Rever e gerir ações de remediação no Office 365
Sugestão
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
À medida que as investigações automatizadas sobre o e-mail & conteúdo de colaboração resultam em veredictos, como Malicioso ou Suspeito, são criadas determinadas ações de remediação. No Microsoft Defender para Office 365, as ações de remediação podem incluir:
- Eliminação recuperável de mensagens de e-mail ou clusters
- Desativar o reencaminhamento de correio externo
Estas ações de remediação não são tomadas a menos que e até que a sua equipa de operações de segurança as aprove. Recomendamos que reveja e aprove quaisquer ações pendentes o mais rapidamente possível para que as suas investigações automatizadas estejam concluídas em tempo útil. Tem de fazer parte da função de remoção do & de Pesquisa antes de efetuar quaisquer ações.
Adicionámos verificações adicionais para investigações duplicadas ou sobrepostas com os mesmos clusters aprovados várias vezes. Se o mesmo cluster de investigação já estiver aprovado na hora anterior, a nova remediação duplicada não será processada novamente. Este comportamento não remove investigações duplicadas ou provas de investigação- simplesmente elimina duplicações de ações aprovadas para melhorar a velocidade de processamento da remediação. Para as investigações de cluster aprovadas duplicadas, não verá os detalhes da ação no painel lateral do centro de ação .
Aprovar (ou rejeitar) ações pendentes
Existem quatro formas diferentes de localizar e tomar medidas de investigação automática:
- Fila de incidentes
- Investigação em si (acedida através de Incidente ou a partir de um alerta)
- Centro de ação
- Fila de investigações de investigação e remediação
Fila de incidentes
- No portal Microsoft Defender em https://security.microsoft.com, aceda à página Incidentes em Incidentes & alertas Incidentes>. Para aceder diretamente à página Incidentes , utilize https://security.microsoft.com/incidents.
- Filtre a ação Pendente para o estado investigação automatizada (opcional).
- Na página Incidentes , selecione um nome de incidente para abrir a respetiva página de resumo.
- Selecione o separador Provas e Resposta .
- Selecione um item na lista para abrir o respetivo painel de lista de opções.
- Reveja as informações e, em seguida, siga um dos seguintes passos:
- Selecione a opção Aprovar ação pendente para iniciar uma ação pendente.
- Selecione a opção Rejeitar ação pendente para impedir a realização de uma ação pendente.
Centro de ação
- No portal Microsoft Defender em https://security.microsoft.com, aceda à página Centro de ação ao selecionar Centro de ação. Para aceder diretamente à página Centro de ação , utilize https://security.microsoft.com/action-center/pending.
- Na página Centro de ação , verifique se o separador Pendente está selecionado e, em seguida, reveja a lista de ações que aguardam aprovação.
- Selecione Abrir página de investigação para ver mais detalhes sobre a investigação.
- Selecione Aprovar para iniciar uma ação pendente.
- Selecione Rejeitar para impedir a realização de uma ação pendente.
Nota
As ações pendentes excedem o tempo limite após aguardar aprovação durante uma semana.
Fila de investigações de investigação e remediação
- No portal Microsoft Defender em https://security.microsoft.com, aceda à página Investigação de ameaças na Email &investigações de colaboração>. Para aceder diretamente à página Investigação de ameaças , utilize https://security.microsoft.com/airinvestigation.
- Na página Investigação de ameaças , localize e um item da lista cujo estado é Ação pendente.
- Clique em Abrir numa nova janela na hora da lista (entre o ID e o Estado).
- Na página que é aberta, realize ações de aprovação ou rejeição.
Alterar ou anular uma ação de remediação
Existem duas formas diferentes de reconsiderar as ações submetidas:
- Através do centro de ação unificado.
- Embora o centro de ação do Office.
Alterar ou anular através do centro de ação unificado
- No portal Microsoft Defender em https://security.microsoft.com, aceda ao centro de ação unificado ao selecionar Centro de ação. Para aceder diretamente ao centro de ação unificado, utilize https://security.microsoft.com/action-center/.
- Na página Centro de ação , selecione o separador Histórico e, em seguida, selecione a ação que pretende alterar ou anular.
- No painel do lado direito do ecrã, selecione a ação adequada (mover para a caixa de entrada, mover para lixo, mover para itens eliminados, eliminação recuperável ou eliminação rígida).
Alterar ou anular através do centro de ação do Office
- No portal de Microsoft Defender em https://security.microsoft.com, aceda ao centro de ação do Office em Email & centro de açãorever> colaboração>. Para aceder diretamente ao centro de ação do Office, utilize https://security.microsoft.com/threatincidents.
- Na página Centro de ação , selecione a remediação adequada.
- No painel lateral, clique na entrada submissões de correio e aguarde até que a lista seja carregada.
- Aguarde que o botão Ação na parte superior ative e selecione o botão Ação para alterar o tipo de ação.
- Isto irá criar as ações adequadas.
Passos seguintes
- Utilizar o Explorador de Ameaças
- Administração /Ações Manuais
- Como comunicar falsos positivos/negativos em capacidades de investigação e resposta automatizadas