Verbeteringen in opsporing van bedreigingen in Bedreigingsverkenner

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Als uw organisatie Microsoft Defender voor Office 365 heeft en u beschikt over de benodigde machtigingen, hebt u Bedreigingsverkenner of Realtime-detecties (voorheen Realtime-rapporten- bekijk wat er nieuw is!).

Threat Explorer of realtime detecties helpen uw beveiligingsteam bedreigingen efficiënt te onderzoeken en erop te reageren. Met dit rapport kunt u het volgende doen:

De ervaring voor het opsporen van bedreigingen

Introductie van waarschuwings-id voor Defender voor Office 365-waarschuwingen in Explorer/realtimedetecties

Als u nu vanuit een waarschuwing naar Bedreigingsverkenner navigeert, wordt er een gefilterde weergave in de Explorer geopend, waarbij de weergave wordt gefilterd op waarschuwingsbeleids-id (beleids-id is een unieke id voor een waarschuwingsbeleid). We maken deze integratie relevanter door de waarschuwings-id (zie een voorbeeld van waarschuwings-id hieronder) in Bedreigingsverkenner en realtimedetecties te introduceren, zodat u berichten ziet die relevant zijn voor de specifieke waarschuwing, evenals een aantal e-mailberichten. U kunt ook zien of een bericht deel uitmaakte van een waarschuwing en van dat bericht naar de specifieke waarschuwing navigeren.

Schermopname van filteren op waarschuwings-id.

De gegevensretentie- en zoeklimiet voor proeftenants van Explorer (en realtime detecties) uitbreiden van 7 naar 30 dagen

Als onderdeel van deze wijziging kunt u e-mailgegevens zoeken en filteren gedurende 30 dagen (een toename ten opzichte van de vorige 7 dagen) in Bedreigingsverkenner/realtimedetecties voor zowel Defender voor Office 365 P1- als P2-proeftenant. Dit heeft geen invloed op productietenants voor zowel P1- als P2/E5-klanten, die al beschikken over de 30-daagse mogelijkheden voor het bewaren en zoeken van gegevens.

Bijgewerkte limieten voor het exporteren van records voor Threat Explorer

Als onderdeel van deze update wordt het aantal rijen voor Email records dat kan worden geëxporteerd vanuit Threat Explorer verhoogd van 9990 naar 200.000 records. De set kolommen die momenteel kunnen worden geëxporteerd, blijft hetzelfde, maar het aantal rijen neemt toe ten opzichte van de huidige limiet.

Tags in Bedreigingsverkenner

Opmerking

De functie gebruikerstags bevindt zich in preview, is niet voor iedereen beschikbaar en kan worden gewijzigd. Raadpleeg de Microsoft 365-roadmap voor informatie over het releaseschema.

Gebruikerstags identificeren specifieke groepen gebruikers in Microsoft Defender voor Office 365. Zie Gebruikerstags voor meer informatie over tags, waaronder licenties en configuratie.

In Bedreigingsverkenner ziet u informatie over gebruikerstags in de volgende ervaringen.

Email rasterweergave

De kolom Tags in het e-mailraster bevat alle tags die zijn toegepast op de postvakken van de afzender of ontvanger. Standaard worden systeemtags zoals prioriteitsaccounts als eerste weergegeven.

Schermopname van de filtertags in de rasterweergave van e-mail.

Filteren

U kunt tags als filter gebruiken. Zoek alleen naar prioriteitsaccounts of specifieke scenario's met gebruikerstags. U kunt ook resultaten met bepaalde tags uitsluiten. Combineer deze functionaliteit met andere filters om uw onderzoeksbereik te beperken.

Tags filteren.

Schermopname van tags die niet zijn gefilterd.

Email detail-flyout

Als u de afzonderlijke tags voor afzender en geadresseerde wilt weergeven, selecteert u het onderwerp om de flyout met berichtdetails te openen. Op het tabblad Samenvatting worden de tags afzender en geadresseerde afzonderlijk weergegeven, als ze aanwezig zijn voor een e-mailbericht. De informatie over afzonderlijke tags voor afzender en geadresseerde geldt ook voor geëxporteerde CSV-gegevens, waar u deze details in twee afzonderlijke kolommen kunt zien.

Schermopname van de tags Email Details.

Informatie over tags wordt ook weergegeven in de flyout URL-klikken. Als u deze wilt weergeven, gaat u naar de weergave Phish of All Email en vervolgens naar het tabblad URL's of URL-klikken. Selecteer een afzonderlijke URL-flyout om aanvullende informatie weer te geven over klikken voor die URL, inclusief tags die aan die klik zijn gekoppeld.

Bijgewerkte tijdlijnweergave

Schermopname van de URL-tags.

Meer informatie vindt u in deze video.

Toekomstige verbeteringen in de ervaring voor het opsporen van bedreigingen

Bijgewerkte bedreigingsinformatie voor e-mailberichten

We hebben ons gericht op verbeteringen van platform- en gegevenskwaliteit om de nauwkeurigheid en consistentie van gegevens voor e-mailrecords te verbeteren. Verbeteringen omvatten het samenvoegen van informatie vóór en na bezorging, zoals acties die worden uitgevoerd op een e-mail als onderdeel van het ZAP-proces, in één record. Aanvullende informatie, zoals spambeoordeling, bedreigingen op entiteitsniveau (bijvoorbeeld welke URL schadelijk was) en de meest recente leveringslocaties zijn ook opgenomen.

