Delen via


Over Threat Explorer en realtime detecties in Microsoft Defender voor Office 365

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

Microsoft 365-organisaties die Microsoft Defender voor Office 365 hebben opgenomen in hun abonnement of die zijn gekocht als een invoegtoepassing, hebben Explorer (ook wel bekend als Threat Explorer) of realtime detecties. Deze functies zijn krachtige, bijna realtime rapportagehulpprogramma's waarmee SecOps-teams (Security Operations) bedreigingen kunnen onderzoeken en erop kunnen reageren.

Afhankelijk van uw abonnement zijn Bedreigingsverkenner of realtime detecties beschikbaar in de sectie Email & samenwerking in de Microsoft Defender portal op https://security.microsoft.com:

Threat Explorer bevat dezelfde informatie en mogelijkheden als realtime detecties, maar met de volgende aanvullende functies:

  • Meer weergaven.
  • Meer opties voor het filteren van eigenschappen, waaronder de optie om query's op te slaan.
  • Meer acties.

Voor meer informatie over de verschillen tussen Defender voor Office 365 Abonnement 1 en Abonnement 2 raadpleegt u de Defender voor Office 365 Plan 1 versus Plan 2 cheatsheet.

In de rest van dit artikel worden de weergaven en functies uitgelegd die beschikbaar zijn in Bedreigingsverkenner en realtime detecties.

Machtigingen en licenties voor Threat Explorer en realtime detecties

Als u Explorer of realtime detecties wilt gebruiken, moet u machtigingen hebben toegewezen. U beschikt tevens over de volgende opties:

  • Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (Als Email & samenwerking>Defender voor Office 365 machtigingen actief zijn. Is alleen van invloed op de Defender-portal, niet op PowerShell):
    • Leestoegang voor e-mail- en Teams-berichtkoppen: beveiligingsbewerkingen/Onbewerkte gegevens (e-mail & samenwerking)/Email & metagegevens van samenwerking (lezen).
    • E-mailberichten bekijken en downloaden: Beveiligingsbewerkingen/Onbewerkte gegevens (e-mail & samenwerking)/Email & samenwerkingsinhoud (lezen).
    • Schadelijke e-mail herstellen: beveiligingsbewerkingen/beveiligingsgegevens/Email & geavanceerde acties voor samenwerking (beheren).
  • Email & samenwerkingsmachtigingen in de Microsoft Defender-portal:
    • Volledige toegang: lidmaatschap van de rolgroepen Organisatiebeheer of Beveiligingsbeheerder . Er zijn meer machtigingen vereist om alle beschikbare acties uit te voeren:
      • Berichten bekijken en downloaden: hiervoor is de rol Preview vereist. Deze rol is standaard alleen toegewezen aan de rolgroepen Gegevensonderzoeker of eDiscovery-manager . U kunt ook een nieuwe rollengroep maken waaraan de voorbeeldrol is toegewezen en de gebruikers toevoegen aan de aangepaste rollengroep.
      • Berichten verplaatsen naar en berichten verwijderen uit postvakken: hiervoor is de rol Zoeken en opschonen vereist. Deze rol is standaard alleen toegewezen aan de rolgroepen Gegevensonderzoeker of Organisatiebeheer . U kunt ook een nieuwe rollengroep maken waaraan de rol Zoeken en opschonen is toegewezen en de gebruikers toevoegen aan de aangepaste rollengroep.
    • Alleen-lezentoegang: lidmaatschap van de rolgroep Beveiligingslezer .
  • Microsoft Entra machtigingen: lidmaatschap van deze rollen geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365:
    • Volledige toegang: lidmaatschap van de rol Globale beheerder* of Beveiligingsbeheerder .

    • Zoek naar Exchange-e-mailstroomregels (transportregels) op naam in Bedreigingsverkenner: lidmaatschap van de rol Beveiligingsbeheerder of Beveiligingslezer .

    • Alleen-lezentoegang: lidmaatschap van de rol Globale lezer of Beveiligingslezer .

      Belangrijk

      * Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

Tip

Spammeldingen van eindgebruikers en door het systeem gegenereerde berichten zijn niet beschikbaar in Bedreigingsverkenner. Deze typen berichten zijn beschikbaar als er een e-mailstroomregel (ook wel transportregel genoemd) is die moet worden overschreven.

Vermeldingen in het auditlogboek worden gegenereerd wanneer beheerders e-mailberichten bekijken of downloaden. U kunt in het auditlogboek van de beheerder op gebruiker zoeken naar AdminMailAccess-activiteit . Zie Nieuwe zoekopdracht controleren voor instructies.

Als u Threat Explorer of realtime detecties wilt gebruiken, moet u een licentie voor Defender voor Office 365 (inbegrepen in uw abonnement of een invoegtoepassingslicentie).

Bedreigingsverkenner of realtimedetecties bevat gegevens voor gebruikers met Defender voor Office 365 licenties die aan hen zijn toegewezen.

Elementen van Threat Explorer en realtime detecties

Bedreigingsverkenner en realtimedetecties bevatten de volgende elementen:

  • Weergaven: Tabbladen boven aan de pagina die detecties op bedreiging organiseren. De weergave is van invloed op de rest van de gegevens en opties op de pagina.

    De volgende tabel bevat de beschikbare weergaven in Threat Explorer en realtime detecties:

    Weergeven Dreiging
    Verkenner
    Real-time
    Detecties
    Beschrijving
    Alle e-mail Standaardweergave voor Bedreigingsverkenner. Informatie over alle e-mailberichten die door externe gebruikers in uw organisatie worden verzonden of e-mailberichten die worden verzonden tussen interne gebruikers in uw organisatie.
    Malware Standaardweergave voor realtime detecties. Informatie over e-mailberichten die malware bevatten.
    Phishing Informatie over e-mailberichten die phishingbedreigingen bevatten.
    Campagnes Informatie over schadelijke e-mail die Defender voor Office 365 Plan 2 geïdentificeerd als onderdeel van een gecoördineerde phishing- of malwarecampagne.
    Inhoudsmalware Informatie over schadelijke bestanden die zijn gedetecteerd door de volgende functies:
    URL-klikken Informatie over klikken van gebruikers op URL's in e-mailberichten, Teams-berichten, SharePoint-bestanden en OneDrive-bestanden.

    Deze weergaven worden uitgebreid beschreven in dit artikel, met inbegrip van de verschillen tussen Bedreigingsverkenner en realtimedetecties.

  • Datum-/tijdfilters: de weergave wordt standaard gefilterd op gisteren en vandaag. Als u het datumfilter wilt wijzigen, selecteert u het datumbereik en selecteert u vervolgens begindatum - en einddatumwaarden tot 30 dagen geleden.

    Schermopname van het datumfilter dat wordt gebruikt in Threat Explorer en realtime detecties in de Defender-portal.

  • Eigenschapsfilters (query's): filter de resultaten in de weergave op de beschikbare eigenschappen van berichten, bestanden of bedreigingen. De beschikbare filtereigenschappen zijn afhankelijk van de weergave. Sommige eigenschappen zijn beschikbaar in veel weergaven, terwijl andere eigenschappen beperkt zijn tot een specifieke weergave.

    De beschikbare eigenschapsfilters voor elke weergave worden in dit artikel vermeld, inclusief de verschillen tussen Bedreigingsverkenner en realtimedetecties.

    Zie Eigenschapsfilters in Bedreigingsverkenner en realtime detecties voor instructies voor het maken van eigenschapsfilters

    Met Threat Explorer kunt u query's opslaan voor later gebruik, zoals beschreven in de sectie Opgeslagen query's in Bedreigingsverkenner .

  • Grafieken: elke weergave bevat een visuele, statistische weergave van de gefilterde of niet-gefilterde gegevens. U kunt beschikbare draaipunten gebruiken om de grafiek op verschillende manieren te organiseren.

    U kunt grafiekgegevens exporteren vaak gebruiken om gefilterde of ongefilterde grafiekgegevens te exporteren naar een CSV-bestand.

    De grafieken en beschikbare draaipunten worden uitgebreid beschreven in dit artikel, inclusief de verschillen tussen Bedreigingsverkenner en realtimedetecties.

    Tip

    Als u de grafiek van de pagina wilt verwijderen (waarmee de grootte van het detailgebied wordt gemaximaliseerd), gebruikt u een van de volgende methoden:

    • Selecteer Lijstweergave> grafiek bovenaan de pagina.
    • Selecteer Lijstweergave weergeven tussen de grafiek en het detailgebied.
  • Detailsgebied: in het detailgebied voor een weergave wordt doorgaans een tabel weergegeven die de gefilterde of niet-gefilterde gegevens bevat. U kunt de beschikbare weergaven (tabbladen) gebruiken om de gegevens in het detailgebied op verschillende manieren te ordenen. Een weergave kan bijvoorbeeld grafieken, kaarten of andere tabellen bevatten.

    Als het detailgebied een tabel bevat, kunt u Exporteren vaak gebruiken om selectief maximaal 200.000 gefilterde of niet-gefilterde resultaten naar een CSV-bestand te exporteren.

    Tip

    In de flyout Exporteren kunt u enkele of alle beschikbare eigenschappen selecteren die u wilt exporteren. De selecties worden per gebruiker opgeslagen. Selecties in de incognito- of InPrivate-browsemodus worden opgeslagen totdat u de webbrowser sluit.

Schermopname van de hoofdpagina in Bedreigingsverkenner met realtime rapportgegevens in de Defender voor Office 365 portal.

Alle e-mailweergave in Bedreigingsverkenner

In de weergave Alle e-mail in Bedreigingsverkenner ziet u informatie over alle e-mailberichten die door externe gebruikers in uw organisatie worden verzonden en e-mail die wordt verzonden tussen interne gebruikers in uw organisatie. In de weergave worden schadelijke en niet-schadelijke e-mail weergegeven. Bijvoorbeeld:

  • Email geïdentificeerde phishing of malware.
  • Email geïdentificeerd als spam of bulk.
  • Email geïdentificeerd zonder bedreigingen.

Deze weergave is de standaardweergave in Bedreigingsverkenner. Als u de weergave Alle e-mail wilt openen op de pagina Explorer in de Defender-portal op https://security.microsoft.com, gaat u naar het tabblad Email &samenwerkingsverkenner>>Alle e-mail. Of ga rechtstreeks naar de pagina Explorer met behulp van https://security.microsoft.com/threatexplorerv3en controleer of het tabblad Alle e-mail is geselecteerd.

Schermopname van de weergave Alle e-mail in Bedreigingsverkenner met de grafiek, beschikbare draaipunten voor de grafiek en weergaven voor de detailtabel.

Filterbare eigenschappen in de weergave Alle e-mail in Bedreigingsverkenner

Standaard worden er geen eigenschapsfilters toegepast op de gegevens. De stappen voor het maken van filters (query's) worden beschreven in de sectie Filters in Bedreigingsverkenner en realtime detecties verderop in dit artikel.

De filterbare eigenschappen die beschikbaar zijn in het vak Bezorgingsactie in de weergave Alle e-mail , worden beschreven in de volgende tabel:

Eigenschap Type
Basic
Adres afzender Sms. Meerdere waarden scheiden door komma's.
Ontvangers Sms. Meerdere waarden scheiden door komma's.
Afzenderdomein Sms. Meerdere waarden scheiden door komma's.
Ontvangerdomein Sms. Meerdere waarden scheiden door komma's.
Onderwerp Sms. Meerdere waarden scheiden door komma's.
Weergavenaam van afzender Sms. Meerdere waarden scheiden door komma's.
Afzender e-mail van adres Sms. Meerdere waarden scheiden door komma's.
Afzender e-mail van domein Sms. Meerdere waarden scheiden door komma's.
Retourpad Sms. Meerdere waarden scheiden door komma's.
Paddomein retourneren Sms. Meerdere waarden scheiden door komma's.
Malwarefamilie Sms. Meerdere waarden scheiden door komma's.
Tags Sms. Meerdere waarden scheiden door komma's.

