共用方式為


如何在自動化調查和回應功能中報告誤判/負面

提示

您知道您可以免費試用 Office 365 方案 2 的 Microsoft Defender 全面偵測回應 功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

如果自動化調查和回應 (AIR) 功能,Office 365 遺漏或偵測到錯誤,您的安全性作業小組可以採取一些步驟來修正此問題。 這類動作包括:

善用本文作為指南。

將誤判/負面報告至Microsoft以進行分析

如果 適用於 Office 365 的 Microsoft Defender 中的 AIR 遺漏電子郵件訊息、電子郵件附件、電子郵件訊息中的 URL 或 Office 檔案中的 URL,您可以將可疑的垃圾郵件、網路釣魚、URL 和檔案提交至Microsoft以進行 Office 365 掃描

您也可以 將檔案提交至Microsoft進行惡意代碼分析

調整警示以防止誤判為週期性

如果警示是由合法使用觸發,或警示不正確,您可以在 Defender for Cloud Apps 入口網站中管理警示

如果您的組織除了使用 Office 365 之外也使用 適用於端點的 Microsoft Defender,而且檔案、IP 位址、URL 或網域會被視為裝置上的惡意代碼,即使它是安全的,您也可以為裝置建立具有「允許」動作的自定義指標

復原補救動作

在大部分情況下,如果在電子郵件訊息、電子郵件附件或 URL 上採取補救動作,而且該專案實際上不是威脅,您的安全性作業小組可以復原補救動作,並採取步驟來防止誤判重複發生。 您可以使用 [威脅總管] 或 [ 動作] 索引標籤進行調查 ,以復原動作。

重要事項

嘗試執行下列工作之前,請確定您具有必要的許可權。

使用威脅總管復原動作

使用威脅總管,您的安全性作業小組可以找到受動作影響的電子郵件,並可能復原動作。

案例 復原選項 深入了解
電子郵件訊息已路由至使用者的垃圾郵件 Email資料夾
  • 將訊息移至使用者的 [刪除的專案] 資料夾
  • 將訊息移至使用者的收件匣
  • 刪除郵件
尋找並調查在 Office 365 中傳遞的惡意電子郵件
電子郵件訊息或檔案已隔離
  • 釋放電子郵件或檔案
  • 刪除電子郵件或檔案
以系統管理員身分管理隔離的郵件

復原控制中心內的動作

在控制中心,您可以看到已採取且可能復原動作的補救動作。

  1. 在 Microsoft Defender 入口網站中https://security.microsoft.com,選取 [控制中心],以移至控制中心。 若要直接移至控制中心,請使用 https://security.microsoft.com/action-center/
  2. 在 [控制中心] 中,選取 [ 歷程記錄] 索引標籤以檢視已完成的動作清單。
  3. 選取專案。 其飛出視窗窗格隨即開啟。
  4. 在飛出視窗窗格中,選取 [ 復原]。 (只有可復原的動作才會有 [復原 ] 按鈕。)

另請參閱