Partager via


Comment signaler les faux positifs/négatifs dans les fonctionnalités d’investigation et de réponse automatisées

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Si les fonctionnalités d’investigation et de réponse automatisées (AIR) dans Office 365 manquées ou détectées par erreur, votre équipe des opérations de sécurité peut prendre des mesures pour résoudre ce problème. Ces actions sont notamment les suivantes :

Utilisez cet article comme guide.

Signaler un faux positif/négatif à Microsoft à des fins d’analyse

Si AIR dans Microsoft Defender pour Office 365 manqué un e-mail, une pièce jointe, une URL dans un e-mail ou une URL dans un fichier Office, vous pouvez envoyer des courriers indésirables, des hameçonnages, des URL et des fichiers suspects à Microsoft pour Office 365 analyse.

Vous pouvez également envoyer un fichier à Microsoft pour l’analyse des programmes malveillants.

Ajuster une alerte pour empêcher la récurraison de faux positifs

Si une alerte est déclenchée par une utilisation légitime ou si l’alerte est inexacte, vous pouvez gérer les alertes dans le portail Defender for Cloud Apps.

Si votre organization utilise Microsoft Defender pour point de terminaison en plus de Office 365 et qu’un fichier, une adresse IP, une URL ou un domaine est traité comme un programme malveillant sur un appareil, même s’il est sécurisé, vous pouvez créer un indicateur personnalisé avec une action « Autoriser » pour votre appareil.

Annuler une action de correction

Dans la plupart des cas, si une action de correction a été effectuée sur un e-mail, une pièce jointe ou une URL, et que l’élément n’est en fait pas une menace, votre équipe des opérations de sécurité peut annuler l’action de correction et prendre des mesures pour empêcher le faux positif de se reproduire. Vous pouvez utiliser l’Explorer des menaces ou l’onglet Actions pour une investigation afin d’annuler une action.

Importante

Vérifiez que vous disposez des autorisations nécessaires avant de tenter d’effectuer les tâches suivantes.

Annuler une action à l’aide de Threat Explorer

Avec threat Explorer, votre équipe des opérations de sécurité peut trouver un e-mail affecté par une action et éventuellement annuler l’action.

Scénario Options d’annulation En savoir plus
Un e-mail a été routé vers le dossier Email indésirable d’un utilisateur
  • Déplacer le message vers le dossier Éléments supprimés de l’utilisateur
  • Déplacer le message dans la boîte de réception de l’utilisateur
  • Supprimer le message
Rechercher et examiner les e-mails malveillants qui ont été remis dans Office 365
Un e-mail ou un fichier a été mis en quarantaine
  • Libérer l’e-mail ou le fichier
  • Supprimer l’e-mail ou le fichier
Gérer les messages mis en quarantaine en tant qu’administrateur

Annuler une action dans le centre de notifications

Dans le Centre de notifications, vous pouvez voir les actions de correction qui ont été effectuées et éventuellement annuler l’action.

  1. Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez au Centre de notifications en sélectionnant Centre de notifications. Pour accéder directement au centre de notifications, utilisez https://security.microsoft.com/action-center/.
  2. Dans le Centre de notifications, sélectionnez l’onglet Historique pour afficher la liste des actions terminées.
  3. Sélectionnez un élément. Son volet volant s’ouvre.
  4. Dans le volet volant, sélectionnez Annuler. (Seules les actions qui peuvent être annulées ont un bouton Annuler .)

Voir aussi