Microsoft 365'te otomatik araştırmanın ayrıntıları ve sonuçları

• Şunlara uygulanır:

  ✅ Microsoft Defender for Office 365 Plan 2

İpucu

Office 365 Plan 2 için Microsoft Defender XDR'daki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Kimlerin kaydolabileceğini ve deneme koşullarını buradan. öğrenin.

Office 365 için Microsoft Defender'de otomatik bir araştırma gerçekleştiğinde, otomatik araştırma işlemi sırasında ve sonrasında bu araştırmayla ilgili ayrıntılar sağlanır. Gerekli izinlere sahipseniz bu ayrıntıları Microsoft Defender portalında görüntüleyebilirsiniz. Araştırma ayrıntıları size güncel durumu ve bekleyen eylemleri onaylama olanağı sağlar.

İpucu

Microsoft Defender portalındaki yeni, birleşik araştırma sayfasına göz atın. Daha fazla bilgi edinmek için bkz. (YENİ!) Birleşik araştırma sayfası.

Araştırma durumu

Araştırma durumu, analizin ve eylemlerin ilerleme durumunu gösterir. Araştırma çalıştırılırken durum, tehditlerin bulunup bulunmadığını ve eylemlerin onaylanıp onaylanmadığını gösterecek şekilde değişir.

Durum	Açıklama
Başlıyor	Araştırma tetiklendi ve çalışmaya başlamayı bekliyor.
Çalışıyor	Araştırma süreci başlamıştır ve devam etmektedir. Bu durum , bekleyen eylemler onaylandığında da oluşur.
Tehdit Bulunamadı	Araştırma tamamlandı ve hiçbir tehdit (kullanıcı hesabı, e-posta iletisi, URL veya dosya) belirlendi. İpucu: Bir şeyin eksik olduğundan şüpheleniyorsanız (hatalı negatif gibi), Tehdit Gezgini'ne kullanarak işlem yapabilirsiniz.
Kısmen Araştırıldı	Otomatik araştırma sorunları buldu, ancak bu sorunları çözmek için belirli bir düzeltme eylemi yok. Kısmen Araştırılan durum, bir tür kullanıcı etkinliği tanımlandığında ancak kullanılabilir temizleme eylemi olmadığında ortaya çıkabilir. Örnek olarak aşağıdaki kullanıcı etkinliklerinden herhangi biri verilebilir: Veri kaybı önleme olayı Anomali gönderen bir e-posta Gönderilen kötü amaçlı yazılım Gönderilen kimlik avı Not: Bu Kısmen Araştırılan durum, Tehdit Bulundu olarak etiketlenmişti. Araştırmada düzeltilmesi gereken kötü amaçlı URL' ler, dosyalar veya e-posta iletileri bulunamadı ve iletme kurallarını veya temsilci seçmeyi kapatma gibi düzeltilmesi gereken bir posta kutusu etkinliği bulunamadı. İpucu: Bir şeyin kaçırıldığından şüpheleniyorsanız (hatalı negatif gibi), Tehdit Gezgini'ne kullanarak araştırma yapabilir ve işlem yapabilirsiniz
Sistem Tarafından Sonlandırıldı	Soruşturma durduruldu. Araştırma birkaç nedenden dolayı durdurulabilir: Araştırmanın bekleyen eylemlerinin süresi doldu. Bir hafta boyunca onay beklendikten sonra bekleyen eylemler zaman aşımına uğradı Çok fazla eylem var. Örneğin, kötü amaçlı URL'lere tıklayan çok fazla kullanıcı varsa, araştırmanın tüm çözümleyicileri çalıştırma becerisini aşabilir, böylece araştırma durdurulabilir İpucu: Bir araştırma eylemler gerçekleştirilmeden önce durursa tehditleri bulmak ve ele almak için Tehdit Gezgini'ne kullanmayı deneyin.
Bekleyen Eylem	Araştırmada kötü amaçlı e-posta, kötü amaçlı URL veya riskli posta kutusu ayarı gibi bir tehdit ve bu tehdidi düzeltmeye yönelik bir eylem onay bekliyor. Karşılık gelen eylem içeren herhangi bir tehdit bulunduğunda Bekleyen Eylem durumu tetikleniyor. Ancak, bir araştırma çalıştırıldığında bekleyen eylemlerin listesi artabilir. Diğer öğelerin hala tamamlanmasının beklenip beklenmediğini görmek için araştırma ayrıntılarını görüntüleyin.
Düzeltilmiş	Araştırma tamamlandı ve tüm düzeltme eylemleri onaylandı (tamamen düzeltildiği kaydedildi). NOT: Onaylanan düzeltme eylemleri, eylemlerin gerçekleştirilmesini engelleyen hatalara neden olabilir. Düzeltme eylemlerinin başarıyla tamamlanıp tamamlanmadığına bakılmaksızın, araştırma durumu değişmez. Araştırma ayrıntılarını görüntüleyin.
Kısmen Düzeltilmiş	Araştırma, düzeltme eylemleriyle sonuçlandı ve bazıları onaylandı ve tamamlandı. Diğer eylemler hala beklemede.
Başarısız	En az bir araştırma çözümleyicisi düzgün tamamlanamadı bir sorunla karşılaştı. NOT Düzeltme eylemleri onaylandıktan sonra bir araştırma başarısız olursa, düzeltme eylemleri yine de başarılı olmuş olabilir. Araştırma ayrıntılarını görüntüleyin.
Azaltma Tarafından Kuyruğa Alındı	Bir soruşturma kuyrukta tutuluyor. Diğer araştırmalar tamamlandığında kuyruğa alınmış araştırma başlar. Azaltma, düşük hizmet performansını önlemeye yardımcı olur. İpucu: Bekleyen eylemler kaç yeni araştırmanın çalışabileceğini sınırlayabilir. Bekleyen eylemleri onaylamayı (veya reddetmeyi) unutmayın.
Azaltma Ile Sonlandırıldı	Bir araştırma kuyrukta çok uzun süre tutulursa durdurulur. İpucu: Tehdit Gezgini'nden bir araştırma başlatabilirsiniz.

