Information och resultat från en automatiserad undersökning i Microsoft 365

Gäller för

När en automatiserad undersökning sker i Microsoft Defenderför Office 365 , finns det information om undersökningen tillgänglig under och efter den automatiska undersökningen. Om du har den behörighet som krävs kan du visa den informationen i Microsoft 365 Defender portalen. Undersökningsinformation ger dig aktuell status och möjlighet att godkänna eventuella väntande åtgärder.

Tips

Ta en titta på den nya, enhetliga undersökningssidan i Microsoft 365 Defender portalen. Mer information finns i (NYTT!) Sida för enhetlig undersökning.

Undersökningsstatus

Undersökningsstatusen anger förloppet för analysen och åtgärderna. När undersökningen körs ändras statusändringar för att ange om hot hittades och om åtgärder har godkänts.



Status Beskrivning
Startar Undersökningen har utlösts och väntar på att starta.
Körs Undersökningsprocessen har startat och pågår. Det här tillståndet inträffar även när väntande åtgärder har godkänts.
Inga hot hittades Undersökningen har slutförts och inga hot (användarkonto, e-postmeddelande, URL eller fil) har identifierats.

TIPS: Om du misstänker att något har missats (t.ex. falskt negativa) kan du vidta åtgärder med hjälp av Hotutforskaren.

Hot hittades Den automatiska undersökningen hittade problem, men det finns inga specifika åtgärdsåtgärder för att lösa problemen.

Statusen Hot hittades kan uppstå när någon typ av användaraktivitet har identifierats men inga rensningsåtgärder är tillgängliga. Några exempel är några av följande användaraktiviteter:

Undersökningen hittade inga skadliga URL:er, filer eller e-postmeddelanden för att åtgärda och ingen postlådeaktivitet för att åtgärda, till exempel inaktivera regler för vidarebefordran eller delegering.

TIPS: Om du misstänker att något har missats (t.ex. falskt negativa) kan du undersöka och vidta åtgärder med hjälp av Hotutforskaren

Avslutas av system Undersökningen har stoppats. En undersökning kan avbrytas av flera orsaker:
  • Undersökningens väntande åtgärder har upphört att gälla. Väntande åtgärder time out efter att väntar på godkännande för en vecka
  • Det finns för många åtgärder. Om till exempel för många användare klickar på skadliga URL:er kan det överskrida undersökningens möjlighet att köra alla analysverktyg, så undersökningen pausar

TIPS: Om en undersökning stannar innan åtgärder vidtas kan du använda Hotutforskaren för att hitta och åtgärda hot.

Väntande åtgärd Undersökningen har hittat ett hot, till exempel en skadlig e-post, en skadlig URL-adress eller en riskabel postlåda samt en åtgärd för att åtgärda att hoten väntar på godkännande.

Statusen Väntande åtgärd utlöses när ett hot med en motsvarande åtgärd hittas. Listan med väntande åtgärder kan dock öka i och med att en undersökning körs. Visa undersökningsinformation för att se om andra objekt fortfarande är slutförda.

Åtgärdat Undersökningen slutfördes och alla åtgärder godkänts (antecknas som helt åtgärdade).

Obs! Godkända åtgärdsåtgärder kan ha fel som hindrar att åtgärderna vidtas. Oavsett om åtgärdsåtgärder slutförs ändras inte undersökningsstatusen. Visa undersökningsinformation.

Delvis åtgärdat Undersökningen resulterade i åtgärder och vissa godkänts och slutförts. Andra åtgärder väntar fortfarande.
Misslyckades Minst en undersökningsanalys körde ett problem där det inte gick att slutföra korrekt.

OBS! Om en undersökning misslyckas efter att åtgärder har godkänts kan det hända att åtgärdsåtgärderna fortfarande har godkänts. Visa undersökningsuppgifterna.

I kö efter begränsning En undersökning görs i en kö. När andra undersökningar är klara påbörjas undersökningar i kö. Begränsning hjälper till att undvika dålig tjänstprestanda.

