Granska och hantera åtgärdsåtgärder i Office 365

Gäller för

Eftersom automatiska undersökningar av e& och samarbetsinnehåll resulterar i bedömningar, till exempel skadlig eller misstänkt, skapas vissa åtgärder. I Microsoft Defender för Office 365 kan åtgärder som vidtas omfattar:

  • Mjuk borttagning av e-postmeddelanden och kluster
  • Stänga av vidarebefordran av extern e-post

Dessa åtgärder vidtas inte om inte och tills ditt säkerhetsoperationsteam godkänner dem. Vi rekommenderar att du granskar och godkänner eventuella väntande åtgärder så snart som möjligt så att de automatiserade undersökningarna kan slutföras i tid. I vissa fall kan du ändra din skickade åtgärd. Du måste vara en del av rollen & och ta bort innan du vidtar några åtgärder.

Godkänna (eller avvisa) väntande åtgärder

Det finns fyra olika sätt att hitta och vidta åtgärder för automatisk undersökning:

Incidentkö

  1. Gå till Microsoft 365 Defender https://security.microsoft.com incidenter på sidan Incidenter på sidan & incidenter > . Om du vill gå direkt till sidan Incidenter använder du https://security.microsoft.com/incidents .
  2. På sidan Incidenter väljer du ett namn på incidenten så öppnas sammanfattningssidan.
  3. Välj fliken Bevis och svar.
  4. Markera ett objekt i listan. Sidofönstret öppnas.
  5. Godkänn eller avvisa åtgärder i sidofönstret.

Åtgärdscenter

  1. I Microsoft 365 Defender på https://security.microsoft.com går du till sidan Åtgärdscenter genom att välja Åtgärdscenter. Använd för att gå direkt till sidan Åtgärdscenter. https://security.microsoft.com/action-center/pending
  2. På sidan Åtgärdscenter kontrollerar du att fliken Väntande är markerad och granskar sedan listan med åtgärder som väntar på godkännande.
    • Välj Sidan Öppna undersökning om du vill visa mer information om undersökningen.
    • Välj Godkänn för att påbörja en väntande åtgärd.
    • Välj Avvisa för att förhindra att en väntande åtgärd vidtas.

Kön för undersöknings- och åtgärdsundersökningar

  1. I portalen Microsoft 365 Defender gå till sidan Undersökning av hot på https://security.microsoft.com E-& för samarbete > Undersökningar. Använd för att gå direkt till sidan Undersökning av https://security.microsoft.com/airinvestigation hot.
  2. På sidan Undersökning av hot hittar du en post från listan vars status är Väntande åtgärd.
  3. Klicka  på ikonen Öppna i nytt fönster. Öppna i nytt fönster på listtiden (mellan ID och Status).
  4. På den sida som öppnas godkänner eller avvisar du åtgärder.

Ändra eller ångra en åtgärd

Det finns två olika sätt att ändra din skickade åtgärd:

Ändra eller ångra i det enhetliga åtgärdscentret

  1. I Microsoft 365 Defender på går https://security.microsoft.com du till det enhetliga åtgärdscentret genom att välja Åtgärdscenter. Om du vill gå direkt till det enhetliga åtgärdscentret använder du https://security.microsoft.com/action-center/ .
  2. På sidan Åtgärdscenter väljer du fliken Historik och sedan den åtgärd som du vill ändra eller ångra.
  3. I fönstret till höger på skärmen väljer du lämplig åtgärd (flytta till Inkorgen, gå till skräppost, flytta till borttagna objekt, mjuk borttagning eller permanent borttagning).

Ändra eller ångra i Office åtgärdscenter

  1. I Microsoft 365 Defender på går https://security.microsoft.com du till åtgärdscenter Office e-post och samarbete & > Åtgärdscenter för > samarbete. Använd för att gå Office https://security.microsoft.com/threatincidents åtgärdscenter.
  2. sidan Åtgärdscenter väljer du lämplig åtgärd.
  3. I sidopanelen klickar du på posten för inskickade e-postmeddelanden och väntar på att listan läses in.
  4. Vänta på åtgärdsknappen högst upp för att aktivera och välj knappen Åtgärd för att ändra åtgärdstyp.
  5. Då skapas lämpliga åtgärder.

Nästa steg

Se även