Ilmoita false-positiivisista tai epätosi-negatiivisista automatisoidussa tutkimuksessa ja vastauksessa (AIR)
Vihje
Tiesitkö, että voit kokeilla Microsoft Defender for Office 365 palvelupaketin 2 ominaisuuksia maksutta? Käytä 90 päivän Defender for Office 365 kokeiluversiota Microsoft Defender-portaalin kokeilukeskuksessa. Lisätietoja siitä, ketkä voivat rekisteröityä ja kokeilla käyttöehtoja, on artikkelissa Kokeile Microsoft Defender for Office 365.
Microsoft Defender for Office 365 palvelupaketti 2:n automatisoitu tutkinta ja reagointi sisältävät tehokkaita ominaisuuksia uhkien havaitsemiseen ja tutkimiseen. Lisätietoja on artikkelissa Automaattinen tutkinta ja reagointi.
Mutta entä jos AIR tunnistaa virheellisesti jotain uhaksi (väärä positiivinen) tai jättää väliin jotain, joka osoittautui uhaksi (väärä negatiivinen)? Tässä artikkelissa kerrotaan vaihtoehdoista, jotka ovat saatavilla turvallisuusoperaatiohenkilöstölle (SecOps) AIR:n väärien positiivisten ja väärien negatiivisten käsittelemiseksi.
Lähetä Microsoftille false-positiivisia tai false-negatiivisia
Jos haluat lähettää tai lähettää uudelleen virheellisiä positiivisia ja epätosia negatiivisia sähköpostiviestejä, liitetiedostoja ja URL-osoitteita Microsoftille, katso Lähetysten sivun käyttäminen roskaposti-, tietojenkalastelu-, URL-osoitteiden, laillisen sähköpostin esto- ja sähköpostiliitteiden lähettämiseen Microsoftille.
Säädä ilmoituksia, jotta false-positiiviset eivät toistu
Katso ohjeet seuraavista artikkeleista, jotka perustuvat organisaatiosi käytettävissä oleviin tilauksiin:
- Defender XDR: Ilmoituksen hienosäätäminen
- Defender for Endpoint: Luo Salli toiminnot tiedostoille, IP-osoitteille URL-osoitteet tai toimialueet, jotka on tunnistettu väärin haittaohjelmiksi laitteissa. Katso ohjeet kohdasta Ilmaisimien luominen.
Kumoa korjaustoiminnot
Vihje
Katso käyttöoikeus- ja käyttöoikeusvaatimukset kohdasta AIR-käyttöoikeuden pakolliset käyttöoikeudet ja käyttöoikeudet.
SecOps-henkilöstö voi usein kumota 
korjaustoiminnon Toimi-toiminnolla. Esimerkki:
- Resurssienhallinnasta (Threat Explorer). Lisätietoja on artikkelissa Sähköpostin korjaaminen.
- Sähköpostientiteetti-sivulta. Lisätietoja on sähköpostientiteettisivun kohdassa Toiminnot.
- Toimintokeskuksen Historia-välilehden merkintöjen tiedot-pikaikkunassa osoitteessa .https://security.microsoft.com/action-center/history
Lisätietoja toiminnon käytettävissä olevista toiminnoista on ohjatussa toimintotoiminnossa.
- Jos haluat suorittaa toiminnon viesteille, jotka on siirretty postilaatikon Roskaposti-kansioon, käytä Siirrä>postilaatikkoon -kansiota ja valitse sitten jokin seuraavista kohteista:
- Epätosi-positiivisten saapuneet-kansio.
- Poistettuja kohteita, pehmeitä poistettuja kohteita tai virheellisiä negatiivisia kohteita on poistettu kiinteästi .
- Jos haluat suorittaa toimia karanteeniin asetettuihin viesteihin, toimi seuraavasti:
- Voit vapauttaa viestin valitsemalla Siirräpostilaatikon kansioonSaapuneet-kansioon>->toiminnolla Vapauta vähintään yhdelle sähköpostiviestin alkuperäisistä vastaanottajista tai Julkaise kaikille vastaanottajille. Voit myös vapauttaa viestin suoraan karanteenista.
- Poista viesti suoraan karanteenista , jos käyttäjällä on karanteeniin asetetun viestin käyttöoikeus.
- Jos käyttäjällä ei ole karanteenissa olevan viestin käyttöoikeutta, sinun ei tarvitse tehdä mitään (viesti vanhenee lopulta karanteenista).
- Voit tehdä toimia karanteeniin asetettujen tiedostojen kohdalla tekemällä jonkin seuraavista toimista:
- Vapauta karanteeniin asetettu tiedosto karanteenista.
- Poista karanteeniin asetettu tiedosto karanteenista , jos käyttäjällä on karanteeniin asetetun tiedoston käyttöoikeus.
- Jos käyttäjällä ei ole karanteeniin asetetun tiedoston käyttöoikeutta, sinun ei tarvitse tehdä mitään (tiedosto vanhenee lopulta karanteenista).