Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
U kunt waarschuwingsbeleid en het dashboard waarschuwingen in de Microsoft Defender-portal gebruiken om waarschuwingsbeleid te maken en vervolgens de waarschuwingen weer te geven die worden gegenereerd wanneer gebruikers activiteiten uitvoeren die voldoen aan de voorwaarden van een waarschuwingsbeleid. Er zijn verschillende standaardwaarschuwingsbeleidsregels waarmee u activiteiten kunt bewaken, zoals het toewijzen van beheerdersbevoegdheden in Exchange Online, malwareaanvallen, phishingcampagnes en ongebruikelijke niveaus van bestandsverwijdering of extern delen.
Tip
Ga naar de sectie Standaardwaarschuwingsbeleid in dit artikel voor een lijst en beschrijving van het beschikbare waarschuwingsbeleid.
Met waarschuwingsbeleid kunt u de waarschuwingen categoriseren die door een beleid worden geactiveerd, het beleid toepassen op alle gebruikers in uw organisatie, een drempelwaarde instellen voor wanneer een waarschuwing wordt geactiveerd en bepalen of u e-mailmeldingen wilt ontvangen wanneer waarschuwingen worden geactiveerd. Er is ook een pagina Waarschuwingen waar u waarschuwingen kunt bekijken en filteren, een waarschuwingsstatus kunt instellen om waarschuwingen te beheren en waarschuwingen vervolgens kunt sluiten nadat u het onderliggende incident hebt opgelost of opgelost.
Opmerking
Waarschuwingsbeleid is beschikbaar in de volgende organisaties:
- Microsoft 365 Enterprise
- Office 365 voor ondernemingen
- Office 365 U.S. Government E1/F1/G1, E3/F3/G3 of E5/G5
Geavanceerde functionaliteit is alleen beschikbaar in de volgende organisaties:
- Microsoft 365 E5/G5
- Microsoft 365 E1/F1/G1 of Microsoft 365 E3/F3/G3 plus een van de volgende invoegtoepassingsabonnementen:
- Abonnement 2 voor Microsoft Defender voor Office 365
- Microsoft Defender Suite
- Microsoft 365 E5 Compliance
- E5 eDiscovery- en audit-invoegtoepassing
Geavanceerde functionaliteit waarvoor Microsoft 365 E5/G5 of een invoegtoepassingsabonnement is vereist, wordt in dit artikel gemarkeerd.
Waarschuwingsbeleid is beschikbaar in Amerikaanse overheidsorganisaties (Office 365 GCC, GCC High en DoD).
Hoe waarschuwingsbeleid werkt
Hier volgt een kort overzicht van de werking van waarschuwingsbeleid en de waarschuwingen die worden geactiveerd wanneer gebruikers- of beheerdersactiviteiten overeenkomen met de voorwaarden van een waarschuwingsbeleid.
Een beheerder in uw organisatie maakt, configureert en schakelt een waarschuwingsbeleid in met behulp van de pagina Waarschuwingsbeleid in de complianceportal of de Microsoft Defender portal. U kunt ook waarschuwingsbeleid maken met behulp van de cmdlet New-ProtectionAlert in Security & Compliance PowerShell.
Als u waarschuwingsbeleid wilt maken, moet u de rol Waarschuwingen beheren of de rol Organisatieconfiguratie in de nalevingsportal of de Defender-portal toegewezen krijgen.
Opmerking
Het duurt tot 24 uur na het maken of bijwerken van een waarschuwingsbeleid voordat waarschuwingen door het beleid kunnen worden geactiveerd. Dit komt doordat het beleid moet worden gesynchroniseerd met de waarschuwingsdetectie-engine.
Een gebruiker voert een activiteit uit die overeenkomt met de voorwaarden van een waarschuwingsbeleid. In het geval van malware-aanvallen activeren geïnfecteerde e-mailberichten die worden verzonden naar gebruikers in uw organisatie een waarschuwing.
Microsoft 365 genereert een waarschuwing die wordt weergegeven op de pagina Waarschuwingen in de Microsoft Defender portal. Als e-mailmeldingen zijn ingeschakeld voor het waarschuwingsbeleid, verzendt Microsoft ook een melding naar een lijst met geadresseerden. De waarschuwingen die een beheerder of andere gebruikers kunnen zien op de pagina Waarschuwingen, worden bepaald door de rollen die aan de gebruiker zijn toegewezen. Zie RBAC-machtigingen vereist voor het weergeven van waarschuwingen voor meer informatie.
Een beheerder beheert waarschuwingen in de Microsoft Defender portal. Het beheren van waarschuwingen bestaat uit het toewijzen van een waarschuwingsstatus om elk onderzoek bij te houden en te beheren.
Instellingen voor waarschuwingsbeleid
Een waarschuwingsbeleid bestaat uit een set regels en voorwaarden die de activiteit van de gebruiker of beheerder definiëren die een waarschuwing genereert, een lijst met gebruikers die de waarschuwing activeren als ze de activiteit uitvoeren en een drempelwaarde die bepaalt hoe vaak de activiteit moet plaatsvinden voordat een waarschuwing wordt geactiveerd. U categoriseert het beleid ook en wijst het een ernstniveau toe. Met deze twee instellingen kunt u waarschuwingsbeleid beheren (en de waarschuwingen die worden geactiveerd wanneer de beleidsvoorwaarden overeenkomen) omdat u op deze instellingen kunt filteren bij het beheren van beleid en het weergeven van waarschuwingen in de Microsoft Defender-portal. U kunt bijvoorbeeld waarschuwingen weergeven die overeenkomen met de voorwaarden uit dezelfde categorie of waarschuwingen met hetzelfde ernstniveau weergeven.
Als u waarschuwingsbeleid wilt weergeven en maken, selecteert u in de Microsoft Defender portal onder Email & samenwerkingde optie Beleid & regels>Waarschuwingsbeleid. U kunt ook rechtstreeks naar https://security.microsoft.com/alertpoliciesgaan.
Opmerking
U moet de rol View-Only Waarschuwingen beheren toegewezen krijgen om waarschuwingsbeleid weer te geven in de Microsoft Defender-portal. U moet de rol Waarschuwingen beheren toegewezen krijgen om waarschuwingsbeleid te maken en te bewerken. Zie RBAC-machtigingen (Unified Role-Based Access Control) toewijzen Microsoft Defender XDR voor meer informatie.
Een waarschuwingsbeleid bestaat uit de volgende instellingen en voorwaarden.
Activiteit die de waarschuwing bijhoudt. U maakt een beleid om een activiteit of in sommige gevallen een paar gerelateerde activiteiten bij te houden, zoals het delen van een bestand met een externe gebruiker door het te delen, toegangsmachtigingen toe te wijzen of een anonieme koppeling te maken. Wanneer een gebruiker de activiteit uitvoert die is gedefinieerd door het beleid, wordt er een waarschuwing geactiveerd op basis van de instellingen voor de waarschuwingsdrempel.
Opmerking
De activiteiten die u kunt bijhouden, zijn afhankelijk van het Office 365 Enterprise of Office 365 plan van de Amerikaanse overheid van uw organisatie. Over het algemeen is voor activiteiten met betrekking tot malwarecampagnes en phishing-aanvallen een E5/G5-abonnement of een E1/F1/G1/G1- of E3/F3/G3-abonnement met een invoegtoepassingsabonnement voor Defender for Office 365 Abonnement 2 vereist.
