Handleiding voor Microsoft Defender voor Office 365 Beveiligingsbewerkingen
Tip
Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Dit artikel bevat een overzicht van de vereisten en taken voor het succesvol uitvoeren van Microsoft Defender voor Office 365 in uw organisatie. Deze taken helpen ervoor te zorgen dat uw Security Operations Center (SOC) een hoogwaardige, betrouwbare benadering biedt voor het beveiligen, detecteren en reageren op beveiligingsrisico's met betrekking tot e-mail en samenwerking.
In de rest van deze handleiding worden de vereiste activiteiten voor SecOps-personeel beschreven. De activiteiten worden gegroepeerd in prescriptieve dagelijkse, wekelijkse, maandelijkse en ad-hoctaken.
Een begeleidend artikel bij deze handleiding bevat een overzicht van het beheren van incidenten en waarschuwingen van Defender voor Office 365 op de pagina Incidenten in de Microsoft Defender portal.
De handleiding Microsoft Defender XDR Security Operations bevat aanvullende informatie die u kunt gebruiken voor planning en ontwikkeling.
Zie voor een video over deze informatie https://youtu.be/eQanpq9N1Ps.
Dagelijkse activiteiten
De wachtrij Microsoft Defender XDR incidenten bewaken
Op de pagina Incidenten in de Microsoft Defender portal op https://security.microsoft.com/incidents-queue (ook wel bekend als de wachtrij Incidenten) kunt u gebeurtenissen van de volgende bronnen beheren en bewaken in Defender voor Office 365:
Zie Incidenten prioriteren in Microsoft Defender XDR voor meer informatie over de wachtrij Incidenten.
Uw triageplan voor het bewaken van de wachtrij Incidenten moet de volgende volgorde van prioriteit gebruiken voor incidenten:
- Er is een mogelijk schadelijke URL-klik gedetecteerd.
- Gebruiker kan geen e-mail verzenden.
- Er zijn verdachte verzendpatronen voor e-mail gedetecteerd.
- Email door de gebruiker gerapporteerd als malware of phish, en meerdere gebruikers hebben e-mail gerapporteerd als malware of phish.
- Email berichten die schadelijke bestanden bevatten die na de bezorging zijn verwijderd, Email berichten met een schadelijke URL verwijderd na de bezorging en Email berichten van een campagne die na de levering zijn verwijderd.
- Phish geleverd vanwege een ETR-onderdrukking, Phish geleverd omdat de map Ongewenste e-mail van een gebruiker is uitgeschakeld en Phish geleverd vanwege een BELEID voor toestaan via IP
- Malware niet zapped omdat ZAP is uitgeschakeld en Phish niet zapped omdat ZAP is uitgeschakeld.
Beheer van incidentwachtrijen en de verantwoordelijke persona's worden beschreven in de volgende tabel:
Activiteit | Cadans | Beschrijving | Persona |
---|---|---|---|
Sorteer incidenten in de wachtrij Incidenten op https://security.microsoft.com/incidents-queue. | Dagelijks | Controleer of alle incidenten met een gemiddelde en hoge ernst van Defender voor Office 365 zijn gesordeerd. | Team voor beveiligingsbewerkingen |
Onderzoeken en responsacties uitvoeren op incidenten. | Dagelijks | Onderzoek alle incidenten en voer actief de aanbevolen of handmatige reactieacties uit. | Team voor beveiligingsbewerkingen |
Incidenten oplossen. | Dagelijks | Als het incident is hersteld, lost u het incident op. Als u het incident oplost, worden alle gekoppelde en gerelateerde actieve waarschuwingen opgelost. | Team voor beveiligingsbewerkingen |
Incidenten classificeren. | Dagelijks | Incidenten classificeren als waar of onwaar. Geef voor true-waarschuwingen het bedreigingstype op. Deze classificatie helpt uw beveiligingsteam bedreigingspatronen te zien en uw organisatie tegen deze patronen te beschermen. | Team voor beveiligingsbewerkingen |
Fout-positieve en fout-negatieve detecties beheren
In Defender voor Office 365 beheert u fout-positieven (goede e-mail gemarkeerd als slecht) en fout-negatieven (slechte e-mail toegestaan) op de volgende locaties:
- De pagina Inzendingen (beheerdersinzendingen).
