Detaljer og resultater fra en automatisert undersøkelse
Gjelder for:
- Microsoft Defender XDR
Med Microsoft Defender XDR, når en automatisert undersøkelse kjører, er detaljer om denne undersøkelsen tilgjengelig både under og etter den automatiserte undersøkelsesprosessen. Hvis du har de nødvendige tillatelsene, kan du vise disse detaljene i en undersøkelsesdetaljervisning som gir deg oppdatert status og muligheten til å godkjenne eventuelle ventende handlinger.
(NY) Side for enhetlig undersøkelse
Undersøkelsessiden er nylig oppdatert for å inkludere informasjon på tvers av enheter, e-post og samarbeidsinnhold. Den nye, enhetlige undersøkelsessiden definerer et felles språk og gir en enhetlig opplevelse for automatiske undersøkelser på tvers av Microsoft Defender for endepunkt og Microsoft Defender for Office 365. Hvis du vil ha tilgang til siden for enhetlig undersøkelse, velger du koblingen i det gule banneret du ser på:
- Alle undersøkelsessider i Microsoft Purview-samsvarsportal
- Alle undersøkelsessider i Microsoft Defender-portalen (https://security.microsoft.com)
- Enhver hendelses- eller handlingssenteropplevelse i Microsoft Defender-portalen
Åpne visningen for undersøkelsesdetaljer
Du kan åpne detaljvisningen for undersøkelser ved hjelp av én av følgende metoder:
Velg et element i handlingssenteret
Det forbedrede handlingssenteret (https://security.microsoft.com/action-center) samler utbedringshandlinger på tvers av enhetene dine, e-post & samarbeidsinnhold og identiteter. Oppførte handlinger inkluderer utbedringshandlinger som ble utført automatisk eller manuelt. I handlingssenteret kan du vise handlinger som venter på godkjenning og handlinger som allerede er godkjent eller fullført. Du kan også gå til flere detaljer, for eksempel en undersøkelsesside.
Tips
Du må ha bestemte tillatelser til å godkjenne, avvise eller angre handlinger.
Gå til Microsoft Defender portalen, og logg på.
Velg Handlingssenter i navigasjonsruten.
Velg et element på fanen Venter eller Logg . Undermenyruten åpnes.
Se gjennom informasjonen i undermenyruten, og gjør deretter ett av følgende:
- Velg Åpne undersøkelse-siden for å vise flere detaljer om undersøkelsen.
- Velg Godkjenn for å starte en ventende handling.
- Velg Avvis for å hindre at en ventende handling utføres.
- Velg Gå jakten for å gå inn avansert jakt.
Åpne en undersøkelse fra en side med hendelsesdetaljer
Bruk en side med hendelsesdetaljer til å vise detaljert informasjon om en hendelse, inkludert varsler som ble utløst informasjon om berørte enheter, brukerkontoer eller postbokser.
Gå til Microsoft Defender portalen, og logg på.
Velg Hendelser & varsler hendelser> i navigasjonsruten.
Velg et element i listen, og velg deretter Åpne hendelsesside.
Velg Fanen Undersøkelser , og velg deretter en undersøkelse i listen. Undermenyruten åpnes.
Velg Åpne undersøkelsesside.
Her er et eksempel.
Undersøkelsesdetaljer
Bruk detaljvisningen for undersøkelser til å se tidligere, gjeldende og ventende aktivitet knyttet til en undersøkelse. Her er et eksempel.
I detaljvisningen undersøkelse kan du se informasjon på fanene Undersøkelsesgraf, Varsler, Enheter, Identiteter, Viktige funn, Enheter, Logg og Ventende handlinger, som er beskrevet i tabellen nedenfor.
Obs!
De spesifikke fanene du ser på en undersøkelsesdetaljside, avhenger av hva abonnementet omfatter. Hvis abonnementet for eksempel ikke inneholder Microsoft Defender for Office 365 Plan 2, ser du ikke fanen Postbokser.
| Tab | Beskrivelse |
|---|---|
| Undersøkelsesgraf | Gir en visuell fremstilling av undersøkelsen. Viser enheter og lister opp trusler funnet, sammen med varsler og om noen handlinger venter på godkjenning. Du kan velge et element i grafen for å vise flere detaljer. Hvis du for eksempel velger Bevis-ikonet , kommer du til Bevis-fanen , der du kan se oppdagede enheter og deres dommer. |
| Varsler | Lister varsler knyttet til etterforskningen. Varsler kan komme fra trusselbeskyttelsesfunksjoner på en brukers enhet, i Office-apper, Microsoft Defender for Cloud Apps og andre Microsoft Defender XDR funksjoner. Hvis du ser varslingstypen Som ikke støttes, betyr det at automatiserte undersøkelsesfunksjoner ikke kan hente varselet for å kjøre en automatisert undersøkelse. Du kan imidlertid undersøke disse varslene manuelt. |
| Enheter | Lister enheter som er inkludert i undersøkelsen sammen med utbedringsnivået. (Utbedringsnivåer tilsvarer automatiseringsnivået for enhetsgrupper.) |
| Postbokser | Lister postbokser som påvirkes av oppdagede trusler. |
| Brukere | Lister brukerkontoer som påvirkes av oppdagede trusler. |
| Bevis | Lister bevis som er reist av varsler eller undersøkelser. Inkluderer dommer (ondsinnede, mistenkelige, ukjente eller ingen trusler funnet) og utbedringsstatus. |
| Enheter | Gir detaljer om hver analyserte enhet, inkludert en dom for hver enhetstype (Ondsinnet, Mistenkelig eller Ingen trusler funnet). |
| Logge | Gir en kronologisk, detaljert visning av alle undersøkelseshandlingene som ble utført etter at et varsel ble utløst. |
| Logg for ventende handlinger | Lister elementer som krever godkjenning for å fortsette. Gå til handlingssenteret (https://security.microsoft.com/action-center) for å godkjenne ventende handlinger. |
Undersøkelsesstatuser
Tabellen nedenfor viser undersøkelsestilstander og hva de angir.
