Udostępnij za pośrednictwem


Jak zgłaszać wyniki fałszywie dodatnie/ujemne w zautomatyzowanych możliwościach badania i reagowania

Porada

Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.

Jeśli funkcje zautomatyzowanego badania i reagowania (AIR) w Office 365 coś nie zostały pominięte lub niesłusznie wykryte, istnieją kroki, które zespół ds. operacji zabezpieczeń może podjąć, aby rozwiązać ten problem. Takie akcje obejmują:

Skorzystaj z tego artykułu jako przewodnika.

Zgłoś firmie Microsoft wyniki fałszywie dodatnie/ujemne na potrzeby analizy

Jeśli usługa AIR w Ochrona usługi Office 365 w usłudze Microsoft Defender nie odebrano wiadomości e-mail, załącznika wiadomości e-mail, adresu URL w wiadomości e-mail lub adresu URL w pliku pakietu Office, możesz przesłać do firmy Microsoft podejrzenie spamu, phish, adresów URL i plików w celu Office 365 skanowania.

Możesz również przesłać plik do firmy Microsoft w celu analizy złośliwego oprogramowania.

Dostosuj alert, aby zapobiec powtarzaniu się wyników fałszywie dodatnich

Jeśli alert jest wyzwalany przez prawidłowe użycie lub alert jest niedokładny, możesz zarządzać alertami w portalu Defender for Cloud Apps.

Jeśli Twoja organizacja używa Ochrona punktu końcowego w usłudze Microsoft Defender oprócz Office 365, a plik, adres IP, adres URL lub domena są traktowane jako złośliwe oprogramowanie na urządzeniu, nawet jeśli jest to bezpieczne, możesz utworzyć niestandardowy wskaźnik z akcją "Zezwalaj" dla urządzenia.

Cofanie akcji korygowania

W większości przypadków, jeśli akcja korygowania została podjęta w wiadomości e-mail, załączniku wiadomości e-mail lub adresie URL, a element w rzeczywistości nie stanowi zagrożenia, zespół ds. operacji zabezpieczeń może cofnąć akcję korygowania i podjąć kroki, aby zapobiec cyklicznemu wynikowi fałszywie dodatniemu. Aby cofnąć akcję, możesz użyć Eksploratora zagrożeń lub karty Akcje w celu przeprowadzenia badania.

Ważna

Przed podjęciem próby wykonania następujących zadań upewnij się, że masz wymagane uprawnienia.

Cofanie akcji przy użyciu Eksploratora zagrożeń

W Eksploratorze zagrożeń zespół ds. operacji zabezpieczeń może znaleźć wiadomość e-mail, na która ma wpływ akcja, i potencjalnie cofnąć akcję.

Scenariusz Cofnij opcje Dowiedz się więcej
Wiadomość e-mail została przekierowana do folderu Email wiadomości-śmieci użytkownika
  • Przenieś komunikat do folderu Elementy usunięte użytkownika
  • Przenoszenie komunikatu do skrzynki odbiorczej użytkownika
  • Usuwanie komunikatu
Znajdowanie i badanie złośliwych wiadomości e-mail dostarczonych w Office 365
Wiadomość e-mail lub plik został poddany kwarantannie
  • Zwolnij wiadomość e-mail lub plik
  • Usuwanie wiadomości e-mail lub pliku
Zarządzanie komunikatami poddanymi kwarantannie jako administrator

Cofanie akcji w centrum akcji

W centrum akcji można zobaczyć akcje korygowania, które zostały podjęte i potencjalnie cofnąć akcję.

  1. W portalu Microsoft Defender pod adresem https://security.microsoft.comprzejdź do centrum akcji, wybierając pozycję Centrum akcji. Aby przejść bezpośrednio do centrum akcji, użyj polecenia https://security.microsoft.com/action-center/.
  2. W centrum akcji wybierz kartę Historia , aby wyświetlić listę ukończonych akcji.
  3. Wybierz element. Zostanie otwarte okienko wysuwane.
  4. W okienku wysuwanym wybierz pozycję Cofnij. (Tylko akcje, które można cofnąć, będą miały przycisk Cofnij ).

Zobacz też