Del via

Detaljer og resultater av automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365 Plan 2

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

I Microsoft 365-organisasjoner med Microsoft Defender for Office 365 Plan 2 er detaljer om aktive og fullførte undersøkelser fra automatisert undersøkelse og respons (AIR) i Defender for Office 365 tilgjengelige på undersøkelsessiden i Microsoft Defender portal på https://security.microsoft.com/airinvestigation. Undersøkelsesdetaljer gir deg oppdatert status og (med de riktige tillatelsene) muligheten til å godkjenne eventuelle ventende handlinger.

Tips

AIR-detaljer og -resultater er også tilgjengelige i Microsoft Defender XDR på Undersøkelse-sidenhttps://security.microsoft.com/incidents. Hvis du vil ha mer informasjon, kan du se siden Enhetlig undersøkelse.

Hva må du vite før du begynner?

  • Hvis du vil se tillatelsene og lisensieringskravene for AIR, kan du se Nødvendige tillatelser og lisensiering for AIR.

  • Antall e-postmeldinger beregnes på tidspunktet for undersøkelsen. Noen antall beregnes på nytt når du åpner undermenyer for undersøkelser (basert på den underliggende spørringen).

    Følgende verdier for antall e-postmeldinger beregnes på undersøkelsestidspunktet og endres ikke:

    • E-postklynger på E-post-fanen .
    • Verdien for e-postantallet som vises på undermenyen for e-postklynger.

    Følgende verdier for antall e-postmeldinger gjenspeiler e-postmeldinger som ble mottatt etter den første analysen av undersøkelsen:

    • Antall e-postmeldinger som vises nederst på E-post-fanen i undermenyen for e-postklynger.

    • E-postantallet som vises i Explorer (Trusselutforsker)

      En e-postklynge som viser et opprinnelig antall på 10 meldinger, viser for eksempel totalt 15 e-postmeldinger hvis det kommer fem meldinger mellom undersøkelsesanalysefasen og når en administrator ser gjennom undersøkelsen. På samme måte kan gamle undersøkelser vise høyere antall meldinger enn Threat Explorer-spørringer, fordi data i Microsoft Defender for Office 365 Plan 2 utløper sju dager etter slutten av en prøveversjon og 30 dager senere for betalte lisenser.

      Antall historiske og gjeldende e-postmeldinger vises i forskjellige visninger for å gi følgende informasjon:

      • E-posteffekten på undersøkelsestidspunktet.
      • Gjeldende e-posteffekt opptil når utbedringen kjøres.

  • For e-post kan det hende du ser en volumavvikstrussel som en del av undersøkelsen. Et volumavvik indikerer en økning i lignende e-postmeldinger rundt undersøkelsestidspunktet sammenlignet med tidligere tider. En økning i e-posttrafikken sammen med likheter i enkelte meldingsegenskaper (for eksempel emne, meldingstekst, avsenderdomene og avsender-IP) indikerer vanligvis begynnelsen på e-postangrep. Men masseutsendt e-post, søppelpost og legitime e-postkampanjer deler ofte de samme meldingsegenskapene.

Undersøkelser fra AIR i Defender for Office 365 Plan 2

Gå til E-post &samarbeidsundersøkelser> i Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til Undersøkelse-siden , kan du bruke https://security.microsoft.com/airinvestigation.

Undersøkelsesdetaljer fra i går og i dag vises som standard, men du kan endre datointervallet.

Følgende informasjon vises på Undersøkelse-siden . Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt:

  • ID: Den unike ID-en for undersøkelsen. Velg Åpne i nytt vindu for å åpne detaljene for undersøkelsen, som beskrevet i delen Vis undersøkelsesdetaljer .
  • Status: De tilgjengelige statusverdiene er beskrevet i delen Verdier for undersøkelsesstatus .
  • Gjenkjenningskilde: Denne verdien er alltid Office365.
  • Etterforskning
  • Brukere
  • Opprettelsestidspunkt
  • Sist endret tidspunkt
  • Trusselantall
  • Antall handlinger
  • Varighet for undersøkelse

