通过

Microsoft Defender for Office 365计划 2 中 AIR) (自动调查和响应的详细信息和结果

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在具有Microsoft Defender for Office 365计划 2 的 Microsoft 365 组织中,有关自动调查和响应 (AIR) Defender for Office 365中的主动调查和已完成调查的详细信息,请参阅 中的“调查”页Microsoft Defender 门户。https://security.microsoft.com/airinvestigation 调查详细信息为你提供最新状态和 (,) 批准任何挂起的操作的能力。

提示

AIR 详细信息和结果也可在 Microsoft Defender XDR 的“调查”页上https://security.microsoft.com/incidents找到。 有关详细信息,请参阅 统一调查页

开始前,有必要了解什么?

  • 若要查看 AIR 的权限和许可要求,请参阅 AIR 所需的权限和许可

  • Email计数是在调查时计算的。 打开调查浮出控件时,会根据基础查询) (重新计算某些计数。

    以下电子邮件计数值是在调查时计算的,不会更改:

    • Email“Email”选项卡上的群集。
    • 电子邮件群集浮出控件上显示的电子邮件数量值。

    以下电子邮件计数值反映了在对调查进行初始分析后收到的电子邮件:

    • 电子邮件群集浮出控件的“Email”选项卡底部显示的电子邮件计数。

    • 资源管理器 (威胁资源管理器) 中显示的电子邮件计数

      例如,显示原始数量为 10 封邮件的电子邮件群集在调查分析阶段之间以及管理员评审调查时,如果还有 5 封邮件到达,则显示总共 15 封邮件的电子邮件列表。 同样,旧调查显示的消息计数可能高于威胁资源管理器查询,因为Microsoft Defender for Office 365计划 2 中的数据在试用结束后 7 天后过期,付费许可证在 30 天后过期。

      历史电子邮件计数和当前电子邮件计数显示在不同的视图中,以提供以下信息:

      • 调查时的电子邮件效果。
      • 当前电子邮件效果一直有效到修正运行时间。

  • 对于电子邮件,你可能会在调查过程中看到卷异常威胁。 卷异常表示与之前时间相比,调查事件时间的类似电子邮件出现峰值。 电子邮件流量激增以及某些邮件属性 (相似性,例如主题、邮件正文、发件人域和发件人 IP) 通常表示电子邮件攻击的开始。 但批量电子邮件、垃圾邮件和合法电子邮件活动通常共享这些相同的邮件属性。

AIR 在Defender for Office 365计划 2 的调查

在 Defender 门户中https://security.microsoft.com,转到Email &协作>调查。 或者,若要直接转到“ 调查 ”页,请使用 https://security.microsoft.com/airinvestigation

默认情况下,将显示昨天和今天的调查详细信息,但你可以更改日期范围。

调查 ”页上显示的以下信息。 可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列:

  • ID:调查的唯一 ID。 选择“在新窗口中打开以打开调查的详细信息,如查看调查详细信息部分中所述。
  • 状态:调查状态值部分介绍了可用的 状态值
  • 检测源:此值始终为 Office365
  • 调查
  • 用户
  • 迁移失败的邮箱数。
  • 上次更改时间
  • 威胁计数
  • 操作计数
  • 调查持续时间

若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:

  • 调查类型 部分:选择以下一个或多个值:
    • 手动调查
    • 用户报告的消息
    • Zapped 文件
    • 已复制的 URL
    • URL 判决更改
    • 用户已泄露
  • 时间范围 部分:选择 “开始日期 ”和“ 结束日期 值”。 数据在过去 72 天内可用。
  • “状态 ”部分:选择“ 调查状态 值”部分中所述的以下一个或多个值:
    • 即将开始
    • 正在运行
    • 未发现威胁
    • 已由系统终止
    • 挂起的操作
    • 发现威胁
    • 已修正
    • 部分修正
    • 由用户终止
    • 失败
    • 按限制排队
    • 被限制终止

完成 筛选器 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。

使用“ 搜索 ”框在页面上查找信息。 在框中键入文本,然后按 Enter 键。

使用 “导出 ”将可见信息保存到 CSV 文件。 默认文件名为“调查 - Microsoft Defender.csv”,默认位置为本地“下载”文件夹。 如果导出的报表已存在于该位置,则文件名将 (例如“调查 - Microsoft Defender (1) .csv) ”递增。

