Teilen über


Details und Ergebnisse einer automatisierten Untersuchung

Gilt für:

  • Microsoft Defender XDR

Wenn Microsoft Defender XDR eine automatisierte Untersuchung ausgeführt wird, sind Details zu dieser Untersuchung sowohl während als auch nach dem automatisierten Untersuchungsprozess verfügbar. Wenn Sie über die erforderlichen Berechtigungen verfügen, können Sie diese Details in einer Untersuchungsdetailsansicht anzeigen, die Ihnen aktuelle status und die Möglichkeit bietet, ausstehende Aktionen zu genehmigen.

(NEU) Seite "Einheitliche Untersuchung"

Die Untersuchungsseite wurde kürzlich aktualisiert, um Informationen zu Ihren Geräten, E-Mails und Inhalten für die Zusammenarbeit einzuschließen. Die neue, einheitliche Untersuchungsseite definiert eine gemeinsame Sprache und bietet eine einheitliche Oberfläche für automatische Untersuchungen in Microsoft Defender for Endpoint und Microsoft Defender for Office 365. Um auf die Einheitliche Untersuchungsseite zuzugreifen, wählen Sie den Link im gelben Banner aus, auf dem Sie sehen werden:

Öffnen der Anzeige mit Untersuchungsdetails

Mit einer der folgenden Methoden können Sie die Anzeige mit Untersuchungsdetails öffnen:

Auswählen eines Elements im Info-Center

Das verbesserte Info-Center (https://security.microsoft.com/action-center) vereint Wartungsaktionen auf Ihren Geräten, E-Mails & Inhalte für die Zusammenarbeit und Identitäten. Zu den aufgeführten Aktionen gehören Korrekturmaßnahmen, die automatisch oder manuell ausgeführt wurden. Im Info-Center können Sie Aktionen anzeigen, die auf die Genehmigung warten, und Aktionen, die bereits genehmigt oder abgeschlossen wurden. Sie können auch zu weiteren Details navigieren, z. B. zu einer Untersuchungsseite.

Tipp

Sie müssen über bestimmte Berechtigungen verfügen , um Aktionen zu genehmigen, abzulehnen oder rückgängig zu machen.

  1. Wechseln Sie zu Microsoft Defender Portal, und melden Sie sich an.

  2. Wählen Sie im Navigationsbereich Info-Center aus.

  3. Wählen Sie auf der Registerkarte Ausstehend oder Verlauf ein Element aus. Der Flyoutbereich wird geöffnet.

  4. Überprüfen Sie die Informationen im Flyoutbereich, und führen Sie dann einen der folgenden Schritte aus:

    • Wählen Sie Untersuchungsseite öffnen aus, um weitere Details zur Untersuchung anzuzeigen.
    • Wählen Sie Genehmigen aus, um eine ausstehende Aktion zu initiieren.
    • Wählen Sie Ablehnen aus, um zu verhindern, dass eine ausstehende Aktion ausgeführt wird.
    • Wählen Sie Gehe zur Jagd , um zur Erweiterten Suche zu wechseln.

Öffnen einer Untersuchung von einer Vorfalldetailsseite

Verwenden Sie die Seite „Vorfalldetails“, um detaillierte Informationen zu einem Vorfall anzuzeigen, einschließlich ausgelöster Warnungen und Informationen zu betroffenen Geräten, Benutzerkonten oder Postfächern.

  1. Wechseln Sie zu Microsoft Defender Portal, und melden Sie sich an.

  2. Wählen Sie im Navigationsbereich Incidents & Alerts>Incidents aus.

  3. Wählen Sie ein Element in der Liste aus, und wählen Sie dann Vorfallseite öffnen aus.

  4. Wählen Sie auf der Registerkarte Untersuchungen eine Untersuchung in der Liste aus. Der Flyoutbereich wird geöffnet.

  5. Wählen Sie Untersuchungsseite öffnen aus.

Im Folgenden sehen Sie ein Beispiel.

Die Seite

Untersuchungsdetails

Verwenden Sie die Anzeige mit Untersuchungsdetails, um vergangene, aktuelle und ausstehende Aktivitäten im Zusammenhang mit einer Untersuchung anzuzeigen. Im Folgenden sehen Sie ein Beispiel.

