Comment signaler les faux positifs/négatifs dans les fonctionnalités d’investigation et de réponse automatisées
Conseil
Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai ici.
Si les fonctionnalités d’investigation et de réponse automatisées (AIR) dans Office 365 manquées ou détectées par erreur, votre équipe des opérations de sécurité peut prendre des mesures pour résoudre ce problème. Ces actions sont notamment les suivantes :
- Signaler un faux positif/négatif à Microsoft ;
- Ajustement des alertes (si nécessaire) ; Et
- Annuler les actions de correction qui ont été effectuées.
Utilisez cet article comme guide.
Signaler un faux positif/négatif à Microsoft à des fins d’analyse
Si AIR dans Microsoft Defender pour Office 365 manqué un e-mail, une pièce jointe, une URL dans un e-mail ou une URL dans un fichier Office, vous pouvez envoyer des courriers indésirables, des hameçonnages, des URL et des fichiers suspects à Microsoft pour Office 365 analyse.
Vous pouvez également envoyer un fichier à Microsoft pour l’analyse des programmes malveillants.
Ajuster une alerte pour empêcher la récurraison de faux positifs
Si une alerte est déclenchée par une utilisation légitime ou si l’alerte est inexacte, vous pouvez gérer les alertes dans le portail Defender for Cloud Apps.
Si votre organization utilise Microsoft Defender pour point de terminaison en plus de Office 365 et qu’un fichier, une adresse IP, une URL ou un domaine est traité comme un programme malveillant sur un appareil, même s’il est sécurisé, vous pouvez créer un indicateur personnalisé avec une action « Autoriser » pour votre appareil.
Annuler une action de correction
Dans la plupart des cas, si une action de correction a été effectuée sur un e-mail, une pièce jointe ou une URL, et que l’élément n’est en fait pas une menace, votre équipe des opérations de sécurité peut annuler l’action de correction et prendre des mesures pour empêcher le faux positif de se reproduire. Vous pouvez utiliser l’Explorer des menaces ou l’onglet Actions pour une investigation afin d’annuler une action.
Importante
Vérifiez que vous disposez des autorisations nécessaires avant de tenter d’effectuer les tâches suivantes.
Annuler une action à l’aide de Threat Explorer
Avec threat Explorer, votre équipe des opérations de sécurité peut trouver un e-mail affecté par une action et éventuellement annuler l’action.
| Scénario | Options d’annulation | En savoir plus |
|---|---|---|
| Un e-mail a été routé vers le dossier Email indésirable d’un utilisateur |
|
Rechercher et examiner les e-mails malveillants qui ont été remis dans Office 365 |
| Un e-mail ou un fichier a été mis en quarantaine |
|
Gérer les messages mis en quarantaine en tant qu’administrateur |
Annuler une action dans le centre de notifications
Dans le Centre de notifications, vous pouvez voir les actions de correction qui ont été effectuées et éventuellement annuler l’action.
- Dans le portail Microsoft Defender à l’adresse https://security.microsoft.com, accédez au Centre de notifications en sélectionnant Centre de notifications. Pour accéder directement au centre de notifications, utilisez https://security.microsoft.com/action-center/.
- Dans le Centre de notifications, sélectionnez l’onglet Historique pour afficher la liste des actions terminées.
- Sélectionnez un élément. Son volet volant s’ouvre.
- Dans le volet volant, sélectionnez Annuler. (Seules les actions qui peuvent être annulées ont un bouton Annuler .)
Voir aussi
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour