Åtgärda falska positiva/negativa i Microsoft Defender för Endpoint
Gäller för:
I slutpunktsskyddslösningar är en falsk positivhet en enhet, till exempel en fil eller en process, som identifierades och identifierades som skadlig, även om enheten faktiskt inte är ett hot. En falsk negativ är en enhet som inte identifierades som ett hot, även om den faktiskt är skadlig. Falska positiva/negativa kan uppstå med alla lösningar för skydd mot hot, inklusive Microsoft Defender för slutpunkt.

Som tur är går det att åtgärda och minska den här typen av problem. Om du ser falska positiva/negativa tal i Microsoft 365 Defender (tidigare Microsoft Defender Säkerhetscenter) kan dina säkerhetsåtgärder vidta åtgärder för att åtgärda dem på följande sätt:
- Granska och klassificera aviseringar
- Granska åtgärder som har vidtagits
- Granska och definiera undantag
- Skicka en entitet för analys
- Granska och justera dina skyddsinställningar för hot
Du kan få hjälp om du fortfarande har problem med falska positiva/negativa när du har utfört de uppgifter som beskrivs i den här artikeln. Se Behöver du mer hjälp?

Anteckning
Den här artikeln är avsedd som vägledning för säkerhetsoperatorer och säkerhetsadministratörer som använder Microsoft Defender för Slutpunkt.
Del 1: Granska och klassificera aviseringar
Om du ser ett meddelande som utlöstes eftersom något identifierades som skadligt eller misstänkt, och som inte borde ha varit det, kan du dölja varningen för den enheten. Du kan också dölja aviseringar som inte nödvändigtvis är falska positiva, men som inte är viktiga. Vi rekommenderar att du även klassificerar aviseringar.
Att hantera dina varningar och klassificera sant/falskt-positiva hjälper till att utbilda din lösning för hotskydd och kan minska antalet falska positiva eller falska negativa resultat över tid. Om du vidtar de här stegen minskar också bruset i instrumentpanelen för säkerhetsåtgärder så att säkerhetsteamet kan fokusera på arbetsobjekt med högre prioritet.
Avgöra om en avisering är korrekt
Innan du klassificerar eller ignorerar en avisering måste du avgöra om aviseringen är korrekt, en falsk positiv eller en varning.
Gå till Microsoft 365 Defender ( https://security.microsoft.com ) och logga in.
Välj Aviseringskö i navigeringsfönstret.
Välj en avisering om du vill ha mer information om aviseringen. (Se Granska aviseringar i Microsoft Defender för Slutpunkt.)
Beroende på aviseringsstatusen följer du stegen som beskrivs i följande tabell:
| Aviseringsstatus | Lämplig åtgärd |
|---|---|
| Aviseringen är korrekt | Tilldela aviseringen och undersök den sedan ytterligare. |
| Aviseringen är en falsk positiv | 1. Klassificera aviseringen som en falsk positivhet. 2. Ignorera aviseringen. 3. Skapa en indikator för Microsoft Defender för Endpoint. 4. Skicka en fil till Microsoft för analys. |
| Aviseringen är korrekt, men den är inte viktig | Klassificera aviseringen som en sant positiv och utelämna sedan aviseringen. |
Klassificera en avisering
Aviseringar kan klassificeras som falska positiva resultat eller sant positiva resultat i Microsoft 365 Defender. Genom att klassificera aviseringar kan du träna Microsoft Defender för Endpoint så att du med tiden ser fler sanna aviseringar och färre falska aviseringar.
Gå till Microsoft 365 Defender ( https://security.microsoft.com ) och logga in.
Välj Aviseringskö och välj sedan en avisering.
För den valda aviseringen väljer du Åtgärder > Hantera avisering. Ett utfällt fönster öppnas.
I avsnittet Hantera avisering väljer du antingen True-avisering eller Falskt-avisering. (Använd falsk varning för att klassificera en felaktighet.)
Tips
Mer information om hur du ignorerar aviseringar finns i Hantera Microsoft Defender för slutpunktsaviseringar. Och om organisationen använder en säkerhetsinformations- och händelsehanteringsserver (SIEM) ser du till att definiera en regel för regeln här också.
Ignorera en avisering
Om du har aviseringar som antingen är falska positiva eller som är sanna positiva, men för oimporterande händelser, kan du dölja dessa Microsoft 365 Defender. Att dölja aviseringar hjälper till att minska bruset i instrumentpanelen för säkerhetsåtgärder.
