Over Threat Explorer en realtime detecties in Microsoft Defender voor Office 365

• Geldt voor:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

Microsoft 365-organisaties die Microsoft Defender voor Office 365 hebben opgenomen in hun abonnement of die zijn gekocht als een invoegtoepassing, hebben Explorer (ook wel bekend als Threat Explorer) of realtime detecties. Deze functies zijn krachtige, bijna realtime rapportagehulpprogramma's waarmee SecOps-teams (Security Operations) bedreigingen kunnen onderzoeken en erop kunnen reageren.

Afhankelijk van uw abonnement zijn Bedreigingsverkenner of realtime detecties beschikbaar in de sectie Email & samenwerking in de Microsoft Defender portal op https://security.microsoft.com:

• Realtime detecties zijn beschikbaar in Defender voor Office 365 Abonnement 1. De pagina Realtime detecties is rechtstreeks beschikbaar op https://security.microsoft.com/realtimereportsv3.

  

• Threat Explorer is beschikbaar in Defender voor Office 365 Abonnement 2. De pagina Explorer is rechtstreeks beschikbaar op https://security.microsoft.com/threatexplorerv3.

  

Threat Explorer bevat dezelfde informatie en mogelijkheden als realtime detecties, maar met de volgende aanvullende functies:

• Meer weergaven.
• Meer opties voor het filteren van eigenschappen, waaronder de optie om query's op te slaan.
• Meer acties.

Voor meer informatie over de verschillen tussen Defender voor Office 365 Abonnement 1 en Abonnement 2 raadpleegt u de Defender voor Office 365 Plan 1 versus Plan 2 cheatsheet.

In de rest van dit artikel worden de weergaven en functies uitgelegd die beschikbaar zijn in Bedreigingsverkenner en realtime detecties.

Tip

Zie de volgende artikelen voor e-mailscenario's die gebruikmaken van Threat Explorer en realtime detecties:

• Opsporing van bedreigingen in Threat Explorer en realtime detecties in Microsoft Defender voor Office 365
• Email beveiliging met Threat Explorer en realtime detecties in Microsoft Defender voor Office 365
• Onderzoek schadelijke e-mail die is bezorgd in Microsoft 365

Machtigingen en licenties voor Threat Explorer en realtime detecties

Als u Explorer of realtime detecties wilt gebruiken, moet u machtigingen hebben toegewezen. U beschikt tevens over de volgende opties:

• Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (Als Email & samenwerking>Defender voor Office 365 machtigingen actief zijn. Is alleen van invloed op de Defender-portal, niet op PowerShell):
  • Leestoegang voor e-mail- en Teams-berichtkoppen: beveiligingsbewerkingen/Onbewerkte gegevens (e-mail & samenwerking)/Email & metagegevens van samenwerking (lezen).
  • E-mailberichten bekijken en downloaden: Beveiligingsbewerkingen/Onbewerkte gegevens (e-mail & samenwerking)/Email & samenwerkingsinhoud (lezen).
  • Schadelijke e-mail herstellen: beveiligingsbewerkingen/beveiligingsgegevens/Email & geavanceerde acties voor samenwerking (beheren).
• Email & samenwerkingsmachtigingen in de Microsoft Defender-portal:
  • Volledige toegang: lidmaatschap van de rolgroepen Organisatiebeheer of Beveiligingsbeheerder . Er zijn meer machtigingen vereist om alle beschikbare acties uit te voeren:
    • Berichten bekijken en downloaden: hiervoor is de rol Preview vereist. Deze rol is standaard alleen toegewezen aan de rolgroepen Gegevensonderzoeker of eDiscovery-manager . U kunt ook een nieuwe rollengroep maken waaraan de voorbeeldrol is toegewezen en de gebruikers toevoegen aan de aangepaste rollengroep.
    • Berichten verplaatsen naar en berichten verwijderen uit postvakken: hiervoor is de rol Zoeken en opschonen vereist. Deze rol is standaard alleen toegewezen aan de rolgroepen Gegevensonderzoeker of Organisatiebeheer . U kunt ook een nieuwe rollengroep maken waaraan de rol Zoeken en opschonen is toegewezen en de gebruikers toevoegen aan de aangepaste rollengroep.
  • Alleen-lezentoegang: lidmaatschap van de rolgroep Beveiligingslezer .
• Microsoft Entra machtigingen: lidmaatschap van deze rollen geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365:

  • Volledige toegang: lidmaatschap van de rol Globale beheerder^* of Beveiligingsbeheerder .

  • Zoek naar Exchange-e-mailstroomregels (transportregels) op naam in Bedreigingsverkenner: lidmaatschap van de rol Beveiligingsbeheerder of Beveiligingslezer .

  • Alleen-lezentoegang: lidmaatschap van de rol Globale lezer of Beveiligingslezer .

    Belangrijk

    ^* Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

Tip

Spammeldingen van eindgebruikers en door het systeem gegenereerde berichten zijn niet beschikbaar in Bedreigingsverkenner. Deze typen berichten zijn beschikbaar als er een e-mailstroomregel (ook wel transportregel genoemd) is die moet worden overschreven.

Vermeldingen in het auditlogboek worden gegenereerd wanneer beheerders e-mailberichten bekijken of downloaden. U kunt in het auditlogboek van de beheerder op gebruiker zoeken naar AdminMailAccess-activiteit . Zie Nieuwe zoekopdracht controleren voor instructies.

Als u Threat Explorer of realtime detecties wilt gebruiken, moet u een licentie voor Defender voor Office 365 (inbegrepen in uw abonnement of een invoegtoepassingslicentie).

Bedreigingsverkenner of realtimedetecties bevat gegevens voor gebruikers met Defender voor Office 365 licenties die aan hen zijn toegewezen.

Elementen van Threat Explorer en realtime detecties

Bedreigingsverkenner en realtimedetecties bevatten de volgende elementen:

• Weergaven: Tabbladen boven aan de pagina die detecties op bedreiging organiseren. De weergave is van invloed op de rest van de gegevens en opties op de pagina.

  De volgende tabel bevat de beschikbare weergaven in Threat Explorer en realtime detecties:

  Weergeven	Dreiging Verkenner	Real-time Detecties	Beschrijving
  Alle e-mail	✔		Standaardweergave voor Bedreigingsverkenner. Informatie over alle e-mailberichten die door externe gebruikers in uw organisatie worden verzonden of e-mailberichten die worden verzonden tussen interne gebruikers in uw organisatie.
  Malware	✔	✔	Standaardweergave voor realtime detecties. Informatie over e-mailberichten die malware bevatten.
  Phishing	✔	✔	Informatie over e-mailberichten die phishingbedreigingen bevatten.
  Campagnes	✔		Informatie over schadelijke e-mail die Defender voor Office 365 Plan 2 geïdentificeerd als onderdeel van een gecoördineerde phishing- of malwarecampagne.
  Inhoudsmalware	✔	✔	Informatie over schadelijke bestanden die zijn gedetecteerd door de volgende functies: Ingebouwde virusbeveiliging in SharePoint, OneDrive en Microsoft Teams Veilige bijlagen voor SharePoint, OneDrive en Microsoft Teams
  URL-klikken	✔		Informatie over klikken van gebruikers op URL's in e-mailberichten, Teams-berichten, SharePoint-bestanden en OneDrive-bestanden.

  Deze weergaven worden uitgebreid beschreven in dit artikel, met inbegrip van de verschillen tussen Bedreigingsverkenner en realtimedetecties.

• Datum-/tijdfilters: de weergave wordt standaard gefilterd op gisteren en vandaag. Als u het datumfilter wilt wijzigen, selecteert u het datumbereik en selecteert u vervolgens begindatum - en einddatumwaarden tot 30 dagen geleden.

  

• Eigenschapsfilters (query's): filter de resultaten in de weergave op de beschikbare eigenschappen van berichten, bestanden of bedreigingen. De beschikbare filtereigenschappen zijn afhankelijk van de weergave. Sommige eigenschappen zijn beschikbaar in veel weergaven, terwijl andere eigenschappen beperkt zijn tot een specifieke weergave.

  De beschikbare eigenschapsfilters voor elke weergave worden in dit artikel vermeld, inclusief de verschillen tussen Bedreigingsverkenner en realtimedetecties.

  Zie Eigenschapsfilters in Bedreigingsverkenner en realtime detecties voor instructies voor het maken van eigenschapsfilters

  Met Threat Explorer kunt u query's opslaan voor later gebruik, zoals beschreven in de sectie Opgeslagen query's in Bedreigingsverkenner .

• Grafieken: elke weergave bevat een visuele, statistische weergave van de gefilterde of niet-gefilterde gegevens. U kunt beschikbare draaipunten gebruiken om de grafiek op verschillende manieren te organiseren.

  U kunt grafiekgegevens exporteren vaak gebruiken om gefilterde of ongefilterde grafiekgegevens te exporteren naar een CSV-bestand.

  De grafieken en beschikbare draaipunten worden uitgebreid beschreven in dit artikel, inclusief de verschillen tussen Bedreigingsverkenner en realtimedetecties.

  Tip

  Als u de grafiek van de pagina wilt verwijderen (waarmee de grootte van het detailgebied wordt gemaximaliseerd), gebruikt u een van de volgende methoden:

  • Selecteer Lijstweergave> grafiek bovenaan de pagina.
  • Selecteer Lijstweergave weergeven tussen de grafiek en het detailgebied.

• Detailsgebied: in het detailgebied voor een weergave wordt doorgaans een tabel weergegeven die de gefilterde of niet-gefilterde gegevens bevat. U kunt de beschikbare weergaven (tabbladen) gebruiken om de gegevens in het detailgebied op verschillende manieren te ordenen. Een weergave kan bijvoorbeeld grafieken, kaarten of andere tabellen bevatten.

  Als het detailgebied een tabel bevat, kunt u Exporteren vaak gebruiken om selectief maximaal 200.000 gefilterde of niet-gefilterde resultaten naar een CSV-bestand te exporteren.

  Tip

  In de flyout Exporteren kunt u enkele of alle beschikbare eigenschappen selecteren die u wilt exporteren. De selecties worden per gebruiker opgeslagen. Selecties in de incognito- of InPrivate-browsemodus worden opgeslagen totdat u de webbrowser sluit.

Alle e-mailweergave in Bedreigingsverkenner

In de weergave Alle e-mail in Bedreigingsverkenner ziet u informatie over alle e-mailberichten die door externe gebruikers in uw organisatie worden verzonden en e-mail die wordt verzonden tussen interne gebruikers in uw organisatie. In de weergave worden schadelijke en niet-schadelijke e-mail weergegeven. Bijvoorbeeld:

• Email geïdentificeerde phishing of malware.
• Email geïdentificeerd als spam of bulk.
• Email geïdentificeerd zonder bedreigingen.

Deze weergave is de standaardweergave in Bedreigingsverkenner. Als u de weergave Alle e-mail wilt openen op de pagina Explorer in de Defender-portal op https://security.microsoft.com, gaat u naar het tabblad Email &samenwerkingsverkenner>>Alle e-mail. Of ga rechtstreeks naar de pagina Explorer met behulp van https://security.microsoft.com/threatexplorerv3en controleer of het tabblad Alle e-mail is geselecteerd.

Filterbare eigenschappen in de weergave Alle e-mail in Bedreigingsverkenner

Standaard worden er geen eigenschapsfilters toegepast op de gegevens. De stappen voor het maken van filters (query's) worden beschreven in de sectie Filters in Bedreigingsverkenner en realtime detecties verderop in dit artikel.

