Поделиться через

Сведения и результаты автоматизированного исследования и реагирования (AIR) в Microsoft Defender для Office 365 план 2

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях Microsoft 365 с планом 2 Microsoft Defender для Office 365 сведения об активных и завершенных исследованиях с помощью автоматизированного исследования и реагирования (AIR) в Defender для Office 365 доступны на странице "Исследования" в Microsoft Defender портал по адресу https://security.microsoft.com/airinvestigation. Сведения о расследовании предоставляют вам актуальное состояние и (с соответствующими разрешениями) возможность утверждать любые ожидающие действия.

Совет

Сведения о AIR и результаты также доступны в Microsoft Defender XDR на странице Исследования по адресу https://security.microsoft.com/incidents. Дополнительные сведения см. на странице Унифицированное исследование.

Что нужно знать перед началом работы

  • Сведения о разрешениях и требованиях к лицензированию для AIR см. в статье Необходимые разрешения и лицензирование для AIR.

  • Email количество вычисляется во время исследования. Некоторые счетчики пересчитываются при открытии всплывающих элементов исследования (на основе базового запроса).

    Следующие значения числа сообщений электронной почты вычисляются во время исследования и не изменяются:

    • Email кластеры на вкладке Email.
    • Значение количества сообщений электронной почты, отображаемое во всплывающем меню кластеров электронной почты.

    Следующие значения счетчика электронной почты отражают сообщения электронной почты, полученные после первоначального анализа исследования:

    • Число сообщений электронной почты, отображаемое в нижней части вкладки Email всплывающего окна кластеров электронной почты.

    • Число сообщений электронной почты, отображаемое в Обозреватель (Обозреватель угроз)

      Например, в кластере электронной почты, где отображается исходное количество сообщений в 10 сообщений, список электронной почты составляет 15, если в период между этапом анализа исследования и когда администратор проверяет расследование, поступают еще пять сообщений. Аналогичным образом старые исследования могут показывать более высокое число сообщений, чем запросы Обозреватель угрозы, так как срок действия данных в Microsoft Defender для Office 365 плане 2 истекает через семь дней после окончания пробной версии и через 30 дней для платных лицензий.

      Исторические и текущие сообщения электронной почты отображаются в разных представлениях, чтобы получить следующие сведения:

      • Эффект электронной почты на момент исследования.
      • Текущий эффект электронной почты до запуска исправления.

  • Для электронной почты вы можете увидеть угрозу аномалии тома в рамках исследования. Аномалия тома указывает на всплеск аналогичных сообщений электронной почты по времени исследования по сравнению с предыдущим временем. Пик трафика электронной почты вместе с сходством определенных свойств сообщений (например, тема, текст сообщения, домен отправителя и IP-адрес отправителя) обычно указывает на начало атак электронной почты. Но массовая электронная почта, спам и допустимые кампании электронной почты обычно используют те же свойства сообщений.

Исследования с помощью AIR в Defender для Office 365 план 2

На портале Defender по адресу https://security.microsoft.comвыберите Email & исследования совместной работы>. Или, чтобы перейти непосредственно на страницу Исследования , используйте https://security.microsoft.com/airinvestigation.

По умолчанию отображаются сведения о расследовании вчера и сегодня, но вы можете изменить диапазон дат.

На странице Исследования отображаются следующие сведения. Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы:

  • Идентификатор: уникальный идентификатор исследования. Выберите Открыть в новом окне , чтобы открыть сведения о расследовании, как описано в разделе Просмотр сведений о расследовании .
  • Состояние. Доступные значения состояния описаны в разделе Значения состояния исследования .
  • Источник обнаружения. Это значение всегда равно Office365.
  • Исследование
  • пользователи;
  • Число почтовых ящиков, перенос которых завершился ошибкой.
  • Время последнего изменения
  • Число угроз
  • Количество действий
  • Продолжительность исследования

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

  • Раздел "Тип исследования ": выберите одно или несколько из следующих значений:
    • Исследование вручную
    • Сообщения, сообщаемые пользователем
    • Забитый файл
    • ЗАбитый URL-адрес
    • Изменение вердикта URL-адреса
    • Пользователь скомпрометирован
  • Раздел Диапазон времени. Выберите Значения начальной даты и даты окончания. Данные доступны за последние 72 дня.
  • Раздел Состояние. Выберите одно или несколько из следующих значений, описанных в разделе Значения состояния исследования:
    • Пусковой
    • Работает
    • Угрозы не найдены
    • Прервано системой
    • Ожидание выполнения действия
    • Обнаруженные угрозы
    • Исправлено
    • Частично исправлено
    • Завершено пользователем
    • Не удалось выполнить
    • Постановка в очередь по регулированию
    • Завершается регулированием

По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Используйте поле Поиск, чтобы найти сведения на странице. Введите текст в поле и нажмите клавишу ВВОД.

