Waarschuwingsbeleid in Microsoft 365

U kunt waarschuwingsbeleid en het waarschuwingsdashboard in de Microsoft Purview-nalevingsportal of de Microsoft 365 Defender-portal gebruiken om waarschuwingsbeleid te maken en vervolgens de waarschuwingen weer te geven die worden gegenereerd wanneer gebruikers activiteiten uitvoeren die overeenkomen met de voorwaarden van een waarschuwingsbeleid. Er zijn verschillende standaardwaarschuwingsbeleidsregels waarmee u activiteiten kunt bewaken, zoals het toewijzen van beheerdersbevoegdheden in Exchange Online, malwareaanvallen, phishingcampagnes en ongebruikelijke niveaus van bestandsverwijderingen en extern delen.

Tip

Ga naar de sectie Standaardwaarschuwingsbeleid in dit artikel voor een lijst en beschrijving van het beschikbare waarschuwingsbeleid.

Met waarschuwingsbeleid kunt u de waarschuwingen categoriseren die worden geactiveerd door een beleid, het beleid toepassen op alle gebruikers in uw organisatie, een drempelwaarde instellen voor wanneer een waarschuwing wordt geactiveerd en bepalen of u e-mailmeldingen wilt ontvangen wanneer waarschuwingen worden geactiveerd. Er is ook een pagina Waarschuwingen waar u waarschuwingen kunt weergeven en filteren, een waarschuwingsstatus kunt instellen om u te helpen bij het beheren van waarschuwingen en vervolgens waarschuwingen kunt negeren nadat u het onderliggende incident hebt opgelost of opgelost.

Notitie

Waarschuwingsbeleid is beschikbaar voor organisaties met een abonnement op Microsoft 365 Enterprise, Office 365 Enterprise of Office 365 US Government E1/F1/G1, E3/F3/G3 of E5/G5. Geavanceerde functionaliteit is alleen beschikbaar voor organisaties met een E5/G5-abonnement of voor organisaties met een E1/F1/G1- of E3/F3/G3-abonnement en een Microsoft Defender voor Office 365 P2 of een Microsoft 365 E5 Compliance of een E5 eDiscovery- en Audit-invoegtoepassing. De functionaliteit waarvoor een E5/G5- of invoegtoepassingsabonnement is vereist, wordt in dit onderwerp gemarkeerd. Let er ook op dat waarschuwingsbeleid beschikbaar is in Office 365 omgevingen GCC, GCC High en DoD voor de Amerikaanse overheid.

Hoe waarschuwingsbeleid werkt

Hier vindt u een kort overzicht van de werking van waarschuwingsbeleid en de waarschuwingen die worden geactiveerd wanneer de activiteit van de gebruiker of beheerder overeenkomt met de voorwaarden van een waarschuwingsbeleid.

Overzicht van de werking van waarschuwingsbeleid.

  1. Een beheerder in uw organisatie maakt, configureert en schakelt een waarschuwingsbeleid in met behulp van de pagina Waarschuwingsbeleid in de nalevingsportal of de Microsoft 365 Defender-portal. U kunt ook waarschuwingsbeleid maken met behulp van de cmdlet New-ProtectionAlert in Security & Compliance PowerShell.

    Als u waarschuwingsbeleid wilt maken, moet u de rol Waarschuwingen beheren of de rol Organisatieconfiguratie toewijzen in de nalevingsportal of de Defender-portal.

    Notitie

    Het duurt maximaal 24 uur na het maken of bijwerken van een waarschuwingsbeleid voordat waarschuwingen door het beleid kunnen worden geactiveerd. Dit komt doordat het beleid moet worden gesynchroniseerd met de engine voor waarschuwingsdetectie.

  2. Een gebruiker voert een activiteit uit die overeenkomt met de voorwaarden van een waarschuwingsbeleid. In het geval van malware-aanvallen activeren geïnfecteerde e-mailberichten die naar gebruikers in uw organisatie worden verzonden, een waarschuwing.

  3. Microsoft 365 genereert een waarschuwing die wordt weergegeven op de pagina Waarschuwingen in de nalevingsportal of Defender-portal. Als e-mailmeldingen zijn ingeschakeld voor het waarschuwingsbeleid, verzendt Microsoft een melding naar een lijst met geadresseerden. De waarschuwingen die een beheerder of andere gebruikers kunnen zien op de pagina Waarschuwingen, worden bepaald door de rollen die aan de gebruiker zijn toegewezen. Zie de vereiste RBAC-machtigingen voor het weergeven van waarschuwingen voor meer informatie.

  4. Een beheerder beheert waarschuwingen in de Microsoft Purview-nalevingsportal. Het beheren van waarschuwingen bestaat uit het toewijzen van een waarschuwingsstatus om elk onderzoek bij te houden en te beheren.

Instellingen voor waarschuwingsbeleid

Een waarschuwingsbeleid bestaat uit een set regels en voorwaarden die de gebruikers- of beheerdersactiviteit definiëren die een waarschuwing genereert, een lijst met gebruikers die de waarschuwing activeren als ze de activiteit uitvoeren en een drempelwaarde die bepaalt hoe vaak de activiteit moet plaatsvinden voordat een waarschuwing wordt geactiveerd. U categoriseert het beleid ook en wijst het een ernstniveau toe. Deze twee instellingen helpen u bij het beheren van waarschuwingsbeleid (en de waarschuwingen die worden geactiveerd wanneer de beleidsvoorwaarden overeenkomen), omdat u op deze instellingen kunt filteren bij het beheren van beleidsregels en het weergeven van waarschuwingen in de Microsoft Purview-nalevingsportal. U kunt bijvoorbeeld waarschuwingen weergeven die overeenkomen met de voorwaarden uit dezelfde categorie of waarschuwingen weergeven met hetzelfde ernstniveau.

Waarschuwingsbeleid weergeven en maken:

Notitie

Aan u moet de rol View-Only Waarschuwingen beheren worden toegewezen om waarschuwingsbeleid in de Microsoft Purview-nalevingsportal of de Microsoft 365 Defender-portal weer te geven. U moet de rol Waarschuwingen beheren krijgen om waarschuwingsbeleid te maken en te bewerken. Raadpleeg Machtigingen in de Microsoft Purview-nalevingsportal voor meer informatie.

Een waarschuwingsbeleid bestaat uit de volgende instellingen en voorwaarden.

  • Activiteit die door de waarschuwing wordt bijgehouden. U maakt een beleid voor het bijhouden van een activiteit of in sommige gevallen een paar gerelateerde activiteiten, zoals het delen van een bestand met een externe gebruiker door het te delen, toegangsmachtigingen toe te wijzen of een anonieme koppeling te maken. Wanneer een gebruiker de activiteit uitvoert die door het beleid is gedefinieerd, wordt een waarschuwing geactiveerd op basis van de instellingen voor de drempelwaarde voor waarschuwingen.

    Notitie

    Welke activiteiten u kunt bijhouden, is afhankelijk van het Office 365 Enterprise van uw organisatie of Office 365 plan van de Amerikaanse overheid. In het algemeen vereisen activiteiten met betrekking tot malwarecampagnes en phishing-aanvallen een E5/G5-abonnement of een E1/F1/G1- of E3/F3/G3-abonnement met een invoegtoepassingsabonnement Defender voor Office 365 Abonnement 2.

