Dela via

Information och resultat av automatiserad undersökning och svar (AIR) i Microsoft Defender för Office 365 plan 2

Tips

Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

I Microsoft 365-organisationer med Microsoft Defender för Office 365 Plan 2 finns information om aktiva och slutförda undersökningar från automatiserad undersökning och svar (AIR) i Defender för Office 365 på sidan Undersökningar i Microsoft Defender portalen på https://security.microsoft.com/airinvestigation. Undersökningsinformation ger dig uppdaterad status och (med rätt behörigheter) möjlighet att godkänna eventuella väntande åtgärder.

Tips

AIR-information och resultat finns också i Microsoft Defender XDR på sidan Undersökningarhttps://security.microsoft.com/incidents. Mer information finns på sidan enhetlig undersökning.

Vad behöver jag veta innan jag börjar?

  • Information om behörigheter och licensieringskrav för AIR finns i Nödvändiga behörigheter och licensiering för AIR.

  • Email räknas vid tidpunkten för undersökningen. Vissa antal beräknas om när du öppnar utfällbara utfällbara undersökningar (baserat på den underliggande frågan).

    Följande värden för antal e-postmeddelanden beräknas vid tidpunkten för undersökningen och ändras inte:

    • Email kluster på fliken Email.
    • Värdet för e-postkvantitet som visas i den utfällbara menyn för e-postkluster.

    Följande värden för antal e-postmeddelanden återspeglar e-postmeddelanden som togs emot efter den första analysen av undersökningen:

    • Antalet e-postmeddelanden som visas längst ned på fliken Email i den utfällbara menyn för e-postkluster.

    • Antalet e-postmeddelanden som visas i Explorer (Threat Explorer)

      Ett e-postkluster som visar ett ursprungligt antal på 10 meddelanden visar till exempel en e-postlista på totalt 15 om ytterligare fem meddelanden tas emot mellan undersökningsanalysfasen och när en administratör granskar undersökningen. På samma sätt kan gamla undersökningar visa högre antal meddelanden än Hotutforskarens frågor, eftersom data i Microsoft Defender för Office 365 plan 2 upphör att gälla sju dagar efter slutet av en utvärderingsversion och 30 dagar senare för betalda licenser.

      Historiska och aktuella antal e-postmeddelanden visas i olika vyer för att ge följande information:

      • E-posteffekten vid tidpunkten för undersökningen.
      • Det aktuella e-postmeddelandet gäller fram till när reparationen körs.

  • För e-post kan du se ett hot om volymavvikelse som en del av undersökningen. En volymavvikelse anger en topp i liknande e-postmeddelanden runt undersökningshändelsetiden jämfört med tidigare tider. En topp i e-posttrafik tillsammans med likheter i vissa meddelandeegenskaper (till exempel ämne, meddelandetext, avsändardomän och avsändar-IP) anger vanligtvis början på e-postattacker. Men massutskick, skräppost och legitima e-postkampanjer delar ofta samma meddelandeegenskaper.

Undersökningar från AIR i Defender för Office 365 plan 2

I Defender-portalen på https://security.microsoft.comgår du till Email &samarbetsundersökningar>. Om du vill gå direkt till sidan Undersökningar använder du https://security.microsoft.com/airinvestigation.

Som standard visas undersökningsinformation från igår och i dag, men du kan ändra datumintervallet.

Följande information visas på sidan Undersökningar . Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade:

  • ID: Det unika ID:t för undersökningen. Välj Öppna i nytt fönster för att öppna information om undersökningen enligt beskrivningen i avsnittet Visa undersökningsinformation .
  • Status: De tillgängliga statusvärdena beskrivs i avsnittet Undersökningsstatusvärden .
  • Identifieringskälla: Det här värdet är alltid Office365.
  • Undersökning
  • Användare
  • Skapades
  • Senast ändrad tid
  • Antal hot
  • Antal åtgärder
  • Undersökningens varaktighet

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

  • Avsnitt om undersökningstyp : Välj ett eller flera av följande värden:
    • Manuell undersökning
    • Användarrapporterade meddelanden
    • Zapped-fil
    • Zapped URL
    • Ändring av URL-bedömning
    • Användaren har komprometterats
  • Avsnittet Tidsintervall : Välj Värden för Startdatum och Slutdatum . Data är tillgängliga för de senaste 72 dagarna.
  • Statusavsnitt : Välj ett eller flera av följande värden som beskrivs i avsnittet Undersökningsstatusvärden :
    • Startar
    • Kör
    • Inga hot hittades
    • Avslutad av system
    • Väntande åtgärd
    • Hot hittades
    • Åtgärdad
    • Delvis reparerad
    • Avslutad av användare
    • Misslyckades
    • Köad av begränsning
    • Avslutad av begränsning

När du är klar i den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Använd sökrutan för att hitta information på sidan. Skriv text i rutan och tryck sedan på RETUR.