Используйте экспорт , чтобы сохранить видимую информацию в CSV-файл. По умолчанию используется имя файла Investigations — Microsoft Defender.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортируемый отчет уже существует в этом расположении, имя файла увеличивается (например, Расследования — Microsoft Defender (1).csv).

Значения состояния исследования

Значения Состояния исследования указывают на ход выполнения анализа и действий. По мере выполнения исследования значение Состояние обновляется, чтобы указать, были ли обнаружены угрозы и были ли утверждены действия.

Значения Состояния , используемые в исследованиях, описаны в следующем списке:

  • Сбой: по крайней мере один анализатор исследования столкнулся с проблемой, из-за которой ему не удавалось завершить работу должным образом.

    Если исследование завершается ошибкой после утверждения действий по исправлению, действия по исправлению могут по-прежнему успешно выполняться. Дополнительные сведения см. в сведениях о расследовании.

  • Угрозы не найдены. Расследование завершено и угрозы не были обнаружены (скомпрометированные учетные записи пользователей, сообщения электронной почты, URL-адреса или файлы).

    Если вы подозреваете, что что-то вредоносное было пропущено (ложноотрицательный), вы можете выполнить действия с помощью Обозреватель угроз (Обозреватель).

  • Частично изучено (ранее известное как обнаруженные угрозы): автоматическое исследование обнаружило проблемы, но без конкретных действий по исправлению проблем. Происходит, когда был определен какой-то тип действий пользователя, но действия по очистке недоступны. Примеры включают любые из следующих действий пользователя:

    • Событие защиты от потери данных (DLP).
    • Сообщение электронной почты, отправляющего аномалию.
    • Отправленная вредоносная программа.
    • Отправленный фишинг.
    • Расследование не нашло ничего общего. Например:
      • Нет вредоносных URL-адресов, файлов или сообщений электронной почты для исправления.
      • Действия почтового ящика для исправления (например, отключение правил переадресации или делегирования).

    Если вы подозреваете, что что-то вредоносное было пропущено (ложноотрицательный), вы можете выполнить действия с помощью Обозреватель угроз (Обозреватель).

  • Частично исправлено. Исследование привело к действиям по исправлению, а некоторые из нее были утверждены и завершены. Другие действия по-прежнему ожидают утверждения.

  • Ожидание действия. Исследование обнаружило угрозу (например, вредоносное сообщение электронной почты, вредоносный URL-адрес или параметр опасного почтового ящика), и действие по устранению угрозы ожидает утверждения.

    Список ожидающих действий может увеличиваться по мере выполнения исследования. Просмотрите сведения о расследовании , чтобы узнать, еще не завершены ли другие элементы.

  • В очереди по регулированию. Исследование проводится в очереди. После завершения других исследований начинаются исследования, помещенные в очередь. Регулирование помогает избежать низкой производительности службы.

    Ожидающие действия могут ограничить количество новых исследований. Не забудьте утвердить или отклонить ожидающие действия.

  • Исправлено: исследование завершено и все действия по исправлению были утверждены (отмечено как полностью исправленное).

    Утвержденные действия по исправлению могут содержать ошибки, которые препятствуют выполнению действий. Независимо от того, успешно ли выполнены действия по исправлению, состояние исследования не меняется. Дополнительные сведения см. в сведениях о расследовании.

  • Выполняется: выполняется процесс исследования. Это значение состояния также возникает при утверждении ожидающих действий .

  • Запуск: расследование сработало и ожидает запуска.

  • Завершено системой: расследование остановлено. Например:

    • Срок действия ожидающих действий истек (доступно не более одной недели).
    • Слишком много действий. Например, слишком много пользователей, щелкающих вредоносные URL-адреса, может превысить способность исследования запускать все анализаторы, поэтому расследование будет остановлено.

