Delen via

Details en resultaten van geautomatiseerd onderzoek en respons (AIR) in Microsoft Defender voor Office 365 Plan 2

Tip

Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.

In Microsoft 365-organisaties met Microsoft Defender voor Office 365 Abonnement 2 zijn details over actieve en voltooide onderzoeken van geautomatiseerd onderzoek en respons (AIR) in Defender voor Office 365 beschikbaar op de pagina Onderzoeken in de Microsoft Defender portal op https://security.microsoft.com/airinvestigation. Onderzoeksgegevens bieden u de up-to-date status en (met de juiste machtigingen) de mogelijkheid om eventuele in behandeling zijnde acties goed te keuren.

Tip

AIR-details en resultaten zijn ook beschikbaar in Microsoft Defender XDR op de pagina Onderzoeken op https://security.microsoft.com/incidents. Zie de pagina Geïntegreerd onderzoek voor meer informatie.

Wat moet u weten voordat u begint?

  • Zie Vereiste machtigingen en licenties voor AIR voor meer informatie over de machtigingen en licentievereisten voor AIR.

  • Email aantallen worden berekend op het moment van het onderzoek. Sommige aantallen worden opnieuw berekend wanneer u flyouts voor onderzoeken opent (op basis van de onderliggende query).

    De volgende waarden voor het aantal e-mail worden berekend op het moment van onderzoek en worden niet gewijzigd:

    • Email clusters op het tabblad Email.
    • De waarde van de e-mailhoeveelheid die wordt weergegeven op de flyout van de e-mailclusters.

    De volgende waarden voor het aantal e-mail weerspiegelen e-mailberichten die zijn ontvangen na de eerste analyse van het onderzoek:

    • Het aantal e-mail dat wordt weergegeven onder aan het tabblad Email van de flyout van de e-mailclusters.

    • Het aantal e-mail dat wordt weergegeven in Explorer (Bedreigingsverkenner)

      Een e-mailcluster met een oorspronkelijke hoeveelheid van 10 berichten geeft bijvoorbeeld een totaal van 15 e-maillijsten weer als er nog vijf berichten binnenkomen tussen de onderzoekanalysefase en wanneer een beheerder het onderzoek beoordeelt. Op dezelfde manier kunnen oude onderzoeken meer berichten tellen dan Threat Explorer-query's, omdat gegevens in Microsoft Defender voor Office 365 Abonnement 2 zeven dagen na het einde van een proefversie verlopen en 30 dagen later voor betaalde licenties.

      Historische en huidige aantallen e-mailberichten worden weergegeven in verschillende weergaven om de volgende informatie te geven:

      • Het e-maileffect op het moment van onderzoek.
      • Het huidige e-maileffect tot wanneer het herstel wordt uitgevoerd.

  • Voor e-mail ziet u mogelijk een volumeafwijkingsrisico als onderdeel van het onderzoek. Een volumeafwijking duidt op een piek in vergelijkbare e-mailberichten rond de onderzoekstijd in vergelijking met eerdere tijden. Een piek in het e-mailverkeer in combinatie met overeenkomsten in bepaalde berichteigenschappen (bijvoorbeeld onderwerp, berichttekst, afzenderdomein en afzender-IP) duidt meestal op het begin van e-mailaanvallen. Maar bulksgewijs e-mail, spam en legitieme e-mailcampagnes delen meestal dezelfde berichteigenschappen.

Onderzoeken van AIR in Defender voor Office 365 Plan 2

Ga in de Defender-portal op https://security.microsoft.comnaar Email &samenwerkingsonderzoeken>. Als u rechtstreeks naar de pagina Onderzoeken wilt gaan, gebruikt u https://security.microsoft.com/airinvestigation.

Standaard worden onderzoeksdetails van gisteren en vandaag weergegeven, maar u kunt het datumbereik wijzigen.

De volgende informatie die wordt weergegeven op de pagina Onderzoeken . U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd:

  • Id: de unieke id van het onderzoek. Selecteer Openen in nieuw venster om de details van het onderzoek te openen, zoals beschreven in de sectie Details van onderzoek weergeven .
  • Status: de beschikbare statuswaarden worden beschreven in de sectie Onderzoeksstatuswaarden .
  • Detectiebron: deze waarde is altijd Office365.
  • Onderzoek
  • Gebruikers
  • Aanmaaktijd
  • Laatst gewijzigde tijd
  • Aantal bedreigingen
  • Aantal acties
  • Duur van het onderzoek