Na deze updates ziet u één vermelding voor elk bericht, ongeacht de verschillende gebeurtenissen na de bezorging die van invloed zijn op het bericht. Acties kunnen zap, handmatig herstel (dat wil zeggen beheerdersactie), dynamische levering, enzovoort omvatten.

Naast het weergeven van malware- en phishing-bedreigingen, ziet u ook het spamoordeel dat is gekoppeld aan een e-mail. Bekijk in het e-mailbericht alle bedreigingen die aan de e-mail zijn gekoppeld, samen met de bijbehorende detectietechnologieën. Een e-mail kan nul, één of meerdere bedreigingen hebben. U ziet de huidige bedreigingen in de sectie Details van de e-mail-flyout. Voor meerdere bedreigingen (zoals malware en phishing) toont het veld Detectietechnologie de toewijzing van bedreigingsdetectie, de detectietechnologie waarmee de bedreiging is geïdentificeerd.

De set detectietechnologieën bevat nu nieuwe detectiemethoden en technologieën voor spamdetectie. U kunt dezelfde set detectietechnologieën gebruiken om de resultaten te filteren in de verschillende e-mailweergaven (Malware, Phish, All Email).

Opmerking

Beoordelingsanalyse is mogelijk niet noodzakelijkerwijs gekoppeld aan entiteiten. Een e-mailbericht kan bijvoorbeeld worden geclassificeerd als phish of spam, maar er zijn geen URL's die zijn gestempeld met een phishing-/spambeoordeling. Dit komt omdat de filters ook inhoud en andere details voor een e-mail evalueren voordat een oordeel wordt toegewezen.

Bedreigingen in URL's

U kunt nu de specifieke bedreiging voor een URL zien op het tabblad Details van de e-mail-flyout. De bedreiging kan malware, phishing, spam of geen zijn.)

Schermopname van de URL-bedreigingen.

Bijgewerkte tijdlijnweergave (binnenkort)

Schermopname van de bijgewerkte tijdlijnweergave.

De tijdlijnweergave identificeert alle bezorgings- en postbezorgingsgebeurtenissen. Het bevat informatie over de bedreiging die op dat moment is geïdentificeerd voor een subset van deze gebeurtenissen. De tijdlijnweergave bevat ook informatie over aanvullende acties (zoals ZAP of handmatig herstel), samen met het resultaat van die actie. Informatie over tijdlijnweergave omvat:

  • Bron: Bron van de gebeurtenis. Dit kan beheerder/systeem/gebruiker zijn.
  • Gebeurtenis: Bevat gebeurtenissen op het hoogste niveau, zoals de oorspronkelijke levering, handmatig herstel, ZAP, inzendingen en dynamische levering.
  • Actie: De specifieke actie die is uitgevoerd als onderdeel van zap- of beheerdersactie (bijvoorbeeld voorlopig verwijderen).
  • Bedreigingen: Behandelt de bedreigingen (malware, phish, spam) die op dat moment zijn geïdentificeerd.
  • Resultaat/details: Meer informatie over het resultaat van de actie, zoals of deze is uitgevoerd als onderdeel van zap-/beheeractie.

Oorspronkelijke en meest recente leveringslocatie

Momenteel wordt de locatie van de bezorging weergegeven in het e-mailraster en de flyout voor e-mail. Het veld Bezorgingslocatie krijgt de naam Oorspronkelijke bezorgingslocatie. En we introduceren een ander veld, Laatste leveringslocatie.

De oorspronkelijke bezorgingslocatie geeft meer informatie over waar een e-mail in eerste instantie is bezorgd. De meest recente leveringslocatie geeft aan waar een e-mail is terechtgekomen na systeemacties zoals ZAP of beheeracties zoals Verplaatsen naar verwijderde items. De meest recente bezorgingslocatie is bedoeld om beheerders de laatst bekende locatie na de bezorging van het bericht of eventuele systeem-/beheerdersacties te laten weten. Het bevat geen acties van eindgebruikers in het e-mailbericht. Als een gebruiker bijvoorbeeld een bericht heeft verwijderd of het bericht heeft verplaatst naar archiveren/pst, wordt de bezorgingslocatie van het bericht niet bijgewerkt. Maar als een systeemactie de locatie heeft bijgewerkt (bijvoorbeeld ZAP waardoor een e-mailbericht in quarantaine is verplaatst), wordt de laatste leveringslocatie weergegeven als 'quarantaine'.

Schermopname van de bijgewerkte leveringslocaties.

Opmerking

Er zijn enkele gevallen waarin de leveringslocatie en de actie Bezorging kunnen worden weergegeven als 'onbekend':

  • Mogelijk ziet u Bezorgingslocatie als 'bezorgd' en Bezorgingslocatie als 'onbekend' als het bericht is bezorgd, maar een regel voor Postvak IN heeft het bericht verplaatst naar een standaardmap (zoals Concept of Archief) in plaats van naar de map Postvak IN of Ongewenste e-mail Email.

  • De meest recente bezorgingslocatie kan map verwijderde items zijn als een beheerder/systeemactie (zoals ZAP) is geprobeerd, maar het bericht niet is gevonden. Normaal gesproken vindt de actie plaats nadat de gebruiker het bericht heeft verplaatst of verwijderd. In dergelijke gevallen controleert u de kolom Resultaat/details in de tijdlijnweergave. Zoek naar de instructie 'Bericht verplaatst of verwijderd door de gebruiker'.

Schermopname van de leveringslocaties voor de tijdlijn.

Aanvullende acties

Er zijn aanvullende acties toegepast na bezorging van het e-mailbericht. Ze kunnen ZAP, handmatig herstel (actie uitgevoerd door een Beheer zoals voorlopig verwijderen), dynamische bezorging en opnieuw verwerkt (voor een e-mailbericht dat met terugwerkende kracht als goed is gedetecteerd).

Opmerking

Als onderdeel van de wijzigingen die in behandeling zijn, verdwijnt de waarde 'Verwijderd door ZAP' die momenteel wordt weergegeven in het filter Leveringsactie. U hebt een manier om te zoeken naar alle e-mail met de ZAP-poging via Aanvullende acties.

Schermopname van de aanvullende acties in Verkenner.

Systeemoverschrijvingen

Met systeemoverschrijvingen kunt u uitzonderingen maken op de beoogde bezorgingslocatie van een bericht. U overschrijft de leveringslocatie die door het systeem wordt geleverd, op basis van de bedreigingen en andere detecties die door de filterstack zijn geïdentificeerd. Systeemoverschrijvingen kunnen worden ingesteld via tenant- of gebruikersbeleid om het bericht af te leveren, zoals wordt voorgesteld door het beleid. Onderdrukkingen kunnen onbedoelde levering van schadelijke berichten identificeren vanwege hiaten in configuraties, zoals een te breed beleid voor veilige afzenders dat door een gebruiker is ingesteld. Deze onderdrukkingswaarden kunnen zijn:

  • Toegestaan door gebruikersbeleid: een gebruiker maakt beleidsregels op postvakniveau om domeinen of afzenders toe te staan.

  • Geblokkeerd door gebruikersbeleid: een gebruiker maakt beleid op het niveau van het postvak om domeinen of afzenders te blokkeren.

  • Toegestaan door organisatiebeleid: de beveiligingsteams van de organisatie stellen beleidsregels of Exchange-e-mailstroomregels (ook wel transportregels genoemd) in om afzenders en domeinen toe te staan voor gebruikers in hun organisatie. Dit kan voor een set gebruikers of de hele organisatie zijn.

  • Geblokkeerd door organisatiebeleid: de beveiligingsteams van de organisatie stellen beleidsregels of regels voor e-mailstromen in om afzenders, domeinen, berichttalen of bron-IP-adressen voor gebruikers in hun organisatie te blokkeren. Dit kan worden toegepast op een set gebruikers of de hele organisatie.

  • Bestandsextensie geblokkeerd door organisatiebeleid: het beveiligingsteam van een organisatie blokkeert een bestandsnaamextensie via de beleidsinstellingen voor antimalware. Deze waarden worden nu weergegeven in e-maildetails om te helpen bij onderzoeken. Secops-teams kunnen ook de mogelijkheid voor uitgebreide filters gebruiken om te filteren op geblokkeerde bestandsextensies.

Systeemoverschrijvingen in Explorer.

Schermopname van het raster System Overrides in Explorer.

Verbeteringen voor de URL en klikervaring

De verbeteringen omvatten:

  • De volledig geklikte URL weergeven (inclusief queryparameters die deel uitmaken van de URL) in de sectie Klikken van de URL-flyout. Momenteel worden het URL-domein en -pad weergegeven in de titelbalk. We breiden deze informatie uit om de volledige URL weer te geven.

  • Oplossingen voor URL-filters (URL versus URL-domein versus URL-domein en -pad): de updates zijn van invloed op het zoeken naar berichten die een URL-/klikoordeel bevatten. We hebben ondersteuning ingeschakeld voor protocol-agnostische zoekopdrachten, zodat u kunt zoeken naar een URL zonder gebruik te maken van http. Standaard wordt de URL-zoekopdracht toegewezen aan http, tenzij er expliciet een andere waarde is opgegeven. Bijvoorbeeld:

    • Zoeken met en zonder het http:// voorvoegsel in de filtervelden URL, URL-domeinen URL-domein en -pad . De zoekopdrachten moeten dezelfde resultaten weergeven.
    • Zoek naar het https:// voorvoegsel in URL. Wanneer er geen waarde is opgegeven, wordt uitgegaan van het http:// voorvoegsel.
    • / wordt genegeerd aan het begin en einde van de velden URL-pad, URL-domein, URL-domein en pad . / aan het einde van het URL-veld wordt genegeerd.

Phish betrouwbaarheidsniveau

Het phish-betrouwbaarheidsniveau helpt bij het identificeren van de mate van betrouwbaarheid waarmee een e-mail is gecategoriseerd als 'phish'. De twee mogelijke waarden zijn Hoog en Normaal. In de beginfase is dit filter alleen beschikbaar in de phish-weergave van Bedreigingsverkenner.

Phish-betrouwbaarheidsniveau in Explorer.

ZAP-URL-signaal

Het ZAP-URL-signaal wordt doorgaans gebruikt voor ZAP Phish-waarschuwingsscenario's waarbij een e-mail is geïdentificeerd als Phish en na bezorging is verwijderd. Dit signaal verbindt de waarschuwing met de bijbehorende resultaten in Explorer. Het is een van de IOC's voor de waarschuwing.

Om het opsporingsproces te verbeteren, hebben we Threat Explorer en realtime detecties bijgewerkt om de opsporingservaring consistenter te maken. De wijzigingen worden hier beschreven:

Filteren op gebruikerstags

U kunt nu sorteren en filteren op systeem- of aangepaste gebruikerstags om snel het bereik van bedreigingen te begrijpen. Zie Gebruikerstags voor meer informatie.

Belangrijk

Filteren en sorteren op gebruikerstags is momenteel in openbare preview. Deze functionaliteit kan aanzienlijk worden gewijzigd voordat deze commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die erover wordt verstrekt.

Schermopname van de kolom Tags in Verkenner.

Tijdzoneverbeteringen

U ziet de tijdzone voor de e-mailrecords in de portal en voor Geëxporteerde gegevens. Het is zichtbaar in ervaringen zoals Email Grid, flyout details, Email tijdlijn en vergelijkbare e-mailberichten, zodat de tijdzone voor de resultatenset duidelijk is.

Schermopname van de tijdzone Weergeven in Verkenner.

Bijwerken tijdens het vernieuwingsproces

Sommige gebruikers hebben opmerkingen gemaakt over verwarring over automatisch vernieuwen (bijvoorbeeld zodra u de datum wijzigt, de pagina wordt vernieuwd) en handmatig vernieuwen (voor andere filters). Op dezelfde manier leidt het verwijderen van filters tot automatisch vernieuwen. Het wijzigen van filters tijdens het wijzigen van de query kan leiden tot inconsistente zoekervaringen. Om deze problemen op te lossen, gaan we over op een mechanisme voor handmatig filteren.

Vanuit het oogpunt van ervaring kan de gebruiker het verschillende bereik filters toepassen en verwijderen (uit de filterset en datum) en de knop Vernieuwen selecteren om de resultaten te filteren nadat de query is gedefinieerd. De knop Vernieuwen wordt nu ook benadrukt op het scherm. We hebben ook de gerelateerde knopinfo en de productdocumentatie bijgewerkt.

Schermopname van de knop Vernieuwen om resultaten te filteren.

Grafiekanalyse om toe te voegen aan filters

U kunt nu legendawaarden in kaart brengen om ze toe te voegen als filters. Selecteer de knop Vernieuwen om de resultaten te filteren.

Schermopname van de grafieken Inzoomen om te filteren.

Updates van productinformatie

Aanvullende details zijn nu beschikbaar in het product, zoals het totale aantal zoekresultaten in het raster (zie hieronder). We hebben labels, foutberichten en knopinfo verbeterd om meer informatie te bieden over de filters, zoekervaring en resultatenset.

Schermopname van de productinformatie die moet worden bekeken.

Uitgebreide mogelijkheden in Threat Explorer

Belangrijkste doelgebruikers

Vandaag geven we de lijst met de meest gerichte gebruikers weer in de weergave Malware voor e-mailberichten, in de sectie Belangrijkste malwarefamilies . We breiden deze weergave ook uit in de weergaven Phish and All Email. U kunt de vijf belangrijkste doelgebruikers zien, samen met het aantal pogingen voor elke gebruiker voor de bijbehorende weergave. In de weergave Phish ziet u bijvoorbeeld het aantal Phish-pogingen.

U kunt de lijst met doelgebruikers exporteren, tot een limiet van 3000, samen met het aantal pogingen voor offlineanalyse voor elke e-mailweergave. Als u bovendien het aantal pogingen selecteert (bijvoorbeeld 13 pogingen in de onderstaande afbeelding), wordt er een gefilterde weergave geopend in Bedreigingsverkenner, zodat u meer details kunt zien in e-mailberichten en bedreigingen voor die gebruiker.

Schermopname van gebruikers met de hoogste doelgroep.

Regels voor uitwisseling van transport

Als onderdeel van gegevensverrijking kunt u alle verschillende Exchange-transportregels (ETR) zien die op een bericht zijn toegepast. Deze informatie is beschikbaar in de rasterweergave Email. Als u deze wilt weergeven, selecteert u Kolomopties in het raster en vervolgens Exchange-transportregel toevoegen in de kolomopties. Deze wordt ook weergegeven in de flyout Details in de e-mail.

U kunt zowel de GUID als de naam van de transportregels zien die op het bericht zijn toegepast. U kunt de berichten zoeken met behulp van de naam van de transportregel. Dit is een 'Bevat'-zoekopdracht, wat betekent dat u ook gedeeltelijke zoekopdrachten kunt uitvoeren.

Belangrijk

De beschikbaarheid van ETR-zoekopdrachten en namen is afhankelijk van de specifieke rol die aan u is toegewezen. U moet een van de volgende rollen/machtigingen hebben om de ETR-namen en zoekopdrachten weer te geven. Als u geen van deze rollen aan u hebt toegewezen, kunt u de namen van de transportregels niet zien of zoeken naar berichten met behulp van ETR-namen. U kunt echter het ETR-label en de GUID-informatie zien in de Email Details. Andere weergaven van records in Email Rasters, Email flyouts, Filters en Exporteren worden niet beïnvloed.

  • Exo Only - preventie van gegevensverlies: Alle
  • Alleen EXO - O365SupportViewConfig: Alle
  • Microsoft Entra ID of EXO - Security Beheer: Alle
  • Microsoft Entra ID of EXO - Beveiligingslezer: alle
  • Alleen EXO - Transportregels: Alle
  • Alleen EXO - configuratie van View-Only: alle

In het e-mailraster, de flyout details en het geëxporteerde CSV-bestand, worden de ETR's weergegeven met een naam/GUID, zoals hieronder wordt weergegeven.

Schermopname van Exchange-transportregels.

Binnenkomende connectors

Connectors zijn een verzameling instructies waarmee u kunt aanpassen hoe uw e-mail naar en van uw Microsoft 365- of Office 365 organisatie stroomt. Hiermee kunt u eventuele beveiligingsbeperkingen of -besturingselementen toepassen. In Bedreigingsverkenner kunt u nu de connectors bekijken die zijn gerelateerd aan een e-mail en zoeken naar e-mailberichten met behulp van connectornamen.

Het zoeken naar connectors is 'bevat' van aard, wat betekent dat gedeeltelijke zoekopdrachten op trefwoorden ook moeten werken. In de hoofdrasterweergave, de flyout Details en het geëxporteerde CSV-bestand, worden de connectors weergegeven in de indeling Naam/GUID, zoals hier wordt weergegeven:

Schermopname van de connectordetails.

Nieuwe functies in Threat Explorer en realtime detecties

Phishing-e-mailberichten weergeven die zijn verzonden naar geïmiteerde gebruikers en domeinen

Als u phishingpogingen wilt identificeren tegen gebruikers en domeinen die zijn geïmiteerd, moeten gebruikers worden toegevoegd aan de lijst met gebruikers die moeten worden beveiligd. Voor domeinen moeten beheerders organisatiedomeinen inschakelen of een domeinnaam toevoegen aan Domeinen om te beveiligen. De te beveiligen domeinen vindt u op de pagina Antiphishingbeleid in de sectie Imitatie .

Als u phishingberichten wilt bekijken en wilt zoeken naar geïmiteerde gebruikers of domeinen, gebruikt u de Email > Phish-weergave van Explorer.

In dit voorbeeld wordt Bedreigingsverkenner gebruikt.

  1. Kies in de Microsoft Defender portal (https://security.microsoft.com) Bedreigingsbeheerverkenner> (of Realtime detecties).

  2. Kies in het menu Beeld de optie Phish.

    Hier kunt u een geïmiteerd domein of een geïmiteerde gebruiker kiezen.

  3. SELECTEERGeïmiteerd domein en typ vervolgens een beveiligd domein in het tekstvak.

    Zoek bijvoorbeeld naar beveiligde domeinnamen zoals contoso, contoso.com of contoso.com.au.

  4. Selecteer het onderwerp van een bericht op het tabblad > Email tabblad Details om aanvullende imitatie-informatie weer te geven, zoals Geïmiteerd domein/gedetecteerde locatie.

    OF

    Selecteer Geïmiteerde gebruiker en typ het e-mailadres van een beveiligde gebruiker in het tekstvak.

    Tip

    Voor de beste resultaten gebruikt u volledige e-mailadressen om beveiligde gebruikers te zoeken. U vindt uw beveiligde gebruiker sneller en beter als u zoekt naar firstname.lastname@contoso.com, bijvoorbeeld bij het onderzoeken van gebruikersimitatie. Bij het zoeken naar een beveiligd domein wordt gezocht naar het hoofddomein (bijvoorbeeld contoso.com) en de domeinnaam (contoso). Als u zoekt naar het hoofddomein contoso.com , worden zowel imitaties van contoso.com als de domeinnaam contoso geretourneerd.

  5. Selecteer het onderwerp van een bericht onder Email tabblad>Details om aanvullende imitatie-informatie over de gebruiker of het domein en de gedetecteerde locatie weer te geven.

    Schermopname van het detailvenster bedreigingsverkenner voor een beveiligde gebruiker met de detectielocatie en de bedreiging die is gedetecteerd (hier phish imitatie van een gebruiker).

Opmerking

Als u in stap 3 of 5 Detectietechnologie kiest en respectievelijk Imitatiedomein of Imitatiegebruiker selecteert, wordt de informatie op het tabblad Email tabblad>Details over de gebruiker of het domein en de locatie Gedetecteerd alleen weergegeven in de berichten die betrekking hebben op de gebruiker of het domein dat wordt vermeld op de pagina Antiphishingbeleid.

Voorbeeld van e-mailkoptekst en hoofdtekst van e-mail downloaden

U kunt nu een voorbeeld van een e-mailheader bekijken en de hoofdtekst van de e-mail downloaden in Bedreigingsverkenner. Beheerders kunnen gedownloade headers/e-mailberichten analyseren op bedreigingen. Omdat het downloaden van e-mailberichten het risico van blootstelling aan informatie kan opleveren, wordt dit proces beheerd door op rollen gebaseerd toegangsbeheer (RBAC). Een nieuwe rol, Preview, is vereist om de mogelijkheid te verlenen om e-mailberichten te downloaden in de weergave alle e-mailberichten. Het weergeven van de e-mailkoptekst vereist echter geen extra rol (anders dan wat vereist is om berichten in Bedreigingsverkenner weer te geven). Een nieuwe rollengroep maken met de voorbeeldrol:

  1. Selecteer een ingebouwde rollengroep die alleen de preview-rol heeft, zoals Gegevensonderzoeker of eDiscovery Manager.
  2. Selecteer Rolgroep kopiëren.
  3. Kies een naam en beschrijving voor de nieuwe rollengroep en selecteer Volgende.
  4. Wijzig de rollen door zo nodig rollen toe te voegen en te verwijderen, maar de voorbeeldrol te verlaten.
  5. Voeg leden toe en selecteer vervolgens Rolgroep maken.

Explorer en realtime detecties krijgen ook nieuwe velden die een vollediger beeld geven van waar uw e-mailberichten terechtkomen. Deze wijzigingen maken het opsporen van beveiligingsops eenvoudiger. Maar het belangrijkste resultaat is dat u de locatie van probleem-e-mailberichten in één oogopslag kunt kennen.

Hoe gaat dit? De leveringsstatus is nu onderverdeeld in twee kolommen:

  • Bezorgingsactie : status van het e-mailbericht.
  • Bezorgingslocatie : waar het e-mailbericht is gerouteerd.

Bezorgingsactie is de actie die wordt uitgevoerd op een e-mailbericht vanwege bestaande beleidsregels of detecties. Dit zijn de mogelijke acties voor een e-mail:

Geleverd Ongewenste e-mail Geblokkeerd Vervangen
Email is bezorgd in het Postvak IN of de map van een gebruiker en de gebruiker heeft er toegang toe. Email is verzonden naar de map Ongewenste e-mail of Verwijderd van de gebruiker en de gebruiker heeft er toegang toe. E-mailberichten die in quarantaine zijn geplaatst, die zijn mislukt of die zijn verwijderd. Deze e-mails zijn niet toegankelijk voor de gebruiker. Email schadelijke bijlagen zijn vervangen door .txt bestanden die aangeven dat de bijlage schadelijk was.

Dit is wat de gebruiker wel en niet kan zien:

Toegankelijk voor eindgebruikers Niet toegankelijk voor eindgebruikers
Geleverd Geblokkeerd
Ongewenste e-mail Vervangen

Bezorgingslocatie toont de resultaten van beleidsregels en detecties die na de bezorging worden uitgevoerd. Deze is gekoppeld aan de actie Bezorging. Dit zijn de mogelijke waarden:

  • Postvak IN of map: Het e-mailbericht bevindt zich in het Postvak IN of in een map (volgens uw e-mailregels).
  • On-premises of extern: het postvak bestaat niet in de cloud, maar is on-premises.
  • Map Ongewenste e-mail: het e-mailbericht bevindt zich in de map Ongewenste e-mail van een gebruiker.
  • Map Verwijderde items: het e-mailbericht in de map Verwijderde items van een gebruiker.
  • Quarantaine: Het e-mailbericht bevindt zich in quarantaine en niet in het postvak van een gebruiker.
  • Mislukt: het e-mailbericht heeft het postvak niet bereikt.
  • Verwijderd: Het e-mailbericht is ergens in de e-mailstroom verloren gegaan.

Email tijdlijn

De Email tijdlijn is een nieuwe Explorer-functie die de opsporingservaring voor beheerders verbetert. Het vermindert de tijd die wordt besteed aan het controleren van verschillende locaties om de gebeurtenis te begrijpen. Wanneer meerdere gebeurtenissen plaatsvinden op of dicht bij hetzelfde moment dat een e-mail binnenkomt, worden deze gebeurtenissen weergegeven in een tijdlijnweergave. Sommige gebeurtenissen die na de bezorging van uw e-mail plaatsvinden, worden vastgelegd in de kolom Speciale actie . Beheerders kunnen informatie uit de tijdlijn combineren met de speciale actie die is uitgevoerd op de postbezorging van e-mail om inzicht te krijgen in hoe hun beleid werkt, waar de e-mail uiteindelijk is gerouteerd en, in sommige gevallen, wat de uiteindelijke evaluatie was.

Zie Schadelijke e-mail onderzoeken en herstellen die is bezorgd in Office 365 voor meer informatie.

URL-klikgegevens exporteren

U kunt nu rapporten voor URL-klikken exporteren naar Microsoft Excel om hun netwerkbericht-id weer te geven en op verdict te klikken. Dit helpt om uit te leggen waar uw URL-klikverkeer vandaan komt. Dit werkt als volgt: Volg deze keten in Bedreigingsbeheer op de Office 365 snelstartbalk:

Explorer>Phish>Klikken>Top-URL's of URL Top Clicks> selecteer een record om de URL-flyout te openen.

Wanneer u een URL in de lijst selecteert, ziet u een nieuwe knop Exporteren in het fly-outvenster. Gebruik deze knop om gegevens te verplaatsen naar een Excel-spreadsheet voor eenvoudigere rapportage.

Volg dit pad om naar dezelfde locatie in het rapport Realtime detecties te gaan:

Explorer>Realtime detecties>Phish>Urls>Bovenste URL's of bovenste klikken> Selecteer een record om de URL-flyout > te openen en navigeer naar het tabblad Klikken .

Tip

De netwerkbericht-id wijst de klik weer toe aan specifieke e-mails wanneer u op de id zoekt via Explorer of gekoppelde hulpprogramma's van derden. Dergelijke zoekopdrachten identificeren het e-mailbericht dat is gekoppeld aan een klikresultaat. De gecorreleerde netwerkbericht-id maakt een snellere en krachtigere analyse mogelijk.

Schermopname van het tabblad Klikken in Verkenner.

Zie malware gedetecteerd in e-mail door technologie

Stel dat u malware wilt zien die is gedetecteerd in e-mail, gesorteerd op Microsoft 365-technologie. Gebruik hiervoor de weergave Malware van Explorer (of realtime detecties).

  1. Kies in de Microsoft Defender portal (https://security.microsoft.com) Bedreigingsbeheerverkenner> (of Realtime detecties). (In dit voorbeeld wordt Explorer gebruikt.)

  2. Kies malware in het menu Beeld.

    Schermopname van het menu Beeld voor Explorer.

  3. Klik op Afzender en kies vervolgensBasisdetectietechnologie>.

    Uw detectietechnologieën zijn nu beschikbaar als filters voor het rapport.

    Schermopname van de detectietechnologieën voor malware.

  4. Kies een optie. Selecteer vervolgens de knop Vernieuwen om dat filter toe te passen.

    Schermopname van de geselecteerde detectietechnologie.

Het rapport wordt vernieuwd om de resultaten weer te geven die malware in e-mail heeft gedetecteerd, met behulp van de technologieoptie die u hebt geselecteerd. Hier kunt u verdere analyses uitvoeren.

Phishing-URL weergeven en op beoordelingsgegevens klikken

Stel dat u phishingpogingen wilt zien via URL's in e-mail, inclusief een lijst met URL's die zijn toegestaan, geblokkeerd en overschreven. Als u URL's wilt identificeren waarop is geklikt, moet veilige koppelingen worden geconfigureerd. Zorg ervoor dat u beleidsregels voor veilige koppelingen instelt voor time-of-click-beveiliging en het vastleggen van klikbeoordelingen door Veilige koppelingen.

Als u phish-URL's in berichten wilt bekijken en op URL's in phish-berichten wilt klikken, gebruikt u de phish-weergave van Explorer of realtime detecties.

  1. Kies in de Microsoft Defender portal (https://security.microsoft.com) Bedreigingsbeheerverkenner> (of Realtime detecties). (In dit voorbeeld wordt Explorer gebruikt.)

  2. Kies Email>Phish in het menu Beeld.

    Schermopname van het menu Beeld voor Explorer in phishing-context.

  3. Klik op Afzender en kies vervolgens URL's>Klik op oordeel.

  4. Selecteer een of meer opties, zoals Geblokkeerd en Blokkeren overschreven, en selecteer vervolgens de knop Vernieuwen op dezelfde regel als de opties om dat filter toe te passen. (Vernieuw uw browservenster niet.)

    De URL's en klik op vonnissen

    Het rapport wordt vernieuwd om twee verschillende URL-tabellen weer te geven op het tabblad URL onder het rapport:

    • De belangrijkste URL's zijn de URL's in de berichten waarop u hebt gefilterd en de e-mailbezorgingsactie telt voor elke URL. In de weergave Phish-e-mail bevat deze lijst doorgaans legitieme URL's. Aanvallers nemen een combinatie van goede en slechte URL's op in hun berichten om ze bezorgd te krijgen, maar ze zorgen ervoor dat de schadelijke koppelingen er interessanter uitzien. De tabel met URL's wordt gesorteerd op totaal aantal e-mail, maar deze kolom is verborgen om de weergave te vereenvoudigen.

    • De belangrijkste klikken zijn de ingepakte URL's met veilige koppelingen waarop is geklikt, gesorteerd op totaal aantal klikken. Deze kolom wordt ook niet weergegeven om de weergave te vereenvoudigen. Totale aantallen per kolom geven het aantal veilige koppelingen aan voor elke url waarop wordt geklikt. In de weergave Phish-e-mail zijn dit meestal verdachte of schadelijke URL's. Maar de weergave kan URL's bevatten die geen bedreigingen zijn, maar die zich in phishingberichten bevinden. URL-klikken op niet-ingepakte koppelingen worden hier niet weergegeven.

    In de twee URL-tabellen worden de belangrijkste URL's in phishing-e-mailberichten weergegeven op bezorgingsactie en locatie. In de tabellen worden URL-klikken weergegeven die ondanks een waarschuwing zijn geblokkeerd of bezocht, zodat u kunt zien welke potentiële ongeldige koppelingen aan gebruikers zijn gepresenteerd en waarop de gebruiker heeft geklikt. Hier kunt u verdere analyses uitvoeren. Onder de grafiek ziet u bijvoorbeeld de bovenste URL's in e-mailberichten die zijn geblokkeerd in de omgeving van uw organisatie.

    De Explorer-URL's die zijn geblokkeerd

    Selecteer een URL om gedetailleerdere informatie weer te geven.

    Opmerking

    In het dialoogvenster URL-flyout wordt het filteren op e-mailberichten verwijderd om de volledige weergave van de blootstelling van de URL in uw omgeving weer te geven. Hiermee kunt u filteren op e-mailberichten waarover u zich zorgen maakt in Explorer, specifieke URL's vinden die potentiële bedreigingen zijn en vervolgens uw inzicht in de URL-blootstelling in uw omgeving uitbreiden (via het dialoogvenster URL-details) zonder DAT u URL-filters hoeft toe te voegen aan de Explorer-weergave zelf.

Interpretatie van klikbeoordelingen

In de flyouts voor Email of URL's, topklikken en in onze filterervaringen ziet u verschillende waarden voor klikoordeel:

  • Geen: Kan het oordeel voor de URL niet vastleggen. De gebruiker heeft mogelijk door de URL geklikt.
  • Toegestaan: De gebruiker mag naar de URL navigeren.
  • Geblokkeerd: De gebruiker kan niet naar de URL navigeren.
  • Uitspraak in behandeling: De gebruiker heeft de pagina ontplofing in behandeling gekregen.
  • Geblokkeerd overschreven: De gebruiker kan niet rechtstreeks naar de URL navigeren. Maar de gebruiker overroed het blok om naar de URL te navigeren.
  • Uitspraak in behandeling omzeild: De gebruiker heeft de ontplofpagina gekregen. Maar de gebruiker overroed het bericht om toegang te krijgen tot de URL.
  • Fout: De gebruiker heeft de foutpagina te zien gekregen of er is een fout opgetreden bij het vastleggen van het oordeel.
  • Mislukking: Er is een onbekende uitzondering opgetreden tijdens het vastleggen van het vonnis. De gebruiker heeft mogelijk door de URL geklikt.

E-mailberichten controleren die door gebruikers zijn gerapporteerd

Stel dat u e-mailberichten wilt zien die gebruikers in uw organisatie hebben gerapporteerd als ongewenste e-mail, geen ongewenste e-mail of phishing via de invoegtoepassingEn microsoft-rapportbericht of phishingrapport. Gebruik dan de weergave Alle e-mail van Explorer (of realtime detecties).

  1. Kies in de Microsoft Defender portal (https://security.microsoft.com) Bedreigingsbeheerverkenner> (of Realtime detecties). (In dit voorbeeld wordt Explorer gebruikt.)

  2. Kies in het menu WeergaveEmail>Submissies.

    Het menu Weergave voor Explorer voor e-mailberichten

  3. Klik op Afzender en kies vervolgensBasisrapporttype>.

  4. Selecteer een optie, zoals Phish, en selecteer vervolgens de knop Vernieuwen .

    De door de gebruiker gerapporteerde phish

Het rapport wordt vernieuwd om gegevens weer te geven over e-mailberichten die personen in uw organisatie hebben gerapporteerd als een phishingpoging. U kunt deze informatie gebruiken om verdere analyses uit te voeren en, indien nodig, uw antiphishingbeleid in Microsoft Defender voor Office 365 aan te passen.

Geautomatiseerd onderzoek en antwoord starten

Opmerking

Geautomatiseerde onderzoeks- en reactiemogelijkheden zijn beschikbaar in Microsoft Defender voor Office 365 Abonnement 2 en Office 365 E5.

Geautomatiseerd onderzoek en reactie kan uw beveiligingsteam tijd en moeite besparen die wordt besteed aan het onderzoeken en beperken van cyberaanvallen. Naast het configureren van waarschuwingen die een beveiligingsplaybook kunnen activeren, kunt u een geautomatiseerd onderzoek- en antwoordproces starten vanuit een weergave in Explorer. Zie Voorbeeld: een beveiligingsbeheerder activeert een onderzoek vanuit Explorer voor meer informatie.

Meer manieren om Explorer en realtime detecties te gebruiken

Naast de scenario's die in dit artikel worden beschreven, hebt u nog veel meer rapportageopties beschikbaar met Explorer (of realtime detecties). Zie de volgende artikelen:

Vereiste licenties en machtigingen

U moet Microsoft Defender voor Office 365 hebben om Explorer of realtime detecties te kunnen gebruiken.

  • Explorer is opgenomen in Defender voor Office 365 Abonnement 2.
  • Het realtime detectierapport is opgenomen in Defender voor Office 365 Plan 1.
  • Plan om licenties toe te wijzen voor alle gebruikers die moeten worden beveiligd door Defender voor Office 365. Explorer en realtime detecties tonen detectiegegevens voor gelicentieerde gebruikers.

Als u Explorer- of realtimedetecties wilt weergeven en gebruiken, moet u over de juiste machtigingen beschikken, zoals machtigingen die zijn verleend aan een beveiligingsbeheerder of beveiligingslezer.

  • Voor de Microsoft Defender-portal moet een van de volgende rollen zijn toegewezen:

    • Organisatiebeheer
    • Beveiligingsbeheerder (dit kan worden toegewezen in de Microsoft Entra-beheercentrum (https://aad.portal.azure.com)
    • Beveiligingslezer
  • Voor Exchange Online moet een van de volgende rollen zijn toegewezen in het Exchange-beheercentrum (EAC) of Exchange Online PowerShell:

    • Organisatiebeheer
    • View-Only Organisatiebeheer
    • geadresseerden View-Only
    • Compliancebeheer

Zie de volgende resources voor meer informatie over rollen en machtigingen:

Verschillen tussen Threat Explorer en realtime detecties

  • Het rapport Realtime detecties is beschikbaar in Defender voor Office 365 Abonnement 1. Threat Explorer is beschikbaar in Defender voor Office 365 Abonnement 2.
  • Met het rapport Realtime detecties kunt u detecties in realtime bekijken. Bedreigingsverkenner doet dit ook, maar biedt ook aanvullende informatie voor een bepaalde aanval.
  • Een weergave Alle e-mail is beschikbaar in Bedreigingsverkenner, maar niet in het realtime detectierapport.
  • Meer filtermogelijkheden en beschikbare acties zijn opgenomen in Bedreigingsverkenner. Zie Microsoft Defender voor Office 365 Servicebeschrijving: beschikbaarheid van functies in Defender voor Office 365 abonnementen voor meer informatie.

E-mailberichten onderzoeken met de Email-entiteitspagina