Använd Exportera för att spara den synliga informationen i en CSV-fil. Standardfilnamnet är Undersökningar – Microsoft Defender.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel Undersökningar – Microsoft Defender (1).csv).

Statusvärden för undersökning

Statusvärdena för en undersökning visar förloppet för analysen och åtgärderna. När undersökningen körs uppdateras statusvärdet för att ange om hot hittades och om åtgärder har godkänts.

De statusvärden som används i undersökningar beskrivs i följande lista:

  • Misslyckades: Minst en undersökningsanalys stötte på ett problem där det inte kunde slutföras korrekt.

    Om en undersökning misslyckas efter att reparationsåtgärderna har godkänts kan reparationsåtgärderna fortfarande ha slutförts. Mer information finns i undersökningsinformationen.

  • Inga hot hittades: Undersökningen slutfördes och inga hot identifierades (komprometterade användarkonton, e-postmeddelanden, URL:er eller filer).

    Om du misstänker att något skadligt missades (ett falskt negativt) kan du vidta åtgärder med hjälp av Threat Explorer (Explorer).

  • Delvis undersökt ( kallades tidigare Hot hittades): Den automatiserade undersökningen hittade problem, men utan specifika åtgärder för att lösa problemen. Inträffar när någon typ av användaraktivitet identifierades, men inga rensningsåtgärder är tillgängliga. Exempel är någon av följande användaraktiviteter:

    • En händelse för dataförlustskydd (DLP).
    • Ett e-postmeddelande som skickar avvikelse.
    • Skickade skadlig kod.
    • Nätfiske har skickats.
    • Utredningen hittade inget att göra. Till exempel:
      • Inga skadliga URL:er, filer eller e-postmeddelanden att åtgärda.
      • Ingen postlådeaktivitet att åtgärda (till exempel inaktivera vidarebefordransregler eller delegering).

    Om du misstänker att något skadligt missades (ett falskt negativt) kan du vidta åtgärder med hjälp av Threat Explorer (Explorer).

  • Delvis åtgärdad: Undersökningen resulterade i reparationsåtgärder och vissa godkändes och slutfördes. Andra åtgärder väntar fortfarande på godkännande.

  • Väntande åtgärd: Undersökningen hittade ett hot (till exempel ett skadligt e-postmeddelande, en skadlig URL eller en riskfylld postlådeinställning) och en åtgärd för att åtgärda hotet väntar på godkännande.

    Listan över väntande åtgärder kan öka när en undersökning körs. Visa undersökningsinformationen för att se om andra objekt fortfarande väntar på att slutföras.

  • Köad av begränsning: En undersökning hålls i en kö. När andra undersökningar har slutförts påbörjas köade undersökningar. Begränsning hjälper till att undvika dåliga tjänstprestanda.

    Väntande åtgärder kan begränsa hur många nya undersökningar som kan köras. Se till att godkänna eller avvisa väntande åtgärder.

  • Åtgärdad: Undersökningen slutfördes och alla reparationsåtgärder godkändes (antecknades som helt reparerade).

    Godkända reparationsåtgärder kan ha fel som förhindrar att åtgärderna vidtas. Oavsett om reparationsåtgärderna har slutförts ändras inte undersökningsstatusen. Mer information finns i undersökningsinformationen.

  • Körs: Undersökningsprocessen pågår. Det här statusvärdet inträffar också när väntande åtgärder godkänns.

  • Startar: Undersökningen har utlösts och väntar på att börja köras.

  • Avslutad av system: Undersökningen stoppades. Till exempel:

    • Väntande åtgärder har upphört att gälla (är tillgängliga i högst en vecka).
    • För många åtgärder. För många användare som klickar på skadliga URL:er kan till exempel överskrida undersökningens möjlighet att köra alla analysverktyg, så undersökningen stoppas.

    Om en undersökning stoppas innan åtgärder vidtogs kan du försöka använda Threat Explorer (Explorer) för att hitta och åtgärda hot.

  • Avslutad med begränsning: En undersökning stoppas automatiskt när den har placerats i kö för länge.

    Du kan starta en undersökning från Threat Explorer (Explorer).

Visa undersökningsinformation från AIR i Defender för Office 365 plan 2

När du väljer Öppna i nytt fönster i kolumnen ID för en post på sidan Undersökningarhttps://security.microsoft.com/airinvestigationöppnas en ny sida med undersökningsinformationen.

Panelen på sidan är värdet Undersökning (namn) på sidan Undersökningar . Klickade till exempel på URL-omdömet ändrades till skadlig – <URL>.

Underrubriken på sidan innehåller ID och status för undersökningen. Undersökning #660b79 är till exempel slutförd – Åtgärdad.

Resten av informationssidan innehåller flera flikar som innehåller detaljerad information om undersökningen. Vissa flikar är gemensamma för alla undersökningar. Andra flikar är tillgängliga baserat på undersökningens art och status.

Flikarna beskrivs i följande underavsnitt.

Skärmbild av sidan med undersökningsinformation i Defender-portalen.

Fliken Undersökningsdiagram i undersökningsinformationen

På sidan undersökningsinformation är fliken Undersökningsdiagram standardfliken som visuellt representerar det aktuella tillståndet och resultatet av undersökningen.

På fliken Undersökningsdiagram innehåller fönstret Undersökningssammanfattning följande information:

  • Tidsradsavsnitt för undersökningsstatus :
    • Igång
    • Avslutat: Det här värdet finns bara för följande statusvärden :
      • Inga hot hittades
      • Delvis reparerad
      • Åtgärdad
      • Avslutas av systemet
      • Avslutas med begränsning
      • Avslutad av användare
      • Hot hittades
      • Misslyckades
    • Varaktighet
    • Total väntande tid: Det här värdet finns bara för undersökningar som hade väntande åtgärder som väntade på godkännande som slutligen godkändes eller upphörde att gälla.
  • Avsnitt om undersökningsinformation:
    • Status: Status för undersökningen. Om värdet är Inga hot hittades finns inga andra värden i avsnittet.
    • Allvarlighetsgrad för avisering: Värdet Låg, **Medel eller Hög.
    • Kategori: Aviseringskategorin.
    • Identifieringskälla: Vanligtvis är värdet MDO.

Diagramfönstret innehåller en visuell representation av elementen och aktiviteterna i undersökningen. Vissa element är gemensamma för alla undersökningar, medan andra är beroende av undersökningens art och framsteg.

  • Avisering mottagen: Visar relaterade aviseringar. Välj att gå till fliken Aviseringar för mer information.

  • Postlåda: Visar relaterade postlådor. Välj för att gå till fliken Postlådor för mer information.

  • Entiteter som analyserats: Visar antalet och typen av relaterade entiteter som analyserades under undersökningen. Till exempel:

    • URL:er
    • Email meddelanden
    • Filer
    • Email kluster, som kan innehålla antalet skadliga och antalet åtgärdade.

    Välj för att gå till fliken Entiteter för mer information.

  • Bevis: Visar antalet entiteter som hittats. Välj för att gå till fliken Bevis för mer information.

  • Väntar på godkännande: Visar hur länge systemet har väntat på att en administratör ska utföra den föreslagna manuella reparationsåtgärden (till exempel mjuk borttagning av ett e-postmeddelande). Välj att gå till fliken Väntande åtgärder för mer information.

    När en administratör utför åtgärden ersätts det här objektet av Väntar på användargodkännande.

  • Väntar på användargodkännande: Visar hur lång tid det tog för en administratör att utföra den föreslagna manuella reparationsåtgärden. Välj att gå till fliken Historik för väntande åtgärder om du vill ha mer information.

  • Resultat: Det här objektet är tillgängligt när undersökningen är klar och dupliceras på följande platser på sidan:

    • I mitten av diagrammet. Välj ikonen för att gå till fliken Logg .
    • I sidrubriken.
    • I fönstret Undersökningssammanfattning> avsnittet Undersökningsinformation, statusvärde>.

    Till exempel:

    • Åtgärdad

    • Avslutas av systemet:

    • Inga hot hittades

    • Delvis undersökt

      Vissa resultat kan kräva granskning. Använd flikarna Bevis och Entiteter för att manuellt undersöka och åtgärda eventuella problem.

    • Delvis reparerad

      Ett problem förhindrade reparation av vissa skadliga entiteter. Använd flikarna Bevis och Entiteter för att manuellt undersöka och åtgärda eventuella problem.

Skärmbild av fliken Undersökningsdiagram på sidan med undersökningsinformation.

Fliken Aviseringar i undersökningsinformationen

På sidan med undersökningsinformation visar fliken Aviseringar de aviseringar som är relaterade till undersökningen.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardkolumnerna är markerade med en asterisk *:

  • Aviseringsnamn*
  • Taggar*
  • Stränghet*
  • Incidentnamn*
  • Incident-ID*
  • Status*
  • Kategori*
  • Påverkade tillgångar
  • Användare*
  • Tjänstkälla*
  • Identifieringskälla
  • Undersökningstillstånd*
  • Senaste aktivitet*
  • Klassificering*
  • Beslutsamhet
  • Tilldelad till*

Om du klickar på värdet Aviseringsnamn på en rad kommer du till informationssidan för aviseringen. Den här informationssidan är samma som när du klickar på värdet Aviseringsnamn i motsvarande post på sidan Aviseringarhttps://security.microsoft.com/alerts. Mer information finns i Analysera en avisering.

Om du klickar någon annanstans på raden än värdet Aviseringsnamn eller kryssrutan bredvid den första kolumnen öppnas en utfälld informationsutfällning för aviseringen. Den här utfällbara menyn är samma som att klicka var som helst på raden, förutom värdet För aviseringsnamn eller kryssrutan bredvid den första kolumnen i motsvarande post på sidan Aviseringarhttps://security.microsoft.com/alerts.

Vilka åtgärder som är tillgängliga överst i den utfällbara menyn med aviseringsinformation beror på vilken typ av avisering som innehåller samma åtgärder som är tillgängliga i den utfällbara menyn med information om motsvarande avisering på sidan Aviseringarhttps://security.microsoft.com/alerts. Aviseringar med namnet Email meddelanden som innehåller skadlig URL som tagits bort efter leverans har till exempel följande åtgärder tillgängliga i den utfällbara menyn med aviseringsinformation:

  • Öppna aviseringssidan: Öppnar samma informationssida som när du klickar på värdet Aviseringsnamn för en post på sidan Aviseringarhttps://security.microsoft.com/alerts. Mer information finns i Analysera en avisering.

  • Hantera avisering: Öppnar utfällbara menyn Hantera aviseringar där du kan visa och ändra information om incidenten. Mer information finns i Hantera aviseringar.

  • Visa meddelanden i Explorer: Öppnar Utforskaren (Hotutforskaren) i vyn Alla e-postmeddelanden som filtrerats efter aviserings-ID. Mer information om vyn Alla e-postmeddelanden i Threat Explorer finns i Alla e-postvyer i Hotutforskaren.

  • Fler åtgärder>Länka avisering till en annan incident: I den utfällbara menyn Länka avisering till en annan incident som öppnas konfigurerar du följande alternativ:

    • Välj något av följande värden:
      • Skapa en ny incident
      • Länk till en befintlig incident: I rutan Incidentnamn eller ID som visas börjar du skriva ett värde för att hitta och välja den befintliga incidenten.
    • Kommentar: Ange en valfri kommentar.

    När du är klar med länkaviseringen till en annan incident väljer du Spara

  • Fler åtgärder>Finjustera avisering: Öppnar en utfälld tune-avisering . Mer information finns i Steg 3 och senare i Skapa regelvillkor för att justera aviseringar.

  • Fler åtgärder>Fråga Defender-experter. Öppnar en utfälld ask defender-expert . Mer information finns i Samarbeta med experter på begäran.

Fliken Postlådor i undersökningsinformationen

På sidan med undersökningsinformation är fliken Postlådor tillgänglig om några postlådor har inspekterats som en del av undersökningen.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade:

  • Användarnamn
  • Risknivå
  • Risk
  • Riskfyllda aktiviteter
  • Upn
  • Urna

Om du klickar någonstans på en annan rad än kryssrutan bredvid den första kolumnen öppnas en utfälld utfälld postlådeinformation med följande information:

  • Dom
  • Visningsnamn
  • Primär e-postadress
  • UPN
  • Objekt-ID
  • Risknivå
  • Risk

Välj Mer information om användaren för att öppna sidan Användarentitet i Microsoft Defender XDR. Mer information finns på sidan Användarentitet i Microsoft Defender XDR.

Fliken Bevis i undersökningsinformationen

På sidan med undersökningsinformation visar fliken Bevis de misstänkta entiteter som har analyserats och resultatet av analysen.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardkolumnerna är markerade med en asterisk *:

  • Först sett*
  • Enhet*
  • Dom*
  • Reparationsstatus*
  • Statusinformation
  • Påverkade tillgångar*
  • Identifierings ursprung*
  • Hot

Om du vill filtrera posterna väljer du Filtrera. Följande filter är tillgängliga i den utfällbara menyn Filter som öppnas:

  • Entitet: Ange en del av eller hela entitetsnamnet i rutan.
  • Bedömning: De värden du kan välja beror bedömningsvärdena på fliken.
  • Identifierings ursprung: De värden som du kan välja beror på ursprungsvärdena för identifiering på fliken.

När du är klar i den utfällbara menyn Filter väljer du Använd. Om du vill rensa filtren väljer du Rensa filter.

Om du klickar någonstans på en annan rad än kryssrutan bredvid den första kolumnen öppnas en utfälld utfälld information. Vad som är tillgängligt i den utfällbara menyn beror på typen av bevis (e-postmeddelande, fil, URL osv.).

Fliken Entiteter i undersökningsinformationen

På sidan med undersökningsinformation visar fliken Entiteter information om de olika typer av entiteter som påträffades och analyserades under undersökningen.

Skärmbild av fliken Entiteter på sidan med undersökningsinformation.

Fliken Entiteter ordnas efter ett vyvalsfönster (en sammanfattningsvy och en vy för varje entitetstyp) och en motsvarande informationstabell för den vyn:

  • Sammanfattningsvy för bevis : Det här är standardvyn.

    Du kan sortera posterna i informationstabellen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade:

    • Entitetstyp (du kan inte avmarkera det här värdet): Innehåller samma värden som visningsmarkeringsfönstret, beroende på incidenten. Till exempel:

      • Filer
      • URL:er
      • Email inlämningar
      • E-postmeddelanden
      • IP-adresser
      • Email kluster

      Följande kolumner visar antalet för varje entitetstyp (rad):

      • Totalt
      • Åtgärdad
      • Skadlig
      • Misstänksam
      • Verifierat
      • Inga hot hittades
      • Okänd
      • Hittades inte
      • Omediaterad
      • Delvis reparerad

    Om du klickar någonstans på en rad någon annanstans än kryssrutan bredvid kolumnen Entitetstyp kommer du till den relaterade vyn från urvalssidan (till exempel e-postmeddelanden).

  • Filvy : Du kan sortera posterna i informationstabellen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardkolumnerna är markerade med en asterisk *:

    • Dom*
    • Reparationsstatus*
    • Statusinformation
    • Filsökväg*
    • Filnamn* (du kan inte avmarkera det här värdet)
    • Apparat*

  • URL-vy : Du kan sortera posterna i informationstabellen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade:

    • Dom
    • Reparationsstatus
    • Adress (du kan inte avmarkera det här värdet)

    Om du klickar någonstans på en annan rad än kryssrutan bredvid den första kolumnen öppnas en utfälld utfälld information som innehåller följande information:

    • Ursprunglig URL
    • Identifieringsavsnitt
    • Avsnittet Domäninformation
    • Registrantens kontaktinformationsavsnitt
    • AVSNITTET URL-prevalens (senaste 30 dagarna)

    Följande åtgärder för URL:en är också tillgängliga i den utfällbara menyn:

    • Öppna URL-sida
    • Skicka för analys
    • Hantera indikator
    • Visa i Utforskaren
    • Gå på jakt

  • Email sändningsvy: Du kan sortera posterna i informationstabellen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade:

    • Dom
    • Reparationsstatus
    • Ämne
    • Avsändare
    • Mottagare
    • Rapporterad av
    • Rapporttyp

    Om du klickar någonstans på en annan rad än kryssrutan bredvid den första kolumnen öppnas en utfälld utfälld information som innehåller följande information:

    • avsnittet Email information om insändning

    Go-jaktåtgärden för e-postöverföringen är också tillgänglig i den utfällbara menyn.

  • E-postvy : Du kan sortera posterna i informationstabellen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade:

    • Dom
    • Reparationsstatus
    • Email mottaget datum (du kan inte avmarkera det här värdet)
    • Leveransstatus
    • Ämne
    • Avsändare
    • Mottagare

    Om du klickar någonstans på en annan rad än kryssrutan bredvid den första kolumnen öppnas en utfälld utfälld information som innehåller följande information:

    • Email informationsavsnitt

    Välj Mer information om e-post för att visa sidan Email entitet i Defender för XDR.

    Följande åtgärder för e-postmeddelandet är också tillgängliga i den utfällbara menyn:

    • Gå på jakt
    • Öppna i Utforskaren

  • Vyn IP-adresser: Du kan sortera posterna i informationstabellen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade:

    • Dom
    • Reparationsstatus
    • Adress (du kan inte avmarkera det här värdet)

    Om du klickar någonstans på en annan rad än kryssrutan bredvid den första kolumnen öppnas en utfälld utfälld information som innehåller följande information:

    • Avsnittet IP-information
    • Identifieringsavsnitt
    • AVSNITTET IP-adresser som observeras i organisationens enheter

    Följande åtgärder för IP-adresserna är också tillgängliga i den utfällbara menyn:

    • Öppna SIDAN IP-adress
    • Lägg till indikator
    • Öppna IP-inställningar för molnappen
    • Undersök i aktivitetsloggen
    • Gå på jakt

  • Email klustervy: Du kan sortera posterna i informationstabellen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade:

    • Dom
    • Reparationsstatus
    • Namn på e-postkluster (du kan inte avmarkera det här värdet)
    • Hot
    • Email antal
    • Skadlig kod
    • Nätfiske
    • Nätfiske med hög konfidens
    • Skräppost
    • Levereras
    • Skräppost
    • Ersatt
    • Blockeras
    • Brevlåda
    • Inte i postlådan
    • Lokalt/externt
    • Volymavvikelse

    Om du klickar någonstans på en annan rad än kryssrutan bredvid den första kolumnen öppnas en utfälld utfälld information som innehåller följande information:

    • avsnittet Email klusterinformation
    • Avsnittet Hot
    • Avsnittet Senaste leveransplatser
    • Avsnittet Ursprungliga leveransplatser

    Följande åtgärder för e-postklustret är också tillgängliga i den utfällbara menyn:

    • Gå på jakt
    • Öppna i Utforskaren

Loggfliken i undersökningsinformationen

På sidan med undersökningsinformation visar fliken Logg alla åtgärder som vidtogs under undersökningen.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardkolumnerna är markerade med en asterisk *:

  • ID
  • Åtgärdstyp
  • Handling*
  • Status*
  • Enhetsnamn*
  • Beskrivning*
  • Kommentarer
  • Skapad tid
  • Körningens starttid*
  • Varaktighet*
  • Väntande varaktighet
  • Köad varaktighet

Använd Exportera för att spara den synliga informationen i en CSV-fil. Standardfilnamnet är AirLogs.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel AirLogs (1).csv).

Om du klickar någonstans på en annan rad än kryssrutan bredvid den första kolumnen öppnas en utfälld sammanfattning som innehåller följande information:

  • Status
  • Skapa
  • Körningsstart
  • Varaktighet
  • Beskrivning

Tips

Om du vill se information om andra poster utan att lämna informationen utfälld använder du Föregående objekt och Nästa objekt överst i den utfällbara menyn.

Fliken Väntar på godkännande i undersökningsinformationen

På sidan undersökningsinformation visar fliken Väntande godkännande väntande åtgärder som väntar på att godkännandet ska slutföras (till exempel mjuk borttagning av meddelanden).

Fliken Väntar på godkännande ordnas av ett vyvalsfönster (en vy för varje åtgärdstyp) och en motsvarande informationstabell för den vyn:

  • E-postmeddelanden med mjuk borttagning: Du kan sortera posterna i informationstabellen genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Standardkolumnerna är markerade med en asterisk *:
    • Undersöknings-ID
    • Först sett
    • Information
    • Email antal
    • Skadlig kod
    • Nätfiske
    • Phish med hög konfidens
    • Skräppost
    • Levereras
    • Skräppost
    • Ersatt
    • Blockeras
    • Brevlåda
    • Inte i postlådan
    • Lokalt/externt
    • Brevlåda
    • Entitetstyp
    • Hottyp
    • Ämne

Använd Exportera för att spara den synliga informationen i en CSV-fil. Standardfilnamnet är AirActions.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel AirActions (1).csv).

Om du klickar någonstans på en annan rad än kryssrutan bredvid den första kolumnen öppnas en utfälld utfälld information som innehåller följande information:

  • avsnittet Email klusterinformation
    • Dom
    • Reparationsstatus
    • Email antal
    • Namn
    • Volymavvikelse
    • Frågetid
  • Avsnittet Hot :
    • Hot: Sammanfattar hoten i e-postklustret. Till exempel MaliciousUrl, HighConfPhish, Volume anomaly.
    • Antal för följande hottyper som finns i e-postklustret:
      • Skadlig kod
      • Nätfiske
      • Phish med hög konfidens
      • Skräppost
  • Senaste leveransplatsavsnittet : Antal för följande leveransplatser för meddelanden i e-postklustret:
    • Brevlåda
    • Inte i postlådan
    • Lokalt/externt
  • Avsnittet Ursprungliga leveransplatser : Antal för följande ursprungliga leveransplatser för meddelanden i e-postklustret:
    • Levereras
    • Skräppost
    • Ersatt
    • Blockeras

Följande åtgärder för e-postmeddelandena är också tillgängliga i den utfällbara menyn:

  • Gå på jakt
  • Öppna i Utforskaren

Godkänn och avvisa beskrivs i nästa underavsnitt.

Godkänn åtgärder på fliken Väntande godkännande i undersökningsinformationen

På fliken Väntar på godkännande på sidan undersökningsinformation markerar du en väntande åtgärd genom att klicka var som helst på raden förutom kryssrutan bredvid den första kolumnen.

Den utfällbara menyn med information som öppnas namnges efter den väntande åtgärden (till exempel e-post för mjuk borttagning). Läs informationen i den utfällbara menyn och välj sedan något av följande värden:

  • Godkänn.
  • Avvisa.

Tips

Om du godkänner och/eller avvisar alla åtgärder i undersökningen stängs den fullständigt ( statusvärdet blir Åtgärdat). Om du inte godkänner och/eller avvisar alla åtgärder i undersökningen stängs den inte helt ( statusvärdet förblir delvis åtgärdat).

Du behöver inte godkänna varje åtgärd. Om du inte håller med om den rekommenderade åtgärden eller om din organisation inte väljer vissa typer av åtgärder kan du avvisa åtgärden eller inte vidta någon åtgärd.

Fliken Historik för väntande åtgärder i undersökningsinformationen

På sidan undersökningsinformation visar fliken Historik för väntande åtgärder väntande åtgärder som har slutförts.

Du kan sortera posterna genom att klicka på en tillgänglig kolumnrubrik. Välj Anpassa kolumner för att ändra de kolumner som visas. Som standard är alla tillgängliga kolumner markerade:

  • Åtgärdstyp
  • Väntetid
  • Entitet
  • Status
  • Hanteras av
  • Tid

Använd Exportera för att spara den synliga informationen i en CSV-fil. Standardfilnamnet är AirActions.csv och standardplatsen är den lokala mappen Nedladdningar. Om det redan finns en exporterad rapport på den platsen ökas filnamnet (till exempel AirActions (1).csv).

Om du klickar på entitetsvärdet på en rad öppnas en utfälld information med följande information om e-postklustret:

  • avsnittet Email klusterinformation
  • Avsnittet Hot
  • Avsnittet Senaste leveransplatser
  • Avsnittet Ursprungliga leveransplatser

Följande åtgärder för e-postklustret är också tillgängliga i den utfällbara menyn:

  • Gå på jakt
  • Öppna i Utforskaren

Om du klickar någonstans på en annan rad än kryssrutan bredvid den första kolumnen, eller så öppnas en utfälld åtgärdshistorikinformation som innehåller följande information:

  • Sammanfattningsavsnitt :
    • Status
    • Skapa
    • Körningsstart
    • Beskrivning

Vissa typer av aviseringar utlöser automatisk undersökning i Microsoft 365. Mer information finns i Aviseringsprinciper för hothantering.

  1. I Microsoft 365 Defender-portalen går https://security.microsoft.comdu till Åtgärds- & inlämningar>Åtgärdscenter. Om du vill gå direkt till sidan Åtgärdscenter använder du https://security.microsoft.com/action-center/.
  2. På sidan Åtgärdscenter använder du flikarna Väntar eller Historik för att hitta åtgärden.
  3. Välj en åtgärd i tabellen genom att välja länken i kolumnen Undersöknings-ID .

Sidan med undersökningsinformation öppnas.

Nästa steg