Delen via


Details en resultaten van een geautomatiseerd onderzoek in Microsoft 365

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

Wanneer een geautomatiseerd onderzoek plaatsvindt in Microsoft Defender voor Office 365, zijn details over dat onderzoek beschikbaar tijdens en na het geautomatiseerde onderzoeksproces. Als u over de benodigde machtigingen beschikt, kunt u deze details bekijken in de Microsoft Defender portal. Onderzoeksgegevens bieden u de status up-to-date en de mogelijkheid om eventuele in behandeling zijnde acties goed te keuren.

Tip

Bekijk de nieuwe, geïntegreerde onderzoekspagina in de Microsoft Defender-portal. Zie (NIEUW!) voor meer informatie Pagina Geïntegreerd onderzoek.

Onderzoeksstatus

De onderzoeksstatus geeft de voortgang van de analyse en acties aan. Terwijl het onderzoek wordt uitgevoerd, verandert de status om aan te geven of er bedreigingen zijn gevonden en of acties zijn goedgekeurd.

Status Omschrijving
Starten Het onderzoek is geactiveerd en wacht totdat het wordt uitgevoerd.
Uitvoeren Het onderzoek is gestart en wordt uitgevoerd. Deze status treedt ook op wanneer acties in behandeling zijn goedgekeurd.
Geen bedreigingen gevonden Het onderzoek is voltooid en er zijn geen bedreigingen (gebruikersaccount, e-mailbericht, URL of bestand) geïdentificeerd.

TIP: Als u vermoedt dat er iets is gemist (zoals een fout-negatief), kunt u actie ondernemen met Bedreigingsverkenner.

Gedeeltelijk onderzocht Tijdens het geautomatiseerde onderzoek zijn problemen gevonden, maar er zijn geen specifieke herstelacties om deze problemen op te lossen.

De status Gedeeltelijk onderzocht kan optreden wanneer een bepaald type gebruikersactiviteit is geïdentificeerd, maar er geen opschoonacties beschikbaar zijn. Voorbeelden hiervan zijn een van de volgende gebruikersactiviteiten:


Opmerking: deze gedeeltelijk onderzochte status werd gelabeld als Gevonden bedreigingen.

Het onderzoek heeft geen schadelijke URL's, bestanden of e-mailberichten gevonden om te herstellen en er is geen postvakactiviteit gevonden om op te lossen, zoals het uitschakelen van regels voor doorsturen of delegeren.

TIP: Als u vermoedt dat er iets is gemist (zoals een fout-negatief), kunt u dit onderzoeken en actie ondernemen met Threat Explorer

Beëindigd door systeem Het onderzoek is gestopt. Een onderzoek kan om verschillende redenen stoppen:
  • De lopende acties van het onderzoek zijn verlopen. Time-out voor acties in behandeling na een week wachten op goedkeuring
  • Er zijn te veel acties. Als er bijvoorbeeld te veel gebruikers op schadelijke URL's klikken, kan dit de mogelijkheid van het onderzoek overschrijden om alle analysen uit te voeren, zodat het onderzoek stopt

TIP: Als een onderzoek stopt voordat er acties zijn ondernomen, kunt u Bedreigingsverkenner gebruiken om bedreigingen te vinden en aan te pakken.
Actie in behandeling Het onderzoek heeft een bedreiging gevonden, zoals een kwaadwillende e-mail, een schadelijke URL of een riskante postvakinstelling, en een actie om deze bedreiging op te lossen die wacht op goedkeuring.

De status Actie in behandeling wordt geactiveerd wanneer een bedreiging met een bijbehorende actie wordt gevonden. De lijst met acties in behandeling kan echter toenemen naarmate een onderzoek wordt uitgevoerd. Bekijk de details van het onderzoek om te zien of andere items nog in behandeling zijn.

Hersteld Het onderzoek is voltooid en alle herstelacties zijn goedgekeurd (vermeld als volledig hersteld).

OPMERKING: Goedgekeurde herstelacties kunnen fouten bevatten waardoor de acties niet kunnen worden uitgevoerd. Ongeacht of herstelacties zijn voltooid, verandert de onderzoeksstatus niet. Bekijk de details van het onderzoek.

Gedeeltelijk hersteld Het onderzoek heeft geresulteerd in herstelacties en sommige zijn goedgekeurd en voltooid. Andere acties zijn nog in behandeling.
Mislukt Ten minste één onderzoekanalyse heeft een probleem gelopen waarbij het niet goed kon worden voltooid.

NOTITIE Als een onderzoek mislukt nadat herstelacties zijn goedgekeurd, zijn de herstelacties mogelijk nog steeds geslaagd. Bekijk de details van het onderzoek.

In de wachtrij geplaatst door beperking Een onderzoek wordt in een wachtrij gehouden. Wanneer andere onderzoeken zijn voltooid, worden in de wachtrij geplaatste onderzoeken gestart. Beperking helpt slechte serviceprestaties te voorkomen.

