De pagina Email entiteit in Microsoft Defender voor Office 365
Tip
Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Microsoft 365-organisaties die Microsoft Defender voor Office 365 opgenomen in hun abonnement of die zijn aangeschaft als invoegtoepassing, hebben de pagina Email entiteit. De pagina Email entiteit in de Microsoft Defender portal bevat zeer gedetailleerde informatie over een e-mailbericht en eventuele gerelateerde entiteiten.
In dit artikel worden de informatie en acties op de pagina Email entiteit uitgelegd.
Machtigingen en licenties voor de pagina Email entiteit
Als u de pagina Email entiteit wilt gebruiken, moet u machtigingen hebben. De machtigingen en licenties zijn hetzelfde als Threat Explorer (Explorer) en realtime detecties. Zie Machtigingen en licenties voor Threat Explorer en realtime detecties voor meer informatie.
Waar vind ik de pagina Email entiteit
Er zijn geen directe koppelingen naar de pagina Email entiteit vanaf de hoogste niveaus van de Defender-portal. In plaats daarvan is de actie Entiteit e-mail openen beschikbaar boven aan de flyout met e-maildetails in veel Defender voor Office 365 functies. Deze flyout met e-maildetails staat bekend als het Email-overzichtsvenster en bevat een samengevatte subset van de informatie op de pagina Email entiteit. Het e-mailoverzichtsvenster is identiek voor Defender voor Office 365 functies. Zie de sectie Het Email-overzichtsvenster verderop in dit artikel voor meer informatie.
Het Email-overzichtsvenster met de actie E-mailentiteit openen is beschikbaar op de volgende locaties:
Klik op de pagina Geavanceerde opsporing op : Klik op https://security.microsoft.com/v2/advanced-huntinghet tabblad Resultaten van een e-mailgerelateerde query op de waarde NetworkMessageId van een vermelding in de tabel.
*Selecteer op de pagina Waarschuwingen op https://security.microsoft.com/alerts: Voor waarschuwingen met de detectiebronwaardeMDO of de waarde Productnamen Microsoft Defender voor Office 365 de vermelding door op de waarde waarschuwingsnaam te klikken. Selecteer op de pagina met waarschuwingsgegevens die wordt geopend het bericht in de sectie Berichtenlijst .
Vanuit het rapport Bedreigingsbeveiligingsstatus op https://security.microsoft.com/reports/TPSEmailPhishReportATP:
- Selecteer Gegevens weergeven op Email > Phish en een van de beschikbare grafiekspecificatieselecties. Selecteer in de detailtabel onder de grafiek de vermelding door ergens in de rij te klikken, behalve het selectievakje naast de eerste kolom.
- Selecteer Gegevens weergeven op Email > Malware en een van de beschikbare grafiekspecificatieselecties. Selecteer in de detailtabel onder de grafiek de vermelding door ergens in de rij te klikken, behalve het selectievakje naast de eerste kolom.
- Selecteer Gegevens weergeven op Email > Spam en een van de beschikbare grafiekspecificatieselecties. Selecteer in de detailtabel onder de grafiek de vermelding door ergens in de rij te klikken, behalve het selectievakje naast de eerste kolom.
Op de pagina Explorer op https://security.microsoft.com/threatexplorerv3 (Threat Explorer) of op de pagina Realtime detecties op https://security.microsoft.com/realtimereportsv3. Gebruik een van de volgende methoden:
- Controleer in Bedreigingsverkenner of de weergave Alle e-mail is geselecteerd > controleer of het tabblad Email (weergave) in het detailgebied is geselecteerd>, klik op de waarde Onderwerp in een item.
- Selecteer in Bedreigingsverkenner of Realtime detecties de weergave >Malware controleer of het tabblad Email (weergave) in het detailgebied is geselecteerd>, klik op de waarde Onderwerp in een vermelding.
- Selecteer in Threat Explorer of Realtime detecties de weergave >Phish controleer of het tabblad Email (weergave) in het detailgebied is geselecteerd>, klik op de waarde Onderwerp in een vermelding.
Selecteer op de pagina Incidenten op https://security.microsoft.com/incidents: Voor incidenten met de waarde productnamen Microsoft Defender voor Office 365 het incident door op de waarde voor incidentnaam te klikken. Selecteer op de pagina met incidentdetails die wordt geopend het tabblad Bewijs en antwoorden (weergave). Selecteer op het tabblad Alle bewijsmateriaal en de waarde van het entiteitstype Email of het tabblad E-mailberichten de vermelding door ergens in de rij te klikken, behalve het selectievakje.
Selecteer op de pagina Quarantaine op https://security.microsoft.com/quarantine: Controleer of het tabblad Email is geselecteerd>, een vermelding door ergens in de rij te klikken, behalve het selectievakje.
Vanaf de pagina Inzendingen op https://security.microsoft.com/reportsubmission:
- Selecteer het tabblad >E-mails selecteer een item door op een andere plaats in de rij dan het selectievakje te klikken.
- Selecteer het tabblad >Door gebruiker gerapporteerd selecteert u een item door ergens in de rij te klikken, behalve het selectievakje.
