Office 365 için Microsoft Defender Plan 2'de otomatik araştırma ve yanıt (AIR) ayrıntıları ve sonuçları

Office 365 için Microsoft Defender Plan 2'ye sahip Microsoft 365 kuruluşlarında, Office 365 için Defender'de otomatik araştırma ve yanıttan (AIR) etkin ve tamamlanmış araştırmalarla ilgili ayrıntılara Microsoft Defender portalına gidinhttps://security.microsoft.com/airinvestigation. Araştırma ayrıntıları size güncel durumu ve (doğru izinlerle) bekleyen eylemleri onaylama olanağı sağlar.

Başlamadan önce bilmeniz gerekenler

• AIR izinlerini ve lisanslama gereksinimini görmek için bkz . AIR için gerekli izinler ve lisanslama.

• Email sayımlar araştırma sırasında hesaplanır. Araştırma açılır öğelerini açtığınızda (temel alınan sorguya göre) bazı sayımlar yeniden hesaplanır.

  Aşağıdaki e-posta sayısı değerleri araştırma sırasında hesaplanır ve değişmez:

  • Email sekmesinde kümeleri Email.
  • E-posta kümeleri açılır öğesinde gösterilen e-posta miktarı değeri.

  Aşağıdaki e-posta sayısı değerleri, araştırmanın ilk analizinden sonra alınan e-posta iletilerini yansıtır:

  • E-posta kümeleri açılır öğesinin Email sekmesinin en altında gösterilen e-posta sayısı.

  • Gezgin'de gösterilen e-posta sayısı (Tehdit Gezgini)

    Örneğin, özgün 10 ileti miktarını gösteren bir e-posta kümesi, araştırma analizi aşaması arasında beş ileti daha gelirse ve bir yönetici araştırmayı gözden geçirirse toplam 15 e-posta listesi gösterir. Benzer şekilde, Office 365 için Microsoft Defender Plan 2'deki verilerin süresi deneme süresinin bitiminden yedi gün sonra ve ücretli lisanslar için 30 gün sonra dolduğundan, eski araştırmalarda Tehdit Gezgini sorgularından daha yüksek ileti sayıları gösterebilirsiniz.

    Geçmiş ve geçerli e-posta iletisi sayıları, aşağıdaki bilgileri vermek için farklı görünümlerde gösterilir:

    • Araştırma sırasında e-posta etkisi.
    • Düzeltme çalıştırıldığında geçerli e-posta efekti.

• E-posta için araştırmanın bir parçası olarak bir birim anomali tehdidi görebilirsiniz. Birim anomalisi, önceki zamanlara kıyasla araştırma olayı süresinde benzer e-posta iletilerinde ani bir artış olduğunu gösterir. E-posta trafiğindeki ani artış ve belirli ileti özelliklerindeki benzerlik (örneğin, konu, ileti gövdesi, gönderen etki alanı ve gönderen IP'si) genellikle e-posta saldırılarının başlangıcını gösterir. Ancak toplu e-posta, istenmeyen posta ve yasal e-posta kampanyaları genellikle aynı ileti özelliklerini paylaşır.

Office 365 için Defender Plan 2'de AIR'den araştırmalar

konumundaki Defender portalında https://security.microsoft.comEmail & işbirliği>Araştırmalarına gidin. Ya da doğrudan Araştırma sayfasına gitmek için kullanın https://security.microsoft.com/airinvestigation.

Varsayılan olarak, düne ve bugüne ait araştırma ayrıntıları gösterilir, ancak tarih aralığını değiştirebilirsiniz.

Araştırma sayfasında gösterilen aşağıdaki bilgiler. Kullanılabilir bir sütun üst bilgisine tıklayarak girişleri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilidir:

• Kimlik: Araştırmanın benzersiz kimliği. Araştırma ayrıntılarını görüntüleme bölümünde açıklandığı gibi araştırmanın ayrıntılarını açmak için Yeni pencerede aç'ı seçin.
• Durum: Kullanılabilir durum değerleri Araştırma Durumu değerleri bölümünde açıklanmıştır.
• Algılama Kaynağı: Bu değer her zaman Office365'tir.
• Soruşturma
• Kullanıcılar
• Oluşturma Saati
• Son Değiştirme Zamanı
• Tehdit sayısı
• Eylem sayısı
• Araştırma süresi

Girişleri filtrelemek için Filtrele'yi seçin. Açılan Filtre açılır öğesinde aşağıdaki filtreler kullanılabilir:

• Araştırma türü bölümü: Aşağıdaki değerlerden birini veya daha fazlasını seçin:
  • El ile araştırma
  • Kullanıcı tarafından bildirilen iletiler
  • Zapped Dosyası
  • Eşlenmiş URL
  • URL kararı değişikliği
  • Kullanıcının güvenliği aşıldı
• Zaman aralığı bölümü: Başlangıç tarihi ve Bitiş tarihi değerlerini seçin. Veriler son 72 gün boyunca kullanılabilir.
• Durum bölümü: Araştırma Durumu değerleri bölümünde açıklanan aşağıdaki değerlerden birini veya daha fazlasını seçin:
  • Başlıyor
  • Çalışıyor
  • Tehdit Bulunamadı
  • Sistem Tarafından Sonlandırıldı
  • Bekleyen Eylem
  • Bulunan Tehditler
  • Düzeltilmiş
  • Kısmen Düzeltilmiş
  • Kullanıcı Tarafından Sonlandırıldı
  • Başarısız
  • Azaltma tarafından kuyruğa alındı
  • Azaltma ile Sonlandırıldı

Filtre açılır öğesinde işiniz bittiğinde Uygula'yı seçin. Filtreleri temizlemek için Filtreleri temizle'yi seçin.

Sayfadaki bilgileri bulmak için Arama kutusunu kullanın. Kutuya metin yazın ve ENTER tuşuna basın.

Görünür bilgileri csv dosyasına kaydetmek için Dışarı Aktar'ı kullanın. Varsayılan dosya adı Araştırma - Microsoft Defender.csv ve varsayılan konum yerel İndirilenler klasörüdür. Dışarı aktarılan bir rapor bu konumda zaten varsa, dosya adı artırılır (örneğin, Araştırma - Microsoft Defender (1).csv).

Araştırma Durumu değerleri

Araştırmanın Durum değerleri, analizin ve eylemlerin ilerleme durumunu gösterir. Araştırma çalıştırılırken Durum değeri tehditlerin bulunup bulunmadığını ve eylemlerin onaylanıp onaylanmadığını gösterecek şekilde güncelleştirilir.

Araştırmalarda kullanılan Durum değerleri aşağıdaki listede açıklanmıştır:

• Başarısız: En az bir araştırma çözümleyicisi düzgün tamamlanamadı bir sorunla karşılaştı.

  Düzeltme eylemleri onaylandıktan sonra bir araştırma başarısız olursa, düzeltme eylemleri yine de başarılı olmuş olabilir. Daha fazla bilgi için araştırma ayrıntılarını görüntüleyin.

• Tehdit Bulunamadı: Araştırma tamamlandı ve hiçbir tehdit tanımlandı (güvenliği aşılmış kullanıcı hesapları, e-posta iletileri, URL'ler veya dosyalar).

  Kötü amaçlı bir şeyin kaçırıldığından şüpheleniyorsanız (hatalı negatif), Tehdit Gezgini'ne (Explorer) kullanarak işlem yapabilirsiniz.

• Kısmen Araştırıldı (eski adıyla Tehditler bulundu): Otomatik araştırma sorunları buldu, ancak sorunları çözmek için belirli düzeltme eylemleri olmadan. Bir kullanıcı etkinliği türü tanımlandığında, ancak kullanılabilir temizleme eylemi olmadığında gerçekleşir. Örnek olarak aşağıdaki kullanıcı etkinliklerinden herhangi biri verilebilir:

  • Veri kaybı önleme (DLP) olayı.
  • Anomali gönderen bir e-posta.
  • Kötü amaçlı yazılım gönderildi.
  • Kimlik avı gönderildi.
  • Soruşturma yapacak bir şey bulamadı. Örneğin:
    • Düzeltecek kötü amaçlı URL'ler, dosyalar veya e-posta iletileri yok.
    • Düzeltilmesi gereken posta kutusu etkinliği yok (örneğin, iletme kurallarını veya temsilci seçmeyi kapatın).

  Kötü amaçlı bir şeyin kaçırıldığından şüpheleniyorsanız (hatalı negatif), Tehdit Gezgini'ne (Explorer) kullanarak işlem yapabilirsiniz.

• Kısmen Düzeltildi: Araştırma, düzeltme eylemleriyle sonuçlandı ve bazıları onaylandı ve tamamlandı. Diğer eylemler hala onay bekliyor.

• Bekleyen Eylem: Araştırma bir tehdit (örneğin, kötü amaçlı bir e-posta, kötü amaçlı bir URL veya riskli bir posta kutusu ayarı) buldu ve tehdidi düzeltmeye yönelik bir eylem onay bekliyor.

  Araştırma çalıştırıldığında bekleyen eylemlerin listesi artabilir. Diğer öğelerin hala tamamlanmasının beklenip beklenmediğini görmek için araştırma ayrıntılarını görüntüleyin.

