Dela via


Information och resultat av en automatiserad undersökning i Microsoft 365

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

När en automatiserad undersökning sker i Microsoft Defender för Office 365 finns information om undersökningen tillgänglig under och efter den automatiserade undersökningsprocessen. Om du har de behörigheter som krävs kan du visa informationen i Microsoft Defender-portalen. Undersökningsinformation ger dig uppdaterad status och möjlighet att godkänna eventuella väntande åtgärder.

Tips

Kolla in den nya enhetliga undersökningssidan i Microsoft Defender-portalen. Mer information finns i (NY!) Enhetlig undersökningssida.

Undersökningsstatus

Undersökningsstatusen anger förloppet för analysen och åtgärderna. När undersökningen körs ändras statusen för att ange om hot hittades och om åtgärder har godkänts.

Status Beskrivning
Startar Undersökningen har utlösts och väntar på att börja köras.
Kör Utredningsprocessen har inletts och pågår. Det här tillståndet inträffar också när väntande åtgärder godkänns.
Inga hot hittades Undersökningen har slutförts och inga hot (användarkonto, e-postmeddelande, URL eller fil) har identifierats.

TIPS: Om du misstänker att något har missats (till exempel ett falskt negativt) kan du vidta åtgärder med hjälp av Threat Explorer.

Delvis undersökt Den automatiserade undersökningen hittade problem, men det finns inga specifika åtgärder för att lösa dessa problem.

Statusen Delvis undersökt kan inträffa när någon typ av användaraktivitet identifierades men inga rensningsåtgärder är tillgängliga. Exempel är någon av följande användaraktiviteter:


Obs! Den här delvis undersökda statusen brukade märkas som Hot hittades.

Undersökningen hittade inga skadliga URL:er, filer eller e-postmeddelanden att åtgärda och ingen postlådeaktivitet att åtgärda, till exempel att inaktivera vidarebefordransregler eller delegering.

TIPS: Om du misstänker att något har missats (till exempel ett falskt negativt) kan du undersöka och vidta åtgärder med hjälp av Threat Explorer

Avslutad av system Utredningen stoppades. En undersökning kan stoppas av flera orsaker:
  • Undersökningens väntande åtgärder har upphört att gälla. Tidsgräns för väntande åtgärder efter att ha väntat på godkännande i en vecka
  • Det finns för många åtgärder. Om det till exempel finns för många användare som klickar på skadliga URL:er kan det överskrida undersökningens möjlighet att köra alla analysverktyg, så undersökningen stoppas

TIPS: Om en undersökning stoppas innan åtgärder vidtogs kan du prova att använda Threat Explorer för att hitta och åtgärda hot.
Väntande åtgärd Undersökningen har hittat ett hot, till exempel ett skadligt e-postmeddelande, en skadlig URL eller en riskfylld postlådeinställning, och en åtgärd för att åtgärda hotet väntar på godkännande.

Tillståndet Väntande åtgärd utlöses när ett hot med motsvarande åtgärd hittas. Listan över väntande åtgärder kan dock öka när en undersökning körs. Visa undersökningsinformation för att se om andra objekt fortfarande väntar på att slutföras.

Åtgärdad Undersökningen slutfördes och alla reparationsåtgärder godkändes (antecknades som helt reparerade).

Obs! Godkända reparationsåtgärder kan ha fel som förhindrar att åtgärderna vidtas. Oavsett om reparationsåtgärderna har slutförts ändras inte undersökningsstatusen. Visa undersökningsinformation.

Delvis reparerad Undersökningen resulterade i reparationsåtgärder och vissa godkändes och slutfördes. Andra åtgärder väntar fortfarande.
Misslyckades Minst ett undersökningsanalysverktyg stötte på ett problem där det inte kunde slutföras korrekt.

NOT Om en undersökning misslyckas efter att reparationsåtgärderna har godkänts kan reparationsåtgärderna fortfarande ha slutförts. Visa undersökningsinformationen.

I kö efter begränsning En utredning hålls i en kö. När andra undersökningar har slutförts påbörjas köade undersökningar. Begränsning hjälper till att undvika dåliga tjänstprestanda.