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

  • Inndeling for undersøkelsestype : Velg én eller flere av følgende verdier:
    • Manuell undersøkelse
    • Brukerrapporterte meldinger
    • Zapped-fil
    • URL-adresse for Zapped
    • Endring av url-adressedom
    • Bruker kompromittert
  • Tidsområdeinndeling : Velg verdier for startdato og sluttdato . Data er tilgjengelig for de siste 72 dagene.
  • Statusinndeling : Velg én eller flere av følgende verdier som er beskrevet i delen Verdier for undersøkelsesstatus :
    • Starter
    • Løping
    • Finner ingen trusler
    • Avsluttet av system
    • Venter på handling
    • Trusler funnet
    • Utbedret
    • Delvis utbedret
    • Avsluttet av bruker
    • Mislyktes
    • I kø ved begrensning
    • Avsluttet av begrensning

Når du er ferdig med undermenyen Filter , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Bruk søkeboksen til å finne informasjon på siden. Skriv inn tekst i boksen, og trykk deretter ENTER.

Bruk Eksporter til å lagre den synlige informasjonen i en CSV-fil. Standard filnavn er Undersøkelser – Microsoft Defender.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel Undersøkelser – Microsoft Defender (1).csv).

Verdier for undersøkelsesstatus

Statusverdiene for en undersøkelse indikerer fremdriften for analysen og handlingene. Når undersøkelsen kjøres, oppdateres statusverdien for å indikere om trusler ble funnet, og om handlinger er godkjent.

Statusverdiene som brukes i undersøkelser, beskrives i følgende liste:

  • Mislyktes: Minst én undersøkelsesanalyse støtte på et problem der det ikke kunne fullføres riktig.

    Hvis en undersøkelse mislykkes etter at utbedringshandlingene ble godkjent, kan utbedringshandlingene fortsatt ha lyktes. Hvis du vil ha mer informasjon, kan du se undersøkelsesdetaljene.

  • Fant ingen trusler: Undersøkelsen ble fullført, og ingen trusler ble identifisert (kompromitterte brukerkontoer, e-postmeldinger, nettadresser eller filer).

    Hvis du mistenker at noe skadelig ble gått glipp av (en falsk negativ), kan du utføre handlinger ved hjelp av Trusselutforsker (Explorer).

  • Delvis undersøkt (tidligere kjent som Trusler funnet): Den automatiserte undersøkelsen fant problemer, men uten spesifikke utbedringshandlinger for å løse problemene. Forekommer når en type brukeraktivitet ble identifisert, men ingen oppryddingshandlinger er tilgjengelige. Eksempler inkluderer noen av følgende brukeraktiviteter:

    • En datatapsforebyggingshendelse (DLP ).
    • En e-postmelding som sender avvik.
    • Sendt skadelig programvare.
    • Sendt phishing.
    • Etterforskningen fant ingenting å gjøre. Eksempel:
      • Ingen skadelige nettadresser, filer eller e-postmeldinger å utbedre.
      • Ingen postboksaktivitet å løse (for eksempel deaktivere videresendingsregler eller delegering).

    Hvis du mistenker at noe skadelig ble gått glipp av (en falsk negativ), kan du utføre handlinger ved hjelp av Trusselutforsker (Explorer).

  • Delvis utbedret: Undersøkelsen resulterte i utbedringshandlinger, og noen ble godkjent og fullført. Andre handlinger venter fortsatt på godkjenning.

  • Ventende handling: Undersøkelsen fant en trussel (for eksempel en ondsinnet e-post, en ondsinnet nettadresse eller en risikabel postboksinnstilling), og en handling for å utbedre trusselen venter på godkjenning.

    Listen over ventende handlinger kan øke etter hvert som en undersøkelse kjøres. Vis undersøkelsesdetaljene for å se om andre elementer fortsatt venter på fullføring.

  • I kø ved begrensning: En undersøkelse holdes i en kø. Når andre undersøkelser er fullført, starter undersøkelser i kø. Begrensning bidrar til å unngå dårlig tjenesteytelse.

