Del via


Detaljer og resultater fra en automatisert undersøkelse

Gjelder for:

  • Microsoft Defender XDR

Med Microsoft Defender XDR, når en automatisert undersøkelse kjører, er detaljer om denne undersøkelsen tilgjengelig både under og etter den automatiserte undersøkelsesprosessen. Hvis du har de nødvendige tillatelsene, kan du vise disse detaljene i en undersøkelsesdetaljervisning som gir deg oppdatert status og muligheten til å godkjenne eventuelle ventende handlinger.

(NY) Side for enhetlig undersøkelse

Undersøkelsessiden er nylig oppdatert for å inkludere informasjon på tvers av enheter, e-post og samarbeidsinnhold. Den nye, enhetlige undersøkelsessiden definerer et felles språk og gir en enhetlig opplevelse for automatiske undersøkelser på tvers av Microsoft Defender for endepunkt og Microsoft Defender for Office 365. Hvis du vil ha tilgang til siden for enhetlig undersøkelse, velger du koblingen i det gule banneret du ser på:

Åpne visningen for undersøkelsesdetaljer

Du kan åpne detaljvisningen for undersøkelser ved hjelp av én av følgende metoder:

Velg et element i handlingssenteret

Det forbedrede handlingssenteret (https://security.microsoft.com/action-center) samler utbedringshandlinger på tvers av enhetene dine, e-post & samarbeidsinnhold og identiteter. Oppførte handlinger inkluderer utbedringshandlinger som ble utført automatisk eller manuelt. I handlingssenteret kan du vise handlinger som venter på godkjenning og handlinger som allerede er godkjent eller fullført. Du kan også gå til flere detaljer, for eksempel en undersøkelsesside.

Tips

Du må ha bestemte tillatelser til å godkjenne, avvise eller angre handlinger.

  1. Gå til Microsoft Defender portalen, og logg på.

  2. Velg Handlingssenter i navigasjonsruten.

  3. Velg et element på fanen Venter eller Logg . Undermenyruten åpnes.

  4. Se gjennom informasjonen i undermenyruten, og gjør deretter ett av følgende:

    • Velg Åpne undersøkelse-siden for å vise flere detaljer om undersøkelsen.
    • Velg Godkjenn for å starte en ventende handling.
    • Velg Avvis for å hindre at en ventende handling utføres.
    • Velg Gå jakten for å gå inn avansert jakt.

Åpne en undersøkelse fra en side med hendelsesdetaljer

Bruk en side med hendelsesdetaljer til å vise detaljert informasjon om en hendelse, inkludert varsler som ble utløst informasjon om berørte enheter, brukerkontoer eller postbokser.

  1. Gå til Microsoft Defender portalen, og logg på.

  2. Velg Hendelser & varsler hendelser> i navigasjonsruten.

  3. Velg et element i listen, og velg deretter Åpne hendelsesside.

  4. Velg Fanen Undersøkelser , og velg deretter en undersøkelse i listen. Undermenyruten åpnes.

  5. Velg Åpne undersøkelsesside.

Her er et eksempel.

Undersøkelsessiden i Microsoft Defender-portalen

Undersøkelsesdetaljer

Bruk detaljvisningen for undersøkelser til å se tidligere, gjeldende og ventende aktivitet knyttet til en undersøkelse. Her er et eksempel.

Undersøkelsesdetaljsiden i Microsoft Defender-portalen

I detaljvisningen undersøkelse kan du se informasjon på fanene Undersøkelsesgraf, Varsler, Enheter, Identiteter, Viktige funn, Enheter, Logg og Ventende handlinger, som er beskrevet i tabellen nedenfor.

Obs!

De spesifikke fanene du ser på en undersøkelsesdetaljside, avhenger av hva abonnementet omfatter. Hvis abonnementet for eksempel ikke inneholder Microsoft Defender for Office 365 Plan 2, ser du ikke fanen Postbokser.

Tab Beskrivelse
Undersøkelsesgraf Gir en visuell fremstilling av undersøkelsen. Viser enheter og lister opp trusler funnet, sammen med varsler og om noen handlinger venter på godkjenning.
Du kan velge et element i grafen for å vise flere detaljer. Hvis du for eksempel velger Bevis-ikonet , kommer du til Bevis-fanen , der du kan se oppdagede enheter og deres dommer.
Varsler Lister varsler knyttet til etterforskningen. Varsler kan komme fra trusselbeskyttelsesfunksjoner på en brukers enhet, i Office-apper, Microsoft Defender for Cloud Apps og andre Microsoft Defender XDR funksjoner.

Hvis du ser varslingstypen Som ikke støttes, betyr det at automatiserte undersøkelsesfunksjoner ikke kan hente varselet for å kjøre en automatisert undersøkelse. Du kan imidlertid undersøke disse varslene manuelt.
Enheter Lister enheter som er inkludert i undersøkelsen sammen med utbedringsnivået. (Utbedringsnivåer tilsvarer automatiseringsnivået for enhetsgrupper.)
Postbokser Lister postbokser som påvirkes av oppdagede trusler.
Brukere Lister brukerkontoer som påvirkes av oppdagede trusler.
Bevis Lister bevis som er reist av varsler eller undersøkelser. Inkluderer dommer (ondsinnede, mistenkelige, ukjente eller ingen trusler funnet) og utbedringsstatus.
Enheter Gir detaljer om hver analyserte enhet, inkludert en dom for hver enhetstype (Ondsinnet, Mistenkelig eller Ingen trusler funnet).
Logge Gir en kronologisk, detaljert visning av alle undersøkelseshandlingene som ble utført etter at et varsel ble utløst.
Logg for ventende handlinger Lister elementer som krever godkjenning for å fortsette. Gå til handlingssenteret (https://security.microsoft.com/action-center) for å godkjenne ventende handlinger.