Gå till Microsoft 365 Defender ( https://security.microsoft.com ) och logga in.
I navigeringsfönstret väljer du Aviseringskö.
Markera en avisering om att du inte vill öppna fönstret Information.
I fönstret Information väljer du ellipsen (...) och sedan Skapa en regel för en uteslutning.
Ange alla inställningar för regeln och välj sedan Spara.
Tips
Behöver du hjälp med regelregler? Mer information finns i Ignorera en avisering och skapa en ny regel för en ny regel.
Del 2: Granska åtgärder
Åtgärdsåtgärder, somatt skicka en fil till karantän eller stoppa en process, vidtas på enheter (till exempel filer) som identifieras som hot. Flera typer av åtgärdsåtgärder sker automatiskt genom automatiserad undersökning och Microsoft Defender Antivirus:
- Sätt en fil i karantän
- Ta bort en registernyckel
- "Kill a process"
- Stoppa en tjänst
- Inaktivera en drivrutin
- Ta bort en schemalagd aktivitet
Andra åtgärder, som att starta en antivirussökning eller samla in ett undersökningspaket, kan inträffa manuellt eller via Live Response. Åtgärder som vidtas i Live Response kan inte ångras.
När du har granskat dina aviseringar är nästa steg att granska åtgärder. Om några åtgärder har vidtagits på grund av falska positiva resultat kan du ångra de flesta typerna av åtgärdsåtgärder. Specifikt kan du:
- Återställa en fil i karantän från Åtgärdscenter
- Ångra flera åtgärder samtidigt
- Ta bort en fil från karantän på flera enheter. och
- Återställa fil från karantän
När du har granskat och ångrat åtgärder som har utförtspå grund av falska positiva resultat kan du fortsätta att granska eller definiera undantag .
Granska slutförda åtgärder
I det vänstra navigeringsfönstret i Microsoft 365 Defender klickardu på Åtgärdscenter.
Välj fliken Historik för att visa en lista över åtgärder som har vidtagits.
Välj ett objekt om du vill visa mer information om åtgärden som har vidtagits.
Återställa en fil i karantän från Åtgärdscenter
I det vänstra navigeringsfönstret i Microsoft 365 Defender klickar du på Åtgärdscenter.
Välj en åtgärd som du vill ångra på fliken Historik.
Välj Ångra i den utfällade rutan. Om åtgärden inte kan ångras med den här metoden visas inte knappen Ångra. (Mer information finns i Ångra slutförda åtgärder.)
Ångra flera åtgärder samtidigt
I det vänstra navigeringsfönstret i Microsoft 365 Defender klickardu på Åtgärdscenter.
Markera de åtgärder du vill ångra på fliken Historik.
I fönstret till höger på skärmen väljer du Ångra.
Ta bort en fil från karantän på flera enheter

I det vänstra navigeringsfönstret i Microsoft 365 Defender klickardu på Åtgärdscenter.
På fliken Historik väljer du en fil som har karantänfilen Åtgärdstyp.
I fönstret till höger på skärmen väljer du Använd för fler X-instanser av den här filen och sedan Ångra.
Återställa fil från karantän
Du kan återställa och ta bort en fil från karantän om du har fastställt att den är ren efter en undersökning. Kör följande kommando på varje enhet där filen satts i karantän.
Öppna en upphöjd kommandoradsfråga på enheten:
- Gå till Start och skriv cmd.
- Högerklicka på Kommandotolken och välj Kör som administratör.
Ange följande kommando och tryck på Retur:
"ProgramFiles%\Windows Defender\MpCmdRun.exe" -Restore -Name EUS:Win32/CustomEnterpriseBlock -AllViktigt
I vissa fall kan ThreatName visas som
EUS:Win32/CustomEnterpriseBlock!cl. Defender för Endpoint återställer alla egna blockerade filer som har satts i karantän på den här enheten under de senaste 30 dagarna.En fil som har satts i karantän som ett potentiellt nätverkshot kanske inte kan återställas. Om en användare försöker återställa filen efter karantänen är filen kanske inte tillgänglig. Det kan bero på att systemet inte längre har nätverksautentiseringsuppgifter för att få åtkomst till filen. Vanligtvis beror det på en tillfällig inloggning till ett system eller en delad mapp och åtkomsttoken har upphört att gälla.
I fönstret till höger på skärmen väljer du Använd för fler X-instanser av den här filen och sedan Ångra.
