Melden falsch positiver oder falsch negativer Ergebnisse in automatisierter Untersuchung und Reaktion (AIR)
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender for Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Automatisierte Untersuchung und Reaktion (Air) in Microsoft Defender for Office 365 Plan 2 umfasst leistungsstarke Funktionen zum Erkennen und Untersuchen von Bedrohungen. Weitere Informationen finden Sie unter Automatisierte Untersuchung und Reaktion.
Was aber, wenn AIR etwas fälschlicherweise als Bedrohung (falsch positiv) identifiziert oder etwas verpasst hat, das sich als Bedrohung (falsch negativ) herausstellte? In diesem Artikel werden die Optionen erläutert, die Mitarbeitern von Security Operations (SecOps) zur Verfügung stehen, um mit falsch positiven und falsch negativen Ergebnissen von AIR umzugehen.
Übermitteln falsch positiver oder falsch negativer Ergebnisse an Microsoft
Informationen zum Übermitteln oder erneuten Übermitteln falsch positiver und falsch negativer E-Mail-Nachrichten, E-Mail-Anlagen und URLs an Microsoft finden Sie unter Verwenden der Seite Übermittlungen, um vermutete Spam-, Phishing-, URLs, legitime E-Mails und E-Mail-Anlagen an Microsoft zu übermitteln.
Anpassen von Warnungen, um zu verhindern, dass falsch positive Ergebnisse wiederholt werden
Anweisungen finden Sie in den folgenden Artikeln, die auf den verfügbaren Abonnements in Ihrem organization basieren:
- Defender XDR: Optimieren einer Warnung
- Defender für Endpunkt: Erstellen Sie Zulassen-Aktionen für Dateien, IP-Adress-URLs oder Domänen, die auf Geräten fälschlicherweise als Schadsoftware identifiziert werden. Anweisungen finden Sie unter Erstellen von Indikatoren.
Rückgängigmachen von Korrekturaktionen
Tipp
Informationen zu Berechtigungen und Lizenzierungsanforderungen finden Sie unter Erforderliche Berechtigungen und Lizenzierung für AIR.
SecOps-Mitarbeiter können häufig Maßnahmen ergreifen verwenden
, um die Korrekturaktion rückgängig zu machen. Zum Beispiel:
- Von Explorer (Threat Explorer). Weitere Informationen finden Sie unter Email Wartung.
- Auf der Entitätsseite Email. Weitere Informationen finden Sie unter Aktionen auf der Entitätsseite Email.
- Aus dem Details-Flyout der Einträge auf der Registerkarte Verlauf des Info-Centers unter https://security.microsoft.com/action-center/history.
Ausführliche Informationen zu den verfügbaren Aktionen in Aktion ausführen finden Sie im Assistenten zum Ausführen von Aktionen.
- Um Aktionen für Nachrichten zu ergreifen, die in den Ordner Junk-Email im Postfach verschoben wurden, verwenden Sie Aktion>in Postfachordner verschieben, und wählen Sie dann eines der folgenden Ziele aus:
- Posteingang für falsch positive Ergebnisse.
- Gelöschte Elemente, vorläufig gelöschte Elemente oder Endgültig gelöschte Elemente für falsch negative Werte.
- Führen Sie einen der folgenden Schritte aus, um Maßnahmen für unter Quarantäne gestellte Nachrichten zu ergreifen:
- Um die Nachricht freizugeben, verwenden Sie Aktion>in Postfachordner>posteingang verschieben, und wählen Sie dann Für einen oder mehrere der ursprünglichen Empfänger der E-Mail freigeben oder Für alle Empfänger freigeben aus. Alternativ können Sie die Nachricht direkt aus der Quarantäne freigeben.
- Löschen Sie die Nachricht direkt aus der Quarantäne , wenn der Benutzer Zugriff auf die unter Quarantäne gestellte Nachricht hat.
- Wenn der Benutzer keinen Zugriff auf die unter Quarantäne gestellte Nachricht hat, müssen Sie nichts tun (die Nachricht läuft schließlich aus der Quarantäne ab).
- Führen Sie einen der folgenden Schritte aus, um Maßnahmen für Dateien zu ergreifen, die unter Quarantäne standen:
- Lassen Sie die unter Quarantäne gestellte Datei aus der Quarantäne.
- Löschen Sie die unter Quarantäne gestellte Datei aus der Quarantäne, wenn der Benutzer Zugriff auf die unter Quarantäne gestellte Datei hat.
- Wenn der Benutzer keinen Zugriff auf die unter Quarantäne gestellte Datei hat, müssen Sie nichts tun (die Datei läuft schließlich aus der Quarantäne ab).