Herstelacties in Office 365 controleren en beheren

• Geldt voor:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Wanneer geautomatiseerd onderzoek naar e-mail & samenwerkingsinhoud resulteert in vonnissen, zoals Schadelijk of Verdacht, worden bepaalde herstelacties gemaakt. In Microsoft Defender voor Office 365 kunnen herstelacties het volgende omvatten:

• E-mailberichten of clusters voorlopig verwijderen
• Doorsturen van externe e-mail uitschakelen

Deze herstelacties worden pas uitgevoerd als en totdat uw beveiligingsteam ze goedkeurt. We raden u aan eventuele in behandeling zijnde acties zo snel mogelijk te bekijken en goed te keuren, zodat uw geautomatiseerde onderzoeken tijdig worden voltooid. U moet deel uitmaken van Search & opschoningsrol voordat u acties uitvoert.

We hebben extra controles toegevoegd voor dubbele of overlappende onderzoeken met dezelfde clusters die meerdere keren zijn goedgekeurd. Als hetzelfde onderzoekscluster al in het vorige uur is goedgekeurd, wordt nieuwe dubbele herstelbewerking niet opnieuw verwerkt. Dit gedrag verwijdert geen dubbele onderzoeken of onderzoeksmateriaal. Het verwijdert alleen goedgekeurde acties om de verwerkingssnelheid van herstel te verbeteren. Voor de dubbele goedgekeurde clusteronderzoeken ziet u geen actiedetails in het deelvenster aan de zijkant van het actiecentrum .

In behandeling zijnde acties goedkeuren (of weigeren)

Er zijn vier verschillende manieren om acties voor automatisch onderzoek te vinden en uit te voeren:

• Incidentwachtrij
• Onderzoek zelf (toegankelijk via incident of vanuit een waarschuwing)
• Actiecentrum
• Wachtrij voor onderzoeken en herstelonderzoeken

Incidentwachtrij

1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de pagina Incidenten op Incidenten & waarschuwingen>Incidenten. Als u rechtstreeks naar de pagina Incidenten wilt gaan, gebruikt u https://security.microsoft.com/incidents.
2. Filter op actie In behandeling voor de status Geautomatiseerd onderzoek (optioneel).
3. Selecteer op de pagina Incidenten de naam van een incident om de bijbehorende overzichtspagina te openen.
4. Selecteer het tabblad Bewijs en antwoord .
5. Selecteer een item in de lijst om het flyoutvenster te openen.
6. Bekijk de informatie en voer een van de volgende stappen uit:
   • Selecteer de optie In behandeling goedkeuren om een actie in behandeling te starten.
   • Selecteer de optie Actie in behandeling weigeren om te voorkomen dat een actie in behandeling wordt uitgevoerd.

Actiecentrum

1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de pagina Actiecentrum door Actiecentrum te selecteren. Als u rechtstreeks naar de pagina Actiecentrum wilt gaan, gebruikt u https://security.microsoft.com/action-center/pending.
2. Controleer op de pagina Actiecentrum of het tabblad In behandeling is geselecteerd en bekijk vervolgens de lijst met acties die wachten op goedkeuring.
   • Selecteer Onderzoekspagina openen voor meer informatie over het onderzoek.
   • Selecteer Goedkeuren om een actie in behandeling te starten.
   • Selecteer Weigeren om te voorkomen dat een actie in behandeling wordt uitgevoerd.

Opmerking

Er is een time-out voor acties in behandeling na het wachten op goedkeuring gedurende één week.

Wachtrij voor onderzoeken en herstelonderzoeken

1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de pagina Bedreigingsonderzoek op Email &samenwerkingsonderzoeken>. Als u rechtstreeks naar de pagina Bedreigingsonderzoek wilt gaan, gebruikt u https://security.microsoft.com/airinvestigation.
2. Zoek op de pagina Bedreigingsonderzoek een item uit de lijst waarvan de status Actie In behandeling is.
3. Klik op Openen in nieuw venster voor de tijd van de lijst (tussen id en status).
4. Op de pagina die wordt geopend, voert u acties voor goedkeuren of weigeren uit.

Eén herstelactie wijzigen of ongedaan maken

Er zijn twee verschillende manieren om ingediende acties te herzien:

• Via het geïntegreerde actiecentrum.
• Via het Office-actiecentrum.

Wijzigen of ongedaan maken via het geïntegreerde actiecentrum

1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar het geïntegreerde actiecentrum door Actiecentrum te selecteren. Gebruik https://security.microsoft.com/action-center/om rechtstreeks naar het geïntegreerde actiecentrum te gaan.
2. Selecteer op de pagina Actiecentrum het tabblad Geschiedenis en selecteer vervolgens de actie die u wilt wijzigen of ongedaan wilt maken.
3. Selecteer in het deelvenster aan de rechterkant van het scherm de juiste actie (verplaatsen naar Postvak IN, verplaatsen naar ongewenste e-mail, verplaatsen naar verwijderde items, voorlopig verwijderen of hard verwijderen).

Wijzigen of ongedaan maken via het Office-actiecentrum

1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar het Office-actiecentrum in Email & actiecentrum voor samenwerking>.> Gebruik https://security.microsoft.com/threatincidentsom rechtstreeks naar het Office-actiecentrum te gaan.
2. Selecteer op de pagina Actiecentrum het juiste herstel.
3. Klik in het zijpaneel op de vermelding e-mailinzendingen en wacht tot de lijst is geladen.
4. Wacht tot de knop Actie bovenaan is ingeschakeld en selecteer de knop Actie om het actietype te wijzigen.
5. Hiermee worden de juiste acties gemaakt.

Volgende stappen

• Bedreigingsverkenner gebruiken
• Beheer/handmatige acties
• Fout-positieven/negatieven rapporteren in geautomatiseerde onderzoeks- en reactiemogelijkheden

Zie ook

• Details en resultaten van een geautomatiseerd onderzoek weergeven in Office 365