Überprüfen und Verwalten von Wartungsaktionen in Office 365
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Da automatisierte Untersuchungen zu E-Mail-& Zusammenarbeitsinhalten zu Urteilen führen, z. B . böswillig oder verdächtig, werden bestimmte Abhilfemaßnahmen erstellt. In Microsoft Defender for Office 365 können Wartungsaktionen Folgendes umfassen:
- Vorläufiges Löschen von E-Mail-Nachrichten oder -Clustern
- Deaktivieren der externen E-Mail-Weiterleitung
Diese Abhilfemaßnahmen werden erst ausgeführt, wenn und bis Ihr Sicherheitsteam sie genehmigt. Es wird empfohlen, alle ausstehenden Aktionen so schnell wie möglich zu überprüfen und zu genehmigen, damit Ihre automatisierten Untersuchungen rechtzeitig abgeschlossen werden. Sie müssen Teil der Rolle "Suche & Bereinigen" sein, bevor Sie Aktionen ausführen.
Wir haben zusätzliche Überprüfungen für doppelte oder überlappende Untersuchungen mit denselben Clustern hinzugefügt, die mehrmals genehmigt wurden. Wenn derselbe Untersuchungscluster bereits in der vorherigen Stunde genehmigt wurde, werden keine neuen doppelten Korrekturen mehr verarbeitet. Durch dieses Verhalten werden keine duplizierten Untersuchungen oder Untersuchungsbeweise entfernt, es dedupliziert lediglich genehmigte Aktionen, um die Verarbeitungsgeschwindigkeit der Korrektur zu verbessern. Für die duplizierten genehmigten Clusteruntersuchungen werden im Seitenbereich des Info-Centers keine Aktionsdetails angezeigt.
Genehmigen (oder Ablehnen) ausstehender Aktionen
Es gibt vier verschiedene Möglichkeiten, automatische Untersuchungsaktionen zu finden und durchzuführen:
- Incidentwarteschlange
- Untersuchung selbst (Zugriff über Incident oder über eine Warnung)
- Info-Center
- Untersuchungs- und Wartungsuntersuchungswarteschlange
Incidentwarteschlange
- Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Seite Incidentsunter Incidents & alerts>Incidents( Incidents). Um direkt zur Seite Incidents zu wechseln, verwenden Sie https://security.microsoft.com/incidents.
- Filtern Sie nach der Aktion "Ausstehend " für den Status "Automatisierte Untersuchung" (optional).
- Wählen Sie auf der Seite Incidents einen Incidentnamen aus, um die zugehörige Zusammenfassungsseite zu öffnen.
- Wählen Sie die Registerkarte Beweis und Antwort aus.
- Wählen Sie ein Element in der Liste aus, um den flyout-Bereich zu öffnen.
- Überprüfen Sie die Informationen, und führen Sie dann einen der folgenden Schritte aus:
- Wählen Sie die Option Ausstehende Aktion genehmigen aus, um eine ausstehende Aktion zu initiieren.
- Wählen Sie die Option Ausstehende Aktion ablehnen aus, um zu verhindern, dass eine ausstehende Aktion ausgeführt wird.
Info-Center
- Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Seite Info-Center, indem Sie Info-Center auswählen. Um direkt zur Info-Center-Seite zu wechseln, verwenden Sie https://security.microsoft.com/action-center/pending.
- Überprüfen Sie auf der Seite Info-Center , ob die Registerkarte Ausstehend ausgewählt ist, und überprüfen Sie dann die Liste der Aktionen, die auf die Genehmigung warten.
- Wählen Sie Untersuchungsseite öffnen aus, um weitere Details zur Untersuchung anzuzeigen.
- Wählen Sie Genehmigen aus, um eine ausstehende Aktion zu initiieren.
- Wählen Sie Ablehnen aus, um zu verhindern, dass eine ausstehende Aktion ausgeführt wird.
Hinweis
Timeout für ausstehende Aktionen, nachdem eine Woche lang auf die Genehmigung gewartet wurde.
Untersuchungs- und Wartungsuntersuchungswarteschlange
- Navigieren Sie im Microsoft Defender-Portal unter zur https://security.microsoft.comSeite Bedrohungsuntersuchung unter Email &Untersuchungen zur Zusammenarbeit>. Um direkt zur Seite Bedrohungsuntersuchung zu wechseln, verwenden Sie https://security.microsoft.com/airinvestigation.
- Suchen Sie auf der Seite Bedrohungsuntersuchung ein Element aus der Liste, dessen status aktion ausstehend ist.
- Klicken Sie in der Listenzeit (zwischen ID und Status) auf In neuem Fenster öffnen.
- Führen Sie auf der seite, die geöffnet wird, Aktionen zum Genehmigen oder Ablehnen aus.
Ändern oder Rückgängigmachen einer Korrekturaktion
Es gibt zwei verschiedene Möglichkeiten, eingereichte Aktionen zu überdenken:
- Über das einheitliche Info-Center.
- Über das Office-Info-Center.
Ändern oder Rückgängigmachen über das einheitliche Info-Center
- Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzum einheitlichen Info-Center, indem Sie Info-Center auswählen. Verwenden Sie , um direkt zum einheitlichen Info-Center zu wechseln https://security.microsoft.com/action-center/.
- Wählen Sie auf der Seite Info-Center die Registerkarte Verlauf und dann die Aktion aus, die Sie ändern oder rückgängig machen möchten.
- Wählen Sie im Bereich auf der rechten Seite des Bildschirms die entsprechende Aktion aus (in den Posteingang verschieben, in Junk-Junk verschieben, auf gelöschte Elemente verschieben, vorläufiges Löschen oder endgültiges Löschen).
Ändern oder Rückgängigmachen über das Office-Info-Center
- Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzum Office-Info-Center unter Email &Info-Centerfür zusammenarbeitsüberprüfungen>>. Um direkt zum Office-Info-Center zu wechseln, verwenden Sie https://security.microsoft.com/threatincidents.
- Wählen Sie auf der Seite Info-Center die entsprechende Korrektur aus.
- Klicken Sie im Seitenbereich auf den Eintrag E-Mail-Übermittlungen, und warten Sie, bis die Liste geladen wurde.
- Warten Sie, bis die Schaltfläche Aktion oben aktiviert ist, und wählen Sie die Schaltfläche Aktion aus, um den Aktionstyp zu ändern.
- Dadurch werden die entsprechenden Aktionen erstellt.
Nächste Schritte
- Verwenden von Threat Explorer
- Admin /Manual Actions
- Melden falsch positiver/negativer Ergebnisse in automatisierten Untersuchungs- und Reaktionsfunktionen