    Если расследование останавливается до выполнения действий, попробуйте использовать Обозреватель угроз (Обозреватель) для поиска и устранения угроз.

  • Завершено регулированием. Исследование автоматически останавливается после того, как оно слишком долго в очереди, оно останавливается.

    Исследование можно начать с Обозреватель угроз (Обозреватель).

Просмотр сведений о расследовании из AIR в Defender для Office 365 план 2

При нажатии кнопки Открыть в новом окне в столбце Идентификатор записи на странице Исследования по адресу https://security.microsoft.com/airinvestigationоткроется новая страница со сведениями о расследовании.

Плитка страницы — это значение "Исследование " (имя) на странице "Исследования ". Например, параметр Clicked URL Вердикт изменен на вредоносный — <URL-адрес>.

Подзаголовок страницы содержит идентификатор и состояние исследования. Например, #660b79 исследования завершен — исправлено.

Остальная часть страницы сведений содержит несколько вкладок, содержащих подробные сведения об исследовании. Некоторые вкладки являются общими для всех исследований. Другие вкладки доступны в зависимости от характера и состояния исследования.

Вкладки описаны в следующих подразделах.

Снимок экрана: страница сведений о расследовании на портале Defender.

Вкладка "График исследования" в сведениях о расследовании

На странице сведений об исследовании вкладка Граф исследования является вкладкой по умолчанию, которая визуально представляет текущее состояние и результаты исследования.

На вкладке Диаграмма исследования панель сводки исследования содержит следующие сведения:

  • Раздел временной строки состояния исследования :
    • Начатый
    • Завершено: это значение присутствует только для следующих значений Состояния :
      • Угрозы не найдены
      • Частично исправлено
      • Исправлено
      • Завершено системой
      • Прервано механизмом регулирования
      • Завершено пользователем
      • Обнаруженные угрозы
      • Не удалось выполнить
    • Duration
    • Общее время ожидания. Это значение присутствует только для расследований, в которых ожидались действия, ожидающие утверждения, которые в конечном итоге были утверждены или истекли.
  • Раздел сведений о расследовании:
    • Состояние: состояние исследования. Если значение равно Нет обнаруженных угроз, в разделе отсутствуют другие значения.
    • Серьезность оповещений: значение Low, **Medium или High.
    • Категория: категория оповещений.
    • Источник обнаружения. Как правило, значение равно MDO.

Панель графа содержит визуальное представление элементов и действий в исследовании. Некоторые элементы являются общими для всех расследований, а другие зависят от характера и хода расследования.

  • Получено оповещение: отображает связанные оповещения. Выберите , чтобы перейти на вкладку Оповещения для получения дополнительных сведений.

  • Почтовый ящик: отображает связанные почтовые ящики. Выберите , чтобы перейти на вкладку Почтовые ящики для получения дополнительных сведений.

  • Проанализированные сущности. Показывает количество и тип связанных сущностей, которые были проанализированы в ходе исследования. Например:

    • URL-адреса
    • Сообщения электронной почты.
    • Файлы
    • Email кластеров, которые могут включать количество вредоносных и количество исправленных.

    Выберите , чтобы перейти на вкладку Сущности для получения дополнительных сведений.

  • Свидетельство. Показывает количество найденных сущностей. Выберите , чтобы перейти на вкладку Доказательства для получения дополнительных сведений.

  • Ожидание утверждения. Показывает, как долго система ждала от администратора выполнения предлагаемого действия по исправлению вручную (например, обратимого удаления сообщения электронной почты). Выберите , чтобы перейти на вкладку Ожидающие действия для получения дополнительных сведений.

    После того как администратор выполняет действие, этот элемент заменяется на Waited for user approvaled.

  • Ожидание утверждения пользователем. Показывает, сколько времени потребовалось администратору для выполнения предлагаемого действия по исправлению вручную. Выберите , чтобы перейти на вкладку Журнал ожидающих действий для получения дополнительных сведений.

  • Результат. Этот элемент доступен после завершения исследования и дублируется в следующих местах на странице:

    • В центре графа. Щелкните значок, чтобы перейти на вкладку Журнал .
    • В заголовке страницы.
    • В области >Сводка исследованияв разделе Сведения орасследовании значение > состояния.

