檢視自動調查的詳細資料和結果

發行項
04/26/2024

適用於：

適用於端點的 Microsoft Defender 方案 2

透過適用於端點的 Microsoft Defender，當自動化調查執行時，會在自動化調查程式期間和之後取得該調查的相關詳細數據。如果您擁有必要權限，您可以在調查詳細資料檢視中查看這些詳細資料。調查詳細資料檢視可提供您最新的狀態，以及核准任何待核准動作的能力。

(新！) 整合調查頁面

調查頁面最近已更新，以包含裝置、電子郵件和共同作業內容之間的資訊。新的整合調查頁面會定義通用語言，並提供跨適用於端點的 Microsoft Defender 和適用於 Office 365 的 Microsoft Defender 自動調查的統一體驗。

提示

若要深入瞭解變更的內容，請參閱 (NEW！) 整合調查頁面。

開啟調查詳細資料檢視

您可以使用下列其中一種方法開啟調查詳細資料檢視：

選取 [控制中心] 中的項目
從事件詳細資料頁面中選取調查

選取 [控制中心] 中的項目

改良的控制中心會將裝置、電子郵件 & 共同作業內容和身分識別的補救動作結合在一起。列出的動作包括自動或手動採取的補救動作。在 [控制中心] 中，您可以檢視正在等候核准的動作，以及已核准或已完成的動作。您還可以瀏覽至更多詳細資訊，例如調查頁面。

移至 Microsoft Defender 全面偵測回應並登入。
在功能窗格中，選擇 [控制中心]。
在 [待核准] 或 [歷史記錄] 索引標籤上，選取一個項目。其飛出視窗窗格隨即開啟。
檢閱飛出視窗窗格中的資訊，然後採取下列其中一個步驟：
- 選取 [開啟調查頁面] 檢視有關調查的更多資訊。
- 選取 [核准] 以起始待完成動作。
- 選取 [拒絕] 以防止採取待完成動作。
- 選 取 [進行搜捕 ] 以進入進階搜捕。

從事件詳細資料頁面開啟調查

使用事件詳細資料頁面來查看事件的詳細資訊，包括觸發任何受影響裝置、使用者帳戶或信箱之資訊的警示。

移至 Microsoft Defender 全面偵測回應並登入。
在瀏覽窗格中，選擇 [ 事件 & 警示>事件]。
選取清單中的項目，然後選擇 [ 開啟事件頁面]。
選取 [調查] 索引標籤，然後在清單中選取調查。其飛出視窗窗格隨即開啟。
選 取 [開啟調查頁面]。

調查詳細資料

使用調查詳細資料檢視，查看與調查相關的過去、目前和待核准的活動。調查詳細資料檢視類似以下影像：

在調查詳細資料檢視中，您可以在 [調查圖表]、[警示]、[裝置]、[身分識別]、[重要結果]、[實體]、[記錄]，以及 [待核准的動作] 索引標籤上查看資訊，如下表所述。

注意事項

您在調查詳細資料頁面中看到的特定索引標籤取決於您的訂閱包含內容。例如，如果您的訂用帳戶未包含適用於 Office 365 的 Microsoft Defender 方案 2，您將不會看到 [信箱] 索引標籤。
適用於端點的Defender方案1和方案2支援裝置群組建立。

索引標籤	描述
調查圖表	提供調查的視覺呈現。描述實體並列出發現的威脅和警示，以及是否有任何待核准的動作。您可以選取圖表上的項目來檢視更多詳細資料。例如，選取 [ 辨識項 ] 圖示會帶您前往 [ 辨識項 ] 索引標籤，您可以在其中看到偵測到的實體及其決策。
提醒	列出與調查相關聯的警示。警示可能來自使用者裝置上的威脅防護功能、Office 應用程式、適用於雲端應用程式的Defender和其他 Microsoft Defender 全面偵測回應功能。
裝置	清單包含在調查的裝置及其補救層級。 (補救層級對應至裝置群組的自動化層級。)
信箱	清單受偵測到威脅影響的信箱。
使用者	清單受偵測到威脅影響的用戶帳戶。
證據	清單警示/調查所引發的辨識項。包含 (惡意、可疑或找不到威脅的決策，) 和補救狀態。
Entities	提供每個已分析實體的詳細資料，包括每個實體類型 ([惡意]、[可疑] 或 [未找到任何威脅]) 的決策。
Log	提供觸發警示後採取的所有調查動作之依時間順序的詳細檢視。
待核准的動作	列出需要核准才能繼續的項目。移至控制中心 (https://security.microsoft.com/action-center) 以核准擱置中的動作。

調查狀態

下表列出調查狀態及其指示。

調查狀態	定義
良性	已調查成品，並判斷找不到任何威脅。
PendingResource	自動化調查已暫停，因為補救動作暫止核准，或是找到成品的裝置暫時無法使用。
UnsupportedAlertType	這種類型的警示無法使用自動化調查。您可以使用進階搜捕手動進行進一步的調查。
失敗	至少有一個調查分析器遇到無法完成調查的問題。如果在補救動作獲得核准之後調查失敗，補救動作可能仍然成功。
已成功補救	自動化調查已完成，且已完成或核准所有補救動作。

為了提供更多有關調查狀態顯示方式的內容，下表列出警示及其對應的自動化調查狀態。此數據表包含為安全性作業小組在 Microsoft Defender 入口網站中可能會看到的內容範例。

警示名稱	嚴重性	調查狀態	狀態	類別
在WiM磁碟映像檔中偵測到惡意代碼	參考	良性	Resolved	惡意程式碼
在 rar 封存盤案中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
在 rar 封存盤案中偵測到惡意代碼	參考	UnsupportedAlertType	新增	惡意程式碼
在 rar 封存盤案中偵測到惡意代碼	參考	UnsupportedAlertType	新增	惡意程式碼
在 rar 封存盤案中偵測到惡意代碼	參考	UnsupportedAlertType	新增	惡意程式碼
在 zip 封存盤案中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
在 zip 封存盤案中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
在 zip 封存盤案中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
在 zip 封存盤案中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
已防止 Wpakill hacktool	低	失敗	新增	惡意程式碼
已防止 GendowsBatch hacktool	低	失敗	新增	惡意程式碼
已防止 Keygen hacktool	低	失敗	新增	惡意程式碼
在 zip 封存盤案中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
在 rar 封存盤案中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
在 rar 封存盤案中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
在 zip 封存盤案中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
在 rar 封存盤案中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
在 rar 封存盤案中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
在 iso disc 影像檔中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
在 iso disc 影像檔中偵測到惡意代碼	參考	PendingResource	新增	惡意程式碼
在 pst outlook 數據檔中偵測到惡意代碼	參考	UnsupportedAlertType	新增	惡意程式碼
在 pst outlook 數據檔中偵測到惡意代碼	參考	UnsupportedAlertType	新增	惡意程式碼
偵測到 MediaGet	中	PartiallyInvestigated	新增	惡意程式碼
TrojanEmailFile	中	SuccessfullyRemediated	Resolved	惡意程式碼
已防止 CustomEnterpriseBlock 惡意代碼	參考	SuccessfullyRemediated	Resolved	惡意程式碼
已封鎖作用中的 CustomEnterpriseBlock 惡意代碼	低	SuccessfullyRemediated	Resolved	惡意程式碼
已封鎖作用中的 CustomEnterpriseBlock 惡意代碼	低	SuccessfullyRemediated	Resolved	惡意程式碼
已封鎖作用中的 CustomEnterpriseBlock 惡意代碼	低	SuccessfullyRemediated	Resolved	惡意程式碼
TrojanEmailFile	中	良性	Resolved	惡意程式碼
已防止 CustomEnterpriseBlock 惡意代碼	參考	UnsupportedAlertType	新增	惡意程式碼
已防止 CustomEnterpriseBlock 惡意代碼	參考	SuccessfullyRemediated	Resolved	惡意程式碼
TrojanEmailFile	中	SuccessfullyRemediated	Resolved	惡意程式碼
TrojanEmailFile	中	良性	Resolved	惡意程式碼
已封鎖作用中的 CustomEnterpriseBlock 惡意代碼	低	PendingResource	新增	惡意程式碼

另請參閱

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：適用於端點的 Microsoft Defender 技術社群。

共用方式為