Reportar falsos positivos ou falsos negativos na investigação e resposta automatizadas (AIR)
Dica
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
A investigação e resposta automatizadas (AIR) no Microsoft Defender para Office 365 Plano 2 inclui capacidades avançadas para detetar e investigar ameaças. Para obter mais informações, veja Investigação e resposta automatizadas.
Mas e se a AIR identificar incorretamente algo como uma ameaça (um falso positivo) ou se não tiver visto algo que acabou por ser uma ameaça (um falso negativo)? Este artigo explica as opções que estão disponíveis para o pessoal de operações de segurança (SecOps) para lidar com falsos positivos e falsos negativos da AIR.
Submeter falsos positivos ou falsos negativos à Microsoft
Para submeter ou submeter novamente mensagens de e-mail falsos positivos e falsos negativos, anexos de e-mail e URLs à Microsoft, consulte Utilizar a página Submissões para submeter spam, phish, URLs, e-mails legítimos bloqueados e anexos de e-mail à Microsoft.
Ajustar alertas para impedir que os falsos positivos sejam periódicos
Para obter instruções, consulte os seguintes artigos, com base nas subscrições disponíveis na sua organização:
- Defender XDR: Otimizar um alerta
- Defender para Ponto Final: crie Permitir ações para ficheiros, endereços IP URLs ou domínios que são identificados incorretamente como software maligno nos dispositivos. Para obter instruções, veja Criar indicadores.
Anular ações de remediação
Dica
Para obter os requisitos de permissão e licenciamento, veja Permissões necessárias e licenciamento para a AIR.
Muitas vezes, o pessoal do SecOps pode utilizar 
Tomar medidas para anular a ação de remediação. Por exemplo:
- A partir de Explorer (Explorer de Ameaças). Para obter detalhes, veja Email remediação.
- Na página Email entidade. Para obter mais informações, veja Actions on the Email entity page (Ações na página da entidade Email).
- Na lista de opções de detalhes das entradas no separador Histórico do Centro de ação em https://security.microsoft.com/action-center/history.
Para obter detalhes sobre as ações disponíveis em Tomar medidas, consulte o assistente Tomar medidas.
- Para tomar medidas relativamente às mensagens que foram movidas para a pasta Email de Lixo na caixa de correio, utilize a opção Mover para>a pasta da caixa de correio e, em seguida, selecione um dos seguintes destinos:
- Caixa de entrada para falsos positivos.
- Itens Eliminados, Itens eliminados de forma recuperável ou Itens eliminados por falsos negativos.
- Para tomar medidas relativamente às mensagens que foram colocadas em quarentena, siga um dos seguintes passos:
- Para libertar a mensagem, utilize a ação>Mover para a pasta> caixa de correio Caixa de Entrada e,em seguida, selecione Libertar para um ou mais dos destinatários originais do e-mail ou Libertar para todos os destinatários. Em alternativa, pode libertar a mensagem diretamente da quarentena.
- Elimine a mensagem diretamente da quarentena se o utilizador tiver acesso à mensagem em quarentena.
- Se o utilizador não tiver acesso à mensagem em quarentena, não precisa de fazer nada (a mensagem irá eventualmente expirar da quarentena).
- Para tomar medidas em ficheiros que foram colocados em quarentena, siga um dos seguintes passos:
- Liberte o ficheiro em quarentena da quarentena.
- Elimine o ficheiro em quarentena se o utilizador tiver acesso ao ficheiro em quarentena.
- Se o utilizador não tiver acesso ao ficheiro em quarentena, não precisa de fazer nada (o ficheiro irá eventualmente expirar da quarentena).