Como comunicar falsos positivos/negativos em capacidades de investigação e resposta automatizadas
Sugestão
Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.
Se as capacidades automatizadas de investigação e resposta (AIR) no Office 365 algo não Office 365 ou detetado incorretamente, existem passos que a sua equipa de operações de segurança pode tomar para corrigi-lo. Tais ações incluem:
- Comunicar um falso positivo/negativo à Microsoft;
- Ajustar alertas (se necessário); e
- Anular as ações de remediação que foram executadas.
Utilize este artigo como guia.
Comunicar um falso positivo/negativo à Microsoft para análise
Se o AIR no Microsoft Defender para Office 365 não tiver visto uma mensagem de e-mail, um anexo de e-mail, um URL numa mensagem de e-mail ou um URL num ficheiro do Office, pode submeter spam, phish, URLs e ficheiros suspeitos à Microsoft para Office 365 análise.
Também pode Submeter um ficheiro à Microsoft para análise de software maligno.
Ajustar um alerta para impedir que os falsos positivos sejam periódicos
Se um alerta for acionado por utilização legítima ou se o alerta for impreciso, pode Gerir alertas no portal do Defender for Cloud Apps.
Se a sua organização estiver a utilizar Microsoft Defender para Endpoint para além de Office 365 e um ficheiro, endereço IP, URL ou domínio for tratado como software maligno num dispositivo, mesmo que seja seguro, pode criar um indicador personalizado com uma ação "Permitir" para o seu dispositivo.
Anular uma ação de remediação
Na maioria dos casos, se tiver sido tomada uma ação de remediação numa mensagem de e-mail, anexo de e-mail ou URL e o item não for realmente uma ameaça, a sua equipa de operações de segurança pode anular a ação de remediação e tomar medidas para impedir que o falso positivo seja periódico. Pode utilizar o Explorador de Ameaças ou o separador Ações para uma investigação para anular uma ação.
Importante
Certifique-se de que tem as permissões necessárias antes de tentar efetuar as seguintes tarefas.
Anular uma ação com o Explorador de Ameaças
Com o Explorador de Ameaças, a sua equipa de operações de segurança pode encontrar um e-mail afetado por uma ação e potencialmente anular a ação.
Cenário | Anular Opções | Saiba mais |
---|---|---|
Uma mensagem de e-mail foi encaminhada para a pasta de Email de Lixo de um utilizador |
|
Localizar e investigar e-mails maliciosos que foram entregues no Office 365 |
Uma mensagem de e-mail ou um ficheiro foi colocado em quarentena |
|
Gerir mensagens em quarentena como administrador |
Anular uma ação no Centro de ação
No Centro de ação, pode ver as ações de remediação que foram executadas e, potencialmente, anular a ação.
- No portal Microsoft Defender em https://security.microsoft.com, aceda ao Centro de ação ao selecionar Centro de ação. Para aceder diretamente ao Centro de ação, utilize https://security.microsoft.com/action-center/.
- No Centro de ação, selecione o separador Histórico para ver a lista de ações concluídas.
- Selecione um item. O painel de lista de opções é aberto.
- No painel de lista de opções, selecione Anular. (Apenas as ações que podem ser anuladas terão um botão Anular .)