適用於 Office 365 的 Microsoft Defender 方案 2 中 AIR) 自動化調查和回應 (詳細數據和結果

• 適用於:

  ✅ Microsoft Defender for Office 365 Plan 2

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

在Microsoft 365 個具有 適用於 Office 365 的 Microsoft Defender 方案 2 的組織中，如需來自自動化調查和回應 (AIR) 適用於 Office 365 的 Defender 中作用中和已完成調查的詳細數據，請參閱 中的 [調查] 頁面。Microsoft Defender 入口網站，https://security.microsoft.com/airinvestigation 調查詳細數據為您提供最新的狀態，並 (正確的許可權) 核准任何擱置動作的能力。

提示

AIR 詳細數據和結果也可在 [調查] 頁面的 [Microsoft Defender 全面偵測回應 中取得。https://security.microsoft.com/incidents 如需詳細資訊，請參閱 整合調查頁面。

開始之前有哪些須知？

• 若要查看 AIR 的許可權和授權需求，請參閱 AIR 的必要許可權和授權。

• Email 在調查時計算計數。 當您根據基礎查詢) 開啟調查飛出視窗 (時，會重新計算某些計數。

  下列電子郵件計數值會在調查時計算，且不會變更：

  • 在 [Email] 索引卷標上 Email 叢集。
  • 電子郵件叢集飛出視窗上顯示的電子郵件數量值。

  下列電子郵件計數值會反映在調查初始分析之後收到的電子郵件訊息：

  • 電子郵件叢集飛出視窗的 [Email] 索引卷標底部顯示的電子郵件計數。

  • [總管] ([威脅總管]) 中顯示的電子郵件計數

    例如，如果調查分析階段和系統管理員檢閱調查時有五封郵件抵達，則顯示原始 10 則郵件數量的電子郵件叢集會顯示總計 15 封電子郵件清單。 同樣地，舊調查可能會顯示比威脅總管查詢更高的訊息計數，因為 適用於 Office 365 的 Microsoft Defender 方案 2 中的數據會在試用期結束后 7 天到期，而付費授權會在 30 天后到期。

    歷程記錄和目前的電子郵件訊息計數會顯示在不同的檢視中，以提供下列資訊：

    • 調查時的電子郵件效果。
    • 目前的電子郵件會在執行補救時生效。

• 針對電子郵件，您可能會在調查過程中看到大量異常威脅。 磁碟區異常表示相較於先前時間，調查事件時間前後的類似電子郵件訊息突然增加。 電子郵件流量的尖峰，以及某些訊息屬性的相似性， (例如，主旨、郵件本文、發件者網域和發件者IP) 通常表示電子郵件攻擊的開始。 但大量電子郵件、垃圾郵件和合法的電子郵件活動通常會共用這些相同的郵件屬性。

計劃 2 中的 AIR 調查 適用於 Office 365 的 Defender

在 Defender 入口網站中https://security.microsoft.com，移至 Email & 共同作業>調查]。 或者，若要直接移至 [調查 ] 頁面，請使用 https://security.microsoft.com/airinvestigation。

根據預設，會顯示昨天和今天的調查詳細數據，但您可以變更日期範圍。

下列信息顯示在 [調查 ] 頁面上。 您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設，會選取所有可用的資料列：

• 標識碼：調查的唯一標識符。 選取 [在新視窗中 開啟] 以開啟調查的詳細數據，如 檢視調查詳細數據 一節中所述。
• 狀態：可用的狀態值會在 調查狀態值 一節中說明。
• 偵測來源：此值一律為 Office365。
• 調查
• 使用者
• 移轉失敗之信箱的數目。
• 上次變更時間
• 威脅計數
• 動作計數
• 調查持續時間

若要篩選專案，請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用：

• 調查類型 區段：選取下列一或多個值：
  • 手動調查
  • 用戶回報的訊息
  • Zapped 檔案
  • Zapped URL
  • URL 決策變更
  • 使用者遭入侵
• 時間範圍 區段：選取 [開始日期 ] 和 [ 結束日期 ] 值。 數據可供過去 72 天使用。
• 狀態 區段：選取 [ 調查狀態 值] 區段中所述的一或多個下列值：
  • 啟動中
  • 正在執行
  • 找不到任何威脅
  • 由系統終止
  • 擱置動作
  • 找到的威脅
  • 已補救
  • 已部分補救
  • 由用戶終止
  • 已失敗
  • 依節流排入佇列
  • 由節流終止

