Bedreigingsonderzoek en -reactie

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Mogelijkheden voor bedreigingsonderzoek en -respons in Microsoft Defender voor Office 365 beveiligingsanalisten en beheerders helpen de Microsoft 365 voor zakelijke gebruikers van hun organisatie te beschermen door:

  • Het eenvoudig maken om cyberaanvallen te identificeren, te bewaken en te begrijpen.
  • Hulp bij het snel aanpakken van bedreigingen in Exchange Online, SharePoint Online, OneDrive voor Bedrijven en Microsoft Teams.
  • Het verstrekken van inzichten en kennis om beveiligingsbewerkingen te helpen cyberaanvallen tegen hun organisatie te voorkomen.
  • Gebruik van geautomatiseerd onderzoek en reactie in Office 365 voor kritieke bedreigingen op basis van e-mail.

Mogelijkheden voor bedreigingsonderzoek en -respons bieden inzicht in bedreigingen en gerelateerde reactieacties die beschikbaar zijn in de Microsoft Defender-portal. Deze inzichten kunnen het beveiligingsteam van uw organisatie helpen gebruikers te beschermen tegen aanvallen op basis van e-mail of bestanden. De mogelijkheden helpen bij het bewaken van signalen en het verzamelen van gegevens uit meerdere bronnen, zoals gebruikersactiviteit, verificatie, e-mail, gecompromitteerde pc's en beveiligingsincidenten. Zakelijke besluitvormers en uw beveiligingsteam kunnen deze informatie gebruiken om inzicht te hebben in en te reageren op bedreigingen voor uw organisatie en om uw intellectuele eigendom te beschermen.

Maak kennis met hulpprogramma's voor bedreigingsonderzoek en -respons

De mogelijkheden voor bedreigingsonderzoek en -respons in de Microsoft Defender portal op https://security.microsoft.com zijn een set hulpprogramma's en antwoordwerkstromen, waaronder:

Verkenner

Gebruik Explorer (en realtime detecties) om bedreigingen te analyseren, het aantal aanvallen in de loop van de tijd te bekijken en gegevens te analyseren per bedreigingsfamilie, infrastructuur van aanvallers en meer. Explorer (ook wel Threat Explorer genoemd) is de startplaats voor de onderzoekswerkstroom van elke beveiligingsanalist.

De pagina Bedreigingsverkenner

Als u dit rapport wilt weergeven en gebruiken in de Microsoft Defender-portal op https://security.microsoft.com, gaat u naar Email &samenwerkingsverkenner>. Of, als u rechtstreeks naar de Explorer-pagina wilt gaan, gebruikt https://security.microsoft.com/threatexploreru .

verbinding met bedreigingsinformatie Office 365

Deze functie is alleen beschikbaar als u een actief abonnement op Office 365 E5 of G5 of Microsoft 365 E5 of G5 of de Threat Intelligence-invoegtoepassing hebt. Zie de productpagina Office 365 Enterprise E5 voor meer informatie.

Gegevens van Microsoft Defender voor Office 365 worden opgenomen in Microsoft Defender XDR om een uitgebreid beveiligingsonderzoek uit te voeren op Office 365 postvakken en Windows-apparaten.

Incidenten

Gebruik de lijst Incidenten (dit wordt ook wel onderzoeken genoemd) om een lijst met beveiligingsincidenten in flight weer te geven. Incidenten worden gebruikt om bedreigingen zoals verdachte e-mailberichten op te sporen en om verder onderzoek en herstel uit te voeren.

De lijst met huidige bedreigingsincidenten in Office 365

Als u de lijst met huidige incidenten voor uw organisatie wilt weergeven in de Microsoft Defender portal op https://security.microsoft.com, gaat u naar Incidenten & waarschuwingen>Incidenten. Als u rechtstreeks naar de pagina Incidenten wilt gaan, gebruikt u https://security.microsoft.com/incidents.

Aanvalssimulatietraining

Gebruik training voor aanvalssimulatie om realistische cyberaanvallen in uw organisatie op te zetten en uit te voeren en kwetsbare personen te identificeren voordat een echte cyberaanval van invloed is op uw bedrijf. Zie Een phishing-aanval simuleren voor meer informatie.

