פרטים והתוצאות של חקירה אוטומטית

מאמר
04/26/2024

חל על:

Microsoft Defender XDR

עם Microsoft Defender XDR, כאשר חקירה אוטומטית מופעלת, הפרטים על חקירה זו זמינים הן במהלך והן לאחר תהליך החקירה האוטומטית. אם יש לך את ההרשאות הנחוצות, באפשרותך להציג פרטים אלה בתצוגת פרטי חקירה המספקת לך מצב עדכני ואת היכולת לאשר פעולות ממתינות.

(חדש) דף חקירה מאוחדת

דף החקירה עודכן לאחרונה כדי לכלול מידע בכל המכשירים, הדואר האלקטרוני ותוכן שיתוף הפעולה שלך. דף החקירה החדש, המאוחד, מגדיר שפה משותפת ומספק חוויה מאוחדת לחקירות אוטומטיות בין Microsoft Defender עבור נקודת קצה ו- Microsoft Defender עבור Office 365. כדי לגשת לדף החקירה המאוחדת, בחר את הקישור בכרזת הצהובה שתראה ב:

כל דף חקירה פורטל התאימות של Microsoft Purview
כל דף חקירה בפורטל Microsoft Defender (https://security.microsoft.com)
כל מקרה או חוויית מרכז הפעולות בפורטל Microsoft Defender הפעולות

פתיחת תצוגת פרטי החקירה

באפשרותך לפתוח את תצוגת פרטי החקירה באמצעות אחת מהשיטות הבאות:

בחירת פריט במרכז הפעולות
בחר חקירה מתוך דף פרטי אירוע

בחירת פריט במרכז הפעולות

מרכז הפעולות (https://security.microsoft.com/action-center) השתפר מאגד פעולות תיקון בכל המכשירים, דואר אלקטרוני & תוכן שיתוף פעולה וזהויות. הפעולות המפורטות כוללות פעולות תיקון שבוצעו באופן אוטומטי או ידני. במרכז הפעולות, באפשרותך להציג פעולות הממתיינות לאישור ולפעולות שכבר אושרו או שהושלמו. באפשרותך גם לנווט לפרטים נוספים, כגון דף חקירה.

עצה

דרושות לך הרשאות מסוימות כדי לאשר, לדחות או לבטל פעולות.

עבור Microsoft Defender הפורטל והיכנס.
בחלונית הניווט, בחר מרכז הפעולות.
בכרטיסיה ממתין אוהיסטוריה , בחר פריט. חלונית התפריט הנשלף שלו נפתחת.
סקור את המידע בחלונית הנשלף ולאחר מכן בצע אחד מהפעולות הבאות:
- בחר פתח דף חקירה כדי להציג פרטים נוספים על החקירה.
- בחר אשר כדי ליזום פעולה ממתינה.
- בחר דחה כדי למנוע ביצוע של פעולה ממתינה.
- בחר Go hunt כדי לעבור אל Advanced hunting.

פתיחת חקירה מתוך דף פרטי אירוע

השתמש בדף פרטי אירוע כדי להציג מידע מפורט אודות מקרה, כולל התראות שהופעלו מידע אודות כל המכשירים, חשבונות המשתמשים או תיבות הדואר המושפעים.

עבור Microsoft Defender הפורטל והיכנס.
בחלונית הניווט, בחר מקרים & אירועים>.
בחר פריט מהרשימה ולאחר מכן בחר פתח דף אירוע.
בחר בכרטיסיה חקירות ולאחר מכן בחר חקירה ברשימה. חלונית התפריט הנשלף שלו נפתחת.
בחר פתח דף חקירה.

הנה דוגמה.

פרטי חקירה

השתמש בתצוגת פרטי החקירה כדי לראות פעילות בעבר, פעילות נוכחית ופעילות ממתינה הקשורה לחקירה. הנה דוגמה.

בתצוגה פרטי חקירה, באפשרותך לראות מידע אודות הכרטיסיות 'תרשים חקירה', 'התראות', 'מכשירים', 'זהויות', 'ממצאי מפתח ', 'ישויות', 'יומן' ו'פעולות ממתינות', המתוארות בטבלה הבאה.

הערה

הכרטיסיות הספציפיות שאתה רואה בדף פרטי חקירה תלויות במה כולל המנוי שלך. לדוגמה, אם המנוי שלך אינו כולל Microsoft Defender עבור Office 365 תוכנית 2, לא תראה את הכרטיסיה תיבות דואר.

בכרטיסיה	תיאור
גרף חקירות	מספק ייצוג חזותי של החקירה. מתאר ישויות ומפרט איומים שנמצאו, יחד עם התראות ואם פעולות כלשהן ממתינות לאישור. באפשרותך לבחור פריט בגרף כדי להציג פרטים נוספים. לדוגמה, בחירה סמל 'ראיות' מעבירה אותך אל הכרטיסיה 'ראיות', שבה תוכל לראות ישויות שזוהו ואת גזרי הדין שלהן.
התראות	רשימות התראות המשויכות לחקירה. התראות יכולות להגיע מתכונות הגנה מפני איומים במכשיר של משתמש, באפליקציות Office, יישומי ענן של Microsoft Defender ותכונות Microsoft Defender XDR אחרות. אם אתה רואה את סוג ההתראה לא נתמך, משמעות הדבר היא שליכולות חקירה אוטומטית אין אפשרות לאסוף התראה זו כדי להפעיל חקירה אוטומטית. עם זאת, באפשרותך לחקור התראות אלה באופן ידני.
התקנים	רשימות אחרים הכלולים בחקירה יחד עם רמת התיקון שלהם. (רמות התיקון תואמות לרמת האוטומציה עבור קבוצות מכשירים.)
תיבות דואר	רשימות דואר המושפעות מאיומים שזוהו.
משתמשים	רשימות חשבונות משתמשים המושפעים מאיומים שזוהו.
ראיות	רשימות ראיות המועלה על-ידי התראות או חקירות. כולל גזרי דין (זדוניים, חשודים, לא ידועים או לא נמצאו איומים) ומצב תיקון.
ישויות	מספק פרטים אודות כל ישות שנותחו, כולל גזר דין עבור כל סוג ישות (זדוני, חשוד או לא נמצאו איומים).
יומן	מספק תצוגה כרונולוגית מפורטת של כל פעולות החקירה שבוצעו לאחר שהופעלה התראה.
היסטוריית פעולות ממתינות	רשימות פריטים הדורשים אישור כדי להמשיך. עבור אל מרכז הפעולות (https://security.microsoft.com/action-center) כדי לאשר פעולות ממתינות.

מדינות חקירה

הטבלה הבאה מפרטת את מצבי החקירה ואת מה שהם מציינים.

מצב חקירה	הגדרה
שפירים	פריטים נחקרו ונקבעה קביעה שלא נמצאו איומים.
PendingResource	חקירה אוטומטית מושהית מכיוון שפעולה תיקון ממתינה לאישור, או שהמכשיר שבו נמצא ממצא אינו זמין באופן זמני.
לא נתמךAlertType	חקירה אוטומטית אינה זמינה עבור סוג זה של התראה. ניתן לבצע חקירה נוספת באופן ידני באמצעות ציד מתקדם.
נכשל	מנתח חקירה אחד לפחות נתקל בבעיה שבה הוא לא הצליח להשלים את החקירה. אם חקירה נכשלת לאחר שפעולות התיקון אושרו, ייתכן שפעולות התיקון עדיין הצליחו.
תיקון הצליח	חקירה אוטומטית הושלמה, וכל פעולות התיקון הושלמו או אושרו.

כדי לספק הקשר נוסף לגבי אופן ההצגה של מצבי חקירה, הטבלה הבאה מפרטת התראות ואת מצב החקירה האוטומטית המתאים שלהן. טבלה זו כלולה כדוגמה למה שצוות פעולות אבטחה עשוי לראות בפורטל Microsoft Defender.

שם התראה	חומרת	מצב חקירה	Status	קטגוריה
זוהתה תוכנה זדונית בקובץ תמונה של דיסק Wim	אינפורמטיבי	שפירים	נפתרה	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון rar	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון rar	אינפורמטיבי	לא נתמךAlertType	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון rar	אינפורמטיבי	לא נתמךAlertType	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון rar	אינפורמטיבי	לא נתמךAlertType	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון Zip	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון Zip	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון Zip	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון Zip	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
Wpakill hacktool היה מנע	נמוך	נכשל	חדש	תוכנות זדוניות
GendowsBatch hacktool נמנע	נמוך	נכשל	חדש	תוכנות זדוניות
האקטול של Keygen נמנע	נמוך	נכשל	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון Zip	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון rar	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון rar	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון Zip	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון rar	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ ארכיון rar	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ תמונה של תקליטור iso	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ תמונה של תקליטור iso	אינפורמטיבי	PendingResource	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ נתונים של pst outlook	אינפורמטיבי	לא נתמךAlertType	חדש	תוכנות זדוניות
זוהתה תוכנה זדונית בקובץ נתונים של pst outlook	אינפורמטיבי	לא נתמךAlertType	חדש	תוכנות זדוניות
מדיה זוהתה	בינוני	תם החלקית	חדש	תוכנות זדוניות
TrojanEmailFile	בינוני	התיקון בוצע בהצלחה	נפתרה	תוכנות זדוניות
CustomEnterpriseBlock malware was prevented	אינפורמטיבי	התיקון בוצע בהצלחה	נפתרה	תוכנות זדוניות
CustomEnterprise חסימת תוכנה זדונית פעילה נחסמה	נמוך	התיקון בוצע בהצלחה	נפתרה	תוכנות זדוניות
CustomEnterprise חסימת תוכנה זדונית פעילה נחסמה	נמוך	התיקון בוצע בהצלחה	נפתרה	תוכנות זדוניות
CustomEnterprise חסימת תוכנה זדונית פעילה נחסמה	נמוך	התיקון בוצע בהצלחה	נפתרה	תוכנות זדוניות
TrojanEmailFile	בינוני	שפירים	נפתרה	תוכנות זדוניות
CustomEnterpriseBlock malware was prevented	אינפורמטיבי	לא נתמךAlertType	חדש	תוכנות זדוניות
CustomEnterpriseBlock malware was prevented	אינפורמטיבי	התיקון בוצע בהצלחה	נפתרה	תוכנות זדוניות
TrojanEmailFile	בינוני	התיקון בוצע בהצלחה	נפתרה	תוכנות זדוניות
TrojanEmailFile	בינוני	שפירים	נפתרה	תוכנות זדוניות
CustomEnterprise חסימת תוכנה זדונית פעילה נחסמה	נמוך	PendingResource	חדש	תוכנות זדוניות

השלבים הבאים

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.

שתף באמצעות