Slik rapporterer du falske positiver/negativer i automatiserte undersøkelses- og svarfunksjoner

• Gjelder for:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender XDR for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Hvis automatiserte undersøkelses- og responsfunksjoner (AIR) i Office 365 tapte eller feilaktig oppdaget noe, er det noen trinn sikkerhetsoperasjonsteamet kan gjøre for å løse det. Slike handlinger omfatter:

• Rapportere en falsk positiv/negativ til Microsoft;
• Justere varsler (om nødvendig), og
• Angre utbedringshandlinger som ble utført.

Bruk denne artikkelen som en veiledning.

Rapporter en falsk positiv/negativ til Microsoft for analyse

Hvis AIR i Microsoft Defender for Office 365 gikk glipp av en e-postmelding, et e-postvedlegg, en nettadresse i en e-postmelding eller en nettadresse i en Office-fil, kan du sende mistanke om søppelpost, phish, nettadresser og filer til Microsoft for Office 365 skanning.

Du kan også sende inn en fil til Microsoft for analyse av skadelig programvare.

Justere et varsel for å hindre at falske positiver gjentas

Hvis et varsel utløses av legitim bruk, eller varselet er unøyaktig, kan du administrere varsler i Defender for Cloud Apps-portalen.

Hvis organisasjonen bruker Microsoft Defender for endepunkt i tillegg til Office 365, og en fil, IP-adresse, nettadresse eller domene behandles som skadelig programvare på en enhet, selv om den er trygg, kan du opprette en egendefinert indikator med en «Tillat»-handling for enheten.

Angre en utbedringshandling

I de fleste tilfeller, hvis en utbedringshandling ble utført på en e-postmelding, et e-postvedlegg eller en nettadresse, og elementet faktisk ikke er en trussel, kan sikkerhetsoperasjonsteamet angre utbedringshandlingen og iverksette tiltak for å forhindre at falske positiver gjentas. Du kan enten bruke Trusselutforsker eller Handlinger-fanen for en undersøkelse for å angre en handling.

Viktig

Kontroller at du har de nødvendige tillatelsene før du prøver å utføre følgende oppgaver.

Angre en handling ved hjelp av Trusselutforsker

Med Trusselutforsker kan sikkerhetsoperasjonsteamet finne en e-postmelding som påvirkes av en handling, og potensielt angre handlingen.

Scenario	Angrealternativer	Mer informasjon
En e-postmelding ble rutet til en brukers søppelpostmappe	Flytte meldingen til brukerens Slettede elementer-mappe Flytte meldingen til brukerens innboks Slette meldingen	Finn og undersøk skadelig e-post som ble levert i Office 365
En e-postmelding eller en fil ble satt i karantene	Frigi e-postmeldingen eller filen Slette e-postmeldingen eller filen	Behandle meldinger i karantene som administrator

Angre en handling i handlingssenteret

I handlingssenteret kan du se utbedringshandlinger som ble utført, og potensielt angre handlingen.

1. Gå til Handlingssenter ved å velge Handlingssenter i Microsoft Defender-portalen på https://security.microsoft.com. Hvis du vil gå direkte til handlingssenteret, bruker du https://security.microsoft.com/action-center/.
2. Velg Logg-fanen i handlingssenteret for å vise listen over fullførte handlinger.
3. Velg et element. Undermenyruten åpnes.
4. Velg Angre i undermenyen. (Bare handlinger som kan angres, har en Angre-knapp .)

Se også

• Microsoft Defender for Office 365
• Automatiserte undersøkelser i Microsoft Defender for Office 365