De filterbare eigenschappen die beschikbaar zijn in het vak Bezorgingsactie in de weergave Alle e-mail , worden beschreven in de volgende tabel:

Eigenschap	Type
Basic
Adres afzender	Sms. Meerdere waarden scheiden door komma's.
Ontvangers	Sms. Meerdere waarden scheiden door komma's.
Afzenderdomein	Sms. Meerdere waarden scheiden door komma's.
Ontvangerdomein	Sms. Meerdere waarden scheiden door komma's.
Onderwerp	Sms. Meerdere waarden scheiden door komma's.
Weergavenaam van afzender	Sms. Meerdere waarden scheiden door komma's.
Afzender e-mail van adres	Sms. Meerdere waarden scheiden door komma's.
Afzender e-mail van domein	Sms. Meerdere waarden scheiden door komma's.
Retourpad	Sms. Meerdere waarden scheiden door komma's.
Paddomein retourneren	Sms. Meerdere waarden scheiden door komma's.
Malwarefamilie	Sms. Meerdere waarden scheiden door komma's.
Tags	Sms. Meerdere waarden scheiden door komma's. Zie Gebruikerstags voor meer informatie over gebruikerstags.
Geïmiteerd domein	Sms. Meerdere waarden scheiden door komma's.
Geïmiteerde gebruiker	Sms. Meerdere waarden scheiden door komma's.
Regel voor uitwisselingstransport	Sms. Meerdere waarden scheiden door komma's.
Regel voor preventie van gegevensverlies	Sms. Meerdere waarden scheiden door komma's.
Context	Selecteer een of meer waarden: Evaluatie Prioriteit voor accountbeveiliging
Connector	Sms. Meerdere waarden scheiden door komma's.
Leveringsactie	Selecteer een of meer waarden: Geblokkeerd: Email berichten die in quarantaine zijn geplaatst, die niet zijn bezorgd of die zijn verwijderd. Geleverd: Email bezorgd in het Postvak IN van de gebruiker of een andere map waar de gebruiker toegang heeft tot het bericht. Bezorgd bij ongewenste e-mail: Email bezorgd in de map Ongewenste Email of verwijderde items van de gebruiker, waar de gebruiker toegang heeft tot het bericht. Vervangen: berichtbijlagen die zijn vervangen door Dynamische bezorging in beleid voor veilige bijlagen.
Aanvullende actie	Selecteer een of meer waarden: Geautomatiseerd herstel Dynamische bezorging: Zie Dynamische levering in beleid voor veilige bijlagen voor meer informatie. Handmatig herstel Geen Release in quarantaine Opnieuw verwerkt: het bericht is met terugwerkende kracht als goed geïdentificeerd. ZAP: Zie Zero-hour auto purge (ZAP) in Microsoft Defender voor Office 365 voor meer informatie.
Gerichtheid	Selecteer een of meer waarden: Inkomende Intra-irg Uitgaand
Detectietechnologie	Selecteer een of meer waarden: Geavanceerd filter: Signalen op basis van machine learning. Antimalwarebescherming Bulk Campagne Domeinreputatie Bestandsonttoning: Veilige bijlagen hebben een schadelijke bijlage gedetecteerd tijdens de detonatieanalyse. Reputatie van bestandsonttoning: bestandsbijlagen die eerder zijn gedetecteerd door veilige bijlagen-detonaties in andere Microsoft 365-organisaties. Bestandsreputatie: het bericht bevat een bestand dat eerder als schadelijk is geïdentificeerd in andere Microsoft 365-organisaties. Vingerafdrukkoppeling: het bericht lijkt sterk op een eerder gedetecteerd schadelijk bericht. Algemeen filter Merk imitatie: Afzender imitatie van bekende merken. Imitatiedomein: imitatie van afzenderdomeinen waarvan u eigenaar bent of die u hebt opgegeven voor beveiliging in antiphishingbeleid Imitatiegebruiker IP-reputatie Imitatie van postvakintelligentie: imitatiedetecties van postvakinformatie in antiphishingbeleid. Detectie van gemengde analyse: meerdere filters hebben bijgedragen aan het berichtoordeel. spoof DMARC: Het bericht heeft dmarc-verificatie mislukt. Adresvervalsing extern domein: adresvervalsing van afzenders met behulp van een domein dat zich buiten uw organisatie bevindt. Adresvervalsing binnen de organisatie: adresvervalsing van afzenders met behulp van een domein dat intern is voor uw organisatie. Reputatie van URL-detonatie: URL's die eerder zijn gedetecteerd door veilige koppelingen-detonaties in andere Microsoft 365-organisaties. Reputatie van kwaadwillende URL: Het bericht bevat een URL die eerder als schadelijk is geïdentificeerd in andere Microsoft 365-organisaties.
Oorspronkelijke leveringslocatie	Selecteer een of meer waarden: Map Verwijderde items Gedaald Mislukt Postvak IN/map Map Ongewenste e-mail On-premises/extern Quarantaine Unknown
Meest recente leveringslocatie¹	Dezelfde waarden als de oorspronkelijke leveringslocatie
Phish betrouwbaarheidsniveau	Selecteer een of meer waarden: Hoog Normaal
Primaire onderdrukking	Selecteer een of meer waarden: Toegestaan door organisatiebeleid Toegestaan door gebruikersbeleid Geblokkeerd door organisatiebeleid Geblokkeerd door gebruikersbeleid Geen
Primaire onderdrukkingsbron	Berichten kunnen meerdere onderdrukkingen voor toestaan of blokkeren hebben, zoals aangegeven in Onderdrukkingsbron. De onderdrukking die het bericht uiteindelijk heeft toegestaan of geblokkeerd, wordt geïdentificeerd in de primaire onderdrukkingsbron. Selecteer een of meer waarden: Filter van derden Beheer geïnitieerde tijdreizen (ZAP) Antimalwarebeleidsblok per bestandstype Instellingen voor antispambeleid Verbindingsbeleid Regel voor uitwisselingstransport Exclusieve modus (gebruiker overschrijven) Filteren overgeslagen vanwege on-premises organisatie IP-regiofilter van beleid Taalfilter van beleid Phishingsimulatie Release in quarantaine SecOps-postvak Lijst met afzenderadressen (Beheer overschrijven) Adressenlijst van afzenders (gebruiker overschrijven) Lijst met afzenderdomeinen (Beheer overschrijven) Lijst met afzenderdomeinen (gebruiker overschrijven) Bestandsblok voor toestaan/blokkeren van tenant E-mailadres van afzender van tenant toestaan/blokkeren Blokkering van adresvervalsing van tenant toestaan/blokkeren URL-blok voor toestaan/blokkeren van tenantlijst Lijst met vertrouwde contactpersonen (onderdrukking door gebruiker) Vertrouwd domein (gebruiker overschrijven) Vertrouwde ontvanger (gebruiker overschrijven) Alleen vertrouwde afzenders (gebruiker overschrijven)
Bron overschrijven	Dezelfde waarden als primaire onderdrukkingsbron
Beleidstype	Selecteer een of meer waarden: Anti-malwarebeleid Antiphishingbeleid Exchange-transportregel (regel voor e-mailstroom), beleid voor gehoste inhoudsfilter (antispambeleid), gehoste uitgaande spamfilterbeleid (uitgaand spambeleid), beleid voor veilige bijlagen Unknown
Beleidsactie	Selecteer een of meer waarden: X-header toevoegen BCC-bericht Bericht verwijderen Onderwerp wijzigen Verplaatsen naar de map Ongewenste Email Geen actie ondernomen Bericht omleiden Verzenden naar quarantaine
Bedreigingstype	Selecteer een of meer waarden: Malware Phishing Spam
Doorgestuurd bericht	Selecteer een of meer waarden: Waar False
Distributielijst	Sms. Meerdere waarden scheiden door komma's.
Email grootte	Geheel getal. Meerdere waarden scheiden door komma's.
Advanced
Internetbericht-id	Sms. Meerdere waarden scheiden door komma's. Beschikbaar in het veld Bericht-ID-koptekst in de berichtkop. Een voorbeeldwaarde is <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (let op de hoekhaken).
Netwerkbericht-id	Sms. Meerdere waarden scheiden door komma's. Een GUID-waarde die beschikbaar is in het kopveld X-MS-Exchange-Organization-Network-Message-Id in de berichtkop.
IP-adres van afzender	Sms. Meerdere waarden scheiden door komma's.
Bijlage SHA256	Sms. Meerdere waarden scheiden door komma's.
Cluster-id	Sms. Meerdere waarden scheiden door komma's.
Waarschuwings-id	Sms. Meerdere waarden scheiden door komma's.
Waarschuwingsbeleids-id	Sms. Meerdere waarden scheiden door komma's.
Campagne-id	Sms. Meerdere waarden scheiden door komma's.
ZAP-URL-signaal	Sms. Meerdere waarden scheiden door komma's.
URL's
AANTAL URL's	Geheel getal. Meerdere waarden scheiden door komma's.
URL-domein²	Sms. Meerdere waarden scheiden door komma's.
URL-domein en -pad²	Sms. Meerdere waarden scheiden door komma's.
URL²	Sms. Meerdere waarden scheiden door komma's.
URL-pad²	Sms. Meerdere waarden scheiden door komma's.
URL-bron	Selecteer een of meer waarden: Bijlagen Cloudbijlage Email hoofdtekst Email koptekst QR-code Onderwerp Unknown
Klik op oordeel	Selecteer een of meer waarden: Toegestaan: de gebruiker mag de URL openen. Blokkeren overschreven: de gebruiker is geblokkeerd om de URL rechtstreeks te openen, maar ze overschrijven het blok om de URL te openen. Geblokkeerd: de gebruiker kan de URL niet openen. Fout: de gebruiker heeft de foutpagina te zien gekregen of er is een fout opgetreden bij het vastleggen van het oordeel. Fout: er is een onbekende uitzondering opgetreden tijdens het vastleggen van het vonnis. De gebruiker heeft mogelijk de URL geopend. Geen: kan het oordeel voor de URL niet vastleggen. De gebruiker heeft mogelijk de URL geopend. Beoordeling in behandeling: de gebruiker heeft de pagina detonatie in behandeling gekregen. Beoordeling in behandeling overgeslagen: de gebruiker kreeg de ontplofpagina te zien, maar ze overschreven het bericht om de URL te openen.
URL-bedreiging	Selecteer een of meer waarden: Malware Phishing Spam
Bestand
Aantal bijlagen	Geheel getal. Meerdere waarden scheiden door komma's.
Bestandsnaam van bijlage	Sms. Meerdere waarden scheiden door komma's.
Bestandstype	Sms. Meerdere waarden scheiden door komma's.
Bestandsextensie	Sms. Meerdere waarden scheiden door komma's.
Bestandsgrootte	Geheel getal. Meerdere waarden scheiden door komma's.
Verificatie
SPF	Selecteer een of meer waarden: Mislukken Neutraal Geen Inhalen Permanente fout Soft fail Tijdelijke fout
DKIM	Selecteer een of meer waarden: Fout Mislukken Negeren Geen Inhalen Test Timeout Unknown
DMARC	Selecteer een of meer waarden: Best guess pass Mislukken Geen Inhalen Permanente fout Selector pass Tijdelijke fout Unknown
Composiet	Selecteer een of meer waarden: Mislukken Geen Inhalen Zachte pass

Tip

¹ Meest recente leveringslocatie bevat geen acties van eindgebruikers voor berichten. Bijvoorbeeld als de gebruiker het bericht heeft verwijderd of het bericht heeft verplaatst naar een archief of PST-bestand.

Er zijn scenario's waarin oorspronkelijke leveringslocatie/Meest recente leveringslocatie en/of bezorgingsactie de waarde Onbekend hebben. Bijvoorbeeld:

• Het bericht is bezorgd (Bezorgingsactie is Geleverd), maar een regel voor Postvak IN heeft het bericht verplaatst naar een andere standaardmap dan de map Postvak IN of Ongewenste e-mail Email (bijvoorbeeld de map Concept of Archief).
• ZAP heeft geprobeerd het bericht na bezorging te verplaatsen, maar het bericht is niet gevonden (de gebruiker heeft bijvoorbeeld het bericht verplaatst of verwijderd).

² Standaard wordt een URL-zoekopdracht toegewezen aan http, tenzij er expliciet een andere waarde is opgegeven. Bijvoorbeeld:

• Als u zoekt met en zonder het http:// voorvoegsel in URL, URL-domein en URL-domein en -pad , worden dezelfde resultaten weergegeven.
• Zoek naar het https:// voorvoegsel in URL. Wanneer er geen waarde is opgegeven, wordt uitgegaan van het http:// voorvoegsel.
• / aan het begin en einde van het URL-pad worden de velden URL-domein, URL-domein en pad genegeerd.
• / aan het einde van het URL-veld wordt genegeerd.

Draaitabellen voor de grafiek in de weergave Alle e-mail in Bedreigingsverkenner

De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De beschikbare grafiekdraaipunten worden beschreven in de volgende subsecties.

Draaigrafiek Bezorgingsactie in de weergave Alle e-mail in Bedreigingsverkenner

Hoewel deze draai niet standaard geselecteerd lijkt, is de actie Bezorging de standaardgrafiek in de weergave Alle e-mail .

De draai Bezorgingsactie organiseert de grafiek op basis van de acties die zijn uitgevoerd op berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke leveringsactie weergegeven.

Draaigrafiek afzenderdomein in de weergave Alle e-mail in Bedreigingsverkenner

De draai van het domein Afzender organiseert de grafiek op de domeinen in berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk afzenderdomein weergegeven.

Draai van het IP-diagram van afzender in de weergave Alle e-mail in Bedreigingsverkenner

De draai van afzender-IP organiseert de grafiek op basis van de bron-IP-adressen van berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk IP-adres van de afzender weergegeven.