    Ventende handlinger kan begrense hvor mange nye undersøkelser som kan kjøres. Pass på å godkjenne eller avvise ventende handlinger.

  • Utbedret: Etterforskningen er fullført og alle utbedringshandlinger ble godkjent (angitt som fullstendig utbedret).

    Godkjente utbedringshandlinger kan ha feil som hindrer at handlingene blir utført. Uavhengig av om utbedringshandlingene er fullført, endres ikke undersøkelsesstatusen. Hvis du vil ha mer informasjon, kan du se undersøkelsesdetaljene.

  • Kjører: Etterforskningsprosessen er i gang. Denne statusverdien forekommer også når ventende handlinger godkjennes.

  • Starter: Etterforskningen er utløst og venter på å begynne å kjøre.

  • Avsluttet av system: Undersøkelsen stoppet. Eksempel:

    • Ventende handlinger har utløpt (tilgjengelig i maksimalt én uke).
    • For mange handlinger. For mange brukere som klikker på skadelige nettadresser, kan for eksempel overskride undersøkelsens mulighet til å kjøre alle analyser, slik at undersøkelsen stopper.

    Hvis en undersøkelse stopper før handlinger ble utført, kan du prøve å bruke Trusselutforsker (Explorer) til å finne og håndtere trusler.

  • Avsluttet av begrensning: En undersøkelse stopper automatisk etter at den har stått i kø for lenge, og den stopper.

    Du kan starte en undersøkelse fra Trusselutforsker (Explorer).

Vis undersøkelsesdetaljer fra AIR i Defender for Office 365 Plan 2

Når du velger Åpne i nytt vindu i ID-kolonnen i en oppføring på Undersøkelse-sidenhttps://security.microsoft.com/airinvestigation, åpnes en ny side med undersøkelsesdetaljene.

Flisen på siden er undersøkelsesverdien (navn) på Undersøkelse-siden . Klikket for eksempel url-adresse dommen endret til ondsinnet - <URL.>

Undertittelen på siden inneholder ID-en og statusen for undersøkelsen. Undersøkelse #660b79 er for eksempel fullført – utbedret.

Resten av detaljsiden inneholder flere faner som inneholder detaljert informasjon om undersøkelsen. Noen faner er felles for alle undersøkelser. Andre faner er tilgjengelige basert på arten og statusen til undersøkelsen.

Fanene er beskrevet i følgende underseksjoner.

Skjermbilde av undersøkelsesdetaljene i Defender-portalen.

Fanen Undersøkelsesgraf i undersøkelsesdetaljene

Fanen Undersøkelsesgraf på undersøkelsesdetaljene er standardfanen som visuelt representerer gjeldende tilstand og resultatene av undersøkelsen.

I undersøkelsesgraffanen inneholder undersøkelsessammendragsruten følgende detaljer:

  • Inndeling for tidslinje for undersøkelsesstatus :
    • Startet
    • Avsluttet: Denne verdien finnes bare for følgende statusverdier :
      • Finner ingen trusler
      • Delvis utbedret
      • Utbedret
      • Avsluttet av system
      • Avsluttet ved begrensning
      • Avsluttet av bruker
      • Trusler funnet
      • Mislyktes
    • Varighet
    • Total ventetid: Denne verdien finnes bare for undersøkelser som hadde ventende handlinger som venter på godkjenning som til slutt ble godkjent eller utløpt.
  • Inndeling for undersøkelsesdetaljer :
    • Status: Statusen for undersøkelsen. Hvis verdien ikke finnes noen trusler, finnes det ingen andre verdier i inndelingen.
    • Alvorsgrad for varsel: Verdien Lav, **Middels eller Høy.
    • Kategori: Varselkategorien.
    • Gjenkjenningskilde: Vanligvis er verdien MDO.

Grafruten inneholder en visuell fremstilling av elementene og aktivitetene i undersøkelsen. Noen elementer er felles for alle undersøkelser, mens andre er avhengige av etterforskningens natur og fremgang.

  • Varsel mottatt: Viser de relaterte varslene. Velg for å gå til Varsler-fanen for mer informasjon.

  • Postboks: Viser de relaterte postboksene. Velg for å gå til Postbokser-fanen for mer informasjon.

  • Analyserte enheter: Viser antall og type relaterte enheter som ble analysert under undersøkelsen. Eksempel:

    • URL-adresser
    • E-postmeldinger
    • Filer
    • E-postklynger, som kan omfatte antall ondsinnede og antall utbedre.

    Velg for å gå til Enheter-fanen for mer informasjon.

  • Bevis: Viser antall enheter funnet. Velg for å gå til Bevis-fanen for mer informasjon.

  • Venter på godkjenning: Viser hvor lenge systemet har ventet på at en administrator skal utføre den foreslåtte manuelle utbedringshandlingen (for eksempel myk sletting av en e-postmelding). Velg for å gå til Ventende handlinger-fanen for mer informasjon.

    Når en administrator utfører handlingen, erstattes dette elementet av Waited for brukergodkjenning.

  • Ventet på brukergodkjenning: Viser hvor lang tid det tok for en administrator å utføre den foreslåtte manuelle utbedringshandlingen. Velg for å gå til loggfanen Ventende handlinger for mer informasjon.

  • Resultat: Dette elementet er tilgjengelig etter at undersøkelsen er fullført, og dupliseres på følgende plasseringer på siden:

    • Midt i grafen. Velg ikonet for å gå til Logg-fanen .
    • I sidetittelen.
    • I undersøkelsessammendragsruten>, inndelingen Undersøkelsesdetaljer, statusverdi>.

    Eksempel:

    • Utbedret

    • Avsluttet av systemet:

    • Finner ingen trusler

    • Delvis undersøkt

      Noen funn kan kreve gjennomgang. Bruk fanene Bevis og Enheter til å undersøke og utbedre eventuelle potensielle problemer manuelt .

    • Delvis utbedret

      Et problem hindret utbedring av enkelte ondsinnede enheter. Bruk fanene Bevis og Enheter til å undersøke og utbedre eventuelle potensielle problemer manuelt .

Skjermbilde av undersøkelsesgraffanen på undersøkelsesdetaljene.

Varsler-fanen i undersøkelsesdetaljene

På undersøkelsesdetaljene viser Varsler-fanen varslene relatert til undersøkelsen.

Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Standardkolonnene er merket med en stjerne *:

  • Varselnavn*
  • Tags*
  • Alvorlighetsgraden*
  • Hendelsesnavn*
  • Hendelses-ID*
  • Status*
  • Kategori*
  • Påvirkede ressurser
  • Bruker*
  • Tjenestekilde*
  • Gjenkjenningskilde
  • Undersøkelsestilstand*
  • Siste aktivitet*
  • Klassifisering*
  • Bestemmelse
  • Tilordnet til*

Når du klikker på varselnavnverdien i en rad, kommer du til detaljsiden for varselet. Denne detaljsiden er den samme som å klikke på varselnavnverdien i den tilsvarende oppføringen på Varsler-sidenhttps://security.microsoft.com/alerts. Hvis du vil ha mer informasjon, kan du se Analysere et varsel.

Hvis du klikker et annet sted i raden enn varselnavnverdien eller avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer for varselet. Denne undermenyen for detaljer er det samme som å klikke hvor som helst i raden annet enn verdien for varselnavn eller avmerkingsboksen ved siden av den første kolonnen i den tilsvarende oppføringen på Varsler-sidenhttps://security.microsoft.com/alerts.

Handlingene som er tilgjengelige øverst i varseldetaljene, avhenger av varselets art som inneholder de samme handlingene som er tilgjengelige i detaljer-undermenyen for det tilsvarende varselet på Varsler-sidenhttps://security.microsoft.com/alerts. Varsler kalt e-postmeldinger som inneholder skadelig nettadresse fjernet etter levering , har for eksempel følgende handlinger tilgjengelig i undermenyen for varseldetaljer:

  • Åpne varselsiden: Åpner samme detaljside som når du klikker på varselnavnverdien for en oppføring på Varsler-sidenhttps://security.microsoft.com/alerts. Hvis du vil ha mer informasjon, kan du se Analysere et varsel.

