Jaa


Microsoft 365:n automatisoidun tutkimuksen tiedot ja tulokset

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender XDR ominaisuuksia ilmaiseksi palvelupakettiin Office 365 2? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Kun automatisoitu tutkimus suoritetaan Microsoft Defender for Office 365, kyseistä tutkimusta koskevat tiedot ovat saatavilla automatisoidun tutkimusprosessin aikana ja sen jälkeen. Jos sinulla on tarvittavat oikeudet, voit tarkastella näitä tietoja Microsoft Defender-portaalissa. Tutkimustiedot antavat sinulle ajan tasalla olevan tilan ja mahdollisuuden hyväksyä odottavia toimintoja.

Vihje

Tutustu Microsoft Defender portaalin uuteen yhtenäiseen tutkimussivuun. Lisätietoja on kohdassa (UUSI!) Yhdistetty tutkimussivu.

Tutkinnan tila

Tutkimuksen tila ilmaisee analyysin ja toimintojen edistymisen. Tutkimuksen aikana tila muuttuu osoittamaan, löytyikö uhkia ja onko toimet hyväksytty.

Tila Kuvaus
Aloitetaan Tutkinta on käynnistetty ja se odottaa toiminnan aloittamista.
Juokseva Tutkintaprosessi on alkanut ja on käynnissä. Tämä tila ilmenee myös, kun odottavat toiminnot hyväksytään.
Uhkia ei löytynyt Tutkimus on päättynyt, eikä uhkia (käyttäjätiliä, sähköpostiviestiä, URL-osoitetta tai tiedostoa) tunnistettu.

VIHJE: Jos epäilet, että jotakin jäi huomaamatta (kuten epätosi negatiivinen), voit ryhtyä toimiin Threat Explorerin avulla.

Osittain tutkittu Automatisoitu tutkimus löysi ongelmia, mutta näiden ongelmien ratkaisemiseksi ei ole erityisiä korjaustoimia.

Osittain tutkittu -tila voi ilmetä, kun jonkin tyyppinen käyttäjän toiminta tunnistettiin, mutta puhdistustoimia ei ole käytettävissä. Esimerkkejä ovat jokin seuraavista käyttäjän toimista:


Huomautus: Tämä osittain tutkittu tila oli aiemmin merkitty löydetyksi uhkiksi.

Tutkimuksessa ei löytynyt haitallisia URL-osoitteita, tiedostoja tai sähköpostiviestejä korjattavaksi eikä yhtään korjattavaa postilaatikkotoimintaa, kuten siirtosääntöjen tai delegoinnin poistaminen käytöstä.

VIHJE: Jos epäilet, että jotakin jäi huomaamatta (kuten väärä negatiivinen), voit tutkia asiaa ja ryhtyä toimiin Threat Explorerin avulla

Järjestelmä lopettaa Tutkinta loppui. Tutkimus voi pysähtyä useista syistä:
  • Tutkinnan odottavat toimet ovat vanhentuneet. Odottavat toiminnot aikakatkaistiin, kun hyväksyntää odotetaan viikon ajan
  • Toimintoja on liikaa. Jos esimerkiksi liian moni käyttäjä napsauttaa haitallisia URL-osoitteita, se voi ylittää tutkimuksen kyvyn suorittaa kaikki analysoijat, joten tutkimus pysähtyy

VIHJE: Jos tutkimus pysähtyy ennen toimintoja, yritä etsiä ja käsitellä uhkia Threat Explorerin avulla.
Odottava toiminto Tutkimuksessa on havaittu uhka, kuten haitallinen sähköposti, haitallinen URL-osoite tai riskialttiin postilaatikon asetus, ja toimenpide tämän uhan korjaamiseksi odottaa hyväksyntää.

Odottavan toiminnon tila käynnistyy, kun löydetään uhka, joka liittyy vastaavaan toimintoon. Odottavien toimintojen luettelo voi kuitenkin kasvaa tutkinnan aikana. Tarkastele tutkimuksen tietoja nähdäksesi, odottavatko muut kohteet edelleen valmistumista.

Korjattu Tutkimus saatiin päätökseen ja kaikki korjaustoimet hyväksyttiin (jäljempänä 'täysin korjaavat').

HUOMAUTUS: Hyväksytyillä korjaustoimilla voi olla virheitä, jotka estävät toimintojen suorittamisen. Riippumatta siitä, onko korjaustoimet suoritettu onnistuneesti, tutkimuksen tila ei muutu. Tarkastele tutkimuksen tietoja.

Osittain korjattu Tutkimus johti korjaustoimiin, joista osa hyväksyttiin ja saatiin päätökseen. Muut toiminnot odottavat edelleen.
Epäonnistui Ainakin yhdessä tutkimusanalysaattorissa ilmeni ongelma, jossa sitä ei voitu suorittaa oikein.

MUISTIINPANO Jos tutkimus epäonnistuu korjaustoimien hyväksymisen jälkeen, korjaustoimet ovat ehkä vielä onnistuneet. Tarkastele tutkimuksen tietoja.

Rajoittamisen jonottama Tutkinta on jonossa. Kun muut tutkimukset ovat valmiita, jonossa olevat tutkimukset alkavat. Rajoittaminen auttaa välttämään huonon palvelun suorituskyvyn.