Als u de vermeldingen wilt filteren, selecteert u Filteren. De volgende filters zijn beschikbaar in de flyout Filter die wordt geopend:

  • Sectie Type onderzoek : selecteer een of meer van de volgende waarden:
    • Handmatig onderzoek
    • Door de gebruiker gerapporteerde berichten
    • Bestand met zapped
    • Zapped URL
    • URL-beoordeling wijzigen
    • Gebruiker is gecompromitteerd
  • Sectie Tijdsbereik : selecteer Waarden voor Begindatum en Einddatum . Gegevens zijn beschikbaar voor de afgelopen 72 dagen.
  • Sectie Status : selecteer een of meer van de volgende waarden die worden beschreven in de sectie Onderzoeksstatuswaarden :
    • Starten
    • Uitvoeren
    • Geen bedreigingen gevonden
    • Beëindigd door systeem
    • Actie in behandeling
    • Bedreigingen gevonden
    • Hersteld
    • Gedeeltelijk hersteld
    • Beëindigd door gebruiker
    • Mislukt
    • In de wachtrij geplaatst door beperking
    • Beëindigd door beperking

Wanneer u klaar bent met de filter-flyout , selecteert u Toepassen. Als u de filters wilt wissen, selecteert u Filters wissen.

Gebruik het vak Zoeken om informatie op de pagina te zoeken. Typ tekst in het vak en druk op Enter.

Gebruik Exporteren om de zichtbare informatie op te slaan in een CSV-bestand. De standaardbestandsnaam is Onderzoeken - Microsoft Defender.csv en de standaardlocatie is de lokale map Downloads. Als er al een geëxporteerd rapport op die locatie bestaat, wordt de bestandsnaam verhoogd (bijvoorbeeld Onderzoeken - Microsoft Defender (1).csv).

Waarden voor onderzoeksstatus

De statuswaarden van een onderzoek geven de voortgang van de analyse en acties aan. Terwijl het onderzoek wordt uitgevoerd, wordt de waarde Status bijgewerkt om aan te geven of er bedreigingen zijn gevonden en of acties zijn goedgekeurd.

De statuswaarden die worden gebruikt in onderzoeken, worden beschreven in de volgende lijst:

  • Mislukt: ten minste één onderzoekanalyse heeft een probleem gelopen waarbij het niet goed kon worden voltooid.

    Als een onderzoek mislukt nadat herstelacties zijn goedgekeurd, zijn de herstelacties mogelijk nog steeds geslaagd. Bekijk de details van het onderzoek voor meer informatie.

  • Geen bedreigingen gevonden: het onderzoek is voltooid en er zijn geen bedreigingen geïdentificeerd (gecompromitteerde gebruikersaccounts, e-mailberichten, URL's of bestanden).

    Als u vermoedt dat er iets kwaadaardigs is gemist (een fout-negatief), kunt u actie ondernemen met Threat Explorer (Explorer).

  • Gedeeltelijk onderzocht (voorheen bekend als Bedreigingen gevonden): het geautomatiseerde onderzoek heeft problemen gevonden, maar zonder specifieke herstelacties om de problemen op te lossen. Treedt op wanneer een bepaald type gebruikersactiviteit is geïdentificeerd, maar er geen opschoonacties beschikbaar zijn. Voorbeelden hiervan zijn een van de volgende gebruikersactiviteiten:

    • Een DLP-gebeurtenis (preventie van gegevensverlies).
    • Een e-mail die anomalie verzendt.
    • Malware verzonden.
    • Phishing verzonden.
    • Het onderzoek vond niets te doen. Bijvoorbeeld:
      • Geen schadelijke URL's, bestanden of e-mailberichten om te herstellen.
      • Er hoeft geen postvakactiviteit te worden opgelost (bijvoorbeeld doorstuurregels of delegering uitschakelen).

    Als u vermoedt dat er iets kwaadaardigs is gemist (een fout-negatief), kunt u actie ondernemen met Threat Explorer (Explorer).

  • Gedeeltelijk hersteld: Het onderzoek heeft geresulteerd in herstelacties en sommige zijn goedgekeurd en voltooid. Andere acties zijn nog in afwachting van goedkeuring.

  • Actie in behandeling: Het onderzoek heeft een bedreiging gevonden (bijvoorbeeld een schadelijke e-mail, een schadelijke URL of een riskante postvakinstelling) en een actie om de bedreiging te verhelpen wacht op goedkeuring.

    De lijst met acties in behandeling kan toenemen naarmate een onderzoek wordt uitgevoerd. Bekijk de details van het onderzoek om te zien of andere items nog in behandeling zijn.

