Rapporter falske positiver eller falske negativer i automatisert undersøkelse og respons (AIR)
Tips
Visste du at du kan prøve funksjonene i Microsoft Defender for Office 365 Plan 2 gratis? Bruk den 90-dagers prøveversjonen av Defender for Office 365 på Microsoft Defender portalens prøvehub. Lær om hvem som kan registrere deg og prøveabonnementer på Prøv Microsoft Defender for Office 365.
Automatisert undersøkelse og respons (AIR) i Microsoft Defender for Office 365 Plan 2 inkluderer kraftige funksjoner for å oppdage og undersøke trusler. Hvis du vil ha mer informasjon, kan du se Automatisert undersøkelse og svar.
Men hva om AIR feilaktig identifiserer noe som en trussel (en falsk positiv) eller savnet noe som viste seg å være en trussel (en falsk negativ)? Denne artikkelen forklarer alternativene som er tilgjengelige for sikkerhetsoperasjoner (SecOps) personell for å håndtere falske positiver og falske negativer fra AIR.
Sende falske positiver eller falske negativer til Microsoft
Hvis du vil sende eller sende falske positive og falske negative e-postmeldinger, e-postvedlegg og nettadresser til Microsoft på nytt, kan du se Bruke siden innsendinger til å sende inn mistanke om søppelpost, phish, nettadresser, legitim e-post som blokkeres og e-postvedlegg til Microsoft.
Juster varsler for å hindre at falske positiver gjentas
Hvis du vil ha instruksjoner, kan du se følgende artikler, basert på de tilgjengelige abonnementene i organisasjonen:
- Defender XDR: Justere et varsel
- Defender for Endpoint: Opprett tillat handlinger for filer, URL-adresser for IP-adresser eller domener som er feilidentifisert som skadelig programvare på enheter. Hvis du vil ha instruksjoner, kan du se Opprette indikatorer.
Angre utbedringshandlinger
Tips
Hvis du vil ha tilgangs- og lisensieringskrav, kan du se Nødvendige tillatelser og lisensiering for AIR.
SecOps-personell kan ofte bruke Utfør handling for å angre utbedringshandlingen. Eksempel:
- Fra Explorer (Trusselutforsker). Hvis du vil ha mer informasjon, kan du se Utbedring av e-post.
- Fra siden for e-postenhet. Hvis du vil ha mer informasjon, kan du se Handlinger på enhetssiden for e-post.
- Fra undermenyen for detaljer for oppføringer på Logg-fanen i handlingssenteret på .https://security.microsoft.com/action-center/history
Hvis du vil ha mer informasjon om de tilgjengelige handlingene i Utfør-handlingen, kan du se handlingsveiviseren.
- Hvis du vil gjøre noe med meldinger som ble flyttet til Søppelpost-mappen i postboksen, bruker> duFlytt til postboksmappe og velger deretter ett av følgende mål:
- Innboks for falske positiver.
- Slettede elementer, myke slettede elementer eller hard slettede elementer for usanne negativer.
- Gjør ett av følgende for å gjøre noe med meldinger som ble satt i karantene:
- Hvis du vil frigi meldingen, kan dubruke >Flytt til postboksmappeinnboksen> og deretter Velge Slipp til én eller flere av de opprinnelige mottakerne av e-postmeldingen eller Slipp til alle mottakerne. Du kan også frigi meldingen direkte fra karantene.
- Slett meldingen direkte fra karantene hvis brukeren har tilgang til den karantenemeldingen.
- Hvis brukeren ikke har tilgang til den karantenemeldingen, trenger du ikke å gjøre noe (meldingen utløper etter hvert fra karantene).
- Gjør ett av følgende for å utføre handlinger på filer som ble satt i karantene:
- Frigi den karantenefilen fra karantene.
- Slett den karantenefilen fra karantene hvis brukeren har tilgang til den karantenefilen.
- Hvis brukeren ikke har tilgang til filen som er satt i karantene, trenger du ikke å gjøre noe (filen utløper etter hvert fra karantene).