VIHJE: Odottavat toiminnot voivat rajoittaa uusien tutkimusten suorittamista. Varmista, että hyväksyt (tai hylkäät) odottavat toiminnot.

Rajoituksen lopettama Jos tutkinta pidetään jonossa liian kauan, se pysähtyy.

VIHJE: Voit aloittaa tutkinnan Threat Explorerista.

Tutkinnan tietojen tarkasteleminen

  1. Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.
  2. Valitse siirtymisruudussa Toiminnot & lähetysten>toimintokeskus.
  3. Valitse toiminto Joko Odottaa- tai Historia-välilehdistä. Sen pikaikkunaruutu avautuu.
  4. Valitse pikaikkunaruudussa Avaa tutkimussivu.
  5. Eri välilehtien avulla saat lisätietoja tutkinnasta.

Tietyntyyppiset hälytykset käynnistävät automaattisen tutkimuksen Microsoft 365:ssä. Lisätietoja on ohjeaiheessa Automaattisia tutkimuksia käynnistävät ilmoituskäytännöt.

  1. Siirry Microsoft Defender portaaliin (https://security.microsoft.com) ja kirjaudu sisään.
  2. Valitse siirtymisruudussa Toimintokeskus.
  3. Valitse toiminto Joko Odottaa- tai Historia-välilehdistä. Sen pikaikkunaruutu avautuu.
  4. Valitse pikaikkunaruudussa Avaa tutkimussivu.
  5. Valitse Ilmoitukset-välilehti , jos haluat tarkastella luetteloa kaikista tähän tutkintaan liittyvistä ilmoituksista.
  6. Valitse kohde luettelosta avataksesi sen pikaikkunaruudun. Siellä voit tarkastella lisätietoja ilmoituksesta.

Pidä seuraavat asiat mielessä

  • Sähköpostimäärät lasketaan tutkimuksen ajankohtana, ja jotkin määrät lasketaan uudelleen, kun avaat tutkinnan pikaikkuntoja (pohjana olevan kyselyn perusteella).

  • Sähköpostiklustereissa Sähköposti-välilehdessä näkyvät sähköpostimäärät ja klusterin pikaikkunassa näkyvä sähköpostimäärän arvo lasketaan tutkimushetkellä, eivätkä ne muutu.

  • Sähköpostimäärä, joka näkyy sähköpostiklusterin pikaikkunan Sähköposti-välilehden alaosassa, ja Explorerissa näkyvien sähköpostiviestien määrä kuvastaa sähköpostiviestejä, jotka on saatu tutkimuksen ensimmäisen analyysin jälkeen.

    Näin ollen sähköpostiklusteri, joka näyttää alkuperäisen määrän 10 sähköpostiviestiä, näyttäisi sähköpostiluettelon olevan yhteensä 15, kun tutkimusanalyysivaiheen ja kun järjestelmänvalvoja tarkistaa tutkimuksen. Samoin vanhat tutkimukset saattavat alkaa näyttää suurempia määriä kuin Explorer-kyselyt osoittavat, koska Microsoft Defender for Office 365 palvelupaketin 2 tiedot vanhenevat seitsemän päivän kuluttua kokeiluversioissa ja maksettujen käyttöoikeuksien 30 päivän kuluttua.

    Sekä historiallisten että nykyisten määrien laskenta eri näkymissä tehdään ilmaisemaan sähköpostin vaikutusta tutkimushetkellä ja nykyistä vaikutusta korjauksen suorittamiseen saakka.

  • Sähköpostin yhteydessä saattaa näkyä volyymipoikkeamien uhkapinta osana tutkimusta. Volyymipoikkeama ilmaisee samanlaisten sähköpostiviestien piikin tutkimustapahtuman ajan ympärillä aikaisempaan aikaväliin verrattuna. Sähköpostiliikenteen piikki yhdessä tiettyjen ominaisuuksien (esimerkiksi aihe- ja lähettäjätoimialueen, leipätekstin samankaltaisuuden ja lähettäjän IP:n) kanssa on tyypillistä sähköpostikampanjoiden tai -hyökkäysten aloittamiselle. Nämä ominaisuudet jaetaan kuitenkin yleensä joukkokampanjoilla, roskapostikampanjoilla ja laillisilla sähköpostikampanjoilla.

  • Volyymipoikkeamat ovat mahdollinen uhka, ja ne voivat näin ollen olla lievempiä kuin haittaohjelma- tai tietojenkalasteluuhat, jotka tunnistetaan virustorjuntamoottoreilla, räjähdyksillä tai haitallisilla maineilla.

  • Sinun ei tarvitse hyväksyä jokaista toimintoa. Jos et hyväksy suositeltua toimintoa tai organisaatiosi ei valitse tietyntyyppisiä toimintoja, voit hylätä toiminnot tai ohittaa ne tekemättä mitään toimia.

  • Kaikkien toimien hyväksyminen ja/tai hylkääminen mahdollistaa tutkimuksen täydellisen sulkemisen (tila korjataan), mutta jotkin toimet jäävät osittain korjaamatta, minkä vuoksi tutkimuksen tila muuttuu osittain korjaamattomaksi.

Seuraavat vaiheet