  • In de wachtrij geplaatst door beperking: er wordt een onderzoek uitgevoerd in een wachtrij. Wanneer andere onderzoeken zijn voltooid, worden in de wachtrij geplaatste onderzoeken gestart. Beperking helpt slechte serviceprestaties te voorkomen.

    Acties in behandeling kunnen beperken hoeveel nieuwe onderzoeken kunnen worden uitgevoerd. Zorg ervoor dat u acties in behandeling goedkeurt of afwijst.

  • Hersteld: het onderzoek is voltooid en alle herstelacties zijn goedgekeurd (vermeld als volledig hersteld).

    Goedgekeurde herstelacties kunnen fouten bevatten waardoor de acties niet kunnen worden uitgevoerd. Ongeacht of herstelacties zijn voltooid, verandert de onderzoeksstatus niet. Bekijk de details van het onderzoek voor meer informatie.

  • Wordt uitgevoerd: het onderzoeksproces is aan de gang. Deze statuswaarde treedt ook op wanneer acties in behandeling zijn goedgekeurd.

  • Starten: het onderzoek is geactiveerd en wacht op uitvoering.

  • Beëindigd door systeem: het onderzoek is gestopt. Bijvoorbeeld:

    • Acties in behandeling zijn verlopen (maximaal één week beschikbaar).
    • Te veel acties. Te veel gebruikers die bijvoorbeeld op schadelijke URL's klikken, kunnen de mogelijkheid van het onderzoek om alle analysen uit te voeren overschrijden, waardoor het onderzoek wordt gestopt.

    Als een onderzoek stopt voordat er acties zijn ondernomen, probeert u Threat Explorer (Explorer) te gebruiken om bedreigingen te vinden en aan te pakken.

  • Beëindigd door beperking: een onderzoek wordt automatisch gestopt nadat het te lang in de wachtrij is geplaatst.

    U kunt een onderzoek starten vanuit Threat Explorer (Explorer).

Onderzoeksdetails van AIR weergeven in Defender voor Office 365 Plan 2

Wanneer u Openen in nieuw venster selecteert in de kolom ID van een vermelding op de pagina Onderzoeken op https://security.microsoft.com/airinvestigation, wordt er een nieuwe pagina geopend met de details van het onderzoek.

De tegel van de pagina is de waarde Onderzoek (naam) op de pagina Onderzoeken . Bijvoorbeeld : Het verdict van de aangeklikte URL is gewijzigd in schadelijk - <URL>.

De subtitel van de pagina bevat de id en status van het onderzoek. Onderzoek #660b79 bijvoorbeeld is voltooid - Hersteld.

De rest van de detailpagina bevat verschillende tabbladen met gedetailleerde informatie over het onderzoek. Sommige tabbladen zijn gemeenschappelijk voor alle onderzoeken. Andere tabbladen zijn beschikbaar op basis van de aard en de status van het onderzoek.

De tabbladen worden beschreven in de volgende subsecties.

Schermopname van de pagina met onderzoeksdetails in de Defender-portal.

Tabblad Onderzoeksgrafiek in de details van het onderzoek

Op de pagina met details van het onderzoek is het tabblad Onderzoeksgrafiek het standaardtabblad dat de huidige status en resultaten van het onderzoek visueel weergeeft.

Op het tabblad Onderzoekgrafiek bevat het deelvenster Samenvatting onderzoek de volgende details:

  • Sectie Tijdlijn voor onderzoeksstatus :
    • Begon
    • Beëindigd: deze waarde is alleen aanwezig voor de volgende statuswaarden :
      • Er zijn geen bedreigingen gevonden
      • Gedeeltelijk hersteld
      • Hersteld
      • Beëindigd door systeem
      • Beëindigd door beperking
      • Beëindigd door gebruiker
      • Bedreigingen gevonden
      • Mislukt
    • Duur
    • Totale wachttijd: deze waarde is alleen aanwezig voor onderzoeken die acties in behandeling hadden die wachten op goedkeuring en die uiteindelijk zijn goedgekeurd of verlopen.
  • Sectie Details van onderzoek :
    • Status: de status van het onderzoek. Als de waarde Geen bedreigingen gevonden is, zijn er geen andere waarden aanwezig in de sectie.
    • Ernst van waarschuwing: de waarde Laag, **Gemiddeld of Hoog.
    • Categorie: de waarschuwingscategorie.
    • Detectiebron: de waarde is doorgaans MDO.

Het grafiekvenster bevat een visuele weergave van de elementen en activiteiten in het onderzoek. Sommige elementen zijn gemeenschappelijk voor alle onderzoeken, terwijl andere afhankelijk zijn van de aard en de voortgang van het onderzoek.

  • Waarschuwing ontvangen: toont de gerelateerde waarschuwingen. Selecteer om naar het tabblad Waarschuwingen te gaan voor meer informatie.

  • Postvak: toont de gerelateerde postvakken. Selecteer om naar het tabblad Postvakken te gaan voor meer informatie.

  • Geanalyseerde entiteiten: toont het aantal en het type gerelateerde entiteiten dat tijdens het onderzoek is geanalyseerd. Bijvoorbeeld:

    • URL's
    • Email berichten
    • Bestanden
    • Email clusters, waaronder het aantal schadelijke en het aantal herstelde clusters.

    Selecteer om naar het tabblad Entiteiten te gaan voor meer informatie.

  • Bewijs: toont het aantal gevonden entiteiten. Selecteer om naar het tabblad Bewijs te gaan voor meer informatie.

  • Goedkeuring in behandeling: geeft aan hoe lang het systeem heeft gewacht totdat een beheerder de voorgestelde handmatige herstelactie heeft uitgevoerd (bijvoorbeeld een e-mailbericht voorlopig verwijderen). Selecteer om naar het tabblad Acties in behandeling te gaan voor meer informatie.

    Nadat een beheerder de actie heeft uitgevoerd, wordt dit item vervangen door Gewacht op goedkeuring door de gebruiker.

  • Gewacht op goedkeuring door de gebruiker: toont hoe lang het duurde voordat een beheerder de voorgestelde handmatige herstelactie had uitgevoerd. Selecteer om naar het tabblad Actiegeschiedenis in behandeling te gaan voor meer informatie.

  • Resultaat: dit item is beschikbaar nadat het onderzoek is voltooid en wordt gedupliceerd op de volgende locaties op de pagina:

    • In het midden van de grafiek. Selecteer het pictogram om naar het tabblad Logboek te gaan.
    • In de paginatitel.
    • In het deelvenster >Samenvatting van onderzoekde sectie Details van het onderzoek>sectie Statuswaarde.

    Bijvoorbeeld:

    • Hersteld

    • Beëindigd door systeem:

    • Er zijn geen bedreigingen gevonden

    • Gedeeltelijk onderzocht

      Sommige bevindingen moeten mogelijk worden beoordeeld. Gebruik de tabbladen Bewijs en entiteiten om mogelijke problemen handmatig te onderzoeken en op te lossen.

    • Gedeeltelijk hersteld

      Een probleem verhinderde het herstellen van sommige kwaadwillende entiteiten. Gebruik de tabbladen Bewijs en entiteiten om mogelijke problemen handmatig te onderzoeken en op te lossen.

Schermopname van het tabblad Onderzoeksgrafiek van de pagina met details van het onderzoek.

Tabblad Waarschuwingen in de details van het onderzoek

Op de pagina met details van het onderzoek worden op het tabblad Waarschuwingen de waarschuwingen weergegeven die betrekking hebben op het onderzoek.

U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. De standaardkolommen zijn gemarkeerd met een sterretje *:

  • Waarschuwingsnaam*
  • Tags*
  • Strengheid*
  • Incidentnaam*
  • Incident-id*
  • Status*
  • Categorie*
  • Beïnvloede assets
  • Gebruiker*
  • Servicebron*
  • Detectiebron
  • Onderzoeksstatus*
  • Laatste activiteit*
  • Classificatie*
  • Vastberadenheid
  • Toegewezen aan*

Als u op de waarde waarschuwingsnaam in een rij klikt, gaat u naar de detailpagina voor de waarschuwing. Deze detailpagina is hetzelfde als het klikken op de waarde van de waarschuwingsnaam in de bijbehorende vermelding op de pagina Waarschuwingen op https://security.microsoft.com/alerts. Zie Een waarschuwing analyseren voor meer informatie.

Als u ergens anders in de rij klikt dan de waarde van de waarschuwingsnaam of het selectievakje naast de eerste kolom, wordt een flyout met details voor de waarschuwing geopend. Deze flyout voor details is hetzelfde als klikken op een willekeurige plaats in de rij, behalve de waarde van de waarschuwingsnaam of het selectievakje naast de eerste kolom in de bijbehorende vermelding op de pagina Waarschuwingen op https://security.microsoft.com/alerts.

