Rapportera falska positiva eller falska negativa identifieringar i automatiserad undersökning och svar (AIR)
Tips
Visste du att du kan prova funktionerna i Microsoft Defender för Office 365 Plan 2 kostnadsfritt? Använd den 90 dagar långa Defender för Office 365 utvärderingsversionen på Microsoft Defender portalens utvärderingshubb. Lär dig mer om vem som kan registrera dig och utvärderingsvillkor på Try Microsoft Defender för Office 365.
Automatiserad undersökning och svar (AIR) i Microsoft Defender för Office 365 Plan 2 innehåller kraftfulla funktioner för att identifiera och undersöka hot. Mer information finns i Automatiserad undersökning och svar.
Men vad händer om AIR felaktigt identifierar något som ett hot (en falsk positiv identifiering) eller missade något som visade sig vara ett hot (ett falskt negativt)? Den här artikeln beskriver de alternativ som är tillgängliga för secops-personal (security operations) för att hantera falska positiva och falska negativa resultat från AIR.
Skicka falska positiva eller falska negativa identifieringar till Microsoft
Om du vill skicka eller skicka falska positiva och falska negativa e-postmeddelanden, e-postbilagor och URL:er till Microsoft kan du läsa Använda sidan Inskickade filer för att skicka misstänkt skräppost, nätfiske, URL:er, legitim e-post som blockeras och e-postbilagor till Microsoft.
Justera aviseringar för att förhindra att falska positiva identifieringar återkommer
Anvisningar finns i följande artiklar, baserat på tillgängliga prenumerationer i din organisation:
- Defender XDR: Justera en avisering
- Defender för Endpoint: Skapa Tillåt åtgärder för filer, URL:er för IP-adresser eller domäner som felaktigt identifieras som skadlig kod på enheter. Anvisningar finns i Skapa indikatorer.
Ångra reparationsåtgärder
Tips
Behörighets- och licensieringskrav finns i Nödvändiga behörigheter och licensiering för AIR.
SecOps-personal kan ofta använda 
Vidta åtgärder för att ångra reparationsåtgärden. Till exempel:
- Från Explorer (Threat Explorer). Mer information finns i Email reparation.
- Från sidan Email entitet. Mer information finns i Åtgärder på sidan Email entitet.
- Från den utfällbara menyn med poster på fliken Historik i Åtgärdscenter på https://security.microsoft.com/action-center/history.
Mer information om tillgängliga åtgärder i Vidta åtgärder finns i guiden Vidta åtgärder.
- Om du vill vidta åtgärder för meddelanden som har flyttats till mappen Junk Email i postlådan använder du Åtgärden>Flytta till postlådemapp och väljer sedan något av följande mål:
- Inkorg för falska positiva identifieringar.
- Borttagna objekt, mjukt borttagna objekt eller Hårt borttagna objekt för falska negativa objekt.
- Utför något av följande steg för att vidta åtgärder för meddelanden som har placerats i karantän:
- Om du vill släppa meddelandet använder du Vidta åtgärd>Flytta till postlådemappens>inkorg och väljer sedan Släpp till en eller flera av de ursprungliga mottagarna av e-postmeddelandet eller Släpp till alla mottagare. Eller så kan du släppa meddelandet direkt från karantänen.
- Ta bort meddelandet direkt från karantänen om användaren har åtkomst till meddelandet i karantän.
- Om användaren inte har åtkomst till meddelandet i karantän behöver du inte göra något (meddelandet upphör så småningom att gälla från karantänen).
- Utför något av följande steg för att vidta åtgärder för filer som har placerats i karantän:
- Släpp filen i karantän från karantänen.
- Ta bort filen i karantän från karantänen om användaren har åtkomst till filen i karantän.
- Om användaren inte har åtkomst till filen i karantän behöver du inte göra något (filen upphör så småningom att gälla från karantänen).