- De lijst tenant toestaan/blokkeren
- Bedreigingsverkenner
Zie de sectie Fout-positieve en fout-negatieve detecties beheren verderop in dit artikel voor meer informatie.
Fout-positief en fout-negatief beheer en de verantwoordelijke persona's worden beschreven in de volgende tabel:
Activiteit | Cadans | Beschrijving | Persona |
---|---|---|---|
Verzend fout-positieven en fout-negatieven naar Microsoft op https://security.microsoft.com/reportsubmission. | Dagelijks | Geef signalen aan Microsoft door onjuiste e-mail-, URL- en bestandsdetecties te melden. | Team voor beveiligingsbewerkingen |
Inzendingsgegevens van beheerders analyseren. | Dagelijks | Begrijp de volgende factoren voor de inzendingen die u bij Microsoft doet:
|
Team voor beveiligingsbewerkingen Beveiligingsbeheer |
Voeg blokvermeldingen toe in de lijst Tenant toestaan/blokkeren op https://security.microsoft.com/tenantAllowBlockList. | Dagelijks | Gebruik de lijst Tenant toestaan/blokkeren om zo nodig blokvermeldingen toe te voegen voor fout-negatieve URL-, bestands- of afzenderdetecties. | Team voor beveiligingsbewerkingen |
Laat fout-positief uit quarantaine. | Dagelijks | Nadat de geadresseerde heeft bevestigd dat het bericht onjuist in quarantaine was geplaatst, kunt u releaseaanvragen voor gebruikers vrijgeven of goedkeuren. Zie Quarantainebeleid om te bepalen wat gebruikers kunnen doen met hun eigen berichten in quarantaine (inclusief release of release aanvragen). |
Team voor beveiligingsbewerkingen Berichtenteam |
Phishing- en malwarecampagnes bekijken die hebben geresulteerd in bezorgde e-mail
Activiteit | Cadans | Beschrijving | Persona |
---|---|---|---|
Bekijk e-mailcampagnes. | Dagelijks |
Bekijk e-mailcampagnes die gericht waren op uw organisatie op https://security.microsoft.com/campaigns. Richt u op campagnes die hebben geleid tot het bezorgen van berichten aan geadresseerden. Verwijder berichten uit campagnes die aanwezig zijn in postvakken van gebruikers. Deze actie is alleen vereist wanneer een campagne e-mail bevat die nog niet is hersteld door acties van incidenten, zero-hour auto purge (ZAP) of handmatig herstel. |
Team voor beveiligingsbewerkingen |
Wekelijkse activiteiten
Trends voor e-maildetectie in Defender voor Office 365 rapporten bekijken
In Defender voor Office 365 kunt u de volgende rapporten gebruiken om trends voor e-maildetectie in uw organisatie te bekijken:
Activiteit | Cadans | Beschrijving | Persona |
---|---|---|---|
Bekijk e-maildetectierapporten op: | Wekelijks | Bekijk e-maildetectietrends voor malware, phishing en spam in vergelijking met goede e-mail. Met observatie in de loop van de tijd kunt u bedreigingspatronen zien en bepalen of u uw Defender voor Office 365-beleid moet aanpassen. | Beveiligingsbeheer Team voor beveiligingsbewerkingen |
Opkomende bedreigingen bijhouden en erop reageren met behulp van Bedreigingsanalyse
Gebruik Bedreigingsanalyse om actieve, trending bedreigingen te bekijken.
Activiteit | Cadans | Beschrijving | Persona |
---|---|---|---|
Bekijk bedreigingen in Bedreigingsanalyse op https://security.microsoft.com/threatanalytics3. | Wekelijks | Bedreigingsanalyse biedt gedetailleerde analyses, waaronder de volgende items:
|
Team voor beveiligingsbewerkingen Bedreigingsteam |
Controleer de meest gerichte gebruikers op malware en phishing
Gebruik het tabblad Belangrijkste doelgebruikers (weergave) in het detailgebied van de weergaven Alle e-mail, Malware en Phish in Bedreigingsverkenner om de gebruikers te detecteren of te bevestigen die de belangrijkste doelwitten zijn voor malware en phishing-e-mail.