Activiteitsvoorwaarden. Voor de meeste activiteiten kunt u aanvullende voorwaarden definiëren waaraan moet worden voldaan om een waarschuwing te activeren. Veelvoorkomende voorwaarden zijn onder andere IP-adressen (zodat er een waarschuwing wordt geactiveerd wanneer de gebruiker de activiteit uitvoert op een computer met een specifiek IP-adres of binnen een IP-adresbereik), of er een waarschuwing wordt geactiveerd als een specifieke gebruiker of gebruikers die activiteit uitvoeren en of de activiteit wordt uitgevoerd op een specifieke bestandsnaam of URL. U kunt ook een voorwaarde configureren die een waarschuwing activeert wanneer de activiteit wordt uitgevoerd door een gebruiker in uw organisatie. De beschikbare voorwaarden zijn afhankelijk van de geselecteerde activiteit.
U kunt ook gebruikerstags definiëren als voorwaarde voor een waarschuwingsbeleid. Deze definitie resulteert in de waarschuwingen die door het beleid worden geactiveerd om de context van de betrokken gebruiker op te nemen. U kunt systeemgebruikerstags of aangepaste gebruikerstags gebruiken. Zie Gebruikerstags in Microsoft Defender voor Office 365 voor meer informatie.
Wanneer de waarschuwing wordt geactiveerd. U kunt een instelling configureren die bepaalt hoe vaak een activiteit kan plaatsvinden voordat een waarschuwing wordt geactiveerd. Hiermee kunt u een beleid instellen om een waarschuwing te genereren telkens wanneer een activiteit voldoet aan de beleidsvoorwaarden, wanneer een bepaalde drempelwaarde wordt overschreden of wanneer het optreden van de activiteit die de waarschuwing bijhoudt ongebruikelijk wordt voor uw organisatie.
Als u de instelling selecteert op basis van ongebruikelijke activiteit, stelt Microsoft een basislijnwaarde in die de normale frequentie voor de geselecteerde activiteit definieert. Het duurt maximaal zeven dagen om deze basislijn tot stand te brengen, waarbij geen waarschuwingen worden gegenereerd. Nadat de basislijn is ingesteld, wordt een waarschuwing geactiveerd wanneer de frequentie van de activiteit die wordt bijgehouden door het waarschuwingsbeleid de waarde van de basislijn aanzienlijk overschrijdt. Voor controlegerelateerde activiteiten (zoals bestands- en mapactiviteiten) kunt u een basislijn instellen op basis van één gebruiker of op basis van alle gebruikers in uw organisatie; voor activiteiten met betrekking tot malware kunt u een basislijn instellen op basis van één malwarefamilie, één geadresseerde of alle berichten in uw organisatie.
Opmerking
Voor het configureren van waarschuwingsbeleid op basis van een drempelwaarde of ongebruikelijke activiteit is een E5/G5-abonnement of een E1/F1/G1-of E3/F3/G3-abonnement vereist met een Microsoft Defender voor Office 365 P2-, Microsoft 365 E5 Compliance- of Microsoft 365 eDiscovery- en audit-invoegtoepassingsabonnement. Organisaties met een E1/F1/G1- en E3/F3/G3-abonnement kunnen alleen waarschuwingsbeleid maken wanneer een waarschuwing wordt geactiveerd telkens wanneer een activiteit plaatsvindt.
Waarschuwingscategorie. Als u wilt helpen bij het bijhouden en beheren van de waarschuwingen die door een beleid worden gegenereerd, kunt u een van de volgende categorieën toewijzen aan een beleid.
- Preventie van gegevensverlies
- Informatiebeheer
- E-mailstroom
- Machtigingen
- Risicobeheer
- Anderen
Wanneer een activiteit plaatsvindt die overeenkomt met de voorwaarden van het waarschuwingsbeleid, wordt de gegenereerde waarschuwing gelabeld met de categorie die in deze instelling is gedefinieerd. Hiermee kunt u waarschuwingen met dezelfde categorie-instelling bijhouden en beheren op de pagina Waarschuwingen in de Microsoft Defender portal, omdat u waarschuwingen kunt sorteren en filteren op basis van categorie.
Ernst van waarschuwing. Net als bij de waarschuwingscategorie wijst u een ernstkenmerk (Laag, Gemiddeld, Hoog of Informatief) toe aan waarschuwingsbeleid. Net als bij de waarschuwingscategorie wordt de gegenereerde waarschuwing, wanneer een activiteit plaatsvindt die overeenkomt met de voorwaarden van het waarschuwingsbeleid, getagd met hetzelfde ernstniveau dat is ingesteld voor het waarschuwingsbeleid. Ook hiermee kunt u waarschuwingen met dezelfde ernst-instelling bijhouden en beheren op de pagina Waarschuwingen . U kunt bijvoorbeeld de lijst met waarschuwingen filteren zodat alleen waarschuwingen met een hoge ernst worden weergegeven.
Tip
Wanneer u een waarschuwingsbeleid instelt, kunt u overwegen een hogere ernst toe te wijzen aan activiteiten die kunnen leiden tot ernstige negatieve gevolgen, zoals detectie van malware na levering aan gebruikers, het bekijken van gevoelige of geclassificeerde gegevens, het delen van gegevens met externe gebruikers of andere activiteiten die kunnen leiden tot gegevensverlies of beveiligingsrisico's. Dit kan u helpen bij het prioriteren van waarschuwingen en de acties die u onderneemt om de onderliggende oorzaken te onderzoeken en op te lossen.
Geautomatiseerd onderzoek. Sommige waarschuwingen activeren geautomatiseerde onderzoeken om potentiële bedreigingen en risico's te identificeren die moeten worden hersteld of gelimiteerd. In de meeste gevallen worden deze waarschuwingen geactiveerd door detectie van schadelijke e-mailberichten of activiteiten, maar in sommige gevallen worden de waarschuwingen geactiveerd door acties van de beheerder in de beveiligingsportal. Zie Geautomatiseerd onderzoek en respons (AIR) in Microsoft Defender voor Office 365 voor meer informatie over geautomatiseerde onderzoeken.
Email meldingen. U kunt het beleid zo instellen dat e-mailmeldingen worden verzonden (of niet verzonden) naar een lijst met gebruikers wanneer een waarschuwing wordt geactiveerd. U kunt ook een dagelijkse meldingslimiet instellen, zodat wanneer het maximum aantal meldingen is bereikt, er gedurende die dag geen meldingen meer worden verzonden voor de waarschuwing. Naast e-mailmeldingen kunnen u of andere beheerders de waarschuwingen bekijken die door een beleid worden geactiveerd op de pagina Waarschuwingen . Overweeg e-mailmeldingen in te schakelen voor waarschuwingsbeleid van een specifieke categorie of met een instelling met een hogere ernst.
Standaardwaarschuwingsbeleid
Microsoft biedt ingebouwd waarschuwingsbeleid dat helpt bij het identificeren van misbruik van Exchange-beheerdersmachtigingen, malwareactiviteit, mogelijke externe en interne bedreigingen en risico's voor informatiebeheer. Op de pagina Waarschuwingsbeleid staan de namen van deze ingebouwde beleidsregels vet en wordt het beleidstype gedefinieerd als Systeem. Deze beleidsregels zijn standaard ingeschakeld. U kunt dit beleid uitschakelen (of weer inschakelen), een lijst met geadresseerden instellen waarnaar e-mailmeldingen kunnen worden verzonden en een dagelijkse meldingslimiet instellen. De andere instellingen voor dit beleid kunnen niet worden bewerkt.
