Jaa


Automaattisen tutkimuksen tiedot ja tulokset

Koskee seuraavia:

  • Microsoft Defender XDR

Kun Microsoft Defender XDR automatisoitua tutkimusta suoritetaan, kyseistä tutkimusta koskevat tiedot ovat saatavilla sekä automatisoidun tutkimusprosessin aikana että sen jälkeen. Jos sinulla on tarvittavat käyttöoikeudet, voit tarkastella näitä tietoja tutkimustietonäkymässä, joka tarjoaa sinulle ajan tasalla olevan tilan ja mahdollisuuden hyväksyä odottavia toimintoja.

(UUSI) Yhdistetty tutkimussivu

Tutkimussivu on äskettäin päivitetty sisältämään tietoja laitteistasi, sähköposteistasi ja yhteistyösisällöstäsi. Uusi, yhtenäinen tutkimussivu määrittää yleisen kielen ja tarjoaa yhtenäisen kokemuksen automaattisiin tutkimuksiin eri Microsoft Defender for Endpoint ja Microsoft Defender for Office 365. Pääset yhtenäiselle tutkimussivulle valitsemalla linkin keltaisessa bannerissa, jonka näet:

Avaa tutkinnan tietonäkymä

Voit avata tutkimustietonäkymän jollakin seuraavista menetelmistä:

Valitse kohde toimintokeskuksessa

Parannettu toimintokeskus (https://security.microsoft.com/action-center) kokoaa yhteen korjaustoiminnot eri laitteissa, sähköpostin & yhteistyösisällön ja käyttäjätiedot. Luetellut toiminnot sisältävät korjaustoimintoja, jotka on tehty automaattisesti tai manuaalisesti. Toimintokeskuksessa voit tarkastella hyväksyntää odottavia toimintoja ja toimintoja, jotka on jo hyväksytty tai suoritettu. Voit myös siirtyä lisätietoihin, kuten tutkimussivuun.

Vihje

Sinulla on oltava tietyt oikeudet toimintojen hyväksymiseen, hylkäämiseen tai kumoamiseen.

  1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

  2. Valitse siirtymisruudussa Toimintokeskus.

  3. Valitse kohde Odottaa - tai Historia-välilehdessä . Sen pikaikkunaruutu avautuu.

  4. Tarkista tiedot pikaikkunaruudussa ja suorita sitten jokin seuraavista toimista:

    • Valitse Avaa tutkinta -sivu , jos haluat tarkastella lisätietoja tutkinnasta.
    • Aloita odottava toiminto valitsemalla Hyväksy .
    • Valitse Hylkää , jos haluat estää odottavan toiminnon suorittamisen.
    • Valitse Mene metsästämään siirtyäksesi kehittyneeseen metsästykseen.

Tutkimuksen avaaminen tapauksen tietosivulta

Tapahtuman tiedot -sivun avulla voit tarkastella yksityiskohtaisia tietoja tapahtumasta, mukaan lukien hälytyksiä, jotka aiheuttivat tietoja kaikista laitteista, käyttäjätileistä tai postilaatikoista, joita ongelma koskee.

  1. Siirry Microsoft Defender portaaliin ja kirjaudu sisään.

  2. Valitse siirtymisruudussa Tapaukset & hälytykset>Tapaukset.

  3. Valitse kohde luettelosta ja valitse sitten Avaa tapaussivu.

  4. Valitse Tutkimukset-välilehti ja valitse sitten luettelosta tutkimus. Sen pikaikkunaruutu avautuu.

  5. Valitse Avaa tutkimussivu.

Tässä on esimerkki.

Microsoft Defender portaalin tutkintasivu

Tutkimustiedot

Tutkimustietonäkymän avulla voit tarkastella aiempaa, ajantasaista ja odottavaa tutkimusta koskevaa toimintaa. Tässä on esimerkki.

tutkinnan tietosivu Microsoft Defender portaalissa

Näet Tutkinnan tiedot -näkymässä tietoja tutkimuskaavion, ilmoitusten, laitteiden, käyttäjätietojen, avainhavaintojen, entiteettien, lokin ja odottavien toimintojen välilehdistä, jotka on kuvattu seuraavassa taulukossa.