  • Activiteitsvoorwaarden. Voor de meeste activiteiten kunt u aanvullende voorwaarden definiëren waaraan moet worden voldaan om een waarschuwing te activeren. Veelvoorkomende voorwaarden zijn IP-adressen (zodat een waarschuwing wordt geactiveerd wanneer de gebruiker de activiteit uitvoert op een computer met een specifiek IP-adres of binnen een IP-adresbereik), of een waarschuwing wordt geactiveerd als een specifieke gebruiker of gebruikers die activiteit uitvoert en of de activiteit wordt uitgevoerd op een specifieke bestandsnaam of URL. U kunt ook een voorwaarde configureren waarmee een waarschuwing wordt geactiveerd wanneer de activiteit wordt uitgevoerd door een gebruiker in uw organisatie. De beschikbare voorwaarden zijn afhankelijk van de geselecteerde activiteit.

U kunt gebruikerstags ook definiëren als voorwaarde voor een waarschuwingsbeleid. Dit resulteert in de waarschuwingen die door het beleid worden geactiveerd om de context van de betrokken gebruiker op te nemen. U kunt systeemgebruikerstags of aangepaste gebruikerstags gebruiken. Zie Gebruikerstags in Microsoft Defender voor Office 365 voor meer informatie.

  • Wanneer de waarschuwing wordt geactiveerd. U kunt een instelling configureren die definieert hoe vaak een activiteit kan plaatsvinden voordat een waarschuwing wordt geactiveerd. Hiermee kunt u een beleid instellen voor het genereren van een waarschuwing telkens wanneer een activiteit overeenkomt met de beleidsvoorwaarden, wanneer een bepaalde drempelwaarde wordt overschreden of wanneer het optreden van de activiteit die de waarschuwing bijhoudt ongebruikelijk wordt voor uw organisatie.

    Configureer hoe waarschuwingen worden geactiveerd, op basis van wanneer de activiteit plaatsvindt, een drempelwaarde of ongebruikelijke activiteit voor uw organisatie.

    Als u de instelling selecteert op basis van ongebruikelijke activiteit, stelt Microsoft een basislijnwaarde in waarmee de normale frequentie voor de geselecteerde activiteit wordt gedefinieerd. Het duurt maximaal zeven dagen om deze basislijn vast te stellen, waarbij geen waarschuwingen worden gegenereerd. Nadat de basislijn tot stand is gebracht, wordt een waarschuwing geactiveerd wanneer de frequentie van de activiteit die door het waarschuwingsbeleid wordt bijgehouden, de basislijnwaarde aanzienlijk overschrijdt. Voor controlegerelateerde activiteiten (zoals bestands- en mapactiviteiten) kunt u een basislijn instellen op basis van één gebruiker of op basis van alle gebruikers in uw organisatie; voor malwaregerelateerde activiteiten kunt u een basislijn maken op basis van één malwarefamilie, één ontvanger of alle berichten in uw organisatie.

    Notitie

    De mogelijkheid om waarschuwingsbeleid te configureren op basis van een drempelwaarde of op basis van ongebruikelijke activiteiten vereist een E5/G5-abonnement of een E1/F1/G1- of E3/F3/G3-abonnement met een Microsoft Defender voor Office 365 P2- Microsoft 365 E5 Compliance- of Microsoft 365 eDiscovery- en Audit-abonnement. Organisaties met een E1/F1/G1- en E3/F3/G3-abonnement kunnen alleen waarschuwingsbeleid maken waarbij een waarschuwing wordt geactiveerd telkens wanneer er een activiteit plaatsvindt.

  • Waarschuwingscategorie. Als u wilt helpen bij het bijhouden en beheren van de waarschuwingen die door een beleid worden gegenereerd, kunt u een van de volgende categorieën toewijzen aan een beleid.

    • Preventie van gegevensverlies
    • Informatiebeheer
    • E-mailstroom
    • Machtigingen
    • Bedreigingsbeheer
    • Anderen

    Wanneer er een activiteit plaatsvindt die overeenkomt met de voorwaarden van het waarschuwingsbeleid, wordt de gegenereerde waarschuwing gelabeld met de categorie die in deze instelling is gedefinieerd. Hiermee kunt u waarschuwingen met dezelfde categorie-instelling bijhouden en beheren op de pagina Waarschuwingen in de Microsoft Purview-portal, omdat u waarschuwingen kunt sorteren en filteren op basis van categorie.

  • Ernst van waarschuwing. Net als bij de waarschuwingscategorie wijst u een ernstkenmerk (Laag, Gemiddeld, Hoog of Informatielijk) toe aan waarschuwingsbeleid. Net als bij de waarschuwingscategorie wordt, wanneer er een activiteit plaatsvindt die overeenkomt met de voorwaarden van het waarschuwingsbeleid, de gegenereerde waarschuwing gelabeld met hetzelfde ernstniveau dat is ingesteld voor het waarschuwingsbeleid. Ook hier kunt u waarschuwingen met dezelfde ernst-instelling op de pagina Waarschuwingen bijhouden en beheren. U kunt bijvoorbeeld de lijst met waarschuwingen filteren, zodat alleen waarschuwingen met een hoge ernst worden weergegeven.

    Tip

    Bij het instellen van een waarschuwingsbeleid kunt u overwegen om een hogere ernst toe te wijzen aan activiteiten die ernstige negatieve gevolgen kunnen hebben, zoals het detecteren van malware na levering aan gebruikers, het weergeven van gevoelige of geclassificeerde gegevens, het delen van gegevens met externe gebruikers of andere activiteiten die kunnen leiden tot gegevensverlies of beveiligingsrisico's. Dit kan u helpen bij het prioriteren van waarschuwingen en de acties die u onderneemt om de onderliggende oorzaken te onderzoeken en op te lossen.

  • Geautomatiseerd onderzoek. Sommige waarschuwingen activeren geautomatiseerd onderzoek om potentiële bedreigingen en risico's te identificeren die moeten worden hersteld of beperkt. In de meeste gevallen worden deze waarschuwingen geactiveerd door detectie van schadelijke e-mailberichten of activiteiten, maar in sommige gevallen worden de waarschuwingen geactiveerd door beheerdersacties in de beveiligingsportal. Zie Geautomatiseerde onderzoeken en reacties (AIR) in Microsoft Defender voor Office 365 voor meer informatie over geautomatiseerde onderzoeken.

  • Email meldingen. U kunt het beleid zo instellen dat e-mailmeldingen worden verzonden (of niet worden verzonden) naar een lijst met gebruikers wanneer een waarschuwing wordt geactiveerd. U kunt ook een dagelijkse meldingslimiet instellen, zodat zodra het maximum aantal meldingen is bereikt, er gedurende die dag geen meldingen meer worden verzonden voor de waarschuwing. Naast e-mailmeldingen kunnen u of andere beheerders de waarschuwingen bekijken die worden geactiveerd door een beleid op de pagina Waarschuwingen . Overweeg om e-mailmeldingen in te schakelen voor waarschuwingsbeleid van een specifieke categorie of die een instelling met een hogere ernst hebben.

Standaardwaarschuwingsbeleid

Microsoft biedt ingebouwd waarschuwingsbeleid waarmee misbruik van Exchange-beheerdersmachtigingen, malware-activiteit, mogelijke externe en interne bedreigingen en risico's voor informatiebeheer kunnen worden geïdentificeerd. Op de pagina Waarschuwingsbeleid zijn de namen van deze ingebouwde beleidsregels vetgedrukt en wordt het beleidstype gedefinieerd als Systeem. Deze beleidsregels zijn standaard ingeschakeld. U kunt dit beleid uitschakelen (of weer inschakelen), een lijst met geadresseerden instellen waarnaar e-mailmeldingen moeten worden verzonden en een dagelijkse meldingslimiet instellen. De andere instellingen voor dit beleid kunnen niet worden bewerkt.