• Azaltma Tarafından Kuyruğa Alındı: Bir kuyrukta bir araştırma yapılıyor. Diğer araştırmalar tamamlandığında kuyruğa alınmış araştırma başlar. Azaltma, düşük hizmet performansını önlemeye yardımcı olur.

  Bekleyen eylemler, kaç yeni araştırmanın çalışabileceğini sınırlayabilir. Bekleyen eylemleri onaylamayı veya reddetmeyi unutmayın.

• Düzeltildi: Araştırma tamamlandı ve tüm düzeltme eylemleri onaylandı (tamamen düzeltildi olarak not edildi).

  Onaylanan düzeltme eylemlerinin gerçekleştirilmesini engelleyen hatalar olabilir. Düzeltme eylemlerinin başarıyla tamamlanıp tamamlanmadığına bakılmaksızın, araştırma durumu değişmez. Daha fazla bilgi için araştırma ayrıntılarını görüntüleyin.

• Çalışıyor: Araştırma işlemi devam ediyor. Bu durum değeri, bekleyen eylemler onaylandığında da oluşur.

• Başlangıç: Araştırma tetiklendi ve çalışmaya başlamayı bekliyor.

• Sistem Tarafından Sonlandırıldı: Araştırma durduruldu. Örneğin:

  • Bekleyen eylemlerin süresi doldu (en fazla bir hafta kullanılabilir).
  • Çok fazla eylem var. Örneğin, kötü amaçlı URL'lere tıklayan çok fazla kullanıcı araştırmanın tüm çözümleyicileri çalıştırma becerisini aşabilir, bu nedenle araştırma durdurulabilir.

  Eylemler gerçekleştirilmeden önce bir araştırma durursa tehditleri bulmak ve ele almak için Tehdit Gezgini'ne (Explorer) göz atmayı deneyin.

• Azaltma Yoluyla Sonlandırıldı: Araştırma, çok uzun süre kuyruğa alındıktan sonra otomatik olarak durur ve durur.

  Tehdit Gezgini'nden (Explorer) bir araştırma başlatabilirsiniz.

Office 365 için Defender Plan 2'de AIR'den araştırma ayrıntılarını görüntüleme

konumundaki Araştırmalar sayfasındaki https://security.microsoft.com/airinvestigationbir girişin Kimlik sütununda Yeni pencerede aç'ı seçtiğinizde, araştırma ayrıntılarını içeren yeni bir sayfa açılır.

Sayfanın kutucuğu, Araştırma sayfasındakiAraştırma (ad) değeridir. Örneğin, Tıklanan URL Kararı kötü amaçlı - <URL> olarak değiştirildi.

Sayfanın alt başlığı araştırmanın kimliğini ve durumunu içerir. Örneğin, Araştırma #660b79 tamamlandı - Düzeltildi.

Ayrıntılar sayfasının geri kalanı, araştırma hakkında ayrıntılı bilgiler içeren çeşitli sekmeler içerir. Bazı sekmeler tüm araştırmalarda yaygındır. Araştırmanın doğasına ve durumuna bağlı olarak diğer sekmeler kullanılabilir.

Sekmeler aşağıdaki alt bölümlerde açıklanmıştır.

Araştırma ayrıntılarındaki araştırma grafiği sekmesi

Araştırma ayrıntıları sayfasında Araştırma grafiği sekmesi, araştırmanın geçerli durumunu ve sonuçlarını görsel olarak temsil eden varsayılan sekmedir.

Araştırma grafı sekmesinde, Araştırma özeti bölmesi aşağıdaki ayrıntıları içerir:

• Araştırma durumu zaman çizgisi bölümü:
  • Başladı
  • Sona erdi: Bu değer yalnızca aşağıdaki Durum değerleri için mevcuttur:
    • Tehdit bulunamadı
    • Kısmen düzeltilmiş
    • Düzeltilmiş
    • Sistem tarafından sonlandırıldı
    • Azaltma ile sonlandırıldı
    • Kullanıcı tarafından sonlandırıldı
    • Tehditler bulundu
    • Başarısız
  • Süre
  • Toplam bekleme süresi: Bu değer yalnızca sonunda onaylanan veya süresi dolmuş onay bekleyen eylemleri olan araştırmalarda bulunur.
• Araştırma ayrıntıları bölümü:
  • Durum: Araştırmanın durumu. Değer Tehdit bulunamadı ise, bölümünde başka değer yoktur.
  • Uyarı önem derecesi: Düşük, **Orta veya Yüksek değeri.
  • Kategori: Uyarı kategorisi.
  • Algılama kaynağı: Genellikle değer MDO.

Grafik bölmesi, araştırmadaki öğelerin ve etkinliklerin görsel bir gösterimini içerir. Bazı öğeler tüm araştırmalarda ortaktır, diğerleri ise araştırmanın doğasına ve ilerlemesine bağlıdır.