Grafiekdraaigrafiek van detectietechnologie in de weergave Alle e-mail in Bedreigingsverkenner

De draai van de detectietechnologie organiseert de grafiek op basis van de functie die berichten identificeert voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke detectietechnologie weergegeven.

Draai van volledige URL-grafiek in de weergave Alle e-mail in Bedreigingsverkenner

De volledige URL-draai ordent de grafiek op de volledige URL's in berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke volledige URL weergegeven.

Draai van url-domeingrafiek in de weergave Alle e-mail in Bedreigingsverkenner

De URL-domeindraaischijf organiseert de grafiek op de domeinen in URL's in berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, ziet u het aantal voor elk URL-domein.

Draaigrafiek url-domein en pad in de weergave Alle e-mail in Bedreigingsverkenner

De URL-domein- en paddraaischijf organiseert de grafiek op basis van de domeinen en paden in URL's in berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal url-domein en -pad weergegeven.

Weergaven voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

De beschikbare weergaven (tabbladen) in het detailgebied van de weergave Alle e-mail worden beschreven in de volgende subsecties.

Email weergave voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

Email is de standaardweergave voor het detailgebied in de weergave Alle e-mail.

In de weergave Email ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaardwaarden worden aangegeven met een sterretje (^*):

• Datum^*
• Onderwerp^*
• Ontvanger^*
• Ontvangerdomein
• Tags^*
• Adres van afzender^*
• Weergavenaam van afzender
• Afzenderdomein^*
• IP-adres van afzender
• Afzender e-mail van adres
• Afzender e-mail van domein
• Aanvullende acties^*
• Leveringsactie
• Meest recente leveringslocatie^*
• Oorspronkelijke leveringslocatie^*
• Bron van systeemoverschrijvingen
• Systeemoverschrijvingen
• Waarschuwings-id
• Internetbericht-id
• Netwerkbericht-id
• E-mailtaal
• Regel voor uitwisselingstransport
• Connector
• Context
• Regel voor preventie van gegevensverlies
• Bedreigingstype^*
• Detectietechnologie
• Aantal bijlagen
• AANTAL URL's
• Email grootte

Tip

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

• Horizontaal schuiven in uw webbrowser.
• De breedte van de juiste kolommen beperken.
• Kolommen uit de weergave verwijderen.
• Uitzoomen in uw webbrowser.

Aangepaste kolominstellingen worden per gebruiker opgeslagen. Aangepaste kolominstellingen in de incognito- of InPrivate-browsemodus worden opgeslagen totdat u de webbrowser sluit.

Wanneer u een of meer items in de lijst selecteert door het selectievakje naast de eerste kolom in te schakelen, is actie ondernemen beschikbaar. Zie Opsporing van bedreigingen: Email herstel voor meer informatie.

In de waarde Onderwerp voor de vermelding is de actie Openen in nieuw venster beschikbaar. Met deze actie wordt het bericht geopend op de pagina Email entiteit.

Wanneer u op de waarden onderwerp of ontvanger in een item klikt, worden de flyouts geopend. Deze flyouts worden beschreven in de volgende subsecties.

Email details uit de weergave Email van het detailgebied in de weergave Alle e-mail

Wanneer u de waarde Onderwerp van een item in de tabel selecteert, wordt er een flyout met e-mailgegevens geopend. Deze flyout voor details staat bekend als het Email overzichtsvenster en bevat gestandaardiseerde samenvattingsinformatie die ook beschikbaar is op de pagina Email entiteit voor het bericht.

Zie Het Email overzichtsvenster in Defender voor meer informatie over de informatie in het Email samenvattingsvenster.

De volgende acties zijn beschikbaar boven aan het Email overzichtsvenster voor Bedreigingsverkenner en realtimedetecties:

• E-mailentiteit openen
• Koptekst weergeven
• Actie ondernemen: Zie Opsporing van bedreigingen: Email herstel voor meer informatie.
• Meer opties:
  • Email preview¹ ²
  • E-mail downloaden¹ ² ³
  • Weergeven in Explorer
  • Ga jagen⁴

¹ Voor de acties Email preview en E-mail downloaden is de rol Preview vereist in Email & samenwerkingsmachtigingen. Deze rol wordt standaard toegewezen aan de rollengroepen Gegevensonderzoeker en eDiscovery-manager . Leden van de rolgroepen Organisatiebeheer of Beveiligingsbeheerders kunnen deze acties standaard niet uitvoeren. Als u deze acties wilt toestaan voor de leden van deze groepen, hebt u de volgende opties:

• Voeg de gebruikers toe aan de rollengroepen Gegevensonderzoeker of eDiscovery Manager .
• Maak een nieuwe rollengroep waaraan de rol Zoeken en Opschonen is toegewezen en voeg de gebruikers toe aan de aangepaste rollengroep.

² U kunt e-mailberichten bekijken of downloaden die beschikbaar zijn in Microsoft 365-postvakken. Voorbeelden van wanneer berichten niet meer beschikbaar zijn in postvakken zijn:

• Het bericht is verwijderd voordat de bezorging of bezorging is mislukt.
• Het bericht is voorlopig verwijderd (verwijderd uit de map Verwijderde items, waardoor het bericht wordt verplaatst naar de map Herstelbare items\Verwijderingen).
• ZAP heeft het bericht in quarantaine geplaatst.

³ E-mail downloaden is niet beschikbaar voor berichten die in quarantaine zijn geplaatst. Download in plaats daarvan een met een wachtwoord beveiligde kopie van het bericht uit quarantaine.

⁴ Go hunt is alleen beschikbaar in Threat Explorer. Deze is niet beschikbaar in realtime detecties.

Details van geadresseerden in de Email weergave van het detailgebied in de weergave Alle e-mail

Wanneer u een item selecteert door op de waarde Ontvanger te klikken, wordt er een flyout met details geopend met de volgende informatie:

Tip

Als u details over andere geadresseerden wilt zien zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item bovenaan de flyout.

• Overzichtssectie :

  • Rol: of aan de ontvanger beheerdersrollen zijn toegewezen.
  • Beleid:
    • Of de gebruiker gemachtigd is om archiefgegevens te bekijken.
    • Of de gebruiker gemachtigd is om bewaargegevens weer te geven.
    • Of de gebruiker wordt gedekt door preventie van gegevensverlies (DLP).
    • Of de gebruiker wordt gedekt door Mobile Management op https://portal.office.com/EAdmin/Device/IntuneInventory.aspx.

• Email sectie: een tabel met de volgende gerelateerde informatie voor berichten die naar de geadresseerde worden verzonden:

  • Datum
  • Onderwerp
  • Ontvanger

  Selecteer Alle e-mail weergeven om Bedreigingsverkenner te openen op een nieuw tabblad dat is gefilterd op de ontvanger.

• Sectie Recente waarschuwingen : een tabel met de volgende gerelateerde informatie voor gerelateerde recente waarschuwingen:

  • Ernst
  • Waarschuwingsbeleid
  • Categorie
  • Activiteiten

  Als er meer dan drie recente waarschuwingen zijn, selecteert u Alle recente waarschuwingen weergeven om deze allemaal weer te geven.

  • Sectie Recente activiteit : toont de samengevatte resultaten van een zoekopdracht in het auditlogboek voor de ontvanger:

    • Datum
    • IP-adres
    • Activiteit
    • Item

    Als de ontvanger meer dan drie vermeldingen in het auditlogboek heeft, selecteert u Alle recente activiteiten weergeven om deze allemaal weer te geven.

  Tip

  Leden van de rolgroep Beveiligingsbeheerders in Email & samenwerkingsmachtigingen kunnen de sectie Recente activiteit niet uitbreiden. U moet lid zijn van een rollengroep in Exchange Online machtigingen waaraan de rollen Auditlogboeken, Information Protection Analist of Information Protection Onderzoeker zijn toegewezen. Deze rollen worden standaard toegewezen aan de rollengroepen Recordbeheer, Compliancebeheer, Information Protection, Information Protection Analisten, Information Protection Onderzoekers en Organisatiebeheer. U kunt de leden van beveiligingsbeheerders toevoegen aan deze rollengroepen of u kunt een nieuwe rollengroep maken met de rol Auditlogboeken toegewezen.

Weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

In de weergave URL-klikken ziet u een grafiek die kan worden geordend met behulp van draaipunten. De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De grafiek draaitabellen worden beschreven in de volgende subsecties.

Tip

In Bedreigingsverkenner heeft elke draai in de weergave URL-klikken een actie Alle klikken weergeven waarmee de weergave URL-klikken op een nieuw tabblad wordt geopend.

DRAAI VAN URL-domein voor de weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

Hoewel deze grafiekdraaipunt niet lijkt te zijn geselecteerd, is HET URL-domein de standaardgrafiekdraai in de weergave URL-klikken .

De draai van het URL-domein toont de verschillende domeinen in URL's in e-mailberichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, ziet u het aantal voor elk URL-domein.

Klik op verdict pivot voor de weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

De draaiknop Klik op oordeel toont de verschillende beoordelingsbeoordelingen voor aangeklikte URL's in e-mailberichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk klikoordeel weergegeven.

URL-draai voor de weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

In de URL-draai worden de verschillende URL's weergegeven waarop in e-mailberichten is geklikt voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal url's weergegeven.

Url-domein en -pad draaien voor de weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

De draai van het URL-domein en -pad toont de verschillende domeinen en bestandspaden van URL's waarop in e-mailberichten is geklikt voor het opgegeven datum-/tijdsbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal url-domein en bestandspad weergegeven.

Bovenste URL-weergave voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

In de weergave Bovenste URL's ziet u een detailtabel. U kunt de vermeldingen sorteren door op een beschikbare kolomkop te klikken:

• URL
• Geblokkeerde berichten
• Ongewenste berichten
• Bezorgde berichten

Belangrijkste URL-details voor de weergave Alle e-mail

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de eerste kolom te klikken, wordt er een flyout met details geopend met de volgende informatie:

Tip

Als u details over andere URL's wilt zien zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item boven aan de flyout.

• De volgende acties zijn beschikbaar boven aan de flyout:

  • URL-pagina openen

  • Indienen voor analyse:

    • Rapport opschonen
    • Phishing melden
    • Malware rapporteren

  • Indicator beheren:

    • Indicator toevoegen
    • Beheren in tenantblokkeringslijst

    Als u een van deze opties selecteert, gaat u naar de pagina Inzendingen in de Defender-portal.

  • Meer:

    • Weergeven in Explorer
    • Ga op jacht
• Oorspronkelijke URL
• Sectie Detectie :
  • Bedreigingsintelligentiebeoordeling
  • x actieve waarschuwingen y-incidenten: een horizontale staafdiagram met het aantal waarschuwingen Hoog, Gemiddeld, Laag en Info dat betrekking heeft op deze koppeling.
  • Een koppeling naar Alle incidenten weergeven & waarschuwingen op de URL-pagina.
• Sectie Domeindetails :
  • Domeinnaam en een koppeling naar de pagina Domein weergeven.
  • Registrant
  • Geregistreerd op
  • Bijgewerkt op
  • Verloopt op
• Sectie Contactgegevens van de registrant :
  • Griffier
  • Land/regio
  • Postadres
  • E-mail
  • Phone
  • Meer informatie: Een koppeling naar Openen bij Whois.
• Sectie URL-prevalentie (afgelopen 30 dagen): bevat het aantal apparaten, Email en klikken. Selecteer elke waarde om de volledige lijst weer te geven.
• Apparaten: toont de betrokken apparaten:

  • Datum (eerste/laatste)

  • Apparaten

    Als er meer dan twee apparaten bij betrokken zijn, selecteert u Alle apparaten weergeven om ze allemaal weer te geven.

Weergave Meest klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

In de weergave Meest klikken wordt een detailtabel weergegeven. U kunt de vermeldingen sorteren door op een beschikbare kolomkop te klikken:

• URL
• Geblokkeerd
• Toegestaan
• Blokkeren overschreven
• Uitspraak in behandeling
• Uitspraak in behandeling omzeild
• Geen
• Foutpagina
• Mislukking

Tip

Alle beschikbare kolommen zijn geselecteerd. Als u Kolommen aanpassen selecteert, kunt u de selectie van kolommen niet opheffen.

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

• Horizontaal schuiven in uw webbrowser.
• De breedte van de juiste kolommen beperken.
• Uitzoomen in uw webbrowser.

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de eerste kolom te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als die wordt beschreven in De details van de belangrijkste URL's voor de weergave Alle e-mail.

