Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Important
По состоянию на 1 сентября 2026 года автоматизированное расследование и реагирование (AIR) больше не будет выполняться как отдельный процесс расследования и не будет доступно для запуска вручную в оповещениях и средствах исправления Microsoft Defender для конечной точки.
- Возможности обнаружения и реагирования AIR для Defender для конечной точки уже включены в стек антивирусной защиты по умолчанию Microsoft Defender для конечной точки и выполняются автоматически. Для расследований по запросу выполните полную антивирусную проверку по мере необходимости.
- Это изменение применяется только к Microsoft Defender для конечной точки. Возможности AIR для Defender для Office 365 остаются доступными.
При использовании Microsoft Defender XDR, когда выполняется автоматическое исследование, сведения об этом исследовании становятся доступными как во время, так и после процесса автоматического исследования. Если у вас есть необходимые разрешения, вы можете просмотреть эти сведения в представлении сведений о расследовании, которое предоставляет вам актуальное состояние и возможность утверждать любые ожидающие действия.
Страница унифицированного исследования
Страница исследования содержит сведения об устройствах, сообщениях электронной почты и содержимом для совместной работы. Единая страница расследований задает общий язык и обеспечивает единый интерфейс для автоматических расследований в Microsoft Defender для конечной точки и Microsoft Defender для Office 365. Чтобы перейти на страницу унифицированного расследования, нажмите ссылку на жёлтом баннере, который появится на:
- Любая страница исследования на портале Microsoft Purview
- Любая страница исследования на портале Microsoft Defender (https://security.microsoft.com)
- Любой инцидент или компонент «Центр уведомлений» в портале Microsoft Defender
Откройте представление сведений о расследовании
Чтобы открыть представление со сведениями об исследовании, можно использовать один из указанных ниже способов.
Выберите элемент в центре уведомлений
Центр действий (https://security.microsoft.com/action-center) объединяет меры по устранению для ваших устройств, электронной почты и материалов для совместной работы, а также учетных записей. Перечисленные действия включают действия по исправлению, выполненные автоматически или вручную. В центре уведомлений можно просмотреть действия, ожидающие утверждения, и действия, которые уже утверждены или выполнены. Вы также можете перейти к дополнительным сведениям, например, к странице исследования.
Совет
Для утверждения, отклонения или отмены действий необходимо иметь определенные разрешения .
Перейдите на портал Microsoft Defender и выполните вход.
В панели навигации щелкните Центр уведомлений.
На вкладке Ожидающие или История выберите элемент. Откроется всплывающее окно.
Просмотрите сведения во всплывающей области и выполните одно из следующих действий:
- Выберите Открыть страницу исследования, чтобы просмотреть дополнительные сведения об исследовании.
- Выберите Утвердить чтобы инициировать ожидающие действия.
- Выберите Отклонить, чтобы предотвратить выполнение ожидающего действия.
- Выберите Перейти к охоте , чтобы перейти к разделу Расширенная охота.
Откройте расследование на странице инцидента
Используйте страницу инцидента, чтобы просматривать подробные сведения об инциденте, включая созданные оповещения, а также сведения о затронутых устройствах, учетных записях пользователей или почтовых ящиках.
Перейдите на портал Microsoft Defender и выполните вход.
В области навигации выберите Инциденты и оповещения>Инциденты.
Выберите элемент в списке, а затем выберите Открыть страницу инцидента.
Выберите вкладку Исследования, а затем выберите исследование в списке. Откроется всплывающее окно.
Выберите Открыть страницу исследования.
Сведения об исследовании
Используйте представление сведений о расследовании, чтобы просматривать прошлую, текущую и запланированную активность в рамках расследования. Ниже приведен пример.
В представлении «Сведения о расследовании» можно просмотреть информацию на вкладках «Граф расследования», «Оповещения», «Почтовые ящики», «Устройства», «Пользователи», «Доказательства», «Сущности», «Журнал» и «Ожидающие действия», описанных в следующей таблице.
Примечание.
Конкретные вкладки, которые вы видите на странице сведений об исследовании, зависят от того, что включает ваша подписка. Например, если ваша подписка не содержит Microsoft Defender для Office 365 плана 2, вкладка Почтовые ящики не отображается.
| Вкладка | Описание |
|---|---|
| Граф исследования | Визуальное представление исследования. Описывает сущности и перечисляет обнаруженные угрозы, содержит оповещения и указывает на наличие действий, ожидающих утверждения. Вы можете выбрать элемент на графике, чтобы просмотреть более подробные сведения. Например, если щелкнуть значок Доказательства , вы перейдете на вкладку Доказательства , где можно просмотреть обнаруженные сущности и их вердикты. |
| Оповещения | Содержит список оповещений, связанных с исследованием. Оповещения могут поступать от функций защиты от угроз на устройстве пользователя, в приложениях Office, Microsoft Defender for Cloud Apps и других Microsoft Defender XDR функциях. Если вы видите сообщение Неподдерживаемый тип оповещения, это означает, что средства автоматизированного расследования не могут обработать это оповещение для запуска автоматизированного расследования. Однако эти оповещения можно исследовать вручную. |
| Устройства | Перечисляет устройства, включенные в исследование, а также уровень их исправления. (Уровни исправления соответствуют уровню автоматизации для групп устройств.) |
| Почтовые ящики | Список почтовых ящиков, на которые влияют обнаруженные угрозы. |
| пользователи; | Список учетных записей пользователей, на которые влияют обнаруженные угрозы. |
| Свидетельство | Перечисляет свидетельства, обнаруженные в результате оповещений или расследований. Включает решения (Вредоносные, Подозрительные, Неизвестные или Угрозы не найдены) и состояние устранения. |
| Entities | Содержит подробные сведения о каждом анализируемом объекте, включая решение для каждого типа сущности (Вредоносные, Подозрительные или Угрозы не найдены). |
| Log | Предоставляет подробное представление обо всех действиях по исследованию, предпринятых после срабатывания предупреждения, в хронологическом порядке. |
| История ожидающих действий | Содержит список элементов, требующих утверждения для продолжения. Перейдите в Центр действий (https://security.microsoft.com/action-center), чтобы утвердить действия, ожидающие подтверждения. |
Состояния расследования
В следующей таблице перечислены состояния исследования и то, что они указывают.
