Automated investigation and response (AIR) in Microsoft Defender for Office 365
Belangrijk
Het verbeterde Microsoft 365 Defender-portal is nu beschikbaar. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365 Defender-portal. Ontdek wat er nieuw is.
Van toepassing op
Microsoft Defender voor Office 365 bevat krachtige geautomatiseerde onderzoeks- en antwoordmogelijkheden (AIR) die uw teamtijd en inspanning voor beveiligingsbewerkingen kunnen besparen. Wanneer waarschuwingen worden geactiveerd, is het aan uw beveiligingsteam om deze waarschuwingen te controleren, prioriteit te geven en hierop te reageren. Het kan overweldigend zijn om het volume van binnenkomende waarschuwingen bij te houden. Het automatiseren van een aantal van deze taken kan u helpen.
Met AIR kan uw beveiligingsteam efficiënter en effectiever werken. Air-mogelijkheden omvatten geautomatiseerde onderzoeksprocessen in reactie op bekende bedreigingen die vandaag de dag bestaan. Passende herstelacties wachten op goedkeuring, zodat uw beveiligingsteam effectief kan reageren op gedetecteerde bedreigingen. Met AIR kan uw beveiligingsteam zich richten op taken met een hogere prioriteit zonder belangrijke waarschuwingen uit het oog te verliezen die worden geactiveerd.
In dit artikel wordt het volgende beschreven:
- De algehele stroom van AIR;
- Air krijgen; en
- De vereiste machtigingen voor het configureren of gebruiken van AIR-mogelijkheden.
- Wijzigingen die binnenkort worden doorgevoerd in uw Microsoft 365 Defender portal
Dit artikel bevat ook de volgende stappenen informatiebronnen voor meer informatie.
De algehele stroom van AIR
Er wordt een waarschuwing geactiveerd en een beveiligingss playbook start een geautomatiseerd onderzoek, wat resulteert in bevindingen en aanbevolen acties. Hier is de algehele stroom van AIR, stap voor stap:
- Een geautomatiseerd onderzoek wordt op een van de volgende manieren gestart:
- Een waarschuwing wordt geactiveerd door iets verdachts in e-mail (zoals een bericht, bijlage, URL of een gekromd gebruikersaccount). Er wordt een incident gemaakt en er wordt een geautomatiseerd onderzoek gestart. of
- Een beveiligingsanalist start een geautomatiseerd onderzoek terwijl u Explorer gebruikt.
- Terwijl een geautomatiseerd onderzoek wordt uitgevoerd, worden gegevens verzameld over de e-mail in kwestie en entiteiten die betrekking hebben op die e-mail. Dergelijke entiteiten kunnen bestanden, URL's en geadresseerden bevatten. Het bereik van het onderzoek kan toenemen naarmate nieuwe en gerelateerde waarschuwingen worden geactiveerd.
- Tijdens en na een geautomatiseerd onderzoek zijn details en resultaten beschikbaar om te bekijken. Resultaten zijn onder andere aanbevolen acties die kunnen worden ondernomen om te reageren op en eventuele gevonden bedreigingen te corrigeren.
- Uw beveiligingsteam bekijkt de onderzoeksresultaten enaanbevelingen en keurt herstelacties goed of weigert.
- Aangezien in behandeling zijnde herstelacties worden goedgekeurd (of geweigerd), wordt het geautomatiseerde onderzoek voltooid.
In Microsoft Defender voor Office 365 worden er geen herstelacties automatisch ondernomen. Herstelacties worden alleen ondernomen na goedkeuring door het beveiligingsteam van uw organisatie. Air-mogelijkheden besparen uw teamtijd voor beveiligingsbewerkingen door herstelacties te identificeren en de details te verstrekken die nodig zijn om een weloverwogen beslissing te nemen.
Tijdens en na elk geautomatiseerd onderzoek kan uw beveiligingsteam:
- Details weergeven over een waarschuwing in verband met een onderzoek
- De resultaten van een onderzoek weergeven
- Acties beoordelen en goedkeuren als gevolg van een onderzoek
Tip
Zie Hoe AIR werkt voor een uitgebreider overzicht.