De volgende tabellen bevatten een lijst met de beschikbare standaardwaarschuwingsbeleidsregels en de categorie waaraan elk beleid is toegewezen. De categorie wordt gebruikt om te bepalen welke waarschuwingen een gebruiker kan weergeven op de pagina Waarschuwingen. Zie de vereiste RBAC-machtigingen voor het weergeven van waarschuwingen voor meer informatie.

De tabellen geven ook de Office 365 Enterprise en Office 365 amerikaanse overheidsplan aan dat voor elk plan is vereist. Sommige standaardwaarschuwingsbeleidsregels zijn beschikbaar als uw organisatie het juiste invoegtoepassingsabonnement heeft naast een E1/F1/G1- of E3/F3/G3-abonnement.

Notitie

De ongebruikelijke activiteit die door sommige van de ingebouwde beleidsregels wordt bewaakt, is gebaseerd op hetzelfde proces als de instelling voor waarschuwingsdrempels die eerder is beschreven. Microsoft stelt een basislijnwaarde in waarmee de normale frequentie voor 'normale' activiteit wordt gedefinieerd. Waarschuwingen worden vervolgens geactiveerd wanneer de frequentie van activiteiten die worden bijgehouden door het ingebouwde waarschuwingsbeleid de basislijnwaarde aanzienlijk overschrijdt.

Waarschuwingsbeleid voor informatiebeheer

Naam Beschrijving Ernst Geautomatiseerd onderzoek Enterprise-abonnement
Ongebruikelijke activiteit van externe gebruikersbestanden Genereert een waarschuwing wanneer een ongebruikelijk groot aantal activiteiten wordt uitgevoerd op bestanden in SharePoint of OneDrive door gebruikers buiten uw organisatie. Dit omvat activiteiten zoals het openen van bestanden, het downloaden van bestanden en het verwijderen van bestanden. Hoog Neen E5/G5-, Microsoft Defender voor Office 365 P2- of Microsoft 365 E5-invoegtoepassingsabonnement
Ongebruikelijk volume van extern delen van bestanden Genereert een waarschuwing wanneer een ongebruikelijk groot aantal bestanden in SharePoint of OneDrive wordt gedeeld met gebruikers buiten uw organisatie. Gemiddeld Neen E5/G5-, Defender voor Office 365 P2- of Microsoft 365 E5-invoegtoepassingsabonnement
Ongebruikelijk volume van bestandsverwijdering Genereert een waarschuwing wanneer een ongebruikelijk groot aantal bestanden binnen een korte periode wordt verwijderd in SharePoint of OneDrive. Gemiddeld Neen E5/G5-, Defender voor Office 365 P2- of Microsoft 365 E5-invoegtoepassingsabonnement

Waarschuwingsbeleid voor e-mailstroom

Naam Beschrijving Ernst Geautomatiseerd onderzoek Enterprise-abonnement
Berichten zijn vertraagd Genereert een waarschuwing wanneer Microsoft geen e-mailberichten kan leveren aan uw on-premises organisatie of een partnerserver met behulp van een connector. Als dit gebeurt, wordt het bericht in Office 365 in de wachtrij weergegeven. Deze waarschuwing wordt geactiveerd wanneer er 2000 berichten of meer zijn die langer dan een uur in de wachtrij staan. Hoog Neen E1/F1/G1, E3/F3/G3 of E5/G5

Waarschuwingsbeleid voor machtigingen

Naam Beschrijving Ernst Geautomatiseerd onderzoek Enterprise-abonnement
Uitbreiding van Exchange-beheerdersbevoegdheden Genereert een waarschuwing wanneer aan iemand beheerdersmachtigingen zijn toegewezen in uw Exchange Online organisatie. Bijvoorbeeld wanneer een gebruiker wordt toegevoegd aan de rollengroep Organisatiebeheer in Exchange Online. Laag Neen E1/F1/G1, E3/F3/G3 of E5/G5

Waarschuwingsbeleid voor bedreigingsbeheer

Notitie

We hebben de phish tijdelijk verwijderd als gevolg van tenant- of gebruikersoverschrijvingen en gebruikersimitatie phish bezorgd in Postvak IN/map standaard waarschuwingsbeleid op basis van feedback van klanten. We werken eraan om ze te verbeteren en we zullen ze uiteindelijk vervangen door nieuwe versies. Tot die tijd kunt u aangepaste waarschuwingsbeleidsregels maken om hun functionaliteit te vervangen door de volgende voorwaarden te gebruiken:

  • Activiteit is: Phishing-e-mail gedetecteerd op het moment van bezorging
  • Mail is niet ZAP'd
  • De richting van de e-mail is: Inkomend
  • E-mailbezorgingsstatus is: Bezorgd
  • Detectietechnologie is:
    • Phish die wordt geleverd repliceren vanwege tenant- of gebruikersoverschrijving: retentie van schadelijke URL, URL-detonatie, geavanceerd phish-filter, algemeen phish-filter, domeinimitatie, gebruikersimitatie en merkimitatie.
    • Phish voor gebruikersimitatie repliceren in Postvak IN/map: Gebruikersimitatie

Zie Antiphishing- en antiphishingbeleid instellen voor meer informatie over antiphishing in Office 365.

Naam Beschrijving Ernst Geautomatiseerd onderzoek Enterprise-abonnement
Er is een mogelijk schadelijke URL-klik gedetecteerd Genereert een waarschuwing wanneer een gebruiker die wordt beveiligd door veilige koppelingen in uw organisatie op een schadelijke koppeling klikt. Deze waarschuwing wordt gegenereerd wanneer een gebruiker op een koppeling klikt en deze gebeurtenis een wijzigingsidentificatie van de URL-beoordeling activeert door Microsoft Defender voor Office 365. Deze waarschuwing activeert automatisch onderzoek en reactie in Office 365. Zie Beleid voor veilige koppelingen instellen voor meer informatie over gebeurtenissen die deze waarschuwing activeren. Hoog Ja E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
Een gebruiker heeft doorgeklikt naar een mogelijk schadelijke URL Genereert een waarschuwing wanneer een gebruiker die wordt beveiligd door veilige koppelingen in uw organisatie op een schadelijke koppeling klikt. Deze gebeurtenis wordt geactiveerd wanneer de gebruiker op een URL klikt (die wordt geïdentificeerd als schadelijk of in behandeling voor validatie) en de waarschuwingspagina voor veilige koppelingen overschrijft (op basis van het beleid voor veilige koppelingen van Microsoft 365 voor Bedrijven van uw organisatie) om door te gaan naar de door de URL gehoste pagina/inhoud. Voor Defender voor Office 365 P2-, E5- en G5-klanten activeert deze waarschuwing automatisch geautomatiseerd onderzoek en antwoord in Office 365. Zie Beleid voor veilige koppelingen instellen voor meer informatie over gebeurtenissen die deze waarschuwing activeren. Hoog Ja E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
Beheer inzendingsresultaat voltooid Genereert een waarschuwing wanneer een Beheer Indiening de herscan van de ingediende entiteit voltooit. Er wordt een waarschuwing geactiveerd telkens wanneer er een resultaat van een Beheer wordt weergegeven.

Deze waarschuwingen zijn bedoeld om u eraan te herinneren dat u de resultaten van eerdere inzendingen moet bekijken, door de gebruiker gerapporteerde berichten moet verzenden om de meest recente beleidscontrole te krijgen en evaluaties opnieuw te scannen, en om u te helpen bepalen of het filterbeleid in uw organisatie de beoogde impact heeft.
Informatief Neen E1/F1, E3/F3 of E5
Beheer heeft handmatig onderzoek van e-mail geactiveerd Genereert een waarschuwing wanneer een beheerder het handmatige onderzoek van een e-mailbericht vanuit Threat Explorer activeert. Zie voorbeeld: Een beveiligingsbeheerder activeert een onderzoek vanuit Threat Explorer voor meer informatie.

