Bedreigingsonderzoek en -reactie
Tip
Wist u dat u de functies in Microsoft Defender XDR voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de 90-daagse proefversie van Defender voor Office 365 in de proefversieshub van Microsoft Defender Portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.
Mogelijkheden voor bedreigingsonderzoek en -respons in Microsoft Defender voor Office 365 helpen beveiligingsanalisten en beheerders de Microsoft 365 voor Bedrijven-gebruikers van hun organisatie te beschermen door:
- Het eenvoudig maken om cyberaanvallen te identificeren, te bewaken en te begrijpen.
- Hulp bij het snel aanpakken van bedreigingen in Exchange Online, SharePoint Online, OneDrive voor Bedrijven en Microsoft Teams.
- Het verstrekken van inzichten en kennis om beveiligingsbewerkingen te helpen cyberaanvallen tegen hun organisatie te voorkomen.
- Gebruik van geautomatiseerd onderzoek en reactie in Office 365 voor kritieke e-mailbedreigingen.
Mogelijkheden voor bedreigingsonderzoek en -respons bieden inzicht in bedreigingen en gerelateerde reactieacties die beschikbaar zijn in de Microsoft Defender-portal. Deze inzichten kunnen het beveiligingsteam van uw organisatie helpen gebruikers te beschermen tegen aanvallen op basis van e-mail of bestanden. De mogelijkheden helpen bij het bewaken van signalen en het verzamelen van gegevens uit meerdere bronnen, zoals gebruikersactiviteit, verificatie, e-mail, gecompromitteerde pc's en beveiligingsincidenten. Zakelijke besluitvormers en uw beveiligingsteam kunnen deze informatie gebruiken om inzicht te hebben in en te reageren op bedreigingen voor uw organisatie en om uw intellectuele eigendom te beschermen.
Maak kennis met hulpprogramma's voor bedreigingsonderzoek en -respons
Mogelijkheden voor bedreigingsonderzoek en -respons in de Microsoft Defender-portal op https://security.microsoft.com zijn een reeks hulpprogramma's en antwoordwerkstromen, waaronder:
Verkenner
Gebruik Explorer (en realtime detecties) om bedreigingen te analyseren, het aantal aanvallen in de loop van de tijd te bekijken en gegevens te analyseren per bedreigingsfamilie, infrastructuur van aanvallers en meer. Explorer (ook wel Threat Explorer genoemd) is de startplaats voor de onderzoekswerkstroom van elke beveiligingsanalist.
Als u dit rapport wilt weergeven en gebruiken in de Microsoft Defender-portal op https://security.microsoft.com, gaat u naar E-mail &samenwerkingsverkenner>. Of, als u rechtstreeks naar de Explorer-pagina wilt gaan, gebruikt https://security.microsoft.com/threatexploreru .
Office 365 Threat Intelligence-verbinding
Deze functie is alleen beschikbaar als u een actief abonnement op Office 365 E5 of G5 of Microsoft 365 E5 of G5 of de invoegtoepassing Bedreigingsinformatie hebt. Zie de productpagina van Office 365 Enterprise E5 voor meer informatie.
Gegevens van Microsoft Defender voor Office 365 worden opgenomen in Microsoft Defender XDR om een uitgebreid beveiligingsonderzoek uit te voeren op Office 365-postvakken en Windows-apparaten.
Incidenten
Gebruik de lijst Incidenten (dit wordt ook wel onderzoeken genoemd) om een lijst met beveiligingsincidenten in flight weer te geven. Incidenten worden gebruikt om bedreigingen zoals verdachte e-mailberichten op te sporen en om verder onderzoek en herstel uit te voeren.
Als u de lijst met huidige incidenten voor uw organisatie wilt weergeven in de Microsoft Defender-portal op https://security.microsoft.com, gaat u naar Incidenten & waarschuwingen>Incidenten. Als u rechtstreeks naar de pagina Incidenten wilt gaan, gebruikt u https://security.microsoft.com/incidents.
Aanvalssimulatietraining
Gebruik training voor aanvalssimulatie om realistische cyberaanvallen in uw organisatie in te stellen en uit te voeren en kwetsbare personen te identificeren voordat een echte cyberaanval van invloed is op uw bedrijf. Zie Een phishing-aanval simuleren voor meer informatie.
