Microsoft 365 中自動化調查的詳細數據和結果
提示
您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。
在 適用於 Office 365 的 Microsoft Defender 中進行自動化調查時,會在自動化調查程式期間和之後取得該調查的相關詳細數據。 如果您有必要的許可權,可以在 Microsoft Defender 入口網站中檢視這些詳細數據。 調查詳細數據提供您最新的狀態,以及核准任何擱置動作的能力。
提示
查看 Microsoft Defender 入口網站中新的整合調查頁面。 若要深入瞭解, 請參閱 (NEW!) Unified 調查頁面。
調查狀態
調查狀態表示分析和動作的進度。 當調查執行時,狀態會變更,以指出是否找到威脅,以及是否已核准動作。
| 狀態 | 描述 |
|---|---|
| 啟動中 | 已觸發調查並等候開始執行。 |
| 正在執行 | 調查程式已啟動且正在進行中。 此狀態也會在 暫止動作 獲得核准時發生。 |
| 找不到任何威脅 | 調查已完成,且未識別任何威脅 (用戶帳戶、電子郵件訊息、URL 或檔案) 。 提示:如果您懷疑遺漏某些專案 (例如誤判) ,您可以使用 威脅總管採取動作。 |
| 部分調查 | 自動化調查發現問題,但沒有解決這些問題的特定補救動作。 當識別出某種類型的用戶活動,但沒有可用的清除動作時,可能會發生 [ 部分調查 ] 狀態。 範例包括下列任何用戶活動:
注意:此 部分調查 狀態過去會標示為 [ 找到的威脅]。 調查找不到要補救的惡意 URL、檔案或電子郵件訊息,也找不到信箱活動可修正,例如關閉轉送規則或委派。 提示:如果您懷疑遺漏某些專案 (例如誤判) ,您可以使用威脅總管調查並採取動作 |
| 由系統終止 | 調查已停止。 調查可能會因為數個原因而停止:
提示:如果調查在採取動作之前停止,請嘗試使用 威脅總管 來尋找並解決威脅。 |
| 擱置動作 | 調查發現威脅,例如惡意電子郵件、惡意 URL 或有風險的信箱設定,以及補救威脅 正在等待核准的動作。 找到任何具有對應動作的威脅時,就會觸發 [擱置動作 ] 狀態。 不過,當調查執行時,暫止動作的清單可能會增加。 檢視調查詳細數據,以查看其他專案是否仍在待完成。 |
| 已補救 | 調查已完成,所有補救動作都已核准, (記為完全補救) 。 注意:核准的補救動作可能會發生錯誤,導致無法採取動作。 無論補救動作是否成功完成,調查狀態都不會變更。 檢視調查詳細數據。 |
| 已部分補救 | 調查導致補救動作,而有些已核准並完成。 其他動作仍在 擱置中。 |
| 已失敗 | 至少有一個調查分析器遇到無法正確完成的問題。 注意 如果在補救動作獲得核准之後調查失敗,補救動作可能仍然成功。 檢視調查詳細數據。 |
| 依節流排入佇列 | 正在佇列中進行調查。 當其他調查完成時,佇列調查就會開始。 節流有助於避免服務效能不佳。 提示:擱置中的動作可能會限制可執行的新調查數目。 請務必 核准 (或拒絕) 暫止動作。 |
| 節流終止 | 如果調查在佇列中保存的時間太長,就會停止。 提示:您可以 從威脅總管開始調查。 |
檢視調查的詳細資料
- 移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。
- 在瀏覽窗格中,選 取 [動作 & 提交>控制中心]。
- 在 [ 擱置 ] 或 [ 歷程記錄] 索引標籤上,選取動作。 其飛出視窗窗格隨即開啟。
- 在飛出視窗窗格中,選取 [ 開啟調查頁面]。
- 使用各個索引標籤深入了解調查。
檢視與調查相關警示的詳細資料
某些類型的警示會在 Microsoft 365 中觸發自動化調查。 若要深入瞭解,請參閱 觸發自動化調查的警示原則。
- 移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。
- 在瀏覽窗格中,選取 [ 控制中心]。
- 在 [ 擱置 ] 或 [ 歷程記錄] 索引標籤上,選取動作。 其飛出視窗窗格隨即開啟。
- 在飛出視窗窗格中,選取 [ 開啟調查頁面]。
- 選取 [ 警示] 索引標籤 ,以檢視與該調查相關聯的所有警示清單。
- 選取清單中的項目以開啟其飛出視窗窗格。 您可以在該處檢視警示的詳細資訊。
請記住下列幾點
Email 計數會在調查時計算,而當您根據基礎查詢) 開啟調查飛出視窗 (時,會重新計算某些計數。
[Email] 索引標籤上針對電子郵件叢集顯示的電子郵件計數,以及在叢集飛出視窗上顯示的電子郵件數量值,會在調查時計算,而且不會變更。
電子郵件叢集飛出視窗的 [Email] 索引卷標底部顯示的電子郵件計數,以及 [總管] 中顯示的電子郵件訊息計數,會反映在調查初始分析之後收到的電子郵件訊息。
因此,在調查分析階段和系統管理員檢閱調查時,當有五封電子郵件訊息抵達時,顯示原始數量為10封電子郵件訊息的電子郵件叢集會顯示總計15封電子郵件清單。 同樣地,舊調查可能會開始顯示比 Explorer 查詢顯示的計數還要高,因為 適用於 Office 365 的 Microsoft Defender 方案 2 中的數據會在試用七天后到期,而付費授權則會在 30 天后到期。
在不同的檢視中顯示計數歷程記錄和目前計數,是為了指出調查時的電子郵件影響,以及目前的影響,直到修復執行為止。
在電子郵件內容中,您可能會在調查過程中看到磁碟區異常威脅表面。 磁碟區異常表示相較於先前的時間範圍,調查事件時間的類似電子郵件訊息突然增加。 電子郵件流量突然增加,以及某些特性 (例如主旨和發件者網域、本文相似度,以及寄件者IP) 是電子郵件活動或攻擊的一般開始。 不過,大量、垃圾郵件和合法的電子郵件活動通常會共用這些特性。
磁碟區異常代表潛在的威脅,因此相較於使用防病毒軟體引擎、詐騙或惡意信譽所識別的惡意代碼或網路釣魚威脅,可能較不嚴重。
您不需要核准每個動作。 如果您不同意建議的動作,或貴組織未選擇特定類型的動作,則可以選擇 拒絕 動作,或直接忽略這些動作,而不採取任何動作。
核准和/或拒絕所有動作可讓調查完全關閉, (狀態) 補救,同時讓某些動作不完整,導致調查狀態變更為部分補救狀態。