Zie Gebruikerstags voor meer informatie over gebruikerstags.
Geïmiteerd domein Sms. Meerdere waarden scheiden door komma's.
Geïmiteerde gebruiker Sms. Meerdere waarden scheiden door komma's.
Regel voor uitwisselingstransport Sms. Meerdere waarden scheiden door komma's.
Regel voor preventie van gegevensverlies Sms. Meerdere waarden scheiden door komma's.
Context Selecteer een of meer waarden:
  • Evaluatie
  • Prioriteit voor accountbeveiliging
Connector Sms. Meerdere waarden scheiden door komma's.
Leveringsactie Selecteer een of meer waarden:
  • Geblokkeerd: Email berichten die in quarantaine zijn geplaatst, die niet zijn bezorgd of die zijn verwijderd.
  • Geleverd: Email bezorgd in het Postvak IN van de gebruiker of een andere map waar de gebruiker toegang heeft tot het bericht.
  • Bezorgd bij ongewenste e-mail: Email bezorgd in de map Ongewenste Email of verwijderde items van de gebruiker, waar de gebruiker toegang heeft tot het bericht.
  • Vervangen: berichtbijlagen die zijn vervangen door Dynamische bezorging in beleid voor veilige bijlagen.
Aanvullende actie Selecteer een of meer waarden:
Gerichtheid Selecteer een of meer waarden:
  • Inkomende
  • Intra-irg
  • Uitgaand
Detectietechnologie Selecteer een of meer waarden:
  • Geavanceerd filter: Signalen op basis van machine learning.
  • Antimalwarebescherming
  • Bulk
  • Campagne
  • Domeinreputatie
  • Bestandsonttoning: Veilige bijlagen hebben een schadelijke bijlage gedetecteerd tijdens de detonatieanalyse.
  • Reputatie van bestandsonttoning: bestandsbijlagen die eerder zijn gedetecteerd door veilige bijlagen-detonaties in andere Microsoft 365-organisaties.
  • Bestandsreputatie: het bericht bevat een bestand dat eerder als schadelijk is geïdentificeerd in andere Microsoft 365-organisaties.
  • Vingerafdrukkoppeling: het bericht lijkt sterk op een eerder gedetecteerd schadelijk bericht.
  • Algemeen filter
  • Merk imitatie: Afzender imitatie van bekende merken.
  • Imitatiedomein: imitatie van afzenderdomeinen waarvan u eigenaar bent of die u hebt opgegeven voor beveiliging in antiphishingbeleid
  • Imitatiegebruiker
  • IP-reputatie
  • Imitatie van postvakintelligentie: imitatiedetecties van postvakinformatie in antiphishingbeleid.
  • Detectie van gemengde analyse: meerdere filters hebben bijgedragen aan het berichtoordeel.
  • spoof DMARC: Het bericht heeft dmarc-verificatie mislukt.
  • Adresvervalsing extern domein: adresvervalsing van afzenders met behulp van een domein dat zich buiten uw organisatie bevindt.
  • Adresvervalsing binnen de organisatie: adresvervalsing van afzenders met behulp van een domein dat intern is voor uw organisatie.
  • Reputatie van URL-detonatie: URL's die eerder zijn gedetecteerd door veilige koppelingen-detonaties in andere Microsoft 365-organisaties.
  • Reputatie van kwaadwillende URL: Het bericht bevat een URL die eerder als schadelijk is geïdentificeerd in andere Microsoft 365-organisaties.
Oorspronkelijke leveringslocatie Selecteer een of meer waarden:
  • Map Verwijderde items
  • Gedaald
  • Mislukt
  • Postvak IN/map
  • Map Ongewenste e-mail
  • On-premises/extern
  • Quarantaine
  • Unknown
Meest recente leveringslocatie¹ Dezelfde waarden als de oorspronkelijke leveringslocatie
Phish betrouwbaarheidsniveau Selecteer een of meer waarden:
  • Hoog
  • Normaal
Primaire onderdrukking Selecteer een of meer waarden:
  • Toegestaan door organisatiebeleid
  • Toegestaan door gebruikersbeleid
  • Geblokkeerd door organisatiebeleid
  • Geblokkeerd door gebruikersbeleid
  • Geen
Primaire onderdrukkingsbron Berichten kunnen meerdere onderdrukkingen voor toestaan of blokkeren hebben, zoals aangegeven in Onderdrukkingsbron. De onderdrukking die het bericht uiteindelijk heeft toegestaan of geblokkeerd, wordt geïdentificeerd in de primaire onderdrukkingsbron.
Selecteer een of meer waarden:
  • Filter van derden
  • Beheer geïnitieerde tijdreizen (ZAP)
  • Antimalwarebeleidsblok per bestandstype
  • Instellingen voor antispambeleid
  • Verbindingsbeleid
  • Regel voor uitwisselingstransport
  • Exclusieve modus (gebruiker overschrijven)
  • Filteren overgeslagen vanwege on-premises organisatie
  • IP-regiofilter van beleid
  • Taalfilter van beleid
  • Phishingsimulatie
  • Release in quarantaine
  • SecOps-postvak
  • Lijst met afzenderadressen (Beheer overschrijven)
  • Adressenlijst van afzenders (gebruiker overschrijven)
  • Lijst met afzenderdomeinen (Beheer overschrijven)
  • Lijst met afzenderdomeinen (gebruiker overschrijven)
  • Bestandsblok voor toestaan/blokkeren van tenant
  • E-mailadres van afzender van tenant toestaan/blokkeren
  • Blokkering van adresvervalsing van tenant toestaan/blokkeren
  • URL-blok voor toestaan/blokkeren van tenantlijst
  • Lijst met vertrouwde contactpersonen (onderdrukking door gebruiker)
  • Vertrouwd domein (gebruiker overschrijven)
  • Vertrouwde ontvanger (gebruiker overschrijven)
  • Alleen vertrouwde afzenders (gebruiker overschrijven)
Bron overschrijven Dezelfde waarden als primaire onderdrukkingsbron
Beleidstype Selecteer een of meer waarden:
  • Anti-malwarebeleid
  • Antiphishingbeleid
  • Exchange-transportregel (regel voor e-mailstroom), beleid voor gehoste inhoudsfilter (antispambeleid), gehoste uitgaande spamfilterbeleid (uitgaand spambeleid), beleid voor veilige bijlagen
  • Unknown
Beleidsactie Selecteer een of meer waarden:
  • X-header toevoegen
  • BCC-bericht
  • Bericht verwijderen
  • Onderwerp wijzigen
  • Verplaatsen naar de map Ongewenste Email
  • Geen actie ondernomen
  • Bericht omleiden
  • Verzenden naar quarantaine
Bedreigingstype Selecteer een of meer waarden:
  • Malware
  • Phishing
  • Spam
Doorgestuurd bericht Selecteer een of meer waarden:
  • Waar
  • False
Distributielijst Sms. Meerdere waarden scheiden door komma's.
Email grootte Geheel getal. Meerdere waarden scheiden door komma's.
Advanced
Internetbericht-id Sms. Meerdere waarden scheiden door komma's.

Beschikbaar in het veld Bericht-ID-koptekst in de berichtkop. Een voorbeeldwaarde is <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (let op de hoekhaken).
Netwerkbericht-id Sms. Meerdere waarden scheiden door komma's.

Een GUID-waarde die beschikbaar is in het kopveld X-MS-Exchange-Organization-Network-Message-Id in de berichtkop.
IP-adres van afzender Sms. Meerdere waarden scheiden door komma's.
Bijlage SHA256 Sms. Meerdere waarden scheiden door komma's.
Cluster-id Sms. Meerdere waarden scheiden door komma's.
Waarschuwings-id Sms. Meerdere waarden scheiden door komma's.
Waarschuwingsbeleids-id Sms. Meerdere waarden scheiden door komma's.
Campagne-id Sms. Meerdere waarden scheiden door komma's.
ZAP-URL-signaal Sms. Meerdere waarden scheiden door komma's.
URL's
AANTAL URL's Geheel getal. Meerdere waarden scheiden door komma's.
URL-domein² Sms. Meerdere waarden scheiden door komma's.
URL-domein en -pad² Sms. Meerdere waarden scheiden door komma's.
URL² Sms. Meerdere waarden scheiden door komma's.
URL-pad² Sms. Meerdere waarden scheiden door komma's.
URL-bron Selecteer een of meer waarden:
  • Bijlagen
  • Cloudbijlage
  • Email hoofdtekst
  • Email koptekst
  • QR-code
  • Onderwerp
  • Unknown
Klik op oordeel Selecteer een of meer waarden:
  • Toegestaan: de gebruiker mag de URL openen.
  • Blokkeren overschreven: de gebruiker is geblokkeerd om de URL rechtstreeks te openen, maar ze overschrijven het blok om de URL te openen.
  • Geblokkeerd: de gebruiker kan de URL niet openen.
  • Fout: de gebruiker heeft de foutpagina te zien gekregen of er is een fout opgetreden bij het vastleggen van het oordeel.
  • Fout: er is een onbekende uitzondering opgetreden tijdens het vastleggen van het vonnis. De gebruiker heeft mogelijk de URL geopend.
  • Geen: kan het oordeel voor de URL niet vastleggen. De gebruiker heeft mogelijk de URL geopend.
  • Beoordeling in behandeling: de gebruiker heeft de pagina detonatie in behandeling gekregen.
  • Beoordeling in behandeling overgeslagen: de gebruiker kreeg de ontplofpagina te zien, maar ze overschreven het bericht om de URL te openen.
URL-bedreiging Selecteer een of meer waarden:
  • Malware
  • Phishing
  • Spam
Bestand
Aantal bijlagen Geheel getal. Meerdere waarden scheiden door komma's.
Bestandsnaam van bijlage Sms. Meerdere waarden scheiden door komma's.
Bestandstype Sms. Meerdere waarden scheiden door komma's.
Bestandsextensie Sms. Meerdere waarden scheiden door komma's.
Bestandsgrootte Geheel getal. Meerdere waarden scheiden door komma's.
Verificatie
SPF Selecteer een of meer waarden:
  • Mislukken
  • Neutraal
  • Geen
  • Inhalen
  • Permanente fout
  • Soft fail
  • Tijdelijke fout
DKIM Selecteer een of meer waarden:
  • Fout
  • Mislukken
  • Negeren
  • Geen
  • Inhalen
  • Test
  • Timeout
  • Unknown
DMARC Selecteer een of meer waarden:
  • Best guess pass
  • Mislukken
  • Geen
  • Inhalen
  • Permanente fout
  • Selector pass
  • Tijdelijke fout
  • Unknown
Composiet Selecteer een of meer waarden:
  • Mislukken
  • Geen
  • Inhalen
  • Zachte pass

Tip

¹ Meest recente leveringslocatie bevat geen acties van eindgebruikers voor berichten. Bijvoorbeeld als de gebruiker het bericht heeft verwijderd of het bericht heeft verplaatst naar een archief of PST-bestand.

Er zijn scenario's waarin oorspronkelijke leveringslocatie/Meest recente leveringslocatie en/of bezorgingsactie de waarde Onbekend hebben. Bijvoorbeeld:

  • Het bericht is bezorgd (Bezorgingsactie is Geleverd), maar een regel voor Postvak IN heeft het bericht verplaatst naar een andere standaardmap dan de map Postvak IN of Ongewenste e-mail Email (bijvoorbeeld de map Concept of Archief).
  • ZAP heeft geprobeerd het bericht na bezorging te verplaatsen, maar het bericht is niet gevonden (de gebruiker heeft bijvoorbeeld het bericht verplaatst of verwijderd).

² Standaard wordt een URL-zoekopdracht toegewezen aan http, tenzij er expliciet een andere waarde is opgegeven. Bijvoorbeeld:

  • Als u zoekt met en zonder het http:// voorvoegsel in URL, URL-domein en URL-domein en -pad , worden dezelfde resultaten weergegeven.
  • Zoek naar het https:// voorvoegsel in URL. Wanneer er geen waarde is opgegeven, wordt uitgegaan van het http:// voorvoegsel.
  • / aan het begin en einde van het URL-pad worden de velden URL-domein, URL-domein en pad genegeerd.
  • / aan het einde van het URL-veld wordt genegeerd.

Draaitabellen voor de grafiek in de weergave Alle e-mail in Bedreigingsverkenner

De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De beschikbare grafiekdraaipunten worden beschreven in de volgende subsecties.

Draaigrafiek Bezorgingsactie in de weergave Alle e-mail in Bedreigingsverkenner

Hoewel deze draai niet standaard geselecteerd lijkt, is de actie Bezorging de standaardgrafiek in de weergave Alle e-mail .

De draai Bezorgingsactie organiseert de grafiek op basis van de acties die zijn uitgevoerd op berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Alle e-mail in Bedreigingsverkenner met behulp van de draai Bezorgingsactie.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke leveringsactie weergegeven.

Draaigrafiek afzenderdomein in de weergave Alle e-mail in Bedreigingsverkenner

De draai van het domein Afzender organiseert de grafiek op de domeinen in berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Alle e-mail in Bedreigingsverkenner met behulp van de draai van het domein Afzender.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk afzenderdomein weergegeven.

Draai van het IP-diagram van afzender in de weergave Alle e-mail in Bedreigingsverkenner

De draai van afzender-IP organiseert de grafiek op basis van de bron-IP-adressen van berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Alle e-mail in Bedreigingsverkenner met behulp van de draai afzender-IP.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk IP-adres van de afzender weergegeven.

Grafiekdraaigrafiek van detectietechnologie in de weergave Alle e-mail in Bedreigingsverkenner

De draai van de detectietechnologie organiseert de grafiek op basis van de functie die berichten identificeert voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Alle e-mail in Bedreigingsverkenner met behulp van de draaipunt Detectietechnologie.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke detectietechnologie weergegeven.

