分享方式:


自動化調查的詳細資料和結果

適用於:

  • Microsoft Defender XDR

透過 Microsoft Defender 全面偵測回應,當自動化調查執行時,會在自動化調查程式期間和之後取得該調查的詳細數據。 如果您有 必要的許可權,您可以在調查詳細數據檢視中檢視這些詳細數據,以提供最新的狀態,以及核准任何擱置動作的能力。

(新) 整合調查頁面

調查頁面最近已更新,以包含裝置、電子郵件和共同作業內容之間的資訊。 新的統一調查頁面會定義通用語言,並提供跨 適用於端點的 Microsoft Defender 適用於 Office 365 的 Microsoft Defender 自動調查的統一體驗。 若要存取統一調查頁面,請選取您會在下列頁面上看到的黃色橫幅中的連結:

開啟調查詳細資料檢視

您可以使用下列其中一種方法開啟調查詳細資料檢視:

選取 [控制中心] 中的項目

改良的 控制中心 (https://security.microsoft.com/action-center) 將裝置、電子郵件 & 共同作業內容和身分識別之間的 補救動作 結合在一起。 列出的動作包括自動或手動採取的補救動作。 在 [控制中心] 中,您可以檢視正在等候核准的動作,以及已核准或已完成的動作。 您還可以瀏覽至更多詳細資訊,例如調查頁面。

提示

您必須具有核准、拒絕或復原動作 的特定權 限。

  1. 移至 Microsoft Defender 入口網站並登入。

  2. 在功能窗格中,選擇 [控制中心]

  3. 在 [待核准] 或 [歷史記錄] 索引標籤上,選取一個項目。 其飛出視窗窗格隨即開啟。

  4. 檢閱飛出視窗窗格中的資訊,然後採取下列其中一個步驟:

    • 選取 [開啟調查頁面] 檢視有關調查的更多資訊。
    • 選取 [核准] 以起始待完成動作。
    • 選取 [拒絕] 以防止採取待完成動作。
    • 取 [進行搜捕 ] 以進入 進階搜捕

從事件詳細資料頁面開啟調查

使用事件詳細資料頁面來查看事件的詳細資訊,包括觸發任何受影響裝置、使用者帳戶或信箱之資訊的警示。

  1. 移至 Microsoft Defender 入口網站並登入。

  2. 在瀏覽窗格中,選擇 [ 事件 & 警示>事件]

  3. 選取清單中的項目,然後選擇 [ 開啟事件頁面]

  4. 選取 [調查] 索引標籤,然後在清單中選取調查。 其飛出視窗窗格隨即開啟。

  5. 取 [開啟調查頁面]

以下為範例。

Microsoft Defender 入口網站中的調查頁面

調查詳細資料

使用調查詳細資料檢視,查看與調查相關的過去、目前和待核准的活動。 以下為範例。

Microsoft Defender 入口網站中的調查詳細數據頁面

在調查詳細資料檢視中,您可以在 [調查圖表]、[警示]、[裝置]、[身分識別]、[重要結果]、[實體][記錄],以及 [待核准的動作] 索引標籤上查看資訊,如下表所述。

注意事項

您在調查詳細資料頁面中看到的特定索引標籤取決於您的訂閱包含內容。 例如,如果您的訂用帳戶未包含 適用於 Office 365 的 Microsoft Defender 方案 2,您就不會看到 [信箱] 索引標籤

索引標籤 描述
調查圖表 提供調查的視覺呈現。 描述實體並列出發現的威脅和警示,以及是否有任何待核准的動作。
您可以選取圖表上的項目來檢視更多詳細資料。 例如,選取 [ 辨識項 ] 圖示會帶您前往 [ 辨識項 ] 索引標籤,您可以在其中看到偵測到的實體及其決策。
提醒 列出與調查相關聯的警示。 警示可能來自使用者裝置上的威脅防護功能、Office 應用程式、Microsoft Defender for Cloud Apps 和其他 Microsoft Defender 全面偵測回應 功能。