當您在 [ 篩選 ] 飛出視窗中完成時，請選取 [ 套用]。 若要清除篩選，請選取 [清除篩選]。

使用 [ 搜尋] 方 塊來尋找頁面上的資訊。 在方塊中輸入文字，然後按 ENTER 鍵。

使用 [匯 出] 將可見資訊儲存至 CSV 檔案。 默認檔名是 [調查] - Microsoft Defender.csv，預設位置是 [本機下載] 資料夾。 如果導出的報表已經存在於該位置，則檔名會遞增 (例如，調查 - Microsoft Defender (1) .csv) 。

調查狀態值

調查的 [狀態 ] 值表示分析和動作的進度。 當調查執行時， [狀態 ] 值會更新，以指出是否找到威脅，以及是否已核准動作。

下列清單說明用於調查的 Status 值：

• 失敗：至少有一個調查分析器遇到無法正確完成的問題。

  如果在補救動作獲得核准之後調查失敗，補救動作可能仍然成功。 如需詳細資訊， 請檢視調查詳細數據。

• 找不到任何威脅：調查已完成，且未識別 (遭入侵的使用者帳戶、電子郵件訊息、URL 或檔案) 的威脅。

  如果您懷疑 (誤判) 遺漏了惡意專案，您可以使用威脅總管 (總管) 來採取動作。

• 部分調查 (先前稱為「 找到的威脅) ：自動化調查發現問題，但沒有特定的補救動作可解決問題。 在識別出某種類型的用戶活動，但沒有可用的清除動作時發生。 範例包括下列任何用戶活動：

  • DLP) 事件 (數據外洩防護。
  • 傳送異常的電子郵件。
  • 已傳送惡意代碼。
  • 已傳送網路釣魚。
  • 調查沒有發現任何事。 例如：
    • 沒有要補救的惡意 URL、檔案或電子郵件訊息。
    • 沒有信箱活動可修正 (例如，關閉轉送規則或委派) 。

  如果您懷疑 (誤判) 遺漏了惡意專案，您可以使用威脅總管 (總管) 來採取動作。

• 部分補救：調查導致補救動作，而有些已核准並完成。 其他動作仍在 等待核准。

• 擱置動作：調查發現威脅 (例如惡意電子郵件、惡意 URL 或風險信箱設定) ，以及補救威脅的動作正在 等待核准。

  當調查執行時，暫止動作的清單可能會增加。 檢視調查詳細數據 ，以查看其他專案是否仍在待完成。

• 依節流排入佇列：正在佇列中進行調查。 當其他調查完成時，佇列調查就會開始。 節流有助於避免服務效能不佳。

  擱置中的動作可能會限制可執行的新調查數目。 請務必 核准或拒絕擱置中的動作。

• 已補救：調查已完成，所有補救動作都已核准， (記為完整補救) 。

  核准的補救動作可能會發生錯誤，導致無法採取動作。 無論補救動作是否成功完成，調查狀態都不會變更。 如需詳細資訊， 請檢視調查詳細數據。

• 執行中：調查程式正在進行中。 核准 擱置中的動作 時，也會發生此狀態值。

• 開始：調查已觸發，正在等候開始執行。

• 由系統終止：調查已停止。 例如：

  • 暫止動作已過期 (最多可使用一周) 。
  • 動作太多。 例如，太多使用者按兩下惡意 URL 可能會超過調查執行所有分析器的能力，因此調查會停止。

  如果調查在採取動作之前停止，請嘗試使用威脅總管 (總管) 來尋找並解決威脅。

• 終止者節流：調查會在佇列太久后自動停止，它會停止。

  您可以 從威脅總管開始調查 (總管) 。

在方案 2 中檢視來自 AIR 的調查詳細數據 適用於 Office 365 的 Defender

當您在 [調查] 頁面https://security.microsoft.com/airinvestigation上專案之 [標識符] 數據行中選取 [在新視窗中開啟] 時，新的頁面隨即開啟，其中包含調查詳細數據。