De acties die boven aan de flyout met waarschuwingsdetails beschikbaar zijn, zijn afhankelijk van de aard van de waarschuwing die dezelfde acties bevatten die beschikbaar zijn in de flyout met details van de bijbehorende waarschuwing op de pagina Waarschuwingen op https://security.microsoft.com/alerts. Waarschuwingen met de naam Email berichten met schadelijke URL die na bezorging zijn verwijderd, hebben bijvoorbeeld de volgende acties beschikbaar in de flyout met waarschuwingsgegevens:

  • Waarschuwingspagina openen: hiermee opent u dezelfde detailpagina als wanneer u op de waarde van de waarschuwingsnaam van een item klikt op de pagina Waarschuwingen op https://security.microsoft.com/alerts. Zie Een waarschuwing analyseren voor meer informatie.

  • Waarschuwing beheren: hiermee opent u een flyout Waarschuwing beheren waarin u details over het incident kunt bekijken en wijzigen. Zie Waarschuwingen beheren voor meer informatie.

  • Berichten weergeven in Explorer: Hiermee opent u Explorer (Threat Explorer) in de weergave Alle e-mail gefilterd op de waarschuwings-id. Zie Alle e-mailweergave in Threat Explorer voor meer informatie over de weergave Alle e-mail van Threat Explorer.

  • Meer acties>Waarschuwing koppelen aan een ander incident: configureer de volgende opties in de flyout Waarschuwing aan een ander incident koppelen die wordt geopend:

    • Selecteer een van de volgende waarden:
      • Een nieuw incident maken
      • Koppeling naar een bestaand incident: begin in het vak Incidentnaam of -id dat wordt weergegeven een waarde te typen om het bestaande incident te zoeken en te selecteren.
    • Opmerking: voer een optionele opmerking in.

    Wanneer u klaar bent in de flyout Waarschuwing koppelen aan een ander incident , selecteert u Opslaan

  • Meer acties>Waarschuwing afstemmen: hiermee opent u een flyout voor Tune-waarschuwing . Zie Stap 3 en hoger in Regelvoorwaarden maken om waarschuwingen af te stemmen voor meer informatie.

  • Meer acties>Vraag het Defender-experts. Hiermee opent u een flyout Van Defender-experts vragen. Zie Samenwerken met experts op aanvraag voor meer informatie.

Tabblad Postvakken in de details van het onderzoek

Op de pagina met details van het onderzoek is het tabblad Postvakken beschikbaar als er postvakken zijn geïnspecteerd als onderdeel van het onderzoek.

U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd:

  • Gebruikersnaam
  • Risiconiveau
  • Risico
  • Riskante activiteiten
  • Upn
  • Urn

Als u ergens in een rij klikt, behalve het selectievakje naast de eerste kolom, wordt een flyout met postvakgegevens geopend met de volgende informatie:

  • Vonnis
  • Weergavenaam
  • Primair e-mailadres
  • UPN
  • Object-id
  • Risiconiveau
  • Risico

Selecteer Meer details over gebruiker om de pagina Gebruikersentiteit in Microsoft Defender XDR te openen. Zie Gebruikersentiteitspagina in Microsoft Defender XDR voor meer informatie.

Tabblad Bewijs in de onderzoeksdetails

Op de pagina met onderzoeksdetails ziet u op het tabblad Bewijs de verdachte entiteiten die zijn geanalyseerd en de resultaten van de analyse.

U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. De standaardkolommen zijn gemarkeerd met een sterretje *:

  • Voor het eerst gezien*
  • Entiteit*
  • Vonnis*
  • Herstelstatus*
  • Statusdetails
  • Beïnvloede assets*
  • Oorsprong van detectie*
  • Bedreigingen

Als u de vermeldingen wilt filteren, selecteert u Filteren. De volgende filters zijn beschikbaar in de flyout Filter die wordt geopend:

  • Entiteit: typ de naam van de entiteit geheel of gedeeltelijk in het vak.
  • Oordeel: de waarden die u kunt selecteren, zijn afhankelijk van de waarde van het oordeel op het tabblad.
  • Oorsprong van detectie: de waarden die u kunt selecteren, zijn afhankelijk van de oorsprongswaarden voor detectie op het tabblad.

Wanneer u klaar bent met de filter-flyout , selecteert u Toepassen. Als u de filters wilt wissen, selecteert u Filters wissen.

Als u ergens in een andere rij dan het selectievakje naast de eerste kolom klikt, wordt een flyout met details geopend. Wat beschikbaar is in de flyout is afhankelijk van de aard van het bewijs (e-mailbericht, bestand, URL, enzovoort).

Tabblad Entiteiten in de details van het onderzoek

Op de pagina met details van het onderzoek geeft het tabblad Entiteiten details weer over de verschillende typen entiteiten die tijdens het onderzoek zijn aangetroffen en geanalyseerd.

Schermopname van het tabblad Entiteiten van de pagina met details van het onderzoek.

Het tabblad Entiteiten is geordend op een weergaveselectievenster (een overzichtsweergave en een weergave voor elk entiteitstype) en een bijbehorende detailtabel voor die weergave:

  • Overzichtsweergave van bewijs : dit is de standaardweergave.

    U kunt de vermeldingen in de detailtabel sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd:

    • Entiteitstype (u kunt deze waarde niet deselecteren): bevat dezelfde waarden als het weergaveselectievenster, afhankelijk van het incident. Bijvoorbeeld:

      • Bestanden
      • URL's
      • Email inzendingen
      • E-mailberichten
      • IP-adressen
      • clusters Email

      In de volgende kolommen wordt het aantal voor elk entiteitstype (rij) weergegeven:

      • Totaal
      • Hersteld
      • Kwaadaardig
      • Achterdochtig
      • Geverifieerd
      • Er zijn geen bedreigingen gevonden
      • Unknown
      • Niet gevonden
      • Niet-hersteld
      • Gedeeltelijk hersteld

    Als u ergens in een rij ergens anders dan het selectievakje naast de kolom Entiteitstype klikt, gaat u naar de gerelateerde weergave vanaf de selectiepagina (bijvoorbeeld E-mailberichten).

  • Bestandenweergave : U kunt de vermeldingen in de detailtabel sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. De standaardkolommen zijn gemarkeerd met een sterretje *:

    • Vonnis*
    • Herstelstatus*
    • Statusdetails
    • Bestandspad*
    • * Bestandsnaam (u kunt de selectie van deze waarde niet opheffen)
    • Apparaat*

  • URL-weergave : u kunt de vermeldingen in de detailtabel sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd:

    • Vonnis
    • Herstelstatus
    • Adres (u kunt deze waarde niet deselecteren)

    Als u ergens in een andere rij dan het selectievakje naast de eerste kolom klikt, wordt een flyout met details geopend die de volgende informatie bevat:

    • Oorspronkelijke URL
    • Sectie Detectie
    • Sectie Domeindetails
    • Sectie Contactgegevens van de registrant
    • Sectie URL-prevalentie (afgelopen 30 dagen)

    De volgende acties voor de URL zijn ook beschikbaar in de flyout:

    • URL-pagina openen
    • Indienen voor analyse
    • Indicator beheren
    • Weergeven in Explorer
    • Beginnen met opsporen

  • Email weergave voor inzendingen: u kunt de vermeldingen in de detailtabel sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd:

    • Vonnis
    • Herstelstatus
    • Onderwerp
    • Afzender
    • Ontvanger
    • Gerapporteerd door
    • Rapporttype

    Als u ergens in een andere rij dan het selectievakje naast de eerste kolom klikt, wordt een flyout met details geopend die de volgende informatie bevat:

    • Email sectie met details van inzending

    De actie Go hunt voor de e-mailinzending is ook beschikbaar in de flyout.

  • E-mailweergave : U kunt de vermeldingen in de detailtabel sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd:

    • Vonnis
    • Herstelstatus
    • Email ontvangen datum (u kunt de selectie van deze waarde niet opheffen)
    • Leveringsstatus
    • Onderwerp
    • Afzender
    • Ontvanger

    Als u ergens in een andere rij dan het selectievakje naast de eerste kolom klikt, wordt een flyout met details geopend die de volgende informatie bevat:

    • Email detailsectie

    Selecteer Meer details over e-mail om de pagina Email entiteit weer te geven in Defender voor XDR.

    De volgende acties voor het e-mailbericht zijn ook beschikbaar in de flyout:

    • Beginnen met opsporen
    • Openen in Explorer

  • Weergave IP-adressen : u kunt de vermeldingen in de detailtabel sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd:

    • Vonnis
    • Herstelstatus
    • Adres (u kunt deze waarde niet deselecteren)

    Als u ergens in een andere rij dan het selectievakje naast de eerste kolom klikt, wordt een flyout met details geopend die de volgende informatie bevat:

    • Sectie IP-details
    • Sectie Detectie
    • IP waargenomen in de sectie Apparaten van de organisatie

    De volgende acties voor de IP-adressen zijn ook beschikbaar in de flyout:

    • Pagina IP-adres openen
    • Indicator toevoegen
    • IP-instellingen voor cloud-apps openen
    • Onderzoeken in activiteitenlogboek
    • Beginnen met opsporen

  • Email weergave Clusters: u kunt de vermeldingen in de detailtabel sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd:

    • Vonnis
    • Herstelstatus
    • Naam van e-mailcluster (u kunt de selectie van deze waarde niet opheffen)
    • Bedreigingen
    • aantal Email
    • Malware
    • Phishing
    • Phish met hoge betrouwbaarheid
    • Spam
    • Geleverd
    • Ongewenste e-mail
    • Vervangen
    • Geblokkeerd
    • Brievenbus
    • Niet in postvak
    • On-premises/extern
    • Volumeafwijking

    Als u ergens in een andere rij dan het selectievakje naast de eerste kolom klikt, wordt een flyout met details geopend die de volgende informatie bevat:

    • sectie Email clusterdetails
    • Sectie Bedreigingen
    • Sectie Meest recente leveringslocaties
    • Sectie Oorspronkelijke leveringslocaties

    De volgende acties voor het e-mailcluster zijn ook beschikbaar in de flyout:

    • Beginnen met opsporen
    • Openen in Explorer

Tabblad Logboek in de details van het onderzoek

Op de pagina met onderzoeksdetails worden op het tabblad Logboek alle acties weergegeven die tijdens het onderzoek zijn uitgevoerd.

U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. De standaardkolommen zijn gemarkeerd met een sterretje *:

  • LEGITIMATIEBEWIJS
  • Actietype
  • Actie*
  • Status*
  • Apparaatnaam*
  • Beschrijving*
  • Opmerkingen
  • Tijd gemaakt
  • Begintijd van uitvoering*
  • Duur*
  • Duur in behandeling
  • Duur in de wachtrij

Gebruik Exporteren om de zichtbare informatie op te slaan in een CSV-bestand. De standaard bestandsnaam is AirLogs.csv en de standaardlocatie is de lokale map Downloads. Als er al een geëxporteerd rapport op die locatie bestaat, wordt de bestandsnaam verhoogd (bijvoorbeeld AirLogs (1).csv).

Als u ergens in een andere rij dan het selectievakje naast de eerste kolom klikt, wordt een overzichts-flyout met de volgende informatie geopend:

  • Status
  • Maken
  • Uitvoering starten
  • Duur
  • Beschrijving

Tip

Als u details over andere vermeldingen wilt zien zonder de flyout details te verlaten, gebruikt u Vorige item en Volgend item bovenaan de flyout.

Tabblad Goedkeuring in behandeling in de details van het onderzoek

Op de pagina met details van het onderzoek worden op het tabblad Goedkeuring in behandeling acties weergegeven die wachten tot goedkeuring is voltooid (bijvoorbeeld berichten die voorlopig worden verwijderd).

Het tabblad Goedkeuring in behandeling is geordend door een weergaveselectiedeelvenster (een weergave voor elk actietype) en een bijbehorende detailtabel voor die weergave:

  • E-mailberichten voorlopig verwijderen: u kunt de vermeldingen in de detailtabel sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. De standaardkolommen zijn gemarkeerd met een sterretje *:
    • Onderzoeks-id
    • Voor het eerst gezien
    • Details
    • aantal Email
    • Malware
    • Phishing
    • Phish met hoge betrouwbaarheid
    • Spam
    • Geleverd
    • Ongewenste e-mail
    • Vervangen
    • Geblokkeerd
    • Brievenbus
    • Niet in postvak
    • On-premises/extern
    • Brievenbus
    • Entiteitstype
    • Bedreigingstype
    • Onderwerp

Gebruik Exporteren om de zichtbare informatie op te slaan in een CSV-bestand. De standaard bestandsnaam is AirActions.csv en de standaardlocatie is de lokale map Downloads. Als er al een geëxporteerd rapport op die locatie bestaat, wordt de bestandsnaam verhoogd (bijvoorbeeld AirActions (1).csv).