• Alınan uyarı: İlgili uyarıları gösterir. Daha fazla bilgi için Uyarılar sekmesine gitmek için öğesini seçin.

• Posta kutusu: İlgili posta kutularını gösterir. Daha fazla bilgi için Posta Kutuları sekmesine gitmek için seçin.

• Analiz edilen varlıklar: Araştırma sırasında analiz edilen ilgili varlıkların sayısını ve türünü gösterir. Örneğin:

  • URL'ler
  • İletileri Email
  • Dosyalar
  • Email kümeler, kötü amaçlı ve düzeltilenlerin sayısını içerebilir.

  Daha fazla bilgi için Varlıklar sekmesine gitmek için öğesini seçin.

• Kanıt: Bulunan varlık sayısını gösterir. Daha fazla bilgi için Kanıt sekmesine gitmek için seçin.

• Onay bekleniyor: Sistemin bir yöneticinin önerilen el ile düzeltme eylemini gerçekleştirmesini ne kadar süredir beklediğini gösterir (örneğin, bir e-posta iletisini geçici olarak silme). Daha fazla bilgi için Bekleyen eylemler sekmesine gitmek için seçin.

  Yönetici eylemini yaptıktan sonra, bu öğenin yerini Kullanıcı onayı bekleniyor olarak alır.

• Kullanıcı onayı için bekleme: Bir yöneticinin önerilen el ile düzeltme eylemini gerçekleştirmesinin ne kadar sürdüğünü gösterir. Daha fazla bilgi için Bekleyen eylemler geçmişi sekmesine gitmek için seçin.

• Sonuç: Bu öğe araştırma tamamlandıktan sonra kullanılabilir ve sayfadaki aşağıdaki konumlarda çoğaltılır:

  • Grafiğin ortasında. Simgeyi seçerek Günlük sekmesine gidin.
  • Sayfa başlığında.
  • Araştırma özeti bölmesinde >Araştırma ayrıntıları bölümü >Durum değeri.

  Örneğin:

  • Düzeltilmiş

  • Sistem tarafından sonlandırıldı:

  • Tehdit bulunamadı

  • Kısmen araştırıldı

    Bazı bulguların gözden geçirilmesi gerekebilir. Olası sorunları el ile araştırmak ve düzeltmek için Kanıt ve Varlıklar sekmelerini kullanın.

  • Kısmen düzeltilmiş

    Bir sorun bazı kötü amaçlı varlıkların düzeltilmesini engelledi. Olası sorunları el ile araştırmak ve düzeltmek için Kanıt ve Varlıklar sekmelerini kullanın.

Araştırma ayrıntılarındaki Uyarılar sekmesi

Araştırma ayrıntıları sayfasında, Uyarılar sekmesi araştırmayla ilgili uyarıları gösterir.

Kullanılabilir bir sütun üst bilgisine tıklayarak girişleri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan sütunlar yıldız ^*işaretiyle işaretlenir:

• Uyarı adı^*
• Etiketler^*
• Şiddet^*
• Olay Adı^*
• Olay Kimliği^*
• Durum^*
• Kategori^*
• Etkilenen varlıklar
• Kullanıcı^*
• Hizmet Kaynağı^*
• Algılama kaynağı
• Araştırma durumu^*
• Son etkinlik^*
• Sınıflandırma^*
• Sebat
• Atanan^*

Bir satırda Uyarı adı değerine tıklanması sizi uyarının ayrıntılar sayfasına götürür. Bu ayrıntılar sayfası, konumundaki Uyarılar sayfasındaki https://security.microsoft.com/alertsilgili girdideki Uyarı adı değerine tıklamayla aynıdır. Daha fazla bilgi için bkz. Uyarıyı analiz etme.

Satırda Uyarı adı değeri dışında bir yere veya ilk sütunun yanındaki onay kutusuna tıklanması uyarı için bir ayrıntı açılır öğesi açar. Bu ayrıntılar açılır öğesi, satırda Uyarı adı değeri dışında herhangi bir yere tıklamayla veya konumundaki Uyarılar sayfasındaki https://security.microsoft.com/alertsilgili girdideki ilk sütunun yanındaki onay kutusuyla aynıdır.

