Granska och hantera reparationsåtgärder i Office 365
Tips
Visste du att du kan prova funktionerna i Microsoft 365 Defender för Office 365 plan 2 utan kostnad? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft 365 Defender portalens utvärderingshubb. Läs mer om vem som kan registrera dig och utvärderingsvillkoren här.
Gäller för
När automatiserade undersökningar av e-postsamarbetesinnehåll & resulterar i domar, till exempel Skadliga eller misstänkta, skapas vissa reparationsåtgärder. I Microsoft Defender för Office 365 kan reparationsåtgärder omfatta:
- Mjuk borttagning av e-postmeddelanden eller kluster
- Inaktivera extern vidarebefordran av e-post
Dessa åtgärder vidtas inte såvida inte och tills ditt säkerhetsåtgärdsteam godkänner dem. Vi rekommenderar att du granskar och godkänner eventuella väntande åtgärder så snart som möjligt så att dina automatiserade undersökningar slutförs i tid. Du måste vara en del av sökrensningsrollen & innan du vidtar några åtgärder.
Vi har lagt till ytterligare kontroller för duplicerade eller överlappande undersökningar med samma kluster som har godkänts flera gånger. Om samma undersökningskluster redan har godkänts föregående timme bearbetas inte den nya duplicerade reparationen igen. Det här beteendet tar inte bort duplicerade undersökningar eller undersökningsbevis – det avduplicerar helt enkelt godkända åtgärder för att förbättra bearbetningshastigheten för reparation. För duplicerade godkända klusterundersökningar visas inte åtgärdsinformation på panelen på åtgärdscentret .
Godkänn (eller avvisa) väntande åtgärder
Det finns fyra olika sätt att hitta och vidta automatiska undersökningsåtgärder:
- Incidentkö
- Själva undersökningen (nås via incident eller från en avisering)
- Åtgärdscenter
- Kö för undersöknings- och reparationsundersökningar
Incidentkö
- I Microsoft 365 Defender portalen på https://security.microsoft.comgår du till sidan Incidenter i Incidenter & aviseringar>Incidenter. Om du vill gå direkt till sidan Incidenter använder du https://security.microsoft.com/incidents.
- Filtrera på Väntande åtgärd för tillståndet Automatiserad undersökning (valfritt).
- På sidan Incidenter väljer du ett incidentnamn för att öppna sammanfattningssidan.
- Välj fliken Bevis och svar .
- Välj ett objekt i listan för att öppna dess utfällbara fönster.
- Granska informationen och utför sedan något av följande steg:
- Välj alternativet Godkänn väntande åtgärd för att initiera en väntande åtgärd.
- Välj alternativet Avvisa väntande åtgärd för att förhindra att en väntande åtgärd vidtas.
Åtgärdscenter
- I Microsoft 365 Defender portalen på https://security.microsoft.comgår du till sidan Åtgärdscenter genom att välja Åtgärdscenter. Om du vill gå direkt till sidan Åtgärdscenter använder du https://security.microsoft.com/action-center/pending.
- På sidan Åtgärdscenter kontrollerar du att fliken Väntar är markerad och granskar sedan listan över åtgärder som väntar på godkännande.
- Välj Öppna undersökningssida om du vill visa mer information om undersökningen.
- Välj Godkänn för att initiera en väntande åtgärd.
- Välj Avvisa för att förhindra att en väntande åtgärd vidtas.
Kö för undersöknings- och reparationsundersökningar
- I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till sidan Hotundersökning på Email &samarbetsundersökningar>. Om du vill gå direkt till sidan Hotundersökning använder du https://security.microsoft.com/airinvestigation.
- På sidan Hotundersökning letar du upp och ett objekt från listan vars status är Väntande åtgärd.
- Klicka på
Öppna i nytt fönster i listtiden (mellan ID och Status).
- På sidan som öppnas vidtar du åtgärder för att godkänna eller avvisa.
Ändra eller ångra en åtgärd
Det finns två olika sätt att ompröva skickade åtgärder:
- Via det enhetliga åtgärdscentret.
- Även i Åtgärdscenter för Office.
Ändra eller ångra via det enhetliga åtgärdscentret
- I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till det enhetliga åtgärdscentret genom att välja Åtgärdscenter. Om du vill gå direkt till det enhetliga åtgärdscentret använder du https://security.microsoft.com/action-center/.
- På sidan Åtgärdscenter väljer du fliken Historik och sedan den åtgärd som du vill ändra eller ångra.
- I fönstret till höger på skärmen väljer du lämplig åtgärd (flytta till inkorgen, flytta till skräppost, flytta till borttagna objekt, mjuk borttagning eller hård borttagning).
Ändra eller ångra via Åtgärdscenter för Office
- I Microsoft 365 Defender-portalen på https://security.microsoft.comgår du till Åtgärdscenter för Office på Email & åtgärdscenterförsamarbetsgranskning>>. Om du vill gå direkt till Office-åtgärdscentret använder du https://security.microsoft.com/threatincidents.
- På sidan Åtgärdscenter väljer du lämplig reparation.
- I sidopanelen klickar du på posten e-postöverföringar och väntar tills listan har lästs in.
- Vänta tills knappen Åtgärd längst upp har aktiverats och välj knappen Åtgärd för att ändra åtgärdstypen.
- Detta skapar lämpliga åtgärder.
Nästa steg
- Använda Hotutforskaren
- Admin /Manuella åtgärder
- Så här rapporterar du falska positiva/negativa identifieringar i funktioner för automatiserad undersökning och svar