Hur du rapporterar falska positiva eller negativa resultat i automatiserad undersökning och svarsfunktioner

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för

Om funktioner för automatiserad undersökning och svar (AIR) Office 365 har missat eller felaktigt identifierat något finns det åtgärder som ditt säkerhetsteam kan vidta för att åtgärda det. Sådana åtgärder omfattar:

Använd den här artikeln som en guide.

Rapportera ett falskt positivt/negativt till Microsoft för analys

Om AIR i Microsoft Defender för Office 365 missade ett e-postmeddelande, en e-postbilaga, en URL i ett e-postmeddelande eller en URL-adress i en Office-fil kan du skicka misstänkt skräppost, nättänder, URL-adresser och filer till Microsoft för Office 365-genomsökning.

Du kan också skicka en fil till Microsoft för analys av skadlig programvara.

Justera en avisering för att förhindra att falska positiva resultat upprepas

Om en avisering utlöses av legitimt bruk eller om aviseringen är felaktig kan du hantera aviseringar i Defender för molnappar-portalen.

Om din organisation utöver Office 365 använder Microsoft Defender för Endpoint så behandlas en fil, IP-adress, URL eller domän som skadlig programvara på en enhet, även om den är säker, kan du skapa en anpassad indikator med åtgärden "Tillåt"för din enhet.

Ångra en åtgärd

Om en åtgärd har vidtagits för ett e-postmeddelande, en e-postbilaga eller en URL och objektet egentligen inte är ett hot, kan säkerhetsåtgärdsteamet i de flesta fall ångra åtgärden och vidta åtgärder för att förhindra att meddelandet felaktigt visas som ett hot. Du kan antingen använda Hotutforskaren eller fliken Åtgärder för en undersökning för att ångra en åtgärd.

Viktigt

Kontrollera att du har nödvändiga behörigheter innan du försöker utföra följande uppgifter.

Ångra en åtgärd med hjälp av Hotutforskaren

Med Threat Explorer kan ditt säkerhetsåtgärdsteam hitta ett e-postmeddelande som påverkas av en åtgärd och eventuellt ångra åtgärden.



Scenario Ångra-alternativ Mer information
Ett e-postmeddelande har dirigerats till en användares skräppostmapp
  • Flytta meddelandet till användarens Borttaget-mapp
  • Flytta meddelandet till användarens inkorg
  • Ta bort meddelandet
Hitta och undersöka skadlig e-post som levererats i Office 365
Ett e-postmeddelande eller en fil har satts i karantän
  • Släpp e-postmeddelandet eller filen
  • Ta bort e-postmeddelandet eller filen
Hantera meddelanden i karantän som administratör

Ångra en åtgärd i Åtgärdscenter

I Åtgärdscenter kan du se åtgärder som har vidtagits och eventuellt ångra åtgärden.

  1. I Microsoft 365 Defender på går https://security.microsoft.com du till Åtgärdscenter genom att välja Åtgärdscenter. Använd för att gå direkt till https://security.microsoft.com/action-center/ Åtgärdscenter.
  2. I Åtgärdscenter väljer du fliken Historik för att visa listan över slutförda åtgärder.
  3. Markera ett objekt. Den utfällna rutan öppnas.
  4. Välj Ångra i den utfällade rutan. (Knappen Ångra finns bara för åtgärder som kan ångras.)

Se även