调查状态值

调查的 Status 值指示分析和操作的进度。 在调查运行时, “状态” 值会更新,以指示是否已找到威胁,以及是否已批准操作。

以下列表中介绍了调查中使用的 Status 值:

  • 失败:至少有一个调查分析器遇到无法正确完成的问题。

    如果在修正操作获得批准后调查失败,修正操作可能仍然成功。 有关详细信息, 请查看调查详细信息

  • 未发现威胁:调查已完成,未发现 (泄露的用户帐户、电子邮件、URL 或文件) 的威胁。

    如果怀疑误报) (漏掉了恶意内容,可以使用 威胁资源管理器 (资源管理器) 采取措施。

  • 部分调查 (以前称为) 发现的威胁 :自动调查发现了问题,但没有具体的修正操作来解决问题。 在标识了某种类型的用户活动,但没有可用的清理操作时发生。 示例包括以下任何用户活动:

    • 数据丢失 防护 (DLP) 事件。
    • 发送异常的电子邮件。
    • 已发送恶意软件。
    • 已发送钓鱼。
    • 调查发现无所事事。 例如:
      • 没有要修正的恶意 URL、文件或电子邮件。
      • 没有邮箱活动可以修复 (例如关闭转发规则或委派) 。

    如果怀疑误报) (漏掉了恶意内容,可以使用 威胁资源管理器 (资源管理器) 采取措施。

  • 部分修正:调查导致修正操作,有些已获批准并完成。 其他操作仍在 等待审批

  • 待处理操作:调查发现威胁 (,例如恶意电子邮件、恶意 URL 或风险邮箱设置) ,而修正威胁的操作正在 等待批准

    待处理操作的列表可能会随着调查运行而增加。 查看调查详细信息 ,查看其他项目是否仍在等待完成。

  • 按限制排队:调查正在队列中进行。 当其他调查完成时,排队调查将开始。 限制有助于避免服务性能不佳。

    挂起的操作可能会限制可以运行的新调查数。 请确保 批准或拒绝挂起的操作

  • 修正:调查已完成,所有修正操作均已批准, (指出) 已完全修正。

    批准的修正操作可能会有阻止执行操作的错误。 无论修正操作是否成功完成,调查状态都不会更改。 有关详细信息, 请查看调查详细信息

  • 正在运行:调查过程正在进行中。 批准 挂起的操作 时,也会发生此状态值。

  • 正在启动:调查已触发,正在等待开始运行。

  • 由系统终止:调查已停止。 例如:

    • 挂起的操作已过期 (最多一周) 可用。
    • 操作太多。 例如,太多用户单击恶意 URL 可能会超出调查运行所有分析器的能力,因此调查会停止。

    如果调查在采取措施之前停止,请尝试使用 威胁资源管理器 (资源管理器) 查找和解决威胁。

  • 被限制终止:调查在排队太长后自动停止,停止。

    可以从 威胁资源管理器 (资源管理器) 开始调查

查看 air in Defender for Office 365 Plan 2 的调查详细信息

“调查” 页上https://security.microsoft.com/airinvestigation条目的 ID 列中选择 “在新窗口中打开” 时,将打开一个包含调查详细信息的新页面。

页面的磁贴是“调查”页上的“调查 (名称) 值。 例如, 单击的 URL 判决更改为恶意 - <URL>

页面的副标题包含调查的 ID 和状态。 例如, 调查 #660b79 已完成 - 修正

详细信息页的其余部分包含多个选项卡,其中包含有关调查的详细信息。 某些选项卡对所有调查都是通用的。 其他选项卡根据调查的性质和状态可用。

以下小节介绍了选项卡。

Defender 门户中调查详细信息页的屏幕截图。

调查详细信息中的“调查图”选项卡

在调查详细信息页上,“ 调查图 ”选项卡是默认选项卡,它直观地表示调查的当前状态和结果。

在“ 调查图 ”选项卡上,“ 调查摘要 ”窗格包含以下详细信息:

