Automaattisen tutkimuksen tiedot ja tulokset
Koskee seuraavia:
- Microsoft Defender XDR
Kun Microsoft Defender XDR automatisoitua tutkimusta suoritetaan, kyseistä tutkimusta koskevat tiedot ovat saatavilla sekä automatisoidun tutkimusprosessin aikana että sen jälkeen. Jos sinulla on tarvittavat käyttöoikeudet, voit tarkastella näitä tietoja tutkimustietonäkymässä, joka tarjoaa sinulle ajan tasalla olevan tilan ja mahdollisuuden hyväksyä odottavia toimintoja.
(UUSI) Yhdistetty tutkimussivu
Tutkimussivu on äskettäin päivitetty sisältämään tietoja laitteistasi, sähköposteistasi ja yhteistyösisällöstäsi. Uusi, yhtenäinen tutkimussivu määrittää yleisen kielen ja tarjoaa yhtenäisen kokemuksen automaattisiin tutkimuksiin eri Microsoft Defender for Endpoint ja Microsoft Defender for Office 365. Pääset yhtenäiselle tutkimussivulle valitsemalla linkin keltaisessa bannerissa, jonka näet:
- mikä tahansa Microsoft Purview -yhteensopivuusportaali tutkimussivu
- mikä tahansa tutkintasivu Microsoft Defender portaalissa (https://security.microsoft.com)
- Kaikki tapahtuma- tai toimintokeskuskokemukset Microsoft Defender portaalissa
Avaa tutkinnan tietonäkymä
Voit avata tutkimustietonäkymän jollakin seuraavista menetelmistä:
Valitse kohde toimintokeskuksessa
Parannettu toimintokeskus (https://security.microsoft.com/action-center) kokoaa yhteen korjaustoiminnot eri laitteissa, sähköpostin & yhteistyösisällön ja käyttäjätiedot. Luetellut toiminnot sisältävät korjaustoimintoja, jotka on tehty automaattisesti tai manuaalisesti. Toimintokeskuksessa voit tarkastella hyväksyntää odottavia toimintoja ja toimintoja, jotka on jo hyväksytty tai suoritettu. Voit myös siirtyä lisätietoihin, kuten tutkimussivuun.
Vihje
Sinulla on oltava tietyt oikeudet toimintojen hyväksymiseen, hylkäämiseen tai kumoamiseen.
Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Valitse siirtymisruudussa Toimintokeskus.
Valitse kohde Odottaa - tai Historia-välilehdessä . Sen pikaikkunaruutu avautuu.
Tarkista tiedot pikaikkunaruudussa ja suorita sitten jokin seuraavista toimista:
- Valitse Avaa tutkinta -sivu , jos haluat tarkastella lisätietoja tutkinnasta.
- Aloita odottava toiminto valitsemalla Hyväksy .
- Valitse Hylkää , jos haluat estää odottavan toiminnon suorittamisen.
- Valitse Mene metsästämään siirtyäksesi kehittyneeseen metsästykseen.
Tutkimuksen avaaminen tapauksen tietosivulta
Tapahtuman tiedot -sivun avulla voit tarkastella yksityiskohtaisia tietoja tapahtumasta, mukaan lukien hälytyksiä, jotka aiheuttivat tietoja kaikista laitteista, käyttäjätileistä tai postilaatikoista, joita ongelma koskee.
Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
Valitse siirtymisruudussa Tapaukset & hälytykset>Tapaukset.
Valitse kohde luettelosta ja valitse sitten Avaa tapaussivu.
Valitse Tutkimukset-välilehti ja valitse sitten luettelosta tutkimus. Sen pikaikkunaruutu avautuu.
Valitse Avaa tutkimussivu.
Tässä on esimerkki.
Tutkimustiedot
Tutkimustietonäkymän avulla voit tarkastella aiempaa, ajantasaista ja odottavaa tutkimusta koskevaa toimintaa. Tässä on esimerkki.
Näet Tutkinnan tiedot -näkymässä tietoja tutkimuskaavion, ilmoitusten, laitteiden, käyttäjätietojen, avainhavaintojen, entiteettien, lokin ja odottavien toimintojen välilehdistä, jotka on kuvattu seuraavassa taulukossa.
