在自动调查和响应中报告误报或误报 (AIR)
提示
你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。
Microsoft Defender for Office 365计划 2 中的自动调查和响应 (AIR) 包括检测和调查威胁的强大功能。 有关详细信息,请参阅 自动调查和响应。
但是,如果 AIR 错误地将某个内容识别为威胁 (误报) 或错过了原来是假负) 的威胁 (呢? 本文介绍安全运营 (SecOps) 人员可用于处理来自 AIR 的误报和误报的选项。
向Microsoft提交误报或误报
若要向Microsoft提交或重新提交误报和误报电子邮件、电子邮件附件和 URL,请参阅 使用提交页面提交可疑垃圾邮件、网络钓鱼、URL、阻止合法电子邮件以及电子邮件附件以Microsoft。
调整警报以防止误报重复出现
有关说明,请参阅基于组织中可用订阅的以下文章:
撤消修正操作
提示
有关权限和许可要求,请参阅 AIR 所需的权限和许可。
SecOps 人员通常可以使用 
“执行操作” 来撤消修正操作。 例如:
- 从资源管理器 (威胁资源管理器) 。 有关详细信息,请参阅Email修正。
- 从Email实体页。 有关详细信息,请参阅Email实体页上的操作。
- 从 操作中心的“历史记录”选项卡上条目的详细信息浮出控件。https://security.microsoft.com/action-center/history
有关“执行操作”中的可用操作的详细信息,请参阅“执行操作”向导。
- 若要对移动到邮箱中“垃圾邮件Email”文件夹的邮件执行操作,请使用“执行操作>移动到邮箱文件夹”,然后选择以下目标之一:
- 误报的收件箱。
- “已删除的项目”、“软删除的项目”或“硬删除的项目”表示假负值。
- 若要对已隔离的邮件执行操作,请执行以下步骤之一:
- 若要释放邮件,请使用 “采取行动>”移动到邮箱文件夹>“收件箱 ”,然后选择“ 释放给电子邮件的一个或多个原始收件人 ”或“ 向所有收件人发布”。 或者,可以直接 从隔离区中释放邮件。
- 如果用户有权访问隔离的邮件,请直接从隔离区中删除邮件。
- 如果用户无权访问隔离的邮件,则无需执行任何操作, (邮件 最终将从隔离) 过期 。
- 若要对已隔离的文件执行操作,请执行以下步骤之一:
- 从隔离区中释放隔离文件。
- 如果用户有权访问隔离的文件,请从隔离区中删除隔离文件。
- 如果用户无权访问隔离的文件,则无需执行任何操作, (该文件 最终将从隔离) 过期 。