Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Microsoft Defender voor Office 365 bevat krachtige mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) die uw beveiligingsteam tijd en moeite kunnen besparen. Wanneer waarschuwingen worden geactiveerd, is het aan uw beveiligingsteam om deze waarschuwingen te controleren, prioriteit te geven en erop te reageren. Het bijhouden van het volume van binnenkomende waarschuwingen kan overweldigend zijn. Het automatiseren van sommige van deze taken kan helpen.
AIR stelt uw beveiligingsteam in staat efficiënter en effectiever te werken. AIR-mogelijkheden omvatten geautomatiseerde onderzoeksprocessen als reactie op bekende bedreigingen die momenteel bestaan. De juiste herstelacties wachten op goedkeuring, zodat uw beveiligingsteam effectief kan reageren op gedetecteerde bedreigingen. Met AIR kan uw beveiligingsteam zich richten op taken met een hogere prioriteit zonder belangrijke waarschuwingen uit het oog te verliezen die worden geactiveerd.
Dit artikel bevat ook volgende stappen en bronnen voor meer informatie.
De totale luchtstroom
Er wordt een waarschuwing geactiveerd en een beveiligingsplaybook start een geautomatiseerd onderzoek, wat resulteert in bevindingen en aanbevolen acties. Dit is de algemene luchtstroom, stap voor stap:
Een geautomatiseerd onderzoek wordt op een van de volgende manieren gestart:
Een waarschuwing wordt geactiveerd door iets verdachts in e-mail (zoals een bericht, bijlage, URL of gecompromitteerd gebruikersaccount). Er wordt een incident gemaakt en er wordt een geautomatiseerd onderzoek gestart; of
Terwijl een geautomatiseerd onderzoek wordt uitgevoerd, worden gegevens verzameld over de e-mail in kwestie en entiteiten die betrekking hebben op dat e-mailbericht (bijvoorbeeld bestanden, URL's en ontvangers). Het bereik van het onderzoek kan toenemen naarmate nieuwe en gerelateerde waarschuwingen worden geactiveerd.
Tijdens en na een geautomatiseerd onderzoek zijn details en resultaten beschikbaar om te bekijken. De resultaten kunnen aanbevolen acties bevatten die kunnen worden uitgevoerd om te reageren op en te herstellen van bestaande bedreigingen die zijn gevonden.
Wanneer in behandeling zijnde herstelacties worden goedgekeurd (of geweigerd), wordt het geautomatiseerde onderzoek voltooid.
Notitie
Als het onderzoek niet resulteert in aanbevolen acties, wordt het geautomatiseerde onderzoek gesloten en zijn de details van wat is beoordeeld als onderdeel van het geautomatiseerde onderzoek nog steeds beschikbaar op de onderzoekspagina.
In Microsoft Defender voor Office 365 worden er geen herstelacties automatisch uitgevoerd. Herstelacties worden alleen uitgevoerd na goedkeuring door het beveiligingsteam van uw organisatie. Air-mogelijkheden besparen uw beveiligingsteam tijd door herstelacties te identificeren en de details te verstrekken die nodig zijn om een weloverwogen beslissing te nemen.
Tijdens en na elk geautomatiseerd onderzoek kan uw beveiligingsteam het volgende doen:
Met welk waarschuwingsbeleid worden geautomatiseerde onderzoeken geactiveerd?
Microsoft 365 biedt een groot aantal ingebouwde waarschuwingsbeleidsregels waarmee u misbruik van Exchange-beheerdersmachtigingen, malwareactiviteiten, mogelijke externe en interne bedreigingen en informatiebeheerrisico's kunt identificeren. Verschillende standaardwaarschuwingsbeleidsregels kunnen geautomatiseerde onderzoeken activeren. Als deze waarschuwingen zijn uitgeschakeld of vervangen door aangepaste waarschuwingen, wordt AIR niet geactiveerd.
In de volgende tabel worden de waarschuwingen beschreven die geautomatiseerde onderzoeken activeren, de ernst ervan in de Microsoft Defender-portal en hoe ze worden gegenereerd:
Waarschuwing
Ernst
Hoe de waarschuwing wordt gegenereerd
Er is een mogelijk schadelijke URL-klik gedetecteerd
Hoog
Deze waarschuwing wordt gegenereerd wanneer een van de volgende situaties optreedt:
Een gebruiker die wordt beveiligd met veilige koppelingen in uw organisatie, klikt op een schadelijke koppeling
Beoordelingswijzigingen voor URL's worden geïdentificeerd door Microsoft Defender voor Office 365
E-mailberichten met schadelijk bestand verwijderd na bezorging
Informatief
Deze waarschuwing wordt gegenereerd wanneer berichten met een schadelijk bestand worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met behulp van zero-hour auto purge (ZAP).
Email berichten die malware bevatten, worden verwijderd na levering
Informatief
Deze waarschuwing wordt gegenereerd wanneer e-mailberichten met malware worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met behulp van zero-hour auto purge (ZAP).
E-mailberichten met schadelijke URL verwijderd na bezorging
Informatief
Deze waarschuwing wordt gegenereerd wanneer berichten met een schadelijke URL worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met behulp van zero-hour auto purge (ZAP).
Email berichten met phish-URL's worden verwijderd na bezorging
Informatief
Deze waarschuwing wordt gegenereerd wanneer berichten met phish worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met behulp van ZAP.
Er worden verdachte patronen voor het verzenden van e-mail gedetecteerd
Gemiddeld
Deze waarschuwing wordt gegenereerd wanneer iemand in uw organisatie verdachte e-mail heeft verzonden en het risico loopt te worden beperkt tot het verzenden van e-mail. De waarschuwing is een vroege waarschuwing voor gedrag dat erop kan wijzen dat het account is aangetast, maar niet ernstig genoeg om de gebruiker te beperken.
Deze waarschuwing wordt gegenereerd wanneer iemand in uw organisatie geen uitgaande e-mail mag verzenden. Deze waarschuwing wordt meestal weergegeven wanneer een e-mailaccount is gecompromitteerd.
Deze waarschuwing wordt gegenereerd wanneer een beheerder het handmatige onderzoek van een e-mail vanuit Threat Explorer activeert. Deze waarschuwing waarschuwt uw organisatie dat het onderzoek is gestart.
onderzoek naar Beheer geactiveerde gebruikerscompromitt
Gemiddeld
Deze waarschuwing wordt gegenereerd wanneer een beheerder het handmatige onderzoek naar inbreuk door gebruikers van een afzender of ontvanger van een e-mail vanuit Threat Explorer activeert. Met deze waarschuwing wordt uw organisatie gewaarschuwd dat het onderzoek naar inbreuk op gebruikers is gestart.
AIR-functies instellen: lidmaatschap van de rolgroepen Organisatiebeheer of Beveiligingsbeheerder .
Een geautomatiseerd onderzoek starten of aanbevolen acties goedkeuren of afwijzen:
Lidmaatschap van de rollengroepen Organisatiebeheer, Beveiligingsbeheerder, Beveiligingsoperator, Beveiligingslezer of Globale lezer .
en
Lidmaatschap van een rollengroep waaraan de rol Zoeken en Opschonen is toegewezen. Deze rol wordt standaard toegewezen aan de rollengroepen Gegevensonderzoeker en Organisatiebeheer . U kunt ook een aangepaste rollengroep maken om de rol Zoeken en opschonen toe te wijzen.
AIR-functies instellen Lidmaatschap van de rollen Globale beheerder of Beveiligingsbeheerder .
Een geautomatiseerd onderzoek starten of aanbevolen acties goedkeuren of afwijzen:
Lidmaatschap van de rollen Globale beheerder, Beveiligingsbeheerder, Beveiligingsoperator, Beveiligingslezer of Globale lezer .
en
Lidmaatschap van een Email & samenwerkingsrolgroep waaraan de rol Zoeken en Opschonen is toegewezen. Deze rol wordt standaard toegewezen aan de rollengroepen Gegevensonderzoeker en Organisatiebeheer . U kunt ook een aangepaste Email & samenwerkingsrolgroep maken om de rol Zoeken en opschonen toe te wijzen.
Microsoft Entra machtigingen geven gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.
In deze module worden de verschillen besproken tussen Microsoft Purview-controle (Standard) en Audit (Premium), plus de belangrijkste functionaliteit in Audit (Premium), waaronder de installatievereisten, het inschakelen van auditlogboekregistratie, het maken van bewaarbeleid voor auditlogboeken en het uitvoeren van forensische onderzoeken.