Air krijgen
AIR-mogelijkheden zijn opgenomen in Microsoft Defender voor Office 365, mits uw beleid en waarschuwingen zijn geconfigureerd. Hebt u hulp nodig? Volg de richtlijnen in Beschermen tegen bedreigingen om de volgende beveiligingsinstellingen in te stellen of te configureren:
- Auditregistratie (moet zijn ingeschakeld)
- Beveiliging tegen malware
- Bescherming tegen phishing
- Beveiliging tegen ongewenste e-mail
- Safe Koppelingen en Safe bijlagen
Controleer bovendien het waarschuwingsbeleid van uw organisatie,met name het standaardbeleid in de categorie Bedreigingsbeheer.
Welk waarschuwingsbeleid activeert geautomatiseerde onderzoeken?
Microsoft 365 bevat veel ingebouwde waarschuwingsbeleidsregels die helpen bij het identificeren Exchange beheerdersmachtigingen misbruik, malwareactiviteit, potentiële externe en interne bedreigingen en risico's voor informatiebeheer. Verschillende van de standaardwaarschuwingsbeleidsregels kunnen geautomatiseerde onderzoeken activeren. In de volgende tabel worden de waarschuwingen beschreven die automatisch onderzoek in gang zetten, de ernst ervan in Microsoft 365 Defender portal en hoe deze worden gegenereerd:
| Waarschuwing | Ernst | Hoe de waarschuwing wordt gegenereerd |
|---|---|---|
| Er is een potentieel schadelijke URL-klik gedetecteerd | Hoog | Deze waarschuwing wordt gegenereerd wanneer een van de volgende problemen optreedt:
Zie Beleidsregels Safe voor koppelingen instellen voor meer informatie over gebeurtenissen die deze waarschuwingactiveren. |
| Een e-mailbericht wordt door een gebruiker gerapporteerd als malware of phish | Informatief | Deze waarschuwing wordt gegenereerd wanneer gebruikers in uw organisatie berichten rapporteren als phishing-e-mailmet behulp van de invoeging Rapportbericht of de invoeging Phishing melden. |
| E-mailberichten met malware worden na bezorging verwijderd | Informatief | Deze waarschuwing wordt gegenereerd wanneer e-mailberichten met malware worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met automatische nul-uurs purge (ZAP). |
| E-mailberichten met phish-URL's worden na bezorging verwijderd | Informatief | Deze waarschuwing wordt gegenereerd wanneer berichten met phish worden bezorgd in postvakken in uw organisatie. Als deze gebeurtenis optreedt, verwijdert Microsoft de geïnfecteerde berichten uit Exchange Online postvakken met ZAP. |
| Verdachte e-mail verzenden patronen worden gedetecteerd | Gemiddeld | Deze waarschuwing wordt gegenereerd wanneer iemand in uw organisatie verdachte e-mail heeft verzonden en het risico bestaat dat het verzenden van e-mail wordt beperkt. De waarschuwing is een vroegtijdige waarschuwing voor gedrag dat kan aangeven dat het account is gecompromitteerd, maar niet ernstig genoeg om de gebruiker te beperken. Hoewel dit zelden gebeurt, kan een waarschuwing die door dit beleid wordt gegenereerd, een afwijking zijn. Het is echter een goed idee om te controleren of het gebruikersaccount is gecompromitteerd. |
| Een gebruiker mag geen e-mail verzenden | Hoog | Deze waarschuwing wordt gegenereerd wanneer iemand in uw organisatie geen uitgaande e-mail mag verzenden. Deze waarschuwing is meestal het resultaat wanneer een e-mailaccount wordt gecompromitteerd. Zie Geblokkeerde gebruikers verwijderen uit de portal Beperkte gebruikers inMicrosoft 365. |
Tip
Zie Waarschuwingsbeleid in de Microsoft 365-compliancecentrum voor meer informatie over waarschuwingsbeleid of het bewerken van de standaardinstellingen.