Uyarı ayrıntıları açılır öğesinin en üstünde bulunan eylemler, uyarının doğasına bağlı olarak, konumundaki Uyarılar sayfasındaki https://security.microsoft.com/alertsilgili uyarının ayrıntılar açılır öğesinde bulunan eylemlerin aynısını içerir. Örneğin, teslim sonrasında kaldırılan kötü amaçlı URL içeren Email iletileri adlı uyarılar, uyarı ayrıntıları açılır öğesinde aşağıdaki eylemlere sahiptir:

• Uyarı sayfasını aç: konumundaki Uyarılar sayfasındaki bir girdinin Uyarı adı değerine tıkladığınızda aynı ayrıntılar sayfasını https://security.microsoft.com/alertsaçar. Daha fazla bilgi için bkz. Uyarıyı analiz etme.

• Uyarıyı yönet: Olayla ilgili ayrıntıları görüntüleyip değiştirebileceğiniz Bir Uyarıyı yönet açılır öğesini açar. Daha fazla bilgi için bkz. Uyarıları yönetme.

• İletileri Gezgin'de görüntüleme: Gezgin'i (Tehdit Gezgini) Uyarı Kimliğine göre filtrelenmiş Tüm e-posta görünümünde açar. Tehdit Gezgini'nin Tüm e-posta görünümü hakkında daha fazla bilgi için bkz. Tehdit Gezgini'nde tüm e-posta görünümü.

• Diğer eylemler>Uyarıyı başka bir olaya bağlama: Uyarıyı açılan başka bir olay açılır penceresine bağla bölümünde aşağıdaki seçenekleri yapılandırın:

  • Aşağıdaki değerlerden birini seçin:
    • Yeni olay oluşturma
    • Var olan bir olaya bağlantı: Görüntülenen Olay adı veya Kimlik kutusunda, mevcut olayı bulmak ve seçmek için bir değer yazmaya başlayın.
  • Açıklama: İsteğe bağlı bir açıklama girin.

  Uyarıyı başka bir olaya bağla açılır öğesinde işiniz bittiğinde Kaydet'i seçin

• Diğer eylemler>Uyarı ayarlama: Ayarlama uyarısı açılır öğesini açar. Daha fazla bilgi için Bkz. Uyarıları ayarlamak için kural koşulları oluşturma bölümünde 3. adım ve üzeri.

• Diğer eylemler>Defender Uzmanlarına sorun. Defender Uzmanlarına Sor açılır öğesini açar. Daha fazla bilgi için bkz. İsteğe bağlı uzmanlarla işbirliği yapma.

Araştırma ayrıntılarındaki Posta Kutuları sekmesi

Araştırma ayrıntıları sayfasında, araştırma kapsamında herhangi bir posta kutusu incelendiyse Posta Kutuları sekmesi kullanılabilir.

Kullanılabilir bir sütun üst bilgisine tıklayarak girişleri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilidir:

• Kullanıcı Adı
• Risk düzeyi
• Risk
• Riskli etkinlikler
• Yukarı
• Urn

İlk sütunun yanındaki onay kutusunun dışında bir satırda herhangi bir yere tıklanması, aşağıdaki bilgileri içeren bir posta kutusu ayrıntıları açılır öğesini açar:

• Hüküm
• Görünen ad
• Birincil e-posta adresi
• UPN
• Nesne Kimliği
• Risk düzeyi
• Risk

Kullanıcı varlığı sayfasını Microsoft Defender XDR açmak için Kullanıcı hakkında diğer ayrıntılar'ı seçin. Daha fazla bilgi için Microsoft Defender XDR'deki Kullanıcı varlığı sayfasına bakın.

Araştırma ayrıntılarındaki Kanıt sekmesi

Araştırma ayrıntıları sayfasında Kanıt sekmesi, analiz edilen şüpheli varlıkları ve analizin sonuçlarını gösterir.

Kullanılabilir bir sütun üst bilgisine tıklayarak girişleri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan sütunlar yıldız ^*işaretiyle işaretlenir:

• İlk kez görüldü^*
• Varlık^*
• Hüküm^*
• Düzeltme durumu^*
• Durum ayrıntıları
• Etkilenen varlıklar^*
• Algılama kaynağı^*
• Tehdit

Girişleri filtrelemek için Filtrele'yi seçin. Açılan Filtre açılır öğesinde aşağıdaki filtreler kullanılabilir:

• Varlık: Kutuya varlık adının bir kısmını veya tamamını yazın.
• Karar: Seçebileceğiniz değerler, sekmedeki Karar değerlerine bağlıdır.
• Algılama kaynağı: Seçebileceğiniz değerler, sekmedeki Algılama kaynağı değerlerine bağlıdır.

Filtre açılır öğesinde işiniz bittiğinde Uygula'yı seçin. Filtreleri temizlemek için Filtreleri temizle'yi seçin.

İlk sütunun yanındaki onay kutusunun dışındaki bir satırda herhangi bir yere tıklanması, ayrıntılar açılır öğesini açar. Açılır öğede sunulanlar, kanıtın doğasına bağlıdır (e-posta iletisi, dosya, URL vb.).

