自动调查的详细信息和结果

适用于:

  • Microsoft Defender XDR

使用 Microsoft Defender XDR,当自动调查运行时,有关该调查的详细信息在自动调查过程期间和之后都可用。 如果你有 必要的权限,则可以在调查详细信息视图中查看这些详细信息,该视图提供最新状态和批准任何挂起的操作的能力。

(“新建) 统一调查”页

调查页面最近已更新,以包括跨设备、电子邮件和协作内容的信息。 新的统一调查页定义了一种通用语言,并提供跨Microsoft Defender for EndpointMicrosoft Defender for Office 365自动调查的统一体验。 若要访问统一调查页,请选择黄色横幅中的链接,你将看到:

打开调查详细信息视图

可以使用以下方法之一打开调查详细信息视图:

在“操作中心”中选择一个项

改进 的操作中心 (https://security.microsoft.com/action-center) 汇集了跨设备、电子邮件 & 协作内容和标识的 修正操作 。 列出的操作包括自动或手动执行的修正操作。 在操作中心中,可以查看正在等待审批的操作以及已批准或已完成的操作。 还可以导航到更多详细信息,例如调查页面。

提示

必须具有 某些权限 才能批准、拒绝或撤消操作。

  1. 转到Microsoft Defender门户并登录。

  2. 在“导航”窗格中,选择“操作中心”

  3. 在“ 挂起 ”或“ 历史记录 ”选项卡上,选择一项。 此时会打开其浮出控件窗格。

  4. 查看浮出控件窗格中的信息,然后执行以下步骤之一:

    • 选择“打开调查页面”以查看有关调查的更多详细信息。
    • 选择“批准”以启动待处理的操作。
    • 选择“拒绝”以阻止执行待处理的操作。
    • 选择“ 执行搜寻 ”以进入 “高级搜寻”。

从事件详细信息页打开调查

使用事件详细信息页可查看有关事件的详细信息,包括触发的警报,其中包含有关任何受影响设备、用户帐户或邮箱的信息。

  1. 转到Microsoft Defender门户并登录。

  2. 在导航窗格中,选择“ 事件 & 警报>事件”。

  3. 在列表中选择一个项目,然后选择“ 打开事件页”。

  4. 选择“调查”选项卡,然后在列表中选择一个调查。 此时会打开其浮出控件窗格。

  5. 选择“ 打开调查页”。

下面是一个示例。

Microsoft Defender门户中的调查页

调查详细信息

使用“调查详细信息”视图可以查看与调查有关的过去、当前和待处理的活动。 下面是一个示例。

Microsoft Defender门户中的调查详细信息页

在“调查详细信息”视图中,可以看到下表所述的 “调查图”、“ 警报”、“ 设备”、“ 标识”、“ 关键发现”、“ 实体”、“ 日志”和“ 挂起的操作 ”选项卡上的信息。

注意

在调查详细信息页中看到的特定选项卡取决于你的订阅包括哪些计划。 例如,如果订阅不包括计划 2 Microsoft Defender for Office 365,则看不到“邮箱”选项卡。

Tab 说明
调查图 提供调查的直观表示。 描述实体并列出找到的威胁及警报,以及是否有任何待批准的操作。
可选择图上的项以查看更多详细信息。 例如,选择“ 证据 ”图标会转到“ 证据 ”选项卡,可在其中查看检测到的实体及其判决。
警告 Lists与调查关联的警报。 警报可能来自用户设备上的威胁防护功能、Office 应用、Microsoft Defender for Cloud Apps和其他Microsoft Defender XDR功能。

如果看到 “不支持”警报类型,则表示自动调查功能无法选取该警报来运行自动调查。 但是,可以 手动调查这些警报
Devices 调查中包含的Lists设备及其修正级别。 (修正级别对应于 设备组的自动化级别。)
邮箱 Lists受检测到的威胁影响的邮箱。
用户 Lists受检测到的威胁影响的用户帐户。
证据 Lists警报或调查引发的证据。 包括裁定结果(“恶意”、“可疑”、“未知”或“未发现威胁”)和修正状态。
Entities 提供有关每个已分析实体的详细信息,包括每种实体类型的裁定结果(“恶意”、“可疑”或“未发现威胁”)。
Log 按时间顺序,提供触发警报后采取的所有调查操作的详细视图。
待处理的操作历史记录 Lists需要审批才能继续的项目。 转到操作中心 (https://security.microsoft.com/action-center) 批准挂起的操作。

调查状态

下表列出了调查状态及其指示的内容。

调查状态 定义
良性 对文物进行了调查,并确定未发现任何威胁。
PendingResource 自动调查会暂停,因为修正操作正在等待审批,或者找到项目的设备暂时不可用。
UnsupportedAlertType 自动调查不适用于此类警报。 可以通过使用高级搜寻手动完成进一步调查。
已失败 至少有一个调查分析器遇到无法完成调查的问题。 如果在修正操作获得批准后调查失败,修正操作可能仍然成功。
已成功修正 自动调查已完成,所有修正操作都已完成或已批准。

为了提供有关调查状态显示方式的更多上下文,下表列出了警报及其相应的自动调查状态。 此表是安全运营团队在 Microsoft Defender 门户中可能看到的内容的示例。

警报名称 Severity 调查状态 状态 类别
在 wim 磁盘映像文件中检测到恶意软件 信息 良性 已解决 恶意软件
在 rar 存档文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
在 rar 存档文件中检测到恶意软件 信息 UnsupportedAlertType 新增 恶意软件
在 rar 存档文件中检测到恶意软件 信息 UnsupportedAlertType 新增 恶意软件
在 rar 存档文件中检测到恶意软件 信息 UnsupportedAlertType 新增 恶意软件
在 zip 存档文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
在 zip 存档文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
在 zip 存档文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
在 zip 存档文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
Wpakill hacktool 被阻止 已失败 新增 恶意软件
GendowsBatch hacktool 被阻止 已失败 新增 恶意软件
Keygen hacktool 已阻止 已失败 新增 恶意软件
在 zip 存档文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
在 rar 存档文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
在 rar 存档文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
在 zip 存档文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
在 rar 存档文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
在 rar 存档文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
在 iso 光盘映像文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
在 iso 光盘映像文件中检测到恶意软件 信息 PendingResource 新增 恶意软件
在 pst outlook 数据文件中检测到恶意软件 信息 UnsupportedAlertType 新增 恶意软件
在 pst outlook 数据文件中检测到恶意软件 信息 UnsupportedAlertType 新增 恶意软件
检测到 MediaGet PartiallyInvestigated 新增 恶意软件
TrojanEmailFile 已成功修正 已解决 恶意软件
已阻止 CustomEnterpriseBlock 恶意软件 信息 已成功修正 已解决 恶意软件
活动 CustomEnterpriseBlock 恶意软件被阻止 已成功修正 已解决 恶意软件
活动 CustomEnterpriseBlock 恶意软件被阻止 已成功修正 已解决 恶意软件
活动 CustomEnterpriseBlock 恶意软件被阻止 已成功修正 已解决 恶意软件
TrojanEmailFile 良性 已解决 恶意软件
已阻止 CustomEnterpriseBlock 恶意软件 信息 UnsupportedAlertType 新增 恶意软件
已阻止 CustomEnterpriseBlock 恶意软件 信息 已成功修正 已解决 恶意软件
TrojanEmailFile 已成功修正 已解决 恶意软件
TrojanEmailFile 良性 已解决 恶意软件
活动 CustomEnterpriseBlock 恶意软件被阻止 PendingResource 新增 恶意软件

后续步骤

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区