    Например:

    • Исправлено

    • Завершено системой:

    • Угрозы не найдены

    • Частично изучено

      Для некоторых выводов может потребоваться проверка. Используйте вкладки Доказательства и Сущности , чтобы вручную исследовать и устранять потенциальные проблемы.

    • Частично исправлено

      Проблема предотвратила исправление некоторых вредоносных сущностей. Используйте вкладки Доказательства и Сущности , чтобы вручную исследовать и устранять потенциальные проблемы.

Снимок экрана: вкладка

Вкладка "Оповещения" в сведениях о расследовании

На странице сведений об исследовании на вкладке Оповещения отображаются оповещения, связанные с расследованием.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Столбцы по умолчанию помечаются звездочкой *:

  • Имя оповещения*
  • Теги*
  • Суровость*
  • Имя инцидента*
  • Идентификатор инцидента*
  • Статус*
  • Категория*
  • Затронутые ресурсы
  • Пользователь*
  • Источник службы*
  • Источник обнаружения
  • Состояние исследования*
  • Последнее действие*
  • Классификация*
  • Решимость
  • Назначено*

Если щелкнуть значение Имя оповещения в строке, вы перейдете на страницу сведений для оповещения. Эта страница сведений аналогична щелчку по значению имя оповещения в соответствующей записи на странице Оповещения по адресу https://security.microsoft.com/alerts. Дополнительные сведения см. в разделе Анализ оповещения.

Если щелкнуть любое другое место в строке, кроме значения имени оповещения или поля проверка рядом с первым столбцом, откроется всплывающее окно сведений для оповещения. Этот всплывающий элемент сведений совпадает с щелчком в любом месте строки, кроме значения имени оповещения или поля проверка рядом с первым столбцом соответствующей записи на странице Оповещения по адресу https://security.microsoft.com/alerts.

Действия, доступные в верхней части всплывающего окна сведений об оповещении, зависят от характера оповещения, содержащего те же действия, которые доступны во всплывающем меню сведений соответствующего оповещения на странице Оповещения по адресу https://security.microsoft.com/alerts. Например, оповещения с именем Email сообщения, содержащие вредоносный URL-адрес, удаленные после доставки, имеют следующие действия, доступные во всплывающем меню сведений об оповещении:

  • Открыть страницу оповещений. Открывает ту же страницу сведений, что и при щелчке значения имени оповещения записи на странице Оповещения по адресу https://security.microsoft.com/alerts. Дополнительные сведения см. в разделе Анализ оповещения.

  • Управление оповещением. Открывает всплывающее окно Управление оповещением , где можно просматривать и изменять сведения об инциденте. Дополнительные сведения см. в разделе Управление оповещениями.

  • Просмотр сообщений в Обозреватель. Открывает Обозреватель (Обозреватель угрозы) в представлении Все сообщения электронной почты, отфильтрованном по идентификатору оповещения. Дополнительные сведения о представлении Все сообщения электронной почты Обозреватель угрозы см. в разделе Представление "Все сообщения электронной почты" в Обозреватель угроз.

  • Дополнительные действия>Оповещение о связывании с другим инцидентом. Во всплывающем окне Связывание оповещения с другим инцидентом , который откроется, настройте следующие параметры:

    • Выберите одно из следующих значений:
      • Создание нового инцидента
      • Ссылка на существующий инцидент. В появившемся поле Имя или идентификатор инцидента начните вводить значение, чтобы найти и выбрать существующий инцидент.
    • Примечание. Введите необязательный комментарий.

    Завершив работу с всплывающей кнопкой Связать оповещение с другим инцидентом , нажмите кнопку Сохранить.

  • Дополнительные действия>Настройка оповещений. Открывает всплывающее окно Настройка оповещения . Дополнительные сведения см. в разделе Шаг 3 и более поздние версии статьи Создание условий правила для настройки оповещений.

  • Дополнительные действия>Спросите экспертов Defender. Открывает всплывающий элемент Ask Defender Experts . Дополнительные сведения см. в статье Совместная работа с экспертами по запросу.

Вкладка "Почтовые ящики" в сведениях о расследовании

На странице сведений о расследовании вкладка Почтовые ящики доступна, если какие-либо почтовые ящики были проверены в рамках исследования.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы:

  • Username
  • Уровень риска
  • Риск
  • Рискованные действия
  • Upn
  • Урна

Если щелкнуть в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений о почтовом ящике со следующими сведениями:

  • Вывод
  • Отображаемое имя
  • Основной адрес электронной почты
  • Имя участника-пользователя
  • Идентификатор объекта
  • Уровень риска
  • Риск

Выберите Дополнительные сведения о пользователе, чтобы открыть страницу Сущность пользователя в Microsoft Defender XDR. Дополнительные сведения см. в разделе Страница сущности пользователя в Microsoft Defender XDR.