Araştırma ayrıntılarındaki Varlıklar sekmesi

Araştırma ayrıntıları sayfasında , Varlıklar sekmesi araştırma sırasında karşılaşılan ve analiz edilen farklı varlık türleri hakkındaki ayrıntıları gösterir.

Varlıklar sekmesi bir görünüm seçim bölmesine (özet görünümü ve her varlık türü için bir görünüm) ve bu görünüme karşılık gelen ayrıntılar tablosuna göre düzenlenir:

• Kanıt özeti görünümü: Bu varsayılan görünümdür.

  Kullanılabilir bir sütun üst bilgisine tıklayarak ayrıntılar tablosundaki girdileri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilidir:

  • Varlık türü (bu değerin seçimini kaldıramazsınız): Olaya bağlı olarak görünüm seçimi bölmesiyle aynı değerleri içerir. Örneğin:

    • Dosyalar
    • URL'ler
    • gönderileri Email
    • E-postalar
    • IP adresleri
    • kümeleri Email

    Aşağıdaki sütunlar her varlık türünün (satır) sayısını gösterir:

    • Toplam
    • Düzeltilmiş
    • Kötü niyetli
    • Şüpheli
    • Doğrulandı
    • Tehdit bulunamadı
    • Unknown
    • Bulunamadı
    • Düzeltmesi kaldırılmamış
    • Kısmen Düzeltilmiş

  Varlık türü sütununun yanındaki onay kutusunun dışında bir satırda herhangi bir yere tıklamak sizi seçim sayfasından ilgili görünüme götürür (örneğin, E-postalar).

• Dosyalar görünümü: Kullanılabilir bir sütun üst bilgisine tıklayarak ayrıntılar tablosundaki girdileri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan sütunlar yıldız ^*işaretiyle işaretlenir:

  • Hüküm^*
  • Düzeltme durumu^*
  • Durum ayrıntıları
  • Dosya yolu^*
  • Dosya adı^* (bu değerin seçimini kaldıramazsınız)
  • Aygıt^*

• URL'ler görünümü: Kullanılabilir bir sütun üst bilgisine tıklayarak ayrıntılar tablosundaki girdileri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilidir:

  • Hüküm
  • Düzeltme durumu
  • Adres (bu değerin seçimini kaldıramazsınız)

  İlk sütunun yanındaki onay kutusunun dışında bir satırda herhangi bir yere tıklanması, aşağıdaki bilgileri içeren bir ayrıntı açılır öğesini açar:

  • Özgün URL
  • Algılama bölümü
  • Etki alanı ayrıntıları bölümü
  • Kayıt olan kişi bilgileri bölümü
  • URL yaygınlığı (son 30 gün) bölümü

  URL için aşağıdaki eylemler açılır öğede de kullanılabilir:

  • URL sayfasını açma
  • Analiz için gönderme
  • Göstergeyi yönet
  • Gezgin'de görüntüle
  • Git avla

• Email gönderimler görünümü: Kullanılabilir bir sütun üst bilgisine tıklayarak ayrıntılar tablosundaki girdileri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilidir:

  • Hüküm
  • Düzeltme durumu
  • Konu
  • Gönderen
  • Alıcı
  • Rapor eden
  • Rapor türü

  İlk sütunun yanındaki onay kutusunun dışında bir satırda herhangi bir yere tıklanması, aşağıdaki bilgileri içeren bir ayrıntı açılır öğesini açar:

  • Email gönderim ayrıntıları bölümü

  E-posta gönderimi için Go av eylemi açılır öğede de kullanılabilir.

• E-postalar görünümü: Kullanılabilir bir sütun üst bilgisine tıklayarak ayrıntılar tablosundaki girdileri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilidir:

  • Hüküm
  • Düzeltme durumu
  • Email Alma Tarihi (bu değerin seçimini kaldıramazsınız)
  • Teslim Durumu
  • Konu
  • Gönderen
  • Alıcı

  İlk sütunun yanındaki onay kutusunun dışında bir satırda herhangi bir yere tıklanması, aşağıdaki bilgileri içeren bir ayrıntı açılır öğesini açar:

  • Email ayrıntıları bölümü

  XDR için Defender'da Email varlık sayfasını görüntülemek için E-posta hakkında diğer ayrıntılar'ı seçin.