Wat staat er op de pagina Email entiteit
Het detailvenster aan de linkerkant van de pagina bevat samenvouwbare secties met details over het bericht. Deze secties blijven constant zolang u op de pagina bent. De beschikbare secties zijn:
Sectie Tags . Toont alle gebruikerstags (inclusief Priority-account) die zijn toegewezen aan afzenders of geadresseerden. Zie Gebruikerstags in Microsoft Defender voor Office 365 voor meer informatie over gebruikerstags.
Sectie Detectiedetails :
Oorspronkelijke bedreigingen
Oorspronkelijke leveringslocatie:
- Map Verwijderde items
- Gedaald
- Geleverd mislukt
- Map Postvak IN
- Map Ongewenste Email
- Extern
- Quarantaine
- Unknown
Meest recente bedreigingen
Meest recente bezorgingslocatie: de locatie van het bericht na systeemacties op het bericht (bijvoorbeeld ZAP) of beheeracties voor het bericht (bijvoorbeeld Verplaatsen naar verwijderde items). Gebruikersacties voor het bericht (bijvoorbeeld het verwijderen of archiveren van het bericht) worden niet weergegeven, dus deze waarde biedt geen garantie voor de huidige locatie van het bericht.
Tip
Er zijn scenario's waarin oorspronkelijke leveringslocatie/Meest recente leveringslocatie en/of bezorgingsactie de waarde Onbekend hebben. Bijvoorbeeld:
- Het bericht is bezorgd (Bezorgingsactie is Geleverd), maar een regel voor Postvak IN heeft het bericht verplaatst naar een andere standaardmap dan de map Postvak IN of Ongewenste e-mail Email (bijvoorbeeld de map Concept of Archief).
- ZAP heeft geprobeerd het bericht na bezorging te verplaatsen, maar het bericht is niet gevonden (de gebruiker heeft bijvoorbeeld het bericht verplaatst of verwijderd).
Detectietechnologie:
- Geavanceerd filter: Phishing-signalen op basis van machine learning.
- Campagne: berichten die zijn geïdentificeerd als onderdeel van een campagne.
- Bestandsonttoning: Veilige bijlagen hebben een schadelijke bijlage gedetecteerd tijdens de detonatieanalyse.
- Reputatie van bestandsonttoning: bestandsbijlagen die eerder zijn gedetecteerd door veilige bijlagen-detonaties in andere Microsoft 365-organisaties.
- Bestandsreputatie: het bericht bevat een bestand dat eerder als schadelijk is geïdentificeerd in andere Microsoft 365-organisaties.
- Vingerafdrukkoppeling: het bericht lijkt sterk op een eerder gedetecteerd schadelijk bericht.
- Algemeen filter: Phishing-signalen op basis van analistenregels.
- Merk imitatie: Afzender imitatie van bekende merken.
- Imitatiedomein: imitatie van afzenderdomeinen waarvan u de eigenaar bent of die u hebt opgegeven voor beveiliging in antiphishingbeleid.
- Imitatiegebruiker: imitatie van beveiligde afzenders die u hebt opgegeven in het antiphishingbeleid of die u hebt geleerd via postvakinformatie.
- Imitatie van postvakintelligentie: imitatiedetecties van postvakinformatie in antiphishingbeleid.
- Detectie van gemengde analyse: meerdere filters hebben bijgedragen aan het berichtoordeel.
- Spoof DMARC: Het bericht heeft dmarc-verificatie mislukt.
- Adresvervalsing extern domein: adresvervalsing van afzenders met behulp van een domein dat zich buiten uw organisatie bevindt.
- Adresvervalsing binnen de organisatie: adresvervalsing van afzenders met behulp van een domein dat intern is voor uw organisatie.
- URL-detonatie: Safe Links heeft tijdens de detonatieanalyse een schadelijke URL in het bericht gedetecteerd.
- Reputatie van URL-detonatie: URL's die eerder zijn gedetecteerd door veilige koppelingen-detonaties in andere Microsoft 365-organisaties.
- Reputatie van kwaadwillende URL: Het bericht bevat een URL die eerder als schadelijk is geïdentificeerd in andere Microsoft 365-organisaties.
Leveringsactie:
- Geleverd
- Ongewenste e-mail
- Geblokkeerd
Primaire onderdrukking: bron
- Waarden voor primaire onderdrukking:
- Toegestaan door organisatiebeleid
- Toegestaan door gebruikersbeleid
- Geblokkeerd door organisatiebeleid
- Geblokkeerd door gebruikersbeleid
- Geen
- Waarden voor primaire onderdrukkingsbron:
- Filter van derden
- Beheer geïnitieerde tijdreizen (ZAP)
- Antimalwarebeleidsblok per bestandstype
- Instellingen voor antispambeleid
- Verbindingsbeleid
- Regel voor uitwisselingstransport
- Exclusieve modus (gebruiker overschrijven)
- Filteren overgeslagen vanwege on-premises organisatie
- IP-regiofilter van beleid
- Taalfilter van beleid
- Phishingsimulatie
- Release in quarantaine
- SecOps-postvak
- Lijst met afzenderadressen (Beheer overschrijven)
- Adressenlijst van afzenders (gebruiker overschrijven)
- Lijst met afzenderdomeinen (Beheer overschrijven)
- Lijst met afzenderdomeinen (gebruiker overschrijven)
- Bestandsblok voor toestaan/blokkeren van tenant
- E-mailadres van afzender van tenant toestaan/blokkeren
- Blokkering van adresvervalsing van tenant toestaan/blokkeren
- URL-blok voor toestaan/blokkeren van tenantlijst
- Lijst met vertrouwde contactpersonen (onderdrukking door gebruiker)
- Vertrouwd domein (gebruiker overschrijven)
- Vertrouwde ontvanger (gebruiker overschrijven)
- Alleen vertrouwde afzenders (gebruiker overschrijven)
- Waarden voor primaire onderdrukking:
Email sectie met details:
-
Directionaliteit:
- Inkomende
- Intra-irg
- Uitgaand
- Ontvanger (aan)*
- Afzender*
- Tijd ontvangst
-
Internetbericht-id*: beschikbaar in het veld Bericht-ID-koptekst in de berichtkop. Een voorbeeldwaarde is
<08f1e0f6806a47b4ac103961109ae6ef@server.domain>
(let op de hoekhaken). - Netwerkbericht-id*: een GUID-waarde die beschikbaar is in het veld X-MS-Exchange-Organization-Network-Message-Id in de berichtkop.