In de volgende tabellen worden de beschikbare standaardwaarschuwingsbeleidsregels en de categorie waaraan elk beleid is toegewezen, beschreven. De categorie wordt gebruikt om te bepalen welke waarschuwingen een gebruiker kan bekijken op de pagina Waarschuwingen. Zie RBAC-machtigingen vereist voor het weergeven van waarschuwingen voor meer informatie.
De tabellen geven ook de Office 365 Enterprise en Office 365 amerikaanse overheidsplan aan dat voor elk plan is vereist. Sommige standaardwaarschuwingsbeleidsregels zijn beschikbaar als uw organisatie naast een E1/F1/G1- of E3/F3/G3-abonnement het juiste invoegtoepassingsabonnement heeft.
Opmerking
De ongebruikelijke activiteit die door sommige ingebouwde beleidsregels wordt bewaakt, is gebaseerd op hetzelfde proces als de instelling voor de waarschuwingsdrempel die eerder is beschreven. Microsoft stelt een basislijnwaarde vast die de normale frequentie voor 'gebruikelijke' activiteiten definieert. Waarschuwingen worden vervolgens geactiveerd wanneer de frequentie van activiteiten die worden bijgehouden door het ingebouwde waarschuwingsbeleid aanzienlijk hoger is dan de basislijnwaarde.
Waarschuwingsbeleid voor informatiebeheer
Opmerking
Het waarschuwingsbeleid in deze sectie wordt afgeschaft op basis van feedback van klanten als fout-positieven. Als u de functionaliteit van dit waarschuwingsbeleid wilt behouden, kunt u aangepast waarschuwingsbeleid maken met dezelfde instellingen.
| Naam | Beschrijving | Ernst | Geautomatiseerd onderzoek | Abonnement |
|---|---|---|---|---|
| Ongebruikelijk volume van extern delen van bestanden | Genereert een waarschuwing wanneer een ongebruikelijk groot aantal bestanden in SharePoint of OneDrive wordt gedeeld met gebruikers buiten uw organisatie. | Gemiddeld | Nee | E5/G5 of Defender for Office 365 Abonnement 2-invoegtoepassingsabonnement. |
Waarschuwingsbeleid voor e-mailstromen
| Naam | Beschrijving | Ernst | Geautomatiseerd onderzoek | Vereist abonnement |
|---|---|---|---|---|
| Berichten zijn vertraagd | Genereert een waarschuwing wanneer Microsoft geen e-mailberichten kan bezorgen bij uw on-premises organisatie of een partnerserver met behulp van een connector. Wanneer dit gebeurt, wordt het bericht in de wachtrij geplaatst in Office 365. Deze waarschuwing wordt geactiveerd wanneer er 2000 of meer berichten zijn die meer dan een uur in de wachtrij staan. | Hoog | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Antwoord-all storm gedetecteerd | Deze waarschuwing wordt geactiveerd wanneer er een storm voor allen beantwoorden wordt gedetecteerd en ten minste één antwoord op de e-mailthread is geblokkeerd. Zie het rapport Over stormbeveiliging beantwoorden voor meer informatie. | Hoog | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
Waarschuwingsbeleid voor machtigingen
| Naam | Beschrijving | Ernst | Geautomatiseerd onderzoek | Vereist abonnement |
|---|---|---|---|---|
| Uitbreiding van Exchange-beheerdersbevoegdheden | Genereert een waarschuwing wanneer iemand beheerdersmachtigingen krijgt toegewezen in uw Exchange Online organisatie. Bijvoorbeeld wanneer een gebruiker wordt toegevoegd aan de rollengroep Organisatiebeheer in Exchange Online. | Laag | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
Waarschuwingsbeleid voor bedreigingsbeheer
| Naam | Beschrijving | Ernst | Geautomatiseerd onderzoek | Vereist abonnement |
|---|---|---|---|---|
| Er is een mogelijk schadelijke URL-klik gedetecteerd | Genereert een waarschuwing wanneer een gebruiker die wordt beveiligd met veilige koppelingen in uw organisatie op een schadelijke koppeling klikt. Deze waarschuwing wordt gegenereerd wanneer een gebruiker op een koppeling klikt en deze gebeurtenis een URL-beoordelingswijziging activeert door Microsoft Defender voor Office 365. Het controleert ook op klikken in de afgelopen 48 uur vanaf het moment dat het schadelijke URL-oordeel wordt geïdentificeerd en genereert waarschuwingen voor de klikken die zijn opgetreden in de periode van 48 uur voor die schadelijke koppeling. Deze waarschuwing activeert automatisch onderzoek en antwoord in Defender voor Office 365 Plan 2. Zie Beleid voor veilige koppelingen instellen voor meer informatie over gebeurtenissen die deze waarschuwing activeren. | Hoog | Ja | E5/G5 of Defender for Office 365 Abonnement 2-invoegtoepassingsabonnement. |
| Er is een vermelding in de lijst met toegestane blokkeringen voor tenants gevonden die schadelijk is | Er wordt een waarschuwing gegenereerd wanneer Microsoft vaststelt dat de inzending van de beheerder die overeenkomt met een toegestane vermelding in de lijst Met toestaan/blokkeren van tenants schadelijk is. Deze gebeurtenis wordt geactiveerd zodra de inzending door Microsoft is geanalyseerd. De toegestane vermelding blijft bestaan voor de opgegeven duur. Zie De lijst Tenant toestaan/blokkeren beheren voor meer informatie over gebeurtenissen die deze waarschuwing activeren. |
Informatief | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Een gebruiker heeft doorgeklikt naar een mogelijk schadelijke URL | Genereert een waarschuwing wanneer een gebruiker die wordt beveiligd met veilige koppelingen in uw organisatie op een schadelijke koppeling klikt. Deze gebeurtenis wordt geactiveerd wanneer de gebruiker op een URL klikt (die wordt geïdentificeerd als schadelijk of in behandeling is validatie) en de waarschuwingspagina Voor veilige koppelingen (op basis van het Microsoft 365 voor Bedrijven-beleid van uw organisatie) overschrijft om door te gaan naar de url gehoste pagina/inhoud. Deze waarschuwing activeert automatisch onderzoek en antwoord in Defender voor Office 365 Plan 2. Zie Beleid voor veilige koppelingen instellen voor meer informatie over gebeurtenissen die deze waarschuwing activeren. | Hoog | Ja | E5/G5 of Defender for Office 365 Abonnement 2-invoegtoepassingsabonnement. |
| Beheer inzendingsresultaat voltooid | Genereert een waarschuwing wanneer een Beheer-inzending de herscaning van de ingediende entiteit voltooit. Er wordt een waarschuwing geactiveerd telkens wanneer een resultaat van een nieuwe scan wordt weergegeven vanuit een Beheer Inzending. Deze waarschuwingen zijn bedoeld om u eraan te herinneren de resultaten van eerdere inzendingen te controleren, door de gebruiker gerapporteerde berichten te verzenden om de meest recente beleidscontrole te krijgen en om u te helpen bepalen of het filterbeleid in uw organisatie de beoogde impact heeft. |
Informatief | Nee | E1/F1, E3/F3 of E5 |
| Beheer handmatig onderzoek van e-mail geactiveerd | Genereert een waarschuwing wanneer een beheerder het handmatige onderzoek van een e-mail activeert vanuit Threat Explorer. Zie Voorbeeld: een beveiligingsbeheerder activeert een onderzoek vanuit Threat Explorer voor meer informatie. Deze waarschuwing waarschuwt uw organisatie dat het onderzoek is gestart. De waarschuwing bevat informatie over wie de waarschuwing heeft geactiveerd en bevat een koppeling naar het onderzoek. |
