Onderzoek schadelijke e-mail die is bezorgd in Microsoft 365

• Van toepassing op:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Microsoft 365-organisaties die Microsoft Defender voor Office 365 hebben opgenomen in hun abonnement of die zijn gekocht als een invoegtoepassing, hebben Explorer (ook wel bekend als Threat Explorer) of realtime detecties. Deze functies zijn krachtige, bijna realtime hulpprogramma's waarmee SecOps-teams (Security Operations) bedreigingen kunnen onderzoeken en erop kunnen reageren. Zie Over Bedreigingsverkenner en realtime detecties in Microsoft Defender voor Office 365 voor meer informatie.

Met bedreigingsverkenner en realtimedetecties kunt u activiteiten onderzoeken die personen in uw organisatie in gevaar brengen en actie ondernemen om uw organisatie te beschermen. Bijvoorbeeld:

• Berichten zoeken en verwijderen.
• Identificeer het IP-adres van een kwaadwillende e-mailzender.
• Start een incident voor verder onderzoek.

In dit artikel wordt uitgelegd hoe u Bedreigingsverkenner en realtime detecties gebruikt om schadelijke e-mail te vinden in postvakken van geadresseerden.

Tip

Als u rechtstreeks naar de herstelprocedures wilt gaan, raadpleegt u Schadelijke e-mail herstellen die is bezorgd in Office 365.

Zie de volgende artikelen voor andere e-mailscenario's die gebruikmaken van Threat Explorer en realtimedetecties:

• Opsporing van bedreigingen in Threat Explorer en realtime detecties in Microsoft Defender voor Office 365
• Email beveiliging met Threat Explorer en realtime detecties in Microsoft Defender voor Office 365

Wat moet u weten voordat u begint?

• Threat Explorer is opgenomen in Defender voor Office 365-abonnement 2. Realtime detecties zijn opgenomen in Defender voor Office Abonnement 1:

  • De verschillen tussen bedreigingsverkenner en realtimedetecties worden beschreven in Over bedreigingsverkenner en realtimedetecties in Microsoft Defender voor Office 365.
  • De verschillen tussen Defender voor Office 365 Abonnement 2 en Defender voor Office-abonnement 1 worden beschreven in het Defender voor Office 365 cheatsheet voor abonnement 1 versus abonnement 2.

• Voor filtereigenschappen waarvoor u een of meer beschikbare waarden moet selecteren, heeft het gebruik van de eigenschap in de filtervoorwaarde met alle geselecteerde waarden hetzelfde resultaat als het niet gebruiken van de eigenschap in de filtervoorwaarde.

• Zie Machtigingen en licenties voor Threat Explorer en realtime detecties voor machtigingen en licentievereisten voor Threat Explorer en realtimedetecties.

Verdachte e-mail zoeken die is bezorgd

1. Gebruik een van de volgende stappen om Bedreigingsverkenner of realtime detecties te openen:

   • Threat Explorer: Ga in de Defender-portal op https://security.microsoft.comnaar Email & Security>Explorer. Of, als u rechtstreeks naar de Explorer-pagina wilt gaan, gebruikt https://security.microsoft.com/threatexplorerv3u .
   • Realtime-detecties: Ga in de Defender-portal op https://security.microsoft.comnaar Email &Realtime-detectiesvan beveiliging>. Of gebruik https://security.microsoft.com/realtimereportsv3om rechtstreeks naar de pagina Realtime detecties te gaan.

2. Selecteer op de pagina Explorer of Realtime detecties een geschikte weergave:

   • Bedreigingsverkenner: controleer of de weergave Alle e-mail is geselecteerd.
   • Realtime detecties: controleer of de weergave Malware is geselecteerd of selecteer de weergave Phish.

3. Selecteer het datum-/tijdbereik. De standaardwaarde is gisteren en vandaag.

   

4. Creatie een of meer filtervoorwaarden met behulp van sommige of alle van de volgende doeleigenschappen en waarden. Zie Eigenschappenfilters in Bedreigingsverkenner en realtime detecties voor volledige instructies. Bijvoorbeeld:

   • Bezorgingsactie: de actie die wordt uitgevoerd op een e-mail vanwege bestaande beleidsregels of detecties. Nuttige waarden zijn:

     • Geleverd: Email bezorgd in het Postvak IN van de gebruiker of een andere map waar de gebruiker toegang heeft tot het bericht.
     • Ongewenste e-mail: Email bezorgd in de map Ongewenste Email of verwijderde items van de gebruiker, waar de gebruiker toegang heeft tot het bericht.
     • Geblokkeerd: Email berichten die in quarantaine zijn geplaatst, die niet zijn bezorgd of die zijn verwijderd.

   • Oorspronkelijke bezorgingslocatie: waar e-mail ging vóór automatische of handmatige postbezorgingsacties door het systeem of beheerders (bijvoorbeeld ZAP of verplaatst naar quarantaine). Nuttige waarden zijn:

     • Map Verwijderde items
     • Verwijderd: het bericht is ergens in de e-mailstroom verloren gegaan.
     • Mislukt: het bericht kan het postvak niet bereiken.
     • Postvak IN/map
     • Map Ongewenste e-mail
     • On-premises/extern: het postvak bestaat niet in de Microsoft 365-organisatie.
     • Quarantaine
     • Onbekend: na bezorging is het bericht met een regel voor Postvak IN bijvoorbeeld verplaatst naar een standaardmap (bijvoorbeeld Concept of Archief) in plaats van naar de map Postvak IN of Ongewenste e-mail Email.

   • Locatie van laatste bezorging: waar e-mail is terechtgekomen na automatische of handmatige postbezorgingsacties door het systeem of de beheerders. Dezelfde waarden zijn beschikbaar op de oorspronkelijke leveringslocatie.

   • Directionaliteit: Geldige waarden zijn:

     • Inkomende
     • Intra-organisatie
     • Uitgaand

     Deze informatie kan helpen bij het identificeren van adresvervalsing en imitatie. Berichten van afzenders van interne domeinen moeten bijvoorbeeld intra-org zijn, niet binnenkomend.

   • Aanvullende actie: Geldige waarden zijn:

     • Geautomatiseerd herstel (Defender voor Office 365 Plan 2)
     • Dynamische bezorging: Zie Dynamische levering in beleid voor veilige bijlagen voor meer informatie.
     • Handmatig herstel
     • Geen
     • Release in quarantaine
     • Opnieuw verwerkt: het bericht is met terugwerkende kracht als goed geïdentificeerd.
     • ZAP: Zie Zero-hour auto purge (ZAP) in Microsoft Defender voor Office 365 voor meer informatie.

   • Primaire onderdrukking: als organisatie- of gebruikersinstellingen berichten toestaan of blokkeren die anders zouden zijn geblokkeerd of toegestaan. Waarden zijn:

     • Toegestaan door organisatiebeleid
     • Toegestaan door gebruikersbeleid
     • Geblokkeerd door organisatiebeleid
     • Geblokkeerd door gebruikersbeleid
     • Geen

     Deze categorieën worden verder verfijnd door de eigenschap Primaire onderdrukkingsbron .

   • Primaire onderdrukkingsbron Het type organisatiebeleid of gebruikersinstelling waarmee berichten zijn toegestaan of geblokkeerd die anders zouden zijn geblokkeerd of toegestaan. Waarden zijn:

     • Filter van derden
     • Beheer geïnitieerde tijdreizen
     • Antimalwarebeleid blokkeren op bestandstype: Algemene bijlagen filteren in antimalwarebeleid
     • Instellingen voor antispambeleid
     • Verbindingsbeleid: verbindingsfilters configureren
     • Exchange-transportregel (e-mailstroomregel)
     • Exclusieve modus (onderdrukking door gebruiker): de instelling Alleen e-mail vertrouwen van adressen in mijn lijst met veilige afzenders en domeinen en de instelling Veilige adressenlijsten in de safelistverzameling in een postvak.
     • Filteren overgeslagen vanwege on-premises organisatie
     • IP-regiofilter van beleid: Het filter Uit deze landen in antispambeleid.
     • Taalfilter van beleid: het filter Bevat specifieke talen in antispambeleid.
     • Phishingsimulatie: phishingsimulaties van derden configureren in het geavanceerde leveringsbeleid
     • Release in quarantaine: e-mail in quarantaine vrijgeven
     • SecOps-postvak: SecOps-postvakken configureren in het geavanceerde leveringsbeleid
     • Lijst met adressen van afzenders (Beheer onderdrukking): de lijst met toegestane afzenders of de lijst met geblokkeerde afzenders in antispambeleid.
     • Lijst met adressen van afzenders (gebruiker overschrijven):e-mailadressen van afzenders in de lijst Geblokkeerde afzenders in de safelistverzameling in een postvak.
     • Lijst met afzenderdomeinen (Beheer Onderdrukking): de lijst met toegestane domeinen of geblokkeerde domeinen in antispambeleid.
     • Lijst met afzenderdomeinen (gebruiker overschrijven): afzenderdomeinen in de lijst Geblokkeerde afzenders in de safelist-verzameling in een postvak.
     • Bestandsblok voor toestaan/blokkeren van tenant: Creatie vermeldingen voor bestanden blokkeren
     • E-mailadresblok van afzender van tenant toestaan/blokkeren: Creatie vermeldingen voor domeinen en e-mailadressen blokkeren
     • Blokkering van adresvervalsing van tenant toestaan/blokkeren: Creatie vermeldingen blokkeren voor vervalste afzenders
     • URL-blok voor toestaan/blokkeren van tenants: Creatie vermeldingen voor URL's blokkeren
     • Lijst met vertrouwde contactpersonen (gebruiker overschrijven): de instelling E-mail van mijn contactpersonen vertrouwen in de safelist-verzameling in een postvak.
     • Bestandsblok voor toestaan/blokkeren van tenant: Creatie vermeldingen voor bestanden blokkeren
     • Vertrouwd domein (door gebruiker overschrijven):afzenderdomeinen in de lijst Veilige afzenders in de safelist-verzameling in een postvak.
     • Vertrouwde geadresseerde (door gebruiker overschrijven):e-mailadressen of domeinen van geadresseerden in de lijst Veilige geadresseerden in de verzameling veilige lijsten in een postvak.
     • Alleen vertrouwde afzenders (door gebruiker overschrijven): Alleen veilige Lijsten: alleen e-mail van personen of domeinen in uw lijst met veilige afzenders of veilige geadresseerden wordt bezorgd in uw Postvak IN in de verzameling veilige lijsten in een postvak.

   • Bron overschrijven: dezelfde beschikbare waarden als primaire onderdrukkingsbron.

     Tip

     Op het tabblad Email (weergave) in het detailgebied van de weergaven Alle e-mail, Malware en Phish hebben de bijbehorende onderdrukkingskolommen de naam Systeemoverschrijvingen en Systeemoverschrijvingen bron.

   • URL-bedreiging: geldige waarden zijn:

     • Malware
     • Phishing
     • Spam

5. Wanneer u klaar bent met het configureren van datum/tijd en eigenschappenfilters, selecteert u Vernieuwen.

Het tabblad Email (weergave) in het detailgebied van de weergave Alle e-mail, Malware of Phish bevat de details die u nodig hebt om verdachte e-mail te onderzoeken.

Gebruik bijvoorbeeld de kolommen Bezorgingsactie, Oorspronkelijke bezorgingslocatie en Laatste bezorgingslocatie op het tabblad Email (weergave) om een volledig beeld te krijgen van waar de betrokken berichten zijn gegaan. De waarden zijn uitgelegd in stap 4.

Gebruik Exporteren om selectief maximaal 200.000 gefilterde of ongefilterde resultaten naar een CSV-bestand te exporteren.

Schadelijke e-mail herstellen die is bezorgd

Nadat u de schadelijke e-mailberichten hebt geïdentificeerd die zijn bezorgd, kunt u deze verwijderen uit postvakken van geadresseerden. Zie Schadelijke e-mail herstellen die is bezorgd in Microsoft 365 voor instructies.

Verwante artikelen

Schadelijke e-mail herstellen die is bezorgd in Office 365

Microsoft Defender voor Office 365

Rapporten voor Defender voor Office 365 weergeven