Draai van volledige URL-grafiek in de weergave Alle e-mail in Bedreigingsverkenner

De volledige URL-draai ordent de grafiek op de volledige URL's in berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Alle e-mail in Bedreigingsverkenner met behulp van de draaitabel Volledige URL.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke volledige URL weergegeven.

Draai van url-domeingrafiek in de weergave Alle e-mail in Bedreigingsverkenner

De URL-domeindraaischijf organiseert de grafiek op de domeinen in URL's in berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Alle e-mail in Bedreigingsverkenner met behulp van de URL-domeindraai.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, ziet u het aantal voor elk URL-domein.

Draaigrafiek url-domein en pad in de weergave Alle e-mail in Bedreigingsverkenner

De URL-domein- en paddraaischijf organiseert de grafiek op basis van de domeinen en paden in URL's in berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Alle e-mail in Bedreigingsverkenner met behulp van het URL-domein en het pad.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal url-domein en -pad weergegeven.

Weergaven voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

De beschikbare weergaven (tabbladen) in het detailgebied van de weergave Alle e-mail worden beschreven in de volgende subsecties.

Email weergave voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

Email is de standaardweergave voor het detailgebied in de weergave Alle e-mail.

In de weergave Email ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaardwaarden worden aangegeven met een sterretje (*):

  • Datum*
  • Onderwerp*
  • Ontvanger*
  • Ontvangerdomein
  • Tags*
  • Adres van afzender*
  • Weergavenaam van afzender
  • Afzenderdomein*
  • IP-adres van afzender
  • Afzender e-mail van adres
  • Afzender e-mail van domein
  • Aanvullende acties*
  • Leveringsactie
  • Meest recente leveringslocatie*
  • Oorspronkelijke leveringslocatie*
  • Bron van systeemoverschrijvingen
  • Systeemoverschrijvingen
  • Waarschuwings-id
  • Internetbericht-id
  • Netwerkbericht-id
  • E-mailtaal
  • Regel voor uitwisselingstransport
  • Connector
  • Context
  • Regel voor preventie van gegevensverlies
  • Bedreigingstype*
  • Detectietechnologie
  • Aantal bijlagen
  • AANTAL URL's
  • Email grootte

Tip

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

  • Horizontaal schuiven in uw webbrowser.
  • De breedte van de juiste kolommen beperken.
  • Kolommen uit de weergave verwijderen.
  • Uitzoomen in uw webbrowser.

Aangepaste kolominstellingen worden per gebruiker opgeslagen. Aangepaste kolominstellingen in de incognito- of InPrivate-browsemodus worden opgeslagen totdat u de webbrowser sluit.

Wanneer u een of meer items in de lijst selecteert door het selectievakje naast de eerste kolom in te schakelen, is actie ondernemen beschikbaar. Zie Opsporing van bedreigingen: Email herstel voor meer informatie.

Schermopname van de Email weergave (tabblad) van de detailtabel met een bericht geselecteerd en Actie ondernemen actief.

In de waarde Onderwerp voor de vermelding is de actie Openen in nieuw venster beschikbaar. Met deze actie wordt het bericht geopend op de pagina Email entiteit.

Wanneer u op de waarden onderwerp of ontvanger in een item klikt, worden de flyouts geopend. Deze flyouts worden beschreven in de volgende subsecties.

Email details uit de weergave Email van het detailgebied in de weergave Alle e-mail

Wanneer u de waarde Onderwerp van een item in de tabel selecteert, wordt er een flyout met e-mailgegevens geopend. Deze flyout voor details staat bekend als het Email overzichtsvenster en bevat gestandaardiseerde samenvattingsinformatie die ook beschikbaar is op de pagina Email entiteit voor het bericht.

Zie Het Email overzichtsvenster in Defender voor meer informatie over de informatie in het Email samenvattingsvenster.

De volgende acties zijn beschikbaar boven aan het Email overzichtsvenster voor Bedreigingsverkenner en realtimedetecties:

  • E-mailentiteit openen
  • Koptekst weergeven
  • Actie ondernemen: Zie Opsporing van bedreigingen: Email herstel voor meer informatie.
  • Meer opties:
    • Email preview¹ ²
    • E-mail downloaden¹ ² ³
    • Weergeven in Explorer
    • Ga jagen

¹ Voor de acties Email preview en E-mail downloaden is de rol Preview vereist in Email & samenwerkingsmachtigingen. Deze rol wordt standaard toegewezen aan de rollengroepen Gegevensonderzoeker en eDiscovery-manager . Leden van de rolgroepen Organisatiebeheer of Beveiligingsbeheerders kunnen deze acties standaard niet uitvoeren. Als u deze acties wilt toestaan voor de leden van deze groepen, hebt u de volgende opties:

  • Voeg de gebruikers toe aan de rollengroepen Gegevensonderzoeker of eDiscovery Manager .
  • Maak een nieuwe rollengroep waaraan de rol Zoeken en Opschonen is toegewezen en voeg de gebruikers toe aan de aangepaste rollengroep.

² U kunt e-mailberichten bekijken of downloaden die beschikbaar zijn in Microsoft 365-postvakken. Voorbeelden van wanneer berichten niet meer beschikbaar zijn in postvakken zijn:

  • Het bericht is verwijderd voordat de bezorging of bezorging is mislukt.
  • Het bericht is voorlopig verwijderd (verwijderd uit de map Verwijderde items, waardoor het bericht wordt verplaatst naar de map Herstelbare items\Verwijderingen).
  • ZAP heeft het bericht in quarantaine geplaatst.

³ E-mail downloaden is niet beschikbaar voor berichten die in quarantaine zijn geplaatst. Download in plaats daarvan een met een wachtwoord beveiligde kopie van het bericht uit quarantaine.

Go hunt is alleen beschikbaar in Threat Explorer. Deze is niet beschikbaar in realtime detecties.

Details van geadresseerden in de Email weergave van het detailgebied in de weergave Alle e-mail

Wanneer u een item selecteert door op de waarde Ontvanger te klikken, wordt er een flyout met details geopend met de volgende informatie:

Tip

Als u details over andere geadresseerden wilt zien zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item bovenaan de flyout.

  • Overzichtssectie :

    • Rol: of aan de ontvanger beheerdersrollen zijn toegewezen.
    • Beleid:
      • Of de gebruiker gemachtigd is om archiefgegevens te bekijken.
      • Of de gebruiker gemachtigd is om bewaargegevens weer te geven.
      • Of de gebruiker wordt gedekt door preventie van gegevensverlies (DLP).
      • Of de gebruiker wordt gedekt door Mobile Management op https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.
  • Email sectie: een tabel met de volgende gerelateerde informatie voor berichten die naar de geadresseerde worden verzonden:

    • Datum
    • Onderwerp
    • Ontvanger

    Selecteer Alle e-mail weergeven om Bedreigingsverkenner te openen op een nieuw tabblad dat is gefilterd op de ontvanger.

  • Sectie Recente waarschuwingen : een tabel met de volgende gerelateerde informatie voor gerelateerde recente waarschuwingen:

    • Ernst
    • Waarschuwingsbeleid
    • Categorie
    • Activiteiten

    Als er meer dan drie recente waarschuwingen zijn, selecteert u Alle recente waarschuwingen weergeven om deze allemaal weer te geven.

    • Sectie Recente activiteit : toont de samengevatte resultaten van een zoekopdracht in het auditlogboek voor de ontvanger:

      • Datum
      • IP-adres
      • Activiteit
      • Item

      Als de ontvanger meer dan drie vermeldingen in het auditlogboek heeft, selecteert u Alle recente activiteiten weergeven om deze allemaal weer te geven.

    Tip

    Leden van de rolgroep Beveiligingsbeheerders in Email & samenwerkingsmachtigingen kunnen de sectie Recente activiteit niet uitbreiden. U moet lid zijn van een rollengroep in Exchange Online machtigingen waaraan de rollen Auditlogboeken, Information Protection Analist of Information Protection Onderzoeker zijn toegewezen. Deze rollen worden standaard toegewezen aan de rollengroepen Recordbeheer, Compliancebeheer, Information Protection, Information Protection Analisten, Information Protection Onderzoekers en Organisatiebeheer. U kunt de leden van beveiligingsbeheerders toevoegen aan deze rollengroepen of u kunt een nieuwe rollengroep maken met de rol Auditlogboeken toegewezen.

Schermopname van de flyout met de details van de ontvanger nadat u een waarde ontvanger hebt geselecteerd op het tabblad Email van het detailgebied in de weergave Alle e-mail.

Weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

In de weergave URL-klikken ziet u een grafiek die kan worden geordend met behulp van draaipunten. De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De grafiek draaitabellen worden beschreven in de volgende subsecties.

Schermopname van het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner met het tabblad URL-klikken geselecteerd en de beschikbare draaipunten zonder pivot geselecteerd.

Tip

In Bedreigingsverkenner heeft elke draai in de weergave URL-klikken een actie Alle klikken weergeven waarmee de weergave URL-klikken op een nieuw tabblad wordt geopend.

DRAAI VAN URL-domein voor de weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

Hoewel deze grafiekdraaipunt niet lijkt te zijn geselecteerd, is HET URL-domein de standaardgrafiekdraai in de weergave URL-klikken .

De draai van het URL-domein toont de verschillende domeinen in URL's in e-mailberichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner met het tabblad URL-klikken en de draai van het URL-domein geselecteerd.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, ziet u het aantal voor elk URL-domein.

Klik op verdict pivot voor de weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

De draaiknop Klik op oordeel toont de verschillende beoordelingsbeoordelingen voor aangeklikte URL's in e-mailberichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner met het tabblad URL-klikken en de draaiKnop Op oordeel klikken geselecteerd.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk klikoordeel weergegeven.

URL-draai voor de weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

In de URL-draai worden de verschillende URL's weergegeven waarop in e-mailberichten is geklikt voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner met het tabblad URL-klikken en de URL-draai geselecteerd.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal url's weergegeven.

Url-domein en -pad draaien voor de weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

De draai van het URL-domein en -pad toont de verschillende domeinen en bestandspaden van URL's waarop in e-mailberichten is geklikt voor het opgegeven datum-/tijdsbereik en eigenschappenfilters.

Schermopname van het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner met het tabblad URL-klikken en de draai van het URL-domein en -pad geselecteerd.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal url-domein en bestandspad weergegeven.

Bovenste URL-weergave voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

In de weergave Bovenste URL's ziet u een detailtabel. U kunt de vermeldingen sorteren door op een beschikbare kolomkop te klikken:

  • URL
  • Geblokkeerde berichten
  • Ongewenste berichten
  • Bezorgde berichten
Belangrijkste URL-details voor de weergave Alle e-mail

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de eerste kolom te klikken, wordt er een flyout met details geopend met de volgende informatie:

Tip

Als u details over andere URL's wilt zien zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item boven aan de flyout.

  • De volgende acties zijn beschikbaar boven aan de flyout:
    • URL-pagina openen

    • Indienen voor analyse:

      • Rapport opschonen
      • Phishing melden
      • Malware rapporteren
    • Indicator beheren:

      • Indicator toevoegen
      • Beheren in tenantblokkeringslijst

      Als u een van deze opties selecteert, gaat u naar de pagina Inzendingen in de Defender-portal.

    • Meer:

      • Weergeven in Explorer
      • Ga op jacht
  • Oorspronkelijke URL
  • Sectie Detectie :
    • Bedreigingsintelligentiebeoordeling
    • x actieve waarschuwingen y-incidenten: een horizontale staafdiagram met het aantal waarschuwingen Hoog, Gemiddeld, Laag en Info dat betrekking heeft op deze koppeling.
    • Een koppeling naar Alle incidenten weergeven & waarschuwingen op de URL-pagina.
  • Sectie Domeindetails :
    • Domeinnaam en een koppeling naar de pagina Domein weergeven.
    • Registrant
    • Geregistreerd op
    • Bijgewerkt op
    • Verloopt op
  • Sectie Contactgegevens van de registrant :
    • Griffier
    • Land/regio
    • Postadres
    • E-mail
    • Phone
    • Meer informatie: Een koppeling naar Openen bij Whois.
  • Sectie URL-prevalentie (afgelopen 30 dagen): bevat het aantal apparaten, Email en klikken. Selecteer elke waarde om de volledige lijst weer te geven.
  • Apparaten: toont de betrokken apparaten:
    • Datum (eerste/laatste)

    • Apparaten

      Als er meer dan twee apparaten bij betrokken zijn, selecteert u Alle apparaten weergeven om ze allemaal weer te geven.

Schermopname van de flyout met details na het selecteren van een vermelding op het tabblad Bovenste URL's in de weergave Alle e-mail in Bedreigingsverkenner.

