Egy automatizált vizsgálat részletei és eredményei a Microsoft 365-ben
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Ha automatizált vizsgálat történik Office 365-höz készült Microsoft Defender, a vizsgálat részletei az automatizált vizsgálati folyamat során és után érhetők el. Ha rendelkezik a szükséges engedélyekkel, megtekintheti ezeket a részleteket a Microsoft Defender portálon. A vizsgálat részletei naprakész állapotot biztosítanak, és lehetővé teszik a függőben lévő műveletek jóváhagyását.
Tipp
Tekintse meg az új, egységesített vizsgálati oldalt a Microsoft Defender portálon. További információ: (ÚJ!) Egyesített vizsgálat lap.
Vizsgálat állapota
A vizsgálat állapota az elemzés és a műveletek előrehaladását jelzi. A vizsgálat során az állapot megváltozik, jelezve, hogy találhatók-e fenyegetések, és hogy jóváhagyták-e a műveleteket.
Állapot | Leírás |
---|---|
Indítás alatt | A vizsgálat aktiválódott, és a futásra vár. |
Futás | A vizsgálati folyamat megkezdődött, és folyamatban van. Ez az állapot a függőben lévő műveletek jóváhagyásakor is bekövetkezik. |
Nem találhatók fenyegetések | A vizsgálat befejeződött, és nem azonosíthatók fenyegetések (felhasználói fiók, e-mail-üzenet, URL-cím vagy fájl). TIPP: Ha azt gyanítja, hogy valami kimaradt (például hamis negatív), a Veszélyforrás-felderítővel műveletet hajthat végre. |
Részben megvizsgálva | Az automatizált vizsgálat problémákat talált, de nincsenek konkrét javítási műveletek a problémák megoldásához. A Részlegesen megvizsgált állapot akkor fordulhat elő, ha valamilyen felhasználói tevékenységet azonosítottak, de nem érhetők el karbantartási műveletek. Ilyenek például a következő felhasználói tevékenységek:
Megjegyzés: Ezt a részben vizsgált állapotot korábban fenyegetésként címkézték. A vizsgálat nem talált javítandó kártékony URL-címeket, fájlokat vagy e-mail üzeneteket, és nem talált javítandó postaláda-tevékenységet, például a továbbítási szabályok vagy a delegálás kikapcsolását. TIPP: Ha azt gyanítja, hogy valami kimaradt (például hamis negatív), a Threat Explorerrel kivizsgálhatja és végrehajthatja a szükséges lépéseket |
A rendszer leállítja | A vizsgálat leállt. A vizsgálat több okból is leállhat:
TIPP: Ha egy vizsgálat leáll a műveletek végrehajtása előtt, próbálja meg megkeresni és kezelni a fenyegetéseket a Veszélyforrás-kezelővel . |
Függőben lévő művelet | A vizsgálat fenyegetést talált, például kártékony e-mailt, rosszindulatú URL-címet vagy kockázatos postaláda-beállítást, valamint egy olyan műveletet, amely elhárítja, hogy a fenyegetés jóváhagyásra vár. A Függőben lévő művelet állapot akkor aktiválódik, ha egy megfelelő műveletet tartalmazó fenyegetést talál. A függőben lévő műveletek listája azonban a vizsgálat futtatásakor nőhet. Tekintse meg a vizsgálat részleteit, és ellenőrizze, hogy vannak-e még függőben lévő elemek. |
Szervizelt | A vizsgálat befejeződött, és minden szervizelési művelet jóvá lett hagyva (teljes javításként feljegyezve). MEGJEGYZÉS: A jóváhagyott szervizelési műveletek olyan hibákba ütközhetnek, amelyek megakadályozzák a műveletek végrehajtását. Függetlenül attól, hogy a szervizelési műveletek sikeresen befejeződtek-e, a vizsgálat állapota nem változik. A vizsgálat részleteinek megtekintése. |
Részben szervizelt | A vizsgálat javítási műveleteket eredményezett, és néhányat jóváhagytak és befejeztek. Más műveletek még függőben vannak. |
Nem sikerült | Legalább egy vizsgálatelemző olyan problémába ütközött, amely miatt nem tudott megfelelően befejeződni. JEGYZET Ha egy vizsgálat a javítási műveletek jóváhagyása után meghiúsul, előfordulhat, hogy a javítási műveletek továbbra is sikeresek voltak. Tekintse meg a vizsgálat részleteit. |
Várólistára helyezve szabályozással | A vizsgálat várólistán van. Ha más vizsgálatok befejeződnek, a várólistán lévő vizsgálatok megkezdődik. A szabályozás segít elkerülni a gyenge szolgáltatásteljesítményt. TIPP: A függőben lévő műveletek korlátozhatják, hogy hány új vizsgálat futhat. Mindenképpen hagyja jóvá (vagy utasítsa el) a függőben lévő műveleteket. |
Szabályozással leállított | Ha egy vizsgálat túl hosszú ideig van a várólistán, az leáll. TIPP: Vizsgálatot indíthat a Threat Explorerből. |
Vizsgálat részleteinek megtekintése
- Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.
- A navigációs ablakban válassza a Műveletek & beküldések>Műveletközpont lehetőséget.
- A Függőben vagy az Előzmények lapon válasszon ki egy műveletet. Ekkor megnyílik az úszó panel.
- Az úszó panelen válassza a Vizsgálat lap megnyitása lehetőséget.
- A különböző lapok segítségével többet is megtudhat a vizsgálatról.
Vizsgálathoz kapcsolódó riasztás részleteinek megtekintése
Bizonyos típusú riasztások automatikus vizsgálatot aktiválnak a Microsoft 365-ben. További információ: Automatikus vizsgálatot kiváltó riasztási szabályzatok.
- Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.
- A navigációs ablakban válassza a Műveletközpont lehetőséget.
- A Függőben vagy az Előzmények lapon válasszon ki egy műveletet. Ekkor megnyílik az úszó panel.
- Az úszó panelen válassza a Vizsgálat lap megnyitása lehetőséget.
- Válassza a Riasztások lapot a vizsgálathoz társított összes riasztás listájának megtekintéséhez.
- Jelöljön ki egy elemet a listában az úszó panel megnyitásához. Itt további információkat tekinthet meg a riasztásról.
Tartsa szem előtt az alábbi szempontokat
Email számokat a vizsgálat időpontjában számítja ki a rendszer, és egyes darabszámokat újraszámít a rendszer a vizsgálati úszó panelek megnyitásakor (egy mögöttes lekérdezés alapján).
A Email lapon látható e-mail-fürtök e-mail-száma és a fürt úszó paneljén látható e-mail-mennyiség értéke a vizsgálat időpontjában lesz kiszámítva, és nem változik.
Az e-mail-fürt úszó paneljének Email lapjának alján látható e-mailek száma és az Explorerben megjelenített e-mailek száma a vizsgálat kezdeti elemzése után kapott e-maileket tükrözi.
Így egy 10 e-mail-üzenetből álló eredeti mennyiséget megjelenítő e-mail-fürt összesen 15 e-mail-listát jelenít meg, ha öt további e-mail érkezik a vizsgálat elemzési fázisa és a rendszergazda a vizsgálat áttekintése között. Hasonlóképpen, előfordulhat, hogy a régi vizsgálatok magasabb számokat mutatnak, mint az Explorer-lekérdezések, mivel Office 365-höz készült Microsoft Defender 2. csomag adatai hét nap után lejárnak a próbaverziók esetében, és 30 nap után a fizetős licencek esetében.
A különböző nézetekben a korábbi és az aktuális számokat is megjelenítve a rendszer jelzi az e-mailekre gyakorolt hatást a vizsgálat idején, valamint az aktuális hatást egészen a szervizelés futásáig.
Az e-mail kontextusában a vizsgálat részeként megjelenhet egy mennyiségi anomáliadefenyegető felület. A mennyiségi anomáliák a vizsgálati esemény ideje körüli hasonló e-mail-üzenetek megugrására utalnak a korábbi időkeretekhez képest. Az e-mail-forgalom megugrása és bizonyos jellemzők (például a tárgy és a feladó tartománya, a szövegtörzs hasonlósága és a feladó IP-címe) jellemző az e-mail-kampányok vagy -támadások kezdetére. A tömeges, levélszemét- és törvényes e-mail-kampányok azonban gyakran megosztják ezeket a jellemzőket.
A kötetanomáliák potenciális fenyegetést jelentenek, és ennek megfelelően kevésbé súlyosak lehetnek a víruskereső motorokkal, detonációval vagy rosszindulatú hírnévvel azonosított kártevőkkel vagy adathalászattal szemben.
Nem kell minden műveletet jóváhagynia. Ha nem ért egyet az ajánlott művelettel, vagy a szervezete nem választ bizonyos típusú műveleteket, akkor dönthet úgy, hogy elutasítja a műveleteket, vagy egyszerűen figyelmen kívül hagyja őket, és nem hajt végre semmilyen műveletet.
Az összes művelet jóváhagyása és/vagy elutasítása lehetővé teszi a vizsgálat teljes lezárását (az állapot szervizelésre kerül), miközben egyes műveletek hiányosak maradnak, a vizsgálati állapot részlegesen szervizelt állapotra változik.