Share via

Как сообщать о ложноположительных и отрицательных результатах в возможностях автоматического исследования и реагирования

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Сведения о том, кто может зарегистрироваться и условия пробной версии , см. здесь.

Если возможности автоматического исследования и реагирования (AIR) в Office 365 что-то пропустили или неправильно обнаружили, вы можете предпринять шаги, которые может предпринять ваша команда по работе с безопасностью, чтобы устранить эту проблему. К таким действиям относятся:

В качестве руководства используйте эту статью.

Сообщите о ложноположительных или отрицательных результатах в корпорацию Майкрософт для анализа

Если AIR в Microsoft Defender для Office 365 пропустил сообщение электронной почты, вложение электронной почты, URL-адрес в сообщении электронной почты или URL-адрес в файле Office, вы можете отправить в корпорацию Майкрософт подозрительный спам, фишинг, URL-адреса и файлы для проверки Office 365.

Вы также можете отправить файл в корпорацию Майкрософт для анализа вредоносных программ.

Настройте оповещение, чтобы предотвратить повторение ложных срабатываний

Если оповещение активируется при законном использовании или оно неточное, вы можете управлять оповещениями на портале Defender для облачных приложений.

Если ваша организация использует Microsoft Defender для конечной точки в дополнение к Office 365, а файл, IP-адрес, URL-адрес или домен обрабатываются как вредоносные программы на устройстве, даже если это безопасно, вы можете создать пользовательский индикатор с действием "Разрешить" для вашего устройства.

Отмена действия по исправлению

В большинстве случаев, если в сообщении электронной почты, вложении электронной почты или URL-адресе было выполнено действие по исправлению, а элемент фактически не представляет угрозы, ваша команда по операциям безопасности может отменить действие по исправлению и принять меры, чтобы предотвратить повторение ложноположительных срабатываний. Чтобы отменить действие, можно использовать Обозреватель угрозы или вкладку Действия для исследования.

Важно!

Перед выполнением следующих задач убедитесь, что у вас есть необходимые разрешения.

Отмена действия с помощью Обозреватель угроз

С помощью Обозреватель угроз ваша команда по операциям безопасности может найти сообщение электронной почты, затронутое действием, и, возможно, отменить действие.

Сценарий Параметры отмены Дополнительные сведения
Сообщение электронной почты было перенаправлено в папку "Нежелательная Email" пользователя
  • Перемещение сообщения в папку "Удаленные" пользователя
  • Перемещение сообщения в папку "Входящие" пользователя
  • Удаление сообщения
 Поиск и исследование вредоносных сообщений электронной почты, доставленных в Office 365
Сообщение электронной почты или файл помещены в карантин
  • Освобождение сообщения электронной почты или файла
  • Удаление сообщения электронной почты или файла
 Управление сообщениями, помещенными в карантин, с правами администратора

Отмена действия в центре уведомлений

В центре уведомлений можно просмотреть выполненные действия по исправлению и, возможно, отменить действие.

  1. На портале Microsoft Defender по адресу https://security.microsoft.comперейдите в центр уведомлений, выбрав Центр уведомлений. Чтобы перейти непосредственно в центр уведомлений, используйте .https://security.microsoft.com/action-center/
  2. В центре уведомлений выберите вкладку Журнал , чтобы просмотреть список выполненных действий.
  3. Выберите элемент. Откроется всплывающее окно.
  4. Во всплывающей области выберите Отменить. (Только действия, которые можно отменить, будут иметь кнопку Отменить .)

См. также