Condividi tramite


Dettagli e risultati di un'indagine automatizzata in Microsoft 365

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Quando si verifica un'indagine automatizzata in Microsoft Defender per Office 365, i dettagli su tale indagine sono disponibili durante e dopo il processo di indagine automatizzato. Se si dispone delle autorizzazioni necessarie, è possibile visualizzare tali dettagli nel portale di Microsoft Defender. I dettagli dell'indagine forniscono lo stato aggiornato e la possibilità di approvare eventuali azioni in sospeso.

Consiglio

Vedere la nuova pagina di indagine unificata nel portale di Microsoft Defender. Per altre informazioni, vedere (NUOVO!) Pagina di indagine unificata.

Stato dell'indagine

Lo stato dell'indagine indica lo stato dell'analisi e delle azioni. Durante l'esecuzione dell'indagine, lo stato cambia per indicare se sono state trovate minacce e se le azioni sono state approvate.

Stato Descrizione
In avvio L'indagine è stata attivata e in attesa dell'avvio dell'esecuzione.
In esecuzione Il processo di indagine è iniziato ed è in corso. Questo stato si verifica anche quando vengono approvate azioni in sospeso .
Nessuna minaccia trovata L'indagine è stata completata e non sono state identificate minacce (account utente, messaggio di posta elettronica, URL o file).

SUGGERIMENTO: se si sospetta che si sia verificato un errore, ad esempio un falso negativo, è possibile intervenire usando Esplora minacce.

Parzialmente indagato L'indagine automatizzata ha rilevato problemi, ma non sono state eseguite azioni correttive specifiche per risolverli.

Lo stato Parzialmente analizzato può verificarsi quando è stato identificato un tipo di attività utente, ma non sono disponibili azioni di pulizia. Gli esempi includono una delle seguenti attività utente:


Nota: questo stato parzialmente analizzato usato per essere etichettato come Minacce trovate.

L'indagine non ha rilevato URL, file o messaggi di posta elettronica dannosi da correggere e nessuna attività della cassetta postale da correggere, ad esempio la disattivazione delle regole di inoltro o della delega.

SUGGERIMENTO: se si sospetta che si sia verificato un errore (ad esempio un falso negativo), è possibile analizzare e intervenire usando Esplora minacce

Terminato dal sistema L'indagine è stata interrotta. Un'indagine può arrestarsi per diversi motivi:
  • Le azioni in sospeso dell'indagine sono scadute. Timeout delle azioni in sospeso dopo l'attesa dell'approvazione per una settimana
  • Ci sono troppe azioni. Ad esempio, se ci sono troppi utenti che fanno clic su URL dannosi, può superare la capacità dell'indagine di eseguire tutti gli analizzatori, quindi l'indagine si interrompe

SUGGERIMENTO: se un'indagine si interrompe prima dell'esecuzione di azioni, provare a usare Esplora minacce per trovare e risolvere le minacce.
Azione in sospeso L'indagine ha rilevato una minaccia, ad esempio un messaggio di posta elettronica dannoso, un URL dannoso o un'impostazione di cassetta postale rischiosa e un'azione per correggere tale minaccia è in attesa di approvazione.

Lo stato Azione in sospeso viene attivato quando viene rilevata una minaccia con un'azione corrispondente. Tuttavia, l'elenco delle azioni in sospeso può aumentare durante l'esecuzione di un'indagine. Visualizzare i dettagli dell'indagine per verificare se altri elementi sono ancora in attesa di completamento.

Correzione L'indagine è stata completata e tutte le azioni correttive sono state approvate (annotate come completamente corrette).

NOTA: le azioni di correzione approvate possono avere errori che impediscono l'esecuzione delle azioni. Indipendentemente dal fatto che le azioni di correzione siano state completate correttamente, lo stato dell'indagine non cambia. Visualizzare i dettagli dell'indagine.

Correzione parziale L'indagine ha generato azioni correttive e alcune sono state approvate e completate. Altre azioni sono ancora in sospeso.
Operazione non riuscita Almeno un analizzatore di analisi ha riscontrato un problema in cui non è stato possibile completarlo correttamente.

NOTA Se un'indagine ha esito negativo dopo l'approvazione delle azioni di correzione, le azioni di correzione potrebbero avere ancora avuto esito positivo. Visualizzare i dettagli dell'indagine.

In coda per limitazione Un'indagine viene tenuta in una coda. Al termine di altre indagini, iniziano le indagini in coda. La limitazione consente di evitare prestazioni scarse del servizio.

