Detaljer og resultater af en automatiseret undersøgelse
Gælder for:
- Microsoft Defender XDR
Med Microsoft Defender XDR er oplysninger om undersøgelsen tilgængelige både under og efter den automatiserede undersøgelsesproces, når en automatiseret undersøgelse kører. Hvis du har de nødvendige tilladelser, kan du få vist disse oplysninger i en visning af undersøgelsesdetaljer, der giver dig opdateret status og mulighed for at godkende eventuelle ventende handlinger.
(NY) Unified Investigation-side
Undersøgelsessiden er for nylig blevet opdateret, så den indeholder oplysninger på tværs af dine enheder, mail og samarbejdsindhold. Den nye, samlede undersøgelsesside definerer et fælles sprog og giver en samlet oplevelse for automatiske undersøgelser på tværs af Microsoft Defender for Endpoint og Microsoft Defender for Office 365. Hvis du vil have adgang til siden med den samlede undersøgelse, skal du vælge linket i det gule banner, du får vist på:
- En hvilken som helst undersøgelsesside i Microsoft Purview-compliance-portal
- En hvilken som helst undersøgelsesside på Microsoft Defender-portalen (https://security.microsoft.com)
- Enhver hændelses- eller Handlingscenter-oplevelse på Microsoft Defender-portalen
Åbn visningen med undersøgelsesoplysninger
Du kan åbne visningen med undersøgelsesdetaljer ved hjælp af en af følgende metoder:
Vælg et element i Løsningscenter
Det forbedrede Handlingscenter (https://security.microsoft.com/action-center) samler afhjælpningshandlinger på tværs af dine enheder, mail & samarbejdsindhold og identiteter. De viste handlinger omfatter afhjælpningshandlinger, der blev udført automatisk eller manuelt. I Løsningscenter kan du få vist handlinger, der afventer godkendelse, og handlinger, der allerede er godkendt eller fuldført. Du kan også navigere til flere detaljer, f.eks. en undersøgelsesside.
Tip
Du skal have visse tilladelser til at godkende, afvise eller fortryde handlinger.
Gå til Microsoft Defender portal, og log på.
Vælg Løsningscenter i navigationsruden.
Vælg et element under fanen Ventende eller Oversigt . Dens pop op-rude åbnes.
Gennemse oplysningerne i pop op-ruden, og udfør derefter et af følgende trin:
- Vælg siden Åbn undersøgelse for at få vist flere oplysninger om undersøgelsen.
- Vælg Godkend for at starte en ventende handling.
- Vælg Afvis for at forhindre, at der udføres en ventende handling.
- Vælg Gå på jagt for at gå ind i Avanceret jagt.
Åbn en undersøgelse fra en side med oplysninger om en hændelse
Brug en side med oplysninger om hændelser til at få vist detaljerede oplysninger om en hændelse, herunder beskeder, der blev udløst oplysninger om alle berørte enheder, brugerkonti eller postkasser.
Gå til Microsoft Defender portal, og log på.
Vælg Hændelser & beskeder>Hændelser i navigationsruden.
Vælg et element på listen, og vælg derefter Åbn hændelsesside.
Vælg fanen Undersøgelser , og vælg derefter en undersøgelse på listen. Dens pop op-rude åbnes.
Vælg siden Åbn undersøgelse.
Her er et eksempel.
Undersøgelsesoplysninger
Brug visningen med undersøgelsesoplysninger til at se tidligere, aktuelle og ventende aktiviteter, der vedrører en undersøgelse. Her er et eksempel.
I visningen Undersøgelsesoplysninger kan du se oplysninger i grafen Undersøgelse, Beskeder, Enheder, Identiteter, Nøgleresultater, Enheder, Log og Ventende handlinger , som beskrevet i følgende tabel.
Bemærk!