| Undersøkelsestilstand | Definisjon |
|---|---|
| Godartet | Artefakter ble undersøkt og det ble bestemt at det ikke ble funnet noen trusler. |
| PendingResource | En automatisert undersøkelse stanses midlertidig fordi en utbedringshandling venter på godkjenning, eller enheten der en artefakt ble funnet, er midlertidig utilgjengelig. |
| Ikke støttetAlertType | En automatisert undersøkelse er ikke tilgjengelig for denne typen varsel. Videre undersøkelser kan gjøres manuelt ved hjelp av avansert jakt. |
| Mislyktes | Minst én undersøkelsesanalyse støtte på et problem der den ikke kunne fullføre undersøkelsen. Hvis en undersøkelse mislykkes etter at utbedringshandlingene ble godkjent, kan utbedringshandlingene fortsatt ha lyktes. |
| Utbedret | En automatisert undersøkelse er fullført, og alle utbedringshandlinger ble fullført eller godkjent. |
Hvis du vil gi mer kontekst om hvordan undersøkelsestilstander vises, viser tabellen nedenfor varsler og tilsvarende automatisert undersøkelsestilstand. Denne tabellen er inkludert som et eksempel på hva en sikkerhetsoperasjonsgruppe kan se i Microsoft Defender-portalen.
| Varselnavn | Alvorlighetsgraden | Undersøkelsestilstand | Status | Kategori |
|---|---|---|---|---|
| Skadelig programvare ble oppdaget i en wim-diskbildefil | Informativ | Godartet | Løst | Malware |
| Skadelig programvare ble oppdaget i en rar-arkivfil | Informativ | PendingResource | Nye | Malware |
| Skadelig programvare ble oppdaget i en rar-arkivfil | Informativ | Ikke støttetAlertType | Nye | Malware |
| Skadelig programvare ble oppdaget i en rar-arkivfil | Informativ | Ikke støttetAlertType | Nye | Malware |
| Skadelig programvare ble oppdaget i en rar-arkivfil | Informativ | Ikke støttetAlertType | Nye | Malware |
| Skadelig programvare ble oppdaget i en ZIP-arkivfil | Informativ | PendingResource | Nye | Malware |
| Skadelig programvare ble oppdaget i en ZIP-arkivfil | Informativ | PendingResource | Nye | Malware |
| Skadelig programvare ble oppdaget i en ZIP-arkivfil | Informativ | PendingResource | Nye | Malware |
| Skadelig programvare ble oppdaget i en ZIP-arkivfil | Informativ | PendingResource | Nye | Malware |
| Wpakill hacktool ble forhindret | Lav | Mislyktes | Nye | Malware |
| GendowsBatch hacktool ble forhindret | Lav | Mislyktes | Nye | Malware |
| Keygen hacktool ble forhindret | Lav | Mislyktes | Nye | Malware |
| Skadelig programvare ble oppdaget i en ZIP-arkivfil | Informativ | PendingResource | Nye | Malware |
| Skadelig programvare ble oppdaget i en rar-arkivfil | Informativ | PendingResource | Nye | Malware |
| Skadelig programvare ble oppdaget i en rar-arkivfil | Informativ | PendingResource | Nye | Malware |
| Skadelig programvare ble oppdaget i en ZIP-arkivfil | Informativ | PendingResource | Nye | Malware |
| Skadelig programvare ble oppdaget i en rar-arkivfil | Informativ | PendingResource | Nye | Malware |
| Skadelig programvare ble oppdaget i en rar-arkivfil | Informativ | PendingResource | Nye | Malware |
| Skadelig programvare ble oppdaget i en iso-platebildefil | Informativ | PendingResource | Nye | Malware |
| Skadelig programvare ble oppdaget i en iso-platebildefil | Informativ | PendingResource | Nye | Malware |
| Skadelig programvare ble oppdaget i en pst Outlook-datafil | Informativ | Ikke støttetAlertType | Nye | Malware |
| Skadelig programvare ble oppdaget i en pst Outlook-datafil | Informativ | Ikke støttetAlertType | Nye | Malware |
| MediaGet oppdaget | Middels | Delvisinvestert | Nye | Malware |
| TrojanEmailFile | Middels | Vellykket utbedring | Løst | Malware |
| CustomEnterpriseBlock-skadelig programvare ble forhindret | Informativ | Vellykket utbedring | Løst | Malware |
| En aktiv CustomEnterpriseBlock-skadelig programvare ble blokkert | Lav | Vellykket utbedring | Løst | Malware |
| En aktiv CustomEnterpriseBlock-skadelig programvare ble blokkert | Lav | Vellykket utbedring | Løst | Malware |
| En aktiv CustomEnterpriseBlock-skadelig programvare ble blokkert | Lav | Vellykket utbedring | Løst | Malware |
| TrojanEmailFile | Middels | Godartet | Løst | Malware |
| CustomEnterpriseBlock-skadelig programvare ble forhindret | Informativ | Ikke støttetAlertType | Nye | Malware |
| CustomEnterpriseBlock-skadelig programvare ble forhindret | Informativ | Vellykket utbedring | Løst | Malware |
| TrojanEmailFile | Middels | Vellykket utbedring | Løst | Malware |
| TrojanEmailFile | Middels | Godartet | Løst | Malware |
| En aktiv CustomEnterpriseBlock-skadelig programvare ble blokkert | Lav | PendingResource | Nye | Malware |
Neste trinn
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.