TIP: Acties in behandeling kunnen beperken hoeveel nieuwe onderzoeken kunnen worden uitgevoerd. Zorg ervoor dat u acties in behandeling goedkeurt (of weigert).

Beëindigd door beperking Als een onderzoek te lang in de wachtrij staat, wordt het gestopt.

TIP: U kunt een onderzoek starten vanuit Bedreigingsverkenner.

Details van een onderzoek weergeven

  1. Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.
  2. Selecteer acties & indieningen>Actiecentrum in het navigatiedeelvenster.
  3. Selecteer een actie op het tabblad In behandeling of Geschiedenis . Het flyoutvenster wordt geopend.
  4. Selecteer in het flyoutvenster De onderzoekspagina openen.
  5. Gebruik de verschillende tabbladen voor meer informatie over het onderzoek.

Bepaalde soorten waarschuwingen activeren geautomatiseerd onderzoek in Microsoft 365. Zie waarschuwingsbeleid dat geautomatiseerde onderzoeken activeert voor meer informatie.

  1. Ga naar de Microsoft Defender-portal (https://security.microsoft.com) en meld u aan.
  2. Selecteer actiecentrum in het navigatiedeelvenster.
  3. Selecteer een actie op het tabblad In behandeling of Geschiedenis . Het flyoutvenster wordt geopend.
  4. Selecteer in het flyoutvenster De onderzoekspagina openen.
  5. Selecteer het tabblad Waarschuwingen om een lijst weer te geven met alle waarschuwingen die aan dat onderzoek zijn gekoppeld.
  6. Selecteer een item in de lijst om het flyoutvenster te openen. Hier kunt u meer informatie over de waarschuwing bekijken.

Houd rekening met de volgende punten

  • Email aantallen worden berekend op het moment van het onderzoek en sommige aantallen worden opnieuw berekend wanneer u onderzoeks-flyouts opent (op basis van een onderliggende query).

  • Het aantal e-mail dat wordt weergegeven voor de e-mailclusters op het tabblad Email en de waarde van de e-mailhoeveelheid die wordt weergegeven in de cluster-flyout, worden berekend op het moment van onderzoek en veranderen niet.

  • Het aantal e-mail dat wordt weergegeven onder aan het tabblad Email van de flyout van het e-mailcluster en het aantal e-mailberichten dat in Explorer wordt weergegeven, zijn e-mailberichten die zijn ontvangen na de eerste analyse van het onderzoek.

    Een e-mailcluster met een oorspronkelijk aantal van 10 e-mailberichten zou dus een totaal van 15 e-mailberichten weergeven wanneer er nog vijf e-mailberichten binnenkomen tussen de fase van de onderzoekanalyse en wanneer de beheerder het onderzoek beoordeelt. Op dezelfde manier kunnen oude onderzoeken een hoger aantal worden weergegeven dan explorerquery's laten zien, omdat gegevens in Microsoft Defender voor Office 365 Abonnement 2 na zeven dagen verlopen voor proefversies en na 30 dagen voor betaalde licenties.

    Het weergeven van zowel het aantal historische als de huidige tellingen in verschillende weergaven wordt uitgevoerd om de e-mailimpact op het moment van onderzoek en de huidige impact aan te geven totdat herstel wordt uitgevoerd.

  • In de context van e-mail ziet u mogelijk een volume anomalie-bedreigingsoppervlak als onderdeel van het onderzoek. Een volumeafwijking duidt op een piek in vergelijkbare e-mailberichten rond de onderzoekstijd in vergelijking met eerdere periodes. Een piek in het e-mailverkeer en bepaalde kenmerken (bijvoorbeeld het onderwerp- en afzenderdomein, de gelijkenis van de hoofdtekst en het IP-adres van de afzender) is typerend voor het begin van e-mailcampagnes of -aanvallen. Bulk-, spam- en legitieme e-mailcampagnes delen deze kenmerken echter meestal.

  • Volumeafwijkingen vormen een potentiële bedreiging en kunnen daarom minder ernstig zijn in vergelijking met malware of phish-bedreigingen die worden geïdentificeerd met behulp van antivirusprogramma's, ontplofing of schadelijke reputatie.

  • U hoeft niet elke actie goed te keuren. Als u het niet eens bent met de aanbevolen actie of als uw organisatie bepaalde typen acties niet kiest, kunt u ervoor kiezen om de acties te weigeren of ze gewoon te negeren en geen actie te ondernemen.

  • Als u alle acties goedkeurt en/of weigert, kan het onderzoek volledig worden afgesloten (de status wordt hersteld), terwijl sommige acties onvolledig blijven, leidt tot een wijziging van de status van het onderzoek in een gedeeltelijk herstelde status.

Volgende stappen