頁面的圖格是 [調查] 頁面上的 [調查 (名稱) 值。 例如， Clicked URL 判定變更為惡意 - <URL>。

頁面的副標題包含調查的 標識碼 和狀態。 例如， 調查 #660b79 已完成 - 已補救。

詳細數據頁面的其餘部分包含數個索引標籤，其中包含調查的詳細資訊。 某些索引標籤常見於所有調查。 其他索引標籤可根據調查的本質和狀態來取得。

下列小節說明索引標籤。

調查詳細數據中的調查圖表索引標籤

在 [調查詳細數據] 頁面上，[ 調查圖表] 索引卷 標是預設索引卷標，以可視化方式表示調查的目前狀態和結果。

在 [ 調查圖表] 索引標籤 上，[ 調查摘要 ] 窗格包含下列詳細數據：

• 調查狀態時間行區 段：
  • 開始
  • 已結束：此值僅適用於下列 Status 值：
    • 找不到威脅
    • 已部分補救
    • 已補救
    • 由系統終止
    • 藉由節流終止
    • 由用戶終止
    • 找到的威脅
    • 已失敗
  • Duration
  • 暫止時間總計：此值僅適用於有等待核准且最終獲得核准或過期之擱置動作的調查。
• 調查詳細數據 區段：
  • 狀態：調查的狀態。 如果值為 [找不到任何威脅]，區段中就不會有其他值。
  • 警示嚴重性： [低]、[中] 或 [ 高] 值。
  • 類別：警示類別。
  • 偵測來源：通常會 MDO 值。

圖表窗格包含調查中專案和活動的可視化表示法。 某些專案適用於所有調查，有些則取決於調查的性質和進度。

• 收到的警示：顯示相關的警示。 選 取即可移至 [ 警示] 索引標籤 以取得詳細資訊。

• 信箱：顯示相關的信箱。 如需詳細資訊，請選 取以移至 [ 信箱] 索引標籤 。

• 分析的實體：顯示在調查期間分析的相關實體數目和類型。 例如：

  • URL
  • 電子郵件訊息
  • 檔案
  • Email 叢集，其中可能包含惡意的數目和補救的數目。

  選 取即可移至 [ 實體] 索引 標籤以取得詳細資訊。

• 辨識項：顯示找到的實體數目。 選 取即可移至 [ 辨識項 ] 索引標籤以取得詳細資訊。

• 等待核准：顯示系統等待系統管理員執行建議的手動補救動作的時間長度 (例如，虛刪除電子郵件訊息) 。 如需詳細資訊，請選 取以移至 [擱置動作 ] 索引卷標。

  系統管理員執行動作之後，此專案會取代 為等候使用者核准。

• 等候使用者核准：顯示系統管理員執行建議的手動補救動作所花費的時間。 如需詳細資訊，請選 取以移至 [擱置動作歷程記錄 ] 索引標籤。

• 結果：此專案可在調查完成後使用，並在頁面上的下列位置重複：

  • 在圖形的中心。 選取圖示以移至 [ 記錄] 索引 標籤。
  • 在頁面標題中。
  • 在 [ 調查摘要 ] 窗格 >的 [調查詳細數據] 區段中，[ >狀態 ] 值。

  例如：

  • 已補救

  • 由系統終止：

  • 找不到任何威脅

  • 部分調查

    有些發現可能需要檢閱。 使用 [ 辨識項 和 實體] 索引卷標，手動調查並補救任何潛在的問題。

  • 已部分補救

    問題使得某些惡意實體無法進行補救。 使用 [ 辨識項 和 實體] 索引卷標，手動調查並補救任何潛在的問題。

調查詳細數據中的 [警示] 索引標籤

在 [調查詳細數據] 頁面上，[ 警示] 索引標籤 會顯示與調查相關的警示。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設資料列標示星號 ^*：