TIPS: Väntande åtgärder kan begränsa hur många nya undersökningar som kan köras. Godkänn (eller avvisa) väntande åtgärder.

Avslutas av begränsning Om en undersökning hålls i kön för länge stoppas den.

TIPS: Du kan starta en undersökning från Hotutforskaren.

Visa information om en undersökning

  1. Gå till Microsoft 365 Defender ( https://security.microsoft.com ) och logga in.
  2. Välj Åtgärdscenter i navigeringsfönstret.
  3. Välj en åtgärd på flikarna Väntande eller Historik. Den utfällna rutan öppnas.
  4. Välj Öppna undersökningssida i den utfällfällade fönsterrutan.
  5. Använd de olika flikarna om du vill veta mer om undersökningen.

Vissa typer av aviseringar utlöser automatisk undersökning i Microsoft 365. Mer information finns i aviseringsprinciper som utlöser automatiska undersökningar.

  1. Gå till Microsoft 365 Defender ( https://security.microsoft.com ) och logga in.
  2. Välj Åtgärdscenter i navigeringsfönstret.
  3. Välj en åtgärd på flikarna Väntande eller Historik. Den utfällna rutan öppnas.
  4. Välj Öppna undersökningssida i den utfällfällade fönsterrutan.
  5. Välj fliken Aviseringar om du vill visa en lista över alla aviseringar som är associerade med undersökningen.
  6. Markera ett objekt i listan för att öppna det utfällade fönstret. Där kan du visa mer information om aviseringen.

Tänk på följande

  • E-posträkning beräknas vid tidpunkten för undersökningen och vissa antal beräknas om när du öppnar utfällpunkter för undersökning (baserat på en underliggande fråga).

  • E-postantalen som visas för e-postkluster på fliken E-post och värdet för e-postantal som visas på den utfällna bilden i ett kluster beräknas vid undersökning, och ändras inte.

  • Antalet e-postmeddelanden som visas längst ned på fliken E-post i e-postkluster som visas och antalet e-postmeddelanden som visas i Utforskaren speglar e-postmeddelanden som tagits emot efter undersökningens första analys.

    Ett e-postkluster som visar den ursprungliga mängden 10 e-postmeddelanden skulle alltså visa en e-postlista på totalt 15 när ytterligare fem e-postmeddelanden kommer mellan undersökningsanalysfasen och när administratören granskar undersökningen. På samma sätt kan gamla undersökningar börja visa högre antal än vad Frågorna i Utforskaren visar, eftersom data i Microsoft Defender för Office 365 abonnemang 2 förfaller efter sju dagar för provperioder och efter 30 dagar för betalda licenser.

    Både antal historiska och aktuella antal i olika vyer utförs för att ange e-post påverkan vid undersökningsstiden och den aktuella påverkan fram till den tidpunkt då reparationen körs.

  • Inom ramen för e-post kan det hända att du ser en volymnormnormy för hotytan inom ramen för undersökningen. En volymnorma tyder på en ökning av liknande e-postmeddelanden kring undersökningens händelsetid jämfört med tidigare tidsramar. En insamling av e-posttrafik tillsammans med vissa egenskaper (till exempel ämnes- och avsändardomän, body similarity och sender IP) är typiskt för starten av e-postkampanjer eller attacker. Mass-, skräppost- och legitima e-postkampanjer delar emellertid ofta dessa egenskaper.

  • Volymerna är ett potentiellt hot och kan i enlighet med detta vara mindre allvarligt jämfört med skadlig kod eller phish-hot som identifieras med hjälp av antivirusmotorer, detonation eller skadligt rykte.

  • Du behöver inte godkänna alla åtgärder. Om du inte godkänner den rekommenderade åtgärden eller din organisation inte väljer vissa typer av åtgärder kan du välja att Avvisa åtgärderna eller helt enkelt ignorera dem och inte vidta någon åtgärd.

  • Om du godkänner och/eller ignorerar alla åtgärder kan undersökningen stängas helt (status åtgärdas), medan vissa åtgärder inte är slutförda eftersom undersökningsstatusen ändras till en delvis åtgärdad status.

Nästa steg