在 Office 365 中查看和管理修正操作

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

由于对电子邮件 & 协作内容进行自动调查会导致做出判决(例如 恶意可疑),因此会创建某些修正操作。 在Microsoft Defender for Office 365中,修正操作可能包括:

  • 软删除电子邮件或群集
  • 关闭外部邮件转发

除非安全运营团队批准这些修正操作,否则不会执行这些修正操作。 建议尽快审查和批准任何挂起的操作,以便及时完成自动调查。 在执行任何操作之前,需要成为搜索 & 清除角色的一部分。

我们添加了针对重复或重叠调查的其他检查,这些调查与多次批准的相同群集相同。 如果同一调查群集已在前一小时内获得批准,则不会再次处理新的重复修正。 此行为不会删除重复的调查或调查证据 - 它只是删除重复的已批准操作以提高修正处理速度。 对于重复的已批准的群集调查,不会在 操作中心 侧面板中看到操作详细信息。

批准 (或拒绝) 挂起的操作

可通过四种不同的方式查找和执行自动调查操作:

事件队列

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到事件 & 警报>事件中的“事件”页。 若要直接转到“ 事件 ”页,请使用 https://security.microsoft.com/incidents
  2. 筛选“自动调查”状态的 “挂起”操作 , (可选) 。
  3. 在“ 事件 ”页上,选择事件名称以打开其摘要页。
  4. 选择“ 证据和响应 ”选项卡。
  5. 在列表中选择一个项目以打开其浮出控件窗格。
  6. 查看信息,然后执行以下步骤之一:
    • 选择“批准挂起的操作”选项以启动挂起的操作。
    • 选择“拒绝挂起的操作”选项以防止执行挂起的操作。

操作中心

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,选择“操作中心”,转到“操作中心”页。 若要直接转到 操作中心 页面,请使用 https://security.microsoft.com/action-center/pending
  2. “操作中心” 页上,验证是否选择了“ 挂起 ”选项卡,然后查看等待审批的操作列表。
    • 选择“打开调查页面”以查看有关调查的更多详细信息。
    • 选择“批准”以启动待处理的操作。
    • 选择“拒绝”以阻止执行待处理的操作。

注意

待处理操作在等待审批一周后超时。

调查和修正调查队列

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到Email &协作>调查中的“威胁调查”页。 若要直接转到 “威胁调查 ”页,请使用 https://security.microsoft.com/airinvestigation
  2. “威胁调查 ”页上,从列表中查找状态为 “挂起操作”的项目。
  3. ID状态) 之间的列表时间 (,单击“在新窗口中打开”。
  4. 在打开的页面中,执行批准或拒绝操作。

更改或撤消一个修正操作

可通过两种不同的方式重新考虑提交的操作:

通过统一操作中心更改或撤消操作

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,选择“操作中心”,转到统一操作中心。 若要直接转到统一操作中心,请使用 https://security.microsoft.com/action-center/
  2. “操作中心 ”页上,选择“ 历史记录 ”选项卡,然后选择要更改或撤消的操作。
  3. 在屏幕右侧的窗格中,选择相应的操作, (移动到收件箱移动到垃圾邮件移动到已删除的项目软删除硬删除) 。

通过 Office 操作中心更改或撤消操作

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,转到 office 操作中心Email &协作>评审>操作中心。 若要直接转到 Office 操作中心,请使用 https://security.microsoft.com/threatincidents
  2. “操作中心 ”页上,选择适当的修正。
  3. 在侧面板中,单击邮件提交条目并等待列表加载。
  4. 等待顶部的“操作”按钮启用,然后选择“操作”按钮以更改操作类型。
  5. 这将创建相应的操作。

后续步骤

另请参阅