Поделиться через


Сведения об автоматическом исследовании и его результаты

Область применения:

  • Microsoft Defender XDR

При использовании Microsoft Defender XDR, когда выполняется автоматическое исследование, сведения об этом исследовании становятся доступными как во время, так и после процесса автоматического исследования. Если у вас есть необходимые разрешения, вы можете просмотреть эти сведения в представлении сведений о расследовании, которое предоставляет вам актуальное состояние и возможность утверждать любые ожидающие действия.

(NEW) Страница унифицированного исследования

Страница исследования недавно была обновлена, включив сведения на устройствах, электронную почту и содержимое для совместной работы. Новая унифицированная страница исследования определяет общий язык и предоставляет единый интерфейс для автоматических исследований в Microsoft Defender для конечной точки и Microsoft Defender для Office 365. Чтобы открыть страницу унифицированного исследования, щелкните ссылку в желтом баннере, на который вы увидите:

Открытие представления со сведениями об исследовании

Чтобы открыть представление со сведениями об исследовании, можно использовать один из указанных ниже способов.

Выбор элемента в центре уведомлений

Улучшенный центр уведомлений (https://security.microsoft.com/action-center) объединяет действия по исправлению на всех устройствах, электронную почту & содержимое для совместной работы и удостоверения. Перечисленные действия включают действия по исправлению, выполненные автоматически или вручную. В центре уведомлений можно просмотреть действия, ожидающие утверждения, и действия, которые уже утверждены или выполнены. Вы также можете перейти к дополнительным сведениям, например, к странице исследования.

Совет

Для утверждения, отклонения или отмены действий необходимо иметь определенные разрешения .

  1. Перейдите на портал Microsoft Defender и выполните вход.

  2. В панели навигации щелкните Центр уведомлений.

  3. На вкладке Ожидание или Журнал выберите элемент. Откроется всплывающее окно.

  4. Просмотрите сведения во всплывающей области и выполните одно из следующих действий:

    • Выберите Открыть страницу исследования, чтобы просмотреть дополнительные сведения об исследовании.
    • Выберите Утвердить чтобы инициировать ожидающие действия.
    • Выберите Отклонить чтобы предотвратить действие, ожидающие завершения.
    • Выберите Перейти к охоте , чтобы перейти к разделу Расширенная охота.

Открытие исследования на странице сведений об инциденте

На странице сведений об инциденте можно просмотреть подробные сведения об инциденте, включая инициированные предупреждения с информацией о любых затрагиваемых устройствах, учетных записях пользователей и почтовых ящиках.

  1. Перейдите на портал Microsoft Defender и выполните вход.

  2. В области навигации выберите Инциденты & оповещения Инциденты>.

  3. Выберите элемент в списке, а затем выберите Открыть страницу инцидента.

  4. Выберите вкладку Исследования, а затем выберите исследование в списке. Откроется всплывающее окно.

  5. Выберите Открыть страницу исследования.

Ниже приведен пример.

Страница исследования на портале Microsoft Defender

Сведения об исследовании

В представлении со сведениями об исследовании можно просмотреть прошлые, текущие и ожидающие действия, относящиеся к исследованию. Ниже приведен пример.

Страница сведений об исследовании на портале Microsoft Defender

В представлении со сведениями об исследовании можно просмотреть информацию на вкладках Граф исследования, Оповещения, Устройства, Удостоверения, Основные выводы, Объекты, Журнал и Ожидающие выполнения действия, описанные в следующей таблице.

Примечание.

Конкретные вкладки, которые вы видите на странице сведений об исследовании, зависят от того, что включает ваша подписка. Например, если ваша подписка не включает Microsoft Defender для Office 365 план 2, вкладка Почтовые ящики не отображается.

Вкладка Описание
Граф исследования Визуальное представление исследования. Описывает сущности и перечисляет обнаруженные угрозы, содержит оповещения и указывает на наличие действий, ожидающих утверждения.
Вы можете выбрать элемент на графике, чтобы просмотреть более подробные сведения. Например, если щелкнуть значок Доказательства , вы перейдете на вкладку Доказательства , где можно просмотреть обнаруженные сущности и их вердикты.
Оповещения Содержит список оповещений, связанных с исследованием. Оповещения могут поступать от функций защиты от угроз на устройстве пользователя, в приложениях Office, Microsoft Defender for Cloud Apps и других Microsoft Defender XDR функциях.

Если вы видите тип неподдерживаемых оповещений, это означает, что возможности автоматического исследования не могут получить это оповещение для выполнения автоматического исследования. Однако эти оповещения можно исследовать вручную.
Устройства Списки устройства, включенные в исследование, а также уровень их исправления. (Уровни исправления соответствуют уровню автоматизации для групп устройств.)
Почтовые ящики Списки почтовые ящики, на которые влияют обнаруженные угрозы.
пользователи; Списки учетные записи пользователей, на которые влияют обнаруженные угрозы.
Свидетельство Списки доказательств, вызванных оповещениями или расследованиями. Включает решения (Вредоносные, Подозрительные, Неизвестные или Угрозы не найдены) и состояние устранения.
Entities Содержит подробные сведения о каждом анализируемом объекте, включая решение для каждого типа сущности (Вредоносные, Подозрительные или Угрозы не найдены).
Log Предоставляет подробное представление обо всех действиях по исследованию, предпринятых после срабатывания предупреждения, в хронологическом порядке.
Журнал ожидания действий Содержит список элементов, требующих утверждения для продолжения. Перейдите в центр уведомлений (https://security.microsoft.com/action-center), чтобы утвердить ожидающие действия.