- Cluster-id
- Taal
*De actie Kopiëren naar klembord is beschikbaar om de waarde te kopiëren.
-
Directionaliteit:
Met de tabbladen (weergaven) bovenaan de pagina kunt u e-mail efficiënt onderzoeken. Deze weergaven worden beschreven in de volgende subsecties.
Tijdlijnweergave
In de weergave Tijdlijn ziet u de bezorgings- en postbezorgingsgebeurtenissen die met het bericht zijn gebeurd.
De volgende informatie over de bericht gebeurtenis is beschikbaar in de weergave. Selecteer een kolomkop om op die kolom te sorteren. Als u kolommen wilt toevoegen of verwijderen, selecteert u Kolommen aanpassen. Standaard zijn alle beschikbare kolommen geselecteerd.
- Tijdlijn (datum/tijd van de gebeurtenis)
- Bron: Bijvoorbeeld: Systeem, **Beheer of Gebruiker.
- Gebeurtenistypen
- Result
- Bedreigingen
- Details
Als er na de bezorging niets met het bericht is gebeurd, heeft het bericht waarschijnlijk slechts één rij in de tijdlijnweergave met de waarde gebeurtenistypenOorspronkelijke bezorging. Bijvoorbeeld:
- De resultaatwaarde is de map Postvak IN - Geleverd.
- De resultaatwaarde is de map Ongewenste e-mail - Geleverd aan ongewenste e-mail
- De resultaatwaarde is Quarantaine - Geblokkeerd.
Volgende acties voor het bericht door gebruikers, beheerders of Microsoft 365 voegen meer rijen toe aan de weergave. Bijvoorbeeld:
- De waarde voor gebeurtenistypen is ZAP en de resultaatwaarde is Bericht verplaatst naar Quarantaine door ZAP.
- De waarde gebeurtenistypen is Release in quarantaine en de resultaatwaarde is Bericht is vrijgegeven uit quarantaine.
Gebruik het vak Zoeken om informatie op de pagina te zoeken. Typ tekst in het vak en druk op Enter.
Gebruik Exporteren om de gegevens in de weergave te exporteren naar een CSV-bestand. De standaardnaam is : Microsoft Defender.csv en de standaardlocatie is de map Downloads . Als er al een bestand met die naam bestaat, wordt de bestandsnaam toegevoegd met een getal (bijvoorbeeld - Microsoft Defender(1).csv).
Analyseweergave
De analyseweergave bevat informatie waarmee u het bericht uitgebreid kunt analyseren. De volgende informatie is beschikbaar in deze weergave:
Sectie Details van bedreigingsdetectie: informatie over bedreigingen die in het bericht zijn gedetecteerd:
- Bedreigingen: De primaire bedreiging wordt aangegeven door Primaire bedreiging.
- Betrouwbaarheidsniveau: waarden zijn Hoog, Gemiddeld of Laag.
- Prioriteit voor accountbeveiliging: de waarden zijn Ja of Nee. Zie Prioriteitsaccountbeveiliging configureren en controleren in Microsoft Defender voor Office 365 voor meer informatie.
Email sectie met detectiedetails: informatie over beveiligingsfuncties of onderdrukkingen die van invloed zijn op het bericht:
Alle onderdrukkingen: alle organisatie- of gebruikersinstellingen die de mogelijkheid hadden om de beoogde bezorgingslocatie van het bericht te wijzigen. Als het bericht bijvoorbeeld overeenkomt met een e-mailstroomregel en een blokkeringsvermelding in de lijst Tenant toestaan/blokkeren, worden beide instellingen hier weergegeven. De waarde van primaire onderdrukking: broneigenschap identificeert de instelling die daadwerkelijk van invloed was op de bezorging van het bericht.
Primaire onderdrukking: Bron: toont de organisatie- of gebruikersinstelling die de beoogde bezorgingslocatie van het bericht heeft gewijzigd (toegestaan in plaats van geblokkeerd of geblokkeerd in plaats van toegestaan). Bijvoorbeeld:
- Het bericht is geblokkeerd door een e-mailstroomregel.
- Het bericht is toegestaan vanwege een vermelding in de lijst met veilige afzenders van de gebruiker.
