Delen via


Reactie op incidenten in de Microsoft Defender-portal

Een incident in de Microsoft Defender-portal is een verzameling gerelateerde waarschuwingen en bijbehorende gegevens die het verhaal van een aanval vormen. Het is ook een casebestand dat uw SOC kan gebruiken om die aanval te onderzoeken en de reactie erop te beheren, implementeren en documenteer.

De Microsoft Sentinel- en Microsoft Defender-services maken waarschuwingen wanneer ze een verdachte of schadelijke gebeurtenis of activiteit detecteren. Afzonderlijke waarschuwingen bieden waardevol bewijs van een voltooide of doorlopende aanval. Steeds vaker voorkomende en geavanceerde aanvallen maken echter gebruik van verschillende technieken en vectoren tegen verschillende typen activatiteiten, zoals apparaten, gebruikers en postvakken. Het resultaat is meerdere waarschuwingen, van meerdere bronnen, voor meerdere activatiteiten in uw digitale activa.

Omdat afzonderlijke waarschuwingen slechts een deel van het verhaal vertellen en omdat het handmatig groeperen van afzonderlijke waarschuwingen om inzicht te krijgen in een aanval lastig en tijdrovend kan zijn, identificeert het geïntegreerde platform voor beveiligingsbewerkingen automatisch waarschuwingen die gerelateerd zijn, van zowel Microsoft Sentinel als Microsoft Defender XDR, en worden ze en de bijbehorende informatie samengevoegd tot een incident.

Hoe Microsoft Defender XDR gebeurtenissen van entiteiten correleert in een incident.

Als u gerelateerde waarschuwingen in een incident groepeert, krijgt u een uitgebreid overzicht van een aanval. U kunt bijvoorbeeld het volgende zien:

  • Waar de aanval begon.
  • Welke tactieken werden gebruikt.
  • Hoe ver de aanval in uw digitale bezit is gegaan.
  • Het bereik van de aanval, zoals het aantal apparaten, gebruikers en postvakken dat is beïnvloed.
  • Alle gegevens die aan de aanval zijn gekoppeld.

Het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal bevat methoden voor het automatiseren en helpen bij het opsporen, onderzoeken en oplossen van incidenten.

  • Microsoft Copilot in Defender maakt gebruik van AI om analisten te ondersteunen met complexe en tijdrovende dagelijkse werkstromen, waaronder end-to-end incidentonderzoek en -respons met duidelijk beschreven aanvalsverhalen, stapsgewijze richtlijnen voor herstel en overzicht van incidentactiviteiten, KQL-opsporing in natuurlijke taal en analyse van deskundige code, waarbij de SOC-efficiëntie in Microsoft Sentinel- en Defender XDR-gegevens wordt geoptimaliseerd.

    Deze mogelijkheid is een aanvulling op de andere op AI gebaseerde functionaliteit die Microsoft Sentinel aan het uniforme platform biedt, op het gebied van analyse van gebruikers- en entiteitsgedrag, anomaliedetectie, detectie van bedreigingen met meerdere fasen en meer.

  • Automatische onderbreking van aanvallen maakt gebruik van signalen met hoge betrouwbaarheid die zijn verzameld van Microsoft Defender XDR en Microsoft Sentinel om automatisch actieve aanvallen op machinesnelheid te verstoren, waardoor de bedreiging wordt beperkt en de impact wordt beperkt.

  • Als dit is ingeschakeld, kan Microsoft Defender XDR automatisch waarschuwingen van Microsoft 365- en Entra ID-bronnen onderzoeken en oplossen via automatisering en kunstmatige intelligentie. U kunt ook extra herstelstappen uitvoeren om de aanval op te lossen.

  • Microsoft Sentinel-automatiseringsregels kunnen de triage, toewijzing en het beheer van incidenten automatiseren, ongeacht de bron. Ze kunnen tags toepassen op incidenten op basis van hun inhoud, luidruchtige (fout-positieve) incidenten onderdrukken en opgeloste incidenten sluiten die voldoen aan de juiste criteria, waarbij een reden wordt opgegeven en opmerkingen worden toegevoegd.

