Office 365での修復アクションの確認と管理

• 適用対象:

  ✅ Microsoft Defender for Office 365 Plan 2

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用します。 「Microsoft Defender for Office 365を試す」で、誰がサインアップして試用版の条件を利用できるかについて説明します。

電子メール & コラボレーション コンテンツに対する自動調査により、 悪意のある 、 疑わしいなどの判定が行われるので、特定の修復アクションが作成されます。 Microsoft Defender for Office 365では、修復アクションには次のものが含まれます。

• 電子メール メッセージまたはクラスターの論理的な削除
• 外部メール転送をオフにする

これらの修復アクションは、セキュリティ運用チームが承認しない限り実行されません。 自動調査がタイムリーに完了するように、保留中のアクションをできるだけ早く確認して承認することをお勧めします。 アクションを実行する前に、Search & purge ロールの一部である必要があります。

同じクラスターが複数回承認された重複または重複する調査のチェックが追加されました。 前の 1 時間に同じ調査クラスターが既に承認されている場合、新しい重複修復は再び処理されません。 この動作では、重複する調査や調査の証拠は削除されません。単に承認されたアクションを複製解除して修復処理速度を向上させます。 承認されたクラスターの重複調査については、 アクション センター のサイド パネルにアクションの詳細は表示されません。

保留中のアクションを承認 (または拒否) する

自動調査アクションを見つけて実行するには、次の 4 つの方法があります。

• インシデント キュー
• 調査自体 (インシデントまたはアラートからアクセス)
• アクション センター
• 調査と修復の調査キュー

インシデント キュー

1. https://security.microsoft.comのMicrosoft Defender ポータルで、インシデント & アラート>Incidents の [インシデント] ページに移動します。 [インシデント] ページに直接移動するには、https://security.microsoft.com/incidentsを使用します。
2. 自動調査状態の保留中アクションをフィルター処理します (省略可能)。
3. [インシデント] ページ で 、インシデント名を選択して概要ページを開きます。
4. [証拠と応答] タブを選択します。
5. リストから項目を選択して、ポップアップ ウィンドウを開きます。
6. 情報を確認し、次のいずれかの手順を実行します:
   • 保留中のアクションを開始するには、[保留中のアクションの承認] オプションを選択します。
   • 保留中のアクションが実行されないようにするには、[保留中のアクションを拒否する] オプションを選択します。

アクション センター

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[アクション センター] を選択して [アクション センター] ページに移動します。 [アクション センター] ページに直接移動するには、https://security.microsoft.com/action-center/pendingを使用します。
2. [ アクション センター ] ページで、[ 保留中 ] タブが選択されていることを確認し、承認を待っているアクションの一覧を確認します。
   • [調査ページを開く] を選択して、調査に関する詳細情報を表示します。
   • [承認する] を選択して、保留中のアクションを開始します。
   • [拒否する] を選択して、保留中のアクションが実行されないようにします。

注:

保留中のアクションは、承認を 1 週間待機した後にタイムアウトします。

調査と修復の調査キュー

1. https://security.microsoft.comのMicrosoft Defender ポータルで、コラボレーション>Investigationsの [脅威の調査] ページEmail &移動します。 [脅威の調査] ページに直接移動するには、https://security.microsoft.com/airinvestigationを使用します。
2. [ 脅威の調査 ] ページで、状態が [保留中] アクションであるアイテムを一覧から探します。
3. [リストの時刻 (ID と状態の間) で [新しいウィンドウで開く] をクリックします。
4. 開いたページで、承認または拒否のアクションを実行します。

1 つの修復アクションを変更または元に戻す

送信されたアクションを再考するには、次の 2 つの方法があります。

• 統合アクション センターを通じて。
• Office アクション センターを使用します。

統合アクション センターを使用して変更または元に戻す

1. https://security.microsoft.comのMicrosoft Defender ポータルで、[アクション センター] を選択して統合アクション センターに移動します。 統合アクション センターに直接移動するには、 https://security.microsoft.com/action-center/を使用します。
2. [ アクション センター ] ページで、[ 履歴 ] タブを選択し、変更または元に戻すアクションを選択します。
3. 画面の右側のウィンドウで、適切なアクション (受信トレイへの移動、 迷惑メールへの移動、 削除済みアイテムへの移動、 論理的な削除、 またはハード削除) を選択します。

Office アクション センターを使用して変更または元に戻す

1. https://security.microsoft.comのMicrosoft Defender ポータルで、コラボレーション>Review>Action centerの Office アクション センター Email &移動します。 Office アクション センターに直接アクセスするには、 https://security.microsoft.com/threatincidentsを使用します。
2. [ アクション センター ] ページで、適切な修復を選択します。
3. サイド パネルで、メール送信エントリをクリックし、一覧が読み込まれるのを待ちます。
4. 上部にある [アクション] ボタンが有効になるまで待ち、[アクション] ボタンを選択してアクションの種類を変更します。
5. これにより、適切なアクションが作成されます。

次の手順

• 脅威エクスプローラーを使用する
• /手動アクションの管理
• 自動調査と対応機能で誤検知/陰性を報告する方法

関連項目

• Office 365での自動調査の詳細と結果を表示する