Behandeln von falsch positiven oder falsch negativen Ergebnissen in Microsoft Defender XDR
Gilt für:
- Microsoft Defender XDR
Falsch positive oder negative Ergebnisse können gelegentlich bei jeder Bedrohungsschutzlösung auftreten. Wenn automatisierte Untersuchungs- und Reaktionsfunktionen in Microsoft Defender XDR etwas verpasst oder fälschlicherweise erkannt haben, gibt es Schritte, die Ihr Sicherheitsteam ausführen kann:
- Melden eines falsch positiven/negativen Werts an Microsoft
- Passen Sie Ihre Warnungen (bei Bedarf) an.
- Rückgängigmachen von Korrekturaktionen, die auf Geräten ausgeführt wurden
In den folgenden Abschnitten wird beschrieben, wie diese Aufgaben ausgeführt werden.
Melden eines falsch positiven/negativen Werts an Microsoft zur Analyse
| Element verpasst oder falsch erkannt | Dienst | Vorgehensweise |
|---|---|---|
| – Email Nachricht – Email Anlage - URL in einer E-Mail-Nachricht - URL in einer Office-Datei |
Microsoft Defender für Office 365 | Übermitteln Sie mutmaßliche Spam-, Phishing-, URLs und Dateien zur Überprüfung an Microsoft. |
| Datei oder App auf einem Gerät | Microsoft Defender für Endpunkt | Übermitteln einer Datei an Microsoft zur Schadsoftwareanalyse |
Anpassen einer Warnung, um zu verhindern, dass falsch positive Ergebnisse wiederholt werden
| Szenario | Dienst | Vorgehensweise |
|---|---|---|
| – Eine Warnung wird durch legitime Verwendung ausgelöst. - Eine Warnung ist ungenau |
Microsoft Defender for Cloud Apps oder Azure Threat Protection |
Verwalten von Warnungen im Defender for Cloud Apps-Portal |
| Eine Datei, IP-Adresse, URL oder Domäne wird auf einem Gerät als Schadsoftware behandelt, obwohl sie sicher ist. | Microsoft Defender für Endpunkt | Create eines benutzerdefinierten Indikators mit einer Aktion "Zulassen" |
Rückgängigmachen einer Korrekturaktion, die auf einem Gerät ausgeführt wurde
Wenn eine Korrekturaktion für eine Entität (z. B. ein Gerät oder eine E-Mail-Nachricht) durchgeführt wurde und die betroffene Entität tatsächlich keine Bedrohung darstellt, kann Ihr Sicherheitsteam die Korrekturaktion im Info-Center rückgängig gemacht werden.
- Wechseln Sie zu Microsoft Defender Portal, und melden Sie sich an.
- Wählen Sie im Navigationsbereich Info-Center aus.
- Wählen Sie auf der Registerkarte Verlauf eine Aktion aus, die Sie rückgängig machen möchten. Der Flyoutbereich wird geöffnet.
- Wählen Sie im Flyoutbereich Rückgängig aus.
Tipp
Weitere Informationen finden Sie unter Rückgängig abgeschlossener Aktionen.
Siehe auch
- Anzeigen der Details und Ergebnisse einer automatischen Untersuchung
- Proaktives Suchen nach Bedrohungen mit erweiterter Suche in Microsoft Defender XDR
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.