Freigeben über

Überprüfen und Verwalten von Abhilfemaßnahmen in automatisierter Untersuchung und Reaktion (Air) in Microsoft Defender for Office 365 Plan 2

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

In Microsoft 365-Organisationen mit Microsoft Defender for Office 365 Plan 2 (enthalten in Microsoft 365-Lizenzen wie E5 oder als eigenständiges Abonnement) führt die automatisierte Untersuchung und Reaktion (AIR) häufig zu ausstehenden Korrekturaktionen. Zum Beispiel:

  • Vorläufiges Löschen von E-Mail-Nachrichten oder -Clustern.
  • Deaktivieren der externen E-Mail-Weiterleitung.

Diese Wiederherstellungsaktionen werden nicht automatisch ausgeführt. Die Korrekturaktionen müssen von einem Mitglied des Security Operations-Teams (SecOps) genehmigt werden. Im weiteren Verlauf dieses Artikels wird erläutert, wie Sie ausstehende Korrekturaktionen genehmigen oder ablehnen.

Tipp

Es wird empfohlen, ausstehende Korrekturaktionen so schnell wie möglich zu überprüfen und zu genehmigen oder abzulehnen, damit Ihre automatisierten Untersuchungen rechtzeitig abgeschlossen werden.

Das System prüft auf doppelte oder überlappende Untersuchungen, bei denen dieselben Cluster mehrmals genehmigt wurden. Wenn derselbe Untersuchungscluster bereits innerhalb der vorherigen Stunde genehmigt wurde, werden keine neuen doppelten Korrekturen mehr verarbeitet. Dieses Verhalten entfernt keine doppelten Untersuchungen oder Untersuchungsbeweise, es dedupliziert einfach genehmigte Aktionen, um die Verarbeitungsgeschwindigkeit der Korrektur zu verbessern. Bei duplizierten genehmigten Clusteruntersuchungen werden die Aktionsdetails des Flyouts auf der Registerkarte Verlauf auf der Seite Info-Center im Microsoft Defender-Portal unter https://security.microsoft.com/action-center/historynicht angezeigt.

Was sollten Sie wissen, bevor Sie beginnen?

Genehmigen oder Ablehnen ausstehender Aktionen auf der Seite "Untersuchungen" in Defender for Office 365

Weitere Informationen zur Seite Incidents in Defender for Office 365 finden Sie unter Details und Ergebnisse der automatisierten Untersuchung und Reaktion (AIR) in Microsoft Defender for Office 365 Plan 2.

  1. Navigieren Sie im Microsoft Defender-Portal unter zur https://security.microsoft.comSeite Untersuchungen in Defender for Office 365 unter Email & Untersuchungen zur Zusammenarbeit>. Oder verwenden Sie https://security.microsoft.com/airinvestigation, um direkt zur Seite Untersuchungen in Defender for Office 365 zu wechseln.
  2. Suchen Sie auf der Seite Untersuchungen in Defender for Office 365 nach einem Element in der Liste, bei dem der StatuswertAusstehende Genehmigung lautet. Verwenden Sie Filter , um die Ergebnisse nach der Aktion StatuswertAusstehend zu filtern.
  3. Wählen Sie auf der Seite Untersuchungen das Aktionselement Ausstehend aus, indem Sie in der Spalte ID auf In neuem Fenster öffnen klicken (aktivieren Sie das Kontrollkästchen nicht).
  4. Wählen Sie auf der daraufhin geöffneten Seite mit den Untersuchungsdetails die Registerkarte Ausstehende Aktionen aus, und wählen Sie dann einen Eintrag aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken.
  5. Überprüfen Sie im daraufhin geöffneten Details-Flyout die Informationen, und wählen Sie dann oben im Flyout eine der folgenden Aktionen aus:
    • Genehmigen: Initiieren Sie die ausstehende Aktion.
    • Ablehnen: Verhindern Sie, dass die ausstehende Aktion ausgeführt wird.

Genehmigen oder Ablehnen ausstehender Aktionen auf der Seite Incidents in Defender XDR

Weitere Informationen zur Seite Incidents in Defender XDR finden Sie unter Untersuchen von Vorfällen in Microsoft Defender XDR.