Weergave Meest klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

In de weergave Meest klikken wordt een detailtabel weergegeven. U kunt de vermeldingen sorteren door op een beschikbare kolomkop te klikken:

  • URL
  • Geblokkeerd
  • Toegestaan
  • Blokkeren overschreven
  • Uitspraak in behandeling
  • Uitspraak in behandeling omzeild
  • Geen
  • Foutpagina
  • Mislukking

Tip

Alle beschikbare kolommen zijn geselecteerd. Als u Kolommen aanpassen selecteert, kunt u de selectie van kolommen niet opheffen.

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

  • Horizontaal schuiven in uw webbrowser.
  • De breedte van de juiste kolommen beperken.
  • Uitzoomen in uw webbrowser.

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de eerste kolom te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als die wordt beschreven in De details van de belangrijkste URL's voor de weergave Alle e-mail.

Weergave met de belangrijkste doelgebruikers voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

De weergave Belangrijkste doelgebruikers ordent de gegevens in een tabel met de vijf belangrijkste geadresseerden die het doelwit waren van de meeste bedreigingen. De tabel bevat de volgende informatie:

  • Belangrijkste doelgebruikers: het e-mailadres van de geadresseerde. Als u een adres van een geadresseerde selecteert, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in Details van ontvanger in de Email weergave van het detailgebied in de weergave Alle e-mail.

  • Het aantal pogingen: als u het aantal pogingen selecteert, wordt Bedreigingsverkenner geopend op een nieuw tabblad dat is gefilterd op de ontvanger.

Tip

Gebruik Exporteren om de lijst met maximaal 3000 gebruikers en de bijbehorende pogingen te exporteren.

Email oorspronkelijke weergave voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

In de weergave Email oorsprong worden berichtbronnen weergegeven op een kaart van de wereld.

Schermopname van de wereldkaart in de weergave Email oorsprong in het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner.

Campagneweergave voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

In de weergave Campagne ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken.

De informatie in de tabel is hetzelfde als beschreven in de detailtabel op de pagina Campagnes.

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de naam te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in Campagnedetails.

Malwareweergave in Bedreigingsverkenner en realtime detecties

De weergave Malware in Bedreigingsverkenner en realtime detecties toont informatie over e-mailberichten die malware bevatten. Deze weergave is de standaardweergave in realtime detecties.

Voer een van de volgende stappen uit om de weergave Malware te openen:

Schermopname van de weergave Malware in Bedreigingsverkenner met de grafiek, beschikbare draaipunten voor de grafiek en weergaven voor de detailtabel.

Filterbare eigenschappen in de weergave Malware in Bedreigingsverkenner en realtime detecties

Standaard worden er geen eigenschapsfilters toegepast op de gegevens. De stappen voor het maken van filters (query's) worden beschreven in de sectie Filters in Bedreigingsverkenner en realtime detecties verderop in dit artikel.

De filterbare eigenschappen die beschikbaar zijn in het vak Adres van afzender in de weergave Malware , worden beschreven in de volgende tabel:

Eigenschap Type Dreiging
Verkenner
Real-time
Detecties
Basic
Adres afzender Sms. Meerdere waarden scheiden door komma's.
Ontvangers Sms. Meerdere waarden scheiden door komma's.
Afzenderdomein Sms. Meerdere waarden scheiden door komma's.
Ontvangerdomein Sms. Meerdere waarden scheiden door komma's.
Onderwerp Sms. Meerdere waarden scheiden door komma's.
Weergavenaam van afzender Sms. Meerdere waarden scheiden door komma's.
Afzender e-mail van adres Sms. Meerdere waarden scheiden door komma's.
Afzender e-mail van domein Sms. Meerdere waarden scheiden door komma's.
Retourpad Sms. Meerdere waarden scheiden door komma's.
Paddomein retourneren Sms. Meerdere waarden scheiden door komma's.
Malwarefamilie Sms. Meerdere waarden scheiden door komma's.
Tags Sms. Meerdere waarden scheiden door komma's.

Zie Gebruikerstags voor meer informatie over gebruikerstags.
Regel voor uitwisselingstransport Sms. Meerdere waarden scheiden door komma's.
Regel voor preventie van gegevensverlies Sms. Meerdere waarden scheiden door komma's.
Context Selecteer een of meer waarden:
  • Evaluatie
  • Prioriteit voor accountbeveiliging
Connector Sms. Meerdere waarden scheiden door komma's.
Leveringsactie Selecteer een of meer waarden:
Aanvullende actie Selecteer een of meer waarden:
Gerichtheid Selecteer een of meer waarden:
  • Inkomende
  • Intra-irg
  • Uitgaand
Detectietechnologie Selecteer een of meer waarden:
  • Geavanceerd filter: Signalen op basis van machine learning.
  • Antimalwarebescherming
  • Bulk
  • Campagne
  • Domeinreputatie
  • Bestandsonttoning: Veilige bijlagen hebben een schadelijke bijlage gedetecteerd tijdens de detonatieanalyse.
  • Reputatie van bestandsonttoning: bestandsbijlagen die eerder zijn gedetecteerd door veilige bijlagen-detonaties in andere Microsoft 365-organisaties.
  • Bestandsreputatie: het bericht bevat een bestand dat eerder als schadelijk is geïdentificeerd in andere Microsoft 365-organisaties.
  • Vingerafdrukkoppeling: het bericht lijkt sterk op een eerder gedetecteerd schadelijk bericht.
  • Algemeen filter
  • Merk imitatie: Afzender imitatie van bekende merken.
  • Imitatiedomein: imitatie van afzenderdomeinen waarvan u eigenaar bent of die u hebt opgegeven voor beveiliging in antiphishingbeleid
  • Imitatiegebruiker
  • IP-reputatie
  • Imitatie van postvakintelligentie: imitatiedetecties van postvakinformatie in antiphishingbeleid.
  • Detectie van gemengde analyse: meerdere filters hebben bijgedragen aan het berichtoordeel.
  • spoof DMARC: Het bericht heeft dmarc-verificatie mislukt.
  • Adresvervalsing extern domein: adresvervalsing van afzenders met behulp van een domein dat zich buiten uw organisatie bevindt.
  • Adresvervalsing binnen de organisatie: adresvervalsing van afzenders met behulp van een domein dat intern is voor uw organisatie.
  • URL-detonatie: Safe Links heeft tijdens de detonatieanalyse een schadelijke URL in het bericht gedetecteerd.
  • Reputatie van URL-detonatie: URL's die eerder zijn gedetecteerd door veilige koppelingen-detonaties in andere Microsoft 365-organisaties.
  • Reputatie van kwaadwillende URL: Het bericht bevat een URL die eerder als schadelijk is geïdentificeerd in andere Microsoft 365-organisaties.
Oorspronkelijke leveringslocatie Selecteer een of meer waarden:
  • Map Verwijderde items
  • Gedaald
  • Mislukt
  • Postvak IN/map
  • Map Ongewenste e-mail
  • On-premises/extern
  • Quarantaine
  • Unknown
Meest recente leveringslocatie Dezelfde waarden als de oorspronkelijke leveringslocatie
Primaire onderdrukking Selecteer een of meer waarden:
  • Toegestaan door organisatiebeleid
  • Toegestaan door gebruikersbeleid
  • Geblokkeerd door organisatiebeleid
  • Geblokkeerd door gebruikersbeleid
  • Geen
Primaire onderdrukkingsbron Berichten kunnen meerdere onderdrukkingen voor toestaan of blokkeren hebben, zoals aangegeven in Onderdrukkingsbron. De onderdrukking die het bericht uiteindelijk heeft toegestaan of geblokkeerd, wordt geïdentificeerd in de primaire onderdrukkingsbron.
Selecteer een of meer waarden:
  • Filter van derden
  • Beheer geïnitieerde tijdreizen (ZAP)
  • Antimalwarebeleidsblok per bestandstype
  • Instellingen voor antispambeleid
  • Verbindingsbeleid
  • Regel voor uitwisselingstransport
  • Exclusieve modus (gebruiker overschrijven)
  • Filteren overgeslagen vanwege on-premises organisatie
  • IP-regiofilter van beleid
  • Taalfilter van beleid
  • Phishingsimulatie
  • Release in quarantaine
  • SecOps-postvak
  • Lijst met afzenderadressen (Beheer overschrijven)
  • Adressenlijst van afzenders (gebruiker overschrijven)
  • Lijst met afzenderdomeinen (Beheer overschrijven)
  • Lijst met afzenderdomeinen (gebruiker overschrijven)
  • Bestandsblok voor toestaan/blokkeren van tenant
  • E-mailadres van afzender van tenant toestaan/blokkeren
  • Blokkering van adresvervalsing van tenant toestaan/blokkeren
  • URL-blok voor toestaan/blokkeren van tenantlijst
  • Lijst met vertrouwde contactpersonen (onderdrukking door gebruiker)
  • Vertrouwd domein (gebruiker overschrijven)
  • Vertrouwde ontvanger (gebruiker overschrijven)
  • Alleen vertrouwde afzenders (gebruiker overschrijven)
Bron overschrijven Dezelfde waarden als primaire onderdrukkingsbron
Beleidstype Selecteer een of meer waarden:
  • Anti-malwarebeleid
  • Antiphishingbeleid
  • Exchange-transportregel (regel voor e-mailstroom), beleid voor gehoste inhoudsfilter (antispambeleid), gehoste uitgaande spamfilterbeleid (uitgaand spambeleid), beleid voor veilige bijlagen
  • Unknown
Beleidsactie Selecteer een of meer waarden:
  • X-header toevoegen
  • BCC-bericht
  • Bericht verwijderen
  • Onderwerp wijzigen
  • Verplaatsen naar de map Ongewenste Email
  • Geen actie ondernomen
  • Bericht omleiden
  • Verzenden naar quarantaine
Email grootte Geheel getal. Meerdere waarden scheiden door komma's.
Advanced
Internetbericht-id Sms. Meerdere waarden scheiden door komma's.

Beschikbaar in het veld Bericht-ID-koptekst in de berichtkop. Een voorbeeldwaarde is <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (let op de hoekhaken).
Netwerkbericht-id Sms. Meerdere waarden scheiden door komma's.

Een GUID-waarde die beschikbaar is in het kopveld X-MS-Exchange-Organization-Network-Message-Id in de berichtkop.
IP-adres van afzender Sms. Meerdere waarden scheiden door komma's.
Bijlage SHA256 Sms. Meerdere waarden scheiden door komma's.
Cluster-id Sms. Meerdere waarden scheiden door komma's.
Waarschuwings-id Sms. Meerdere waarden scheiden door komma's.
Waarschuwingsbeleids-id Sms. Meerdere waarden scheiden door komma's.
Campagne-id Sms. Meerdere waarden scheiden door komma's.
ZAP-URL-signaal Sms. Meerdere waarden scheiden door komma's.
URL's
AANTAL URL's Geheel getal. Meerdere waarden scheiden door komma's.
URL-domein Sms. Meerdere waarden scheiden door komma's.
URL-domein en -pad Sms. Meerdere waarden scheiden door komma's.
URL Sms. Meerdere waarden scheiden door komma's.
URL-pad Sms. Meerdere waarden scheiden door komma's.
URL-bron Selecteer een of meer waarden:
  • Bijlagen
  • Cloudbijlage
  • Email hoofdtekst
  • Email koptekst
  • QR-code
  • Onderwerp
  • Unknown
Klik op oordeel Selecteer een of meer waarden:
  • Toegestaan
  • Blokkeren overschreven
  • Geblokkeerd
  • Fout
  • Mislukking
  • Geen
  • Uitspraak in behandeling
  • Uitspraak in behandeling omzeild
URL-bedreiging Selecteer een of meer waarden:
  • Malware
  • Phishing
  • Spam
Bestand
Aantal bijlagen Geheel getal. Meerdere waarden scheiden door komma's.
Bestandsnaam van bijlage Sms. Meerdere waarden scheiden door komma's.
Bestandstype Sms. Meerdere waarden scheiden door komma's.
Bestandsextensie Sms. Meerdere waarden scheiden door komma's.
Bestandsgrootte Geheel getal. Meerdere waarden scheiden door komma's.
Verificatie
SPF Selecteer een of meer waarden:
  • Mislukken
  • Neutraal
  • Geen
  • Inhalen
  • Permanente fout
  • Soft fail
  • Tijdelijke fout
DKIM Selecteer een of meer waarden:
  • Fout
  • Mislukken
  • Negeren
  • Geen
  • Inhalen
  • Test
  • Timeout
  • Unknown
DMARC Selecteer een of meer waarden:
  • Best guess pass
  • Mislukken
  • Geen
  • Inhalen
  • Permanente fout
  • Selector pass
  • Tijdelijke fout
  • Unknown
Composiet Selecteer een of meer waarden:
  • Mislukken
  • Geen
  • Inhalen
  • Zachte pass

Draaitabellen voor de grafiek in de weergave Malware in Bedreigingsverkenner en realtime detecties

De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De grafiekdraaipunten die beschikbaar zijn in de weergave Malware in Bedreigingsverkenner en realtime detecties worden weergegeven in de volgende tabel:

Pivot Dreiging
Verkenner
Real-time
Detecties
Malwarefamilie
Afzenderdomein
IP-adres van afzender
Leveringsactie
Detectietechnologie

De beschikbare grafiekdraaipunten worden beschreven in de volgende subsecties.

