Käsittele epätosi-positiivisia tai epätosi-negatiivisia Microsoft Defender XDR
Koskee seuraavia:
- Microsoft Defender XDR
Vääriä positiivisia tai negatiivisia voi esiintyä toisinaan missä tahansa uhkien suojausratkaisussa. Jos Microsoft Defender XDR automatisoitu tutkimus- ja vastaustoiminto vastaamatonta tai väärin havaittua jotain, suojaustoimintaryhmäsi voi ryhtyä toimenpiteisiin:
- Ilmoita positiivinen/negatiivinen epätosi Microsoftille
- Säädä ilmoituksiasi (tarvittaessa)
- Kumoa laitteissa tehdyt korjaustoiminnot
Seuraavissa osioissa kuvataan, miten nämä tehtävät suoritetaan.
Ilmoita false-positiivisesta/negatiivisesta Microsoftille analyysia varten
| Kohde, joka ei vastaa tai joka on havaittu virheellisesti | Palvelu | Mitä tehdä? |
|---|---|---|
| - Sähköpostiviesti - Sähköpostin liite - sähköpostiviestin URL-osoite - Office-tiedoston URL-osoite |
Microsoft Defender for Office 365 | Lähetä epäillyt roskaposti-, tietojenkalastelu-, URL-osoitteet ja tiedostot Microsoftille skannausta varten |
| Tiedosto tai sovellus laitteessa | Microsoft Defender for Endpoint | Lähetä tiedosto Microsoftille haittaohjelma-analyysia varten |
Säädä ilmoitusta, jotta false-positiiviset eivät toistu
| Skenaario | Palvelu | Mitä tehdä? |
|---|---|---|
| - ilmoitus käynnistetään laillisella käytöllä - Ilmoitus on virheellinen |
Microsoft Defender for Cloud Apps TAI Azure-uhkien suojaus |
Ilmoitusten hallinta Defender for Cloud Apps -portaalissa |
| Tiedostoa, IP-osoitetta, URL-osoitetta tai toimialuetta käsitellään laitteessa haittaohjelmana, vaikka se olisi turvallista | Microsoft Defender for Endpoint | Create mukautetun ilmaisimen Salli-toiminnolla |
Kumoa laitteessa tehty korjaustoiminto
Jos entiteetille (kuten laitteelle tai sähköpostiviestille) on tehty korjaustoiminto eikä kyseinen entiteetti ole uhka, suojaustoimintaryhmäsi voi kumota korjaustoiminnon toimintokeskuksessa.
- Siirry Microsoft Defender portaaliin ja kirjaudu sisään.
- Valitse siirtymisruudussa Toimintokeskus.
- Valitse Historia-välilehdessä toiminto, jonka haluat kumota. Sen pikaikkunaruutu avautuu.
- Valitse pikaikkunaruudussa Kumoa.
Vihje
Katso Kumoa valmiit toiminnot.
Tutustu myös seuraaviin ohjeartikkeleihin:
- Automaattisen tutkimuksen tietojen ja tulosten tarkasteleminen
- Uhkien ennakoiva metsästys kehittyneellä metsästyksellä Microsoft Defender XDR
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.