Jak zgłaszać wyniki fałszywie dodatnie/ujemne w zautomatyzowanych możliwościach badania i reagowania
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w Microsoft Defender XDR Office 365 planie 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
Jeśli funkcje zautomatyzowanego badania i reagowania (AIR) w Office 365 coś nie zostały pominięte lub niesłusznie wykryte, istnieją kroki, które zespół ds. operacji zabezpieczeń może podjąć, aby rozwiązać ten problem. Takie akcje obejmują:
- Zgłaszanie firmie Microsoft fałszywie dodatniego/negatywnego wyniku;
- Dostosowywanie alertów (w razie potrzeby); i
- Cofanie podjętych akcji korygowania.
Skorzystaj z tego artykułu jako przewodnika.
Zgłoś firmie Microsoft wyniki fałszywie dodatnie/ujemne na potrzeby analizy
Jeśli usługa AIR w Ochrona usługi Office 365 w usłudze Microsoft Defender nie odebrano wiadomości e-mail, załącznika wiadomości e-mail, adresu URL w wiadomości e-mail lub adresu URL w pliku pakietu Office, możesz przesłać do firmy Microsoft podejrzenie spamu, phish, adresów URL i plików w celu Office 365 skanowania.
Możesz również przesłać plik do firmy Microsoft w celu analizy złośliwego oprogramowania.
Dostosuj alert, aby zapobiec powtarzaniu się wyników fałszywie dodatnich
Jeśli alert jest wyzwalany przez prawidłowe użycie lub alert jest niedokładny, możesz zarządzać alertami w portalu Defender for Cloud Apps.
Jeśli Twoja organizacja używa Ochrona punktu końcowego w usłudze Microsoft Defender oprócz Office 365, a plik, adres IP, adres URL lub domena są traktowane jako złośliwe oprogramowanie na urządzeniu, nawet jeśli jest to bezpieczne, możesz utworzyć niestandardowy wskaźnik z akcją "Zezwalaj" dla urządzenia.
Cofanie akcji korygowania
W większości przypadków, jeśli akcja korygowania została podjęta w wiadomości e-mail, załączniku wiadomości e-mail lub adresie URL, a element w rzeczywistości nie stanowi zagrożenia, zespół ds. operacji zabezpieczeń może cofnąć akcję korygowania i podjąć kroki, aby zapobiec cyklicznemu wynikowi fałszywie dodatniemu. Aby cofnąć akcję, możesz użyć Eksploratora zagrożeń lub karty Akcje w celu przeprowadzenia badania.
Ważna
Przed podjęciem próby wykonania następujących zadań upewnij się, że masz wymagane uprawnienia.
Cofanie akcji przy użyciu Eksploratora zagrożeń
W Eksploratorze zagrożeń zespół ds. operacji zabezpieczeń może znaleźć wiadomość e-mail, na która ma wpływ akcja, i potencjalnie cofnąć akcję.
| Scenariusz | Cofnij opcje | Dowiedz się więcej |
|---|---|---|
| Wiadomość e-mail została przekierowana do folderu Email wiadomości-śmieci użytkownika |
|
Znajdowanie i badanie złośliwych wiadomości e-mail dostarczonych w Office 365 |
| Wiadomość e-mail lub plik został poddany kwarantannie |
|
Zarządzanie komunikatami poddanymi kwarantannie jako administrator |
Cofanie akcji w centrum akcji
W centrum akcji można zobaczyć akcje korygowania, które zostały podjęte i potencjalnie cofnąć akcję.
- W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do centrum akcji, wybierając pozycję Centrum akcji. Aby przejść bezpośrednio do centrum akcji, użyj polecenia https://security.microsoft.com/action-center/.
- W centrum akcji wybierz kartę Historia , aby wyświetlić listę ukończonych akcji.
- Wybierz element. Zostanie otwarte okienko wysuwane.
- W okienku wysuwanym wybierz pozycję Cofnij. (Tylko akcje, które można cofnąć, będą miały przycisk Cofnij ).