Draaigrafiek van de malwarefamilie in de weergave Malware in Bedreigingsverkenner

Hoewel deze draai niet standaard geselecteerd lijkt, is Malware-familie de standaardgrafiek in de weergave Malware in Bedreigingsverkenner.

De draaitabel van de malwarefamilie organiseert de grafiek door de malwarefamilie die is gedetecteerd in berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Malware in Bedreigingsverkenner met behulp van de draaitabel van de malware-familie.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke malwarefamilie weergegeven.

Draaigrafiek van afzenderdomein in de weergave Malware in Bedreigingsverkenner

De draai van het afzenderdomein organiseert de grafiek op basis van het afzenderdomein van berichten die malware bevatten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Malware in Bedreigingsverkenner met behulp van de pivot Sender domain.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk afzenderdomein weergegeven.

Draai van het IP-diagram van de afzender in de weergave Malware in Bedreigingsverkenner

De draai van afzender-IP organiseert de grafiek op het bron-IP-adres van berichten die malware bevatten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Malware in Bedreigingsverkenner met behulp van de draai afzender-IP.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk bron-IP-adres weergegeven.

Draaigrafiek voor leveringsacties in de weergave Malware in Bedreigingsverkenner en detecties in realtime

Hoewel deze draai niet standaard geselecteerd lijkt, is de actie Levering de standaardgrafiek in de weergave Malware in realtime detecties.

Met de draai Bezorgingsactie wordt de grafiek ingedeeld op basis van wat er is gebeurd met berichten die malware bevatten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Malware in Bedreigingsverkenner met behulp van de draai Bezorgingsactie.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke leveringsactie weergegeven.

Grafiekdraaigrafiek van detectietechnologie in de weergave Malware in Bedreigingsverkenner en realtime detecties

De draai van detectietechnologie organiseert de grafiek op basis van de functie die malware in berichten heeft geïdentificeerd voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Malware in Bedreigingsverkenner met behulp van de detectietechnologie-draai.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke detectietechnologie weergegeven.

Weergaven voor het detailgebied van de weergave Malware in Bedreigingsverkenner en realtime detecties

De beschikbare weergaven (tabbladen) in het detailgebied van de weergave Malware worden weergegeven in de volgende tabel en worden beschreven in de volgende subsecties.

Weergeven Dreiging
Verkenner
Real-time
Detecties
E-mail
Belangrijkste malwarefamilies
Belangrijkste doelgebruikers
Email oorsprong
Campagne

Email weergave voor het detailgebied van de weergave Malware in Bedreigingsverkenner en realtime detecties

Email is de standaardweergave voor het detailgebied van de weergave Malware in Bedreigingsverkenner en realtime detecties.

In de weergave Email ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen.

In de volgende tabel ziet u de kolommen die beschikbaar zijn in Threat Explorer en realtime detecties. De standaardwaarden worden gemarkeerd met een sterretje (*).

Kolom Dreiging
Verkenner
Real-time
Detecties
Datum*
Onderwerp*
Ontvanger*
Ontvangerdomein
Tags*
Adres van afzender*
Weergavenaam van afzender
Afzenderdomein*
IP-adres van afzender
Afzender e-mail van adres
Afzender e-mail van domein
Aanvullende acties*
Leveringsactie
Meest recente leveringslocatie*
Oorspronkelijke leveringslocatie*
Bron van systeemoverschrijvingen
Systeemoverschrijvingen
Waarschuwings-id
Internetbericht-id
Netwerkbericht-id
E-mailtaal
Regel voor uitwisselingstransport
Connector
Context
Regel voor preventie van gegevensverlies
Bedreigingstype*
Detectietechnologie
Aantal bijlagen
AANTAL URL's
Email grootte

Tip

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

  • Horizontaal schuiven in uw webbrowser.
  • De breedte van de juiste kolommen beperken.
  • Kolommen uit de weergave verwijderen.
  • Uitzoomen in uw webbrowser.

Aangepaste kolominstellingen worden per gebruiker opgeslagen. Aangepaste kolominstellingen in de incognito- of InPrivate-browsemodus worden opgeslagen totdat u de webbrowser sluit.

Wanneer u een of meer items in de lijst selecteert door het selectievakje naast de eerste kolom in te schakelen, is actie ondernemen beschikbaar. Zie Opsporing van bedreigingen: Email herstel voor meer informatie.

Schermopname van de Email weergave (tabblad) van de detailtabel met een bericht geselecteerd en Actie ondernemen actief.

Wanneer u op de waarden onderwerp of ontvanger in een item klikt, worden de flyouts geopend. Deze flyouts worden beschreven in de volgende subsecties.

Email details uit de Email weergave van het detailgebied in de weergave Malware

Wanneer u de waarde Onderwerp van een item in de tabel selecteert, wordt er een flyout met e-mailgegevens geopend. Deze flyout voor details staat bekend als het Email overzichtsvenster en bevat gestandaardiseerde samenvattingsinformatie die ook beschikbaar is op de pagina Email entiteit voor het bericht.

Zie De Email samenvattingsvensters voor meer informatie over de informatie in het Email samenvattingsvenster.

De beschikbare acties boven aan het Email overzichtsvenster voor bedreigingsverkenner en realtimedetecties worden beschreven in de Email details uit de Email weergave van het detailgebied in de weergave Alle e-mail.

Details van geadresseerden in de weergave Email van het detailgebied in de weergave Malware

Wanneer u een item selecteert door op de waarde Ontvanger te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in Details van ontvanger in de Email weergave van het detailgebied in de weergave Alle e-mail.

Belangrijkste weergave van malwarefamilies voor het detailgebied van de weergave Malware in Bedreigingsverkenner

De weergave Belangrijkste malwarefamilies voor het detailgebied organiseert de gegevens in een tabel met de belangrijkste malwarefamilies. In de tabel ziet u het volgende:

  • Bovenste kolom malwarefamilies : de naam van de malwarefamilie.

    Als u een malwarefamilienaam selecteert, wordt er een flyout met details geopend die de volgende informatie bevat:

    • Email sectie: een tabel met de volgende gerelateerde informatie voor berichten die het malwarebestand bevatten:

      • Datum
      • Onderwerp
      • Ontvanger

      Selecteer Alle e-mail weergeven om Bedreigingsverkenner te openen op een nieuw tabblad, gefilterd op de naam van de malwarefamilie.

    • Sectie Technische details

    Schermopname van de flyout met details nadat u een malwarefamilie hebt geselecteerd op het tabblad Belangrijkste malwarefamilies van het detailgebied in de weergave Malware van Threat Explorer.

  • Het aantal pogingen: als u het aantal pogingen selecteert, wordt Bedreigingsverkenner geopend op een nieuw tabblad, gefilterd op de naam van de malwarefamilie.

De meest gerichte gebruikersweergave voor het detailgebied van de weergave Malware in Bedreigingsverkenner

De weergave Meest gerichte gebruikers organiseert de gegevens in een tabel met de vijf belangrijkste geadresseerden die het doelwit waren van malware. In de tabel ziet u het volgende:

Tip

Gebruik Exporteren om de lijst met maximaal 3000 gebruikers en de bijbehorende pogingen te exporteren.

Email oorsprongweergave voor het detailgebied van de weergave Malware in Bedreigingsverkenner

In de weergave Email oorsprong worden berichtbronnen weergegeven op een kaart van de wereld.

Campagneweergave voor het detailgebied van de weergave Malware in Bedreigingsverkenner

In de weergave Campagne ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken.

De detailtabel is identiek aan de detailtabel op de pagina Campagnes.

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de naam te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in Campagnedetails.

Phish-weergave in Bedreigingsverkenner en realtime detecties

In de weergave Phish in Bedreigingsverkenner en realtime detecties wordt informatie weergegeven over e-mailberichten die zijn geïdentificeerd als phishing.

Voer een van de volgende stappen uit om de weergave Phish te openen:

Schermopname van de weergave Phish in Bedreigingsverkenner met de grafiek, beschikbare draaipunten voor de grafiek en weergaven voor de detailtabel.

Filterbare eigenschappen in de weergave Phish in Threat Explorer en realtime detecties

Standaard worden er geen eigenschapsfilters toegepast op de gegevens. De stappen voor het maken van filters (query's) worden beschreven in de sectie Filters in Bedreigingsverkenner en realtime detecties verderop in dit artikel.

De filterbare eigenschappen die beschikbaar zijn in het vak Adres van afzender in de weergave Malware , worden beschreven in de volgende tabel:

Eigenschap Type Dreiging
Verkenner
Real-time
Detecties
Basic
Adres afzender Sms. Meerdere waarden scheiden door komma's.
Ontvangers Sms. Meerdere waarden scheiden door komma's.
Afzenderdomein Sms. Meerdere waarden scheiden door komma's.
Ontvangerdomein Sms. Meerdere waarden scheiden door komma's.
Onderwerp Sms. Meerdere waarden scheiden door komma's.
Weergavenaam van afzender Sms. Meerdere waarden scheiden door komma's.
Afzender e-mail van adres Sms. Meerdere waarden scheiden door komma's.
Afzender e-mail van domein Sms. Meerdere waarden scheiden door komma's.
Retourpad Sms. Meerdere waarden scheiden door komma's.
Paddomein retourneren Sms. Meerdere waarden scheiden door komma's.
Tags Sms. Meerdere waarden scheiden door komma's.

Zie Gebruikerstags voor meer informatie over gebruikerstags.
Geïmiteerd domein Sms. Meerdere waarden scheiden door komma's.
Geïmiteerde gebruiker Sms. Meerdere waarden scheiden door komma's.
Regel voor uitwisselingstransport Sms. Meerdere waarden scheiden door komma's.
Regel voor preventie van gegevensverlies Sms. Meerdere waarden scheiden door komma's.
Context Selecteer een of meer waarden:
  • Evaluatie
  • Prioriteit voor accountbeveiliging
Connector Sms. Meerdere waarden scheiden door komma's.
Leveringsactie Selecteer een of meer waarden:
Aanvullende actie Selecteer een of meer waarden:
  • Geautomatiseerd herstel
  • Dynamische levering
  • Handmatig herstel
  • Geen
  • Release in quarantaine
  • Verwerkt
  • ZAPPEN
Gerichtheid Selecteer een of meer waarden:
  • Inkomende
  • Intra-irg
  • Uitgaand
Detectietechnologie Selecteer een of meer waarden:
  • Geavanceerd filter
  • Antimalwarebescherming
  • Bulk
  • Campagne
  • Domeinreputatie
  • Bestandsonttoning
  • Reputatie van bestandsonttoning
  • Bestandsreputatie
  • Vingerafdrukkoppeling
  • Algemeen filter
  • Merk imitatie
  • Imitatiedomein
  • Imitatiegebruiker
  • IP-reputatie
  • Postvakinformatie-imitatie
  • Detectie van gemengde analyse
  • spoof DMARC
  • Spoof extern domein
  • Adresvervalsing binnen de organisatie
  • URL-detonatie
  • REPUTATIE van URL-detonatie
  • URL schadelijke reputatie
Oorspronkelijke leveringslocatie Selecteer een of meer waarden:
  • Map Verwijderde items
  • Gedaald
  • Mislukt
  • Postvak IN/map
  • Map Ongewenste e-mail
  • On-premises/extern
  • Quarantaine
  • Unknown
Meest recente leveringslocatie Dezelfde waarden als de oorspronkelijke leveringslocatie
Phish betrouwbaarheidsniveau Selecteer een of meer waarden:
  • Hoog
  • Normaal
Primaire onderdrukking Selecteer een of meer waarden:
  • Toegestaan door organisatiebeleid
  • Toegestaan door gebruikersbeleid
  • Geblokkeerd door organisatiebeleid
  • Geblokkeerd door gebruikersbeleid
  • Geen
Primaire onderdrukkingsbron Berichten kunnen meerdere onderdrukkingen voor toestaan of blokkeren hebben, zoals aangegeven in Onderdrukkingsbron. De onderdrukking die het bericht uiteindelijk heeft toegestaan of geblokkeerd, wordt geïdentificeerd in de primaire onderdrukkingsbron.
Selecteer een of meer waarden:
  • Filter van derden
  • Beheer geïnitieerde tijdreizen (ZAP)
  • Antimalwarebeleidsblok per bestandstype
  • Instellingen voor antispambeleid
  • Verbindingsbeleid
  • Regel voor uitwisselingstransport
  • Exclusieve modus (gebruiker overschrijven)
  • Filteren overgeslagen vanwege on-premises organisatie
  • IP-regiofilter van beleid
  • Taalfilter van beleid
  • Phishingsimulatie
  • Release in quarantaine
  • SecOps-postvak
  • Lijst met afzenderadressen (Beheer overschrijven)
  • Adressenlijst van afzenders (gebruiker overschrijven)
  • Lijst met afzenderdomeinen (Beheer overschrijven)
  • Lijst met afzenderdomeinen (gebruiker overschrijven)
  • Bestandsblok voor toestaan/blokkeren van tenant
  • E-mailadres van afzender van tenant toestaan/blokkeren
  • Blokkering van adresvervalsing van tenant toestaan/blokkeren
  • URL-blok voor toestaan/blokkeren van tenantlijst
  • Lijst met vertrouwde contactpersonen (onderdrukking door gebruiker)
  • Vertrouwd domein (gebruiker overschrijven)
  • Vertrouwde ontvanger (gebruiker overschrijven)
  • Alleen vertrouwde afzenders (gebruiker overschrijven)
Bron overschrijven Dezelfde waarden als primaire onderdrukkingsbron
Beleidstype Selecteer een of meer waarden:
  • Anti-malwarebeleid
  • Antiphishingbeleid
  • Exchange-transportregel (regel voor e-mailstroom), beleid voor gehoste inhoudsfilter (antispambeleid), gehoste uitgaande spamfilterbeleid (uitgaand spambeleid), beleid voor veilige bijlagen
  • Unknown
Beleidsactie Selecteer een of meer waarden:
  • X-header toevoegen
  • BCC-bericht
  • Bericht verwijderen
  • Onderwerp wijzigen
  • Verplaatsen naar de map Ongewenste Email
  • Geen actie ondernomen
  • Bericht omleiden
  • Verzenden naar quarantaine
Email grootte Geheel getal. Meerdere waarden scheiden door komma's.
Advanced
Internetbericht-id Sms. Meerdere waarden scheiden door komma's.

