Abordar falsos positivos ou falsos negativos em Microsoft 365 Defender
Observação
Quer experimentar o Microsoft 365 Defender? Saiba mais sobre como você pode avaliar e pilotar Microsoft 365 Defender.
Aplica-se a:
- Microsoft 365 Defender
Falsos positivos ou negativos podem ocorrer ocasionalmente com qualquer solução de proteção contra ameaças. Se os recursos automatizados de investigação e resposta no Microsoft 365 Defender algo não detectado ou detectado incorretamente, há etapas que sua equipe de operações de segurança pode tomar:
- Relatar um falso positivo/negativo para Microsoft
- Ajustar seus alertas (se necessário)
- Desfazer ações de correção que foram tomadas em dispositivos
As seções a seguir descrevem como executar essas tarefas.
Relatar um falso positivo/negativo para Microsoft para análise
| Item perdido ou detectado incorretamente | Serviço | O que fazer |
|---|---|---|
| - Email mensagem - anexo Email - URL em uma mensagem de email - URL em um arquivo do Office |
Obter o Microsoft Defender para Office 365 | Enviar spam, phish, URLs e arquivos suspeitos para Microsoft para verificação |
| Arquivo ou aplicativo em um dispositivo | Microsoft Defender para Ponto de Extremidade | Enviar um arquivo para Microsoft para análise de malware |
Ajustar um alerta para evitar que falsos positivos sejam recorrentes
| Cenário | Serviço | O que fazer |
|---|---|---|
| - Um alerta é disparado pelo uso legítimo - Um alerta é impreciso |
Microsoft Defender for Cloud Apps ou Proteção contra ameaças do Azure |
Gerenciar alertas no portal do Defender para Aplicativos na Nuvem |
| Um arquivo, endereço IP, URL ou domínio é tratado como malware em um dispositivo, mesmo que seja seguro | Microsoft Defender para Ponto de Extremidade | Criar um indicador personalizado com uma ação "Permitir" |
Desfazer uma ação de correção que foi tomada em um dispositivo
Se uma ação de correção foi tomada em uma entidade (como um dispositivo ou uma mensagem de email) e a entidade afetada não for realmente uma ameaça, sua equipe de operações de segurança poderá desfazer a ação de correção no Centro de Ações.
- Acesse Microsoft 365 Defender portal e entre.
- No painel de navegação, escolha Central de ações.
- Na guia Histórico , selecione uma ação que você deseja desfazer. Seu painel de sobrevoo é aberto.
- No painel de sobrevoo, selecione Desfazer.
Dica
Consulte Desfazer ações concluídas.