Activiteit | Cadans | Beschrijving | Persona |
---|---|---|---|
Bekijk het tabblad Belangrijkste doelgebruikers in Bedreigingsverkenner op https://security.microsoft.com/threatexplorer. | Wekelijks | Gebruik de informatie om te bepalen of u beleid of beveiliging voor deze gebruikers moet aanpassen. Voeg de betrokken gebruikers toe aan Priority-accounts om de volgende voordelen te krijgen:
|
Beveiligingsbeheer Team voor beveiligingsbewerkingen |
Bekijk de belangrijkste malware- en phishingcampagnes die gericht zijn op uw organisatie
Campagneweergaven onthullen malware- en phishingaanvallen tegen uw organisatie. Zie Campagneweergaven in Microsoft Defender voor Office 365 voor meer informatie.
Activiteit | Cadans | Beschrijving | Persona |
---|---|---|---|
Gebruik Campagneweergaven op https://security.microsoft.com/campaigns om malware- en phishingaanvallen te bekijken die van invloed zijn op u. | Wekelijks | Meer informatie over de aanvallen en technieken en wat Defender voor Office 365 kon identificeren en blokkeren. Gebruik Bedreigingsrapport downloaden in Campagneweergaven voor gedetailleerde informatie over een campagne. |
Team voor beveiligingsbewerkingen |
Ad-hocactiviteiten
Handmatig onderzoek en verwijdering van e-mail
Activiteit | Cadans | Beschrijving | Persona |
---|---|---|---|
Onderzoek en verwijder ongeldige e-mail in Threat Explorer op https://security.microsoft.com/threatexplorer op basis van gebruikersaanvragen. | Ad-hoc | Gebruik de actie Onderzoek activeren in Bedreigingsverkenner om een automatisch playbook voor onderzoek en antwoord te starten op elk e-mailbericht van de afgelopen 30 dagen. Het handmatig activeren van een onderzoek bespaart tijd en moeite door centraal op te geven:
Zie Voorbeeld: Een door de gebruiker gerapporteerde phish-bericht start een playbook voor onderzoek voor meer informatie U kunt bedreigingsverkenner ook gebruiken om e-mail handmatig te onderzoeken met krachtige zoek- en filtermogelijkheden en rechtstreeks vanaf dezelfde locatie handmatige reactieacties uit te voeren . Beschikbare handmatige acties:
|
Team voor beveiligingsbewerkingen |
Proactief zoeken naar bedreigingen
Activiteit | Cadans | Beschrijving | Persona |
---|---|---|---|
Regelmatige, proactieve opsporing van bedreigingen op:. | Ad-hoc | Zoek naar bedreigingen met behulp van Bedreigingsverkenner en Geavanceerde opsporing. | Team voor beveiligingsbewerkingen Bedreigingsteam |
Opsporingsquery's delen. | Ad-hoc | Deel actief veelgebruikte, nuttige query's binnen het beveiligingsteam voor snellere handmatige opsporing en herstel van bedreigingen. Bedreigingstrackers en gedeelde query's gebruiken in Geavanceerde opsporing. |
Team voor beveiligingsbewerkingen Bedreigingsteam |
Maak aangepaste detectieregels op https://security.microsoft.com/custom_detection. | Ad-hoc | Maak aangepaste detectieregels om gebeurtenissen, patronen en bedreigingen proactief te bewaken op basis van Defender voor Office 365 gegevens in Advance Hunting. Detectieregels bevatten geavanceerde opsporingsquery's die waarschuwingen genereren op basis van de overeenkomende criteria. | Team voor beveiligingsbewerkingen Bedreigingsteam |
Configuraties van Defender voor Office 365-beleid controleren
Activiteit | Cadans | Beschrijving | Persona |
---|---|---|---|
Controleer de configuratie van Defender voor Office 365-beleid op https://security.microsoft.com/configurationAnalyzer. | Ad-hoc Maandelijks |