Huomautus
Tietyt välilehdet, jotka näet tutkinnan tietosivulla, määräytyvät sen mukaan, mitä tilaus sisältää. Jos tilauksesi ei esimerkiksi sisällä Microsoft Defender for Office 365 palvelupakettia 2, et näe Postilaatikot-välilehteä.
| Välilehti | Kuvaus |
|---|---|
| Tutkimuskaavio | Esittää tutkimuksen visuaalisesti. Kuvaa löytyneet entiteetit ja luetteloi löytyneet uhat sekä ilmoitukset ja sen, odottavatko toiminnot hyväksyntää. Voit valita kohteen kaaviosta nähdäksesi lisätietoja. Jos valitset esimerkiksi Todiste-kuvakkeen , siirryt Todiste-välilehteen , jossa voit nähdä havaitut entiteetit ja niiden tuomiot. |
| Ilmoitukset | Lists tutkintaan liittyviä ilmoituksia. Ilmoitukset voivat olla peräisin uhkien suojausominaisuuksista käyttäjän laitteessa, Office-sovelluksissa, Microsoft Defender for Cloud Apps ja muissa Microsoft Defender XDR ominaisuuksissa. Jos näet ilmoitustyypin, jota ei tueta, se tarkoittaa, että automatisoidut tutkimustoiminnot eivät pysty poimimaan kyseistä ilmoitusta automatisoidun tutkimuksen suorittamiseksi. Voit kuitenkin tutkia nämä hälytykset manuaalisesti. |
| Laitteet | Lists tutkimukseen sisältyviä laitteita ja niiden korjaustasoa. (Korjaustasot vastaavat laiteryhmien automaatiotasoa.) |
| Postilaatikot | Lists postilaatikot, joihin havaitut uhat vaikuttavat. |
| Käyttäjät | Lists käyttäjätilejä, joihin havaitut uhat vaikuttavat. |
| Todisteita | Lists ilmoitusten tai tutkimusten esittämät todisteet. Sisältää tuomiot (pahantahtoiset, epäilyttävät, tuntemattomat tai ei löytynyt uhkia) sekä korjauksen tilan. |
| Yhteisöt | Antaa tietoja kustakin analysoidusta entiteetistä, mukaan lukien kunkin entiteettityypin tuomion (haitallisia, epäilyttäviä tai uhkia ei löytynyt). |
| Kirjaudu | Tarjoaa kronologisen ja yksityiskohtaisen näkymän kaikista hälytyksen käynnistymisen jälkeen toteutetuista tutkimustoimista. |
| Odottavien toimintojen historia | Lists kohteita, joiden jatkaminen edellyttää hyväksyntää. Siirry toimintokeskukseen (https://security.microsoft.com/action-center), jos haluat hyväksyä odottavat toiminnot. |
Tutkinnan tilat
Seuraavassa taulukossa luetellaan tutkimusten tilat ja ne, mitä ne osoittavat.
| Tutkinnan tila | Määritelmä |
|---|---|
| Hyvänlaatuinen | Artefakteja tutkittiin ja tehtiin päätös, että uhkia ei löytynyt. |
| Odottaa resurssia | Automaattinen tutkimus keskeytetään, koska joko korjaustoiminto odottaa hyväksyntää tai koska laite, josta artefakti löydettiin, ei ole tilapäisesti käytettävissä. |
| Ei-tuettuAlertType | Tämäntyyppiselle ilmoituksille ei ole käytettävissä automaattista tutkintaa. Lisätutkimukset voidaan tehdä manuaalisesti käyttämällä kehittynyttä metsästystä. |
| Epäonnistui | Ainakin yhdessä tutkimusanalysaattorissa ilmeni ongelma, jossa se ei pystynyt viimeistelemaan tutkimusta. Jos tutkimus epäonnistuu korjaustoimien hyväksymisen jälkeen, korjaustoimet ovat ehkä vielä onnistuneet. |
| Korjaaminen onnistui | Automatisoitu tutkimus on valmis, ja kaikki korjaustoimet on saatu päätökseen tai hyväksytty. |
Seuraavassa taulukossa on luettelo ilmoituksista ja niitä vastaavasta automatisoidusta tutkimustilasta, jotta saadaan enemmän kontekstia siitä, miten tutkimukset näkyvät. Tämä taulukko on esimerkki siitä, mitä suojaustoimintaryhmä saattaa nähdä Microsoft Defender portaalissa.
