Stappen voor het gebruik van handmatig e-mailherstel in Threat Explorer
Email herstel is een bestaande functie waarmee beheerders kunnen reageren op e-mailberichten die bedreigingen zijn.
Wat u nodig hebt
- Microsoft Defender voor Office 365 abonnement 2 (opgenomen in E5-abonnementen)
- Voldoende machtigingen (zorg ervoor dat u het account de rol Search en Opschonen verleent)
het herstel Creatie en bijhouden
-
Selecteer een bedreiging die u wilt herstellen in Bedreigingsverkenner en selecteer
Actie ondernemen. Dit biedt opties zoals Voorlopig verwijderen of Definitief verwijderen.
- Het zijvenster wordt geopend en vraagt om details, zoals een naam voor het herstel, de ernst en de beschrijving. Nadat de gegevens zijn gecontroleerd, selecteert u Verzenden.
- Zodra de beheerder deze actie heeft goedgekeurd, ziet deze hier de goedkeurings-id en een koppeling naar het Microsoft Defender XDR Actiecentrum. Op deze pagina kunnen acties worden bijgehouden.
- Beheer actiewaarschuwing: er wordt een systeemwaarschuwing weergegeven in de waarschuwingswachtrij met de naam 'Beheeractie verzonden door een beheerder'. Dit geeft aan dat een beheerder actie heeft ondernomen om een entiteit te herstellen. Het bevat details zoals de naam van de beheerder die de actie heeft ondernomen, de onderzoekskoppeling en -tijd. Hierdoor zijn beheerders op de hoogte van elke belangrijke actie, zoals herstel, die wordt uitgevoerd op entiteiten.
- Beheer actie-onderzoek: omdat de analyse van entiteiten al is uitgevoerd door de beheerder en dat tot de actie heeft geleid, wordt er geen analyse meer uitgevoerd door het systeem. Het toont details zoals gerelateerde waarschuwing, entiteit die is geselecteerd voor herstel, ondernomen actie, herstelstatus, aantal entiteiten en fiatteur van de actie. Hierdoor kunnen beheerders het onderzoek en de acties bijhouden die handmatig worden uitgevoerd, een onderzoek naar een beheerdersactie.
- Actielogboeken in het geïntegreerde actiecentrum: geschiedenis en actielogboeken voor e-mailacties, zoals voorlopig verwijderen en verplaatsen naar de map verwijderde items, zijn allemaal beschikbaar in een gecentraliseerde weergave op hettabblad Geschiedenis van het geïntegreerde actiecentrum>.
- Filters in het geïntegreerde actiecentrum : er zijn meerdere filters, zoals herstelnaam, goedkeurings-id, onderzoeks-id, status, actiebron en actietype. Deze zijn handig voor het zoeken en bijhouden van e-mailacties in het geïntegreerde actiecentrum.
Belangrijk
Voor betere prestaties moet herstel worden uitgevoerd in batches van 50.000 of minder. Beperk het zoekresultaat met behulp van de meest recente bezorgingslocatie en activeer e-mailherstel als de e-mail zich in een herstelbare map bevindt, zoals Postvak IN, Ongewenste e-mail, Verwijderd, bijvoorbeeld.
Scenario's waarin e-mailherstel wordt aangeroepen
Hier volgen scenario's voor e-mailherstel:
- Als onderdeel van een onderzoek identificeert SecOps een bedreiging in het postvak van een eindgebruiker en wil de probleem-e-mails wissen.
- Wanneer voorgestelde e-mailacties in Geautomatiseerd onderzoek en antwoord (AIR) worden goedgekeurd door SecOps, wordt herstelactie automatisch geactiveerd voor het opgegeven e-mail- of e-mailcluster.
Twee scenario's voor handmatig e-mailherstel:
- Het hoofdscenario:
- Handmatige acties die worden uitgevoerd op e-mailberichten (bijvoorbeeld met Bedreigingsverkenner of Geavanceerde opsporing) zijn alleen zichtbaar in het verouderde Defender voor Office 365 Action Center (Email en actiecentrum voor samenwerkingsbeoordeling >> in actiecentrum - Microsoft 365-beveiliging).
- Goedkeuringsscenario in twee stappen:
- Handmatige acties in afwachting van goedkeuring met behulp van het goedkeuringsproces in twee stappen (1. Het e-mailbericht is toegevoegd aan herstel door één analist, 2. Het e-mailbericht is beoordeeld en goedgekeurd door een andere analist).
Gezien de veelvoorkomende scenario's kan e-mailherstel op drie verschillende manieren worden geactiveerd.
- Herstel op basis van query: door alle zoekresultaten met een query te selecteren (maximaal 200.000 e-mailberichten kunnen worden verzonden).
- Handmatig herstel: e-mailberichten één voor één selecteren door op het selectievakje te klikken (er kunnen 100 e-mailberichten tegelijk worden verzonden).
- Herstel op basis van query's met uitsluitingen: alle e-mailberichten selecteren en vervolgens een paar berichten handmatig verwijderen (de query kan maximaal 1000 e-mailberichten bevatten en het maximum aantal uitsluitingen is 100).
Volgende stappen
- Ga naar de Microsoft Defender-portal en meld u aan.
- Selecteer actiecentrum in het navigatiedeelvenster.
- Ga naar het tabblad Geschiedenis en selecteer een lijst met wachtgoedkeuringen. Er wordt een zijvenster geopend.
- Houd de actiestatus bij in het geïntegreerde actiecentrum.