Podrobnosti a výsledky automatizovaného šetření v Microsoftu 365

• Platí pro:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Zde zjistíte více o tom, kdo se může zaregistrovat a o podmínkách zkušební verze.

Pokud v Microsoft Defender pro Office 365 dojde k automatizovanému šetření, podrobnosti o šetření jsou k dispozici během automatizovaného vyšetřování a po jeho skončení. Pokud máte potřebná oprávnění, můžete tyto podrobnosti zobrazit na portálu Microsoft Defender. Podrobnosti o vyšetřování poskytují aktuální stav a možnost schválit všechny čekající akce.

Tip

Podívejte se na novou sjednocenou stránku šetření na portálu Microsoft Defender. Další informace najdete v tématu (NOVÉ!) Sjednocená stránka šetření

Stav šetření

Stav šetření označuje průběh analýzy a akcí. S tím, jak probíhá šetření, se stav mění tak, aby indikoval, jestli byly nalezeny hrozby a jestli byly akce schváleny.

Stav	Popis
Spouštění	Šetření se aktivovalo a čeká se na spuštění.
Spuštění	Proces vyšetřování byl zahájen a probíhá. K tomuto stavu dochází také při schválení čekajících akcí .
Nenašly se žádné hrozby.	Šetření skončilo a nebyly zjištěny žádné hrozby (uživatelský účet, e-mailová zpráva, adresa URL nebo soubor). TIP: Pokud máte podezření, že se něco zmeškalo (například falešně negativní), můžete provést akci pomocí Průzkumníka hrozeb.
Částečně prověřováno	Automatizované šetření zjistilo problémy, ale neexistují žádné konkrétní nápravné akce, které by tyto problémy vyřešily. Stav Částečně prověřováno může nastat, když byl identifikován určitý typ aktivity uživatele, ale nejsou k dispozici žádné akce čištění. Mezi příklady patří některá z následujících aktivit uživatelů: Událost ochrany před únikem informací Anomálie odesílání e-mailů Odeslaný malware Poslaný phish Poznámka: Tento částečně prověřovaný stav býval označený jako Nalezené hrozby. Při vyšetřování se nenašly žádné škodlivé adresy URL, soubory ani e-mailové zprávy, které by bylo možné napravit, a žádné aktivity poštovní schránky, které by bylo potřeba opravit, například vypnutí pravidel přeposílání nebo delegování. TIP: Pokud máte podezření, že se něco zmeškalo (například falešně negativní), můžete to prozkoumat a provést akci pomocí Průzkumníka hrozeb.
Ukončeno podle systému	Vyšetřování se zastavilo. Vyšetřování se může zastavit z několika důvodů: Nevyřízené akce šetření vypršely. Po čekání na schválení po dobu jednoho týdne vyprší časový limit čekajících na akce. Existuje příliš mnoho akcí. Pokud například příliš mnoho uživatelů kliká na škodlivé adresy URL, může to překročit schopnost vyšetřování spustit všechny analyzátory, takže se šetření zastaví. TIP: Pokud se vyšetřování zastaví před provedením akcí, zkuste hrozby najít a vyřešit pomocí Průzkumníka hrozeb .
Čekající akce	Vyšetřování zjistilo hrozbu, jako je škodlivý e-mail, škodlivá adresa URL nebo nastavení rizikové poštovní schránky, a akce k nápravě hrozby čekající na schválení. Stav čekající akce se aktivuje, když se najde jakákoli hrozba s odpovídající akcí. Seznam čekajících akcí se ale může s probíhajícím šetřením navýšit. Podívejte se na podrobnosti o šetření a zjistěte, jestli ještě čekají na dokončení jiné položky.
Napraveno	Šetření bylo dokončeno a všechny nápravné akce byly schváleny (označeny jako plně napravit). POZNÁMKA: Schválené nápravné akce můžou obsahovat chyby, které brání provádění akcí. Stav šetření se nezmění bez ohledu na to, jestli se nápravné akce úspěšně dokončily. Podívejte se na podrobnosti o šetření.
Částečně napraveno	Šetření vedlo k nápravě a některé byly schváleny a dokončeny. Další akce stále čekají na vyřízení.
Selhalo	Nejméně u jednoho analyzátoru šetření došlo k problému, kdy se nepodařilo správně dokončit. POZNÁMKA Pokud se šetření po schválení nápravných akcí nezdaří, je možné, že akce nápravy byly stále úspěšné. Podívejte se na podrobnosti o šetření.
Zařazeno do fronty omezováním	Vyšetřování probíhá ve frontě. Po dokončení jiných šetření se zahájí vyšetřování zařazená do fronty. Omezování pomáhá vyhnout se nízkému výkonu služby. TIP: Nevyřízené akce můžou omezit počet nových šetření, která se můžou spustit. Nezapomeňte schválit (nebo odmítnout) čekající akce.
Ukončeno omezováním	Pokud je vyšetřování ve frontě příliš dlouho, zastaví se. TIP: Šetření můžete zahájit v Průzkumníku hrozeb.

