Cómo notificar falsos positivos o negativos en funcionalidades automatizadas de investigación y respuesta
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender XDR para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
Si las funcionalidades de investigación y respuesta automatizadas (AIR) en Office 365 han perdido o detectado algo erróneamente, hay pasos que el equipo de operaciones de seguridad puede realizar para corregirlo. Estas acciones incluyen:
- Notificar un falso positivo/negativo a Microsoft;
- Ajustar alertas (si es necesario); y
- Deshacer las acciones de corrección que se han realizado.
Use este artículo como guía.
Notificar un falso positivo/negativo a Microsoft para su análisis
Si AIR en Microsoft Defender para Office 365 ha perdido un mensaje de correo electrónico, un archivo adjunto de correo electrónico, una dirección URL en un mensaje de correo electrónico o una dirección URL en un archivo de Office, puede enviar sospechas de correo no deseado, direcciones URL, direcciones URL y archivos a Microsoft para Office 365 examen.
También puede enviar un archivo a Microsoft para el análisis de malware.
Ajuste de una alerta para evitar que los falsos positivos se repitan
Si una alerta se desencadena por uso legítimo o la alerta es inexacta, puede administrar alertas en el portal de Defender for Cloud Apps.
Si su organización usa Microsoft Defender para punto de conexión además de Office 365, y un archivo, dirección IP, dirección URL o dominio se trata como malware en un dispositivo, aunque sea seguro, puede crear un indicador personalizado con una acción "Permitir" para el dispositivo.
Deshacer una acción de corrección
En la mayoría de los casos, si se ha realizado una acción de corrección en un mensaje de correo electrónico, datos adjuntos de correo electrónico o dirección URL y el elemento no es en realidad una amenaza, el equipo de operaciones de seguridad puede deshacer la acción de corrección y tomar medidas para evitar que el falso positivo se repita. Puede usar el Explorador de amenazas o la pestaña Acciones de una investigación para deshacer una acción.
Importante
Asegúrese de que tiene los permisos necesarios antes de intentar realizar las siguientes tareas.
Deshacer una acción mediante el Explorador de amenazas
Con el Explorador de amenazas, el equipo de operaciones de seguridad puede encontrar un correo electrónico afectado por una acción y, potencialmente, deshacer la acción.
| Escenario | Deshacer opciones | Más información |
|---|---|---|
| Se enrutó un mensaje de correo electrónico a la carpeta de Email no deseado de un usuario. |
|
Busque e investigue el correo electrónico malintencionado que se entregó en Office 365 |
| Un mensaje de correo electrónico o un archivo se puso en cuarentena |
|
Administración de mensajes en cuarentena como administrador |
Deshacer una acción en el Centro de acciones
En el Centro de acciones, puede ver las acciones de corrección que se realizaron y, potencialmente, deshacer la acción.
- En el portal de Microsoft Defender en https://security.microsoft.com, vaya al Centro de acciones; para ello, seleccione Centro de acciones. Para ir directamente al Centro de acciones, use https://security.microsoft.com/action-center/.
- En el Centro de acciones, seleccione la pestaña Historial para ver la lista de acciones completadas.
- Seleccione un elemento. Se abre el panel flotante.
- En el panel flotante, seleccione Deshacer. (Solo las acciones que se pueden deshacer tendrán un botón Deshacer ).