Сведения и результаты автоматизированного исследования в Microsoft 365

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Когда автоматическое исследование выполняется в Microsoft Defender для Office 365, подробные сведения об этом исследовании доступны во время и после автоматического исследования. Если у вас есть необходимые разрешения, эти сведения можно просмотреть на портале Microsoft Defender. Сведения о расследовании предоставляют вам актуальное состояние и возможность утверждать любые ожидающие действия.

Совет

Ознакомьтесь с новой страницей унифицированных исследований на портале Microsoft Defender. Дополнительные сведения см. в разделе (NEW!) Страница унифицированного исследования.

Состояние исследования

Состояние исследования указывает на ход выполнения анализа и действий. По мере выполнения исследования состояние изменяется, указывая, были ли обнаружены угрозы и были ли утверждены действия.

Состояние Описание
Пусковой Расследование было активировано и ожидает запуска.
Работает Начался и продолжается процесс расследования. Это состояние также возникает при утверждении ожидающих действий .
Угрозы не найдены Расследование завершено, и угрозы (учетная запись пользователя, сообщение электронной почты, URL-адрес или файл) не были выявлены.

СОВЕТ. Если вы подозреваете, что-то было пропущено (например, ложноотрицательный), вы можете принять меры с помощью Обозреватель угрозы.

Частично изучено Автоматическое исследование обнаружило проблемы, но не существует конкретных действий по исправлению этих проблем.

Состояние Частично изучено может возникать, если был определен какой-то тип действий пользователя, но действия по очистке недоступны. Примеры включают любые из следующих действий пользователя:

  • Событие защиты от потери данных
  • Сообщение электронной почты, отправляющего аномалию
  • Отправленная вредоносная программа
  • Отправленный фишинг

Примечание. Это состояние Частично изучено раньше помечалось как Обнаруженные угрозы.

Исследование не обнаружило вредоносных URL-адресов, файлов или сообщений электронной почты, которые нужно исправить, и никаких действий почтового ящика для исправления, таких как отключение правил переадресации или делегирования.

СОВЕТ. Если вы подозреваете, что-то было пропущено (например, ложноотрицательный), вы можете исследовать и принимать меры с помощью Обозреватель

Завершено системой Расследование остановлено. Расследование может быть остановано по нескольким причинам:
  • Срок действия, ожидающих расследования, истек. Время ожидания действий после ожидания утверждения в течение одной недели
  • Слишком много действий. Например, если слишком много пользователей щелкают вредоносные URL-адреса, это может превысить возможность исследования запускать все анализаторы, поэтому расследование останавливается.

СОВЕТ. Если расследование останавливается до выполнения действий, попробуйте использовать Обозреватель угроз для поиска и устранения угроз.
Ожидание выполнения действия В ходе расследования обнаружена угроза, например вредоносный адрес электронной почты, вредоносный URL-адрес или параметр опасного почтового ящика, а также действие по устранению этой угрозы ожидает утверждения.

Состояние ожидающего действия активируется при обнаружении любой угрозы с соответствующим действием. Однако список ожидающих действий может увеличиваться по мере выполнения исследования. Просмотрите сведения о расследовании, чтобы узнать, еще не завершены ли другие элементы.

Исправлено Исследование завершено и все действия по исправлению были утверждены (отмечено как полностью исправленное).

ПРИМЕЧАНИЕ. Утвержденные действия по исправлению могут иметь ошибки, которые препятствуют выполнению действий. Независимо от того, успешно ли выполнены действия по исправлению, состояние исследования не меняется. Просмотр сведений о расследовании.

Частично исправлено В результате исследования были приняты меры по исправлению, а некоторые из нее были утверждены и завершены. Другие действия по-прежнему находятся в ожидании.
Не удалось выполнить По крайней мере один анализатор исследования столкнулся с проблемой, из-за которой ему не удавалось правильно завершить работу.

ЗАМЕТКА Если исследование завершается ошибкой после утверждения действий по исправлению, действия по исправлению могут по-прежнему успешно выполняться. Просмотрите сведения о расследовании.

