Geautomatiseerd onderzoek en respons (AIR) in Microsoft Defender voor Office 365

• Van toepassing op:

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Microsoft Defender voor Office 365 bevat krachtige mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) die uw beveiligingsteam tijd en moeite kunnen besparen. Wanneer waarschuwingen worden geactiveerd, is het aan uw beveiligingsteam om deze waarschuwingen te controleren, prioriteit te geven en erop te reageren. Het bijhouden van het volume van binnenkomende waarschuwingen kan overweldigend zijn. Het automatiseren van sommige van deze taken kan helpen.

AIR stelt uw beveiligingsteam in staat efficiënter en effectiever te werken. AIR-mogelijkheden omvatten geautomatiseerde onderzoeksprocessen als reactie op bekende bedreigingen die momenteel bestaan. De juiste herstelacties wachten op goedkeuring, zodat uw beveiligingsteam effectief kan reageren op gedetecteerde bedreigingen. Met AIR kan uw beveiligingsteam zich richten op taken met een hogere prioriteit zonder belangrijke waarschuwingen uit het oog te verliezen die worden geactiveerd.

In dit artikel wordt het volgende beschreven:

• De totale luchtstroom;
• Hoe air te krijgen; En
• De vereiste machtigingen voor het configureren of gebruiken van AIR-mogelijkheden.

Dit artikel bevat ook volgende stappen en bronnen voor meer informatie.

De totale luchtstroom

Er wordt een waarschuwing geactiveerd en een beveiligingsplaybook start een geautomatiseerd onderzoek, wat resulteert in bevindingen en aanbevolen acties. Dit is de algemene luchtstroom, stap voor stap:

1. Een geautomatiseerd onderzoek wordt op een van de volgende manieren gestart:

   • Een waarschuwing wordt geactiveerd door iets verdachts in e-mail (zoals een bericht, bijlage, URL of gecompromitteerd gebruikersaccount). Er wordt een incident gemaakt en er wordt een geautomatiseerd onderzoek gestart; Of
   • Een beveiligingsanalist start een geautomatiseerd onderzoek tijdens het gebruik van Explorer.

2. Terwijl een geautomatiseerd onderzoek wordt uitgevoerd, worden gegevens verzameld over de e-mail in kwestie en entiteiten die betrekking hebben op dat e-mailbericht (bijvoorbeeld bestanden, URL's en ontvangers). Het bereik van het onderzoek kan toenemen naarmate nieuwe en gerelateerde waarschuwingen worden geactiveerd.

3. Tijdens en na een geautomatiseerd onderzoek zijn details en resultaten beschikbaar om te bekijken. De resultaten kunnen aanbevolen acties bevatten die kunnen worden uitgevoerd om te reageren op en te herstellen van bestaande bedreigingen die zijn gevonden.

4. Uw beveiligingsteam beoordeelt de onderzoeksresultaten en aanbevelingen en keurt herstelacties goed of af.

5. Wanneer in behandeling zijnde herstelacties worden goedgekeurd (of geweigerd), wordt het geautomatiseerde onderzoek voltooid.

Opmerking

Als het onderzoek niet resulteert in aanbevolen acties, wordt het geautomatiseerde onderzoek gesloten en zijn de details van wat is beoordeeld als onderdeel van het geautomatiseerde onderzoek nog steeds beschikbaar op de onderzoekspagina.

In Microsoft Defender voor Office 365 worden er geen herstelacties automatisch uitgevoerd. Herstelacties worden alleen uitgevoerd na goedkeuring door het beveiligingsteam van uw organisatie. Air-mogelijkheden besparen uw beveiligingsteam tijd door herstelacties te identificeren en de details te verstrekken die nodig zijn om een weloverwogen beslissing te nemen.

Tijdens en na elk geautomatiseerd onderzoek kan uw beveiligingsteam het volgende doen:

• Details weergeven over een waarschuwing met betrekking tot een onderzoek
• De resultaten van een onderzoek weergeven
• Acties beoordelen en goedkeuren als gevolg van een onderzoek

Tip

Zie Hoe AIR werkt voor een gedetailleerder overzicht.

