Incidenten en waarschuwingen van Microsoft Defender voor Office 365 beheren in Microsoft Defender XDR

• Van toepassing op:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Een incident in Microsoft Defender XDR is een verzameling gecorreleerde waarschuwingen en bijbehorende gegevens die het volledige verhaal van een aanval definiëren. Defender voor Office 365 waarschuwingen, geautomatiseerd onderzoek en respons (AIR) en de resultaten van de onderzoeken zijn systeemeigen geïntegreerd en gecorreleerd op de pagina Incidenten in Microsoft Defender XDR op https://security.microsoft.com/incidents-queue. We verwijzen naar deze pagina als de wachtrij Incidenten.

Waarschuwingen worden gemaakt wanneer schadelijke of verdachte activiteiten van invloed zijn op een entiteit (bijvoorbeeld e-mail, gebruikers of postvakken). Waarschuwingen bieden waardevolle inzichten over actieve of voltooide aanvallen. Een voortdurende aanval kan echter van invloed zijn op meerdere entiteiten, wat resulteert in meerdere waarschuwingen van verschillende bronnen. Sommige ingebouwde waarschuwingen activeren automatisch AIR-playbooks. Deze playbooks voeren een reeks onderzoeksstappen uit om te zoeken naar andere beïnvloede entiteiten of verdachte activiteiten.

Bekijk deze korte video over het beheren van Microsoft Defender voor Office 365 waarschuwingen in Microsoft Defender XDR.

Defender voor Office 365 waarschuwingen, onderzoeken en de bijbehorende gegevens worden automatisch gecorreleerd. Wanneer een relatie wordt vastgesteld, maakt het systeem een incident om beveiligingsteams zichtbaarheid te geven voor de hele aanval.

Het wordt ten zeerste aanbevolen dat SecOps-teams incidenten en waarschuwingen van Defender voor Office 365 beheren in de wachtrij Incidenten op https://security.microsoft.com/incidents-queue. Deze aanpak heeft de volgende voordelen:

• Meerdere opties voor beheer:

  • Prioriteiten
  • Filteren
  • Indeling
  • Tagbeheer

  U kunt incidenten rechtstreeks uit de wachtrij halen of ze aan iemand toewijzen. Opmerkingen en opmerkingengeschiedenis kunnen helpen bij het bijhouden van de voortgang.

• Als de aanval van invloed is op andere workloads die worden beveiligd door Microsoft Defender^*, worden de gerelateerde waarschuwingen, onderzoeken en hun gegevens ook gecorreleerd aan hetzelfde incident.

  ^*Microsoft Defender voor Eindpunt, Microsoft Defender for Identity en Microsoft Defender for Cloud Apps.

• Complexe correlatielogica is niet vereist, omdat de logica wordt geleverd door het systeem.

• Als de correlatielogica niet volledig aan uw behoeften voldoet, kunt u waarschuwingen toevoegen aan bestaande incidenten of nieuwe incidenten maken.

• Gerelateerde Defender voor Office 365 waarschuwingen, AIR-onderzoeken en in behandeling zijnde acties van onderzoeken worden automatisch toegevoegd aan incidenten.

• Als tijdens het AIR-onderzoek geen bedreiging wordt gevonden, worden de gerelateerde waarschuwingen automatisch door het systeem opgelost Als alle waarschuwingen binnen een incident zijn opgelost, verandert de status van het incident ook in Opgelost.

• Gerelateerde bewijs- en reactieacties worden automatisch geaggregeerd op het tabblad Bewijs en antwoord van het incident.

• Leden van het beveiligingsteam kunnen rechtstreeks vanuit de incidenten reactieacties uitvoeren. Ze kunnen bijvoorbeeld e-mail in postvakken voorlopig verwijderen of verdachte regels voor Postvak IN verwijderen uit postvakken.

• Aanbevolen e-mailacties worden alleen gemaakt wanneer de meest recente bezorglocatie van een kwaadwillende e-mail een postvak in de cloud is.

• E-mailacties in behandeling worden bijgewerkt op basis van de meest recente leveringslocatie. Als het e-mailbericht al is hersteld door een handmatige actie, geeft de status dat aan.