Informatief | Ja | Microsoft 365 Business Premium, de invoegtoepassing Defender for Office 365 Plan 1, E5/G5 of De invoegtoepassing Defender for Office 365 Plan 2. |
| onderzoek naar Beheer geactiveerde gebruikerscompromitt | Hiermee wordt een waarschuwing gegenereerd wanneer een beheerder het handmatige onderzoek van een gebruiker naar een afzender of ontvanger van een e-mail activeert vanuit Threat Explorer. Zie Voorbeeld: een beveiligingsbeheerder activeert een onderzoek vanuit Bedreigingsverkenner voor meer informatie, waarin de gerelateerde handmatige activering van een onderzoek op een e-mail wordt weergegeven. Met deze waarschuwing wordt uw organisatie gewaarschuwd dat het onderzoek naar inbreuk op gebruikers is gestart. De waarschuwing bevat informatie over wie de waarschuwing heeft geactiveerd en bevat een koppeling naar het onderzoek. |
Gemiddeld | Ja | Microsoft 365 Business Premium, de invoegtoepassing Defender for Office 365 Plan 1, E5/G5 of De invoegtoepassing Defender for Office 365 Plan 2. |
| Doorstuur/omleidingsregel maken | Genereert een waarschuwing wanneer iemand in uw organisatie een regel voor Postvak IN maakt voor het postvak waarmee berichten worden doorgestuurd of omgeleid naar een ander e-mailaccount. Met dit beleid worden alleen regels voor Postvak IN bijgehouden die zijn gemaakt met behulp van webversie van Outlook (voorheen bekend als Outlook Web App) of Exchange Online PowerShell. Zie Regels in webversie van Outlook gebruiken om berichten automatisch door te sturen naar een ander account voor meer informatie over het gebruik van regels voor postvak IN om e-mail door te sturen en om te leiden in webversie van Outlook. | Informatief | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| eDiscovery-zoekopdracht is gestart of geëxporteerd | Genereert een waarschuwing wanneer iemand het hulpprogramma Inhoud zoeken gebruikt in de Microsoft Purview-portal. Er wordt een waarschuwing geactiveerd wanneer de volgende inhoudszoekactiviteiten worden uitgevoerd:
Waarschuwingen worden ook geactiveerd wanneer de vorige inhoudszoekactiviteiten worden uitgevoerd in combinatie met een eDiscovery-case. Zie Zoeken naar eDiscovery-activiteiten in het auditlogboek voor meer informatie over inhoudszoekactiviteiten. |
Informatief | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| E-mailberichten met schadelijk bestand verwijderd na bezorging | Genereert een waarschuwing wanneer berichten met een schadelijk bestand worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met behulp van zero-hour auto purge. Dit beleid activeert automatisch onderzoek en reactie in Office 365. Zie Waarschuwingsbeleid voor meer informatie over dit nieuwe beleid. | Informatief | Ja | E1/F1/G1, E3/F3/G3 of E5/G5 |
| E-mailberichten met schadelijke URL verwijderd na bezorging | Genereert een waarschuwing wanneer berichten met een schadelijke URL worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met behulp van zero-hour auto purge. Dit beleid activeert automatisch onderzoek en reactie in Office 365. Zie Waarschuwingsbeleid voor meer informatie over dit nieuwe beleid. | Informatief | Ja | Microsoft 365 Business Premium, de invoegtoepassing Defender for Office 365 Plan 1, E5/G5 of De invoegtoepassing Defender for Office 365 Plan 2. |
| E-mailberichten met malware verwijderd na bezorging | Opmerking: dit waarschuwingsbeleid is vervangen door Email berichten met schadelijke bestanden die na de levering zijn verwijderd. Dit waarschuwingsbeleid verdwijnt uiteindelijk, dus we raden u aan om het uit te schakelen en in plaats daarvan Email berichten te gebruiken die schadelijke bestanden bevatten die na bezorging zijn verwijderd. Zie Waarschuwingsbeleid voor meer informatie. | Informatief | Ja | E5/G5 of Defender for Office 365 Abonnement 2-invoegtoepassingsabonnement. |
| E-mailberichten met schadelijke phishing-URL verwijderd na bezorging | Opmerking: dit waarschuwingsbeleid is vervangen door Email berichten met schadelijke URL's die na levering zijn verwijderd. Dit waarschuwingsbeleid verdwijnt uiteindelijk, dus we raden u aan het uit te schakelen en in plaats daarvan Email berichten met schadelijke URL's te gebruiken die na bezorging zijn verwijderd. Zie Waarschuwingsbeleid voor meer informatie. | Informatief | Ja | Microsoft 365 Business Premium, de invoegtoepassing Defender for Office 365 Plan 1, E5/G5 of De invoegtoepassing Defender for Office 365 Plan 2. |
| Email berichten van een campagne verwijderd na bezorging | Genereert een waarschuwing wanneer berichten die zijn gekoppeld aan een campagne , worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met behulp van zero-hour auto purge. Dit beleid activeert automatisch onderzoek en reactie in Office 365. Zie Waarschuwingsbeleid voor meer informatie over dit nieuwe beleid. | Informatief | Ja | Microsoft 365 Business Premium, de invoegtoepassing Defender for Office 365 Plan 1, E5/G5 of De invoegtoepassing Defender for Office 365 Plan 2. |
| E-mailberichten verwijderd na bezorging | Genereert een waarschuwing wanneer schadelijke berichten die geen schadelijke entiteit (URL of bestand) bevatten of die zijn gekoppeld aan een campagne, worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met behulp van zero-hour auto purge. Dit beleid activeert automatisch onderzoek en reactie in Office 365. Zie Waarschuwingsbeleid voor meer informatie over dit nieuwe beleid. | Informatief | Ja | Microsoft 365 Business Premium, de invoegtoepassing Defender for Office 365 Plan 1, E5/G5 of De invoegtoepassing Defender for Office 365 Plan 2. |
| Email gerapporteerd door de gebruiker als ongewenste e-mail | Genereert een waarschuwing wanneer gebruikers in uw organisatie berichten rapporteren als ongewenste e-mail met behulp van de ingebouwde knop Rapport in Outlook of de invoegtoepassing Rapportbericht. Zie De invoegtoepassing Rapportbericht gebruiken voor meer informatie over de invoegtoepassingen. | Laag | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| E-mail die door de gebruiker is gerapporteerd als malware of phishing | Genereert een waarschuwing wanneer gebruikers in uw organisatie berichten rapporteren als phishing met behulp van de ingebouwde knop Rapport in Outlook of de invoegtoepassing Rapportbericht of Phishing van rapporten. Zie De invoegtoepassing Rapportbericht gebruiken voor meer informatie over de invoegtoepassingen. Voor klanten van Defender voor Office 365 Abonnement 2, E5, G5 activeert deze waarschuwing automatisch onderzoek en antwoord in Defender voor Office 365 Abonnement 2. | Laag | Ja | Microsoft 365 Business Premium, de invoegtoepassing Defender for Office 365 Plan 1, E5/G5 of De invoegtoepassing Defender for Office 365 Plan 2. |
