Email beveiliging met Threat Explorer en realtime detecties in Microsoft Defender voor Office 365

• Van toepassing op:

  ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender XDR gratis kunt uitproberen voor Office 365 Abonnement 2? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en voorwaarden voor proefversies vindt u hier.

Microsoft 365-organisaties die Microsoft Defender voor Office 365 hebben opgenomen in hun abonnement of die zijn gekocht als een invoegtoepassing, hebben Explorer (ook wel bekend als Threat Explorer) of realtime detecties. Deze functies zijn krachtige, bijna realtime hulpprogramma's waarmee SecOps-teams (Security Operations) bedreigingen kunnen onderzoeken en erop kunnen reageren. Zie Over Bedreigingsverkenner en realtime detecties in Microsoft Defender voor Office 365 voor meer informatie.

In dit artikel wordt uitgelegd hoe u gedetecteerde malware en phishingpogingen in e-mail kunt bekijken en onderzoeken met behulp van Bedreigingsverkenner of realtime detecties.

Tip

Zie de volgende artikelen voor andere e-mailscenario's die gebruikmaken van Threat Explorer en realtimedetecties:

• Opsporing van bedreigingen in Threat Explorer en realtime detecties in Microsoft Defender voor Office 365
• Onderzoek schadelijke e-mail die is bezorgd in Microsoft 365

Wat moet u weten voordat u begint?

• Threat Explorer is opgenomen in Defender voor Office 365-abonnement 2. Realtime detecties zijn opgenomen in Defender voor Office Abonnement 1:

  • De verschillen tussen bedreigingsverkenner en realtimedetecties worden beschreven in Over bedreigingsverkenner en realtimedetecties in Microsoft Defender voor Office 365.
  • De verschillen tussen Defender voor Office 365 Abonnement 2 en Defender voor Office-abonnement 1 worden beschreven in het Defender voor Office 365 cheatsheet voor abonnement 1 versus abonnement 2.

• Zie Machtigingen en licenties voor Threat Explorer en realtime detecties voor machtigingen en licentievereisten voor Threat Explorer en realtimedetecties.

Phishing-e-mail weergeven die is verzonden naar geïmiteerde gebruikers en domeinen

Zie Imitatie-instellingen in antiphishingbeleid in Microsoft Defender voor Office 365 voor meer informatie over beveiliging tegen gebruikers- en domeinimitatie in antiphishingbeleid in Defender voor Office 365.

In het standaard- of aangepaste antiphishingbeleid moet u de gebruikers en domeinen opgeven die moeten worden beschermd tegen imitatie, inclusief domeinen waarvan u de eigenaar bent (geaccepteerde domeinen). In het standaard- of strikt vooraf ingestelde beveiligingsbeleid ontvangen domeinen waarvan u de eigenaar bent automatisch imitatiebeveiliging, maar u moet gebruikers of aangepaste domeinen opgeven voor imitatiebeveiliging. Zie de volgende artikelen voor instructies:

• Vooraf ingesteld beveiligingsbeleid in EOP en Microsoft Defender voor Office 365
• Antiphishingbeleid configureren in Microsoft Defender voor Office 365

Gebruik de volgende stappen om phishingberichten te controleren en te zoeken naar geïmiteerde gebruikers of domeinen.

1. Gebruik een van de volgende stappen om Bedreigingsverkenner of realtime detecties te openen:

   • Threat Explorer: Ga in de Defender-portal op https://security.microsoft.comnaar Email & Security>Explorer. Of, als u rechtstreeks naar de Explorer-pagina wilt gaan, gebruikt https://security.microsoft.com/threatexplorerv3u .
   • Realtime-detecties: Ga in de Defender-portal op https://security.microsoft.comnaar Email &Realtime-detectiesvan beveiliging>. Of gebruik https://security.microsoft.com/realtimereportsv3om rechtstreeks naar de pagina Realtime detecties te gaan.

2. Selecteer op de pagina Explorer of Realtime detecties de weergave Phish . Zie Phish-weergave in Bedreigingsverkenner en realtime detecties voor meer informatie over de Phish-weergave.

3. Selecteer het datum-/tijdbereik. De standaardwaarde is gisteren en vandaag.

4. Ga op een van de volgende manieren te werk:

   • Zoek eventuele imitatiepogingen van gebruikers of domeinen:

     • Selecteer het vak Afzenderadres (eigenschap) en selecteer vervolgens Detectietechnologie in de sectie Basis van de vervolgkeuzelijst.
     • Controleer of Gelijk een van is geselecteerd als de filteroperator.
     • Selecteer in het vak eigenschapswaarde de optie Imitatiedomein en Imitatiegebruiker

   • Specifieke geïmiteerde gebruikerspogingen zoeken:

     • Selecteer het vak Afzenderadres (eigenschap) en selecteer vervolgens Geïmiteerde gebruiker in de sectie Basis van de vervolgkeuzelijst.
     • Controleer of Gelijk een van is geselecteerd als de filteroperator.
     • Voer in het vak eigenschapswaarde het volledige e-mailadres van de geadresseerde in. Scheid meerdere geadresseerdewaarden door komma's.

