Examinar e gerenciar ações de correção em Office 365

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 2

Dica

Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

À medida que investigações automatizadas no email & conteúdo de colaboração resultam em veredictos, como Mal-intencionado ou suspeito, determinadas ações de correção são criadas. Em Microsoft Defender para Office 365, as ações de correção podem incluir:

• Exclusão suave de mensagens de email ou clusters
• Desativar o encaminhamento de email externo

Essas ações de correção não são tomadas a menos e até que sua equipe de operações de segurança as aprove. Recomendamos revisar e aprovar todas as ações pendentes o mais rápido possível para que suas investigações automatizadas se concluam em tempo hábil. Você precisa fazer parte do Pesquisa & função de limpeza antes de tomar qualquer ação.

Adicionamos verificações adicionais para investigações duplicadas ou sobrepostas com os mesmos clusters aprovados várias vezes. Se o mesmo cluster de investigação já estiver aprovado na hora anterior, a nova correção duplicada não será processada novamente. Esse comportamento não remove investigações duplicadas ou evidências de investigação - ele simplesmente elimina ações aprovadas para melhorar a velocidade de processamento de correção. Para as investigações de cluster aprovadas duplicadas, você não verá detalhes da ação no painel lateral do centro de ações .

Aprovar (ou rejeitar) ações pendentes

Há quatro maneiras diferentes de encontrar e executar ações de investigação automática:

• Fila de incidentes
• Investigação em si (acessada por meio de Incidente ou de um alerta)
• Centro de ações
• Fila de investigações de investigação e correção

Fila de incidentes

1. No portal Microsoft Defender em https://security.microsoft.com, acesse a página Incidentes em Incidentes & alertas>Incidentes. Para ir diretamente para a página Incidentes , use https://security.microsoft.com/incidents.
2. Filtrar em Ação pendente para o estado de investigação automatizado (opcional).
3. Na página Incidentes , selecione um nome de incidente para abrir sua página de resumo.
4. Selecione a guia Evidência e Resposta .
5. Selecione um item na lista para abrir seu painel de sobrevoo.
6. Examine as informações e siga uma das seguintes etapas:
   • Selecione a opção Aprovar a ação pendente para iniciar uma ação pendente.
   • Selecione a opção Rejeitar a ação pendente para impedir que uma ação pendente seja tomada.

Central de Ações

1. No portal Microsoft Defender em https://security.microsoft.com, acesse a página centro de ações selecionando Centro de ações. Para ir diretamente para a página centro de ações, use https://security.microsoft.com/action-center/pending.
2. Na página Centro de ações, verifique se a guia Pending está selecionada e examine a lista de ações que aguardam aprovação.
   • Selecione Abrir a página de investigação para exibir mais informações detalhadas sobre a investigação.
   • Selecione Aprovar para iniciar uma ação pendente.
   • Selecione Rejeitar para impedir que uma ação pendente seja executada.

Observação

Ações pendentes tempo limite após aguardar aprovação por uma semana.

Fila de investigações de investigação e correção

1. No portal Microsoft Defender no https://security.microsoft.com, acesse a página investigação de ameaças no Email & colaboração>Investigações. Para ir diretamente para a página investigação de ameaças , use https://security.microsoft.com/airinvestigation.
2. Na página investigação de ameaças, localize e um item da lista cujo status está pendente de ação.
3. Clique em Abrir em nova janela na hora da lista (entre ID e Status).
4. Na página aberta, faça ações de aprovação ou rejeição.

Alterar ou desfazer uma ação de correção

Há duas maneiras diferentes de reconsiderar as ações enviadas:

• Por meio do centro de ação unificado.
• Embora a central de ações do Office.

Alterar ou desfazer por meio do centro de ação unificado

1. No portal do Microsoft Defender em https://security.microsoft.com, acesse o centro de ação unificado selecionando Centro de ação. Para ir diretamente ao centro de ação unificado, use https://security.microsoft.com/action-center/.
2. Na página Centro de ações , selecione a guia Histórico e selecione a ação que você deseja alterar ou desfazer.
3. No painel no lado direito da tela, selecione a ação apropriada (mova-se para a caixa de entrada, mova-se para lixo eletrônico, mova-se para itens excluídos, exclusão suave ou exclusão dura).

Alterar ou desfazer por meio do centro de ações do Office

1. No portal do Microsoft Defender emhttps://security.microsoft.com , acesse o centro de ações do Office no centro de ações de revisão de colaboração>> Email &. Para ir diretamente ao centro de ações do Office, use https://security.microsoft.com/threatincidents.
2. Na página Centro de ações, selecione a correção apropriada.
3. No painel lateral, clique na entrada envios de email e aguarde o carregamento da lista.
4. Aguarde o botão Ação na parte superior para habilitar e selecione o botão Ação para alterar o tipo de ação.
5. Isso criará as ações apropriadas.

Próximas etapas

• Usar Explorer de ameaças
• Administração /Ações Manuais
• Como relatar falsos positivos/negativos em recursos automatizados de investigação e resposta

Confira também

• Exibir detalhes e resultados de uma investigação automatizada no Office 365