Abordar falsos positivos o falsos negativos en Microsoft Defender XDR
Se aplica a:
- Microsoft Defender XDR
En ocasiones, se pueden producir falsos positivos o negativos con cualquier solución de protección contra amenazas. Si las funcionalidades automatizadas de investigación y respuesta en Microsoft Defender XDR ha perdido o detectado algo erróneamente, hay pasos que el equipo de operaciones de seguridad puede realizar:
- Notificar un falso positivo o negativo a Microsoft
- Ajuste las alertas (si es necesario)
- Deshacer las acciones de corrección que se realizaron en los dispositivos
En las secciones siguientes se describe cómo realizar estas tareas.
Notificar un falso positivo/negativo a Microsoft para su análisis
| Elemento que se ha perdido o se ha detectado de forma incorrecta | Servicio | Qué hacer |
|---|---|---|
| - mensaje de Email - datos adjuntos Email - Dirección URL en un mensaje de correo electrónico - Dirección URL en un archivo de Office |
Microsoft Defender para Office 365 | Enviar sospechas de correo no deseado, phish, direcciones URL y archivos a Microsoft para su examen |
| Archivo o aplicación en un dispositivo | Microsoft Defender para punto de conexión | Envío de un archivo a Microsoft para el análisis de malware |
Ajuste de una alerta para evitar que los falsos positivos se repitan
| Escenario | Servicio | Qué hacer |
|---|---|---|
| - Un uso legítimo desencadena una alerta - Una alerta es inexacta |
Microsoft Defender for Cloud Apps Otra posibilidad: Protección contra amenazas de Azure |
Administración de alertas en el portal de Defender for Cloud Apps |
| Un archivo, dirección IP, dirección URL o dominio se trata como malware en un dispositivo, aunque sea seguro | Microsoft Defender para punto de conexión | Create un indicador personalizado con una acción "Permitir" |
Deshacer una acción de corrección realizada en un dispositivo
Si se ha realizado una acción de corrección en una entidad (como un dispositivo o un mensaje de correo electrónico) y la entidad afectada no es realmente una amenaza, el equipo de operaciones de seguridad puede deshacer la acción de corrección en el Centro de acciones.
- Vaya a Microsoft Defender portal e inicie sesión.
- En el panel de navegación, elija Centro de actividades.
- En la pestaña Historial , seleccione una acción que quiera deshacer. Se abre el panel flotante.
- En el panel flotante, seleccione Deshacer.
Sugerencia
Consulte Deshacer acciones completadas.
Consulte también
- Ver los detalles y los resultados de una investigación automatizada
- Búsqueda proactiva de amenazas con la búsqueda avanzada en Microsoft Defender XDR
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.