Detaljer og resultater av en automatisert undersøkelse i Microsoft 365

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Finn ut mer om hvem som kan registrere seg og vilkår for prøveversjonen her.

Når en automatisert undersøkelse skjer i Microsoft Defender for Office 365, er detaljer om undersøkelsen tilgjengelig under og etter den automatiserte undersøkelsesprosessen. Hvis du har de nødvendige tillatelsene, kan du vise disse detaljene i Microsoft Defender-portalen. Undersøkelsesdetaljer gir deg oppdatert status og muligheten til å godkjenne eventuelle ventende handlinger.

Tips

Sjekk ut den nye, enhetlige undersøkelsessiden i Microsoft Defender-portalen. Hvis du vil ha mer informasjon, kan du se (NY!) Side for enhetlig undersøkelse.

Undersøkelsesstatus

Undersøkelsesstatusen angir fremdriften for analysen og handlingene. Etter hvert som undersøkelsen pågår, endres statusen for å indikere om trusler ble funnet, og om handlingene er godkjent.

Status Beskrivelse
Starter Etterforskningen er utløst og venter på å begynne å kjøre.
Kjører Etterforskningsprosessen har startet og er i gang. Denne tilstanden forekommer også når ventende handlinger godkjennes.
Finner ingen trusler Undersøkelsen er fullført, og ingen trusler (brukerkonto, e-postmelding, nettadresse eller fil) ble identifisert.

Tips! Hvis du mistenker at noe gikk tapt (for eksempel en falsk negativ), kan du utføre handlinger ved hjelp av Trusselutforsker.
Delvis undersøkt Den automatiserte undersøkelsen fant problemer, men det finnes ingen spesifikke utbedringshandlinger for å løse disse problemene.

Statusen Delvis undersøkt kan oppstå når en type brukeraktivitet ble identifisert, men ingen oppryddingshandlinger er tilgjengelige. Eksempler inkluderer noen av følgende brukeraktiviteter:


Obs! Denne delvis undersøkte statusen ble merket som Trusler funnet.

Undersøkelsen fant ingen skadelige nettadresser, filer eller e-postmeldinger å utbedre, og ingen postboksaktivitet å løse, for eksempel deaktivere videresendingsregler eller delegering.

Tips! Hvis du mistenker at noe gikk tapt (for eksempel en falsk negativ), kan du undersøke og iverksette tiltak ved hjelp av Trusselutforsker
Avsluttet av system Etterforskningen stoppet. En undersøkelse kan stoppe av flere grunner:
  • Etterforskningens ventende handlinger utløp. Ventende handlinger blir tidsavbrutt etter å ha ventet på godkjenning i én uke
  • Det er for mange handlinger. Hvis det for eksempel er for mange brukere som klikker på skadelige nettadresser, kan det overskride undersøkelsens mulighet til å kjøre alle analyser, slik at undersøkelsen stopper

Tips! Hvis en undersøkelse stanser før handlinger ble utført, kan du prøve å bruke Trusselutforsker til å finne og håndtere trusler.
Venter på handling Undersøkelsen har funnet en trussel, for eksempel en ondsinnet e-post, en ondsinnet nettadresse eller en risikabel postboksinnstilling, og en handling for å utbedre denne trusselen venter på godkjenning.

Statusen for ventende handling utløses når det blir funnet en trussel med en tilsvarende handling. Listen over ventende handlinger kan imidlertid øke etter hvert som en undersøkelse kjøres. Vis undersøkelsesdetaljer for å se om andre elementer fortsatt venter på fullføring.
Utbedret Undersøkelsen er fullført og alle utbedringshandlinger ble godkjent (angitt som fullstendig utbedret).

OBS! Godkjente utbedringshandlinger kan ha feil som hindrer at handlingene utføres. Uavhengig av om utbedringshandlingene er fullført, endres ikke undersøkelsesstatusen. Vis undersøkelsesdetaljer.
Delvis utbedret Undersøkelsen resulterte i utbedringshandlinger, og noen ble godkjent og fullført. Andre handlinger venter fortsatt.
Mislyktes Minst én undersøkelsesanalyse støtte på et problem der det ikke kunne fullføres riktig.

MERK Hvis en undersøkelse mislykkes etter at utbedringshandlingene ble godkjent, kan utbedringshandlingene fortsatt ha lyktes. Vis undersøkelsesdetaljene.
I kø ved begrensning En undersøkelse holdes i en kø. Når andre undersøkelser er fullført, starter undersøkelser i kø. Begrensning bidrar til å unngå dårlig tjenesteytelse.