  E-posta iletisi için aşağıdaki eylemler açılır öğede de kullanılabilir:

  • Git avla
  • Explorer'da aç

• IP adresleri görünümü: Kullanılabilir bir sütun üst bilgisine tıklayarak ayrıntılar tablosundaki girdileri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilidir:

  • Hüküm
  • Düzeltme durumu
  • Adres (bu değerin seçimini kaldıramazsınız)

  İlk sütunun yanındaki onay kutusunun dışında bir satırda herhangi bir yere tıklanması, aşağıdaki bilgileri içeren bir ayrıntı açılır öğesini açar:

  • IP ayrıntıları bölümü
  • Algılama bölümü
  • Kuruluş cihazları bölümünde gözlemlenen IP

  IP adresleri için aşağıdaki eylemler açılır öğede de kullanılabilir:

  • IP adresi sayfasını açma
  • Gösterge ekle
  • Bulut uygulaması IP ayarlarını açma
  • Etkinlik günlüğünde araştırma
  • Git avla

• Email Kümeleri görünümü: Kullanılabilir bir sütun üst bilgisine tıklayarak ayrıntılar tablosundaki girdileri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilidir:

  • Hüküm
  • Düzeltme durumu
  • Posta kümesi adı (bu değerin seçimini kaldıramazsınız)
  • Tehdit
  • Email sayısı
  • Kötü amaçlı yazılım
  • Kimlik avı
  • Yüksek güvenilirlikli kimlik avı
  • Spam
  • Teslim
  • Gereksiz
  • Değiştirilir
  • Engellenmiş
  • Posta kutusu
  • Posta kutusunda değil
  • Şirket içi/Dış
  • Birim anomalisi

  İlk sütunun yanındaki onay kutusunun dışında bir satırda herhangi bir yere tıklanması, aşağıdaki bilgileri içeren bir ayrıntı açılır öğesini açar:

  • küme ayrıntıları bölümünü Email
  • Tehditler bölümü
  • En son teslimat konumları bölümü
  • Orijinal teslimat konumları bölümü

  E-posta kümesi için aşağıdaki eylemler açılır öğede de kullanılabilir:

  • Git avla
  • Explorer'da aç

Araştırma ayrıntılarında Günlük sekmesi

Araştırma ayrıntıları sayfasında , Günlük sekmesi araştırma sırasında gerçekleştirilen tüm eylemleri gösterir.

Kullanılabilir bir sütun üst bilgisine tıklayarak girişleri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan sütunlar yıldız ^*işaretiyle işaretlenir:

• KİMLİĞİ
• Eylem türü
• Eylem^*
• Durum^*
• Cihaz adı^*
• Açıklama^*
• Açıklamalar
• Oluşturulan zaman
• Yürütme başlangıç zamanı^*
• Süre^*
• Bekleme süresi
• Kuyruğa Alınan Süre

Görünür bilgileri csv dosyasına kaydetmek için Dışarı Aktar'ı kullanın. Varsayılan dosya adı AirLogs.csv ve varsayılan konum yerel İndirilenler klasörüdür. Dışarı aktarılan bir rapor bu konumda zaten varsa, dosya adı artırılır (örneğin, AirLogs (1).csv).

İlk sütunun yanındaki onay kutusunun dışında bir satırda herhangi bir yere tıklanması, aşağıdaki bilgileri içeren bir özet açılır öğesi açar:

• Durum
• Oluşturma
• Yürütme başlangıcı
• Süre
• Açıklama

Araştırma ayrıntılarında onay bekleniyor sekmesi

Araştırma ayrıntıları sayfasında, Bekleyen onay sekmesi onayın tamamlanmasını bekleyen bekleyen eylemleri gösterir (örneğin, geçici silme iletileri).

Bekleyen onay sekmesi, bir görünüm seçim bölmesine (her eylem türü için bir görünüm) ve ilgili görünüme karşılık gelen ayrıntılar tablosuna göre düzenlenir:

• Geçici silme e-postaları: Kullanılabilir bir sütun üst bilgisine tıklayarak ayrıntılar tablosundaki girdileri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan sütunlar yıldız ^*işaretiyle işaretlenir:
  • Araştırma Kimliği
  • İlk kez görüldü
  • Ayrıntılar
  • Email sayısı
  • Kötü amaçlı yazılım
  • Kimlik avı
  • Yüksek Güvenilirlikli Kimlik Avı
  • Spam
  • Teslim
  • Gereksiz
  • Değiştirilir
  • Engellenmiş
  • Posta kutusu
  • Posta kutusunda değil
  • Şirket içi/Dış
  • Posta kutusu
  • Varlık türü
  • Tehdit türü
  • Konu

Görünür bilgileri csv dosyasına kaydetmek için Dışarı Aktar'ı kullanın. Varsayılan dosya adı AirActions.csv ve varsayılan konum yerel İndirilenler klasörüdür. Dışarı aktarılan bir rapor bu konumda zaten varsa, dosya adı artırılır (örneğin, AirActions (1).csv).