Weergave met de belangrijkste doelgebruikers voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

De weergave Belangrijkste doelgebruikers ordent de gegevens in een tabel met de vijf belangrijkste geadresseerden die het doelwit waren van de meeste bedreigingen. De tabel bevat de volgende informatie:

• Belangrijkste doelgebruikers: het e-mailadres van de geadresseerde. Als u een adres van een geadresseerde selecteert, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in Details van ontvanger in de Email weergave van het detailgebied in de weergave Alle e-mail.

• Het aantal pogingen: als u het aantal pogingen selecteert, wordt Bedreigingsverkenner geopend op een nieuw tabblad dat is gefilterd op de ontvanger.

Tip

Gebruik Exporteren om de lijst met maximaal 3000 gebruikers en de bijbehorende pogingen te exporteren.

Email oorspronkelijke weergave voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

In de weergave Email oorsprong worden berichtbronnen weergegeven op een kaart van de wereld.

Campagneweergave voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

In de weergave Campagne ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken.

De informatie in de tabel is hetzelfde als beschreven in de detailtabel op de pagina Campagnes.

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de naam te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in Campagnedetails.

Malwareweergave in Bedreigingsverkenner en realtime detecties

De weergave Malware in Bedreigingsverkenner en realtime detecties toont informatie over e-mailberichten die malware bevatten. Deze weergave is de standaardweergave in realtime detecties.

Voer een van de volgende stappen uit om de weergave Malware te openen:

• Bedreigingsverkenner: Ga op de pagina Explorer in de Defender-portal op https://security.microsoft.comnaar Email & tabblad Samenwerking>Explorer>Malware. Of ga rechtstreeks naar de pagina Explorer met behulp van https://security.microsoft.com/threatexplorerv3en selecteer vervolgens het tabblad Malware.
• Realtime-detecties: ga op de pagina Realtime detecties in de Defender-portal op https://security.microsoft.comnaar Email & tabblad Samenwerking>Explorer>Malware. Of ga rechtstreeks naar de pagina Realtime detecties met behulp van https://security.microsoft.com/realtimereportsv3en controleer of het tabblad Malware is geselecteerd.

Filterbare eigenschappen in de weergave Malware in Bedreigingsverkenner en realtime detecties

Standaard worden er geen eigenschapsfilters toegepast op de gegevens. De stappen voor het maken van filters (query's) worden beschreven in de sectie Filters in Bedreigingsverkenner en realtime detecties verderop in dit artikel.

De filterbare eigenschappen die beschikbaar zijn in het vak Adres van afzender in de weergave Malware , worden beschreven in de volgende tabel:

Eigenschap	Type	Dreiging Verkenner	Real-time Detecties
Basic
Adres afzender	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Ontvangers	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Afzenderdomein	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Ontvangerdomein	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Onderwerp	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Weergavenaam van afzender	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Afzender e-mail van adres	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Afzender e-mail van domein	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Retourpad	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Paddomein retourneren	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Malwarefamilie	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Tags	Sms. Meerdere waarden scheiden door komma's. Zie Gebruikerstags voor meer informatie over gebruikerstags.	✔
Regel voor uitwisselingstransport	Sms. Meerdere waarden scheiden door komma's.	✔
Regel voor preventie van gegevensverlies	Sms. Meerdere waarden scheiden door komma's.	✔
Context	Selecteer een of meer waarden: Evaluatie Prioriteit voor accountbeveiliging	✔
Connector	Sms. Meerdere waarden scheiden door komma's.	✔
Leveringsactie	Selecteer een of meer waarden: Geblokkeerd Geleverd Bezorgd bij ongewenste e-mail Vervangen: berichtbijlagen die zijn vervangen door Dynamische bezorging in beleid voor veilige bijlagen.	✔	✔
Aanvullende actie	Selecteer een of meer waarden: Geautomatiseerd herstel Dynamische bezorging: Zie Dynamische levering in beleid voor veilige bijlagen voor meer informatie. Handmatig herstel Geen Release in quarantaine Verwerkt ZAP: Zie Zero-hour auto purge (ZAP) in Microsoft Defender voor Office 365 voor meer informatie.	✔	✔
Gerichtheid	Selecteer een of meer waarden: Inkomende Intra-irg Uitgaand	✔	✔
Detectietechnologie	Selecteer een of meer waarden: Geavanceerd filter: Signalen op basis van machine learning. Antimalwarebescherming Bulk Campagne Domeinreputatie Bestandsonttoning: Veilige bijlagen hebben een schadelijke bijlage gedetecteerd tijdens de detonatieanalyse. Reputatie van bestandsonttoning: bestandsbijlagen die eerder zijn gedetecteerd door veilige bijlagen-detonaties in andere Microsoft 365-organisaties. Bestandsreputatie: het bericht bevat een bestand dat eerder als schadelijk is geïdentificeerd in andere Microsoft 365-organisaties. Vingerafdrukkoppeling: het bericht lijkt sterk op een eerder gedetecteerd schadelijk bericht. Algemeen filter Merk imitatie: Afzender imitatie van bekende merken. Imitatiedomein: imitatie van afzenderdomeinen waarvan u eigenaar bent of die u hebt opgegeven voor beveiliging in antiphishingbeleid Imitatiegebruiker IP-reputatie Imitatie van postvakintelligentie: imitatiedetecties van postvakinformatie in antiphishingbeleid. Detectie van gemengde analyse: meerdere filters hebben bijgedragen aan het berichtoordeel. spoof DMARC: Het bericht heeft dmarc-verificatie mislukt. Adresvervalsing extern domein: adresvervalsing van afzenders met behulp van een domein dat zich buiten uw organisatie bevindt. Adresvervalsing binnen de organisatie: adresvervalsing van afzenders met behulp van een domein dat intern is voor uw organisatie. URL-detonatie: Safe Links heeft tijdens de detonatieanalyse een schadelijke URL in het bericht gedetecteerd. Reputatie van URL-detonatie: URL's die eerder zijn gedetecteerd door veilige koppelingen-detonaties in andere Microsoft 365-organisaties. Reputatie van kwaadwillende URL: Het bericht bevat een URL die eerder als schadelijk is geïdentificeerd in andere Microsoft 365-organisaties.	✔	✔
Oorspronkelijke leveringslocatie	Selecteer een of meer waarden: Map Verwijderde items Gedaald Mislukt Postvak IN/map Map Ongewenste e-mail On-premises/extern Quarantaine Unknown	✔	✔
Meest recente leveringslocatie	Dezelfde waarden als de oorspronkelijke leveringslocatie	✔	✔
Primaire onderdrukking	Selecteer een of meer waarden: Toegestaan door organisatiebeleid Toegestaan door gebruikersbeleid Geblokkeerd door organisatiebeleid Geblokkeerd door gebruikersbeleid Geen	✔	✔
Primaire onderdrukkingsbron	Berichten kunnen meerdere onderdrukkingen voor toestaan of blokkeren hebben, zoals aangegeven in Onderdrukkingsbron. De onderdrukking die het bericht uiteindelijk heeft toegestaan of geblokkeerd, wordt geïdentificeerd in de primaire onderdrukkingsbron. Selecteer een of meer waarden: Filter van derden Beheer geïnitieerde tijdreizen (ZAP) Antimalwarebeleidsblok per bestandstype Instellingen voor antispambeleid Verbindingsbeleid Regel voor uitwisselingstransport Exclusieve modus (gebruiker overschrijven) Filteren overgeslagen vanwege on-premises organisatie IP-regiofilter van beleid Taalfilter van beleid Phishingsimulatie Release in quarantaine SecOps-postvak Lijst met afzenderadressen (Beheer overschrijven) Adressenlijst van afzenders (gebruiker overschrijven) Lijst met afzenderdomeinen (Beheer overschrijven) Lijst met afzenderdomeinen (gebruiker overschrijven) Bestandsblok voor toestaan/blokkeren van tenant E-mailadres van afzender van tenant toestaan/blokkeren Blokkering van adresvervalsing van tenant toestaan/blokkeren URL-blok voor toestaan/blokkeren van tenantlijst Lijst met vertrouwde contactpersonen (onderdrukking door gebruiker) Vertrouwd domein (gebruiker overschrijven) Vertrouwde ontvanger (gebruiker overschrijven) Alleen vertrouwde afzenders (gebruiker overschrijven)	✔	✔
Bron overschrijven	Dezelfde waarden als primaire onderdrukkingsbron	✔	✔
Beleidstype	Selecteer een of meer waarden: Anti-malwarebeleid Antiphishingbeleid Exchange-transportregel (regel voor e-mailstroom), beleid voor gehoste inhoudsfilter (antispambeleid), gehoste uitgaande spamfilterbeleid (uitgaand spambeleid), beleid voor veilige bijlagen Unknown	✔	✔
Beleidsactie	Selecteer een of meer waarden: X-header toevoegen BCC-bericht Bericht verwijderen Onderwerp wijzigen Verplaatsen naar de map Ongewenste Email Geen actie ondernomen Bericht omleiden Verzenden naar quarantaine	✔	✔
Email grootte	Geheel getal. Meerdere waarden scheiden door komma's.	✔	✔
Advanced
Internetbericht-id	Sms. Meerdere waarden scheiden door komma's. Beschikbaar in het veld Bericht-ID-koptekst in de berichtkop. Een voorbeeldwaarde is <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (let op de hoekhaken).	✔	✔
Netwerkbericht-id	Sms. Meerdere waarden scheiden door komma's. Een GUID-waarde die beschikbaar is in het kopveld X-MS-Exchange-Organization-Network-Message-Id in de berichtkop.	✔	✔
IP-adres van afzender	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Bijlage SHA256	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Cluster-id	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Waarschuwings-id	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Waarschuwingsbeleids-id	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Campagne-id	Sms. Meerdere waarden scheiden door komma's.	✔	✔
ZAP-URL-signaal	Sms. Meerdere waarden scheiden door komma's.	✔	✔
URL's
AANTAL URL's	Geheel getal. Meerdere waarden scheiden door komma's.	✔	✔
URL-domein	Sms. Meerdere waarden scheiden door komma's.	✔	✔
URL-domein en -pad	Sms. Meerdere waarden scheiden door komma's.	✔	✔
URL	Sms. Meerdere waarden scheiden door komma's.	✔	✔
URL-pad	Sms. Meerdere waarden scheiden door komma's.	✔	✔
URL-bron	Selecteer een of meer waarden: Bijlagen Cloudbijlage Email hoofdtekst Email koptekst QR-code Onderwerp Unknown	✔	✔
Klik op oordeel	Selecteer een of meer waarden: Toegestaan Blokkeren overschreven Geblokkeerd Fout Mislukking Geen Uitspraak in behandeling Uitspraak in behandeling omzeild	✔	✔
URL-bedreiging	Selecteer een of meer waarden: Malware Phishing Spam	✔	✔
Bestand
Aantal bijlagen	Geheel getal. Meerdere waarden scheiden door komma's.	✔	✔
Bestandsnaam van bijlage	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Bestandstype	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Bestandsextensie	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Bestandsgrootte	Geheel getal. Meerdere waarden scheiden door komma's.	✔	✔
Verificatie
SPF	Selecteer een of meer waarden: Mislukken Neutraal Geen Inhalen Permanente fout Soft fail Tijdelijke fout	✔	✔
DKIM	Selecteer een of meer waarden: Fout Mislukken Negeren Geen Inhalen Test Timeout Unknown	✔	✔
DMARC	Selecteer een of meer waarden: Best guess pass Mislukken Geen Inhalen Permanente fout Selector pass Tijdelijke fout Unknown	✔	✔
Composiet	Selecteer een of meer waarden: Mislukken Geen Inhalen Zachte pass

Draaitabellen voor de grafiek in de weergave Malware in Bedreigingsverkenner en realtime detecties

De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De grafiekdraaipunten die beschikbaar zijn in de weergave Malware in Bedreigingsverkenner en realtime detecties worden weergegeven in de volgende tabel:

Pivot	Dreiging Verkenner	Real-time Detecties
Malwarefamilie	✔
Afzenderdomein	✔
IP-adres van afzender	✔
Leveringsactie	✔	✔
Detectietechnologie	✔	✔

De beschikbare grafiekdraaipunten worden beschreven in de volgende subsecties.

Draaigrafiek van de malwarefamilie in de weergave Malware in Bedreigingsverkenner

Hoewel deze draai niet standaard geselecteerd lijkt, is Malware-familie de standaardgrafiek in de weergave Malware in Bedreigingsverkenner.

De draaitabel van de malwarefamilie organiseert de grafiek door de malwarefamilie die is gedetecteerd in berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke malwarefamilie weergegeven.

Draaigrafiek van afzenderdomein in de weergave Malware in Bedreigingsverkenner

De draai van het afzenderdomein organiseert de grafiek op basis van het afzenderdomein van berichten die malware bevatten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk afzenderdomein weergegeven.