Tips! Ventende handlinger kan begrense hvor mange nye undersøkelser som kan kjøres. Pass på å godkjenne (eller avvise) ventende handlinger.
Avsluttet av begrensning Hvis en undersøkelse holdes i køen for lenge, stopper den.

Tips! Du kan starte en undersøkelse fra Trusselutforsker.

Vis detaljer for en undersøkelse

  1. Gå til Microsoft Defender-portalen (https://security.microsoft.com) og logg på.
  2. Velg Handlinger & handlingssenter for innsendinger> i navigasjonsruten.
  3. Velg en handling på fanene Venter eller Logg . Undermenyruten åpnes.
  4. Velg Åpne undersøkelse-siden i undermenyen.
  5. Bruk de ulike fanene til å lære mer om undersøkelsen.

Visse typer varsler utløser automatisert undersøkelse i Microsoft 365. Hvis du vil ha mer informasjon, kan du se varslingspolicyer som utløser automatiserte undersøkelser.

  1. Gå til Microsoft Defender-portalen (https://security.microsoft.com) og logg på.
  2. Velg Handlingssenter i navigasjonsruten.
  3. Velg en handling på fanene Venter eller Logg . Undermenyruten åpnes.
  4. Velg Åpne undersøkelse-siden i undermenyen.
  5. Velg Varsler-fanen for å vise en liste over alle varslene som er knyttet til denne undersøkelsen.
  6. Velg et element i listen for å åpne undermenyen. Der kan du vise mer informasjon om varselet.

Husk følgende punkter

  • Antall e-postmeldinger beregnes på tidspunktet for undersøkelsen, og noen antall beregnes på nytt når du åpner undermenyer for undersøkelser (basert på en underliggende spørring).

  • Antallet e-postmeldinger som vises for e-postklyngene på E-post-fanen og verdien for e-postantallet som vises på undermenyen for klynger, beregnes på undersøkelsestidspunktet, og endres ikke.

  • E-postantallet som vises nederst på E-post-fanen i undermenyen for e-postklyngen og antall e-postmeldinger som vises i Explorer, gjenspeiler e-postmeldinger som er mottatt etter undersøkelsens første analyse.

    En e-postklynge som viser et opprinnelig antall på 10 e-postmeldinger, viser derfor totalt 15 e-postmeldinger når det kommer fem e-postmeldinger mellom undersøkelsesanalysefasen og når administratoren ser gjennom undersøkelsen. På samme måte kan gamle undersøkelser begynne å vise høyere antall enn Explorer-spørringer viser, fordi data i Microsoft Defender for Office 365 Plan 2 utløper etter sju dager for prøveversjoner og etter 30 dager for betalte lisenser.

    Viser både antall historiske og gjeldende antall i ulike visninger er gjort for å indikere e-postinnvirkningen på tidspunktet for undersøkelsen og den nåværende virkningen frem til tidspunktet da utbedringen kjøres.

  • I forbindelse med e-post kan det hende du ser en volumavvikstrussel som en del av undersøkelsen. Et volumavvik indikerer en økning i lignende e-postmeldinger rundt tidspunktet for undersøkelseshendelsen sammenlignet med tidligere tidsrammer. En økning i e-posttrafikken sammen med visse egenskaper (for eksempel emne- og avsenderdomene, kroppssammentrekk og avsender-IP) er typisk for starten på e-postkampanjer eller angrep. Masseutsletting, søppelpost og legitime e-postkampanjer deler imidlertid ofte disse egenskapene.

  • Volumavvik representerer en potensiell trussel, og kan derfor være mindre alvorlig sammenlignet med skadelig programvare eller phish-trusler som identifiseres ved hjelp av antivirusmotorer, detonasjon eller skadelig omdømme.

  • Du trenger ikke å godkjenne alle handlinger. Hvis du ikke er enig i den anbefalte handlingen eller organisasjonen ikke velger bestemte typer handlinger, kan du velge å forkaste handlingene eller bare ignorere dem og ikke gjøre noe.

  • Godkjenning og/eller avvisning av alle handlinger lar undersøkelsen lukkes fullstendig (statusen blir utbedret), samtidig som noen handlinger blir ufullstendige resultater i undersøkelsesstatusen endres til en delvis utbedret tilstand.

Neste trinn