Pasos para usar la corrección manual de correo electrónico en el Explorador de amenazas
Email corrección es una característica ya existente que ayuda a los administradores a actuar en los correos electrónicos que son amenazas.
¿Qué es necesario?
- Microsoft Defender para Office 365 plan 2 (incluido en los planes E5)
- Permisos suficientes (asegúrese de conceder la cuenta Búsqueda y el rol Purgar)
Create y realizar un seguimiento de la corrección
- Seleccione una amenaza para corregirla en el Explorador de amenazas y seleccione Realizar acción, que le ofrece opciones como Eliminación temporal o Eliminación rígida.
- Se abre el panel lateral y solicita detalles, como un nombre para la corrección, la gravedad y la descripción. Una vez que se revise la información, seleccione Enviar.
- En cuanto el administrador aprueba esta acción, verá aquí el identificador de aprobación y un vínculo al Centro de acciones de Microsoft Defender XDR. En esta página se puede realizar un seguimiento de las acciones.
- Administración alerta de acción: se muestra una alerta del sistema en la cola de alertas con el nombre "Acción administrativa enviada por un administrador". Esto indica que un administrador tomó la acción de corregir una entidad. Proporciona detalles como el nombre del administrador que realizó la acción y el vínculo de investigación y el tiempo. Esto hace que los administradores conozcan cada acción importante, como la corrección, realizada en las entidades.
- Administración investigación de acciones: dado que el administrador ya realizó el análisis de las entidades y eso fue lo que llevó a la acción realizada, el sistema no realiza más análisis. Muestra detalles como alerta relacionada, entidad seleccionada para la corrección, acción realizada, estado de corrección, recuento de entidades y aprobador de la acción. Esto permite a los administradores realizar un seguimiento de la investigación y las acciones que se llevan a cabo manualmente(una investigación de acción de administrador).
- Registros de acciones en el centro de acciones unificado: los registros de historial y acción de acciones de correo electrónico, como la eliminación temporal y el traslado a la carpeta de elementos eliminados, están disponibles en una vista centralizada en lapestaña Historialdel Centro> de acciones unificado.
- Filtros en el centro de acciones unificado : hay varios filtros, como el nombre de la corrección, el identificador de aprobación, el identificador de investigación, el estado, el origen de la acción y el tipo de acción. Estos son útiles para buscar y realizar un seguimiento de las acciones de correo electrónico en el Centro de acciones unificado.
Importante
Para mejorar el rendimiento, la corrección debe realizarse en lotes de 50 000 o menos. Reduzca el resultado de la búsqueda mediante la ubicación de entrega más reciente y desencadene la corrección de correo electrónico si el correo electrónico está en una carpeta corregida como Bandeja de entrada, Correo no deseado, Eliminado, por ejemplo.
Escenarios que llaman a la corrección de correo electrónico
Estos son los escenarios de corrección de correo electrónico:
- Como parte de una investigación, SecOps identifica una amenaza en el buzón de correo de un usuario final y quiere borrar los correos electrónicos problemáticos.
- Cuando SecOps aprueba las acciones de correo electrónico sugeridas en Investigación y respuesta automatizadas (AIR), la acción de corrección se desencadena automáticamente para el clúster de correo electrónico o correo electrónico determinado.
Dos escenarios de corrección de correo electrónico manual:
- El escenario principal:
- Las acciones manuales realizadas en los correos electrónicos (por ejemplo, mediante el Explorador de amenazas o la búsqueda avanzada) solo son visibles en el centro de acciones de Defender para Office 365 heredado (Email y el Centro de acciones de revisión > de colaboración > en el Centro de acciones: seguridad de Microsoft 365).
- Escenario de aprobación en dos pasos:
- Acciones manuales pendientes de aprobación mediante el proceso de aprobación en dos pasos (1. Un analista agregó el correo electrónico a la corrección, 2. El correo electrónico fue revisado y aprobado por otro analista).
Dados los escenarios comunes, la corrección de correo electrónico se puede desencadenar de tres maneras diferentes.
- Corrección basada en consultas: al seleccionar todos los resultados de búsqueda con una consulta (se pueden enviar 200 000 correos electrónicos como máximo).
- Corrección seleccionada a mano: para seleccionar correos electrónicos uno a uno, haga clic en la casilla (se pueden enviar 100 correos electrónicos a la vez).
- Corrección basada en consultas con exclusiones: selección de todos los correos electrónicos y eliminación manual de algunos mensajes (la consulta puede contener un máximo de 1000 correos electrónicos y el número máximo de exclusiones es 100).
Pasos siguientes
- Vaya al portal de Microsoft Defender e inicie sesión.
- En el panel de navegación, seleccione Centro de acciones.
- Vaya a la pestaña Historial y seleccione cualquier lista de aprobación en espera. Se abre un panel lateral.
- Realice un seguimiento del estado de la acción en el centro de acciones unificado.
Más información
Obtenga más información sobre la corrección de correo electrónico.