Waarschuwingen onderzoeken in Microsoft Defender voor Eindpunt
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Onderzoek waarschuwingen die van invloed zijn op uw netwerk, begrijp wat ze betekenen en hoe u deze kunt oplossen.
Selecteer een waarschuwing in de waarschuwingenwachtrij om naar de waarschuwingspagina te gaan. Deze weergave bevat de titel van de waarschuwing, de betrokken assets, het detaildeelvenster en het waarschuwingsverhaal.
Begin vanaf de waarschuwingspagina met uw onderzoek door de betrokken assets of een van de entiteiten te selecteren in de structuurweergave van het waarschuwingsverhaal. Het detailvenster wordt automatisch gevuld met meer informatie over wat u hebt geselecteerd. Lees Waarschuwingen controleren in Microsoft Defender voor Eindpunt om te zien wat voor soort informatie u hier kunt bekijken.
Onderzoeken met behulp van het waarschuwingsverhaal
In het waarschuwingsverhaal wordt aangegeven waarom de waarschuwing is geactiveerd, gerelateerde gebeurtenissen die zich voor en na hebben voorgedaan, evenals andere gerelateerde entiteiten.
Entiteiten kunnen worden geklikt en elke entiteit die geen waarschuwing is, kan worden uitgevouwen met behulp van het uitvouwpictogram aan de rechterkant van de kaart van die entiteit. De entiteit in focus wordt aangegeven met een blauwe streep aan de linkerkant van de kaart van die entiteit, waarbij de waarschuwing in de titel eerst de focus heeft.
Vouw entiteiten uit om details in één oogopslag weer te geven. Als u een entiteit selecteert, wordt de context van het detailvenster overgezet naar deze entiteit en kunt u meer informatie bekijken en die entiteit beheren. Als u ... rechts van de entiteitskaart selecteert, worden alle acties weergegeven die beschikbaar zijn voor die entiteit. Dezelfde acties worden weergegeven in het detailvenster wanneer die entiteit de focus heeft.
Opmerking
De sectie waarschuwingsverhaal kan meer dan één waarschuwing bevatten, waarbij extra waarschuwingen met betrekking tot dezelfde uitvoeringsstructuur worden weergegeven vóór of na de waarschuwing die u hebt geselecteerd.
Onderzoeken met behulp van de waarschuwingstijdlijn
De tijdlijn van de waarschuwing vormt een aanvulling op de bestaande processtructuurweergave door gebruikers een uitgebreid perspectief te bieden op elke waarschuwing. Hoewel de processtructuur een gedetailleerde uitsplitsing biedt van de bijbehorende processen en activiteiten van de waarschuwing, biedt de tijdlijn van de waarschuwing een beknopte chronologische weergave die snelle triage en besluitvorming mogelijk maakt.
Actie ondernemen vanuit het detailvenster
Zodra u een entiteit van belang hebt geselecteerd, wordt het detailvenster gewijzigd om informatie weer te geven over het geselecteerde entiteitstype, historische informatie wanneer deze beschikbaar is en besturingselementen aan te bieden om rechtstreeks vanaf de waarschuwingspagina actie te ondernemen op deze entiteit.
Zodra u klaar bent met het onderzoeken, gaat u terug naar de waarschuwing waarmee u bent begonnen, markeert u de status van de waarschuwing als Opgelost en classificeert u deze als False alert of True-waarschuwing. Als u waarschuwingen classificeert, kunt u deze mogelijkheid afstemmen om meer echte waarschuwingen en minder valse waarschuwingen te bieden.
Als u deze als een echte waarschuwing classificeert, kunt u ook een bepaling selecteren, zoals wordt weergegeven in de onderstaande afbeelding.
Als u een valse waarschuwing ervaart met een Line-Of-Business-toepassing, maakt u een onderdrukkingsregel om dit type waarschuwing in de toekomst te voorkomen.
Tip
Als u problemen ondervindt die hierboven niet zijn beschreven, gebruikt u de 🙂 knop om feedback te geven of een ondersteuningsticket te openen.
Verwante onderwerpen
- De wachtrij Microsoft Defender voor Eindpunt waarschuwingen weergeven en organiseren
- Microsoft Defender voor Eindpunt-waarschuwingen beheren
- Een bestand onderzoeken dat is gekoppeld aan een Defender for Endpoint-waarschuwing
- Apparaten onderzoeken in de lijst met Defender voor Eindpunt-apparaten
- Een IP-adres onderzoeken dat is gekoppeld aan een Defender for Endpoint-waarschuwing
- Een domein onderzoeken dat is gekoppeld aan een Defender for Endpoint-waarschuwing
- Een gebruikersaccount onderzoeken in Defender voor Eindpunt
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.