Office 365 için Microsoft Defender Plan 2'de otomatik araştırma ve yanıtta (AIR) düzeltme eylemlerini gözden geçirme ve yönetme
İpucu
Office 365 için Microsoft Defender Plan 2'deki özellikleri ücretsiz olarak deneyebileceğinizi biliyor muydunuz? Microsoft Defender portalı deneme hub'ında 90 günlük Office 365 için Defender deneme sürümünü kullanın. Deneme Office 365 için Microsoft Defender'nda kimlerin kaydolabileceği ve deneme koşulları hakkında bilgi edinin.
Office 365 için Microsoft Defender Plan 2'ye (E5 gibi Microsoft 365 lisanslarına veya tek başına abonelik olarak dahil) sahip Microsoft 365 kuruluşlarında otomatik araştırma ve yanıt (AIR) genellikle bekleyen düzeltme eylemleriyle sonuçlanmaktadır. Örneğin:
- E-posta iletilerini veya kümeleri geçici olarak silme.
- Dış posta iletmeyi kapatma.
Bu düzeltme eylemleri otomatik olarak yapılmaz. Düzeltme eylemlerinin güvenlik işlemleri (SecOps) ekibinin bir üyesi tarafından onaylanması gerekir. Bu makalenin geri kalanında bekleyen düzeltme eylemlerinin nasıl onaylanması veya reddedilmesi açıklanmaktadır.
İpucu
Otomatik araştırmalarınızın zamanında tamamlanması için bekleyen düzeltme eylemlerini en kısa sürede gözden geçirmenizi ve onaylamanızı veya reddetmenizi öneririz.
Sistem, aynı kümelerin birden çok kez onaylandığı yinelenen veya çakışan araştırmaları denetler. Aynı araştırma kümesi önceki saat içinde zaten onaylandıysa, yeni yinelenen düzeltmeler yeniden işlenmez. Bu davranış yinelenen araştırmaları veya araştırma kanıtlarını kaldırmaz, düzeltme işleme hızını artırmak için onaylanan eylemlerin yinelenenlerini kaldırır. Yinelenen onaylanan küme araştırmalarında, Microsoft Defender portalındaki https://security.microsoft.com/action-center/historyİşlem merkezi sayfasındaki Geçmiş sekmesinden açılır öğeyle ilgili eylem ayrıntılarını görmezsiniz.
Başlamadan önce bilmeniz gerekenler
- AIR izinlerini ve lisanslama gereksinimini görmek için bkz . AIR için gerekli izinler ve lisanslama.
- Bekleyen eylemler bir hafta boyunca onay beklendikten sonra zaman aşımına uğradı.
Office 365 için Defender'daki Araştırma sayfasından bekleyen eylemleri onaylama veya reddetme
Office 365 için Defender'daki Olaylar sayfası hakkında daha fazla bilgi için bkz. Office 365 için Microsoft Defender Plan 2'de otomatik araştırma ve yanıtın (AIR) ayrıntıları ve sonuçları.
- konumundaki Microsoft Defender portalındahttps://security.microsoft.com, Email & işbirliği>Araştırmalarında Office 365 için Defender'dakiAraştırma sayfasına gidin. Ya da doğrudan Office 365 için Defender'daki Araştırma sayfasına gitmek için kullanınhttps://security.microsoft.com/airinvestigation.
- Office 365 için Defender'daki Araştırma sayfasında, ve listesinde Durum değerinin Onay bekleniyor olduğu bir öğe bulun. Sonuçları Durum değeri Beklemede eylemine göre filtrelemek için Filtrele'yi kullanın.
-
Araştırma sayfasında, Kimliksütunundaki Yeni pencerede aç'a tıklayarak
Bekleyen eylem öğesini seçin (onay kutusunu seçmeyin).
- Açılan araştırma ayrıntıları sayfasında Bekleyen eylemler sekmesini seçin ve ardından ilk sütunun yanındaki onay kutusundan başka bir satıra tıklayarak listeden bir girdi seçin.
- Açılan ayrıntılar açılır öğesinde bilgileri gözden geçirin ve açılır listenin üst kısmından aşağıdaki eylemlerden birini seçin:
-
Onayla: Bekleyen eylemi başlatın.