   • Specifieke domeinpogingen zoeken die zijn geïmiteerd:

     • Selecteer het vak Afzenderadres (eigenschap) en selecteer vervolgens Geïmiteerd domein in de sectie Basis van de vervolgkeuzelijst.
     • Controleer of Gelijk een van is geselecteerd als de filteroperator.
     • Voer in het vak eigenschapswaarde het domein in (bijvoorbeeld contoso.com). Scheid meerdere domeinwaarden door komma's.

5. Voer indien nodig meer voorwaarden in met behulp van andere filterbare eigenschappen. Zie Eigenschappenfilters in Bedreigingsverkenner en realtime detecties voor instructies.

6. Wanneer u klaar bent met het maken van de filtervoorwaarden, selecteert u Vernieuwen.

7. Controleer in het detailgebied onder de grafiek of het tabblad Email (weergave) is geselecteerd.

   U kunt de vermeldingen sorteren en meer kolommen weergeven zoals beschreven in Email weergave voor het detailgebied van de weergave Phish in Bedreigingsverkenner en realtime detecties.

   • Als u de waarde Onderwerp van een item in de tabel selecteert, wordt er een flyout met e-mailgegevens geopend. Deze flyout voor details staat bekend als het Email overzichtsvenster en bevat gestandaardiseerde samenvattingsinformatie die ook beschikbaar is op de pagina Email entiteit voor het bericht.

     Zie Het Email overzichtsvenster voor meer informatie over de informatie in het Email samenvattingsvenster.

     Zie Email details in de Email weergave van Email het detailgebied in de weergave Alle e-mail voor informatie over de beschikbare acties voor Bedreigingsverkenner en realtimedetecties.

   • Als u de waarde Ontvanger van een item in de tabel selecteert, wordt er een andere flyout met details geopend. Zie Details van geadresseerden in de Email weergave van het detailgebied in de weergave Phish voor meer informatie.

URL-klikgegevens exporteren

U kunt URL-klikgegevens exporteren naar een CSV-bestand om de netwerkbericht-id en klik op beoordelingswaarden weer te geven. Hiermee kunt u uitleggen waar uw URL-klikverkeer vandaan kwam.

1. Gebruik een van de volgende stappen om Bedreigingsverkenner of realtime detecties te openen:

   • Threat Explorer: Ga in de Defender-portal op https://security.microsoft.comnaar Email & Security>Explorer. Of, als u rechtstreeks naar de Explorer-pagina wilt gaan, gebruikt https://security.microsoft.com/threatexplorerv3u .
   • Realtime-detecties: Ga in de Defender-portal op https://security.microsoft.comnaar Email &Realtime-detectiesvan beveiliging>. Of gebruik https://security.microsoft.com/realtimereportsv3om rechtstreeks naar de pagina Realtime detecties te gaan.

2. Selecteer op de pagina Explorer of Realtime detecties de weergave Phish . Zie Phish-weergave in Bedreigingsverkenner en realtime detecties voor meer informatie over de Phish-weergave.

3. Selecteer het datum-/tijdbereik en selecteer vervolgens Vernieuwen. De standaardwaarde is gisteren en vandaag.

4. Selecteer in het detailgebied het tabblad Bovenste URL's of Bovenste klikken (weergave).

5. Selecteer in de weergave Bovenste URL's of Bovenste klikken een of meer vermeldingen in de tabel door het selectievakje naast de eerste kolom in te schakelen en vervolgens Exporteren te selecteren. Explorer>Phish>Klikken>Top-URL's of URL Top Clicks> selecteer een record om de URL-flyout te openen.

U kunt de waarde netwerkbericht-id gebruiken om te zoeken naar specifieke berichten in Bedreigingsverkenner of realtime detecties of externe hulpprogramma's. Met deze zoekopdrachten wordt het e-mailbericht geïdentificeerd dat is gekoppeld aan een klikresultaat. De gecorreleerde netwerkbericht-id maakt een snellere en krachtigere analyse mogelijk.

Malware weergeven die is gedetecteerd in e-mail

Gebruik de volgende stappen in Bedreigingsverkenner of realtime detecties om de malware te zien die is gedetecteerd in e-mail door Microsoft 365.

