共用方式為

檢閱和管理 適用於 Office 365 的 Microsoft Defender 方案 2 中 AIR) 的自動化調查與回應 (補救動作

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

在Microsoft 365 個組織中,適用於 Office 365 的 Microsoft Defender 方案 2 (包含Microsoft 365 個授權,例如 E5 或獨立訂用帳戶) 、自動化調查和回應 (AIR) 通常會導致擱置的補救動作。 例如:

  • 虛刪除電子郵件訊息或叢集。
  • 關閉外部郵件轉寄。

這些補救動作不會自動採取。 補救動作需要安全性作業 (SecOps) 小組的成員核准。 本文的其餘部分說明如何核准或拒絕擱置中的補救動作。

提示

建議您儘快檢閱和核准或拒絕擱置的補救動作,以便及時完成自動化調查。

系統會檢查相同叢集已多次核准的重複或重疊調查。 如果同一個調查叢集已在前一小時內獲得核准,則不會再次處理新的重複補救。 此行為不會移除重複的調查或調查辨識項,它只會刪除已核准的動作,以改善補救處理速度。 針對重複核准的叢集調查,您不會在 Microsoft Defender 入口網站的 [控制中心] 頁面上,從 [歷程記錄] 索引標籤看到飛出視窗的動作詳細數據。https://security.microsoft.com/action-center/history

開始之前有哪些須知?

核准或拒絕來自 適用於 Office 365 的 Defender 中 [調查] 頁面的擱置動作

如需 適用於 Office 365 的 Defender 中事件頁面的詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 方案 2 中的自動化調查和回應 (AIR) 的詳細數據和結果。

  1. 在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 適用於 Office 365 的 Defender 中的 [調查] 頁面,網 Email & 共同作業>調查。 或者,若要直接移至 適用於 Office 365 的 Defender 中的 [調查] 頁面,請使用 https://security.microsoft.com/airinvestigation
  2. 在 適用於 Office 365 的 Defender 的 [調查] 頁面上,尋找 [狀態] 值為 [擱置核准] 清單中的專案。 使用 [篩選 ] 依 [狀態 ] 值 [ 擱置] 動作篩選結果。
  3. 在 [調查] 頁面上,按兩下 [標識符] 資料行中的 [在新視窗中開啟] 來選取 [擱置動作] 專案 (不要選取複選框) 。
  4. 在開啟的調查詳細數據頁面中,選取 [ 擱置 動作] 索引標籤,然後按兩下第一個數據行旁邊複選框以外的數據列中的任何位置,從清單中選取專案。
  5. 在開啟的詳細數據飛出視窗中,檢閱資訊,然後從飛出視窗頂端選取下列其中一個動作:
    • 核准:起始擱置中的動作。
    • 拒絕:防止採取擱置中的動作。

核准或拒絕來自 Defender 全面偵測回應 中 [事件] 頁面的擱置動作

如需 Defender 全面偵測回應 中 [事件] 頁面的詳細資訊,請參閱調查 Microsoft Defender 全面偵測回應 中的事件

  1. 在 Microsoft Defender 入口網站https://security.microsoft.com中,移至事件 & 警示事件 Defender 全面偵測回應 中的 [事件]>頁面。 或者,若要直接移至 Defender 全面偵測回應 中的 [事件] 頁面,請使用 https://security.microsoft.com/incidents

  2. 在 Defender 全面偵測回應 的 [調查] 頁面上,尋找 [狀態] 值為 [擱置核准] 清單中的專案。 使用下列步驟來篩選結果:

    1. 取 [清除],以清除 [事件] 頁面上任何現有的垃圾篩選。
    2. 選取 [ 新增篩選]
    3. 在開啟的 [ 新增篩選] 對話框中,選取 [ 自動化調查狀態],然後選取 [ 新增]
    4. 選取 [自動調查狀態:事件] 頁面上的任何篩選條件。
    5. 在開啟的下拉式清單中,選取 [ 擱置動作],然後選取 [ 套用]

    提示

    自動調查狀態篩選:擱置動作可能會顯示父事件,且調查狀態[擱置核准] 值。 在此情況下,您對父 代擱置核准 事件感興趣。

  3. 在 [事件] 頁面上,按兩下 [事件名稱] 值來選取 [擱置核准事件 (不要選取) 的複選框。

  4. 在開啟的事件詳細數據頁面上,選取 [ 辨識項和回應] 索引 標籤,然後尋找具有 [補救狀態 ] 值 [擱置核准] 的專案。 例如:

    • 按兩下 [ 補救狀態] 資料 行標頭,然後選取 [升序]
    • 在 [補救狀態] 區段 > [套用] 中,選取 [篩選>擱置核准]

  5. 在 [ 辨識項和回應] 索引 標籤上,按兩下第一個數據行旁邊複選框以外的數據列中的任何位置,選取 [ 擱置 核准] 專案。

  6. 在開啟的詳細數據飛出視窗中,檢閱資訊,然後從飛出視窗頂端選取下列其中一個動作:

    • 核准:起始擱置中的動作。
    • 拒絕:防止採取擱置中的動作。

核准或拒絕來自統一控制中心的擱置動作

如需 Defender 全面偵測回應 中統一控制中心的詳細資訊,請參閱控制中心

  1. 在 Microsoft Defender 入口網站https://security.microsoft.com中,移至 [動作 & 提交控制中心>擱置] 索引卷標上 [控制中心] 頁面上的> [擱置] 索引卷標。或者,若要直接移至 [控制中心] 頁面上的 [擱置] 索引標籤,請使用 https://security.microsoft.com/action-center/pending
  2. 在 [控制中心] 頁面的 [擱置中] 索引卷標上,按兩下 [調查標識元] 值以從清單中選取專案, (不要選取) 的複選框。
  3. 在開啟的調查詳細數據頁面中,選取 [ 擱置 動作] 索引標籤,然後按兩下第一個數據行旁邊複選框以外的數據列中的任何位置,從清單中選取專案。
  4. 在開啟的詳細數據飛出視窗中,檢閱資訊,然後從飛出視窗頂端選取下列其中一個動作:
    • 核准:起始擱置中的動作。
    • 拒絕:防止採取擱置中的動作。

變更或復原補救動作

如需指示,請參閱 復原補救動作

另請參閱