Notificar falsos positivos o falsos negativos en la investigación y respuesta automatizadas (AIR)
Sugerencia
¿Sabía que puede probar las características de Microsoft Defender para Office 365 Plan 2 de forma gratuita? Use la prueba de Defender para Office 365 de 90 días en el centro de pruebas del portal de Microsoft Defender. Obtenga información sobre quién puede registrarse y los términos de prueba en Probar Microsoft Defender para Office 365.
La investigación y respuesta automatizadas (AIR) en Microsoft Defender para Office 365 Plan 2 incluye funcionalidades eficaces para detectar e investigar amenazas. Para obtener más información, consulte Investigación y respuesta automatizadas.
¿Pero qué ocurre si AIR identifica incorrectamente algo como una amenaza (un falso positivo) o si se pierde algo que resultó ser una amenaza (un falso negativo)? En este artículo se explican las opciones disponibles para el personal de operaciones de seguridad (SecOps) para tratar con falsos positivos y falsos negativos de AIR.
Envío de falsos positivos o falsos negativos a Microsoft
Para enviar o volver a enviar mensajes de correo electrónico falsos positivos y falsos negativos, datos adjuntos de correo electrónico y direcciones URL a Microsoft, vea Usar la página Envíos para enviar sospechas de correo no deseado, fish, direcciones URL, correo electrónico legítimo bloqueado y datos adjuntos de correo electrónico a Microsoft.
Ajuste de alertas para evitar que los falsos positivos se repitan
Para obtener instrucciones, consulte los artículos siguientes, en función de las suscripciones disponibles en su organización:
- Defender XDR: Ajustar una alerta
- Defender para punto de conexión: cree acciones Allow para archivos, direcciones IP URL o dominios que se identifiquen erróneamente como malware en los dispositivos. Para obtener instrucciones, consulte Creación de indicadores.
Deshacer acciones de corrección
Sugerencia
Para conocer los requisitos de permisos y licencias, consulte Permisos y licencias necesarios para AIR.
El personal de SecOps a menudo puede usar 
Tomar medidas para deshacer la acción de corrección. Por ejemplo:
- Desde el Explorador (Explorador de amenazas). Para obtener más información, consulte Email corrección.
- En la página de entidad Email. Para obtener más información, vea Acciones en la página de entidad Email.
- Desde el control flotante de detalles de las entradas de la pestaña Historial del Centro de acciones en https://security.microsoft.com/action-center/history.
Para obtener más información sobre las acciones disponibles en Realizar acción, consulte el Asistente para realizar acciones.
- Para realizar una acción en los mensajes que se han movido a la carpeta de Email no deseado del buzón, use Realizar acción>Mover a la carpeta de buzón y, a continuación, seleccione uno de los siguientes destinos:
- Bandeja de entrada para falsos positivos.
- Elementos eliminados, elementos eliminados temporalmente o elementos eliminados de forma rígida para falsos negativos.
- Para realizar acciones en los mensajes que se han puesto en cuarentena, realice uno de los pasos siguientes:
- Para liberar el mensaje, use Acción>Mover a la bandeja de entrada de la carpeta> de buzón y, a continuación, seleccione Liberar a uno o varios de los destinatarios originales del correo electrónico o Liberar a todos los destinatarios. O bien, puede liberar el mensaje directamente desde la cuarentena.
- Elimine el mensaje directamente de la cuarentena si el usuario tiene acceso al mensaje en cuarentena.
- Si el usuario no tiene acceso al mensaje en cuarentena, no es necesario hacer nada (el mensaje expirará finalmente de la cuarentena).
- Para realizar acciones en los archivos que se han puesto en cuarentena, realice uno de los pasos siguientes:
- Libere el archivo en cuarentena de la cuarentena.
- Elimine el archivo en cuarentena de la cuarentena si el usuario tiene acceso al archivo en cuarentena.
- Si el usuario no tiene acceso al archivo en cuarentena, no es necesario hacer nada (el archivo expirará finalmente de la cuarentena).