Examinar e gerenciar ações de correção em Office 365

Dica

Você sabia que pode experimentar os recursos no Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft 365 Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Aplica-se a

À medida que investigações automatizadas sobre conteúdo de colaboração por email & resultam em veredictos, como Mal-intencionado ou suspeito, determinadas ações de correção são criadas. Em Microsoft Defender para Office 365, as ações de correção podem incluir:

  • Exclusão suave de mensagens de email ou clusters
  • Desativar o encaminhamento de email externo

Essas ações de correção não são tomadas a menos e até que sua equipe de operações de segurança as aprove. Recomendamos revisar e aprovar todas as ações pendentes o mais rápido possível para que suas investigações automatizadas se concluam em tempo hábil. Você precisa fazer parte da função de limpeza de pesquisa & antes de tomar qualquer ação.

Adicionamos verificações adicionais para investigações duplicadas ou sobrepostas com os mesmos clusters aprovados várias vezes. Se o mesmo cluster de investigação já estiver aprovado na hora anterior, a nova correção duplicada não será processada novamente. Esse comportamento não remove investigações duplicadas ou evidências de investigação - ele simplesmente elimina ações aprovadas para melhorar a velocidade de processamento de correção. Para as investigações de cluster aprovadas duplicadas, você não verá detalhes da ação no painel lateral do centro de ações .

Aprovar (ou rejeitar) ações pendentes

Há quatro maneiras diferentes de encontrar e executar ações de investigação automática:

Fila de incidentes

  1. No portal Microsoft 365 Defender em https://security.microsoft.com, acesse a página Incidentes em Incidentes & alertas>incidentes. Para ir diretamente para a página Incidentes , use https://security.microsoft.com/incidents.
  2. Filtrar em Ação pendente para o estado de investigação automatizado (opcional).
  3. Na página Incidentes , selecione um nome de incidente para abrir sua página de resumo.
  4. Selecione a guia Evidência e Resposta .
  5. Selecione um item na lista para abrir seu painel de sobrevoo.
  6. Examine as informações e siga uma das seguintes etapas:
    • Selecione a opção Aprovar a ação pendente para iniciar uma ação pendente.
    • Selecione a opção Rejeitar a ação pendente para impedir que uma ação pendente seja tomada.

Central de Ações

  1. No portal do Microsoft 365 Defender em https://security.microsoft.com, acesse a página Centro de ações selecionando Centro de ações. Para ir diretamente para a página centro de ações, use https://security.microsoft.com/action-center/pending.
  2. Na página Centro de ações, verifique se a guia Pending está selecionada e examine a lista de ações que aguardam aprovação.
    • Selecione Abrir página de investigação para exibir mais detalhes sobre a investigação.
    • Selecione Aprovar para iniciar uma ação pendente.
    • Selecione Rejeitar para impedir que uma ação pendente seja tomada.

Fila de investigações de investigação e correção

  1. No portal Microsoft 365 Defender no https://security.microsoft.com, acesse a página investigação de ameaças no Email & colaboração>Investigações. Para ir diretamente para a página investigação de ameaças , use https://security.microsoft.com/airinvestigation.
  2. Na página investigação de ameaças , localize e um item da lista cujo status é ação pendente.
  3. Clique em Abrir no ícone de nova janela.Abra em nova janela na hora da lista (entre ID e Status).
  4. Na página aberta, faça ações de aprovação ou rejeição.

Alterar ou desfazer uma ação de correção

Há duas maneiras diferentes de reconsiderar as ações enviadas:

Alterar ou desfazer por meio do centro de ação unificado

  1. No portal do Microsoft 365 Defender em https://security.microsoft.com, acesse o centro de ação unificado selecionando Centro de ação. Para ir diretamente ao centro de ação unificado, use https://security.microsoft.com/action-center/.
  2. Na página Centro de ações , selecione a guia Histórico e selecione a ação que você deseja alterar ou desfazer.
  3. No painel no lado direito da tela, selecione a ação apropriada (mova-se para a caixa de entrada, mova para lixo eletrônico, mova-se para itens excluídos, exclusão suave ou exclusão dura).

Alterar ou desfazer por meio do centro de ações do Office

  1. No portal Microsoft 365 Defender no https://security.microsoft.com, acesse o centro de ações do Office no centro de ações de revisão de colaboração &>> Email. Para ir diretamente ao centro de ações do Office, use https://security.microsoft.com/threatincidents.
  2. Na página Centro de ações, selecione a correção apropriada.
  3. No painel lateral, clique na entrada envios de email e aguarde o carregamento da lista.
  4. Aguarde o botão Ação na parte superior para habilitar e selecione o botão Ação para alterar o tipo de ação.
  5. Isso criará as ações apropriadas.

Próximas etapas

Confira também