如何在自动调查和响应功能中报告误报/负值

提示

你知道可以免费试用Microsoft Defender for Office 365计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 了解谁可以在试用Microsoft Defender for Office 365上注册和试用条款。

如果自动调查和响应 (AIR) 功能Office 365错过或错误地检测到某些内容,安全运营团队可以采取一些步骤来修复它。 此类操作包括:

使用本文作为指南。

向Microsoft报告误报/负值进行分析

如果 AIR in Microsoft Defender for Office 365错过了电子邮件、电子邮件附件、电子邮件中的 URL 或 Office 文件中的 URL,则可以将可疑的垃圾邮件、网络钓鱼、URL 和文件提交到Microsoft以进行Office 365扫描

还可以 将文件提交到Microsoft以进行恶意软件分析

调整警报以防止误报再次出现

如果警报是由合法使用触发的,或者警报不准确,则可以在Defender for Cloud Apps门户中管理警报

如果你的组织除了使用Office 365之外还使用Microsoft Defender for Endpoint,并且文件、IP 地址、URL 或域在设备上被视为恶意软件,即使它是安全的,你也可以使用设备的“允许”操作创建自定义指示器

撤消修正操作

在大多数情况下,如果对电子邮件、电子邮件附件或 URL 执行了修正操作,并且该项目实际上不是威胁,则安全运营团队可以撤消修正操作并采取措施防止误报再次出现。 可以使用 “威胁资源管理器”“操作”选项卡进行调查 来撤消操作。

重要

在尝试执行以下任务之前,请确保拥有必要的权限。

使用威胁资源管理器撤消操作

使用威胁资源管理器,安全运营团队可以找到受操作影响的电子邮件,并可能撤消该操作。

应用场景 撤消选项 了解详细信息
电子邮件已路由到用户的垃圾邮件Email文件夹
  • 将邮件移动到用户的“已删除邮件”文件夹
  • 将邮件移动到用户的收件箱
  • 删除邮件
查找并调查在 Office 365 中传递的恶意电子邮件
已隔离电子邮件或文件
  • 释放电子邮件或文件
  • 删除电子邮件或文件
以管理员身份管理隔离邮件

在操作中心撤消操作

在操作中心,可以看到已采取的修正操作,并可能撤消该操作。

  1. 在 Microsoft Defender 门户中https://security.microsoft.com,选择“操作中心”,转到“操作中心”。 若要直接转到操作中心,请使用 https://security.microsoft.com/action-center/
  2. 在“操作中心”中,选择“ 历史记录 ”选项卡以查看已完成操作的列表。
  3. 选择一个项目。 此时会打开其浮出控件窗格。
  4. 在浮出控件窗格中,选择“ 撤消”。 (只有可撤消的操作才会有“ 撤消 ”按钮。)

另请参阅