Как сообщать о ложноположительных и отрицательных результатах в возможностях автоматического исследования и реагирования
Совет
Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Если возможности автоматического исследования и реагирования (AIR) в Office 365 что-то пропустили или неправильно обнаружили, вы можете предпринять шаги, которые может предпринять ваша команда по работе с безопасностью, чтобы устранить эту проблему. К таким действиям относятся:
- Сообщение о ложноположительных или отрицательных результатах в корпорацию Майкрософт;
- Настройка оповещений (при необходимости); и
- Отмена выполненных действий по исправлению.
В качестве руководства используйте эту статью.
Сообщите о ложноположительных или отрицательных результатах в корпорацию Майкрософт для анализа
Если AIR в Microsoft Defender для Office 365 пропустил сообщение электронной почты, вложение электронной почты, URL-адрес в сообщении электронной почты или URL-адрес в файле Office, вы можете отправить в корпорацию Майкрософт подозрительный спам, фишинг, URL-адреса и файлы для проверки Office 365.
Вы также можете отправить файл в корпорацию Майкрософт для анализа вредоносных программ.
Настройте оповещение, чтобы предотвратить повторение ложных срабатываний
Если оповещение активируется при законном использовании или оповещение является неточным, вы можете управлять оповещениями на портале Defender for Cloud Apps.
Если ваша организация использует Microsoft Defender для конечной точки в дополнение к Office 365, а файл, IP-адрес, URL-адрес или домен обрабатываются как вредоносные программы на устройстве, даже если это безопасно, вы можете создать пользовательский индикатор с действием "Разрешить" для вашего устройства.
Отмена действия по исправлению
В большинстве случаев, если в сообщении электронной почты, вложении электронной почты или URL-адресе было выполнено действие по исправлению, а элемент фактически не представляет угрозы, ваша команда по операциям безопасности может отменить действие по исправлению и принять меры, чтобы предотвратить повторение ложноположительных срабатываний. Чтобы отменить действие, можно использовать Обозреватель угрозы или вкладку Действия для исследования.
Важно!
Перед выполнением следующих задач убедитесь, что у вас есть необходимые разрешения.
Отмена действия с помощью Обозреватель угроз
С помощью Обозреватель угроз ваша команда по операциям безопасности может найти сообщение электронной почты, затронутое действием, и, возможно, отменить действие.
Сценарий | Параметры отмены | Дополнительные сведения |
---|---|---|
Сообщение электронной почты было перенаправлено в папку "Нежелательная Email" пользователя |
|
Поиск и исследование вредоносных сообщений электронной почты, доставленных в Office 365 |
Сообщение электронной почты или файл помещены в карантин |
|
Управление сообщениями, помещенными в карантин, с правами администратора |
Отмена действия в центре уведомлений
В центре уведомлений можно просмотреть выполненные действия по исправлению и, возможно, отменить действие.
- На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в центр уведомлений, выбрав Центр уведомлений. Чтобы перейти непосредственно в центр уведомлений, используйте .https://security.microsoft.com/action-center/
- В центре уведомлений выберите вкладку Журнал , чтобы просмотреть список выполненных действий.
- Выберите элемент. Откроется всплывающее окно.
- Во всплывающей области выберите Отменить. (Только действия, которые можно отменить, будут иметь кнопку Отменить .)