Compartir a través de


Cómo notificar falsos positivos o negativos en funcionalidades automatizadas de investigación y respuesta

Sugerencia

¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.

Si las funcionalidades de investigación y respuesta automatizadas (AIR) en Office 365 han perdido o detectado algo erróneamente, hay pasos que el equipo de operaciones de seguridad puede realizar para corregirlo. Estas acciones incluyen:

Use este artículo como guía.

Notificar un falso positivo/negativo a Microsoft para su análisis

Si AIR en Microsoft Defender para Office 365 ha perdido un mensaje de correo electrónico, un archivo adjunto de correo electrónico, una dirección URL en un mensaje de correo electrónico o una dirección URL en un archivo de Office, puede enviar sospechas de correo no deseado, direcciones URL, direcciones URL y archivos a Microsoft para Office 365 examen.

También puede enviar un archivo a Microsoft para el análisis de malware.

Ajuste de una alerta para evitar que los falsos positivos se repitan

Si una alerta se desencadena por uso legítimo o la alerta es inexacta, puede administrar alertas en el portal de Defender for Cloud Apps.

Si su organización usa Microsoft Defender para punto de conexión además de Office 365, y un archivo, dirección IP, dirección URL o dominio se trata como malware en un dispositivo, aunque sea seguro, puede crear un indicador personalizado con una acción "Permitir" para el dispositivo.

Deshacer una acción de corrección

En la mayoría de los casos, si se ha realizado una acción de corrección en un mensaje de correo electrónico, datos adjuntos de correo electrónico o dirección URL y el elemento no es en realidad una amenaza, el equipo de operaciones de seguridad puede deshacer la acción de corrección y tomar medidas para evitar que el falso positivo se repita. Puede usar el Explorador de amenazas o la pestaña Acciones de una investigación para deshacer una acción.

Importante

Asegúrese de que tiene los permisos necesarios antes de intentar realizar las siguientes tareas.

Deshacer una acción mediante el Explorador de amenazas

Con el Explorador de amenazas, el equipo de operaciones de seguridad puede encontrar un correo electrónico afectado por una acción y, potencialmente, deshacer la acción.

Escenario Deshacer opciones Más información
Se enrutó un mensaje de correo electrónico a la carpeta de Email no deseado de un usuario.
  • Mover el mensaje a la carpeta Elementos eliminados del usuario
  • Mover el mensaje a la bandeja de entrada del usuario
  • Eliminar el mensaje.
Busque e investigue el correo electrónico malintencionado que se entregó en Office 365
Un mensaje de correo electrónico o un archivo se puso en cuarentena
  • Liberar el correo electrónico o el archivo
  • Eliminar el correo electrónico o el archivo
Administración de mensajes en cuarentena como administrador

Deshacer una acción en el Centro de acciones

En el Centro de acciones, puede ver las acciones de corrección que se realizaron y, potencialmente, deshacer la acción.

  1. En el portal de Microsoft Defender en https://security.microsoft.com, vaya al Centro de acciones; para ello, seleccione Centro de acciones. Para ir directamente al Centro de acciones, use https://security.microsoft.com/action-center/.
  2. En el Centro de acciones, seleccione la pestaña Historial para ver la lista de acciones completadas.
  3. Seleccione un elemento. Se abre el panel flotante.
  4. En el panel flotante, seleccione Deshacer. (Solo las acciones que se pueden deshacer tendrán un botón Deshacer ).

Vea también