Belangrijk

Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Incidenten en waarschuwingen in de Microsoft Defender-portal

U beheert incidenten vanuit Onderzoek & respons > Incidenten & waarschuwingen > Incidenten bij het snel starten van de Microsoft Defender-portal. Hier volgt een voorbeeld:

De pagina Incidenten in de Microsoft Defender-portal.

Als u de naam van een incident selecteert, wordt de incidentpagina weergegeven, te beginnen met het hele aanvalsverhaal van het incident, waaronder:

  • Waarschuwingspagina binnen incident: het bereik van waarschuwingen met betrekking tot het incident en de bijbehorende informatie op hetzelfde tabblad.

  • Grafiek: Een visuele weergave van de aanval die de verschillende verdachte entiteiten die deel uitmaken van de aanval verbindt met de asset-entiteiten die de doelen van de aanval vormen, zoals gebruikers, apparaten, apps en postvakken.

U kunt de asset- en andere entiteitsdetails rechtstreeks vanuit de grafiek bekijken en hierop reageren met antwoordopties, zoals het uitschakelen van een account, het verwijderen van een bestand of het isoleren van een apparaat.

Schermopname van de pagina met het aanvalsverhaal voor een incident in de Microsoft Defender-portal.

De incidentpagina bestaat uit de volgende tabbladen:

  • Aanvalsverhaal

    Dit tabblad bevat de tijdlijn van de aanval, met inbegrip van alle waarschuwingen, asset-entiteiten en herstelacties die zijn uitgevoerd.

  • Waarschuwingen

    Alle waarschuwingen met betrekking tot het incident, de bijbehorende bronnen en informatie.

  • Activa

    Alle assets (beveiligde entiteiten zoals apparaten, gebruikers, postvakken, apps en cloudresources) waarvan is vastgesteld dat ze deel uitmaken van of gerelateerd zijn aan het incident.

  • Onderzoeken

    Alle geautomatiseerde onderzoeken die worden geactiveerd door waarschuwingen in het incident, inclusief de status van het onderzoek en de resultaten ervan.

  • Bewijs en antwoord

    Alle verdachte entiteiten in de waarschuwingen van het incident, die bewijs vormen dat het aanvalsverhaal ondersteunt. Deze entiteiten kunnen IP-adressen, bestanden, processen, URL's, registersleutels en -waarden bevatten, en meer.

  • Samenvatting

    Een kort overzicht van de betrokken assets die zijn gekoppeld aan waarschuwingen.

Opmerking

Als u de waarschuwingsstatus niet-ondersteund ziet , betekent dit dat de mogelijkheden voor geautomatiseerd onderzoek die waarschuwing niet kunnen ophalen om een geautomatiseerd onderzoek uit te voeren. U kunt deze waarschuwingen echter handmatig onderzoeken.

Voorbeeld van een werkstroom voor incidentrespons in de Microsoft Defender-portal

Hier volgt een voorbeeld van een werkstroom voor het reageren op incidenten in Microsoft 365 met de Microsoft Defender-portal.

Een voorbeeld van een werkstroom voor het reageren op incidenten voor de Microsoft Defender-portal.

Identificeer voortdurend de incidenten met de hoogste prioriteit voor analyse en oplossing in de incidentwachtrij en bereid ze voor op reactie. Dit is een combinatie van:

  • Triging om de incidenten met de hoogste prioriteit te bepalen door de incidentwachtrij te filteren en te sorteren.
  • Incidenten beheren door de titel ervan te wijzigen, ze toe te wijzen aan een analist en tags en opmerkingen toe te voegen.

U kunt automatiseringsregels van Microsoft Sentinel gebruiken om sommige incidenten automatisch te sorteren en te beheren (en zelfs te reageren op) wanneer ze worden gemaakt, waardoor de eenvoudigst te verwerken incidenten geen ruimte meer in uw wachtrij in beslag nemen.

