Beheer en reageer op beveiligingswaarschuwingen in Microsoft Defender for Cloud

In dit onderwerp wordt beschreven hoe u de waarschuwingen van Defender for Cloud kunt weergeven en verwerken en hoe u uw resources kunt beveiligen.

Geavanceerde detecties die beveiligingswaarschuwingen activeren, zijn alleen beschikbaar met de verbeterde beveiligingsfuncties van Microsoft Defender for Cloud ingeschakeld. Er is een gratis proefversie beschikbaar. Zie Verbeterde beveiliging inschakelen om een upgrade uit te voeren.

Wat zijn beveiligingswaarschuwingen?

Defender for Cloud verzamelt, analyseert en integreert logboekgegevens van uw Azure-resources, het netwerk en verbonden partneroplossingen, zoals firewalls en eindpuntagenten. Defender for Cloud gebruikt de logboekgegevens om echte bedreigingen te detecteren en fout-positieven te verminderen. Een lijst met beveiligingswaarschuwingen met prioriteit wordt weergegeven in Defender for Cloud, samen met de informatie die u nodig hebt om het probleem snel te onderzoeken en stappen om een aanval te herstellen.

Zie Beveiligingswaarschuwingen, een referentiehandleiding voor meer informatie over de verschillende typen waarschuwingen.

Zie Hoe Microsoft Defender for Cloud waarschuwingen detecteert en reageert op bedreigingen voor een overzicht van hoe Defender voor Cloud waarschuwingen genereert.

Uw beveiligingswaarschuwingen beheren

  1. Selecteer op de overzichtspagina van Defender for Cloud de tegel Beveiligingswaarschuwingen boven aan de pagina of de koppeling in de zijbalk.

    De pagina Beveiligingswaarschuwingen openen vanaf de overzichtspagina van Microsoft Defender voor Cloud

    De pagina beveiligingswaarschuwingen wordt geopend.

    Lijst met beveiligingswaarschuwingen van Microsoft Defender voor Cloud

  2. Als u de lijst met waarschuwingen wilt filteren, selecteert u een van de relevante filters. U kunt eventueel verdere filters toevoegen met de optie Filter toevoegen .

    Filters toevoegen aan de weergave Waarschuwingen.

    De lijst wordt bijgewerkt op basis van de filteropties die u hebt geselecteerd. U kunt u bijvoorbeeld concentreren op de beveiligingswaarschuwingen van de afgelopen 24 uur, omdat u een mogelijke inbreuk in het systeem onderzoekt.

Reageren op beveiligingswaarschuwingen

  1. Selecteer een waarschuwing in de lijst met beveiligingswaarschuwingen . Er wordt een zijvenster geopend en een beschrijving van de waarschuwing en alle betrokken resources weergegeven.

    Minidetailsweergave van een beveiligingswaarschuwing.

    Tip

    Als dit zijvenster is geopend, kunt u snel de lijst met waarschuwingen bekijken met de pijl-omhoog en pijl-omlaag op het toetsenbord.

  2. Selecteer Volledige details weergeven voor meer informatie.

    In het linkerdeelvenster van de pagina beveiligingswaarschuwingen ziet u informatie op hoog niveau met betrekking tot de beveiligingswaarschuwing: titel, ernst, status, activiteitstijd, beschrijving van de verdachte activiteit en de betrokken resource. De Azure-tags voor de betreffende resource helpen u inzicht te hebben in de organisatiecontext van de resource.

    Het rechterdeelvenster bevat het tabblad Waarschuwingsgegevens met meer details van de waarschuwing, zodat u het probleem kunt onderzoeken: IP-adressen, bestanden, processen en meer.

    Suggesties voor wat u moet doen met beveiligingswaarschuwingen.

    In het rechterdeelvenster ziet u ook het tabblad Actie ondernemen . Gebruik dit tabblad om verdere acties uit te voeren met betrekking tot de beveiligingswaarschuwing. Acties zoals:

    • Resourcecontext controleren : stuurt u naar de activiteitenlogboeken van de resource die ondersteuning bieden voor de beveiligingswaarschuwing
    • De bedreiging beperken : biedt handmatige herstelstappen voor deze beveiligingswaarschuwing
    • Toekomstige aanvallen voorkomen : biedt beveiligingsaanbevelingen om het kwetsbaarheid voor aanvallen te verminderen, de beveiligingspostuur te verhogen en zo toekomstige aanvallen te voorkomen
    • Geautomatiseerd antwoord activeren: biedt de optie om een logische app te activeren als reactie op deze beveiligingswaarschuwing
    • Vergelijkbare waarschuwingen onderdrukken: biedt de optie om toekomstige waarschuwingen met vergelijkbare kenmerken te onderdrukken als de waarschuwing niet relevant is voor uw organisatie

    Tabblad Actie ondernemen.

De status van meerdere beveiligingswaarschuwingen tegelijk wijzigen

De lijst met waarschuwingen bevat selectievakjes, zodat u meerdere waarschuwingen tegelijk kunt afhandelen. Voor triatrische doeleinden kunt u bijvoorbeeld besluiten om alle informatieve waarschuwingen voor een specifieke resource te negeren.

  1. Filter op basis van de waarschuwingen die u bulksgewijs wilt verwerken.

    In dit voorbeeld hebben we alle waarschuwingen geselecteerd met de ernst 'Informatief' voor de resource 'ASC-AKS-CLOUD-TALK'.

    Schermopname van het filteren van de waarschuwingen om gerelateerde waarschuwingen weer te geven.

  2. Gebruik de selectievakjes om de waarschuwingen te selecteren die moeten worden verwerkt, of gebruik het selectievakje boven aan de lijst om ze allemaal te selecteren.

    In dit voorbeeld hebben we alle waarschuwingen geselecteerd. U ziet dat de knop Status wijzigen nu beschikbaar is.

    Schermopname van het selecteren van alle waarschuwingen die bulksgewijs moeten worden verwerkt.

  3. Gebruik de opties Status wijzigen om de gewenste status in te stellen.

De waarschuwingen die op de huidige pagina worden weergegeven, hebben hun status gewijzigd in de geselecteerde waarde.

Zie ook

In dit document hebt u geleerd hoe u beveiligingswaarschuwingen kunt weergeven. Zie de volgende pagina's voor gerelateerd materiaal: