Segnalare falsi positivi o falsi negativi nell'indagine e nella risposta automatizzate (AIR)
Consiglio
Sapevi che puoi provare gratuitamente le funzionalità in Microsoft Defender per Office 365 Piano 2? Usa la versione di valutazione Defender per Office 365 di 90 giorni nell'hub delle versioni di valutazione del portale di Microsoft Defender. Informazioni su chi può iscriversi e sulle condizioni di valutazione in Prova Microsoft Defender per Office 365.
L'analisi e la risposta automatizzate (AIR) in Microsoft Defender per Office 365 Piano 2 includono potenti funzionalità per rilevare e analizzare le minacce. Per altre informazioni, vedere Analisi e risposta automatizzate.
Ma cosa succede se AIR identifica erroneamente qualcosa come una minaccia (un falso positivo) o qualcosa che si è rivelato essere una minaccia (un falso negativo)? Questo articolo illustra le opzioni disponibili per il personale delle operazioni di sicurezza (SecOps) per gestire falsi positivi e falsi negativi di AIR.
Inviare falsi positivi o falsi negativi a Microsoft
Per inviare o inviare nuovamente messaggi di posta elettronica falsi positivi e falsi negativi, allegati di posta elettronica e URL a Microsoft, vedere Usare la pagina Invii per inviare messaggi di posta indesiderata, phishing, URL, messaggi di posta elettronica legittimi bloccati e allegati di posta elettronica a Microsoft.
Modificare gli avvisi per evitare che i falsi positivi vengano ricorrente
Per istruzioni, vedere gli articoli seguenti, in base alle sottoscrizioni disponibili nell'organizzazione:
- Defender XDR: Ottimizzare un avviso
- Defender per endpoint: creare azioni consenti per file, indirizzi IP URL o domini erroneamente identificati come malware nei dispositivi. Per istruzioni, vedere Creare indicatori.
Annullare le azioni di correzione
Consiglio
Per i requisiti di autorizzazione e licenza, vedere Autorizzazioni necessarie e licenze per AIR.
Il personale SecOps può spesso usare l'azione
Esegui azione per annullare l'azione di correzione. Ad esempio:
- Da Explorer (Esplora minacce). Per informazioni dettagliate, vedere Email correzione.
- Dalla pagina dell'entità Email. Per altre informazioni, vedere Azioni nella pagina dell'entità Email.
- Dal riquadro a comparsa dei dettagli delle voci nella scheda Cronologia del Centro notifiche all'indirizzo https://security.microsoft.com/action-center/history.
Per informazioni dettagliate sulle azioni disponibili in Esegui azione, vedere La procedura guidata Esegui azione.
- Per eseguire azioni sui messaggi spostati nella cartella Email indesiderata nella cassetta postale, usare Esegui azione>Sposta nella cartella cassetta postale e quindi selezionare una delle destinazioni seguenti:
- Posta in arrivo per falsi positivi.
- Elementi eliminati, Elementi eliminati temporaneamente o Elementi eliminati in modo rigido per falsi negativi.
- Per eseguire un'azione sui messaggi messi in quarantena, eseguire una delle operazioni seguenti:
- Per rilasciare il messaggio, usare Esegui azione>Sposta nella cartella>Posta in arrivo della cassetta postale e quindi selezionare Rilascia in uno o più destinatari originali del messaggio di posta elettronica o Rilascia a tutti i destinatari. In alternativa, è possibile rilasciare il messaggio direttamente dalla quarantena.
- Eliminare il messaggio direttamente dalla quarantena se l'utente ha accesso al messaggio in quarantena.
- Se l'utente non ha accesso al messaggio in quarantena, non è necessario eseguire alcuna operazione (il messaggio scadrà dalla quarantena).
- Per eseguire un'azione sui file che sono stati messi in quarantena, eseguire una delle operazioni seguenti:
- Rilasciare il file in quarantena dalla quarantena.
- Eliminare il file in quarantena dalla quarantena se l'utente ha accesso al file in quarantena.
- Se l'utente non ha accesso al file in quarantena, non è necessario eseguire alcuna operazione (il file alla fine scadrà dalla quarantena).