Vereiste machtigingen voor het gebruik van AIR-mogelijkheden
Machtigingen worden verleend via bepaalde rollen, zoals de machtigingen die in de volgende tabel worden beschreven:
| Taak | Rol(en) vereist |
|---|---|
| AIR-functies instellen | Een van de volgende rollen:
Deze rollen kunnen worden toegewezen in Azure Active Directory of in de Microsoft 365 Defender portal. |
| Een geautomatiseerd onderzoek starten --- of --- Aanbevolen acties goedkeuren of weigeren |
Een van de volgende rollen, toegewezen in Azure Active Directory of in de Microsoft 365 Defender portal:
|
Vereiste licenties
Microsoft Defender voor Office 365 abonnement 2-licenties moet worden toegewezen aan:
- Beveiligingsbeheerders (inclusief globale beheerders)
- Het beveiligingsteam van uw organisatie (inclusief beveiligingslezers en personen met de rol Zoeken en zuiveren)
- Eindgebruikers
Binnenkort worden wijzigingen doorgevoerd in uw Microsoft 365 Defender portal
Als u air-mogelijkheden al gebruikt in Microsoft Defender voor Office 365, ziet u enkele wijzigingen in de verbeterde Microsoft 365 Defender portal.
De nieuwe en verbeterde Microsoft 365 Defender portal brengt AIR-mogelijkheden samen in Microsoft Defender voor Office 365 en in Microsoft Defender voor Eindpunt. Met deze updates en verbeteringen kan jouw beveiligingsteam informatie bekijken over geautomatiseerde onderzoeken en herstelacties in e-mail, samenwerkingsinhoud, gebruikersaccounts en apparaten, allemaal op één plaats.
Tip
De nieuwe Microsoft 365 Microsoft 365 Defender portal ( https://security.microsoft.com ) vervangt de volgende centra:
- Beveiligings- & compliancecentrum ( https://protection.office.com )
- Microsoft Defender-beveiligingscentrum ( https://securitycenter.windows.com )
Naast het wijzigen van de URL is er een nieuw uiterlijk, ontworpen om uw beveiligingsteam een gestroomlijnde ervaring te geven, met zichtbaarheid voor meer detecties van bedreigingen op één plaats.
Wat u kunt verwachten
In de volgende tabel vindt u wijzigingen en verbeteringen die worden doorgevoerd in AIR in Microsoft Defender voor Office 365.
| Item | Wat verandert er? |
|---|---|
| Pagina Onderzoeken | De bijgewerkte pagina Onderzoeken komt beter overeen met wat u ziet in Microsoft Defender voor Eindpunt. U ziet enkele algemene opmaak- en stijlwijzigingen die zijn afgestemd op de nieuwe, geïntegreerde weergave Onderzoeken. De onderzoeksgrafiek heeft bijvoorbeeld een meer geïntegreerde indeling. |
| Tabblad Gebruikers | Het tabblad Gebruikers is nu het tabblad Postvakken. Details over gebruikers worden weergegeven op het tabblad Postvak. |
| Tabblad E-mail | Het tabblad E-mail is verwijderd. Ga naar het tabblad Entiteiten om een lijst met e-mail- en e-mailclusteritems te bekijken. |
| Tabblad Entiteiten | Het tabblad Entiteiten heeft een tab-in-tabstijl die een overzichtsweergave bevat en de mogelijkheid om te filteren op entiteitstype. Het tabblad Entiteiten bevat nu naast de optie Openen in Verkenner ook de optie Ga op zoek naar. U kunt nu Explorer of geavanceerd zoeken gebruiken om entiteiten en bedreigingen te zoeken en op resultaten te filteren. |
| Tabblad Acties | Het tabblad Bijgewerkte acties bevat nu een tabblad Acties in behandeling en een tabblad Actiesgeschiedenis. Acties kunnen worden goedgekeurd (of geweigerd) in een zijvenster dat wordt geopend wanneer u een actie in behandeling selecteert. |
| Tabblad Bewijs | Een nieuw tabblad Bewijs toont de belangrijkste entiteitsbetuigingen die betrekking hebben op acties. Acties met betrekking tot elk bewijs kunnen worden goedgekeurd (of geweigerd) in een zijvenster dat wordt geopend wanneer u een actie in behandeling selecteert. |
| Actiecentrum | Het bijgewerkte Actiecentrum () brengt lopende en voltooide acties samen https://security.microsoft.com/action-center op e-mail, apparaten en identiteiten. Zie Actiecentrum voor meer informatie. (Zie Actiecentrum voor meer informatie.) |
| Pagina Incidenten | De pagina Incidenten correleert nu meerdere onderzoeken samen om een beter overzicht van onderzoeken te bieden. (Meer informatie over incidenten.) |