如果您看到 不支援的警示類型,這表示自動化調查功能無法挑選該警示來執行自動化調查。 不過,您可以 手動調查這些警示
裝置 清單 包含在調查的裝置及其補救層級。 (補救層級對應至 裝置群組的自動化層級。)
信箱 清單 受偵測到威脅影響的信箱。
使用者 清單 受偵測到威脅影響的用戶帳戶。
證據 清單 警示或調查所引發的辨識項。 包含決策 ([惡意][可疑][未知][未找到任何威脅]) 以及補救狀態。
Entities 提供每個已分析實體的詳細資料,包括每個實體類型 ([惡意][可疑][未找到任何威脅]) 的決策。
Log 提供觸發警示後採取的所有調查動作之依時間順序的詳細檢視。
待完成動作歷程記錄 列出需要核准才能繼續的項目。 移至控制中心 (https://security.microsoft.com/action-center) 以核准擱置中的動作。

調查狀態

下表列出調查狀態及其指示。

調查狀態 定義
良性 已調查成品,並判斷找不到任何威脅。
PendingResource 自動化調查已暫停,因為補救動作暫止核准,或是找到成品的裝置暫時無法使用。
UnsupportedAlertType 這種類型的警示無法使用自動化調查。 您可以使用進階搜捕手動進行進一步的調查。
失敗 至少有一個調查分析器遇到無法完成調查的問題。 如果在補救動作獲得核准之後調查失敗,補救動作可能仍然成功。
已成功補救 自動化調查已完成,且已完成或核准所有補救動作。

為了提供更多有關調查狀態顯示方式的內容,下表列出警示及其對應的自動化調查狀態。 此數據表包含在安全性作業小組可能在 Microsoft Defender 入口網站中看到的範例。

警示名稱 嚴重性 調查狀態 狀態 類別
在WiM磁碟映像檔中偵測到惡意代碼 參考 良性 Resolved 惡意程式碼
在 rar 封存盤案中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
在 rar 封存盤案中偵測到惡意代碼 參考 UnsupportedAlertType 新增 惡意程式碼
在 rar 封存盤案中偵測到惡意代碼 參考 UnsupportedAlertType 新增 惡意程式碼
在 rar 封存盤案中偵測到惡意代碼 參考 UnsupportedAlertType 新增 惡意程式碼
在 zip 封存盤案中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
在 zip 封存盤案中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
在 zip 封存盤案中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
在 zip 封存盤案中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
已防止 Wpakill hacktool 失敗 新增 惡意程式碼
已防止 GendowsBatch hacktool 失敗 新增 惡意程式碼
已防止 Keygen hacktool 失敗 新增 惡意程式碼
在 zip 封存盤案中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
在 rar 封存盤案中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
在 rar 封存盤案中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
在 zip 封存盤案中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
在 rar 封存盤案中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
在 rar 封存盤案中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
在 iso disc 影像檔中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
在 iso disc 影像檔中偵測到惡意代碼 參考 PendingResource 新增 惡意程式碼
在 pst outlook 數據檔中偵測到惡意代碼 參考 UnsupportedAlertType 新增 惡意程式碼
在 pst outlook 數據檔中偵測到惡意代碼 參考 UnsupportedAlertType 新增 惡意程式碼
偵測到 MediaGet PartiallyInvestigated 新增 惡意程式碼
TrojanEmailFile SuccessfullyRemediated Resolved 惡意程式碼
已防止 CustomEnterpriseBlock 惡意代碼 參考 SuccessfullyRemediated Resolved 惡意程式碼
已封鎖作用中的 CustomEnterpriseBlock 惡意代碼 SuccessfullyRemediated Resolved 惡意程式碼
已封鎖作用中的 CustomEnterpriseBlock 惡意代碼 SuccessfullyRemediated Resolved 惡意程式碼
已封鎖作用中的 CustomEnterpriseBlock 惡意代碼 SuccessfullyRemediated Resolved 惡意程式碼
TrojanEmailFile 良性 Resolved 惡意程式碼
已防止 CustomEnterpriseBlock 惡意代碼 參考 UnsupportedAlertType 新增 惡意程式碼
已防止 CustomEnterpriseBlock 惡意代碼 參考 SuccessfullyRemediated Resolved 惡意程式碼
TrojanEmailFile SuccessfullyRemediated Resolved 惡意程式碼
TrojanEmailFile 良性 Resolved 惡意程式碼
已封鎖作用中的 CustomEnterpriseBlock 惡意代碼 PendingResource 新增 惡意程式碼

後續步驟

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。