Del via


Rapporter falske positiver eller falske negativer i automatisert undersøkelse og respons (AIR)

Tips

Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.

Automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365 Plan 2 inkluderer kraftige funksjoner for å oppdage og undersøke trusler. Hvis du vil ha mer informasjon, kan du se Automatisert undersøkelse og svar.

Men hva om AIR feilaktig identifiserer noe som en trussel (en falsk positiv) eller savnet noe som viste seg å være en trussel (en falsk negativ)? Denne artikkelen forklarer alternativene som er tilgjengelige for sikkerhetsoperasjoner (SecOps) personell for å håndtere falske positiver og falske negativer fra AIR.

Sende falske positiver eller falske negativer til Microsoft

Hvis du vil sende eller sende falske positive og falske negative e-postmeldinger, e-postvedlegg og nettadresser til Microsoft på nytt, kan du se Bruke siden innsendinger til å sende inn mistanke om søppelpost, phish, nettadresser, legitim e-post som blokkeres og e-postvedlegg til Microsoft.

Juster varsler for å hindre at falske positiver gjentas

Hvis du vil ha instruksjoner, kan du se følgende artikler, basert på de tilgjengelige abonnementene i organisasjonen:

  • Defender XDR: Justere et varsel
  • Defender for Endpoint: Opprett tillat handlinger for filer, URL-adresser for IP-adresser eller domener som er feilidentifisert som skadelig programvare på enheter. Hvis du vil ha instruksjoner, kan du se Opprette indikatorer.

Angre utbedringshandlinger

Tips

Hvis du vil ha tilgangs- og lisensieringskrav, kan du se Nødvendige tillatelser og lisensiering for AIR.

SecOps-personell kan ofte bruke Utfør handling for å angre utbedringshandlingen. Eksempel:

Hvis du vil ha mer informasjon om de tilgjengelige handlingene i Utfør-handlingen, kan du se handlingsveiviseren.

  • Hvis du vil gjøre noe med meldinger som ble flyttet til Søppelpost-mappen i postboksen, bruker> duFlytt til postboksmappe og velger deretter ett av følgende mål:
    • Innboks for falske positiver.
    • Slettede elementer, myke slettede elementer eller hard slettede elementer for usanne negativer.
  • Gjør ett av følgende for å gjøre noe med meldinger som ble satt i karantene:
  • Gjør ett av følgende for å utføre handlinger på filer som ble satt i karantene:

Se også