Udostępnij za pośrednictwem


Szczegóły i wyniki zautomatyzowanego badania na platformie Microsoft 365

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

W przypadku zautomatyzowanego badania w Ochrona usługi Office 365 w usłudze Microsoft Defender szczegółowe informacje o tym dochodzeniu są dostępne w trakcie i po zautomatyzowanym procesie badania. Jeśli masz niezbędne uprawnienia, możesz wyświetlić te szczegóły w portalu Microsoft Defender. Szczegóły badania zapewniają aktualny stan i możliwość zatwierdzania wszelkich oczekujących akcji.

Porada

Zapoznaj się z nową, ujednoliconą stroną badania w portalu Microsoft Defender. Aby dowiedzieć się więcej, zobacz (NOWY!) Ujednolicona strona badania.

Stan badania

Stan badania wskazuje postęp analizy i akcji. Po uruchomieniu badania stan zmienia się, aby wskazać, czy wykryto zagrożenia i czy akcje zostały zatwierdzone.

Stan Opis
Rozpoczynanie Badanie zostało wyzwolone i czeka na uruchomienie.
Uruchomienie Proces dochodzeniowy rozpoczął się i jest w toku. Ten stan występuje również wtedy, gdy oczekujące akcje zostaną zatwierdzone.
Nie znaleziono zagrożeń Badanie zostało zakończone i nie zidentyfikowano żadnych zagrożeń (konta użytkownika, wiadomości e-mail, adresu URL lub pliku).

PORADA: Jeśli podejrzewasz, że coś zostało pominięte (na przykład fałszywie ujemne), możesz podjąć działania za pomocą Eksploratora zagrożeń.

Częściowo zbadane Zautomatyzowane badanie wykryło problemy, ale nie ma konkretnych akcji korygowania w celu rozwiązania tych problemów.

Stan Częściowo zbadane może wystąpić, gdy określono jakiś typ działania użytkownika, ale nie są dostępne żadne akcje oczyszczania. Przykłady obejmują dowolne z następujących działań użytkownika:


Uwaga: ten częściowo zbadany stan był oznaczony jako Znaleziono zagrożenia.

W badaniu nie znaleziono złośliwych adresów URL, plików ani wiadomości e-mail do skorygowania i nie znaleziono działań skrzynki pocztowej do naprawienia, takich jak wyłączenie reguł przekazywania lub delegowanie.

PORADA: Jeśli podejrzewasz, że coś zostało pominięte (na przykład fałszywie ujemne), możesz zbadać i podjąć działania przy użyciu Eksploratora zagrożeń

Zakończone przez system Dochodzenie zostało zatrzymane. Dochodzenie można zatrzymać z kilku powodów:
  • Oczekujące akcje badania wygasły. Limit czasu oczekujących akcji po oczekiwaniu na zatwierdzenie na tydzień
  • Istnieje zbyt wiele akcji. Jeśli na przykład zbyt wielu użytkowników klika złośliwe adresy URL, może przekroczyć możliwość uruchomienia wszystkich analizatorów przez badanie, więc badanie zostanie wstrzymane

PORADA: Jeśli badanie zostanie zatrzymane przed podjęciem akcji, spróbuj użyć Eksploratora zagrożeń , aby znaleźć zagrożenia i rozwiązać je.
Akcja oczekująca Badanie wykryło zagrożenie, takie jak złośliwa wiadomość e-mail, złośliwy adres URL lub ryzykowne ustawienie skrzynki pocztowej, oraz akcja korygowania tego zagrożenia oczekuje na zatwierdzenie.

Stan Oczekująca akcja jest wyzwalany, gdy zostanie znalezione jakiekolwiek zagrożenie z odpowiednią akcją. Jednak lista oczekujących akcji może wzrosnąć w miarę uruchamiania badania. Wyświetl szczegóły badania, aby sprawdzić, czy inne elementy nadal oczekują na ukończenie.

Skorygowano Dochodzenie zostało zakończone i wszystkie akcje korygowania zostały zatwierdzone (zanotowane jako w pełni skorygowane).

UWAGA: Zatwierdzone akcje korygowania mogą mieć błędy, które uniemożliwiają wykonanie akcji. Niezależnie od tego, czy akcje korygowania zostały pomyślnie zakończone, stan badania nie ulega zmianie. Wyświetl szczegóły badania.

Częściowo skorygowane Badanie spowodowało akcje korygowania, a niektóre zostały zatwierdzone i zakończone. Inne akcje nadal oczekują.
Zakończone niepowodzeniem Co najmniej jeden analizator badania napotkał problem polegający na tym, że nie mógł prawidłowo ukończyć.

NUTA Jeśli badanie zakończy się niepowodzeniem po zatwierdzeniu akcji korygowania, akcje korygowania mogły zakończyć się pomyślnie. Wyświetl szczegóły badania.

W kolejce według ograniczania przepustowości Dochodzenie jest przechowywane w kolejce. Po zakończeniu innych badań rozpoczną się badania w kolejce. Ograniczanie przepustowości pomaga uniknąć niskiej wydajności usługi.

PORADA: Oczekujące akcje mogą ograniczyć liczbę nowych badań. Pamiętaj, aby zatwierdzić (lub odrzucić) oczekujące akcje.

Zakończone przez ograniczanie przepustowości Jeśli badanie jest przechowywane w kolejce zbyt długo, zatrzymuje się.

PORADA: Możesz rozpocząć badanie z poziomu Eksploratora zagrożeń.

Wyświetlanie szczegółów badania

  1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.
  2. W okienku nawigacji wybierz pozycję Akcje & przesłanych>Centrum akcji.
  3. Na kartach Oczekujące lub Historia wybierz akcję. Zostanie otwarte okienko wysuwane.
  4. W okienku wysuwanym wybierz pozycję Otwórz stronę badania.
  5. Użyj różnych kart, aby dowiedzieć się więcej o badaniu.

Niektóre rodzaje alertów wyzwalają automatyczne badanie w usłudze Microsoft 365. Aby dowiedzieć się więcej, zobacz zasady alertów, które wyzwalają zautomatyzowane badania.

  1. Przejdź do portalu Microsoft Defender (https://security.microsoft.com) i zaloguj się.
  2. W okienku nawigacji wybierz pozycję Centrum akcji.
  3. Na kartach Oczekujące lub Historia wybierz akcję. Zostanie otwarte okienko wysuwane.
  4. W okienku wysuwanym wybierz pozycję Otwórz stronę badania.
  5. Wybierz kartę Alerty , aby wyświetlić listę wszystkich alertów skojarzonych z tym badaniem.
  6. Wybierz element z listy, aby otworzyć okienko wysuwane. W tym miejscu możesz wyświetlić więcej informacji na temat alertu.

Należy pamiętać o następujących kwestiach

  • Email liczby są obliczane w czasie badania, a niektóre liczby są obliczane ponownie podczas otwierania wysuwanych badań (na podstawie zapytania bazowego).

  • Liczba wiadomości e-mail wyświetlanych dla klastrów poczty e-mail na karcie Email i wartość ilości wiadomości e-mail wyświetlana na wysuwu klastra są obliczane w czasie badania i nie ulegają zmianie.

  • Liczba wiadomości e-mail wyświetlanych w dolnej części karty Email wysuwanego klastra poczty e-mail oraz liczba wiadomości e-mail wyświetlanych w Eksploratorze odzwierciedlają wiadomości e-mail odebrane po wstępnej analizie badania.

    W związku z tym klaster poczty e-mail, który pokazuje oryginalną ilość 10 wiadomości e-mail, pokazuje listę wiadomości e-mail łącznie 15, gdy pojawi się jeszcze pięć wiadomości e-mail między fazą analizy badania a przeglądem badania przez administratora. Podobnie stare badania mogą zacząć pokazywać większą liczbę niż pokazują zapytania Eksploratora, ponieważ dane w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2 wygasają po siedmiu dniach w przypadku wersji próbnych i po 30 dniach płatnych licencji.

    Wyświetlanie zarówno liczby historycznych, jak i bieżących liczb w różnych widokach jest wykonywane w celu wskazania wpływu wiadomości e-mail w czasie badania i bieżącego wpływu aż do czasu uruchomienia korygowania.

  • W kontekście wiadomości e-mail w ramach badania może zostać wyświetlona powierzchnia zagrożenia anomalią woluminu. Anomalia woluminu wskazuje na wzrost liczby podobnych wiadomości e-mail w czasie zdarzenia badania w porównaniu do wcześniejszych ram czasowych. Wzrost ruchu poczty e-mail wraz z pewnymi cechami (na przykład domeną podmiotu i nadawcy, podobieństwem treści i adresem IP nadawcy) jest typowym początkiem kampanii e-mail lub ataków. Jednak zbiorcze, spamowe i uzasadnione kampanie e-mail często mają te cechy.

  • Anomalie woluminów stanowią potencjalne zagrożenie i w związku z tym mogą być mniej poważne w porównaniu do złośliwego oprogramowania lub zagrożeń phish, które są identyfikowane przy użyciu aparatów antywirusowych, detonacji lub złośliwej reputacji.

  • Nie musisz zatwierdzać każdej akcji. Jeśli nie zgadzasz się z zalecaną akcją lub twoja organizacja nie wybiera niektórych typów akcji, możesz wybrać opcję Odrzuć akcje lub po prostu je zignorować i nie podejmować żadnych działań.

  • Zatwierdzenie i/lub odrzucenie wszystkich akcji pozwala na całkowite zamknięcie badania (stan staje się korygowany), a pozostawienie niektórych akcji niekompletnych powoduje zmianę stanu badania na częściowo skorygowany stan.

Następne kroki