Sdílet prostřednictvím


Zobrazení podrobností a výsledků automatizovaného prověřování

Platí pro:

V případě Microsoft Defender for Endpoint jsou při spuštění automatizovaného šetření dostupné podrobnosti o daném šetření během automatizovaného vyšetřování i po jeho skončení. Pokud máte potřebná oprávnění, můžete tyto podrobnosti zobrazit v zobrazení podrobností o šetření. Zobrazení podrobností o šetření poskytuje aktuální stav a možnost schválit všechny čekající akce.

(NOVÉ!) Sjednocená stránka šetření

Stránka šetření byla nedávno aktualizována tak, aby zahrnovala informace na vašich zařízeních, e-mailech a obsahu pro spolupráci. Nová sjednocená stránka pro šetření definuje společný jazyk a poskytuje jednotné prostředí pro automatické šetření napříč Microsoft Defender for Endpoint a Microsoft Defender pro Office 365.

Tip

Další informace o tom, co se mění, najdete v tématu (NOVÉ!) Sjednocená stránka šetření

Otevření zobrazení podrobností o šetření

Zobrazení podrobností o šetření můžete otevřít pomocí jedné z následujících metod:

Výběr položky v Centru akcí

Vylepšené centrum akcí spojuje nápravné akce napříč vašimi zařízeními, e-mailem & obsahem pro spolupráci a identitami. Uvedené akce zahrnují nápravné akce, které byly provedené automaticky nebo ručně. V Centru akcí můžete zobrazit akce, které čekají na schválení, a akce, které už byly schválené nebo dokončené. Můžete také přejít na další podrobnosti, například na stránku šetření.

  1. Přejděte na Microsoft Defender XDR a přihlaste se.
  2. V navigačním podokně zvolte Centrum akcí.
  3. Na kartě Čekající nebo Historie vyberte položku. Otevře se jeho podokno informačního rámečku.
  4. Zkontrolujte informace v podokně informačního rámečku a proveďte jeden z následujících kroků:
    • Pokud chcete zobrazit další podrobnosti o vyšetřování, vyberte Otevřít stránku šetření .
    • Výběrem možnosti Schválit zahajte čekající akci.
    • Pokud chcete zabránit provedení čekající akce, vyberte Odmítnout .
    • Výběrem možnosti Přejít na proaktivní vyhledávání přejděte do rozšířeného vyhledávání.

Otevření vyšetřování ze stránky s podrobnostmi o incidentu

Na stránce podrobností incidentu můžete zobrazit podrobné informace o incidentu, včetně výstrah aktivovaných informací o všech ovlivněných zařízeních, uživatelských účtech nebo poštovních schránkách.

  1. Přejděte na Microsoft Defender XDR a přihlaste se.
  2. V navigačním podokně zvolte Incidenty, & výstrahy>Incidenty.
  3. Vyberte položku v seznamu a pak zvolte Otevřít stránku incidentu.
  4. Vyberte kartu Šetření a pak v seznamu vyberte šetření. Otevře se jeho podokno informačního rámečku.
  5. Vyberte Otevřít stránku šetření.

Podrobnosti o šetření

Zobrazení podrobností o šetření umožňuje zobrazit minulou, aktuální a čekající aktivitu související s šetřením. Zobrazení podrobností šetření vypadá podobně jako na následujícím obrázku:

V zobrazení Podrobnosti šetření můžete zobrazit informace o grafech šetření, výstrahách, zařízeních, identitách, klíčových zjištěních, entitách, protokolech a čekajících akcích , které jsou popsané v následující tabulce.

Poznámka

  • Konkrétní karty, které se zobrazí na stránce podrobností o šetření, závisí na tom, co vaše předplatné obsahuje. Pokud například vaše předplatné neobsahuje Microsoft Defender pro Office 365 Plán 2, nezobrazí se karta Poštovní schránky.

  • Vytváření skupin zařízení je podporováno v defenderu for Endpoint Plan 1 a Plan 2.

Kartě Popis
Graf šetření Poskytuje vizuální znázornění vyšetřování. Znázorňuje entity a seznam zjištěných hrozeb, spolu s upozorněními a informacemi o tom, jestli nějaké akce čekají na schválení.

Výběrem položky v grafu zobrazíte další podrobnosti. Když například vyberete ikonu Důkaz , přejdete na kartu Důkaz , kde uvidíte rozpoznané entity a jejich verdikty.

