Kontrola a správa nápravných akcí v Office 365

Tip

Věděli jste, že si můžete zdarma vyzkoušet funkce v Microsoft Defender XDR pro Office 365 Plan 2? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.

Vzhledem k tomu, že automatizované vyšetřování e-mailu & obsahu spolupráce vede k verdiktům, jako jsou škodlivé nebo podezřelé, vytvářejí se určité nápravné akce. V Microsoft Defender pro Office 365 můžou nápravné akce zahrnovat:

  • Obnovitelné odstranění e-mailových zpráv nebo clusterů
  • Vypnutí externího přeposílání pošty

Tyto nápravné akce se neprovedou, dokud je váš tým pro operace zabezpečení neschválí. Doporučujeme co nejdříve zkontrolovat a schválit všechny nevyřízené akce, aby se vaše automatizovaná šetření dokončila včas. Před provedením jakýchkoli akcí musíte být součástí role hledání & vymazání.

Přidali jsme další kontroly duplicitních nebo překrývajících se šetření se stejnými clustery schválenými vícekrát. Pokud byl stejný cluster pro šetření schválen již v předchozí hodině, nebude nová duplicitní náprava znovu zpracována. Toto chování neodebere duplicitní šetření ani důkazy šetření , ale jednoduše deduplikuje schválené akce, aby se zlepšila rychlost zpracování nápravy. U duplicitních schválených šetření clusteru neuvidíte podrobnosti o akcích na bočním panelu centra akcí .

Schválení (nebo odmítnutí) čekajících akcí

Existují čtyři různé způsoby, jak najít a provést akce automatického šetření:

Fronta incidentů

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na stránku Incidenty v části Incidenty & výstrahy>Incidenty. Pokud chcete přejít přímo na stránku Incidenty , použijte https://security.microsoft.com/incidents.
  2. Vyfiltrujte akci Čeká na vyřízení pro stav automatizovaného šetření (volitelné).
  3. Na stránce Incidenty vyberte název incidentu a otevřete jeho souhrnnou stránku.
  4. Vyberte kartu Evidence a odpověď .
  5. Výběrem položky v seznamu otevřete její kontextové podokno.
  6. Zkontrolujte tyto informace a pak proveďte jeden z následujících kroků:
    • Pokud chcete zahájit čekající akci, vyberte možnost Schválit čekající akci.
    • Pokud chcete zabránit provedení čekající akce, vyberte možnost Odmítnout čekající akci.

Centrum akcí

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte výběrem možnosti Centrum akcí na stránku Centrum akcí. Pokud chcete přejít přímo na stránku Centra akcí , použijte https://security.microsoft.com/action-center/pending.
  2. Na stránce Centrum akcí ověřte, že je vybraná karta Čeká na vyřízení, a pak zkontrolujte seznam akcí, které čekají na schválení.
    • Pokud chcete zobrazit další podrobnosti o vyšetřování, vyberte Otevřít stránku šetření .
    • Výběrem možnosti Schválit zahajte čekající akci.
    • Pokud chcete zabránit provedení čekající akce, vyberte Odmítnout .

Poznámka

Po čekání na schválení po dobu jednoho týdne vyprší časový limit čekajících akcí.

Fronta šetření a nápravných šetření

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte na stránku Prošetření hrozebv Email & spolupráce>. Pokud chcete přejít přímo na stránku Prošetření hrozeb , použijte https://security.microsoft.com/airinvestigation.
  2. Na stránce Vyšetřování hrozeb vyhledejte položku a ze seznamu, jejíž stav je Čekající akce.
  3. V čase seznamu (mezi ID a Stavem) klikněte na Otevřít v novém okně.
  4. Na stránce, která se otevře, proveďte akce schválení nebo odmítnutí.

Změna nebo vrácení jedné nápravné akce zpět

Existují dva různé způsoby, jak znovu zvážit odeslané akce:

Změna nebo vrácení zpět prostřednictvím sjednoceného centra akcí

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do sjednoceného centra akcí tak, že vyberete Centrum akcí. Pokud chcete přejít přímo do sjednoceného centra akcí, použijte https://security.microsoft.com/action-center/.
  2. Na stránce Centrum akcí vyberte kartu Historie a pak vyberte akci, kterou chcete změnit nebo vrátit zpět.
  3. V podokně na pravé straně obrazovky vyberte příslušnou akci (přesunout do složky Doručená pošta, přesunout do nevyžádané pošty, přesunout na odstraněné položky, obnovitelné odstranění nebo pevné odstranění).

Změna nebo vrácení zpět v Centru akcí Office

  1. Na portálu Microsoft Defender na adrese https://security.microsoft.compřejděte do Centra akcí Office v Email & spolupráci>Zkontrolovat>centrum akcí. Pokud chcete přejít přímo do Centra akcí Office, použijte https://security.microsoft.com/threatincidents.
  2. Na stránce Centrum akcí vyberte odpovídající nápravu.
  3. Na bočním panelu klikněte na položku odeslání pošty a počkejte, až se seznam načte.
  4. Počkejte, až tlačítko Akce nahoře povolí, a výběrem tlačítka Akce změňte typ akce.
  5. Tím se vytvoří příslušné akce.

Další kroky

Viz také