  • 调查状态时间线 部分:
    • 开始
    • 已结束:此值仅适用于以下 Status 值:
      • 未发现威胁
      • 部分修正
      • 已修正
      • 由系统终止
      • 已通过限制终止
      • 由用户终止
      • 发现的威胁
      • 失败
    • Duration
    • 总待处理时间:此值仅适用于等待审批但最终已批准或过期的待处理操作的调查。
  • 调查详细信息 部分:
    • 状态:调查的状态。 如果值为 “未找到威胁”,则节中没有其他值。
    • 警报严重性:值 、**中或
    • 类别:警报类别。
    • 检测源:通常,该值MDO

图形窗格包含调查中的元素和活动的可视表示形式。 有些因素是所有调查共有的,而另一些则取决于调查的性质和进度。

  • 收到的警报:显示相关警报。 选择 以转到“ 警报 ”选项卡了解详细信息。

  • 邮箱:显示相关邮箱。 选择 以转到“ 邮箱 ”选项卡了解详细信息。

  • 分析的实体:显示调查期间分析的相关实体的数量和类型。 例如:

    • URL
    • 电子邮件
    • 文件
    • Email群集,其中可能包括恶意数量和修正数。

    选择 以转到“ 实体 ”选项卡,了解详细信息。

  • 证据:显示找到的实体数。 选择 以转到“ 证据 ”选项卡了解详细信息。

  • 待审批:显示系统等待管理员执行建议的手动修正操作的时间, (例如软删除电子邮件) 。 选择 以转到 “挂起的操作 ”选项卡了解详细信息。

    管理员执行操作后,此项将替换为 等待用户批准

  • 等待用户批准:显示管理员执行建议的手动修正操作所花费的时间。 选择 以转到 “挂起操作历史记录 ”选项卡了解详细信息。

  • 结果:此项在调查完成后可用,在页面上的以下位置重复:

    • 在图形的中心。 选择图标以转到“ 日志 ”选项卡。
    • 在页面标题中。
    • “调查摘要 ”窗格中,“ >调查详细信息 ”部分“ >状态 值”。

    例如:

    • 修正

    • 被系统终止

    • 未发现威胁

    • 部分调查

      某些发现可能需要审查。 使用“ 证据实体 ”选项卡可以手动调查和修正任何潜在问题。

    • 部分修正

      问题阻止了某些恶意实体的修正。 使用“ 证据实体 ”选项卡可以手动调查和修正任何潜在问题。

调查详细信息页的“调查图”选项卡的屏幕截图。

调查详细信息中的“警报”选项卡

在“调查详细信息”页上,“ 警报 ”选项卡显示与调查相关的警报。

可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。 默认列标有星号 *

  • 警报名称*
  • 标签*
  • 严厉*
  • 事件名称*
  • 事件 ID*
  • 地位*
  • 类别*
  • 受影响的资产
  • 用户*
  • 服务源*
  • 检测源
  • 调查状态*
  • 最后一个活动*
  • 分类*
  • 测定
  • 分配到*

单击一行中的 “警报名称 ”值会转到警报的详细信息页。 此详细信息页与在 的“警报”页上https://security.microsoft.com/alerts的相应条目中单击“警报名称”值相同。 有关详细信息,请参阅 分析警报

单击行中除“警报名称”值或第一列旁边的“检查”框以外的任何位置,将打开警报的详细信息浮出控件。 此详细信息浮出控件与单击“警报名称”值或“警报”页上https://security.microsoft.com/alerts相应条目第一列旁边的检查框以外的任何位置相同。

警报详细信息浮出控件顶部可用的操作取决于警报的性质,这些操作与 位于 的“ 警报 ”页上 https://security.microsoft.com/alerts相应警报的详细信息浮出控件中可用的操作相同。 例如,名为 的警报Email传递后删除了包含恶意 URL 的邮件,警报详细信息浮出控件中提供了以下操作:

  • 打开警报页:打开与单击“警报”页上某个条目的“警报名称”值时相同的详细信息页https://security.microsoft.com/alerts。 有关详细信息,请参阅 分析警报

  • 管理警报:打开 “管理警报 ”浮出控件,可在其中查看和修改有关事件的详细信息。 有关详细信息,请参阅 管理警报

  • 在资源管理器中查看邮件:打开按警报 ID 筛选的所有电子邮件视图中的资源管理器 (威胁资源管理器) 。 有关威胁资源管理器的所有 电子邮件 视图的详细信息,请参阅 威胁资源管理器中的所有电子邮件视图

