解决Microsoft Defender XDR中的误报或误报
适用于:
- Microsoft Defender XDR
任何威胁防护解决方案偶尔都可能出现误报或负值。 如果Microsoft Defender XDR中的自动调查和响应功能错过或错误地检测到某些内容,安全运营团队可以采取以下步骤:
- 向 Microsoft 报告误报/负值
- 根据需要调整警报 ()
- 撤消在设备上采取的修正操作
以下部分介绍如何执行这些任务。
向 Microsoft 报告误报/负值进行分析
| 项目缺失或错误检测到 | 服务 | 需执行的操作 |
|---|---|---|
| - Email消息 - Email附件 - 电子邮件中的 URL - Office 文件中的 URL |
Microsoft Defender for Office 365 | 将可疑的垃圾邮件、网络钓鱼、URL 和文件提交到 Microsoft 进行扫描 |
| 设备上的文件或应用 | Microsoft Defender for Endpoint | 将文件提交到 Microsoft 以进行恶意软件分析 |
调整警报以防止误报再次出现
| 应用场景 | 服务 | 需执行的操作 |
|---|---|---|
| - 由合法使用触发警报 - 警报不准确 |
Microsoft Defender for Cloud Apps 或 Azure 威胁防护 |
在 Defender for Cloud Apps 门户中管理警报 |
| 文件、IP 地址、URL 或域被视为设备上的恶意软件,即使它是安全的 | Microsoft Defender for Endpoint | 使用“允许”操作Create自定义指示器 |
撤消在设备上采取的修正操作
如果对实体 ((例如设备或电子邮件)) 采取了修正操作,而受影响的实体实际上不是威胁,则安全运营团队可以在 操作中心撤消修正操作。
- 转到Microsoft Defender门户并登录。
- 在“导航”窗格中,选择“操作中心”。
- 在“ 历史记录 ”选项卡上,选择要撤消的操作。 此时会打开其浮出控件窗格。
- 在浮出控件窗格中,选择“ 撤消”。
提示
请参阅 撤消已完成的操作。
另请参阅
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。