De specifikke faner, du kan se på en side med undersøgelsesoplysninger, afhænger af, hvad dit abonnement omfatter. Hvis dit abonnement f.eks. ikke indeholder Microsoft Defender for Office 365 Plan 2, kan du ikke se fanen Postkasser.
| Tab | Beskrivelse |
|---|---|
| Undersøgelsesgraf | Giver en visuel repræsentation af undersøgelsen. Viser enheder og viser de trusler, der blev fundet, sammen med beskeder, og om der er handlinger, der afventer godkendelse. Du kan vælge et element på grafen for at få vist flere oplysninger. Hvis du f.eks. vælger ikonet Beviser , kommer du til fanen Beviser , hvor du kan se registrerede enheder og deres domme. |
| Beskeder | Lister beskeder, der er knyttet til undersøgelsen. Beskeder kan komme fra funktioner til trusselsbeskyttelse på en brugers enhed, i Office-apps, Microsoft Defender for Cloud Apps og andre Microsoft Defender XDR-funktioner. Hvis du får vist beskedtypen Ikke-understøttet, betyder det, at automatiserede undersøgelsesfunktioner ikke kan hente beskeden for at køre en automatisk undersøgelse. Du kan dog undersøge disse beskeder manuelt. |
| Enheder | Lister enheder, der er omfattet af undersøgelsen, sammen med afhjælpningsniveauet. (Afhjælpningsniveauer svarer til automatiseringsniveauet for enhedsgrupper). |
| Postkasser | Lister postkasser, der påvirkes af registrerede trusler. |
| Brugere | Lister brugerkonti, der påvirkes af registrerede trusler. |
| Beviser | Lister beviser, der er rejst i forbindelse med indberetninger eller undersøgelser. Inkluderer domme (Ondsindet, Mistænkelig, Ukendt eller Ingen trusler fundet) og afhjælpningsstatus. |
| Enheder | Indeholder oplysninger om hvert analyseret objekt, herunder en dom for hver enhedstype (ondsindede, mistænkelige eller ingen trusler fundet). |
| Log | Giver en kronologisk og detaljeret visning af alle de undersøgelseshandlinger, der udføres, efter at en besked blev udløst. |
| Oversigt over ventende handlinger | Lister elementer, der kræver godkendelse for at fortsætte. Gå til Løsningscenter (https://security.microsoft.com/action-center) for at godkende ventende handlinger. |
Undersøgelsestilstande
I følgende tabel vises en liste over undersøgelsestilstande, og hvad de angiver.
| Undersøgelsestilstand | Definition |
|---|---|
| Godartede | Artefakter blev undersøgt, og det blev fastslået, at der ikke blev fundet nogen trusler. |
| Ventende ressource | En automatiseret undersøgelse er midlertidigt afbrudt, fordi enten en afhjælpningshandling afventer godkendelse, eller fordi den enhed, som en artefakt blev fundet på, er midlertidigt utilgængelig. |
| Ikke-understøttetAlertType | En automatiseret undersøgelse er ikke tilgængelig for denne type besked. Yderligere undersøgelse kan udføres manuelt, ved hjælp af avanceret jagt. |
| Mislykkedes | Mindst én undersøgelsesanalyse stødte på et problem, hvor den ikke kunne fuldføre undersøgelsen. Hvis en undersøgelse mislykkes, efter at afhjælpningshandlinger blev godkendt, kan afhjælpningshandlingerne stadig være lykkedes. |
| Afhjælpningen lykkedes | En automatiseret undersøgelse blev fuldført, og alle afhjælpningshandlinger blev fuldført eller godkendt. |
For at give mere kontekst om, hvordan undersøgelsestilstande vises, vises der beskeder og deres tilsvarende automatiserede undersøgelsestilstand i følgende tabel. Denne tabel er inkluderet som et eksempel på, hvad et sikkerhedsteam kan se på Microsoft Defender-portalen.
