在管理中查看和管理Office 365

适用对象

由于自动调查电子邮件&协作内容会导致裁定(如恶意或可疑 )时, 会创建某些修正操作。 在 Microsoft Defender for Office 365中,修正操作可能包括:

  • 软删除电子邮件或群集
  • 关闭外部邮件转发

除非安全运营团队批准这些修正操作,否则不会执行这些修正操作。 我们建议尽快审阅和批准任何挂起的操作,以便自动调查及时完成。 在某些情况下,你可以重新思考提交的操作。 在采取任何操作之前,你需要&清除角色的一部分。

批准 (或拒绝) 挂起的操作

有四种不同的方法可查找和执行自动调查操作:

事件队列

  1. In the Microsoft 365 Defender portal at https://security.microsoft.com, go to the Incidents page at Incidents & alerts > Incidents. 若要直接转到" 事件"页面 ,请使用 https://security.microsoft.com/incidents
  2. "事件" 页上,选择事件名称以打开其摘要页面。
  3. 选择" 证据和响应" 选项卡。
  4. 选择列表项。 其侧窗格将打开。
  5. 在侧窗格中,执行批准或拒绝操作。

操作中心

  1. In the Microsoft 365 Defender portal at https://security.microsoft.com, go to the Action center page by selecting Action center. 若要直接转到操作 中心页面 ,请使用 https://security.microsoft.com/action-center/pending
  2. 在"操作中心"页上,确认"挂起"选项卡已选中,然后查看等待审批的操作列表。
    • 选择 "打开调查" 页以查看有关调查的更多详细信息。
    • 选择 "批准 "以启动挂起的操作。
    • 选择 " 拒绝"以防止执行挂起的操作。

调查和修正调查队列

  1. In the Microsoft 365 Defender portal at https://security.microsoft.com, go to the Threat investigation page at Email & collaboration > Investigations. 若要直接转到威胁 调查页面, 请使用 https://security.microsoft.com/airinvestigation
  2. 在" 威胁调查 "页上,从列表中查找状态为"挂起" 操作的项目
  3. 单击" 在新建窗口图标中打开"。 在列表时间窗口 的新窗口中打开, (ID状态) 。
  4. 在打开的页面中,执行批准或拒绝操作。

更改或撤消一个修正操作

有两种不同的方法可以重新考虑提交的操作:

通过统一操作中心更改或撤消

  1. 在 Microsoft 365 Defender门户中https://security.microsoft.com,通过选择"操作中心"转到统一 操作中心。 若要直接转到统一操作中心,请使用 https://security.microsoft.com/action-center/
  2. 在" 操作中心" 页上, 选择"历史记录 "选项卡,然后选择要更改或撤消的操作。
  3. 在屏幕 右侧窗格中,选择相应的操作 (移动到收件箱、移动到垃圾邮件、移动到已删除项目、软删除或硬) 。

通过操作中心Office或撤消

  1. In the Microsoft 365 Defender portal at https://security.microsoft.com, go to the Office action center at Email & collaboration > Review > Action center. 若要直接转到操作Office中心,请使用 https://security.microsoft.com/threatincidents
  2. 在" 操作中心" 页上,选择适当的修正。
  3. 在侧面板中,单击邮件提交条目并等待列表加载。
  4. 等待顶部的"操作"按钮启用并选择"操作"按钮以更改操作类型。
  5. 这将创建相应的操作。

后续步骤

另请参阅