  • Administrer varsel: Åpner en undermeny for administrering av varsel der du kan vise og endre detaljer om hendelsen. Hvis du vil ha mer informasjon, kan du se Behandle varsler.

  • Vis meldinger i Explorer: Åpner Explorer (Trusselutforsker) i Visningen Alle e-postmeldinger filtrert etter varsel-ID-en. Hvis du vil ha mer informasjon om Alle e-postvisningene i Trusselutforsker, kan du se All e-postvisning i Trusselutforsker.

  • Flere handlinger>Koble varsel til en annen hendelse: Konfigurer følgende alternativer i koblingsvarselet til en annen hendelses undermeny som åpnes:

    • Velg én av følgende verdier:
      • Opprett en ny hendelse
      • Kobling til en eksisterende hendelse: Begynn å skrive inn en verdi i hendelsesnavn- eller ID-boksen som vises, for å finne og velge den eksisterende hendelsen.
    • Kommentar: Skriv inn en valgfri kommentar.

    Når du er ferdig i koblingsvarselet til en annen hendelsesmeny , velger du Lagre

  • Flere handlinger>Juster varsel: Åpner undermenyen Juster varsel . Hvis du vil ha mer informasjon, kan du se trinn 3 og nyere i Opprette regelbetingelser for å justere varsler.

  • Flere handlinger>Spør Defender-eksperter. Åpner undermenyen Spør Defender-eksperter . Hvis du vil ha mer informasjon, kan du se Samarbeide med eksperter på forespørsel.

Postbokser-fanen i undersøkelsesdetaljene

Postbokser-fanen er tilgjengelig på undersøkelsesdetaljene hvis noen postbokser ble inspisert som en del av undersøkelsen.

Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt:

  • Brukernavn
  • Risikonivå
  • Risiko
  • Risikable aktiviteter
  • Upn
  • Urne

Hvis du klikker hvor som helst i en annen rad enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for postboksdetaljer med følgende informasjon:

  • Kjennelse
  • Visningsnavn
  • Primær e-postadresse
  • UPN
  • Objekt-ID
  • Risikonivå
  • Risiko

Velg Flere detaljer om brukeren for å åpne brukerenhetssiden i Microsoft Defender XDR. Hvis du vil ha mer informasjon, kan du se brukerenhetssiden i Microsoft Defender XDR.

Bevis-fanen i undersøkelsesdetaljene

På detaljsiden for undersøkelsen viser Bevis-fanen de mistenkelige enhetene som ble analysert, og resultatene av analysen.

Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Standardkolonnene er merket med en stjerne *:

  • Først sett*
  • Enhet*
  • Kjennelse*
  • Utbedringsstatus*
  • Statusdetaljer
  • Påvirkede ressurser*
  • Gjenkjenningsopprinnelse*
  • Trusler

Hvis du vil filtrere oppføringene, velger du Filtrer. Følgende filtre er tilgjengelige i undermenyen Filter som åpnes:

  • Enhet: Skriv inn noe av eller hele enhetsnavnet i boksen.
  • Vurdering: Verdiene du kan velge, avhenger av verdiene i dommen på fanen.
  • Gjenkjenningsopprinnelse: Verdiene du kan velge, avhenger av verdiene for gjenkjenningsopprinnelse på fanen.

Når du er ferdig med undermenyen Filter , velger du Bruk. Hvis du vil fjerne filtrene, velger du Fjern filtre.

Hvis du klikker hvor som helst i en annen rad enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer. Hva som er tilgjengelig i undermenyen avhenger av hva slags bevis (e-postmelding, fil, nettadresse osv.).

Fanen Enheter i undersøkelsesdetaljene

På detaljsiden for undersøkelse viser Fanen Enheter detaljer om de ulike typene enheter som ble oppdaget og analysert under undersøkelsen.

