Esaminare e gestire le azioni di correzione in Office 365

Consiglio

Sapevi che puoi provare le funzionalità in Microsoft Defender XDR gratuitamente per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni dettagliate su chi può iscriversi e condizioni di provaqui.

Poiché le indagini automatizzate sulla posta elettronica & contenuto di collaborazione generano verdetti, ad esempio dannosi o sospetti, vengono create alcune azioni correttive. In Microsoft Defender per Office 365, le azioni di correzione possono includere:

  • Eliminazione temporanea di messaggi di posta elettronica o cluster
  • Disattivazione dell'inoltro della posta esterna

Queste azioni correttive non vengono eseguite a meno che e fino a quando il team delle operazioni di sicurezza non le approverà. È consigliabile esaminare e approvare le azioni in sospeso il prima possibile in modo che le indagini automatizzate vengano completate in modo tempestivo. È necessario far parte di Search & ruolo di eliminazione prima di eseguire qualsiasi azione.

Sono stati aggiunti controlli aggiuntivi per indagini duplicate o sovrapposte con gli stessi cluster approvati più volte. Se lo stesso cluster di analisi è già stato approvato nell'ora precedente, la nuova correzione duplicata non verrà elaborata di nuovo. Questo comportamento non rimuove le indagini duplicate o le prove di indagine, ma semplicemente deduplicazione le azioni approvate per migliorare la velocità di elaborazione delle correzioni. Per le indagini sui cluster approvati duplicati, non verranno visualizzati i dettagli delle azioni nel pannello laterale del centro notifiche .

Approvare (o rifiutare) le azioni in sospeso

Esistono quattro modi diversi per trovare ed eseguire azioni di indagine automatica:

Coda degli eventi imprevisti

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla pagina Eventi imprevisti in Eventi imprevisti & avvisi imprevisti>. Per passare direttamente alla pagina Eventi imprevisti , usare https://security.microsoft.com/incidents.
  2. Filtrare in base all'azione In sospeso per lo stato di indagine automatizzato (facoltativo).
  3. Nella pagina Eventi imprevisti selezionare un nome di evento imprevisto per aprire la pagina di riepilogo.
  4. Selezionare la scheda Evidenza e risposta .
  5. Selezionare un elemento nell'elenco per aprire il riquadro a comparsa.
  6. Esaminare le informazioni e quindi eseguire una delle operazioni seguenti:
    • Selezionare l'opzione Approva azione in sospeso per avviare un'azione in sospeso.
    • Selezionare l'opzione Rifiuta azione in sospeso per impedire l'esecuzione di un'azione in sospeso.

Centro notifiche

  1. Nel portale Microsoft Defender in https://security.microsoft.compassare alla pagina Centro notifiche selezionando Centro notifiche. Per passare direttamente alla pagina Centro notifiche , usare https://security.microsoft.com/action-center/pending.
  2. Nella pagina Centro notifiche verificare che la scheda In sospeso sia selezionata e quindi esaminare l'elenco delle azioni in attesa di approvazione.
    • Selezionare pagina Apri indagine per visualizzare altri dettagli sull'indagine.
    • Selezionare Approva per avviare un'azione in sospeso.
    • Selezionare Rifiuta per impedire l'esecuzione di un'azione in sospeso.

Nota

Timeout delle azioni in sospeso dopo l'attesa dell'approvazione per una settimana.

Coda delle indagini di indagine e correzione

  1. Nel portale di Microsoft Defender all'indirizzo https://security.microsoft.compassare alla pagina Analisi delle minacce Email &indagini dicollaborazione>. Per passare direttamente alla pagina Analisi delle minacce , usare https://security.microsoft.com/airinvestigation.
  2. Nella pagina Analisi delle minacce individuare e un elemento dall'elenco il cui stato è In sospeso.
  3. Fare clic su Apri nella nuova finestra nell'ora dell'elenco (tra ID e stato).
  4. Nella pagina visualizzata eseguire azioni di approvazione o rifiuto.

Modificare o annullare un'azione di correzione

Esistono due modi diversi per riconsiderare le azioni inviate:

Modificare o annullare l'operazione tramite il centro notifiche unificato

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare al centro notifiche unificato selezionando Centro notifiche. Per passare direttamente al centro notifiche unificato, usare https://security.microsoft.com/action-center/.
  2. Nella pagina Centro notifiche selezionare la scheda Cronologia e quindi selezionare l'azione che si vuole modificare o annullare.
  3. Nel riquadro sul lato destro dello schermo selezionare l'azione appropriata (passare alla posta in arrivo, passare alla posta indesiderata, passare a elementi eliminati, eliminazione temporanea o eliminazione rigida).

Modificare o annullare tramite il Centro notifiche di Office

  1. Nel portale di Microsoft Defender in https://security.microsoft.compassare al Centro notifiche di Office in Email & Centronotificherevisione> collaborazione>. Per passare direttamente al Centro notifiche di Office, usare https://security.microsoft.com/threatincidents.
  2. Nella pagina Centro notifiche selezionare la correzione appropriata.
  3. Nel pannello laterale fare clic sulla voce invii di posta elettronica e attendere il caricamento dell'elenco.
  4. Attendere che il pulsante Azione nella parte superiore abiliti e selezionare il pulsante Azione per modificare il tipo di azione.
  5. Verranno create le azioni appropriate.

Passaggi successivi

Vedere anche