Beschikbaar in het veld Bericht-ID-koptekst in de berichtkop. Een voorbeeldwaarde is <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (let op de hoekhaken).
Netwerkbericht-id Sms. Meerdere waarden scheiden door komma's.

Een GUID-waarde die beschikbaar is in het kopveld X-MS-Exchange-Organization-Network-Message-Id in de berichtkop.
IP-adres van afzender Sms. Meerdere waarden scheiden door komma's.
Bijlage SHA256 Sms. Meerdere waarden scheiden door komma's.
Cluster-id Sms. Meerdere waarden scheiden door komma's.
Waarschuwings-id Sms. Meerdere waarden scheiden door komma's.
Waarschuwingsbeleids-id Sms. Meerdere waarden scheiden door komma's.
Campagne-id Sms. Meerdere waarden scheiden door komma's.
ZAP-URL-signaal Sms. Meerdere waarden scheiden door komma's.
URL's
AANTAL URL's Geheel getal. Meerdere waarden scheiden door komma's.
URL-domein Sms. Meerdere waarden scheiden door komma's.
URL-domein en -pad Sms. Meerdere waarden scheiden door komma's.
URL Sms. Meerdere waarden scheiden door komma's.
URL-pad Sms. Meerdere waarden scheiden door komma's.
URL-bron Selecteer een of meer waarden:
  • Bijlagen
  • Cloudbijlage
  • Email hoofdtekst
  • Email koptekst
  • QR-code
  • Onderwerp
  • Unknown
Klik op oordeel Selecteer een of meer waarden:
  • Toegestaan
  • Blokkeren overschreven
  • Geblokkeerd
  • Fout
  • Mislukking
  • Geen
  • Uitspraak in behandeling
  • Uitspraak in behandeling omzeild
URL-bedreiging Selecteer een of meer waarden:
  • Malware
  • Phishing
  • Spam
Bestand
Aantal bijlagen Geheel getal. Meerdere waarden scheiden door komma's.
Bestandsnaam van bijlage Sms. Meerdere waarden scheiden door komma's.
Bestandstype Sms. Meerdere waarden scheiden door komma's.
Bestandsextensie Sms. Meerdere waarden scheiden door komma's.
Bestandsgrootte Geheel getal. Meerdere waarden scheiden door komma's.
Verificatie
SPF Selecteer een of meer waarden:
  • Mislukken
  • Neutraal
  • Geen
  • Inhalen
  • Permanente fout
  • Soft fail
  • Tijdelijke fout
DKIM Selecteer een of meer waarden:
  • Fout
  • Mislukken
  • Negeren
  • Geen
  • Inhalen
  • Test
  • Timeout
  • Unknown
DMARC Selecteer een of meer waarden:
  • Best guess pass
  • Mislukken
  • Geen
  • Inhalen
  • Permanente fout
  • Selector pass
  • Tijdelijke fout
  • Unknown
Composiet Selecteer een of meer waarden:
  • Mislukken
  • Geen
  • Inhalen
  • Zachte pass

Draaiingen voor de grafiek in de weergave Phish in Bedreigingsverkenner en realtime detecties

De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De grafiekdraaipunten die beschikbaar zijn in de weergave Phish in Bedreigingsverkenner en realtimedetecties, worden weergegeven in de volgende tabel:

Pivot Dreiging
Verkenner
Real-time
Detecties
Afzenderdomein
IP-adres van afzender
Leveringsactie
Detectietechnologie
Volledige URL
URL-domein
URL-domein en -pad

De beschikbare grafiekdraaipunten worden beschreven in de volgende subsecties.

Draaigrafiek van afzenderdomein in de Phish-weergave in Bedreigingsverkenner en realtime detecties

Hoewel deze draai niet standaard geselecteerd lijkt, is het domein Afzender de standaardgrafiek in de phish-weergave in realtimedetecties.

De draai van het domein Afzender organiseert de grafiek op de domeinen in berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Phish in Bedreigingsverkenner met behulp van de draai van het domein Afzender.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk afzenderdomein weergegeven.

Draai van het IP-diagram van de afzender in de Phish-weergave in Bedreigingsverkenner

De draai van afzender-IP organiseert de grafiek op basis van de bron-IP-adressen van berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Phish in Threat Explorer met behulp van de draai sender IP.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk bron-IP-adres weergegeven.

Draaigrafiek voor leveringsacties in de weergave Phish in Bedreigingsverkenner en realtime detecties

Hoewel deze draai niet standaard geselecteerd lijkt, is de actie Delivery de standaardgrafiek in de phish-weergave in Threat Explorer.

De draai Bezorgingsactie organiseert de grafiek op basis van de acties die zijn uitgevoerd op berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Phish in Bedreigingsverkenner met behulp van de draai Bezorgingsactie.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke leveringsactie weergegeven.

Grafiekdraaigrafiek van detectietechnologie in de weergave Phish in Bedreigingsverkenner en realtime detecties

De draai van detectietechnologie organiseert de grafiek op basis van de functie die de phishingberichten identificeert voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Phish in Threat Explorer met behulp van de draaioptie Detectietechnologie.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke detectietechnologie weergegeven.

Draai van volledige URL-grafiek in de Phish-weergave in Bedreigingsverkenner

De volledige URL-draai ordent de grafiek op basis van de volledige URL's in phishingberichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Phish in Threat Explorer met behulp van de draai volledige URL.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke volledige URL weergegeven.

Draaigrafiek van URL-domein in de Phish-weergave in Bedreigingsverkenner en realtime detecties

De url-domein draaitabel organiseert de grafiek op basis van de domeinen in URL's in phishingberichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de Phish-weergave in Threat Explorer met behulp van de URL-domeinpivot.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, ziet u het aantal voor elk URL-domein.

Draaigrafiek url-domein en pad in de Phish-weergave in Bedreigingsverkenner

De draai van het URL-domein en -pad organiseert de grafiek op basis van de domeinen en paden in URL's in phishingberichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de Phish-weergave in Threat Explorer met behulp van de URL-domein- en padpivot.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal url-domein en -pad weergegeven.

Weergaven voor het detailgebied van de weergave Phish in Threat Explorer

De beschikbare weergaven (tabbladen) in het detailgebied van de weergave Phish worden weergegeven in de volgende tabel en worden beschreven in de volgende subsecties.

Weergeven Dreiging
Verkenner
Real-time
Detecties
E-mail
URL-klikken
Belangrijkste URL's
Meest klikken
Belangrijkste doelgebruikers
Email oorsprong
Campagne

Email weergave voor het detailgebied van de weergave Phish in Bedreigingsverkenner en realtime detecties

Email is de standaardweergave voor het detailgebied van de weergave Phish in Threat Explorer en realtime detecties.

In de weergave Email ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen.

In de volgende tabel ziet u de kolommen die beschikbaar zijn in Threat Explorer en realtime detecties. De standaardwaarden worden gemarkeerd met een sterretje (*).

Kolom Dreiging
Verkenner
Real-time
Detecties
Datum*
Onderwerp*
Ontvanger*
Ontvangerdomein
Tags*
Adres van afzender*
Weergavenaam van afzender
Afzenderdomein*
IP-adres van afzender
Afzender e-mail van adres
Afzender e-mail van domein
Aanvullende acties*
Leveringsactie
Meest recente leveringslocatie*
Oorspronkelijke leveringslocatie*
Bron van systeemoverschrijvingen
Systeemoverschrijvingen
Waarschuwings-id
Internetbericht-id
Netwerkbericht-id
E-mailtaal
Regel voor uitwisselingstransport
Connector
Phish betrouwbaarheidsniveau
Context
Regel voor preventie van gegevensverlies
Bedreigingstype*
Detectietechnologie
Aantal bijlagen
AANTAL URL's
Email grootte

Tip

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

  • Horizontaal schuiven in uw webbrowser.
  • De breedte van de juiste kolommen beperken.
  • Kolommen uit de weergave verwijderen.
  • Uitzoomen in uw webbrowser.

Aangepaste kolominstellingen worden per gebruiker opgeslagen. Aangepaste kolominstellingen in de incognito- of InPrivate-browsemodus worden opgeslagen totdat u de webbrowser sluit.

Wanneer u een of meer items in de lijst selecteert door het selectievakje naast de eerste kolom in te schakelen, is actie ondernemen beschikbaar. Zie Opsporing van bedreigingen: Email herstel voor meer informatie.

Schermopname van de Email weergave (tabblad) van de detailtabel met een bericht geselecteerd en Actie ondernemen actief.

Wanneer u op de waarden onderwerp of ontvanger in een item klikt, worden de flyouts geopend. Deze flyouts worden beschreven in de volgende subsecties.

Email details uit de Email weergave van het detailgebied in de weergave Phish

Wanneer u de waarde Onderwerp van een item in de tabel selecteert, wordt er een flyout met e-mailgegevens geopend. Deze flyout voor details staat bekend als het Email overzichtsvenster en bevat gestandaardiseerde samenvattingsinformatie die ook beschikbaar is op de pagina Email entiteit voor het bericht.

Zie Het Email-overzichtsvenster in Defender voor Office 365 functies voor meer informatie over de informatie in het Email overzichtsvenster.

De beschikbare acties boven aan het Email overzichtsvenster voor bedreigingsverkenner en realtimedetecties worden beschreven in de Email details uit de Email weergave van het detailgebied in de weergave Alle e-mail.

Details van geadresseerden in de Email weergave van het detailgebied in de weergave Phish

Wanneer u een item selecteert door op de waarde Ontvanger te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in Details van ontvanger in de Email weergave van het detailgebied in de weergave Alle e-mail.

Url klikt op weergave voor het detailgebied van de Phish-weergave in Bedreigingsverkenner en realtime detecties

In de weergave URL-klikken ziet u een grafiek die kan worden geordend met behulp van draaipunten. De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De grafiekdraaipunten die beschikbaar zijn in de weergave Malware in Bedreigingsverkenner en realtime detecties, worden beschreven in de volgende tabel:

Pivot Dreiging
Verkenner
Real-time
Detecties
URL-domein
Klik op oordeel
URL
URL-domein en -pad

Dezelfde grafiekdraaipunten zijn beschikbaar en beschreven voor de weergave Alle e-mail in Bedreigingsverkenner:

Schermopname van het detailgebied van de Phish-weergave in Bedreigingsverkenner met het tabblad URL-klikken geselecteerd en de beschikbare draaipunten zonder pivot geselecteerd.

Tip

In Bedreigingsverkenner heeft elke draai in de weergave URL-klikken een actie Alle klikken weergeven waarmee de weergave URL-klikken in Bedreigingsverkenner op een nieuw tabblad wordt geopend. Deze actie is niet beschikbaar in realtime detecties, omdat de weergave URL-klikken niet beschikbaar is in realtime detecties.

