解决Microsoft Defender XDR中的误报或误报
任何威胁防护解决方案偶尔都可能出现误报或负值。 如果Microsoft Defender XDR中的自动调查和响应功能错过或错误地检测到某些内容,安全运营团队可以采取以下步骤:
- 向Microsoft报告误报/负值
- 根据需要调整警报 ()
- 撤消在设备上采取的修正作
以下部分介绍如何执行这些任务。
向Microsoft报告误报/负值进行分析
| 项目缺失或错误检测到 | 服务 | 需执行的操作 |
|---|---|---|
| - Email消息 - Email附件 - 电子邮件中的 URL - Office 文件中的 URL |
Microsoft Defender for Office 365 | 将可疑的垃圾邮件、网络钓鱼、URL 和文件提交到Microsoft进行扫描 |
| 设备上的文件或应用 | Microsoft Defender for Endpoint | 将文件提交到Microsoft进行恶意软件分析 |
调整警报以防止误报再次出现
| 应用场景 | 服务 | 需执行的操作 |
|---|---|---|
| - 由合法使用触发警报 - 警报不准确 |
Microsoft Defender for Cloud Apps 或 Azure 威胁防护 |
在 Defender for Cloud Apps 中管理警报 |
| 文件、IP 地址、URL 或域被视为设备上的恶意软件,即使它是安全的 | Microsoft Defender for Endpoint | 使用“允许”作创建自定义指示器 |
撤消在设备上采取的修正作
如果对实体 ((例如设备或电子邮件)) 采取了修正作,而受影响的实体实际上不是威胁,则安全运营团队可以在 作中心撤消修正作。
- 转到Microsoft Defender门户并登录。
- 在“导航”窗格中,选择“操作中心”。
- 在“ 历史记录 ”选项卡上,选择要撤消的作。 此时会打开其浮出控件窗格。
- 在浮出控件窗格中,选择“ 撤消”。
提示
请参阅 撤消已完成的作。
另请参阅
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。