Microsoft 365 中自動化調查的詳細數據和結果

• 適用於:

  ✅ Microsoft Defender for Office 365 Plan 2

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

在 適用於 Office 365 的 Microsoft Defender 中進行自動化調查時，會在自動化調查程式期間和之後取得該調查的詳細數據。 如果您有必要的許可權，可以在 Microsoft Defender 入口網站中檢視這些詳細數據。 調查詳細數據提供您最新的狀態，以及核准任何擱置動作的能力。

提示

查看 Microsoft Defender 入口網站中新的整合調查頁面。 若要深入瞭解， 請參閱 (NEW！) Unified 調查頁面。

調查狀態

調查狀態表示分析和動作的進度。 當調查執行時，狀態會變更，以指出是否找到威脅，以及是否已核准動作。

狀態	描述
啟動中	已觸發調查並等候開始執行。
正在執行	調查程式已啟動且正在進行中。 此狀態也會在 暫止動作 獲得核准時發生。
找不到任何威脅	調查已完成，且未識別任何威脅 (用戶帳戶、電子郵件訊息、URL 或檔案) 。 提示：如果您懷疑遺漏某些專案 (例如誤判) ，您可以使用 威脅總管採取動作。
部分調查	自動化調查發現問題，但沒有解決這些問題的特定補救動作。 當識別出某種類型的用戶活動，但沒有可用的清除動作時，可能會發生 [ 部分調查 ] 狀態。 範例包括下列任何用戶活動： 數據外洩防護事件 傳送異常的電子郵件 已傳送惡意代碼 已傳送網路釣魚 注意：此 部分調查 狀態過去會標示為 [ 找到的威脅]。 調查找不到要補救的惡意 URL、檔案或電子郵件訊息，也找不到信箱活動可修正，例如關閉轉送規則或委派。 提示：如果您懷疑遺漏某些專案 (例如誤判) ，您可以使用威脅總管調查並採取動作
由系統終止	調查已停止。 調查可能會因為數個原因而停止： 調查的擱置動作已過期。 等待核准一周的擱置動作逾時 動作太多。 例如，如果有太多使用者按兩下惡意 URL，可能會超過調查執行所有分析器的能力，因此調查會停止 提示：如果調查在採取動作之前停止，請嘗試使用 威脅總管 來尋找並解決威脅。
擱置動作	調查發現威脅，例如惡意電子郵件、惡意 URL 或有風險的信箱設定，以及補救威脅 正在等待核准的動作。 找到任何具有對應動作的威脅時，就會觸發 [擱置動作 ] 狀態。 不過，當調查執行時，暫止動作的清單可能會增加。 檢視調查詳細數據，以查看其他專案是否仍在待完成。
已補救	調查已完成，所有補救動作都已核准， (記為完全補救) 。 注意：核准的補救動作可能會發生錯誤，導致無法採取動作。 無論補救動作是否成功完成，調查狀態都不會變更。 檢視調查詳細數據。
已部分補救	調查導致補救動作，而有些已核准並完成。 其他動作仍在 擱置中。
已失敗	至少有一個調查分析器遇到無法正確完成的問題。 注意 如果在補救動作獲得核准之後調查失敗，補救動作可能仍然成功。 檢視調查詳細數據。
依節流排入佇列	正在佇列中進行調查。 當其他調查完成時，佇列調查就會開始。 節流有助於避免服務效能不佳。 提示：擱置中的動作可能會限制可執行的新調查數目。 請務必 核准 (或拒絕) 暫止動作。
節流終止	如果調查在佇列中保存的時間太長，就會停止。 提示：您可以 從威脅總管開始調查。

檢視調查的詳細資料

1. 移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。
2. 在瀏覽窗格中，選 取 [動作 & 提交>控制中心]。
3. 在 [ 擱置 ] 或 [ 歷程記錄] 索引標籤上，選取動作。 其飛出視窗窗格隨即開啟。
4. 在飛出視窗窗格中，選取 [ 開啟調查頁面]。
5. 使用各個索引標籤深入了解調查。

檢視與調查相關警示的詳細資料

某些類型的警示會在 Microsoft 365 中觸發自動化調查。 若要深入瞭解，請參閱 觸發自動化調查的警示原則。

1. 移至 Microsoft Defender 入口網站 (https://security.microsoft.com) 並登入。
2. 在瀏覽窗格中，選取 [ 控制中心]。
3. 在 [ 擱置 ] 或 [ 歷程記錄] 索引標籤上，選取動作。 其飛出視窗窗格隨即開啟。
4. 在飛出視窗窗格中，選取 [ 開啟調查頁面]。
5. 選取 [ 警示] 索引標籤 ，以檢視與該調查相關聯的所有警示清單。
6. 選取清單中的項目以開啟其飛出視窗窗格。 您可以在該處檢視警示的詳細資訊。

請記住下列幾點

• Email 計數會在調查時計算，當您根據基礎查詢) 開啟調查飛出視窗 (時，會重新計算某些計數。

• [Email] 索引標籤上針對電子郵件叢集顯示的電子郵件計數，以及在叢集飛出視窗上顯示的電子郵件數量值，會在調查時計算，而且不會變更。

• 電子郵件群集飛出視窗的 [Email] 索引卷標底部顯示的電子郵件計數，以及 [總管] 中顯示的電子郵件訊息計數，會反映在調查初始分析之後收到的電子郵件訊息。

  因此，在調查分析階段和系統管理員檢閱調查時，當有五封電子郵件訊息抵達時，顯示原始數量為10封電子郵件訊息的電子郵件叢集會顯示總計15封電子郵件清單。 同樣地，舊調查可能會開始顯示高於 Explorer 查詢顯示的計數，因為 適用於 Office 365 的 Microsoft Defender 方案 2 中的數據會在試用七天后到期，而付費授權則會在 30 天后到期。

  在不同的檢視中顯示計數歷程記錄和目前計數，是為了指出調查時的電子郵件影響，以及目前的影響，直到修復執行為止。

• 在電子郵件內容中，您可能會在調查過程中看到磁碟區異常威脅表面。 磁碟區異常表示相較於先前的時間範圍，調查事件時間的類似電子郵件訊息突然增加。 電子郵件流量突然增加，以及某些特性 (例如主旨和發件者網域、本文相似度，以及寄件者IP) 是電子郵件活動或攻擊的一般開始。 不過，大量、垃圾郵件和合法的電子郵件活動通常會共用這些特性。

• 磁碟區異常代表潛在的威脅，因此相較於使用防病毒軟體引擎、詐騙或惡意信譽所識別的惡意代碼或網路釣魚威脅，可能較不嚴重。

• 您不需要核准每個動作。 如果您不同意建議的動作，或貴組織未選擇特定類型的動作，則可以選擇 拒絕 動作，或直接忽略這些動作，而不採取任何動作。

• 核准和/或拒絕所有動作可讓調查完全關閉， (狀態) 補救，同時讓某些動作不完整，導致調查狀態變更為部分補救狀態。

後續步驟

• 檢閱和核准擱置中的動作