Skjermbilde av Enheter-fanen på undersøkelsesdetaljene.

Fanen Enheter er organisert etter en visningsvalgrute (en sammendragsvisning og en visning for hver enhetstype) og en tilsvarende detaljtabell for denne visningen:

  • Visning av bevissammendrag : Dette er standardvisningen.

    Du kan sortere oppføringene i detaljtabellen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt:

    • Enhetstype (du kan ikke fjerne merkingen av denne verdien): Inneholder de samme verdiene som visningsvalgruten, avhengig av hendelsen. Eksempel:

      • Filer
      • URL-adresser
      • E-postinnsendinger
      • E-postmeldinger
      • IP-adresser
      • E-postklynger

      Følgende kolonner viser antallet for hver enhetstype (rad):

      • Total
      • Utbedret
      • Ondsinnet
      • Mistenksom
      • Bekreftet
      • Finner ingen trusler
      • Ukjent
      • Finner ikke
      • Ikke utbedret
      • Delvis utbedret

    Hvis du klikker hvor som helst i en rad et annet sted enn avmerkingsboksen ved siden av kolonnen enhetstype , kommer du til den relaterte visningen fra valgsiden (for eksempel E-postmeldinger).

  • Filvisning : Du kan sortere oppføringene i detaljtabellen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Standardkolonnene er merket med en stjerne *:

    • Kjennelse*
    • Utbedringsstatus*
    • Statusdetaljer
    • Filbane*
    • Filnavn* (du kan ikke fjerne merkingen av denne verdien)
    • Innretning*

  • URL-adressevisning : Du kan sortere oppføringene i detaljtabellen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt:

    • Kjennelse
    • Utbedringsstatus
    • Adresse (du kan ikke fjerne merkingen av denne verdien)

    Hvis du klikker hvor som helst i en annen rad enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer som inneholder følgende informasjon:

    • Opprinnelig URL-adresse
    • Oppdagelsesinndeling
    • Inndeling for domenedetaljer
    • Inndeling for kontaktinformasjon for registrant
    • Prevalens for nettadresse (siste 30 dager) inndeling

    Følgende handlinger for nettadressen er også tilgjengelige i undermenyen:

    • Åpne URL-side
    • Send inn til analyse
    • Behandle indikator
    • Vis i Explorer
    • Gå på jakt

  • Visning for innsending av e-post : Du kan sortere oppføringene i detaljtabellen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt:

    • Kjennelse
    • Utbedringsstatus
    • Emne
    • Avsender
    • Mottaker
    • Rapportert av
    • Rapporttype

    Hvis du klikker hvor som helst i en annen rad enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer som inneholder følgende informasjon:

    • Delen detaljer om innsending av e-post

    Go-jakthandlingen for e-postinnsendingen er også tilgjengelig i undermenyen.

  • E-postvisning : Du kan sortere oppføringene i detaljtabellen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt:

    • Kjennelse
    • Utbedringsstatus
    • Mottatt dato for e-post (du kan ikke fjerne merkingen av denne verdien)
    • Leveringsstatus
    • Emne
    • Avsender
    • Mottaker

    Hvis du klikker hvor som helst i en annen rad enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer som inneholder følgende informasjon:

    • Inndeling for e-postdetaljer

    Velg Flere detaljer om e-post for å vise e-postenhetssiden i Defender for XDR.

    Følgende handlinger for e-postmeldingen er også tilgjengelige i undermenyen:

    • Gå på jakt
    • Åpne i Explorer

  • IP-adressevisning : Du kan sortere oppføringene i detaljtabellen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt:

    • Kjennelse
    • Utbedringsstatus
    • Adresse (du kan ikke fjerne merkingen av denne verdien)

    Hvis du klikker hvor som helst i en annen rad enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer som inneholder følgende informasjon:

    • DELEN OM IP-detaljer
    • Oppdagelsesinndeling
    • IP observert i organisasjonsenheter-delen