• 警示名稱^*
• 標籤^*
• 嚴厲^*
• 事件名稱^*
• 事件標識碼^*
• 地位^*
• 類別^*
• 受影響的資產
• 使用者^*
• 服務來源^*
• 偵測來源
• 調查狀態^*
• 上次活動^*
• 分類^*
• 測定
• 指派給^*

按兩下資料列中的 [警示名稱] 值，會帶您前往警示的詳細數據頁面。 此詳細數據頁面與在 的 [警示] 頁面https://security.microsoft.com/alerts上，按兩下對應專案中的 [警示名稱] 值相同。 如需詳細資訊，請 參閱分析警示。

按兩下 [ 警示名稱] 值或第一欄旁複選框以外的其他任何位置，會開啟警示的詳細數據飛出視窗。 此詳細數據飛出視窗與按兩下資料列中 [ 警示名稱] 值以外的任何位置相同，或是在 的 [ 警示 ] 頁面 https://security.microsoft.com/alerts上，對應專案上第一個數據行旁邊的複選框。

警示詳細數據飛出視窗頂端可用的動作取決於警示的本質，包含在 上 [警示] 頁面https://security.microsoft.com/alerts上對應警示的詳細數據飛出視窗中可用的相同動作。 例如，名為的警示 Email 包含傳遞後移除惡意 URL 的訊息，在警示詳細數據飛出視窗中提供下列動作：

• 開啟警示頁面：開啟與按兩下 [警示] 頁面上專案的 [警示名稱] 值時相同的詳細數據頁面。https://security.microsoft.com/alerts 如需詳細資訊，請 參閱分析警示。

• 管理警示：開啟 [管理警示 ] 飛出視窗，您可以在其中檢視和修改事件的詳細數據。 如需詳細資訊，請 參閱管理警示。

• 在總管中檢視訊息：在 [警示標識符] 篩選的 [所有電子郵件] 檢視中開啟 [總管 (威脅總管) 。 如需威脅總管 [ 所有電子郵件 ] 檢視的詳細資訊，請參閱威脅總管 中的所有電子郵件檢視。

• 其他動作>將警示連結至另一個事件：在開啟 的另一個事件飛出視窗的 [鏈接警示 ] 中，設定下列選項：

  • 選取下列其中一個值：
    • 建立新事件
    • 現有事件的連結：在出現 的事件名稱或標識 符方塊中，開始輸入值以尋找並選取現有的事件。
  • 批註：輸入選擇性批注。

  當您完成連結 警示至另一個事件 飛出視窗時，請選取 [ 儲存]

• 其他動作>微調警示：開啟 微調警示 飛出視窗。 如需詳細資訊，請參閱 建立規則條件以微調警示中的步驟 3 和更新版本。

• 其他動作>詢問 Defender 專家。 開啟 Ask Defender 專家 飛出視窗。 如需詳細資訊，請參閱 隨選與專家共同作業。

調查詳細數據中的信箱索引標籤

在 [調查詳細數據] 頁面上，如果在調查過程中檢查了任何信箱，則可以使用 [信 箱 ] 索引標籤。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設，會選取所有可用的資料列：

• Username
• 風險層級
• 風險
• 有風險的活動
• Upn
• 甕

按兩下第一欄旁邊複選框以外的任何資料列，會開啟包含下列資訊的信箱詳細資料飛出視窗：

• 裁決
• 顯示名稱
• 主要電子郵件地址
• UPN
• 物件標識碼
• 風險層級
• 風險

選取 [更多關於使用者的詳細數據]，以在 Microsoft Defender 全面偵測回應 中開啟 [用戶實體] 頁面。 如需詳細資訊，請參閱 Microsoft Defender 全面偵測回應 中的用戶實體頁面。

調查詳細數據中的 [辨識項] 索引標籤

在 [調查詳細數據] 頁面上，[ 辨識項 ] 索引卷標會顯示已分析的可疑實體，以及分析的結果。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設資料列標示星號 ^*：

• 第一次看到^*
• 實體^*
• 判決^*
• 補救狀態^*
• 狀態詳細數據
• 受影響的資產^*
• 偵測來源^*
• 威脅

若要篩選專案，請選取 [ 篩選]。 下列篩選條件可在開啟的 [ 篩選 ] 飛出視窗中使用：

• 實體：在方塊中輸入部分或所有實體名稱。
• 決策：您可以選取的值取決於索引標籤上的 [ 決策 ] 值。
• 偵測來源：您可以選取的值取決於索引標籤上的 [偵測來源 ] 值。

