Revisar y administrar las acciones de corrección en Office 365

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba aquí.

A medida que las investigaciones automatizadas sobre el correo electrónico & contenido de colaboración dan lugar a veredictos, como malintencionados o sospechosos, se crean determinadas acciones de corrección. En Microsoft Defender para Office 365, las acciones de corrección pueden incluir:

  • Eliminación temporal de mensajes de correo electrónico o clústeres
  • Desactivar el reenvío de correo externo

Estas acciones de corrección no se realizan a menos que y hasta que el equipo de operaciones de seguridad las apruebe. Se recomienda revisar y aprobar las acciones pendientes lo antes posible para que las investigaciones automatizadas se completen de forma oportuna. Debe formar parte de Búsqueda & rol de purga antes de realizar cualquier acción.

Hemos agregado comprobaciones adicionales para investigaciones duplicadas o superpuestas con los mismos clústeres aprobados varias veces. Si el mismo clúster de investigación ya está aprobado en la hora anterior, no se volverá a procesar la nueva corrección duplicada. Este comportamiento no elimina investigaciones duplicadas ni pruebas de investigación: simplemente desduplica las acciones aprobadas para mejorar la velocidad de procesamiento de la corrección. En el caso de las investigaciones de clúster aprobadas duplicadas, no verá los detalles de la acción en el panel lateral del centro de acciones .

Aprobar (o rechazar) acciones pendientes

Hay cuatro maneras diferentes de buscar y realizar acciones de investigación automática:

Cola de incidentes

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a la página Incidentes en Incidentes & alertas>Incidentes. Para ir directamente a la página Incidentes , use https://security.microsoft.com/incidents.
  2. Filtre por la acción Pendiente para el estado de investigación automatizada (opcional).
  3. En la página Incidentes , seleccione un nombre de incidente para abrir su página de resumen.
  4. Seleccione la pestaña Evidencia y respuesta .
  5. Seleccione un elemento de la lista para abrir su panel flotante.
  6. Revise la información y, a continuación, realice uno de los pasos siguientes:
    • Seleccione la opción Aprobar acción pendiente para iniciar una acción pendiente.
    • Seleccione la opción Rechazar acción pendiente para evitar que se realice una acción pendiente.

Centro de actividades

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a la página Centro de acciones; para ello, seleccione Centro de acciones. Para ir directamente a la página Centro de acciones , use https://security.microsoft.com/action-center/pending.
  2. En la página Centro de acciones, compruebe que la pestaña Pendiente está seleccionada y, a continuación, revise la lista de acciones que están en espera de aprobación.
    • Seleccione Abrir la página de investigación para ver más detalles sobre la investigación.
    • Seleccione Aprobar para iniciar una acción pendiente.
    • Seleccione Rechazar para evitar que se realice una acción pendiente.

Nota:

Las acciones pendientes agotan el tiempo de espera después de esperar la aprobación durante una semana.

Cola de investigaciones de investigación y corrección

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya a la página Investigación de amenazas en Email &Investigaciones decolaboración>. Para ir directamente a la página Investigación de amenazas , use https://security.microsoft.com/airinvestigation.
  2. En la página Investigación de amenazas , busque y un elemento de la lista cuyo estado sea La acción Pendiente.
  3. Haga clic en Abrir en la nueva ventana de la hora de lista (entre id. y Estado).
  4. En la página que se abre, realice acciones de aprobación o rechazo.

Cambiar o deshacer una acción de corrección

Hay dos maneras diferentes de reconsiderar las acciones enviadas:

Cambiar o deshacer a través del centro de acciones unificado

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya al centro de acciones unificado; para ello, seleccione Centro de acciones. Para ir directamente al centro de acciones unificado, use https://security.microsoft.com/action-center/.
  2. En la página Centro de acciones , seleccione la pestaña Historial y, a continuación, seleccione la acción que desea cambiar o deshacer.
  3. En el panel del lado derecho de la pantalla, seleccione la acción adecuada (mover a la bandeja de entrada, moverse a correo no deseado, moverse a elementos eliminados, eliminar temporalmente o eliminar de forma rígida).

Cambiar o deshacer a través del centro de acciones de Office

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya al centro de acciones de Office en Email &centro de acciones derevisión> de colaboración>. Para ir directamente al centro de acciones de Office, use https://security.microsoft.com/threatincidents.
  2. En la página Centro de acciones , seleccione la corrección adecuada.
  3. En el panel lateral, haga clic en la entrada envíos de correo y espere a que se cargue la lista.
  4. Espere a que el botón Acción de la parte superior se habilite y seleccione el botón Acción para cambiar el tipo de acción.
  5. Esto creará las acciones adecuadas.

Pasos siguientes

Consulte también