Undersøkelsesstatuser

Tabellen nedenfor viser undersøkelsestilstander og hva de angir.

Undersøkelsestilstand Definisjon
Godartet Artefakter ble undersøkt og det ble bestemt at det ikke ble funnet noen trusler.
PendingResource En automatisert undersøkelse stanses midlertidig fordi en utbedringshandling venter på godkjenning, eller enheten der en artefakt ble funnet, er midlertidig utilgjengelig.
Ikke støttetAlertType En automatisert undersøkelse er ikke tilgjengelig for denne typen varsel. Videre undersøkelser kan gjøres manuelt ved hjelp av avansert jakt.
Mislyktes Minst én undersøkelsesanalyse støtte på et problem der den ikke kunne fullføre undersøkelsen. Hvis en undersøkelse mislykkes etter at utbedringshandlingene ble godkjent, kan utbedringshandlingene fortsatt ha lyktes.
Utbedret En automatisert undersøkelse er fullført, og alle utbedringshandlinger ble fullført eller godkjent.

Hvis du vil gi mer kontekst om hvordan undersøkelsestilstander vises, viser tabellen nedenfor varsler og tilsvarende automatisert undersøkelsestilstand. Denne tabellen er inkludert som et eksempel på hva en sikkerhetsoperasjonsgruppe kan se i Microsoft Defender-portalen.

Varselnavn Alvorlighetsgraden Undersøkelsestilstand Status Kategori
Skadelig programvare ble oppdaget i en wim-diskbildefil Informativ Godartet Løst Malware
Skadelig programvare ble oppdaget i en rar-arkivfil Informativ PendingResource Nye Malware
Skadelig programvare ble oppdaget i en rar-arkivfil Informativ Ikke støttetAlertType Nye Malware
Skadelig programvare ble oppdaget i en rar-arkivfil Informativ Ikke støttetAlertType Nye Malware
Skadelig programvare ble oppdaget i en rar-arkivfil Informativ Ikke støttetAlertType Nye Malware
Skadelig programvare ble oppdaget i en ZIP-arkivfil Informativ PendingResource Nye Malware
Skadelig programvare ble oppdaget i en ZIP-arkivfil Informativ PendingResource Nye Malware
Skadelig programvare ble oppdaget i en ZIP-arkivfil Informativ PendingResource Nye Malware
Skadelig programvare ble oppdaget i en ZIP-arkivfil Informativ PendingResource Nye Malware
Wpakill hacktool ble forhindret Lav Mislyktes Nye Malware
GendowsBatch hacktool ble forhindret Lav Mislyktes Nye Malware
Keygen hacktool ble forhindret Lav Mislyktes Nye Malware
Skadelig programvare ble oppdaget i en ZIP-arkivfil Informativ PendingResource Nye Malware
Skadelig programvare ble oppdaget i en rar-arkivfil Informativ PendingResource Nye Malware
Skadelig programvare ble oppdaget i en rar-arkivfil Informativ PendingResource Nye Malware
Skadelig programvare ble oppdaget i en ZIP-arkivfil Informativ PendingResource Nye Malware
Skadelig programvare ble oppdaget i en rar-arkivfil Informativ PendingResource Nye Malware
Skadelig programvare ble oppdaget i en rar-arkivfil Informativ PendingResource Nye Malware
Skadelig programvare ble oppdaget i en iso-platebildefil Informativ PendingResource Nye Malware
Skadelig programvare ble oppdaget i en iso-platebildefil Informativ PendingResource Nye Malware
Skadelig programvare ble oppdaget i en pst Outlook-datafil Informativ Ikke støttetAlertType Nye Malware
Skadelig programvare ble oppdaget i en pst Outlook-datafil Informativ Ikke støttetAlertType Nye Malware
MediaGet oppdaget Middels Delvisinvestert Nye Malware
TrojanEmailFile Middels Vellykket utbedring Løst Malware
CustomEnterpriseBlock-skadelig programvare ble forhindret Informativ Vellykket utbedring Løst Malware
En aktiv CustomEnterpriseBlock-skadelig programvare ble blokkert Lav Vellykket utbedring Løst Malware
En aktiv CustomEnterpriseBlock-skadelig programvare ble blokkert Lav Vellykket utbedring Løst Malware
En aktiv CustomEnterpriseBlock-skadelig programvare ble blokkert Lav Vellykket utbedring Løst Malware
TrojanEmailFile Middels Godartet Løst Malware
CustomEnterpriseBlock-skadelig programvare ble forhindret Informativ Ikke støttetAlertType Nye Malware
CustomEnterpriseBlock-skadelig programvare ble forhindret Informativ Vellykket utbedring Løst Malware
TrojanEmailFile Middels Vellykket utbedring Løst Malware
TrojanEmailFile Middels Godartet Løst Malware
En aktiv CustomEnterpriseBlock-skadelig programvare ble blokkert Lav PendingResource Nye Malware

Neste trinn

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.