Rapportér falske positiver eller falske negativer i automatiseret undersøgelse og svar (AIR)
Tip
Vidste du, at du kan prøve funktionerne i Microsoft Defender for Office 365 Plan 2 gratis? Brug den 90-dages Defender for Office 365 prøveversion på Microsoft Defender portalen med prøveversionshubben. Få mere at vide om, hvem der kan tilmelde dig og prøvevilkår i Prøv Microsoft Defender for Office 365.
Automatiseret undersøgelse og svar (AIR) i Microsoft Defender for Office 365 Plan 2 indeholder effektive funktioner til at registrere og undersøge trusler. Du kan få flere oplysninger under Automatiseret undersøgelse og svar.
Men hvad nu, hvis AIR fejlagtigt identificerer noget som en trussel (en falsk positiv) eller gik glip af noget, der viste sig at være en trussel (en falsk negativ)? I denne artikel forklares de muligheder, der er tilgængelige for sikkerhedshandlinger (SecOps)-personale til håndtering af falske positiver og falske negativer fra AIR.
Send falske positiver eller falske negativer til Microsoft
Hvis du vil sende eller sende falske positive og falske negative mails, vedhæftede filer i mails og URL-adresser til Microsoft, skal du se Brug siden Indsendelser til at sende mistanke om spam, phish, URL-adresser, legitime mails, der blokeres, og vedhæftede filer i mails til Microsoft.
Juster beskeder for at forhindre, at falske positiver gentages
Du kan finde instruktioner i følgende artikler, der er baseret på de tilgængelige abonnementer i din organisation:
- Defender XDR: Juster en besked
- Defender for Endpoint: Opret Tillad handlinger for filer, IP-adresser eller domæner, der er forkert identificeret som malware på enheder. Du kan finde en vejledning under Opret indikatorer.
Fortryd afhjælpningshandlinger
Tip
Hvis du vil have tilladelses- og licenskrav, skal du se Påkrævede tilladelser og licenser til AIR.
SecOps-personale kan ofte bruge 
Handlingen Udfør til at fortryde afhjælpningshandlingen. Det kan f.eks. være:
- Fra Explorer (Threat Explorer). Du kan finde flere oplysninger under Afhjælpning af mail.
- Fra siden Mailobjekt. Du kan få flere oplysninger under Handlinger på siden Mailobjekt.
- Fra pop op-vinduet med detaljer om poster under fanen Oversigt i Løsningscenter på https://security.microsoft.com/action-center/history.
Du kan finde flere oplysninger om de tilgængelige handlinger under Udfør i guiden Udfør handling.
- Hvis du vil foretage handlinger på meddelelser, der er flyttet til mappen Uønsket mail i postkassen, skal du bruge Handlingen>Flyt til postkasse og derefter vælge en af følgende destinationer:
- Indbakke for falske positiver.
- Slettede elementer, Bløde slettede elementer eller Hårdt slettede elementer for falske negativer.
- Benyt en af følgende fremgangsmåder for at udføre handlinger på meddelelser, der er sat i karantæne:
- Hvis du vil frigive meddelelsen, skal du bruge Handlingen>Flyt til postkassemappen>Indbakke og derefter vælge Udgiv til en eller flere af de oprindelige modtagere af mailen eller Udgiv til alle modtagere. Eller du kan frigive meddelelsen direkte fra karantæne.
- Slet meddelelsen direkte fra karantæne, hvis brugeren har adgang til den karantæne.
- Hvis brugeren ikke har adgang til den karantænerede meddelelse, behøver du ikke at foretage dig noget (meddelelsen udløber med tiden fra karantæne).
- Benyt en af følgende fremgangsmåder for at udføre handlinger på filer, der er sat i karantæne:
- Frigiv den karantænerede fil fra karantæne.
- Slet den karantænerede fil fra karantæne , hvis brugeren har adgang til den karantænefil.
- Hvis brugeren ikke har adgang til den karantænerede fil, behøver du ikke at foretage dig noget (filen udløber med tiden fra karantæne).