Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'indagine automatizzata e la risposta (AIR) consentono di risparmiare tempo e fatica al team addetto alle operazioni di sicurezza.
- Quando vengono attivati avvisi, l'analisi automatizzata determinerà l'ambito dell'impatto di una minaccia nell'organizzazione e fornirà le azioni correttive consigliate.
- I team di sicurezza possono risparmiare tempo sfruttando l'automazione AIR per ridurre la necessità di ricerca manuale.
- Queste indagini possono identificare i messaggi di posta elettronica che non sono stati puliti da Zero-hour Auto Purge (ZAP) o altre correzioni.
- Le indagini AIR identificano anche le configurazioni delle cassette postali che possono essere rischiose o indicano una cassetta postale compromessa.
Le azioni di indagine (e le indagini) sono accessibili da diversi punti del portale di sicurezza Microsoft: tramite eventi imprevisti, avvisi o centro operativo. L'uso da parte degli amministratori è basato sul flusso di lavoro che un amministratore sta seguendo.
Perché usare il flusso di lavoro del Centro notifiche
Poiché le indagini automatizzate sui contenuti di collaborazione Email & comportano verdetti, ad esempio Dannoso o Sospetto, vengono create alcune azioni correttive. Le azioni correttive suggerite non vengono eseguite automaticamente. I secOps devono passare a ogni indagine per approvare le azioni suggerite. Nel Centro notifiche tutte le azioni in sospeso vengono aggregate per un'approvazione rapida.
Cosa ti serve
- Microsoft Defender per Office 365 piano 2 o superiore (incluso con E5)
- Autorizzazioni sufficienti (lettore di sicurezza, operazioni di sicurezza o amministratore della sicurezza, oltre a Search e ruolo di eliminazione)
Passaggi per analizzare e approvare le azioni AIR direttamente dal Centro notifiche
- Passare a Microsoft Defender portale e accedere.
- Quando il Centro notifiche carica, filtra e assegna priorità facendo clic su colonne per ordinare le azioni o premi Filtri per applicare un filtro come il tipo di entità (per un URL specifico) o il tipo di azione (ad esempio, l'eliminazione temporanea del messaggio di posta elettronica).
- Quando si fa clic su un'azione, verrà aperto un riquadro a comparsa. Verrà visualizzato sul lato destro dello schermo per la revisione.
- Per altre informazioni sul motivo per cui viene richiesta un'azione, selezionare Apri pagina di indagine nel riquadro a comparsa per altre informazioni sull'indagine o sugli avvisi collegati a questa azione. Gli amministratori possono anche approvare le azioni visualizzate nella pagina di indagine selezionando la scheda Azioni in sospeso .
- In caso contrario, selezionare Approva per eseguire l'azione consigliata direttamente dal Centro notifiche.
- Rifiutare l'azione, se si determina che non è necessaria.
Controllare la cronologia di AIR
- Passare al portale di Microsoft Defender e accedere.
- Nel riquadro di spostamento a sinistra espandere Azioni & invii e quindi fare clic su Centro notifiche.
- Quando il Centro notifiche viene caricato, premere la scheda Cronologia .
- Visualizzare la cronologia di AIR, incluse le decisioni prese, l'origine dell'azione e l'amministratore che ha preso la decisione, se necessario.
Ulteriori informazioni
Visualizzare i risultati di un'indagine automatizzata in Microsoft 365 - Office 365 | Microsoft Docs
Informazioni sull'approvazione e il rifiuto delle azioni in sospeso dalla pagina Indagine