Weergave belangrijkste URL's voor het detailgebied van de weergave Phish in Threat Explorer en realtime detecties

In de weergave Bovenste URL's ziet u een detailtabel. U kunt de vermeldingen sorteren door op een beschikbare kolomkop te klikken:

  • URL
  • Geblokkeerde berichten
  • Ongewenste berichten
  • Bezorgde berichten
Belangrijkste URL-details voor de Phish-weergave

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de eerste kolom te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als die wordt beschreven in De details van de belangrijkste URL's voor de weergave Alle e-mail.

Tip

De actie Ga zoeken is alleen beschikbaar in Bedreigingsverkenner. Deze is niet beschikbaar in realtime detecties.

Weergave meest klikken voor het detailgebied van de Phish-weergave in Bedreigingsverkenner en realtime detecties

In de weergave Meest klikken wordt een detailtabel weergegeven. U kunt de vermeldingen sorteren door op een beschikbare kolomkop te klikken:

  • URL
  • Geblokkeerd
  • Toegestaan
  • Blokkeren overschreven
  • Uitspraak in behandeling
  • Uitspraak in behandeling omzeild
  • Geen
  • Foutpagina
  • Mislukking

Tip

Alle beschikbare kolommen zijn geselecteerd. Als u Kolommen aanpassen selecteert, kunt u de selectie van kolommen niet opheffen.

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

  • Horizontaal schuiven in uw webbrowser.
  • De breedte van de juiste kolommen beperken.
  • Uitzoomen in uw webbrowser.

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de eerste kolom te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als die wordt beschreven in De details van de belangrijkste URL's voor de weergave Alle e-mail.

Meest gerichte gebruikersweergave voor het detailgebied van de Phish-weergave in Bedreigingsverkenner

De weergave Meest gerichte gebruikers ordent de gegevens in een tabel met de vijf belangrijkste geadresseerden die het doelwit waren van phishingpogingen. In de tabel ziet u het volgende:

Tip

Gebruik Exporteren om de lijst met maximaal 3000 gebruikers en de bijbehorende pogingen te exporteren.

Email oorspronkelijke weergave voor het detailgebied van de weergave Phish in Threat Explorer

In de weergave Email oorsprong worden berichtbronnen weergegeven op een kaart van de wereld.

Campagneweergave voor het detailgebied van de Phish-weergave in Bedreigingsverkenner

In de weergave Campagne ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken.

De informatie in de tabel is hetzelfde als beschreven in de detailtabel op de pagina Campagnes.

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de naam te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in Campagnedetails.

Weergave Campagnes in Bedreigingsverkenner

In de weergave Campagnes in Bedreigingsverkenner ziet u informatie over bedreigingen die zijn geïdentificeerd als gecoördineerde phishing- en malwareaanvallen, specifiek voor uw organisatie of voor andere organisaties in Microsoft 365.

Als u de weergave Campagnes wilt openen op de pagina Explorer in de Defender-portal op https://security.microsoft.com, gaat u naar Email &tabbladCampagnes in samenwerking>explorer>. U kunt ook rechtstreeks naar de pagina Explorer gaan met behulp van https://security.microsoft.com/threatexplorerv3en vervolgens het tabblad Campagnes selecteren.

Alle beschikbare informatie en acties zijn identiek aan de informatie en acties op de pagina Campagnes op https://security.microsoft.com/campaignsv3. Zie de pagina Campagnes in de Microsoft Defender portal voor meer informatie.

Schermopname van de weergave Campagnes in Bedreigingsverkenner met de grafiek, beschikbare draaipunten voor de grafiek en weergaven voor de detailtabel.

Weergave van inhoudsmalware in Bedreigingsverkenner en realtime detecties

In de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties wordt informatie weergegeven over bestanden die zijn geïdentificeerd als malware door:

Voer een van de volgende stappen uit om de weergave Inhoudsmalware te openen:

Schermopname van de weergave Cotent malware in Threat Explorer met de grafiek, beschikbare draaipunten voor de grafiek en weergaven voor de detailtabel.

Filterbare eigenschappen in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

Standaard worden er geen eigenschapsfilters toegepast op de gegevens. De stappen voor het maken van filters (query's) worden beschreven in de sectie Filters in Bedreigingsverkenner en realtime detecties verderop in dit artikel.

De filterbare eigenschappen die beschikbaar zijn in het vak Bestandsnaam in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties, worden beschreven in de volgende tabel:

Eigenschap Type Dreiging
Verkenner
Real-time
Detecties
Bestand
Bestandsnaam Sms. Meerdere waarden scheiden door komma's.
Workload Selecteer een of meer waarden:
  • OneDrive
  • SharePoint
  • Teams
Ligging Sms. Meerdere waarden scheiden door komma's.
Bestandseigenaar Sms. Meerdere waarden scheiden door komma's.
Laatst gewijzigd door Sms. Meerdere waarden scheiden door komma's.
SHA256 Geheel getal. Meerdere waarden scheiden door komma's.

Als u de SHA256-hashwaarde van een bestand in Windows wilt vinden, voert u de volgende opdracht uit in een opdrachtprompt: certutil.exe -hashfile "<Path>\<Filename>" SHA256.
Malwarefamilie Sms. Meerdere waarden scheiden door komma's.
Detectietechnologie Selecteer een of meer waarden:
  • Geavanceerd filter
  • Antimalwarebescherming
  • Bulk
  • Campagne
  • Domeinreputatie
  • Bestandsonttoning
  • Reputatie van bestandsonttoning
  • Bestandsreputatie
  • Vingerafdrukkoppeling
  • Algemeen filter
  • Merk imitatie
  • Imitatiedomein
  • Imitatiegebruiker
  • IP-reputatie
  • Postvakinformatie-imitatie
  • Detectie van gemengde analyse
  • spoof DMARC
  • Spoof extern domein
  • Adresvervalsing binnen de organisatie
  • URL-detonatie
  • REPUTATIE van URL-detonatie
  • URL schadelijke reputatie
Bedreigingstype Selecteer een of meer waarden:
  • Blokkeren
  • Malware
  • Phishing
  • Spam

Draaitabellen voor de grafiek in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De grafiek draaitabellen die beschikbaar zijn in de weergave Inhoud malware in Bedreigingsverkenner en realtime detecties worden weergegeven in de volgende tabel:

Pivot Dreiging
Verkenner
Real-time
Detecties
Malwarefamilie
Detectietechnologie
Workload

De beschikbare grafiekdraaipunten worden beschreven in de volgende subsecties.

Draaigrafiek van de malwarefamilie in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

Hoewel deze draai niet standaard is geselecteerd, is Malware-familie de standaardgrafiek in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties.

De draaitabel van de malwarefamilie organiseert de grafiek op basis van de malware die is geïdentificeerd in bestanden in SharePoint, OneDrive en Microsoft Teams met behulp van het opgegeven datum-/tijdsbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Inhoudsmalware in Bedreigingsverkenner met behulp van de draaitabel van de malwarefamilie.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke malwarefamilie weergegeven.

Grafiekdraaigrafiek van detectietechnologie in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

De draai van de detectietechnologie organiseert de grafiek op basis van de functie waarmee malware is geïdentificeerd in bestanden in SharePoint, OneDrive en Microsoft Teams voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Inhoudsmalware in Bedreigingsverkenner met behulp van de draaipunt Detectietechnologie.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke detectietechnologie weergegeven.

Draaigrafiek in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

De draai van de werkbelasting organiseert de grafiek op de locatie waar de malware is geïdentificeerd (SharePoint, OneDrive of Microsoft Teams) voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave Malware in Bedreigingsverkenner met behulp van de draaitabel Workload.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke workload weergegeven.

Weergaven voor het detailgebied van de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

In Bedreigingsverkenner en realtime detecties bevat het detailgebied van de weergave Inhoudsmalware slechts één weergave (tabblad) met de naam Documenten. Deze weergave wordt beschreven in de volgende subsectie.

Documentweergave voor het detailgebied van de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

Document is de standaard- en enige weergave voor het detailgebied in de weergave Inhoudsmalware .

In de documentweergave wordt een detailtabel weergegeven. U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaardwaarden worden aangegeven met een sterretje (*):

  • Datum*
  • Naam*
  • Werkdruk*
  • Dreiging*
  • Detectietechnologie*
  • Laatst wijzigende gebruiker*
  • Bestandseigenaar*
  • Grootte (bytes)*
  • Tijdstip laatst gewijzigd
  • Sitepad
  • Bestandspad
  • Document-id
  • SHA256
  • Gedetecteerde datum
  • Malwarefamilie
  • Context

Tip

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

  • Horizontaal schuiven in uw webbrowser.
  • De breedte van de juiste kolommen beperken.
  • Kolommen uit de weergave verwijderen.
  • Uitzoomen in uw webbrowser.

Aangepaste kolominstellingen worden per gebruiker opgeslagen. Aangepaste kolominstellingen in de incognito- of InPrivate-browsemodus worden opgeslagen totdat u de webbrowser sluit.

Wanneer u een bestandsnaamwaarde selecteert in de kolom Naam , wordt er een flyout met details geopend. De flyout bevat de volgende informatie:

  • Overzichtssectie :

    • Bestandsnaam
    • Sitepad
    • Bestandspad
    • Document-id
    • SHA256
    • Laatste wijzigingsdatum
    • Laatst gewijzigd door
    • Dreiging
    • Detectietechnologie
  • Sectie Details :

    • Gedetecteerde datum
    • Gedetecteerd door
    • Naam van malware
    • Laatst gewijzigd door
    • Bestandsgrootte
    • Bestandseigenaar
  • Email lijstsectie: een tabel met de volgende gerelateerde informatie voor berichten die het malwarebestand bevatten:

    • Datum
    • Onderwerp
    • Ontvanger

    Selecteer Alle e-mail weergeven om Bedreigingsverkenner te openen op een nieuw tabblad, gefilterd op de naam van de malwarefamilie.

  • Recente activiteit: toont de samengevatte resultaten van een zoekopdracht in het auditlogboek voor de ontvanger:

    • Datum
    • IP-adres
    • Activiteit
    • Item

    Als de ontvanger meer dan drie vermeldingen in het auditlogboek heeft, selecteert u Alle recente activiteiten weergeven om deze allemaal weer te geven.

    Tip

    Leden van de rolgroep Beveiligingsbeheerders in Email & samenwerkingsmachtigingen kunnen de sectie Recente activiteit niet uitbreiden. U moet lid zijn van een rollengroep in Exchange Online machtigingen waaraan de rollen Auditlogboeken, Information Protection Analist of Information Protection Onderzoeker zijn toegewezen. Deze rollen worden standaard toegewezen aan de rollengroepen Recordbeheer, Compliancebeheer, Information Protection, Information Protection Analisten, Information Protection Onderzoekers en Organisatiebeheer. U kunt de leden van beveiligingsbeheerders toevoegen aan deze rollengroepen of u kunt een nieuwe rollengroep maken met de rol Auditlogboeken toegewezen.

Schermopname van de flyout met details vanuit de documentweergave voor het detailgebied van de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties.

Weergave URL-klikken in Bedreigingsverkenner

In de weergave URL-klikken in Bedreigingsverkenner ziet u alle klikken van gebruikers op URL's in e-mail, in ondersteunde Office-bestanden in SharePoint en OneDrive en in Microsoft Teams.

Als u de weergave URL-kliks wilt openen op de pagina Explorer in de Defender-portal op https://security.microsoft.com, gaat u naar Email & tabbladUrl's voorsamenwerking>explorer>. Of ga rechtstreeks naar de pagina Explorer met behulp van https://security.microsoft.com/threatexplorerv3en selecteer vervolgens het tabblad URL-klikken.

Schermopname van de weergave URL-klikken in Bedreigingsverkenner met de grafiek, beschikbare draaipunten voor de grafiek en weergaven voor de detailtabel.

Filterbare eigenschappen in de weergave URL-klikken in Bedreigingsverkenner

Standaard worden er geen eigenschapsfilters toegepast op de gegevens. De stappen voor het maken van filters (query's) worden beschreven in de sectie Filters in Bedreigingsverkenner en realtime detecties verderop in dit artikel.

De filterbare eigenschappen die beschikbaar zijn in het vak Geadresseerden in de weergave URL-klikken in Bedreigingsverkenner , worden beschreven in de volgende tabel:

Eigenschap Type
Basic
Ontvangers Sms. Meerdere waarden scheiden door komma's.
Tags Sms. Meerdere waarden scheiden door komma's.

Zie Gebruikerstags voor meer informatie over gebruikerstags.
Netwerkbericht-id Sms. Meerdere waarden scheiden door komma's.