-
Reddet: Bekleyen eylemin gerçekleştirilmesini engelleyin.
-
Defender XDR'daki Olaylar sayfasından bekleyen eylemleri onaylama veya reddetme
Defender XDR'daki Olaylar sayfası hakkında daha fazla bilgi için bkz. Microsoft Defender XDR'da olayları araştırma.
konumundaki Microsoft Defender portalındahttps://security.microsoft.com, Olaylar & Uyarılar Güvenlik Olayları'nda Defender XDR>Olaylar sayfasına gidin. Ya da doğrudan Defender XDR'daki Olaylar sayfasına gitmek için kullanınhttps://security.microsoft.com/incidents.
Defender XDR'daki Araştırma sayfasında, ve listesinde Durum değerinin Onay bekliyor olduğu bir öğe bulun. Sonuçları filtrelemek için aşağıdaki adımları kullanın:
-
Temizle'yi seçerek
Olaylar sayfasındaki mevcut istenmeyen filtreleri temizleyin.
-
Filtre ekle'yi seçin
.
- Açılan Filtre ekle iletişim kutusunda Otomatik araştırma durumu'na ve ardından Ekle'ye tıklayın.
- Olaylar sayfasındaki Otomatik araştırma durumu: Herhangi bir filtreyi seçin.
- Açılan açılan listede Bekleyen eylem'i ve ardından Uygula'yı seçin.
İpucu
Otomatik araştırma durumuna göre filtreleme: Bekleyen eylem, Araştırma durumu için Bekleyen onay değerine sahip üst olayları gösterebilir. Bu durumda üst Onay bekleniyor olayıyla ilgilenirsiniz.
-
Temizle'yi seçerek
Olaylar sayfasında, Olay adı değerine tıklayarak Bekleyen onay olayını seçin (onay kutusunu seçmeyin).
Açılan olay ayrıntıları sayfasında Kanıt ve yanıt sekmesini seçin ve Düzeltme durumu değeri Onay bekleniyor olan girişleri bulun. Örneğin:
- Düzeltme durumu sütun başlığına tıklayın ve artan düzende sırala'yı seçin.
-
> Düzeltme durumu bölümünde > FiltreBeklemede onay'ıseçin.
Kanıt ve Yanıt sekmesinde, ilk sütunun yanındaki onay kutusundan farklı bir satıra tıklayarak Bekleyen onay girdisini seçin.
Açılan ayrıntılar açılır öğesinde bilgileri gözden geçirin ve açılır listenin üst kısmından aşağıdaki eylemlerden birini seçin:
-
Onayla: Bekleyen eylemi başlatın.
-
Reddet: Bekleyen eylemin gerçekleştirilmesini engelleyin.
-
Birleştirilmiş İşlem merkezinden bekleyen eylemleri onaylama veya reddetme
Defender XDR'daki birleşik İşlem merkezi hakkında daha fazla bilgi için bkz. İşlem merkezi.
- konumundaki Microsoft Defender portalında https://security.microsoft.comEylemler & göndermeler> İşlem merkeziBeklemede sekmesindeki İşlem merkezi> sayfasındaki Beklemede sekmesine gidin. İsterseniz, doğrudan İşlem merkezi sayfasındaki Beklemede sekmesine gitmek için kullanınhttps://security.microsoft.com/action-center/pending.
- İşlem merkezi sayfasının Beklemede sekmesinde Araştırma Kimliği değerine tıklayarak listeden bir girdi seçin (onay kutusunu seçmeyin).
- Açılan araştırma ayrıntıları sayfasında Bekleyen eylemler sekmesini seçin ve ardından ilk sütunun yanındaki onay kutusundan başka bir satıra tıklayarak listeden bir girdi seçin.
- Açılan ayrıntılar açılır öğesinde bilgileri gözden geçirin ve açılır listenin üst kısmından aşağıdaki eylemlerden birini seçin:
-
Onayla: Bekleyen eylemi başlatın.
-
Reddet: Bekleyen eylemin gerçekleştirilmesini engelleyin.
-
Düzeltme eylemlerini değiştirme veya geri alma
Yönergeler için bkz. Düzeltme eylemlerini geri alma.