Traiter les faux positifs ou les faux négatifs dans Microsoft Defender XDR
S’applique à :
- Microsoft Defender XDR
Des faux positifs ou négatifs peuvent parfois se produire avec n’importe quelle solution de protection contre les menaces. Si les fonctionnalités d’investigation et de réponse automatisées dans Microsoft Defender XDR manquées ou détectées par erreur, votre équipe des opérations de sécurité peut effectuer les étapes suivantes :
- Signaler un faux positif/négatif à Microsoft
- Ajuster vos alertes (si nécessaire)
- Annuler les actions de correction effectuées sur les appareils
Les sections suivantes décrivent comment effectuer ces tâches.
Signaler un faux positif/négatif à Microsoft à des fins d’analyse
| Élément manqué ou détecté par erreur | Service | Procédure |
|---|---|---|
| - Email message - pièce jointe Email - URL dans un e-mail - URL dans un fichier Office |
Microsoft Defender pour Office 365 | Envoyer des courriers indésirables suspects, des hameçonnages, des URL et des fichiers à Microsoft à des fins d’analyse |
| Fichier ou application sur un appareil | Microsoft Defender pour point de terminaison | Envoyer un fichier à Microsoft pour l’analyse des programmes malveillants |
Ajuster une alerte pour empêcher la récurraison de faux positifs
| Scénario | Service | Procédure |
|---|---|---|
| - Une alerte est déclenchée par une utilisation légitime - Une alerte est inexacte |
Microsoft Defender for Cloud Apps ou Protection Azure contre les menaces |
Gérer les alertes dans le portail Defender for Cloud Apps |
| Un fichier, une adresse IP, une URL ou un domaine est traité comme un programme malveillant sur un appareil, même s’il est sécurisé | Microsoft Defender pour point de terminaison | Create un indicateur personnalisé avec une action « Autoriser » |
Annuler une action de correction effectuée sur un appareil
Si une action de correction a été effectuée sur une entité (par exemple, un appareil ou un e-mail) et que l’entité affectée n’est pas réellement une menace, votre équipe des opérations de sécurité peut annuler l’action de correction dans le centre de notifications.
- Accédez à Microsoft Defender portail et connectez-vous.
- Dans le volet de navigation, choisissez Centre de notifications.
- Sous l’onglet Historique , sélectionnez une action que vous souhaitez annuler. Son volet volant s’ouvre.
- Dans le volet volant, sélectionnez Annuler.
Conseil
Consultez Annuler les actions terminées.
Voir aussi
- Consulter les détails et les résultats d'un examen automatisé
- Chasser de manière proactive les menaces avec une chasse avancée dans Microsoft Defender XDR
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.