Detaljer og resultater af en automatiseret undersøgelse i Microsoft 365

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender XDR til Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde sig og om prøvevilkår her.

Når der forekommer en automatiseret undersøgelse i Microsoft Defender for Office 365, er oplysninger om undersøgelsen tilgængelige under og efter den automatiserede undersøgelsesproces. Hvis du har de nødvendige tilladelser, kan du få vist disse oplysninger på Microsoft Defender-portalen. Undersøgelsesdetaljer giver dig opdateret status og mulighed for at godkende eventuelle ventende handlinger.

Tip

Se den nye, samlede undersøgelsesside på portalen Microsoft Defender. Du kan få mere at vide under (NY!) Unified Investigation-side.

Undersøgelsesstatus

Undersøgelsesstatussen angiver status for analysen og handlingerne. I takt med at undersøgelsen kører, ændres status for at angive, om der blev fundet trusler, og om handlinger er blevet godkendt.

Status	Beskrivelse
Start	Undersøgelsen er blevet udløst og venter på at begynde at køre.
Kører	Undersøgelsesprocessen er startet og er i gang. Denne tilstand forekommer også, når ventende handlinger godkendes.
Der blev ikke fundet nogen trusler	Undersøgelsen er afsluttet, og der blev ikke identificeret nogen trusler (brugerkonto, mail, URL-adresse eller fil). TIP! Hvis du har mistanke om, at noget blev overset (f.eks. et falsk negativt), kan du udføre handlinger ved hjælp af Threat Explorer.
Delvist undersøgt	Den automatiserede undersøgelse fandt problemer, men der er ingen specifikke afhjælpningshandlinger til at løse disse problemer. Status for Delvist undersøgt kan forekomme, når en eller anden type brugeraktivitet blev identificeret, men ingen oprydningshandlinger er tilgængelige. Eksempler omfatter en af følgende brugeraktiviteter: En hændelse til forebyggelse af datatab En mail, der sender uregelmæssigheder Sendt malware Sendt phish Bemærk! Denne delvist undersøgte status, der bruges til at blive mærket som Fundne trusler. Undersøgelsen fandt ingen skadelige URL-adresser, filer eller mailmeddelelser, der skal afhjælpes, og ingen postkasseaktivitet at løse, f.eks. deaktivering af regler for videresendelse eller delegering. Tip: Hvis du har mistanke om, at noget blev overset (f.eks. et falsk negativt), kan du undersøge og udføre handlinger ved hjælp af Threat Explorer
Afbrudt af systemet	Undersøgelsen stoppede. En undersøgelse kan stoppe af flere årsager: Undersøgelsens ventende handlinger er udløbet. Ventende handlinger får timeout, efter at der er ventet på godkendelse i en uge Der er for mange handlinger. Hvis der f.eks. er for mange brugere, der klikker på skadelige URL-adresser, kan det overskride undersøgelsens mulighed for at køre alle analyserne, så undersøgelsen stopper TIP! Hvis en undersøgelse stopper, før der blev udført handlinger, kan du prøve at bruge Threat Explorer til at finde og håndtere trusler.
Ventende handling	Undersøgelsen har fundet en trussel, f.eks. en skadelig mail, en skadelig URL-adresse eller en risikofuld postkasseindstilling og en handling til at afhjælpe denne trussel, der afventer godkendelse. Tilstanden Ventende handling udløses, når der findes en trussel med en tilsvarende handling. Listen over ventende handlinger kan dog øges, når en undersøgelse køres. Vis undersøgelsesdetaljer for at se, om andre elementer stadig afventer fuldførelse.
Afhjælpet	Undersøgelsen blev afsluttet, og alle afhjælpningsforanstaltninger blev godkendt (noterede sig, at de var fuldt afhjælpede). BEMÆRK! Godkendte afhjælpningshandlinger kan have fejl, der forhindrer, at handlingerne udføres. Uanset om afhjælpningshandlinger er fuldført, ændres undersøgelsesstatussen ikke. Vis undersøgelsesdetaljer.
Delvist afhjælpet	Undersøgelsen resulterede i afhjælpende foranstaltninger, og nogle blev godkendt og afsluttet. Andre handlinger afventer stadig.
Mislykkedes	Mindst én undersøgelsesanalyse stødte på et problem, hvor det ikke kunne fuldføres korrekt. BEMÆRK Hvis en undersøgelse mislykkes, efter at afhjælpningshandlinger blev godkendt, kan afhjælpningshandlingerne stadig være lykkedes. Få vist oplysninger om undersøgelsen.
Sat i kø af begrænsning	En undersøgelse tilbageholdes i en kø. Når andre undersøgelser er fuldført, startes efterforskninger i kø. Begrænsning hjælper med at undgå dårlig tjenesteydeevne. TIP! Ventende handlinger kan begrænse, hvor mange nye undersøgelser der kan køre. Sørg for at godkende (eller afvise) ventende handlinger.
Afbrudt af begrænsning	Hvis en undersøgelse opbevares i køen for længe, stopper den. Tip: Du kan starte en undersøgelse fra Threat Explorer.

