סקור ונהל פעולות תיקון בחקירה ותגובה אוטומטיות (AIR) Microsoft Defender עבור Office 365 תוכנית 2

עצה

הידעת שתוכל לנסות את התכונות ב- Microsoft Defender עבור Office 365 2 ללא תשלום? השתמש בגירסת הניסיון ל- 90 Defender עבור Office 365 במרכז Microsoft Defender של הפורטל. למד מי יכול להירשם ולתנאי ניסיון ב-נסה Microsoft Defender עבור Office 365.

בארגונים של Microsoft 365 עם תוכנית Microsoft Defender עבור Office 365 תוכנית 2 (כלולה ברשיונות Microsoft 365 כגון E5 או כמנוי עצמאי), חקירה אוטומטית ותגובה (AIR) התוצאה היא לעתים קרובות פעולות תיקון ממתינות. לדוגמה:

• מחיקה זמנית של הודעות דואר אלקטרוני או אשכולות.
• ביטול העברת דואר חיצוני.

פעולות תיקון אלה אינן נלקחות באופן אוטומטי. פעולות התיקון זקוקות לאישור של חבר בצוות פעולות האבטחה (SecOps). שאר המאמר מסביר כיצד לאשר או לדחות פעולות תיקון ממתינות.

עצה

אנו ממליצים לסקור ולאימות או לדחות פעולות תיקון ממתינות בהקדם האפשרי, כך שהחקירות האוטומטיות שלך יושלם בזמן.

המערכת בודקת חקירות כפולות או חופפות שבהן אותם אשכולות אושרו מספר פעמים. אם אותו אשכול חקירה כבר אושר במהלך השעה הקודמת, תיקוןים כפולים חדשים לא יעובדו שוב. התנהגות זו אינה מסירה חקירות כפולות או ראיות חקירה, אלא פשוט משכפל פעולות מאושרות כדי לשפר את מהירות העיבוד של התיקון. עבור חקירות כפולות של אשכולות מאושרים, אינך רואה את פרטי הפעולה הנשלף מהכרטיסיה היסטוריה בדף מרכז הפעולות שבפורטל Microsoft Defender ב- https://security.microsoft.com/action-center/history.

מה עליך לדעת לפני שתתחיל?

• כדי לראות את ההרשאות ואת דרישת הרישוי עבור AIR, ראה הרשאות ורישוי נדרשים עבור AIR.
• זמן קצוב לפעולות ממתינות הסתיים לאחר המתנה לאישור למשך שבוע אחד.

אישור או דחייה של פעולות ממתינות מהדף 'חקירות' Defender עבור Office 365

לקבלת מידע נוסף אודות הדף אירועים ב- Defender עבור Office 365, ראה פרטים והתוצאות של חקירה ותגובה אוטומטיות (AIR) Microsoft Defender עבור Office 365 תוכנית 2.

1. בפורטל Microsoft Defender ב- https://security.microsoft.com, עבור אל הדף חקירות ב- Defender עבור Office 365 דואר אלקטרוני & פעולה>. לחלופין, כדי לעבור ישירות לדף חקירות ב- Defender עבור Office 365, השתמש ב- https://security.microsoft.com/airinvestigation.
2. בדף חקירות ב- Defender עבור Office 365, חפש ופריט ברשימה שבה הערך מצבממתין לאישור. השתמש במסנן כדי לסנן את התוצאות לפי הפעולהמצב ערך ממתין.
3. בדף חקירות, בחר את פריט הפעולה 'ממתין' על-ידי לחיצה על פתח בחלון חדש בעמודה מזהה (אל תבחר את תיבת הסימון).
4. בדף פרטי החקירה שנפתח, בחר בכרטיסיה פעולות ממתינות ולאחר מכן בחר ערך מהרשימה על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד העמודה הראשונה.
5. בתפריט הנשלף של הפרטים שנפתח, סקור את המידע ולאחר מכן בחר אחת מהפעולות הבאות בחלק העליון של התפריט הנשלף:
   • אשר: הפעל את הפעולה הממתינה.
   • דחה: מנע את ביצוע הפעולה הממתינה.