Met deze waarschuwing wordt uw organisatie gewaarschuwd dat het onderzoek is gestart. De waarschuwing bevat informatie over wie de waarschuwing heeft geactiveerd en bevat een koppeling naar het onderzoek.
Informatief Ja E5/G5- of Microsoft Defender voor Office 365 P2-invoegtoepassingsabonnement
Beheer heeft een onderzoek naar inbreuk op gebruikers geactiveerd Genereert een waarschuwing wanneer een beheerder het handmatige onderzoek naar inbreuken van gebruikers van een afzender of ontvanger van Threat Explorer activeert. Zie voorbeeld: Een beveiligingsbeheerder activeert een onderzoek vanuit Threat Explorer, waarin de gerelateerde handmatige triggering van een onderzoek in een e-mail wordt weergegeven. Met deze waarschuwing wordt uw organisatie gewaarschuwd dat het onderzoek naar inbreuk op de gebruiker is gestart.

De waarschuwing bevat informatie over wie de waarschuwing heeft geactiveerd en bevat een koppeling naar het onderzoek.
Gemiddeld Ja E5/G5- of Microsoft Defender voor Office 365 P2-invoegtoepassingsabonnement
Beheeractie ingediend door een beheerder Beheerders kunnen handmatige e-mailacties uitvoeren op e-mailentiteiten met behulp van verschillende oppervlakken. Bijvoorbeeld Threat Explorer, geavanceerde opsporing of via aangepaste detectie. Wanneer het herstel wordt gestart, wordt er een waarschuwing gegenereerd. Deze waarschuwing wordt weergegeven in de waarschuwingswachtrij met de naam Beheeractie die is ingediend door een beheerder om aan te geven dat een beheerder de actie heeft ondernomen om een entiteit te herstellen. De waarschuwing bevat details zoals het actietype, ondersteunende onderzoekskoppeling, tijd, enzovoort. Het is handig om te weten wanneer een gevoelige actie, zoals herstel, wordt uitgevoerd op entiteiten. Informatief Ja E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
Doorstuur/omleidingsregel maken Genereert een waarschuwing wanneer iemand in uw organisatie een regel voor Postvak IN maakt voor het postvak dat berichten doorstuurt of omleidt naar een ander e-mailaccount. Met dit beleid worden alleen regels voor Postvak IN bijgehouden die zijn gemaakt met behulp van webversie van Outlook (voorheen bekend als Outlook Web App) of Exchange Online PowerShell. Zie Regels in webversie van Outlook gebruiken om berichten automatisch door te sturen naar een ander account voor meer informatie over het gebruik van regels voor Postvak IN om e-mail door te sturen en om te leiden in webversie van Outlook. Informatief Neen E1/F1/G1, E3/F3/G3 of E5/G5
eDiscovery-zoekopdracht is gestart of geëxporteerd Genereert een waarschuwing wanneer iemand het hulpprogramma Inhoud zoeken in de Microsoft Purview-portal gebruikt. Er wordt een waarschuwing geactiveerd wanneer de volgende inhoudszoekactiviteiten worden uitgevoerd:

  • Er wordt een inhoudszoekopdracht gestart
  • De resultaten van een inhoudszoekopdracht worden geëxporteerd
  • Een inhoudszoekrapport wordt geëxporteerd

    Waarschuwingen worden ook geactiveerd wanneer de vorige inhoudszoekactiviteiten worden uitgevoerd in verband met een eDiscovery-aanvraag. Zie Zoeken naar eDiscovery-activiteiten in het auditlogboek voor meer informatie over inhoudszoekactiviteiten.
  • Informatief Neen E1/F1/G1, E3/F3/G3 of E5/G5
    E-mailberichten met schadelijk bestand verwijderd na bezorging Genereert een waarschuwing wanneer berichten met een schadelijk bestand worden bezorgd bij postvakken in uw organisatie. Als deze gebeurtenis zich voordoet, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met automatisch opschonen van nul uur. Dit beleid activeert automatisch onderzoek en reactie in Office 365. Zie Nieuw waarschuwingsbeleid in Microsoft Defender voor Office 365 voor meer informatie over dit nieuwe beleid. Informatief Ja E5/G5- of Microsoft Defender voor Office 365 P2-invoegtoepassingsabonnement
    E-mailberichten met schadelijke URL verwijderd na bezorging Genereert een waarschuwing wanneer berichten met een schadelijke URL worden bezorgd bij postvakken in uw organisatie. Als deze gebeurtenis zich voordoet, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met automatisch opschonen van nul uur. Dit beleid activeert automatisch onderzoek en reactie in Office 365. Zie Nieuw waarschuwingsbeleid in Microsoft Defender voor Office 365 voor meer informatie over dit nieuwe beleid. Informatief Ja E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    E-mailberichten met malware verwijderd na bezorging Opmerking: dit waarschuwingsbeleid is vervangen door Email berichten die schadelijk bestand bevatten dat na de bezorging is verwijderd. Dit waarschuwingsbeleid verdwijnt uiteindelijk. Daarom raden we u aan dit waarschuwingsbeleid uit te schakelen en Email berichten te gebruiken die schadelijk bestand bevatten dat na de bezorging is verwijderd. Zie Nieuw waarschuwingsbeleid in Microsoft Defender voor Office 365 voor meer informatie. Informatief Ja E5/G5- of Microsoft Defender voor Office 365 P2-invoegtoepassingsabonnement
    E-mailberichten met schadelijke phishing-URL verwijderd na bezorging Opmerking: dit waarschuwingsbeleid is vervangen door Email berichten met schadelijke URL die na de bezorging zijn verwijderd. Dit waarschuwingsbeleid verdwijnt uiteindelijk. Daarom raden we u aan dit waarschuwingsbeleid uit te schakelen en in plaats daarvan Email berichten met schadelijke URL te gebruiken die zijn verwijderd na de bezorging. Zie Nieuw waarschuwingsbeleid in Microsoft Defender voor Office 365 voor meer informatie. Informatief Ja E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    Email berichten van een campagne verwijderd na bezorging Genereert een waarschuwing wanneer berichten die zijn gekoppeld aan een campagne , worden bezorgd bij postvakken in uw organisatie. Als deze gebeurtenis zich voordoet, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met automatisch opschonen van nul uur. Dit beleid activeert automatisch onderzoek en reactie in Office 365. Zie Nieuw waarschuwingsbeleid in Microsoft Defender voor Office 365 voor meer informatie over dit nieuwe beleid. Informatief Ja E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    E-mailberichten verwijderd na bezorging Genereert een waarschuwing wanneer schadelijke berichten die geen schadelijke entiteit (URL of bestand) bevatten of die zijn gekoppeld aan een campagne, worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis zich voordoet, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met automatisch opschonen van nul uur. Dit beleid activeert automatisch onderzoek en reactie in Office 365. Zie Nieuw waarschuwingsbeleid in Microsoft Defender voor Office 365 voor meer informatie over dit nieuwe beleid. Informatief Ja E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    E-mail die door de gebruiker is gerapporteerd als malware of phishing Genereert een waarschuwing wanneer gebruikers in uw organisatie berichten rapporteren als phishing-e-mail met behulp van de invoegtoepassing Bericht rapporteren. Zie De invoegtoepassing Rapportbericht gebruiken voor meer informatie over deze invoegtoepassing. Voor Defender voor Office 365 P2-, E5- en G5-klanten activeert deze waarschuwing automatisch geautomatiseerd onderzoek en antwoord in Office 365. Laag Ja E1/F1/G1, E3/F3/G3 of E5/G5
    Email verzendlimiet is overschreden Genereert een waarschuwing wanneer iemand in uw organisatie meer e-mail heeft verzonden dan is toegestaan door het uitgaande spambeleid. Dit is meestal een indicatie dat de gebruiker te veel e-mail verzendt of dat het account kan worden aangetast. Als er een waarschuwing wordt gegenereerd door dit waarschuwingsbeleid, is het een goed idee om te controleren of het gebruikersaccount is aangetast. Gemiddeld Neen E1/F1/G1, E3/F3/G3 of E5/G5
    Formulier geblokkeerd vanwege mogelijke phishingpoging Genereert een waarschuwing wanneer iemand in uw organisatie is beperkt tot het delen van formulieren en het verzamelen van antwoorden met behulp van Microsoft Forms vanwege gedetecteerd gedrag van herhaalde phishingpogingen. Hoog Neen E1, E3/F3 of E5
    Formulier gemarkeerd en bevestigd als phishing Genereert een waarschuwing wanneer een formulier dat is gemaakt in Microsoft Forms van binnen uw organisatie is geïdentificeerd als mogelijke phishing via Misbruik melden en door Microsoft als phishing is bevestigd. Hoog Neen E1, E3/F3 of E5
    HVE Er is een mogelijk schadelijke URL-klik gedetecteerd Genereert een waarschuwing wanneer een persoon die is gelabeld als een prioriteitsaccount op een schadelijke koppeling heeft geklikt. Deze gebeurtenis wordt geactiveerd wanneer de gebruiker op een URL klikt die is geïdentificeerd als schadelijk of waarvoor validatie in behandeling is, en de waarschuwingspagina voor veilige koppelingen wordt overschreven om door te gaan naar de oorspronkelijke URL of inhoud (op basis van de beleidsinstellingen voor veilige koppelingen van uw organisatie). Met deze gebeurtenis wordt een url-beoordelingswijzigingsidentificatie geactiveerd door Microsoft Defender voor Office 365.