Als u deze functie wilt weergeven en gebruiken in de Microsoft Defender-portal op https://security.microsoft.com, gaat u naar E-mail & training voor samenwerking>Aanvalssimulatie. Als u rechtstreeks naar de trainingspagina voor aanvalssimulatie wilt gaan, gebruikt u https://security.microsoft.com/attacksimulator?viewid=overview.
Geautomatiseerd onderzoek en reactie
Gebruik de mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) om tijd en moeite te besparen bij het correleren van inhoud, apparaten en personen die risico lopen op bedreigingen in uw organisatie. AIR-processen kunnen beginnen wanneer bepaalde waarschuwingen worden geactiveerd of wanneer ze worden gestart door uw beveiligingsteam. Zie Geautomatiseerd onderzoek en antwoorden in Office 365 voor meer informatie.
Widgets voor bedreigingsinformatie
Als onderdeel van het Microsoft Defender voor Office 365 Abonnement 2-aanbod kunnen beveiligingsanalisten details over een bekende bedreiging bekijken. Dit is handig om te bepalen of er aanvullende preventieve maatregelen/stappen kunnen worden genomen om gebruikers veilig te houden.
Hoe krijgen we deze mogelijkheden?
Microsoft 365-mogelijkheden voor bedreigingsonderzoek en -respons zijn opgenomen in Microsoft Defender voor Office 365 Abonnement 2, dat is opgenomen in Enterprise E5 of als een invoegtoepassing voor bepaalde abonnementen. Zie Defender voor Office 365 Abonnement 1 vs. Plan 2 cheat sheet voor meer informatie.
Vereiste rollen en machtigingen
Microsoft Defender voor Office 365 maakt gebruik van op rollen gebaseerd toegangsbeheer. Machtigingen worden toegewezen via bepaalde rollen in Microsoft Entra ID, het Microsoft 365-beheercentrum of de Microsoft Defender-portal.
Tip
Hoewel sommige rollen, zoals beveiligingsbeheerder, kunnen worden toegewezen in de Microsoft Defender-portal, kunt u in plaats daarvan het Microsoft 365-beheercentrum of Microsoft Entra ID gebruiken. Zie de volgende resources voor informatie over rollen, rolgroepen en machtigingen:
| Activiteit | Rollen en machtigingen |
|---|---|
| Het Microsoft Defender Vulnerability Management-dashboard gebruiken Informatie over recente of huidige bedreigingen weergeven |
Een van de volgende opties:
Deze rollen kunnen worden toegewezen in Microsoft Entra ID (https://portal.azure.com) of het Microsoft 365-beheercentrum (https://admin.microsoft.com). |
| Explorer (en realtime detecties) gebruiken om bedreigingen te analyseren | Een van de volgende opties:
Deze rollen kunnen worden toegewezen in Microsoft Entra ID (https://portal.azure.com) of het Microsoft 365-beheercentrum (https://admin.microsoft.com). |
| Incidenten weergeven (ook wel onderzoeken genoemd) E-mailberichten toevoegen aan een incident |
Een van de volgende opties:
Deze rollen kunnen worden toegewezen in Microsoft Entra ID (https://portal.azure.com) of het Microsoft 365-beheercentrum (https://admin.microsoft.com). |
| E-mailacties activeren in een incident Verdachte e-mailberichten zoeken en verwijderen |
Een van de volgende opties:
De rollen Globale beheerder* en Beveiligingsbeheerder kunnen worden toegewezen in Microsoft Entra ID (https://portal.azure.com) of het Microsoft 365-beheercentrum (https://admin.microsoft.com). De rol Zoeken en opschonen moet worden toegewezen in de rollen E-mail & samenwerking in de Microsoft 36 Defender-portal (https://security.microsoft.com). |
| Microsoft Defender voor Office 365 Abonnement 2 integreren met Microsoft Defender voor Eindpunt Microsoft Defender voor Office 365 Abonnement 2 integreren met een SIEM-server |
De rol globale beheerder* of beveiligingsbeheerder die is toegewezen in Microsoft Entra ID (https://portal.azure.com) of het Microsoft 365-beheercentrum (https://admin.microsoft.com). --- plus --- Een geschikte rol die is toegewezen in aanvullende toepassingen (zoals Microsoft Defender Security Center of uw SIEM-server). |
Belangrijk
* Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor