Details en resultaten van een geautomatiseerd onderzoek in Microsoft 365Details and results of an automated investigation in Microsoft 365

Van toepassing opApplies to

Wanneer een geautomatiseerd onderzoek plaatsvindt in Microsoft Defender voor Office 365,zijn details over dat onderzoek beschikbaar tijdens en na het geautomatiseerde onderzoeksproces.When an automated investigation occurs in Microsoft Defender for Office 365, details about that investigation are available during and after the automated investigation process. Als u de benodigde machtigingen hebt, kunt u deze details bekijken in de Microsoft 365 Defender portal.If you have the necessary permissions, you can view those details in the Microsoft 365 Defender portal. Onderzoeksdetails bieden u de actuele status en de mogelijkheid om in behandeling zijnde acties goed te keuren.Investigation details provide you with up-to-date status, and the ability to approve any pending actions.

Tip

Bekijk de nieuwe, geïntegreerde onderzoekspagina in de Microsoft 365 Defender portal.Check out the new, unified investigation page in the Microsoft 365 Defender portal. Zie (NIEUW!) voor meer informatie. Geïntegreerde onderzoekspagina.To learn more, see (NEW!) Unified investigation page.

OnderzoeksstatusInvestigation status

De onderzoeksstatus geeft de voortgang van de analyse en acties aan.The investigation status indicates the progress of the analysis and actions. Terwijl het onderzoek wordt uitgevoerd, wordt de status gewijzigd om aan te geven of er bedreigingen zijn gevonden en of acties zijn goedgekeurd.As the investigation runs, status changes to indicate whether threats were found, and whether actions have been approved.



StatusStatus OmschrijvingDescription
StartenStarting Het onderzoek is gestart en het wachten is om te starten.The investigation has been triggered and waiting to start running.
UitvoerenRunning Het onderzoeksproces is gestart en is aan de gang.The investigation process has started and is underway. Deze status treedt ook op wanneer acties in behandeling zijn goedgekeurd.This state also occurs when pending actions are approved.
Geen bedreigingen gevondenNo Threats Found Het onderzoek is voltooid en er zijn geen bedreigingen (gebruikersaccount, e-mailbericht, URL of bestand) geïdentificeerd.The investigation has finished and no threats (user account, email message, URL, or file) were identified.

TIP: Als u vermoedt dat er iets is gemist (zoals een onwaar negatief), kunt u actie ondernemen met Threat Explorer.TIP: If you suspect something was missed (such as a false negative), you can take action using Threat Explorer.

Gevonden bedreigingenThreats Found Het geautomatiseerde onderzoek heeft problemen gevonden, maar er zijn geen specifieke herstelacties om deze problemen op te lossen.The automated investigation found issues, but there are no specific remediation actions to resolve those issues.

De status Bedreigingen gevonden kan optreden wanneer een bepaald type gebruikersactiviteit is geïdentificeerd, maar er zijn geen opschoningsacties beschikbaar.The Threats Found status can occur when some type of user activity was identified but no cleanup actions are available. Voorbeelden hiervan zijn een van de volgende gebruikersactiviteiten:Examples include any of the following user activities:

Bij het onderzoek zijn geen schadelijke URL's, bestanden of e-mailberichten gevonden die moeten worden opgelost en zijn er geen postvakactiviteiten die moeten worden opgelost, zoals het uitschakelen van doorsturen of delegeren.The investigation found no malicious URLs, files, or email messages to remediate, and no mailbox activity to fix, such as turning off forwarding rules or delegation.

TIP: Als u vermoedt dat er iets is gemist (zoals een onwaar negatief), kunt u dit onderzoeken en actie ondernemen met Threat ExplorerTIP: If you suspect something was missed (such as a false negative), you can investigate and take action using Threat Explorer

Beëindigd door systeemTerminated By System Het onderzoek is gestopt.The investigation stopped. Een onderzoek kan om verschillende redenen stoppen:An investigation can stop for several reasons:
  • De lopende acties van het onderzoek zijn verlopen.The investigation's pending actions expired. In behandeling zijnde acties time-out na het wachten op goedkeuring voor een weekPending actions time out after awaiting approval for one week
  • Er zijn te veel acties.There are too many actions. Als er bijvoorbeeld te veel gebruikers op kwaadaardige URL's klikken, kan dit de mogelijkheid van het onderzoek overschrijden om alle analysen uit te voeren, zodat het onderzoek wordt stopgezet.For example, if there are too many users clicking on malicious URLs, it can exceed the investigation's ability to run all the analyzers, so the investigation halts

TIP: Als een onderzoek stopt voordat er acties zijn ondernomen, kunt u Threat Explorer gebruiken om bedreigingen te vinden en aan te pakken.TIP: If an investigation halts before actions were taken, try using Threat Explorer to find and address threats.