Upozornění Seznamy výstrahy spojené s šetřením. Výstrahy můžou pocházet z funkcí ochrany před hrozbami na zařízení uživatele, v aplikacích Office, Defenderu for Cloud Apps a dalších funkcích Microsoft Defender XDR.
Zařízení Seznamy zařízení zahrnutých do vyšetřování spolu s jejich úrovní nápravy. (Úrovně nápravy odpovídají úrovni automatizace pro skupiny zařízení.)
Poštovní schránky Seznamy poštovní schránky, které jsou ovlivněny zjištěnými hrozbami.
Uživatelé Seznamy uživatelské účty, které jsou ovlivněny zjištěnými hrozbami.
Důkazy Seznamy důkazy vynesené v výstrahách nebo vyšetřováních. Zahrnuje verdikty (Škodlivé, Podezřelé nebo Nenašly se žádné hrozby) a stav nápravy.
Entity Poskytuje podrobnosti o každé analyzované entitě, včetně verdiktu pro jednotlivé typy entit (Škodlivé, Podezřelé nebo Nenašly se žádné hrozby).
Protokolu Poskytuje chronologické a podrobné zobrazení všech akcí šetření provedených po aktivaci výstrahy.
Čekající akce Seznamy položky, které k pokračování vyžadují schválení. Přejděte do Centra akcí (https://security.microsoft.com/action-center) a schvalte čekající akce.

Stavy šetření

V následující tabulce jsou uvedené stavy šetření a jejich označení.

Stav šetření Vysvětlení
Benigní Byly zkoumány artefakty a bylo zjištěno, že nebyly nalezeny žádné hrozby.
PendingResource Automatizované šetření se pozastaví, protože buď čeká na schválení akce nápravy, nebo zařízení, na kterém byl artefakt nalezen, je dočasně nedostupné.
UnsupportedAlertType Pro tento typ upozornění není k dispozici automatizované šetření. Další šetření je možné provést ručně pomocí rozšířeného proaktivního vyhledávání.
Selhalo Nejméně jeden analyzátor šetření narazil na problém, kdy nemohl dokončit šetření. Pokud se šetření po schválení nápravných akcí nezdaří, je možné, že akce nápravy byly stále úspěšné.
Úspěšně napraveno Automatické šetření bylo dokončeno a všechny nápravné akce byly dokončeny nebo schváleny.

Pokud chcete poskytnout další kontext o tom, jak se zobrazují stavy šetření, uvádí následující tabulka výstrahy a jejich odpovídající stav automatizovaného šetření. Tato tabulka je uvedena jako příklad toho, co tým pro operace zabezpečení uvidí na portálu Microsoft Defender.

Název upozornění Závažnosti Stav šetření Stav Kategorie
V souboru s imagí disku wim byl zjištěn malware Informační Benigní Vyřešen Malware
Malware byl zjištěn v souboru archivu rar Informační PendingResource Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační UnsupportedAlertType Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační UnsupportedAlertType Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační UnsupportedAlertType Nwe Malware
V souboru zip archivu byl zjištěn malware. Informační PendingResource Nwe Malware
V souboru zip archivu byl zjištěn malware. Informační PendingResource Nwe Malware
V souboru zip archivu byl zjištěn malware. Informační PendingResource Nwe Malware
V souboru zip archivu byl zjištěn malware. Informační PendingResource Nwe Malware
Bylo zabráněno hacktool wpakill Nízké Selhalo Nwe Malware
GendowsBatch hacktool bylo zabráněno Nízké Selhalo Nwe Malware
Keygen hacktool bylo zabráněno Nízké Selhalo Nwe Malware
V souboru zip archivu byl zjištěn malware. Informační PendingResource Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační PendingResource Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační PendingResource Nwe Malware
V souboru zip archivu byl zjištěn malware. Informační PendingResource Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační PendingResource Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační PendingResource Nwe Malware
V souboru image disku ISO byl zjištěn malware. Informační PendingResource Nwe Malware
V souboru image disku ISO byl zjištěn malware. Informační PendingResource Nwe Malware
V datovém souboru pst outlooku byl zjištěn malware Informační UnsupportedAlertType Nwe Malware
V datovém souboru pst outlooku byl zjištěn malware Informační UnsupportedAlertType Nwe Malware
MediaGet detected Střední Částečně investičně Nwe Malware
TrojanEmailFile Střední Úspěšně odstraněno Vyřešen Malware
Zabránilo se malwaru CustomEnterpriseBlock Informační Úspěšně odstraněno Vyřešen Malware
Aktivní malware CustomEnterpriseBlock byl zablokovaný. Nízké Úspěšně odstraněno Vyřešen Malware
Aktivní malware CustomEnterpriseBlock byl zablokovaný. Nízké Úspěšně odstraněno Vyřešen Malware
Aktivní malware CustomEnterpriseBlock byl zablokovaný. Nízké Úspěšně odstraněno Vyřešen Malware
TrojanEmailFile Střední Benigní Vyřešen Malware
Zabránilo se malwaru CustomEnterpriseBlock Informační UnsupportedAlertType Nwe Malware
Zabránilo se malwaru CustomEnterpriseBlock Informační Úspěšně odstraněno Vyřešen Malware
TrojanEmailFile Střední Úspěšně odstraněno Vyřešen Malware
TrojanEmailFile Střední Benigní Vyřešen Malware
Aktivní malware CustomEnterpriseBlock byl zablokovaný. Nízké PendingResource Nwe Malware

Viz také

Tip

Chcete se dozvědět více? Engage s komunitou Microsoft Security v naší technické komunitě: Microsoft Defender for Endpoint Tech Community.