Examinar e gerenciar ações de correção em Office 365
Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
À medida que investigações automatizadas no email & conteúdo de colaboração resultam em veredictos, como Mal-intencionado ou suspeito, determinadas ações de correção são criadas. Em Microsoft Defender para Office 365, as ações de correção podem incluir:
- Exclusão suave de mensagens de email ou clusters
- Desativar o encaminhamento de email externo
Essas ações de correção não são tomadas a menos e até que sua equipe de operações de segurança as aprove. Recomendamos revisar e aprovar todas as ações pendentes o mais rápido possível para que suas investigações automatizadas se concluam em tempo hábil. Você precisa fazer parte do Pesquisa & função de limpeza antes de tomar qualquer ação.
Adicionamos verificações adicionais para investigações duplicadas ou sobrepostas com os mesmos clusters aprovados várias vezes. Se o mesmo cluster de investigação já estiver aprovado na hora anterior, a nova correção duplicada não será processada novamente. Esse comportamento não remove investigações duplicadas ou evidências de investigação - ele simplesmente elimina ações aprovadas para melhorar a velocidade de processamento de correção. Para as investigações de cluster aprovadas duplicadas, você não verá detalhes da ação no painel lateral do centro de ações .
Aprovar (ou rejeitar) ações pendentes
Há quatro maneiras diferentes de encontrar e executar ações de investigação automática:
- Fila de incidentes
- Investigação em si (acessada por meio de Incidente ou de um alerta)
- Centro de ações
- Fila de investigações de investigação e correção
Fila de incidentes
- No portal Microsoft Defender em https://security.microsoft.com, acesse a página Incidentes em Incidentes & alertas>Incidentes. Para ir diretamente para a página Incidentes , use https://security.microsoft.com/incidents.
- Filtrar em Ação pendente para o estado de investigação automatizado (opcional).
- Na página Incidentes , selecione um nome de incidente para abrir sua página de resumo.
- Selecione a guia Evidência e Resposta .
- Selecione um item na lista para abrir seu painel de sobrevoo.
- Examine as informações e siga uma das seguintes etapas:
- Selecione a opção Aprovar a ação pendente para iniciar uma ação pendente.
- Selecione a opção Rejeitar a ação pendente para impedir que uma ação pendente seja tomada.
Central de Ações
- No portal Microsoft Defender em https://security.microsoft.com, acesse a página centro de ações selecionando Centro de ações. Para ir diretamente para a página centro de ações, use https://security.microsoft.com/action-center/pending.
- Na página Centro de ações, verifique se a guia Pending está selecionada e examine a lista de ações que aguardam aprovação.
- Selecione Abrir a página de investigação para exibir mais informações detalhadas sobre a investigação.
- Selecione Aprovar para iniciar uma ação pendente.
- Selecione Rejeitar para impedir que uma ação pendente seja executada.
Observação
Ações pendentes tempo limite após aguardar aprovação por uma semana.
Fila de investigações de investigação e correção
- No portal Microsoft Defender no https://security.microsoft.com, acesse a página investigação de ameaças no Email & colaboração>Investigações. Para ir diretamente para a página investigação de ameaças , use https://security.microsoft.com/airinvestigation.
- Na página investigação de ameaças, localize e um item da lista cujo status está pendente de ação.
- Clique em Abrir em nova janela na hora da lista (entre ID e Status).
- Na página aberta, faça ações de aprovação ou rejeição.
Alterar ou desfazer uma ação de correção
Há duas maneiras diferentes de reconsiderar as ações enviadas:
- Por meio do centro de ação unificado.
- Embora a central de ações do Office.
Alterar ou desfazer por meio do centro de ação unificado
- No portal do Microsoft Defender em https://security.microsoft.com, acesse o centro de ação unificado selecionando Centro de ação. Para ir diretamente ao centro de ação unificado, use https://security.microsoft.com/action-center/.
- Na página Centro de ações , selecione a guia Histórico e selecione a ação que você deseja alterar ou desfazer.
- No painel no lado direito da tela, selecione a ação apropriada (mova-se para a caixa de entrada, mova-se para lixo eletrônico, mova-se para itens excluídos, exclusão suave ou exclusão dura).
Alterar ou desfazer por meio do centro de ações do Office
- No portal do Microsoft Defender emhttps://security.microsoft.com , acesse o centro de ações do Office no centro de ações de revisão de colaboração>> Email &. Para ir diretamente ao centro de ações do Office, use https://security.microsoft.com/threatincidents.
- Na página Centro de ações, selecione a correção apropriada.
- No painel lateral, clique na entrada envios de email e aguarde o carregamento da lista.
- Aguarde o botão Ação na parte superior para habilitar e selecione o botão Ação para alterar o tipo de ação.
- Isso criará as ações apropriadas.
Próximas etapas
- Usar Explorer de ameaças
- Administração /Ações Manuais
- Como relatar falsos positivos/negativos em recursos automatizados de investigação e resposta
Confira também
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de