Kontrola a správa nápravných akcí v Office 365
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Vzhledem k tomu, že automatizované vyšetřování e-mailu & obsahu spolupráce vede k verdiktům, jako jsou škodlivé nebo podezřelé, vytvářejí se určité nápravné akce. V Microsoft Defender pro Office 365 můžou nápravné akce zahrnovat:
- Obnovitelné odstranění e-mailových zpráv nebo clusterů
- Vypnutí externího přeposílání pošty
Tyto nápravné akce se neprovedou, dokud je váš tým pro operace zabezpečení neschválí. Doporučujeme co nejdříve zkontrolovat a schválit všechny nevyřízené akce, aby se vaše automatizovaná šetření dokončila včas. Před provedením jakýchkoli akcí musíte být součástí role hledání & vymazání.
Přidali jsme další kontroly duplicitních nebo překrývajících se šetření se stejnými clustery schválenými vícekrát. Pokud byl stejný cluster pro šetření schválen již v předchozí hodině, nebude nová duplicitní náprava znovu zpracována. Toto chování neodebere duplicitní šetření ani důkazy šetření , ale jednoduše deduplikuje schválené akce, aby se zlepšila rychlost zpracování nápravy. U duplicitních schválených šetření clusteru neuvidíte podrobnosti o akcích na bočním panelu centra akcí .
Schválení (nebo odmítnutí) čekajících akcí
Existují čtyři různé způsoby, jak najít a provést akce automatického šetření:
- Fronta incidentů
- Samotné šetření (přístupné prostřednictvím incidentu nebo z výstrahy)
- Centrum akcí
- Fronta šetření a nápravných šetření
Fronta incidentů
- Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na stránku Incidenty v části Incidenty & výstrahy>Incidenty. Pokud chcete přejít přímo na stránku Incidenty , použijte https://security.microsoft.com/incidents.
- Vyfiltrujte akci Čeká na vyřízení pro stav automatizovaného šetření (volitelné).
- Na stránce Incidenty vyberte název incidentu a otevřete jeho souhrnnou stránku.
- Vyberte kartu Evidence a odpověď .
- Výběrem položky v seznamu otevřete její kontextové podokno.
- Zkontrolujte tyto informace a pak proveďte jeden z následujících kroků:
- Pokud chcete zahájit čekající akci, vyberte možnost Schválit čekající akci.
- Pokud chcete zabránit provedení čekající akce, vyberte možnost Odmítnout čekající akci.
Centrum akcí
- Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte výběrem možnosti Centrum akcí na stránku Centrum akcí. Pokud chcete přejít přímo na stránku Centra akcí , použijte https://security.microsoft.com/action-center/pending.
- Na stránce Centrum akcí ověřte, že je vybraná karta Čeká na vyřízení, a pak zkontrolujte seznam akcí, které čekají na schválení.
- Pokud chcete zobrazit další podrobnosti o vyšetřování, vyberte Otevřít stránku šetření .
- Výběrem možnosti Schválit zahajte čekající akci.
- Pokud chcete zabránit provedení čekající akce, vyberte Odmítnout .
Poznámka
Po čekání na schválení po dobu jednoho týdne vyprší časový limit čekajících akcí.
Fronta šetření a nápravných šetření
- Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na stránku Prošetření hrozebv Email & spolupráce>. Pokud chcete přejít přímo na stránku Prošetření hrozeb , použijte https://security.microsoft.com/airinvestigation.
- Na stránce Vyšetřování hrozeb vyhledejte položku a ze seznamu, jejíž stav je Čekající akce.
- V čase seznamu (mezi ID a Stavem) klikněte na Otevřít v novém okně.
- Na stránce, která se otevře, proveďte akce schválení nebo odmítnutí.
Změna nebo vrácení jedné nápravné akce zpět
Existují dva různé způsoby, jak znovu zvážit odeslané akce:
- Prostřednictvím sjednoceného centra akcí.
- Přes Centrum akcí Office.
Změna nebo vrácení zpět prostřednictvím sjednoceného centra akcí
- Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do sjednoceného centra akcí tak, že vyberete Centrum akcí. Pokud chcete přejít přímo do sjednoceného centra akcí, použijte https://security.microsoft.com/action-center/.
- Na stránce Centrum akcí vyberte kartu Historie a pak vyberte akci, kterou chcete změnit nebo vrátit zpět.
- V podokně na pravé straně obrazovky vyberte příslušnou akci (přesunout do složky Doručená pošta, přesunout do nevyžádané pošty, přesunout na odstraněné položky, obnovitelné odstranění nebo pevné odstranění).
Změna nebo vrácení zpět v Centru akcí Office
- Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do Centra akcí Office v Email & spolupráci>Zkontrolovat>centrum akcí. Pokud chcete přejít přímo do Centra akcí Office, použijte https://security.microsoft.com/threatincidents.
- Na stránce Centrum akcí vyberte odpovídající nápravu.
- Na bočním panelu klikněte na položku odeslání pošty a počkejte, až se seznam načte.
- Počkejte, až tlačítko Akce nahoře povolí, a výběrem tlačítka Akce změňte typ akce.
- Tím se vytvoří příslušné akce.
Další kroky
- Použití Průzkumníka hrozeb
- Správa /Ruční akce
- Postup hlášení falešně pozitivních nebo negativních výsledků v automatizovaných možnostech vyšetřování a reakce