Вкладка "Доказательства" в сведениях о расследовании

На странице сведений о расследовании на вкладке Доказательства отображаются проанализированные подозрительные сущности и результаты анализа.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Столбцы по умолчанию помечаются звездочкой *:

  • Первый просмотр*
  • Сущность*
  • Вердикт*
  • Состояние исправления*
  • Сведения о состоянии
  • Затронутые ресурсы*
  • Источник обнаружения*
  • Threats

Чтобы отфильтровать записи, выберите Фильтр. В открываемом всплывающем окне Фильтр доступны следующие фильтры:

  • Сущность. Введите в поле имя или все имя сущности.
  • Вердикт. Значения, которые можно выбрать, зависят от значений Вердикта на вкладке .
  • Источник обнаружения. Значения, которые можно выбрать, зависят от значений источника обнаружения на вкладке .

По завершении во всплывающем окне Фильтр нажмите кнопку Применить. Чтобы очистить фильтры, выберите Очистить фильтры.

Если щелкнуть в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений. Доступные во всплывающем элементе зависят от характера доказательства (сообщение электронной почты, файл, URL-адрес и т. д.).

Вкладка "Сущности" в сведениях о расследовании

На странице сведений об исследовании на вкладке Сущности отображаются сведения о различных типах сущностей, которые были обнаружены и проанализированы во время исследования.

Снимок экрана: вкладка

Вкладка Сущности организована областью выбора представления (представление сводки и представление для каждого типа сущности) и соответствующей таблицей сведений для этого представления:

  • Представление сводки по доказательствам . Это представление по умолчанию.

    Вы можете отсортировать записи в таблице сведений, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы:

    • Тип сущности (вы не можете отменить выбор этого значения). Содержит те же значения, что и область выбора представления, в зависимости от инцидента. Например:

      • Файлы
      • URL-адреса
      • Email отправки
      • Сообщения электронной почты
      • IP-адреса.
      • кластеры Email

      В следующих столбцах показано количество для каждого типа сущности (строки):

      • Total
      • Исправлено
      • Злоумышленная
      • Подозрительный
      • Проверить
      • Угрозы не найдены
      • Unknown
      • Не найдено
      • Без посредника
      • Частично исправлено

    Если щелкнуть в любом месте строки, кроме поля проверка рядом со столбцом Тип сущности, вы перейдете к соответствующему представлению на странице выбора (например, Сообщения электронной почты).

  • Представление файлов . Вы можете отсортировать записи в таблице сведений, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Столбцы по умолчанию помечаются звездочкой *:

    • Вердикт*
    • Состояние исправления*
    • Сведения о состоянии
    • Путь к файлу*
    • Имя файла* (вы не можете отменить выбор этого значения)
    • Устройство*

  • Представление URL-адресов. Вы можете отсортировать записи в таблице сведений, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы:

    • Вывод
    • Состояние исправления
    • Адрес (вы не можете отменить выбор этого значения)

    Если щелкнуть в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений, содержащее следующие сведения:

    • Исходный URL-адрес
    • Раздел обнаружения
    • Раздел сведений о домене
    • Раздел контактных данных регистратора
    • Раздел распространенности URL-адресов (за последние 30 дней)

    Во всплывающем элементе также доступны следующие действия для URL-адреса:

    • Страница "Открыть URL-адрес"
    • Отправить на анализ
    • Управление индикатором
    • Просмотр в Обозреватель
    • Запуск слежения

  • представление Email отправки. Вы можете отсортировать записи в таблице сведений, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы:

    • Вывод
    • Состояние исправления
    • Тема
    • Sender
    • Получатель
    • Reported by (Сообщил)
    • Тип отчета

    Если щелкнуть в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений, содержащее следующие сведения:

    • раздел сведений об отправке Email

    Действие Go hunt для отправки электронной почты также доступно во всплывающем элементе.