Exchange-transportregels (e-mailstroomregels): als het bericht is beïnvloed door e-mailstroomregels, worden de regelnamen en GUID-waarden weergegeven. Acties die worden uitgevoerd op berichten via regels voor e-mailstromen, vinden plaats vóór spam- en phishing-uitspraken.
De actie Kopiëren naar klembord is beschikbaar om de regel-GUID te kopiëren. Zie E-mailstroomregels (transportregels) in Exchange Online voor meer informatie over e-mailstroomregels.
Met de koppeling Naar Exchange-beheercentrum wordt de pagina Regels geopend in het nieuwe Exchange-beheercentrum op https://admin.exchange.microsoft.com/#/transportrules.
Connector: als het bericht is bezorgd via een binnenkomende connector, wordt de naam van de connector weergegeven. Zie E-mailstroom configureren met connectors in Exchange Online voor meer informatie over connectors.
Bulkklachtniveau (BCL): een hogere BCL-waarde geeft aan dat het bericht waarschijnlijk spam is. Zie Bulkklachtniveau (BCL) in EOP voor meer informatie.
Beleid: als hier een beleidstype wordt vermeld (bijvoorbeeld Spam), selecteert u Configureren om de gerelateerde beleidspagina te openen (bijvoorbeeld de pagina Antispambeleid op https://security.microsoft.com/antispam).
Beleidsactie
Waarschuwings-id: selecteer de waarde waarschuwings-id om de detailpagina voor de waarschuwing te openen (alsof u de waarschuwing hebt gevonden en geselecteerd op de pagina Waarschuwingen op https://security.microsoft.com/alerts). De actie Kopiëren naar klembord is ook beschikbaar om de waarde van de waarschuwings-id te kopiëren.
Beleidstype
Clienttype: geeft het type client weer dat het bericht heeft verzonden (bijvoorbeeld REST)
Email grootte
Regels voor preventie van gegevensverlies
Sectie Details afzender-geadresseerde : details over de afzender van het bericht en bepaalde gegevens van de geadresseerde:
- Weergavenaam van afzender
- Adres van afzender*
- IP-adres van afzender
- Domeinnaam van afzender*
- Aanmaakdatum domein: een onlangs gemaakt domein en andere berichtsignalen kunnen het bericht als verdacht identificeren.
- Domeineigenaar
- Afzender MAIL FROM-adres*
- Afzender MAIL FROM domeinnaam*
- Return-Path
- Return-Path-domein
- Locatie
- Ontvangerdomein*
- Aan: toont de eerste 5000 tekens van eventuele e-mailadressen in het veld Aan van het bericht.
- CC: toont de eerste 5000 tekens van eventuele e-mailadressen in het veld CC van het bericht.
- Distributielijst: geeft de distributiegroep (distributielijst) weer als de geadresseerde het e-mailbericht heeft ontvangen als lid van de lijst. De distributiegroep op het hoogste niveau wordt weergegeven voor geneste distributiegroepen.
- Doorsturen: geeft aan of het bericht automatisch is doorgestuurd naar een extern e-mailadres. De doorstuurgebruiker en het doorstuurtype worden weergegeven (e-mailstroomregels, Regels voor Postvak IN of SMTP-doorsturen).
*De actie Kopiëren naar klembord is beschikbaar om de waarde te kopiëren.
Sectie Verificatie : Details over de resultaten van e-mailverificatie :
-
Domeingebaseerde berichtverificatie (DMARC)
-
Pass
: De DMARC-controle voor het bericht is geslaagd. -
Fail
: de DMARC-controle op het bericht is mislukt. -
BestGuessPass
: de DMARC TXT-record voor het domein niet, maar als er een bestaat, zou de DMARC-controle voor het bericht zijn geslaagd. - Geen: geeft aan dat er geen DMARC TXT-record bestaat voor het verzendende domein in DNS.
-
-
DomainKeys identified mail (DKIM): waarden zijn:
-
Pass
: De DKIM-controle op het bericht dat is doorgegeven. -
Fail (reason)
: de DKIM-controle op het bericht is mislukt. Het bericht is bijvoorbeeld niet DKIM-ondertekend of de DKIM-handtekening is niet geverifieerd. -
None
: het bericht is niet DKIM-ondertekend. Dit resultaat kan er al dan niet op duiden dat het domein een DKIM-record heeft of dat de DKIM-record geen resultaat oplevert. Dit resultaat geeft alleen aan dat dit bericht niet is ondertekend.
-
-
Sender Policy Framework (SPF): waarden zijn:
-
Pass (IP address)
: tijdens de SPF-controle is vastgesteld dat de berichtbron geldig is voor het domein. -
Fail (IP address)
: tijdens de SPF-controle is vastgesteld dat de berichtbron niet geldig is voor het domein en dat de afdwingingsregel in de SPF-record (hard fail) is-all
. -
SoftFail (reason)
: Tijdens de SPF-controle is vastgesteld dat de berichtbron niet geldig is voor het domein en dat de afdwingingsregel in de SPF-record (soft fail) is~all
. -
Neutral
: tijdens de SPF-controle is vastgesteld dat de berichtbron niet geldig is voor het domein en dat de afdwingingsregel in de SPF-record (neutraal) is?all
. -
None
: het domein heeft geen SPF-record of de SPF-record levert geen resultaat op. -
TempError
: Tijdens de SPF-controle is een tijdelijke fout opgetreden (bijvoorbeeld een DNS-fout). Dezelfde controle kan mogelijk later wel worden uitgevoerd. -
PermError
: Er is een permanente fout opgetreden tijdens de SPF-controle. Het domein heeft bijvoorbeeld een slecht opgemaaktE SPF-record.
