如何在自動化調查和回應功能中報告誤判/負面
提示
您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
如果自動化調查和回應 (AIR) 功能,Office 365 遺漏或偵測到錯誤,您的安全性作業小組可以採取一些步驟來修正此問題。 這類動作包括:
- 向Microsoft報告誤判/否定;
- 視 需要調整警示 () ;和
- 復原已採取的補救動作。
善用本文作為指南。
將誤判/負面報告至Microsoft以進行分析
如果 適用於 Office 365 的 Microsoft Defender 中的 AIR 遺漏電子郵件訊息、電子郵件附件、電子郵件訊息中的 URL 或 Office 檔案中的 URL,您可以將可疑的垃圾郵件、網路釣魚、URL 和檔案提交至Microsoft以進行 Office 365 掃描。
您也可以 將檔案提交至Microsoft進行惡意代碼分析。
調整警示以防止誤判為週期性
如果警示是由合法使用觸發,或警示不正確,您可以在 Defender for Cloud Apps 入口網站中管理警示。
如果您的組織除了使用 Office 365 之外也使用 適用於端點的 Microsoft Defender,而且檔案、IP 位址、URL 或網域會被視為裝置上的惡意代碼,即使它是安全的,您也可以為裝置建立具有「允許」動作的自定義指標。
復原補救動作
在大部分情況下,如果在電子郵件訊息、電子郵件附件或 URL 上採取補救動作,而且該專案實際上不是威脅,您的安全性作業小組可以復原補救動作,並採取步驟來防止誤判重複發生。 您可以使用 [威脅總管] 或 [ 動作] 索引標籤進行調查 ,以復原動作。
重要事項
嘗試執行下列工作之前,請確定您具有必要的許可權。
使用威脅總管復原動作
使用威脅總管,您的安全性作業小組可以找到受動作影響的電子郵件,並可能復原動作。
| 案例 | 復原選項 | 深入了解 |
|---|---|---|
| 電子郵件訊息已路由至使用者的垃圾郵件 Email資料夾 |
|
尋找並調查在 Office 365 中傳遞的惡意電子郵件 |
| 電子郵件訊息或檔案已隔離 |
|
以系統管理員身分管理隔離的郵件 |
復原控制中心內的動作
在控制中心,您可以看到已採取且可能復原動作的補救動作。
- 在 Microsoft Defender 入口網站中https://security.microsoft.com,選取 [控制中心],以移至控制中心。 若要直接移至控制中心,請使用 https://security.microsoft.com/action-center/。
- 在 [控制中心] 中,選取 [ 歷程記錄] 索引標籤以檢視已完成的動作清單。
- 選取專案。 其飛出視窗窗格隨即開啟。
- 在飛出視窗窗格中,選取 [ 復原]。 (只有可復原的動作才會有 [復原 ] 按鈕。)