Gecompromitteerde gebruikersaccounts aanpakken met geautomatiseerd onderzoek en antwoord

• Van toepassing op:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tip

Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

Microsoft Defender voor Office 365 Plan 2 bevat krachtige mogelijkheden voor geautomatiseerd onderzoek en respons (AIR). Dergelijke mogelijkheden kunnen uw beveiligingsteam veel tijd en moeite besparen om met bedreigingen om te gaan. In dit artikel wordt een van de facetten van de AIR-mogelijkheden beschreven, het gecompromitteerde playbook voor gebruikersbeveiliging.

Met het gecompromitteerde playbook voor gebruikersbeveiliging kan het beveiligingsteam van uw organisatie het volgende doen:

• Detectie van gecompromitteerde gebruikersaccounts versnellen;
• Het bereik van een inbreuk beperken wanneer een account wordt gecompromitteerd; en
• Reageer effectiever en efficiënter op gecompromitteerde gebruikers.

Gecompromitteerde gebruikerswaarschuwingen

Wanneer een gebruikersaccount is gecompromitteerd, treden atypisch of afwijkend gedrag op. Phishing- en spamberichten kunnen bijvoorbeeld intern worden verzonden vanuit een vertrouwd gebruikersaccount. Defender voor Office 365 kunt dergelijke afwijkingen in e-mailpatronen en samenwerkingsactiviteiten binnen Office 365 detecteren. Wanneer dit gebeurt, worden waarschuwingen geactiveerd en wordt het risicobeperkingsproces gestart.

Een gehackte gebruiker onderzoeken en erop reageren

Wanneer een gebruikersaccount is gecompromitteerd, worden waarschuwingen geactiveerd. En in sommige gevallen wordt dat gebruikersaccount geblokkeerd en kunnen er geen verdere e-mailberichten worden verzonden totdat het probleem is opgelost door het beveiligingsteam van uw organisatie. In andere gevallen begint een geautomatiseerd onderzoek dat kan resulteren in aanbevolen acties die uw beveiligingsteam moet uitvoeren.

• Beperkte gebruikers weergeven en onderzoeken

• Details over geautomatiseerde onderzoeken weergeven

Belangrijk

U moet over de juiste machtigingen beschikken om de volgende taken uit te voeren. Zie Vereiste machtigingen voor het gebruik van AIR-mogelijkheden.

Bekijk deze korte video voor meer informatie over hoe u inbreuk van gebruikers in Microsoft Defender voor Office 365 kunt detecteren en erop kunt reageren met behulp van Geautomatiseerd onderzoek en antwoord (AIR) en gecompromitteerde gebruikerswaarschuwingen.

Beperkte gebruikers weergeven en onderzoeken

U hebt een aantal opties voor het navigeren naar een lijst met beperkte gebruikers. In de Microsoft Defender-portal kunt u bijvoorbeeld naar Email & samenwerking>Beperkte gebruikers beoordelen>. In de volgende procedure wordt de navigatie beschreven met behulp van het dashboard Waarschuwingen . Dit is een goede manier om verschillende soorten waarschuwingen te bekijken die mogelijk zijn geactiveerd.

1. Open de Microsoft Defender portal op https://security.microsoft.com en ga naar Waarschuwingen voor incidenten &>. Als u rechtstreeks naar de pagina Waarschuwingen wilt gaan, gebruikt u https://security.microsoft.com/alerts.

2. Filter op de pagina Waarschuwingen de resultaten op periode en het beleid met de naam Gebruiker beperkt tot het verzenden van e-mail.

   

3. Als u de vermelding selecteert door op de naam te klikken, wordt de pagina Gebruiker die geen e-mail mag verzenden geopend, met aanvullende details die u kunt bekijken. Naast de knop Waarschuwing beheren klikt u op Meer opties en selecteert u vervolgens Details van beperkte gebruiker weergeven om naar de pagina Beperkte gebruikers te gaan, waar u de beperkte gebruiker kunt vrijgeven.

Details over geautomatiseerde onderzoeken weergeven

Wanneer een geautomatiseerd onderzoek is gestart, kunt u de details en resultaten ervan bekijken in het Actiecentrum in de Microsoft Defender portal.

Zie Details van een onderzoek weergeven voor meer informatie.

Houd rekening met de volgende punten

• Blijf op de hoogte van uw waarschuwingen. Zoals u weet, hoe langer een compromis onopgemerkt blijft, hoe groter het potentieel voor wijdverspreide impact en kosten voor uw organisatie, klanten en partners. Vroege detectie en tijdige reactie zijn essentieel om bedreigingen te beperken, met name wanneer het account van een gebruiker wordt gecompromitteerd.

• Automation helpt uw beveiligingsteam. Geautomatiseerde onderzoeks- en reactiemogelijkheden kunnen een gecompromitteerde gebruiker vroegtijdig detecteren en uw beveiligingsteam in staat stellen actie te ondernemen om de bedreiging te verhelpen. Hulp nodig? Zie Acties controleren en goedkeuren.

Volgende stappen

• Controleer de vereiste machtigingen voor het gebruik van AIR-mogelijkheden

• Schadelijke e-mail zoeken en onderzoeken in Office 365

• Meer informatie over AIR in Microsoft Defender voor Eindpunt

• Ga naar de Microsoft 365-roadmap om te zien wat er binnenkort beschikbaar is en wat er wordt geïmplementeerd