-
- Samengestelde verificatie: SPF, DKIM, DMARC en andere informatie bepaalt of de afzender van het bericht (het Van-adres) authentiek is. Zie Samengestelde verificatie voor meer informatie.
-
Domeingebaseerde berichtverificatie (DMARC)
Sectie Gerelateerde entiteiten : informatie over bijlagen en URL's in het bericht:
- Entiteit: als u Bijlagen of URL's selecteert, gaat u naar de weergave Bijlagen of de URL-weergave van de pagina Email entiteit voor het bericht.
- Totaal aantal
- Bedreigingen gevonden: de waarden zijn Ja of Nee.
Gebied met berichtdetails:
- Tabblad Koptekst van e-mail zonder opmaak : bevat de volledige berichtkop in tekst zonder opmaak. Selecteer Berichtkop kopiëren om de berichtkop te kopiëren. Selecteer Microsoft Message Header Analyzer om de Message Header Analyzer te openen op https://mha.azurewebsites.net/pages/mha.html. Plak de gekopieerde berichtkoptekst in de pagina en selecteer vervolgens Kopteksten analyseren voor meer informatie over de berichtkoppen en -waarden.
- Tabblad Naar : toont de eerste 5000 tekens van eventuele e-mailadressen in het veld Aan van het bericht.
- Tabblad CC : toont de eerste 5000 tekens van alle e-mailadressen in het veld CC van het bericht.
Bijlageweergave
In de weergave Bijlagen ziet u informatie over alle bestandsbijlagen in het bericht en de scanresultaten van deze bijlagen.
De volgende bijlagegegevens zijn beschikbaar in deze weergave. Selecteer een kolomkop om op die kolom te sorteren. Als u kolommen wilt toevoegen of verwijderen, selecteert u Kolommen aanpassen. Standaard zijn alle beschikbare kolommen geselecteerd.
- Bestandsnaam van bijlage: als u op de bestandsnaamwaarde klikt
- Bestandstype
- Bestandsgrootte
- Bestandsextensie
- Dreiging
- Malwarefamilie
- Bijlage SHA256: De actie Kopiëren naar klembord is beschikbaar om de SHA256-waarde te kopiëren.
- Details
Gebruik het vak Zoeken om informatie op de pagina te zoeken. Typ tekst in het vak en druk op Enter.
Gebruik Exporteren om de gegevens in de weergave te exporteren naar een CSV-bestand. De standaardnaam is : Microsoft Defender.csv en de standaardlocatie is de map Downloads . Als er al een bestand met die naam bestaat, wordt de bestandsnaam toegevoegd met een getal (bijvoorbeeld - Microsoft Defender(1).csv).
Bijlagedetails
Als u een item selecteert in de weergave Bijlagen door op de waarde van de bestandsnaam van bijlage te klikken, wordt er een flyout met details geopend die de volgende informatie bevat:
Tabblad Uitgebreide analyse : informatie is beschikbaar op dit tabblad als veilige bijlagen de bijlage hebben gescand (ontplofd). U kunt deze berichten in Bedreigingsverkenner identificeren met behulp van de detectietechnologie voor queryfilters met de waarde Bestandsonttoning.
Sectie Detonatieketen : Veilige bijlagen-detonatie van één bestand kan meerdere detonaties activeren. Met de detonatieketen wordt het pad van detonaties bijgehouden, met inbegrip van het oorspronkelijke schadelijke bestand dat het oordeel heeft veroorzaakt, en alle andere bestanden die door de detonatie zijn beïnvloed. Deze bijgevoegde bestanden zijn mogelijk niet rechtstreeks aanwezig in de e-mail. Maar ook de analyse is belangrijk om te bepalen waarom het bestand schadelijk is gevonden.
Als er geen informatie over de detonatieketen beschikbaar is, wordt de waarde Geen detonatiestructuur weergegeven. Anders kunt u Exporteren selecteren om de gegevens van de detonatieketen te downloaden naar een CSV-bestand. De standaardnaam is Detonation chain.csv en de standaardlocatie is de map Downloads . Als er al een bestand met die naam bestaat, wordt de bestandsnaam toegevoegd met een getal (bijvoorbeeld Detonation chain(1).csv). Het CSV-bestand bevat de volgende informatie:
- Top: het bestand op het hoogste niveau.
- Niveau1: Het bestand op het volgende niveau.
- Niveau2: het bestand op het volgende niveau.
- enzovoort.
In de detonatieketen en het CSV-bestand kan alleen het item op het hoogste niveau worden weergegeven als geen van de entiteiten die eraan zijn gekoppeld, problematisch is of is ontploffen.
Overzichtssectie : Als er geen informatie over de detonatiesamenvatting beschikbaar is, wordt de waarde Geen detonatiesamenvatting weergegeven. Anders is de volgende informatie over het detonatieoverzicht beschikbaar:
- Analysetijd
- Uitspraak: het oordeel over de bijlage zelf.
- Meer informatie: De bestandsgrootte in bytes.
- Indicatoren van inbreuk
Sectie Schermopnamen: alle schermopnamen weergeven die tijdens de ontplofing zijn vastgelegd. Er worden geen schermopnamen vastgelegd voor containerbestanden zoals ZIP of RAR die andere bestanden bevatten.
Als er geen schermopnamen van detonatie beschikbaar zijn, wordt de waarde Geen schermopnamen weergegeven. Selecteer anders de koppeling om de schermopname weer te geven.
Sectie Met details van gedrag : toont de exacte gebeurtenissen die plaatsvonden tijdens detonatie, en problematische of goedaardige waarnemingen die URL's, IP-adressen, domeinen en bestanden bevatten die tijdens detonatie zijn gevonden. Er zijn mogelijk geen gedragsdetails voor containerbestanden zoals ZIP of RAR die andere bestanden bevatten.
Als er geen informatie over gedragsgegevens beschikbaar is, wordt de waarde Geen detonatiegedrag weergegeven. Anders kunt u Exporteren selecteren om de informatie over gedragsdetails te downloaden naar een CSV-bestand. De standaardbestandsnaam is Gedrag details.csv en de standaardlocatie is de map Downloads . Als er al een bestand met die naam bestaat, wordt de bestandsnaam toegevoegd met een getal (bijvoorbeeld Gedragsdetails(1).csv). Het CSV-bestand bevat de volgende informatie:
- Tijd
- Gedrag
- Eigenschap Gedrag
- Proces (PID)
- Bewerking
- Doel
- Details
- Result
Tabblad Bestandsinformatie : de sectie Bestandsgegevens bevat de volgende informatie:
- Bestandsnaam
- SHA256
- Bestandsgrootte (in bytes)
Wanneer u klaar bent in de flyout met bestandsdetails, selecteert u Sluiten.
Bijlagen blokkeren vanuit de weergave Bijlagen
Als u een item in de weergave Bijlagen selecteert door het selectievakje naast de bestandsnaam in te schakelen, is de actie Blokkeren beschikbaar. Met deze actie wordt het bestand toegevoegd als een blokvermelding in de lijst Tenant toestaan/blokkeren. Als u Blokkeren selecteert, wordt de wizard Actie ondernemen gestart:
Configureer op de pagina Acties kiezen een van de volgende instellingen in de sectie Bestand blokkeren :
- Verloopt nooit op: dit is de standaardwaarde .
- Nooit verlopen : schuif de wisselknop naar uit en selecteer een datum in het vak Verwijderen aan .
Wanneer u klaar bent op de pagina Acties kiezen , selecteert u Volgende.
Controleer op de pagina Doelentiteiten kiezen of het bestand dat u wilt blokkeren is geselecteerd en selecteer vervolgens Volgende.
Configureer op de pagina Controleren en verzenden de volgende instellingen:
- Naam van herstel: voer een unieke naam in om de status bij te houden in het Actiecentrum.
- Beschrijving: voer een optionele beschrijving in.
Wanneer u klaar bent op de pagina Controleren en verzenden , selecteert u Verzenden.
URL-weergave
In de URL-weergave wordt informatie weergegeven over alle URL's in het bericht en de scanresultaten van deze URL's.
De volgende bijlagegegevens zijn beschikbaar in deze weergave. Selecteer een kolomkop om op die kolom te sorteren. Als u kolommen wilt toevoegen of verwijderen, selecteert u Kolommen aanpassen. Standaard zijn alle beschikbare kolommen geselecteerd.
- URL
- Dreiging
- Source
- Details
Gebruik het vak Zoeken om informatie op de pagina te zoeken. Typ tekst in het vak en druk op Enter.
Gebruik Exporteren om de gegevens in de weergave te exporteren naar een CSV-bestand. De standaardnaam is : Microsoft Defender.csv en de standaardlocatie is de map Downloads . Als er al een bestand met die naam bestaat, wordt de bestandsnaam toegevoegd met een getal (bijvoorbeeld - Microsoft Defender(1).csv).
URL-details
Als u een vermelding selecteert in de URL-weergave door op de URL-waarde te klikken, wordt er een flyout met details geopend die de volgende informatie bevat:
Tabblad Uitgebreide analyse : informatie is beschikbaar op dit tabblad als Safe Links de URL heeft gescand (ontplofd). U kunt deze berichten in Bedreigingsverkenner identificeren met behulp van de detectietechnologie voor queryfilters met de waarde-URL-detonatie.
Sectie Detonatieketen : Veilige koppelingen-detonatie van één URL kan meerdere detonaties activeren. De detonatieketen houdt het pad van detonaties bij, inclusief de oorspronkelijke schadelijke URL die het oordeel heeft veroorzaakt, en alle andere URL's die door de detonatie zijn beïnvloed. Deze URL's zijn mogelijk niet rechtstreeks aanwezig in het e-mailbericht. Maar ook de analyse is belangrijk om te bepalen waarom de URL schadelijk is gevonden.
Als er geen informatie over de detonatieketen beschikbaar is, wordt de waarde Geen detonatiestructuur weergegeven. Anders kunt u Exporteren selecteren om de gegevens van de detonatieketen te downloaden naar een CSV-bestand. De standaardnaam is Detonation chain.csv en de standaardlocatie is de map Downloads . Als er al een bestand met die naam bestaat, wordt de bestandsnaam toegevoegd met een getal (bijvoorbeeld Detonation chain(1).csv). Het CSV-bestand bevat de volgende informatie:
- Top: het bestand op het hoogste niveau.
- Niveau1: Het bestand op het volgende niveau.
- Niveau2: het bestand op het volgende niveau.
- enzovoort.
In de detonatieketen en het CSV-bestand kan alleen het item op het hoogste niveau worden weergegeven als geen van de entiteiten die eraan zijn gekoppeld, problematisch is of is ontploffen.
Overzichtssectie : Als er geen informatie over de detonatiesamenvatting beschikbaar is, wordt de waarde Geen detonatiesamenvatting weergegeven. Anders is de volgende informatie over het detonatieoverzicht beschikbaar:
- Analysetijd
- Oordeel: het oordeel over de URL zelf.
Sectie Schermopnamen: alle schermopnamen weergeven die tijdens de ontplofing zijn vastgelegd. Er worden geen schermopnamen gemaakt als de URL wordt geopend in een koppeling waarmee een bestand rechtstreeks wordt gedownload. U ziet echter het gedownloade bestand in de detonatieketen.
Als er geen schermopnamen van detonatie beschikbaar zijn, wordt de waarde Geen schermopnamen weergegeven. Selecteer anders de koppeling om de schermopname weer te geven.
Sectie Met details van gedrag : toont de exacte gebeurtenissen die plaatsvonden tijdens detonatie, en problematische of goedaardige waarnemingen die URL's, IP-adressen, domeinen en bestanden bevatten die tijdens detonatie zijn gevonden.
Als er geen informatie over gedragsgegevens beschikbaar is, wordt de waarde Geen detonatiegedrag weergegeven. Anders kunt u Exporteren selecteren om de informatie over gedragsdetails te downloaden naar een CSV-bestand. De standaardbestandsnaam is Gedrag details.csv en de standaardlocatie is de map Downloads . Als er al een bestand met die naam bestaat, wordt de bestandsnaam toegevoegd met een getal (bijvoorbeeld Gedragsdetails(1).csv). Het CSV-bestand bevat de volgende informatie:
- Tijd
- Gedrag
- Eigenschap Gedrag
- Proces (PID)
- Bewerking
- Doel
- Details
- Result
Tabblad URL-info : de sectie URL-details bevat de volgende informatie:
- URL
- Dreiging
Wanneer u klaar bent in de flyout met bestandsdetails, selecteert u Sluiten.
URL's blokkeren vanuit de URL-weergave
Als u een vermelding in de URL-weergave selecteert door het selectievakje naast de bestandsnaam in te schakelen, is de actie Blokkeren beschikbaar. Met deze actie wordt de URL toegevoegd als een blokvermelding in de lijst Tenant toestaan/blokkeren. Als u Blokkeren selecteert, wordt de wizard Actie ondernemen gestart:
Configureer op de pagina Acties kiezen een van de volgende instellingen in de sectie URL blokkeren :
- Verloopt nooit op: dit is de standaardwaarde .
- Nooit verlopen : schuif de wisselknop naar uit en selecteer een datum in het vak Verwijderen aan .
Wanneer u klaar bent op de pagina Acties kiezen , selecteert u Volgende.
Controleer op de pagina Doelentiteiten kiezen of de URL die u wilt blokkeren is geselecteerd en selecteer vervolgens Volgende.
Configureer op de pagina Controleren en verzenden de volgende instellingen:
- Naam van herstel: voer een unieke naam in om de status bij te houden in het Actiecentrum.
- Beschrijving: voer een optionele beschrijving in.
Wanneer u klaar bent op de pagina Controleren en verzenden , selecteert u Verzenden.
Vergelijkbare e-mailweergave
In de weergave Vergelijkbare e-mailberichten ziet u andere e-mailberichten met dezelfde vingerafdruk van de hoofdtekst van het bericht als dit bericht. Overeenkomende criteria in andere berichten zijn niet van toepassing op deze weergave (bijvoorbeeld vingerafdrukken van bestandsbijlagen).
De volgende bijlagegegevens zijn beschikbaar in deze weergave. Selecteer een kolomkop om op die kolom te sorteren. Als u kolommen wilt toevoegen of verwijderen, selecteert u Kolommen aanpassen. Standaard zijn alle beschikbare kolommen geselecteerd.
- Datum
- Onderwerp
- Ontvanger
- Afzender
- IP-adres van afzender
- Afjakkeren
- Leveringsactie
- Leveringslocatie
Filter gebruiken om de vermeldingen te filteren op begindatum en einddatum.
Gebruik het vak Zoeken om informatie op de pagina te zoeken. Typ tekst in het vak en druk op Enter.
Gebruik Exporteren om de gegevens in de weergave te exporteren naar een CSV-bestand. De standaardnaam is : Microsoft Defender.csv en de standaardlocatie is de map Downloads . Als er al een bestand met die naam bestaat, wordt de bestandsnaam toegevoegd met een getal (bijvoorbeeld - Microsoft Defender(1).csv).
Acties op de pagina Email entiteit
De volgende acties zijn beschikbaar boven aan de pagina Email entiteit:
- Actie ondernemen: Zie Opsporing van bedreigingen: de wizard Actie ondernemen voor meer informatie.
- Email preview¹ ²
-
Meer opties:
Ga naar e-mail in quarantaine: alleen beschikbaar als het bericht in quarantaine is geplaatst. Als u deze actie selecteert, wordt het tabblad Email geopend op de pagina Quarantaine op , gefilterd op https://security.microsoft.com/quarantinede unieke bericht-id-waarde van het bericht. Zie E-mail in quarantaine weergeven voor meer informatie.
E-mail downloaden¹ ²
Tip
E-mail downloaden is niet beschikbaar voor berichten die in quarantaine zijn geplaatst. Download in plaats daarvan een met een wachtwoord beveiligde kopie van het bericht uit quarantaine.
¹ Voor de acties Email preview en E-mail downloaden is de rol Preview vereist. U kunt deze rol toewijzen op de volgende locaties:
- Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC) (Als Email & samenwerking>Defender voor Office 365 machtigingen actief zijn. Is alleen van invloed op de Defender-portal, niet op PowerShell: beveiligingsbewerkingen/Onbewerkte gegevens (e-mail & samenwerking)/Email & inhoud van samenwerking (lezen).
- Email & samenwerkingsmachtigingen in de Microsoft Defender-portal: Lidmaatschap van de rolgroepen Gegevensonderzoeker of eDiscovery-manager. U kunt ook een nieuwe rollengroep maken waaraan de voorbeeldrol is toegewezen en de gebruikers toevoegen aan de aangepaste rollengroep.
² U kunt e-mailberichten bekijken of downloaden die beschikbaar zijn in Microsoft 365-postvakken. Voorbeelden van wanneer berichten niet meer beschikbaar zijn in postvakken zijn:
- Het bericht is verwijderd voordat de bezorging of bezorging is mislukt.
- Het bericht is hard verwijderd.
- Het bericht heeft de bezorgingslocatie On-premises/Extern.
- ZAP heeft het bericht in quarantaine geplaatst.
Het Email-overzichtsvenster
Het Email overzichtsvenster is de flyout voor e-mailgegevens die beschikbaar is in veel functies in Exchange Online Protection (EOP) en Defender voor Office 365. Het Email samenvattingsvenster bevat gestandaardiseerde samenvattingsinformatie over het e-mailbericht, afkomstig van de volledige details die beschikbaar zijn op de pagina Email entiteit in Defender voor Office 365.
Waar u het Email overzichtsvenster kunt vinden, wordt beschreven in de sectie Waar vind ik de pagina Email entiteit eerder in dit artikel. In de rest van deze sectie wordt de informatie beschreven die beschikbaar is op het Email overzichtsvenster voor alle functies.
Tip
Het Email-overzichtsvenster is beschikbaar op de pagina Actiecentrum op https://security.microsoft.com/action-center/ het tabblad In behandeling of Geschiedenis. Selecteer een actie met de waarde van het entiteitstypeEmail door ergens in de rij te klikken, behalve het selectievakje of de waarde van de onderzoeks-id. De flyout met details die wordt geopend, is het Email samenvattingsvenster, maar de entiteit E-mail openen is niet beschikbaar bovenaan de flyout.
De volgende berichtinformatie is beschikbaar boven aan het Email samenvattingsvenster:
- De titel van de flyout is de waarde van het bericht Onderwerp.
- Het aantal bijlagen en koppelingen in het bericht (niet aanwezig in alle functies).
- Alle gebruikerstags die zijn toegewezen aan de geadresseerden van het bericht (inclusief de prioriteitsaccounttag). Zie Gebruikerstags in Microsoft Defender voor Office 365 voor meer informatie
- De acties die boven aan de flyout beschikbaar zijn, zijn afhankelijk van waar u het Email samenvattingsvenster hebt geopend. De beschikbare acties worden beschreven in de afzonderlijke functieartikelen.
Tip
Als u details over andere berichten wilt bekijken zonder het Email overzichtsvenster van het huidige bericht te verlaten, gebruikt u Vorige item en Volgend item boven aan de flyout.
De volgende secties zijn beschikbaar in het Email overzichtsvenster voor alle functies (het maakt niet uit waar u het Email samenvattingsvenster hebt geopend):
Sectie Bezorgingsdetails :
- Oorspronkelijke bedreigingen
- Meest recente bedreigingen
- Oorspronkelijke locatie
- Meest recente leveringslocatie
- Leveringsactie
- Detectietechnologieën
- Primaire onderdrukking: bron
Email sectie met details:
- Weergavenaam van afzender
- Adres afzender
- E-mailadres van afzender vanaf adres
- Verzonden namens
- Retourpad
- IP-adres van afzender
- Locatie
- Ontvanger(s)
- Tijd ontvangst
- Gerichtheid
- Netwerkbericht-id
- Internetbericht-id
- Campagne-id
- DMARC
- DKIM
- SPF
- Samengestelde verificatie
SECTIE URL's : details over eventuele URL's in het bericht:
- URL
- Bedreigingsstatus
Als het bericht meer dan drie URL's bevat, selecteert u Alle URL's weergeven om ze allemaal weer te geven.
Sectie Bijlagen : details over bestandsbijlagen in het bericht:
- Bijlagenaam
- Dreiging
- Detectietechnologie/malwarefamilie
Als het bericht meer dan drie bijlagen bevat, selecteert u Alle bijlagen weergeven om ze allemaal weer te geven.