Hamis pozitív/negatív értékek jelentése az automatizált vizsgálatban és válaszképességekben
Tipp
Tudta, hogy ingyenesen kipróbálhatja az Microsoft Defender XDR funkcióit Office 365 2. csomagban? Használja a 90 napos Office 365-höz készült Defender próbaverziót a Microsoft Defender portal próbaverziós központjában. A Try Office 365-höz készült Microsoft Defender című cikkből megtudhatja, hogy ki regisztrálhat és ki használhatja a próbaverziót.
Ha a Office 365 automatizált vizsgálati és reagálási (AIR) képességei nem észlelhetők vagy hibásan észlelnek valamit, a biztonsági üzemeltetési csapat lépéseket tehet a hiba elhárításához. Ilyen műveletek többek között a következők:
- Hamis pozitív/negatív jelentés a Microsoftnak;
- Riasztások módosítása (ha szükséges); és
- A végrehajtott szervizelési műveletek visszavonása.
Használja ezt a cikket útmutatóként.
Hamis pozitív/negatív jelentés a Microsoftnak elemzés céljából
Ha az AIR Office 365-höz készült Microsoft Defender elmulasztott egy e-mailt, egy e-mail-mellékletet, egy e-mail-üzenetBEN szereplő URL-címet vagy egy Office-fájlBAN lévő URL-címet, akkor Office 365 vizsgálat céljából küldhet gyanús levélszeméteket, adathalászatot, URL-címeket és fájlokat a Microsoftnak.
A fájlt elküldheti a Microsoftnak kártevő-elemzés céljából is.
Riasztás módosítása a hamis pozitívok ismétlődő állapotának megakadályozásához
Ha egy riasztást jogos használat aktivál, vagy a riasztás pontatlan, a riasztásokat a Defender for Cloud Apps portálon kezelheti.
Ha szervezete a Office 365 kívül Végponthoz készült Microsoft Defender is használ, és a fájlokat, IP-címeket, URL-címeket vagy tartományokat kártevőként kezeli a rendszer az eszközön, annak ellenére, hogy az biztonságos, létrehozhat egy egyéni jelzőt az eszköz "Engedélyezés" műveletével.
Szervizelési művelet visszavonása
A legtöbb esetben, ha egy e-mailen, e-mail-mellékleten vagy URL-címen szervizelési műveletet hajtottak végre, és az elem valójában nem jelent fenyegetést, a biztonsági üzemeltetési csapat visszavonhatja a javítási műveletet, és lépéseket tehet annak érdekében, hogy a hamis pozitív ne ismétlődjön. A művelet visszavonásához használhatja a Veszélyforrás-kezelőt vagy a Műveletek lapot a vizsgálathoz .
Fontos
A következő feladatok végrehajtása előtt győződjön meg arról, hogy rendelkezik a szükséges engedélyekkel.
Művelet visszavonása a Veszélyforrás-kezelővel
A Threat Explorerrel a biztonsági üzemeltetési csapat megkeresheti a művelet által érintett e-maileket, és visszavonhatja a műveletet.
Forgatókönyv | Visszavonási beállítások | További információ |
---|---|---|
Egy e-mail egy felhasználó Levélszemét Email mappájába lett átirányítva |
|
A Office 365-ben kézbesített rosszindulatú e-mailek megkeresése és kivizsgálása |
Egy e-mail vagy egy fájl karanténba lett helyezve |
|
Karanténba helyezett üzenetek kezelése rendszergazdaként |
Művelet visszavonása a Műveletközpontban
A Műveletközpontban megtekintheti a végrehajtott javítási műveleteket, és visszavonhatja a műveletet.
- A Microsoft Defender portálon https://security.microsoft.comnyissa meg a Műveletközpontot a Műveletközpont kiválasztásával. Ha közvetlenül a Műveletközpontba szeretne lépni, használja a parancsot https://security.microsoft.com/action-center/.
- A Műveletközpontban válassza az Előzmények lapot a befejezett műveletek listájának megtekintéséhez.
- Jelöljön ki egy elemet. Ekkor megnyílik az úszó panel.
- Az úszó panelen válassza a Visszavonás lehetőséget. (Csak a visszavonható műveletekhez lesz Visszavonás gomb.)