Adres fałszywie dodatnich lub fałszywie ujemnych w Microsoft Defender XDR
Dotyczy:
- Microsoft Defender XDR
Wyniki fałszywie dodatnie lub ujemne mogą czasami występować w przypadku dowolnego rozwiązania ochrony przed zagrożeniami. Jeśli zautomatyzowane możliwości badania i reagowania w Microsoft Defender XDR coś nie zostały wykryte lub niesłusznie wykryte, istnieją kroki, które może wykonać zespół ds. operacji zabezpieczeń:
- Zgłoś firmie Microsoft wynik fałszywie dodatni/ujemny
- Dostosuj alerty (w razie potrzeby)
- Cofnij akcje korygowania, które zostały wykonane na urządzeniach
W poniższych sekcjach opisano sposób wykonywania tych zadań.
Zgłoś firmie Microsoft wyniki fałszywie dodatnie/ujemne na potrzeby analizy
| Element został pominięty lub niesłusznie wykryty | Usługa | Co robić |
|---|---|---|
| — komunikat Email - załącznik Email - Adres URL w wiadomości e-mail — adres URL w pliku pakietu Office |
Ochrona usługi Office 365 w usłudze Microsoft Defender | Przesyłanie do firmy Microsoft podejrzanych wiadomości spamowych, phish, adresów URL i plików w celu skanowania |
| Plik lub aplikacja na urządzeniu | Ochrona punktu końcowego w usłudze Microsoft Defender | Przesyłanie pliku do firmy Microsoft w celu analizy złośliwego oprogramowania |
Dostosuj alert, aby zapobiec powtarzaniu się wyników fałszywie dodatnich
| Scenariusz | Usługa | Co robić |
|---|---|---|
| — Alert jest wyzwalany przez prawidłowe użycie - Alert jest niedokładny |
Microsoft Defender for Cloud Apps lub Ochrona przed zagrożeniami na platformie Azure |
Zarządzanie alertami w portalu usługi Defender for Cloud Apps |
| Plik, adres IP, adres URL lub domena są traktowane jako złośliwe oprogramowanie na urządzeniu, mimo że jest bezpieczne | Ochrona punktu końcowego w usłudze Microsoft Defender | Twórca niestandardowy wskaźnik z akcją "Zezwalaj" |
Cofanie akcji korygowania, która została podjęta na urządzeniu
Jeśli akcja korygowania została podjęta dla jednostki (takiej jak urządzenie lub wiadomość e-mail), a jednostka, której dotyczy problem, nie jest w rzeczywistości zagrożeniem, zespół ds. operacji zabezpieczeń może cofnąć akcję korygowania w Centrum akcji.
- Przejdź do portalu Microsoft Defender i zaloguj się.
- W okienku nawigacji wybierz pozycję Centrum akcji.
- Na karcie Historia wybierz akcję, którą chcesz cofnąć. Zostanie otwarte okienko wysuwane.
- W okienku wysuwanym wybierz pozycję Cofnij.
Porada
Zobacz Cofanie ukończonych akcji.
Zobacz też
- Wyświetlanie szczegółów i wyników zautomatyzowanego badania
- Proaktywne wyszukiwanie zagrożeń dzięki zaawansowanym polowaniom w Microsoft Defender XDR
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.