Сведения об автоматическом исследовании и его результаты
Область применения:
- Microsoft Defender XDR
При использовании Microsoft Defender XDR, когда выполняется автоматическое исследование, сведения об этом исследовании становятся доступными как во время, так и после процесса автоматического исследования. Если у вас есть необходимые разрешения, вы можете просмотреть эти сведения в представлении сведений о расследовании, которое предоставляет вам актуальное состояние и возможность утверждать любые ожидающие действия.
(NEW) Страница унифицированного исследования
Страница исследования недавно была обновлена, включив сведения на устройствах, электронную почту и содержимое для совместной работы. Новая унифицированная страница исследования определяет общий язык и предоставляет единый интерфейс для автоматических исследований в Microsoft Defender для конечной точки и Microsoft Defender для Office 365. Чтобы открыть страницу унифицированного исследования, щелкните ссылку в желтом баннере, на который вы увидите:
- Любая страница исследования в Портал соответствия требованиям Microsoft Purview
- Любая страница исследования на портале Microsoft Defender (https://security.microsoft.com)
- Любой инцидент или интерфейс центра уведомлений на портале Microsoft Defender
Открытие представления со сведениями об исследовании
Чтобы открыть представление со сведениями об исследовании, можно использовать один из указанных ниже способов.
Выбор элемента в центре уведомлений
Улучшенный центр уведомлений (https://security.microsoft.com/action-center) объединяет действия по исправлению на всех устройствах, электронную почту & содержимое для совместной работы и удостоверения. Перечисленные действия включают действия по исправлению, выполненные автоматически или вручную. В центре уведомлений можно просмотреть действия, ожидающие утверждения, и действия, которые уже утверждены или выполнены. Вы также можете перейти к дополнительным сведениям, например, к странице исследования.
Совет
Для утверждения, отклонения или отмены действий необходимо иметь определенные разрешения .
Перейдите на портал Microsoft Defender и выполните вход.
В панели навигации щелкните Центр уведомлений.
На вкладке Ожидание или Журнал выберите элемент. Откроется всплывающее окно.
Просмотрите сведения во всплывающей области и выполните одно из следующих действий:
- Выберите Открыть страницу исследования, чтобы просмотреть дополнительные сведения об исследовании.
- Выберите Утвердить чтобы инициировать ожидающие действия.
- Выберите Отклонить чтобы предотвратить действие, ожидающие завершения.
- Выберите Перейти к охоте , чтобы перейти к разделу Расширенная охота.
Открытие исследования на странице сведений об инциденте
На странице сведений об инциденте можно просмотреть подробные сведения об инциденте, включая инициированные предупреждения с информацией о любых затрагиваемых устройствах, учетных записях пользователей и почтовых ящиках.
Перейдите на портал Microsoft Defender и выполните вход.
В области навигации выберите Инциденты & оповещения Инциденты>.
Выберите элемент в списке, а затем выберите Открыть страницу инцидента.
Выберите вкладку Исследования, а затем выберите исследование в списке. Откроется всплывающее окно.
Выберите Открыть страницу исследования.
Ниже приведен пример.
Сведения об исследовании
В представлении со сведениями об исследовании можно просмотреть прошлые, текущие и ожидающие действия, относящиеся к исследованию. Ниже приведен пример.
В представлении со сведениями об исследовании можно просмотреть информацию на вкладках Граф исследования, Оповещения, Устройства, Удостоверения, Основные выводы, Объекты, Журнал и Ожидающие выполнения действия, описанные в следующей таблице.
Примечание.
Конкретные вкладки, которые вы видите на странице сведений об исследовании, зависят от того, что включает ваша подписка. Например, если ваша подписка не включает Microsoft Defender для Office 365 план 2, вкладка Почтовые ящики не отображается.
| Вкладка | Описание |
|---|---|
| Граф исследования | Визуальное представление исследования. Описывает сущности и перечисляет обнаруженные угрозы, содержит оповещения и указывает на наличие действий, ожидающих утверждения. Вы можете выбрать элемент на графике, чтобы просмотреть более подробные сведения. Например, если щелкнуть значок Доказательства , вы перейдете на вкладку Доказательства , где можно просмотреть обнаруженные сущности и их вердикты. |
| Оповещения | Содержит список оповещений, связанных с исследованием. Оповещения могут поступать от функций защиты от угроз на устройстве пользователя, в приложениях Office, Microsoft Defender for Cloud Apps и других Microsoft Defender XDR функциях. Если вы видите тип неподдерживаемых оповещений, это означает, что возможности автоматического исследования не могут получить это оповещение для выполнения автоматического исследования. Однако эти оповещения можно исследовать вручную. |
| Устройства | Списки устройства, включенные в исследование, а также уровень их исправления. (Уровни исправления соответствуют уровню автоматизации для групп устройств.) |
| Почтовые ящики | Списки почтовые ящики, на которые влияют обнаруженные угрозы. |
| пользователи; | Списки учетные записи пользователей, на которые влияют обнаруженные угрозы. |
| Свидетельство | Списки доказательств, вызванных оповещениями или расследованиями. Включает решения (Вредоносные, Подозрительные, Неизвестные или Угрозы не найдены) и состояние устранения. |
| Entities | Содержит подробные сведения о каждом анализируемом объекте, включая решение для каждого типа сущности (Вредоносные, Подозрительные или Угрозы не найдены). |
| Log | Предоставляет подробное представление обо всех действиях по исследованию, предпринятых после срабатывания предупреждения, в хронологическом порядке. |
| Журнал ожидания действий | Содержит список элементов, требующих утверждения для продолжения. Перейдите в центр уведомлений (https://security.microsoft.com/action-center), чтобы утвердить ожидающие действия. |
Состояния исследования
В следующей таблице перечислены состояния исследования и то, что они указывают.
| Состояние исследования | Определение |
|---|---|
| Доброкачественные | Артефакты были расследованы, и было принято решение, что угрозы не найдены. |
| PendingResource | Автоматическое исследование приостанавливается, так как действие исправления ожидает утверждения или устройство, на котором обнаружен артефакт, временно недоступно. |
| НеподдерживаемыйAlertType | Автоматическое исследование для этого типа оповещений недоступно. Дальнейшее исследование можно выполнить вручную с помощью расширенной охоты. |
| Не выполнено | По крайней мере один анализатор исследования столкнулся с проблемой, из-за которой ему не удалось завершить расследование. Если исследование завершается ошибкой после утверждения действий по исправлению, действия по исправлению могут по-прежнему успешно выполняться. |
| Исправлено успешно | Завершено автоматическое исследование, и все действия по исправлению были завершены или утверждены. |
Чтобы предоставить дополнительный контекст о том, как отображаются состояния исследования, в следующей таблице перечислены оповещения и их соответствующее состояние автоматического исследования. Эта таблица включена в качестве примера того, что команда по операциям безопасности может увидеть на портале Microsoft Defender.
| Имя оповещения | Severity | Состояние исследования | Состояние | Категория |
|---|---|---|---|---|
| Обнаружена вредоносная программа в файле образа диска Wim | Информационный | Доброкачественные | Устранено | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | PendingResource | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | НеподдерживаемыйAlertType | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | НеподдерживаемыйAlertType | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | НеподдерживаемыйAlertType | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в ZIP-архивном файле | Информационный | PendingResource | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в ZIP-архивном файле | Информационный | PendingResource | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в ZIP-архивном файле | Информационный | PendingResource | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в ZIP-архивном файле | Информационный | PendingResource | Создать | Вредоносная программа |
| Wpakill hacktool был предотвращена | Низкая | Не выполнено | Создать | Вредоносная программа |
| GendowsBatch hacktool был предотвращена | Низкая | Не выполнено | Создать | Вредоносная программа |
| Keygen hacktool был предотвращен | Низкая | Не выполнено | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в ZIP-архивном файле | Информационный | PendingResource | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | PendingResource | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | PendingResource | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в ZIP-архивном файле | Информационный | PendingResource | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | PendingResource | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | PendingResource | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в файле образа iso-диска | Информационный | PendingResource | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в файле образа iso-диска | Информационный | PendingResource | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в PST-файле данных Outlook | Информационный | НеподдерживаемыйAlertType | Создать | Вредоносная программа |
| Обнаружена вредоносная программа в PST-файле данных Outlook | Информационный | НеподдерживаемыйAlertType | Создать | Вредоносная программа |
| Обнаружен Объект MediaGet | Средняя | Частичнорасследоно | Создать | Вредоносная программа |
| TrojanEmailFile | Средняя | Успешно выполнено | Устранено | Вредоносная программа |
| Защита от вредоносных программ CustomEnterpriseBlock | Информационный | Успешно выполнено | Устранено | Вредоносная программа |
| Заблокирована активная вредоносная программа CustomEnterpriseBlock | Низкая | Успешно выполнено | Устранено | Вредоносная программа |
| Заблокирована активная вредоносная программа CustomEnterpriseBlock | Низкая | Успешно выполнено | Устранено | Вредоносная программа |
| Заблокирована активная вредоносная программа CustomEnterpriseBlock | Низкая | Успешно выполнено | Устранено | Вредоносная программа |
| TrojanEmailFile | Средняя | Доброкачественные | Устранено | Вредоносная программа |
| Защита от вредоносных программ CustomEnterpriseBlock | Информационный | НеподдерживаемыйAlertType | Создать | Вредоносная программа |
| Защита от вредоносных программ CustomEnterpriseBlock | Информационный | Успешно выполнено | Устранено | Вредоносная программа |
| TrojanEmailFile | Средняя | Успешно выполнено | Устранено | Вредоносная программа |
| TrojanEmailFile | Средняя | Доброкачественные | Устранено | Вредоносная программа |
| Заблокирована активная вредоносная программа CustomEnterpriseBlock | Низкая | PendingResource | Создать | Вредоносная программа |
Дальнейшие действия
- Просмотр действий по исправлению и управление ими
- Дополнительные сведения о действиях по исправлению
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по