Examiner et gérer les actions de correction dans Office 365

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.

Étant donné que les enquêtes automatisées sur le contenu des e-mails & de collaboration aboutissent à des verdicts, tels que malveillants ou suspects, certaines actions de correction sont créées. Dans Microsoft Defender pour Office 365, les actions de correction peuvent inclure :

  • Suppression réversible de messages électroniques ou de clusters
  • Désactivation du transfert de courrier externe

Ces actions de correction ne sont pas effectuées tant que votre équipe des opérations de sécurité ne les approuve pas. Nous vous recommandons d’examiner et d’approuver toutes les actions en attente dès que possible afin que vos investigations automatisées se terminent en temps voulu. Vous devez faire partie de Recherche & rôle de vidage avant d’effectuer des actions.

Nous avons ajouté des vérifications supplémentaires pour les investigations en double ou en chevauchement avec les mêmes clusters approuvés plusieurs fois. Si le même cluster d’investigation est déjà approuvé au cours de l’heure précédente, les nouvelles corrections en double ne sont pas traitées à nouveau. Ce comportement ne supprime pas les investigations en double ou les preuves d’investigation : il supprime simplement les actions approuvées pour améliorer la vitesse de traitement des corrections. Pour les investigations de cluster approuvées en double, vous ne verrez pas les détails de l’action dans le panneau latéral du centre de notifications .

Approuver (ou rejeter) les actions en attente

Il existe quatre façons différentes de rechercher et d’effectuer des actions d’investigation automatique :

File d’attente des incidents

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à la page Incidents dans Incidents & alertes>Incidents. Pour accéder directement à la page Incidents , utilisez https://security.microsoft.com/incidents.
  2. Filtrer sur l’action En attente pour l’état d’investigation automatisé (facultatif).
  3. Dans la page Incidents , sélectionnez un nom d’incident pour ouvrir sa page de résumé.
  4. Sélectionnez l’onglet Preuve et réponse .
  5. Sélectionnez un élément dans la liste pour ouvrir son volet volant.
  6. Passez en revue les informations, puis effectuez l’une des étapes suivantes :
    • Sélectionnez l’option Approuver l’action en attente pour lancer une action en attente.
    • Sélectionnez l’option Rejeter l’action en attente pour empêcher qu’une action en attente soit effectuée.

Centre de notifications

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à la page Centre de notifications en sélectionnant Centre de notifications. Pour accéder directement à la page centre de notifications , utilisez https://security.microsoft.com/action-center/pending.
  2. Dans la page Centre de notifications, vérifiez que l’onglet En attente est sélectionné, puis passez en revue la liste des actions en attente d’approbation.
    • Sélectionnez Ouvrir la page d’enquête pour afficher plus de détails sur l’enquête.
    • Sélectionnez Approuver pour lancer une action en attente.
    • Sélectionnez Refuser pour empêcher la réalisation d’une action en attente.

Remarque

Les actions en attente expirent après l’attente d’approbation pendant une semaine.

File d’attente des investigations et des corrections

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez à la page Investigation sur les menacesà Email & collaboration>Investigations. Pour accéder directement à la page Investigation sur les menaces, utilisez https://security.microsoft.com/airinvestigation.
  2. Dans la page Investigation sur les menaces, recherchez un élément de la liste dont le status est Action en attente.
  3. Cliquez sur Ouvrir dans une nouvelle fenêtre sur l’heure de liste (entre ID et État).
  4. Dans la page qui s’ouvre, effectuez des actions d’approbation ou de rejet.

Modifier ou annuler une action de correction

Il existe deux façons différentes de reconsidérer les actions soumises :

Modifier ou annuler via le centre de notifications unifié

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez au centre de notifications unifié en sélectionnant Centre de notifications. Pour accéder directement au centre de notifications unifié, utilisez https://security.microsoft.com/action-center/.
  2. Dans la page Centre de notifications, sélectionnez l’onglet Historique , puis sélectionnez l’action que vous souhaitez modifier ou annuler.
  3. Dans le volet de droite de l’écran, sélectionnez l’action appropriée (accéder à la boîte de réception, déplacer vers du courrier indésirable, déplacer vers des éléments supprimés, suppression réversible ou suppression définitive).

Modifier ou annuler via le centre de notifications Office

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez au centre de notifications Office à Email & collaboration> Centrede notificationsde révision>. Pour accéder directement au centre de notifications Office, utilisez https://security.microsoft.com/threatincidents.
  2. Dans la page Centre de notifications, sélectionnez la correction appropriée.
  3. Dans le volet latéral, cliquez sur l’entrée d’envoi de courrier et attendez que la liste soit chargée.
  4. Attendez que le bouton Action en haut soit activé, puis sélectionnez le bouton Action pour modifier le type d’action.
  5. Cela crée les actions appropriées.

Prochaines étapes

Voir aussi