Del 3: Granska eller definiera undantag
Ett undantag är en enhet, till exempel en fil eller url, som du anger som ett undantag till åtgärder. Den undantagna enheten kan fortfarande upptäckas, men inga åtgärder vidtas på den enheten. Den identifierade filen eller processen stoppas inte, skickas till karantän, tas bort eller ändras på annat sätt av Microsoft Defender för Slutpunkt.
Så här definierar du undantag i Microsoft Defender för Slutpunkt:
- Definiera undantag för Microsoft Defender Antivirus
- Skapa "tillåt"-indikatorer för Microsoft Defender för Endpoint
Anteckning
Microsoft Defender Antivirus gäller endast för antivirusskydd, inte för andra Microsoft Defender-funktioner för Slutpunkt. Om du vill utesluta filer allmänt använder du undantag för Microsoft Defender Antivirus och anpassade indikatorer för Microsoft Defender för Slutpunkt.
Procedurerna i det här avsnittet beskriver hur du definierar undantag och indikatorer.
Undantag för Microsoft Defender Antivirus
I allmänhet behöver du inte definiera undantag för Microsoft Defender Antivirus. Se till att du definierar undantag sparsamt och att du endast tar med filer, mappar, processer och process öppna filer som resulterar i falska positiva resultat. Kontrollera även regelbundet att du har definierat undantag. Vi rekommenderar att Microsoft Endpoint Manager du använder för att definiera eller redigera dina undantag för antivirus, men du kan använda andra metoder, till exempel Grupprincip (se Hantera Microsoft Defender för Slutpunkt.
Tips
Behöver du hjälp med undantag för antivirusprogram? Se Konfigurera och validera undantag för Microsoft Defender Antivirus genomsökningar.
Använda Microsoft Endpoint Manager för att hantera antivirusskydd (för befintliga principer)
Gå till Microsoft Endpoint Manager ( ) https://endpoint.microsoft.com och logga in.
Välj Endpoint Security > Antivirus och välj sedan en befintlig princip. (Om du inte har en befintlig princip, eller om du vill skapa en ny princip, kan du gå vidare till nästa procedur).
Välj Egenskaper och bredvid Konfigurationsinställningar väljer du Redigera.
Expandera Microsoft Defender Antivirus undantag och ange sedan dina undantag.
Välj Granska + spara och välj sedan Spara.
Använda Microsoft Endpoint Manager för att skapa en ny antivirusprincip med undantag
Gå till Microsoft Endpoint Manager ( ) https://endpoint.microsoft.com och logga in.
Välj Endpoint Security > Antivirus + Create > Policy.
Välj en plattform (till exempel Windows 10 eller senare, macOS eller Windows 10 och Windows Server).
Under Profil väljer du Microsoft Defender Antivirus undantag och sedan Skapa.
Ange ett namn och en beskrivning för profilen och välj sedan Nästa.
På fliken Konfigurationsinställningar anger du dina undantag för antivirus och väljer sedan Nästa.
Om du använder omfattningstaggar i organisationen på fliken Omfattningstaggar anger du omfattningstaggar för principen du skapar. (Se Omfattningstaggar.)
På fliken Tilldelningar anger du de användare och grupper som principen ska tillämpas på och väljer sedan Nästa. (Om du behöver hjälp med uppgifter kan du gå till Tilldela användar- och enhetsprofiler i Microsoft Intune.)
Granska inställningarna på fliken Granska + skapa och välj sedan Skapa.
Indikatorer för Microsoft Defender för Slutpunkt
Indikatorer (särskilt indikatorer för kompromettering och IOC) gör det möjligt för teamet med säkerhetsåtgärder att definiera identifiering, skydd och undantag från enheter. Du kan till exempel ange att vissa filer ska utelämnas från genomsökningar och åtgärdsåtgärder i Microsoft Defender för Slutpunkt. Indikatorer kan också användas för att generera aviseringar för vissa filer, IP-adresser eller URL-adresser.
Om du vill ange enheter som undantag för Microsoft Defender för Endpoint skapar du "tillåt"-indikatorer för de enheterna. Sådana "tillåt"-indikatorer i Microsoft Defender för Endpoint gäller för nästa generationsskydd , identifiering och åtgärd på slutpunktoch automatiserad undersökning & åtgärd.
"Tillåt"-indikatorer kan skapas för:

Indikatorer för filer
Om du skapar en indikator för "tillåt" för en fil,till exempel en körbar fil, förhindrar det att filer som din organisation använder blockeras. Filer kan innehålla flyttbara körbara filer (PE), till exempel .exe .dll filer.