Состояния исследования

В следующей таблице перечислены состояния исследования и то, что они указывают.

Состояние исследования Определение
Доброкачественные Артефакты были расследованы, и было принято решение, что угрозы не найдены.
PendingResource Автоматическое исследование приостанавливается, так как действие исправления ожидает утверждения или устройство, на котором обнаружен артефакт, временно недоступно.
НеподдерживаемыйAlertType Автоматическое исследование для этого типа оповещений недоступно. Дальнейшее исследование можно выполнить вручную с помощью расширенной охоты.
Не выполнено По крайней мере один анализатор исследования столкнулся с проблемой, из-за которой ему не удалось завершить расследование. Если исследование завершается ошибкой после утверждения действий по исправлению, действия по исправлению могут по-прежнему успешно выполняться.
Исправлено успешно Завершено автоматическое исследование, и все действия по исправлению были завершены или утверждены.

Чтобы предоставить дополнительный контекст о том, как отображаются состояния исследования, в следующей таблице перечислены оповещения и их соответствующее состояние автоматического исследования. Эта таблица включена в качестве примера того, что команда по операциям безопасности может увидеть на портале Microsoft Defender.

Имя оповещения Severity Состояние исследования Состояние Категория
Обнаружена вредоносная программа в файле образа диска Wim Информационный Доброкачественные Устранено Вредоносная программа
Обнаружена вредоносная программа в архивном файле RAR Информационный PendingResource Создать Вредоносная программа
Обнаружена вредоносная программа в архивном файле RAR Информационный НеподдерживаемыйAlertType Создать Вредоносная программа
Обнаружена вредоносная программа в архивном файле RAR Информационный НеподдерживаемыйAlertType Создать Вредоносная программа
Обнаружена вредоносная программа в архивном файле RAR Информационный НеподдерживаемыйAlertType Создать Вредоносная программа
Обнаружена вредоносная программа в ZIP-архивном файле Информационный PendingResource Создать Вредоносная программа
Обнаружена вредоносная программа в ZIP-архивном файле Информационный PendingResource Создать Вредоносная программа
Обнаружена вредоносная программа в ZIP-архивном файле Информационный PendingResource Создать Вредоносная программа
Обнаружена вредоносная программа в ZIP-архивном файле Информационный PendingResource Создать Вредоносная программа
Wpakill hacktool был предотвращена Низкая Не выполнено Создать Вредоносная программа
GendowsBatch hacktool был предотвращена Низкая Не выполнено Создать Вредоносная программа
Keygen hacktool был предотвращен Низкая Не выполнено Создать Вредоносная программа
Обнаружена вредоносная программа в ZIP-архивном файле Информационный PendingResource Создать Вредоносная программа
Обнаружена вредоносная программа в архивном файле RAR Информационный PendingResource Создать Вредоносная программа
Обнаружена вредоносная программа в архивном файле RAR Информационный PendingResource Создать Вредоносная программа
Обнаружена вредоносная программа в ZIP-архивном файле Информационный PendingResource Создать Вредоносная программа
Обнаружена вредоносная программа в архивном файле RAR Информационный PendingResource Создать Вредоносная программа
Обнаружена вредоносная программа в архивном файле RAR Информационный PendingResource Создать Вредоносная программа
Обнаружена вредоносная программа в файле образа iso-диска Информационный PendingResource Создать Вредоносная программа
Обнаружена вредоносная программа в файле образа iso-диска Информационный PendingResource Создать Вредоносная программа
Обнаружена вредоносная программа в PST-файле данных Outlook Информационный НеподдерживаемыйAlertType Создать Вредоносная программа
Обнаружена вредоносная программа в PST-файле данных Outlook Информационный НеподдерживаемыйAlertType Создать Вредоносная программа
Обнаружен Объект MediaGet Средняя Частичнорасследоно Создать Вредоносная программа
TrojanEmailFile Средняя Успешно выполнено Устранено Вредоносная программа
Защита от вредоносных программ CustomEnterpriseBlock Информационный Успешно выполнено Устранено Вредоносная программа
Заблокирована активная вредоносная программа CustomEnterpriseBlock Низкая Успешно выполнено Устранено Вредоносная программа
Заблокирована активная вредоносная программа CustomEnterpriseBlock Низкая Успешно выполнено Устранено Вредоносная программа
Заблокирована активная вредоносная программа CustomEnterpriseBlock Низкая Успешно выполнено Устранено Вредоносная программа
TrojanEmailFile Средняя Доброкачественные Устранено Вредоносная программа
Защита от вредоносных программ CustomEnterpriseBlock Информационный НеподдерживаемыйAlertType Создать Вредоносная программа
Защита от вредоносных программ CustomEnterpriseBlock Информационный Успешно выполнено Устранено Вредоносная программа
TrojanEmailFile Средняя Успешно выполнено Устранено Вредоносная программа
TrojanEmailFile Средняя Доброкачественные Устранено Вредоносная программа
Заблокирована активная вредоносная программа CustomEnterpriseBlock Низкая PendingResource Создать Вредоносная программа

Дальнейшие действия

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.