Zobrazení podrobností o šetření

1. Přejděte na portál Microsoft Defender (https://security.microsoft.com) a přihlaste se.
2. V navigačním podokně vyberte Akce & odeslání>Centra akcí.
3. Na kartě Čeká na vyřízení nebo Historie vyberte akci. Otevře se jeho podokno informačního rámečku.
4. V podokně informačního rámečku vyberte Otevřít stránku šetření.
5. Další informace o vyšetřování najdete na různých kartách.

Zobrazení podrobností o upozornění souvisejícím s šetřením

Některé druhy upozornění aktivují automatizované šetření v Microsoftu 365. Další informace najdete v tématu Zásady upozornění, které aktivují automatizovaná šetření.

1. Přejděte na portál Microsoft Defender (https://security.microsoft.com) a přihlaste se.
2. V navigačním podokně vyberte Centrum akcí.
3. Na kartě Čeká na vyřízení nebo Historie vyberte akci. Otevře se jeho podokno informačního rámečku.
4. V podokně informačního rámečku vyberte Otevřít stránku šetření.
5. Výběrem karty Výstrahy zobrazíte seznam všech výstrah přidružených k danému šetření.
6. Výběrem položky v seznamu otevřete její kontextové podokno. Tam si můžete prohlédnout další informace o upozornění.

Mějte na paměti následující body

• Email počty se počítají v době šetření a některé počty se přepočítávají při otevření informačních rámečků šetření (na základě podkladového dotazu).

• Počty e-mailů zobrazené pro e-mailové clustery na kartě Email a hodnota množství e-mailů zobrazená v informačním rámečku clusteru se počítají v době šetření a nemění se.

• Počet e-mailů zobrazený v dolní části karty Email informačního rámečku e-mailového clusteru a počet e-mailových zpráv zobrazených v Průzkumníkovi odráží e-mailové zprávy přijaté po počáteční analýze vyšetřování.

  E-mailový cluster, který zobrazuje původní množství 10 e-mailových zpráv, by proto v případě, že mezi fází analýzy šetření dorazí pět dalších e-mailových zpráv, a když správce šetření zkontroluje, zobrazí celkem 15 e-mailových zpráv. Stejně tak stará šetření můžou začít zobrazovat vyšší počty, než ukazují dotazy Průzkumníka, protože platnost dat v plánu Microsoft Defender pro Office 365 Plan 2 vyprší po sedmi dnech u zkušebních verzí a po 30 dnech u placených licencí.

  Zobrazení historických i aktuálních počtů v různých zobrazeních se provádí tak, aby bylo vidět dopad e-mailu v době šetření a aktuální dopad až do okamžiku spuštění nápravy.

• V kontextu e-mailu se může v rámci vyšetřování zobrazit hrozba anomálie objemu. Anomálie svazku značí špičku v podobných e-mailových zprávách v době šetření události v porovnání s dřívějšími časovými rámci. Špička e-mailového provozu spolu s určitými vlastnostmi (například doména předmětu a odesílatele, podobnost těla a IP adresa odesílatele) je typická pro začátek e-mailových kampaní nebo útoků. Tyto vlastnosti ale běžně sdílejí hromadné, spamové a legitimní e-mailové kampaně.

• Objemové anomálie představují potenciální hrozbu, a proto mohou být méně závažné v porovnání s malwarem nebo phishingovými hrozbami, které jsou identifikovány pomocí antivirových modulů, detonace nebo škodlivé pověsti.

• Nemusíte schvalovat každou akci. Pokud s doporučenou akcí nesouhlasíte nebo vaše organizace nevybere určité typy akcí, můžete tyto akce odmítnout nebo je jednoduše ignorovat a nic nedělat.

• Schválením nebo odmítnutím všech akcí se šetření úplně ukončí (stav se opraví), ale když některé akce zůstanou neúplné, stav šetření se změní na částečně napravený stav.

Další kroky

• Kontrola a schválení čekajících akcí