Melden falsch positiver/negativer Ergebnisse in automatisierten Untersuchungs- und Reaktionsfunktionen

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Wenn die Funktionen der automatisierten Untersuchung und Reaktion (Automated Investigation and Response, AIR) in Office 365 etwas verpasst oder fälschlicherweise erkannt haben, gibt es Schritte, die Ihr Sicherheitsteam ergreifen kann, um dies zu beheben. Zu diesen Aktionen gehören:

Verwenden Sie diesen Artikel als Leitfaden.

Melden eines falsch positiven/negativen Werts an Microsoft zur Analyse

Wenn AIR in Microsoft Defender for Office 365 eine E-Mail-Nachricht, eine E-Mail-Anlage, eine URL in einer E-Mail-Nachricht oder eine URL in einer Office-Datei verpasst hat, können Sie mutmaßliche Spam-, Phishing-, URLs und Dateien zur Office 365 Überprüfung an Microsoft übermitteln.

Sie können auch eine Datei zur Analyse von Schadsoftware an Microsoft übermitteln.

Anpassen einer Warnung, um zu verhindern, dass falsch positive Ergebnisse wiederholt werden

Wenn eine Warnung durch legitime Verwendung ausgelöst wird oder die Warnung ungenau ist, können Sie Warnungen im Defender for Cloud Apps-Portal verwalten.

Wenn Ihr organization zusätzlich zu Office 365 Microsoft Defender for Endpoint verwendet und eine Datei, IP-Adresse, URL oder Domäne auf einem Gerät als Schadsoftware behandelt wird, können Sie einen benutzerdefinierten Indikator mit der Aktion "Zulassen" für Ihr Gerät erstellen.

Rückgängigmachen einer Korrekturaktion

Wenn eine Korrekturaktion für eine E-Mail-Nachricht, eine E-Mail-Anlage oder eine URL durchgeführt wurde und das Element tatsächlich keine Bedrohung darstellt, kann Ihr Sicherheitsteam in den meisten Fällen die Korrekturaktion rückgängig machen und Maßnahmen ergreifen, um zu verhindern, dass das falsch positive Ergebnis wiederholt wird. Sie können entweder threat Explorer oder die Registerkarte Aktionen für eine Untersuchung verwenden, um eine Aktion rückgängig zu machen.

Wichtig

Stellen Sie sicher, dass Sie über die erforderlichen Berechtigungen verfügen, bevor Sie versuchen, die folgenden Aufgaben auszuführen.

Rückgängigmachen einer Aktion mithilfe von Threat Explorer

Mit Threat Explorer kann Ihr Sicherheitsteam eine E-Mail finden, die von einer Aktion betroffen ist, und die Aktion möglicherweise rückgängig machen.

Szenario Rückgängig-Optionen Weitere Informationen
Eine E-Mail-Nachricht wurde an den Junk-Email Ordner eines Benutzers weitergeleitet.
  • Verschieben der Nachricht in den Ordner "Gelöschte Elemente" des Benutzers
  • Verschieben der Nachricht in den Posteingang des Benutzers
  • Die Nachricht wird gelöscht.
 Suchen und Untersuchen schädlicher E-Mails, die in Office 365
Eine E-Mail-Nachricht oder eine Datei wurde unter Quarantäne gesetzt
  • Freigeben der E-Mail oder Datei
  • Löschen der E-Mail oder Datei
 Verwalten von in Quarantäne befindlichen Nachrichten als Administrator

Rückgängigmachen einer Aktion im Info-Center

Im Info-Center werden ausgeführte Wiederherstellungsaktionen angezeigt, und die Aktion kann möglicherweise rückgängig gemacht werden.

  1. Navigieren Sie im Microsoft Defender-Portal unter https://security.microsoft.comzum Info-Center, indem Sie Info-Center auswählen. Um direkt zum Info-Center zu wechseln, verwenden Sie https://security.microsoft.com/action-center/.
  2. Wählen Sie im Info-Center die Registerkarte Verlauf aus, um die Liste der abgeschlossenen Aktionen anzuzeigen.
  3. Wählen Sie ein Element aus. Der Flyoutbereich wird geöffnet.
  4. Wählen Sie im Flyoutbereich Rückgängig aus. (Nur Aktionen, die rückgängig werden können, verfügen über die Schaltfläche Rückgängig .)

Siehe auch