Partilhar via


Como comunicar falsos positivos/negativos em capacidades de investigação e resposta automatizadas

Sugestão

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Se as capacidades automatizadas de investigação e resposta (AIR) no Office 365 algo não Office 365 ou detetado incorretamente, existem passos que a sua equipa de operações de segurança pode tomar para corrigi-lo. Tais ações incluem:

Utilize este artigo como guia.

Comunicar um falso positivo/negativo à Microsoft para análise

Se o AIR no Microsoft Defender para Office 365 não tiver visto uma mensagem de e-mail, um anexo de e-mail, um URL numa mensagem de e-mail ou um URL num ficheiro do Office, pode submeter spam, phish, URLs e ficheiros suspeitos à Microsoft para Office 365 análise.

Também pode Submeter um ficheiro à Microsoft para análise de software maligno.

Ajustar um alerta para impedir que os falsos positivos sejam periódicos

Se um alerta for acionado por utilização legítima ou se o alerta for impreciso, pode Gerir alertas no portal do Defender for Cloud Apps.

Se a sua organização estiver a utilizar Microsoft Defender para Endpoint para além de Office 365 e um ficheiro, endereço IP, URL ou domínio for tratado como software maligno num dispositivo, mesmo que seja seguro, pode criar um indicador personalizado com uma ação "Permitir" para o seu dispositivo.

Anular uma ação de remediação

Na maioria dos casos, se tiver sido tomada uma ação de remediação numa mensagem de e-mail, anexo de e-mail ou URL e o item não for realmente uma ameaça, a sua equipa de operações de segurança pode anular a ação de remediação e tomar medidas para impedir que o falso positivo seja periódico. Pode utilizar o Explorador de Ameaças ou o separador Ações para uma investigação para anular uma ação.

Importante

Certifique-se de que tem as permissões necessárias antes de tentar efetuar as seguintes tarefas.

Anular uma ação com o Explorador de Ameaças

Com o Explorador de Ameaças, a sua equipa de operações de segurança pode encontrar um e-mail afetado por uma ação e potencialmente anular a ação.

Cenário Anular Opções Saiba mais
Uma mensagem de e-mail foi encaminhada para a pasta de Email de Lixo de um utilizador
  • Mover a mensagem para a pasta Itens Eliminados do utilizador
  • Mover a mensagem para a Caixa de Entrada do utilizador
  • Eliminar a mensagem
Localizar e investigar e-mails maliciosos que foram entregues no Office 365
Uma mensagem de e-mail ou um ficheiro foi colocado em quarentena
  • Libertar o e-mail ou ficheiro
  • Eliminar o e-mail ou ficheiro
Gerir mensagens em quarentena como administrador

Anular uma ação no Centro de ação

No Centro de ação, pode ver as ações de remediação que foram executadas e, potencialmente, anular a ação.

  1. No portal Microsoft Defender em https://security.microsoft.com, aceda ao Centro de ação ao selecionar Centro de ação. Para aceder diretamente ao Centro de ação, utilize https://security.microsoft.com/action-center/.
  2. No Centro de ação, selecione o separador Histórico para ver a lista de ações concluídas.
  3. Selecione um item. O painel de lista de opções é aberto.
  4. No painel de lista de opções, selecione Anular. (Apenas as ações que podem ser anuladas terão um botão Anular .)

Consulte também