  • 更多操作>将警报链接到另一个事件:在打开 的另一个事件 浮出控件链接警报中,配置以下选项:

    • 选择以下值之一:
      • 创建新事件
      • 链接到现有事件:在出现的 “事件名称或 ID ”框中,开始键入值以查找并选择现有事件。
    • 注释:输入可选注释。

    完成将警报链接到另一个事件浮出控件后,选择“保存

  • 更多操作>优化警报:打开 “优化警报” 浮出控件。 有关详细信息,请参阅 创建规则条件以优化警报中的步骤 3 及更高版本。

  • 更多操作>咨询 Defender 专家。 打开 “询问 Defender 专家” 浮出控件。 有关详细信息,请参阅 按需与专家协作

调查详细信息中的“邮箱”选项卡

在调查详细信息页上,如果已检查任何邮箱作为调查的一部分,则“ 邮箱 ”选项卡可用。

可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列:

  • Username
  • 风险级别
  • 风险
  • 有风险的活动
  • UPN

单击第一列旁边的检查框以外的任何位置,将打开包含以下信息的邮箱详细信息浮出控件:

  • 结论
  • 显示名称
  • 主电子邮件地址
  • UPN
  • 对象 ID
  • 风险级别
  • 风险

选择“有关用户的更多详细信息,以在 Microsoft Defender XDR 中打开“用户实体”页。 有关详细信息,请参阅 Microsoft Defender XDR 中的用户实体页

调查详细信息中的“证据”选项卡

在“调查详细信息”页上,“ 证据 ”选项卡显示已分析的可疑实体和分析结果。

可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。 默认列标有星号 *

  • 首次看到*
  • 实体*
  • 判决*
  • 修正状态*
  • 状态详细信息
  • 受影响的资产*
  • 检测源*
  • 威胁

若要筛选条目,请选择“ 筛选”。 打开的 “筛选器” 浮出控件中提供了以下筛选器:

  • 实体:在框中键入部分或全部实体名称。
  • 判决:可以选择的值取决于选项卡上的 “判决 ”值。
  • 检测源:可以选择的值取决于选项卡上的 “检测源 ”值。

完成 筛选器 浮出控件后,选择“ 应用”。 若要清除筛选器,请选择“ 清除筛选器”。

单击第一列旁边的检查框以外的任何位置,将打开详细信息浮出控件。 浮出控件中提供的内容取决于电子邮件、文件、URL 等 ) (证据的性质。

调查详细信息中的“实体”选项卡

在“调查详细信息”页上,“ 实体 ”选项卡显示有关调查期间遇到的和分析的不同类型的实体的详细信息。

调查详细信息页的“实体”选项卡的屏幕截图。

实体 ”选项卡按视图选择窗格进行组织, (摘要视图和每个实体类型的视图) 以及该视图的相应详细信息表:

  • 证据摘要 视图:这是默认视图。

    可以通过单击可用的列标题对详细信息表中的条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列:

    • 实体类型 (无法取消选择此值) :包含与视图选择窗格相同的值,具体取决于事件。 例如:

      • Files
      • URL
      • Email提交
      • 电子邮件
      • IP 地址
      • Email群集

      以下列显示每个实体类型 (行) 的计数:

      • Total
      • 已修正
      • 恶意
      • 可疑
      • 验证
      • 未发现威胁
      • Unknown
      • 未找到
      • 未修正
      • 部分修正

    单击“实体类型”列旁边的“检查”框以外的任意位置,即可从选择页转到相关视图 (例如“电子邮件) ”。

  • 文件 视图:可以通过单击可用的列标题对详细信息表中的条目进行排序。 选择“自定义列以更改显示的列。 默认列标有星号 *

    • 判决*
    • 修正状态*
    • 状态详细信息
    • 文件路径*
    • 文件名* (无法取消选择此值)
    • 装置*

  • URL 视图:可以通过单击可用的列标题对详细信息表中的条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列:

    • 结论
    • 修正状态
    • 解决 无法取消选择此值 ()

    单击第一列旁边的检查框以外的任何位置,将打开包含以下信息的详细信息浮出控件:

    • 原始 URL
    • “检测 ”部分
    • 域详细信息 部分
    • 注册联系人信息 部分
    • URL 流行 (最近 30 天) 部分

    浮出控件中还提供了 URL 的以下操作:

    • 打开 URL 页
    • 提交以供分析
    • 管理指示器
    • 在资源管理器中查看
    • 转到查寻

  • Email提交视图:可以通过单击可用的列标题对详细信息表中的条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列:

    • 结论
    • 修正状态
    • 主题
    • Sender
    • 收件人
    • 报告者
    • 报告类型

    单击第一列旁边的检查框以外的任何位置,将打开包含以下信息的详细信息浮出控件:

    • Email提交详细信息部分

    浮出控件中还提供了电子邮件提交的 Go 搜寻 操作。

  • 电子邮件 视图:可以通过单击可用的列标题对详细信息表中的条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列:

    • 结论
    • 修正状态
    • Email接收日期 (无法取消选择此值)
    • 传递状态
    • 主题
    • Sender
    • 收件人

    单击第一列旁边的检查框以外的任何位置,将打开包含以下信息的详细信息浮出控件:

    • Email详细信息部分

    选择“有关电子邮件的更多详细信息”,查看 Defender for XDR 中的Email实体页。

    浮出控件中还提供了电子邮件的以下操作:

    • 转到查寻
    • 在资源管理器中打开

  • IP 地址 视图:可以通过单击可用的列标题对详细信息表中的条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列:

    • 结论
    • 修正状态
    • 解决 无法取消选择此值 ()

    单击第一列旁边的检查框以外的任何位置,将打开包含以下信息的详细信息浮出控件:

    • IP 详细信息 部分
    • “检测 ”部分
    • 在组织设备部分观察到的 IP

    浮出控件中还提供了 IP 地址的以下操作:

    • 打开“IP 地址”页
    • 添加指示器
    • 打开云应用 IP 设置
    • 在活动日志中进行调查
    • 转到查寻

  • Email群集视图:可以通过单击可用的列标题对详细信息表中的条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列:

    • 结论
    • 修正状态
    • 邮件群集名称 (无法取消选择此值)
    • 威胁
    • 电子邮件数
    • 恶意软件
    • 网络钓鱼
    • 高置信度钓鱼
    • 垃圾邮件
    • 已送达
    • 垃圾
    • 取代
    • 阻止
    • Mailbox
    • 不在邮箱中
    • 本地/外部
    • 卷异常

    单击第一列旁边的检查框以外的任何位置,将打开包含以下信息的详细信息浮出控件:

    • Email群集详细信息部分
    • “威胁” 部分
    • “最新交付位置” 部分
    • 原始交付位置 部分

    浮出控件中还提供了电子邮件群集的以下操作:

    • 转到查寻
    • 在资源管理器中打开

调查详细信息中的“日志”选项卡

在“调查详细信息”页上,“ 日志 ”选项卡显示调查期间执行的所有操作。

可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。 默认列标有星号 *

  • ID
  • 操作类型
  • 行动*
  • 地位*
  • 设备名称*
  • Description*
  • 注释
  • 创建时间
  • 执行开始时间*
  • 期间*
  • 挂起持续时间
  • 排队持续时间

使用 “导出 ”将可见信息保存到 CSV 文件。 默认文件名为 AirLogs.csv,默认位置为本地“下载”文件夹。 如果导出的报表已存在于该位置,则文件名 (递增,例如,AirLogs (1) .csv) 。

单击第一列旁边的检查框以外的任何位置,将打开包含以下信息的摘要浮出控件:

  • 状态
  • 创建
  • 执行开始
  • Duration
  • 说明

提示

若要查看有关其他条目的详细信息而不离开详细信息浮出控件,请使用浮出控件顶部的“上一项”和“下一项”。

调查详细信息中的“待审批”选项卡

在调查详细信息页上,“ 等待审批 ”选项卡显示等待审批完成的挂起操作 (例如,软删除邮件) 。

挂起审批 ”选项卡由视图选择窗格组织, (每个操作类型的视图) 以及该视图的相应详细信息表:

  • 软删除电子邮件:可以通过单击可用的列标题对详细信息表中的条目进行排序。 选择“自定义列以更改显示的列。 默认列标有星号 *
    • 调查 ID
    • 首次看到
    • 详细信息
    • 电子邮件数
    • 恶意软件
    • 网络钓鱼
    • 高置信度钓鱼
    • 垃圾邮件
    • 已送达
    • 垃圾
    • 取代
    • 阻止
    • Mailbox
    • 不在邮箱中
    • 本地/外部
    • Mailbox
    • 实体类型
    • 威胁类型
    • 主题

使用 “导出 ”将可见信息保存到 CSV 文件。 默认文件名为 AirActions.csv,默认位置为本地“下载”文件夹。 如果导出的报表已存在于该位置,则文件名将递增 (例如 AirActions (1) .csv) 。

单击第一列旁边的检查框以外的任何位置,将打开包含以下信息的详细信息浮出控件:

  • Email群集详细信息部分
    • 结论
    • 修正状态
    • 电子邮件数
    • 名称
    • 卷异常
    • 查询时间
  • “威胁” 部分:
    • 威胁:汇总在电子邮件群集中找到的威胁。 例如,MaliciousUrl, HighConfPhish, Volume anomaly
    • 在电子邮件群集中找到的以下威胁类型的计数:
      • 恶意软件
      • 网络钓鱼
      • 高置信度钓鱼
      • 垃圾邮件
  • “最新传递位置 ”部分:电子邮件群集中邮件的以下传递位置的计数:
    • Mailbox
    • 不在邮箱中
    • 本地/外部
  • 原始传递位置 部分:电子邮件群集中邮件的以下原始传递位置的计数:
    • 已送达
    • 垃圾
    • 取代
    • 阻止

浮出控件中还提供了电子邮件的以下操作:

  • 转到查寻
  • 在资源管理器中打开

一小节将介绍批准和 拒绝

在调查详细信息中的“待审批”选项卡上批准操作

在调查详细信息页上的“挂起审批”选项卡上,单击第一列旁边的“检查”框以外的行中的任意位置,选择挂起的操作。

打开的详细信息浮出控件以挂起的操作命名, (例如 软删除电子邮件) 。 阅读浮出控件中的信息,然后选择以下值之一:

  • 批准
  • 拒绝

提示

批准和/或拒绝调查中的所有操作 (状态 值变为 修正) 完全关闭它。 未能批准和/或拒绝调查中的所有操作不会完全关闭它, (“状态” 值仍) 部分修正

无需批准每个操作。 如果你不同意建议的操作,或者你的组织没有选择某些类型的操作,你可以拒绝该操作或不采取任何操作。

调查详细信息中的“挂起操作历史记录”选项卡

在“调查详细信息”页上,“ 挂起的操作历史记录 ”选项卡显示已完成的挂起操作。

可以通过单击可用的列标题对条目进行排序。 选择“自定义列以更改显示的列。 默认情况下,选择所有可用列:

  • 操作类型
  • 等待时间
  • 实体
  • 状态
  • 处理者
  • Time

使用 “导出 ”将可见信息保存到 CSV 文件。 默认文件名为 AirActions.csv,默认位置为本地“下载”文件夹。 如果导出的报表已存在于该位置,则文件名将递增 (例如 AirActions (1) .csv) 。

单击行中的 “实体 ”值将打开一个详细信息浮出控件,其中包含有关电子邮件群集的以下信息:

  • Email群集详细信息部分
  • “威胁” 部分
  • “最新交付位置” 部分
  • 原始交付位置 部分

浮出控件中还提供了电子邮件群集的以下操作:

  • 转到查寻
  • 在资源管理器中打开

单击第一列旁边的“检查”框以外的任意位置或“实体”值,将打开包含以下信息的操作历史记录详细信息浮出控件:

  • 摘要 部分:
    • 状态
    • 创建
    • 执行开始
    • 说明

某些类型的警报会在 Microsoft 365 中触发自动调查。 若要了解详细信息,请参阅 威胁管理警报策略

  1. 在 Microsoft 365 Defender 门户中, https://security.microsoft.com转到 “操作 & 提交>操作中心”。 或者,若要直接转到 操作中心 页面,请使用 https://security.microsoft.com/action-center/
  2. “操作中心 ”页上,使用“ 挂起 ”或“ 历史记录 ”选项卡查找操作。
  3. 通过选择 “调查 ID ”列中的链接,从表中选择一个操作。

将打开 “调查详细信息”页

后续步骤