Delen via


Herstelacties in Microsoft Defender voor Office 365

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

Herstelacties

Functies voor bedreigingsbeveiliging in Microsoft Defender voor Office 365 bepaalde herstelacties omvatten. Dergelijke herstelacties kunnen het volgende omvatten:

  • E-mailberichten of clusters voorlopig verwijderen
  • Blokkerings-URL (kliktijd)
  • Doorsturen van externe e-mail uitschakelen
  • Delegering uitschakelen

In Microsoft Defender voor Office 365 worden herstelacties niet automatisch uitgevoerd. In plaats daarvan worden herstelacties alleen uitgevoerd na goedkeuring door het beveiligingsteam van uw organisatie.

Bedreigingen en herstelacties

Microsoft Defender voor Office 365 bevat herstelacties om verschillende bedreigingen aan te pakken. Geautomatiseerde onderzoeken resulteren vaak in een of meer herstelacties die moeten worden beoordeeld en goedgekeurd. In sommige gevallen resulteert een geautomatiseerd onderzoek niet in een specifieke herstelactie. Gebruik de richtlijnen in de volgende tabel om de juiste acties verder te onderzoeken en te ondernemen.

Categorie Bedreiging/risico Herstelactie(en)
E-mail Malware E-mail/cluster voorlopig verwijderen

Als meer dan een handvol e-mailberichten in een cluster malware bevatten, wordt het cluster beschouwd als schadelijk.

E-mail Schadelijke URL
(Er is een schadelijke URL gedetecteerd door Veilige koppelingen.)
E-mail/cluster voorlopig verwijderen
Blokkerings-URL (verificatie van het tijdstip van klikken)

Email die een schadelijke URL bevat, wordt beschouwd als schadelijk.

E-mail Phish E-mail/cluster voorlopig verwijderen

Als meer dan een handvol e-mailberichten in een cluster phishingpogingen bevatten, wordt het hele cluster beschouwd als een phishingpoging.

E-mail Zapped phish
(Email berichten zijn bezorgd en vervolgens opgehaald.)
E-mail/cluster voorlopig verwijderen

Rapporten zijn beschikbaar om zapped berichten weer te geven. Kijk of ZAP een bericht en veelgestelde vragen heeft verplaatst.

E-mail Gemiste phishing-e-mail gemeld door een gebruiker Geautomatiseerd onderzoek geactiveerd door het rapport van de gebruiker
E-mail Volumeafwijking
(Recente e-mailhoeveelheden overschrijden de vorige 7-10 dagen voor overeenkomende criteria.)
Geautomatiseerd onderzoek resulteert niet in een specifieke actie die in behandeling is.

Volumeafwijking is geen duidelijke bedreiging, maar is slechts een indicatie van grotere e-mailvolumes in de afgelopen dagen in vergelijking met de afgelopen 7-10 dagen.

Hoewel een grote hoeveelheid e-mail kan duiden op potentiële problemen, is bevestiging nodig in termen van kwaadaardige uitspraken of een handmatige beoordeling van e-mailberichten/clusters. Zie Verdachte e-mail zoeken die is bezorgd.

E-mail Er zijn geen bedreigingen gevonden
(Het systeem heeft geen bedreigingen gevonden op basis van bestanden, URL's of analyse van e-mailclusterbeoordelingen.)
Geautomatiseerd onderzoek resulteert niet in een specifieke actie die in behandeling is.

Bedreigingen die zijn gevonden en ge zapt nadat een onderzoek is voltooid, worden niet weergegeven in de numerieke bevindingen van een onderzoek, maar dergelijke bedreigingen kunnen worden weergegeven in Threat Explorer.

Gebruiker Een gebruiker heeft op een schadelijke URL geklikt
(Een gebruiker is naar een pagina genavigeerd die later schadelijk bleek te zijn, of een gebruiker heeft een waarschuwingspagina met veilige koppelingen om naar een schadelijke pagina te gaan om naar een schadelijke pagina te gaan.)
Geautomatiseerd onderzoek resulteert niet in een specifieke actie die in behandeling is.

Blokkerings-URL (kliktijd)

Gebruik Bedreigingsverkenner om gegevens over URL's weer te geven en op uitspraken te klikken.

Als uw organisatie Microsoft Defender voor Eindpunt gebruikt, kunt u overwegen de gebruiker te onderzoeken om te bepalen of hun account is gecompromitteerd.

Gebruiker Een gebruiker verzendt malware/phish Geautomatiseerd onderzoek resulteert niet in een specifieke actie die in behandeling is.

De gebruiker rapporteert mogelijk malware/phish, of iemand kan de gebruiker vervalsen als onderdeel van een aanval. Gebruik Bedreigingsverkenner om e-mail met malware of phishing weer te geven en te verwerken.

Gebruiker E-mail doorsturen
(Regels voor het doorsturen van postvakken zijn geconfigureerd, chch kan worden gebruikt voor gegevensexfiltratie.)
Doorstuurregel verwijderen

Gebruik het rapport Automatisch verzonden berichten om specifieke details over doorgestuurde e-mail weer te geven.

Gebruiker Email delegeringsregels
(Voor het account van een gebruiker zijn delegaties ingesteld.)
Delegeringsregel verwijderen

Als uw organisatie gebruikmaakt van Microsoft Defender voor Eindpunt, kunt u overwegen de gebruiker te onderzoeken die de overdrachtsmachtiging krijgt.

Gebruiker Gegevensexfiltratie
(Een gebruiker heeft het DLP-beleid voor het delen van e-mail of bestanden geschonden
Geautomatiseerd onderzoek resulteert niet in een specifieke actie die in behandeling is.

Aan de slag met Activity Explorer.

Gebruiker Afwijkende e-mail verzenden
(Een gebruiker heeft onlangs meer e-mail verzonden dan in de afgelopen 7-10 dagen.)
Geautomatiseerd onderzoek resulteert niet in een specifieke actie die in behandeling is.

Het verzenden van een grote hoeveelheid e-mail is op zichzelf niet schadelijk; de gebruiker heeft mogelijk een e-mail verzonden naar een grote groep geadresseerden voor een gebeurtenis. Als u dit wilt onderzoeken, gebruikt u het inzicht nieuwe gebruikers die e-mail doorsturen in het EAC - en uitgaande berichtrapport in het EAC om te bepalen wat er aan de hand is en actie te ondernemen.

Volgende stappen