Details und Ergebnisse einer automatisierten Untersuchung
Gilt für:
- Microsoft Defender XDR
Wenn Microsoft Defender XDR eine automatisierte Untersuchung ausgeführt wird, sind Details zu dieser Untersuchung sowohl während als auch nach dem automatisierten Untersuchungsprozess verfügbar. Wenn Sie über die erforderlichen Berechtigungen verfügen, können Sie diese Details in einer Untersuchungsdetailsansicht anzeigen, die Ihnen aktuelle status und die Möglichkeit bietet, ausstehende Aktionen zu genehmigen.
(NEU) Seite "Einheitliche Untersuchung"
Die Untersuchungsseite wurde kürzlich aktualisiert, um Informationen zu Ihren Geräten, E-Mails und Inhalten für die Zusammenarbeit einzuschließen. Die neue, einheitliche Untersuchungsseite definiert eine gemeinsame Sprache und bietet eine einheitliche Oberfläche für automatische Untersuchungen in Microsoft Defender for Endpoint und Microsoft Defender for Office 365. Um auf die Einheitliche Untersuchungsseite zuzugreifen, wählen Sie den Link im gelben Banner aus, auf dem Sie sehen werden:
- Seite "Alle Untersuchungen" im Microsoft Purview-Complianceportal
- Beliebige Untersuchungsseite im Microsoft Defender-Portal (https://security.microsoft.com)
- Alle Incidents oder Info-Center-Funktionen im Microsoft Defender-Portal
Öffnen der Anzeige mit Untersuchungsdetails
Mit einer der folgenden Methoden können Sie die Anzeige mit Untersuchungsdetails öffnen:
Auswählen eines Elements im Info-Center
Das verbesserte Info-Center (https://security.microsoft.com/action-center) vereint Wartungsaktionen auf Ihren Geräten, E-Mails & Inhalte für die Zusammenarbeit und Identitäten. Zu den aufgeführten Aktionen gehören Korrekturmaßnahmen, die automatisch oder manuell ausgeführt wurden. Im Info-Center können Sie Aktionen anzeigen, die auf die Genehmigung warten, und Aktionen, die bereits genehmigt oder abgeschlossen wurden. Sie können auch zu weiteren Details navigieren, z. B. zu einer Untersuchungsseite.
Tipp
Sie müssen über bestimmte Berechtigungen verfügen , um Aktionen zu genehmigen, abzulehnen oder rückgängig zu machen.
Wechseln Sie zu Microsoft Defender Portal, und melden Sie sich an.
Wählen Sie im Navigationsbereich Info-Center aus.
Wählen Sie auf der Registerkarte Ausstehend oder Verlauf ein Element aus. Der Flyoutbereich wird geöffnet.
Überprüfen Sie die Informationen im Flyoutbereich, und führen Sie dann einen der folgenden Schritte aus:
- Wählen Sie Untersuchungsseite öffnen aus, um weitere Details zur Untersuchung anzuzeigen.
- Wählen Sie Genehmigen aus, um eine ausstehende Aktion zu initiieren.
- Wählen Sie Ablehnen aus, um zu verhindern, dass eine ausstehende Aktion ausgeführt wird.
- Wählen Sie Gehe zur Jagd , um zur Erweiterten Suche zu wechseln.
Öffnen einer Untersuchung von einer Vorfalldetailsseite
Verwenden Sie die Seite „Vorfalldetails“, um detaillierte Informationen zu einem Vorfall anzuzeigen, einschließlich ausgelöster Warnungen und Informationen zu betroffenen Geräten, Benutzerkonten oder Postfächern.
Wechseln Sie zu Microsoft Defender Portal, und melden Sie sich an.
Wählen Sie im Navigationsbereich Incidents & Alerts>Incidents aus.
Wählen Sie ein Element in der Liste aus, und wählen Sie dann Vorfallseite öffnen aus.
Wählen Sie auf der Registerkarte Untersuchungen eine Untersuchung in der Liste aus. Der Flyoutbereich wird geöffnet.
Wählen Sie Untersuchungsseite öffnen aus.
Im Folgenden sehen Sie ein Beispiel.
Untersuchungsdetails
Verwenden Sie die Anzeige mit Untersuchungsdetails, um vergangene, aktuelle und ausstehende Aktivitäten im Zusammenhang mit einer Untersuchung anzuzeigen. Im Folgenden sehen Sie ein Beispiel.
In der Anzeige mit Untersuchungsdetails können Sie Informationen im Untersuchungsdiagramm sowie auf den Registerkarten Benachrichtigungen, Geräte, Identitäten, Wichtige Erkenntnisse, Entitäten, Protokoll und Ausstehende Aktionen anzeigen, die in der folgenden Tabelle beschrieben sind.
