Så här rapporterar du falska positiva/negativa identifieringar i funktioner för automatiserad undersökning och svar

• Gäller för:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tips

Visste du att du kan prova funktionerna i Microsoft Defender XDR för Office 365 plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkoren här.

Om funktionerna för automatiserad undersökning och svar (AIR) i Office 365 missat eller felaktigt identifierat något, finns det steg som ditt säkerhetsteam kan vidta för att åtgärda det. Sådana åtgärder omfattar:

• Rapportera en falsk positiv/negativ till Microsoft;
• Justera aviseringar (om det behövs); Och
• Ångra åtgärder som har vidtagits.

Använd den här artikeln som en guide.

Rapportera en falsk positiv/negativ till Microsoft för analys

Om AIR i Microsoft Defender för Office 365 missat ett e-postmeddelande, en bifogad e-postadress, en URL i ett e-postmeddelande eller en URL i en Office-fil kan du skicka misstänkt skräppost, nätfiske, URL:er och filer till Microsoft för Office 365 genomsökning.

Du kan också skicka en fil till Microsoft för analys av skadlig kod.

Justera en avisering för att förhindra att falska positiva identifieringar återkommer

Om en avisering utlöses av legitim användning, eller om aviseringen är felaktig, kan du hantera aviseringar i Defender för Cloud Apps-portalen.

Om din organisation använder Microsoft Defender för Endpoint utöver Office 365 och en fil, IP-adress, URL eller domän behandlas som skadlig kod på en enhet, även om den är säker, kan du skapa en anpassad indikator med en "Tillåt"-åtgärd för din enhet.

Ångra en åtgärd

I de flesta fall, om en åtgärd har vidtagits för ett e-postmeddelande, en e-postbilaga eller en URL, och objektet faktiskt inte är ett hot, kan säkerhetsåtgärdsteamet ångra åtgärden och vidta åtgärder för att förhindra att falska positiva identifieringar återkommer. Du kan antingen använda Threat Explorer eller fliken Åtgärder för en undersökning för att ångra en åtgärd.

Viktigt

Kontrollera att du har de behörigheter som krävs innan du försöker utföra följande uppgifter.

Ångra en åtgärd med Threat Explorer

Med Threat Explorer kan ditt säkerhetsteam hitta ett e-postmeddelande som påverkas av en åtgärd och eventuellt ångra åtgärden.

Scenario	Ångra alternativ	Mer information
Ett e-postmeddelande dirigerades till en användares skräppostmapp Email	Flytta meddelandet till användarens mapp Borttaget Flytta meddelandet till användarens inkorg Ta bort meddelandet	Hitta och undersöka skadlig e-post som levererades i Office 365
Ett e-postmeddelande eller en fil har placerats i karantän	Släpp e-postmeddelandet eller filen Ta bort e-postmeddelandet eller filen	Hantera meddelanden i karantän som administratör

Ångra en åtgärd i Åtgärdscenter

I Åtgärdscenter kan du se åtgärder som har vidtagits och eventuellt ångra åtgärden.

1. I Microsoft Defender portalen på https://security.microsoft.comgår du till Åtgärdscenter genom att välja Åtgärdscenter. Om du vill gå direkt till Åtgärdscenter använder du https://security.microsoft.com/action-center/.
2. I åtgärdscentret väljer du fliken Historik för att visa listan över slutförda åtgärder.
3. Välj ett objekt. Dess utfällbara fönster öppnas.
4. I den utfällbara rutan väljer du Ångra. (Endast åtgärder som kan ångras har knappen Ångra .)

Se även

• Microsoft Defender för Office 365
• Automatiserade undersökningar i Microsoft Defender för Office 365