Een GUID-waarde die beschikbaar is in het kopveld X-MS-Exchange-Organization-Network-Message-Id in de berichtkop.
URL Sms. Meerdere waarden scheiden door komma's.
Klik op actie Selecteer een of meer waarden:
  • Toegestaan
  • Pagina blokkeren
  • Overschrijving van pagina blokkeren
  • Foutpagina
  • Mislukking
  • Geen
  • Pagina In behandeling
  • Pagina-onderdrukking in behandeling
Bedreigingstype Selecteer een of meer waarden:
  • Toestaan
  • Blokkeren
  • Malware
  • Phishing
  • Spam
Detectietechnologie Selecteer een of meer waarden:
  • URL-detonatie
  • REPUTATIE van URL-detonatie
  • URL schadelijke reputatie
Klik op Id Sms. Meerdere waarden scheiden door komma's.
Client-IP Sms. Meerdere waarden scheiden door komma's.

Draaitabellen voor de grafiek in de weergave URL-klikken in Bedreigingsverkenner

De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De beschikbare grafiekdraaipunten worden beschreven in de volgende subsecties.

Draaigrafiek van URL-domein in de weergave URL-klikken in Bedreigingsverkenner

Hoewel deze draai niet standaard geselecteerd lijkt, is HET URL-domein de standaardgrafiek in de weergave URL-klikken .

De draai van het URL-domein organiseert de grafiek op basis van de domeinen in URL's waarop gebruikers hebben geklikt in e-mail, Office-bestanden of Microsoft Teams voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave URL-klikken in Bedreigingsverkenner met behulp van de URL-domeinpivot.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, ziet u het aantal voor elk URL-domein.

Draai van workloadgrafiek in de weergave URL-klikken in Bedreigingsverkenner

De draai van de werkbelasting organiseert de grafiek op de locatie van de url waarop is geklikt (e-mail, Office-bestanden of Microsoft Teams) voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave URL-klikken in Bedreigingsverkenner met behulp van de draai workload.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke workload weergegeven.

Grafiekdraaigrafiek van detectietechnologie in de weergave URL-klikken in Bedreigingsverkenner

De draai van detectietechnologie organiseert de grafiek op basis van de functie die de URL-klikken in e-mail, Office-bestanden of Microsoft Teams identificeert voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave URL-klikken in Bedreigingsverkenner met behulp van de draaiknop Detectietechnologie.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke detectietechnologie weergegeven.

Grafiek draaien van bedreigingstype in de weergave URL-klikken in Bedreigingsverkenner

De draaitabel Bedreigingstype ordent de grafiek op basis van de resultaten voor url's in e-mail, Office-bestanden of Microsoft Teams voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Schermopname van de grafiek in de weergave URL-klikken in Bedreigingsverkenner met behulp van de draaitabel Bedreigingstype.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, ziet u het aantal voor elke technologie van het bedreigingstype.

Weergaven voor het detailgebied van de weergave URL-klikken in Bedreigingsverkenner

De beschikbare weergaven (tabbladen) in het detailgebied van de weergave URL-klikken worden beschreven in de volgende subsecties.

Resultatenweergave voor het detailgebied van de weergave URL-klikken in Bedreigingsverkenner

Resultaten is de standaardweergave voor het detailgebied in de weergave URL-klikken .

In de weergave Resultaten ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle kolommen geselecteerd:

  • Tijd waarop is geklikt
  • Ontvanger
  • URL-klikactie
  • URL
  • Tags
  • Netwerkbericht-id
  • Klik op Id
  • Client-IP
  • URL-keten
  • Bedreigingstype
  • Detectietechnologie

Tip

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

  • Horizontaal schuiven in uw webbrowser.
  • De breedte van de juiste kolommen beperken.
  • Kolommen uit de weergave verwijderen.
  • Uitzoomen in uw webbrowser.

Aangepaste kolominstellingen worden per gebruiker opgeslagen. Aangepaste kolominstellingen in de incognito- of InPrivate-browsemodus worden opgeslagen totdat u de webbrowser sluit.

Selecteer een of-items door het selectievakje naast de eerste kolom in de rij in te schakelen en selecteer vervolgens Alle e-mailberichten weergeven om Bedreigingsverkenner te openen in de weergave Alle e-mail op een nieuw tabblad dat is gefilterd op de netwerkbericht-id-waarden van de geselecteerde berichten.

Weergave Meest klikken voor het detailgebied van de weergave URL-klikken in Bedreigingsverkenner

In de weergave Meest klikken wordt een detailtabel weergegeven. U kunt de vermeldingen sorteren door op een beschikbare kolomkop te klikken:

  • URL
  • Geblokkeerd
  • Toegestaan
  • Blokkeren overschreven
  • Uitspraak in behandeling
  • Uitspraak in behandeling omzeild
  • Geen
  • Foutpagina
  • Mislukking

Tip

Alle beschikbare kolommen zijn geselecteerd. Als u Kolommen aanpassen selecteert, kunt u de selectie van kolommen niet opheffen.

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

  • Horizontaal schuiven in uw webbrowser.
  • De breedte van de juiste kolommen beperken.
  • Uitzoomen in uw webbrowser.

Selecteer een item door het selectievakje naast de eerste kolom in de rij in te schakelen en selecteer vervolgens Alle klikken weergeven om Bedreigingsverkenner te openen in een nieuw tabblad in de weergave URL-klikken.

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de eerste kolom te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als die wordt beschreven in De details van de belangrijkste URL's voor de weergave Alle e-mail.

Meest gerichte gebruikersweergave voor het detailgebied van de weergave URL-klikken in Bedreigingsverkenner

De weergave Belangrijkste doelgebruikers ordent de gegevens in een tabel met de vijf belangrijkste geadresseerden die op URL's hebben geklikt. In de tabel ziet u het volgende:

Tip

Gebruik Exporteren om de lijst met maximaal 3000 gebruikers en de bijbehorende pogingen te exporteren.

Eigenschapsfilters in Bedreigingsverkenner en realtime detecties

De basissyntaxis van een eigenschappenfilter/query is:

Voorwaarde = <filtereigenschap><Filteroperator><Eigenschapswaarde of -waarden>

Meerdere voorwaarden gebruiken de volgende syntaxis:

<Voorwaarde1><EN | OR-voorwaarde2><><EN | OR-voorwaarde3><>... <EN | OR-voorwaarde><>

Tip

Zoekopdrachten met jokertekens (**** of ?) worden niet ondersteund in tekst of gehele getallen. De eigenschap Onderwerp maakt gebruik van gedeeltelijke tekstkoppeling en levert resultaten op die vergelijkbaar zijn met een zoekopdracht met jokertekens.

De stappen voor het maken van eigenschappenfilter-/queryvoorwaarden zijn hetzelfde in alle weergaven in Bedreigingsverkenner en realtime detecties:

  1. Identificeer de filtereigenschap met behulp van de tabellen in de beschrijvingssecties van de preview-weergave eerder in dit artikel.

  2. Selecteer een beschikbare filteroperator. De beschikbare filteroperatoren zijn afhankelijk van het eigenschapstype zoals beschreven in de volgende tabel:

    Filteroperator Eigenschapstype
    Gelijk aan een van Tekst
    Geheel getal
    Discrete waarden
    Gelijk aan geen van Tekst
    Discrete waarden
    Groter dan Geheel getal
    Kleiner dan Geheel getal
  3. Voer een of meer eigenschapswaarden in of selecteer deze. Voor tekstwaarden en gehele getallen kunt u meerdere waarden invoeren, gescheiden door komma's.

    Meerdere waarden in de eigenschapswaarde gebruiken de logische operator OR. Bijvoorbeeld : Afzenderadres>Gelijk aan een van>bob@fabrikam.com,cindy@fabrikam.com betekent Afzenderadres>Gelijk aan een van>bob@fabrikam.com OF cindy@fabrikam.com.

    Nadat u een of meer eigenschapswaarden hebt ingevoerd of geselecteerd, wordt de voltooide filtervoorwaarde weergegeven onder de vakken voor het maken van filters.

    Tip

    Voor eigenschappen waarvoor u een of meer beschikbare waarden moet selecteren, heeft het gebruik van de eigenschap in de filtervoorwaarde met alle geselecteerde waarden hetzelfde resultaat als het niet gebruiken van de eigenschap in de filtervoorwaarde.

  4. Als u nog een voorwaarde wilt toevoegen, herhaalt u de vorige drie stappen.

    De voorwaarden onder de vakken voor het maken van filters worden gescheiden door de logische operator die is geselecteerd op het moment dat u de tweede of volgende voorwaarden hebt gemaakt. De standaardwaarde is AND, maar u kunt ook OF selecteren.

    Dezelfde logische operator wordt gebruikt tussen alle voorwaarden: ze zijn allemaal EN of ze zijn allemaal OF. Als u de bestaande logische operators wilt wijzigen, selecteert u het vak logische operator en selecteert u VERVOLGENS EN of OF.

    Als u een bestaande voorwaarde wilt bewerken, dubbelklikt u erop om de geselecteerde eigenschap, filteroperator en waarden weer in de bijbehorende vakken te plaatsen.

    Als u een bestaande voorwaarde wilt verwijderen, selecteert u op de voorwaarde.

  5. Als u het filter wilt toepassen op de grafiek en de detailtabel, selecteert u Vernieuwen

    Schermopname van een voorbeeldquery in Threat Explorer of realtime detecties met meerdere voorwaarden.

Opgeslagen query's in Bedreigingsverkenner

Tip

Query opslaan maakt deel uit van bedreigingstrackers en is niet beschikbaar in realtime detecties. Opgeslagen query's en bedreigingstrackers zijn alleen beschikbaar in Defender voor Office 365 Abonnement 2.

Query opslaan is niet beschikbaar in de weergave Inhoudsmalware.

Met de meeste weergaven in Threat Explorer kunt u filters (query's) opslaan voor later gebruik. Opgeslagen query's zijn beschikbaar op de pagina Bedreigingstracking in de Defender-portal op https://security.microsoft.com/threattrackerv2. Zie Bedreigingstrackers in Microsoft Defender voor Office 365 Plan 2 voor meer informatie over bedreigingstrackers.

Voer de volgende stappen uit om query's op te slaan in Threat Explorer:

  1. Nadat u het filter/de query hebt gemaakt zoals eerder beschreven, selecteert u Query> opslaanQuery opslaan.

  2. Configureer in de flyout Query opslaan die wordt geopend de volgende opties:

    • Querynaam: voer een unieke naam in voor de query.
    • Selecteer een van de volgende opties:
      • Exacte datums: selecteer een begin- en einddatum in de vakken. De oudste begindatum die u kunt selecteren is 30 dagen voor vandaag. De nieuwste einddatum die u kunt selecteren, is vandaag.
      • Relatieve datums: selecteer het aantal dagen in de laatste nn dagen weergeven waarop de zoekopdracht wordt uitgevoerd. De standaardwaarde is 7, maar u kunt 1 tot 30 selecteren.
    • Query bijhouden: deze optie is standaard niet geselecteerd. Deze optie is van invloed op of de query automatisch wordt uitgevoerd:
      • Query bijhouden is niet geselecteerd: de query kan handmatig worden uitgevoerd in Threat Explorer. De query wordt opgeslagen op het tabblad Opgeslagen query's op de pagina Bedreigingstracking met de eigenschap Bijgehouden waardeNee.
      • Geselecteerde query bijhouden : de query wordt periodiek op de achtergrond uitgevoerd. De query is beschikbaar op het tabblad Opgeslagen query's op de pagina Bedreigingstracking met de eigenschapSwaarde Bijgehouden queryJa. De periodieke resultaten van de query worden weergegeven op het tabblad Bijgehouden query's op de pagina Bedreigingstracking .

    Wanneer u klaar bent in de flyout Query opslaan , selecteert u Opslaan en selecteert u vervolgens OK in het bevestigingsdialoogvenster.

Schermopname van de flyout Query opslaan in Bedreigingsverkenner in de Defender-portal.

Op het tabblad Opgeslagen query of Bijgehouden query op de pagina Bedreigingstracker in de Defender-portal op https://security.microsoft.com/threattrackerv2kunt u Verkennen selecteren in de kolom Acties om de query te openen en te gebruiken in Bedreigingsverkenner.

Wanneer u de query opent door Verkennen te selecteren op de pagina Bedreigingstracking, zijn de instellingen voor Query opslaan als en Opgeslagen query nu beschikbaar in Query opslaan op de pagina Explorer:

  • Als u Query opslaan als selecteert, wordt de flyout Query opslaan geopend met alle eerder geselecteerde instellingen. Als u wijzigingen aanbrengt, selecteert u Opslaan en selecteert u vervolgens OK in het dialoogvenster Geslaagd, wordt de bijgewerkte query opgeslagen als een nieuwe query op de pagina Bedreigingstracking (mogelijk moet u Vernieuwen selecteren om deze te zien).

  • Als u Opgeslagen queryinstellingen selecteert, wordt de flyout Opgeslagen query-instellingen geopend, waar u de instellingen voor de datum en Query bijhouden van de bestaande query kunt bijwerken.

Schermopname van Query opslaan in Bedreigingsverkenner met Query opslaan als en Opgeslagen query-instellingen beschikbaar.

Meer informatie