Als u ergens in een andere rij dan het selectievakje naast de eerste kolom klikt, wordt een flyout met details geopend die de volgende informatie bevat:

  • sectie Email clusterdetails
    • Vonnis
    • Herstelstatus
    • aantal Email
    • Naam
    • Volumeafwijking
    • Querytijd
  • Sectie Bedreigingen :
    • Bedreigingen: geeft een overzicht van de bedreigingen in het e-mailcluster. Bijvoorbeeld MaliciousUrl, HighConfPhish, Volume anomaly.
    • Telt voor de volgende bedreigingstypen in het e-mailcluster:
      • Malware
      • Phishing
      • Phish met hoge betrouwbaarheid
      • Spam
  • Sectie Meest recente bezorgingslocatie : Telt voor de volgende bezorgingslocaties voor berichten in het e-mailcluster:
    • Brievenbus
    • Niet in postvak
    • On-premises/extern
  • Sectie Oorspronkelijke bezorgingslocaties : telt voor de volgende oorspronkelijke bezorgingslocaties voor berichten in het e-mailcluster:
    • Geleverd
    • Ongewenste e-mail
    • Vervangen
    • Geblokkeerd

De volgende acties voor de e-mailberichten zijn ook beschikbaar in de flyout:

  • Beginnen met opsporen
  • Openen in Explorer

Goedkeuren en Afwijzen worden beschreven in de volgende subsectie.

Acties goedkeuren op het tabblad Goedkeuring in behandeling in de details van het onderzoek

Selecteer op het tabblad Goedkeuring in behandeling op de pagina met details van het onderzoek een actie in behandeling door ergens in de rij te klikken, behalve het selectievakje naast de eerste kolom.

De flyout voor details die wordt geopend, is vernoemd naar de actie in behandeling (bijvoorbeeld e-mailberichten voor voorlopig verwijderen). Lees de informatie in de flyout en selecteer een van de volgende waarden:

  • Goedkeuren.
  • Weigeren.

Tip

Als u alle acties in het onderzoek goedkeurt en/of afwijst, wordt deze volledig gesloten (de waarde Status wordt Hersteld). Als u alle acties in het onderzoek niet goedkeurt en/of afwijst, wordt deze niet volledig gesloten (de statuswaarde blijft gedeeltelijk hersteld).

U hoeft niet elke actie goed te keuren. Als u het niet eens bent met de aanbevolen actie of als uw organisatie bepaalde typen acties niet kiest, kunt u de actie afwijzen of geen actie ondernemen.

Tabblad Geschiedenis van acties in behandeling in de details van het onderzoek

Op de pagina met details van het onderzoek ziet u op het tabblad Acties in behandeling die zijn voltooid.

U kunt de items sorteren door op een beschikbare kolomkop te klikken. Selecteer Kolommen aanpassen om de weergegeven kolommen te wijzigen. Standaard zijn alle beschikbare kolommen geselecteerd:

  • Actietype
  • Wachttijd
  • Entiteit
  • Status
  • Verwerkt door
  • Tijd

Gebruik Exporteren om de zichtbare informatie op te slaan in een CSV-bestand. De standaard bestandsnaam is AirActions.csv en de standaardlocatie is de lokale map Downloads. Als er al een geëxporteerd rapport op die locatie bestaat, wordt de bestandsnaam verhoogd (bijvoorbeeld AirActions (1).csv).

Als u op de waarde Entiteit in een rij klikt, wordt een flyout met details geopend met de volgende informatie over het e-mailcluster:

  • sectie Email clusterdetails
  • Sectie Bedreigingen
  • Sectie Meest recente leveringslocaties
  • Sectie Oorspronkelijke leveringslocaties

De volgende acties voor het e-mailcluster zijn ook beschikbaar in de flyout:

  • Beginnen met opsporen
  • Openen in Explorer

Als u ergens in een rij klikt, behalve het selectievakje naast de eerste kolom of de waarde Entiteit , wordt een flyout met actiegeschiedenisdetails geopend die de volgende informatie bevat:

  • Overzichtssectie :
    • Status
    • Maken
    • Uitvoering starten
    • Beschrijving

Bepaalde soorten waarschuwingen activeren geautomatiseerd onderzoek in Microsoft 365. Zie Waarschuwingsbeleid voor bedreigingsbeheer voor meer informatie.

  1. Ga in de Microsoft 365 Defender-portal a https://security.microsoft.comnaar Acties & indieningen>Actiecentrum. Als u rechtstreeks naar de pagina Actiecentrum wilt gaan, gebruikt u https://security.microsoft.com/action-center/.
  2. Gebruik op de pagina Actiecentrum het tabblad In behandeling of Geschiedenis om de actie te vinden.
  3. Selecteer een actie in de tabel door de koppeling in de kolom Onderzoeks-id te selecteren.

De pagina met onderzoeksdetails wordt geopend.

Volgende stappen