Overweeg deze stappen voor uw eigen werkstroom voor incidentrespons:

Fase Stappen
Start voor elk incident een aanvals- en waarschuwingsonderzoek en -analyse.
  1. Bekijk het aanvalsverhaal van het incident om inzicht te krijgen in het bereik, de ernst, de detectiebron en welke asset-entiteiten worden beïnvloed.
  2. Begin met het analyseren van de waarschuwingen om inzicht te hebben in de oorsprong, het bereik en de ernst van de waarschuwingen met het waarschuwingsverhaal binnen het incident.
  3. Verzamel zo nodig informatie over betrokken apparaten, gebruikers en postvakken met behulp van de grafiek. Selecteer een entiteit om een flyout met alle details te openen. Volg de entiteitspagina voor meer inzichten.
  4. Bekijk hoe Microsoft Defender XDR een aantal waarschuwingen automatisch heeft opgelost met het tabblad Onderzoeken .
  5. Gebruik indien nodig informatie in de gegevensset voor het incident voor meer informatie op het tabblad Bewijs en antwoord .
Voer na of tijdens uw analyse insluiting uit om de extra impact van de aanval en de uitroeiing van de beveiligingsrisico's te beperken. Bijvoorbeeld:
  • Gecompromitteerde gebruikers uitschakelen
  • Betrokken apparaten isoleren
  • Blokkeer vijandige IP-adressen.
  • Herstel zoveel mogelijk van de aanval door uw tenantresources te herstellen naar de staat waarin ze zich vóór het incident bevonden.
    Los het incident op en documenteer uw bevindingen. Neem de tijd voor het leren van post-incident om het volgende te doen:
  • Inzicht in het type aanval en de impact ervan.
  • Onderzoek de aanval in Bedreigingsanalyse en de beveiligingscommunity voor een trend voor beveiligingsaanvallen.
  • Herinner de werkstroom die u hebt gebruikt om het incident op te lossen en werk uw standaardwerkstromen, processen, beleidsregels en playbooks zo nodig bij.
  • Bepaal of er wijzigingen in uw beveiligingsconfiguratie nodig zijn en implementeer deze.
  • Als u geen kennis hebt van beveiligingsanalyse, raadpleegt u de inleiding om te reageren op uw eerste incident voor meer informatie en om een voorbeeldincident te doorlopen.

    Zie dit artikel voor meer informatie over het reageren op incidenten in Microsoft-producten.

    Beveiligingsbewerkingen integreren in de Microsoft Defender-portal

    Hier volgt een voorbeeld van het integreren van SecOps-processen (Security Operations) in de Microsoft Defender-portal.

    Een voorbeeld van beveiligingsbewerkingen voor Microsoft Defender XDR

    Dagelijkse taken kunnen het volgende omvatten:

    Maandelijkse taken kunnen het volgende omvatten:

    Driemaandelijkse taken kunnen een rapport en een briefing van beveiligingsresultaten aan de Chief Information Security Officer (CISO) omvatten.

    Jaarlijkse taken kunnen bestaan uit het uitvoeren van een groot incident of inbreukoefening om uw personeel, systemen en processen te testen.

    Dagelijkse, maandelijkse, driemaandelijkse en jaarlijkse taken kunnen worden gebruikt om processen, beleidsregels en beveiligingsconfiguraties bij te werken of te verfijnen.

    Zie Microsoft Defender XDR integreren in uw beveiligingsbewerkingen voor meer informatie.

    SecOps-resources in Microsoft-producten

    Zie deze bronnen voor meer informatie over SecOps in microsoft-producten:

    Incidentmeldingen per e-mail

    U kunt de Microsoft Defender-portal instellen om uw personeel via een e-mail op de hoogte te stellen van nieuwe incidenten of updates van bestaande incidenten. U kunt ervoor kiezen om meldingen te ontvangen op basis van:

    • Ernst van waarschuwingen
    • Waarschuwingsbronnen
    • Apparaatgroep

    Zie E-mailmeldingen over incidenten ontvangen als u e-mailmeldingen voor incidenten wilt instellen.

