Kontrola a správa nápravných akcí v rámci automatizovaného vyšetřování a reakce (AIR) v plánu Microsoft Defender pro Office 365 Plan 2

• Platí pro:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

V organizacích Microsoft 365 s plánem Microsoft Defender pro Office 365 Plan 2 (zahrnutých v licencích Microsoft 365, jako je E5 nebo jako samostatné předplatné) má automatizované šetření a reakce (AIR) často za následek nevyřízené nápravné akce. Příklady:

• Obnovitelné odstranění e-mailových zpráv nebo clusterů
• Vypnutí externího přeposílání pošty

Tyto nápravné akce se neprovedou automaticky. Nápravné akce musí schválit člen týmu operací zabezpečení (SecOps). Zbývající část tohoto článku vysvětluje, jak schválit nebo odmítnout čekající nápravné akce.

Tip

Doporučujeme co nejdříve zkontrolovat a schválit nebo zamítnout čekající nápravné akce, aby se automatizovaná šetření dokončila včas.

Systém kontroluje duplicitní nebo překrývající se šetření, kdy byly stejné clustery schváleny vícekrát. Pokud už byl stejný cluster šetření schválen během předchozí hodiny, nové duplicitní nápravy se znovu nezpracují. Toto chování neodebere duplicitní šetření ani důkazy šetření, ale jednoduše odstraní schválené akce, aby se zlepšila rychlost zpracování nápravy. V případě duplicitního schváleného vyšetřování clusteru se na stránce Centra akcí na portálu https://security.microsoft.com/action-center/historyMicrosoft Defender na adrese nezobrazují podrobnosti o akci v informačním rámečku Historie na kartě Historie.

Co potřebujete vědět, než začnete?

• Informace o oprávněních a licenčních požadavcích pro AIR najdete v tématu Požadovaná oprávnění a licencování pro AIR.
• Po čekání na schválení po dobu jednoho týdne vyprší časový limit čekajících akcí.

Schválení nebo odmítnutí čekajících akcí na stránce Šetření v Defender pro Office 365

Další informace o stránce Incidenty v Defender pro Office 365 najdete v tématu Podrobnosti a výsledky automatizovaného vyšetřování a reakce (AIR) v Microsoft Defender pro Office 365 Plánu 2.

1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na stránku Šetření v Defender pro Office 365 v části šetření Email & spolupráce>. Nebo pokud chcete přejít přímo na stránku Šetření v Defender pro Office 365, použijte .https://security.microsoft.com/airinvestigation
2. Na stránce Šetření v Defender pro Office 365 vyhledejte položku a v seznamu, kde je hodnota Stavčeká na schválení. Pomocí filtru vyfiltrujte výsledky podle hodnoty StavČeká na akci.
3. Na stránce Šetření vyberte položku Akce Čeká na vyřízení kliknutím na Otevřít v novém okně ve sloupci ID (nezaškrtávejte políčko).
4. Na stránce podrobností o šetření, která se otevře, vyberte kartu Čekající akce a pak vyberte položku ze seznamu kliknutím na jiný řádek než na zaškrtávací políčko vedle prvního sloupce.
5. V informačním rámečku podrobností, který se otevře, zkontrolujte informace a pak vyberte jednu z následujících akcí v horní části informačního rámečku:
   • Schválit: Spusťte čekající akci.
   • Odmítnout: Zabrání provedení čekající akce.

Schválení nebo odmítnutí čekajících akcí na stránce Incidenty v Defender XDR

Další informace o stránce Incidenty v Defender XDR najdete v tématu Vyšetřování incidentů v Microsoft Defender XDR.

1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na stránku Incidenty v Defender XDR v části Incidenty & výstrahy>Incidenty. Nebo pokud chcete přejít přímo na stránku Incidenty v Defender XDR, použijte https://security.microsoft.com/incidents.

2. Na stránce Šetření v Defender XDR vyhledejte položku a v seznamu, kde je hodnota Stavčeká na schválení. Pomocí následujícího postupu vyfiltrujte výsledky:

   1. Výběrem možnosti Vymazat vymažte všechny existující nežádoucí filtry na stránce Incidenty.
   2. Vyberte Přidat filtr.
   3. V dialogovém okně Přidat filtr , které se otevře, vyberte Automatizovaný stav šetření a pak vyberte Přidat.
   4. Na stránce Incidents (Incidenty) vyberte automatizovaný stav šetření: Libovolný filtr.
   5. V rozevíracím seznamu, který se otevře, vyberte Čekající akce a pak vyberte Použít.

   Tip

   Filtrování podle stavu automatizovaného šetření: Čekající akce může odhalit nadřazené incidenty s hodnotou Čeká na schválení pro stav Šetření. V takovém případě vás zajímá nadřazený incident Čekající na schválení .

3. Na stránce Incidenty vyberte incident Čekající na schválení kliknutím na hodnotu Název incidentu (nezaškrtávejte políčko).

4. Na stránce s podrobnostmi incidentu, která se otevře, vyberte kartu Evidence a odpověď a vyhledejte položky s hodnotou Stav nápravyČeká na schválení. Příklady:

   • Klikněte na záhlaví sloupce Stav nápravy a pak vyberte Seřadit vzestupně.
   • V části>Stav nápravy vyberte Filtr>Čeká na schválení.

5. Na kartě Evidence a odpověď vyberte položku Čeká na schválení kliknutím na libovolné místo v řádku, který není zaškrtnutý vedle prvního sloupce.

6. V informačním rámečku podrobností, který se otevře, zkontrolujte informace a pak vyberte jednu z následujících akcí v horní části informačního rámečku:

   • Schválit: Spusťte čekající akci.
   • Odmítnout: Zabrání provedení čekající akce.

Schválení nebo odmítnutí čekajících akcí ze sjednoceného centra akcí

Další informace o jednotném centru akcí v Defender XDR najdete v tématu Centrum akcí.

1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na kartu Čekající na stránce Centrum akcí na kartě Akce & odeslání>Centra> akcíčeká na vyřízení. Nebo pokud chcete přejít přímo na kartu Čeká na vyřízení na stránce Centra akcí, použijte .https://security.microsoft.com/action-center/pending
2. Na stránce Centrum akcí na kartě Čeká na vyřízení vyberte položku ze seznamu kliknutím na hodnotu ID šetření (nezaškrtávejte políčko).
3. Na stránce podrobností o šetření, která se otevře, vyberte kartu Čekající akce a pak vyberte položku ze seznamu kliknutím na jiný řádek než na zaškrtávací políčko vedle prvního sloupce.
4. V informačním rámečku podrobností, který se otevře, zkontrolujte informace a pak vyberte jednu z následujících akcí v horní části informačního rámečku:
   • Schválit: Spusťte čekající akci.
   • Odmítnout: Zabrání provedení čekající akce.

Změna nebo vrácení nápravných akcí

Pokyny najdete v tématu Vrácení nápravných akcí.

Viz také

• Zobrazení podrobností a výsledků automatizovaného šetření v Office 365
• Náprava škodlivých e-mailů doručených v Office 365
• Hlášení falešně pozitivních nebo falešně negativních výsledků v automatizovaném vyšetřování a reakci (AIR)