Gebruik configuratieanalyse om uw bestaande beleidsinstellingen te vergelijken met de aanbevolen standaard- of strikte waarden voor Defender voor Office 365. De Configuratieanalyse identificeert onbedoelde of schadelijke wijzigingen die de beveiligingspostuur van uw organisatie kunnen verlagen. U kunt ook het op PowerShell gebaseerde ORCA-hulpprogramma gebruiken. |
Beveiligingsbeheer Berichtenteam |
Bekijk detectieoverschrijvingen in Defender voor Office 365 ophttps://security.microsoft.com/reports/TPSMessageOverrideReportATP | Ad-hoc Maandelijks |
Gebruik de uitsplitsingsweergave Grafiek weergeven per > reden in het rapport Bedreigingsbeveiligingsstatus om e-mail te bekijken die is gedetecteerd als phishing, maar is bezorgd vanwege instellingen voor beleid of gebruikersoverval. Onderzoek, verwijder of verfijn onderdrukkingen om te voorkomen dat e-mail wordt verzonden die schadelijk is. |
Beveiligingsbeheer Berichtenteam |
Detecties van adresvervalsing en imitatie controleren
Activiteit | Cadans | Beschrijving | Persona |
---|---|---|---|
Bekijk het inzicht in Spoof Intelligence en de inzichten voor detectie van imitatie op. | Ad-hoc Maandelijks |
Gebruik het inzicht in spoof intelligence en het imitatie-inzicht om het filteren op spoof- en imitatiedetecties aan te passen. | Beveiligingsbeheer Berichtenteam |
Prioriteitsaccountlidmaatschap controleren
Activiteit | Cadans | Beschrijving | Persona |
---|---|---|---|
Controleer wie is gedefinieerd als een prioriteitsaccount op https://security.microsoft.com/securitysettings/userTags. | Ad-hoc | Houd het lidmaatschap van prioriteitsaccounts actueel met wijzigingen in de organisatie om de volgende voordelen voor deze gebruikers te krijgen:
Gebruik aangepaste gebruikerstags voor andere gebruikers om het volgende op te halen:
|
Team voor beveiligingsbewerkingen |
Bijlage
Meer informatie over hulpprogramma's en processen voor Microsoft Defender voor Office 365
Leden van het beveiligings- en responsteam moeten Defender voor Office 365 hulpprogramma's en functies integreren in bestaande onderzoeken en reactieprocessen. Leren over nieuwe hulpprogramma's en mogelijkheden kan tijd kosten, maar het is een essentieel onderdeel van het onboardingsproces. De eenvoudigste manier voor SecOps- en e-mailbeveiligingsteamleden om meer te weten te komen over Defender voor Office 365 is door de trainingsinhoud te gebruiken die beschikbaar is als onderdeel van de Ninja-trainingsinhoud op https://aka.ms/mdoninja.
De inhoud is gestructureerd voor verschillende kennisniveaus (Fundamentals, Intermediate en Advanced) met meerdere modules per niveau.
Korte video's voor specifieke taken zijn ook beschikbaar in het Microsoft Defender voor Office 365 YouTube-kanaal.
Machtigingen voor Defender voor Office 365 activiteiten en taken
Machtigingen voor het beheren van Defender voor Office 365 in de Microsoft Defender portal en PowerShell zijn gebaseerd op het RBAC-machtigingenmodel (op rollen gebaseerd toegangsbeheer). RBAC is hetzelfde machtigingenmodel dat wordt gebruikt door de meeste Microsoft 365-services. Zie Machtigingen in de Microsoft Defender portal voor meer informatie.
Opmerking
Privileged Identity Management (PIM) in Microsoft Entra ID is ook een manier om vereiste machtigingen toe te wijzen aan SecOps-personeel. Zie voor meer informatie Privileged Identity Management (PIM) en waarom u dit gebruikt met Microsoft Defender voor Office 365.