Hinweis
Welche Registerkarten auf einer Untersuchungsdetailseite angezeigt werden, hängt davon ab, was Ihr Abonnement enthält. Wenn Ihr Abonnement beispielsweise Microsoft Defender for Office 365 Plan 2 nicht enthält, wird keine Registerkarte Postfächer angezeigt.
| Registerkarte | Beschreibung |
|---|---|
| Untersuchungsdiagramm | Bietet eine visuelle Darstellung der Untersuchung. Stellt Entitäten dar und listet gefundene Bedrohungen zusammen mit Warnungen und Informationen dazu auf, ob Aktionen genehmigt werden müssen. Sie können ein Element im Diagramm auswählen, um weitere Details anzuzeigen. Wenn Sie z. B. das Symbol Beweis auswählen , gelangen Sie zur Registerkarte Beweis , auf der Sie erkannte Entitäten und deren Urteile sehen können. |
| Benachrichtigungen | Listet die mit der Untersuchung verbundenen Warnungen auf. Warnungen können von Bedrohungsschutzfeatures auf dem Gerät eines Benutzers, in Office-Apps, Microsoft Defender for Cloud Apps und anderen Microsoft Defender XDR-Features stammen. Wenn der Warnungstyp "Nicht unterstützt" angezeigt wird, bedeutet dies, dass automatisierte Untersuchungsfunktionen diese Warnung nicht zum Ausführen einer automatisierten Untersuchung aufnehmen können. Sie können diese Warnungen jedoch manuell untersuchen. |
| Geräte | Listen Geräte, die in der Untersuchung enthalten sind, sowie deren Wartungsebene. (Wartungsebenen entsprechen der Automatisierungsebene für Gerätegruppen.) |
| Postfächer | Listen Postfächer, die von erkannten Bedrohungen betroffen sind. |
| Benutzer | Listen Benutzerkonten, die von erkannten Bedrohungen betroffen sind. |
| Beweis | Listen Beweiselemente, die durch Warnungen oder Untersuchungen ausgelöst wurden. Umfasst Bewertungen (Böswillig, Verdächtigt, Unbekannt oder Keine Bedrohungen gefunden) und Korrekturstatus. |
| Entities | Enthält Details zu jeder analysierten Entität, einschließlich einer Bewertung für jeden Entitätstyp (Böswillig, Verdächtigt oder Keine Bedrohungen gefunden). |
| Log | Bietet eine chronologische, detaillierte Ansicht aller Untersuchungsaktionen, die nach dem Auslösen einer Warnung ausgeführt wurden. |
| Verlauf unerledigter Aktionen | Listet Elemente auf, für die eine Genehmigung erforderlich, um fortzufahren. Navigieren Sie zum Info-Center (https://security.microsoft.com/action-center), um ausstehende Aktionen zu genehmigen. |
Untersuchungsstatus
In der folgenden Tabelle sind die Untersuchungszustände und deren Angabe aufgeführt.
| Untersuchungsstatus | Definition |
|---|---|
| Harmlos | Artefakte wurden untersucht und festgestellt, dass keine Bedrohungen gefunden wurden. |
| PendingResource | Eine automatisierte Untersuchung wird angehalten, da entweder eine Korrekturaktion genehmigt wird oder das Gerät, auf dem ein Artefakt gefunden wurde, vorübergehend nicht verfügbar ist. |
| UnsupportedAlertType | Für diese Art von Warnung ist keine automatisierte Untersuchung verfügbar. Weitere Untersuchungen können manuell mithilfe der erweiterten Suche durchgeführt werden. |
| Fehlgeschlagen | Bei mindestens einem Untersuchungsanalysetool ist ein Problem aufgetreten, bei dem die Untersuchung nicht abgeschlossen werden konnte. Wenn eine Untersuchung fehlschlägt, nachdem die Wiederherstellungsaktionen genehmigt wurden, sind die Wiederherstellungsaktionen möglicherweise weiterhin erfolgreich. |
| Erfolgreich behoben | Eine automatisierte Untersuchung wurde abgeschlossen, und alle Wiederherstellungsaktionen wurden abgeschlossen oder genehmigt. |
Um mehr Kontext zur Darstellung von Untersuchungszuständen bereitzustellen, sind in der folgenden Tabelle Warnungen und deren entsprechender automatisierter Untersuchungsstatus aufgeführt. Diese Tabelle ist ein Beispiel dafür, was ein Sicherheitsteam im Microsoft Defender-Portal sehen kann.
