Microsoft 365自动调查的详细信息和结果

提示

是否知道可以在 Microsoft 365 Defender 中免费试用Office 365计划 2 中的功能? 在Microsoft 365 Defender门户试用中心使用为期 90 天的Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

适用对象

Microsoft Defender for Office 365中进行自动调查时,有关该调查的详细信息在自动调查过程中和之后提供。 如果拥有必要的权限,可以在Microsoft 365 Defender门户中查看这些详细信息。 调查详细信息提供最新的状态,以及批准任何挂起操作的能力。

提示

查看Microsoft 365 Defender门户中新的统一调查页面。 若要了解详细信息,请参阅 (NEW!) 统一调查页

调查状态

调查状态指示分析和操作的进度。 随着调查的进行,状态将发生变化,以指示是否发现了威胁,以及是否已批准操作。

状态 说明
即将开始 调查已触发并等待开始运行。
正在运行 调查过程已经开始,并且正在进行中。 批准 挂起的操作 时也会发生此状态。
未发现任何威胁 调查已完成,未识别 (用户帐户、电子邮件、URL 或文件) 的威胁。

提示:如果怀疑 (错误负) 等内容丢失,可以使用 威胁资源管理器采取措施。

发现威胁 自动调查发现了问题,但没有具体的补救措施来解决这些问题。

当标识了某种类型的用户活动,但没有可用的清理操作时,可能会出现 “已发现威胁 ”状态。 示例包括以下任一用户活动:

  • 数据丢失防护事件
  • 发送异常的电子邮件
  • 发送的恶意软件
  • 发送的网络钓鱼

调查发现,没有恶意 URL、文件或电子邮件进行修正,也没有要修复的邮箱活动,例如关闭转发规则或委派。

提示:如果怀疑丢失了某些内容 (如假负) ,则可以使用 威胁资源管理器进行调查并采取措施

由系统终止 调查停止了。 由于以下几个原因,调查可能会停止:
  • 调查的挂起操作已过期。 等待批准一周后,挂起的操作超时
  • 操作太多。 例如,如果有太多用户单击恶意 URL,可能会超过调查运行所有分析器的能力,因此调查将停止

提示:如果调查在采取行动之前停止,请尝试使用 威胁资源管理器 来查找和解决威胁。

挂起的操作 调查发现存在威胁,例如恶意电子邮件、恶意 URL 或有风险的邮箱设置,以及正在 等待批准的修正威胁的行动。

找到具有相应操作的任何威胁时,将触发 挂起操作 状态。 但是,随着调查的运行,挂起的操作列表可能会增加。 查看调查详细信息,查看其他项目是否仍在等待完成。

已修正 调查已经结束,所有补救行动都得到了批准 (指出,) 进行了全面修正。

注意:已批准的修正操作可能存在阻止执行操作的错误。 无论修正操作是否成功完成,调查状态都不会更改。 查看调查详细信息。

部分修正 调查导致采取补救措施,有些得到批准和完成。 其他操作仍 处于挂起状态
失败 至少有一个调查分析器遇到无法正确完成的问题。

注意 如果在修正操作获得批准后调查失败,则修正操作可能仍然成功。 查看调查详细信息。

按限制排队 正在队列中进行调查。 其他调查完成后,将开始排队调查。 限制有助于避免服务性能不佳。

提示:挂起的操作可以限制可以运行多少个新调查。 确保 批准 (或拒绝) 挂起的操作

通过限制终止 如果调查在队列中保存的时间过长,则会停止。

提示:可以 从威胁资源管理器开始调查

查看调查的详细信息

  1. 转到Microsoft 365 Defender门户 () https://security.microsoft.com 并登录。
  2. 在导航窗格中,选择 “操作中心”。
  3. “挂起 ”或 “历史记录 ”选项卡上,选择一个操作。 其浮出窗格随即打开。
  4. 在浮出窗格中,选择 “打开调查”页
  5. 使用各种选项卡了解有关调查的详细信息。

某些类型的警报在Microsoft 365中触发自动调查。 若要了解详细信息,请参阅 触发自动调查的警报策略

  1. 转到Microsoft 365 Defender门户 () https://security.microsoft.com 并登录。
  2. 在导航窗格中,选择 “操作中心”。
  3. “挂起 ”或 “历史记录 ”选项卡上,选择一个操作。 其浮出窗格随即打开。
  4. 在浮出窗格中,选择 “打开调查”页
  5. 选择 “警报” 选项卡可查看与该调查关联的所有警报的列表。
  6. 在列表中选择一个项目以打开其浮出窗格。 可在其中查看有关警报的详细信息。

请记住以下几点

  • 电子邮件计数是在调查时计算的,在根据基础查询) 打开调查浮出控件 (时,将重新计算一些计数。

  • 在“ 电子邮件 ”选项卡上为电子邮件群集显示的电子邮件计数和群集浮出控件上显示的电子邮件数量值是在调查时计算的,并且不会更改。

  • 电子邮件群集浮出控件的“ 电子邮件 ”选项卡底部显示的电子邮件计数和资源管理器中显示的电子邮件计数反映了调查初始分析后收到的电子邮件。

    因此,当在调查分析阶段和管理员审查调查期间又有 5 封电子邮件到达时,显示原始数量为 10 封电子邮件的电子邮件群集将显示总共 15 封电子邮件列表。 同样,旧调查可能开始显示比资源管理器查询显示的更高的计数,因为Microsoft Defender for Office 365计划 2 中的数据在试用 7 天后和付费许可证的 30 天后过期。

    在不同视图中同时显示历史计数和当前计数是为了指示调查时的电子邮件影响,以及当前影响,直到执行修正为止。

  • 在电子邮件的上下文中,你可能会看到卷异常威胁面作为调查的一部分。 卷异常表示与之前的时间范围相比,调查事件时间周围的类似电子邮件激增。 电子邮件流量激增以及某些特征 ((例如,主题和发件人域、正文相似性和发件人 IP) )是电子邮件活动或攻击开始的典型特征。 但是,批量、垃圾邮件和合法的电子邮件活动通常具有这些特征。

  • 与使用防病毒引擎、引爆或恶意信誉识别的恶意软件或网络钓鱼威胁相比,卷异常表示潜在威胁,因此可能不太严重。

  • 无需批准每个操作。 如果你不同意建议的操作,或者你的组织不选择某些类型的操作,则可以选择 拒绝 这些操作,或者只是忽略这些操作,不采取任何操作。

  • 批准和/或拒绝所有操作使调查完全关闭 (状态) 得到修正,同时使一些操作不完整,导致调查状态更改为部分修正状态。

后续步骤