De volgende machtigingen (rollen en rolgroepen) zijn beschikbaar in Defender voor Office 365 en kunnen worden gebruikt om toegang te verlenen aan leden van het beveiligingsteam:
Microsoft Entra ID: Gecentraliseerde rollen die machtigingen toewijzen voor alle Microsoft 365-services, inclusief Defender voor Office 365. U kunt de Microsoft Entra rollen en toegewezen gebruikers weergeven in de Microsoft Defender-portal, maar u kunt ze daar niet rechtstreeks beheren. In plaats daarvan beheert u Microsoft Entra rollen en leden op https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. De meest voorkomende rollen die door beveiligingsteams worden gebruikt, zijn:
Exchange Online en Email & samenwerking: rollen en rolgroepen die machtigingen verlenen die specifiek zijn voor Microsoft Defender voor Office 365. De volgende rollen zijn niet beschikbaar in Microsoft Entra ID, maar kunnen wel belangrijk zijn voor beveiligingsteams:
Voorbeeldrol (Email & samenwerking): wijs deze rol toe aan teamleden die e-mailberichten moeten bekijken of downloaden als onderdeel van onderzoeksactiviteiten. Hiermee kunnen gebruikers e-mailberichten bekijken en downloaden uit cloudpostvakken met behulp van Threat Explorer (Explorer) of realtime detecties en de Email entiteitspagina.
Standaard wordt de voorbeeldrol alleen toegewezen aan de volgende rollengroepen:
- Gegevensonderzoeker
- eDiscovery Manager
U kunt gebruikers toevoegen aan deze rolgroepen of u kunt een nieuwe rollengroep maken waaraan de rol Preview is toegewezen en de gebruikers toevoegen aan de aangepaste rollengroep.
Zoek- en opschoningsrol (Email & samenwerking): keur het verwijderen van schadelijke berichten goed zoals wordt aanbevolen door AIR of onderneem handmatige actie op berichten in opsporingservaringen, zoals Threat Explorer.
De rol Zoeken en opschonen wordt standaard alleen toegewezen aan de volgende rollengroepen:
- Gegevensonderzoeker
- Organisatiebeheer
U kunt gebruikers toevoegen aan deze rolgroepen of u kunt een nieuwe rollengroep maken waaraan de rol Zoeken en opschonen is toegewezen en de gebruikers toevoegen aan de aangepaste rollengroep.
Tenant AllowBlockList Manager (Exchange Online): Beheer vermeldingen toestaan en blokkeren in de lijst Tenant toestaan/blokkeren. Het blokkeren van URL's, bestanden (met behulp van bestands-hash) of afzenders is een nuttige reactieactie bij het onderzoeken van schadelijke e-mail die is bezorgd.
Deze rol wordt standaard alleen toegewezen aan de rollengroep Beveiligingsoperator in Exchange Online, niet aan Microsoft Entra ID. Als u lid bent van de rol Beveiligingsoperator in Microsoft Entra ID kunt u geen vermeldingen beheren in de lijst Met toestaan/blokkeren van tenants.
Leden van de beveiligingsbeheerder- of organisatiebeheerrollen in Microsoft Entra ID of de bijbehorende rolgroepen in Exchange Online kunnen vermeldingen beheren in de lijst Tenant toestaan/blokkeren.
SIEM/SOAR-integratie
Defender voor Office 365 maakt de meeste gegevens beschikbaar via een set programmatische API's. Met deze API's kunt u werkstromen automatiseren en optimaal gebruikmaken van Defender voor Office 365 mogelijkheden. Gegevens zijn beschikbaar via de Microsoft Defender XDR-API's en kunnen worden gebruikt om Defender voor Office 365 te integreren in bestaande SIEM/SOAR-oplossingen.
Incident-API: Defender voor Office 365 waarschuwingen en geautomatiseerde onderzoeken zijn actieve onderdelen van incidenten in Microsoft Defender XDR. Beveiligingsteams kunnen zich richten op wat essentieel is door het volledige aanvalsbereik en alle betrokken assets te groeperen.
Gebeurtenisstreaming-API: hiermee kunt u realtime gebeurtenissen en waarschuwingen verzenden naar één gegevensstroom wanneer deze zich voordoen. Ondersteunde gebeurtenistypen in Defender voor Office 365 zijn:
De gebeurtenissen bevatten gegevens over de verwerking van alle e-mail (inclusief berichten binnen de organisatie) in de afgelopen 30 dagen.
