Herstelacties in geautomatiseerd onderzoek en respons (AIR) in Microsoft Defender voor Office 365 Plan 2 controleren en beheren

• Van toepassing op:

  ✅ Microsoft Defender for Office 365 Plan 2

Tip

Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

In Microsoft 365-organisaties met Microsoft Defender voor Office 365 Abonnement 2 (opgenomen in Microsoft 365-licenties, zoals E5 of als een zelfstandig abonnement), resulteert geautomatiseerd onderzoek en respons (AIR) vaak in wachtende herstelacties. Bijvoorbeeld:

• E-mailberichten of clusters worden voorlopig verwijderd.
• Doorsturen van externe e-mail uitschakelen.

Deze herstelacties worden niet automatisch uitgevoerd. De herstelacties moeten worden goedgekeurd door een lid van het SecOps-team (Security Operations). In de rest van dit artikel wordt uitgelegd hoe u herstelacties in behandeling goedkeurt of afwijst.

Tip

We raden u aan om zo snel mogelijk openstaande herstelacties te beoordelen en goed te keuren of af te wijzen, zodat uw geautomatiseerde onderzoeken tijdig worden voltooid.

Het systeem controleert op dubbele of overlappende onderzoeken waarbij dezelfde clusters meerdere keren zijn goedgekeurd. Als hetzelfde onderzoekscluster al in het vorige uur is goedgekeurd, worden nieuwe dubbele herstelbewerkingen niet opnieuw verwerkt. Dit gedrag verwijdert geen dubbele onderzoeken of onderzoeksmateriaal, maar ontdubbelt goedgekeurde acties om de verwerkingssnelheid van herstel te verbeteren. Voor dubbele goedgekeurde clusteronderzoeken ziet u de actiedetails van de flyout niet op het tabblad Geschiedenis op de pagina Actiecentrum in de Microsoft Defender portal op https://security.microsoft.com/action-center/history.

Wat moet u weten voordat u begint?

• Zie Vereiste machtigingen en licenties voor AIR voor meer informatie over de machtigingen en licentievereisten voor AIR.
• Er is een time-out voor acties in behandeling na het wachten op goedkeuring gedurende één week.

Acties in behandeling goedkeuren of weigeren op de pagina Onderzoeken in Defender voor Office 365

Zie Details en resultaten van geautomatiseerd onderzoek en respons (AIR) in Microsoft Defender voor Office 365 Plan 2 voor meer informatie over de pagina Incidenten in Defender voor Office 365.

1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de pagina Onderzoeken in Defender voor Office 365 bij Email &samenwerkingsonderzoeken>. Of als u rechtstreeks naar de pagina Onderzoeken in Defender voor Office 365 wilt gaan, gebruikt u https://security.microsoft.com/airinvestigation.
2. Zoek op de pagina Onderzoeken in Defender voor Office 365 een item in de lijst waarvan de statuswaardeIn behandeling is. Gebruik Filter om de resultaten te filteren op de actie StatuswaardeIn behandeling.
3. Selecteer op de pagina Onderzoeken het actie-item In behandeling door te klikken op Openen in nieuw venster in de kolom Id (schakel het selectievakje niet in).
4. Selecteer op de pagina met onderzoeksgegevens die wordt geopend het tabblad Acties in behandeling en selecteer vervolgens een vermelding in de lijst door ergens in de rij te klikken, behalve het selectievakje naast de eerste kolom.
5. Controleer in de flyout met details die wordt geopend de informatie en selecteer vervolgens een van de volgende acties bovenaan de flyout:
   • Goedkeuren: start de actie in behandeling.
   • Weigeren: voorkomen dat de actie in behandeling wordt uitgevoerd.

Acties in behandeling goedkeuren of weigeren op de pagina Incidenten in Defender XDR

Zie Incidenten onderzoeken in Microsoft Defender XDR voor meer informatie over de pagina Incidenten in Defender XDR.

1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar de pagina Incidenten in Defender XDR bij Incidenten & waarschuwingen>Incidenten. Of gebruik https://security.microsoft.com/incidentsom rechtstreeks naar de pagina Incidenten in Defender XDR te gaan.

2. Zoek op de pagina Onderzoeken in Defender XDR een item in de lijst met de waarde Statusin behandeling. Gebruik de volgende stappen om de resultaten te filteren:

   1. Wis bestaande ongewenste filters op de pagina Incidenten door Wissen te selecteren.
   2. Selecteer Filter toevoegen.
   3. Selecteer in het dialoogvenster Filter toevoegen dat wordt geopend de optie Status van geautomatiseerd onderzoek en selecteer vervolgens Toevoegen.
   4. Selecteer de status Geautomatiseerd onderzoek: Elk filter op de pagina Incidenten .
   5. Selecteer in de vervolgkeuzelijst die wordt geopend de optie Actie In behandeling en selecteer vervolgens Toepassen.

   Tip

   Filteren op status van geautomatiseerd onderzoek: actie in behandeling kan bovenliggende incidenten aan het licht brengen met de waarde Goedkeuring in behandeling voor de status Onderzoek. In dat geval bent u geïnteresseerd in het bovenliggende incident met goedkeuring in behandeling .

3. Selecteer op de pagina Incidenten het incident in behandeling door te klikken op de waarde Incidentnaam (schakel het selectievakje niet in).

4. Selecteer op de pagina met incidentdetails die wordt geopend het tabblad Bewijs en antwoord en zoek de vermeldingen met de waarde Herstelstatusin behandeling in afwachting van goedkeuring. Bijvoorbeeld:

   • Klik op de kolomkop Herstelstatus en selecteer oplopend sorteren.
   • Selecteer Filteren>in behandeling goedkeuring in de sectie >HerstelstatusToepassen.

5. Selecteer op het tabblad Bewijs en antwoord de vermelding Goedkeuring in behandeling door ergens in de rij te klikken, behalve het selectievakje naast de eerste kolom.

6. Controleer in de flyout met details die wordt geopend de informatie en selecteer vervolgens een van de volgende acties bovenaan de flyout:

   • Goedkeuren: start de actie in behandeling.
   • Weigeren: voorkomen dat de actie in behandeling wordt uitgevoerd.

Acties in behandeling goedkeuren of weigeren vanuit het geïntegreerde actiecentrum

Zie Het actiecentrum voor meer informatie over het geïntegreerde actiecentrum in Defender XDR.

1. Ga in de Microsoft Defender portal op https://security.microsoft.comnaar het tabblad In behandeling op de pagina Actiecentrum op acties & het> tabbladActiecentrum>in behandeling. Of gebruik https://security.microsoft.com/action-center/pendingom rechtstreeks naar het tabblad In behandeling op de pagina Actiecentrum te gaan.
2. Selecteer op het tabblad In behandeling van de pagina Actiecentrum een vermelding in de lijst door te klikken op de waarde van de onderzoeks-id (schakel het selectievakje niet in).
3. Selecteer op de pagina met onderzoeksgegevens die wordt geopend het tabblad Acties in behandeling en selecteer vervolgens een vermelding in de lijst door ergens in de rij te klikken, behalve het selectievakje naast de eerste kolom.
4. Controleer in de flyout met details die wordt geopend de informatie en selecteer vervolgens een van de volgende acties bovenaan de flyout:
   • Goedkeuren: start de actie in behandeling.
   • Weigeren: voorkomen dat de actie in behandeling wordt uitgevoerd.

Herstelacties wijzigen of ongedaan maken

Zie Herstelacties ongedaan maken voor instructies.

Zie ook

• Details en resultaten van een geautomatiseerd onderzoek weergeven in Office 365
• Schadelijke e-mail herstellen die is bezorgd in Office 365
• Fout-positieven of fout-negatieven rapporteren in geautomatiseerd onderzoek en reactie (AIR)