Устранение ложных срабатыва- либо ложных Microsoft 365 DefenderAddress false positives or false negatives in Microsoft 365 Defender

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Ложные срабатывательство или негативы могут иногда возникать с любым решением защиты от угроз.False positives or negatives can occasionally occur with any threat protection solution. Если автоматизированные возможности расследования и реагирования в Microsoft 365 Defender пропустили или неправильно обнаружили что-то, ваша группа операций безопасности может предпринять следующие действия:If automated investigation and response capabilities in Microsoft 365 Defender missed or wrongly detected something, there are steps your security operations team can take:

В следующих разделах описано, как выполнять эти задачи.The following sections describe how to perform these tasks.

Сообщение о ложном срабатыве или отрицательном сообщении в Корпорацию Майкрософт для анализаReport a false positive/negative to Microsoft for analysis

Элемент, пропущенный или неправильно обнаруженныйItem missed or wrongly detected СлужбаService ДействияWhat to do
- Сообщение электронной почты- Email message
- Вложение электронной почты- Email attachment
- URL-адрес в сообщении электронной почты- URL in an email message
- URL-адрес Office файле- URL in an Office file
Microsoft Defender для Office 365Microsoft Defender for Office 365 Отправка подозрительных спама, фишинга, URL-адресов и файлов в Корпорацию Майкрософт для сканированияSubmit suspected spam, phish, URLs, and files to Microsoft for scanning
Файл или приложение на устройствеFile or app on a device Microsoft Defender для конечной точкиMicrosoft Defender for Endpoint Отправка файла в Корпорацию Майкрософт для анализа вредоносных программSubmit a file to Microsoft for malware analysis

Настройка оповещений, чтобы предотвратить повторение ложных срабатываAdjust an alert to prevent false positives from recurring

СценарийScenario СлужбаService ДействияWhat to do
- Оповещение вызывается законным использованием- An alert is triggered by legitimate use
- Оповещение является неточным- An alert is inaccurate
Microsoft Cloud App SecurityMicrosoft Cloud App Security
илиor
Защита от угроз AzureAzure threat protection
Управление оповещениями на Cloud App Security порталеManage alerts in the Cloud App Security portal
Файл, IP-адрес, URL-адрес или домен рассматриваются как вредоносные программы на устройстве, даже если это безопасноA file, IP address, URL, or domain is treated as malware on a device, even though it's safe Microsoft Defender для конечной точкиMicrosoft Defender for Endpoint Создание настраиваемой индикаторной области с помощью действия "Разрешить"Create a custom indicator with an "Allow" action

Отмена действия по исправлению, которое было принято на устройствеUndo a remediation action that was taken on a device

Если для объекта (например, устройства или сообщения электронной почты) было принято действие по исправлению, и затрагиваемая сущность на самом деле не представляет угрозы, ваша группа операций безопасности может отменить действие по исправлению в центре действий.If a remediation action was taken on an entity (such as a device or an email message) and the affected entity is not actually a threat, your security operations team can undo the remediation action in the Action center.

  1. Перейдите на страницу https://security.microsoft.com и войдите.Go to https://security.microsoft.com and sign in.
  2. В панели навигации щелкните Центр уведомлений.In the navigation pane, choose Action center.
  3. На вкладке История выберите действие, которое необходимо отменить.On the History tab, select an action that you want to undo. Откроется его поле для вылетов.Its flyout pane opens.
  4. В области вылетов выберите Отмена.In the flyout pane, select Undo.

См. такжеSee also