Innan du skapar indikatorer för filer bör du kontrollera att följande krav uppfylls:
- Microsoft Defender Antivirus är konfigurerat med molnbaserat skydd aktiverat (se Hantera molnbaserat skydd)
- Antimalware client version is 4.18.1901.x or later
- Enheter kör Windows 10, version 1703 eller senare eller Windows 11; Windows Server 2016, eller Windows Server 2019 eller Windows Server 2022
- Funktionen Blockera eller tillåt är aktiverad
Indikatorer för IP-adresser, URL-adresser och domäner
Om du skapar en "tillåt"-indikator för en IP-adress, URL-adresseller domän förhindrar det att webbplatser eller IP-adresser som din organisation använder blockeras.
Innan du skapar indikatorer för IP-adresser, URL:er eller domäner bör du kontrollera att följande krav uppfylls:
- Nätverksskydd i Defender för Slutpunkt är aktiverat i blockläge (se Aktivera nätverksskydd)
- Antimalware client version is 4.18.1906.x or later
- Enheter med Windows 10, version 1709 eller senare eller Windows 11
Anpassade nätverksindikatorer aktiveras i Microsoft 365 Defender. Mer information finns i Avancerade funktioner.
Indikatorer för programcertifikat
När du skapar en "tillåt"-indikatorför ett programcertifikat förhindrar det att program, till exempel internt utvecklade program, som din organisation använder blockeras. .CER eller .PEM så stöds filnamnstillägg.
Innan du skapar indikatorer för programcertifikat ska du kontrollera att följande krav uppfylls:
- Microsoft Defender Antivirus är konfigurerat med molnbaserat skydd aktiverat (se Hantera molnbaserat skydd
- Antimalware client version is 4.18.1901.x or later
- Enheter kör Windows 10, version 1703 eller senare eller Windows 11; Windows Server 2016, eller Windows Server 2019 eller Windows Server 2022
- Definitioner av skydd mot virus och hot är uppdaterade
Tips
När du skapar indikatorer kan du definiera dem en och en, eller importera flera objekt samtidigt. Tänk på att det finns en gräns på 15 000 indikatorer för en enskild klientorganisation. Och du kan behöva samla in viss information först, till exempel information om filhash. Kontrollera att du har granskat förutsättningarna innan du skapar indikatorer .
Del 4: Skicka en fil för analys
Du kan skicka enheter, till exempel filer och identifieringar utan filer, till Microsoft för analys. Microsoft security analyze all submissions, and their results help inform Microsoft Defender for Endpoint threat protection capabilities. När du loggar in på webbplatsen för inskickat material kan du spåra dina inskickade material.
Skicka en fil för analys
Om du har en fil som antingen identifierats felaktigt som skadlig eller har missats följer du dessa steg för att skicka filen för analys.
Läs riktlinjerna här: Skicka filer för analys.
Besök webbplatsen Microsoft Säkerhetsinsikter för https://www.microsoft.com/wdsi/filesubmission inskickade filer ( ) och skicka in dina filer.
Skicka en fillös identifiering för analys
Om något identifierades som skadlig programvara baserat på beteende och du inte har en fil kan du skicka filen Mpsupport.cab för analys. Du kan hämta .cab filen med hjälp av verktyget Microsoft Malware Protection Command-Line Utility (MPCmdRun.exe) på Windows 10 eller Windows 11.
Gå till
C:\ProgramData\Microsoft\Windows Defender\Platform\<version>och kör sedan somMpCmdRun.exeadministratör.Skriv
mpcmdrun.exe -GetFilesoch tryck sedan på Retur.En .cab skapas som innehåller olika diagnostikloggar. Platsen för filen anges i utdata från kommandotolken. Platsen är som standard
C:\ProgramData\Microsoft\Microsoft Defender\Support\MpSupportFiles.cab.Läs riktlinjerna här: Skicka filer för analys.
Gå till Microsoft Säkerhetsinsikter webbplats för https://www.microsoft.com/wdsi/filesubmission inskickning ( ) och skicka dina .cab filer.
Vad händer när en fil har skickats?
Din inskickad information skannas omedelbart av våra system för att ge dig den senaste avgörande informationen redan innan en analytiker börjar hantera ditt ärende. Det är möjligt att en fil redan har skickats in och bearbetats av en analytiker. I sådana fall görs ett snabbt avgörande.