1. Gebruik een van de volgende stappen om Bedreigingsverkenner of realtime detecties te openen:

   • Threat Explorer: Ga in de Defender-portal op https://security.microsoft.comnaar Email & Security>Explorer. Of, als u rechtstreeks naar de Explorer-pagina wilt gaan, gebruikt https://security.microsoft.com/threatexplorerv3u .
   • Realtime-detecties: Ga in de Defender-portal op https://security.microsoft.comnaar Email &Realtime-detectiesvan beveiliging>. Of gebruik https://security.microsoft.com/realtimereportsv3om rechtstreeks naar de pagina Realtime detecties te gaan.

2. Selecteer op de pagina Explorer of Realtime detecties de weergave Malware . Zie Malware-weergave in Bedreigingsverkenner en realtime detecties voor meer informatie over de weergave Phish.

3. Selecteer het datum-/tijdbereik. De standaardwaarde is gisteren en vandaag.

4. Selecteer het vak Afzenderadres (eigenschap) en selecteer vervolgens Detectietechnologie in de sectie Basis van de vervolgkeuzelijst.

   • Controleer of Gelijk een van is geselecteerd als de filteroperator.
   • Selecteer in het vak eigenschapswaarde een of meer van de volgende waarden:
     • Antimalwarebeveiliging
     • Bestandsonttoning
     • Reputatie van bestandsonttoning
     • Bestandsreputatie
     • Vingerafdrukkoppeling

5. Voer indien nodig meer voorwaarden in met behulp van andere filterbare eigenschappen. Zie Eigenschappenfilters in Bedreigingsverkenner en realtime detecties voor instructies.

6. Wanneer u klaar bent met het maken van de filtervoorwaarden, selecteert u Vernieuwen.

Het rapport toont de resultaten die malware in e-mail heeft gedetecteerd, met behulp van de technologieopties die u hebt geselecteerd. Hier kunt u verdere analyses uitvoeren.

Berichten rapporteren als schoon

U kunt de pagina Inzendingen in de Defender-portal op https://security.microsoft.com/reportsubmission gebruiken om berichten te rapporteren als schoon (fout-positief) aan Microsoft. Maar u kunt ook berichten als schoon verzenden naar Microsoft vanuit Explorer of realtime detecties.

Zie Opsporing van bedreigingen: Email herstel voor instructies.

Samenvattend:

• Selecteer Actie ondernemen met behulp van een van de volgende methoden:

  • Selecteer een of meer berichten in de detailtabel op het tabblad Email (weergave) in de weergave Alle e-mail, Malware of Phish door de selectievakjes voor de vermeldingen in te schakelen.

  Of

  • Klik in de flyout met details nadat u een bericht hebt geselecteerd in de detailtabel op het tabblad Email (weergave) in de weergave Alle e-mail, Malware of Phish door op de waarde Onderwerp te klikken.

• Selecteer in de wizard Actie ondernemende optie Verzenden naar Microsoft voor beoordeling>Ik heb bevestigd dat het schoon is.

Phishing-URL weergeven en op beoordelingsgegevens klikken

Beveiliging met veilige koppelingen houdt URL's bij die zijn toegestaan, geblokkeerd en overschreven. Beveiliging van Veilige koppelingen is standaard ingeschakeld, dankzij ingebouwde beveiliging in vooraf ingesteld beveiligingsbeleid. Beveiliging van veilige koppelingen is ingeschakeld in het vooraf ingestelde standaard- en strikte beveiligingsbeleid. U kunt ook beveiliging voor veilige koppelingen maken en configureren in aangepaste beleidsregels voor veilige koppelingen. Zie Beleidsinstellingen voor veilige koppelingen voor meer informatie over de beleidsinstellingen voor veilige koppelingen.

Gebruik de volgende stappen om phishingpogingen met behulp van URL's in e-mailberichten te bekijken.

1. Gebruik een van de volgende stappen om Bedreigingsverkenner of realtime detecties te openen:

   • Threat Explorer: Ga in de Defender-portal op https://security.microsoft.comnaar Email & Security>Explorer. Of, als u rechtstreeks naar de Explorer-pagina wilt gaan, gebruikt https://security.microsoft.com/threatexplorerv3u .
   • Realtime-detecties: Ga in de Defender-portal op https://security.microsoft.comnaar Email &Realtime-detectiesvan beveiliging>. Of gebruik https://security.microsoft.com/realtimereportsv3om rechtstreeks naar de pagina Realtime detecties te gaan.

2. Selecteer op de pagina Explorer of Realtime detecties de weergave Phish . Zie Phish-weergave in Bedreigingsverkenner en realtime detecties voor meer informatie over de Phish-weergave.

3. Selecteer het datum-/tijdbereik. De standaardwaarde is gisteren en vandaag.

4. Selecteer het vak Afzenderadres (eigenschap) en selecteer vervolgens Op oordeel klikken in de sectie URL's van de vervolgkeuzelijst.

