Melden falsch positiver/negativer Ergebnisse in automatisierten Untersuchungs- und Reaktionsfunktionen
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Wenn die Funktionen der automatisierten Untersuchung und Reaktion (Automated Investigation and Response, AIR) in Office 365 etwas verpasst oder fälschlicherweise erkannt haben, gibt es Schritte, die Ihr Sicherheitsteam ergreifen kann, um dies zu beheben. Zu diesen Aktionen gehören:
- Melden eines falsch positiven/negativen Werts an Microsoft;
- Anpassen von Warnungen (falls erforderlich); und
- Rückgängigmachen der durchgeführten Wiederherstellungsaktionen.
Verwenden Sie diesen Artikel als Leitfaden.
Melden eines falsch positiven/negativen Werts an Microsoft zur Analyse
Wenn AIR in Microsoft Defender for Office 365 eine E-Mail-Nachricht, eine E-Mail-Anlage, eine URL in einer E-Mail-Nachricht oder eine URL in einer Office-Datei verpasst hat, können Sie mutmaßliche Spam-, Phishing-, URLs und Dateien zur Office 365 Überprüfung an Microsoft übermitteln.
Sie können auch eine Datei zur Analyse von Schadsoftware an Microsoft übermitteln.
Anpassen einer Warnung, um zu verhindern, dass falsch positive Ergebnisse wiederholt werden
Wenn eine Warnung durch legitime Verwendung ausgelöst wird oder die Warnung ungenau ist, können Sie Warnungen im Defender for Cloud Apps-Portal verwalten.
Wenn Ihr organization zusätzlich zu Office 365 Microsoft Defender for Endpoint verwendet und eine Datei, IP-Adresse, URL oder Domäne auf einem Gerät als Schadsoftware behandelt wird, können Sie einen benutzerdefinierten Indikator mit der Aktion "Zulassen" für Ihr Gerät erstellen.
Rückgängigmachen einer Korrekturaktion
Wenn eine Korrekturaktion für eine E-Mail-Nachricht, eine E-Mail-Anlage oder eine URL durchgeführt wurde und das Element tatsächlich keine Bedrohung darstellt, kann Ihr Sicherheitsteam in den meisten Fällen die Korrekturaktion rückgängig machen und Maßnahmen ergreifen, um zu verhindern, dass das falsch positive Ergebnis wiederholt wird. Sie können entweder threat Explorer oder die Registerkarte Aktionen für eine Untersuchung verwenden, um eine Aktion rückgängig zu machen.
Wichtig
Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen, bevor Sie versuchen, die folgenden Aufgaben auszuführen.
Rückgängigmachen einer Aktion mithilfe von Threat Explorer
Mit Threat Explorer kann Ihr Sicherheitsteam eine E-Mail finden, die von einer Aktion betroffen ist, und die Aktion möglicherweise rückgängig machen.
| Szenario | Rückgängig-Optionen | Weitere Informationen |
|---|---|---|
| Eine E-Mail-Nachricht wurde an den Junk-Email Ordner eines Benutzers weitergeleitet. |
|
Suchen und Untersuchen schädlicher E-Mails, die in Office 365 |
| Eine E-Mail-Nachricht oder eine Datei wurde unter Quarantäne gesetzt |
|
Verwalten von in Quarantäne befindlichen Nachrichten als Administrator |
Rückgängigmachen einer Aktion im Info-Center
Im Info-Center werden ausgeführte Wiederherstellungsaktionen angezeigt, und die Aktion kann möglicherweise rückgängig gemacht werden.
- Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzum Info-Center, indem Sie Info-Center auswählen. Um direkt zum Info-Center zu wechseln, verwenden Sie https://security.microsoft.com/action-center/.
- Wählen Sie im Info-Center die Registerkarte Verlauf aus, um die Liste der abgeschlossenen Aktionen anzuzeigen.
- Wählen Sie ein Element aus. Der Flyoutbereich wird geöffnet.
- Wählen Sie im Flyoutbereich Rückgängig aus. (Nur Aktionen, die rückgängig werden können, verfügen über die Schaltfläche Rückgängig .)