    Voor Defender voor Office 365 P2-, E5- en G5-klanten activeert deze waarschuwing automatisch geautomatiseerd onderzoek en antwoord. Zie Gebruikerstags in Microsoft Defender voor Office 365 en Beleid voor veilige koppelingen instellen voor meer informatie.
    Hoog Neen E1/F1, E3/F3 of E5
    Malwarecampagne gedetecteerd na levering Genereert een waarschuwing wanneer een ongebruikelijk groot aantal berichten met malware wordt bezorgd bij postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken. Hoog Neen E5/G5- of Microsoft Defender voor Office 365 P2-invoegtoepassingsabonnement
    Malwarecampagne gedetecteerd en geblokkeerd Genereert een waarschuwing wanneer iemand heeft geprobeerd een ongebruikelijk groot aantal e-mailberichten met een bepaald type malware te verzenden naar gebruikers in uw organisatie. Als deze gebeurtenis zich voordoet, worden de geïnfecteerde berichten geblokkeerd door Microsoft en niet bezorgd in postvakken. Laag Neen E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    Malwarecampagne gedetecteerd in SharePoint en OneDrive Genereert een waarschuwing wanneer er een ongebruikelijk grote hoeveelheid malware of virussen wordt gedetecteerd in bestanden op SharePoint-sites of OneDrive-accounts in uw organisatie. Hoog Neen E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    Malware is niet gezapt omdat ZAP is uitgeschakeld Genereert een waarschuwing wanneer Microsoft detecteert dat een malwarebericht wordt bezorgd in een postvak, omdat Zero-Hour Automatisch opschonen voor Phish-berichten is uitgeschakeld. Informatief Neen E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    Berichten met een schadelijke entiteit die niet zijn verwijderd na bezorging Genereert een waarschuwing wanneer een bericht met schadelijke inhoud (bestand, URL, campagne, geen entiteit) wordt bezorgd bij postvakken in uw organisatie. Als deze gebeurtenis zich voordoet, heeft Microsoft geprobeerd de geïnfecteerde berichten uit Exchange Online postvakken te verwijderen met automatisch opschonen van nul uur, maar is het bericht niet verwijderd vanwege een fout. Aanvullend onderzoek wordt aanbevolen. Dit beleid activeert automatisch onderzoek en reactie in Office 365. Gemiddeld Ja E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    Phish bezorgd omdat de map Ongewenste e-mail van een gebruiker is uitgeschakeld Opmerking: dit waarschuwingsbeleid wordt afgeschaft. Postvakinstellingen bepalen niet meer of gedetecteerde berichten kunnen worden verplaatst naar de map Ongewenste Email. Zie Instellingen voor ongewenste e-mail configureren voor Exchange Online-postvakken voor meer informatie. Informatief Neen E1/F1/G1, E3/F3/G3 of E5/G5
    Phish bezorgd vanwege een ETR-onderdrukking Genereert een waarschuwing wanneer Microsoft een Exchange-transportregel (ook wel een e-mailstroomregel genoemd) detecteert waarmee een phishingbericht met hoge betrouwbaarheid aan een postvak kon worden bezorgd. Zie E-mailstroomregels (transportregels) in Exchange Online voor meer informatie over Exchange-transportregels (e-mailstroomregels). Informatief Neen E1/F1/G1, E3/F3/G3 of E5/G5
    Phish bezorgd vanwege een IP-beleid voor toestaan Genereert een waarschuwing wanneer Microsoft een BELEID voor IP-toestaan detecteert waarmee een phishingbericht met hoge betrouwbaarheid aan een postvak kon worden bezorgd. Zie Het standaardbeleid voor verbindingsfilters configureren - Office 365 voor meer informatie over het beleid voor IP-toestaan (verbindingsfilters). Informatief Neen E1/F1/G1, E3/F3/G3 of E5/G5
    Phish niet gezapt omdat ZAP is uitgeschakeld Genereert een waarschuwing wanneer Microsoft detecteert dat een phishingbericht met hoge betrouwbaarheid wordt bezorgd in een postvak, omdat Zero-Hour Automatisch opschonen voor phish-berichten is uitgeschakeld. Informatief Neen E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    Mogelijke activiteit van de natiestaat Microsoft Threat Intelligence Center heeft een poging gedetecteerd om accounts van uw tenant te misbruiken. Hoog Neen E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    Herstelactie die door de beheerder is uitgevoerd op e-mailberichten, URL's of afzenders Opmerking: dit waarschuwingsbeleid is vervangen door de beheeractie die is ingediend door een administratorwaarschuwingsbeleid . Dit waarschuwingsbeleid verdwijnt uiteindelijk. Daarom raden we u aan dit waarschuwingsbeleid uit te schakelen en in plaats daarvan beheeracties te gebruiken die door een beheerder zijn ingediend .

