在自動化調查和回應中報告誤判為真或誤 (AIR)
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用版條款。
適用於 Office 365 的 Microsoft Defender 方案 2 中 AIR) 的自動化調查和回應 (包含偵測和調查威脅的強大功能。 如需詳細資訊,請參閱 自動化調查和回應。
但如果 AIR 不正確地將某個專案識別為威脅, (誤判) 或遺漏了 (誤判) 的威脅,該怎麼辦? 本文說明 SecOps (安全性作業可用的選項,) 人員處理來自 AIR 的誤判和誤判。
將誤判或誤判提交至Microsoft
若要提交或重新提交誤判和誤判的郵件、電子郵件附件和URL以Microsoft,請參閱 使用提交頁面將可疑的垃圾郵件、網路釣魚、URL、遭到封鎖的合法電子郵件,以及電子郵件附件提交至Microsoft。
調整警示以防止誤判為週期性
如需指示,請參閱下列文章,根據您組織中可用的訂用帳戶:
復原補救動作
提示
如需許可權和授權需求,請參閱 AIR 的必要許可權和授權。
SecOps 人員通常可以使用 
採取動作 來復原補救動作。 例如:
- 從總管 (威脅總管) 。 如需詳細資訊,請參閱 Email 補救。
- 從 [Email 實體] 頁面。 如需詳細資訊,請參閱 Email 實體頁面上的動作。
- 從控制中心的 [ 歷程 記錄] 索引標籤上的項目詳細資料飛出視窗,位於 https://security.microsoft.com/action-center/history。
如需 [採取動作] 中可用動作的詳細資訊,請參閱採取動作精靈。
- 若要對已移至信箱中 [垃圾郵件] Email 資料夾的郵件採取動作,請使用 [採取動作>移至信箱] 資料夾,然後選取下列其中一個目的地:
- 誤判的收件匣。
- 刪除的專案、 虛刪除的專案,或是誤判為真的 實刪除專案 。
- 若要對已隔離的郵件採取動作,請執行下列其中一個步驟:
- 若要釋放郵件,請使用 [ 採取動作>移至信箱資料夾>收件 匣],然後選取 [ 發行至電子郵件的一或多個原始收件者 ] 或 [ 發行至所有收件者]。 或者,您可以 直接從隔離區釋出訊息。
- 如果使用者可以存取隔離的郵件,請直接從隔離中刪除郵件。
- 如果使用者無法存取隔離的郵件,您就不需要執行任何動作, (郵件 最終會從隔離) 過期 。
- 若要對已隔離的檔案採取動作,請執行下列其中一個步驟:
- 將隔離的檔案從隔離區釋放。
- 如果使用者可以存取隔離的檔案,請從隔離中刪除隔離的檔案。
- 如果使用者無法存取隔離的檔案,您就不需要執行任何動作, (檔案 最終會從隔離) 過期 。