Resolver falsos positivos ou falsos negativos no Microsoft Defender XDR
Aplica-se a:
- Microsoft Defender XDR
Por vezes, podem ocorrer falsos positivos ou negativos com qualquer solução de proteção contra ameaças. Se as capacidades automatizadas de investigação e resposta no Microsoft Defender XDR não foram detetadas ou detetaram algo incorretamente, existem passos que a equipa de operações de segurança pode seguir:
- Comunicar um falso positivo/negativo à Microsoft
- Ajustar os alertas (se necessário)
- Anular ações de remediação executadas nos dispositivos
As secções seguintes descrevem como realizar estas tarefas.
Comunicar um falso positivo/negativo à Microsoft para análise
| Item perdido ou detetado incorretamente | Serviço | O que fazer |
|---|---|---|
| - Email mensagem - Email anexo - URL numa mensagem de e-mail - URL num ficheiro do Office |
Microsoft Defender para Office 365 | Submeter spam, phish, URLs e ficheiros suspeitos à Microsoft para análise |
| Ficheiro ou aplicação num dispositivo | Microsoft Defender para Endpoint | Submeter um ficheiro à Microsoft para análise de software maligno |
Ajustar um alerta para impedir que os falsos positivos sejam periódicos
| Cenário | Serviço | O que fazer |
|---|---|---|
| - Um alerta é acionado por utilização legítima - Um alerta é impreciso |
Microsoft Defender for Cloud Apps ou Proteção contra ameaças do Azure |
Gerir alertas no portal do Defender para Cloud Apps |
| Um ficheiro, endereço IP, URL ou domínio é tratado como software maligno num dispositivo, mesmo que seja seguro | Microsoft Defender para Endpoint | Create um indicador personalizado com uma ação "Permitir" |
Anular uma ação de remediação executada num dispositivo
Se tiver sido executada uma ação de remediação numa entidade (como um dispositivo ou uma mensagem de e-mail) e a entidade afetada não for realmente uma ameaça, a equipa de operações de segurança pode anular a ação de remediação no Centro de ação.
- Aceda a Microsoft Defender portal e inicie sessão.
- No painel de navegação, selecione Centro de ação.
- No separador Histórico , selecione uma ação que pretende anular. O painel de lista de opções é aberto.
- No painel de lista de opções, selecione Anular.
Sugestão
Veja Anular ações concluídas.
Consulte também
- Ver os detalhes e resultados de uma investigação automatizada
- Proativamente, procure ameaças com investigação avançada em Microsoft Defender XDR
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.