Araştırmanın ayrıntılarını görüntüleme

1. Microsoft Defender portalına (https://security.microsoft.com) gidin ve oturum açın.
2. Gezinti bölmesinde Eylemler & gönderimler>İşlem merkezi'ni seçin.
3. Beklemede veya Geçmiş sekmelerinde bir eylem seçin. Açılır pencere bölmesi açılır.
4. Açılır bölmede Araştırma sayfasını aç'ı seçin.
5. Araştırma hakkında daha fazla bilgi edinmek için çeşitli sekmeleri kullanın.

Araştırmayla ilgili uyarıyla ilgili ayrıntıları görüntüleme

Bazı uyarı türleri, Microsoft 365'te otomatik araştırmayı tetikler. Daha fazla bilgi edinmek için bkz. Otomatik araştırma tetikleyen uyarı ilkeleri.

1. Microsoft Defender portalına (https://security.microsoft.com) gidin ve oturum açın.
2. Gezinti bölmesinde İşlem merkezi'ni seçin.
3. Beklemede veya Geçmiş sekmelerinde bir eylem seçin. Açılır pencere bölmesi açılır.
4. Açılır bölmede Araştırma sayfasını aç'ı seçin.
5. Bu araştırmayla ilişkili tüm uyarıların listesini görüntülemek için Uyarılar sekmesini seçin.
6. Açılan bölmeyi açmak için listeden bir öğe seçin. Burada uyarı hakkında daha fazla bilgi görüntüleyebilirsiniz.

Aşağıdaki noktaları göz önünde bulundurun

• Email sayımlar araştırma sırasında hesaplanır ve araştırma açılır öğelerini açtığınızda bazı sayımlar yeniden hesaplanır (temel alınan sorguya göre).

• Email sekmesindeki e-posta kümeleri için gösterilen e-posta sayıları ve küme açılır öğesinde gösterilen e-posta miktarı değeri araştırma sırasında hesaplanır ve değişmez.

• E-posta kümesi açılır öğesinin Email sekmesinin en altında gösterilen e-posta sayısı ve Gezgin'de gösterilen e-posta iletilerinin sayısı, araştırmanın ilk analizinden sonra alınan e-posta iletilerini yansıtır.

  Bu nedenle, özgün 10 e-posta iletisi miktarını gösteren bir e-posta kümesi, araştırma çözümleme aşaması arasında beş e-posta iletisi daha geldiğinde ve yönetici araştırmayı gözden geçirirken toplam 15 e-posta listesi gösterir. Benzer şekilde, Office 365 için Microsoft Defender Plan 2'deki verilerin süresi denemeler için yedi gün sonra ve ücretli lisanslar için 30 gün sonra sona erdiğinden, eski araştırmalarda Gezgin sorgularının gösterdiğinden daha yüksek sayımlar gösterilmeye başlanabilir.

  Hem geçmiş hem de geçerli sayıların farklı görünümlerde gösterilmesi, araştırma sırasındaki e-posta etkisini ve düzeltme çalıştırana kadar geçerli etkiyi göstermek için yapılır.

• E-posta bağlamında, araştırmanın bir parçası olarak bir birim anomali tehdit yüzeyi görebilirsiniz. Birim anomalisi, önceki zaman çerçevelerine kıyasla araştırma olayı süresi boyunca benzer e-posta iletilerinde ani artış olduğunu gösterir. E-posta trafiğinde belirli özelliklerle (örneğin, konu ve gönderen etki alanı, gövde benzerliği ve gönderen IP'si) ani artış, e-posta kampanyalarının veya saldırılarının başlangıcının tipik bir örneğidir. Ancak toplu, istenmeyen posta ve meşru e-posta kampanyaları genellikle bu özellikleri paylaşır.

• Birim anomalileri olası bir tehdidi temsil eder ve buna göre virüsten koruma motorları, patlama veya kötü amaçlı itibar kullanılarak tanımlanan kötü amaçlı yazılım veya kimlik avı tehditlerine kıyasla daha az ciddi olabilir.

• Her eylemi onaylamanız gerekmez. Önerilen eylemi kabul etmiyorsanız veya kuruluşunuz belirli eylem türlerini seçmiyorsa, Eylemleri reddet'i seçebilir veya yalnızca bunları yoksayıp hiçbir işlem gerçekleştiremezsiniz.

• Tüm eylemlerin onaylanması ve/veya reddedilmesi, araştırmanın tamamen kapanmasına (durum düzeltilir) olanak tanırken, bazı eylemlerin tamamlanmamış olması, araştırma durumunun kısmen düzeltilmiş duruma dönüşmesine neden olur.

Sonraki adımlar

• Bekleyen eylemleri gözden geçirme ve onaylama