  1. Navigieren Sie im Microsoft Defender-Portal unter zur https://security.microsoft.comSeite Incidents in Defender XDR unter Incidents & alerts>Incidents ( Incidents). Oder verwenden Sie https://security.microsoft.com/incidents, um direkt zur Seite Incidents in Defender XDR zu wechseln.

  2. Suchen Sie auf der Seite Untersuchungen in Defender XDR ein Element in der Liste, bei dem der StatuswertAusstehende Genehmigung lautet. Führen Sie die folgenden Schritte aus, um die Ergebnisse zu filtern:

    1. Löschen Sie alle vorhandenen unerwünschten Filter auf der Seite Incidents, indem Sie Löschen auswählen.
    2. Wählen Sie Filter hinzufügen aus.
    3. Wählen Sie im daraufhin geöffneten Dialogfeld Filter hinzufügen die Option Automatisierte Untersuchungsstatus und dann Hinzufügen aus.
    4. Wählen Sie auf der Seite Incidents den Filter Automatisierte Untersuchungsstatus: Beliebiger Aus.
    5. Wählen Sie in der daraufhin geöffneten Dropdownliste Ausstehende Aktion und dann Anwenden aus.

    Tipp

    Filterung nach Automatisiertem Untersuchungsstatus: Aktion ausstehend zeigt möglicherweise übergeordnete Vorfälle mit dem Wert Ausstehende Genehmigung für Untersuchungsstatus an. In diesem Fall interessieren Sie sich für den übergeordneten Vorfall mit ausstehender Genehmigung .

  3. Aktivieren Sie auf der Seite Incidents den Vorfall ausstehend , indem Sie auf den Wert Incidentname klicken (aktivieren Sie das Kontrollkästchen nicht).

  4. Wählen Sie auf der daraufhin geöffneten Seite mit den Incidentdetails die Registerkarte Beweise und Antwort aus, und suchen Sie nach den Einträgen mit dem Status Wert Ausstehende Genehmigung. Zum Beispiel:

    • Klicken Sie auf die Spaltenüberschrift Wartung status, und wählen Sie dann Aufsteigend sortieren aus.
    • Wählen Sie im Abschnitt >Wartung statusAnwenden die Option Filter>Ausstehende Genehmigung aus.

  5. Wählen Sie auf der Registerkarte Beweis und Antwort den Eintrag Genehmigung ausstehend aus, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken.

  6. Überprüfen Sie im daraufhin geöffneten Details-Flyout die Informationen, und wählen Sie dann oben im Flyout eine der folgenden Aktionen aus:

    • Genehmigen: Initiieren Sie die ausstehende Aktion.
    • Ablehnen: Verhindern Sie, dass die ausstehende Aktion ausgeführt wird.

Genehmigen oder Ablehnen ausstehender Aktionen aus dem einheitlichen Info-Center

Weitere Informationen zum einheitlichen Info-Center in Defender XDR finden Sie unter Das Info-Center.

  1. Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzur Registerkarte Ausstehend auf der Seite Info-Center auf der Registerkarte Aktionen & Übermittlungen>Info-Center>ausstehend. Oder verwenden Sie , um direkt zur Registerkarte Ausstehend auf der Info-Center-Seite zu wechselnhttps://security.microsoft.com/action-center/pending.
  2. Wählen Sie auf der Registerkarte Ausstehend auf der Seite Info-Center einen Eintrag aus der Liste aus, indem Sie auf den Wert der Untersuchungs-ID klicken (aktivieren Sie das Kontrollkästchen nicht).
  3. Wählen Sie auf der daraufhin geöffneten Seite mit den Untersuchungsdetails die Registerkarte Ausstehende Aktionen aus, und wählen Sie dann einen Eintrag aus der Liste aus, indem Sie auf eine beliebige Stelle in der Zeile neben dem Kontrollkästchen neben der ersten Spalte klicken.
  4. Überprüfen Sie im daraufhin geöffneten Details-Flyout die Informationen, und wählen Sie dann oben im Flyout eine der folgenden Aktionen aus:
    • Genehmigen: Initiieren Sie die ausstehende Aktion.
    • Ablehnen: Verhindern Sie, dass die ausstehende Aktion ausgeführt wird.

Ändern oder Rückgängigmachen von Wartungsaktionen

Anweisungen finden Sie unter Rückgängigmachen von Korrekturaktionen.

Siehe auch