Information och resultat av en automatiserad undersökning
Gäller för:
- Microsoft Defender XDR
Med Microsoft Defender XDR, när en automatiserad undersökning körs, finns information om den undersökningen tillgänglig både under och efter den automatiserade undersökningsprocessen. Om du har de behörigheter som krävs kan du visa informationen i en undersökningsinformationsvy som ger dig uppdaterad status och möjlighet att godkänna eventuella väntande åtgärder.
(NY) Sidan Enhetlig undersökning
Undersökningssidan har nyligen uppdaterats med information om dina enheter, e-post och samarbetsinnehåll. Den nya enhetliga undersökningssidan definierar ett gemensamt språk och ger en enhetlig upplevelse för automatiska undersökningar över Microsoft Defender för Endpoint och Microsoft Defender för Office 365. Om du vill komma åt den enhetliga undersökningssidan väljer du länken i den gula banderollen som visas på:
- Alla undersökningssidor i efterlevnadsportal i Microsoft Purview
- Alla undersökningssidor i Microsoft Defender-portalen (https://security.microsoft.com)
- Alla incidenter eller åtgärdscenter i Microsoft Defender-portalen
Öppna vyn undersökningsinformation
Du kan öppna vyn undersökningsinformation med någon av följande metoder:
Markera ett objekt i Åtgärdscenter
Det förbättrade åtgärdscentret (https://security.microsoft.com/action-center) sammanför reparationsåtgärder på dina enheter, e-post & samarbetsinnehåll och identiteter. Bland åtgärderna i listan finns åtgärder som har vidtagits automatiskt eller manuellt. I Åtgärdscenter kan du visa åtgärder som väntar på godkännande och åtgärder som redan har godkänts eller slutförts. Du kan också gå till mer information, till exempel en undersökningssida.
Tips
Du måste ha vissa behörigheter för att godkänna, avvisa eller ångra åtgärder.
Gå till Microsoft Defender-portalen och logga in.
I navigeringsfönstret väljer du Åtgärdscenter.
Välj ett objekt på fliken Väntar eller Historik . Dess utfällbara fönster öppnas.
Granska informationen i det utfällbara fönstret och utför sedan något av följande steg:
- Välj Öppna undersökningssida om du vill visa mer information om undersökningen.
- Välj Godkänn för att initiera en väntande åtgärd.
- Välj Avvisa för att förhindra att en väntande åtgärd vidtas.
- Välj Go hunt (Gå jakt) för att gå till Avancerad jakt.
Öppna en undersökning från sidan med incidentinformation
Använd en incidentinformationssida för att visa detaljerad information om en incident, inklusive aviseringar som utlöste information om berörda enheter, användarkonton eller postlådor.
Gå till Microsoft Defender-portalen och logga in.
I navigeringsfönstret väljer du Incidenter & aviseringar>Incidenter.
Välj ett objekt i listan och välj sedan Öppna incidentsida.
Välj fliken Undersökningar och välj sedan en undersökning i listan. Dess utfällbara fönster öppnas.
Välj Öppna undersökningssida.
Här är ett exempel.
Undersökningsinformation
Använd vyn undersökningsinformation för att se tidigare, aktuella och väntande aktiviteter som rör en undersökning. Här är ett exempel.
I vyn Undersökningsinformation kan du se information om flikarna Undersökningsdiagram, Aviseringar, Enheter, Identiteter, Nyckelresultat, Entiteter, Logg och Väntande åtgärder, som beskrivs i följande tabell.
Obs!
Vilka flikar du ser på en undersökningsinformationssida beror på vad din prenumeration innehåller. Om din prenumeration till exempel inte innehåller Microsoft Defender för Office 365 plan 2 visas inte fliken Postlådor.
| Tabb | Beskrivning |
|---|---|
| Undersökningsdiagram | Tillhandahåller en visuell representation av undersökningen. Visar entiteter och listar hot som hittats, tillsammans med aviseringar och om några åtgärder väntar på godkännande. Du kan välja ett objekt i diagrammet om du vill visa mer information. Om du till exempel väljer ikonen Bevis kommer du till fliken Bevis , där du kan se identifierade entiteter och deras omdömen. |
| Varningar | Listor aviseringar som är associerade med undersökningen. Aviseringar kan komma från hotskyddsfunktioner på en användares enhet, i Office-appar, Microsoft Defender for Cloud Apps och andra Microsoft Defender XDR funktioner. Om du ser aviseringstypen Stöds inte innebär det att automatiserade undersökningsfunktioner inte kan hämta aviseringen för att köra en automatiserad undersökning. Du kan dock undersöka dessa aviseringar manuellt. |
| Enheter | Listor enheter som ingår i undersökningen tillsammans med deras reparationsnivå. (Reparationsnivåer motsvarar automatiseringsnivån för enhetsgrupper.) |
| Postlådor | Listor postlådor som påverkas av identifierade hot. |
| Användare | Listor användarkonton som påverkas av identifierade hot. |
| Bevis | Listor bevis som genererats av aviseringar eller undersökningar. Innehåller domar (skadliga, misstänkta, okända eller inga hot hittades) och reparationsstatus. |
| Enheter | Innehåller information om varje analyserad entitet, inklusive en bedömning för varje entitetstyp (skadliga, misstänkta eller inga hot hittades). |
| Logga in | Ger en kronologisk och detaljerad vy över alla undersökningsåtgärder som vidtagits efter att en avisering utlöstes. |
| Historik över väntande åtgärder | Listor objekt som kräver godkännande för att fortsätta. Gå till Åtgärdscenter (https://security.microsoft.com/action-center) för att godkänna väntande åtgärder. |
Undersökningstillstånd
I följande tabell visas undersökningstillstånd och vad de anger.