當您在 [ 篩選 ] 飛出視窗中完成時，請選取 [ 套用]。 若要清除篩選，請選取 [清除篩選]。

按兩下第一個資料行旁邊複選框以外的任何資料列，就會開啟詳細資料飛出視窗。 飛出視窗中可用的內容取決於辨識項的本質， (電子郵件訊息、檔案、URL 等 ) 。

調查詳細數據中的 [實體] 索引標籤

在 [調查詳細數據] 頁面上，[ 實體] 索引標籤會顯示在調查期間遇到並分析之不同類型實體的詳細數據。

[ 實體] 索引卷標是由檢視選取窗格所組織， (摘要檢視和每個實體類型的檢視) 以及該檢視的對應詳細數據表：

• 辨識項摘要 檢視：這是預設檢視。

  您可以按下可用的數據列標頭，來排序詳細資料表中的專案。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設，會選取所有可用的資料列：

  • 實體類型 (您無法取消選取此值) ：視事件而定，包含與檢視選取窗格相同的值。 例如：

    • Files
    • URL
    • Email提交
    • 電子郵件
    • IP 位址
    • Email 叢集

    下列資料列會顯示資料列) (每個實體類型的計數：

    • Total
    • 已補救
    • 惡意
    • 可疑
    • 驗證
    • 找不到威脅
    • Unknown
    • 找不到
    • 未補救
    • 已部分補救

  按兩下 [ 實體類型 ] 資料行旁邊複選框以外的任何數據列中的任何 位置，會 帶您前往選取頁面的相關檢視 (例如電子郵件) 。

• 檔案 檢視：您可以按兩下可用的數據行標頭，來排序詳細資料表中的專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設資料列標示星號 ^*：

  • 判決^*
  • 補救狀態^*
  • 狀態詳細數據
  • 檔案路徑^*
  • 檔名^* (您無法取消選取此值)
  • 裝置^*

• URL 檢視 ：您可以按下可用的資料列標頭來排序詳細資料表中的專案。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設，會選取所有可用的資料列：

  • 裁決
  • 補救狀態
  • 位址 (您無法取消選取此值)

  點選此資料列旁邊複選框以外的任何資料列，會開啟包含下列資訊的詳細資料飛出視窗：

  • 原始 URL
  • 偵測 區段
  • 網域詳細數據 區段
  • 註冊聯繫人資訊 區段
  • 過去 30 天) 節 (URL 普遍性

  飛出視窗中也會提供下列 URL 動作：

  • 開啟 URL 頁面
  • 提交以進行分析
  • 管理指標
  • 在總管中檢視
  • 開始搜補

• Email 提交檢視：您可以按兩下可用的數據列標頭來排序詳細資料表中的專案。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設，會選取所有可用的資料列：

  • 裁決
  • 補救狀態
  • 主旨
  • Sender
  • 收件者
  • 報告者
  • 報告類型

  點選此資料列旁邊複選框以外的任何資料列，會開啟包含下列資訊的詳細資料飛出視窗：

  • Email 提交詳細數據一節

  電子郵件提交的 Go 搜捕 動作也可在飛出視窗中取得。

• 電子郵件 檢視：您可以按下可用的數據列標頭來排序詳細資料表中的專案。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設，會選取所有可用的資料列：

  • 裁決
  • 補救狀態
  • Email 接收日期 (您無法取消選取此值)
  • 傳遞狀態
  • 主旨
  • Sender
  • 收件者

  點選此資料列旁邊複選框以外的任何資料列，會開啟包含下列資訊的詳細資料飛出視窗：

  • Email 詳細數據區段

  選取更多關於電子郵件的詳細數據，以在適用於 XDR 的 Defender 中檢視 Email 實體頁面。

  飛出視窗中也提供電子郵件訊息的下列動作：

  • 開始搜補
  • 在 Explorer 中開啟

• IP 位址檢視 ：您可以按下可用的資料列標頭來排序詳細資料表中的專案。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設，會選取所有可用的資料列：