   • Controleer of Gelijk een van is geselecteerd als de filteroperator.
   • Selecteer in het vak eigenschapswaarde een of meer van de volgende waarden:
     • Geblokkeerd
     • Geblokkeerde overschreven

   Zie Klik op oordeel in Filterbare eigenschappen in de weergave Alle e-mail in Bedreigingsverkenner voor uitleg over de waarden voor klik op een oordeel.

5. Voer indien nodig meer voorwaarden in met behulp van andere filterbare eigenschappen. Zie Eigenschappenfilters in Bedreigingsverkenner en realtime detecties voor instructies.

6. Wanneer u klaar bent met het maken van de filtervoorwaarden, selecteert u Vernieuwen.

Op het tabblad Bovenste URL's (weergave) in het detailgebied onder de grafiek ziet u het aantal geblokkeerde berichten, ongewenste berichten en berichten die zijn bezorgd voor de bovenste vijf URL's. Zie De weergave Top-URL's voor het detailgebied van de weergave Phish in Threat Explorer en realtime detecties voor meer informatie.

Op het tabblad Meest klikken (weergave) in het detailgebied onder de grafiek ziet u de vijf meest geklikte koppelingen die zijn verpakt door Veilige koppelingen. URL-klikken op niet-ingepakte koppelingen worden hier niet weergegeven. Zie De weergave Meest klikken voor het detailgebied van de Weergave Phish in Bedreigingsverkenner en realtime detecties voor meer informatie.

Deze URL-tabellen bevatten URL's die ondanks een waarschuwing zijn geblokkeerd of bezocht. Deze informatie toont de mogelijke ongeldige koppelingen die aan gebruikers zijn gepresenteerd. Hier kunt u verdere analyses uitvoeren.

Selecteer een URL uit een vermelding in de weergave voor meer informatie. Zie URL-details voor de tabbladen Belangrijkste URL's en Bovenste klikken in de weergave Phish voor meer informatie.

Tip

In de flyout URL-details wordt het filteren op e-mailberichten verwijderd om de volledige weergave van de blootstelling van de URL in uw omgeving weer te geven. Met dit gedrag kunt u filteren op specifieke e-mailberichten, specifieke URL's vinden die potentiële bedreigingen zijn en vervolgens uw inzicht in de URL-blootstelling in uw omgeving uitbreiden zonder DAT u URL-filters hoeft toe te voegen in de Phish-weergave .

Interpretatie van klikbeoordelingen

De resultaten van de eigenschap Click verdict zijn zichtbaar op de volgende locaties:

• Klik op de draaigrafiek voor de weergave URL-klikken van het detailgebied van de weergave Alle e-mail (alleen Bedreigingsverkenner) of Phish
• Weergave Meest klikken voor het detailgebied van de weergave Alle e-mail in Bedreigingsverkenner
• Weergave meest klikken voor het detailgebied van de Phish-weergave in Bedreigingsverkenner en realtime detecties
• Weergave Meest klikken voor het detailgebied van de weergave URL-klikken in Bedreigingsverkenner

De beoordelingswaarden worden beschreven in de volgende lijst:

• Toegestaan: de gebruiker mag de URL openen.
• Blokkeren overschreven: de gebruiker is geblokkeerd om de URL rechtstreeks te openen, maar ze overschrijven het blok om de URL te openen.
• Geblokkeerd: de gebruiker kan de URL niet openen.
• Fout: de gebruiker heeft de foutpagina te zien gekregen of er is een fout opgetreden bij het vastleggen van het oordeel.
• Fout: er is een onbekende uitzondering opgetreden tijdens het vastleggen van het vonnis. De gebruiker heeft mogelijk de URL geopend.
• Geen: kan het oordeel voor de URL niet vastleggen. De gebruiker heeft mogelijk de URL geopend.
• Beoordeling in behandeling: de gebruiker heeft de pagina detonatie in behandeling gekregen.
• Beoordeling in behandeling overgeslagen: de gebruiker kreeg de ontplofpagina te zien, maar ze overschreven het bericht om de URL te openen.

Geautomatiseerd onderzoek en antwoord starten in Bedreigingsverkenner

Geautomatiseerd onderzoek en respons (AIR) in Defender voor Office 365 Plan 2 kan tijd en moeite besparen bij het onderzoeken en beperken van cyberaanvallen. U kunt waarschuwingen configureren die een beveiligingsplaybook activeren en u kunt AIR starten in Threat Explorer. Zie Voorbeeld: een beveiligingsbeheerder activeert een onderzoek vanuit Explorer voor meer informatie.

Andere artikelen

E-mail onderzoeken met de pagina Email entiteit