Die Seite mit den Untersuchungsdetails im Microsoft Defender-Portal

In der Anzeige mit Untersuchungsdetails können Sie Informationen im Untersuchungsdiagramm sowie auf den Registerkarten Benachrichtigungen, Geräte, Identitäten, Wichtige Erkenntnisse, Entitäten, Protokoll und Ausstehende Aktionen anzeigen, die in der folgenden Tabelle beschrieben sind.

Hinweis

Welche Registerkarten auf einer Untersuchungsdetailseite angezeigt werden, hängt davon ab, was Ihr Abonnement enthält. Wenn Ihr Abonnement beispielsweise Microsoft Defender for Office 365 Plan 2 nicht enthält, wird keine Registerkarte Postfächer angezeigt.

Registerkarte Beschreibung
Untersuchungsdiagramm Bietet eine visuelle Darstellung der Untersuchung. Stellt Entitäten dar und listet gefundene Bedrohungen zusammen mit Warnungen und Informationen dazu auf, ob Aktionen genehmigt werden müssen.
Sie können ein Element im Diagramm auswählen, um weitere Details anzuzeigen. Wenn Sie z. B. das Symbol Beweis auswählen , gelangen Sie zur Registerkarte Beweis , auf der Sie erkannte Entitäten und deren Urteile sehen können.
Benachrichtigungen Listet die mit der Untersuchung verbundenen Warnungen auf. Warnungen können von Bedrohungsschutzfeatures auf dem Gerät eines Benutzers, in Office-Apps, Microsoft Defender for Cloud Apps und anderen Microsoft Defender XDR-Features stammen.

Wenn der Warnungstyp "Nicht unterstützt" angezeigt wird, bedeutet dies, dass automatisierte Untersuchungsfunktionen diese Warnung nicht zum Ausführen einer automatisierten Untersuchung aufnehmen können. Sie können diese Warnungen jedoch manuell untersuchen.
Geräte Listen Geräte, die in der Untersuchung enthalten sind, sowie deren Wartungsebene. (Wartungsebenen entsprechen der Automatisierungsebene für Gerätegruppen.)
Postfächer Listen Postfächer, die von erkannten Bedrohungen betroffen sind.
Benutzer Listen Benutzerkonten, die von erkannten Bedrohungen betroffen sind.
Beweis Listen Beweiselemente, die durch Warnungen oder Untersuchungen ausgelöst wurden. Umfasst Bewertungen (Böswillig, Verdächtigt, Unbekannt oder Keine Bedrohungen gefunden) und Korrekturstatus.
Entities Enthält Details zu jeder analysierten Entität, einschließlich einer Bewertung für jeden Entitätstyp (Böswillig, Verdächtigt oder Keine Bedrohungen gefunden).
Log Bietet eine chronologische, detaillierte Ansicht aller Untersuchungsaktionen, die nach dem Auslösen einer Warnung ausgeführt wurden.
Verlauf unerledigter Aktionen Listet Elemente auf, für die eine Genehmigung erforderlich, um fortzufahren. Navigieren Sie zum Info-Center (https://security.microsoft.com/action-center), um ausstehende Aktionen zu genehmigen.

Untersuchungsstatus

In der folgenden Tabelle sind die Untersuchungszustände und deren Angabe aufgeführt.

Untersuchungsstatus Definition
Harmlos Artefakte wurden untersucht und festgestellt, dass keine Bedrohungen gefunden wurden.
PendingResource Eine automatisierte Untersuchung wird angehalten, da entweder eine Korrekturaktion genehmigt wird oder das Gerät, auf dem ein Artefakt gefunden wurde, vorübergehend nicht verfügbar ist.
UnsupportedAlertType Für diese Art von Warnung ist keine automatisierte Untersuchung verfügbar. Weitere Untersuchungen können manuell mithilfe der erweiterten Suche durchgeführt werden.
Fehlgeschlagen Bei mindestens einem Untersuchungsanalysetool ist ein Problem aufgetreten, bei dem die Untersuchung nicht abgeschlossen werden konnte. Wenn eine Untersuchung fehlschlägt, nachdem die Wiederherstellungsaktionen genehmigt wurden, sind die Wiederherstellungsaktionen möglicherweise weiterhin erfolgreich.
Erfolgreich behoben Eine automatisierte Untersuchung wurde abgeschlossen, und alle Wiederherstellungsaktionen wurden abgeschlossen oder genehmigt.

Um mehr Kontext zur Darstellung von Untersuchungszuständen bereitzustellen, sind in der folgenden Tabelle Warnungen und deren entsprechender automatisierter Untersuchungsstatus aufgeführt. Diese Tabelle ist ein Beispiel dafür, was ein Sicherheitsteam im Microsoft Defender-Portal sehen kann.