  • Представление электронной почты. Вы можете отсортировать записи в таблице сведений, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы:

    • Вывод
    • Состояние исправления
    • Email дата получения (отменить выбор этого значения нельзя)
    • Состояние доставки
    • Тема
    • Sender
    • Получатель

    Если щелкнуть в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений, содержащее следующие сведения:

    • раздел сведений о Email

    Выберите Дополнительные сведения об электронной почте, чтобы просмотреть страницу сущности Email в Defender для XDR.

    Во всплывающем элементе также доступны следующие действия для сообщения электронной почты:

    • Запуск слежения
    • Открыть в Обозреватель

  • Представление IP-адресов. Вы можете отсортировать записи в таблице сведений, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы:

    • Вывод
    • Состояние исправления
    • Адрес (вы не можете отменить выбор этого значения)

    Если щелкнуть в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений, содержащее следующие сведения:

    • Раздел сведений об IP-адресе
    • Раздел обнаружения
    • Ip-адрес, наблюдаемый на устройствах организации

    Во всплывающем меню также доступны следующие действия для IP-адресов:

    • Страница "Открыть IP-адрес"
    • Добавление индикатора
    • Параметры IP-адреса открытого облачного приложения
    • Исследование в журнале действий
    • Запуск слежения

  • представление кластеров Email. Вы можете отсортировать записи в таблице сведений, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы:

    • Вывод
    • Состояние исправления
    • Имя почтового кластера (это значение нельзя отменить)
    • Threats
    • Количество сообщений электронной почты
    • Вредоносная программа
    • Фишинг
    • Фишинг с высокой достоверностью
    • Спам
    • Доставлено
    • Нежелательное
    • Заменить
    • Заблокировано
    • Mailbox
    • Нет в почтовом ящике
    • Локальный/внешний
    • Аномалия тома

    Если щелкнуть в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений, содержащее следующие сведения:

    • Раздел сведений о кластере Email
    • Раздел "Угрозы"
    • Раздел "Последние расположения доставки"
    • Раздел "Исходные расположения доставки"

    Во всплывающем меню также доступны следующие действия для кластера электронной почты:

    • Запуск слежения
    • Открыть в Обозреватель

Вкладка "Журнал" в сведениях о расследовании

На странице сведений о расследовании на вкладке Журнал отображаются все действия, выполненные во время исследования.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Столбцы по умолчанию помечаются звездочкой *:

  • ID
  • Action type
  • Действие*
  • Статус*
  • Имя устройства*
  • Description*
  • Комментарии
  • Время создания
  • Время начала выполнения*
  • Длительность*
  • Ожидание длительности
  • Длительность постановки в очередь

Используйте экспорт , чтобы сохранить видимую информацию в CSV-файл. Имя файла по умолчанию — AirLogs.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортируемый отчет уже существует в этом расположении, имя файла увеличивается (например, AirLogs (1).csv).

Если щелкнуть в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сводки, содержащее следующие сведения:

  • Состояние
  • Создание
  • Запуск выполнения
  • Duration
  • Описание

Совет

Чтобы просмотреть сведения о других записях, не выходя из всплывающего меню сведений, используйте предыдущий элемент и следующий элемент в верхней части всплывающего окна.

Вкладка "Ожидание утверждения" в сведениях о расследовании

На странице сведений о расследовании на вкладке Ожидание утверждения отображаются ожидающие действия, ожидающие завершения утверждения (например, обратимое удаление сообщений).

Вкладка Ожидание утверждения организована областью выбора представления (представлением для каждого типа действия) и соответствующей таблицей сведений для этого представления:

  • Обратимое удаление сообщений электронной почты. Вы можете отсортировать записи в таблице сведений, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. Столбцы по умолчанию помечаются звездочкой *:
    • Идентификатор исследования
    • Первый просмотр
    • Сведения
    • Количество сообщений электронной почты
    • Вредоносная программа
    • Фишинг
    • Фишинг с высокой достоверностью
    • Спам
    • Доставлено
    • Нежелательное
    • Заменить
    • Заблокировано
    • Mailbox
    • Нет в почтовом ящике
    • Локальный/внешний
    • Mailbox
    • Тип сущности
    • Тип угрозы
    • Тема

Используйте экспорт , чтобы сохранить видимую информацию в CSV-файл. Имя файла по умолчанию — AirActions.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортируемый отчет уже существует в этом расположении, имя файла увеличивается (например, AirActions (1).csv).