אישור או דחייה של פעולות ממתינות מהדף אירועים Defender XDR

לקבלת מידע נוסף אודות הדף אירועים ב- Defender XDR, ראה חקירת אירועים Microsoft Defender XDR.

1. בפורטל Microsoft Defender בhttps://security.microsoft.com- , עבור אל הדף אירועים ב- Defender XDR תחת אירועים &>אירועים. לחלופין, כדי לעבור ישירות לדף אירועים ב- Defender XDR, השתמש ב- https://security.microsoft.com/incidents.

2. בדף חקירות ב- Defender XDR, חפש ופריט ברשימה שבה הערך מצבממתין לאישור. השתמש בשלבים הבאים כדי לסנן את התוצאות:

   1. נקה מסננים לא רצויים קיימים בדף אירועים על-ידי בחירה באפשרות נקה.
   2. בחר הוסף מסנן.
   3. בתיבת הדו-שיח הוספת מסנן שנפתחת, בחר מצב חקירה אוטומטי ולאחר מכן בחר הוסף.
   4. בחר את מצב החקירה האוטומטית: כל מסנן בדף אירועים .
   5. ברשימה הנפתחת שנפתחת, בחר פעולה ממתינה ולאחר מכן בחר החל.

   עצה

   סינון לפי מצב חקירה אוטומטית: פעולה ממתינה עשויה לחשוף אירועי אב עם ערך האישור הממתין עבור מצב חקירה. במקרה זה, אתה מתעניין באירוע ההורה הממתין לאישור .

3. בדף אירועים, בחר את מקרה האישור הממתין על-ידי לחיצה על הערך שם אירוע (אל תבחר את תיבת הסימון).

4. בדף פרטי האירוע שנפתח, בחר את הכרטיסיה ראיות ותגובה וחפש את הערכים עם ערך מצב התיקון ממתין לאישור. לדוגמה:

   • לחץ על כותרת העמודה מצב תיקון ולאחר מכן בחר מיין בסדר עולה.
   • בחר סנן>ממתין לאישור במקטע מצב תיקון >החל.

5. בכרטיסיה ראיות ותגובה , בחר את הערך ממתין לאישור על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד העמודה הראשונה.

6. בתפריט הנשלף של הפרטים שנפתח, סקור את המידע ולאחר מכן בחר אחת מהפעולות הבאות בחלק העליון של התפריט הנשלף:

   • אשר: הפעל את הפעולה הממתינה.
   • דחה: מנע את ביצוע הפעולה הממתינה.

אישור או דחייה של פעולות ממתינות ממרכז הפעולות המאוחד

לקבלת מידע נוסף אודות מרכז הפעולות המאוחד ב- Defender XDR, ראה מרכז הפעולות.

1. בפורטל Microsoft Defender בhttps://security.microsoft.com- , עבור אל הכרטיסיה ממתין בדף מרכז הפעולות בפעולות &>> הפעולותבמרכז הפעולות ממתינה. לחלופין, כדי לעבור ישירות אל הכרטיסיה ממתין בדף מרכז הפעולות, השתמש ב- https://security.microsoft.com/action-center/pending.
2. בכרטיסיה ממתין בדף מרכז הפעולות , בחר ערך מהרשימה על-ידי לחיצה על הערך מזהה חקירה (אל תבחר את תיבת הסימון).
3. בדף פרטי החקירה שנפתח, בחר בכרטיסיה פעולות ממתינות ולאחר מכן בחר ערך מהרשימה על-ידי לחיצה במקום כלשהו בשורה שאינה תיבת הסימון לצד העמודה הראשונה.
4. בתפריט הנשלף של הפרטים שנפתח, סקור את המידע ולאחר מכן בחר אחת מהפעולות הבאות בחלק העליון של התפריט הנשלף:
   • אשר: הפעל את הפעולה הממתינה.
   • דחה: מנע את ביצוע הפעולה הממתינה.

שינוי או ביטול פעולות תיקון

לקבלת הוראות, ראה ביטול פעולות תיקון.

למידע נוסף

• הצגת פרטים והתוצאות של חקירה אוטומטית ב- Office 365
• תיקון דואר אלקטרוני זדוני שנמסר Office 365
• דיווח על תוצאות חיוביות מוטעות או על שליליים מוטעים בחקירה ותגובה אוטומטיות (AIR)