Esaminare e gestire le azioni correttive nell'indagine e nella risposta automatizzate (AIR) in Microsoft Defender per Office 365 Piano 2

• Si applica a:

  ✅ Microsoft Defender for Office 365 Plan 2

Consiglio

Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.

Nelle organizzazioni di Microsoft 365 con Microsoft Defender per Office 365 Piano 2 (incluso nelle licenze di Microsoft 365 come E5 o come sottoscrizione autonoma), l'analisi automatizzata e la risposta (AIR) spesso comportano azioni correttive in sospeso. Ad esempio:

• Eliminazione temporanea di messaggi di posta elettronica o cluster.
• Disattivazione dell'inoltro della posta esterna.

Queste azioni di correzione non vengono eseguite automaticamente. Le azioni di correzione richiedono l'approvazione da parte di un membro del team delle operazioni di sicurezza (SecOps). Il resto di questo articolo illustra come approvare o rifiutare le azioni correttive in sospeso.

Consiglio

È consigliabile esaminare e approvare o rifiutare le azioni correttive in sospeso il prima possibile in modo che le indagini automatizzate vengano completate in modo tempestivo.

Il sistema verifica la presenza di indagini duplicate o sovrapposte in cui gli stessi cluster sono stati approvati più volte. Se lo stesso cluster di indagine è già stato approvato entro l'ora precedente, le nuove correzioni duplicate non vengono elaborate di nuovo. Questo comportamento non rimuove le indagini duplicate o le prove di indagine, ma semplicemente deduplica le azioni approvate per migliorare la velocità di elaborazione delle correzioni. Per le indagini sui cluster approvate duplicate, l'azione non visualizza i dettagli del riquadro a comparsa della scheda Cronologia nella pagina Centro notifiche del portale di Microsoft Defender all'indirizzo https://security.microsoft.com/action-center/history.

Che cosa è necessario sapere prima di iniziare?

• Per visualizzare le autorizzazioni e i requisiti di licenza per AIR, vedere Autorizzazioni necessarie e licenze per AIR.
• Timeout delle azioni in sospeso dopo l'attesa dell'approvazione per una settimana.

Approvare o rifiutare le azioni in sospeso dalla pagina Indagini in Defender per Office 365

Per altre informazioni sulla pagina Eventi imprevisti in Defender per Office 365, vedere Dettagli e risultati dell'indagine automatizzata e della risposta (AIR) in Microsoft Defender per Office 365 Piano 2.

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla pagina Indagini in Defender per Office 365 all'indirizzo Email & collaboration>Investigations. In alternativa, per passare direttamente alla pagina Indagini in Defender per Office 365, usare https://security.microsoft.com/airinvestigation.
2. Nella pagina Indagini in Defender per Office 365 trovare e un elemento nell'elenco in cui il valore Stato è In attesa di approvazione. Usare Filtro per filtrare i risultati in base all'azione Stato in sospeso.
3. Nella pagina Indagini selezionare l'elemento azione In sospeso facendo clic su Apri nella nuova finestra nella colonna ID (non selezionare la casella di controllo).
4. Nella pagina dei dettagli dell'indagine visualizzata selezionare la scheda Azioni in sospeso e quindi selezionare una voce dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna.
5. Nel riquadro a comparsa dei dettagli visualizzato esaminare le informazioni e quindi selezionare una delle azioni seguenti nella parte superiore del riquadro a comparsa:
   • Approvazione: avviare l'azione in sospeso.
   • Rifiuta: impedire l'esecuzione dell'azione in sospeso.

Approvare o rifiutare le azioni in sospeso dalla pagina Eventi imprevisti in Defender XDR

Per altre informazioni sulla pagina Eventi imprevisti in Defender XDR, vedere Analizzare gli eventi imprevisti in Microsoft Defender XDR.

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla pagina Eventi imprevisti in Defender XDR in Eventi imprevisti & avvisi imprevisti>. In alternativa, per passare direttamente alla pagina Eventi imprevisti in Defender XDR, usare https://security.microsoft.com/incidents.

2. Nella pagina Indagini in Defender XDR trovare e un elemento nell'elenco in cui il valore Stato è In attesa di approvazione. Per filtrare i risultati, seguire questa procedura:

   1. Deselezionare tutti i filtri indesiderati esistenti nella pagina Eventi imprevisti selezionando Cancella.
   2. Selezionare Aggiungi filtro.
   3. Nella finestra di dialogo Aggiungi filtro visualizzata selezionare Stato di indagine automatizzato e quindi selezionare Aggiungi.
   4. Selezionare lo stato di indagine automatizzato: Qualsiasi filtro nella pagina Eventi imprevisti .
   5. Nell'elenco a discesa visualizzato selezionare Azione in sospeso e quindi selezionare Applica.

   Consiglio

   Filtro in base allo stato di indagine automatizzato: l'azione in sospeso potrebbe rivelare eventi imprevisti padre con il valore Di approvazione in sospeso per Stato di indagine. In tal caso, si è interessati all'evento imprevisto di approvazione in sospeso padre.

3. Nella pagina Eventi imprevisti selezionare l'evento imprevisto Approvazione in sospeso facendo clic sul valore Nome evento imprevisto (non selezionare la casella di controllo).

4. Nella pagina dei dettagli dell'evento imprevisto visualizzata selezionare la scheda Evidenza e risposta e trovare le voci con il valore Stato correzionein attesa di approvazione. Ad esempio:

   • Fare clic sull'intestazione della colonna Stato correzione e quindi selezionare Ordinamento crescente.
   • Selezionare Filtra>approvazione in sospeso nella sezione >Stato correzioneApplica.

5. Nella scheda Evidenza e risposta selezionare la voce Approvazione in sospeso facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna.

6. Nel riquadro a comparsa dei dettagli visualizzato esaminare le informazioni e quindi selezionare una delle azioni seguenti nella parte superiore del riquadro a comparsa:

   • Approvazione: avviare l'azione in sospeso.
   • Rifiuta: impedire l'esecuzione dell'azione in sospeso.

Approvare o rifiutare le azioni in sospeso dal Centro notifiche unificato

Per altre informazioni sul Centro notifiche unificato in Defender XDR, vedere Centro notifiche.

1. Nel portale di Microsoft Defender in https://security.microsoft.compassare alla scheda In sospeso nella pagina Centro notifiche nella scheda Azioni & invii> delCentro> notifichein sospeso. In alternativa, per passare direttamente alla scheda In sospeso nella pagina Centro notifiche, usare https://security.microsoft.com/action-center/pending.
2. Nella scheda In sospeso della pagina Centro notifiche selezionare una voce dall'elenco facendo clic sul valore dell'ID indagine (non selezionare la casella di controllo).
3. Nella pagina dei dettagli dell'indagine visualizzata selezionare la scheda Azioni in sospeso e quindi selezionare una voce dall'elenco facendo clic in un punto qualsiasi della riga diversa dalla casella di controllo accanto alla prima colonna.
4. Nel riquadro a comparsa dei dettagli visualizzato esaminare le informazioni e quindi selezionare una delle azioni seguenti nella parte superiore del riquadro a comparsa:
   • Approvazione: avviare l'azione in sospeso.
   • Rifiuta: impedire l'esecuzione dell'azione in sospeso.

Modificare o annullare le azioni di correzione

Per istruzioni, vedere Annullare le azioni di correzione.

Vedere anche

• Visualizzare i dettagli e i risultati di un'indagine automatizzata in Office 365
• Correggere i messaggi di posta elettronica dannosi recapitati in Office 365
• Segnalare falsi positivi o falsi negativi nell'indagine e nella risposta automatizzate (AIR)