Actie in behandelingPending Action Het onderzoek heeft een bedreiging gevonden, zoals een schadelijke e-mail, een kwaadaardige URL of een riskante postvakinstelling, en een actie om deze bedreiging te herstellen wacht op goedkeuring.The investigation has found a threat, such as a malicious email, a malicious URL, or a risky mailbox setting, and an action to remediate that threat is awaiting approval.

De status Actie in behandeling wordt geactiveerd wanneer een bedreiging met een bijbehorende actie wordt gevonden.The Pending Action state is triggered when any threat with a corresponding action is found. De lijst met lopende acties kan echter toenemen naarmate een onderzoek wordt uitgevoerd.However, the list of pending actions can increase as an investigation runs. Bekijk de details van het onderzoek om te zien of andere items nog moeten worden voltooid.View investigation details to see if other items are still pending completion.

HerstelRemediated Het onderzoek is voltooid en alle herstelacties zijn goedgekeurd (aangegeven als volledig hersteld).The investigation finished and all remediation actions were approved (noted as fully remediated).

OPMERKING: Goedgekeurde herstelacties kunnen fouten bevatten waardoor de acties niet kunnen worden ondernomen.NOTE: Approved remediation actions can have errors that prevent the actions from being taken. Ongeacht of herstelacties zijn voltooid, wordt de onderzoeksstatus niet gewijzigd.Regardless of whether remediation actions are successfully completed, the investigation status does not change. Bekijk de details van het onderzoek.View investigation details.

Gedeeltelijk gesaneerdPartially Remediated Het onderzoek heeft geleid tot herstelacties, en sommige zijn goedgekeurd en voltooid.The investigation resulted in remediation actions, and some were approved and completed. Andere acties zijn nog in behandeling.Other actions are still pending.
MisluktFailed Ten minste één onderzoeksanalyser liep tegen een probleem aan waarbij het niet goed kon worden voltooid.At least one investigation analyzer ran into a problem where it could not complete properly.

OPMERKING Als een onderzoek mislukt nadat herstelacties zijn goedgekeurd, zijn de herstelacties mogelijk nog steeds gelukt.NOTE If an investigation fails after remediation actions were approved, the remediation actions might still have succeeded. Bekijk de onderzoeksdetails.View the investigation details.

Wachtrij door beperkingQueued By Throttling Er wordt een onderzoek in een wachtrij gehouden.An investigation is being held in a queue. Wanneer andere onderzoeken zijn voltooid, worden in wachtrijen onderzoeken gestart.When other investigations complete, queued investigations begin. Beperking helpt slechte serviceprestaties te voorkomen.Throttling helps avoid poor service performance.

TIP: Acties in behandeling kunnen het aantal nieuwe onderzoeken beperken.TIP: Pending actions can limit how many new investigations can run. Zorg ervoor dat u in behandeling zijnde acties goedkeurt (of weigert).Make sure to approve (or reject) pending actions.

Beëindigd door beperkingTerminated By Throttling Als een onderzoek te lang in de wachtrij wordt gehouden, wordt het gestopt.If an investigation is held in the queue too long, it stops.

TIP: U kunt een onderzoek starten vanuit Threat Explorer.TIP: You can start an investigation from Threat Explorer.

Details van een onderzoek weergevenView details of an investigation

  1. Ga naar de Microsoft 365 Defender portal https://security.microsoft.com () en meld u aan.Go to the Microsoft 365 Defender portal (https://security.microsoft.com) and sign in.
  2. Selecteer actiecentrum in het navigatiedeelvenster.In the navigation pane, select Action center.
  3. Selecteer een actie op de tabbladen In behandeling of Geschiedenis.On either the Pending or History tabs, select an action. Het deelvenster Flyout wordt geopend.Its flyout pane opens.
  4. Selecteer in het deelvenster Flyout de optie Onderzoekspagina openen.In the flyout pane, select Open investigation page.
  5. Gebruik de verschillende tabbladen voor meer informatie over het onderzoek.Use the various tabs to learn more about the investigation.

Bepaalde soorten waarschuwingen leiden tot automatisch onderzoek in Microsoft 365.Certain kinds of alerts trigger automated investigation in Microsoft 365. Zie waarschuwingsbeleidsregels voor automatische onderzoeken voor meer informatie.To learn more, see alert policies that trigger automated investigations.

  1. Ga naar de Microsoft 365 Defender portal https://security.microsoft.com () en meld u aan.Go to the Microsoft 365 Defender portal (https://security.microsoft.com) and sign in.
  2. Selecteer actiecentrum in het navigatiedeelvenster.In the navigation pane, select Action center.
  3. Selecteer een actie op de tabbladen In behandeling of Geschiedenis.On either the Pending or History tabs, select an action. Het deelvenster Flyout wordt geopend.Its flyout pane opens.
  4. Selecteer in het deelvenster Flyout de optie Onderzoekspagina openen.In the flyout pane, select Open investigation page.
  5. Selecteer het tabblad Waarschuwingen om een lijst weer te geven met alle waarschuwingen die aan dat onderzoek zijn gekoppeld.Select the Alerts tab to view a list of all of the alerts associated with that investigation.
  6. Selecteer een item in de lijst om het flyoutvenster te openen.Select an item in the list to open its flyout pane. Daar kunt u meer informatie over de waarschuwing bekijken.There, you can view more information about the alert.

