Przeglądanie akcji korygowania i zarządzanie nimi w ramach zautomatyzowanego badania i reagowania (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2

• Dotyczy:

  ✅ Microsoft Defender for Office 365 Plan 2

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

W organizacjach platformy Microsoft 365 z planem Ochrona usługi Office 365 w usłudze Microsoft Defender 2 (zawartym w licencjach platformy Microsoft 365, takich jak E5 lub jako subskrypcja autonomiczna), automatyczne badanie i reagowanie (AIR) często skutkuje oczekującymi akcjami korygowania. Przykład:

• Usuwanie nietrwałe wiadomości e-mail lub klastrów.
• Wyłączanie przekazywania poczty zewnętrznej.

Te akcje korygowania nie są wykonywane automatycznie. Akcje korygowania wymagają zatwierdzenia przez członka zespołu ds. operacji zabezpieczeń (SecOps). W pozostałej części tego artykułu wyjaśniono, jak zatwierdzić lub odrzucić oczekujące akcje korygowania.

Porada

Zalecamy jak najszybsze przejrzenie i zatwierdzenie lub odrzucenie oczekujących akcji korygowania, aby zautomatyzowane badania zostały zakończone w odpowiednim czasie.

System sprawdza duplikaty lub nakładające się badania, w których te same klastry zostały zatwierdzone wiele razy. Jeśli ten sam klaster badania został już zatwierdzony w ciągu poprzedniej godziny, nowe zduplikowane korygowania nie zostaną ponownie przetworzone. To zachowanie nie usuwa zduplikowanych badań ani dowodów badania, po prostu deduplikuje zatwierdzone akcje w celu zwiększenia szybkości przetwarzania korygowania. W przypadku zduplikowanych zatwierdzonych badań klastra nie widać szczegółów akcji wysuwanych z karty Historia na stronie Centrum akcji w portalu Microsoft Defender pod adresem https://security.microsoft.com/action-center/history.

Co należy wiedzieć przed rozpoczęciem?

• Aby wyświetlić wymagania dotyczące uprawnień i licencjonowania dla funkcji AIR, zobacz Wymagane uprawnienia i licencjonowanie dla usługi AIR.
• Limit czasu oczekujących akcji po oczekiwaniu na zatwierdzenie na tydzień.

Zatwierdzanie lub odrzucanie oczekujących akcji na stronie Badania w Ochrona usługi Office 365 w usłudze Defender

Aby uzyskać więcej informacji na temat strony Zdarzenia w Ochrona usługi Office 365 w usłudze Defender, zobacz Szczegóły i wyniki zautomatyzowanego badania i reagowania (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2.

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do strony Badania w Ochrona usługi Office 365 w usłudze Defender w witrynie Email & collaboration>Investigations. Aby przejść bezpośrednio do strony Badania w Ochrona usługi Office 365 w usłudze Defender, użyj polecenia https://security.microsoft.com/airinvestigation.
2. Na stronie Badania w Ochrona usługi Office 365 w usłudze Defender znajdź element i element na liście, na której wartość Stan to Oczekujące zatwierdzenie. Użyj filtru, aby filtrować wyniki według akcji Oczekująca wartość Stanu.
3. Na stronie Badania wybierz element akcji Oczekujące, klikając pozycję Otwórz w nowym oknie w kolumnie Identyfikator (nie zaznacz pola wyboru).
4. Na otwartej stronie szczegółów badania wybierz kartę Oczekujące akcje , a następnie wybierz wpis z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru obok pierwszej kolumny.
5. W wyświetlonym oknie wysuwowym szczegółów przejrzyj informacje, a następnie wybierz jedną z następujących akcji w górnej części wysuwanego okienka:
   • Zatwierdź: zainicjuj oczekującą akcję.
   • Odrzuć: uniemożliwia podjęcie oczekującej akcji.

Zatwierdzanie lub odrzucanie oczekujących akcji na stronie Zdarzenia w Defender XDR

Aby uzyskać więcej informacji na temat strony Zdarzenia w Defender XDR, zobacz Badanie zdarzeń w Microsoft Defender XDR.