| Email door de gebruiker gerapporteerd als geen ongewenste e-mail | Er wordt een waarschuwing gegenereerd wanneer gebruikers in uw organisatie berichten rapporteren als geen ongewenste e-mail met de ingebouwde knop Rapport in Outlook of de invoegtoepassing Rapportbericht. Zie De invoegtoepassing Rapportbericht gebruiken voor meer informatie over de invoegtoepassingen. | Laag | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Email verzendlimiet is overschreden | Genereert een waarschuwing wanneer iemand in uw organisatie meer e-mail heeft verzonden dan is toegestaan door het uitgaande spambeleid. Dit is meestal een indicatie dat de gebruiker te veel e-mail verzendt of dat het account mogelijk is gecompromitteerd. Als er een waarschuwing wordt gegenereerd door dit waarschuwingsbeleid, is het een goed idee om te controleren of het gebruikersaccount is gecompromitteerd. | Gemiddeld | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Uploaden van exacte gegevensovereenkomst is mislukt | Genereert een waarschuwing wanneer een gebruiker de volgende fout ontvangt bij het uploaden van een type gevoelige informatie op basis van exacte gegevensovereenkomst: Nieuwe gevoelige informatie kan niet worden geüpload. Probeer het later opnieuw. | Hoog | Nee | E5/G5. |
| Formulier geblokkeerd vanwege mogelijke phishingpoging | Genereert een waarschuwing wanneer het systeem verdacht phishinggedrag in een formulier detecteert. | Hoog | Nee | E1, E3/F3 of E5 |
| Formulier gemarkeerd en bevestigd als phishing | Genereert een waarschuwing wanneer een formulier dat is gemaakt in Microsoft Forms van binnen uw organisatie wordt geïdentificeerd als mogelijke phishing via Misbruik melden en wordt bevestigd als phishing door Microsoft. | Hoog | Nee | E1, E3/F3 of E5 |
| Malware niet zapped omdat ZAP is uitgeschakeld | Er wordt een waarschuwing gegenereerd wanneer Microsoft de levering van een malwarebericht in een postvak detecteert omdat Zero-Hour Automatisch opschonen voor Phish-berichten is uitgeschakeld. | Informatief | Nee | E5/G5 of Defender for Office 365 Abonnement 2-invoegtoepassingsabonnement. |
| Berichten met kwaadwillende entiteit die niet zijn verwijderd na bezorging | Genereert een waarschuwing wanneer een bericht met schadelijke inhoud (bestand, URL, campagne, geen entiteit) wordt bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, heeft Microsoft geprobeerd de geïnfecteerde berichten te verwijderen uit Exchange Online postvakken met behulp van zero-hour auto purge, maar het bericht is niet verwijderd vanwege een fout. Aanvullend onderzoek wordt aanbevolen. Dit beleid activeert automatisch onderzoek en reactie in Office 365. | Gemiddeld | Ja | Microsoft 365 Business Premium, de invoegtoepassing Defender for Office 365 Plan 1, E5/G5 of De invoegtoepassing Defender for Office 365 Plan 2. |
| MIP AutoLabel-simulatie voltooid | Genereert een waarschuwing wanneer eenbeleid voor automatisch labelen aan de servicezijde in de simulatiemodus is voltooid. | Laag | Nee | E5/G5. |
| Phish geleverd vanwege een ETR-onderdrukking1 | Er wordt een waarschuwing gegenereerd wanneer Microsoft een Exchange-transportregel (ook wel een e-mailstroomregel genoemd) detecteert die de levering van een phishingbericht met hoge betrouwbaarheid aan een postvak toestaat. Zie Regels voor e-mailstroom (transportregels) in Exchange Online voor meer informatie over Exchange-transportregels (regels voor e-mailstroom). | Informatief | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Phish geleverd vanwege een beleid voor ip-toestemming1 | Er wordt een waarschuwing gegenereerd wanneer Microsoft een beleid voor ip-toestemming detecteert dat de levering van een phishingbericht met hoge betrouwbaarheid aan een postvak toestaat. Zie Het standaardbeleid voor verbindingsfilters configureren - Office 365 voor meer informatie over het beleid voor HET toestaan van IP-adressen (verbindingsfilter). | Informatief | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Phish niet zapped omdat ZAP is uitgeschakeld1 | Er wordt een waarschuwing gegenereerd wanneer Microsoft detecteert dat een phishingbericht met hoge betrouwbaarheid wordt verzonden naar een postvak omdat Zero-Hour Automatisch opschonen voor Phish-berichten is uitgeschakeld. | Informatief | Nee | E5/G5 of Defender for Office 365 Abonnement 2-invoegtoepassingsabonnement. |
| Potentiële activiteit van de natiestaat | Microsoft Threat Intelligence Center heeft een poging gedetecteerd om accounts van uw tenant in gevaar te brengen. | Hoog | Nee | Microsoft 365 Business Premium, de invoegtoepassing Defender for Office 365 Plan 1, E5/G5 of De invoegtoepassing Defender for Office 365 Plan 2. |
| Purview-beleidssimulatie voltooid | Genereert een waarschuwing om beheerders op de hoogte te stellen wanneer de simulatie is voltooid voor een Purview-beleid dat de simulatiemodus ondersteunt. | Laag | Nee | E5/G5 |
| Herstelactie die door de beheerder is uitgevoerd op e-mailberichten of URL's of afzender |
Opmerking: dit waarschuwingsbeleid is vervangen door een beheeractie die is ingediend door een beheerder. Dit waarschuwingsbeleid verdwijnt uiteindelijk. Daarom raden we u aan het beleid uit te schakelen en in plaats daarvan beheeractie te gebruiken die is ingediend door een beheerder . Deze waarschuwing wordt geactiveerd wanneer een beheerder een herstelactie uitvoert voor de geselecteerde entiteit |
Informatief | Ja | Microsoft 365 Business Premium, de invoegtoepassing Defender for Office 365 Plan 1, E5/G5 of De invoegtoepassing Defender for Office 365 Plan 2. |
| Een vermelding in de lijst Met toestaan/blokkeren van tenants is verwijderd | Genereert een waarschuwing wanneer een toegestane vermelding in de lijst voor toestaan/blokkeren van tenants wordt geleerd door het filtersysteem te filteren en te verwijderen. Deze gebeurtenis wordt geactiveerd wanneer de vermelding toestaan voor het betrokken domein of e-mailadres, bestand of URL (entiteit) wordt verwijderd. U hebt de betreffende vermelding toestaan niet meer nodig. Email berichten die de betrokken entiteiten bevatten, worden bezorgd in het Postvak IN als niets anders in het bericht als ongeldig wordt beschouwd. URL's en bestanden zijn toegestaan op het moment van klikken. Zie De lijst Tenant toestaan/blokkeren beheren voor meer informatie over gebeurtenissen die deze waarschuwing activeren. |
Informatief | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Simulatie van beleid voor automatisch labelen van retentie is voltooid | Genereert een waarschuwing wanneer een simulatie van het beleid voor automatisch labelen van retentie is voltooid. | Laag | Nee | E5/G5 |
