Egy automatizált vizsgálat részletei és eredményei a Microsoft 365-ben

• A következőre érvényes::

  ✅ Microsoft Defender for Office 365 Plan 2

Tipp

Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. Itt megtudhatja, hogy ki regisztrálhat, és mik a próbaverzió feltételei.

Ha automatizált vizsgálat történik Office 365-höz készült Microsoft Defender, a vizsgálat részletei az automatizált vizsgálati folyamat során és után érhetők el. Ha rendelkezik a szükséges engedélyekkel, megtekintheti ezeket a részleteket a Microsoft Defender portálon. A vizsgálat részletei naprakész állapotot biztosítanak, és lehetővé teszik a függőben lévő műveletek jóváhagyását.

Tipp

Tekintse meg az új, egységesített vizsgálati oldalt a Microsoft Defender portálon. További információ: (ÚJ!) Egyesített vizsgálat lap.

Vizsgálat állapota

A vizsgálat állapota az elemzés és a műveletek előrehaladását jelzi. A vizsgálat során az állapot megváltozik, jelezve, hogy találhatók-e fenyegetések, és hogy jóváhagyták-e a műveleteket.

Állapot	Leírás
Indítás alatt	A vizsgálat aktiválódott, és a futásra vár.
Futás	A vizsgálati folyamat megkezdődött, és folyamatban van. Ez az állapot a függőben lévő műveletek jóváhagyásakor is bekövetkezik.
Nem találhatók fenyegetések	A vizsgálat befejeződött, és nem azonosíthatók fenyegetések (felhasználói fiók, e-mail-üzenet, URL-cím vagy fájl). TIPP: Ha azt gyanítja, hogy valami kimaradt (például hamis negatív), a Veszélyforrás-felderítővel műveletet hajthat végre.
Részben megvizsgálva	Az automatizált vizsgálat problémákat talált, de nincsenek konkrét javítási műveletek a problémák megoldásához. A Részlegesen megvizsgált állapot akkor fordulhat elő, ha valamilyen felhasználói tevékenységet azonosítottak, de nem érhetők el karbantartási műveletek. Ilyenek például a következő felhasználói tevékenységek: Adatveszteség-megelőzési esemény Anomáliát küldő e-mail Elküldött kártevők Adathalászat küldése Megjegyzés: Ezt a részben vizsgált állapotot korábban fenyegetésként címkézték. A vizsgálat nem talált javítandó kártékony URL-címeket, fájlokat vagy e-mail üzeneteket, és nem talált javítandó postaláda-tevékenységet, például a továbbítási szabályok vagy a delegálás kikapcsolását. TIPP: Ha azt gyanítja, hogy valami kimaradt (például hamis negatív), a Threat Explorerrel kivizsgálhatja és végrehajthatja a szükséges lépéseket
A rendszer leállítja	A vizsgálat leállt. A vizsgálat több okból is leállhat: A vizsgálat függőben lévő műveletei lejártak. A függőben lévő műveletek időtúllépés miatt egy hétig várnak a jóváhagyásra Túl sok a művelet. Ha például túl sok felhasználó kattint rosszindulatú URL-címekre, az túllépheti a vizsgálat azon képességét, hogy az összes elemzőt futtassa, így a vizsgálat leáll TIPP: Ha egy vizsgálat leáll a műveletek végrehajtása előtt, próbálja meg megkeresni és kezelni a fenyegetéseket a Veszélyforrás-kezelővel .
Függőben lévő művelet	A vizsgálat fenyegetést talált, például kártékony e-mailt, rosszindulatú URL-címet vagy kockázatos postaláda-beállítást, valamint egy olyan műveletet, amely elhárítja, hogy a fenyegetés jóváhagyásra vár. A Függőben lévő művelet állapot akkor aktiválódik, ha egy megfelelő műveletet tartalmazó fenyegetést talál. A függőben lévő műveletek listája azonban a vizsgálat futtatásakor nőhet. Tekintse meg a vizsgálat részleteit, és ellenőrizze, hogy vannak-e még függőben lévő elemek.
Szervizelt	A vizsgálat befejeződött, és minden szervizelési művelet jóvá lett hagyva (teljes javításként feljegyezve). MEGJEGYZÉS: A jóváhagyott szervizelési műveletek olyan hibákba ütközhetnek, amelyek megakadályozzák a műveletek végrehajtását. Függetlenül attól, hogy a szervizelési műveletek sikeresen befejeződtek-e, a vizsgálat állapota nem változik. A vizsgálat részleteinek megtekintése.
Részben szervizelt	A vizsgálat javítási műveleteket eredményezett, és néhányat jóváhagytak és befejeztek. Más műveletek még függőben vannak.
Nem sikerült	Legalább egy vizsgálatelemző olyan problémába ütközött, amely miatt nem tudott megfelelően befejeződni. MEGJEGYZÉS Ha egy vizsgálat a javítási műveletek jóváhagyása után meghiúsul, előfordulhat, hogy a javítási műveletek továbbra is sikeresek voltak. Tekintse meg a vizsgálat részleteit.
Várólistára helyezve szabályozással	A vizsgálat várólistán van. Ha más vizsgálatok befejeződnek, a várólistán lévő vizsgálatok megkezdődik. A szabályozás segít elkerülni a gyenge szolgáltatásteljesítményt. TIPP: A függőben lévő műveletek korlátozhatják, hogy hány új vizsgálat futhat. Mindenképpen hagyja jóvá (vagy utasítsa el) a függőben lévő műveleteket.
Szabályozással leállított	Ha egy vizsgálat túl hosszú ideig van a várólistán, az leáll. TIPP: Vizsgálatot indíthat a Threat Explorerből.