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do strony Zdarzenia w Defender XDR w temacie Zdarzenia & alerty>Zdarzenia. Aby przejść bezpośrednio do strony Zdarzenia w Defender XDR, użyj polecenia https://security.microsoft.com/incidents.

2. Na stronie Badania w Defender XDR znajdź element i element na liście, na której wartość Stan to Oczekujące zatwierdzenie. Aby odfiltrować wyniki, wykonaj następujące kroki:

   1. Wyczyść wszystkie istniejące niechciane filtry na stronie Zdarzenia , wybierając pozycję Wyczyść.
   2. Wybierz pozycję Dodaj filtr.
   3. W otwieranym oknie dialogowym Dodawanie filtru wybierz pozycję Stan zautomatyzowanego badania, a następnie wybierz pozycję Dodaj.
   4. Wybierz stan Zautomatyzowane badanie: dowolny filtr na stronie Zdarzenia .
   5. Na liście rozwijanej, która zostanie otwarta, wybierz pozycję Oczekująca akcja, a następnie wybierz pozycję Zastosuj.

   Porada

   Filtrowanie według stanu zautomatyzowanego badania: oczekująca akcja może ujawnić zdarzenia nadrzędne z wartością Oczekujące zatwierdzenie dla stanu Badanie. W takim przypadku interesuje Cię nadrzędny incydent oczekujący na zatwierdzenie .

3. Na stronie Zdarzenia wybierz zdarzenie Oczekujące zatwierdzenie , klikając wartość Nazwa zdarzenia (nie zaznacz pola wyboru).

4. Na otwartej stronie szczegółów zdarzenia wybierz kartę Dowód i odpowiedź , a następnie znajdź wpisy z wartością Stan korygowaniaOczekujące zatwierdzenie. Przykład:

   • Kliknij nagłówek kolumny Stan korygowania , a następnie wybierz pozycję Sortuj rosnąco.
   • Wybierz pozycję Filtr>oczekujące zatwierdzenie w sekcji > Stan korygowaniaZastosuj.

5. Na karcie Dowody i odpowiedź wybierz wpis Oczekujące zatwierdzenie , klikając dowolne miejsce w wierszu innym niż pole wyboru obok pierwszej kolumny.

6. W wyświetlonym oknie wysuwowym szczegółów przejrzyj informacje, a następnie wybierz jedną z następujących akcji w górnej części wysuwanego okienka:

   • Zatwierdź: zainicjuj oczekującą akcję.
   • Odrzuć: uniemożliwia podjęcie oczekującej akcji.

Zatwierdzanie lub odrzucanie oczekujących akcji z ujednoliconego centrum akcji

Aby uzyskać więcej informacji na temat ujednoliconego centrum akcji w Defender XDR, zobacz Centrum akcji.

1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do karty Oczekujące na stronie Centrum akcji na karcie Akcje & przesłanych>Centrum> akcjiOczekujące. Możesz też przejść bezpośrednio do karty Oczekujące na stronie Centrum akcji, użyj polecenia https://security.microsoft.com/action-center/pending.
2. Na karcie Oczekujące na stronie Centrum akcji wybierz wpis z listy, klikając wartość Identyfikator badania (nie zaznacz pola wyboru).
3. Na otwartej stronie szczegółów badania wybierz kartę Oczekujące akcje , a następnie wybierz wpis z listy, klikając dowolne miejsce w wierszu innym niż pole wyboru obok pierwszej kolumny.
4. W wyświetlonym oknie wysuwowym szczegółów przejrzyj informacje, a następnie wybierz jedną z następujących akcji w górnej części wysuwanego okienka:
   • Zatwierdź: zainicjuj oczekującą akcję.
   • Odrzuć: uniemożliwia podjęcie oczekującej akcji.

Zmienianie lub cofanie akcji korygowania

Aby uzyskać instrukcje, zobacz Cofnij akcje korygowania.

Zobacz też

• Wyświetlanie szczegółów i wyników zautomatyzowanego badania w Office 365
• Korygowanie złośliwych wiadomości e-mail dostarczanych w usłudze Office 365
• Zgłaszanie wyników fałszywie dodatnich lub fałszywie ujemnych w zautomatyzowanym badaniu i reagowaniu (AIR)