Geavanceerde opsporings-API: hiermee kunt u bedreigingen voor meerdere producten opsporen.
API voor bedreigingsevaluatie: kan worden gebruikt om spam, phishing-URL's of malwarebijlagen rechtstreeks aan Microsoft te melden.
Als u Defender voor Office 365 incidenten en onbewerkte gegevens wilt verbinden met Microsoft Sentinel, kunt u de M365D-connector (Microsoft Defender XDR) gebruiken
U kunt het volgende voorbeeld 'Hallo wereld' gebruiken om API-toegang tot Microsoft Defender API's te testen: Hallo wereld voor Microsoft Defender XDR REST API.
Fout-positieven en fout-negatieven in Defender voor Office 365
Door de gebruiker gerapporteerde berichten en door beheerders ingediende e-mailberichten zijn essentiële positieve versterkingssignalen voor onze machine learning-detectiesystemen. Met inzendingen kunnen we aanvallen beoordelen, sorteren, snel leren en beperken. Het actief melden van fout-positieven en fout-negatieven is een belangrijke activiteit die feedback geeft aan Defender voor Office 365 wanneer er fouten worden gemaakt tijdens de detectie.
Organisaties hebben meerdere opties voor het configureren van door de gebruiker gerapporteerde berichten. Afhankelijk van de configuratie kunnen beveiligingsteams actiever worden betrokken wanneer gebruikers fout-positieven of fout-negatieven indienen bij Microsoft:
Door de gebruiker gerapporteerde berichten worden naar Microsoft verzonden voor analyse wanneer de door de gebruiker gerapporteerde instellingen zijn geconfigureerd met een van de volgende instellingen:
- Verzend de gerapporteerde berichten naar: Alleen Microsoft.
- Verzend de gerapporteerde berichten naar: Microsoft en mijn rapportagepostvak.
Leden van beveiligingsteams moeten invoegtoepassingen voor beheerders indienen wanneer het operations-team fout-positieven of fout-negatieven detecteert die niet door gebruikers zijn gerapporteerd.
Wanneer door de gebruiker gerapporteerde berichten zijn geconfigureerd om alleen berichten te verzenden naar het postvak van de organisatie, moeten beveiligingsteams actief door de gebruiker gerapporteerde fout-positieven en fout-negatieven naar Microsoft verzenden via beheerdersinzendingen.
Wanneer een gebruiker een bericht als phishing rapporteert, genereert Defender voor Office 365 een waarschuwing en wordt een AIR-playbook geactiveerd. Incidentlogica correleert deze informatie waar mogelijk met andere waarschuwingen en gebeurtenissen. Deze samenvoeging van informatie helpt beveiligingsteams bij het sorteren, onderzoeken en reageren op door gebruikers gerapporteerde berichten.
De indieningspijplijn in de service volgt een nauw geïntegreerd proces wanneer gebruikers berichten rapporteren en beheerders berichten verzenden. Dit proces omvat:
- Ruisonderdrukking.
- Geautomatiseerde triage.
- Beoordeling door beveiligingsanalisten en op mensen gebaseerde oplossingen op basis van machine learning.
Zie Een e-mail rapporteren in Defender voor Office 365 - Microsoft Tech Community voor meer informatie.
Leden van het beveiligingsteam kunnen vanaf meerdere locaties inzenden in de Microsoft Defender portal op https://security.microsoft.com:
Beheer indienen: gebruik de pagina Inzendingen om vermoedelijke spam, phishing, URL's en bestanden naar Microsoft te verzenden.
Rechtstreeks vanuit Bedreigingsverkenner met behulp van een van de volgende berichtacties:
- Rapport opschonen
- Phishing melden
- Malware rapporteren
- Spam melden
U kunt maximaal 10 berichten selecteren om een bulksgewijs in te dienen. Beheer inzendingen die met deze methoden zijn gemaakt, zijn zichtbaar op de respectievelijke tabbladen op de pagina Inzendingen.
Voor de kortetermijnbeperking van fout-negatieven kunnen beveiligingsteams blokkeringsvermeldingen voor bestanden, URL's en domeinen of e-mailadressen in de lijst toestaan/blokkeren van tenants rechtstreeks beheren.
