Signaler des faux positifs ou des faux négatifs dans l’enquête et la réponse automatisées (AIR)

L’enquête et la réponse automatisées (AIR) dans Microsoft Defender pour Office 365 Plan 2 comprend de puissantes fonctionnalités pour détecter et examiner les menaces. Pour plus d’informations, consultez Investigation et réponse automatisées.

Mais que se passe-t-il si AIR identifie de manière incorrecte quelque chose comme une menace (un faux positif) ou a manqué quelque chose qui s’est avéré être une menace (un faux négatif) ? Cet article explique les options disponibles pour le personnel des opérations de sécurité (SecOps) pour traiter les faux positifs et les faux négatifs provenant d’AIR.

Envoyer des faux positifs ou des faux négatifs à Microsoft

Pour envoyer ou soumettre à nouveau des messages électroniques faux positifs et faux négatifs, des pièces jointes et des URL à Microsoft, voir Utiliser la page Soumissions pour envoyer des courriers indésirables suspects, des hameçonnages, des URL, des e-mails légitimes bloqués et des pièces jointes à Microsoft.

Ajuster les alertes pour empêcher la récurraison de faux positifs

Pour obtenir des instructions, consultez les articles suivants, en fonction des abonnements disponibles dans votre organization :

• Defender XDR : Paramétrer une alerte
• Defender pour point de terminaison : créez des actions d’autorisation pour les fichiers, les URL d’adresses IP ou les domaines qui sont mal identifiés en tant que programmes malveillants sur les appareils. Pour obtenir des instructions, consultez Créer des indicateurs.

Annuler les actions de correction

Le personnel de SecOps peut souvent utiliser l’action Prendre une action pour annuler l’action de correction. Par exemple :

• À partir de Explorer (Explorer de menaces). Pour plus d’informations, consultez correction Email.
• À partir de la page d’entité Email. Pour plus d’informations, consultez Actions dans la page d’entité Email.
• À partir du menu volant des détails des entrées sous l’onglet Historique du centre de notifications à l’adresse https://security.microsoft.com/action-center/history.

Pour plus d’informations sur les actions disponibles dans Prendre une action, consultez l’Assistant Action.

• Pour effectuer une action sur les messages qui ont été déplacés vers le dossier Email indésirable dans la boîte aux lettres, utilisez Effectuer une action>Déplacer vers le dossier de boîte aux lettres, puis sélectionnez l’une des destinations suivantes :
  • Boîte de réception pour les faux positifs.
  • Éléments supprimés, Élémentssupprimés de manière réversible ou Éléments supprimés de manière définitive pour les faux négatifs.
• Pour prendre des mesures sur les messages mis en quarantaine, effectuez l’une des étapes suivantes :
  • Pour libérer le message, utilisez Effectuer une action> Déplacer vers laboîte de réception dudossier> boîte aux lettres, puis sélectionnez Publier pour un ou plusieurs des destinataires d’origine de l’e-mail ou Libérer pour tous les destinataires. Vous pouvez également libérer le message directement de la mise en quarantaine.
  • Supprimez le message directement de la mise en quarantaine si l’utilisateur a accès au message mis en quarantaine.
  • Si l’utilisateur n’a pas accès au message mis en quarantaine, vous n’avez rien à faire (le message finira par expirer de la quarantaine).
• Pour prendre des mesures sur les fichiers mis en quarantaine, effectuez l’une des étapes suivantes :
  • Libérez le fichier mis en quarantaine de la mise en quarantaine.
  • Supprimez le fichier mis en quarantaine de la mise en quarantaine si l’utilisateur a accès au fichier mis en quarantaine.
  • Si l’utilisateur n’a pas accès au fichier mis en quarantaine, vous n’avez rien à faire (le fichier finit par expirer de la quarantaine).

Voir aussi

• Microsoft Defender pour Office 365
• Investigation et réponse automatisées (AIR) dans Microsoft Defender pour Office 365 Plan 2