För inlämningar som inte redan har bearbetats prioriteras de för analys enligt följande:
- Vanliga filer som kan påverka ett stort antal datorer får högre prioritet.
- Autentiserade kunder, särskilt företagskunder med giltiga SAID (Software Assurance-ID)får högre prioritet.
- Inskickade som har hög prioritet av SAID-innehavare ges omedelbar uppmärksamhet.
Om du vill söka efter uppdateringar om din inskickning loggar du in Microsoft Säkerhetsinsikter webbplatsen för inskicking.
Tips
Mer information finns i Skicka filer för analys.
Del 5: Granska och justera dina inställningar för skydd mot hot
Microsoft Defender för Slutpunkt har ett brett utbud av alternativ, bland annat möjligheten att finjustera inställningar för olika funktioner. Om du får flera falska positiva resultat bör du granska organisationens inställningar för skydd mot hot. Du kan behöva göra några justeringar för att:
Molnbaserat skydd
Kontrollera att din moln levererat skyddsnivå för Microsoft Defender Antivirus. Som standard har moln levererat skydd inställningen Ej konfigurerad, vilket motsvarar en normal skyddsnivå för de flesta organisationer. Om ditt moln levererat skydd är inställt på Hög, Hög + eller Noll du kan uppleva ett högre antal falska positiva resultat.
Tips
Mer information om hur du konfigurerar ditt moln levererat skydd finns i Ange skyddsnivån för moln levererat.
Vi rekommenderar att Microsoft Endpoint Manager du använder för att redigera eller ange skyddsinställningar som levereras i molnet, men du kan använda andra metoder, till exempel Grupprincip (se Hantera Microsoft Defender för Slutpunkt.
Använda Microsoft Endpoint Manager att granska och redigera skyddsinställningar som levereras till molnet (för befintliga principer)
Gå till Microsoft Endpoint Manager https://endpoint.microsoft.com () och logga in.
Välj Endpoint Security > Antivirus och välj sedan en befintlig princip. (Om du inte har en befintlig princip, eller om du vill skapa en ny princip, kan du gå vidare till nästa procedur).
Under Hantera väljer du Egenskaper. Välj sedan Redigera bredvid Konfigurationsinställningar.
Expandera Molnskydd och granska din aktuella inställning på raden Moln levererat skyddsnivå. Vi rekommenderar att du ställer in moln levererat skydd till Ej konfigurerat, vilket ger starkt skydd samtidigt som det minskar risken för falska positiva resultat.
Välj Granska + spara och sedan Spara.
Använd Microsoft Endpoint Manager för att ange inställningar för moln levererat skydd (för en ny princip)
Gå till Microsoft Endpoint Manager https://endpoint.microsoft.com () och logga in.
Välj Endpoint Security > Antivirus + Create > policy.
För Plattform väljer du ett alternativ och sedan för Profile väljer du Antivirus eller Microsoft Defender Antivirus (det specifika alternativet beror på vad du valde för plattform.) Välj sedan Skapa.
På fliken Grunder anger du ett namn och en beskrivning för principen. Välj sedan Nästa.
På fliken Konfigurationsinställningar expanderar du Molnskydd och anger följande inställningar:
- Ställ in Aktivera moln levererat skydd till Ja.
- Ställ in Skyddsnivå som levereras i molnet på Inte konfigurerat. (Den här nivån ger en stark skyddsnivå som standard, samtidigt som du minskar risken för falska positiva resultat.)
Om du använder omfattningstaggar i organisationen på fliken Omfattningstaggar anger du omfattningstaggar för principen. (Se Omfattningstaggar.)
På fliken Tilldelningar anger du de användare och grupper som principen ska tillämpas på och väljer sedan Nästa. (Om du behöver hjälp med uppgifter kan du gå till Tilldela användar- och enhetsprofiler i Microsoft Intune.)
Granska inställningarna på fliken Granska + skapa och välj sedan Skapa.
Åtgärd för potentiellt oönskade program
Potentiellt oönskade program (PUA) är en kategori med programvara som kan göra att enheter körs långsamt, visar oväntade annonser eller installerar annan programvara som kan vara oväntad eller oönskad. Exempel på PUA-program är reklamprogramvara, sammanslagning av programvara och programvara som fungerar annorlunda med säkerhetsprodukter. Även om PUA inte betraktas som skadlig programvara, är vissa typer av programvara PUA baserat på deras beteende och rykte.
