在 Office 365 中查看和管理修正操作

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。在此处了解谁可以注册和试用条款。

由于对电子邮件 & 协作内容进行自动调查会导致做出判决（例如恶意或可疑），因此会创建某些修正操作。在Microsoft Defender for Office 365中，修正操作可能包括：

除非安全运营团队批准这些修正操作，否则不会执行这些修正操作。建议尽快审查和批准任何挂起的操作，以便及时完成自动调查。在执行任何操作之前，需要成为搜索 & 清除角色的一部分。

我们添加了针对重复或重叠调查的其他检查，这些调查与多次批准的相同群集相同。如果同一调查群集已在前一小时内获得批准，则不会再次处理新的重复修正。此行为不会删除重复的调查或调查证据 - 它只是删除重复的已批准操作以提高修正处理速度。对于重复的已批准的群集调查，不会在操作中心侧面板中看到操作详细信息。

批准 (或拒绝) 挂起的操作

可通过四种不同的方式查找和执行自动调查操作：

在 Microsoft Defender 门户中https://security.microsoft.com，转到事件 & 警报>事件中的“事件”页。若要直接转到“ 事件 ”页，请使用 https://security.microsoft.com/incidents。
筛选“自动调查”状态的 “挂起”操作 ， (可选) 。
在“ 事件 ”页上，选择事件名称以打开其摘要页。
选择“ 证据和响应 ”选项卡。
在列表中选择一个项目以打开其浮出控件窗格。
查看信息，然后执行以下步骤之一：
- 选择“批准挂起的操作”选项以启动挂起的操作。
- 选择“拒绝挂起的操作”选项以防止执行挂起的操作。

在 Microsoft Defender 门户中https://security.microsoft.com，选择“操作中心”，转到“操作中心”页。若要直接转到 操作中心 页面，请使用 https://security.microsoft.com/action-center/pending。
在 “操作中心” 页上，验证是否选择了“ 挂起 ”选项卡，然后查看等待审批的操作列表。
- 选择“打开调查页面”以查看有关调查的更多详细信息。
- 选择“批准”以启动待处理的操作。
- 选择“拒绝”以阻止执行待处理的操作。

注意

待处理操作在等待审批一周后超时。

在 Microsoft Defender 门户中https://security.microsoft.com，转到Email &协作>调查中的“威胁调查”页。若要直接转到 “威胁调查 ”页，请使用 https://security.microsoft.com/airinvestigation。
在 “威胁调查 ”页上，从列表中查找状态为 “挂起操作”的项目。
在 ID 和状态) 之间的列表时间 (，单击“在新窗口中打开”。
在打开的页面中，执行批准或拒绝操作。

可通过两种不同的方式重新考虑提交的操作：

在 Microsoft Defender 门户中https://security.microsoft.com，选择“操作中心”，转到统一操作中心。若要直接转到统一操作中心，请使用 https://security.microsoft.com/action-center/。
在 “操作中心 ”页上，选择“ 历史记录 ”选项卡，然后选择要更改或撤消的操作。
在屏幕右侧的窗格中，选择相应的操作， (移动到收件箱、 移动到垃圾邮件、 移动到已删除的项目、 软删除或 硬删除) 。

在 Microsoft Defender 门户中https://security.microsoft.com，转到 office 操作中心Email &协作>评审>操作中心。若要直接转到 Office 操作中心，请使用 https://security.microsoft.com/threatincidents。
在 “操作中心 ”页上，选择适当的修正。
在侧面板中，单击邮件提交条目并等待列表加载。
等待顶部的“操作”按钮启用，然后选择“操作”按钮以更改操作类型。
这将创建相应的操作。