| Undersökningstillstånd | Definition |
|---|---|
| Godartad | Artefakter undersöktes och det fastställdes att inga hot hittades. |
| PendingResource | En automatiserad undersökning pausas eftersom antingen en reparationsåtgärd väntar på godkännande eller på att enheten där en artefakt hittades är tillfälligt otillgänglig. |
| AlertType stöds inte | En automatiserad undersökning är inte tillgänglig för den här typen av avisering. Ytterligare undersökning kan göras manuellt med hjälp av avancerad jakt. |
| Misslyckades | Minst en undersökningsanalys stötte på ett problem där det inte gick att slutföra undersökningen. Om en undersökning misslyckas efter att reparationsåtgärderna har godkänts kan reparationsåtgärderna fortfarande ha slutförts. |
| Åtgärdats | En automatiserad undersökning slutfördes och alla reparationsåtgärder slutfördes eller godkändes. |
För att ge mer kontext om hur undersökningstillstånd visas visar följande tabell aviseringar och deras motsvarande automatiserade undersökningstillstånd. Den här tabellen ingår som ett exempel på vad ett säkerhetsåtgärdsteam kan se i Microsoft Defender-portalen.
| Aviseringsnamn | Allvarlighetsgrad | Undersökningstillstånd | Status | Kategori |
|---|---|---|---|---|
| Skadlig kod upptäcktes i en wim-diskbildfil | Informativ | Godartad | Löst | Malware |
| Skadlig kod upptäcktes i en rar-arkivfil | Informativ | PendingResource | Ny | Malware |
| Skadlig kod upptäcktes i en rar-arkivfil | Informativ | AlertType stöds inte | Ny | Malware |
| Skadlig kod upptäcktes i en rar-arkivfil | Informativ | AlertType stöds inte | Ny | Malware |
| Skadlig kod upptäcktes i en rar-arkivfil | Informativ | AlertType stöds inte | Ny | Malware |
| Skadlig kod upptäcktes i en zip-arkivfil | Informativ | PendingResource | Ny | Malware |
| Skadlig kod upptäcktes i en zip-arkivfil | Informativ | PendingResource | Ny | Malware |
| Skadlig kod upptäcktes i en zip-arkivfil | Informativ | PendingResource | Ny | Malware |
| Skadlig kod upptäcktes i en zip-arkivfil | Informativ | PendingResource | Ny | Malware |
| Wpakill hacktool förhindrades | Låg | Misslyckades | Ny | Malware |
| GendowsBatch hacktool förhindrades | Låg | Misslyckades | Ny | Malware |
| Keygen hacktool förhindrades | Låg | Misslyckades | Ny | Malware |
| Skadlig kod upptäcktes i en zip-arkivfil | Informativ | PendingResource | Ny | Malware |
| Skadlig kod upptäcktes i en rar-arkivfil | Informativ | PendingResource | Ny | Malware |
| Skadlig kod upptäcktes i en rar-arkivfil | Informativ | PendingResource | Ny | Malware |
| Skadlig kod upptäcktes i en zip-arkivfil | Informativ | PendingResource | Ny | Malware |
| Skadlig kod upptäcktes i en rar-arkivfil | Informativ | PendingResource | Ny | Malware |
| Skadlig kod upptäcktes i en rar-arkivfil | Informativ | PendingResource | Ny | Malware |
| Skadlig kod upptäcktes i en iso-skivavbildningsfil | Informativ | PendingResource | Ny | Malware |
| Skadlig kod upptäcktes i en iso-skivavbildningsfil | Informativ | PendingResource | Ny | Malware |
| Skadlig kod har identifierats i en pst Outlook-datafil | Informativ | AlertType stöds inte | Ny | Malware |
| Skadlig kod har identifierats i en pst Outlook-datafil | Informativ | AlertType stöds inte | Ny | Malware |
| MediaGet har identifierats | Medel | Delvisinvestering | Ny | Malware |
| TrojanEmailFile | Medel | SuccessfullyRemediated | Löst | Malware |
| CustomEnterpriseBlock skadlig kod förhindrades | Informativ | SuccessfullyRemediated | Löst | Malware |
| En aktiv CustomEnterpriseBlock-skadlig kod blockerades | Låg | SuccessfullyRemediated | Löst | Malware |
| En aktiv CustomEnterpriseBlock-skadlig kod blockerades | Låg | SuccessfullyRemediated | Löst | Malware |
| En aktiv CustomEnterpriseBlock-skadlig kod blockerades | Låg | SuccessfullyRemediated | Löst | Malware |
| TrojanEmailFile | Medel | Godartad | Löst | Malware |
| CustomEnterpriseBlock skadlig kod förhindrades | Informativ | AlertType stöds inte | Ny | Malware |
| CustomEnterpriseBlock skadlig kod förhindrades | Informativ | SuccessfullyRemediated | Löst | Malware |
| TrojanEmailFile | Medel | SuccessfullyRemediated | Löst | Malware |
| TrojanEmailFile | Medel | Godartad | Löst | Malware |
| En aktiv CustomEnterpriseBlock-skadlig kod blockerades | Låg | PendingResource | Ny | Malware |
Nästa steg
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.