Przeglądanie akcji korygowania i zarządzanie nimi w Office 365

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 2

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami dotyczącymi wersji próbnej tutaj.

Ponieważ zautomatyzowane badania dotyczące wiadomości e-mail & zawartości współpracy powodują werdykty, takie jak Złośliwe lub Podejrzane, są tworzone pewne akcje korygowania. W Ochrona usługi Office 365 w usłudze Microsoft Defender akcje korygowania mogą obejmować:

• Usuwanie nietrwałe wiadomości e-mail lub klastrów
• Wyłączanie przekazywania poczty zewnętrznej

Te akcje korygowania nie są wykonywane, chyba że i dopóki zespół ds. operacji zabezpieczeń nie zatwierdzi ich. Zalecamy jak najszybsze przejrzenie i zatwierdzenie wszelkich oczekujących akcji, aby zautomatyzowane badania zostały zakończone w odpowiednim czasie. Przed podjęciem jakichkolwiek akcji musisz być częścią roli Search & przeczyszczania.

Dodaliśmy dodatkowe testy pod kątem zduplikowanych lub nakładających się badań z tymi samymi klastrami zatwierdzonymi wielokrotnie. Jeśli ten sam klaster badania został już zatwierdzony w poprzedniej godzinie, nowe zduplikowane korygowanie nie zostanie ponownie przetworzone. To zachowanie nie usuwa zduplikowanych badań ani dowodów badania — po prostu usuwa zatwierdzone akcje w celu zwiększenia szybkości przetwarzania korygowania. W przypadku zduplikowanych zatwierdzonych badań klastra szczegóły akcji nie będą widoczne w panelu bocznym centrum akcji .

Zatwierdzanie (lub odrzucanie) oczekujących akcji

Istnieją cztery różne sposoby znajdowania i podejmowania akcji automatycznego badania:

• Kolejka zdarzeń
• Samo badanie (dostępne za pośrednictwem zdarzenia lub alertu)
• Centrum akcji
• Kolejka dochodzeń i dochodzeń korygowania

Kolejka zdarzeń

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do strony Zdarzenia w temacie Incydenty & alerty>Zdarzenia. Aby przejść bezpośrednio do strony Zdarzenia , użyj polecenia https://security.microsoft.com/incidents.
2. Filtruj akcję Oczekująca dla stanu zautomatyzowanego badania (opcjonalnie).
3. Na stronie Zdarzenia wybierz nazwę zdarzenia, aby otworzyć jego stronę podsumowania.
4. Wybierz kartę Dowody i odpowiedź .
5. Wybierz element z listy, aby otworzyć okienko wysuwane.
6. Przejrzyj informacje, a następnie wykonaj jedną z następujących czynności:
   • Wybierz opcję Zatwierdź oczekującą akcję, aby zainicjować oczekującą akcję.
   • Wybierz opcję Odrzuć oczekującą akcję, aby zapobiec podjęciu oczekującej akcji.

Centrum akcji

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do strony Centrum akcji, wybierając pozycję Centrum akcji. Aby przejść bezpośrednio do strony Centrum akcji , użyj polecenia https://security.microsoft.com/action-center/pending.
2. Na stronie Centrum akcji sprawdź, czy wybrano kartę Oczekujące , a następnie przejrzyj listę akcji oczekujących na zatwierdzenie.
   • Wybierz pozycję Otwórz stronę badania , aby wyświetlić więcej szczegółów na temat badania.
   • Wybierz pozycję Zatwierdź , aby zainicjować oczekującą akcję.
   • Wybierz pozycję Odrzuć , aby zapobiec podjęciu oczekującej akcji.

Uwaga

Limit czasu oczekujących akcji po oczekiwaniu na zatwierdzenie na tydzień.

Kolejka dochodzeń i dochodzeń korygowania

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do strony Badanie zagrożeń pod adresem Email & collaborationInvestigations (Badanie współpracy > Email &). Aby przejść bezpośrednio do strony Badanie zagrożeń , użyj polecenia https://security.microsoft.com/airinvestigation.
2. Na stronie Badanie zagrożeń znajdź element z listy, którego stan to Oczekująca akcja.
3. Kliknij pozycję Otwórz w nowym oknie w czasie listy (między identyfikatorem a stanem).
4. Na otwartej stronie wykonaj akcje zatwierdzania lub odrzucania.

Zmienianie lub cofanie jednej akcji korygowania

Istnieją dwa różne sposoby ponownego rozważenia przesłanych akcji:

• Za pośrednictwem ujednoliconego centrum akcji.
• Chociaż centrum akcji pakietu Office.

Zmienianie lub cofanie za pośrednictwem ujednoliconego centrum akcji

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do ujednoliconego centrum akcji, wybierając pozycję Centrum akcji. Aby przejść bezpośrednio do ujednoliconego centrum akcji, użyj polecenia https://security.microsoft.com/action-center/.
2. Na stronie Centrum akcji wybierz kartę Historia , a następnie wybierz akcję, którą chcesz zmienić lub cofnąć.
3. W okienku po prawej stronie ekranu wybierz odpowiednią akcję (przejdź do skrzynki odbiorczej, przejdź do wiadomości-śmieci, przejdź do usuniętych elementów, usuń nietrwałe lub usuń je na stałe).

Zmienianie lub cofanie za pośrednictwem centrum akcji pakietu Office

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do centrum akcji pakietu Office wcentrum akcjiEmail & współpracy>— przegląd> akcji. Aby przejść bezpośrednio do centrum akcji pakietu Office, użyj polecenia https://security.microsoft.com/threatincidents.
2. Na stronie Centrum akcji wybierz odpowiednie korygowanie.
3. W panelu bocznym kliknij wpis przesyłania wiadomości e-mail i poczekaj na załadowanie listy.
4. Poczekaj na przycisk Akcja u góry, aby włączyć i wybierz przycisk Akcja, aby zmienić typ akcji.
5. Spowoduje to utworzenie odpowiednich akcji.

Następne kroki

• Korzystanie z Eksploratora zagrożeń
• Administracja /Akcje ręczne
• Jak zgłaszać wyniki fałszywie dodatnie/ujemne w zautomatyzowanych możliwościach badania i reagowania

Zobacz też

• Wyświetlanie szczegółów i wyników zautomatyzowanego badania w Office 365