Få vist detaljer om en undersøgelse

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.
2. Vælg Handlinger & indsendelser>Løsningscenter i navigationsruden.
3. Vælg en handling under fanerne Ventende eller Oversigt . Dens pop op-rude åbnes.
4. Vælg Åbn undersøgelsesside i pop op-ruden.
5. Brug de forskellige faner til at få mere at vide om undersøgelsen.

Få vist oplysninger om en besked, der er relateret til en undersøgelse

Visse typer beskeder udløser en automatisk undersøgelse i Microsoft 365. Du kan få mere at vide under Vigtige politikker, der udløser automatiserede undersøgelser.

1. Gå til Microsoft Defender-portalen (https://security.microsoft.com), og log på.
2. Vælg Løsningscenter i navigationsruden.
3. Vælg en handling under fanerne Ventende eller Oversigt . Dens pop op-rude åbnes.
4. Vælg Åbn undersøgelsesside i pop op-ruden.
5. Vælg fanen Beskeder for at få vist en liste over alle de beskeder, der er knyttet til undersøgelsen.
6. Vælg et element på listen for at åbne dets pop op-rude. Der kan du få vist flere oplysninger om beskeden.

Vær opmærksom på følgende punkter

• Antallet af mails beregnes på tidspunktet for undersøgelsen, og nogle optællinger genberegnes, når du åbner undersøgelses-pop op-vinduet (baseret på en underliggende forespørgsel).

• De mailantal, der vises for mailklynger under fanen Mail og den værdi for mailantal, der vises på klyngens pop op-vindue, beregnes på undersøgelsestidspunktet og ændres ikke.

• Det antal mails, der vises nederst på fanen Mail i pop op-vinduet Mailklynge, og antallet af mails, der vises i Stifinder, afspejler de mails, der er modtaget efter undersøgelsens indledende analyse.

  En mailklynge, der viser en oprindelig mængde på 10 mails, viser således en mailliste på i alt 15, når der modtages fem mails mere mellem undersøgelsesanalysefasen, og når administratoren gennemgår undersøgelsen. På samme måde kan gamle undersøgelser begynde at vise højere antal, end Explorer-forespørgsler viser, fordi data i Microsoft Defender for Office 365 Plan 2 udløber efter syv dage for prøveversioner og efter 30 dage for betalte licenser.

  Der vises både antal historiske og aktuelle optællinger i forskellige visninger for at angive mailpåvirkningen på undersøgelsestidspunktet og den aktuelle indvirkning indtil det tidspunkt, hvor afhjælpningen køres.

• I forbindelse med mail kan du få vist en trusselsoverflade for uregelmæssigheder i volumen som en del af undersøgelsen. En uregelmæssighed i mængden angiver en stigning i lignende mails omkring undersøgelseshændelsens tid sammenlignet med tidligere tidsrammer. En stigning i mailtrafikken sammen med visse egenskaber (f.eks. emne- og afsenderdomæne, kropslighed og afsender-IP) er typisk for starten af mailkampagner eller angreb. Massekampagner, spam og legitime mailkampagner deler dog ofte disse egenskaber.

• Volumenuregelmæssigheder repræsenterer en potentiel trussel og kan derfor være mindre alvorlige sammenlignet med malware- eller phishtrusler, der identificeres ved hjælp af antivirusprogrammer, detonation eller ondsindet omdømme.

• Du behøver ikke at godkende alle handlinger. Hvis du ikke er enig i den anbefalede handling, eller hvis din organisation ikke vælger bestemte typer handlinger, kan du vælge at afvise handlingerne eller blot ignorere dem og ikke foretage dig noget.

• Godkendelse og/eller afvisning af alle handlinger gør det muligt at lukke undersøgelsen fuldt ud (status bliver afhjælpet), mens nogle handlinger er ufuldstændige, hvilket medfører, at undersøgelsesstatussen ændres til en delvist afhjælpet tilstand.

Næste trin

• Gennemse og godkend ventende handlinger