İlk sütunun yanındaki onay kutusunun dışında bir satırda herhangi bir yere tıklanması, aşağıdaki bilgileri içeren bir ayrıntı açılır öğesini açar:

• küme ayrıntıları bölümünü Email
  • Hüküm
  • Düzeltme durumu
  • Email sayısı
  • Ad
  • Birim anomalisi
  • Sorgu süresi
• Tehditler bölümü:
  • Tehditler: E-posta kümesinde bulunan tehditleri özetler. Örneğin, MaliciousUrl, HighConfPhish, Volume anomaly.
  • E-posta kümesinde bulunan aşağıdaki tehdit türlerinin sayısı:
    • Kötü amaçlı yazılım
    • Kimlik avı
    • Yüksek Güvenilirlikli Kimlik Avı
    • Spam
• En son teslim konumu bölümü: E-posta kümesindeki iletiler için aşağıdaki teslim konumlarının sayısı:
  • Posta kutusu
  • Posta kutusunda değil
  • Şirket içi/Dış
• Özgün teslim konumları bölümü: E-posta kümesindeki iletiler için aşağıdaki özgün teslim konumlarının sayısı:
  • Teslim
  • Gereksiz
  • Değiştirilir
  • Engellenmiş

E-posta iletileri için aşağıdaki eylemler açılır öğede de kullanılabilir:

• Git avla
• Explorer'da aç

Onayla ve Reddet sonraki alt bölümde açıklanmıştır.

Araştırma ayrıntılarındaki Bekleyen onay sekmesindeki eylemleri onaylama

Araştırma ayrıntıları sayfasındaki Onay bekleniyor sekmesinde, satırda ilk sütunun yanındaki onay kutusundan başka bir yere tıklayarak bekleyen bir eylem seçin.

Açılan ayrıntılar açılır öğesi, bekleyen eylemden (örneğin, Geçici silme e-postaları) sonra adlandırılır. Açılır öğedeki bilgileri okuyun ve aşağıdaki değerlerden birini seçin:

• Onaylayın.
• Reddet'i seçin.

Araştırma ayrıntılarında bekleyen eylemler geçmişi sekmesi

Araştırma ayrıntıları sayfasında Bekleyen eylemler geçmişi sekmesi tamamlanan bekleyen eylemleri gösterir.

Kullanılabilir bir sütun üst bilgisine tıklayarak girişleri sıralayabilirsiniz. Gösterilen sütunları değiştirmek için Sütunları özelleştir'i seçin. Varsayılan olarak, kullanılabilir tüm sütunlar seçilidir:

• Eylem türü
• Bekleme süresi
• Varlık
• Durum
• İşlenen:
• Saat

Görünür bilgileri csv dosyasına kaydetmek için Dışarı Aktar'ı kullanın. Varsayılan dosya adı AirActions.csv ve varsayılan konum yerel İndirilenler klasörüdür. Dışarı aktarılan bir rapor bu konumda zaten varsa, dosya adı artırılır (örneğin, AirActions (1).csv).

Bir satırda Varlık değerine tıklanması, e-posta kümesi hakkında aşağıdaki bilgileri içeren bir ayrıntı açılır öğesini açar:

• küme ayrıntıları bölümünü Email
• Tehditler bölümü
• En son teslimat konumları bölümü
• Orijinal teslimat konumları bölümü

E-posta kümesi için aşağıdaki eylemler açılır öğede de kullanılabilir:

• Git avla
• Explorer'da aç

İlk sütunun veya Varlık değerinin yanındaki onay kutusunun dışında bir satırda herhangi bir yere tıklanması, aşağıdaki bilgileri içeren bir eylem geçmişi ayrıntıları açılır öğesini açar:

• Özet bölümü:
  • Durum
  • Oluşturma
  • Yürütme başlangıcı
  • Açıklama

Araştırmayla ilgili uyarıyla ilgili ayrıntıları görüntüleme

Bazı uyarı türleri, Microsoft 365'te otomatik araştırmayı tetikler. Daha fazla bilgi için bkz . Tehdit yönetimi uyarı ilkeleri.

1. Microsoft 365 Defender portalı a'da https://security.microsoft.comEylemler & gönderimler>İşlem merkezi'ne gidin. İsterseniz doğrudan İşlem merkezi sayfasına gitmek için kullanın https://security.microsoft.com/action-center/.
2. İşlem merkezi sayfasında, eylemi bulmak için Beklemede veya Geçmiş sekmelerini kullanın.
3. Araştırma Kimliği sütunundaki bağlantıyı seçerek tablodan bir eylem seçin.

Araştırma ayrıntıları sayfası açılır.

Sonraki adımlar

• Bekleyen eylemleri gözden geçirme ve onaylama