Tips
Mer information om PUA finns i Identifiera och blockera potentiellt oönskade program.
Beroende på vilka appar din organisation använder kan det hända att du får falska positiva resultat som ett resultat av inställningarna för PUA-skydd. Om det behövs kan du köra PUA-skydd i granskningsläge ett tag eller använda PUA-skydd på en delmängd enheter i organisationen. PUA-skydd kan konfigureras för Microsoft Edge och för Microsoft Defender Antivirus.
Vi rekommenderar att Microsoft Endpoint Manager kan redigera eller ange PUA-skyddsinställningar, men du kan använda andra metoder, till exempel Grupprincip (se Hantera Microsoft Defender för Slutpunkt.
Använda Microsoft Endpoint Manager redigera PUA-skydd (för befintliga konfigurationsprofiler)
Gå till Microsoft Endpoint Manager https://endpoint.microsoft.com () och logga in.
Välj > Konfigurationsprofiler för enheter och välj sedan en befintlig princip. (Om du inte har en befintlig princip, eller om du vill skapa en ny princip, kan du gå vidare till nästa procedur.)
Under Hantera väljer du Egenskaper och sedan, bredvid Konfigurationsinställningar, väljer du Redigera.
På fliken Konfigurationsinställningar rullar du nedåt och expanderar Microsoft Defender Antivirus.
Ange Granska för Identifiera potentiellt oönskade program. (Du kan inaktivera det, men med granskningsläget kan du se identifieringar.)
Välj Granska + spara och välj sedan Spara.
Använd Microsoft Endpoint Manager att ange PUA-skydd (för en ny konfigurationsprofil)
Gå till Microsoft Endpoint Manager https://endpoint.microsoft.com () och logga in.
Välj > Konfigurationsprofiler för enheter + Skapa > profil.
För plattformen väljer du Windows 10 senare och för Profil väljer du Enhetsbegränsningar.
På fliken Grunder anger du ett namn och en beskrivning för principen. Välj sedan Nästa.
På fliken Konfigurationsinställningar rullar du nedåt och expanderar Microsoft Defender Antivirus.
Ange Granska för Identifiera potentiellt oönskade program och välj sedan Nästa. (Du kan inaktivera PUA-skydd, men med granskningsläget kan du se identifieringar.)
På fliken Tilldelningar anger du de användare och grupper som principen ska tillämpas på och väljer sedan Nästa. (Om du behöver hjälp med uppgifter kan du gå till Tilldela användar- och enhetsprofiler i Microsoft Intune.)
På fliken Tillämplighetsregler anger du vilka OS-utgåvor eller versioner som ska ingå eller exkluderas från principen. Du kan till exempel ange att principen ska tillämpas på alla enheter vissa utgåvor av Windows 10. Välj sedan Nästa.
Granska inställningarna på fliken Granska + skapa och välj sedan Skapa.
Automatiska undersökningar och åtgärd
Funktionerna automatisk undersökning och åtgärder (AIR) är utformade för att undersöka varningar och vidta omedelbar åtgärd för att lösa överträdelser. När aviseringar utlöses och en automatiserad undersökning körs genereras en bedömning för varje bevis som undersöks. Omdömen kan vara skadliga, misstänkta eller inga hot hittades.
Åtgärder vidtas på artefakter som anses vara skadliga eller misstänkta, beroende på hur mycket automatisering som har ställts in för din organisation och andra säkerhetsinställningar. I vissa fall sker åtgärder automatiskt. i andra fall vidtas åtgärder manuellt eller bara efter godkännande från säkerhetsteamet.
Viktigt
Vi rekommenderar att du använder fullständig automation för automatiserad undersökning och åtgärd. Stäng inte av de här funktionerna på grund av en felaktig positiv inställning. Använd i stället indikatorerna "tillåt" för attdefiniera undantag och ange att automatisk undersökning och åtgärd ska vidta lämpliga åtgärder automatiskt. Genom att följa dessa anvisningar kan du minska antalet varningar som säkerhetsgruppen måste hantera.
Behöver du fortfarande hjälp?
Kontakta teknisk support om du har gått igenom alla steg i den här artikeln och fortfarande behöver hjälp.
Gå till Microsoft 365 Defender och logga in.
Välj frågetecken (?) i det övre högra hörnet och välj sedan Microsoft support.
Beskriv problemet i fönstret Supportassistenten och skicka sedan meddelandet. Därifrån kan du öppna en tjänstförfrågan.