Risolvere i falsi positivi o i falsi negativi in Microsoft 365 DefenderAddress false positives or false negatives in Microsoft 365 Defender

Importante

Il nuovo Centro sicurezza Microsoft 365 è ora disponibile.The improved Microsoft 365 security center is now available. Questa nuova esperienza consente di accedere a Defender per endpoint, Defender per Office 365, Microsoft 365 Defender e altre soluzioni nel Centro sicurezza Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Informazioni sulle novità.Learn what's new.

Si applica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Talvolta possono verificarsi falsi positivi o negativi con qualsiasi soluzione di protezione dalle minacce.False positives or negatives can occasionally occur with any threat protection solution. Se le funzionalità di indagine e risposta automatizzate in Microsoft 365 Defender hanno perso o rilevato in modo errato qualcosa, il team delle operazioni di sicurezza può eseguire le operazioni seguenti:If automated investigation and response capabilities in Microsoft 365 Defender missed or wrongly detected something, there are steps your security operations team can take:

Nelle sezioni seguenti viene descritto come eseguire queste attività.The following sections describe how to perform these tasks.

Segnalare un falso positivo/negativo a Microsoft per l'analisiReport a false positive/negative to Microsoft for analysis

Elemento perso o rilevato in modo erratoItem missed or wrongly detected ServizioService SoluzioneWhat to do
- Messaggio di posta elettronica- Email message
- Allegato di posta elettronica- Email attachment
- URL in un messaggio di posta elettronica- URL in an email message
- URL in un Office file- URL in an Office file
Microsoft Defender per Office 365Microsoft Defender for Office 365 Inviare posta indesiderata sospetta, phish, URL e file a Microsoft per l'analisiSubmit suspected spam, phish, URLs, and files to Microsoft for scanning
File o app in un dispositivoFile or app on a device Microsoft Defender per endpointMicrosoft Defender for Endpoint Inviare un file a Microsoft per l'analisi del malwareSubmit a file to Microsoft for malware analysis

Modificare un avviso per evitare che i falsi positivi si ricorrentiAdjust an alert to prevent false positives from recurring

ScenarioScenario ServizioService SoluzioneWhat to do
- Un avviso viene attivato da un uso legittimo- An alert is triggered by legitimate use
- Un avviso non è accurato- An alert is inaccurate
Microsoft Cloud App SecurityMicrosoft Cloud App Security
oppureor
Azure Threat ProtectionAzure threat protection
Gestire gli avvisi nel Cloud App Security portaleManage alerts in the Cloud App Security portal
Un file, un indirizzo IP, un URL o un dominio viene considerato come malware in un dispositivo, anche se è sicuroA file, IP address, URL, or domain is treated as malware on a device, even though it's safe Microsoft Defender per endpointMicrosoft Defender for Endpoint Creare un indicatore personalizzato con un'azione "Consenti"Create a custom indicator with an "Allow" action

Annullare un'azione di correzione eseguita in un dispositivoUndo a remediation action that was taken on a device

Se è stata eseguita un'azione di correzione su un'entità (ad esempio un dispositivo o un messaggio di posta elettronica) e l'entità interessata non è effettivamente una minaccia, il team delle operazioni di sicurezza può annullare l'azione di correzione nel centro notifiche.If a remediation action was taken on an entity (such as a device or an email message) and the affected entity is not actually a threat, your security operations team can undo the remediation action in the Action center.

  1. Andare su https://security.microsoft.com ed eseguire l'accesso.Go to https://security.microsoft.com and sign in.
  2. Nel riquadro di spostamento, scegliere Centro notifiche.In the navigation pane, choose Action center.
  3. Nella scheda Cronologia selezionare un'azione che si desidera annullare.On the History tab, select an action that you want to undo. Verrà visualizzato il riquadro a comparsa.Its flyout pane opens.
  4. Nel riquadro a comparsa selezionare Annulla.In the flyout pane, select Undo.

Vedere ancheSee also