| Geslaagde exacte gegevensovereenkomst uploaden | Genereert een waarschuwing nadat een gebruiker een type gevoelige informatie op basis van een exacte gegevensovereenkomst heeft geüpload. | Laag | Nee | E5/G5 |
| Verdachte connectoractiviteit | Genereert een waarschuwing wanneer een verdachte activiteit wordt gedetecteerd op een binnenkomende connector in uw organisatie. E-mail is geblokkeerd voor het gebruik van de binnenkomende connector. De beheerder ontvangt een e-mailmelding en een waarschuwing. Deze waarschuwing biedt richtlijnen voor het onderzoeken, herstellen van wijzigingen en het deblokkeren van een beperkte connector. Zie Reageren op een gecompromitteerde connector voor meer informatie over het reageren op deze waarschuwing. | Hoog | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Doorstuuractiviteit verdachte e-mail | Genereert een waarschuwing wanneer iemand in uw organisatie automatisch e-mail naar een verdacht extern account heeft verzonden. Dit is een vroege waarschuwing voor gedrag dat erop kan wijzen dat het account is gecompromitteerd, maar niet ernstig genoeg om de gebruiker te beperken. Hoewel dit zelden voorkomt, kan een waarschuwing die door dit beleid wordt gegenereerd, een anomalie zijn. Het is een goed idee om te controleren of het gebruikersaccount is gecompromitteerd. | Hoog | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Verdachte verzendpatronen voor e-mail gedetecteerd | Genereert een waarschuwing wanneer iemand in uw organisatie verdachte e-mail heeft verzonden en het risico loopt dat het verzenden van e-mail wordt beperkt. Dit is een vroege waarschuwing voor gedrag dat erop kan wijzen dat het account is aangetast, maar niet ernstig genoeg om de gebruiker te beperken. Hoewel dit zelden voorkomt, kan een waarschuwing die door dit beleid wordt gegenereerd, een anomalie zijn. Het is echter een goed idee om te controleren of het gebruikersaccount is gecompromitteerd. | Gemiddeld | Ja | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Verdachte verzendpatronen van tenants waargenomen | Genereert een waarschuwing wanneer er verdachte verzendpatronen zijn waargenomen in uw organisatie, wat ertoe kan leiden dat uw organisatie wordt geblokkeerd voor het verzenden van e-mailberichten. Onderzoek mogelijke gecompromitteerde gebruikers- en beheerdersaccounts, nieuwe connectors of open relays om te voorkomen dat tenant de drempelwaarden overschrijdt. Zie Problemen met e-mailbezorging voor foutcode 5.7.7xx oplossen in Exchange Online voor meer informatie over waarom organisaties worden geblokkeerd. | Hoog | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Teams-bericht dat door de gebruiker is gerapporteerd als beveiligingsrisico | Deze waarschuwing wordt geactiveerd wanneer gebruikers een Teams-bericht rapporteren als een beveiligingsrisico. | Laag | Nee | E5/G5 of Defender for Office 365-invoegtoepassing. |
| Vermelding tenant toestaan/blokkeren staat op het punt te verlopen | Genereert een waarschuwing wanneer een vermelding toestaan of blokkeringsvermelding in de vermelding Tenant toestaan/blokkeren op het punt staat te worden verwijderd. Deze gebeurtenis wordt zeven dagen vóór de vervaldatum geactiveerd, die is gebaseerd op het moment waarop de vermelding is gemaakt of voor het laatst is bijgewerkt. Voor zowel toegestane vermeldingen als blokvermeldingen kunt u de vervaldatum verlengen. Zie De lijst Tenant toestaan/blokkeren beheren voor meer informatie over gebeurtenissen die deze waarschuwing activeren. |
Informatief | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Tenant beperkt tot het verzenden van e-mail | Genereert een waarschuwing wanneer het grootste deel van het e-mailverkeer van uw organisatie als verdacht wordt gedetecteerd en Microsoft het verzenden van e-mail door uw organisatie heeft beperkt. Onderzoek mogelijke gecompromitteerde gebruikers- en beheerdersaccounts, nieuwe connectors of open relays en neem vervolgens contact op met Microsoft Ondersteuning om de blokkering van uw organisatie op te heffen. Zie Problemen met e-mailbezorging voor foutcode 5.7.7xx oplossen in Exchange Online voor meer informatie over waarom organisaties worden geblokkeerd. | Hoog | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Tenant beperkt tot het verzenden van niet-ingerichte e-mail | Genereert een waarschuwing wanneer er te veel e-mail wordt verzonden vanuit niet-geregistreerde domeinen (ook wel niet-ingerichte domeinen genoemd). Office 365 staat een redelijke hoeveelheid e-mail toe van niet-geregistreerde domeinen, maar u moet elk domein configureren dat u gebruikt om e-mail te verzenden als een geaccepteerd domein. Deze waarschuwing geeft aan dat alle gebruikers in de organisatie geen e-mail meer kunnen verzenden. Zie Problemen met e-mailbezorging voor foutcode 5.7.7xx oplossen in Exchange Online voor meer informatie over waarom organisaties worden geblokkeerd. | Hoog | Nee | E1/F1/G1, E3/F3/G3 of E5/G5 |
| Gebruiker heeft gevraagd om een bericht in quarantaine vrij te geven | Genereert een waarschuwing wanneer een gebruiker een release aanvraagt voor een bericht in quarantaine. Als u de release van in quarantaine geplaatste berichten wilt aanvragen, is de machtiging Toestaan dat geadresseerden een bericht mogen aanvragen om te worden vrijgegeven uit quarantaine (PermissionToRequestRelease) vereist in het quarantainebeleid (bijvoorbeeld van de groep Vooraf ingestelde machtigingen voor beperkte toegang ). Zie Ontvangers toestaan om een bericht te laten vrijgegeven van de quarantainemachtiging voor meer informatie. | Informatief | Nee | Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 of E5/G5 |
| Gebruiker kan geen e-mail verzenden | Genereert een waarschuwing wanneer iemand in uw organisatie geen uitgaande e-mail mag verzenden. Deze waarschuwing geeft meestal een gecompromitteerd account aan waarbij de gebruiker wordt vermeld op de pagina Beperkte entiteiten op https://security.microsoft.com/restrictedentities. Zie Geblokkeerde gebruikers verwijderen van de pagina Beperkte entiteiten voor meer informatie over beperkte gebruikers. | Hoog | Ja | Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 of E5/G5 |
| Gebruiker beperkt tot het delen van formulieren en het verzamelen van antwoorden | Genereert een waarschuwing wanneer iemand in uw organisatie wordt beperkt tot het delen van formulieren en het verzamelen van antwoorden met behulp van Microsoft Forms vanwege gedetecteerd gedrag van herhaalde phishingpogingen. | Hoog | Nee | E1, E3/F3 of E5 |
1 Dit waarschuwingsbeleid maakt deel uit van de vervangende functionaliteit voor de Phish die is geleverd vanwege het overschrijven van de tenant of gebruiker en de phish van gebruikersimitatie die is geleverd aan het waarschuwingsbeleid voor Postvak IN/map dat is verwijderd op basis van feedback van gebruikers. Zie Antiphishingbeleid voor meer informatie over antiphishing in Office 365.
