如何在自动调查和响应功能中报告误报/负值
提示
你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
如果自动调查和响应 (AIR) 功能Office 365错过或错误地检测到某些内容,安全运营团队可以采取一些步骤来修复它。 此类操作包括:
- 向Microsoft报告误报/负值;
- 根据需要) 调整警报 (;和
- 撤消已采取的修正操作。
使用本文作为指南。
向Microsoft报告误报/负值进行分析
如果 AIR in Microsoft Defender for Office 365错过了电子邮件、电子邮件附件、电子邮件中的 URL 或 Office 文件中的 URL,则可以将可疑的垃圾邮件、网络钓鱼、URL 和文件提交到Microsoft以进行Office 365扫描。
调整警报以防止误报再次出现
如果警报是由合法使用触发的,或者警报不准确,则可以在Defender for Cloud Apps门户中管理警报。
如果你的组织除了使用Office 365之外还使用Microsoft Defender for Endpoint,并且文件、IP 地址、URL 或域在设备上被视为恶意软件,即使它是安全的,你也可以使用设备的“允许”操作创建自定义指示器。
撤消修正操作
在大多数情况下,如果对电子邮件、电子邮件附件或 URL 执行了修正操作,并且该项目实际上不是威胁,则安全运营团队可以撤消修正操作并采取措施防止误报再次出现。 可以使用 “威胁资源管理器” 或 “操作”选项卡进行调查 来撤消操作。
重要
在尝试执行以下任务之前,请确保拥有必要的权限。
使用威胁资源管理器撤消操作
使用威胁资源管理器,安全运营团队可以找到受操作影响的电子邮件,并可能撤消该操作。
| 应用场景 | 撤消选项 | 了解详细信息 |
|---|---|---|
| 电子邮件已路由到用户的垃圾邮件Email文件夹 |
|
查找并调查在 Office 365 中传递的恶意电子邮件 |
| 已隔离电子邮件或文件 |
|
以管理员身份管理隔离邮件 |
在操作中心撤消操作
在操作中心,可以看到已采取的修正操作,并可能撤消该操作。
- 在 Microsoft Defender 门户中https://security.microsoft.com,选择“操作中心”,转到“操作中心”。 若要直接转到操作中心,请使用 https://security.microsoft.com/action-center/。
- 在“操作中心”中,选择“ 历史记录 ”选项卡以查看已完成操作的列表。
- 选择一个项目。 此时会打开其浮出控件窗格。
- 在浮出控件窗格中,选择“ 撤消”。 (只有可撤消的操作才会有“ 撤消 ”按钮。)