    Training voor beveiligingsanalisten

    Gebruik deze leermodule van Microsoft Learn om te begrijpen hoe u Microsoft Defender XDR gebruikt om incidenten en waarschuwingen te beheren.

    Training: Incidenten onderzoeken met Microsoft Defender XDR
    Onderzoek incidenten met het trainingspictogram van Microsoft Defender XDR. Microsoft Defender XDR combineert bedreigingsgegevens van meerdere services en maakt gebruik van AI om deze te combineren tot incidenten en waarschuwingen. Meer informatie over het minimaliseren van de tijd tussen een incident en het beheer ervan voor volgende reactie en oplossing.

    27 min. - 6 eenheden

    Volgende stappen

    Gebruik de vermelde stappen op basis van uw ervaringsniveau of rol in uw beveiligingsteam.

    Ervaringsniveau

    Volg deze tabel voor uw ervaringsniveau met beveiligingsanalyse en incidentrespons.

    Niveau Stappen
    Nieuw
    1. Zie de walkthrough Reageren op uw eerste incident voor een rondleiding door een typisch proces van analyse, herstel en incidentbeoordeling in de Microsoft Defender-portal met een voorbeeldaanval.
    2. Bekijk welke incidenten prioriteit moeten krijgen op basis van ernst en andere factoren.
    3. Incidenten beheren, waaronder het hernoemen, toewijzen, classificeren en toevoegen van tags en opmerkingen op basis van uw werkstroom voor incidentbeheer.
    Ervaren
    1. Ga aan de slag met de incidentwachtrij op de pagina Incidenten van de Microsoft Defender-portal. U kunt hier het volgende doen:
      • Bekijk welke incidenten prioriteit moeten krijgen op basis van ernst en andere factoren.
      • Incidenten beheren, waaronder het hernoemen, toewijzen, classificeren en toevoegen van tags en opmerkingen op basis van uw werkstroom voor incidentbeheer.
      • Onderzoek naar incidenten uitvoeren.
    2. Volg en reageer op nieuwe bedreigingen met bedreigingsanalyse.
    3. Proactief zoeken naar bedreigingen met geavanceerde opsporing van bedreigingen.
    4. Zie deze playbooks voor reactie op incidenten voor gedetailleerde richtlijnen voor phishing, wachtwoordspray en app-toestemming verlenen aanvallen.

    Rol van beveiligingsteam

    Volg deze tabel op basis van uw beveiligingsteamrol.

    Rol Stappen
    Incident responder (laag 1) Ga aan de slag met de incidentwachtrij op de pagina Incidenten van de Microsoft Defender-portal. U kunt hier het volgende doen:
    • Bekijk welke incidenten prioriteit moeten krijgen op basis van ernst en andere factoren.
    • Incidenten beheren, waaronder het hernoemen, toewijzen, classificeren en toevoegen van tags en opmerkingen op basis van uw werkstroom voor incidentbeheer.
    Beveiligingsonderzoeker of -analist (laag 2)
    1. Onderzoek naar incidenten uitvoeren vanaf de pagina Incidenten van de Microsoft Defender-portal.
    2. Zie deze playbooks voor reactie op incidenten voor gedetailleerde richtlijnen voor phishing, wachtwoordspray en app-toestemming verlenen aanvallen.
    Geavanceerde beveiligingsanalist of bedreigingsjager (laag 3)
    1. Onderzoek naar incidenten uitvoeren vanaf de pagina Incidenten van de Microsoft Defender-portal.
    2. Volg en reageer op nieuwe bedreigingen met bedreigingsanalyse.
    3. Proactief zoeken naar bedreigingen met geavanceerde opsporing van bedreigingen.
    4. Zie deze playbooks voor reactie op incidenten voor gedetailleerde richtlijnen voor phishing, wachtwoordspray en app-toestemming verlenen aanvallen.
    SOC-manager Lees hoe u Microsoft Defender XDR integreert in uw Security Operations Center (SOC).

    Tip

    Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.