Het actiecentrum gebruiken

  • 14 minuten

Actiecentrum

Het geïntegreerde actiecentrum van de Microsoft Defender-portal bevat in behandeling zijnde en voltooide herstelacties voor uw apparaten, inhoud voor e-mail en samenwerking en identiteiten op één locatie.

Het geïntegreerde Actiecentrum brengt herstelacties samen in Defender voor Eindpunt en Defender voor Office 365. Het definieert een algemene taal voor alle herstelacties en biedt een uniforme onderzoekservaring. Uw beveiligingsteam heeft een 'single pane of glass'-ervaring om herstelacties weer te geven en te beheren.

Het Actiecentrum bestaat uit in behandeling zijnde en historische items:

  • In behandeling wordt een lijst weergegeven met lopende onderzoeken waarvoor aandacht is vereist. Er worden aanbevolen acties weergegeven die uw beveiligingsteam kan goedkeuren of afwijzen. Het tabblad In behandeling wordt alleen weergegeven als er acties in behandeling zijn die moeten worden goedgekeurd (of geweigerd).

  • Geschiedenis als een auditlogboek voor alle volgende items:

    • Herstelacties die zijn uitgevoerd als gevolg van een geautomatiseerd onderzoek

    • Herstelacties die zijn goedgekeurd door uw beveiligingsteam (sommige acties, zoals het verzenden van een bestand naar quarantaine, kunnen ongedaan worden gemaakt)

    • Opdrachten die zijn uitgevoerd en herstelacties die zijn toegepast in liveresponssessies (sommige acties kunnen ongedaan worden gemaakt)

    • Herstelacties die zijn toegepast door Microsoft Defender Antivirus (sommige acties kunnen ongedaan worden gemaakt)

Selecteer Geautomatiseerde onderzoeken en vervolgens Actiecentrum.

Screenshot of the Microsoft Defender XDR Action center.

Wanneer een geautomatiseerd onderzoek wordt uitgevoerd, wordt er een oordeel gegenereerd voor elk onderzocht stuk bewijs. De dicteren kunnen schadelijk, verdacht of geen bedreigingen zijn gevonden, afhankelijk van:

  • Type bedreiging

  • Resulterende uitspraak

  • Hoe de apparaatgroepen van uw organisatie worden geconfigureerd

Herstelacties kunnen automatisch of alleen worden uitgevoerd na goedkeuring door het beveiligingsteam van uw organisatie.

Wachtende acties controleren

Een actie in behandeling goedkeuren of afwijzen:

  • Selecteer een item op het tabblad In behandeling.

  • Selecteer een onderzoek in een van de categorieën om een deelvenster te openen waarin u herstelacties kunt goedkeuren of afwijzen.

Andere details, zoals bestand- of servicedetails, onderzoeksdetails en waarschuwingsdetails, worden weergegeven. In het deelvenster kunt u de koppeling Onderzoek openen selecteren om de onderzoeksdetails te bekijken. U kunt ook meerdere onderzoeken selecteren om acties voor meerdere onderzoeken goed te keuren of af te wijzen.

Voltooide acties controleren

Voltooide acties controleren:

  • Selecteer het tabblad Geschiedenis. (Als dat nodig is, vouwt u de periode uit om meer gegevens weer te geven.)

  • Selecteer een item om meer informatie over die herstelactie weer te geven.

Voltooide acties ongedaan maken

U hebt vastgesteld dat een apparaat of bestand geen bedreiging is. U kunt herstelacties ongedaan maken die zijn uitgevoerd, ongeacht of deze acties automatisch of handmatig zijn uitgevoerd. U kunt een van de volgende acties ongedaan maken:

  • Bron

    • Geautomatiseerd onderzoek

    • Microsoft Defender Antivirus

    • Handmatige antwoordacties

  • Ondersteunde acties

    • Apparaat isoleren

    • Code-uitvoering beperken

    • Een bestand in quarantaine plaatsen

    • Een registersleutel verwijderen

    • Een service stoppen

    • Een stuurprogramma uitschakelen

    • Een geplande taak verwijderen

Een bestand verwijderen uit quarantaine op meerdere apparaten

Een bestand verwijderen uit quarantaine op meerdere apparaten:

  1. Selecteer op het tabblad Geschiedenis een bestand met het actietype Quarantainebestand.

  2. Selecteer In het deelvenster aan de rechterkant van het scherm de optie Toepassen op X meer exemplaren van dit bestand en selecteer Vervolgens Ongedaan maken.