Air downloaden

AIR-mogelijkheden zijn opgenomen in Microsoft Defender voor Office 365 Abonnement 2, zolang auditlogboekregistratie is ingeschakeld (dit is standaard ingeschakeld).

Zorg er bovendien voor dat u het waarschuwingsbeleid van uw organisatie controleert, met name het standaardbeleid in de categorie Bedreigingsbeheer.

Met welk waarschuwingsbeleid worden geautomatiseerde onderzoeken geactiveerd?

Microsoft 365 biedt een groot aantal ingebouwde waarschuwingsbeleidsregels waarmee u misbruik van Exchange-beheerdersmachtigingen, malwareactiviteiten, mogelijke externe en interne bedreigingen en informatiebeheerrisico's kunt identificeren. Verschillende standaardwaarschuwingsbeleidsregels kunnen geautomatiseerde onderzoeken activeren. In de volgende tabel worden de waarschuwingen beschreven die geautomatiseerde onderzoeken activeren, de ernst ervan in de Microsoft Defender-portal en hoe ze worden gegenereerd:

Waarschuwing	Ernst	Hoe de waarschuwing wordt gegenereerd
Er is een mogelijk schadelijke URL-klik gedetecteerd	Hoog	Deze waarschuwing wordt gegenereerd wanneer een van de volgende situaties optreedt: Een gebruiker die wordt beveiligd met veilige koppelingen in uw organisatie, klikt op een schadelijke koppeling Beoordelingswijzigingen voor URL's worden geïdentificeerd door Microsoft Defender voor Office 365 Gebruikers overschrijven waarschuwingspagina's voor veilige koppelingen (op basis van het beleid voor veilige koppelingen van uw organisatie. Zie Beleid voor veilige koppelingen instellen voor meer informatie over gebeurtenissen die deze waarschuwing activeren.
Een e-mailbericht wordt door een gebruiker gerapporteerd als malware of phish	Laag	Deze waarschuwing wordt gegenereerd wanneer gebruikers in uw organisatie berichten rapporteren als phishing-e-mail met behulp van de invoegtoepassing Microsoft Report Message of Report Phishing.
E-mailberichten met schadelijk bestand verwijderd na bezorging	Informatief	Deze waarschuwing wordt gegenereerd wanneer berichten met een schadelijk bestand worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met behulp van zero-hour auto purge (ZAP).
Email berichten die malware bevatten, worden verwijderd na levering	Informatief	Deze waarschuwing wordt gegenereerd wanneer e-mailberichten met malware worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met behulp van zero-hour auto purge (ZAP).
E-mailberichten met schadelijke URL verwijderd na bezorging	Informatief	Deze waarschuwing wordt gegenereerd wanneer berichten met een schadelijke URL worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met behulp van zero-hour auto purge (ZAP).
Email berichten met phish-URL's worden verwijderd na bezorging	Informatief	Deze waarschuwing wordt gegenereerd wanneer berichten met phish worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met behulp van ZAP.
Er worden verdachte patronen voor het verzenden van e-mail gedetecteerd	Gemiddeld	Deze waarschuwing wordt gegenereerd wanneer iemand in uw organisatie verdachte e-mail heeft verzonden en het risico loopt te worden beperkt tot het verzenden van e-mail. De waarschuwing is een vroege waarschuwing voor gedrag dat erop kan wijzen dat het account is aangetast, maar niet ernstig genoeg om de gebruiker te beperken. Hoewel dit zelden gebeurt, kan een waarschuwing die door dit beleid wordt gegenereerd, een anomalie zijn. Het is echter een goed idee om te controleren of het gebruikersaccount is gecompromitteerd.
Een gebruiker mag geen e-mail verzenden	Hoog	Deze waarschuwing wordt gegenereerd wanneer iemand in uw organisatie geen uitgaande e-mail mag verzenden. Deze waarschuwing wordt meestal weergegeven wanneer een e-mailaccount is gecompromitteerd. Zie Geblokkeerde gebruikers verwijderen van de pagina Beperkte entiteiten voor meer informatie over beperkte gebruikers.
Beheer handmatig onderzoek van e-mail geactiveerd	Informatief	Deze waarschuwing wordt gegenereerd wanneer een beheerder het handmatige onderzoek van een e-mail vanuit Threat Explorer activeert. Deze waarschuwing waarschuwt uw organisatie dat het onderzoek is gestart.
onderzoek naar Beheer geactiveerde gebruikerscompromitt	Gemiddeld	Deze waarschuwing wordt gegenereerd wanneer een beheerder het handmatige onderzoek naar inbreuk door gebruikers van een afzender of ontvanger van een e-mail vanuit Threat Explorer activeert. Met deze waarschuwing wordt uw organisatie gewaarschuwd dat het onderzoek naar inbreuk op gebruikers is gestart.

