Microsoft Defender voor Eindpunt incidenten beheren
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Het beheren van incidenten is een belangrijk onderdeel van elke cyberbeveiligingsbewerking. U kunt incidenten beheren door een incident te selecteren in de wachtrij Incidenten of het deelvenster Incidentenbeheer.
Tip
Gedurende een beperkte periode in januari 2024, wanneer u de pagina Incidenten bezoekt, wordt Defender Boxed weergegeven. Defender Boxed markeert de beveiligingssuccessen, verbeteringen en reactieacties van uw organisatie in 2023. Als u Defender Boxed opnieuw wilt openen, gaat u in de Microsoft Defender-portal naar Incidenten en selecteert u vervolgens Uw Defender Boxed.
Als u een incident selecteert in de wachtrij Incidenten , wordt het deelvenster Incidentbeheer weergegeven , waar u de incidentpagina kunt openen voor meer informatie.
U kunt incidenten aan uzelf toewijzen, de status en classificatie wijzigen, de naam ervan wijzigen of opmerkingen toevoegen om de voortgang bij te houden.
Tip
Voor extra zichtbaarheid in één oogopslag worden incidentnamen automatisch gegenereerd op basis van waarschuwingskenmerken, zoals het aantal betrokken eindpunten, betrokken gebruikers, detectiebronnen of categorieën. Hierdoor kunt u snel inzicht hebben in het bereik van het incident.
Bijvoorbeeld: incident met meerdere fasen op meerdere eindpunten die door meerdere bronnen zijn gerapporteerd.
Incidenten die bestonden vóór de implementatie van de automatische naamgeving van incidenten, behouden hun naam.
Incidenten toewijzen
Als er nog geen incident is toegewezen, kunt u Toewijzen aan mij selecteren om het incident aan uzelf toe te wijzen. Als u dit doet, wordt niet alleen het incident eigendom, maar ook alle waarschuwingen die eraan zijn gekoppeld.
Status en classificatie instellen
Incidentstatus
U kunt incidenten categoriseren ( als Actief of Opgelost) door hun status te wijzigen naarmate uw onderzoek vordert. Dit helpt u bij het organiseren en beheren van hoe uw team kan reageren op incidenten.
Uw SOC-analist kan bijvoorbeeld de urgente Actieve incidenten voor de dag bekijken en besluiten deze aan zichzelf toe te wijzen voor onderzoek.
Uw SOC-analist kan het incident ook instellen op Opgelost als het incident is hersteld.
Indeling
U kunt ervoor kiezen om geen classificatie in te stellen of om op te geven of een incident waar of onwaar is. Als u dit doet, kan het team patronen zien en ervan leren.
Opmerkingen toevoegen
U kunt opmerkingen toevoegen en historische gebeurtenissen over een incident bekijken om eerdere wijzigingen in het incident te bekijken.
Wanneer een wijziging of opmerking wordt aangebracht in een waarschuwing, wordt deze vastgelegd in de sectie Opmerkingen en geschiedenis.
Toegevoegde opmerkingen worden direct weergegeven in het deelvenster.
Verwante onderwerpen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.