自動調査および応答機能で誤検知/負を処理するHandle false positives/negatives in automated investigation and response capabilities

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

誤検知/陰性は、脅威保護ソリューションで発生する場合があります。False positives/negatives can occasionally occur with any threat protection solution. Microsoft 365 Defender の自動調査と対応機能で何かが検出された場合、セキュリティ運用チームが実行できる手順は次のとおりです。If automated investigation and response capabilities in Microsoft 365 Defender missed or wrongly detected something, there are steps your security operations team can take:

以下のセクションでは、これらのタスクを実行する方法について説明します。The following sections describe how to perform these tasks.

分析のために Microsoft に誤検知/陰性を報告するReport a false positive/negative to Microsoft for analysis

アイテムが見つからないか、誤って検出されたItem missed or wrongly detected サービスService 操作What to do
- 電子メール メッセージ- Email message
- メールの添付ファイル- Email attachment
- 電子メール メッセージの URL- URL in an email message
- ファイル内の URL Officeファイル- URL in an Office file
Microsoft Defender for Office 365Microsoft Defender for Office 365 疑わしいスパム、フィッシング、URL、ファイルをスキャンのために Microsoft に送信するSubmit suspected spam, phish, URLs, and files to Microsoft for scanning
デバイス上のファイルまたはアプリFile or app on a device Microsoft Defender for EndpointMicrosoft Defender for Endpoint マルウェア分析のために Microsoft にファイルを送信するSubmit a file to Microsoft for malware analysis

誤検知が繰り返されるのを防ぐためにアラートを調整するAdjust an alert to prevent false positives from recurring

シナリオScenario サービスService 操作What to do
- アラートは正当な使用によってトリガーされます- An alert is triggered by legitimate use
- アラートが不正確- An alert is inaccurate
Microsoft Cloud App SecurityMicrosoft Cloud App Security
またはor
Azure Advanced Threat DetectionAzure Advanced Threat Detection
Cloud App Security ポータルでアラートを管理するManage alerts in the Cloud App Security portal
ファイル、IP アドレス、URL、またはドメインは、安全なデバイス上のマルウェアとして扱われるA file, IP address, URL, or domain is treated as malware on a device, even though it's safe Microsoft Defender for EndpointMicrosoft Defender for Endpoint "許可" アクションを使用してカスタム インジケーターを作成するCreate a custom indicator with an "Allow" action

デバイスで実行された修復アクションを元に戻すUndo a remediation action that was taken on a device

エンティティ (デバイスや電子メール メッセージなど) に対して修復アクションが実行され、影響を受けるエンティティが実際には脅威ではない場合、セキュリティ運用チームはアクション センターで修復アクションを元に戻すことができます。If a remediation action was taken on an entity (such as a device or an email message) and the affected entity is not actually a threat, your security operations team can undo the remediation action in the Action center.

  1. https://security.microsoft.com に移動し、サインインします。Go to https://security.microsoft.com and sign in.
  2. ナビゲーション ウィンドウで、[アクション センター] を選択します。In the navigation pane, choose Action center.
  3. [履歴 ] タブ で、元に戻す操作を選択します。On the History tab, select an action that you want to undo. そのフライアウト ウィンドウが開きます。Its flyout pane opens.
  4. フライアウト ウィンドウで、[元に戻す] を 選択しますIn the flyout pane, select Undo.

関連項目See also