Dela via


Så här rapporterar du falska positiva/negativa identifieringar i funktioner för automatiserad undersökning och svar

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.

Om funktionerna för automatiserad undersökning och svar (AIR) i Office 365 missat eller felaktigt identifierat något, finns det steg som ditt säkerhetsteam kan vidta för att åtgärda det. Sådana åtgärder omfattar:

Använd den här artikeln som en guide.

Rapportera en falsk positiv/negativ till Microsoft för analys

Om AIR i Microsoft Defender för Office 365 missat ett e-postmeddelande, en bifogad e-postadress, en URL i ett e-postmeddelande eller en URL i en Office-fil kan du skicka misstänkt skräppost, nätfiske, URL:er och filer till Microsoft för Office 365 genomsökning.

Du kan också skicka en fil till Microsoft för analys av skadlig kod.

Justera en avisering för att förhindra att falska positiva identifieringar återkommer

Om en avisering utlöses av legitim användning eller om aviseringen är felaktig kan du hantera aviseringar i Defender for Cloud Apps-portalen.

Om din organisation använder Microsoft Defender för Endpoint utöver Office 365 och en fil, IP-adress, URL eller domän behandlas som skadlig kod på en enhet, även om den är säker, kan du skapa en anpassad indikator med en "Tillåt"-åtgärd för din enhet.

Ångra en åtgärd

I de flesta fall, om en åtgärd har vidtagits för ett e-postmeddelande, en e-postbilaga eller en URL, och objektet faktiskt inte är ett hot, kan säkerhetsåtgärdsteamet ångra åtgärden och vidta åtgärder för att förhindra att falska positiva identifieringar återkommer. Du kan antingen använda Threat Explorer eller fliken Åtgärder för en undersökning för att ångra en åtgärd.

Viktigt

Kontrollera att du har de behörigheter som krävs innan du försöker utföra följande uppgifter.

Ångra en åtgärd med Threat Explorer

Med Threat Explorer kan ditt säkerhetsteam hitta ett e-postmeddelande som påverkas av en åtgärd och eventuellt ångra åtgärden.

Scenario Ångra alternativ Mer information
Ett e-postmeddelande dirigerades till en användares skräppostmapp Email
  • Flytta meddelandet till användarens mapp Borttaget
  • Flytta meddelandet till användarens inkorg
  • Ta bort meddelandet
Hitta och undersöka skadlig e-post som levererades i Office 365
Ett e-postmeddelande eller en fil har placerats i karantän
  • Släpp e-postmeddelandet eller filen
  • Ta bort e-postmeddelandet eller filen
Hantera meddelanden i karantän som administratör

Ångra en åtgärd i Åtgärdscenter

I Åtgärdscenter kan du se åtgärder som har vidtagits och eventuellt ångra åtgärden.

  1. I Microsoft Defender portalen på https://security.microsoft.comgår du till Åtgärdscenter genom att välja Åtgärdscenter. Om du vill gå direkt till Åtgärdscenter använder du https://security.microsoft.com/action-center/.
  2. I åtgärdscentret väljer du fliken Historik för att visa listan över slutförda åtgärder.
  3. Välj ett objekt. Dess utfällbara fönster öppnas.
  4. I den utfällbara rutan väljer du Ångra. (Endast åtgärder som kan ångras har knappen Ångra .)

Se även