在 Office 365 中查看和管理修正操作
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
由于对电子邮件 & 协作内容进行自动调查会导致做出判决(例如 恶意 或 可疑),因此会创建某些修正操作。 在Microsoft Defender for Office 365中,修正操作可能包括:
- 软删除电子邮件或群集
- 关闭外部邮件转发
除非安全运营团队批准这些修正操作,否则不会执行这些修正操作。 建议尽快审查和批准任何挂起的操作,以便及时完成自动调查。 在执行任何操作之前,需要成为搜索 & 清除角色的一部分。
我们添加了针对重复或重叠调查的其他检查,这些调查与多次批准的相同群集相同。 如果同一调查群集已在前一小时内获得批准,则不会再次处理新的重复修正。 此行为不会删除重复的调查或调查证据 - 它只是删除重复的已批准操作以提高修正处理速度。 对于重复的已批准的群集调查,不会在 操作中心 侧面板中看到操作详细信息。
批准 (或拒绝) 挂起的操作
可通过四种不同的方式查找和执行自动调查操作:
事件队列
- 在 Microsoft Defender 门户中https://security.microsoft.com,转到事件 & 警报>事件中的“事件”页。 若要直接转到“ 事件 ”页,请使用 https://security.microsoft.com/incidents。
- 筛选“自动调查”状态的 “挂起”操作 , (可选) 。
- 在“ 事件 ”页上,选择事件名称以打开其摘要页。
- 选择“ 证据和响应 ”选项卡。
- 在列表中选择一个项目以打开其浮出控件窗格。
- 查看信息,然后执行以下步骤之一:
- 选择“批准挂起的操作”选项以启动挂起的操作。
- 选择“拒绝挂起的操作”选项以防止执行挂起的操作。
操作中心
- 在 Microsoft Defender 门户中https://security.microsoft.com,选择“操作中心”,转到“操作中心”页。 若要直接转到 操作中心 页面,请使用 https://security.microsoft.com/action-center/pending。
- 在 “操作中心” 页上,验证是否选择了“ 挂起 ”选项卡,然后查看等待审批的操作列表。
- 选择“打开调查页面”以查看有关调查的更多详细信息。
- 选择“批准”以启动待处理的操作。
- 选择“拒绝”以阻止执行待处理的操作。
注意
待处理操作在等待审批一周后超时。
调查和修正调查队列
- 在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>调查中的“威胁调查”页。 若要直接转到 “威胁调查 ”页,请使用 https://security.microsoft.com/airinvestigation。
- 在 “威胁调查 ”页上,从列表中查找状态为 “挂起操作”的项目。
- 在 ID 和状态) 之间的列表时间 (,单击“在新窗口中打开”。
- 在打开的页面中,执行批准或拒绝操作。
更改或撤消一个修正操作
可通过两种不同的方式重新考虑提交的操作:
- 通过 统一操作中心。
- 虽然 Office 操作中心。
通过统一操作中心更改或撤消操作
- 在 Microsoft Defender 门户中https://security.microsoft.com,选择“操作中心”,转到统一操作中心。 若要直接转到统一操作中心,请使用 https://security.microsoft.com/action-center/。
- 在 “操作中心 ”页上,选择“ 历史记录 ”选项卡,然后选择要更改或撤消的操作。
- 在屏幕右侧的窗格中,选择相应的操作, (移动到收件箱、 移动到垃圾邮件、 移动到已删除的项目、 软删除或 硬删除) 。
通过 Office 操作中心更改或撤消操作
- 在 Microsoft Defender 门户中https://security.microsoft.com,转到 office 操作中心Email &协作>评审>操作中心。 若要直接转到 Office 操作中心,请使用 https://security.microsoft.com/threatincidents。
- 在 “操作中心 ”页上,选择适当的修正。
- 在侧面板中,单击邮件提交条目并等待列表加载。
- 等待顶部的“操作”按钮启用,然后选择“操作”按钮以更改操作类型。
- 这将创建相应的操作。