SUGGERIMENTO: le azioni in sospeso possono limitare il numero di nuove indagini che possono essere eseguite. Assicurarsi di approvare (o rifiutare) le azioni in sospeso.

Terminato per limitazione Se un'indagine viene mantenuta nella coda troppo a lungo, si arresta.

SUGGERIMENTO: è possibile avviare un'indagine da Esplora minacce.

Visualizzare i dettagli di un'indagine

  1. Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.
  2. Nel riquadro di spostamento selezionare Azioni & invio>Centro notifiche.
  3. Nelle schede In sospeso o Cronologia selezionare un'azione. Verrà aperto il riquadro a comparsa.
  4. Nel riquadro a comparsa selezionare Apri pagina di indagine.
  5. Usare le varie schede per altre informazioni sull'indagine.

Alcuni tipi di avvisi attivano un'indagine automatizzata in Microsoft 365. Per altre informazioni, vedere Criteri di avviso che attivano indagini automatizzate.

  1. Passare al portale di Microsoft Defender (https://security.microsoft.com) e accedere.
  2. Nel riquadro di spostamento selezionare Centro notifiche.
  3. Nelle schede In sospeso o Cronologia selezionare un'azione. Verrà aperto il riquadro a comparsa.
  4. Nel riquadro a comparsa selezionare Apri pagina di indagine.
  5. Selezionare la scheda Avvisi per visualizzare un elenco di tutti gli avvisi associati a tale indagine.
  6. Selezionare un elemento nell'elenco per aprire il riquadro a comparsa. Qui è possibile visualizzare altre informazioni sull'avviso.

Tenere presenti i punti seguenti

  • Email conteggi vengono calcolati al momento dell'indagine e alcuni conteggi vengono ricalcolati quando si aprono riquadri a comparsa di indagine (basati su una query sottostante).

  • I conteggi di posta elettronica visualizzati per i cluster di posta elettronica nella scheda Email e il valore della quantità di posta elettronica visualizzato nel riquadro a comparsa del cluster vengono calcolati al momento dell'analisi e non cambiano.

  • Il conteggio dei messaggi di posta elettronica visualizzato nella parte inferiore della scheda Email del riquadro a comparsa del cluster di posta elettronica e il conteggio dei messaggi di posta elettronica visualizzati in Explorer riflettono i messaggi di posta elettronica ricevuti dopo l'analisi iniziale dell'indagine.

    Di conseguenza, un cluster di posta elettronica che mostra una quantità originale di 10 messaggi di posta elettronica mostrerebbe un totale di 15 messaggi di posta elettronica quando altri cinque messaggi di posta elettronica arrivano tra la fase di analisi dell'analisi e quando l'amministratore esamina l'indagine. Analogamente, le indagini precedenti potrebbero iniziare a mostrare conteggi più elevati rispetto alle query di Explorer, perché i dati in Microsoft Defender per Office 365 piano 2 scadono dopo sette giorni per le versioni di valutazione e dopo 30 giorni per le licenze a pagamento.

    La visualizzazione dei conteggi cronologici e correnti in visualizzazioni diverse viene eseguita per indicare l'impatto della posta elettronica al momento dell'indagine e l'impatto corrente fino al momento in cui viene eseguita la correzione.

  • Nel contesto del messaggio di posta elettronica, è possibile che venga visualizzata una superficie di minaccia delle anomalie del volume come parte dell'indagine. Un'anomalia del volume indica un picco di messaggi di posta elettronica simili intorno al tempo dell'evento di indagine rispetto agli intervalli di tempo precedenti. Un picco nel traffico di posta elettronica insieme a determinate caratteristiche (ad esempio, dominio soggetto e mittente, somiglianza del corpo e IP del mittente) è tipico dell'inizio di campagne di posta elettronica o attacchi. Tuttavia, le campagne di posta elettronica in blocco, spam e legittime condividono in genere queste caratteristiche.

  • Le anomalie del volume rappresentano una potenziale minaccia e di conseguenza potrebbero essere meno gravi rispetto a minacce di malware o phishing identificate tramite motori antivirus, detonazione o reputazione dannosa.

  • Non è necessario approvare ogni azione. Se non si è d'accordo con l'azione consigliata o l'organizzazione non sceglie determinati tipi di azioni, è possibile scegliere di rifiutare le azioni o semplicemente ignorarle e non intraprendere alcuna azione.

  • L'approvazione e/o il rifiuto di tutte le azioni consentono di chiudere completamente l'indagine (lo stato viene corretto), lasciando alcune azioni incomplete, con lo stato dell'indagine che passa a uno stato parzialmente corretto.

Passaggi successivi