Se gjennom og administrer utbedringshandlinger i automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365 Plan 2

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 2

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

I Microsoft 365-organisasjoner med Microsoft Defender for Office 365 Plan 2 (inkludert i Microsoft 365-lisenser som E5 eller som et frittstående abonnement), resulterer automatisert undersøkelse og respons (AIR) ofte i ventende utbedringshandlinger. Eksempel:

• Myk sletting av e-postmeldinger eller klynger.
• Deaktivere videresending av ekstern e-post.

Disse utbedringshandlingene utføres ikke automatisk. Utbedringshandlingene må godkjennes av et medlem av sikkerhetsoperasjonsteamet (SecOps). Resten av denne artikkelen forklarer hvordan du godkjenner eller avviser ventende utbedringshandlinger.

Tips

Vi anbefaler at du går gjennom og godkjenner eller avviser ventende utbedringshandlinger så snart som mulig, slik at de automatiserte undersøkelsene fullføres i tide.

Systemet ser etter dupliserte eller overlappende undersøkelser der de samme klyngene ble godkjent flere ganger. Hvis den samme undersøkelsesklyngen allerede ble godkjent i løpet av forrige time, behandles ikke nye dupliserte utbedringer på nytt. Denne atferden fjerner ikke dupliserte undersøkelser eller undersøkelsesbevis, den deduplicates bare godkjente handlinger for å forbedre utbedringsbehandlingshastigheten. For dupliserte godkjente klyngeundersøkelser ser du ikke handlingsdetaljene undermenyen fra Logg-fanen på Handlingssenter-siden i Microsoft Defender-portalen på https://security.microsoft.com/action-center/history.

Hva må du vite før du begynner?

• Hvis du vil se tillatelsene og lisensieringskravene for AIR, kan du se Nødvendige tillatelser og lisensiering for AIR.
• Ventende handlinger blir tidsavbrutt etter å ha ventet på godkjenning i én uke.

Godkjenn eller avvis ventende handlinger fra Undersøkelse-siden i Defender for Office 365

Hvis du vil ha mer informasjon om Hendelser-siden i Defender for Office 365, kan du se Detaljer og resultater av automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365 Plan 2.

1. Gå til Undersøkelse-siden i Defender for Office 365 på E-post &samarbeidsundersøkelser> i Microsoft Defender portalen på https://security.microsoft.com. Hvis du vil gå direkte til Undersøkelse-siden i Defender for Office 365, kan du bruke https://security.microsoft.com/airinvestigation.
2. Finn og et element i listen der statusverdienventer på godkjenning, på Undersøkelse-siden i Defender for Office 365. Bruk Filter til å filtrere resultatene etter Handlingen Venter påstatusverdi.
3. Velg handlingselementetVenter på undersøkelse ved å klikke Åpne i nytt vindu iID-kolonnen (ikke merk av i avmerkingsboksen).
4. Velg fanen Ventende handlinger på undersøkelsesdetaljene som åpnes, og velg deretter en oppføring fra listen ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av den første kolonnen.
5. Se gjennom informasjonen i undermenyen for detaljer som åpnes, og velg deretter én av følgende handlinger fra toppen av undermenyen:
   • Godkjenn: Start den ventende handlingen.
   • Avvis: Hindre at ventende handling blir utført.

Godkjenn eller avvis ventende handlinger fra Hendelser-siden i Defender XDR

Hvis du vil ha mer informasjon om Hendelser-siden i Defender XDR, kan du se Undersøke hendelser i Microsoft Defender XDR.

1. Gå til Hendelser-siden i Defender XDR ved hendelser & varsler hendelser> i Microsoft Defender-portalen på .https://security.microsoft.com Hvis du vil gå direkte til Hendelser-siden i Defender XDR, kan du bruke https://security.microsoft.com/incidents.

2. Finn og et element i listen der statusverdienventer på godkjenning, på Undersøkelse-siden i Defender XDR. Bruk følgende fremgangsmåte for å filtrere resultatene:

   1. Fjern eventuelle eksisterende uønskede filtre på Hendelser-siden ved å velge Fjern.
   2. Velg Legg til filter.
   3. Velg Automatisert undersøkelsestilstand i dialogboksen Legg til filter som åpnes, og velg deretter Legg til.
   4. Velg den automatiserte undersøkelsestilstanden: Alle filtre på Hendelser-siden .
   5. Velg Ventende handling i rullegardinlisten som åpnes, og velg deretter Bruk.

   Tips

   Filtrering etter automatisert undersøkelsestilstand: Ventende handling kan avsløre overordnede hendelser med ventende godkjenningsverdi for undersøkelsestilstanden. I så fall er du interessert i forelderen som venter på godkjenningshendelse .

3. Velg hendelsen Venter på godkjenning ved å klikke hendelsesnavnverdien (ikke merk av i avmerkingsboksen) på Hendelser-siden.

4. Velg bevis- og svarfanen på siden med hendelsesdetaljer som åpnes, og finn oppføringene med statusverdien Utbedringventer på godkjenning. Eksempel:

   • Klikk kolonneoverskriften Utbedringsstatus , og velg deretter Sorter stigende.
   • Velg Filter>venter på godkjenning i Delen Om utbedringsstatus>Bruk.

5. Velg oppføringen Venter på godkjenning på fanen Bevis og svar ved å klikke hvor som helst i raden bortsett fra avmerkingsboksen ved siden av den første kolonnen.

6. Se gjennom informasjonen i undermenyen for detaljer som åpnes, og velg deretter én av følgende handlinger fra toppen av undermenyen:

   • Godkjenn: Start den ventende handlingen.
   • Avvis: Hindre at ventende handling blir utført.

Godkjenne eller avvise ventende handlinger fra det enhetlige handlingssenteret

Hvis du vil ha mer informasjon om det enhetlige handlingssenteret i Defender XDR, kan du se Handlingssenter.

1. Gå til Ventende-fanen påHandlingssenter-siden på Handlinger & Venter-fanen ihttps://security.microsoft.comMicrosoft Defender portalen for innsendinger>>. Du kan også gå direkte til Ventende-fanen på Handlingssenter-siden ved å bruke https://security.microsoft.com/action-center/pending.
2. Velg en oppføring fra listen på Ventende-fanen på Handlingssenter-siden ved å klikke undersøkelses-ID-verdien (ikke merk av i avmerkingsboksen).
3. Velg fanen Ventende handlinger på undersøkelsesdetaljene som åpnes, og velg deretter en oppføring fra listen ved å klikke hvor som helst i raden annet enn avmerkingsboksen ved siden av den første kolonnen.
4. Se gjennom informasjonen i undermenyen for detaljer som åpnes, og velg deretter én av følgende handlinger fra toppen av undermenyen:
   • Godkjenn: Start den ventende handlingen.
   • Avvis: Hindre at ventende handling blir utført.

Endre eller angre utbedringshandlinger

Hvis du vil ha instruksjoner, kan du se Angre utbedringshandlinger.

Se også

• Vis detaljer og resultater av en automatisert undersøkelse i Office 365
• Utbedre skadelig e-post levert i Office 365
• Rapporter falske positiver eller falske negativer i automatisert undersøkelse og respons (AIR)