Fout-positieven of fout-negatieven rapporteren in geautomatiseerd onderzoek en reactie (AIR)
Tip
Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Geautomatiseerd onderzoek en reactie (AIR) in Microsoft Defender voor Office 365 Plan 2 bevat krachtige mogelijkheden voor het detecteren en onderzoeken van bedreigingen. Zie Geautomatiseerd onderzoek en respons voor meer informatie.
Maar wat gebeurt er als AIR iets onjuist identificeert als een bedreiging (een fout-positief) of iets mist dat een bedreiging bleek te zijn (een fout-negatief)? In dit artikel worden de opties uitgelegd die beschikbaar zijn voor beveiligingspersoneel (SecOps) om fout-positieven en fout-negatieven van AIR te verwerken.
Fout-positieven of fout-negatieven verzenden naar Microsoft
Als u fout-positieve en fout-negatieve e-mailberichten, e-mailbijlagen en URL's naar Microsoft wilt verzenden of opnieuw wilt verzenden, raadpleegt u De pagina Inzendingen gebruiken om verdachte spam, phish, URL's, legitieme e-mail die wordt geblokkeerd en e-mailbijlagen naar Microsoft te verzenden.
Waarschuwingen aanpassen om te voorkomen dat fout-positieven terugkeren
Zie de volgende artikelen op basis van de beschikbare abonnementen in uw organisatie voor instructies:
- Defender XDR: Een waarschuwing afstemmen
- Defender voor Eindpunt: Maak Acties toestaan voor bestanden, IP-adressen of domeinen die onjuist worden geïdentificeerd als malware op apparaten. Zie Indicatoren maken voor instructies.
Herstelacties ongedaan maken
Tip
Zie Vereiste machtigingen en licenties voor AIR voor machtigingen en licentievereisten.
SecOps-medewerkers kunnen vaak actie ondernemen gebruiken 
om de herstelactie ongedaan te maken. Bijvoorbeeld:
- Vanuit Explorer (Bedreigingsverkenner). Zie Email herstel voor meer informatie.
- Vanaf de pagina Email entiteit. Zie Acties op de pagina Email entiteit voor meer informatie.
- Vanuit de flyout met details van vermeldingen op het tabblad Geschiedenis van het Actiecentrum op https://security.microsoft.com/action-center/history.
Zie de wizard Actie ondernemen voor meer informatie over de beschikbare acties in Actie ondernemen.
- Als u actie wilt ondernemen op berichten die zijn verplaatst naar de map Ongewenste Email in het postvak, gebruikt u Actie>ondernemen Verplaatsen naar postvakmap en selecteert u een van de volgende bestemmingen:
- Postvak IN voor fout-positieven.
- Verwijderde items, Voorlopig verwijderde items of Hard verwijderde items voor fout-negatieven.
- Voer een van de volgende stappen uit om actie te ondernemen op berichten die in quarantaine zijn geplaatst:
- Als u het bericht wilt vrijgeven, gebruikt u Actie ondernemen>Verplaatsen naar postvakmap>Postvak IN en selecteert u vervolgens Vrijgeven aan een of meer van de oorspronkelijke geadresseerden van het e-mailbericht of Vrijgeven aan alle geadresseerden. U kunt het bericht ook rechtstreeks vanuit quarantaine vrijgeven.
- Verwijder het bericht rechtstreeks uit quarantaine als de gebruiker toegang heeft tot het bericht in quarantaine.
- Als de gebruiker geen toegang heeft tot het bericht in quarantaine, hoeft u niets te doen (het bericht verloopt uiteindelijk uit quarantaine).
- Voer een van de volgende stappen uit om actie te ondernemen op bestanden die in quarantaine zijn geplaatst:
- Laat het bestand in quarantaine uit quarantaine.
- Verwijder het bestand in quarantaine als de gebruiker toegang heeft tot het bestand in quarantaine.
- Als de gebruiker geen toegang heeft tot het bestand in quarantaine, hoeft u niets te doen (het bestand verloopt uiteindelijk uit quarantaine).