Details van actiebron weergeven

Het Actiecentrum bevat een kolom actiebron waarmee wordt aangegeven waar elke actie vandaan komt. In de volgende tabel worden mogelijke bronwaarden voor actie beschreven:

Waarde van actiebron Beschrijving
Handmatige apparaatactie Een handmatige actie die op een apparaat is uitgevoerd. Voorbeelden zijn apparaatisolatie of bestandsquarantaine.
Handmatige e-mailactie Een handmatige actie die via e-mail wordt uitgevoerd. Een voorbeeld hiervan is het voorlopig verwijderen van e-mailberichten of het herstellen van een e-mailbericht.
Automatische apparaatactie Een geautomatiseerde actie die is uitgevoerd op een entiteit, zoals een bestand of proces. Voorbeelden van geautomatiseerde acties zijn het verzenden van een bestand naar quarantaine, het stoppen van een proces en het verwijderen van een registersleutel.
Automatische e-mailactie Een geautomatiseerde actie die wordt uitgevoerd op e-mailinhoud, zoals een e-mailbericht, bijlage of URL. Voorbeelden van geautomatiseerde acties zijn het voorlopig verwijderen van e-mailberichten, het blokkeren van URL's en het uitschakelen van extern doorsturen van e-mail.
Geavanceerde opsporingsactie Acties die worden uitgevoerd op apparaten of e-mail met geavanceerde opsporing.
Actie Verkenner Acties die worden uitgevoerd op e-mailinhoud met Explorer.
Handmatige actie voor live-respons Acties die worden uitgevoerd op een apparaat met live-respons. Voorbeelden hiervan zijn het verwijderen van een bestand, het stoppen van een proces en het verwijderen van een geplande taak.
Live-antwoordactie Acties die worden uitgevoerd op een apparaat met Microsoft Defender voor Eindpunt API's. Voorbeelden van acties zijn het isoleren van een apparaat, het uitvoeren van een antivirusscan en het ophalen van informatie over een bestand.

Inzendingen

In Microsoft 365-organisaties met Exchange Online-postvakken kunnen beheerders de portal Verzendingen in de Microsoft Defender-portal gebruiken om e-mailberichten, URL's en bijlagen bij Microsoft te verzenden voor scannen.

Wanneer u een e-mailbericht verzendt voor analyse, krijgt u het volgende:

  • Controle van e-mailverificatie: details over of e-mailverificatie is geslaagd of mislukt toen deze werd bezorgd.
  • Beleidstreffers: informatie over beleidsregels die de binnenkomende e-mail in uw tenant hebben toegestaan of geblokkeerd, waarbij onze servicefilterbeoordelingen worden overschreven.
  • Reputatie/detonatie van nettolading: up-to-date onderzoek van URL's en bijlagen in het bericht.
  • Beoordelingsanalyse: Beoordeling uitgevoerd door menselijke graders om te bevestigen of berichten kwaadaardig zijn.

Belangrijk

De reputatie/detonatie van de nettolading en de analyse van grader worden niet uitgevoerd in alle tenants. Informatie wordt geblokkeerd om buiten de organisatie te gaan wanneer gegevens de tenantgrens niet mogen verlaten voor nalevingsdoeleinden.

Wat moet u weten voordat u begint?

  • Als u berichten en bestanden wilt verzenden naar Microsoft, moet u een van de volgende rollen hebben:

    Beveiliging Beheer istrator of Beveiligingslezer in de Microsoft Defender-portal.

  • Beheer kunnen berichten als ouder dan 30 dagen verzenden als deze nog steeds beschikbaar is in het postvak en niet worden opgeschoond door de gebruiker of een andere beheerder.

  • Beheer inzendingen worden beperkt tegen de volgende tarieven:

    Maximum aantal inzendingen in een periode van 15 minuten: 150 inzendingen

    Dezelfde inzendingen in een periode van 24 uur: drie inzendingen

    Dezelfde inzendingen in een periode van 15 minuten: Één inzending

Verdachte inhoud rapporteren aan Microsoft

Controleer op de pagina Verzendingen of het tabblad E-mailberichten, e-mailbijlagen of URL's is geselecteerd op basis van het type inhoud dat u wilt rapporteren. Selecteer vervolgens het pictogram Verzenden naar Microsoft voor analyse. Dien deze in bij Microsoft voor analyse.

Gebruik de flyout Verzenden naar Microsoft voor analyse die lijkt te worden verzonden naar het respectieve type inhoud (e-mail, URL of e-mailbijlage).

Notitie

Bestands- en URL-inzendingen zijn niet beschikbaar in de clouds die niet toestaan dat gegevens de omgeving verlaten. De mogelijkheid om bestand of URL te selecteren, wordt grijs weergegeven.

Gebruikers informeren vanuit de portal

Selecteer op de pagina Inzendingen het tabblad Door de gebruiker gerapporteerde berichten en selecteer vervolgens het bericht dat u wilt markeren en melden.

Selecteer de vervolgkeuzelijst Markeren en waarschuwen en selecteer vervolgens Geen bedreigingen gevonden > phishing of ongewenste e-mail.

Het gerapporteerde bericht wordt gemarkeerd als fout-positief of als fout-negatief. Een e-mailmelding wordt automatisch vanuit de portal verzonden naar de gebruiker die het bericht heeft gerapporteerd.

Een twijfelachtige e-mail verzenden naar Microsoft

  1. Controleer in het vak Het inzendingstype selecteren of e-mail is geselecteerd in de vervolgkeuzelijst.

  2. Gebruik een van de volgende opties in de sectie Het netwerkbericht toevoegen of upload de sectie E-mailbestand:

    • Voeg de id van het e-mailnetwerkbericht toe: De id is een GUID-waarde die beschikbaar is in de header X-MS-Exchange-Organization-Network-Message-Id in het bericht of in de header X-MS-Office365-Filtering-Correlation-Id in in quarantaine geplaatste berichten.

    • Upload het e-mailbestand (.msg of .eml): Selecteer Bladeren-bestanden. Zoek en selecteer in het dialoogvenster dat wordt geopend het .eml- of .msg-bestand en selecteer vervolgens Openen.

    Geef in het vak Kies een geadresseerde op waarvoor u een beleidscontrole wilt uitvoeren. De beleidscontrole bepaalt of het scannen van e-mail is overgeslagen vanwege het beleid van de gebruiker of organisatie.

  3. Selecteer een van de volgende opties in de sectie Selecteer een reden voor het indienen bij Microsoft:

    • Mag niet zijn geblokkeerd (fout-positief)
    • Moet zijn geblokkeerd (fout-negatief): Selecteer in de sectie 'Het e-mailbericht moet zijn gecategoriseerd als' dat wordt weergegeven een van de volgende waarden (als u niet zeker weet of u het beste oordeel hebt): Phish, Malware of Spam

  4. Wanneer u klaar bent, selecteert u Verzenden.

Een verdachte URL naar Microsoft verzenden

  1. Selecteer de URL in de vervolgkeuzelijst in het vak Het inzendingstype selecteren.

  2. Voer in het vak URL dat wordt weergegeven de volledige URL in. Bijvoorbeeld: https://www.fabrikam.com/marketing.html.

  3. Selecteer een van de volgende opties in de sectie Selecteer een reden voor het indienen bij Microsoft:

    • Mag niet zijn geblokkeerd (fout-positief)
    • Moet zijn geblokkeerd (fout-negatief): Selecteer in de sectie 'Deze URL moet zijn gecategoriseerd als' die wordt weergegeven een van de volgende waarden (als u niet zeker weet of u het beste oordeel hebt): Phish, Malware

  4. Wanneer u klaar bent, selecteert u Verzenden.

Een verdachte e-mailbijlage verzenden naar Microsoft

  1. Selecteer in het vak Het invoertype selecteren e-mailbijlage in de vervolgkeuzelijst.

  2. Selecteer Bladeren in de sectie Bestand die wordt weergegeven. Zoek en selecteer het bestand in het dialoogvenster dat wordt geopend en selecteer het en selecteer vervolgens Openen.

  3. Selecteer een van de volgende opties in de sectie Selecteer een reden voor het indienen bij Microsoft:

    • Mag niet zijn geblokkeerd (fout-positief)
    • Moet zijn geblokkeerd (fout-negatief): Selecteer in de sectie 'Dit bestand moet zijn gecategoriseerd als' die wordt weergegeven een van de volgende waarden (als u niet zeker weet of u het beste oordeel hebt): Phish, Malware

  4. Wanneer u klaar bent, selecteert u Verzenden.

Notitie

Als malwarefilters de berichtbijlagen hebben vervangen door het bestand Malwarewaarschuwing Text.txt, moet u het oorspronkelijke bericht indienen vanuit quarantaine dat de oorspronkelijke bijlagen bevat. Zie In quarantaine geplaatste berichten en bestanden beheren als beheerder voor meer informatie over quarantaine en het vrijgeven van berichten met fout-positieven voor malware.

Beheerdersinzendingen weergeven bij Microsoft

Controleer op de pagina Verzendingen of het tabblad E-mails, URL of e-mailbijlage is geselecteerd.

U kunt de items sorteren door te klikken op een beschikbare kolomkop. Selecteer Kolommen aanpassen om maximaal zeven kolommen weer te geven. De standaardwaarden worden gemarkeerd met een sterretje (*):

  • Naam van inzending*
  • Afzender*
  • Ontvanger
  • Datum verzonden*
  • Reden voor indienen*
  • Status*
  • Resultaat*
  • Filterbeoordeling
  • Reden van levering/blokkeren
  • Inzendings-id
  • Netwerkbericht-id/object-id
  • Richting
  • IP-adres van afzender
  • BCL (Bulk Compliant Level)
  • Doel
  • Beleidsactie
  • Ingediend door
  • Phish-simulatie
  • Codes​*
  • Toestaan

Selecteer Toepassen als u klaar bent.

Beheer details van het indienen van resultaten

Berichten die worden verzonden in indieningen van beheerders, worden beoordeeld en de resultaten worden weergegeven in de flyout met details van de inzending:

  • Als er een fout is opgetreden in de e-mailverificatie van de afzender op het moment van bezorging.
  • Informatie over eventuele beleidstreffers die het oordeel van een bericht kunnen hebben beïnvloed of overschreven.
  • Huidige detonatieresultaten om te zien of de URL's of bestanden in het bericht kwaadaardig zijn of niet.
  • Feedback van graders.

Als er een onderdrukking is gevonden, moet het resultaat binnen enkele minuten beschikbaar zijn. Als er geen probleem was met e-mailverificatie of bezorging, is dit niet beïnvloed door een onderdrukking, dan kan de feedback van graders tot een dag duren.

Gebruikersinzendingen weergeven bij Microsoft

Als u de invoegtoepassing Rapportbericht, de invoegtoepassing Phishing rapporteren of personen de ingebouwde rapportage in webversie van Outlook hebt geïmplementeerd, kunt u zien welke gebruikers rapporteren op het tabblad Gerapporteerd bericht door de gebruiker.

Selecteer op de pagina Verzendingen het tabblad Door de gebruiker gerapporteerde berichten.

U kunt de items sorteren door te klikken op een beschikbare kolomkop. Selecteer Kolommen aanpassen om de opties weer te geven. De standaardwaarden worden gemarkeerd met een sterretje (*):

  • E-mailonderwerp*
  • Gerapporteerd door*
  • Gerapporteerde datum*
  • Afzender*
  • Gerapporteerde reden*
  • Resultaat*
  • Bericht gerapporteerde id
  • Netwerkbericht-id
  • IP-adres van afzender
  • Gerapporteerd vanaf
  • Phish-simulatie
  • Geconverteerd naar indiening door beheerder
  • Codes​*
  • Gemarkeerd als*
  • Gemarkeerd door
  • Datum gemarkeerd

Selecteer Toepassen als u klaar bent.

Notitie

Als organisaties zijn geconfigureerd om door de gebruiker gerapporteerde berichten alleen naar het aangepaste postvak te verzenden, worden gerapporteerde berichten weergegeven in door de gebruiker gerapporteerde berichten, maar zijn hun resultaten altijd leeg (omdat ze niet opnieuw zijn gescand).

Gebruikersinzendingen ongedaan maken

Zodra een gebruiker een verdacht e-mailbericht naar het aangepaste postvak verzendt, hebben de gebruiker en de beheerder geen optie om de inzending ongedaan te maken. Als de gebruiker de e-mail wil herstellen, is deze beschikbaar voor herstel in de mappen Verwijderde items of Ongewenste e-mail.

Door de gebruiker gerapporteerde berichten van het aangepaste postvak converteren naar een indiening door een beheerder

Als u het aangepaste postvak hebt geconfigureerd om door de gebruiker gerapporteerde berichten te onderscheppen zonder de berichten naar Microsoft te verzenden, kunt u specifieke berichten zoeken en verzenden naar Microsoft voor analyse.

Selecteer op het tabblad Door gebruiker gerapporteerde berichten een bericht in de lijst, selecteer Verzenden naar Microsoft voor analyse en selecteer vervolgens een van de volgende waarden in de vervolgkeuzelijst:

  • Rapport opschonen
  • Phishing melden
  • Malware rapporteren
  • Spam melden
  • Triggeronderzoek