Просмотр действий по исправлению и управление ими в Office 365

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 2

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Так как автоматическое исследование электронной почты & содержимого для совместной работы приводит к вынесению приговоров, таких как вредоносные или подозрительные, создаются определенные действия по исправлению. В Microsoft Defender для Office 365 действия по исправлению могут включать:

• Обратимое удаление сообщений электронной почты или кластеров
• Отключение внешней пересылки почты

Эти действия по исправлению не выполняются до тех пор, пока ваша команда по операциям безопасности не утвердит их. Мы рекомендуем как можно скорее просмотреть и утвердить все ожидающие действия, чтобы автоматизированное расследование завершилось своевременно. Перед выполнением каких-либо действий необходимо быть частью Поиск & роли очистки.

Мы добавили дополнительные проверки для повторяющихся или перекрывающихся исследований с одинаковыми кластерами, утвержденными несколько раз. Если тот же кластер исследования уже утвержден в предыдущем часе, новые повторяющиеся исправления не будут обрабатываться повторно. Это не приводит к удалению повторяющихся расследований или доказательств исследования. Оно просто отменяет дубликаты утвержденных действий для повышения скорости обработки исправлений. Для повторяющихся утвержденных исследований кластера на боковой панели центра уведомлений не отображаются сведения о действии.

Утверждение (или отклонение) ожидающих действий

Существует четыре различных способа поиска и выполнения действий автоматического исследования:

• Очередь инцидентов
• Само исследование (доступ к запросу через инцидент или из оповещения)
• Центр уведомлений
• Очередь исследований и исправлений

Очередь инцидентов

1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Инциденты в разделе Инциденты & оповещения Инциденты>. Чтобы перейти непосредственно на страницу Инциденты, используйте .https://security.microsoft.com/incidents
2. Фильтр по действию Pending для состояния автоматического исследования (необязательно).
3. На странице Инциденты выберите имя инцидента, чтобы открыть страницу его сводки.
4. Перейдите на вкладку Доказательства и Ответ .
5. Выберите элемент в списке, чтобы открыть его всплывающее меню.
6. Просмотрите сведения и выполните одно из следующих действий.
   • Выберите параметр Утвердить ожидающее действие, чтобы инициировать ожидающее действие.
   • Выберите параметр Отклонить ожидающее действие, чтобы предотвратить принятие ожидающего действия.

Центр уведомлений

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите на страницу Центра уведомлений, выбрав Центр уведомлений. Чтобы перейти непосредственно на страницу Центра уведомлений , используйте https://security.microsoft.com/action-center/pending.
2. На странице Центр уведомлений убедитесь, что выбрана вкладка Ожидание , а затем просмотрите список действий, ожидающих утверждения.
   • Выберите Открыть страницу исследования, чтобы просмотреть дополнительные сведения об исследовании.
   • Выберите Утвердить чтобы инициировать ожидающие действия.
   • Выберите Отклонить чтобы предотвратить действие, ожидающие завершения.

Примечание.

Время ожидания действий истекает после ожидания утверждения в течение одной недели.

Очередь исследований и исправлений

1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Исследование угроз по адресу Email & исследования совместной работы>. Чтобы перейти непосредственно на страницу исследования угроз, используйте .https://security.microsoft.com/airinvestigation
2. На странице Исследование угроз найдите и элемент из списка, состояние которого — Ожидание действия.
3. Нажмите кнопку Открыть в новом окне в списке времени (между идентификатором и состоянием).
4. На открывающейся странице выполните действия утверждения или отклонения.

Изменение или отмена одного действия по исправлению

Существует два разных способа пересмотреть отправленные действия:

• Через единый центр уведомлений.
• Хотя центр уведомлений Office.

Изменение или отмена через единый центр уведомлений

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в единый центр уведомлений, выбрав Центр уведомлений. Чтобы перейти непосредственно в единый центр уведомлений, используйте .https://security.microsoft.com/action-center/
2. На странице Центр уведомлений перейдите на вкладку Журнал , а затем выберите действие, которое нужно изменить или отменить.
3. В области в правой части экрана выберите соответствующее действие (переместить в папку "Входящие", переместить в папку "Нежелательные", переместить в удаленные элементы, обратимое удаление или жесткое удаление).

Изменение или отмена с помощью центра уведомлений Office

1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в центр уведомлений Office по адресу Email &центр уведомлений попроверке> совместной работы>. Чтобы перейти непосредственно в центр уведомлений Office, используйте .https://security.microsoft.com/threatincidents
2. На странице Центр уведомлений выберите соответствующее исправление.
3. На боковой панели щелкните запись отправки почты и дождитесь загрузки списка.
4. Дождитесь включения кнопки Действие в верхней части и нажмите кнопку Действие, чтобы изменить тип действия.
5. При этом будут созданы соответствующие действия.

Дальнейшие действия

• Использование Обозреватель угроз
• Администратор /Manual Actions
• Как сообщать о ложноположительных и отрицательных результатах в возможностях автоматического исследования и реагирования

См. также

• Просмотр сведений и результатов автоматического исследования в Office 365