Granska och hantera reparationsåtgärder i Office 365

Tips

Visste du att du kan prova funktionerna i Microsoft 365 Defender för Office 365 plan 2 utan kostnad? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft 365 Defender portalens utvärderingshubb. Läs mer om vem som kan registrera dig och utvärderingsvillkoren här.

Gäller för

När automatiserade undersökningar av e-postsamarbetesinnehåll & resulterar i domar, till exempel Skadliga eller misstänkta, skapas vissa reparationsåtgärder. I Microsoft Defender för Office 365 kan reparationsåtgärder omfatta:

  • Mjuk borttagning av e-postmeddelanden eller kluster
  • Inaktivera extern vidarebefordran av e-post

Dessa åtgärder vidtas inte såvida inte och tills ditt säkerhetsåtgärdsteam godkänner dem. Vi rekommenderar att du granskar och godkänner eventuella väntande åtgärder så snart som möjligt så att dina automatiserade undersökningar slutförs i tid. Du måste vara en del av sökrensningsrollen & innan du vidtar några åtgärder.

Vi har lagt till ytterligare kontroller för duplicerade eller överlappande undersökningar med samma kluster som har godkänts flera gånger. Om samma undersökningskluster redan har godkänts föregående timme bearbetas inte den nya duplicerade reparationen igen. Det här beteendet tar inte bort duplicerade undersökningar eller undersökningsbevis – det avduplicerar helt enkelt godkända åtgärder för att förbättra bearbetningshastigheten för reparation. För duplicerade godkända klusterundersökningar visas inte åtgärdsinformation på panelen på åtgärdscentret .

Godkänn (eller avvisa) väntande åtgärder

Det finns fyra olika sätt att hitta och vidta automatiska undersökningsåtgärder:

Incidentkö

  1. I Microsoft 365 Defender portalen på https://security.microsoft.comgår du till sidan Incidenter i Incidenter & aviseringar>Incidenter. Om du vill gå direkt till sidan Incidenter använder du https://security.microsoft.com/incidents.
  2. Filtrera på Väntande åtgärd för tillståndet Automatiserad undersökning (valfritt).
  3. På sidan Incidenter väljer du ett incidentnamn för att öppna sammanfattningssidan.
  4. Välj fliken Bevis och svar .
  5. Välj ett objekt i listan för att öppna dess utfällbara fönster.
  6. Granska informationen och utför sedan något av följande steg:
    • Välj alternativet Godkänn väntande åtgärd för att initiera en väntande åtgärd.
    • Välj alternativet Avvisa väntande åtgärd för att förhindra att en väntande åtgärd vidtas.

Åtgärdscenter

  1. I Microsoft 365 Defender portalen på https://security.microsoft.comgår du till sidan Åtgärdscenter genom att välja Åtgärdscenter. Om du vill gå direkt till sidan Åtgärdscenter använder du https://security.microsoft.com/action-center/pending.
  2. På sidan Åtgärdscenter kontrollerar du att fliken Väntar är markerad och granskar sedan listan över åtgärder som väntar på godkännande.
    • Välj Öppna undersökningssida om du vill visa mer information om undersökningen.
    • Välj Godkänn för att initiera en väntande åtgärd.
    • Välj Avvisa för att förhindra att en väntande åtgärd vidtas.

Kö för undersöknings- och reparationsundersökningar

  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till sidan HotundersökningEmail &samarbetsundersökningar>. Om du vill gå direkt till sidan Hotundersökning använder du https://security.microsoft.com/airinvestigation.
  2. På sidan Hotundersökning letar du upp och ett objekt från listan vars status är Väntande åtgärd.
  3. Klicka på Ikonen Öppna i nytt fönster.Öppna i nytt fönster i listtiden (mellan ID och Status).
  4. På sidan som öppnas vidtar du åtgärder för att godkänna eller avvisa.

Ändra eller ångra en åtgärd

Det finns två olika sätt att ompröva skickade åtgärder:

Ändra eller ångra via det enhetliga åtgärdscentret

  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till det enhetliga åtgärdscentret genom att välja Åtgärdscenter. Om du vill gå direkt till det enhetliga åtgärdscentret använder du https://security.microsoft.com/action-center/.
  2. På sidan Åtgärdscenter väljer du fliken Historik och sedan den åtgärd som du vill ändra eller ångra.
  3. I fönstret till höger på skärmen väljer du lämplig åtgärd (flytta till inkorgen, flytta till skräppost, flytta till borttagna objekt, mjuk borttagning eller hård borttagning).

Ändra eller ångra via Åtgärdscenter för Office

  1. I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till Åtgärdscenter för Office på Email & åtgärdscenterförsamarbetsgranskning>>. Om du vill gå direkt till Office-åtgärdscentret använder du https://security.microsoft.com/threatincidents.
  2. På sidan Åtgärdscenter väljer du lämplig reparation.
  3. I sidopanelen klickar du på posten e-postöverföringar och väntar tills listan har lästs in.
  4. Vänta tills knappen Åtgärd längst upp har aktiverats och välj knappen Åtgärd för att ändra åtgärdstypen.
  5. Detta skapar lämpliga åtgärder.

Nästa steg

Se även