Details und Ergebnisse einer automatisierten Untersuchung in Microsoft 365

• Gilt für::

  ✅ Microsoft Defender for Office 365 Plan 2

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Wenn eine automatisierte Untersuchung in Microsoft Defender for Office 365 erfolgt, sind Details zu dieser Untersuchung während und nach dem automatisierten Untersuchungsprozess verfügbar. Wenn Sie über die erforderlichen Berechtigungen verfügen, können Sie diese Details im Microsoft Defender-Portal anzeigen. Untersuchungsdetails bieten Ihnen aktuelle status und die Möglichkeit, ausstehende Aktionen zu genehmigen.

Tipp

Sehen Sie sich die neue, einheitliche Untersuchungsseite im Microsoft Defender-Portal an. Weitere Informationen finden Sie unter (NEU!) Seite "Einheitliche Untersuchung".

Untersuchungs-status

Die Untersuchung status zeigt den Fortschritt der Analyse und der Aktionen an. Während der Untersuchung ändert sich status, um anzugeben, ob Bedrohungen gefunden wurden und ob Aktionen genehmigt wurden.

Status	Beschreibung
Wird gestartet	Die Untersuchung wurde ausgelöst und wartet darauf, mit der Ausführung zu beginnen.
Wird ausgeführt	Der Untersuchungsprozess hat begonnen und ist im Gange. Dieser Zustand tritt auch auf, wenn ausstehende Aktionen genehmigt werden.
Keine Bedrohungen gefunden	Die Untersuchung wurde abgeschlossen, und es wurden keine Bedrohungen (Benutzerkonto, E-Mail-Nachricht, URL oder Datei) identifiziert. TIPP: Wenn Sie vermuten, dass etwas verpasst wurde (z. B. ein falsch negatives), können Sie mithilfe von Threat Explorer Maßnahmen ergreifen.
Teilweise untersucht	Bei der automatisierten Untersuchung wurden Probleme gefunden, aber es gibt keine spezifischen Korrekturaktionen, um diese Probleme zu beheben. Die teilweise untersuchte status kann auftreten, wenn eine Art von Benutzeraktivität identifiziert wurde, aber keine Bereinigungsaktionen verfügbar sind. Beispiele hierfür sind eine der folgenden Benutzeraktivitäten: Ein Ereignis zur Verhinderung von Datenverlust Eine E-Mail, die eine Anomalie sendet Gesendete Schadsoftware Gesendeter Phish Hinweis: Diese teilweise untersuchte status früher als Bedrohungen gefunden bezeichnet. Bei der Untersuchung wurden keine schädlichen URLs, Dateien oder E-Mail-Nachrichten gefunden, die behoben werden müssen, und es müssen keine Postfachaktivitäten behoben werden, z. B. das Deaktivieren von Weiterleitungsregeln oder die Delegierung. TIPP: Wenn Sie vermuten, dass etwas verpasst wurde (z. B. ein falsch negatives), können Sie mithilfe von Threat Explorer
Vom System beendet	Die Untersuchung wurde beendet. Eine Untersuchung kann aus verschiedenen Gründen beendet werden: Die ausstehenden Aktionen der Untersuchung sind abgelaufen. Timeout für ausstehende Aktionen nach wartender Genehmigung für eine Woche Es gibt zu viele Aktionen. Wenn beispielsweise zu viele Benutzer auf schädliche URLs klicken, kann die Möglichkeit der Untersuchung, alle Analysetools auszuführen, überschritten werden, sodass die Untersuchung angehalten wird. TIPP: Wenn eine Untersuchung angehalten wird, bevor Aktionen ergriffen wurden, versuchen Sie, Bedrohungen mithilfe von Threat Explorer zu finden und zu beheben.
Ausstehende Aktion	Die Untersuchung hat eine Bedrohung gefunden, z. B. eine schädliche E-Mail, eine schädliche URL oder eine riskante Postfacheinstellung, und eine Aktion zur Behebung dieser Bedrohung wartet auf genehmigungswartend. Der Status Pending Action wird ausgelöst, wenn eine Bedrohung mit einer entsprechenden Aktion gefunden wird. Die Liste der ausstehenden Aktionen kann sich jedoch erhöhen, wenn eine Untersuchung ausgeführt wird. Zeigen Sie die Untersuchungsdetails an, um festzustellen, ob andere Elemente noch ausstehen.
Bereinigt	Die Untersuchung wurde abgeschlossen, und alle Abhilfemaßnahmen wurden genehmigt (als vollständig behoben gekennzeichnet). HINWEIS: Genehmigte Wartungsaktionen können Fehler aufweisen, die verhindern, dass die Aktionen ausgeführt werden. Unabhängig davon, ob Korrekturaktionen erfolgreich abgeschlossen wurden, ändert sich die Untersuchung status nicht. Untersuchungsdetails anzeigen.
Teilweise behoben	Die Untersuchung führte zu Abhilfemaßnahmen, und einige wurden genehmigt und abgeschlossen. Andere Aktionen sind noch ausstehend.
Fehlgeschlagen	Mindestens ein Untersuchungsanalysetool ist auf ein Problem gelaufen, bei dem es nicht ordnungsgemäß abgeschlossen werden konnte. HINWEIS Wenn eine Untersuchung fehlschlägt, nachdem die Wiederherstellungsaktionen genehmigt wurden, sind die Wiederherstellungsaktionen möglicherweise weiterhin erfolgreich. Zeigen Sie die Untersuchungsdetails an.
Durch Drosselung in die Warteschlange eingereiht	Eine Untersuchung wird in einer Warteschlange durchgeführt. Wenn andere Untersuchungen abgeschlossen sind, beginnen untersuchungen in der Warteschlange. Durch die Drosselung können Sie eine schlechte Dienstleistung vermeiden. TIPP: Ausstehende Aktionen können einschränken, wie viele neue Untersuchungen ausgeführt werden können. Stellen Sie sicher, dass Sie ausstehende Aktionen genehmigen (oder ablehnen).
Durch Drosselung beendet	Wenn eine Untersuchung zu lange in der Warteschlange gehalten wird, wird sie beendet. TIPP: Sie können eine Untersuchung von Threat Explorer starten.

