Gennemse og administrer afhjælpningshandlinger i automatiseret undersøgelse og svar (AIR) i Microsoft Defender for Office 365 Plan 2

• Gælder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Vidste du, at du kan prøve funktionerne i Microsoft Defender for Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.

I Microsoft 365-organisationer med Microsoft Defender for Office 365 Plan 2 (inkluderet i Microsoft 365-licenser, f.eks. E5 eller som et separat abonnement), resulterer automatiseret undersøgelse og svar (AIR) ofte i ventende afhjælpningshandlinger. Det kan f.eks. være:

• Blød sletning af mails eller klynger.
• Deaktiver videresendelse af eksterne mails.

Disse afhjælpningshandlinger udføres ikke automatisk. Afhjælpningshandlingerne skal godkendes af et medlem af sikkerhedsteamet (SecOps). I resten af denne artikel forklares det, hvordan du godkender eller afviser ventende afhjælpningshandlinger.

Tip

Vi anbefaler, at du gennemgår og godkender eller afviser ventende afhjælpningshandlinger så hurtigt som muligt, så dine automatiserede undersøgelser fuldføres rettidigt.

Systemet kontrollerer, om der er identiske eller overlappende undersøgelser, hvor de samme klynger blev godkendt flere gange. Hvis den samme undersøgelsesklyng allerede blev godkendt inden for den forrige time, behandles nye dubletafhjælpninger ikke igen. Denne funktionsmåde fjerner ikke duplikerede undersøgelser eller undersøgelsesresultater, men deduplikerer blot godkendte handlinger for at forbedre afhjælpningshastigheden. Hvis du vil have duplikerede godkendte klyngeundersøgelser, kan du ikke se handlingsdetaljerne under fanen Oversigt på siden Løsningscenter på portalen Microsoft Defender på https://security.microsoft.com/action-center/history.

Hvad har du brug for at vide, før du begynder?

• Hvis du vil se tilladelser og licenskrav til AIR, skal du se Påkrævede tilladelser og licenser til AIR.
• Ventende handlinger får timeout, efter at der er ventet på godkendelse i en uge.

Godkend eller afvis ventende handlinger fra siden Undersøgelser i Defender for Office 365

Du kan finde flere oplysninger om siden Hændelser i Defender for Office 365 under Detaljer om og resultater af automatiseret undersøgelse og svar (AIR) i Microsoft Defender for Office 365 Plan 2.

1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til siden Undersøgelser i Defender for Office 365 via mail & samarbejdsundersøgelser>. Du kan også gå direkte til siden Undersøgelser i Defender for Office 365 ved at bruge https://security.microsoft.com/airinvestigation.
2. På siden Undersøgelser i Defender for Office 365 skal du finde og et element på listen, hvor værdien Statusafventer godkendelse. Brug Filter til at filtrere resultaterne efter handlingen Afventer statusværdi.
3. På siden Undersøgelser skal du vælge elementet Ventende handling ved at klikke på Åbn i et nyt vindue i kolonnen Id (markér ikke afkrydsningsfeltet).
4. På siden med undersøgelsesoplysninger, der åbnes, skal du vælge fanen Ventende handlinger og derefter vælge en post på listen ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for den første kolonne.
5. I det pop op-vindue med detaljer, der åbnes, skal du gennemse oplysningerne og derefter vælge en af følgende handlinger øverst i pop op-vinduet:
   • Godkend: Start den ventende handling.
   • Afvis: Undgå, at den ventende handling udføres.

Godkend eller afvis ventende handlinger fra siden Hændelser i Defender XDR

Du kan få flere oplysninger om siden Hændelser i Defender XDR under Undersøg hændelser i Microsoft Defender XDR.

1. I Microsoft Defender-portalen på https://security.microsoft.comskal du gå til siden Hændelser i Defender XDR ved Hændelser & beskeder>Hændelser. Du kan også gå direkte til siden Hændelser i Defender XDR ved at bruge https://security.microsoft.com/incidents.

2. På siden Undersøgelser i Defender XDR skal du finde og et element på listen, hvor værdien Statusafventer godkendelse. Brug følgende trin til at filtrere resultaterne:

   1. Ryd eventuelle eksisterende uønskede filtre på siden Hændelser ved at vælge Ryd.
   2. Vælg Tilføj filter.
   3. I dialogboksen Tilføj filter , der åbnes, skal du vælge Automatiseret undersøgelsestilstand og derefter vælge Tilføj.
   4. Vælg tilstanden Automatiseret undersøgelse: Et vilkårligt filter på siden Hændelser .
   5. På den rulleliste, der åbnes, skal du vælge Ventende handling og derefter vælge Anvend.

   Tip

   Filtrering efter tilstanden for automatiseret undersøgelse: Ventende handling kan afsløre overordnede hændelser med værdien Ventende godkendelse for undersøgelsestilstanden. I dette tilfælde er du interesseret i den overordnede hændelse afventer godkendelse .

3. På siden Hændelser skal du vælge hændelsen Afventer godkendelse ved at klikke på værdien hændelsesnavn (markér ikke afkrydsningsfeltet).

4. På siden med oplysninger om hændelser, der åbnes, skal du vælge fanen Beviser og svar og finde posterne med værdien Afventer godkendelse af afhjælpningsstatus. Det kan f.eks. være:

   • Klik på kolonneoverskriften Afhjælpningsstatus , og vælg derefter Sortér stigende.
   • Vælg Filtrer>ventende godkendelse i afsnittet >AfhjælpningsstatusAnvend.

5. Under fanen Beviser og svar skal du vælge posten Afventer godkendelse ved at klikke et andet sted i rækken end afkrydsningsfeltet ud for den første kolonne.

6. I det pop op-vindue med detaljer, der åbnes, skal du gennemse oplysningerne og derefter vælge en af følgende handlinger øverst i pop op-vinduet:

   • Godkend: Start den ventende handling.
   • Afvis: Undgå, at den ventende handling udføres.

Godkend eller afvis ventende handlinger fra Unified Action Center

Du kan få flere oplysninger om Unified Action Center i Defender XDR i Løsningscenter.

1. I portalen Microsoft Defender på https://security.microsoft.comskal du gå til fanen Ventende på siden Løsningscenter under fanen Handlinger & indsendelser>Afventer i Løsningscenter>. Du kan også gå direkte til fanen Ventende på siden Løsningscenter ved at bruge https://security.microsoft.com/action-center/pending.
2. På fanen Afventer på siden Løsningscenter skal du vælge en post på listen ved at klikke på værdien undersøgelses-id (markér ikke afkrydsningsfeltet).
3. På siden med undersøgelsesoplysninger, der åbnes, skal du vælge fanen Ventende handlinger og derefter vælge en post på listen ved at klikke et vilkårligt sted i rækken ud for afkrydsningsfeltet ud for den første kolonne.
4. I det pop op-vindue med detaljer, der åbnes, skal du gennemse oplysningerne og derefter vælge en af følgende handlinger øverst i pop op-vinduet:
   • Godkend: Start den ventende handling.
   • Afvis: Undgå, at den ventende handling udføres.

Rediger eller fortryd afhjælpningshandlinger

Du kan finde instruktioner under Fortryd afhjælpningshandlinger.

Se også

• Få vist detaljer og resultater af en automatisk undersøgelse i Office 365
• Afhjælp skadelig mail leveret i Office 365
• Rapportér falske positiver eller falske negativer i automatiseret undersøgelse og svar (AIR)