Rever e gerir ações de remediação no Office 365

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 2

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

À medida que as investigações automatizadas sobre o e-mail & conteúdo de colaboração resultam em veredictos, como Malicioso ou Suspeito, são criadas determinadas ações de remediação. No Microsoft Defender para Office 365, as ações de remediação podem incluir:

• Eliminação recuperável de mensagens de e-mail ou clusters
• Desativar o reencaminhamento de correio externo

Estas ações de remediação não são tomadas a menos que e até que a sua equipa de operações de segurança as aprove. Recomendamos que reveja e aprove quaisquer ações pendentes o mais rapidamente possível para que as suas investigações automatizadas estejam concluídas em tempo útil. Tem de fazer parte da Pesquisa & função de remoção antes de efetuar quaisquer ações.

Adicionámos verificações adicionais para investigações duplicadas ou sobrepostas com os mesmos clusters aprovados várias vezes. Se o mesmo cluster de investigação já estiver aprovado na hora anterior, a nova remediação duplicada não será processada novamente. Este comportamento não remove investigações duplicadas ou provas de investigação- simplesmente elimina duplicações de ações aprovadas para melhorar a velocidade de processamento da remediação. Para as investigações de cluster aprovadas duplicadas, não verá os detalhes da ação no painel lateral do centro de ação .

Aprovar (ou rejeitar) ações pendentes

Existem quatro formas diferentes de localizar e tomar medidas de investigação automática:

• Fila de incidentes
• Investigação em si (acedida através de Incidente ou a partir de um alerta)
• Centro de ação
• Fila de investigações de investigação e remediação

Fila de incidentes

1. No portal Microsoft Defender em https://security.microsoft.com, aceda à página Incidentes em Incidentes & alertas Incidentes>. Para aceder diretamente à página Incidentes , utilize https://security.microsoft.com/incidents.
2. Filtre a ação Pendente para o estado investigação automatizada (opcional).
3. Na página Incidentes , selecione um nome de incidente para abrir a respetiva página de resumo.
4. Selecione o separador Provas e Resposta .
5. Selecione um item na lista para abrir o respetivo painel de lista de opções.
6. Reveja as informações e, em seguida, siga um dos seguintes passos:
   • Selecione a opção Aprovar ação pendente para iniciar uma ação pendente.
   • Selecione a opção Rejeitar ação pendente para impedir a realização de uma ação pendente.

Centro de ação

1. No portal Microsoft Defender em https://security.microsoft.com, aceda à página Centro de ação ao selecionar Centro de ação. Para aceder diretamente à página Centro de ação , utilize https://security.microsoft.com/action-center/pending.
2. Na página Centro de ação , verifique se o separador Pendente está selecionado e, em seguida, reveja a lista de ações que aguardam aprovação.
   • Selecione Abrir página de investigação para ver mais detalhes sobre a investigação.
   • Selecione Aprovar para iniciar uma ação pendente.
   • Selecione Rejeitar para impedir a realização de uma ação pendente.

Nota

As ações pendentes excedem o tempo limite após aguardar aprovação durante uma semana.

Fila de investigações de investigação e remediação

1. No portal Microsoft Defender em https://security.microsoft.com, aceda à página Investigação de ameaças na Email &investigações de colaboração>. Para aceder diretamente à página Investigação de ameaças , utilize https://security.microsoft.com/airinvestigation.
2. Na página Investigação de ameaças , localize e um item da lista cujo estado é Ação pendente.
3. Clique em Abrir numa nova janela na hora da lista (entre o ID e o Estado).
4. Na página que é aberta, realize ações de aprovação ou rejeição.

Alterar ou anular uma ação de remediação

Existem duas formas diferentes de reconsiderar as ações submetidas:

• Através do centro de ação unificado.
• Embora o centro de ação do Office.

Alterar ou anular através do centro de ação unificado

1. No portal Microsoft Defender em https://security.microsoft.com, aceda ao centro de ação unificado ao selecionar Centro de ação. Para aceder diretamente ao centro de ação unificado, utilize https://security.microsoft.com/action-center/.
2. Na página Centro de ação , selecione o separador Histórico e, em seguida, selecione a ação que pretende alterar ou anular.
3. No painel do lado direito do ecrã, selecione a ação adequada (mover para a caixa de entrada, mover para lixo, mover para itens eliminados, eliminação recuperável ou eliminação rígida).

Alterar ou anular através do centro de ação do Office

1. No portal de Microsoft Defender em https://security.microsoft.com, aceda ao centro de ação do Office em Email & centro de açãorever> colaboração>. Para aceder diretamente ao centro de ação do Office, utilize https://security.microsoft.com/threatincidents.
2. Na página Centro de ação , selecione a remediação adequada.
3. No painel lateral, clique na entrada submissões de correio e aguarde até que a lista seja carregada.
4. Aguarde que o botão Ação na parte superior ative e selecione o botão Ação para alterar o tipo de ação.
5. Isto irá criar as ações adequadas.

Passos seguintes

• Utilizar o Explorador de Ameaças
• Administração /Ações Manuais
• Como comunicar falsos positivos/negativos em capacidades de investigação e resposta automatizadas

Consulte também

• Ver detalhes e resultados de uma investigação automatizada no Office 365