Share via


Åtgärda falska positiva eller falska negativa identifieringar i Microsoft Defender XDR

Gäller för:

  • Microsoft Defender XDR

Falska positiva eller negativa identifieringar kan ibland inträffa med valfri hotskyddslösning. Om automatiserade undersöknings- och svarsfunktioner i Microsoft Defender XDR missat eller felaktigt identifierat något, finns det steg som ditt säkerhetsteam kan vidta:

I följande avsnitt beskrivs hur du utför dessa uppgifter.

Rapportera en falsk positiv/negativ till Microsoft för analys

Objekt som missats eller identifierats felaktigt Tjänst Lämplig åtgärd
- Email meddelande
- Email bifogad fil
– URL i ett e-postmeddelande
– URL i en Office-fil
Microsoft Defender för Office 365 Skicka misstänkt skräppost, nätfiske, URL:er och filer till Microsoft för genomsökning
Fil eller app på en enhet Microsoft Defender för Endpoint Skicka en fil till Microsoft för analys av skadlig kod

Justera en avisering för att förhindra att falska positiva identifieringar återkommer

Scenario Tjänst Lämplig åtgärd
– En avisering utlöses av legitim användning
– En avisering är felaktig
Microsoft Defender for Cloud Apps
eller
Skydd mot Azure-hot
Hantera aviseringar i Defender för Cloud Apps-portalen
En fil, IP-adress, URL eller domän behandlas som skadlig kod på en enhet, även om den är säker Microsoft Defender för Endpoint Skapa en anpassad indikator med åtgärden "Tillåt"

Ångra en åtgärd som har vidtagits på en enhet

Om en åtgärd har vidtagits på en entitet (till exempel en enhet eller ett e-postmeddelande) och den berörda entiteten inte är ett hot, kan ditt säkerhetsteam ångra åtgärdsåtgärden i Åtgärdscenter.

  1. Gå till Microsoft Defender-portalen och logga in.
  2. I navigeringsfönstret väljer du Åtgärdscenter.
  3. På fliken Historik väljer du en åtgärd som du vill ångra. Dess utfällbara fönster öppnas.
  4. I den utfällbara rutan väljer du Ångra.

Se även

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.