Examinar e gerenciar ações de correção em Office 365

Dica

Você sabia que pode experimentar os recursos no Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft 365 Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.

Aplica-se a

• Plano 2 do Microsoft Defender para Office 365

À medida que investigações automatizadas sobre conteúdo de colaboração por email & resultam em veredictos, como Mal-intencionado ou suspeito, determinadas ações de correção são criadas. Em Microsoft Defender para Office 365, as ações de correção podem incluir:

• Exclusão suave de mensagens de email ou clusters
• Desativar o encaminhamento de email externo

Essas ações de correção não são tomadas a menos e até que sua equipe de operações de segurança as aprove. Recomendamos revisar e aprovar todas as ações pendentes o mais rápido possível para que suas investigações automatizadas se concluam em tempo hábil. Você precisa fazer parte da função de limpeza de pesquisa & antes de tomar qualquer ação.

Adicionamos verificações adicionais para investigações duplicadas ou sobrepostas com os mesmos clusters aprovados várias vezes. Se o mesmo cluster de investigação já estiver aprovado na hora anterior, a nova correção duplicada não será processada novamente. Esse comportamento não remove investigações duplicadas ou evidências de investigação - ele simplesmente elimina ações aprovadas para melhorar a velocidade de processamento de correção. Para as investigações de cluster aprovadas duplicadas, você não verá detalhes da ação no painel lateral do centro de ações .

Aprovar (ou rejeitar) ações pendentes

Há quatro maneiras diferentes de encontrar e executar ações de investigação automática:

• Fila de incidentes
• Investigação em si (acessada por meio de Incidente ou de um alerta)
• Centro de ações
• Fila de investigações de investigação e correção

Fila de incidentes

1. No portal Microsoft 365 Defender em https://security.microsoft.com, acesse a página Incidentes em Incidentes & alertas>incidentes. Para ir diretamente para a página Incidentes , use https://security.microsoft.com/incidents.
2. Filtrar em Ação pendente para o estado de investigação automatizado (opcional).
3. Na página Incidentes , selecione um nome de incidente para abrir sua página de resumo.
4. Selecione a guia Evidência e Resposta .
5. Selecione um item na lista para abrir seu painel de sobrevoo.
6. Examine as informações e siga uma das seguintes etapas:
   • Selecione a opção Aprovar a ação pendente para iniciar uma ação pendente.
   • Selecione a opção Rejeitar a ação pendente para impedir que uma ação pendente seja tomada.

Central de Ações

1. No portal do Microsoft 365 Defender em https://security.microsoft.com, acesse a página Centro de ações selecionando Centro de ações. Para ir diretamente para a página centro de ações, use https://security.microsoft.com/action-center/pending.
2. Na página Centro de ações, verifique se a guia Pending está selecionada e examine a lista de ações que aguardam aprovação.
   • Selecione Abrir página de investigação para exibir mais detalhes sobre a investigação.
   • Selecione Aprovar para iniciar uma ação pendente.
   • Selecione Rejeitar para impedir que uma ação pendente seja tomada.

Fila de investigações de investigação e correção

1. No portal Microsoft 365 Defender no https://security.microsoft.com, acesse a página investigação de ameaças no Email & colaboração>Investigações. Para ir diretamente para a página investigação de ameaças , use https://security.microsoft.com/airinvestigation.
2. Na página investigação de ameaças , localize e um item da lista cujo status é ação pendente.
3. Clique Abra em nova janela na hora da lista (entre ID e Status).
4. Na página aberta, faça ações de aprovação ou rejeição.

Alterar ou desfazer uma ação de correção

Há duas maneiras diferentes de reconsiderar as ações enviadas:

• Por meio do centro de ação unificado.
• Embora a central de ações do Office.

Alterar ou desfazer por meio do centro de ação unificado

1. No portal do Microsoft 365 Defender em https://security.microsoft.com, acesse o centro de ação unificado selecionando Centro de ação. Para ir diretamente ao centro de ação unificado, use https://security.microsoft.com/action-center/.
2. Na página Centro de ações , selecione a guia Histórico e selecione a ação que você deseja alterar ou desfazer.
3. No painel no lado direito da tela, selecione a ação apropriada (mova-se para a caixa de entrada, mova para lixo eletrônico, mova-se para itens excluídos, exclusão suave ou exclusão dura).

Alterar ou desfazer por meio do centro de ações do Office

1. No portal Microsoft 365 Defender no https://security.microsoft.com, acesse o centro de ações do Office no centro de ações de revisão de colaboração &>> Email. Para ir diretamente ao centro de ações do Office, use https://security.microsoft.com/threatincidents.
2. Na página Centro de ações, selecione a correção apropriada.
3. No painel lateral, clique na entrada envios de email e aguarde o carregamento da lista.
4. Aguarde o botão Ação na parte superior para habilitar e selecione o botão Ação para alterar o tipo de ação.
5. Isso criará as ações apropriadas.

Próximas etapas

• Usar o Gerenciador de Ameaças
• Administração /Ações Manuais
• Como relatar falsos positivos/negativos em recursos automatizados de investigação e resposta

Confira também

• Exibir detalhes e resultados de uma investigação automatizada no Office 365