Granska och hantera reparationsåtgärder i automatiserad undersökning och svar (AIR) i Microsoft Defender för Office 365 plan 2

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 2

Tips

Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

I Microsoft 365-organisationer med Microsoft Defender för Office 365 Plan 2 (ingår i Microsoft 365-licenser som E5 eller som en fristående prenumeration) resulterar automatiserad undersökning och svar (AIR) ofta i väntande reparationsåtgärder. Till exempel:

• Mjuk borttagning av e-postmeddelanden eller kluster.
• Inaktivera extern vidarebefordran av e-post.

Dessa åtgärder vidtas inte automatiskt. Reparationsåtgärderna måste godkännas av en medlem i SecOps-teamet (säkerhetsåtgärder). Resten av den här artikeln beskriver hur du godkänner eller avvisar väntande åtgärder.

Tips

Vi rekommenderar att du granskar och godkänner eller avvisar väntande åtgärder så snart som möjligt så att dina automatiserade undersökningar slutförs i tid.

Systemet söker efter duplicerade eller överlappande undersökningar där samma kluster godkändes flera gånger. Om samma undersökningskluster redan godkändes inom den föregående timmen bearbetas inte nya duplicerade åtgärder igen. Det här beteendet tar inte bort duplicerade undersökningar eller undersökningsbevis, utan deduplicerar helt enkelt godkända åtgärder för att förbättra bearbetningshastigheten för reparation. För duplicerade godkända klusterundersökningar ser du inte åtgärdsinformationen i den utfällbara menyn från fliken Historik på sidan Åtgärdscenter i Microsoft Defender-portalen på https://security.microsoft.com/action-center/history.

Vad behöver jag veta innan jag börjar?

• Information om behörigheter och licensieringskrav för AIR finns i Nödvändiga behörigheter och licensiering för AIR.
• Väntande åtgärder överskrider tidsgränsen efter att ha väntat på godkännande i en vecka.

Godkänn eller avvisa väntande åtgärder från sidan Undersökningar i Defender för Office 365

Mer information om sidan Incidenter i Defender för Office 365 finns i Information och resultat av automatiserad undersökning och svar (AIR) i Microsoft Defender för Office 365 plan 2.

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till sidan Undersökningar i Defender för Office 365 på Email &samarbetsundersökningar>. Om du vill gå direkt till sidan Undersökningar i Defender för Office 365 använder du https://security.microsoft.com/airinvestigation.
2. På sidan Undersökningar i Defender för Office 365 letar du upp och ett objekt i listan där statusvärdet väntar på godkännande. Använd Filter för att filtrera resultatet efter åtgärden StatusvärdeVäntar.
3. På sidan Undersökningar väljer du åtgärdsobjektetVäntar genom att klicka på Öppna i nytt fönster i kolumnen ID (markera inte kryssrutan).
4. På sidan undersökningsinformation som öppnas väljer du fliken Väntande åtgärder och väljer sedan en post i listan genom att klicka någon annanstans på raden än kryssrutan bredvid den första kolumnen.
5. Granska informationen i den utfällbara menyn med information och välj sedan någon av följande åtgärder överst i den utfällbara menyn:
   • Godkänn: Initiera den väntande åtgärden.
   • Avvisa: Förhindra att den väntande åtgärden vidtas.

Godkänn eller avvisa väntande åtgärder från sidan Incidenter i Defender XDR

Mer information om sidan Incidenter i Defender XDR finns i Undersöka incidenter i Microsoft Defender XDR.

1. I Microsoft Defender-portalen på https://security.microsoft.comgår du till sidan Incidenter i Defender XDR på Incidenter & aviseringar>Incidenter. Om du vill gå direkt till sidan Incidenter i Defender XDR använder du https://security.microsoft.com/incidents.

2. På sidan Undersökningar i Defender XDR letar du upp och ett objekt i listan där statusvärdetväntar på godkännande. Använd följande steg för att filtrera resultatet:

   1. Rensa eventuella befintliga oönskade filter på sidan Incidenter genom att välja Rensa.
   2. Välj Lägg till filter.
   3. I dialogrutan Lägg till filter som öppnas väljer du Automatiserat undersökningstillstånd och sedan Lägg till.
   4. Välj tillståndet Automatiserad undersökning: Valfritt filter på sidan Incidenter .
   5. I listrutan som öppnas väljer du Väntande åtgärd och sedan Använd.

   Tips

   Filtrering efter tillstånd för automatiserad undersökning: Väntande åtgärd kan avslöja överordnade incidenter med värdet Väntar på godkännande för undersökningstillstånd. I så fall är du intresserad av den överordnade incidenten Väntar på godkännande .

3. På sidan Incidenter väljer du incidenten Väntar på godkännande genom att klicka på värdet Incidentnamn (markera inte kryssrutan).

4. På sidan incidentinformation som öppnas väljer du fliken Bevis och svar och letar upp posterna med statusvärdet Åtgärdsstatusväntar på godkännande. Till exempel:

   • Klicka på kolumnrubriken Reparationsstatus och välj sedan Sortera stigande.
   • Välj Filter>väntar på godkännande i avsnittet >ReparationsstatusTillämpa.

5. På fliken Bevis och svar markerar du posten Väntar på godkännande genom att klicka någon annanstans på raden än kryssrutan bredvid den första kolumnen.

6. Granska informationen i den utfällbara menyn med information och välj sedan någon av följande åtgärder överst i den utfällbara menyn:

   • Godkänn: Initiera den väntande åtgärden.
   • Avvisa: Förhindra att den väntande åtgärden vidtas.

Godkänna eller avvisa väntande åtgärder från det enhetliga åtgärdscentret

Mer information om det enhetliga åtgärdscentret i Defender XDR finns i Åtgärdscenter.

1. I Microsoft Defender portalen på https://security.microsoft.comgår du till fliken Väntar på sidan Åtgärdscenter på fliken Åtgärder & inlämningar>åtgärdscenter>väntar. Om du vill gå direkt till fliken Väntar på sidan Åtgärdscenter använder du https://security.microsoft.com/action-center/pending.
2. På fliken Väntar på sidan Åtgärdscenter väljer du en post i listan genom att klicka på värdet undersöknings-ID (markera inte kryssrutan).
3. På sidan undersökningsinformation som öppnas väljer du fliken Väntande åtgärder och väljer sedan en post i listan genom att klicka någon annanstans på raden än kryssrutan bredvid den första kolumnen.
4. Granska informationen i den utfällbara menyn med information och välj sedan någon av följande åtgärder överst i den utfällbara menyn:
   • Godkänn: Initiera den väntande åtgärden.
   • Avvisa: Förhindra att den väntande åtgärden vidtas.

Ändra eller ångra reparationsåtgärder

Anvisningar finns i Ångra reparationsåtgärder.

Se även

• Visa information och resultat av en automatiserad undersökning i Office 365
• Åtgärda skadlig e-post som levereras i Office 365
• Rapportera falska positiva eller falska negativa identifieringar i automatiserad undersökning och svar (AIR)