Fout-positieven/negatieven rapporteren in geautomatiseerde onderzoeks- en reactiemogelijkheden

• Geldt voor:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

Als mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) in Office 365 iets gemist of onjuist gedetecteerd, zijn er stappen die uw beveiligingsteam kan uitvoeren om dit op te lossen. Dergelijke acties omvatten:

• Een fout-positief/negatief melden aan Microsoft;
• Waarschuwingen aanpassen (indien nodig); en
• Herstelacties ongedaan maken die zijn uitgevoerd.

Gebruik dit artikel als richtlijn.

Een fout-positief/negatief melden aan Microsoft voor analyse

Als AIR in Microsoft Defender voor Office 365 een e-mailbericht, een e-mailbijlage, een URL in een e-mailbericht of een URL in een Office-bestand hebt gemist, kunt u vermoedelijke spam, phish, URL's en bestanden naar Microsoft verzenden voor Office 365 scannen.

U kunt ook een bestand indienen bij Microsoft voor malware-analyse.

Een waarschuwing aanpassen om terugkerende fout-positieven te voorkomen

Als een waarschuwing wordt geactiveerd door legitiem gebruik of als de waarschuwing onjuist is, kunt u waarschuwingen beheren in de Defender for Cloud Apps portal.

Als uw organisatie naast Office 365 Microsoft Defender voor Eindpunt gebruikt en een bestand, IP-adres, URL of domein wordt behandeld als malware op een apparaat, zelfs als het veilig is, kunt u een aangepaste indicator maken met de actie Toestaan voor uw apparaat.

Een herstelactie ongedaan maken

In de meeste gevallen, als er een herstelactie is uitgevoerd op een e-mailbericht, e-mailbijlage of URL en het item eigenlijk geen bedreiging is, kan uw beveiligingsteam de herstelactie ongedaan maken en stappen ondernemen om te voorkomen dat de fout-positieven terugkeren. U kunt Bedreigingsverkenner of het tabblad Acties gebruiken voor een onderzoek om een actie ongedaan te maken.

Belangrijk

Zorg ervoor dat u over de benodigde machtigingen beschikt voordat u de volgende taken uitvoert.

Een actie ongedaan maken met Bedreigingsverkenner

Met Bedreigingsverkenner kan uw beveiligingsteam een e-mail vinden die is beïnvloed door een actie en de actie mogelijk ongedaan maken.

Scenario	Opties voor ongedaan maken	Meer informatie
Een e-mailbericht is doorgestuurd naar de map Ongewenste Email van een gebruiker	Het bericht verplaatsen naar de map Verwijderde items van de gebruiker Het bericht verplaatsen naar het Postvak IN van de gebruiker Het bericht verwijderen	Schadelijke e-mail zoeken en onderzoeken die is bezorgd in Office 365
Een e-mailbericht of bestand is in quarantaine geplaatst	Het e-mailbericht of bestand vrijgeven Het e-mailbericht of bestand verwijderen	Berichten in quarantaine beheren als beheerder

Een actie ongedaan maken in het actiecentrum

In het Actiecentrum ziet u herstelacties die zijn uitgevoerd en kunt u de actie mogelijk ongedaan maken.

1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar het Actiecentrum door Actiecentrum te selecteren. Gebruik https://security.microsoft.com/action-center/om rechtstreeks naar het Actiecentrum te gaan.
2. Selecteer in het Actiecentrum het tabblad Geschiedenis om de lijst met voltooide acties weer te geven.
3. Selecteer een item. Het flyoutvenster wordt geopend.
4. Selecteer Ongedaan maken in het flyoutvenster. (Alleen acties die ongedaan kunnen worden gemaakt, hebben een knop Ongedaan maken .)

Zie ook

• Microsoft Defender voor Office 365
• Geautomatiseerd onderzoek in Microsoft Defender voor Office 365