Draai van het IP-diagram van de afzender in de weergave Malware in Bedreigingsverkenner

De draai van afzender-IP organiseert de grafiek op het bron-IP-adres van berichten die malware bevatten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk bron-IP-adres weergegeven.

Draaigrafiek voor leveringsacties in de weergave Malware in Bedreigingsverkenner en detecties in realtime

Hoewel deze draai niet standaard geselecteerd lijkt, is de actie Levering de standaardgrafiek in de weergave Malware in realtime detecties.

Met de draai Bezorgingsactie wordt de grafiek ingedeeld op basis van wat er is gebeurd met berichten die malware bevatten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke leveringsactie weergegeven.

Grafiekdraaigrafiek van detectietechnologie in de weergave Malware in Bedreigingsverkenner en realtime detecties

De draai van detectietechnologie organiseert de grafiek op basis van de functie die malware in berichten heeft geïdentificeerd voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke detectietechnologie weergegeven.

Weergaven voor het detailgebied van de weergave Malware in Bedreigingsverkenner en realtime detecties

De beschikbare weergaven (tabbladen) in het detailgebied van de weergave Malware worden weergegeven in de volgende tabel en worden beschreven in de volgende subsecties.

Weergeven	Dreiging Verkenner	Real-time Detecties
E-mail	✔	✔
Belangrijkste malwarefamilies	✔
Belangrijkste doelgebruikers	✔
Email oorsprong	✔
Campagne	✔

Email weergave voor het detailgebied van de weergave Malware in Bedreigingsverkenner en realtime detecties

Email is de standaardweergave voor het detailgebied van de weergave Malware in Bedreigingsverkenner en realtime detecties.

In de weergave Email ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen.

In de volgende tabel ziet u de kolommen die beschikbaar zijn in Threat Explorer en realtime detecties. De standaardwaarden worden gemarkeerd met een sterretje (^*).

Kolom	Dreiging Verkenner	Real-time Detecties
Datum*	✔	✔
Onderwerp*	✔	✔
Ontvanger*	✔	✔
Ontvangerdomein	✔	✔
Tags*	✔
Adres van afzender*	✔	✔
Weergavenaam van afzender	✔	✔
Afzenderdomein*	✔	✔
IP-adres van afzender	✔	✔
Afzender e-mail van adres	✔	✔
Afzender e-mail van domein	✔	✔
Aanvullende acties*	✔	✔
Leveringsactie	✔	✔
Meest recente leveringslocatie*	✔	✔
Oorspronkelijke leveringslocatie*	✔	✔
Bron van systeemoverschrijvingen	✔	✔
Systeemoverschrijvingen	✔	✔
Waarschuwings-id	✔	✔
Internetbericht-id	✔	✔
Netwerkbericht-id	✔	✔
E-mailtaal	✔	✔
Regel voor uitwisselingstransport	✔
Connector	✔
Context	✔	✔
Regel voor preventie van gegevensverlies	✔	✔
Bedreigingstype*	✔	✔
Detectietechnologie	✔	✔
Aantal bijlagen	✔	✔
AANTAL URL's	✔	✔
Email grootte	✔	✔

Tip

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

• Horizontaal schuiven in uw webbrowser.
• De breedte van de juiste kolommen beperken.
• Kolommen uit de weergave verwijderen.
• Uitzoomen in uw webbrowser.

Aangepaste kolominstellingen worden per gebruiker opgeslagen. Aangepaste kolominstellingen in de incognito- of InPrivate-browsemodus worden opgeslagen totdat u de webbrowser sluit.

Wanneer u een of meer items in de lijst selecteert door het selectievakje naast de eerste kolom in te schakelen, is actie ondernemen beschikbaar. Zie Opsporing van bedreigingen: Email herstel voor meer informatie.

Wanneer u op de waarden onderwerp of ontvanger in een item klikt, worden de flyouts geopend. Deze flyouts worden beschreven in de volgende subsecties.

Email details uit de Email weergave van het detailgebied in de weergave Malware

Wanneer u de waarde Onderwerp van een item in de tabel selecteert, wordt er een flyout met e-mailgegevens geopend. Deze flyout voor details staat bekend als het Email overzichtsvenster en bevat gestandaardiseerde samenvattingsinformatie die ook beschikbaar is op de pagina Email entiteit voor het bericht.

Zie De Email samenvattingsvensters voor meer informatie over de informatie in het Email samenvattingsvenster.

De beschikbare acties boven aan het Email overzichtsvenster voor bedreigingsverkenner en realtimedetecties worden beschreven in de Email details uit de Email weergave van het detailgebied in de weergave Alle e-mail.

Details van geadresseerden in de weergave Email van het detailgebied in de weergave Malware

Wanneer u een item selecteert door op de waarde Ontvanger te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in Details van ontvanger in de Email weergave van het detailgebied in de weergave Alle e-mail.

Belangrijkste weergave van malwarefamilies voor het detailgebied van de weergave Malware in Bedreigingsverkenner

De weergave Belangrijkste malwarefamilies voor het detailgebied organiseert de gegevens in een tabel met de belangrijkste malwarefamilies. In de tabel ziet u het volgende:

• Bovenste kolom malwarefamilies : de naam van de malwarefamilie.

  Als u een malwarefamilienaam selecteert, wordt er een flyout met details geopend die de volgende informatie bevat:

  • Email sectie: een tabel met de volgende gerelateerde informatie voor berichten die het malwarebestand bevatten:

    • Datum
    • Onderwerp
    • Ontvanger

    Selecteer Alle e-mail weergeven om Bedreigingsverkenner te openen op een nieuw tabblad, gefilterd op de naam van de malwarefamilie.

  • Sectie Technische details

  

• Het aantal pogingen: als u het aantal pogingen selecteert, wordt Bedreigingsverkenner geopend op een nieuw tabblad, gefilterd op de naam van de malwarefamilie.

De meest gerichte gebruikersweergave voor het detailgebied van de weergave Malware in Bedreigingsverkenner

De weergave Meest gerichte gebruikers organiseert de gegevens in een tabel met de vijf belangrijkste geadresseerden die het doelwit waren van malware. In de tabel ziet u het volgende:

• Belangrijkste doelgebruikers: het e-mailadres van de belangrijkste doelgebruiker. Als u een e-mailadres selecteert, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in de weergave Belangrijkste doelgebruikers voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner.

• Het aantal pogingen: als u het aantal pogingen selecteert, wordt Bedreigingsverkenner geopend op een nieuw tabblad, gefilterd op de naam van de malwarefamilie.

Tip

Gebruik Exporteren om de lijst met maximaal 3000 gebruikers en de bijbehorende pogingen te exporteren.

Email oorsprongweergave voor het detailgebied van de weergave Malware in Bedreigingsverkenner

In de weergave Email oorsprong worden berichtbronnen weergegeven op een kaart van de wereld.

Campagneweergave voor het detailgebied van de weergave Malware in Bedreigingsverkenner

In de weergave Campagne ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken.

De detailtabel is identiek aan de detailtabel op de pagina Campagnes.

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de naam te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in Campagnedetails.

Phish-weergave in Bedreigingsverkenner en realtime detecties

In de weergave Phish in Bedreigingsverkenner en realtime detecties wordt informatie weergegeven over e-mailberichten die zijn geïdentificeerd als phishing.

Voer een van de volgende stappen uit om de weergave Phish te openen:

• Bedreigingsverkenner: Ga op de pagina Explorer in de Defender-portal op https://security.microsoft.comnaar Email & tabbladSamenwerkingsverkenner>>Phish. U kunt ook rechtstreeks naar de pagina Explorer gaan met behulp van https://security.microsoft.com/threatexplorerv3en vervolgens het tabblad Phish selecteren.
• Realtime-detecties: Ga op de pagina Realtime detecties in de Defender-portal op https://security.microsoft.comnaar Email & tabbladSamenwerkingsverkenner>>. Of ga rechtstreeks naar de pagina Realtime detecties met behulp van https://security.microsoft.com/realtimereportsv3en selecteer vervolgens het tabblad Phish.

Filterbare eigenschappen in de weergave Phish in Threat Explorer en realtime detecties

Standaard worden er geen eigenschapsfilters toegepast op de gegevens. De stappen voor het maken van filters (query's) worden beschreven in de sectie Filters in Bedreigingsverkenner en realtime detecties verderop in dit artikel.

De filterbare eigenschappen die beschikbaar zijn in het vak Adres van afzender in de weergave Malware , worden beschreven in de volgende tabel:

Eigenschap	Type	Dreiging Verkenner	Real-time Detecties
Basic
Adres afzender	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Ontvangers	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Afzenderdomein	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Ontvangerdomein	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Onderwerp	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Weergavenaam van afzender	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Afzender e-mail van adres	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Afzender e-mail van domein	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Retourpad	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Paddomein retourneren	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Tags	Sms. Meerdere waarden scheiden door komma's. Zie Gebruikerstags voor meer informatie over gebruikerstags.	✔
Geïmiteerd domein	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Geïmiteerde gebruiker	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Regel voor uitwisselingstransport	Sms. Meerdere waarden scheiden door komma's.	✔
Regel voor preventie van gegevensverlies	Sms. Meerdere waarden scheiden door komma's.	✔
Context	Selecteer een of meer waarden: Evaluatie Prioriteit voor accountbeveiliging	✔
Connector	Sms. Meerdere waarden scheiden door komma's.	✔
Leveringsactie	Selecteer een of meer waarden: Geblokkeerd Geleverd Bezorgd bij ongewenste e-mail Vervangen: berichtbijlagen die zijn vervangen door Dynamische bezorging in beleid voor veilige bijlagen.	✔	✔
Aanvullende actie	Selecteer een of meer waarden: Geautomatiseerd herstel Dynamische levering Handmatig herstel Geen Release in quarantaine Verwerkt ZAPPEN	✔	✔
Gerichtheid	Selecteer een of meer waarden: Inkomende Intra-irg Uitgaand	✔	✔
Detectietechnologie	Selecteer een of meer waarden: Geavanceerd filter Antimalwarebescherming Bulk Campagne Domeinreputatie Bestandsonttoning Reputatie van bestandsonttoning Bestandsreputatie Vingerafdrukkoppeling Algemeen filter Merk imitatie Imitatiedomein Imitatiegebruiker IP-reputatie Postvakinformatie-imitatie Detectie van gemengde analyse spoof DMARC Spoof extern domein Adresvervalsing binnen de organisatie URL-detonatie REPUTATIE van URL-detonatie URL schadelijke reputatie	✔	✔
Oorspronkelijke leveringslocatie	Selecteer een of meer waarden: Map Verwijderde items Gedaald Mislukt Postvak IN/map Map Ongewenste e-mail On-premises/extern Quarantaine Unknown	✔	✔
Meest recente leveringslocatie	Dezelfde waarden als de oorspronkelijke leveringslocatie	✔	✔
Phish betrouwbaarheidsniveau	Selecteer een of meer waarden: Hoog Normaal	✔
Primaire onderdrukking	Selecteer een of meer waarden: Toegestaan door organisatiebeleid Toegestaan door gebruikersbeleid Geblokkeerd door organisatiebeleid Geblokkeerd door gebruikersbeleid Geen	✔	✔
Primaire onderdrukkingsbron	Berichten kunnen meerdere onderdrukkingen voor toestaan of blokkeren hebben, zoals aangegeven in Onderdrukkingsbron. De onderdrukking die het bericht uiteindelijk heeft toegestaan of geblokkeerd, wordt geïdentificeerd in de primaire onderdrukkingsbron. Selecteer een of meer waarden: Filter van derden Beheer geïnitieerde tijdreizen (ZAP) Antimalwarebeleidsblok per bestandstype Instellingen voor antispambeleid Verbindingsbeleid Regel voor uitwisselingstransport Exclusieve modus (gebruiker overschrijven) Filteren overgeslagen vanwege on-premises organisatie IP-regiofilter van beleid Taalfilter van beleid Phishingsimulatie Release in quarantaine SecOps-postvak Lijst met afzenderadressen (Beheer overschrijven) Adressenlijst van afzenders (gebruiker overschrijven) Lijst met afzenderdomeinen (Beheer overschrijven) Lijst met afzenderdomeinen (gebruiker overschrijven) Bestandsblok voor toestaan/blokkeren van tenant E-mailadres van afzender van tenant toestaan/blokkeren Blokkering van adresvervalsing van tenant toestaan/blokkeren URL-blok voor toestaan/blokkeren van tenantlijst Lijst met vertrouwde contactpersonen (onderdrukking door gebruiker) Vertrouwd domein (gebruiker overschrijven) Vertrouwde ontvanger (gebruiker overschrijven) Alleen vertrouwde afzenders (gebruiker overschrijven)	✔	✔
Bron overschrijven	Dezelfde waarden als primaire onderdrukkingsbron	✔	✔
Beleidstype	Selecteer een of meer waarden: Anti-malwarebeleid Antiphishingbeleid Exchange-transportregel (regel voor e-mailstroom), beleid voor gehoste inhoudsfilter (antispambeleid), gehoste uitgaande spamfilterbeleid (uitgaand spambeleid), beleid voor veilige bijlagen Unknown	✔	✔
Beleidsactie	Selecteer een of meer waarden: X-header toevoegen BCC-bericht Bericht verwijderen Onderwerp wijzigen Verplaatsen naar de map Ongewenste Email Geen actie ondernomen Bericht omleiden Verzenden naar quarantaine	✔	✔
Email grootte	Geheel getal. Meerdere waarden scheiden door komma's.	✔	✔
Advanced
Internetbericht-id	Sms. Meerdere waarden scheiden door komma's. Beschikbaar in het veld Bericht-ID-koptekst in de berichtkop. Een voorbeeldwaarde is <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (let op de hoekhaken).	✔	✔
Netwerkbericht-id	Sms. Meerdere waarden scheiden door komma's. Een GUID-waarde die beschikbaar is in het kopveld X-MS-Exchange-Organization-Network-Message-Id in de berichtkop.	✔	✔
IP-adres van afzender	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Bijlage SHA256	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Cluster-id	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Waarschuwings-id	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Waarschuwingsbeleids-id	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Campagne-id	Sms. Meerdere waarden scheiden door komma's.	✔	✔
ZAP-URL-signaal	Sms. Meerdere waarden scheiden door komma's.	✔
URL's
AANTAL URL's	Geheel getal. Meerdere waarden scheiden door komma's.	✔	✔
URL-domein	Sms. Meerdere waarden scheiden door komma's.	✔	✔
URL-domein en -pad	Sms. Meerdere waarden scheiden door komma's.	✔
URL	Sms. Meerdere waarden scheiden door komma's.	✔
URL-pad	Sms. Meerdere waarden scheiden door komma's.	✔
URL-bron	Selecteer een of meer waarden: Bijlagen Cloudbijlage Email hoofdtekst Email koptekst QR-code Onderwerp Unknown	✔	✔
Klik op oordeel	Selecteer een of meer waarden: Toegestaan Blokkeren overschreven Geblokkeerd Fout Mislukking Geen Uitspraak in behandeling Uitspraak in behandeling omzeild	✔	✔
URL-bedreiging	Selecteer een of meer waarden: Malware Phishing Spam	✔	✔
Bestand
Aantal bijlagen	Geheel getal. Meerdere waarden scheiden door komma's.	✔	✔
Bestandsnaam van bijlage	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Bestandstype	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Bestandsextensie	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Bestandsgrootte	Geheel getal. Meerdere waarden scheiden door komma's.	✔	✔
Verificatie
SPF	Selecteer een of meer waarden: Mislukken Neutraal Geen Inhalen Permanente fout Soft fail Tijdelijke fout	✔	✔
DKIM	Selecteer een of meer waarden: Fout Mislukken Negeren Geen Inhalen Test Timeout Unknown	✔	✔
DMARC	Selecteer een of meer waarden: Best guess pass Mislukken Geen Inhalen Permanente fout Selector pass Tijdelijke fout Unknown	✔	✔
Composiet	Selecteer een of meer waarden: Mislukken Geen Inhalen Zachte pass

Draaiingen voor de grafiek in de weergave Phish in Bedreigingsverkenner en realtime detecties

De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De grafiekdraaipunten die beschikbaar zijn in de weergave Phish in Bedreigingsverkenner en realtimedetecties, worden weergegeven in de volgende tabel:

Pivot	Dreiging Verkenner	Real-time Detecties
Afzenderdomein	✔	✔
IP-adres van afzender	✔
Leveringsactie	✔	✔
Detectietechnologie	✔	✔
Volledige URL	✔
URL-domein	✔	✔
URL-domein en -pad	✔

De beschikbare grafiekdraaipunten worden beschreven in de volgende subsecties.

Draaigrafiek van afzenderdomein in de Phish-weergave in Bedreigingsverkenner en realtime detecties

Hoewel deze draai niet standaard geselecteerd lijkt, is het domein Afzender de standaardgrafiek in de phish-weergave in realtimedetecties.

De draai van het domein Afzender organiseert de grafiek op de domeinen in berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk afzenderdomein weergegeven.

Draai van het IP-diagram van de afzender in de Phish-weergave in Bedreigingsverkenner

De draai van afzender-IP organiseert de grafiek op basis van de bron-IP-adressen van berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elk bron-IP-adres weergegeven.

Draaigrafiek voor leveringsacties in de weergave Phish in Bedreigingsverkenner en realtime detecties

Hoewel deze draai niet standaard geselecteerd lijkt, is de actie Delivery de standaardgrafiek in de phish-weergave in Threat Explorer.

De draai Bezorgingsactie organiseert de grafiek op basis van de acties die zijn uitgevoerd op berichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke leveringsactie weergegeven.

Grafiekdraaigrafiek van detectietechnologie in de weergave Phish in Bedreigingsverkenner en realtime detecties

De draai van detectietechnologie organiseert de grafiek op basis van de functie die de phishingberichten identificeert voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke detectietechnologie weergegeven.

Draai van volledige URL-grafiek in de Phish-weergave in Bedreigingsverkenner

De volledige URL-draai ordent de grafiek op basis van de volledige URL's in phishingberichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke volledige URL weergegeven.

Draaigrafiek van URL-domein in de Phish-weergave in Bedreigingsverkenner en realtime detecties

De url-domein draaitabel organiseert de grafiek op basis van de domeinen in URL's in phishingberichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, ziet u het aantal voor elk URL-domein.

Draaigrafiek url-domein en pad in de Phish-weergave in Bedreigingsverkenner

De draai van het URL-domein en -pad organiseert de grafiek op basis van de domeinen en paden in URL's in phishingberichten voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal url-domein en -pad weergegeven.

Weergaven voor het detailgebied van de weergave Phish in Threat Explorer

De beschikbare weergaven (tabbladen) in het detailgebied van de weergave Phish worden weergegeven in de volgende tabel en worden beschreven in de volgende subsecties.

Weergeven	Dreiging Verkenner	Real-time Detecties
E-mail	✔	✔
URL-klikken	✔	✔
Belangrijkste URL's	✔	✔
Meest klikken	✔	✔
Belangrijkste doelgebruikers	✔
Email oorsprong	✔
Campagne	✔

Email weergave voor het detailgebied van de weergave Phish in Bedreigingsverkenner en realtime detecties

Email is de standaardweergave voor het detailgebied van de weergave Phish in Threat Explorer en realtime detecties.

In de weergave Email ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen.

In de volgende tabel ziet u de kolommen die beschikbaar zijn in Threat Explorer en realtime detecties. De standaardwaarden worden gemarkeerd met een sterretje (^*).

Kolom	Dreiging Verkenner	Real-time Detecties
Datum*	✔	✔
Onderwerp*	✔	✔
Ontvanger*	✔	✔
Ontvangerdomein	✔	✔
Tags*	✔
Adres van afzender*	✔	✔
Weergavenaam van afzender	✔	✔
Afzenderdomein*	✔	✔
IP-adres van afzender	✔	✔
Afzender e-mail van adres	✔	✔
Afzender e-mail van domein	✔	✔
Aanvullende acties*	✔	✔
Leveringsactie	✔	✔
Meest recente leveringslocatie*	✔	✔
Oorspronkelijke leveringslocatie*	✔	✔
Bron van systeemoverschrijvingen	✔	✔
Systeemoverschrijvingen	✔	✔
Waarschuwings-id	✔	✔
Internetbericht-id	✔	✔
Netwerkbericht-id	✔	✔
E-mailtaal	✔	✔
Regel voor uitwisselingstransport	✔
Connector	✔
Phish betrouwbaarheidsniveau	✔
Context	✔
Regel voor preventie van gegevensverlies	✔
Bedreigingstype*	✔	✔
Detectietechnologie	✔	✔
Aantal bijlagen	✔	✔
AANTAL URL's	✔	✔
Email grootte	✔	✔

Tip

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

• Horizontaal schuiven in uw webbrowser.
• De breedte van de juiste kolommen beperken.
• Kolommen uit de weergave verwijderen.
• Uitzoomen in uw webbrowser.

Aangepaste kolominstellingen worden per gebruiker opgeslagen. Aangepaste kolominstellingen in de incognito- of InPrivate-browsemodus worden opgeslagen totdat u de webbrowser sluit.

Wanneer u een of meer items in de lijst selecteert door het selectievakje naast de eerste kolom in te schakelen, is actie ondernemen beschikbaar. Zie Opsporing van bedreigingen: Email herstel voor meer informatie.

Wanneer u op de waarden onderwerp of ontvanger in een item klikt, worden de flyouts geopend. Deze flyouts worden beschreven in de volgende subsecties.

Email details uit de Email weergave van het detailgebied in de weergave Phish

Wanneer u de waarde Onderwerp van een item in de tabel selecteert, wordt er een flyout met e-mailgegevens geopend. Deze flyout voor details staat bekend als het Email overzichtsvenster en bevat gestandaardiseerde samenvattingsinformatie die ook beschikbaar is op de pagina Email entiteit voor het bericht.

Zie Het Email-overzichtsvenster in Defender voor Office 365 functies voor meer informatie over de informatie in het Email overzichtsvenster.

De beschikbare acties boven aan het Email overzichtsvenster voor bedreigingsverkenner en realtimedetecties worden beschreven in de Email details uit de Email weergave van het detailgebied in de weergave Alle e-mail.

Details van geadresseerden in de Email weergave van het detailgebied in de weergave Phish

Wanneer u een item selecteert door op de waarde Ontvanger te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in Details van ontvanger in de Email weergave van het detailgebied in de weergave Alle e-mail.

Url klikt op weergave voor het detailgebied van de Phish-weergave in Bedreigingsverkenner en realtime detecties

In de weergave URL-klikken ziet u een grafiek die kan worden geordend met behulp van draaipunten. De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De grafiekdraaipunten die beschikbaar zijn in de weergave Malware in Bedreigingsverkenner en realtime detecties, worden beschreven in de volgende tabel:

Pivot	Dreiging Verkenner	Real-time Detecties
URL-domein	✔	✔
Klik op oordeel	✔	✔
URL	✔
URL-domein en -pad	✔

Dezelfde grafiekdraaipunten zijn beschikbaar en beschreven voor de weergave Alle e-mail in Bedreigingsverkenner:

• DRAAI VAN URL-domein voor de weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner
• Klik op verdict pivot voor de weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner
• URL-draai voor de weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner
• Url-domein en -pad draaien voor de weergave URL-klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner

Tip

In Bedreigingsverkenner heeft elke draai in de weergave URL-klikken een actie Alle klikken weergeven waarmee de weergave URL-klikken in Bedreigingsverkenner op een nieuw tabblad wordt geopend. Deze actie is niet beschikbaar in realtime detecties, omdat de weergave URL-klikken niet beschikbaar is in realtime detecties.

Weergave belangrijkste URL's voor het detailgebied van de weergave Phish in Threat Explorer en realtime detecties

In de weergave Bovenste URL's ziet u een detailtabel. U kunt de vermeldingen sorteren door op een beschikbare kolomkop te klikken:

• URL
• Geblokkeerde berichten
• Ongewenste berichten
• Bezorgde berichten

Belangrijkste URL-details voor de Phish-weergave

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de eerste kolom te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als die wordt beschreven in De details van de belangrijkste URL's voor de weergave Alle e-mail.

Tip

De actie Ga zoeken is alleen beschikbaar in Bedreigingsverkenner. Deze is niet beschikbaar in realtime detecties.

Weergave meest klikken voor het detailgebied van de Phish-weergave in Bedreigingsverkenner en realtime detecties

In de weergave Meest klikken wordt een detailtabel weergegeven. U kunt de vermeldingen sorteren door op een beschikbare kolomkop te klikken:

• URL
• Geblokkeerd
• Toegestaan
• Blokkeren overschreven
• Uitspraak in behandeling
• Uitspraak in behandeling omzeild
• Geen
• Foutpagina
• Mislukking

Tip

Alle beschikbare kolommen zijn geselecteerd. Als u Kolommen aanpassen selecteert, kunt u de selectie van kolommen niet opheffen.

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

• Horizontaal schuiven in uw webbrowser.
• De breedte van de juiste kolommen beperken.
• Uitzoomen in uw webbrowser.

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de eerste kolom te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als die wordt beschreven in De details van de belangrijkste URL's voor de weergave Alle e-mail.

Meest gerichte gebruikersweergave voor het detailgebied van de Phish-weergave in Bedreigingsverkenner

De weergave Meest gerichte gebruikers ordent de gegevens in een tabel met de vijf belangrijkste geadresseerden die het doelwit waren van phishingpogingen. In de tabel ziet u het volgende:

• Belangrijkste doelgebruikers: het e-mailadres van de belangrijkste doelgebruiker. Als u een e-mailadres selecteert, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in de weergave Belangrijkste doelgebruikers voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner.

• Het aantal pogingen: als u het aantal pogingen selecteert, wordt Bedreigingsverkenner geopend op een nieuw tabblad, gefilterd op de naam van de malwarefamilie.

Tip

Gebruik Exporteren om de lijst met maximaal 3000 gebruikers en de bijbehorende pogingen te exporteren.

Email oorspronkelijke weergave voor het detailgebied van de weergave Phish in Threat Explorer

In de weergave Email oorsprong worden berichtbronnen weergegeven op een kaart van de wereld.

Campagneweergave voor het detailgebied van de Phish-weergave in Bedreigingsverkenner

In de weergave Campagne ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken.

De informatie in de tabel is hetzelfde als beschreven in de detailtabel op de pagina Campagnes.

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de naam te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in Campagnedetails.

Weergave Campagnes in Bedreigingsverkenner

In de weergave Campagnes in Bedreigingsverkenner ziet u informatie over bedreigingen die zijn geïdentificeerd als gecoördineerde phishing- en malwareaanvallen, specifiek voor uw organisatie of voor andere organisaties in Microsoft 365.

Als u de weergave Campagnes wilt openen op de pagina Explorer in de Defender-portal op https://security.microsoft.com, gaat u naar Email &tabbladCampagnes in samenwerking>explorer>. U kunt ook rechtstreeks naar de pagina Explorer gaan met behulp van https://security.microsoft.com/threatexplorerv3en vervolgens het tabblad Campagnes selecteren.

Alle beschikbare informatie en acties zijn identiek aan de informatie en acties op de pagina Campagnes op https://security.microsoft.com/campaignsv3. Zie de pagina Campagnes in de Microsoft Defender portal voor meer informatie.

Weergave van inhoudsmalware in Bedreigingsverkenner en realtime detecties

In de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties wordt informatie weergegeven over bestanden die zijn geïdentificeerd als malware door:

• Ingebouwde virusbeveiliging in SharePoint, OneDrive en Microsoft Teams
• Veilige bijlagen voor SharePoint, OneDrive en Microsoft Teams.

Voer een van de volgende stappen uit om de weergave Inhoudsmalware te openen:

• Bedreigingsverkenner: Ga op de pagina Explorer in de Defender-portal op https://security.microsoft.comnaar Email & tabbladSamenwerkingsverkenner-inhoud>>malware. Of ga rechtstreeks naar de pagina Explorer met behulp van https://security.microsoft.com/threatexplorerv3en selecteer vervolgens het tabblad Inhoud malware.
• Realtime-detecties: ga op de pagina Realtime detecties in de Defender-portal op https://security.microsoft.comnaar Email & tabbladInhoud vansamenwerkingsverkenner>>. Of ga rechtstreeks naar de pagina Realtime detecties met behulp van https://security.microsoft.com/realtimereportsv3en selecteer vervolgens het tabblad Inhoud malware.

Filterbare eigenschappen in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

Standaard worden er geen eigenschapsfilters toegepast op de gegevens. De stappen voor het maken van filters (query's) worden beschreven in de sectie Filters in Bedreigingsverkenner en realtime detecties verderop in dit artikel.

De filterbare eigenschappen die beschikbaar zijn in het vak Bestandsnaam in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties, worden beschreven in de volgende tabel:

Eigenschap	Type	Dreiging Verkenner	Real-time Detecties
Bestand
Bestandsnaam	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Workload	Selecteer een of meer waarden: OneDrive SharePoint Teams	✔	✔
Ligging	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Bestandseigenaar	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Laatst gewijzigd door	Sms. Meerdere waarden scheiden door komma's.	✔	✔
SHA256	Geheel getal. Meerdere waarden scheiden door komma's. Als u de SHA256-hashwaarde van een bestand in Windows wilt vinden, voert u de volgende opdracht uit in een opdrachtprompt: certutil.exe -hashfile "<Path>\<Filename>" SHA256.	✔	✔
Malwarefamilie	Sms. Meerdere waarden scheiden door komma's.	✔	✔
Detectietechnologie	Selecteer een of meer waarden: Geavanceerd filter Antimalwarebescherming Bulk Campagne Domeinreputatie Bestandsonttoning Reputatie van bestandsonttoning Bestandsreputatie Vingerafdrukkoppeling Algemeen filter Merk imitatie Imitatiedomein Imitatiegebruiker IP-reputatie Postvakinformatie-imitatie Detectie van gemengde analyse spoof DMARC Spoof extern domein Adresvervalsing binnen de organisatie URL-detonatie REPUTATIE van URL-detonatie URL schadelijke reputatie	✔	✔
Bedreigingstype	Selecteer een of meer waarden: Blokkeren Malware Phishing Spam	✔	✔

Draaitabellen voor de grafiek in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De grafiek draaitabellen die beschikbaar zijn in de weergave Inhoud malware in Bedreigingsverkenner en realtime detecties worden weergegeven in de volgende tabel:

Pivot	Dreiging Verkenner	Real-time Detecties
Malwarefamilie	✔	✔
Detectietechnologie	✔	✔
Workload	✔	✔

De beschikbare grafiekdraaipunten worden beschreven in de volgende subsecties.

Draaigrafiek van de malwarefamilie in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

Hoewel deze draai niet standaard is geselecteerd, is Malware-familie de standaardgrafiek in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties.

De draaitabel van de malwarefamilie organiseert de grafiek op basis van de malware die is geïdentificeerd in bestanden in SharePoint, OneDrive en Microsoft Teams met behulp van het opgegeven datum-/tijdsbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke malwarefamilie weergegeven.

Grafiekdraaigrafiek van detectietechnologie in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

De draai van de detectietechnologie organiseert de grafiek op basis van de functie waarmee malware is geïdentificeerd in bestanden in SharePoint, OneDrive en Microsoft Teams voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke detectietechnologie weergegeven.

Draaigrafiek in de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

De draai van de werkbelasting organiseert de grafiek op de locatie waar de malware is geïdentificeerd (SharePoint, OneDrive of Microsoft Teams) voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke workload weergegeven.

Weergaven voor het detailgebied van de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

In Bedreigingsverkenner en realtime detecties bevat het detailgebied van de weergave Inhoudsmalware slechts één weergave (tabblad) met de naam Documenten. Deze weergave wordt beschreven in de volgende subsectie.

Documentweergave voor het detailgebied van de weergave Inhoudsmalware in Bedreigingsverkenner en realtime detecties

Document is de standaard- en enige weergave voor het detailgebied in de weergave Inhoudsmalware .

In de documentweergave wordt een detailtabel weergegeven. U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaardwaarden worden aangegeven met een sterretje (^*):

• Datum^*
• Naam^*
• Werkdruk^*
• Dreiging^*
• Detectietechnologie^*
• Laatst wijzigende gebruiker^*
• Bestandseigenaar^*
• Grootte (bytes)^*
• Tijdstip laatst gewijzigd
• Sitepad
• Bestandspad
• Document-id
• SHA256
• Gedetecteerde datum
• Malwarefamilie
• Context

Tip

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

• Horizontaal schuiven in uw webbrowser.
• De breedte van de juiste kolommen beperken.
• Kolommen uit de weergave verwijderen.
• Uitzoomen in uw webbrowser.

Aangepaste kolominstellingen worden per gebruiker opgeslagen. Aangepaste kolominstellingen in de incognito- of InPrivate-browsemodus worden opgeslagen totdat u de webbrowser sluit.

Wanneer u een bestandsnaamwaarde selecteert in de kolom Naam , wordt er een flyout met details geopend. De flyout bevat de volgende informatie:

• Overzichtssectie :

  • Bestandsnaam
  • Sitepad
  • Bestandspad
  • Document-id
  • SHA256
  • Laatste wijzigingsdatum
  • Laatst gewijzigd door
  • Dreiging
  • Detectietechnologie

• Sectie Details :

  • Gedetecteerde datum
  • Gedetecteerd door
  • Naam van malware
  • Laatst gewijzigd door
  • Bestandsgrootte
  • Bestandseigenaar

• Email lijstsectie: een tabel met de volgende gerelateerde informatie voor berichten die het malwarebestand bevatten:

  • Datum
  • Onderwerp
  • Ontvanger

  Selecteer Alle e-mail weergeven om Bedreigingsverkenner te openen op een nieuw tabblad, gefilterd op de naam van de malwarefamilie.

• Recente activiteit: toont de samengevatte resultaten van een zoekopdracht in het auditlogboek voor de ontvanger:

  • Datum
  • IP-adres
  • Activiteit
  • Item

  Als de ontvanger meer dan drie vermeldingen in het auditlogboek heeft, selecteert u Alle recente activiteiten weergeven om deze allemaal weer te geven.

  Tip

  Leden van de rolgroep Beveiligingsbeheerders in Email & samenwerkingsmachtigingen kunnen de sectie Recente activiteit niet uitbreiden. U moet lid zijn van een rollengroep in Exchange Online machtigingen waaraan de rollen Auditlogboeken, Information Protection Analist of Information Protection Onderzoeker zijn toegewezen. Deze rollen worden standaard toegewezen aan de rollengroepen Recordbeheer, Compliancebeheer, Information Protection, Information Protection Analisten, Information Protection Onderzoekers en Organisatiebeheer. U kunt de leden van beveiligingsbeheerders toevoegen aan deze rollengroepen of u kunt een nieuwe rollengroep maken met de rol Auditlogboeken toegewezen.

Weergave URL-klikken in Bedreigingsverkenner

In de weergave URL-klikken in Bedreigingsverkenner ziet u alle klikken van gebruikers op URL's in e-mail, in ondersteunde Office-bestanden in SharePoint en OneDrive en in Microsoft Teams.

Als u de weergave URL-kliks wilt openen op de pagina Explorer in de Defender-portal op https://security.microsoft.com, gaat u naar Email & tabbladUrl's voorsamenwerking>explorer>. Of ga rechtstreeks naar de pagina Explorer met behulp van https://security.microsoft.com/threatexplorerv3en selecteer vervolgens het tabblad URL-klikken.

Filterbare eigenschappen in de weergave URL-klikken in Bedreigingsverkenner

Standaard worden er geen eigenschapsfilters toegepast op de gegevens. De stappen voor het maken van filters (query's) worden beschreven in de sectie Filters in Bedreigingsverkenner en realtime detecties verderop in dit artikel.

De filterbare eigenschappen die beschikbaar zijn in het vak Geadresseerden in de weergave URL-klikken in Bedreigingsverkenner , worden beschreven in de volgende tabel:

Eigenschap	Type
Basic
Ontvangers	Sms. Meerdere waarden scheiden door komma's.
Tags	Sms. Meerdere waarden scheiden door komma's. Zie Gebruikerstags voor meer informatie over gebruikerstags.
Netwerkbericht-id	Sms. Meerdere waarden scheiden door komma's. Een GUID-waarde die beschikbaar is in het kopveld X-MS-Exchange-Organization-Network-Message-Id in de berichtkop.
URL	Sms. Meerdere waarden scheiden door komma's.
Klik op actie	Selecteer een of meer waarden: Toegestaan Pagina blokkeren Overschrijving van pagina blokkeren Foutpagina Mislukking Geen Pagina In behandeling Pagina-onderdrukking in behandeling
Bedreigingstype	Selecteer een of meer waarden: Toestaan Blokkeren Malware Phishing Spam
Detectietechnologie	Selecteer een of meer waarden: URL-detonatie REPUTATIE van URL-detonatie URL schadelijke reputatie
Klik op Id	Sms. Meerdere waarden scheiden door komma's.
Client-IP	Sms. Meerdere waarden scheiden door komma's.

Draaitabellen voor de grafiek in de weergave URL-klikken in Bedreigingsverkenner

De grafiek heeft een standaardweergave, maar u kunt een waarde selecteren in Draai selecteren voor histogramgrafiek om te wijzigen hoe de gefilterde of niet-gefilterde grafiekgegevens worden ingedeeld en weergegeven.

De beschikbare grafiekdraaipunten worden beschreven in de volgende subsecties.

Draaigrafiek van URL-domein in de weergave URL-klikken in Bedreigingsverkenner

Hoewel deze draai niet standaard geselecteerd lijkt, is HET URL-domein de standaardgrafiek in de weergave URL-klikken .

De draai van het URL-domein organiseert de grafiek op basis van de domeinen in URL's waarop gebruikers hebben geklikt in e-mail, Office-bestanden of Microsoft Teams voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, ziet u het aantal voor elk URL-domein.

Draai van workloadgrafiek in de weergave URL-klikken in Bedreigingsverkenner

De draai van de werkbelasting organiseert de grafiek op de locatie van de url waarop is geklikt (e-mail, Office-bestanden of Microsoft Teams) voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke workload weergegeven.

Grafiekdraaigrafiek van detectietechnologie in de weergave URL-klikken in Bedreigingsverkenner

De draai van detectietechnologie organiseert de grafiek op basis van de functie die de URL-klikken in e-mail, Office-bestanden of Microsoft Teams identificeert voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, wordt het aantal voor elke detectietechnologie weergegeven.

Grafiek draaien van bedreigingstype in de weergave URL-klikken in Bedreigingsverkenner

De draaitabel Bedreigingstype ordent de grafiek op basis van de resultaten voor url's in e-mail, Office-bestanden of Microsoft Teams voor het opgegeven datum-/tijdbereik en eigenschappenfilters.

Als u de muisaanwijzer op een gegevenspunt in de grafiek plaatst, ziet u het aantal voor elke technologie van het bedreigingstype.

Weergaven voor het detailgebied van de weergave URL-klikken in Bedreigingsverkenner

De beschikbare weergaven (tabbladen) in het detailgebied van de weergave URL-klikken worden beschreven in de volgende subsecties.

Resultatenweergave voor het detailgebied van de weergave URL-klikken in Bedreigingsverkenner

Resultaten is de standaardweergave voor het detailgebied in de weergave URL-klikken .

In de weergave Resultaten ziet u een detailtabel. U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle kolommen geselecteerd:

• Tijd waarop is geklikt
• Ontvanger
• URL-klikactie
• URL
• Tags
• Netwerkbericht-id
• Klik op Id
• Client-IP
• URL-keten
• Bedreigingstype
• Detectietechnologie

Tip

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

• Horizontaal schuiven in uw webbrowser.
• De breedte van de juiste kolommen beperken.
• Kolommen uit de weergave verwijderen.
• Uitzoomen in uw webbrowser.

Aangepaste kolominstellingen worden per gebruiker opgeslagen. Aangepaste kolominstellingen in de incognito- of InPrivate-browsemodus worden opgeslagen totdat u de webbrowser sluit.

Selecteer een of-items door het selectievakje naast de eerste kolom in de rij in te schakelen en selecteer vervolgens Alle e-mailberichten weergeven om Bedreigingsverkenner te openen in de weergave Alle e-mail op een nieuw tabblad dat is gefilterd op de netwerkbericht-id-waarden van de geselecteerde berichten.

Weergave Meest klikken voor het detailgebied van de weergave URL-klikken in Bedreigingsverkenner

In de weergave Meest klikken wordt een detailtabel weergegeven. U kunt de vermeldingen sorteren door op een beschikbare kolomkop te klikken:

• URL
• Geblokkeerd
• Toegestaan
• Blokkeren overschreven
• Uitspraak in behandeling
• Uitspraak in behandeling omzeild
• Geen
• Foutpagina
• Mislukking

Tip

Alle beschikbare kolommen zijn geselecteerd. Als u Kolommen aanpassen selecteert, kunt u de selectie van kolommen niet opheffen.

Als u alle kolommen wilt zien, moet u waarschijnlijk een of meer van de volgende stappen uitvoeren:

• Horizontaal schuiven in uw webbrowser.
• De breedte van de juiste kolommen beperken.
• Uitzoomen in uw webbrowser.

Selecteer een item door het selectievakje naast de eerste kolom in de rij in te schakelen en selecteer vervolgens Alle klikken weergeven om Bedreigingsverkenner te openen in een nieuw tabblad in de weergave URL-klikken.

Wanneer u een item selecteert door op een andere plaats in de rij dan het selectievakje naast de eerste kolom te klikken, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als die wordt beschreven in De details van de belangrijkste URL's voor de weergave Alle e-mail.

Meest gerichte gebruikersweergave voor het detailgebied van de weergave URL-klikken in Bedreigingsverkenner

De weergave Belangrijkste doelgebruikers ordent de gegevens in een tabel met de vijf belangrijkste geadresseerden die op URL's hebben geklikt. In de tabel ziet u het volgende:

• Belangrijkste doelgebruikers: het e-mailadres van de belangrijkste doelgebruiker. Als u een e-mailadres selecteert, wordt er een flyout met details geopend. De informatie in de flyout is hetzelfde als beschreven in de weergave Belangrijkste doelgebruikers voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner.

• Het aantal pogingen: als u het aantal pogingen selecteert, wordt Bedreigingsverkenner geopend op een nieuw tabblad, gefilterd op de naam van de malwarefamilie.

Tip

Gebruik Exporteren om de lijst met maximaal 3000 gebruikers en de bijbehorende pogingen te exporteren.

Eigenschapsfilters in Bedreigingsverkenner en realtime detecties

De basissyntaxis van een eigenschappenfilter/query is:

Voorwaarde = <filtereigenschap><Filteroperator><Eigenschapswaarde of -waarden>

Meerdere voorwaarden gebruiken de volgende syntaxis:

<Voorwaarde1><EN | OR-voorwaarde2><><EN | OR-voorwaarde3><>... <EN | OR-voorwaarde><>

Tip

Zoekopdrachten met jokertekens (**** of ?) worden niet ondersteund in tekst of gehele getallen. De eigenschap Onderwerp maakt gebruik van gedeeltelijke tekstkoppeling en levert resultaten op die vergelijkbaar zijn met een zoekopdracht met jokertekens.

De stappen voor het maken van eigenschappenfilter-/queryvoorwaarden zijn hetzelfde in alle weergaven in Bedreigingsverkenner en realtime detecties:

1. Identificeer de filtereigenschap met behulp van de tabellen in de beschrijvingssecties van de preview-weergave eerder in dit artikel.

2. Selecteer een beschikbare filteroperator. De beschikbare filteroperatoren zijn afhankelijk van het eigenschapstype zoals beschreven in de volgende tabel:

   Filteroperator	Eigenschapstype
   Gelijk aan een van	Tekst Geheel getal Discrete waarden
   Gelijk aan geen van	Tekst Discrete waarden
   Groter dan	Geheel getal
   Kleiner dan	Geheel getal

3. Voer een of meer eigenschapswaarden in of selecteer deze. Voor tekstwaarden en gehele getallen kunt u meerdere waarden invoeren, gescheiden door komma's.

   Meerdere waarden in de eigenschapswaarde gebruiken de logische operator OR. Bijvoorbeeld : Afzenderadres>Gelijk aan een van>bob@fabrikam.com,cindy@fabrikam.com betekent Afzenderadres>Gelijk aan een van>bob@fabrikam.com OF cindy@fabrikam.com.

   Nadat u een of meer eigenschapswaarden hebt ingevoerd of geselecteerd, wordt de voltooide filtervoorwaarde weergegeven onder de vakken voor het maken van filters.

   Tip

   Voor eigenschappen waarvoor u een of meer beschikbare waarden moet selecteren, heeft het gebruik van de eigenschap in de filtervoorwaarde met alle geselecteerde waarden hetzelfde resultaat als het niet gebruiken van de eigenschap in de filtervoorwaarde.

4. Als u nog een voorwaarde wilt toevoegen, herhaalt u de vorige drie stappen.

   De voorwaarden onder de vakken voor het maken van filters worden gescheiden door de logische operator die is geselecteerd op het moment dat u de tweede of volgende voorwaarden hebt gemaakt. De standaardwaarde is AND, maar u kunt ook OF selecteren.

   Dezelfde logische operator wordt gebruikt tussen alle voorwaarden: ze zijn allemaal EN of ze zijn allemaal OF. Als u de bestaande logische operators wilt wijzigen, selecteert u het vak logische operator en selecteert u VERVOLGENS EN of OF.

   Als u een bestaande voorwaarde wilt bewerken, dubbelklikt u erop om de geselecteerde eigenschap, filteroperator en waarden weer in de bijbehorende vakken te plaatsen.

   Als u een bestaande voorwaarde wilt verwijderen, selecteert u op de voorwaarde.

5. Als u het filter wilt toepassen op de grafiek en de detailtabel, selecteert u Vernieuwen

   

Opgeslagen query's in Bedreigingsverkenner

Tip

Query opslaan maakt deel uit van bedreigingstrackers en is niet beschikbaar in realtime detecties. Opgeslagen query's en bedreigingstrackers zijn alleen beschikbaar in Defender voor Office 365 Abonnement 2.

Query opslaan is niet beschikbaar in de weergave Inhoudsmalware.

Met de meeste weergaven in Threat Explorer kunt u filters (query's) opslaan voor later gebruik. Opgeslagen query's zijn beschikbaar op de pagina Bedreigingstracking in de Defender-portal op https://security.microsoft.com/threattrackerv2. Zie Bedreigingstrackers in Microsoft Defender voor Office 365 Plan 2 voor meer informatie over bedreigingstrackers.

Voer de volgende stappen uit om query's op te slaan in Threat Explorer:

1. Nadat u het filter/de query hebt gemaakt zoals eerder beschreven, selecteert u Query> opslaanQuery opslaan.

2. Configureer in de flyout Query opslaan die wordt geopend de volgende opties:

   • Querynaam: voer een unieke naam in voor de query.
   • Selecteer een van de volgende opties:
     • Exacte datums: selecteer een begin- en einddatum in de vakken. De oudste begindatum die u kunt selecteren is 30 dagen voor vandaag. De nieuwste einddatum die u kunt selecteren, is vandaag.
     • Relatieve datums: selecteer het aantal dagen in de laatste nn dagen weergeven waarop de zoekopdracht wordt uitgevoerd. De standaardwaarde is 7, maar u kunt 1 tot 30 selecteren.
   • Query bijhouden: deze optie is standaard niet geselecteerd. Deze optie is van invloed op of de query automatisch wordt uitgevoerd:
     • Query bijhouden is niet geselecteerd: de query kan handmatig worden uitgevoerd in Threat Explorer. De query wordt opgeslagen op het tabblad Opgeslagen query's op de pagina Bedreigingstracking met de eigenschap Bijgehouden waardeNee.
     • Geselecteerde query bijhouden : de query wordt periodiek op de achtergrond uitgevoerd. De query is beschikbaar op het tabblad Opgeslagen query's op de pagina Bedreigingstracking met de eigenschapSwaarde Bijgehouden queryJa. De periodieke resultaten van de query worden weergegeven op het tabblad Bijgehouden query's op de pagina Bedreigingstracking .

   Wanneer u klaar bent in de flyout Query opslaan , selecteert u Opslaan en selecteert u vervolgens OK in het bevestigingsdialoogvenster.

Op het tabblad Opgeslagen query of Bijgehouden query op de pagina Bedreigingstracker in de Defender-portal op https://security.microsoft.com/threattrackerv2kunt u Verkennen selecteren in de kolom Acties om de query te openen en te gebruiken in Bedreigingsverkenner.

Wanneer u de query opent door Verkennen te selecteren op de pagina Bedreigingstracking, zijn de instellingen voor Query opslaan als en Opgeslagen query nu beschikbaar in Query opslaan op de pagina Explorer:

• Als u Query opslaan als selecteert, wordt de flyout Query opslaan geopend met alle eerder geselecteerde instellingen. Als u wijzigingen aanbrengt, selecteert u Opslaan en selecteert u vervolgens OK in het dialoogvenster Geslaagd, wordt de bijgewerkte query opgeslagen als een nieuwe query op de pagina Bedreigingstracking (mogelijk moet u Vernieuwen selecteren om deze te zien).

• Als u Opgeslagen queryinstellingen selecteert, wordt de flyout Opgeslagen query-instellingen geopend, waar u de instellingen voor de datum en Query bijhouden van de bestaande query kunt bijwerken.

Meer informatie

• Threat Explorer verzamelt e-mailgegevens op de pagina Email entiteit
• Schadelijke e-mail zoeken en onderzoeken die is bezorgd
• Schadelijke bestanden weergeven die zijn gedetecteerd in SharePoint Online, OneDrive en Microsoft Teams
• Statusrapport bedreigingsbeveiliging
• Geautomatiseerd onderzoek en reactie in Microsoft Threat Protection