| Warnungsname | Severity | Untersuchungsstatus | Status | Kategorie |
|---|---|---|---|---|
| Schadsoftware wurde in einer WIM-Disk-Imagedatei erkannt. | Zur Information | Harmlos | Gelöst | Schadsoftware |
| Schadsoftware wurde in einer rar-Archivdatei erkannt | Zur Information | PendingResource | Neu | Schadsoftware |
| Schadsoftware wurde in einer rar-Archivdatei erkannt | Zur Information | UnsupportedAlertType | Neu | Schadsoftware |
| Schadsoftware wurde in einer rar-Archivdatei erkannt | Zur Information | UnsupportedAlertType | Neu | Schadsoftware |
| Schadsoftware wurde in einer rar-Archivdatei erkannt | Zur Information | UnsupportedAlertType | Neu | Schadsoftware |
| Schadsoftware wurde in einer ZIP-Archivdatei erkannt | Zur Information | PendingResource | Neu | Schadsoftware |
| Schadsoftware wurde in einer ZIP-Archivdatei erkannt | Zur Information | PendingResource | Neu | Schadsoftware |
| Schadsoftware wurde in einer ZIP-Archivdatei erkannt | Zur Information | PendingResource | Neu | Schadsoftware |
| Schadsoftware wurde in einer ZIP-Archivdatei erkannt | Zur Information | PendingResource | Neu | Schadsoftware |
| Wpakill-Hacktool wurde verhindert | Niedrig | Fehlgeschlagen | Neu | Schadsoftware |
| GendowsBatch-Hacktool wurde verhindert | Niedrig | Fehlgeschlagen | Neu | Schadsoftware |
| Keygen-Hacktool wurde verhindert | Niedrig | Fehlgeschlagen | Neu | Schadsoftware |
| Schadsoftware wurde in einer ZIP-Archivdatei erkannt | Zur Information | PendingResource | Neu | Schadsoftware |
| Schadsoftware wurde in einer rar-Archivdatei erkannt | Zur Information | PendingResource | Neu | Schadsoftware |
| Schadsoftware wurde in einer rar-Archivdatei erkannt | Zur Information | PendingResource | Neu | Schadsoftware |
| Schadsoftware wurde in einer ZIP-Archivdatei erkannt | Zur Information | PendingResource | Neu | Schadsoftware |
| Schadsoftware wurde in einer rar-Archivdatei erkannt | Zur Information | PendingResource | Neu | Schadsoftware |
| Schadsoftware wurde in einer rar-Archivdatei erkannt | Zur Information | PendingResource | Neu | Schadsoftware |
| Schadsoftware wurde in einer ISO-Datenträger-Imagedatei erkannt. | Zur Information | PendingResource | Neu | Schadsoftware |
| Schadsoftware wurde in einer ISO-Datenträger-Imagedatei erkannt. | Zur Information | PendingResource | Neu | Schadsoftware |
| Schadsoftware wurde in einer PST-Outlook-Datendatei erkannt | Zur Information | UnsupportedAlertType | Neu | Schadsoftware |
| Schadsoftware wurde in einer PST-Outlook-Datendatei erkannt | Zur Information | UnsupportedAlertType | Neu | Schadsoftware |
| MediaGet erkannt | Mittel | Teilweise Ininvestiert | Neu | Schadsoftware |
| TrojanEmailFile | Mittel | SuccessfullyRemediated | Gelöst | Schadsoftware |
| CustomEnterpriseBlock Malware wurde verhindert | Zur Information | SuccessfullyRemediated | Gelöst | Schadsoftware |
| Eine aktive CustomEnterpriseBlock-Schadsoftware wurde blockiert. | Niedrig | SuccessfullyRemediated | Gelöst | Schadsoftware |
| Eine aktive CustomEnterpriseBlock-Schadsoftware wurde blockiert. | Niedrig | SuccessfullyRemediated | Gelöst | Schadsoftware |
| Eine aktive CustomEnterpriseBlock-Schadsoftware wurde blockiert. | Niedrig | SuccessfullyRemediated | Gelöst | Schadsoftware |
| TrojanEmailFile | Mittel | Harmlos | Gelöst | Schadsoftware |
| CustomEnterpriseBlock Malware wurde verhindert | Zur Information | UnsupportedAlertType | Neu | Schadsoftware |
| CustomEnterpriseBlock Malware wurde verhindert | Zur Information | SuccessfullyRemediated | Gelöst | Schadsoftware |
| TrojanEmailFile | Mittel | SuccessfullyRemediated | Gelöst | Schadsoftware |
| TrojanEmailFile | Mittel | Harmlos | Gelöst | Schadsoftware |
| Eine aktive CustomEnterpriseBlock-Schadsoftware wurde blockiert. | Niedrig | PendingResource | Neu | Schadsoftware |
Nächste Schritte
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.