| Состояние исследования | Определение |
|---|---|
| Доброкачественный | Артефакты были проанализированы, и был сделан вывод, что угроз не обнаружено. |
| PendingResource | Автоматическое исследование приостанавливается, так как действие исправления ожидает утверждения или устройство, на котором обнаружен артефакт, временно недоступно. |
| Неподдерживаемый тип предупреждения | Автоматическое исследование для этого типа оповещений недоступно. Дальнейшее исследование можно выполнить вручную с помощью расширенной охоты. |
| Сбой | По крайней мере один анализатор исследования столкнулся с проблемой, из-за которой ему не удалось завершить расследование. Если после утверждения действий по исправлению проверка не выполняется, сами действия по исправлению всё же могли быть успешно выполнены. |
| Исправлено успешно | Завершено автоматическое исследование, и все действия по исправлению были завершены или утверждены. |
Чтобы дать более полное представление о том, как отображаются состояния расследования, в следующей таблице перечислены оповещения и их соответствующие состояния автоматизированного расследования. Эта таблица включена в качестве примера того, что команда по операциям безопасности может увидеть на портале Microsoft Defender.
| Имя оповещения | Серьёзность | Состояние исследования | Состояние | Категория |
|---|---|---|---|---|
| Обнаружена вредоносная программа в файле образа диска Wim | Информационный | Доброкачественный | Устранено | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | PendingResource | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | Неподдерживаемый тип предупреждения | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | Неподдерживаемый тип предупреждения | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | Неподдерживаемый тип предупреждения | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в ZIP-архивном файле | Информационный | PendingResource | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в ZIP-архивном файле | Информационный | PendingResource | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в ZIP-архивном файле | Информационный | PendingResource | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в ZIP-архивном файле | Информационный | PendingResource | Новый | Вредоносная программа |
| Хакерская утилита Wpakill была заблокирована | Низкий | Сбой | Новый | Вредоносная программа |
| Средство взлома GendowsBatch было заблокировано | Низкий | Сбой | Новый | Вредоносная программа |
| Хакерская утилита Keygen была заблокирована | Низкий | Сбой | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в ZIP-архивном файле | Информационный | PendingResource | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | PendingResource | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | PendingResource | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в ZIP-архивном файле | Информационный | PendingResource | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | PendingResource | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в архивном файле RAR | Информационный | PendingResource | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в файле образа iso-диска | Информационный | PendingResource | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в файле образа iso-диска | Информационный | PendingResource | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в PST-файле данных Outlook | Информационный | Неподдерживаемый тип предупреждения | Новый | Вредоносная программа |
| Обнаружена вредоносная программа в PST-файле данных Outlook | Информационный | Неподдерживаемый тип предупреждения | Новый | Вредоносная программа |
| Обнаружен Объект MediaGet | Средняя | Частично расследовано | Новый | Вредоносная программа |
| TrojanEmailFile | Средняя | Успешно устранено | Устранено | Вредоносная программа |
| Вредоносная программа CustomEnterpriseBlock была предотвращена | Информационный | Успешно устранено | Устранено | Вредоносная программа |
| Заблокирована активная вредоносная программа CustomEnterpriseBlock | Низкий | Успешно устранено | Устранено | Вредоносная программа |
| Заблокирована активная вредоносная программа CustomEnterpriseBlock | Низкий | Успешно устранено | Устранено | Вредоносная программа |
| Заблокирована активная вредоносная программа CustomEnterpriseBlock | Низкий | Успешно устранено | Устранено | Вредоносная программа |
| TrojanEmailFile | Средняя | Доброкачественный | Устранено | Вредоносная программа |
| Вредоносная программа CustomEnterpriseBlock была предотвращена | Информационный | Неподдерживаемый тип предупреждения | Новый | Вредоносная программа |
| Вредоносная программа CustomEnterpriseBlock была предотвращена | Информационный | Успешно устранено | Устранено | Вредоносная программа |
| TrojanEmailFile | Средняя | Успешно устранено | Устранено | Вредоносная программа |
| TrojanEmailFile | Средняя | Доброкачественный | Устранено | Вредоносная программа |
| Заблокирована активная вредоносная программа CustomEnterpriseBlock | Низкий | PendingResource | Новый | Вредоносная программа |
Дальнейшие действия
- Просмотр действий по исправлению и управление ими
- Дополнительные сведения о действиях по исправлению
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.