Warnungsname Severity Untersuchungsstatus Status Kategorie
Schadsoftware wurde in einer WIM-Disk-Imagedatei erkannt. Zur Information Harmlos Gelöst Schadsoftware
Schadsoftware wurde in einer rar-Archivdatei erkannt Zur Information PendingResource Neu Schadsoftware
Schadsoftware wurde in einer rar-Archivdatei erkannt Zur Information UnsupportedAlertType Neu Schadsoftware
Schadsoftware wurde in einer rar-Archivdatei erkannt Zur Information UnsupportedAlertType Neu Schadsoftware
Schadsoftware wurde in einer rar-Archivdatei erkannt Zur Information UnsupportedAlertType Neu Schadsoftware
Schadsoftware wurde in einer ZIP-Archivdatei erkannt Zur Information PendingResource Neu Schadsoftware
Schadsoftware wurde in einer ZIP-Archivdatei erkannt Zur Information PendingResource Neu Schadsoftware
Schadsoftware wurde in einer ZIP-Archivdatei erkannt Zur Information PendingResource Neu Schadsoftware
Schadsoftware wurde in einer ZIP-Archivdatei erkannt Zur Information PendingResource Neu Schadsoftware
Wpakill-Hacktool wurde verhindert Niedrig Fehlgeschlagen Neu Schadsoftware
GendowsBatch-Hacktool wurde verhindert Niedrig Fehlgeschlagen Neu Schadsoftware
Keygen-Hacktool wurde verhindert Niedrig Fehlgeschlagen Neu Schadsoftware
Schadsoftware wurde in einer ZIP-Archivdatei erkannt Zur Information PendingResource Neu Schadsoftware
Schadsoftware wurde in einer rar-Archivdatei erkannt Zur Information PendingResource Neu Schadsoftware
Schadsoftware wurde in einer rar-Archivdatei erkannt Zur Information PendingResource Neu Schadsoftware
Schadsoftware wurde in einer ZIP-Archivdatei erkannt Zur Information PendingResource Neu Schadsoftware
Schadsoftware wurde in einer rar-Archivdatei erkannt Zur Information PendingResource Neu Schadsoftware
Schadsoftware wurde in einer rar-Archivdatei erkannt Zur Information PendingResource Neu Schadsoftware
Schadsoftware wurde in einer ISO-Datenträger-Imagedatei erkannt. Zur Information PendingResource Neu Schadsoftware
Schadsoftware wurde in einer ISO-Datenträger-Imagedatei erkannt. Zur Information PendingResource Neu Schadsoftware
Schadsoftware wurde in einer PST-Outlook-Datendatei erkannt Zur Information UnsupportedAlertType Neu Schadsoftware
Schadsoftware wurde in einer PST-Outlook-Datendatei erkannt Zur Information UnsupportedAlertType Neu Schadsoftware
MediaGet erkannt Mittel Teilweise Ininvestiert Neu Schadsoftware
TrojanEmailFile Mittel SuccessfullyRemediated Gelöst Schadsoftware
CustomEnterpriseBlock Malware wurde verhindert Zur Information SuccessfullyRemediated Gelöst Schadsoftware
Eine aktive CustomEnterpriseBlock-Schadsoftware wurde blockiert. Niedrig SuccessfullyRemediated Gelöst Schadsoftware
Eine aktive CustomEnterpriseBlock-Schadsoftware wurde blockiert. Niedrig SuccessfullyRemediated Gelöst Schadsoftware
Eine aktive CustomEnterpriseBlock-Schadsoftware wurde blockiert. Niedrig SuccessfullyRemediated Gelöst Schadsoftware
TrojanEmailFile Mittel Harmlos Gelöst Schadsoftware
CustomEnterpriseBlock Malware wurde verhindert Zur Information UnsupportedAlertType Neu Schadsoftware
CustomEnterpriseBlock Malware wurde verhindert Zur Information SuccessfullyRemediated Gelöst Schadsoftware
TrojanEmailFile Mittel SuccessfullyRemediated Gelöst Schadsoftware
TrojanEmailFile Mittel Harmlos Gelöst Schadsoftware
Eine aktive CustomEnterpriseBlock-Schadsoftware wurde blockiert. Niedrig PendingResource Neu Schadsoftware

Nächste Schritte

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.