解決 Microsoft Defender 全面偵測回應 中的誤判或誤判
適用於:
- Microsoft Defender XDR
任何威脅防護解決方案偶爾會發生誤判或負面。 如果自動化調查和回應功能 Microsoft Defender 全面偵測回應 遺漏或偵測到錯誤,您的安全性作業小組可以採取下列步驟:
- 向 Microsoft 回報誤判/負面
- 視需要調整警示 ()
- 復原在裝置上採取的補救動作
下列各節說明如何執行這些工作。
向 Microsoft 回報誤判/負面以進行分析
| 專案遺漏或偵測錯誤 | 服務 | 處理方式 |
|---|---|---|
| - Email 訊息 - Email 附件 - 電子郵件訊息中的 URL - Office 檔案中的 URL |
[適用於 Office 365 的 Microsoft Defender]/defender-office-365/mdo-about | 將可疑的垃圾郵件、網路釣魚、URL 和檔案提交給 Microsoft 進行掃描 |
| 裝置上的檔案或應用程式 | 適用於端點的 Microsoft Defender | 將檔案提交給 Microsoft 以進行惡意代碼分析 |
調整警示以防止誤判為週期性
| 案例 | 服務 | 處理方式 |
|---|---|---|
| - 合法使用觸發警示 - 警示不正確 |
Microsoft 雲端 App 安全性 或 Azure 威脅防護 |
在適用於 Cloud Apps 的 Defender 入口網站中管理警示 |
| 檔案、IP 位址、URL 或網域會被視為裝置上的惡意代碼,即使它是安全的 | 適用於端點的 Microsoft Defender | Create 具有「允許」動作的自定義指標 |
復原在裝置上採取的補救動作
如果在裝置或電子郵件訊息) 等實體 (上採取補救動作,而受影響的實體實際上不是威脅,則您的安全性作業小組可以在 控制中心復原補救動作。
- 移至 Microsoft Defender 入口網站並登入。
- 在功能窗格中,選擇 [控制中心]。
- 在 [ 歷程記錄] 索引 標籤上,選取您要復原的動作。 其飛出視窗窗格隨即開啟。
- 在飛出視窗窗格中,選取 [ 復原]。
提示
請參閱 復原已完成的動作。
另請參閱
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應