Bedreigingsonderzoek en -reactie
Tip
Wist u dat u de functies in Microsoft Defender voor Office 365 Abonnement 2 gratis kunt uitproberen? Gebruik de proefversie van 90 dagen Defender voor Office 365 in de Microsoft Defender portal. Meer informatie over wie zich kan registreren en proefabonnementen kan uitvoeren op Try Microsoft Defender voor Office 365.
Mogelijkheden voor bedreigingsonderzoek en -respons in Microsoft Defender voor Office 365 beveiligingsanalisten en beheerders helpen de Microsoft 365 voor zakelijke gebruikers van hun organisatie te beschermen door:
- Het eenvoudig maken om cyberaanvallen te identificeren, te bewaken en te begrijpen.
- Hulp bij het snel aanpakken van bedreigingen in Exchange Online, SharePoint Online, OneDrive voor Bedrijven en Microsoft Teams.
- Het verstrekken van inzichten en kennis om beveiligingsbewerkingen te helpen cyberaanvallen tegen hun organisatie te voorkomen.
- Gebruik van geautomatiseerd onderzoek en reactie in Office 365 voor kritieke bedreigingen op basis van e-mail.
Mogelijkheden voor bedreigingsonderzoek en -respons bieden inzicht in bedreigingen en gerelateerde reactieacties die beschikbaar zijn in de Microsoft Defender-portal. Deze inzichten kunnen het beveiligingsteam van uw organisatie helpen gebruikers te beschermen tegen aanvallen op basis van e-mail of bestanden. De mogelijkheden helpen bij het bewaken van signalen en het verzamelen van gegevens uit meerdere bronnen, zoals gebruikersactiviteit, verificatie, e-mail, gecompromitteerde pc's en beveiligingsincidenten. Zakelijke besluitvormers en uw beveiligingsteam kunnen deze informatie gebruiken om inzicht te hebben in en te reageren op bedreigingen voor uw organisatie en om uw intellectuele eigendom te beschermen.
Maak kennis met hulpprogramma's voor bedreigingsonderzoek en -respons
De mogelijkheden voor bedreigingsonderzoek en -respons in de Microsoft Defender portal op https://security.microsoft.com zijn een set hulpprogramma's en antwoordwerkstromen, waaronder:
Verkenner
Gebruik Explorer (en realtime detecties) om bedreigingen te analyseren, het aantal aanvallen in de loop van de tijd te bekijken en gegevens te analyseren per bedreigingsfamilie, infrastructuur van aanvallers en meer. Explorer (ook wel Threat Explorer genoemd) is de startplaats voor de onderzoekswerkstroom van elke beveiligingsanalist.
Als u dit rapport wilt weergeven en gebruiken in de Microsoft Defender-portal op https://security.microsoft.com, gaat u naar Email &samenwerkingsverkenner>. Of, als u rechtstreeks naar de Explorer-pagina wilt gaan, gebruikt https://security.microsoft.com/threatexploreru .
verbinding met bedreigingsinformatie Office 365
Deze functie is alleen beschikbaar als u een actief abonnement op Office 365 E5 of G5 of Microsoft 365 E5 of G5 of de Threat Intelligence-invoegtoepassing hebt. Zie de productpagina Office 365 Enterprise E5 voor meer informatie.
Gegevens van Microsoft Defender voor Office 365 worden opgenomen in Microsoft Defender XDR om een uitgebreid beveiligingsonderzoek uit te voeren op Office 365 postvakken en Windows-apparaten.
Incidenten
Gebruik de lijst Incidenten (dit wordt ook wel onderzoeken genoemd) om een lijst met beveiligingsincidenten in flight weer te geven. Incidenten worden gebruikt om bedreigingen zoals verdachte e-mailberichten op te sporen en om verder onderzoek en herstel uit te voeren.
Als u de lijst met huidige incidenten voor uw organisatie wilt weergeven in de Microsoft Defender portal op https://security.microsoft.com, gaat u naar Incidenten & waarschuwingen>Incidenten. Als u rechtstreeks naar de pagina Incidenten wilt gaan, gebruikt u https://security.microsoft.com/incidents.
Aanvalssimulatietraining
Gebruik training voor aanvalssimulatie om realistische cyberaanvallen in uw organisatie op te zetten en uit te voeren en kwetsbare personen te identificeren voordat een echte cyberaanval van invloed is op uw bedrijf. Zie Een phishing-aanval simuleren voor meer informatie.
Als u deze functie wilt weergeven en gebruiken in de Microsoft Defender portal op https://security.microsoft.com, gaat u naar Email & samenwerking>training voor aanvalssimulatie. Of gebruik https://security.microsoft.com/attacksimulator?viewid=overviewom rechtstreeks naar de pagina training voor aanvalssimulatie te gaan.
Geautomatiseerd onderzoek en reactie
Gebruik de mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) om tijd en moeite te besparen bij het correleren van inhoud, apparaten en personen die risico lopen op bedreigingen in uw organisatie. AIR-processen kunnen beginnen wanneer bepaalde waarschuwingen worden geactiveerd of wanneer ze worden gestart door uw beveiligingsteam. Zie Voorbeelden van geautomatiseerd onderzoek en respons (AIR) in Microsoft Defender voor Office 365 Plan 2 voor meer informatie.
Widgets voor bedreigingsinformatie
Als onderdeel van de aanbieding Microsoft Defender voor Office 365 Abonnement 2 kunnen beveiligingsanalisten details over een bekende bedreiging bekijken. Dit is handig om te bepalen of er aanvullende preventieve maatregelen/stappen kunnen worden genomen om gebruikers veilig te houden.
Hoe krijgen we deze mogelijkheden?
Mogelijkheden voor bedreigingsonderzoek en -respons van Microsoft 365 zijn opgenomen in Microsoft Defender voor Office 365 Abonnement 2, dat is opgenomen in Enterprise E5 of als een invoegtoepassing voor bepaalde abonnementen. Zie Defender voor Office 365 cheatsheet voor abonnement 1 versus plan 2 voor meer informatie.
Vereiste rollen en machtigingen
Microsoft Defender voor Office 365 maakt gebruik van op rollen gebaseerd toegangsbeheer. Machtigingen worden toegewezen via bepaalde rollen in Microsoft Entra ID, de Microsoft 365-beheercentrum of de Microsoft Defender portal.
Tip
Hoewel sommige rollen, zoals Beveiligingsbeheerder, kunnen worden toegewezen in de Microsoft Defender-portal, kunt u in plaats daarvan de Microsoft 365-beheercentrum of Microsoft Entra ID gebruiken. Zie de volgende resources voor informatie over rollen, rolgroepen en machtigingen:
| Activiteit | Rollen en machtigingen |
|---|---|
| Het dashboard Microsoft Defender Vulnerability Management gebruiken Informatie over recente of huidige bedreigingen weergeven |
Een van de volgende opties:
Deze rollen kunnen worden toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com). |
| Explorer (en realtime detecties) gebruiken om bedreigingen te analyseren | Een van de volgende opties:
Deze rollen kunnen worden toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com). |
| Incidenten weergeven (ook wel onderzoeken genoemd) E-mailberichten toevoegen aan een incident |
Een van de volgende opties:
Deze rollen kunnen worden toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com). |
| E-mailacties activeren in een incident Verdachte e-mailberichten zoeken en verwijderen |
Een van de volgende opties:
De rollen Globale beheerder* en Beveiligingsbeheerder kunnen worden toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com). De rol Zoeken en opschonen moet worden toegewezen in de Email & samenwerkingsrollen in de Microsoft 36 Defender-portal (https://security.microsoft.com). |
| Microsoft Defender voor Office 365 Abonnement 2 integreren met Microsoft Defender voor Eindpunt Microsoft Defender voor Office 365 Abonnement 2 integreren met een SIEM-server |
De rol Globale beheerder* of Beveiligingsbeheerder die is toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com). --- plus --- Een geschikte rol die is toegewezen in aanvullende toepassingen (zoals Microsoft Defender-beveiligingscentrum of uw SIEM-server). |
Belangrijk
* Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.