    Følgende handlinger for IP-adressene er også tilgjengelige i undermenyen:

    • Åpne IP-adressesiden
    • Legg til indikator
    • Åpne IP-innstillinger for skyapp
    • Undersøk i aktivitetslogg
    • Gå på jakt

  • Visning av e-postklynger : Du kan sortere oppføringene i detaljtabellen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt:

    • Kjennelse
    • Utbedringsstatus
    • Navn på e-postklynge (du kan ikke fjerne merkingen av denne verdien)
    • Trusler
    • Antall e-postmeldinger
    • Skadelig programvare
    • Phish
    • Phish med høy visshet
    • Søppelpost
    • Levert
    • Søppelpost
    • Erstattet
    • Blokkert
    • Postkasse
    • Ikke i postboksen
    • Lokal/ekstern
    • Volumavvik

    Hvis du klikker hvor som helst i en annen rad enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer som inneholder følgende informasjon:

    • Detaljinndeling for e-postklynge
    • Trusselinndeling
    • Siste leveringsplasseringer-inndeling
    • Inndeling for opprinnelige leveringssteder

    Følgende handlinger for e-postklyngen er også tilgjengelige i undermenyen:

    • Gå på jakt
    • Åpne i Explorer

Logg-fanen i undersøkelsesdetaljene

Logg-fanen viser alle handlinger som ble utført under undersøkelsen, på undersøkelsesdetaljene.

Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Standardkolonnene er merket med en stjerne *:

  • ID
  • Handlingstype
  • Handling*
  • Status*
  • Enhetsnavn*
  • Beskrivelse*
  • Kommentarer
  • Tidspunktet som ble opprettet
  • Starttidspunkt for kjøring*
  • Varighet*
  • Ventende varighet
  • Varighet i kø

Bruk Eksporter til å lagre den synlige informasjonen i en CSV-fil. Standard filnavn er AirLogs.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel AirLogs (1).csv).

Hvis du klikker hvor som helst i en annen rad enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for sammendrag som inneholder følgende informasjon:

  • Status
  • Opprett
  • Kjøringsstart
  • Varighet
  • Beskrivelse

Tips

Hvis du vil se detaljer om andre oppføringer uten å gå ut av detaljmenyen, kan du bruke Forrige element og Neste-elementet øverst i undermenyen.

Venter på godkjenning-fanen i undersøkelsesdetaljene

På undersøkelsesdetaljene viser fanen Venter på godkjenning ventende handlinger som venter på at godkjenningen skal fullføres (for eksempel myk sletting av meldinger).

Ventende godkjenning-fanen er organisert etter en visningsvalgrute (en visning for hver handlingstype) og en tilsvarende detaljtabell for denne visningen:

  • Slett e-postmeldinger med myk sletting: Du kan sortere oppføringene i detaljtabellen ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Standardkolonnene er merket med en stjerne *:
    • Undersøkelses-ID
    • Først sett
    • Detaljer
    • Antall e-postmeldinger
    • Skadelig programvare
    • Phish
    • Phish med høy visshet
    • Søppelpost
    • Levert
    • Søppelpost
    • Erstattet
    • Blokkert
    • Postkasse
    • Ikke i postboksen
    • Lokal/ekstern
    • Postkasse
    • Enhetstype
    • Trusseltype
    • Emne

Bruk Eksporter til å lagre den synlige informasjonen i en CSV-fil. Standard filnavn er AirActions.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel AirActions (1).csv).

Hvis du klikker hvor som helst i en annen rad enn avmerkingsboksen ved siden av den første kolonnen, åpnes en undermeny for detaljer som inneholder følgende informasjon:

  • Detaljinndeling for e-postklynge
    • Kjennelse
    • Utbedringsstatus
    • Antall e-postmeldinger
    • Navn
    • Volumavvik
    • Spørringstidspunkt
  • Trusselinndeling :
    • Trusler: Oppsummerer truslene som finnes i e-postklyngen. For eksempel MaliciousUrl, HighConfPhish, Volume anomaly.
    • Antall for følgende trusseltyper som finnes i e-postklyngen:
      • Skadelig programvare
      • Phish
      • Phish med høy visshet
      • Søppelpost
  • Siste leveringsstedsdel : Teller for følgende leveringssteder for meldinger i e-postklyngen:
    • Postkasse
    • Ikke i postboksen
    • Lokal/ekstern
  • Opprinnelig leveringsplassering: Teller for følgende opprinnelige leveringssteder for meldinger i e-postklyngen:
    • Levert
    • Søppelpost
    • Erstattet
    • Blokkert

Følgende handlinger for e-postmeldingene er også tilgjengelige i undermenyen:

  • Gå på jakt
  • Åpne i Explorer

Godkjenn og Avvis er beskrevet i neste del.

Godkjenn handlinger på fanen Venter på godkjenning i undersøkelsesdetaljene

Velg en ventende handling på fanen Venter på godkjenning på undersøkelsesdetaljene ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av den første kolonnen.

Undermenyen detaljer som åpnes, er oppkalt etter den ventende handlingen (for eksempel e-postmeldinger med myk sletting). Les informasjonen i undermenyen, og velg deretter én av følgende verdier:

  • Godkjenn.
  • Avvis.

Tips

Godkjenning og/eller avvisning av alle handlinger i undersøkelsen lukkes fullstendig ( statusverdien blir utbedret). Hvis du ikke godkjenner og/eller avviser alle handlinger i undersøkelsen, lukkes den ikke fullstendig ( statusverdien forblir delvis utbedret).

Du trenger ikke å godkjenne alle handlinger. Hvis du ikke er enig i den anbefalte handlingen eller organisasjonen ikke velger bestemte typer handlinger, kan du avvise handlingen eller ikke gjøre noe.

Loggfanen Ventende handlinger i undersøkelsesdetaljene

På detaljsiden for undersøkelse viser loggfanen Ventende handlinger ventende handlinger som ble fullført.

Du kan sortere oppføringene ved å klikke på en tilgjengelig kolonneoverskrift. Velg Tilpass kolonner for å endre kolonnene som vises. Som standard er alle tilgjengelige kolonner valgt:

  • Handlingstype
  • Ventetid
  • Enhet
  • Status
  • Håndtert av
  • Tid

Bruk Eksporter til å lagre den synlige informasjonen i en CSV-fil. Standard filnavn er AirActions.csv, og standardplasseringen er den lokale nedlastingsmappen. Hvis en eksportert rapport allerede finnes på denne plasseringen, økes filnavnet (for eksempel AirActions (1).csv).

Når du klikker på enhetsverdien i en rad, åpnes en undermeny for detaljer med følgende informasjon om e-postklyngen:

  • Detaljinndeling for e-postklynge
  • Trusselinndeling
  • Siste leveringsplasseringer-inndeling
  • Inndeling for opprinnelige leveringssteder

Følgende handlinger for e-postklyngen er også tilgjengelige i undermenyen:

  • Gå på jakt
  • Åpne i Explorer

Hvis du klikker hvor som helst i en annen rad enn avmerkingsboksen ved siden av den første kolonnen eller enhetsverdien , åpnes en undermeny for handlingsloggdetaljer som inneholder følgende informasjon:

  • Sammendragsinndeling :
    • Status
    • Opprett
    • Kjøringsstart
    • Beskrivelse

Visse typer varsler utløser automatisert undersøkelse i Microsoft 365. Hvis du vil ha mer informasjon, kan du se varslingspolicyer for trusselbehandling.

  1. Gå til Handlingssenter for handlinger & innsendinger> i Microsoft 365 Defender-portalenhttps://security.microsoft.com. Hvis du vil gå direkte til Handlingssenter-siden , kan du bruke https://security.microsoft.com/action-center/.
  2. Bruk fanene Venter eller LoggHandlingssenter-siden for å finne handlingen.
  3. Velg en handling fra tabellen ved å velge koblingen i kolonnen Undersøkelses-ID .

Undersøkelsesdetaljene åpnes.

Neste trinn