Granska och hantera reparationsåtgärder i Office 365

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 2

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

När automatiserade undersökningar av e-post & samarbetsinnehåll resulterar i domar, till exempel skadliga eller misstänkta, skapas vissa reparationsåtgärder. I Microsoft Defender för Office 365 kan reparationsåtgärder omfatta:

• Mjuk borttagning av e-postmeddelanden eller kluster
• Inaktivera extern vidarebefordran av e-post

Dessa åtgärder vidtas inte såvida inte och tills ditt säkerhetsåtgärdsteam godkänner dem. Vi rekommenderar att du granskar och godkänner eventuella väntande åtgärder så snart som möjligt så att dina automatiserade undersökningar slutförs i tid. Du måste vara en del av Search & rensningsrollen innan du vidtar några åtgärder.

Vi har lagt till ytterligare kontroller för duplicerade eller överlappande undersökningar med samma kluster som har godkänts flera gånger. Om samma undersökningskluster redan har godkänts föregående timme bearbetas inte den nya duplicerade reparationen igen. Det här beteendet tar inte bort duplicerade undersökningar eller undersökningsbevis – det avduplicerar helt enkelt godkända åtgärder för att förbättra bearbetningshastigheten för reparation. För duplicerade godkända klusterundersökningar visas inte åtgärdsinformation på panelen på åtgärdscentrets sida.

Godkänn (eller avvisa) väntande åtgärder

Det finns fyra olika sätt att hitta och vidta automatiska undersökningsåtgärder:

• Incidentkö
• Själva undersökningen (nås via incident eller från en avisering)
• Åtgärdscenter
• Kö för undersöknings- och reparationsundersökningar

Incidentkö

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till sidan Incidenter i Incidenter & aviseringar>Incidenter. Om du vill gå direkt till sidan Incidenter använder du https://security.microsoft.com/incidents.
2. Filtrera på Väntande åtgärd för tillståndet Automatiserad undersökning (valfritt).
3. På sidan Incidenter väljer du ett incidentnamn för att öppna sammanfattningssidan.
4. Välj fliken Bevis och svar .
5. Välj ett objekt i listan för att öppna dess utfällbara fönster.
6. Granska informationen och utför sedan något av följande steg:
   • Välj alternativet Godkänn väntande åtgärd för att initiera en väntande åtgärd.
   • Välj alternativet Avvisa väntande åtgärd för att förhindra att en väntande åtgärd vidtas.

Åtgärdscenter

1. I Microsoft Defender portalen på https://security.microsoft.comgår du till sidan Åtgärdscenter genom att välja Åtgärdscenter. Om du vill gå direkt till sidan Åtgärdscenter använder du https://security.microsoft.com/action-center/pending.
2. På sidan Åtgärdscenter kontrollerar du att fliken Väntar är markerad och granskar sedan listan över åtgärder som väntar på godkännande.
   • Välj Öppna undersökningssida om du vill visa mer information om undersökningen.
   • Välj Godkänn för att initiera en väntande åtgärd.
   • Välj Avvisa för att förhindra att en väntande åtgärd vidtas.

Obs!

Väntande åtgärder överskrider tidsgränsen efter att ha väntat på godkännande i en vecka.

Kö för undersöknings- och reparationsundersökningar

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till sidan Hotundersökning på Email &samarbetsundersökningar>. Om du vill gå direkt till sidan Hotundersökning använder du https://security.microsoft.com/airinvestigation.
2. På sidan Hotundersökning letar du upp och ett objekt från listan vars status är Väntande åtgärd.
3. Klicka på Öppna i nytt fönster i listtiden (mellan ID och Status).
4. På sidan som öppnas vidtar du åtgärder för att godkänna eller avvisa.

Ändra eller ångra en åtgärd

Det finns två olika sätt att ompröva skickade åtgärder:

• Via det enhetliga åtgärdscentret.
• Även i Åtgärdscenter för Office.

Ändra eller ångra via det enhetliga åtgärdscentret

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till det enhetliga åtgärdscentret genom att välja Åtgärdscenter. Om du vill gå direkt till det enhetliga åtgärdscentret använder du https://security.microsoft.com/action-center/.
2. På sidan Åtgärdscenter väljer du fliken Historik och sedan den åtgärd som du vill ändra eller ångra.
3. I fönstret till höger på skärmen väljer du lämplig åtgärd (flytta till inkorgen, flytta till skräppost, flytta till borttagna objekt, mjuk borttagning eller hård borttagning).

Ändra eller ångra via Åtgärdscenter för Office

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till Åtgärdscenter för Office på Email & åtgärdscenterförsamarbetsgranskning>>. Om du vill gå direkt till Office-åtgärdscentret använder du https://security.microsoft.com/threatincidents.
2. På sidan Åtgärdscenter väljer du lämplig reparation.
3. I sidopanelen klickar du på posten e-postöverföringar och väntar tills listan har lästs in.
4. Vänta tills knappen Åtgärd längst upp har aktiverats och välj knappen Åtgärd för att ändra åtgärdstypen.
5. Detta skapar lämpliga åtgärder.

Nästa steg

• Använda Hotutforskaren
• Admin /Manuella åtgärder
• Så här rapporterar du falska positiva/negativa identifieringar i funktioner för automatiserad undersökning och svar

Se även

• Visa information och resultat av en automatiserad undersökning i Office 365