Delen via


Het Actiecentrum

Van toepassing op:

  • Microsoft Defender XDR

Het actiecentrum biedt een 'single pane of glass'-ervaring voor incident- en waarschuwingstaken, zoals:

  • Goedkeuring van in behandeling zijnde herstelacties.
  • Een auditlogboek weergeven met al goedgekeurde herstelacties.
  • Voltooide herstelacties controleren.

Omdat het actiecentrum een uitgebreid overzicht biedt van Microsoft Defender XDR op het werk, kan uw beveiligingsteam effectiever en efficiënter werken.

Het geïntegreerde actiecentrum

Het geïntegreerde Actiecentrum (https://security.microsoft.com/action-center) bevat in behandeling zijnde en voltooide herstelacties voor uw apparaten, e-mail & samenwerkingsinhoud en identiteiten op één locatie.

Het geïntegreerde actiecentrum in de Microsoft Defender portal.

Bijvoorbeeld:

Het geïntegreerde actiecentrum brengt herstelacties samen in Microsoft Defender voor Eindpunt en Microsoft Defender voor Office 365. Het definieert een gemeenschappelijke taal voor alle herstelacties en biedt een uniforme onderzoekservaring. Uw beveiligingsteam heeft een 'single pane of glass'-ervaring om herstelacties weer te geven en te beheren.

U kunt het geïntegreerde actiecentrum gebruiken als u de juiste machtigingen en een of meer van de volgende abonnementen hebt:

Tip

Zie Vereisten voor meer informatie.

U kunt op twee verschillende manieren naar de lijst met acties navigeren die wachten op goedkeuring:

Het actiecentrum gebruiken

  1. Ga naar Microsoft Defender portal en meld u aan.

  2. Kies in het navigatiedeelvenster onder Acties en inzendingende optie Actiecentrum. Of selecteer in de kaart Automatisch onderzoek & antwoord goedkeuren in het Actiecentrum.

  3. Gebruik de tabbladen Acties in behandeling en Geschiedenis . De volgende tabel bevat een overzicht van wat u op elk tabblad ziet:

    Tab Omschrijving
    Hangende Geeft een lijst weer met acties die aandacht vereisen. U kunt acties één voor één goedkeuren of weigeren of meerdere acties selecteren als ze hetzelfde type actie hebben (zoals Quarantainebestand).

    Zorg ervoor dat u in behandeling zijnde acties zo snel mogelijk controleert en goedkeurt (of afwijst), zodat uw geautomatiseerde onderzoeken tijdig kunnen worden voltooid.
    Geschiedenis Fungeert als een auditlogboek voor acties die zijn uitgevoerd, zoals:
    • >Herstelacties die zijn genomen als gevolg van geautomatiseerde onderzoeken
    • Herstelacties die zijn uitgevoerd op verdachte of schadelijke e-mailberichten, bestanden of URL's
    • Herstelacties die zijn goedgekeurd door uw beveiligingsteam
    • Opdrachten die zijn uitgevoerd en herstelacties die zijn toegepast tijdens livereactiesessies
    • Herstelacties die zijn uitgevoerd door uw antivirusbeveiliging


    Biedt een manier om bepaalde acties ongedaan te maken (zie Voltooide acties ongedaan maken).
  4. U kunt gegevens aanpassen, sorteren, filteren en exporteren in het Actiecentrum.

    Schermopname van de mogelijkheden voor sorteren, filteren en aanpassen van het Actiecentrum.

    • Selecteer een kolomkop om items in oplopende of aflopende volgorde te sorteren.
    • Gebruik het filter Tijdsperiode om gegevens weer te geven voor de afgelopen dag, week, 30 dagen of 6 maanden.
    • Kies de kolommen die u wilt weergeven.
    • Geef op hoeveel items moeten worden opgenomen op elke pagina met gegevens.
    • Gebruik filters om alleen de items weer te geven die u wilt zien.
    • Selecteer Exporteren om resultaten te exporteren naar een .csv-bestand.

Acties die worden bijgehouden in het actiecentrum

Alle acties, of ze nu in behandeling zijn of al zijn uitgevoerd, worden bijgehouden in het Actiecentrum. Beschikbare acties zijn onder andere:

  • Onderzoekspakket verzamelen
  • Apparaat isoleren (deze actie kan ongedaan worden gemaakt)
  • Computer offboarden
  • Uitvoering van releasecode
  • Release uit quarantaine
  • Aanvraagvoorbeeld
  • De uitvoering van code beperken (deze actie kan ongedaan worden gemaakt)
  • Antivirusscan uitvoeren
  • Stoppen en in quarantaine plaatsen
  • Apparaten weghouden van het netwerk

Naast herstelacties die automatisch worden uitgevoerd als gevolg van geautomatiseerd onderzoek, houdt het actiecentrum ook acties bij die uw beveiligingsteam heeft ondernomen om gedetecteerde bedreigingen aan te pakken en acties die zijn uitgevoerd als gevolg van functies voor bedreigingsbeveiliging in Microsoft Defender XDR. Zie Herstelacties voor meer informatie over automatische en handmatige herstelacties.

