Просмотр действий по исправлению и управление ими в автоматизированном исследовании и реагировании (AIR) в Microsoft Defender для Office 365 план 2

• Применяется к:

  ✅ Microsoft Defender for Office 365 Plan 2

Совет

Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

В организациях Microsoft 365 с Microsoft Defender для Office 365 плана 2 (входят в лицензии Microsoft 365, такие как E5 или как автономная подписка), автоматическое исследование и реагирование (AIR) часто приводит к ожидающих действий по исправлению. Например:

• Обратимое удаление сообщений электронной почты или кластеров.
• Отключение переадресации внешней почты.

Эти действия по исправлению не выполняются автоматически. Действия по исправлению должны быть утверждены членом команды по операциям безопасности (SecOps). В оставшейся части этой статьи объясняется, как утвердить или отклонить ожидающие действия по исправлению.

Совет

Мы рекомендуем как можно скорее проверить и утвердить или отклонить ожидающие действия по исправлению, чтобы автоматизированные исследования завершили своевременно.

Система проверяет наличие повторяющихся или перекрывающихся исследований, когда одни и те же кластеры были утверждены несколько раз. Если тот же кластер исследования уже был утвержден в течение предыдущего часа, новые повторяющиеся исправления больше не обрабатываются. Это поведение не удаляет повторяющиеся исследования или доказательства, а просто дедупликирует утвержденные действия для повышения скорости обработки исправлений. Для повторяющихся утвержденных исследований кластера вы не увидите всплывающий элемент на вкладке Журнал на странице Центра уведомлений на портале Microsoft Defender по адресу https://security.microsoft.com/action-center/history.

Что нужно знать перед началом работы

• Сведения о разрешениях и требованиях к лицензированию для AIR см. в статье Необходимые разрешения и лицензирование для AIR.
• Время ожидания действий истекает после ожидания утверждения в течение одной недели.

Утверждение или отклонение ожидающих действий на странице "Исследования" в Defender для Office 365

Дополнительные сведения о странице Инциденты в Defender для Office 365 см. в разделе Сведения и результаты автоматизированного исследования и реагирования (AIR) в Microsoft Defender для Office 365 план 2.

1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Расследования в Defender для Office 365 в Email & совместной работы>Расследования. Или, чтобы перейти непосредственно на страницу Исследования в Defender для Office 365, используйте https://security.microsoft.com/airinvestigation.
2. На странице Исследования в Defender для Office 365 найдите и элемент в списке, где значение Состояние — Ожидание утверждения. Используйте фильтр , чтобы отфильтровать результаты по действию Состояние в ожидании.
3. На странице Исследования выберите элемент действия Ожидание, щелкнув Открыть в новом окне в столбце Идентификатор (не выбирайте поле проверка).
4. На открывающейся странице сведений о расследовании выберите вкладку Ожидающие действия, а затем выберите запись из списка, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом.
5. В открывающемся всплывающем окне сведений просмотрите сведения и выберите одно из следующих действий в верхней части всплывающего окна:
   • Утвердить: инициирует ожидающее действие.
   • Отклонить: запретить выполнение ожидающего действия.

Утверждение или отклонение ожидающих действий на странице Инциденты в Defender XDR

Дополнительные сведения о странице Инциденты в Defender XDR см. в разделе Исследование инцидентов в Microsoft Defender XDR.

1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comстраницу Инциденты в Defender XDR в разделе Инциденты & оповещения Инциденты>. Или, чтобы перейти непосредственно на страницу Инциденты в Defender XDR, используйте https://security.microsoft.com/incidents.

2. На странице Исследования в Defender XDR найдите и элемент в списке, где значение Состояние — Ожидание утверждения. Чтобы отфильтровать результаты, выполните следующие действия.

   1. Очистите все существующие нежелательные фильтры на странице Инциденты , нажав кнопку Очистить.
   2. Выберите Добавить фильтр.
   3. В открывшемся диалоговом окне Добавление фильтра выберите Состояние автоматического исследования, а затем нажмите кнопку Добавить.
   4. Выберите фильтр Состояние автоматического исследования: Любой на странице Инциденты .
   5. В открывающемся раскрывающемся списке выберите Ожидающее действие, а затем нажмите кнопку Применить.

   Совет

   Фильтрация по состоянию автоматического исследования. Ожидающее действие может выявить родительские инциденты со значением Ожидание утверждения для состояния исследования. В этом случае вас интересует родительский инцидент с ожиданием утверждения .

3. На странице Инциденты выберите ожидающий инцидент утверждения, щелкнув значение Имя инцидента (не выбирайте поле проверка).

4. На открывающейся странице сведений об инциденте выберите вкладку Доказательства и ответ и найдите записи со значением Состояние исправленияв ожидании утверждения. Например:

   • Щелкните заголовок столбца Состояние исправления и выберите Сортировка по возрастанию.
   • Выберите Фильтр>ожидание утверждения в разделе >Состояние исправленияПрименить.

5. На вкладке Доказательства и ответ выберите запись Ожидание утверждения, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом.

6. В открывающемся всплывающем окне сведений просмотрите сведения и выберите одно из следующих действий в верхней части всплывающего окна:

   • Утвердить: инициирует ожидающее действие.
   • Отклонить: запретить выполнение ожидающего действия.

Утверждение или отклонение ожидающих действий из единого центра уведомлений

Дополнительные сведения о едином центре уведомлений в Defender XDR см. в разделе Центр уведомлений.

1. На портале Microsoft Defender по адресу перейдите на https://security.microsoft.comвкладку Ожидание на странице Центра уведомлений на вкладке Действия & отправки в ожидании>центра> уведомлений. Или, чтобы перейти непосредственно на вкладку Ожидание на странице Центра уведомлений, используйте https://security.microsoft.com/action-center/pending.
2. На вкладке Ожидание на странице Центра уведомлений выберите запись из списка, щелкнув значение Идентификатор исследования (не выбирайте поле проверка).
3. На открывающейся странице сведений о расследовании выберите вкладку Ожидающие действия, а затем выберите запись из списка, щелкнув в любом месте строки, кроме поля проверка рядом с первым столбцом.
4. В открывающемся всплывающем окне сведений просмотрите сведения и выберите одно из следующих действий в верхней части всплывающего окна:
   • Утвердить: инициирует ожидающее действие.
   • Отклонить: запретить выполнение ожидающего действия.

Изменение или отмена действий по исправлению

Инструкции см. в разделе Отмена действий по исправлению.

См. также

• Просмотр сведений и результатов автоматического исследования в Office 365
• Устранение вредоносных писем, доставленных в Office 365
• Сообщить о ложных срабатываниях или ложноотрицательных результатах в автоматическом исследовании и ответе (AIR)