  • 裁決
  • 補救狀態
  • 位址 (您無法取消選取此值)

  點選此資料列旁邊複選框以外的任何資料列，會開啟包含下列資訊的詳細資料飛出視窗：

  • IP 詳細數據 區段
  • 偵測 區段
  • 在組織裝置區段中觀察到的IP

  飛出視窗中也會提供下列IP位址動作：

  • 開啟IP位址頁面
  • 新增指標
  • 開啟雲端應用程式IP設定
  • 在活動記錄中調查
  • 開始搜補

• Email 叢集檢視：您可以按下可用的數據列標頭來排序詳細數據表中的專案。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設，會選取所有可用的資料列：

  • 裁決
  • 補救狀態
  • 郵件叢集名稱 (您無法取消選取此值)
  • 威脅
  • 電子郵件計數
  • 惡意程式碼
  • 網路釣魚
  • 高信賴度網路釣魚
  • 垃圾郵件
  • 已傳遞
  • 已標示為垃圾郵件
  • 已取代
  • 封鎖
  • 信箱
  • 不在信箱中
  • 內部部署/外部
  • 磁碟區異常

  點選此資料列旁邊複選框以外的任何資料列，會開啟包含下列資訊的詳細資料飛出視窗：

  • Email 叢集詳細數據一節
  • 威脅 區段
  • 最新傳遞位置 區段
  • 原始傳遞位置 區段

  飛出視窗中也提供電子郵件叢集的下列動作：

  • 開始搜補
  • 在 Explorer 中開啟

調查詳細數據中的 [記錄] 索引標籤

在 [調查詳細數據] 頁面上，[ 記錄] 索引 標籤會顯示調查期間所採取的所有動作。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設資料列標示星號 ^*：

• ID
• 動作類型
• 行動^*
• 地位^*
• 裝置名稱^*
• 描述^*
• Comments
• 建立的時間
• 執行開始時間^*
• 期間^*
• 暫止持續時間
• 已排入佇列的持續時間

使用 [匯 出] 將可見資訊儲存至 CSV 檔案。 默認檔名 AirLogs.csv，預設位置是本機 Downloads 資料夾。 如果導出的報表已經存在於該位置，則檔名會遞增 (例如 AirLogs (1) .csv) 。

按兩下第一個資料行旁邊複選框以外的任何資料列，會開啟包含下列資訊的摘要飛出視窗：

• 狀態
• Create
• 執行開始
• Duration
• 描述

提示

若要查看其他項目的詳細數據而不離開詳細數據飛出視窗，請使用飛出視窗頂端的 [上一個專案] 和 [下一個專案]。

調查詳細數據中的 [擱置核准] 索引標籤

在 [調查詳細數據] 頁面上，[ 擱置核准 ] 索引卷標會顯示等待核准完成的擱置動作 (例如虛刪除訊息) 。

[ 擱置核准] 索引卷標是由檢視選取窗格所組織， (每個動作類型的檢視) 以及該檢視的對應詳細數據表：

• 虛刪除電子郵件：您可以按下可用的數據列標頭來排序詳細資料表中的專案。 選 取 [自定義資料行] 以變更顯示的數據行。 預設資料列標示星號 ^*：
  • 調查標識碼
  • 第一次看到
  • 詳細資料
  • 電子郵件計數
  • 惡意程式碼
  • 網路釣魚
  • 高信賴度網路釣魚
  • 垃圾郵件
  • 已傳遞
  • 已標示為垃圾郵件
  • 已取代
  • 封鎖
  • 信箱
  • 不在信箱中
  • 內部部署/外部
  • 信箱
  • 實體類型
  • 威脅類型
  • 主旨

使用 [匯 出] 將可見資訊儲存至 CSV 檔案。 默認檔名 AirActions.csv，預設位置是本機 Downloads 資料夾。 如果導出的報表已經存在於該位置，則檔名會遞增 (例如 AirActions (1) .csv) 。

