שתף באמצעות


פרטים והתוצאות של חקירה אוטומטית ב- Microsoft 365

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender XDR עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון כאן.

כאשר מתרחשת חקירה אוטומטיתMicrosoft Defender עבור Office 365, פרטים על חקירה זו זמינים במהלך ואחרי תהליך החקירה האוטומטית. אם יש לך את ההרשאות הדרושות, באפשרותך להציג פרטים אלה Microsoft Defender הפורטל. פרטי החקירה מספקים לך מצב מעודכן ואת היכולת לאשר פעולות ממתינות.

עצה

עיין בדף החקירה המאוחד החדש בפורטל Microsoft Defender. לקבלת מידע נוסף, ראה (חדש!) דף חקירה מאוחדת.

מצב חקירה

מצב החקירה מציין את התקדמות הניתוח והפעולות. במהלך החקירה, המצב משתנה כדי לציין אם נמצאו איומים ואם פעולות אושרו.

Status תיאור
מתחיל החקירה הופעלה וממתינים להתחיל לפעול.
פועל תהליך החקירה התחיל והוא החל. מצב זה מתרחש גם כאשר פעולות ממתינות מאושרות.
לא נמצאו איומים החקירה הסתיימה ולא זוהו איומים (חשבון משתמש, הודעת דואר אלקטרוני, כתובת URL או קובץ).

עצה: אם אתה חושד שמשהו לא נענו (כגון תוצאה שלילית מוטעית), באפשרותך לבצע פעולה באמצעות Threat Explorer.

נחקר חלקית החקירה האוטומטית מצאה בעיות, אך אין פעולות תיקון ספציפיות לפתרון בעיות אלה.

המצב 'נחקר חלקית ' עשוי להתרחש כאשר סוג מסוים של פעילות משתמש זוהה, אך אין פעולות ניקוי זמינות. דוגמאות לכך כוללות אחת מפעילויות המשתמש הבאות:

  • אירוע למניעת אובדן נתונים
  • הודעת דואר אלקטרוני השולחת חריגה
  • תוכנות זדוניות שנשלחו
  • נשלח דיוג

הערה: מצב זה, שנמצא בחקירות חלקיות , היה רשום כ'איומים' שנמצאו.

החקירה לא מצאה כתובות URL, קבצים או הודעות דואר אלקטרוני זדוניים לתיקון, ואין פעילות תיבת דואר לתיקון, כגון ביטול כללי העברה או הקצאה.

עצה: אם אתה חושד שמשהו לא נענו (כגון תוצאה שלילית מוטעית), באפשרותך לחקור ולבצע פעולה באמצעות Threat Explorer

הסתיים על-ידי המערכת החקירה הופסקה. חקירה יכולה להיעצור מכמה סיבות:
  • פג תוקפן של הפעולות הממתינות של החקירה. זמן קצוב לפעולות ממתינות לאחר המתנה לאישור עבור שבוע אחד
  • קיימות פעולות רבות מדי. לדוגמה, אם משתמשים רבים מדי לוחץים על כתובות URL זדוניות, היא יכולה לחרוג מהיכולת של החקירה להפעיל את כל המנתחים, כך שהחקירה נעצרת

עצה: אם חקירה נעצרת לפני ביצוע פעולות, נסה להשתמש בסייר האיומים כדי לאתר ול לטפל באיומים.
פעולה ממתינה החקירה מצאה איום, כגון הודעת דואר אלקטרוני זדונית, כתובת URL זדונית או הגדרת תיבת דואר מכוונת, ופעולה לתיקון האיום ממתינה לאישור.

מצב הפעולה הממתינה מופעל כאשר נמצא איום כלשהו עם פעולה תואמת. עם זאת, רשימת הפעולות הממתינות יכולה להגדיל במהלך חקירה. הצג פרטי חקירה כדי לראות אם פריטים אחרים עדיין ממתינים להשלמתם.

תיקון החקירה הסתיימה וכל פעולות התיקון אושרו (צוין כתיקון מלא).

הערה: פעולות תיקון מאושרות עלולות לכלול שגיאות שמונעות את ביצוע הפעולות. ללא קשר לשאלה אם פעולות התיקון הושלמו בהצלחה, מצב החקירה אינו משתנה. הצג פרטי חקירה.

תיקון חלקי החקירה הובילה לפעולות תיקון, חלקם אושרו והושלם. פעולות אחרות עדיין ממתינות.
נכשל מנתח חקירה אחד לפחות נתקל בבעיה שבה לא היתה אפשרות להשלים אותה כראוי.

הערה אם חקירה נכשלת לאחר שפעולות התיקון אושרו, ייתכן שפעולות התיקון עדיין הצליחו. הצג את פרטי החקירה.

ממתין בתור על-ידי ויסות חקירה מוחזקת בתור. לאחר השלמת חקירות אחרות, חקירות המוצבות בתור מתחילות. ויסות מסייע במניעת ביצועי שירות ירודים.

עצה: פעולות ממתינות יכולות להגביל את מספר החקירות החדשות שניתן להפעיל. הקפד לאשר (או לדחות) פעולות ממתינות.

הסתיים על-ידי ויסות אם חקירה מוחזקת בתור זמן רב מדי, היא נעצרת.

עצה: באפשרותך להתחיל חקירה מתוך Threat Explorer.

הצגת פרטים של חקירה

  1. עבור אל Microsoft Defender (https://security.microsoft.com) והיכנס.
  2. בחלונית הניווט, בחר פעולות & מרכז>הפעולות.
  3. בכרטיסיות ממתיןאו היסטוריה , בחר פעולה. חלונית התפריט הנשלף שלו נפתחת.
  4. בחלונית הנשלפת, בחר פתח דף חקירה.
  5. השתמש בכרטיסיות השונות כדי לקבל מידע נוסף על החקירה.

סוגים מסוימים של התראות מפעילים חקירה אוטומטית ב- Microsoft 365. לקבלת מידע נוסף, ראה מדיניות התראה המפעילה חקירות אוטומטיות.

  1. עבור אל Microsoft Defender (https://security.microsoft.com) והיכנס.
  2. בחלונית הניווט, בחר מרכז הפעולות.
  3. בכרטיסיות ממתיןאו היסטוריה , בחר פעולה. חלונית התפריט הנשלף שלו נפתחת.
  4. בחלונית הנשלפת, בחר פתח דף חקירה.
  5. בחר בכרטיסיה התראות כדי להציג רשימה של כל ההתראות המשויכות לחקירה זו.
  6. בחר פריט ברשימה כדי לפתוח את החלונית הנשלפת שלו. שם תוכל להציג מידע נוסף אודות ההתראה.

זכור את הנקודות הבאות

  • ספירות דואר אלקטרוני מחושבות בזמן החקירה, וספירות מסוימות מחושבות מחדש בעת פתיחת תפריטים נשלף של חקירה (בהתבסס על שאילתה המשמשת בסיס).

  • ספירות הדואר האלקטרוני המוצגות עבור אשכולות הדואר האלקטרוני בכרטיסיה דואר אלקטרוני וערך כמות הדואר האלקטרוני המוצג בתפריט הנשלף של האשכול מחושבים בזמן החקירה, ואינם משתנים.

  • ספירת הדואר האלקטרוני המוצגת בחלק התחתון של הכרטיסיה דואר אלקטרוני בתפריט הנשלף של אשכול הדואר האלקטרוני וספירת הודעות הדואר האלקטרוני המוצגות בסייר משקפות הודעות דואר אלקטרוני שהתקבלו לאחר הניתוח הראשוני של החקירה.

    לכן, אשכול דואר אלקטרוני המציג כמות מקורית של 10 הודעות דואר אלקטרוני היה מציג רשימת דואר אלקטרוני סך של 15 כאשר חמש הודעות דואר אלקטרוני נוספות מגיעות בין שלב ניתוח החקירה ומתי מנהל המערכת בודק את החקירה. בדומה לכך, חקירות מקומיות עשויות להתחיל להציג ספירות גבוהות יותר בהשוואה לשאילתות של Explorer, מאחר שתוקפן של נתונים בתוכנית Microsoft Defender עבור Office 365 2 יפוג לאחר שבעה ימים עבור תוקף של ניסויים ולאחר 30 יום עבור רשיונות בתשלום.

    הצגת ספירת ספירה היסטורית וספירה נוכחית בתצוגות שונות מתבצעת כדי לציין את השפעת הדואר האלקטרוני בזמן החקירה ואת ההשפעה הנוכחית עד להפעלת התיקון.

  • בהקשר של דואר אלקטרוני, ייתכן שתראה משטח איום חריג של אמצעי אחסון כחלק מהחקירה. חריגה של אמצעי אחסון מציינת על דקר בהודעות דואר אלקטרוני דומות סביב מועד אירוע החקירה בהשוואה למסגרות זמן קודמות. דקר בת תעבורת דואר אלקטרוני יחד עם מאפיינים מסוימים (לדוגמה, תחום נושא ושולח, דמיון לגוף ו- IP של השולח) הוא אופייני לתחילת קמפיינים או תקיפות בדואר אלקטרוני. עם זאת, קמפיינים בצובר, דואר זבל וקמפיינים לגיטימיים של דואר אלקטרוני משתפים בדרך כלל מאפיינים אלה.

  • אנומליות של נפח מייצגות איום פוטנציאלי, ולפי מהותה עשויה להיות פחות חמורה בהשוואה לתוכנות זדוניות או לאיומי דיוג המזוהים באמצעות מנועי אנטי-וירוס, נפץ או מוניטין זדוני.

  • אינך צריך לאשר כל פעולה. אם אינך מסכים לפעולה המומלצת או שהארגון שלך אינו בוחר סוגים מסוימים של פעולות, באפשרותך לבחור באפשרות דחה את הפעולות או פשוט להתעלם מהן ולא לבצע שום פעולה.

  • אישור ו/או דחייה של כל הפעולות מאפשרים לחקירה להיסגר באופן מלא (המצב הופך לתיקון), תוך השארת חלק מהפעולות לא הושלמו, מצב החקירה משתנה למצב של תיקון חלקי.

השלבים הבאים