| Beskednavn | Sværhedsgraden | Undersøgelsestilstand | Status | Kategori |
|---|---|---|---|---|
| Der blev fundet malware i en wim-diskafbildningsfil | Informative | Godartede | Løst | Malware |
| Der blev fundet malware i en rar-arkivfil | Informative | Ventende ressource | Nye | Malware |
| Der blev fundet malware i en rar-arkivfil | Informative | Ikke-understøttetAlertType | Nye | Malware |
| Der blev fundet malware i en rar-arkivfil | Informative | Ikke-understøttetAlertType | Nye | Malware |
| Der blev fundet malware i en rar-arkivfil | Informative | Ikke-understøttetAlertType | Nye | Malware |
| Der blev fundet malware i en zip-arkivfil | Informative | Ventende ressource | Nye | Malware |
| Der blev fundet malware i en zip-arkivfil | Informative | Ventende ressource | Nye | Malware |
| Der blev fundet malware i en zip-arkivfil | Informative | Ventende ressource | Nye | Malware |
| Der blev fundet malware i en zip-arkivfil | Informative | Ventende ressource | Nye | Malware |
| Wpakill hacktool blev forhindret | Lav | Mislykkedes | Nye | Malware |
| GendowsBatch hacktool blev forhindret | Lav | Mislykkedes | Nye | Malware |
| Keygen hacktool blev forhindret | Lav | Mislykkedes | Nye | Malware |
| Der blev fundet malware i en zip-arkivfil | Informative | Ventende ressource | Nye | Malware |
| Der blev fundet malware i en rar-arkivfil | Informative | Ventende ressource | Nye | Malware |
| Der blev fundet malware i en rar-arkivfil | Informative | Ventende ressource | Nye | Malware |
| Der blev fundet malware i en zip-arkivfil | Informative | Ventende ressource | Nye | Malware |
| Der blev fundet malware i en rar-arkivfil | Informative | Ventende ressource | Nye | Malware |
| Der blev fundet malware i en rar-arkivfil | Informative | Ventende ressource | Nye | Malware |
| Der blev fundet malware i en ISO-diskafbildningsfil | Informative | Ventende ressource | Nye | Malware |
| Der blev fundet malware i en ISO-diskafbildningsfil | Informative | Ventende ressource | Nye | Malware |
| Der blev fundet malware i en pst Outlook-datafil | Informative | Ikke-understøttetAlertType | Nye | Malware |
| Der blev fundet malware i en pst Outlook-datafil | Informative | Ikke-understøttetAlertType | Nye | Malware |
| MediaGet registreret | Middel | Delvist overvåget | Nye | Malware |
| TrojanEmailFile | Middel | Vellykketgenremediated | Løst | Malware |
| CustomEnterpriseBlock malware blev forhindret | Informative | Vellykketgenremediated | Løst | Malware |
| En aktiv CustomEnterpriseBlock-malware blev blokeret | Lav | Vellykketgenremediated | Løst | Malware |
| En aktiv CustomEnterpriseBlock-malware blev blokeret | Lav | Vellykketgenremediated | Løst | Malware |
| En aktiv CustomEnterpriseBlock-malware blev blokeret | Lav | Vellykketgenremediated | Løst | Malware |
| TrojanEmailFile | Middel | Godartede | Løst | Malware |
| CustomEnterpriseBlock malware blev forhindret | Informative | Ikke-understøttetAlertType | Nye | Malware |
| CustomEnterpriseBlock malware blev forhindret | Informative | Vellykketgenremediated | Løst | Malware |
| TrojanEmailFile | Middel | Vellykketgenremediated | Løst | Malware |
| TrojanEmailFile | Middel | Godartede | Løst | Malware |
| En aktiv CustomEnterpriseBlock-malware blev blokeret | Lav | Ventende ressource | Nye | Malware |
Næste trin
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: I hele 2024 udfaser vi GitHub-problemer som feedbackmekanisme for indhold og erstatter det med et nyt feedbacksystem. Du kan få flere oplysninger under: https://aka.ms/ContentUserFeedback.
Indsend og få vist feedback om