• Aanbevolen acties worden alleen gemaakt voor e-mail- en e-mailclusters die worden vastgesteld als de meest kritieke bedreigingen:

  • Malware
  • Phishing met hoge waarschijnlijkheid
  • Schadelijke URL's
  • Schadelijke bestanden

Opmerking

Incidenten vertegenwoordigen niet alleen statische gebeurtenissen. Ze vertegenwoordigen ook aanvalsverhalen die zich in de loop van de tijd voordoen. Naarmate de aanval vordert, worden nieuwe Defender voor Office 365 waarschuwingen, AIR-onderzoeken en hun gegevens voortdurend toegevoegd aan het bestaande incident.

Incidenten beheren op de pagina Incidenten in de Microsoft Defender portal op https://security.microsoft.com/incidents-queue:

Incidenten beheren op de pagina Incidenten in Microsoft Sentinel op https://portal.azure.com/#blade/HubsExtension/BrowseResource/resourceType/microsoft.securityinsightsarg%2Fsentinel:

Uit te voeren reactieacties

Beveiligingsteams kunnen met behulp van Defender voor Office 365 hulpprogramma's een grote verscheidenheid aan reactieacties uitvoeren op e-mail:

• U kunt berichten verwijderen, maar u kunt ook de volgende acties uitvoeren op e-mail:

  • Verplaatsen naar Postvak IN
  • Verplaatsen naar ongewenste e-mail
  • Verplaatsen naar verwijderde items
  • Voorlopig verwijderen
  • Hard verwijderen.

  U kunt deze acties uitvoeren vanaf de volgende locaties:

  • Het tabblad Bewijs en reactie van de details van het incident op de pagina Incidenten ** op https://security.microsoft.com/incidents-queue (aanbevolen).
  • Threat Explorer op https://security.microsoft.com/threatexplorer.
  • Het geïntegreerde actiecentrum op https://security.microsoft.com/action-center/pending.

• U kunt een AIR-playbook handmatig starten op elk e-mailbericht met behulp van de actie Onderzoek activeren in Bedreigingsverkenner.

• U kunt fout-positieve of fout-negatieve detecties rechtstreeks aan Microsoft melden met behulp van Bedreigingsverkenner of beheerdersinzendingen.

• U kunt niet-gedetecteerde schadelijke bestanden, URL's of afzenders blokkeren met behulp van de lijst Tenant toestaan/blokkeren.

Acties in Defender voor Office 365 zijn naadloos geïntegreerd in opsporingservaringen en de geschiedenis van acties is zichtbaar op het tabblad Geschiedenis in het geïntegreerde actiecentrum op https://security.microsoft.com/action-center/history.

De meest effectieve manier om actie te ondernemen, is door gebruik te maken van de ingebouwde integratie met incidenten in Microsoft Defender XDR. U kunt de acties goedkeuren die door AIR zijn aanbevolen in Defender voor Office 365 op het tabblad Bewijs en reactie van een incident in Microsoft Defender XDR. Deze methode voor tacking wordt om de volgende redenen aanbevolen:

• Je onderzoekt het hele aanvalsverhaal.
• U profiteert van de ingebouwde correlatie met andere workloads: Microsoft Defender voor Eindpunt, Microsoft Defender for Identity en Microsoft Defender for Cloud Apps.
• U onderneemt acties op e-mail vanaf één locatie.

U onderneemt actie op e-mail op basis van het resultaat van een handmatig onderzoek of opsporingsactiviteit. Met Bedreigingsverkenner kunnen leden van het beveiligingsteam actie ondernemen op e-mailberichten die mogelijk nog aanwezig zijn in postvakken in de cloud. Ze kunnen actie ondernemen voor berichten binnen de organisatie die zijn verzonden tussen gebruikers in uw organisatie. Threat Explorer-gegevens zijn beschikbaar voor de afgelopen 30 dagen.

Bekijk deze korte video om te leren hoe Microsoft Defender XDR waarschuwingen van verschillende detectiebronnen, zoals Defender voor Office 365, combineert tot incidenten.