    Deze waarschuwing wordt geactiveerd wanneer een beheerder herstelactie onderneemt op de geselecteerde entiteit
    Informatief Ja E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    Verdachte connectoractiviteit Genereert een waarschuwing wanneer er een verdachte activiteit wordt gedetecteerd op een binnenkomende connector in uw organisatie. E-mail kan de binnenkomende connector niet gebruiken. De beheerder ontvangt een e-mailmelding en een waarschuwing. Deze waarschuwing bevat richtlijnen voor het onderzoeken, herstellen van wijzigingen en het opheffen van de blokkering van een beperkte connector. Zie Reageren op een aangetaste connector voor meer informatie over het reageren op deze waarschuwing. Hoog Neen E1/F1/G1, E3/F3/G3 of E5/G5
    Doorstuuractiviteit verdachte e-mail Genereert een waarschuwing wanneer iemand in uw organisatie automatisch e-mail heeft doorgestuurd naar een verdacht extern account. Dit is een vroege waarschuwing voor gedrag dat kan aangeven dat het account is aangetast, maar niet ernstig genoeg is om de gebruiker te beperken. Hoewel dit zeldzaam is, kan een waarschuwing die door dit beleid wordt gegenereerd, een anomalie zijn. Het is een goed idee om te controleren of het gebruikersaccount is aangetast. Hoog Neen E1/F1/G1, E3/F3/G3 of E5/G5
    Suspicious email sending patterns detected (Verdachte patronen voor het verzenden van Genereert een waarschuwing wanneer iemand in uw organisatie verdachte e-mail heeft verzonden en het risico loopt dat het verzenden van e-mail wordt beperkt. Dit is een vroege waarschuwing voor gedrag dat erop kan wijzen dat het account is aangetast, maar niet ernstig genoeg is om de gebruiker te beperken. Hoewel dit zeldzaam is, kan een waarschuwing die door dit beleid wordt gegenereerd, een anomalie zijn. Het is echter een goed idee om te controleren of het gebruikersaccount is aangetast. Gemiddeld Ja E1/F1/G1, E3/F3/G3 of E5/G5
    Vermelding van lijst met toegestane/geblokkeerde tenants verloopt binnenkort Genereert een waarschuwing wanneer een vermelding in de tenantlijst toestaan/blokkeren op het moment dat deze wordt verwijderd. Deze gebeurtenis wordt drie dagen vóór de vervaldatum geactiveerd, die is gebaseerd op het moment dat de vermelding is gemaakt of voor het laatst is bijgewerkt.

    Voor blokken kunt u de vervaldatum verlengen om het blok op zijn plaats te houden. Hiervoor moet u het item opnieuw indienen, zodat onze analisten nog eens kunnen kijken. Als de acceptatie echter al is beoordeeld als een fout-positief, verloopt de vermelding alleen wanneer de systeemfilters zijn bijgewerkt om de vermelding op natuurlijke wijze toe te staan. Zie De lijst Tenant toestaan/blokkeren beheren voor meer informatie over gebeurtenissen die deze waarschuwing activeren.
    Informatief Neen E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    Tenant kan geen e-mail verzenden Genereert een waarschuwing wanneer het meeste e-mailverkeer van uw organisatie is gedetecteerd als verdacht en Microsoft het verzenden van e-mail door uw organisatie heeft beperkt. Onderzoek mogelijk aangetaste gebruikers- en beheerdersaccounts, nieuwe connectors of open relays en neem vervolgens contact op met Microsoft Ondersteuning om de blokkering van uw organisatie op te heffen. Zie Problemen met e-mailbezorging oplossen voor foutcode 5.7.7xx in Exchange Online voor meer informatie over waarom organisaties worden geblokkeerd. Hoog Neen E1/F1/G1, E3/F3/G3 of E5/G5
    Tenant kan geen niet-inrichte e-mail verzenden Genereert een waarschuwing wanneer er te veel e-mail wordt verzonden vanuit niet-geregistreerde domeinen (ook wel niet-ingeziene domeinen genoemd). Office 365 staat een redelijke hoeveelheid e-mail van niet-geregistreerde domeinen toe, maar u moet elk domein configureren dat u gebruikt om e-mail te verzenden als een geaccepteerd domein. Deze waarschuwing geeft aan dat alle gebruikers in de organisatie geen e-mail meer kunnen verzenden. Zie Problemen met e-mailbezorging oplossen voor foutcode 5.7.7xx in Exchange Online voor meer informatie over waarom organisaties worden geblokkeerd. Hoog Neen E1/F1/G1, E3/F3/G3 of E5/G5
    Ongebruikelijke toename van het aantal e-mails dat als phishing wordt gerapporteerd Genereert een waarschuwing wanneer er een aanzienlijke toename is in het aantal personen in uw organisatie dat de invoegtoepassing Bericht rapporteren in Outlook gebruikt om berichten te rapporteren als phishing-e-mail. Zie De invoegtoepassing Rapportbericht gebruiken voor meer informatie over deze invoegtoepassing. Gemiddeld Neen E5/G5- of Defender voor Office 365 P2-invoegtoepassingsabonnement
    Gebruiker heeft gevraagd een in quarantaine geplaatst bericht vrij te geven Genereert een waarschuwing wanneer een gebruiker release aanvraagt voor een in quarantaine geplaatst bericht. Als u het vrijgeven van berichten in quarantaine wilt aanvragen, is de machtiging Ontvangers toestaan om een bericht uit quarantaine te verwijderen (PermissionToRequestRelease) vereist in het quarantainebeleid (bijvoorbeeld vanuit de vooraf ingestelde machtigingengroep voor beperkte toegang ). Zie Ontvangers toestaan om een bericht uit quarantaine te laten verwijderen voor meer informatie. Informatief Neen Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 of E5/G5
    Gebruiker kan geen e-mail verzenden Genereert een waarschuwing wanneer iemand in uw organisatie geen uitgaande e-mail kan verzenden. Dit resulteert meestal in een inbreuk op een account en de gebruiker wordt weergegeven op de pagina Gebruikers met beperkte toegang in de nalevingsportal. (Voor toegang tot deze pagina gaat u naar Threat management > Review > Restricted Users). Zie Een gebruiker, domein of IP-adres verwijderen uit een blokkeringslijst na het verzenden van spam-e-mail voor meer informatie over gebruikers met beperkte toegang. Hoog Ja Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 of E5/G5
    Gebruiker heeft zich beperkt tot het delen van formulieren en het verzamelen van antwoorden Genereert een waarschuwing wanneer iemand in uw organisatie is beperkt tot het delen van formulieren en het verzamelen van antwoorden met behulp van Microsoft Forms vanwege gedetecteerd gedrag van herhaalde phishingpogingen. Hoog Neen E1, E3/F3 of E5

    Waarschuwingen weergeven

    Wanneer een activiteit die wordt uitgevoerd door gebruikers in uw organisatie overeenkomt met de instellingen van een waarschuwingsbeleid, wordt er een waarschuwing gegenereerd en weergegeven op de pagina Waarschuwingen in de Microsoft Purview-portal of de Defender-portal. Afhankelijk van de instellingen van een waarschuwingsbeleid wordt er ook een e-mailmelding verzonden naar een lijst met opgegeven gebruikers wanneer een waarschuwing wordt geactiveerd. Voor elke waarschuwing geeft het dashboard op de pagina Waarschuwingen de naam weer van het bijbehorende waarschuwingsbeleid, de ernst en categorie voor de waarschuwing (gedefinieerd in het waarschuwingsbeleid) en het aantal keren dat een activiteit heeft plaatsgevonden waardoor de waarschuwing is gegenereerd. Deze waarde is gebaseerd op de drempelwaarde-instelling van het waarschuwingsbeleid. In het dashboard wordt ook de status voor elke waarschuwing weergegeven. Zie Waarschuwingen beheren voor meer informatie over het gebruik van de statuseigenschap voor het beheren van waarschuwingen.

    Waarschuwingen weergeven:

    Microsoft Purview-complianceportal

    Ga naar https://compliance.microsoft.com waarschuwingen en selecteer deze. U kunt ook rechtstreeks naar https://compliance.microsoft.com/compliancealertsgaan.

    Selecteer Waarschuwingen in de nalevingsportal.

    Microsoft 365 Defender-portal

    Ga naar Microsoft 365 Defender portal en selecteer vervolgens Waarschuwingen voor incidenten & waarschuwingen > . U kunt ook rechtstreeks naar https://security.microsoft.com/alertsgaan.

    Selecteer in de Microsoft 365 Defender-portal incidenten & waarschuwingen en selecteer vervolgens Waarschuwingen.