Voor de kortetermijnbeperking van fout-positieven kunnen beveiligingsteams niet rechtstreeks toegestane vermeldingen beheren voor domeinen en e-mailadressen in de lijst Tenant toestaan/blokkeren. In plaats daarvan moeten ze beheerdersinzendingen gebruiken om het e-mailbericht als fout-positief te rapporteren. Zie Goede e-mail rapporteren aan Microsoft voor instructies.
Quarantaine in Defender voor Office 365 mogelijk gevaarlijke of ongewenste berichten en bestanden bevat. Beveiligingsteams kunnen alle typen in quarantaine geplaatste berichten voor alle gebruikers weergeven, vrijgeven en verwijderen. Met deze mogelijkheid kunnen beveiligingsteams effectief reageren wanneer een fout-positief bericht of bestand in quarantaine wordt geplaatst.
Rapportagehulpprogramma's van derden integreren met Defender voor Office 365 door de gebruiker gerapporteerde berichten
Als uw organisatie gebruikmaakt van een rapportageprogramma van derden waarmee gebruikers verdachte e-mail intern kunnen rapporteren, kunt u het hulpprogramma integreren met de door de gebruiker gerapporteerde berichtmogelijkheden van Defender voor Office 365. Deze integratie biedt de volgende voordelen voor beveiligingsteams:
- Integratie met de AIR-mogelijkheden van Defender voor Office 365.
- Vereenvoudigde triage.
- Kortere onderzoeks- en reactietijd.
Wijs het rapportagepostvak aan waar door de gebruiker gerapporteerde berichten worden verzonden op de pagina Door gebruiker gerapporteerde instellingen in de Microsoft Defender portal op https://security.microsoft.com/securitysettings/userSubmission. Zie Door de gebruiker gerapporteerde instellingen voor meer informatie.
Opmerking
- Het rapportagepostvak moet een Exchange Online postvak zijn.
- Het rapportageprogramma van derden moet het oorspronkelijke gerapporteerde bericht bevatten als een niet-gecomprimeerd bericht. EML of . MSG-bijlage in het bericht dat wordt verzonden naar het rapportagepostvak (stuur niet alleen het oorspronkelijke bericht door naar het rapportagepostvak). Zie Berichtinzendingsindeling voor rapportagehulpprogramma's van derden voor meer informatie.
- Het rapportagepostvak vereist specifieke vereisten om mogelijk slechte berichten te kunnen bezorgen zonder te worden gefilterd of gewijzigd. Zie Configuratievereisten voor het rapportagepostvak voor meer informatie.
Wanneer een door de gebruiker gerapporteerd bericht binnenkomt in het rapportagepostvak, genereert Defender voor Office 365 automatisch de waarschuwing met de naam Email door de gebruiker gerapporteerd als malware of phishing. Met deze waarschuwing wordt een AIR-playbook gestart. Het playbook voert een reeks geautomatiseerde onderzoeksstappen uit:
- Gegevens verzamelen over de opgegeven e-mail.
- Gegevens verzamelen over de bedreigingen en entiteiten die betrekking hebben op dat e-mailbericht (bijvoorbeeld bestanden, URL's en ontvangers).
- Geef aanbevolen acties op die het SecOps-team moet uitvoeren op basis van de onderzoeksresultaten.
Email door de gebruiker gerapporteerd als malware- of phish-waarschuwingen, worden geautomatiseerde onderzoeken en hun aanbevolen acties automatisch gecorreleerd aan incidenten in Microsoft Defender XDR. Deze correlatie vereenvoudigt het triage- en reactieproces voor beveiligingsteams nog verder. Als meerdere gebruikers dezelfde of vergelijkbare berichten rapporteren, worden alle gebruikers en berichten gecorreleerd in hetzelfde incident.
Gegevens van waarschuwingen en onderzoeken in Defender voor Office 365 worden automatisch vergeleken met waarschuwingen en onderzoeken in de andere Microsoft Defender XDR producten:
- Microsoft Defender voor Eindpunt
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
Als er een relatie wordt gedetecteerd, maakt het systeem een incident dat zichtbaarheid biedt voor de hele aanval.