Podrobnosti a výsledky automatizovaného šetření

Poznámka

Chcete vyzkoušet XDR v Microsoft Defenderu? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotně nasadit XDR v Microsoft Defenderu.

Platí pro:

  • Microsoft Defender XDR

U Microsoft Defender XDR jsou při spuštění automatizovaného vyšetřování dostupné podrobnosti o daném šetření během automatizovaného procesu šetření i po jeho skončení. Pokud máte potřebná oprávnění, můžete tyto podrobnosti zobrazit v zobrazení podrobností o šetření, které vám poskytne aktuální stav a možnost schválit všechny čekající akce.

(NOVÉ) Sjednocená stránka šetření

Stránka šetření byla nedávno aktualizována tak, aby zahrnovala informace na vašich zařízeních, e-mailech a obsahu pro spolupráci. Nová sjednocená stránka pro šetření definuje společný jazyk a poskytuje jednotné prostředí pro automatické šetření napříč Microsoft Defender for Endpoint a Microsoft Defender pro Office 365. Pokud chcete získat přístup ke sjednocené stránce šetření, vyberte odkaz ve žlutém banneru, na který se zobrazí:

Otevření zobrazení podrobností o šetření

Zobrazení podrobností o šetření můžete otevřít pomocí jedné z následujících metod:

Výběr položky v Centru akcí

Vylepšené centrum akcí (https://security.microsoft.com/action-center) spojuje nápravné akce napříč vašimi zařízeními, e-mailem & obsahem pro spolupráci a identitami. Uvedené akce zahrnují nápravné akce, které byly provedené automaticky nebo ručně. V Centru akcí můžete zobrazit akce, které čekají na schválení, a akce, které už byly schválené nebo dokončené. Můžete také přejít na další podrobnosti, například na stránku šetření.

Tip

Ke schválení, odmítnutí nebo vrácení akcí zpět musíte mít určitá oprávnění .

  1. Přejděte na portál Microsoft Defender a přihlaste se.

  2. V navigačním podokně zvolte Centrum akcí.

  3. Na kartě Čekající nebo Historie vyberte položku. Otevře se jeho podokno informačního rámečku.

  4. Zkontrolujte informace v podokně informačního rámečku a proveďte jeden z následujících kroků:

    • Pokud chcete zobrazit další podrobnosti o vyšetřování, vyberte Otevřít stránku šetření .
    • Výběrem možnosti Schválit zahajte čekající akci.
    • Pokud chcete zabránit provedení čekající akce, vyberte Odmítnout .
    • Výběrem možnosti Přejít na proaktivní vyhledávání přejděte do rozšířeného vyhledávání.

Otevření vyšetřování ze stránky s podrobnostmi o incidentu

Na stránce podrobností incidentu můžete zobrazit podrobné informace o incidentu, včetně výstrah aktivovaných informací o všech ovlivněných zařízeních, uživatelských účtech nebo poštovních schránkách.

  1. Přejděte na portál Microsoft Defender a přihlaste se.

  2. V navigačním podokně zvolte Incidenty, & výstrahy>Incidenty.

  3. Vyberte položku v seznamu a pak zvolte Otevřít stránku incidentu.

  4. Vyberte kartu Šetření a pak v seznamu vyberte šetření. Otevře se jeho podokno informačního rámečku.

  5. Vyberte Otevřít stránku šetření.

Tady je příklad.

Stránka šetření na portálu Microsoft Defender

Podrobnosti o šetření

Zobrazení podrobností o šetření umožňuje zobrazit minulou, aktuální a čekající aktivitu související s šetřením. Tady je příklad.

Stránka podrobností o šetření na portálu Microsoft Defender

V zobrazení Podrobnosti šetření můžete zobrazit informace o grafech šetření, výstrahách, zařízeních, identitách, klíčových zjištěních, entitách, protokolech a čekajících akcích , které jsou popsané v následující tabulce.

Poznámka

Konkrétní karty, které se zobrazí na stránce podrobností o šetření, závisí na tom, co vaše předplatné obsahuje. Pokud například vaše předplatné neobsahuje Microsoft Defender pro Office 365 Plán 2, nezobrazí se karta Poštovní schránky.

Kartě Popis
Graf šetření Poskytuje vizuální znázornění vyšetřování. Znázorňuje entity a seznam zjištěných hrozeb, spolu s upozorněními a informacemi o tom, jestli nějaké akce čekají na schválení.
Výběrem položky v grafu zobrazíte další podrobnosti. Když například vyberete ikonu Důkaz , přejdete na kartu Důkaz , kde uvidíte rozpoznané entity a jejich verdikty.
Upozornění Vypíše výstrahy spojené s šetřením. Výstrahy můžou pocházet z funkcí ochrany před hrozbami na zařízení uživatele, v aplikacích Office, Microsoft Defender for Cloud Apps a dalších funkcích Microsoft Defender XDR.