Постановка в очередь путем регулирования Расследование проводится в очереди. После завершения других исследований начинаются исследования, помещенные в очередь. Регулирование помогает избежать низкой производительности службы.

СОВЕТ. Ожидающие действия могут ограничить количество новых исследований. Не забудьте утвердить (или отклонить) ожидающие действия.

Завершено регулированием Если исследование проводится в очереди слишком долго, оно останавливается.

СОВЕТ. Вы можете начать исследование с Обозреватель угроз.

Просмотр сведений о расследовании

  1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
  2. В области навигации выберите Действия & центр уведомлений отправки>.
  3. На вкладках Ожидание или Журнал выберите действие. Откроется всплывающее окно.
  4. Во всплывающей области выберите Открыть страницу исследования.
  5. Используйте различные вкладки, чтобы узнать больше о расследовании.

Некоторые типы оповещений запускают автоматическое исследование в Microsoft 365. Дополнительные сведения см. в статье Политики оповещений, которые активируют автоматизированные исследования.

  1. Перейдите на портал Microsoft Defender (https://security.microsoft.com) и выполните вход.
  2. В области навигации выберите Центр уведомлений.
  3. На вкладках Ожидание или Журнал выберите действие. Откроется всплывающее окно.
  4. Во всплывающей области выберите Открыть страницу исследования.
  5. Перейдите на вкладку Оповещения , чтобы просмотреть список всех оповещений, связанных с этим исследованием.
  6. Выберите элемент в списке, чтобы открыть его всплывающее меню. Здесь можно просмотреть дополнительные сведения об оповещении.

Помните о следующих моментах.

  • Email количество вычисляется во время исследования, а некоторые из них пересчитываются при открытии всплывающих элементов исследования (на основе базового запроса).

  • Количество сообщений электронной почты, отображаемое для кластеров электронной почты на вкладке Email, и значение количества сообщений электронной почты, отображаемое во всплывающем меню кластера, вычисляются во время исследования и не изменяются.

  • Количество сообщений электронной почты, отображаемое в нижней части вкладки Email всплывающего меню кластера электронной почты, и количество сообщений электронной почты, отображаемых в Обозреватель отражают сообщения электронной почты, полученные после первоначального анализа исследования.

    Таким образом, в кластере электронной почты, где отображается исходное количество сообщений в 10 сообщений электронной почты, будет отображаться в общей сложности 15 сообщений электронной почты, когда между этапом анализа исследования и когда администратор проверяет расследование. Аналогичным образом, старые исследования могут показывать более высокое число, чем Обозреватель показывают запросы, так как срок действия данных в Microsoft Defender для Office 365 плане 2 истекает через семь дней для проб и через 30 дней для платных лицензий.

    Отображение как исторических, так и текущих счетчиков в разных представлениях выполняется для указания влияния электронной почты на момент исследования и текущего влияния до момента выполнения исправления.

  • В контексте электронной почты вы можете увидеть поверхность угрозы аномалий тома в рамках исследования. Аномалия тома указывает на всплеск аналогичных сообщений электронной почты по времени исследования события по сравнению с предыдущими периодами времени. Пик трафика электронной почты вместе с определенными характеристиками (например, домен субъекта и отправителя, сходство текста и IP-адрес отправителя) является типичным для начала кампаний электронной почты или атак. Однако массовые, нежелательные и допустимые кампании электронной почты обычно используют эти характеристики.

  • Аномалии томов представляют собой потенциальную угрозу и, соответственно, могут быть менее серьезными по сравнению с вредоносными программами или фишинговыми угрозами, которые выявляются с помощью антивирусных подсистем, детонации или вредоносной репутации.

  • Вам не нужно утверждать каждое действие. Если вы не согласны с рекомендуемыми действиями или ваша организация не выбирает определенные типы действий, вы можете отклонить действия или просто игнорировать их и не предпринимать никаких действий.

  • Утверждение и (или) отклонение всех действий позволяет полностью закрыть исследование (состояние становится исправленным), а некоторые действия не завершены, что приводит к изменению состояния исследования на частично исправленное состояние.

Дальнейшие действия