    U kunt de volgende filters gebruiken om een subset van alle waarschuwingen op de pagina Waarschuwingen weer te geven:

    • Status: Waarschuwingen weergeven waaraan een bepaalde status is toegewezen. De standaardstatus is Actief. U of andere beheerders kunnen de statuswaarde wijzigen.
    • Beleid: Waarschuwingen weergeven die overeenkomen met de instelling van een of meer waarschuwingsbeleidsregels. U kunt ook alle waarschuwingen voor alle waarschuwingsbeleidsregels weergeven.
    • Tijdsbereik: Waarschuwingen weergeven die zijn gegenereerd binnen een specifiek datum- en tijdsbereik.
    • Ernst: Waarschuwingen weergeven waaraan een specifieke ernst is toegewezen.
    • Categorie: Waarschuwingen uit een of meer waarschuwingscategorieën weergeven.
    • Tags:Waarschuwingen van een of meer gebruikerstags weergeven. Tags worden weergegeven op basis van gelabelde postvakken of gebruikers die in de waarschuwingen worden weergegeven. Zie Gebruikerstags in Defender voor Office 365 voor meer informatie.
    • Bron: Gebruik dit filter om waarschuwingen weer te geven die zijn geactiveerd door waarschuwingsbeleid in de Microsoft Purview-portal of waarschuwingen die zijn geactiveerd door Microsoft Defender for Cloud Apps beleid, of beide. Zie de sectie Waarschuwingen van Defender voor Cloud Apps weergeven in dit artikel voor meer informatie over Defender voor Cloud Apps-waarschuwingen.

    Belangrijk

    Filteren en sorteren op gebruikerstags is momenteel in openbare preview en kan aanzienlijk worden gewijzigd voordat deze algemeen beschikbaar is. Microsoft geeft geen garanties, uitdrukkelijk of impliciet, met betrekking tot de informatie die hierover wordt verstrekt.

    Aggregatie van waarschuwingen

    Wanneer meerdere gebeurtenissen die overeenkomen met de voorwaarden van een waarschuwingsbeleid zich voordoen met een korte periode, worden ze toegevoegd aan een bestaande waarschuwing door een proces dat waarschuwingsaggregatie wordt genoemd. Wanneer een gebeurtenis een waarschuwing activeert, wordt de waarschuwing gegenereerd en weergegeven op de pagina Waarschuwingen en wordt er een melding verzonden. Als dezelfde gebeurtenis plaatsvindt binnen het aggregatie-interval, voegt Microsoft 365 details over de nieuwe gebeurtenis toe aan de bestaande waarschuwing in plaats van een nieuwe waarschuwing te activeren. Het doel van aggregatie van waarschuwingen is om 'vermoeidheid' van waarschuwingen te verminderen en u te laten focussen op minder waarschuwingen voor dezelfde gebeurtenis en actie te ondernemen.

    De lengte van het aggregatie-interval is afhankelijk van uw Office 365 of Microsoft 365-abonnement.

    Abonnement Aggregatie
    Interval
    Office 365 of Microsoft 365 E5/G5 1 minuut
    Defender voor Office 365 Abonnement 2 1 minuut
    E5 Compliance-invoegtoepassing of E5 Discovery and Audit-invoegtoepassing 1 minuut
    Office 365 of Microsoft 365 E1/F1/G1 of E3/F3/G3 15 minuten
    Defender voor Office 365 abonnement 1 of Exchange Online Protection 15 minuten

    Wanneer gebeurtenissen die overeenkomen met hetzelfde waarschuwingsbeleid binnen het aggregatie-interval plaatsvinden, worden details over de volgende gebeurtenis toegevoegd aan de oorspronkelijke waarschuwing. Voor alle gebeurtenissen wordt informatie over geaggregeerde gebeurtenissen weergegeven in het detailveld en wordt het aantal keren dat een gebeurtenis heeft plaatsgevonden met het aggregatie-interval weergegeven in het veld activiteit/aantal treffers. U kunt meer informatie over alle exemplaren van geaggregeerde gebeurtenissen bekijken door de activiteitenlijst te bekijken.

    In de volgende schermopname ziet u een waarschuwing met vier samengevoegde gebeurtenissen. De activiteitenlijst bevat informatie over de vier e-mailberichten die relevant zijn voor de waarschuwing.

    Voorbeeld van aggregatie van waarschuwingen.

    Houd rekening met de volgende zaken met betrekking tot aggregatie van waarschuwingen:

    • Waarschuwingen die worden geactiveerd door de A-klik op een mogelijk schadelijke URL, zijn gedetecteerd dat het standaardwaarschuwingsbeleid niet is geaggregeerd. Dit komt doordat waarschuwingen die door dit beleid worden geactiveerd, uniek zijn voor elke gebruiker en elk e-mailbericht.

    • Op dit moment geeft de waarschuwingseigenschap Aantal treffers niet het aantal geaggregeerde gebeurtenissen aan voor alle waarschuwingsbeleidsregels. Voor waarschuwingen die door deze waarschuwingsbeleidsregels worden geactiveerd, kunt u de samengevoegde gebeurtenissen weergeven door te klikken op Berichtenlijst weergeven of Activiteit weergeven voor de waarschuwing. Er wordt gewerkt om het aantal geaggregeerde gebeurtenissen dat wordt vermeld in de waarschuwingseigenschap Aantal treffers beschikbaar te maken voor alle waarschuwingsbeleidsregels.

    RBAC-machtigingen vereist om waarschuwingen weer te geven

    De RBAC-machtigingen (Role Based Access Control) die zijn toegewezen aan gebruikers in uw organisatie, bepalen welke waarschuwingen een gebruiker kan zien op de pagina Waarschuwingen. Hoe wordt dit bereikt? De beheerrollen die zijn toegewezen aan gebruikers (op basis van hun lidmaatschap in rolgroepen in de complianceportal of de Microsoft 365 Defender-portal) bepalen welke waarschuwingscategorieën een gebruiker kan zien op de pagina Waarschuwingen. Dit zijn enkele voorbeelden:

    • Leden van de rollengroep Recordbeheer kunnen alleen de waarschuwingen weergeven die worden gegenereerd door waarschuwingsbeleid waaraan de categorie Informatiebeheer is toegewezen.
    • Leden van de rollengroep Compliancebeheerder kunnen geen waarschuwingen weergeven die worden gegenereerd door waarschuwingsbeleid waaraan de categorie Bedreigingsbeheer is toegewezen.
    • Leden van de rollengroep eDiscovery-beheer kunnen geen waarschuwingen weergeven omdat geen van de toegewezen rollen machtigingen biedt om waarschuwingen uit een waarschuwingscategorie weer te geven.

    Met dit ontwerp (op basis van RBAC-machtigingen) kunt u bepalen welke waarschuwingen kunnen worden weergegeven (en beheerd) door gebruikers in specifieke functierollen in uw organisatie.

    De volgende tabel bevat de rollen die vereist zijn om waarschuwingen uit de zes verschillende waarschuwingscategorieën weer te geven. Een vinkje geeft aan dat een gebruiker aan wie deze rol is toegewezen, waarschuwingen kan bekijken uit de bijbehorende waarschuwingscategorie die wordt vermeld in de titelrij.

    Als u wilt zien aan welke categorie een standaardwaarschuwingsbeleid is toegewezen, raadpleegt u de tabellen in Standaardwaarschuwingsbeleid.

