Arviointi ja korjaustoimien hallinta automatisoidussa tutkimuksessa ja toiminnassa (AIR) Microsoft Defender for Office 365 suunnitelmassa 2

• Koskee seuraavia::

  ✅ Microsoft Defender for Office 365 Plan 2

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Microsoft 365 -organisaatioissa, joilla on Microsoft Defender for Office 365 palvelupaketti 2 (sisältyy Microsoft 365 -käyttöoikeuksiin, kuten E5 tai erilliseen tilaukseen), automaattinen tutkimus ja reagointi (AIR) johtavat usein odottaviin korjaustoimiin. Esimerkki:

• Sähköpostiviestien tai klustereiden poistaminen pehmeästi.
• Ulkoisen sähköpostin edelleenlähtämisen poistaminen käytöstä.

Näitä korjaustoimintoja ei toteuteta automaattisesti. Korjaustoimet tarvitsevat turvallisuusoperaatiotiimin jäsenen hyväksynnän. Tässä artikkelissa kerrotaan, miten voit hyväksyä tai hylätä odottavat korjaustoimet.

Vihje

Suosittelemme, että tarkastelet ja hyväksyt tai hylkäät odottavat korjaustoimet mahdollisimman pian, jotta automaattiset tutkimukset saadaan päätökseen ajoissa.

Järjestelmä tarkistaa päällekkäiset tai päällekkäiset tutkimukset, joissa samat klusterit hyväksyttiin useita kertoja. Jos sama tutkimusklusteri hyväksyttiin jo edellisen tunnin aikana, uusia päällekkäisiä korjauksia ei käsitellä uudelleen. Tämä toiminta ei poista päällekkäisiä tutkimuksia tai tutkimustodisteita, vaan se yksinkertaisesti lisää hyväksyttyjä toimintoja korjauskäsittelyn nopeuden parantamiseksi. Jos kyseessä on päällekkäinen hyväksytty klusteritutkinta, et näe toiminnon tietoja pikaikkunassa Toimintokeskus-sivun Historia-välilehdessä Microsoft Defender-portaalissa osoitteessa https://security.microsoft.com/action-center/history.

Mitä on hyvä tietää ennen aloittamista?

• Jos haluat nähdä AIR-käyttöoikeuden ja -lisenssivaatimuksen, katso Airin vaaditut käyttöoikeudet ja käyttöoikeudet.
• Odottavat toiminnot aikakatkaistiin sen jälkeen, kun ne ovat odottaneet hyväksyntää viikon ajan.

Hyväksy tai hylkää odottavat toiminnot Defender for Office 365

Lisätietoja Defender for Office 365 Vaaratilanteet-sivulta on Microsoft Defender for Office 365 suunnitelman 2 kohdassa Automaattisen tutkinnan ja reagoinnin tiedot ja tulokset.

1. Siirry osoitteessa Microsoft Defender -https://security.microsoft.comportaalissa Defender for Office 365 Tutkinta-sivulle kohdassa Sähköposti & yhteistyö>Tutkimukset. Voit myös siirtyä suoraan Defender for Office 365 Tutkinta-sivulle valitsemalla https://security.microsoft.com/airinvestigation.
2. Etsi Defender for Office 365 Tutkinta-sivulta luettelokohde, jossa Status-arvo odottaa hyväksyntää. Suodata tulokset Filter-toiminnollaOdottaa-toiminnon mukaan.
3. Valitse Tutkinta-sivullaOdottaa-toimintokohde napsauttamalla Id-sarakkeen Avaa uudessa ikkunassa -painiketta (älä valitse valintaruutua).
4. Valitse avautuvalta tutkinnan tietosivulta Odottavat toiminnot -välilehti ja valitse sitten merkintä luettelosta napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua.
5. Tarkista avautuvan tiedot-pikaikkunan tiedot ja valitse sitten jokin seuraavista toiminnoista pikaikkunan yläosasta:
   • Hyväksy: Aloita odottava toiminto.
   • Hylkää: Estä odottavan toiminnon suorittaminen.

Hyväksy tai hylkää odottavat toiminnot Defender XDR Tapahtumat-sivulla

Lisätietoja Defender XDR Tapahtumat-sivulta on artikkelissa Microsoft Defender XDR tapausten tutkiminen.

1. Siirry osoitteessa Microsoft Defender -portaalissa https://security.microsoft.comtapahtumat-sivulle kohdassa Defender XDR tapahtumat & hälytykset>Tapaukset. Voit myös siirtyä suoraan Defender XDR Tapahtumat-sivulle valitsemalla https://security.microsoft.com/incidents.

2. Etsi Defender XDR Tutkinta-sivulta luettelosta kohde, jossa Status-arvo odottaa hyväksyntää. Suodata tulokset seuraavien vaiheiden avulla:

   1. Tyhjennä kaikki olemassa olevat ei-toivotut suodattimet Tapahtumat-sivulla valitsemalla Tyhjennä.
   2. Valitse Lisää suodatin.
   3. Valitse avautuvassa Lisää suodatin -valintaikkunassa Automatisoitu tutkintatila ja valitse sitten Lisää.
   4. Valitse Automatisoitu tutkinta -tila: Mikä tahansa suodatin Tapaukset-sivulla .
   5. Valitse avautuvasta avattavasta luettelosta Odottaa-toiminto ja valitse sitten Käytä.

   Vihje

   Suodattaminen automaattisen tutkinnan tilan mukaan: Odottavat toimet saattavat paljastaa päätapaukset, joilla on Odottava hyväksyntä-arvo tutkimustilassa. Siinä tapauksessa olet kiinnostunut parent Pending approval -tapauksesta.

3. Valitse Tapahtumat-sivullaOdottaa hyväksyntää -tapaus napsauttamalla Tapahtuman nimi - arvoa (älä valitse valintaruutua).

4. Valitse avautuvalta tapauksen tietosivulta Todisteet ja vastaus -välilehti ja etsi merkinnät, joiden korjaustilan arvo on Odottaa hyväksyntää. Esimerkki:

   • Napsauta Korjauksen tila -sarakeotsikkoa ja valitse sitten Lajittele nousevaan järjestykseen.
   • Valitse Suodatus>odottaa hyväksyntää Kohdassa Korjauksen tila Ota >käyttöön.

5. Valitse Todiste ja vastaus -välilehdeltä Odottaa hyväksyntää -merkintä napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua.

6. Tarkista avautuvan tiedot-pikaikkunan tiedot ja valitse sitten jokin seuraavista toiminnoista pikaikkunan yläosasta:

   • Hyväksy: Aloita odottava toiminto.
   • Hylkää: Estä odottavan toiminnon suorittaminen.

Hyväksy tai hylkää odottavat toiminnot yhdistetystä toimintokeskuksesta

Lisätietoja Defender XDR yhdistetystä toimintokeskuksesta on kohdassa Toimintokeskus.

1. Siirry osoitteessa Microsoft Defender -portaalissa https://security.microsoft.comToimintokeskus-sivun Odottaa-välilehteen Toiminnot & lähetykset>Toimintokeskus>Odottaa -välilehdessä. Jos haluat siirtyä suoraan Toimintokeskus-sivun Odottaa-välilehteen, käytä kohdetta https://security.microsoft.com/action-center/pending.
2. Valitse Toimintokeskus-sivunOdottaa-välilehdeltä merkintä luettelosta napsauttamalla Investigation ID -arvoa (älä valitse valintaruutua).
3. Valitse avautuvalta tutkinnan tietosivulta Odottavat toiminnot -välilehti ja valitse sitten merkintä luettelosta napsauttamalla mitä tahansa muuta rivin kohtaa kuin ensimmäisen sarakkeen vieressä olevaa valintaruutua.
4. Tarkista avautuvan tiedot-pikaikkunan tiedot ja valitse sitten jokin seuraavista toiminnoista pikaikkunan yläosasta:
   • Hyväksy: Aloita odottava toiminto.
   • Hylkää: Estä odottavan toiminnon suorittaminen.

Korjaustoimintojen muuttaminen tai kumoaminen

Katso ohjeet kohdasta Korjaamistoimintojen kumoaminen.

Tutustu myös seuraaviin ohjeartikkeleihin:

• Tarkastele Office 365 automatisoidun tutkimuksen tietoja ja tuloksia
• Office 365:ssä toimitettujen haitallisten sähköpostien korjaaminen
• Ilmoita false-positiivisista tai epätosi-negatiivisista automatisoidussa tutkimuksessa ja vastauksessa (AIR)