Vizsgálat részleteinek megtekintése

1. Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.
2. A navigációs ablakban válassza a Műveletek & beküldések>Műveletközpont lehetőséget.
3. A Függőben vagy az Előzmények lapon válasszon ki egy műveletet. Ekkor megnyílik az úszó panel.
4. Az úszó panelen válassza a Vizsgálat lap megnyitása lehetőséget.
5. A különböző lapok segítségével többet is megtudhat a vizsgálatról.

Vizsgálathoz kapcsolódó riasztás részleteinek megtekintése

Bizonyos típusú riasztások automatikus vizsgálatot aktiválnak a Microsoft 365-ben. További információ: Automatikus vizsgálatot kiváltó riasztási szabályzatok.

1. Nyissa meg a Microsoft Defender portált (https://security.microsoft.com), és jelentkezzen be.
2. A navigációs ablakban válassza a Műveletközpont lehetőséget.
3. A Függőben vagy az Előzmények lapon válasszon ki egy műveletet. Ekkor megnyílik az úszó panel.
4. Az úszó panelen válassza a Vizsgálat lap megnyitása lehetőséget.
5. Válassza a Riasztások lapot a vizsgálathoz társított összes riasztás listájának megtekintéséhez.
6. Jelöljön ki egy elemet a listában az úszó panel megnyitásához. Itt további információkat tekinthet meg a riasztásról.

Tartsa szem előtt az alábbi szempontokat

• Email számokat a vizsgálat időpontjában számítja ki a rendszer, és egyes darabszámokat újraszámít a rendszer a vizsgálati úszó panelek megnyitásakor (egy mögöttes lekérdezés alapján).

• A Email lapon látható e-mail-fürtök e-mail-száma és a fürt úszó paneljén látható e-mail-mennyiség értéke a vizsgálat időpontjában lesz kiszámítva, és nem változik.

• Az e-mail-fürt úszó paneljének Email lapjának alján látható e-mailek száma és az Explorerben megjelenített e-mailek száma a vizsgálat kezdeti elemzése után kapott e-maileket tükrözi.

  Így egy 10 e-mail-üzenetből álló eredeti mennyiséget megjelenítő e-mail-fürt összesen 15 e-mail-listát jelenít meg, ha öt további e-mail érkezik a vizsgálat elemzési fázisa és a rendszergazda a vizsgálat áttekintése között. Hasonlóképpen, előfordulhat, hogy a régi vizsgálatok magasabb számokat mutatnak, mint az Explorer-lekérdezések, mivel Office 365-höz készült Microsoft Defender 2. csomag adatai hét nap után lejárnak a próbaverziók esetében, és 30 nap után a fizetős licencek esetében.

  A különböző nézetekben a korábbi és az aktuális számokat is megjelenítve a rendszer jelzi az e-mailekre gyakorolt hatást a vizsgálat idején, valamint az aktuális hatást egészen a szervizelés futásáig.

• Az e-mail kontextusában a vizsgálat részeként megjelenhet egy mennyiségi anomáliadefenyegető felület. A mennyiségi anomáliák a vizsgálati esemény ideje körüli hasonló e-mail-üzenetek megugrására utalnak a korábbi időkeretekhez képest. Az e-mail-forgalom megugrása és bizonyos jellemzők (például a tárgy és a feladó tartománya, a szövegtörzs hasonlósága és a feladó IP-címe) jellemző az e-mail-kampányok vagy -támadások kezdetére. A tömeges, levélszemét- és törvényes e-mail-kampányok azonban gyakran megosztják ezeket a jellemzőket.

• A kötetanomáliák potenciális fenyegetést jelentenek, és ennek megfelelően kevésbé súlyosak lehetnek a víruskereső motorokkal, detonációval vagy rosszindulatú hírnévvel azonosított kártevőkkel vagy adathalászattal szemben.

• Nem kell minden műveletet jóváhagynia. Ha nem ért egyet az ajánlott művelettel, vagy a szervezete nem választ bizonyos típusú műveleteket, akkor dönthet úgy, hogy elutasítja a műveleteket, vagy egyszerűen figyelmen kívül hagyja őket, és nem hajt végre semmilyen műveletet.

• Az összes művelet jóváhagyása és/vagy elutasítása lehetővé teszi a vizsgálat teljes lezárását (az állapot szervizelésre kerül), miközben egyes műveletek hiányosak maradnak, a vizsgálati állapot részlegesen szervizelt állapotra változik.

Következő lépések

• Függőben lévő műveletek áttekintése és jóváhagyása