Anzeigen von Details zu einer Untersuchung

1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.
2. Wählen Sie im Navigationsbereich Aktionen & Übermittlungen>Info-Center aus.
3. Wählen Sie auf den Registerkarten Ausstehend oder Verlauf eine Aktion aus. Der Flyoutbereich wird geöffnet.
4. Wählen Sie im Flyoutbereich Untersuchungsseite öffnen aus.
5. Verwenden Sie die verschiedenen Registerkarten, um mehr über die Untersuchung zu erfahren.

Anzeigen von Details zu einer Warnung im Zusammenhang mit einer Untersuchung

Bestimmte Arten von Warnungen lösen eine automatisierte Untersuchung in Microsoft 365 aus. Weitere Informationen finden Sie unter Warnungsrichtlinien, die automatisierte Untersuchungen auslösen.

1. Wechseln Sie zum Microsoft Defender-Portal (https://security.microsoft.com), und melden Sie sich an.
2. Wählen Sie im Navigationsbereich Info-Center aus.
3. Wählen Sie auf den Registerkarten Ausstehend oder Verlauf eine Aktion aus. Der Flyoutbereich wird geöffnet.
4. Wählen Sie im Flyoutbereich Untersuchungsseite öffnen aus.
5. Wählen Sie die Registerkarte Warnungen aus, um eine Liste aller Warnungen anzuzeigen, die dieser Untersuchung zugeordnet sind.
6. Wählen Sie ein Element in der Liste aus, um den flyout-Bereich zu öffnen. Dort können Sie weitere Informationen zur Warnung anzeigen.

Beachten Sie die folgenden Punkte:

• Email werden zum Zeitpunkt der Untersuchung berechnet, und einige Zählungen werden neu berechnet, wenn Sie Untersuchungs-Flyouts (basierend auf einer zugrunde liegenden Abfrage) öffnen.

• Die E-Mail-Anzahl, die für die E-Mail-Cluster auf der Registerkarte Email angezeigt wird, und der im Cluster-Flyout angezeigte Wert der E-Mail-Menge werden zum Zeitpunkt der Untersuchung berechnet und ändern sich nicht.

• Die unten auf der Registerkarte Email angezeigte E-Mail-Anzahl des E-Mail-Cluster-Flyouts und die Anzahl der in Explorer angezeigten E-Mail-Nachrichten entsprechen E-Mail-Nachrichten, die nach der ersten Analyse der Untersuchung empfangen wurden.

  Daher würde ein E-Mail-Cluster, der eine ursprüngliche Menge von 10 E-Mail-Nachrichten anzeigt, eine E-Mail-Liste von insgesamt 15 anzeigen, wenn fünf weitere E-Mail-Nachrichten zwischen der Untersuchungsphase und dem Überprüfen der Untersuchung durch den Administrator eingehen. Ebenso können alte Untersuchungen höhere Anzahlen anzeigen, als Explorer Abfragen zeigen, da Daten in Microsoft Defender for Office 365 Plan 2 nach sieben Tagen für Testversionen und nach 30 Tagen für kostenpflichtige Lizenzen ablaufen.

  Um die Auswirkungen auf die E-Mail zum Zeitpunkt der Untersuchung sowie die aktuellen Auswirkungen bis zum Zeitpunkt der Ausführung der Korrektur anzuzeigen, werden sowohl historische als auch aktuelle Zählungen in verschiedenen Ansichten angezeigt.

• Im Kontext von E-Mails wird im Rahmen der Untersuchung möglicherweise eine Bedrohungsfläche für Volumenanomalie angezeigt. Eine Volumeanomalie weist auf eine Spitze ähnlicher E-Mail-Nachrichten um die Untersuchungszeit des Ereignisses im Vergleich zu früheren Zeitrahmen hin. Eine Spitze des E-Mail-Datenverkehrs zusammen mit bestimmten Merkmalen (z. B. Betreff- und Absenderdomäne, Körperähnlichkeit und Absender-IP-Adresse) ist typisch für den Beginn von E-Mail-Kampagnen oder -Angriffen. Massen-, Spam- und legitime E-Mail-Kampagnen teilen jedoch häufig diese Merkmale.

• Volumenanomalien stellen eine potenzielle Bedrohung dar und können daher im Vergleich zu Schadsoftware oder Phish-Bedrohungen, die mithilfe von Antiviren-Engines, Detonation oder böswilligem Ruf identifiziert werden, weniger schwerwiegend sein.

• Sie müssen nicht jede Aktion genehmigen. Wenn Sie mit der empfohlenen Aktion nicht einverstanden sind oder Ihr organization bestimmte Arten von Aktionen nicht auswählt, können Sie die Aktionen ablehnen oder einfach ignorieren und keine Aktion ausführen.

• Durch das Genehmigen und/oder Ablehnen aller Aktionen wird die Untersuchung vollständig geschlossen (status wird behoben), während einige Aktionen unvollständig bleiben, status in einen teilweise korrigierten Zustand wechseln.

Nächste Schritte

• Überprüfen und Genehmigen ausstehender Aktionen