Details van actiebron weergeven

Het verbeterde Actiecentrum bevat een kolom Actiebron waarin wordt aangegeven waar elke actie vandaan komt. In de volgende tabel worden mogelijke actiebronwaarden beschreven:

Waarde van actiebron Beschrijving
Handmatige apparaatactie Een handmatige actie die is uitgevoerd op een apparaat. Voorbeelden zijn apparaatisolatie of bestandsquarantaine.
Handmatige e-mailactie Een handmatige actie die is uitgevoerd op e-mail. Een voorbeeld hiervan is het voorlopig verwijderen van e-mailberichten of het herstellen van een e-mailbericht.
Geautomatiseerde apparaatactie Een geautomatiseerde actie die wordt uitgevoerd op een entiteit, zoals een bestand of proces. Voorbeelden van geautomatiseerde acties zijn het verzenden van een bestand in quarantaine, het stoppen van een proces en het verwijderen van een registersleutel. (Zie Herstelacties in Microsoft Defender voor Eindpunt.)
Geautomatiseerde e-mailactie Een geautomatiseerde actie die wordt uitgevoerd op e-mailinhoud, zoals een e-mailbericht, bijlage of URL. Voorbeelden van geautomatiseerde acties zijn het voorlopig verwijderen van e-mailberichten, het blokkeren van URL's en het uitschakelen van externe e-mail doorsturen. (Zie Herstelacties in Microsoft Defender voor Office 365.)
Geavanceerde opsporingsactie Acties die zijn uitgevoerd op apparaten of e-mail met geavanceerde opsporing.
Explorer-actie Acties die worden uitgevoerd op e-mailinhoud met Explorer.
Handmatige live-antwoordactie Acties die worden uitgevoerd op een apparaat met live-respons. Voorbeelden hiervan zijn het verwijderen van een bestand, het stoppen van een proces en het verwijderen van een geplande taak.
Actie voor live-antwoord Acties die worden uitgevoerd op een apparaat met Microsoft Defender voor Eindpunt-API's. Voorbeelden van acties zijn het isoleren van een apparaat, het uitvoeren van een antivirusscan en het ophalen van informatie over een bestand.

Vereiste machtigingen voor taken in het actiecentrum

Als u taken wilt uitvoeren, zoals het goedkeuren of weigeren van in behandeling zijnde acties in het Actiecentrum, hebt u specifieke machtigingen nodig. U hebt de volgende opties:

  • Microsoft Entra machtigingen: lidmaatschap van deze rollen geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365:

    • Microsoft Defender voor Eindpunt herstel (apparaten): lidmaatschap van de rol Beveiligingsbeheerder.

    • Microsoft Defender voor Office 365 herstel (Office-inhoud en e-mail):

      • Lidmaatschap van de rol Beveiligingsbeheerder .

      en

      • Lidmaatschap van een rollengroep in Email & samenwerkingsmachtigingen waaraan de rol Zoeken en Opschonen is toegewezen. Deze rol wordt standaard alleen toegewezen aan de rollengroepen Gegevensonderzoeker en Organisatiebeheer in Email & samenwerkingsmachtigingen. U kunt gebruikers toevoegen aan deze rolgroepen of u kunt een nieuwe rollengroep maken in Email & samenwerkingsmachtigingen waaraan de rol Zoeken en opschonen is toegewezen en de gebruikers toevoegen aan de aangepaste rollengroep.
  • Email & samenwerkingsmachtigingen in de Microsoft Defender-portal:

    • Microsoft Defender voor Office 365 herstel (Office-inhoud en e-mail):

      • Lidmaatschap van de rolgroep Beveiligingsbeheerder

      en

      • Lidmaatschap van een rollengroep in Email & samenwerkingsmachtigingen waaraan de rol Zoeken en Opschonen is toegewezen. Deze rol wordt standaard alleen toegewezen aan de rollengroepen Gegevensonderzoeker en Organisatiebeheer in Email & samenwerkingsmachtigingen. U kunt gebruikers toevoegen aan deze rolgroepen of u kunt een nieuwe rollengroep maken in Email & samenwerkingsmachtigingen waaraan de rol Zoeken en opschonen is toegewezen en de gebruikers toevoegen aan de aangepaste rollengroep.
  • Microsoft Defender XDR Op rollen gebaseerd toegangsbeheer (RBAC)

    • Microsoft Defender voor Eindpunt herstel: Beveiligingsbewerkingen \ Beveiligingsgegevens \ Antwoord (beheren).
    • Microsoft Defender voor Office 365 herstel (Office-inhoud en e-mail, als Email & samenwerking>Defender voor Office 365 is Actief. Is alleen van invloed op de Defender-portal, niet op PowerShell):
      • Leestoegang voor e-mail- en Teams-berichtkoppen: beveiligingsbewerkingen/Onbewerkte gegevens (e-mail & samenwerking)/Email & metagegevens van samenwerking (lezen).
      • Schadelijke e-mail herstellen: beveiligingsbewerkingen/beveiligingsgegevens/Email & geavanceerde acties voor samenwerking (beheren).

    Tip

    Lidmaatschap van de rolgroep Beveiligingsbeheerder Email & samenwerkingsmachtigingen verleent geen toegang tot het Actiecentrum of Microsoft Defender XDR mogelijkheden. Hiervoor moet u lid zijn van de rol Beveiligingsbeheerder in Microsoft Entra machtigingen.

  • Defender voor Eindpuntmachtigingen:

    • Microsoft Defender voor Eindpunt herstel (apparaten):lidmaatschap van de rol Actieve herstelacties.

Tip

Leden van de rol Globale beheerder in Microsoft Entra ID kunnen elke actie in behandeling goedkeuren of weigeren in het Actiecentrum. Als best practice moet u echter de leden van de rol Globale beheerder beperken. U wordt aangeraden de alternatieve rollen en rolgroepen te gebruiken, zoals beschreven in de vorige lijst voor machtigingen voor het Actiecentrum.

Volgende stap

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.