Dela via


Information och resultat av en automatiserad undersökning

Gäller för:

  • Microsoft Defender XDR

Med Microsoft Defender XDR, när en automatiserad undersökning körs, finns information om den undersökningen tillgänglig både under och efter den automatiserade undersökningsprocessen. Om du har de behörigheter som krävs kan du visa informationen i en undersökningsinformationsvy som ger dig uppdaterad status och möjlighet att godkänna eventuella väntande åtgärder.

(NY) Sidan Enhetlig undersökning

Undersökningssidan har nyligen uppdaterats med information om dina enheter, e-post och samarbetsinnehåll. Den nya enhetliga undersökningssidan definierar ett gemensamt språk och ger en enhetlig upplevelse för automatiska undersökningar över Microsoft Defender för Endpoint och Microsoft Defender för Office 365. Om du vill komma åt den enhetliga undersökningssidan väljer du länken i den gula banderollen som visas på:

Öppna vyn undersökningsinformation

Du kan öppna vyn undersökningsinformation med någon av följande metoder:

Markera ett objekt i Åtgärdscenter

Det förbättrade åtgärdscentret (https://security.microsoft.com/action-center) sammanför reparationsåtgärder på dina enheter, e-post & samarbetsinnehåll och identiteter. Bland åtgärderna i listan finns åtgärder som har vidtagits automatiskt eller manuellt. I Åtgärdscenter kan du visa åtgärder som väntar på godkännande och åtgärder som redan har godkänts eller slutförts. Du kan också gå till mer information, till exempel en undersökningssida.

Tips

Du måste ha vissa behörigheter för att godkänna, avvisa eller ångra åtgärder.

  1. Gå till Microsoft Defender-portalen och logga in.

  2. I navigeringsfönstret väljer du Åtgärdscenter.

  3. Välj ett objekt på fliken Väntar eller Historik . Dess utfällbara fönster öppnas.

  4. Granska informationen i det utfällbara fönstret och utför sedan något av följande steg:

    • Välj Öppna undersökningssida om du vill visa mer information om undersökningen.
    • Välj Godkänn för att initiera en väntande åtgärd.
    • Välj Avvisa för att förhindra att en väntande åtgärd vidtas.
    • Välj Go hunt (Gå jakt) för att gå till Avancerad jakt.

Öppna en undersökning från sidan med incidentinformation

Använd en incidentinformationssida för att visa detaljerad information om en incident, inklusive aviseringar som utlöste information om berörda enheter, användarkonton eller postlådor.

  1. Gå till Microsoft Defender-portalen och logga in.

  2. I navigeringsfönstret väljer du Incidenter & aviseringar>Incidenter.

  3. Välj ett objekt i listan och välj sedan Öppna incidentsida.

  4. Välj fliken Undersökningar och välj sedan en undersökning i listan. Dess utfällbara fönster öppnas.

  5. Välj Öppna undersökningssida.

Här är ett exempel.

Undersökningssidan i Microsoft Defender-portalen

Undersökningsinformation

Använd vyn undersökningsinformation för att se tidigare, aktuella och väntande aktiviteter som rör en undersökning. Här är ett exempel.

Sidan med undersökningsinformation i Microsoft Defender-portalen

I vyn Undersökningsinformation kan du se information om flikarna Undersökningsdiagram, Aviseringar, Enheter, Identiteter, Nyckelresultat, Entiteter, Logg och Väntande åtgärder, som beskrivs i följande tabell.

Obs!

Vilka flikar du ser på en undersökningsinformationssida beror på vad din prenumeration innehåller. Om din prenumeration till exempel inte innehåller Microsoft Defender för Office 365 plan 2 visas inte fliken Postlådor.

Tabb Beskrivning
Undersökningsdiagram Tillhandahåller en visuell representation av undersökningen. Visar entiteter och listar hot som hittats, tillsammans med aviseringar och om några åtgärder väntar på godkännande.
Du kan välja ett objekt i diagrammet om du vill visa mer information. Om du till exempel väljer ikonen Bevis kommer du till fliken Bevis , där du kan se identifierade entiteter och deras omdömen.
Varningar Listor aviseringar som är associerade med undersökningen. Aviseringar kan komma från hotskyddsfunktioner på en användares enhet, i Office-appar, Microsoft Defender for Cloud Apps och andra Microsoft Defender XDR funktioner.

Om du ser aviseringstypen Stöds inte innebär det att automatiserade undersökningsfunktioner inte kan hämta aviseringen för att köra en automatiserad undersökning. Du kan dock undersöka dessa aviseringar manuellt.
Enheter Listor enheter som ingår i undersökningen tillsammans med deras reparationsnivå. (Reparationsnivåer motsvarar automatiseringsnivån för enhetsgrupper.)
Postlådor Listor postlådor som påverkas av identifierade hot.
Användare Listor användarkonton som påverkas av identifierade hot.
Bevis Listor bevis som genererats av aviseringar eller undersökningar. Innehåller domar (skadliga, misstänkta, okända eller inga hot hittades) och reparationsstatus.
Enheter Innehåller information om varje analyserad entitet, inklusive en bedömning för varje entitetstyp (skadliga, misstänkta eller inga hot hittades).
Logga in Ger en kronologisk och detaljerad vy över alla undersökningsåtgärder som vidtagits efter att en avisering utlöstes.
Historik över väntande åtgärder Listor objekt som kräver godkännande för att fortsätta. Gå till Åtgärdscenter (https://security.microsoft.com/action-center) för att godkänna väntande åtgärder.

