Zgłaszanie wyników fałszywie dodatnich lub fałszywie ujemnych w zautomatyzowanym badaniu i reagowaniu (AIR)
Porada
Czy wiesz, że możesz bezpłatnie wypróbować funkcje w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2? Użyj 90-dniowej wersji próbnej Ochrona usługi Office 365 w usłudze Defender w centrum wersji próbnej portalu Microsoft Defender. Dowiedz się, kto może zarejestrować się i zapoznać się z warunkami wersji próbnej w witrynie Try Ochrona usługi Office 365 w usłudze Microsoft Defender.
Zautomatyzowane badanie i reagowanie (AIR) w planie Ochrona usługi Office 365 w usłudze Microsoft Defender 2 obejmuje zaawansowane możliwości wykrywania i badania zagrożeń. Aby uzyskać więcej informacji, zobacz Zautomatyzowane badanie i reagowanie.
Ale co zrobić, jeśli AIR niepoprawnie identyfikuje coś jako zagrożenie (fałszywie dodatnie) lub przegapił coś, co okazało się zagrożeniem (fałszywie ujemnym)? W tym artykule wyjaśniono opcje dostępne dla personelu operacji zabezpieczeń (SecOps) do obsługi wyników fałszywie dodatnich i fałszywie ujemnych z air.
Przesyłanie fałszywych alarmów lub fałszywych negatywów do firmy Microsoft
Aby przesłać lub przesłać ponownie fałszywie dodatnie i fałszywie ujemne wiadomości e-mail, załączniki wiadomości e-mail i adresy URL do firmy Microsoft, zobacz Używanie strony Przesłane do przesyłania podejrzanego spamu, phish, adresów URL, legalnych wiadomości e-mail i załączników wiadomości e-mail do firmy Microsoft.
Dostosuj alerty, aby zapobiec powtarzaniu się wyników fałszywie dodatnich
Aby uzyskać instrukcje, zobacz następujące artykuły na podstawie dostępnych subskrypcji w organizacji:
- Defender XDR: dostrojenie alertu
- Defender for Endpoint: Utwórz akcje Zezwalaj dla plików, adresów IP lub domen, które są błędnie identyfikowane jako złośliwe oprogramowanie na urządzeniach. Aby uzyskać instrukcje, zobacz Tworzenie wskaźników.
Cofanie akcji korygowania
Porada
Aby uzyskać informacje o wymaganiach dotyczących uprawnień i licencjonowania, zobacz Wymagane uprawnienia i licencjonowanie dla programu AIR.
Pracownicy usługi SecOps często używają funkcji 
Take action w celu cofnięcia akcji korygowania. Przykład:
- Z Eksploratora (Eksplorator zagrożeń). Aby uzyskać szczegółowe informacje, zobacz korygowanie Email.
- Na stronie jednostki Email. Aby uzyskać więcej informacji, zobacz Akcje na stronie jednostki Email.
- Z wysuwanych szczegółów wpisów na karcie Historia centrum akcji pod adresem https://security.microsoft.com/action-center/history.
Aby uzyskać szczegółowe informacje na temat dostępnych akcji w sekcji Akcja wykonania, zobacz Kreatora akcji take.
- Aby wykonać akcję w przypadku wiadomości, które zostały przeniesione do folderu Junk Email w skrzynce pocztowej, użyj akcji>Przenieś do folderu skrzynki pocztowej, a następnie wybierz jedno z następujących miejsc docelowych:
- Skrzynka odbiorcza dla wyników fałszywie dodatnich.
- Usunięte elementy, nietrwałe usunięte elementy lub elementy usunięte na stałe dla fałszywych negatywów.
- Aby wykonać akcję w przypadku komunikatów, które zostały poddane kwarantannie, wykonaj jedną z następujących czynności:
- Aby zwolnić wiadomość, użyj akcji> Przenieś doskrzynki odbiorczej folderu >skrzynki pocztowej, a następnie wybierz pozycję Zwolnij do co najmniej jednego z oryginalnych adresatów wiadomości e-mail lub Wydania dla wszystkich adresatów. Możesz też zwolnić komunikat bezpośrednio z kwarantanny.
- Usuń komunikat bezpośrednio z kwarantanny , jeśli użytkownik ma dostęp do komunikatu poddanej kwarantannie.
- Jeśli użytkownik nie ma dostępu do komunikatu poddanej kwarantannie, nie musisz nic robić (komunikat ostatecznie wygaśnie z kwarantanny).
- Aby wykonać akcję dotyczącą plików, które zostały poddane kwarantannie, wykonaj jedną z następujących czynności:
- Zwolnij plik poddany kwarantannie z kwarantanny.
- Usuń plik poddany kwarantannie z kwarantanny , jeśli użytkownik ma dostęp do pliku poddanej kwarantannie.
- Jeśli użytkownik nie ma dostępu do pliku poddanej kwarantannie, nie musisz nic robić (plik ostatecznie wygaśnie z kwarantanny).