    Rol Informatie
    Governance
    Gegevensverlies
    Preventie
    Mail
    Stroom
    Machtigingen Bedreiging
    Management
    Anderen
    Beheerder voor naleving
    <!---X--->DLP-nalevingsbeheer
    Informatiebeveiligingsbeheerder
    Informatiebeveiligingsanalist
    Informatiebeveiligingsonderzoeker
    Waarschuwingen beheren
    Organisatieconfiguratie
    Privacybeheer
    Quarantaine
    <!---X--->Recordbeheer
    Bewaarbeheer
    Rolbeheer
    Beveiligingsbeheerder
    Beveiligingslezer
    Transporthygiëne
    <!---X--->DLP-compliancebeheer View-Only
    View-Only-configuratie
    waarschuwingen View-Only beheren
    View-Only geadresseerden
    <!---X--->View-Only recordbeheer
    <!---X--->View-Only bewaarbeheer

    Tip

    Als u de rollen wilt weergeven die zijn toegewezen aan elk van de standaardrolgroepen, voert u de volgende opdrachten uit in Security & Compliance PowerShell:

    $RoleGroups = Get-RoleGroup
    $RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
    

    U kunt ook de rollen weergeven die zijn toegewezen aan een rollengroep in de nalevingsportal of de Microsoft 365 Defender-portal. Ga naar de pagina Machtigingen en selecteer een rolgroep. De toegewezen rollen worden weergegeven op de flyoutpagina.

    Waarschuwingen beheren

    Nadat waarschuwingen zijn gegenereerd en weergegeven op de pagina Waarschuwingen in de Microsoft Purview-portal, kunt u deze sorteren, onderzoeken en oplossen. Dezelfde RBAC-machtigingen die gebruikers toegang geven tot waarschuwingen, geven hen ook de mogelijkheid om waarschuwingen te beheren.

    Hier zijn enkele taken die u kunt uitvoeren om waarschuwingen te beheren.

    • Een status toewijzen aan waarschuwingen: U kunt een van de volgende statussen toewijzen aan waarschuwingen: Actief (de standaardwaarde), Onderzoeken, Opgelost of Genegeerd. Vervolgens kunt u op deze instelling filteren om waarschuwingen met dezelfde statusinstelling weer te geven. Deze statusinstelling kan helpen bij het bijhouden van het proces voor het beheren van waarschuwingen.

    • Waarschuwingsdetails weergeven: U kunt een waarschuwing selecteren om een flyoutpagina met details over de waarschuwing weer te geven. De gedetailleerde informatie is afhankelijk van het bijbehorende waarschuwingsbeleid, maar bevat doorgaans de volgende informatie:

      • De naam van de werkelijke bewerking die de waarschuwing heeft geactiveerd, zoals een cmdlet of een auditlogboekbewerking.
      • Een beschrijving van de activiteit die de waarschuwing heeft geactiveerd.
      • De gebruiker (of lijst met gebruikers) die de waarschuwing heeft geactiveerd. Dit is alleen opgenomen voor waarschuwingsbeleid dat is ingesteld voor het bijhouden van één gebruiker of één activiteit.
      • Het aantal keren dat de activiteit die door de waarschuwing is bijgehouden, is uitgevoerd. Dit aantal komt mogelijk niet overeen met het werkelijke aantal gerelateerde waarschuwingen dat wordt vermeld op de pagina Waarschuwingen, omdat er mogelijk meer waarschuwingen zijn geactiveerd.
      • Een koppeling naar een activiteitenlijst die een item bevat voor elke activiteit die is uitgevoerd die de waarschuwing heeft geactiveerd. Elke vermelding in deze lijst identificeert wanneer de activiteit heeft plaatsgevonden, de naam van de werkelijke bewerking (zoals 'FileDeleted'), de gebruiker die de activiteit heeft uitgevoerd, het object (zoals een bestand, een eDiscovery-case of een postvak) waarop de activiteit is uitgevoerd en het IP-adres van de computer van de gebruiker. Voor waarschuwingen met betrekking tot malware is dit een koppeling naar een berichtenlijst.
      • De naam (en koppeling) van het bijbehorende waarschuwingsbeleid.
    • E-mailmeldingen onderdrukken: u kunt e-mailmeldingen uitschakelen (of onderdrukken) vanaf de flyoutpagina voor een waarschuwing. Wanneer u e-mailmeldingen onderdrukt, verzendt Microsoft geen meldingen wanneer activiteiten of gebeurtenissen plaatsvinden die voldoen aan de voorwaarden van het waarschuwingsbeleid. Maar waarschuwingen worden geactiveerd wanneer activiteiten die door gebruikers worden uitgevoerd, overeenkomen met de voorwaarden van het waarschuwingsbeleid. U kunt e-mailmeldingen ook uitschakelen door het waarschuwingsbeleid te bewerken.

    • Waarschuwingen oplossen: U kunt een waarschuwing markeren als opgelost op de flyoutpagina voor een waarschuwing (waarmee de status van de waarschuwing wordt ingesteld op Opgelost). Tenzij u het filter wijzigt, worden opgeloste waarschuwingen niet weergegeven op de pagina Waarschuwingen .

    Defender voor Cloud Apps-waarschuwingen weergeven

    Waarschuwingen die worden geactiveerd door Defender voor Cloud Apps-beleid, worden nu weergegeven op de pagina Waarschuwingen in de Microsoft Purview-portal. Dit omvat waarschuwingen die worden geactiveerd door activiteitenbeleid en waarschuwingen die worden geactiveerd door beleid voor anomaliedetectie in Defender voor Cloud Apps. Dit betekent dat u alle waarschuwingen kunt weergeven in de Microsoft Purview-portal. Defender voor Cloud Apps is alleen beschikbaar voor organisaties met een Office 365 Enterprise E5- of Office 365 G5-abonnement voor de Amerikaanse overheid. Zie Overzicht van Defender voor Cloud-apps voor meer informatie.

    Organisaties die Microsoft Defender for Cloud Apps hebben als onderdeel van een Enterprise Mobility + Security E5-abonnement of als zelfstandige service, kunnen ook Defender voor Cloud Apps-waarschuwingen bekijken die zijn gerelateerd aan Microsoft 365-apps en -services in de nalevingsportal of de Microsoft 365 Defender portal.

    Als u alleen Defender voor Cloud Apps-waarschuwingen wilt weergeven in de Microsoft Purview-portal of de Defender-portal, gebruikt u het bronfilter en selecteert u Defender voor Cloud Apps.

    Gebruik het bronfilter om alleen Defender voor Cloud Apps-waarschuwingen weer te geven.

    Net als bij een waarschuwing die wordt geactiveerd door een waarschuwingsbeleid in de Microsoft Purview-portal, kunt u een Defender voor Cloud Apps-waarschuwing selecteren om een flyoutpagina met details over de waarschuwing weer te geven. De waarschuwing bevat een koppeling om de details te bekijken en de waarschuwing te beheren in de Defender for Cloud Apps-portal en een koppeling naar het bijbehorende Defender voor Cloud Apps-beleid waarmee de waarschuwing is geactiveerd. Zie Waarschuwingen bewaken in Defender voor Cloud Apps.

    Waarschuwingsdetails bevatten koppelingen naar de Defender for Cloud Apps-portal.

    Belangrijk

    Als u de status van een Defender for Cloud Apps-waarschuwing wijzigt in de Microsoft Purview-portal, wordt de oplossingsstatus voor dezelfde waarschuwing niet bijgewerkt in de Defender voor Cloud Apps-portal. Als u bijvoorbeeld de status van de waarschuwing markeert als Opgelost in de Microsoft Purview-portal, blijft de status van de waarschuwing in de Defender for Cloud Apps-portal ongewijzigd. Als u een Defender for Cloud Apps-waarschuwing wilt oplossen of sluiten, beheert u de waarschuwing in de Defender voor Cloud Apps-portal.