Устранение ложных срабатываний или ложноотрицательных результатов в Microsoft 365 Defender
Примечание.
Хотите попробовать Microsoft 365 Defender? Узнайте больше о том, как оценивать и пилотно Microsoft 365 Defender.
Область применения:
- Microsoft 365 Defender
Ложноположительные или отрицательные меры могут иногда возникать в любом решении для защиты от угроз. Если возможности автоматического исследования и реагирования в Microsoft 365 Defender что-то пропустили или неправильно обнаружили, команда по операциям безопасности может выполнить следующие действия:
- Сообщите о ложноположительных или отрицательных результатах в Майкрософт
- Настройка оповещений (при необходимости)
- Отмена действий по исправлению, выполненных на устройствах
В следующих разделах описано, как выполнять эти задачи.
Сообщите о ложноположительных или отрицательных результатах в Майкрософт для анализа
| Элемент пропущен или неправильно обнаружен | Служба | Действия |
|---|---|---|
| — сообщение Email — вложение Email — URL-адрес в сообщении электронной почты — URL-адрес в файле Office |
Microsoft Defender для Office 365 | Отправка подозрительных спама, фишинга, URL-адресов и файлов в Майкрософт для проверки |
| Файл или приложение на устройстве | Microsoft Defender для конечной точки | Отправка файла в Майкрософт для анализа вредоносных программ |
Настройте оповещение, чтобы предотвратить повторение ложных срабатываний
| Сценарий | Служба | Действия |
|---|---|---|
| — оповещение активируется при допустимом использовании — оповещение неточно |
Microsoft Defender for Cloud Apps или Защита от угроз Azure |
Управление оповещениями на портале Defender for Cloud Apps |
| Файл, IP-адрес, URL-адрес или домен обрабатываются как вредоносные программы на устройстве, даже если это безопасно. | Microsoft Defender для конечной точки | Создание пользовательского индикатора с действием "Разрешить" |
Отмена действия по исправлению, выполненного на устройстве
Если действие по исправлению было выполнено для сущности (например, устройства или сообщения электронной почты), а затронутая сущность на самом деле не является угрозой, ваша команда по операциям безопасности может отменить действие по исправлению в центре уведомлений.
- Перейдите на портал Microsoft 365 Defender и выполните вход.
- В панели навигации щелкните Центр уведомлений.
- На вкладке Журнал выберите действие, которое нужно отменить. Откроется всплывающее окно.
- Во всплывающей области выберите Отменить.
Совет