Tip

Zie Waarschuwingsbeleid in de Microsoft Defender portal voor meer informatie over waarschuwingsbeleid of het bewerken van de standaardinstellingen.

Vereiste machtigingen voor het gebruik van AIR-mogelijkheden

Er moeten machtigingen aan u zijn toegewezen om AIR te kunnen gebruiken. U hebt de volgende opties:

• Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (alleen van invloed op de Defender-portal, niet op PowerShell):

  • Een geautomatiseerd onderzoek starten of aanbevolen acties goedkeuren of afwijzen: Beveiligingsoperator/Email geavanceerde herstelacties (beheren).

• Email & samenwerkingsmachtigingen in de Microsoft Defender-portal:

  • AIR-functies instellen: lidmaatschap van de rolgroepen Organisatiebeheer of Beveiligingsbeheerder .
  • Een geautomatiseerd onderzoek starten of aanbevolen acties goedkeuren of afwijzen:
    • Lidmaatschap van de rollengroepen Organisatiebeheer, Beveiligingsbeheerder, Beveiligingsoperator, Beveiligingslezer of Globale lezer . en
    • Lidmaatschap van een rollengroep waaraan de rol Search en Opschonen zijn toegewezen. Deze rol wordt standaard toegewezen aan de rollengroepen Gegevensonderzoeker en Organisatiebeheer . U kunt ook een aangepaste rollengroep maken om de rol Search en Opschonen toe te wijzen.

• Microsoft Entra machtigingen:

  • AIR-functies instellen Lidmaatschap van de rollen Globale beheerder of Beveiligingsbeheerder .
  • Een geautomatiseerd onderzoek starten of aanbevolen acties goedkeuren of afwijzen:
    • Lidmaatschap van de rollen Globale beheerder, Beveiligingsbeheerder, Beveiligingsoperator, Beveiligingslezer of Globale lezer . en
    • Lidmaatschap van een Email & samenwerkingsrolgroep met de rol Search en Leegmaken toegewezen. Deze rol wordt standaard toegewezen aan de rollengroepen Gegevensonderzoeker en Organisatiebeheer . U kunt ook een aangepaste Email & samenwerkingsrolgroep maken om de rol Search en Opschonen toe te wijzen.

  Microsoft Entra machtigingen geven gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365.

Vereiste licenties

Microsoft Defender voor Office 365 Abonnement 2-licenties moeten worden toegewezen aan:

• Beveiligingsbeheerders (inclusief globale beheerders)
• Het beveiligingsteam van uw organisatie (inclusief beveiligingslezers en personen met de rol Search en Opschonen)
• Eindgebruikers

Volgende stappen

• Aan de slag met AIR
• Details en resultaten van een geautomatiseerd onderzoek bekijken
• Acties in behandeling controleren en goedkeuren
• Herstelacties in behandeling of voltooid weergeven