Rever e gerir ações de remediação na investigação e resposta automatizadas (AIR) no Microsoft Defender para Office 365 Plano 2

• Aplica-se a:

  ✅ Microsoft Defender for Office 365 Plan 2

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Nas organizações do Microsoft 365 com Microsoft Defender para Office 365 Plano 2 (incluído nas licenças do Microsoft 365, como o E5 ou como uma subscrição autónoma), a investigação e resposta automatizadas (AIR) resultam frequentemente em ações de remediação pendentes. Por exemplo:

• Eliminação recuperável de mensagens de e-mail ou clusters.
• Desativar o reencaminhamento de correio externo.

Estas ações de remediação não são executadas automaticamente. As ações de remediação precisam da aprovação de um membro da equipa de operações de segurança (SecOps). O resto deste artigo explica como aprovar ou rejeitar ações de remediação pendentes.

Dica

Recomendamos que reveja e aprove ou rejeite as ações de remediação pendentes o mais rapidamente possível para que as suas investigações automatizadas sejam concluídas em tempo útil.

O sistema verifica se existem investigações duplicadas ou sobrepostas em que os mesmos clusters foram aprovados várias vezes. Se o mesmo cluster de investigação já tiver sido aprovado na hora anterior, as novas remediações duplicadas não serão processadas novamente. Este comportamento não remove investigações duplicadas ou provas de investigação, simplesmente elimina a eliminação de duplicados de ações aprovadas para melhorar a velocidade de processamento da remediação. Para investigações de clusters aprovadas duplicadas, não vê a ação a detalhar a lista de opções no separador Histórico na página Centro de ação no portal do Microsoft Defender em https://security.microsoft.com/action-center/history.

Do que você precisa saber para começar?

• Para ver as permissões e o requisito de licenciamento da AIR, veja Permissões e licenciamento necessários para a AIR.
• As ações pendentes excedem o tempo limite após aguardar aprovação durante uma semana.

Aprovar ou rejeitar ações pendentes na página Investigações no Defender para Office 365

Para obter mais informações sobre a página Incidentes no Defender para Office 365, veja Detalhes e resultados da investigação e resposta automatizadas (AIR) no Microsoft Defender para Office 365 Plano 2.

1. No portal do Microsoft Defender em https://security.microsoft.com, aceda à página Investigações no Defender para Office 365 emInvestigações de colaboração> Email &. Em alternativa, para aceder diretamente à página Investigações no Defender para Office 365, utilize https://security.microsoft.com/airinvestigation.
2. Na página Investigações no Defender para Office 365, localize e um item na lista onde o valor Estado é Aprovação pendente. Utilize Filtrar para filtrar os resultados pela açãoValor de estado Pendente.
3. Na página Investigações, selecione o item de ação Pendente ao clicar em Abrir numa nova janela na coluna ID (não selecione a caixa marcar).
4. Na página de detalhes da investigação que é aberta, selecione o separador Ações pendentes e, em seguida, selecione uma entrada da lista ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna.
5. Na lista de opções de detalhes que é aberta, reveja as informações e, em seguida, selecione uma das seguintes ações na parte superior da lista de opções:
   • Aprovar: inicie a ação pendente.
   • Rejeitar: impeça a ação pendente de ser executada.

Aprovar ou rejeitar ações pendentes a partir da página Incidentes no Defender XDR

Para obter mais informações sobre a página Incidentes no Defender XDR, veja Investigar incidentes no Microsoft Defender XDR.

1. No portal do Microsoft Defender em https://security.microsoft.com, aceda à página Incidentes no Defender XDR em Incidentes & alertas Incidentes>. Em alternativa, para aceder diretamente à página Incidentes no Defender XDR, utilize https://security.microsoft.com/incidents.

2. Na página Investigações no Defender XDR, localize e um item na lista onde o valor Estado é Aprovação pendente. Utilize os seguintes passos para filtrar os resultados:

   1. Limpe todos os filtros indesejados existentes na página Incidentes ao selecionar Limpar.
   2. Selecione Adicionar filtro.
   3. Na caixa de diálogo Adicionar filtro que é aberta, selecione Estado de investigação automatizado e, em seguida, selecione Adicionar.
   4. Selecione o estado Investigação automatizada: Qualquer filtro na página Incidentes .
   5. Na lista pendente que é aberta, selecione Ação pendente e, em seguida, selecione Aplicar.

   Dica

   Filtragem por Estado de investigação automatizado: a ação pendente pode revelar incidentes principais com o valor de aprovação Pendente para o estado Investigação. Nesse caso, está interessado no incidente de aprovação pendente principal.

3. Na página Incidentes, selecione o incidente Aprovação pendente ao clicar no valor Nome do incidente (não selecione a caixa marcar).

4. Na página de detalhes do incidente que é aberta, selecione o separador Provas e resposta e localize as entradas com o valor Remediação statuspendente de aprovação. Por exemplo:

   • Clique no cabeçalho da coluna Remediação status e, em seguida, selecione Ordenação ascendente.
   • Selecione Filtrar>Aprovação pendente na secção Remediação statusaplicar>.

5. No separador Provas e Resposta, selecione a entrada Aprovação pendente ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna.

6. Na lista de opções de detalhes que é aberta, reveja as informações e, em seguida, selecione uma das seguintes ações na parte superior da lista de opções:

   • Aprovar: inicie a ação pendente.
   • Rejeitar: impeça a ação pendente de ser executada.

Aprovar ou rejeitar ações pendentes do Centro de Ação unificado

Para obter mais informações sobre o Centro de Ação unificado no Defender XDR, veja O Centro de ação.

1. No portal Microsoft Defender em https://security.microsoft.com, aceda ao separador Pendente na página Centro de ação em Ações & separador> Centro > deaçãoPendente. Em alternativa, para aceder diretamente ao separador Pendente na página Centro de ação, utilize https://security.microsoft.com/action-center/pending.
2. No separador Pendente da página Centro de ação, selecione uma entrada da lista ao clicar no valor ID da Investigação (não selecione a caixa marcar).
3. Na página de detalhes da investigação que é aberta, selecione o separador Ações pendentes e, em seguida, selecione uma entrada da lista ao clicar em qualquer parte da linha que não seja a caixa de marcar junto à primeira coluna.
4. Na lista de opções de detalhes que é aberta, reveja as informações e, em seguida, selecione uma das seguintes ações na parte superior da lista de opções:
   • Aprovar: inicie a ação pendente.
   • Rejeitar: impeça a ação pendente de ser executada.

Alterar ou anular ações de remediação

Para obter instruções, veja Anular ações de remediação.

Confira também

• Ver detalhes e resultados de uma investigação automatizada no Office 365
• Corrigir emails mal-intencionados entregues no Office 365
• Reportar falsos positivos ou falsos negativos na investigação e resposta automatizadas (AIR)