檢閱和管理 Office 365 中的補救動作

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應功能嗎？ 使用 Microsoft Defender 入口網站試用中樞的 90 天適用於 Office 365 的 Defender 試用版。瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

由於電子郵件 & 共同作業內容的自動化調查會導致如惡意或可疑的決策，因此會建立特定的補救動作。在適用於 Office 365 的 Microsoft Defender 中，補救動作可以包括：

除非安全性作業小組核准這些補救動作，否則不會採取這些補救動作。建議您儘快檢閱並核准任何擱置中的動作，讓您的自動化調查及時完成。您必須是搜尋 & 清除角色的一部分，才能採取任何動作。

我們已針對已多次核准的相同叢集，新增重複或重疊調查的其他檢查。如果同一個調查叢集在前一小時內已獲得核准，則不會再次處理新的重複補救。此行為不會移除重複的調查或調查辨識項，它只會刪除重複的已核准動作，以改善補救處理速度。針對重複核准的叢集調查，您不會在控制中心側邊面板中看到動作詳細數據。

核准 (或拒絕) 暫止動作

有四種不同的方式可尋找並採取自動調查動作：

在 Microsoft Defender 入口網站中https://security.microsoft.com，移至事件 & 警示事件的 [事件] >頁面。 若要直接移至 [ 事件 ] 頁面，請使用 https://security.microsoft.com/incidents。
篩選 [自動調查狀態] (選擇性) 的 [ 擱置] 動作 。
在 [ 事件 ] 頁面上，選取事件名稱以開啟其摘要頁面。
選取 [ 辨識項和回應] 索引標籤 。
選取清單中的項目以開啟其飛出視窗窗格。
檢閱信息，然後採取下列其中一個步驟：
- 選取 [核准暫止動作] 選項以起始擱置中的動作。
- 選取 [拒絕暫止動作] 選項，以防止採取擱置中的動作。

在 Microsoft Defender 入口網站中https://security.microsoft.com，選取 [控制中心] 以移至 [控制中心] 頁面。若要直接移至 [控制中心 ] 頁面，請使用 https://security.microsoft.com/action-center/pending。
在 [ 控制中心 ] 頁面上，確認已選取 [ 擱置 ] 索引卷標，然後檢閱正在等待核准的動作清單。
- 選取 [開啟調查頁面] 檢視有關調查的更多資訊。
- 選取 [核准] 以起始待完成動作。
- 選取 [拒絕] 以防止採取待完成動作。

注意事項

等待核准一周的擱置動作逾時。

在 Microsoft Defender 入口網站中https://security.microsoft.com，移至 [Email & 共同作業>調查] 的 [威脅調查] 頁面。若要直接移至 [威脅調查 ] 頁面，請使用 https://security.microsoft.com/airinvestigation。
在 [ 威脅調查 ] 頁面上，從清單中尋找狀態 為 [擱置動作] 的專案。
在 [標識符] 和 [狀態]) 之間的列表時間 (，按兩下 [在新視窗中開啟]。
在開啟的頁面中，採取核准或拒絕動作。

有兩種不同的方式可建議提交動作：

在 Microsoft Defender 入口網站中https://security.microsoft.com，選取 [控制中心]，以移至統一的控制中心。若要直接移至統一的控制中心，請使用 https://security.microsoft.com/action-center/。
在 [ 控制中心 ] 頁面上，選取 [ 歷程記錄 ] 索引卷標，然後選取您要變更或復原的動作。
在畫面右側的窗格中，選取適當的動作 (移至收件匣、 移至垃圾郵件、 移至已刪除的專案、 虛刪除或 硬刪除) 。

在 Microsoft Defender 入口網站中https://security.microsoft.com，移至 Office 控制中心，網 Email & 共同作業>檢閱>控制中心。 若要直接移至 Office 控制中心，請使用 https://security.microsoft.com/threatincidents。
在 [ 控制中心] 頁面上，選取適當的補救措施。
在側邊面板中，按兩下郵件提交專案，並等候清單載入。
等候頂端的 [動作] 按鈕啟用，然後選取 [動作] 按鈕以變更動作類型。
這會建立適當的動作。