Устранение ложных срабатываний или ложноотрицательных результатов в Microsoft Defender XDR
Область применения:
- Microsoft Defender XDR
Ложноположительные или отрицательные меры могут иногда возникать в любом решении для защиты от угроз. Если возможности автоматического исследования и реагирования в Microsoft Defender XDR что-то пропустили или неправильно обнаружили, команда по операциям безопасности может выполнить следующие действия:
- Сообщить о ложном срабатывании или отрицательном результате в корпорацию Майкрософт
- Настройка оповещений (при необходимости)
- Отмена действий по исправлению, выполненных на устройствах
В следующих разделах описано, как выполнять эти задачи.
Сообщите о ложноположительных или отрицательных результатах в корпорацию Майкрософт для анализа
| Элемент пропущен или неправильно обнаружен | Служба | Действия |
|---|---|---|
| — сообщение Email — вложение Email — URL-адрес в сообщении электронной почты — URL-адрес в файле Office |
Microsoft Defender для Office 365 | Отправка подозрительной нежелательной почты, фишинга, URL-адресов и файлов в Корпорацию Майкрософт для проверки |
| Файл или приложение на устройстве | Microsoft Defender для конечной точки | Отправка файла в Корпорацию Майкрософт для анализа вредоносных программ |
Настройте оповещение, чтобы предотвратить повторение ложных срабатываний
| Сценарий | Служба | Действия |
|---|---|---|
| — оповещение активируется при допустимом использовании — оповещение неточно |
Microsoft Defender for Cloud Apps или Защита от угроз Azure |
Управление оповещениями в Defender for Cloud Apps |
| Файл, IP-адрес, URL-адрес или домен обрабатываются как вредоносные программы на устройстве, даже если это безопасно. | Microsoft Defender для конечной точки | Создание пользовательского индикатора с действием "Разрешить" |
Отмена действия по исправлению, выполненного на устройстве
Если действие по исправлению было выполнено для сущности (например, устройства или сообщения электронной почты), а затронутая сущность на самом деле не является угрозой, ваша команда по операциям безопасности может отменить действие по исправлению в центре уведомлений.
- Перейдите на портал Microsoft Defender и выполните вход.
- В панели навигации щелкните Центр уведомлений.
- На вкладке Журнал выберите действие, которое нужно отменить. Откроется всплывающее окно.
- Во всплывающей области выберите Отменить.
Совет
См. также
- Просмотр сведений и результатов автоматического исследования
- Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.