如何在自動化調查和回應功能中報告誤判/負面
提示
您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。
如果自動化調查和回應 (AIR) Office 365 遺漏或偵測到錯誤的功能,您的安全性作業小組可以採取一些步驟來修正此問題。 這類動作包括:
- 向 Microsoft 回報誤判/負面;
- 視 需要調整警示 () ;和
- 復原已採取的補救動作。
善用本文作為指南。
向 Microsoft 回報誤判/負面以進行分析
如果 適用於 Office 365 的 Microsoft Defender 中的 AIR 遺漏電子郵件訊息、電子郵件附件、電子郵件訊息中的 URL,或 Office 檔案中的 URL,您可以將可疑的垃圾郵件、網路釣魚、URL 和檔案提交給 Microsoft,以進行 Office 365 掃描。
您也可以 將檔案提交給 Microsoft 以進行惡意代碼分析。
調整警示以防止誤判為週期性
如果警示是由合法使用觸發,或警示不正確,您可以 在適用於雲端應用程式的Defender入口網站中管理警示。
如果您的組織除了使用 Office 365 之外也使用 適用於端點的 Microsoft Defender,而且檔案、IP 位址、URL 或網域會被視為裝置上的惡意代碼,即使它是安全的,您也可以為裝置建立具有「允許」動作的自定義指標。
復原補救動作
在大部分情況下,如果在電子郵件訊息、電子郵件附件或 URL 上採取補救動作,而且該專案實際上不是威脅,您的安全性作業小組可以復原補救動作,並採取步驟來防止誤判重複發生。 您可以使用 [威脅總管] 或 [ 動作] 索引標籤進行調查 ,以復原動作。
重要事項
嘗試執行下列工作之前,請確定您具有必要的許可權。
使用威脅總管復原動作
使用威脅總管,您的安全性作業小組可以找到受動作影響的電子郵件,並可能復原動作。
| 案例 | 復原選項 | 深入了解 |
|---|---|---|
| 電子郵件訊息已路由至使用者的垃圾 Email資料夾 |
|
尋找並調查在 Office 365 中傳遞的惡意電子郵件 |
| 電子郵件訊息或檔案已隔離 |
|
以系統管理員身分管理隔離的郵件 |
復原控制中心內的動作
在控制中心,您可以看到已採取且可能復原動作的補救動作。
- 在 Microsoft Defender 入口網站中https://security.microsoft.com,選取 [控制中心],以移至控制中心。 若要直接移至控制中心,請使用 https://security.microsoft.com/action-center/。
- 在 [控制中心] 中,選取 [ 歷程記錄] 索引標籤以檢視已完成的動作清單。
- 選取專案。 其飛出視窗窗格隨即開啟。
- 在飛出視窗窗格中,選取 [ 復原]。 (只有可復原的動作才會有 [復原 ] 按鈕。)
另請參閱
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: