Zobrazení podrobností a výsledků automatizovaného prověřování
Platí pro:
V případě Microsoft Defender for Endpoint jsou při spuštění automatizovaného šetření dostupné podrobnosti o daném šetření během automatizovaného vyšetřování i po jeho skončení. Pokud máte potřebná oprávnění, můžete tyto podrobnosti zobrazit v zobrazení podrobností o šetření. Zobrazení podrobností o šetření poskytuje aktuální stav a možnost schválit všechny čekající akce.
(NOVÉ!) Sjednocená stránka šetření
Stránka šetření byla nedávno aktualizována tak, aby zahrnovala informace na vašich zařízeních, e-mailech a obsahu pro spolupráci. Nová sjednocená stránka pro šetření definuje společný jazyk a poskytuje jednotné prostředí pro automatické šetření napříč Microsoft Defender for Endpoint a Microsoft Defender pro Office 365.
Tip
Další informace o tom, co se mění, najdete v tématu (NOVÉ!) Sjednocená stránka šetření
Otevření zobrazení podrobností o šetření
Zobrazení podrobností o šetření můžete otevřít pomocí jedné z následujících metod:
Výběr položky v Centru akcí
Vylepšené centrum akcí spojuje nápravné akce napříč vašimi zařízeními, e-mailem & obsahem pro spolupráci a identitami. Uvedené akce zahrnují nápravné akce, které byly provedené automaticky nebo ručně. V Centru akcí můžete zobrazit akce, které čekají na schválení, a akce, které už byly schválené nebo dokončené. Můžete také přejít na další podrobnosti, například na stránku šetření.
- Přejděte na Microsoft Defender XDR a přihlaste se.
- V navigačním podokně zvolte Centrum akcí.
- Na kartě Čekající nebo Historie vyberte položku. Otevře se jeho podokno informačního rámečku.
- Zkontrolujte informace v podokně informačního rámečku a proveďte jeden z následujících kroků:
- Pokud chcete zobrazit další podrobnosti o vyšetřování, vyberte Otevřít stránku šetření .
- Výběrem možnosti Schválit zahajte čekající akci.
- Pokud chcete zabránit provedení čekající akce, vyberte Odmítnout .
- Výběrem možnosti Přejít na proaktivní vyhledávání přejděte do rozšířeného vyhledávání.
Otevření vyšetřování ze stránky s podrobnostmi o incidentu
Na stránce podrobností incidentu můžete zobrazit podrobné informace o incidentu, včetně výstrah aktivovaných informací o všech ovlivněných zařízeních, uživatelských účtech nebo poštovních schránkách.
- Přejděte na Microsoft Defender XDR a přihlaste se.
- V navigačním podokně zvolte Incidenty, & výstrahy>Incidenty.
- Vyberte položku v seznamu a pak zvolte Otevřít stránku incidentu.
- Vyberte kartu Šetření a pak v seznamu vyberte šetření. Otevře se jeho podokno informačního rámečku.
- Vyberte Otevřít stránku šetření.
Podrobnosti o šetření
Zobrazení podrobností o šetření umožňuje zobrazit minulou, aktuální a čekající aktivitu související s šetřením. Zobrazení podrobností šetření vypadá podobně jako na následujícím obrázku:
V zobrazení Podrobnosti šetření můžete zobrazit informace o grafech šetření, výstrahách, zařízeních, identitách, klíčových zjištěních, entitách, protokolech a čekajících akcích , které jsou popsané v následující tabulce.
Poznámka
Konkrétní karty, které se zobrazí na stránce podrobností o šetření, závisí na tom, co vaše předplatné obsahuje. Pokud například vaše předplatné neobsahuje Microsoft Defender pro Office 365 Plán 2, nezobrazí se karta Poštovní schránky.
Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.
Kartě | Popis |
---|---|
Graf šetření | Poskytuje vizuální znázornění vyšetřování. Znázorňuje entity a seznam zjištěných hrozeb, spolu s upozorněními a informacemi o tom, jestli nějaké akce čekají na schválení. Výběrem položky v grafu zobrazíte další podrobnosti. Když například vyberete ikonu Důkaz , přejdete na kartu Důkaz , kde uvidíte rozpoznané entity a jejich verdikty. |
Upozornění | Seznamy výstrahy spojené s šetřením. Výstrahy můžou pocházet z funkcí ochrany před hrozbami na zařízení uživatele, v aplikacích Office, Defenderu for Cloud Apps a dalších funkcích Microsoft Defender XDR. |
Zařízení | Seznamy zařízení zahrnutých do vyšetřování spolu s jejich úrovní nápravy. (Úrovně nápravy odpovídají úrovni automatizace pro skupiny zařízení.) |
Poštovní schránky | Seznamy poštovní schránky, které jsou ovlivněny zjištěnými hrozbami. |
Uživatelé | Seznamy uživatelské účty, které jsou ovlivněny zjištěnými hrozbami. |
Důkazy | Seznamy důkazy vynesené v výstrahách nebo vyšetřováních. Zahrnuje verdikty (Škodlivé, Podezřelé nebo Nenašly se žádné hrozby) a stav nápravy. |
Entity | Poskytuje podrobnosti o každé analyzované entitě, včetně verdiktu pro jednotlivé typy entit (Škodlivé, Podezřelé nebo Nenašly se žádné hrozby). |
Protokolu | Poskytuje chronologické a podrobné zobrazení všech akcí šetření provedených po aktivaci výstrahy. |
Čekající akce | Seznamy položky, které k pokračování vyžadují schválení. Přejděte do Centra akcí (https://security.microsoft.com/action-center) a schvalte čekající akce. |
Stavy šetření
V následující tabulce jsou uvedené stavy šetření a jejich označení.
