在Microsoft Defender for Office 365计划 2 中查看和管理自动调查和响应 (AIR) 的修正操作

• 适用于:

  ✅ Microsoft Defender for Office 365 Plan 2

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

在Microsoft 365 个组织中，Microsoft Defender for Office 365计划 2 (包含在 Microsoft 365 个许可证（如 E5）或作为独立订阅) ， (AIR) 自动调查和响应通常会导致挂起的修正操作。 例如：

• 软删除电子邮件或群集。
• 关闭外部邮件转发。

这些修正操作不会自动执行。 修正操作需要安全运营成员 (SecOps) 团队的批准。 本文的其余部分介绍如何批准或拒绝挂起的修正操作。

提示

我们建议尽快审查和批准或拒绝待处理的修正操作，以便及时完成自动调查。

系统检查重复或重叠的调查，其中同一群集已多次获得批准。 如果在前一小时内已批准同一调查群集，则不会再次处理新的重复修正。 此行为不会删除重复的调查或调查证据，只会删除已批准的操作重复数据，以提高修正处理速度。 对于重复的已批准的群集调查，在 Microsoft Defender 门户中https://security.microsoft.com/action-center/history的“操作中心”页上，看不到“历史记录”选项卡的浮出控件的详细信息。

开始前，有必要了解什么？

• 若要查看 AIR 的权限和许可要求，请参阅 AIR 所需的权限和许可。
• 待处理操作在等待审批一周后超时。

从 Defender for Office 365 中的“调查”页批准或拒绝挂起的操作

有关 Defender for Office 365 中的“事件”页的详细信息，请参阅Microsoft Defender for Office 365计划 2 中的自动调查和响应 (AIR) 的详细信息和结果。

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到 Defender for Office 365 中的“调查”页，Email &协作>调查。 或者，若要直接转到 Defender for Office 365 中的“调查”页，请使用 https://security.microsoft.com/airinvestigation。
2. 在Defender for Office 365的“调查”页上，找到列表中的“状态”值为“待审批”的项目。 使用 “筛选器” 按 “状态” 值“ 挂起”操作筛选结果。
3. 在“调查”页上，单击“ID”列中的“在新窗口中打开”，选择“挂起”操作项 (不选中) 检查框。
4. 在打开的调查详细信息页中，选择“挂起的操作”选项卡，然后通过单击第一列旁边的检查框以外的任意位置从列表中选择一个条目。
5. 在打开的详细信息浮出控件中，查看信息，然后从浮出控件顶部选择以下操作之一：
   • 批准：启动挂起的操作。
   • 拒绝：阻止执行挂起的操作。

从 Defender XDR 中的“事件”页批准或拒绝挂起的操作

有关 Defender XDR 中的“事件”页的详细信息，请参阅调查Microsoft Defender XDR中的事件。

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到 Defender XDR 中的“事件”页，& 警报>事件。 或者，若要直接转到 Defender XDR 中的“事件”页，请使用 https://security.microsoft.com/incidents。

2. 在Defender XDR的“调查”页上，找到列表中的“状态”值为“待审批”的项目。 使用以下步骤筛选结果：

   1. 在“事件”页上选择“清除”，清除任何现有的不需要的筛选器。
   2. 选择“ 添加筛选器”。
   3. 在打开的“ 添加筛选器 ”对话框中，选择“ 自动调查状态”，然后选择“ 添加”。
   4. 在“事件”页上选择“自动调查状态：任何筛选器”。
   5. 在打开的下拉列表中，选择“ 挂起的操作”，然后选择“ 应用”。

   提示

   按自动调查状态进行筛选：挂起操作可能会显示具有“调查”状态的“挂起审批”值的父事件。 在这种情况下，你对父级 挂起审批 事件感兴趣。

3. 在“事件”页上，单击“事件名称”值，选择“待审批事件” (不选中) 检查框。

4. 在打开的事件详细信息页上，选择“ 证据和响应 ”选项卡，并找到具有 “修正状态 ”值 “待审批”的条目。 例如：

   • 单击“ 修正状态” 列标题，然后选择“ 升序排序”。
   • 在“修正状态”部分“应用”中选择>“筛选>待审批”。

5. 在“证据和响应”选项卡上，单击行中除第一列旁边的“检查”框以外的任意位置，选择“挂起审批”条目。

6. 在打开的详细信息浮出控件中，查看信息，然后从浮出控件顶部选择以下操作之一：

   • 批准：启动挂起的操作。
   • 拒绝：阻止执行挂起的操作。

批准或拒绝来自统一操作中心的挂起操作

有关 Defender XDR 中的统一操作中心的详细信息，请参阅操作中心。

1. 在 Microsoft Defender 门户中https://security.microsoft.com，转到操作中心页上的“挂起”选项卡，在“操作 & 提交操作>中心>挂起”选项卡。或者，若要直接转到“操作中心”页上的“挂起”选项卡，请使用 https://security.microsoft.com/action-center/pending。
2. 在“操作中心”页的“挂起”选项卡上，单击“调查 ID”值，从列表中选择一个条目， (不要选择) 检查框。
3. 在打开的调查详细信息页中，选择“挂起的操作”选项卡，然后通过单击第一列旁边的检查框以外的任意位置从列表中选择一个条目。
4. 在打开的详细信息浮出控件中，查看信息，然后从浮出控件顶部选择以下操作之一：
   • 批准：启动挂起的操作。
   • 拒绝：阻止执行挂起的操作。

更改或撤消修正操作

有关说明，请参阅 撤消修正操作。

另请参阅

• 在 Office 365 中查看自动调查的详细信息和结果
• 修正在 Office 365 中传递的恶意电子邮件
• 在自动调查和响应中报告误报或误报 (AIR)