Szczegóły i wyniki zautomatyzowanego badania na platformie Microsoft 365
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w usłudze Microsoft Defender XDR dla usługi Office 365 Plan 2? Użyj 90-dniowej wersji próbnej usługi Defender for Office 365 w centrum wersji próbnej portalu Usługi Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z postanowieniami dotyczącymi wersji próbnej w usłudze Microsoft Defender dla usługi Office 365.
W przypadku zautomatyzowanego badania w usłudze Microsoft Defender dla usługi Office 365 szczegółowe informacje o tym badaniu są dostępne w trakcie i po zautomatyzowanym procesie badania. Jeśli masz niezbędne uprawnienia, możesz wyświetlić te szczegóły w portalu usługi Microsoft Defender. Szczegóły badania zapewniają aktualny stan i możliwość zatwierdzania wszelkich oczekujących akcji.
Porada
Zapoznaj się z nową, ujednoliconą stroną badania w portalu usługi Microsoft Defender. Aby dowiedzieć się więcej, zobacz (NOWY!) Ujednolicona strona badania.
Stan badania
Stan badania wskazuje postęp analizy i akcji. Po uruchomieniu badania stan zmienia się, aby wskazać, czy wykryto zagrożenia i czy akcje zostały zatwierdzone.
Stan | Opis |
---|---|
Rozpoczynanie | Badanie zostało wyzwolone i czeka na uruchomienie. |
Uruchomienie | Proces dochodzeniowy rozpoczął się i jest w toku. Ten stan występuje również wtedy, gdy oczekujące akcje zostaną zatwierdzone. |
Nie znaleziono zagrożeń | Badanie zostało zakończone i nie zidentyfikowano żadnych zagrożeń (konta użytkownika, wiadomości e-mail, adresu URL lub pliku). PORADA: Jeśli podejrzewasz, że coś zostało pominięte (na przykład fałszywie ujemne), możesz podjąć działania za pomocą Eksploratora zagrożeń. |
Częściowo zbadane | Zautomatyzowane badanie wykryło problemy, ale nie ma konkretnych akcji korygowania w celu rozwiązania tych problemów. Stan Częściowo zbadane może wystąpić, gdy określono jakiś typ działania użytkownika, ale nie są dostępne żadne akcje oczyszczania. Przykłady obejmują dowolne z następujących działań użytkownika:
Uwaga: ten częściowo zbadany stan był oznaczony jako Znaleziono zagrożenia. W badaniu nie znaleziono złośliwych adresów URL, plików ani wiadomości e-mail do skorygowania i nie znaleziono działań skrzynki pocztowej do naprawienia, takich jak wyłączenie reguł przekazywania lub delegowanie. PORADA: Jeśli podejrzewasz, że coś zostało pominięte (na przykład fałszywie ujemne), możesz zbadać i podjąć działania przy użyciu Eksploratora zagrożeń |
Zakończone przez system | Dochodzenie zostało zatrzymane. Dochodzenie można zatrzymać z kilku powodów:
PORADA: Jeśli badanie zostanie zatrzymane przed podjęciem akcji, spróbuj użyć Eksploratora zagrożeń , aby znaleźć zagrożenia i rozwiązać je. |
Akcja oczekująca | Badanie wykryło zagrożenie, takie jak złośliwa wiadomość e-mail, złośliwy adres URL lub ryzykowne ustawienie skrzynki pocztowej, oraz akcja korygowania tego zagrożenia oczekuje na zatwierdzenie. Stan Oczekująca akcja jest wyzwalany, gdy zostanie znalezione jakiekolwiek zagrożenie z odpowiednią akcją. Jednak lista oczekujących akcji może wzrosnąć w miarę uruchamiania badania. Wyświetl szczegóły badania, aby sprawdzić, czy inne elementy nadal oczekują na ukończenie. |
Skorygowano | Dochodzenie zostało zakończone i wszystkie akcje korygowania zostały zatwierdzone (zanotowane jako w pełni skorygowane). UWAGA: Zatwierdzone akcje korygowania mogą mieć błędy, które uniemożliwiają wykonanie akcji. Niezależnie od tego, czy akcje korygowania zostały pomyślnie zakończone, stan badania nie ulega zmianie. Wyświetl szczegóły badania. |
Częściowo skorygowane | Badanie spowodowało akcje korygowania, a niektóre zostały zatwierdzone i zakończone. Inne akcje nadal oczekują. |
Zakończone niepowodzeniem | Co najmniej jeden analizator badania napotkał problem polegający na tym, że nie mógł prawidłowo ukończyć. NUTA Jeśli badanie zakończy się niepowodzeniem po zatwierdzeniu akcji korygowania, akcje korygowania mogły zakończyć się pomyślnie. Wyświetl szczegóły badania. |
W kolejce według ograniczania przepustowości | Dochodzenie jest przechowywane w kolejce. Po zakończeniu innych badań rozpoczną się badania w kolejce. Ograniczanie przepustowości pomaga uniknąć niskiej wydajności usługi. PORADA: Oczekujące akcje mogą ograniczyć liczbę nowych badań. Pamiętaj, aby zatwierdzić (lub odrzucić) oczekujące akcje. |
Zakończone przez ograniczanie przepustowości | Jeśli badanie jest przechowywane w kolejce zbyt długo, zatrzymuje się. PORADA: Możesz rozpocząć badanie z poziomu Eksploratora zagrożeń. |
Wyświetlanie szczegółów badania
- Przejdź do portalu usługi Microsoft Defender (https://security.microsoft.com) i zaloguj się.
- W okienku nawigacji wybierz pozycję Akcje & przesłanych>Centrum akcji.
- Na kartach Oczekujące lub Historia wybierz akcję. Zostanie otwarte okienko wysuwane.
- W okienku wysuwanym wybierz pozycję Otwórz stronę badania.
- Użyj różnych kart, aby dowiedzieć się więcej o badaniu.
Wyświetlanie szczegółów dotyczących alertu związanego z badaniem
Niektóre rodzaje alertów wyzwalają automatyczne badanie w usłudze Microsoft 365. Aby dowiedzieć się więcej, zobacz zasady alertów, które wyzwalają zautomatyzowane badania.
- Przejdź do portalu usługi Microsoft Defender (https://security.microsoft.com) i zaloguj się.
- W okienku nawigacji wybierz pozycję Centrum akcji.
- Na kartach Oczekujące lub Historia wybierz akcję. Zostanie otwarte okienko wysuwane.
- W okienku wysuwanym wybierz pozycję Otwórz stronę badania.
- Wybierz kartę Alerty , aby wyświetlić listę wszystkich alertów skojarzonych z tym badaniem.
- Wybierz element z listy, aby otworzyć okienko wysuwane. W tym miejscu możesz wyświetlić więcej informacji na temat alertu.
Należy pamiętać o następujących kwestiach
Liczba wiadomości e-mail jest obliczana w czasie badania, a niektóre liczby są ponownie obliczane podczas otwierania wysuwanych badań (na podstawie zapytania bazowego).
Liczba wiadomości e-mail wyświetlanych dla klastrów poczty e-mail na karcie Poczta e-mail i wartość ilości wiadomości e-mail wyświetlana w wysuwie klastra są obliczane w czasie badania i nie ulegają zmianie.
Liczba wiadomości e-mail wyświetlanych w dolnej części karty Poczta e-mail wysuwanego klastra poczty e-mail oraz liczba wiadomości e-mail wyświetlanych w Eksploratorze odzwierciedlają wiadomości e-mail odebrane po wstępnej analizie badania.
W związku z tym klaster poczty e-mail, który pokazuje oryginalną ilość 10 wiadomości e-mail, pokazuje listę wiadomości e-mail łącznie 15, gdy pojawi się jeszcze pięć wiadomości e-mail między fazą analizy badania a przeglądem badania przez administratora. Podobnie stare badania mogą zacząć pokazywać większą liczbę niż pokazują zapytania Eksploratora, ponieważ dane w usłudze Microsoft Defender dla usługi Office 365 Plan 2 wygasają po siedmiu dniach prób i po 30 dniach w przypadku licencji płatnych.
Wyświetlanie zarówno liczby historycznych, jak i bieżących liczb w różnych widokach jest wykonywane w celu wskazania wpływu wiadomości e-mail w czasie badania i bieżącego wpływu aż do czasu uruchomienia korygowania.
W kontekście wiadomości e-mail w ramach badania może zostać wyświetlona powierzchnia zagrożenia anomalią woluminu. Anomalia woluminu wskazuje na wzrost liczby podobnych wiadomości e-mail w czasie zdarzenia badania w porównaniu do wcześniejszych ram czasowych. Wzrost ruchu poczty e-mail wraz z pewnymi cechami (na przykład domeną podmiotu i nadawcy, podobieństwem treści i adresem IP nadawcy) jest typowym początkiem kampanii e-mail lub ataków. Jednak zbiorcze, spamowe i uzasadnione kampanie e-mail często mają te cechy.
Anomalie woluminów stanowią potencjalne zagrożenie i w związku z tym mogą być mniej poważne w porównaniu do złośliwego oprogramowania lub zagrożeń phish, które są identyfikowane przy użyciu aparatów antywirusowych, detonacji lub złośliwej reputacji.
Nie musisz zatwierdzać każdej akcji. Jeśli nie zgadzasz się z zalecaną akcją lub twoja organizacja nie wybiera niektórych typów akcji, możesz wybrać opcję Odrzuć akcje lub po prostu je zignorować i nie podejmować żadnych działań.
Zatwierdzenie i/lub odrzucenie wszystkich akcji pozwala na całkowite zamknięcie badania (stan staje się korygowany), a pozostawienie niektórych akcji niekompletnych powoduje zmianę stanu badania na częściowo skorygowany stan.