Als u deze functie wilt weergeven en gebruiken in de Microsoft Defender portal op https://security.microsoft.com, gaat u naar Email & samenwerking>training voor aanvalssimulatie. Of gebruik https://security.microsoft.com/attacksimulator?viewid=overviewom rechtstreeks naar de pagina training voor aanvalssimulatie te gaan.

Geautomatiseerd onderzoek en reactie

Gebruik de mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) om tijd en moeite te besparen bij het correleren van inhoud, apparaten en personen die risico lopen op bedreigingen in uw organisatie. AIR-processen kunnen beginnen wanneer bepaalde waarschuwingen worden geactiveerd of wanneer ze worden gestart door uw beveiligingsteam. Zie Geautomatiseerd onderzoek en antwoord in Office 365 voor meer informatie.

Widgets voor bedreigingsinformatie

Als onderdeel van de aanbieding Microsoft Defender voor Office 365 Abonnement 2 kunnen beveiligingsanalisten details over een bekende bedreiging bekijken. Dit is handig om te bepalen of er aanvullende preventieve maatregelen/stappen kunnen worden genomen om gebruikers veilig te houden.

Het deelvenster Beveiligingstrends met informatie over recente bedreigingen

Hoe krijgen we deze mogelijkheden?

Mogelijkheden voor bedreigingsonderzoek en -respons van Microsoft 365 zijn opgenomen in Microsoft Defender voor Office 365 Abonnement 2, dat is opgenomen in Enterprise E5 of als een invoegtoepassing voor bepaalde abonnementen. Zie Defender voor Office 365 Abonnement 1 en Abonnement 2 voor meer informatie.

Vereiste rollen en machtigingen

Microsoft Defender voor Office 365 maakt gebruik van op rollen gebaseerd toegangsbeheer. Machtigingen worden toegewezen via bepaalde rollen in Microsoft Entra ID, de Microsoft 365-beheercentrum of de Microsoft Defender portal.

Tip

Hoewel sommige rollen, zoals Beveiligingsbeheerder, kunnen worden toegewezen in de Microsoft Defender-portal, kunt u in plaats daarvan de Microsoft 365-beheercentrum of Microsoft Entra ID gebruiken. Zie de volgende resources voor informatie over rollen, rolgroepen en machtigingen:

Activiteit Rollen en machtigingen
Het dashboard Microsoft Defender Vulnerability Management gebruiken

Informatie over recente of huidige bedreigingen weergeven

Een van de volgende opties:
  • Hoofdbeheerder
  • Beveiligingsbeheerder
  • Beveiligingslezer

Deze rollen kunnen worden toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com).
Explorer (en realtime detecties) gebruiken om bedreigingen te analyseren Een van de volgende opties:
  • Hoofdbeheerder
  • Beveiligingsbeheerder
  • Beveiligingslezer

Deze rollen kunnen worden toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com).
Incidenten weergeven (ook wel onderzoeken genoemd)

E-mailberichten toevoegen aan een incident

Een van de volgende opties:
  • Hoofdbeheerder
  • Beveiligingsbeheerder
  • Beveiligingslezer

Deze rollen kunnen worden toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com).
E-mailacties activeren in een incident

Verdachte e-mailberichten zoeken en verwijderen

Een van de volgende opties:
  • Hoofdbeheerder
  • Beveiligingsbeheerder plus de rol Zoeken en opschonen

De rollen Globale beheerder en Beveiligingsbeheerder kunnen worden toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com).

De rol Zoeken en opschonen moet worden toegewezen in de Email & samenwerkingsrollen in de Microsoft 36 Defender-portal (https://security.microsoft.com).

Microsoft Defender voor Office 365 Abonnement 2 integreren met Microsoft Defender voor Eindpunt

Microsoft Defender voor Office 365 Abonnement 2 integreren met een SIEM-server

De rol globale beheerder of beveiligingsbeheerder die is toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com).

--- Plus ---

Een geschikte rol die is toegewezen in aanvullende toepassingen (zoals Microsoft Defender-beveiligingscentrum of uw SIEM-server).

Volgende stappen