Bedreigingsonderzoek en -reactie

Artikel
10/07/2021
2 minuten om te lezen

Belangrijk

Het verbeterde Microsoft 365 Defender-portal is nu beschikbaar. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365 Defender-portal. Ontdek wat er nieuw is.

Is van toepassing op

Abonnement 2 voor Microsoft Defender voor Office 365

Mogelijkheden voor het onderzoeken en reageren van bedreigingen in Microsoft Defender voor Office 365 beveiligingsanalisten en beheerders helpen bij het beschermen van de Microsoft 365 voor zakelijke gebruikers door:

Zo kunt u cyberaanvallen gemakkelijk identificeren, controleren en begrijpen
U kunt bedreigingen snel Exchange Online, SharePoint online, OneDrive voor Bedrijven en Microsoft Teams
Inzichten en kennis bieden om beveiligingsbewerkingen te helpen cyberaanvallen tegen hun organisatie te voorkomen
Geautomatiseerde onderzoeken en antwoorden gebruiken in Office 365 voor kritieke e-mailrisico's

Mogelijkheden voor het onderzoeken en beantwoorden van bedreigingen bieden inzicht in bedreigingen en gerelateerde antwoordacties die beschikbaar zijn in de Microsoft 365 Defender portal. Deze inzichten kunnen het beveiligingsteam van uw organisatie helpen gebruikers te beschermen tegen e-mail- of bestandsaanvallen. De mogelijkheden helpen bij het bewaken van signalen en het verzamelen van gegevens uit meerdere bronnen, zoals gebruikersactiviteit, verificatie, e-mail, gekromde pc's en beveiligingsincidenten. Besluitvormers van het bedrijf en uw beveiligingsteam kunnen deze informatie gebruiken om uw organisatie beter te begrijpen en te reageren op bedreigingen en om uw intellectuele eigendom te beschermen.

Kennismaken met hulpprogramma's voor bedreigingsonderzoek en -antwoorden

De mogelijkheden voor het onderzoeken en beantwoorden van bedreigingen worden in de Microsoft 365 Defender portal als een set hulpprogramma's en antwoordwerkstromen, waaronder de volgende:

Verkenner

Gebruik Explorer (en realtime detecties) om bedreigingen te analyseren, het aantal aanvallen in de tijd te bekijken en gegevens te analyseren door bedreigingsfamilies, infrastructuur voor aanvallers en meer. Explorer (ook wel Threat Explorer genoemd) is de beginplaats voor de onderzoekswerkstroom van een beveiligingsanalist.

Bedreigingsverkenner.

Als u dit rapport wilt bekijken en gebruiken, gaat u in Microsoft 365 Defender portal naar E-mail & Explorer voor > samenwerking.

Incidenten

Gebruik de lijst Incidenten (dit wordt ook wel Onderzoeken genoemd) om een lijst te bekijken van incidenten met vluchtbeveiliging. Incidenten worden gebruikt om bedreigingen bij te houden, zoals verdachte e-mailberichten, en om nader onderzoek en herstel uit te voeren.

Lijst met huidige bedreigingsincidenten in Office 365.

Als u de lijst met huidige incidenten voor uw organisatie wilt weergeven, gaat u in Microsoft 365 Defender portal naar Incidenten & waarschuwingen > Incidenten.

Kies in & Beveiligingscentrum de optie > Bedreigingsbeheer controleren.

Aanvalssimulatietraining

Gebruik de trainingstraining Aanvalssimulatie om realistische cyberaanvallen in uw organisatie in te stellen en uit te voeren en om kwetsbare personen te identificeren voordat een echte cyberaanval van invloed is op uw bedrijf. Zie Een phishing-aanval simulerenvoor meer informatie.

Als u deze functie wilt weergeven en gebruiken in de Microsoft 365 Defender portal, gaat u naar E-mail & training voor de > aanvalssimulatie.