Huomautus

Tietyt välilehdet, jotka näet tutkinnan tietosivulla, määräytyvät sen mukaan, mitä tilaus sisältää. Jos tilauksesi ei esimerkiksi sisällä Microsoft Defender for Office 365 palvelupakettia 2, et näe Postilaatikot-välilehteä.

Välilehti Kuvaus
Tutkimuskaavio Esittää tutkimuksen visuaalisesti. Kuvaa löytyneet entiteetit ja luetteloi löytyneet uhat sekä ilmoitukset ja sen, odottavatko toiminnot hyväksyntää.
Voit valita kohteen kaaviosta nähdäksesi lisätietoja. Jos valitset esimerkiksi Todiste-kuvakkeen , siirryt Todiste-välilehteen , jossa voit nähdä havaitut entiteetit ja niiden tuomiot.
Ilmoitukset Lists tutkintaan liittyviä ilmoituksia. Ilmoitukset voivat olla peräisin uhkien suojausominaisuuksista käyttäjän laitteessa, Office-sovelluksissa, Microsoft Defender for Cloud Apps ja muissa Microsoft Defender XDR ominaisuuksissa.

Jos näet ilmoitustyypin, jota ei tueta, se tarkoittaa, että automatisoidut tutkimustoiminnot eivät pysty poimimaan kyseistä ilmoitusta automatisoidun tutkimuksen suorittamiseksi. Voit kuitenkin tutkia nämä hälytykset manuaalisesti.
Laitteet Lists tutkimukseen sisältyviä laitteita ja niiden korjaustasoa. (Korjaustasot vastaavat laiteryhmien automaatiotasoa.)
Postilaatikot Lists postilaatikot, joihin havaitut uhat vaikuttavat.
Käyttäjät Lists käyttäjätilejä, joihin havaitut uhat vaikuttavat.
Todisteita Lists ilmoitusten tai tutkimusten esittämät todisteet. Sisältää tuomiot (pahantahtoiset, epäilyttävät, tuntemattomat tai ei löytynyt uhkia) sekä korjauksen tilan.
Yhteisöt Antaa tietoja kustakin analysoidusta entiteetistä, mukaan lukien kunkin entiteettityypin tuomion (haitallisia, epäilyttäviä tai uhkia ei löytynyt).
Kirjaudu Tarjoaa kronologisen ja yksityiskohtaisen näkymän kaikista hälytyksen käynnistymisen jälkeen toteutetuista tutkimustoimista.
Odottavien toimintojen historia Lists kohteita, joiden jatkaminen edellyttää hyväksyntää. Siirry toimintokeskukseen (https://security.microsoft.com/action-center), jos haluat hyväksyä odottavat toiminnot.

Tutkinnan tilat

Seuraavassa taulukossa luetellaan tutkimusten tilat ja ne, mitä ne osoittavat.

Tutkinnan tila Määritelmä
Hyvänlaatuinen Artefakteja tutkittiin ja tehtiin päätös, että uhkia ei löytynyt.
Odottaa resurssia Automaattinen tutkimus keskeytetään, koska joko korjaustoiminto odottaa hyväksyntää tai koska laite, josta artefakti löydettiin, ei ole tilapäisesti käytettävissä.
Ei-tuettuAlertType Tämäntyyppiselle ilmoituksille ei ole käytettävissä automaattista tutkintaa. Lisätutkimukset voidaan tehdä manuaalisesti käyttämällä kehittynyttä metsästystä.
Epäonnistui Ainakin yhdessä tutkimusanalysaattorissa ilmeni ongelma, jossa se ei pystynyt viimeistelemaan tutkimusta. Jos tutkimus epäonnistuu korjaustoimien hyväksymisen jälkeen, korjaustoimet ovat ehkä vielä onnistuneet.
Korjaaminen onnistui Automatisoitu tutkimus on valmis, ja kaikki korjaustoimet on saatu päätökseen tai hyväksytty.