點選此資料列旁邊複選框以外的任何資料列，會開啟包含下列資訊的詳細資料飛出視窗：

• Email 叢集詳細數據一節
  • 裁決
  • 補救狀態
  • 電子郵件計數
  • 名稱
  • 磁碟區異常
  • 查詢時間
• 威脅 區段：
  • 威脅：摘要說明在電子郵件叢集中找到的威脅。 例如，MaliciousUrl, HighConfPhish, Volume anomaly。
  • 在電子郵件叢集中找到的下列威脅類型計數：
    • 惡意程式碼
    • 網路釣魚
    • 高信賴度網路釣魚
    • 垃圾郵件
• 最新傳遞位置 區段：電子郵件叢集中訊息的下列傳遞位置計數：
  • 信箱
  • 不在信箱中
  • 內部部署/外部
• 原始傳遞位置 區段：電子郵件叢集中訊息的下列原始傳遞位置計數：
  • 已傳遞
  • 已標示為垃圾郵件
  • 已取代
  • 封鎖

飛出視窗中也會提供下列電子郵件訊息動作：

• 開始搜補
• 在 Explorer 中開啟

下一個小節會說明核准和拒絕。

調查詳細數據中 [擱置核准] 索引標籤上的核准動作

在 [調查詳細數據] 頁面上的 [ 擱置核准 ] 索引卷標上，按兩下第一個數據行旁邊複選框以外的數據列中的任何位置，選取擱置中的動作。

開啟的詳細數據飛出視窗會以暫止動作命名 (例如虛 刪除電子郵件) 。 讀取飛出視窗中的資訊，然後選取下列其中一個值：

• 核准。
• 拒絕。

提示

核准和/或拒絕調查中的所有動作會完全關閉， ([狀態 ] 值變成 [ 已補救 ]) 。 無法核准和/或拒絕調查中的所有動作不會完全關閉， ([狀態 ] 值仍會保留 [ 部分補救 ]) 。

您不需要核准每個動作。 如果您不同意建議的動作，或貴組織未選擇特定類型的動作，您可以拒絕該動作或不採取任何動作。

調查詳細數據中的 [擱置動作歷程記錄] 索引標籤

在 [調查詳細數據] 頁面上，[ 擱置動作記錄] 索引 卷標會顯示已完成的暫止動作。

您可以按下可用的數據列標頭來排序專案。 選 取 [自定義資料行] 以變更顯示的數據行。 根據預設，會選取所有可用的資料列：

• 動作類型
• 等候時間
• 實體
• 狀態
• 處理者
• Time

使用 [匯 出] 將可見資訊儲存至 CSV 檔案。 默認檔名 AirActions.csv，預設位置是本機 Downloads 資料夾。 如果導出的報表已經存在於該位置，則檔名會遞增 (例如 AirActions (1) .csv) 。

按兩下資料列中的 [實體 ] 值會開啟詳細資料飛出視窗，其中包含有關電子郵件叢集的下列資訊：

• Email 叢集詳細數據一節
• 威脅 區段
• 最新傳遞位置 區段
• 原始傳遞位置 區段

飛出視窗中也提供電子郵件叢集的下列動作：

• 開始搜補
• 在 Explorer 中開啟

按兩下第一個資料行或 實體 值旁邊複選框以外的任何資料列，會開啟包含下列資訊的動作歷程記錄詳細資料飛出視窗：

• 摘要 區段：
  • 狀態
  • Create
  • 執行開始
  • 描述

檢視與調查相關警示的詳細資料

某些類型的警示會在 Microsoft 365 中觸發自動化調查。 若要深入瞭解，請參閱 威脅管理警示原則。

1. 在 Microsoft 365 Defender 入口網站中 https://security.microsoft.com，移至動作 & 提交>控制中心。 或者，若要直接移至 控制中心 頁面，請使用 https://security.microsoft.com/action-center/。
2. 在 [ 控制中心 ] 頁面上，使用 [ 擱置 中] 或 [ 歷程記錄] 索引標籤來尋找動作。
3. 選取 [ 調查 標識符] 數據行中的連結，從數據表中選取動作。

[調查詳細數據] 頁面隨即開啟。

後續步驟

• 檢閱和核准擱置中的動作