TIPS: Väntande åtgärder kan begränsa hur många nya undersökningar som kan köras. Se till att godkänna (eller avvisa) väntande åtgärder.

Avslutad av begränsning Om en undersökning hålls i kön för länge stoppas den.

TIPS: Du kan starta en undersökning från Threat Explorer.

Visa information om en undersökning

  1. Gå till Microsoft Defender-portalen (https://security.microsoft.com) och logga in.
  2. I navigeringsfönstret väljer du Åtgärder & inskickade åtgärdscenter>.
  3. Välj en åtgärd på flikarna Väntar eller Historik . Dess utfällbara fönster öppnas.
  4. I den utfällbara rutan väljer du Öppna undersökningssida.
  5. Använd de olika flikarna för att lära dig mer om undersökningen.

Vissa typer av aviseringar utlöser automatisk undersökning i Microsoft 365. Mer information finns i aviseringsprinciper som utlöser automatiserade undersökningar.

  1. Gå till Microsoft Defender-portalen (https://security.microsoft.com) och logga in.
  2. I navigeringsfönstret väljer du Åtgärdscenter.
  3. Välj en åtgärd på flikarna Väntar eller Historik . Dess utfällbara fönster öppnas.
  4. I den utfällbara rutan väljer du Öppna undersökningssida.
  5. Välj fliken Aviseringar för att visa en lista över alla aviseringar som är associerade med undersökningen.
  6. Välj ett objekt i listan för att öppna dess utfällbara fönster. Där kan du visa mer information om aviseringen.

Tänk på följande

  • Email antal beräknas vid tidpunkten för undersökningen och vissa antal beräknas om när du öppnar utfällbara utfällbara undersökningar (baserat på en underliggande fråga).

  • Antalet e-postmeddelanden som visas för e-postkluster på fliken Email och värdet för e-postkvantitet som visas i den utfällbara klusterutfällningen beräknas vid tidpunkten för undersökningen och ändras inte.

  • Antalet e-postmeddelanden som visas längst ned på fliken Email i den utfällbara menyn för e-postklustret och antalet e-postmeddelanden som visas i Explorer återspeglar e-postmeddelanden som tagits emot efter undersökningens första analys.

    Ett e-postkluster som visar en ursprunglig kvantitet på 10 e-postmeddelanden skulle därför visa en e-postlista på totalt 15 när ytterligare fem e-postmeddelanden kommer mellan undersökningsanalysfasen och när administratören granskar undersökningen. På samma sätt kan gamla undersökningar börja visa högre antal än vad Explorer-frågor visar, eftersom data i Microsoft Defender för Office 365 plan 2 upphör att gälla efter sju dagar för utvärderingsversioner och efter 30 dagar för betalda licenser.

    Att visa både antal historiska och aktuella antal i olika vyer görs för att ange e-postpåverkan vid tidpunkten för undersökningen och den aktuella effekten fram till den tidpunkt då reparationen körs.

  • När det gäller e-post kan du se en yta för volymavvikelsehot som en del av undersökningen. En volymavvikelse anger en topp i liknande e-postmeddelanden runt undersökningshändelsetiden jämfört med tidigare tidsramar. En topp i e-posttrafiken tillsammans med vissa egenskaper (till exempel ämnes- och avsändardomän, kroppslikhet och avsändarens IP-adress) är typisk för starten av e-postkampanjer eller attacker. Masskampanjer, skräppost och legitima e-postkampanjer delar dock ofta dessa egenskaper.

  • Volymavvikelser utgör ett potentiellt hot och kan därför vara mindre allvarliga jämfört med skadlig kod eller nätfiskehot som identifieras med hjälp av antivirusmotorer, detonation eller skadligt rykte.

  • Du behöver inte godkänna varje åtgärd. Om du inte accepterar den rekommenderade åtgärden eller om din organisation inte väljer vissa typer av åtgärder kan du välja Att avvisa åtgärderna eller helt enkelt ignorera dem och inte vidta några åtgärder.

  • Genom att godkänna och/eller avvisa alla åtgärder kan undersökningen stängas helt (statusen åtgärdas), samtidigt som vissa åtgärder blir ofullständiga, vilket innebär att undersökningsstatusen ändras till ett delvis åtgärdat tillstånd.

Nästa steg