Ilmoitus epätosi-positiivisista/negatiivisista automatisoiduissa tutkimus- ja vastaustoiminnoissa

• Koskee seuraavia::

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Vihje

Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.

Jos Office 365 vastaamatonta tai väärin havaittua jotain automatisoidun tutkinnan ja vastauksen (AIR) ominaisuuksia, tietoturvatiimisi voi korjata sen seuraavien toimien avulla. Tällaisia toimintoja ovat esimerkiksi seuraavat:

• Ilmoittaminen epätosi positiivisesta/negatiivisesta Microsoftille;
• Säädetään ilmoituksia (tarvittaessa); ja
• Kumotaan tehtyjä korjaustoimintoja.

Käytä tätä artikkelia oppaana.

Ilmoita false-positiivisesta/negatiivisesta Microsoftille analyysia varten

Jos AIR in Microsoft Defender for Office 365 vastaamatonta sähköpostiviestiä, sähköpostiliitettä, sähköpostiviestin URL-osoitetta tai Office-tiedoston URL-osoitetta, voit lähettää Microsoftille epäillyt roskaposti-, tietojenkalastelu-, URL-osoitteet ja tiedostot Office 365 skannausta varten.

Voit myös lähettää tiedoston Microsoftille haittaohjelma-analyysia varten.

Säädä ilmoitusta, jotta false-positiiviset eivät toistu

Jos ilmoitus käynnistetään laillisella käytöllä tai ilmoitus on virheellinen, voit hallita ilmoituksia Defender for Cloud Apps portaalissa.

Jos organisaatiosi käyttää Microsoft Defender for Endpoint Office 365 lisäksi ja tiedostoa, IP-osoitetta, URL-osoitetta tai toimialuetta käsitellään laitteessa haittaohjelmana, vaikka se olisi turvallista, voit luoda mukautetun ilmaisimen "Salli"-toiminnolla laitteellesi.

Kumoa korjaustoiminto

Useimmissa tapauksissa suojaustoimintatiimisi voi kumota korjaustoiminnon ja estää false-positiivisen toistumisen, jos se ei ole uhka sähköpostiviestille, sähköpostin liitetiedostolle tai URL-osoitteelle. Voit kumota toiminnon joko Uhkienhallinnan tai Toiminnot-välilehden avulla.

Tärkeää

Varmista, että sinulla on tarvittavat oikeudet, ennen kuin yrität suorittaa seuraavia tehtäviä.

Kumoa toiminto Uhkienhallinnan avulla

Threat Explorerin avulla suojaustoimintatiimisi voi löytää sähköpostiviestin, johon toiminto vaikuttaa, ja mahdollisesti kumota toiminnon.

Skenaario	Kumoa asetukset	Lisätietoja
Sähköpostiviesti reititettiin käyttäjän Roskaposti-kansioon	Siirrä viesti käyttäjän Poistetut-kansioon Siirrä viesti käyttäjän Saapuneet-kansioon Poista viesti	Etsi ja tutki Office 365 lähetettyjä haitallisia sähköpostiviestejä
Sähköpostiviesti tai tiedosto asetettiin karanteeniin	Julkaise sähköposti tai tiedosto Poista sähköpostiviesti tai tiedosto	Karanteeniin asetettujen viestien hallinta järjestelmänvalvojana

Kumoa toiminto toimintokeskuksessa

Toimintokeskuksessa näet toteutetut korjaustoiminnot ja voit mahdollisesti kumota toiminnon.

1. Siirry Microsoft Defender-portaalissa https://security.microsoft.comtoimintokeskukseen valitsemalla Toimintokeskus. Voit siirtyä suoraan toimintokeskukseen valitsemalla https://security.microsoft.com/action-center/.
2. Valitse Toimintokeskuksessa Historia-välilehti , jos haluat tarkastella suoritettujen toimintojen luetteloa.
3. Valitse kohde. Sen pikaikkunaruutu avautuu.
4. Valitse pikaikkunaruudussa Kumoa. (Kumoa-painike on käytettävissä vain toiminnoissa, jotka voidaan kumota.)

Tutustu myös seuraaviin ohjeartikkeleihin:

• Microsoft Defender for Office 365
• Automatisoidut tutkimukset Microsoft Defender for Office 365