Houd rekening met de volgende puntenKeep the following points in mind

  • E-mailtellingen worden berekend op het moment van het onderzoek en sommige tellingen worden opnieuw berekend wanneer u flyouts voor onderzoeken opent (op basis van een onderliggende query).Email counts are calculated at the time of the investigation, and some counts are recalculated when you open investigation flyouts (based on an underlying query).

  • De e-mailtellingen die worden weergegeven voor de e-mailclusters op het tabblad E-mail en de e-mailhoeveelheid die wordt weergegeven op cluster flyout, worden berekend op het moment van onderzoek en worden niet gewijzigd.The email counts shown for the email clusters on the Email tab and the email quantity value shown on cluster flyout are calculated at the time of investigation, and do not change.

  • Het aantal e-mailberichten dat wordt weergegeven onder aan het tabblad E-mail van de flyout van het e-mailcluster en het aantal e-mailberichten dat wordt weergegeven in Explorer, is een weerspiegeling van de e-mailberichten die zijn ontvangen na de eerste analyse van het onderzoek.The email count shown at the bottom of the Email tab of the email cluster flyout and the count of email messages shown in Explorer reflect email messages received after the investigation's initial analysis.

    Een e-mailcluster met een oorspronkelijke hoeveelheid van 10 e-mailberichten zou dus een totaal van 15 e-mailberichten laten zien wanneer er nog vijf e-mailberichten binnenkomen tussen de onderzoeksanalysefase en wanneer de beheerder het onderzoek controleert.Thus, an email cluster that shows an original quantity of 10 email messages would show an email list total of 15 when five more email messages arrive between the investigation analysis phase and when the admin reviews the investigation. Oude onderzoeken kunnen ook hogere tellingen weergeven dan explorerquery's weergeven, omdat gegevens in Microsoft Defender voor Office 365 Plan 2 na zeven dagen verlopen voor proefversies en na 30 dagen voor betaalde licenties.Likewise, old investigations might start showing higher counts than Explorer queries show, because data in Microsoft Defender for Office 365 Plan 2 expires after seven days for trials and after 30 days for paid licenses.

    Het weergeven van zowel het aantal historische als de huidige tellingen in verschillende weergaven wordt uitgevoerd om het e-maileffect op het moment van het onderzoek aan te geven en de huidige impact tot het moment waarop de hersteltijd wordt uitgevoerd.Showing both count historical and current counts in different views is done to indicate the email impact at the time of investigation and the current impact up until the time that remediation is run.

  • In de context van e-mail ziet u mogelijk een volume-afwijkingsbedreiging als onderdeel van het onderzoek.In the context of email, you might see a volume anomaly threat surface as part of the investigation. Een volume-afwijking geeft een piek aan in vergelijkbare e-mailberichten rond de onderzoeksgebeurtenistijd in vergelijking met eerdere periodes.A volume anomaly indicates a spike in similar email messages around the investigation event time compared to earlier timeframes. Een piek in e-mailverkeer, samen met bepaalde kenmerken (bijvoorbeeld onderwerp- en afzenderdomein, body-overeenkomst en afzender-IP) is een typisch voorbeeld van het begin van e-mailcampagnes of -aanvallen.A spike in email traffic together with certain characteristics (for example, subject and sender domain, body similarity, and sender IP) is typical of the start of email campaigns or attacks. Bulk-, spam- en legitieme e-mailcampagnes hebben echter vaak dezelfde kenmerken.However, bulk, spam, and legitimate email campaigns commonly share these characteristics.

  • Volumeafwijkingen vormen een potentiële bedreiging en kunnen daarom minder ernstig zijn in vergelijking met malware- of phish-bedreigingen die worden geïdentificeerd met anti-virusprogramma's, detonatie of schadelijke reputatie.Volume anomalies represent a potential threat, and accordingly could be less severe compared to malware or phish threats that are identified using anti-virus engines, detonation, or malicious reputation.

  • U hoeft niet elke actie goed te keuren.You do not have to approve every action. Als u het niet eens bent met de aanbevolen actie of als uw organisatie bepaalde typen acties niet kiest, kunt u ervoor kiezen om de acties te negeren of ze gewoon te negeren en geen actie te ondernemen.If you do not agree with the recommended action or your organization does not choose certain types of actions, then you can choose to Reject the actions or simply ignore them and take no action.

  • Als u alle acties goedkeurt en/of afwijst, kan het onderzoek volledig worden afgerond (de status wordt hersteld), terwijl sommige acties onvolledig blijven, waardoor de onderzoeksstatus verandert in een gedeeltelijk herstelde status.Approving and/or rejecting all actions lets the investigation fully close (status becomes remediated), while leaving some actions incomplete results in the investigation status changing to a partially remediated state.

Volgende stappenNext steps