Waarschuwingen weergeven
Wanneer een activiteit die wordt uitgevoerd door gebruikers in uw organisatie overeenkomt met de instellingen van een waarschuwingsbeleid, wordt een waarschuwing gegenereerd en weergegeven op de pagina Waarschuwingen in de Microsoft Defender portal. Afhankelijk van de instellingen van een waarschuwingsbeleid wordt er ook een e-mailmelding verzonden naar een lijst met opgegeven gebruikers wanneer een waarschuwing wordt geactiveerd. Voor elke waarschuwing geeft het dashboard op de pagina Waarschuwingen de naam weer van het bijbehorende waarschuwingsbeleid, de ernst en categorie voor de waarschuwing (gedefinieerd in het waarschuwingsbeleid) en het aantal keren dat een activiteit is opgetreden waardoor de waarschuwing is gegenereerd. Deze waarde is gebaseerd op de drempelwaarde-instelling van het waarschuwingsbeleid. Op het dashboard wordt ook de status voor elke waarschuwing weergegeven. Zie Waarschuwingen beheren voor meer informatie over het gebruik van de statuseigenschap voor het beheren van waarschuwingen.
Als u waarschuwingen wilt weergeven, selecteert u incidenten & waarschuwingen>Waarschuwingen in de Microsoft Defender-portal. U kunt ook rechtstreeks naar https://security.microsoft.com/alertsgaan.
U kunt de volgende filters gebruiken om een subset van alle waarschuwingen weer te geven op de pagina Waarschuwingen :
- Ernst: waarschuwingen weergeven waaraan een specifieke ernst is toegewezen.
- Status: waarschuwingen weergeven waaraan een bepaalde status is toegewezen. De standaardstatus is Nieuw. U of andere beheerders kunnen de statuswaarde wijzigen.
- Categorieën: waarschuwingen uit een of meer waarschuwingscategorieën weergeven.
- Service-/detectiebronnen: gebruik dit filter om waarschuwingen weer te geven die worden geactiveerd door waarschuwingsbeleid in een specifieke service of detectiebron. U kunt bijvoorbeeld waarschuwingen weergeven die worden geactiveerd door waarschuwingsbeleid in Microsoft Defender voor Office 365 of Microsoft Defender for Identity.
- Tags:Waarschuwingen van een of meer gebruikerstags weergeven.
- Beleid/beleidsregel: waarschuwingen weergeven die overeenkomen met de instelling van een of meer waarschuwingsbeleidsregels. U kunt ook alle waarschuwingen voor alle waarschuwingsbeleidsregels weergeven.
- Waarschuwingstype: waarschuwingen weergeven die zijn gegenereerd op basis van een specifiek waarschuwingstype.
- Productnaam: waarschuwingen van een specifiek Microsoft-beveiligingsproduct weergeven.
- Abonnements-id voor waarschuwingen: waarschuwingen weergeven die zijn gegenereerd door een specifieke abonnements-id voor waarschuwingen.
- Entiteiten: waarschuwingen weergeven die zijn gekoppeld aan een specifieke entiteit.
- Status van geautomatiseerd onderzoek: waarschuwingen weergeven die een specifieke status voor geautomatiseerd onderzoek hebben.
- Werkruimte: waarschuwingen weergeven die zijn gekoppeld aan een specifieke werkruimte. Dit geldt alleen als u een of meer werkruimten in uw organisatie hebt.
- Gegevensstroom: waarschuwingen weergeven die zijn gekoppeld aan een specifieke gegevensstroom. U kunt bijvoorbeeld waarschuwingen weergeven die zijn gekoppeld aan de Microsoft OneDrive- en Microsoft Exchange-gegevensstromen.
Waarschuwingsaggregatie
Wanneer meerdere gebeurtenissen die overeenkomen met de voorwaarden van een waarschuwingsbeleid met een korte periode plaatsvinden, worden ze toegevoegd aan een bestaande waarschuwing door een proces dat waarschuwingsaggregatie wordt genoemd. Wanneer een gebeurtenis een waarschuwing activeert, wordt de waarschuwing gegenereerd en weergegeven op de pagina Waarschuwingen en wordt er een melding verzonden. Als dezelfde gebeurtenis plaatsvindt binnen het aggregatie-interval, voegt Microsoft 365 details over de nieuwe gebeurtenis toe aan de bestaande waarschuwing in plaats van een nieuwe waarschuwing te activeren. Het doel van waarschuwingsaggregatie is om de 'vermoeidheid' van waarschuwingen te verminderen en u te laten focussen en actie te ondernemen op minder waarschuwingen voor dezelfde gebeurtenis.
De lengte van het aggregatie-interval is afhankelijk van uw Office 365 of Microsoft 365-abonnement.
| Abonnement | Aggregatie Interval |
|---|---|
| Office 365 of Microsoft 365 E5/G5 | 1 minuut |
| Defender voor Office 365 Abonnement 2 | 1 minuut |
| E5 Compliance-invoegtoepassing of E5 Discovery and Audit-invoegtoepassing | 1 minuut |
| Office 365 of Microsoft 365 E1/F1/G1 of E3/F3/G3 | 15 minuten |
| De ingebouwde beveiligingsfuncties voor alle cloudpostvakken of Defender voor Office 365 Abonnement 1 | 15 minuten |
Wanneer gebeurtenissen die overeenkomen met hetzelfde waarschuwingsbeleid plaatsvinden binnen het aggregatie-interval, worden details over de volgende gebeurtenis toegevoegd aan de oorspronkelijke waarschuwing. Voor alle gebeurtenissen wordt informatie over geaggregeerde gebeurtenissen weergegeven in het detailveld en het aantal keren dat een gebeurtenis heeft plaatsgevonden met het aggregatie-interval, wordt weergegeven in het veld activiteit/aantal treffers. U kunt meer informatie over alle exemplaren van samengevoegde gebeurtenissen bekijken door de activiteitenlijst weer te geven.
In de volgende schermopname ziet u een waarschuwing met vier samengevoegde gebeurtenissen. De activiteitenlijst bevat informatie over de vier e-mailberichten die relevant zijn voor de waarschuwing.
Houd rekening met het volgende bij het samenvoegen van waarschuwingen:
Waarschuwingen die worden geactiveerd door een mogelijk schadelijke URL die is gedetecteerd, worden niet samengevoegd. Dit gedrag treedt op omdat waarschuwingen die door dit beleid worden geactiveerd, uniek zijn voor elke gebruiker en e-mailbericht.
Op dit moment geeft de eigenschap Hit count-waarschuwingen niet het aantal samengevoegde gebeurtenissen voor alle waarschuwingsbeleidsregels aan. Voor waarschuwingen die door dit waarschuwingsbeleid worden geactiveerd, kunt u de samengevoegde gebeurtenissen bekijken door te klikken op Berichtenlijst weergeven of Activiteit weergeven in de waarschuwing. We werken eraan om het aantal samengevoegde gebeurtenissen dat wordt vermeld in de eigenschap Hit count-waarschuwingen beschikbaar te maken voor alle waarschuwingsbeleidsregels.
RBAC-machtigingen vereist voor het weergeven van waarschuwingen
De RBAC-machtigingen (Role Based Access Control) die zijn toegewezen aan gebruikers in uw organisatie, bepalen welke waarschuwingen een gebruiker kan zien op de pagina Waarschuwingen. Hoe wordt dit bereikt? De beheerrollen die zijn toegewezen aan gebruikers (op basis van hun lidmaatschap van rolgroepen in de Microsoft Defender portal) bepalen welke waarschuwingscategorieën een gebruiker kan zien op de pagina Waarschuwingen. Dit zijn enkele voorbeelden:
- Leden van de rollengroep Recordbeheer kunnen alleen de waarschuwingen bekijken die worden gegenereerd door waarschuwingsbeleid waaraan de categorie Informatiebeheer is toegewezen.
- Leden van de rolgroep Compliancebeheerder kunnen geen waarschuwingen bekijken die worden gegenereerd door waarschuwingsbeleid waaraan de categorie Bedreigingsbeheer is toegewezen.
- Leden van de rollengroep eDiscovery-manager kunnen geen waarschuwingen weergeven omdat geen van de toegewezen rollen toestemming geeft om waarschuwingen uit een waarschuwingscategorie weer te geven.
Met dit ontwerp (op basis van RBAC-machtigingen) kunt u bepalen welke waarschuwingen kunnen worden bekeken (en beheerd) door gebruikers met specifieke functierollen in uw organisatie.
De volgende tabel bevat de rollen die vereist zijn om waarschuwingen uit de zes verschillende waarschuwingscategorieën weer te geven. Een vinkje geeft aan dat een gebruiker aan wie die rol is toegewezen, waarschuwingen kan bekijken van de bijbehorende waarschuwingscategorie die wordt vermeld in de titelrij.
Als u wilt zien aan welke categorie een standaardwaarschuwingsbeleid is toegewezen, raadpleegt u de tabellen in Standaardwaarschuwingsbeleid.
Tip
Zie Waarschuwingsbeleid in de Microsoft Defender portal voor informatie over machtigingen in Microsoft Defender XDR Unified Role Based Access Control (RBAC).
| Rol | Informatie Governance |
Gegevensverlies Preventie |
Mail Stroom |
Machtigingen | Bedreiging Management |
Anderen |
|---|---|---|---|---|---|---|
| Beheerder voor naleving | ✔ | ✔ | ✔ | ✔ | ||
| DLP-nalevingsbeheer | ✔ | |||||
| Informatiebeveiligingsbeheerder | ✔ | |||||
| Informatiebeveiligingsanalist | ✔ | |||||
| Informatiebeveiligingsonderzoeker | ✔ | |||||
| Waarschuwingen beheren | ✔ | |||||
| Organisatiebeheer | ✔ | |||||
| Privacybeheer | ||||||
| Quarantaine | ||||||
| Recordbeheer | ✔ | |||||
| Bewaarbeheer | ✔ | |||||
| Rolbeheer | ✔ | |||||
| Beveiligingsbeheerder | ✔ | ✔ | ✔ | ✔ | ||
| Beveiligingslezer | ✔ | ✔ | ✔ | ✔ | ||
| Transport hygiëne | ||||||
| View-Only DLP-compliancebeheer | ✔ | |||||
| View-Only configuratie | ||||||
| View-Only Waarschuwingen beheren | ✔ | |||||
| geadresseerden View-Only | ✔ | |||||
| View-Only recordbeheer | ✔ | |||||
| View-Only Retentiebeheer | ✔ |
Tip
Als u de rollen wilt weergeven die zijn toegewezen aan elk van de standaardrolgroepen, voert u de volgende opdrachten uit in Security & Compliance PowerShell:
$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
U kunt ook de rollen bekijken die zijn toegewezen aan een rollengroep in de Microsoft Defender portal. Ga naar de pagina Machtigingen en selecteer een rollengroep. De toegewezen rollen worden weergegeven op de flyout-pagina.
Waarschuwingen beheren
Nadat waarschuwingen zijn gegenereerd en weergegeven op de pagina Waarschuwingen in de Microsoft Defender portal, kunt u deze sorteren, onderzoeken en oplossen. Dezelfde RBAC-machtigingen die gebruikers toegang geven tot waarschuwingen, bieden hen ook de mogelijkheid om waarschuwingen te beheren.
Hier volgen enkele taken die u kunt uitvoeren om waarschuwingen te beheren.
Een status toewijzen aan waarschuwingen: U kunt een van de volgende statussen toewijzen aan waarschuwingen: Nieuw (de standaardwaarde), Wordt uitgevoerd of Opgelost. Vervolgens kunt u filteren op deze instelling om waarschuwingen met dezelfde statusinstelling weer te geven. Met deze statusinstelling kunt u het proces van het beheren van waarschuwingen bijhouden.
Een waarschuwing toewijzen aan een gebruiker: u kunt een waarschuwing toewijzen aan een gebruiker in uw organisatie. Deze actie kan ervoor zorgen dat de waarschuwing wordt beoordeeld en opgelost door de juiste persoon.
Waarschuwingen classificeren: u kunt een classificatie toewijzen aan een waarschuwing. Classificaties worden gebruikt om waarschuwingen te categoriseren op basis van het type activiteit dat de waarschuwing heeft geactiveerd. U kunt een waarschuwing bijvoorbeeld classificeren als Waar positief of Informatief.
Waarschuwingsdetails weergeven: u kunt een waarschuwing selecteren om een flyoutpagina weer te geven met details over de waarschuwing. De gedetailleerde informatie is afhankelijk van het bijbehorende waarschuwingsbeleid, maar bevat meestal de volgende informatie:
- De naam van de werkelijke bewerking die de waarschuwing heeft geactiveerd, zoals een cmdlet of een auditlogboekbewerking.
- Een beschrijving van de activiteit die de waarschuwing heeft geactiveerd.
- De gebruiker (of lijst met gebruikers) die de waarschuwing heeft geactiveerd. Dit is alleen inbegrepen voor waarschuwingsbeleid dat is ingesteld om één gebruiker of één activiteit bij te houden.
- Het aantal keren dat de activiteit die door de waarschuwing is bijgehouden, is uitgevoerd. Dit aantal komt mogelijk niet overeen met het werkelijke aantal gerelateerde waarschuwingen dat wordt vermeld op de pagina Waarschuwingen, omdat er mogelijk meer waarschuwingen zijn geactiveerd.
- Een koppeling naar een activiteitenlijst die een item bevat voor elke activiteit die is uitgevoerd en die de waarschuwing heeft geactiveerd. Elke vermelding in deze lijst identificeert wanneer de activiteit heeft plaatsgevonden, de naam van de werkelijke bewerking (zoals FileDeleted), de gebruiker die de activiteit heeft uitgevoerd, het object (zoals een bestand, een eDiscovery-case of een postvak) waarop de activiteit is uitgevoerd en het IP-adres van de computer van de gebruiker. Voor waarschuwingen met betrekking tot malware is dit een koppeling naar een berichtenlijst.
- De naam (en koppeling) van het bijbehorende waarschuwingsbeleid.
- Het incident waarbij de waarschuwing wordt geaggregeerd.
Een waarschuwing afstemmen: u kunt eigenschappen, voorwaarden en acties instellen om een waarschuwing te verbergen of op te lossen.
Het ernstniveau voor een waarschuwingsbeleid wijzigen
- Meld u aan bij de Microsoft Defender-portal met behulp van referenties voor een beheerdersaccount in uw Microsoft 365-organisatie.
- Navigeer naar Email & pagina Samenwerkingsbeleid > & regels en selecteer vervolgens Waarschuwingsbeleid.
- Selecteer het beleid dat u wilt bijwerken in de lijst. Selecteer in de kolom Acties de drie puntjes en selecteer vervolgens Bewerken.
- Selecteer in het deelvenster Beleid bewerken de vervolgkeuzelijst om het ernstniveau aan te passen. Indien van toepassing kunt u ook de triggerinstellingen voor het beleid wijzigen.
- Selecteer Volgende om door te gaan naar de rest van de stappen.
- Selecteer Verzenden om de nieuwe wijzigingen op het beleid toe te passen en selecteer vervolgens Gereed om het bewerken te voltooien.