Stav šetření | Vysvětlení |
---|---|
Benigní | Byly zkoumány artefakty a bylo zjištěno, že nebyly nalezeny žádné hrozby. |
PendingResource | Automatizované šetření se pozastaví, protože buď čeká na schválení akce nápravy, nebo zařízení, na kterém byl artefakt nalezen, je dočasně nedostupné. |
UnsupportedAlertType | Pro tento typ upozornění není k dispozici automatizované šetření. Další šetření je možné provést ručně pomocí rozšířeného proaktivního vyhledávání. |
Selhalo | Nejméně jeden analyzátor šetření narazil na problém, kdy nemohl dokončit šetření. Pokud se šetření po schválení nápravných akcí nezdaří, je možné, že akce nápravy byly stále úspěšné. |
Úspěšně napraveno | Automatické šetření bylo dokončeno a všechny nápravné akce byly dokončeny nebo schváleny. |
Pokud chcete poskytnout další kontext o tom, jak se zobrazují stavy šetření, uvádí následující tabulka výstrahy a jejich odpovídající stav automatizovaného šetření. Tato tabulka je uvedena jako příklad toho, co tým pro operace zabezpečení uvidí na portálu Microsoft Defender.
Název upozornění | Závažnosti | Stav šetření | Stav | Kategorie |
---|---|---|---|---|
V souboru s imagí disku wim byl zjištěn malware | Informační | Benigní | Vyřešen | Malware |
Malware byl zjištěn v souboru archivu rar | Informační | PendingResource | Nwe | Malware |
Malware byl zjištěn v souboru archivu rar | Informační | UnsupportedAlertType | Nwe | Malware |
Malware byl zjištěn v souboru archivu rar | Informační | UnsupportedAlertType | Nwe | Malware |
Malware byl zjištěn v souboru archivu rar | Informační | UnsupportedAlertType | Nwe | Malware |
V souboru zip archivu byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
V souboru zip archivu byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
V souboru zip archivu byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
V souboru zip archivu byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
Bylo zabráněno hacktool wpakill | Nízké | Selhalo | Nwe | Malware |
GendowsBatch hacktool bylo zabráněno | Nízké | Selhalo | Nwe | Malware |
Keygen hacktool bylo zabráněno | Nízké | Selhalo | Nwe | Malware |
V souboru zip archivu byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
Malware byl zjištěn v souboru archivu rar | Informační | PendingResource | Nwe | Malware |
Malware byl zjištěn v souboru archivu rar | Informační | PendingResource | Nwe | Malware |
V souboru zip archivu byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
Malware byl zjištěn v souboru archivu rar | Informační | PendingResource | Nwe | Malware |
Malware byl zjištěn v souboru archivu rar | Informační | PendingResource | Nwe | Malware |
V souboru image disku ISO byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
V souboru image disku ISO byl zjištěn malware. | Informační | PendingResource | Nwe | Malware |
V datovém souboru pst outlooku byl zjištěn malware | Informační | UnsupportedAlertType | Nwe | Malware |
V datovém souboru pst outlooku byl zjištěn malware | Informační | UnsupportedAlertType | Nwe | Malware |
MediaGet detected | Střední | Částečně investičně | Nwe | Malware |
TrojanEmailFile | Střední | Úspěšně odstraněno | Vyřešen | Malware |
Zabránilo se malwaru CustomEnterpriseBlock | Informační | Úspěšně odstraněno | Vyřešen | Malware |
Aktivní malware CustomEnterpriseBlock byl zablokovaný. | Nízké | Úspěšně odstraněno | Vyřešen | Malware |
Aktivní malware CustomEnterpriseBlock byl zablokovaný. | Nízké | Úspěšně odstraněno | Vyřešen | Malware |
Aktivní malware CustomEnterpriseBlock byl zablokovaný. | Nízké | Úspěšně odstraněno | Vyřešen | Malware |
TrojanEmailFile | Střední | Benigní | Vyřešen | Malware |
Zabránilo se malwaru CustomEnterpriseBlock | Informační | UnsupportedAlertType | Nwe | Malware |
Zabránilo se malwaru CustomEnterpriseBlock | Informační | Úspěšně odstraněno | Vyřešen | Malware |
TrojanEmailFile | Střední | Úspěšně odstraněno | Vyřešen | Malware |
TrojanEmailFile | Střední | Benigní | Vyřešen | Malware |
Aktivní malware CustomEnterpriseBlock byl zablokovaný. | Nízké | PendingResource | Nwe | Malware |
Viz také
- Kontrola nápravných akcí po automatizovaném šetření
- Zobrazení a uspořádání fronty incidentů Microsoft Defender for Endpoint
Tip
Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.