| Ilmoituksen nimi | Vakavuus | Tutkinnan tila | Tila | Luokka |
|---|---|---|---|---|
| Wim-levyn kuvatiedostossa havaittiin haittaohjelma | Tiedottava | Hyvänlaatuinen | Ratkaistu | Haittaohjelmien |
| Haittaohjelmia havaittiin rar-arkistotiedostossa | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Haittaohjelmia havaittiin rar-arkistotiedostossa | Tiedottava | Ei-tuettuAlertType | Uusi | Haittaohjelmien |
| Haittaohjelmia havaittiin rar-arkistotiedostossa | Tiedottava | Ei-tuettuAlertType | Uusi | Haittaohjelmien |
| Haittaohjelmia havaittiin rar-arkistotiedostossa | Tiedottava | Ei-tuettuAlertType | Uusi | Haittaohjelmien |
| Zip-arkistotiedostossa havaittiin haittaohjelmia | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Zip-arkistotiedostossa havaittiin haittaohjelmia | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Zip-arkistotiedostossa havaittiin haittaohjelmia | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Zip-arkistotiedostossa havaittiin haittaohjelmia | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Wpakill hacktool estettiin | Alhainen | Epäonnistui | Uusi | Haittaohjelmien |
| GendowsBatch hacktool estettiin | Alhainen | Epäonnistui | Uusi | Haittaohjelmien |
| Keygen hacktool estettiin | Alhainen | Epäonnistui | Uusi | Haittaohjelmien |
| Zip-arkistotiedostossa havaittiin haittaohjelmia | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Haittaohjelmia havaittiin rar-arkistotiedostossa | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Haittaohjelmia havaittiin rar-arkistotiedostossa | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Zip-arkistotiedostossa havaittiin haittaohjelmia | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Haittaohjelmia havaittiin rar-arkistotiedostossa | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Haittaohjelmia havaittiin rar-arkistotiedostossa | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Haittaohjelmia havaittiin ISO-levyn kuvatiedostossa | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Haittaohjelmia havaittiin ISO-levyn kuvatiedostossa | Tiedottava | Odottaa resurssia | Uusi | Haittaohjelmien |
| Outlookin pst-datatiedostosta havaittiin haittaohjelma | Tiedottava | Ei-tuettuAlertType | Uusi | Haittaohjelmien |
| Outlookin pst-datatiedostosta havaittiin haittaohjelma | Tiedottava | Ei-tuettuAlertType | Uusi | Haittaohjelmien |
| MediaGet havaittu | Normaali | Osittain määritetty | Uusi | Haittaohjelmien |
| Troijan sähköpostitiedosto | Normaali | Korjattiin onnistuneesti | Ratkaistu | Haittaohjelmien |
| CustomEnterpriseBlock-haittaohjelma estettiin | Tiedottava | Korjattiin onnistuneesti | Ratkaistu | Haittaohjelmien |
| Aktiivinen CustomEnterpriseBlock-haittaohjelma estettiin | Alhainen | Korjattiin onnistuneesti | Ratkaistu | Haittaohjelmien |
| Aktiivinen CustomEnterpriseBlock-haittaohjelma estettiin | Alhainen | Korjattiin onnistuneesti | Ratkaistu | Haittaohjelmien |
| Aktiivinen CustomEnterpriseBlock-haittaohjelma estettiin | Alhainen | Korjattiin onnistuneesti | Ratkaistu | Haittaohjelmien |
| Troijan sähköpostitiedosto | Normaali | Hyvänlaatuinen | Ratkaistu | Haittaohjelmien |
| CustomEnterpriseBlock-haittaohjelma estettiin | Tiedottava | Ei-tuettuAlertType | Uusi | Haittaohjelmien |
| CustomEnterpriseBlock-haittaohjelma estettiin | Tiedottava | Korjattiin onnistuneesti | Ratkaistu | Haittaohjelmien |
| Troijan sähköpostitiedosto | Normaali | Korjattiin onnistuneesti | Ratkaistu | Haittaohjelmien |
| Troijan sähköpostitiedosto | Normaali | Hyvänlaatuinen | Ratkaistu | Haittaohjelmien |
| Aktiivinen CustomEnterpriseBlock-haittaohjelma estettiin | Alhainen | Odottaa resurssia | Uusi | Haittaohjelmien |
Seuraavat vaiheet
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.