila
  • Luominen
  • Suorituksen alku
  • Kesto
  • Kuvaus

Vihje

Jos haluat nähdä lisätietoja muista merkinnöistä poistumatta tietojen pikaikkunasta, käytä Previous item - ja Next-kohteita pikaikkunan yläosassa.

Odottava hyväksyntä -välilehti tutkimuksen tiedoissa

Tutkimuksen tiedot -sivulla Odottaa hyväksyntää -välilehdessä näkyvät odottavat toiminnot, jotka odottavat hyväksyntää (esimerkiksi viestien pehmeä poisto).

Odottaa hyväksyntää -välilehti on järjestetty näkymän valintaruudun (näkymä kullekin toimintotyypille) ja vastaavan tietotaulukon mukaan:

  • Pehmeät poistosähköpostit: Voit lajitella tietotaulukon merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletussarakkeet on merkitty tähdellä *:
    • Tutkimustunnus
    • Ensimmäinen nähty
    • Tiedot
    • Sähköpostien määrä
    • Haittaohjelma
    • Tietojen kalastelu
    • Erittäin luotettava tietojenkalastelu
    • Roskaposti
    • Toimitetaan
    • Roskaposti
    • Korvata
    • Tukossa
    • Postilaatikko
    • Ei ole postilaatikossa
    • On-prem/external
    • Postilaatikko
    • Entiteetin tyyppi
    • Uhkatyyppi
    • Aihe

Tallenna näkyvät tiedot CSV-tiedostoon Vie-toiminnolla. Oletustiedostonimi on AirActions.csv ja oletussijainti on paikallinen Lataukset-kansio. Jos kyseisessä sijainnissa on jo viety raportti, tiedostonimi kasvaa (esimerkiksi AirActions (1).csv).

Napsauttamalla mitä tahansa muuta riviä kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua avautuu tietojen pikaikkuna, joka sisältää seuraavat tiedot:

  • Sähköpostiklusterin tiedot -osa
    • Tuomio
    • Korjauksen tila
    • Sähköpostien määrä
    • Name (Nimi)
    • Tilavuuspoikkeama
    • Kyselyn aika
  • Uhat-osa :
    • Uhat: Tekee yhteenvedon sähköpostiklusterista löytyneet uhat. Esimerkiksi MaliciousUrl, HighConfPhish, Volume anomaly.
    • Seuraavien sähköpostiklusterissa olevien uhkatyyppien määrät:
      • Haittaohjelma
      • Tietojen kalastelu
      • Erittäin luotettava tietojenkalastelu
      • Roskaposti
  • Uusin toimitussijainti -osio: Seuraavien sähköpostiklusterissa olevien viestien toimitussijainnit:
    • Postilaatikko
    • Ei ole postilaatikossa
    • On-prem/external
  • Alkuperäiset toimitussijainnit -osio: Laskee seuraavat alkuperäiset toimitussijainnit sähköpostiklusterin viesteille:
    • Toimitetaan
    • Roskaposti
    • Korvata
    • Tukossa

Myös seuraavat sähköpostiviestien toiminnot ovat käytettävissä pikaikkunassa:

  • Mene metsästämään
  • Avaa Resurssienhallinnassa

Hyväksy ja hylkää on kuvattu seuraavassa aliosassa.

Hyväksy toiminnot Odottava hyväksyntä -välilehdellä tutkimuksen tiedoissa

Valitse Odottava hyväksyntä -välilehdeltä tutkimuksen tietosivulta odottava toiminto napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua.

Näyttöön avautuva tietoikkuna nimetään odottavan toiminnon mukaan (esimerkiksi sähköpostien pehmeä poisto). Lue tiedot pikaikkunasta ja valitse sitten jokin seuraavista arvoista:

  • Hyväksy.
  • Hylkää.

Vihje

Kaikkien tutkimuksen toimien hyväksyminen ja/tai hylkääminen sulkee sen kokonaan ( Status-arvosta tulee korjaava). Se, että kaikkia tutkimuksen toimintoja ei hyväksytä tai hylätä, ei sulje sitä kokonaan ( Status-arvosäilyy osittain korjaatuna).

Sinun ei tarvitse hyväksyä jokaista toimintoa. Jos et hyväksy suositeltua toimintoa tai organisaatiosi ei valitse tietyntyyppisiä toimintoja, voit hylätä toiminnon tai olla ryhtymatta toimiin.

Odottavien toimien historia -välilehti tutkimuksen tiedoissa

Tutkimuksen tiedot -sivulla Odottaa toimintoja -historia-välilehdessä näkyvät keskeneräisten toimintojen suorittamisen.

Voit lajitella merkinnät napsauttamalla käytettävissä olevaa sarakeotsikkoa. Valitse Mukauta sarakkeita , jos haluat muuttaa näytettyjä sarakkeita. Oletusarvoisesti kaikki käytettävissä olevat sarakkeet ovat valittuina:

  • Toiminnon tyyppi
  • Odotusaika
  • Entiteetti
  • Tila
  • Käsittelijä
  • Aika

Tallenna näkyvät tiedot CSV-tiedostoon Vie-toiminnolla. Oletustiedostonimi on AirActions.csv ja oletussijainti on paikallinen Lataukset-kansio. Jos kyseisessä sijainnissa on jo viety raportti, tiedostonimi kasvaa (esimerkiksi AirActions (1).csv).

Napsauttamalla entiteetin arvoa rivillä avautuu tietoikkuna, joka sisältää seuraavat tiedot sähköpostiklusterista:

  • Sähköpostiklusterin tiedot -osa
  • Uhat-osa
  • Uusimmat toimitussijainnit -osa
  • Alkuperäiset toimitussijainnit -osa

Myös seuraavat sähköpostiklusterin toiminnot ovat käytettävissä pikaikkunassa:

  • Mene metsästämään
  • Avaa Resurssienhallinnassa

Napsauttamalla jotakin muuta riviä kuin ensimmäisen sarakkeen tai entiteetin arvon vieressä olevaa valintaruutua avautuu toimintohistorian tietojen pikaikkuna, joka sisältää seuraavat tiedot:

  • Yhteenveto-osa :
    • Tila
    • Luominen
    • Suorituksen alku
    • Kuvaus

Tietyntyyppiset hälytykset käynnistävät automaattisen tutkimuksen Microsoft 365:ssä. Lisätietoja on artikkelissa Uhkien hallinnan hälytyskäytännöt.

  1. Siirry Microsoft 365 Defender -portaalissa kohtaan https://security.microsoft.comToiminnot & lähetysten>toimintokeskus. Voit myös siirtyä suoraan Toimintokeskus-sivulle valitsemalla https://security.microsoft.com/action-center/.
  2. Etsi toiminto Toimintokeskus-sivullaOdottaa- tai Historia-välilehdillä.
  3. Valitse toiminto taulukosta valitsemalla linkki Investigation ID - sarakkeesta.

Tutkimustietosivu avautuu.

Seuraavat vaiheet