Risolvere i falsi positivi o i falsi negativi in Microsoft Defender XDR
Si applica a:
- Microsoft Defender XDR
I falsi positivi o negativi possono verificarsi occasionalmente con qualsiasi soluzione di protezione dalle minacce. Se le funzionalità di analisi e risposta automatizzate in Microsoft Defender XDR rilevato qualcosa di mancante o errato, il team delle operazioni di sicurezza può eseguire i passaggi seguenti:
- Segnalare un falso positivo/negativo a Microsoft
- Modificare gli avvisi (se necessario)
- Annullare le azioni di correzione eseguite nei dispositivi
Le sezioni seguenti descrivono come eseguire queste attività.
Segnalare un falso positivo/negativo a Microsoft per l'analisi
| Elemento perso o rilevato in modo errato | Servizio | Soluzione |
|---|---|---|
| - Email messaggio - Email allegato - URL in un messaggio di posta elettronica - URL in un file di Office |
Microsoft Defender per Office 365 | Inviare messaggi di posta indesiderata, phishing, URL e file sospetti a Microsoft per l'analisi |
| File o app in un dispositivo | Microsoft Defender per endpoint | Inviare un file a Microsoft per l'analisi del malware |
Modificare un avviso per evitare che i falsi positivi si ripetano
| Scenario | Servizio | Soluzione |
|---|---|---|
| - Un avviso viene attivato da un uso legittimo - Un avviso non è accurato |
Microsoft Defender for Cloud Apps o Protezione dalle minacce di Azure |
Gestire gli avvisi in Defender for Cloud Apps |
| Un file, un indirizzo IP, un URL o un dominio viene considerato come malware in un dispositivo, anche se è sicuro | Microsoft Defender per endpoint | Creare un indicatore personalizzato con un'azione "Consenti" |
Annullare un'azione di correzione eseguita in un dispositivo
Se è stata eseguita un'azione di correzione su un'entità (ad esempio un dispositivo o un messaggio di posta elettronica) e l'entità interessata non è effettivamente una minaccia, il team delle operazioni di sicurezza può annullare l'azione di correzione nel Centro notifiche.
- Passare a Microsoft Defender portale e accedere.
- Nel riquadro di spostamento, scegliere Centro notifiche.
- Nella scheda Cronologia selezionare un'azione da annullare. Verrà aperto il riquadro a comparsa.
- Nel riquadro a comparsa selezionare Annulla.
Consiglio
Vedere Annullare le azioni completate.
Vedere anche
- Visualizzare i dettagli e i risultati di un'indagine automatizzata
- Cercare in modo proattivo le minacce con ricerca avanzata in Microsoft Defender XDR
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.