Сообщить о ложных срабатываниях или ложноотрицательных результатах в автоматическом исследовании и ответе (AIR)
Совет
Знаете ли вы, что вы можете попробовать функции в Microsoft Defender для Office 365 план 2 бесплатно? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.
Автоматизированное исследование и реагирование (AIR) в Microsoft Defender для Office 365 плане 2 предоставляет мощные возможности для обнаружения и исследования угроз. Дополнительные сведения см. в статье Автоматическое исследование и реагирование.
Но что делать, если AIR неправильно идентифицирует что-то как угрозу (ложноположительный результат) или пропустил то, что оказалось угрозой (ложноотрицательный)? В этой статье описываются варианты, доступные персоналу операций безопасности (SecOps) для борьбы с ложными срабатываниями и ложноотрицательной от AIR.
Отправка ложных срабатываний или ложноотрицательных результатов в Корпорацию Майкрософт
Сведения о отправке или повторной отправке ложноположительных и ложноотрицательных сообщений электронной почты, вложений электронной почты и URL-адресов в корпорацию Майкрософт см. в статье Использование страницы отправки для отправки в корпорацию Майкрософт подозрительных сообщений о спаме, фишинге, URL-адресах, блокировке и вложениях электронной почты.
Настройка оповещений, чтобы предотвратить повторение ложных срабатываний
Инструкции см. в следующих статьях на основе доступных подписок в вашей организации:
- Defender XDR. Настройка оповещения
- Defender для конечной точки. Создание разрешенных действий для файлов, URL-адресов IP-адресов или доменов, которые неправильно идентифицируются как вредоносные программы на устройствах. Инструкции см. в разделе Создание индикаторов.
Отмена действий по исправлению
Совет
Требования к разрешениям и лицензированию см. в разделе Необходимые разрешения и лицензирование для AIR.
Сотрудники SecOps часто могут использовать 
действие "Принять" для отмены действия по исправлению. Например:
- Из Обозреватель (Обозреватель угроз). Дополнительные сведения см. в разделе исправление Email.
- На странице сущности Email. Дополнительные сведения см. в разделе Действия на странице сущности Email.
- Из всплывающего меню сведений о записях на вкладке Журнал центра уведомлений по адресу https://security.microsoft.com/action-center/history.
Дополнительные сведения о доступных действиях в разделе Действие см. в мастере принятия действий.
- Чтобы выполнить действия с сообщениями, которые были перемещены в папку Нежелательная Email в почтовом ящике, используйте команду Выполнить действие>Переместить в папку почтового ящика, а затем выберите одно из следующих назначений:
- Папка "Входящие" для ложноположительных результатов.
- Удаленные элементы, обратимо удаленные элементы или Жестко удаленные элементы для ложноотрицательных значений.
- Чтобы принять меры для сообщений, помещенных в карантин, выполните одно из следующих действий:
- Чтобы освободить сообщение, используйте действие> Переместить в папкуВходящие папки >почтового ящика, а затем выберите Выпуск одному или нескольким из исходных получателей сообщения электронной почты или Отпустить всем получателям. Кроме того, вы можете освободить сообщение непосредственно из карантина.
- Удалите сообщение непосредственно из карантина , если у пользователя есть доступ к сообщению в карантине.
- Если у пользователя нет доступа к сообщению, помещенного в карантин, ничего делать не нужно (в конечном итоге срок действия сообщения истекает из карантина).
- Чтобы выполнить действия с файлами, помещенными в карантин, выполните одно из следующих действий:
- Освободит файл, помещенный в карантин, из карантина.
- Удалите файл, помещенный в карантин, из карантина , если у пользователя есть доступ к файлу, помещенного в карантин.
- Если у пользователя нет доступа к файлу, помещенного в карантин, ничего делать не нужно (срок действия файла в конечном итоге истекает из карантина).