Microsoft 365 中自动调查的详细信息和结果

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

Microsoft Defender for Office 365中发生自动调查时,有关该调查的详细信息在自动调查过程期间和之后可用。 如果具有必要的权限,可以在Microsoft Defender门户中查看这些详细信息。 调查详细信息为你提供最新状态,以及批准任何挂起的操作的能力。

提示

在Microsoft Defender门户中查看新的统一调查页。 若要了解详细信息,请参阅 (NEW!) 统一调查页

调查状态

调查状态指示分析和操作的进度。 随着调查的运行,状态会发生变化,以指示是否已找到威胁以及操作是否已获得批准。

状态 说明
即将开始 调查已触发,并等待开始运行。
正在运行 调查进程已经开始,目前正在进行中。 批准 挂起的操作 时也会发生此状态。
未发现威胁 调查已完成,未发现 (用户帐户、电子邮件、URL 或文件) 的威胁。

提示:如果怀疑 (漏掉了某些内容,例如误报) ,可以使用 威胁资源管理器采取措施。

部分调查 自动调查发现了问题,但没有具体的修正操作来解决这些问题。

如果已识别某些类型的用户活动,但没有可用的清理操作,则可能会出现 “部分调查 ”状态。 示例包括以下任何用户活动:

  • 数据丢失防护事件
  • 发送异常的电子邮件
  • 已发送恶意软件
  • 已发送网络钓鱼

注意:此 “部分调查” 状态过去标记为“ 已发现威胁”。

调查未发现要修正的恶意 URL、文件或电子邮件,也没有要修复的邮箱活动,例如关闭转发规则或委派。

提示:如果怀疑 (漏掉了某些内容,例如误报) ,可以使用威胁资源管理器进行调查并采取措施

由系统终止 调查停止了。 调查可能会因以下几个原因而停止:
  • 调查的待处理操作已过期。 等待审批一周后挂起的操作超时
  • 操作太多。 例如,如果单击恶意 URL 的用户过多,则可能超出调查运行所有分析器的能力,因此调查停止

提示:如果在执行操作之前调查停止,请尝试使用 威胁资源管理器 查找和解决威胁。
挂起的操作 调查发现了威胁,例如恶意电子邮件、恶意 URL 或风险邮箱设置,以及正在 等待批准以修正该威胁的操作。

当发现具有相应操作的任何威胁时,将触发 “挂起 的操作”状态。 但是,挂起操作的列表可能会随着调查运行而增加。 查看调查详细信息,查看其他项目是否仍在等待完成。

已修正 调查已完成,所有补救行动均获得批准, (指出) 已得到充分修正。

注意:批准的修正操作可能会有阻止执行操作的错误。 无论修正操作是否成功完成,调查状态都不会更改。 查看调查详细信息。

部分修正 调查导致采取补救行动,其中一些已获批准并完成。 其他操作仍处于 挂起状态
失败 至少有一个调查分析器遇到无法正确完成的问题。

注意 如果在修正操作获得批准后调查失败,修正操作可能仍然成功。 查看调查详细信息。

按限制排队 调查正在队列中进行。 当其他调查完成时,排队调查将开始。 限制有助于避免服务性能不佳。

提示:挂起的操作可能会限制可以运行的新调查数。 请确保 批准 (或拒绝) 挂起的操作

被限制终止 如果调查在队列中进行的时间过长,它将停止。

提示:可以从 威胁资源管理器开始调查

查看调查的详细信息

  1. 转到Microsoft Defender门户 (https://security.microsoft.com) 并登录。
  2. 在导航窗格中,选择 “操作 & 提交>操作中心”。
  3. 在“ 挂起 ”或“ 历史记录 ”选项卡上,选择一个操作。 此时会打开其浮出控件窗格。
  4. 在浮出控件窗格中,选择“ 打开调查页”。
  5. 使用各种选项卡了解有关调查的详细信息。

某些类型的警报会在 Microsoft 365 中触发自动调查。 若要了解详细信息,请参阅 触发自动调查的警报策略

  1. 转到Microsoft Defender门户 (https://security.microsoft.com) 并登录。
  2. 在导航窗格中,选择“ 操作中心”。
  3. 在“ 挂起 ”或“ 历史记录 ”选项卡上,选择一个操作。 此时会打开其浮出控件窗格。
  4. 在浮出控件窗格中,选择“ 打开调查页”。
  5. 选择“ 警报 ”选项卡,查看与该调查关联的所有警报的列表。
  6. 在列表中选择一个项目以打开其浮出控件窗格。 可以在那里查看有关警报的详细信息。

请记住以下几点

  • Email计数是在调查时计算的,在基于基础查询) 打开调查浮出控件 (时,会重新计算某些计数。

  • Email”选项卡上的电子邮件群集显示的电子邮件计数和群集浮出控件上显示的电子邮件数量值在调查时计算,不会更改。

  • 电子邮件群集浮出控件的“Email”选项卡底部显示的电子邮件计数和资源管理器中显示的电子邮件计数反映了在调查初始分析后收到的电子邮件。

    因此,显示原始数量为 10 封电子邮件的电子邮件群集将显示总共 15 个的电子邮件列表,当另外五封电子邮件到达调查阶段和管理员查看调查时。 同样,旧调查可能开始显示比资源管理器查询显示的更高的计数,因为Microsoft Defender for Office 365计划 2 中的数据在 7 天后过期,对于付费许可证,30 天后过期。

    在不同视图中同时显示历史记录计数和当前计数,以指示调查时的电子邮件影响,以及运行修正前的当前影响。

  • 在电子邮件上下文中,你可能会在调查过程中看到卷异常威胁面。 与以前的时间范围相比,卷异常指示在调查事件时间前后出现类似电子邮件的峰值。 电子邮件流量激增以及某些特征 (例如主题和发件人域、正文相似性以及发件人 IP) 是电子邮件活动或攻击的开始的典型特征。 但是,批量、垃圾邮件和合法电子邮件活动通常具有这些特征。

  • 与使用防病毒引擎、引爆或恶意信誉识别的恶意软件或网络钓鱼威胁相比,卷异常表示潜在的威胁,因此可能不那么严重。

  • 不必批准每个操作。 如果你不同意建议的操作,或者你的组织没有选择某些类型的操作,则可以选择 拒绝 操作,或者直接忽略这些操作,而不采取任何操作。

  • 批准和/或拒绝所有操作可使调查完全关闭 (状态变为修正) ,同时使某些操作不完整导致调查状态更改为部分修正状态。

后续步骤