Abordar falsos positivos ou falsos negativos em Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Falsos positivos ou negativos podem ocorrer ocasionalmente com qualquer solução de proteção contra ameaças. Se os recursos automatizados de investigação e resposta em Microsoft Defender XDR algo detectado ou detectado incorretamente, há etapas que sua equipe de operações de segurança pode tomar:
- Relatar um falso positivo/negativo à Microsoft
- Ajustar seus alertas (se necessário)
- Desfazer ações de correção que foram tomadas em dispositivos
As seções a seguir descrevem como executar essas tarefas.
Relatar um falso positivo/negativo à Microsoft para análise
| Item perdido ou detectado incorretamente | Serviço | O que fazer |
|---|---|---|
| - Email mensagem - anexo Email - URL em uma mensagem de email - URL em um arquivo do Office |
Obter o Microsoft Defender para Office 365 | Enviar spam, phish, URLs e arquivos suspeitos para a Microsoft para verificação |
| Arquivo ou aplicativo em um dispositivo | Microsoft Defender para Ponto de Extremidade | Enviar um arquivo à Microsoft para análise de malware |
Ajustar um alerta para evitar que falsos positivos sejam recorrentes
| Cenário | Serviço | O que fazer |
|---|---|---|
| - Um alerta é disparado pelo uso legítimo - Um alerta é impreciso |
Microsoft Defender for Cloud Apps ou Proteção contra ameaças do Azure |
Gerenciar alertas no portal do Defender para Aplicativos na Nuvem |
| Um arquivo, endereço IP, URL ou domínio é tratado como malware em um dispositivo, mesmo que seja seguro | Microsoft Defender para Ponto de Extremidade | Create um indicador personalizado com uma ação "Permitir" |
Desfazer uma ação de correção que foi tomada em um dispositivo
Se uma ação de correção foi tomada em uma entidade (como um dispositivo ou uma mensagem de email) e a entidade afetada não for realmente uma ameaça, sua equipe de operações de segurança poderá desfazer a ação de correção no Centro de Ações.
- Acesse Microsoft Defender portal e entre.
- No painel de navegação, escolha Central de ações.
- Na guia Histórico , selecione uma ação que você deseja desfazer. Seu painel de sobrevoo é aberto.
- No painel de sobrevoo, selecione Desfazer.
Dica
Consulte Desfazer ações concluídas.
Confira também
- Exibir os detalhes e resultados de uma investigação automatizada
- Caçar proativamente ameaças com caça avançada em Microsoft Defender XDR
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.