Geautomatiseerd onderzoek en reactie

Gebruik air-mogelijkheden (Automated Investigation and Response) om tijd en moeite te besparen om inhoud, apparaten en personen met risico's van bedreigingen in uw organisatie te correeren. AIR-processen kunnen beginnen wanneer bepaalde waarschuwingen worden geactiveerd of wanneer uw beveiligingsbewerkingsteam begint. Zie geautomatiseerd onderzoek en antwoord inOffice 365.

Widgets voor bedreigingsinformatie

Als onderdeel van de Microsoft Defender voor Office 365 abonnement 2 kunnen beveiligingsanalisten de details van een bekende bedreiging bekijken. Dit is handig om te bepalen of er aanvullende preventieve maatregelen/stappen zijn die kunnen worden genomen om gebruikers veilig te houden.

Beveiligingstrends met informatie over recente bedreigingen.

Hoe komen we aan deze mogelijkheden?

Microsoft 365 mogelijkheden voor bedreigingsonderzoek en -antwoord zijn opgenomen in Microsoft Defender voor Office 365 Plan 2, dat is opgenomen in Enterprise E5 of als een invoegabonnement op bepaalde abonnementen. Zie Defender voor Office 365 Plan 1 en Plan 2voor meer informatie.

Vereiste rollen en machtigingen

Microsoft Defender voor Office 365 gebruikt toegangsbeheer op basis van rollen. Machtigingen worden toegewezen via bepaalde rollen in Azure Active Directory, de Microsoft 365-beheercentrum of de Microsoft 365 Defender portal.

Tip

Hoewel sommige rollen, zoals Beveiligingsbeheerder, kunnen worden toegewezen in de Microsoft 365 Defender portal, kunt u in plaats daarvan de Microsoft 365-beheercentrum of Azure Active Directory gebruiken. Zie de volgende bronnen voor informatie over rollen, rollengroepen en machtigingen:

Activiteit	Rollen en machtigingen
Gebruik het dashboard Threat & Vulnerability Management (of het nieuwe beveiligingsdashboard) Informatie weergeven over recente of huidige bedreigingen	Een van de volgende opties: Globale beheerder Beveiligingsbeheerder Beveiligingslezer Deze rollen kunnen worden toegewezen in Azure Active Directory ( https://portal.azure.com ) of Microsoft 365-beheercentrum ( https://admin.microsoft.com ).
Verkenner (en realtime detecties) gebruiken om bedreigingen te analyseren	Een van de volgende opties: Globale beheerder Beveiligingsbeheerder Beveiligingslezer Deze rollen kunnen worden toegewezen in Azure Active Directory ( https://portal.azure.com ) of Microsoft 365-beheercentrum ( https://admin.microsoft.com ).
Incidenten weergeven (ook wel onderzoeken genoemd) E-mailberichten toevoegen aan een incident	Een van de volgende opties: Globale beheerder Beveiligingsbeheerder Beveiligingslezer Deze rollen kunnen worden toegewezen in Azure Active Directory ( https://portal.azure.com ) of Microsoft 365-beheercentrum ( https://admin.microsoft.com ).
E-mailacties in een incident activeren Verdachte e-mailberichten zoeken en verwijderen	Een van de volgende opties: Globale beheerder Beveiligingsbeheerder plus de rol Zoeken en zuiveren De rollen Globale beheerder en beveiligingsbeheerder kunnen worden toegewezen in Azure Active Directory ( ) of de Microsoft 365-beheercentrum ( https://portal.azure.com https://admin.microsoft.com ). De rol Zoeken en zuiveren moet worden toegewezen in de rollen voor samenwerking & e-mail in de Microsoft 36 Defender-portal https://security.microsoft.com ().
Microsoft Defender voor Office 365 abonnement 2 integreren met Microsoft Defender voor Eindpunt Microsoft Defender voor Office 365 abonnement 2 integreren met een SIEM-server	De rol Globale beheerder of beveiligingsbeheerder die is toegewezen in Azure Active Directory ( ) of de Microsoft 365-beheercentrum ( https://portal.azure.com https://admin.microsoft.com ). --- plus --- Een geschikte rol die is toegewezen in extra toepassingen (zoals Microsoft Defender-beveiligingscentrum of uw SIEM-server).