Seuraavassa taulukossa on luettelo ilmoituksista ja niitä vastaavasta automatisoidusta tutkimustilasta, jotta saadaan enemmän kontekstia siitä, miten tutkimukset näkyvät. Tämä taulukko on esimerkki siitä, mitä suojaustoimintaryhmä saattaa nähdä Microsoft Defender portaalissa.

Ilmoituksen nimi Vakavuus Tutkinnan tila Tila Luokka
Wim-levyn kuvatiedostossa havaittiin haittaohjelma Tiedottava Hyvänlaatuinen Ratkaistu Haittaohjelmien
Haittaohjelmia havaittiin rar-arkistotiedostossa Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Haittaohjelmia havaittiin rar-arkistotiedostossa Tiedottava Ei-tuettuAlertType Uusi Haittaohjelmien
Haittaohjelmia havaittiin rar-arkistotiedostossa Tiedottava Ei-tuettuAlertType Uusi Haittaohjelmien
Haittaohjelmia havaittiin rar-arkistotiedostossa Tiedottava Ei-tuettuAlertType Uusi Haittaohjelmien
Zip-arkistotiedostossa havaittiin haittaohjelmia Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Zip-arkistotiedostossa havaittiin haittaohjelmia Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Zip-arkistotiedostossa havaittiin haittaohjelmia Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Zip-arkistotiedostossa havaittiin haittaohjelmia Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Wpakill hacktool estettiin Alhainen Epäonnistui Uusi Haittaohjelmien
GendowsBatch hacktool estettiin Alhainen Epäonnistui Uusi Haittaohjelmien
Keygen hacktool estettiin Alhainen Epäonnistui Uusi Haittaohjelmien
Zip-arkistotiedostossa havaittiin haittaohjelmia Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Haittaohjelmia havaittiin rar-arkistotiedostossa Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Haittaohjelmia havaittiin rar-arkistotiedostossa Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Zip-arkistotiedostossa havaittiin haittaohjelmia Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Haittaohjelmia havaittiin rar-arkistotiedostossa Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Haittaohjelmia havaittiin rar-arkistotiedostossa Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Haittaohjelmia havaittiin ISO-levyn kuvatiedostossa Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Haittaohjelmia havaittiin ISO-levyn kuvatiedostossa Tiedottava Odottaa resurssia Uusi Haittaohjelmien
Outlookin pst-datatiedostosta havaittiin haittaohjelma Tiedottava Ei-tuettuAlertType Uusi Haittaohjelmien
Outlookin pst-datatiedostosta havaittiin haittaohjelma Tiedottava Ei-tuettuAlertType Uusi Haittaohjelmien
MediaGet havaittu Normaali Osittain määritetty Uusi Haittaohjelmien
Troijan sähköpostitiedosto Normaali Korjattiin onnistuneesti Ratkaistu Haittaohjelmien
CustomEnterpriseBlock-haittaohjelma estettiin Tiedottava Korjattiin onnistuneesti Ratkaistu Haittaohjelmien
Aktiivinen CustomEnterpriseBlock-haittaohjelma estettiin Alhainen Korjattiin onnistuneesti Ratkaistu Haittaohjelmien
Aktiivinen CustomEnterpriseBlock-haittaohjelma estettiin Alhainen Korjattiin onnistuneesti Ratkaistu Haittaohjelmien
Aktiivinen CustomEnterpriseBlock-haittaohjelma estettiin Alhainen Korjattiin onnistuneesti Ratkaistu Haittaohjelmien
Troijan sähköpostitiedosto Normaali Hyvänlaatuinen Ratkaistu Haittaohjelmien
CustomEnterpriseBlock-haittaohjelma estettiin Tiedottava Ei-tuettuAlertType Uusi Haittaohjelmien
CustomEnterpriseBlock-haittaohjelma estettiin Tiedottava Korjattiin onnistuneesti Ratkaistu Haittaohjelmien
Troijan sähköpostitiedosto Normaali Korjattiin onnistuneesti Ratkaistu Haittaohjelmien
Troijan sähköpostitiedosto Normaali Hyvänlaatuinen Ratkaistu Haittaohjelmien
Aktiivinen CustomEnterpriseBlock-haittaohjelma estettiin Alhainen Odottaa resurssia Uusi Haittaohjelmien

Seuraavat vaiheet

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.