Pokud se zobrazí nepodporovaný typ upozornění, znamená to, že funkce automatizovaného vyšetřování nemůžou tuto výstrahu vyzvednout, aby bylo možné spustit automatizované šetření. Tyto výstrahy ale můžete prozkoumat ručně.
Zařízení Zobrazí seznam zařízení zahrnutých do vyšetřování spolu s jejich úrovní nápravy. (Úrovně nápravy odpovídají úrovni automatizace pro skupiny zařízení.)
Poštovní schránky Zobrazí seznam poštovních schránek, které jsou ovlivněny zjištěnými hrozbami.
Uživatelé Zobrazí seznam uživatelských účtů, které jsou ovlivněny zjištěnými hrozbami.
Důkazy Obsahuje seznam důkazů vyvolaných výstrahami nebo vyšetřováním. Zahrnuje verdikty (Škodlivé, Podezřelé, Neznámé nebo Nenašly se žádné hrozby) a stav nápravy.
Entity Poskytuje podrobnosti o každé analyzované entitě, včetně verdiktu pro jednotlivé typy entit (Škodlivé, Podezřelé nebo Nenašly se žádné hrozby).
Protokolu Poskytuje chronologické a podrobné zobrazení všech akcí šetření provedených po aktivaci výstrahy.
Historie čekajících akcí Zobrazí seznam položek, které vyžadují schválení, aby bylo pokračovat. Přejděte do Centra akcí (https://security.microsoft.com/action-center) a schvalte čekající akce.

Stavy šetření

V následující tabulce jsou uvedené stavy šetření a jejich označení.

Stav šetření Vysvětlení
Benigní Byly zkoumány artefakty a bylo zjištěno, že nebyly nalezeny žádné hrozby.
PendingResource Automatizované šetření se pozastaví, protože buď čeká na schválení akce nápravy, nebo zařízení, na kterém byl artefakt nalezen, je dočasně nedostupné.
UnsupportedAlertType Pro tento typ upozornění není k dispozici automatizované šetření. Další šetření je možné provést ručně pomocí rozšířeného proaktivního vyhledávání.
Selhalo Nejméně jeden analyzátor šetření narazil na problém, kdy nemohl dokončit šetření. Pokud se šetření po schválení nápravných akcí nezdaří, je možné, že akce nápravy byly stále úspěšné.
Úspěšně napraveno Automatické šetření bylo dokončeno a všechny nápravné akce byly dokončeny nebo schváleny.

Pokud chcete poskytnout další kontext o tom, jak se zobrazují stavy šetření, uvádí následující tabulka výstrahy a jejich odpovídající stav automatizovaného šetření. Tato tabulka je uvedena jako příklad toho, co tým pro operace zabezpečení uvidí na portálu Microsoft Defender.

Název upozornění Závažnosti Stav šetření Stav Kategorie
V souboru s imagí disku wim byl zjištěn malware Informační Benigní Vyřešen Malware
Malware byl zjištěn v souboru archivu rar Informační PendingResource Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační UnsupportedAlertType Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační UnsupportedAlertType Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační UnsupportedAlertType Nwe Malware
V souboru zip archivu byl zjištěn malware. Informační PendingResource Nwe Malware
V souboru zip archivu byl zjištěn malware. Informační PendingResource Nwe Malware
V souboru zip archivu byl zjištěn malware. Informační PendingResource Nwe Malware
V souboru zip archivu byl zjištěn malware. Informační PendingResource Nwe Malware
Bylo zabráněno hacktool wpakill Nízké Selhalo Nwe Malware
GendowsBatch hacktool bylo zabráněno Nízké Selhalo Nwe Malware
Keygen hacktool bylo zabráněno Nízké Selhalo Nwe Malware
V souboru zip archivu byl zjištěn malware. Informační PendingResource Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační PendingResource Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační PendingResource Nwe Malware
V souboru zip archivu byl zjištěn malware. Informační PendingResource Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační PendingResource Nwe Malware
Malware byl zjištěn v souboru archivu rar Informační PendingResource Nwe Malware
V souboru image disku ISO byl zjištěn malware. Informační PendingResource Nwe Malware
V souboru image disku ISO byl zjištěn malware. Informační PendingResource Nwe Malware
V datovém souboru pst outlooku byl zjištěn malware Informační UnsupportedAlertType Nwe Malware
V datovém souboru pst outlooku byl zjištěn malware Informační UnsupportedAlertType Nwe Malware
MediaGet detected Střední Částečně investičně Nwe Malware
TrojanEmailFile Střední Úspěšně odstraněno Vyřešen Malware
Zabránilo se malwaru CustomEnterpriseBlock Informační Úspěšně odstraněno Vyřešen Malware
Aktivní malware CustomEnterpriseBlock byl zablokovaný. Nízké Úspěšně odstraněno Vyřešen Malware
Aktivní malware CustomEnterpriseBlock byl zablokovaný. Nízké Úspěšně odstraněno Vyřešen Malware
Aktivní malware CustomEnterpriseBlock byl zablokovaný. Nízké Úspěšně odstraněno Vyřešen Malware
TrojanEmailFile Střední Benigní Vyřešen Malware
Zabránilo se malwaru CustomEnterpriseBlock Informační UnsupportedAlertType Nwe Malware
Zabránilo se malwaru CustomEnterpriseBlock Informační Úspěšně odstraněno Vyřešen Malware
TrojanEmailFile Střední Úspěšně odstraněno Vyřešen Malware
TrojanEmailFile Střední Benigní Vyřešen Malware
Aktivní malware CustomEnterpriseBlock byl zablokovaný. Nízké PendingResource Nwe Malware

Další kroky

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.