Если щелкнуть в любом месте строки, кроме поля проверка рядом с первым столбцом, откроется всплывающее окно сведений, содержащее следующие сведения:

  • Раздел сведений о кластере Email
    • Вывод
    • Состояние исправления
    • Количество сообщений электронной почты
    • Название
    • Аномалия тома
    • Время запроса
  • Раздел "Угрозы ":
    • Угрозы: суммирует угрозы, обнаруженные в кластере электронной почты. Например, MaliciousUrl, HighConfPhish, Volume anomaly.
    • Подсчитывает следующие типы угроз, обнаруженные в кластере электронной почты:
      • Вредоносная программа
      • Фишинг
      • Фишинг с высокой достоверностью
      • Спам
  • Раздел "Последнее расположение доставки": число следующих расположений доставки сообщений в кластере электронной почты:
    • Mailbox
    • Нет в почтовом ящике
    • Локальный/внешний
  • Раздел Исходные расположения доставки. Подсчитывается для следующих исходных расположений доставки сообщений в кластере электронной почты:
    • Доставлено
    • Нежелательное
    • Заменить
    • Заблокировано

Во всплывающем меню также доступны следующие действия для сообщений электронной почты:

  • Запуск слежения
  • Открыть в Обозреватель

Утверждение и отклонение описаны в следующем подразделе.

Утверждение действий на вкладке Ожидание утверждения в сведениях о расследовании

На вкладке Ожидание утверждения на странице сведений о расследовании выберите ожидающее действие, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом.

Открывающееся всплывающее окно сведений называется в честь ожидающего действия (например, обратимое удаление сообщений электронной почты). Прочтите сведения во всплывающем элементе и выберите одно из следующих значений:

  • Утвердить.
  • Отклонить.

Совет

Утверждение и (или) отклонение всех действий в исследовании полностью закрывает его (значение Состояние становится Исправлено). Если не утвердить и(или) отклонить все действия в исследовании, оно не закрывается полностью (значение Состояние остается частично исправленным).

Вам не нужно утверждать каждое действие. Если вы не согласны с рекомендуемыми действиями или ваша организация не выбирает определенные типы действий, вы можете отклонить действие или не предпринимать никаких действий.

Вкладка "Журнал ожидающих действий" в сведениях о расследовании

На странице сведений о расследовании на вкладке Журнал ожидающих действий отображаются отложенные действия, которые были завершены.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца. Выберите Настроить столбцы , чтобы изменить отображаемые столбцы. По умолчанию выбираются все доступные столбцы:

  • Action type
  • Время ожидания
  • Объект
  • Состояние
  • Обрабатывается
  • Time

Используйте экспорт , чтобы сохранить видимую информацию в CSV-файл. Имя файла по умолчанию — AirActions.csv, а расположением по умолчанию является локальная папка Загрузки. Если экспортируемый отчет уже существует в этом расположении, имя файла увеличивается (например, AirActions (1).csv).

Если щелкнуть значение Сущности в строке, откроется всплывающее окно сведений со следующими сведениями о кластере электронной почты:

  • Раздел сведений о кластере Email
  • Раздел "Угрозы"
  • Раздел "Последние расположения доставки"
  • Раздел "Исходные расположения доставки"

Во всплывающем меню также доступны следующие действия для кластера электронной почты:

  • Запуск слежения
  • Открыть в Обозреватель

Если щелкнуть в любом месте строки, кроме поля проверка рядом с первым столбцом или значением Entity, откроется всплывающее окно со сведениями журнала действий, которое содержит следующие сведения:

  • Раздел сводки :
    • Состояние
    • Создание
    • Запуск выполнения
    • Описание

Некоторые типы оповещений запускают автоматическое исследование в Microsoft 365. Дополнительные сведения см. в статье Политики оповещений управления угрозами.

  1. На портале Microsoft 365 Defender перейдите https://security.microsoft.comв раздел Действия & центр уведомлений отправки>. Или, чтобы перейти непосредственно на страницу Центра уведомлений , используйте https://security.microsoft.com/action-center/.
  2. На странице Центра уведомлений используйте вкладки Ожидание или Журнал , чтобы найти действие.
  3. Выберите действие из таблицы, щелкнув ссылку в столбце Идентификатор исследования .

Откроется страница сведений о расследовании .

Дальнейшие действия