Hlášení falešně pozitivních nebo falešně negativních výsledků v automatizovaném vyšetřování a reakci (AIR)
Tip
Věděli jste, že si můžete vyzkoušet funkce v Microsoft Defender pro Office 365 Plan 2 zdarma? Použijte 90denní zkušební verzi Defender pro Office 365 v centru zkušebních verzí portálu Microsoft Defender Portal. Informace o tom, kdo se může zaregistrovat a zkušební podmínky, najdete na webu Try Microsoft Defender pro Office 365.
Automatizované vyšetřování a reakce (AIR) v plánu Microsoft Defender pro Office 365 Plan 2 zahrnuje výkonné funkce pro detekci a prošetřování hrozeb. Další informace najdete v tématu Automatizované šetření a reakce.
Ale co když AIR nesprávně identifikuje něco jako hrozbu (falešně pozitivní) nebo něco, co se ukázalo jako hrozba (falešně negativní)? Tento článek vysvětluje možnosti, které jsou k dispozici pracovníkům operací zabezpečení (SecOps) pro práci s falešně pozitivními a falešně negativními výsledky ze služby AIR.
Odeslání falešně pozitivních nebo falešně negativních výsledků do Microsoftu
Pokud chcete společnosti Microsoft odeslat nebo znovu odeslat falešně pozitivní a falešně negativní e-mailové zprávy, e-mailové přílohy a adresy URL, přečtěte si článek Odeslání k odesílání podezřelých spamů, phishing, adres URL, blokování legitimních e-mailů a e-mailových příloh společnosti Microsoft.
Úprava upozornění, aby se zabránilo opakování falešně pozitivních výsledků
Pokyny najdete v následujících článcích na základě dostupných předplatných ve vaší organizaci:
- Defender XDR: Ladění upozornění
- Defender for Endpoint: Vytvořte akce povolení pro soubory, adresy URL IP adres nebo domény, které nejsou na zařízeních identifikované jako malware. Pokyny najdete v tématu Vytvoření indikátorů.
Vrácení nápravných akcí
Tip
Informace o požadavcích na oprávnění a licencování najdete v tématu Požadovaná oprávnění a licencování pro AIR.
Pracovníci služby SecOps můžou často použít 
akci Provést k vrácení nápravné akce zpět. Příklady:
- Z Průzkumníka (Průzkumník hrozeb). Podrobnosti najdete v tématu Email nápravy.
- Ze stránky entity Email. Další informace najdete v tématu Akce na stránce Email entity.
- V informačním rámečku podrobností položek na kartě Historie v Centru akcí na https://security.microsoft.com/action-center/historyadrese .
Podrobnosti o dostupných akcích v části Provést akci najdete v průvodci provedením akce.
- Pokud chcete provést akci se zprávami, které byly přesunuty do složky Nevyžádaná pošta Email v poštovní schránce, použijte akci>Přesunout do složky poštovní schránky a pak vyberte jeden z následujících cílů:
- Doručená pošta pro falešně pozitivní výsledky
- Odstraněné položky, obnovitelně odstraněné položky nebo pevně odstraněné položky pro falešně negativní hodnoty.
- Pokud chcete provést akci se zprávami, které byly v karanténě, proveďte jeden z následujících kroků:
- Pokud chcete zprávu uvolnit, použijte akci>Přesunout do složky Doručená pošta> poštovní schránky a pak vyberte Uvolnit pro jednoho nebo více původních příjemců e-mailu nebo Uvolnit všem příjemcům. Nebo můžete zprávu uvolnit přímo z karantény.
- Pokud má uživatel přístup ke zprávě v karanténě, odstraňte zprávu přímo z karantény.
- Pokud uživatel nemá přístup ke zprávě v karanténě, nemusíte nic dělat (zpráva nakonec vyprší z karantény).
- Pokud chcete provést akci se soubory, které byly v karanténě, proveďte jeden z následujících kroků:
- Uvolněte soubor v karanténě.
- Pokud má uživatel přístup k souboru v karanténě, odstraňte soubor v karanténě z karantény.
- Pokud uživatel nemá přístup k souboru v karanténě, nemusíte nic dělat (platnost souboru nakonec vyprší z karantény).