Undersökningstillstånd

I följande tabell visas undersökningstillstånd och vad de anger.

Undersökningstillstånd Definition
Godartad Artefakter undersöktes och det fastställdes att inga hot hittades.
PendingResource En automatiserad undersökning pausas eftersom antingen en reparationsåtgärd väntar på godkännande eller på att enheten där en artefakt hittades är tillfälligt otillgänglig.
AlertType stöds inte En automatiserad undersökning är inte tillgänglig för den här typen av avisering. Ytterligare undersökning kan göras manuellt med hjälp av avancerad jakt.
Misslyckades Minst en undersökningsanalys stötte på ett problem där det inte gick att slutföra undersökningen. Om en undersökning misslyckas efter att reparationsåtgärderna har godkänts kan reparationsåtgärderna fortfarande ha slutförts.
Åtgärdats En automatiserad undersökning slutfördes och alla reparationsåtgärder slutfördes eller godkändes.

För att ge mer kontext om hur undersökningstillstånd visas visar följande tabell aviseringar och deras motsvarande automatiserade undersökningstillstånd. Den här tabellen ingår som ett exempel på vad ett säkerhetsåtgärdsteam kan se i Microsoft Defender-portalen.

Aviseringsnamn Allvarlighetsgrad Undersökningstillstånd Status Kategori
Skadlig kod upptäcktes i en wim-diskbildfil Informativ Godartad Löst Malware
Skadlig kod upptäcktes i en rar-arkivfil Informativ PendingResource Ny Malware
Skadlig kod upptäcktes i en rar-arkivfil Informativ AlertType stöds inte Ny Malware
Skadlig kod upptäcktes i en rar-arkivfil Informativ AlertType stöds inte Ny Malware
Skadlig kod upptäcktes i en rar-arkivfil Informativ AlertType stöds inte Ny Malware
Skadlig kod upptäcktes i en zip-arkivfil Informativ PendingResource Ny Malware
Skadlig kod upptäcktes i en zip-arkivfil Informativ PendingResource Ny Malware
Skadlig kod upptäcktes i en zip-arkivfil Informativ PendingResource Ny Malware
Skadlig kod upptäcktes i en zip-arkivfil Informativ PendingResource Ny Malware
Wpakill hacktool förhindrades Låg Misslyckades Ny Malware
GendowsBatch hacktool förhindrades Låg Misslyckades Ny Malware
Keygen hacktool förhindrades Låg Misslyckades Ny Malware
Skadlig kod upptäcktes i en zip-arkivfil Informativ PendingResource Ny Malware
Skadlig kod upptäcktes i en rar-arkivfil Informativ PendingResource Ny Malware
Skadlig kod upptäcktes i en rar-arkivfil Informativ PendingResource Ny Malware
Skadlig kod upptäcktes i en zip-arkivfil Informativ PendingResource Ny Malware
Skadlig kod upptäcktes i en rar-arkivfil Informativ PendingResource Ny Malware
Skadlig kod upptäcktes i en rar-arkivfil Informativ PendingResource Ny Malware
Skadlig kod upptäcktes i en iso-skivavbildningsfil Informativ PendingResource Ny Malware
Skadlig kod upptäcktes i en iso-skivavbildningsfil Informativ PendingResource Ny Malware
Skadlig kod har identifierats i en pst Outlook-datafil Informativ AlertType stöds inte Ny Malware
Skadlig kod har identifierats i en pst Outlook-datafil Informativ AlertType stöds inte Ny Malware
MediaGet har identifierats Medel Delvisinvestering Ny Malware
TrojanEmailFile Medel SuccessfullyRemediated Löst Malware
CustomEnterpriseBlock skadlig kod förhindrades Informativ SuccessfullyRemediated Löst Malware
En aktiv CustomEnterpriseBlock-skadlig kod blockerades Låg SuccessfullyRemediated Löst Malware
En aktiv CustomEnterpriseBlock-skadlig kod blockerades Låg SuccessfullyRemediated Löst Malware
En aktiv CustomEnterpriseBlock-skadlig kod blockerades Låg SuccessfullyRemediated Löst Malware
TrojanEmailFile Medel Godartad Löst Malware
CustomEnterpriseBlock skadlig kod förhindrades Informativ AlertType stöds inte Ny Malware
CustomEnterpriseBlock skadlig kod förhindrades Informativ SuccessfullyRemediated Löst Malware
TrojanEmailFile Medel SuccessfullyRemediated Löst Malware
TrojanEmailFile Medel Godartad Löst Malware
En aktiv CustomEnterpriseBlock-skadlig kod blockerades Låg PendingResource Ny Malware

Nästa steg

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.