Como relatar falsos positivos/negativos em recursos automatizados de investigação e resposta
Dica
Você sabia que pode experimentar os recursos no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Use a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever e testar termos aqui.
Se os recursos de air (investigação e resposta automatizada) no Office 365 detectaram algo errado ou errado, há etapas que sua equipe de operações de segurança pode tomar para corrigi-lo. Tais ações incluem:
- Relatando um falso positivo/negativo para a Microsoft;
- Ajustando alertas (se necessário); E
- Desfazer ações de correção que foram tomadas.
Use este artigo como guia.
Relatar um falso positivo/negativo à Microsoft para análise
Se o AIR em Microsoft Defender para Office 365 perdeu uma mensagem de email, um anexo de email, uma URL em uma mensagem de email ou uma URL em um arquivo do Office, você poderá enviar spam, phish, URLs e arquivos suspeitos para a Microsoft para verificação de Office 365.
Você também pode enviar um arquivo à Microsoft para análise de malware.
Ajustar um alerta para evitar que falsos positivos sejam recorrentes
Se um alerta for disparado pelo uso legítimo ou o alerta for impreciso, você poderá Gerenciar alertas no portal do Defender para Aplicativos na Nuvem.
Se sua organização estiver usando Microsoft Defender para Ponto de Extremidade além de Office 365 e um arquivo, endereço IP, URL ou domínio for tratado como malware em um dispositivo, mesmo que seja seguro, você poderá criar um indicador personalizado com uma ação "Permitir" para seu dispositivo.
Desfazer uma ação de correção
Na maioria dos casos, se uma ação de correção foi tomada em uma mensagem de email, anexo de email ou URL, e o item não for realmente uma ameaça, sua equipe de operações de segurança poderá desfazer a ação de correção e tomar medidas para evitar que o falso positivo se repita. Você pode usar o Explorer de Ameaças ou a guia Ações para uma investigação para desfazer uma ação.
Importante
Verifique se você tem as permissões necessárias antes de tentar executar as tarefas a seguir.
Desfazer uma ação usando o Explorer de Ameaças
Com o Threat Explorer, sua equipe de operações de segurança pode encontrar um email afetado por uma ação e potencialmente desfazer a ação.
| Cenário | Opções de desfazer | Saiba mais |
|---|---|---|
| Uma mensagem de email foi roteada para a pasta Junk Email de um usuário |
|
Localizar e investigar emails mal-intencionados que foram entregues em Office 365 |
| Uma mensagem de email ou um arquivo foi colocado em quarentena |
|
Gerenciar mensagens em quarentena como administrador |
Desfazer uma ação no Centro de Ações
No Centro de Ações, você pode ver ações de correção que foram tomadas e potencialmente desfazer a ação.
- No portal do Microsoft Defender em https://security.microsoft.com, acesse o Centro de ação selecionando Centro de ação. Para ir diretamente ao Centro de Ação, use https://security.microsoft.com/action-center/.
- Na central de ações, selecione a guia Histórico para exibir a lista de ações concluídas.
- Selecione um item. Seu painel de sobrevoo é aberto.
- No painel de sobrevoo, selecione Desfazer. (Somente ações que podem ser desfeitas terão um botão Desfazer .)
Confira também
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de