Details en resultaten van een geautomatiseerd onderzoek
Van toepassing op:
- Microsoft Defender XDR
Met Microsoft Defender XDR, wanneer een geautomatiseerd onderzoek wordt uitgevoerd, zijn er zowel tijdens als na het geautomatiseerde onderzoek details over dat onderzoek beschikbaar. Als u over de benodigde machtigingen beschikt, kunt u deze details bekijken in een weergave met onderzoeksdetails die u de actuele status biedt en de mogelijkheid biedt om eventuele in behandeling zijnde acties goed te keuren.
(NIEUW) Pagina Voor geïntegreerd onderzoek
De onderzoekspagina is onlangs bijgewerkt met informatie over uw apparaten, e-mail en samenwerkingsinhoud. De nieuwe, geïntegreerde onderzoekspagina definieert een gemeenschappelijke taal en biedt een uniforme ervaring voor automatische onderzoeken in Microsoft Defender voor Eindpunt en Microsoft Defender voor Office 365. Selecteer de koppeling in de gele banner die u ziet op om toegang te krijgen tot de pagina voor geïntegreerd onderzoek:
- Elke onderzoekspagina in de Microsoft Purview-nalevingsportal
- Een onderzoekspagina in de Microsoft Defender portal (https://security.microsoft.com)
- Incident- of actiecentrumervaring in de Microsoft Defender-portal
De weergave met onderzoeksdetails openen
U kunt de weergave met onderzoeksdetails openen met behulp van een van de volgende methoden:
- Een item selecteren in het Actiecentrum
- Selecteer een onderzoek op de pagina met details van een incident
Een item selecteren in het Actiecentrum
Het verbeterde Actiecentrum (https://security.microsoft.com/action-center) brengt herstelacties op al uw apparaten, e-mail & samenwerkingsinhoud en identiteiten samen. Vermelde acties omvatten herstelacties die automatisch of handmatig zijn uitgevoerd. In het Actiecentrum kunt u acties bekijken die wachten op goedkeuring en acties die al zijn goedgekeurd of voltooid. U kunt ook naar meer details navigeren, zoals een onderzoekspagina.
Tip
U moet bepaalde machtigingen hebben om acties goed te keuren, af te wijzen of ongedaan te maken.
Ga naar Microsoft Defender portal en meld u aan.
Kies Actiecentrum in het navigatiedeelvenster.
Selecteer een item op het tabblad In behandeling of Geschiedenis . Het flyoutvenster wordt geopend.
Bekijk de informatie in het flyoutvenster en voer vervolgens een van de volgende stappen uit:
- Selecteer Onderzoekspagina openen voor meer informatie over het onderzoek.
- Selecteer Goedkeuren om een actie in behandeling te starten.
- Selecteer Weigeren om te voorkomen dat een actie in behandeling wordt uitgevoerd.
- Selecteer Ga zoeken om naar Geavanceerde opsporing te gaan.
Een onderzoek openen vanaf de pagina met details van een incident
Gebruik een pagina met incidentgegevens om gedetailleerde informatie over een incident weer te geven, inclusief waarschuwingen die zijn geactiveerd, informatie over eventuele betrokken apparaten, gebruikersaccounts of postvakken.
Ga naar Microsoft Defender portal en meld u aan.
Kies in het navigatiedeelvenster Incidenten & waarschuwingen>Incidenten.
Selecteer een item in de lijst en kies vervolgens Incidentpagina openen.
Selecteer het tabblad Onderzoeken en selecteer vervolgens een onderzoek in de lijst. Het flyoutvenster wordt geopend.
Selecteer Onderzoekspagina openen.
Hier is een voorbeeld.
Onderzoeksdetails
Gebruik de weergave onderzoeksdetails om eerdere, huidige en in behandeling zijnde activiteiten met betrekking tot een onderzoek te bekijken. Hier is een voorbeeld.
In de weergave Details van onderzoek ziet u informatie over de tabbladen Onderzoeksgrafiek, Waarschuwingen, Apparaten, Identiteiten, Belangrijkste bevindingen, Entiteiten, Logboek en Acties in behandeling , die in de volgende tabel worden beschreven.
Opmerking
Welke specifieke tabbladen u ziet op een pagina met onderzoeksdetails, is afhankelijk van wat uw abonnement bevat. Als uw abonnement bijvoorbeeld geen Microsoft Defender voor Office 365 Abonnement 2 bevat, ziet u geen tabblad Postvakken.
| Tab | Omschrijving |
|---|---|
| Onderzoeksgrafiek | Biedt een visuele weergave van het onderzoek. Toont entiteiten en een lijst met bedreigingen die zijn gevonden, samen met waarschuwingen en of er acties wachten op goedkeuring. U kunt een item in de grafiek selecteren om meer details weer te geven. Als u bijvoorbeeld het pictogram Bewijs selecteert, gaat u naar het tabblad Bewijs , waar u gedetecteerde entiteiten en hun vonnissen kunt zien. |
| Waarschuwingen | Lijsten waarschuwingen die aan het onderzoek zijn gekoppeld. Waarschuwingen kunnen afkomstig zijn van functies voor bedreigingsbeveiliging op het apparaat van een gebruiker, in Office-apps, Microsoft Defender for Cloud Apps en andere Microsoft Defender XDR functies. Als u niet-ondersteund waarschuwingstype ziet, betekent dit dat de mogelijkheden voor geautomatiseerd onderzoek die waarschuwing niet kunnen ophalen om een geautomatiseerd onderzoek uit te voeren. U kunt deze waarschuwingen echter handmatig onderzoeken. |
| Apparaten | Lijsten apparaten die in het onderzoek zijn opgenomen, samen met hun herstelniveau. (Herstelniveaus komen overeen met het automatiseringsniveau voor apparaatgroepen.) |
| Postvakken | Lijsten postvakken die worden beïnvloed door gedetecteerde bedreigingen. |
| Gebruikers | Lijsten gebruikersaccounts die worden beïnvloed door gedetecteerde bedreigingen. |
| Bewijs | Lijsten stukjes bewijsmateriaal dat door waarschuwingen of onderzoeken is gegenereerd. Bevat vonnissen (schadelijk, verdacht, onbekend of geen bedreigingen gevonden) en herstelstatus. |
| Entiteiten | Bevat details over elke geanalyseerde entiteit, inclusief een beoordeling voor elk entiteitstype (Schadelijk, Verdacht of Geen bedreigingen gevonden). |
| Log | Biedt een chronologische, gedetailleerde weergave van alle onderzoeksacties die zijn uitgevoerd nadat een waarschuwing is geactiveerd. |
| Actiegeschiedenis in behandeling | Lijsten items waarvoor goedkeuring is vereist om door te gaan. Ga naar het Actiecentrum (https://security.microsoft.com/action-center) om acties in behandeling goed te keuren. |
Onderzoeksstatussen
De volgende tabel bevat een overzicht van de onderzoeksstatussen en wat deze aangeven.
| Onderzoeksstatus | Definitie |
|---|---|
| Goedaardige | Artefacten zijn onderzocht en er is vastgesteld dat er geen bedreigingen zijn gevonden. |
| PendingResource | Een geautomatiseerd onderzoek wordt onderbroken omdat een herstelactie in afwachting is van goedkeuring of omdat het apparaat waarop een artefact is gevonden tijdelijk niet beschikbaar is. |
| UnsupportedAlertType | Er is geen geautomatiseerd onderzoek beschikbaar voor dit type waarschuwing. Verder onderzoek kan handmatig worden gedaan, met behulp van geavanceerde opsporing. |
| Mislukt | Ten minste één onderzoekanalyse heeft een probleem gelopen waarbij het onderzoek niet kon worden voltooid. Als een onderzoek mislukt nadat herstelacties zijn goedgekeurd, zijn de herstelacties mogelijk nog steeds geslaagd. |
| Is hersteld | Een geautomatiseerd onderzoek is voltooid en alle herstelacties zijn voltooid of goedgekeurd. |
Voor meer context over hoe onderzoeksstatussen worden weergegeven, bevat de volgende tabel waarschuwingen en de bijbehorende status van geautomatiseerd onderzoek. Deze tabel is opgenomen als voorbeeld van wat een beveiligingsteam kan zien in de Microsoft Defender-portal.
| Waarschuwingsnaam | Ernst | Onderzoeksstatus | Status | Categorie |
|---|---|---|---|---|
| Er is malware gedetecteerd in een wim disk image-bestand | Informatief | Goedaardige | Opgelost | Malware |
| Er is malware gedetecteerd in een rar-archiefbestand | Informatief | PendingResource | Nieuw | Malware |
| Er is malware gedetecteerd in een rar-archiefbestand | Informatief | UnsupportedAlertType | Nieuw | Malware |
| Er is malware gedetecteerd in een rar-archiefbestand | Informatief | UnsupportedAlertType | Nieuw | Malware |
| Er is malware gedetecteerd in een rar-archiefbestand | Informatief | UnsupportedAlertType | Nieuw | Malware |
| Er is malware gedetecteerd in een zip-archiefbestand | Informatief | PendingResource | Nieuw | Malware |
| Er is malware gedetecteerd in een zip-archiefbestand | Informatief | PendingResource | Nieuw | Malware |
| Er is malware gedetecteerd in een zip-archiefbestand | Informatief | PendingResource | Nieuw | Malware |
| Er is malware gedetecteerd in een zip-archiefbestand | Informatief | PendingResource | Nieuw | Malware |
| Wpakill hacktool is voorkomen | Laag | Mislukt | Nieuw | Malware |
| GendowsBatch hacktool werd voorkomen | Laag | Mislukt | Nieuw | Malware |
| Keygen hacktool is voorkomen | Laag | Mislukt | Nieuw | Malware |
| Er is malware gedetecteerd in een zip-archiefbestand | Informatief | PendingResource | Nieuw | Malware |
| Er is malware gedetecteerd in een rar-archiefbestand | Informatief | PendingResource | Nieuw | Malware |
| Er is malware gedetecteerd in een rar-archiefbestand | Informatief | PendingResource | Nieuw | Malware |
| Er is malware gedetecteerd in een zip-archiefbestand | Informatief | PendingResource | Nieuw | Malware |
| Er is malware gedetecteerd in een rar-archiefbestand | Informatief | PendingResource | Nieuw | Malware |
| Er is malware gedetecteerd in een rar-archiefbestand | Informatief | PendingResource | Nieuw | Malware |
| Er is malware gedetecteerd in een iso-schijfinstallatiekopieënbestand | Informatief | PendingResource | Nieuw | Malware |
| Er is malware gedetecteerd in een iso-schijfinstallatiekopieënbestand | Informatief | PendingResource | Nieuw | Malware |
| Er is malware gedetecteerd in een PST Outlook-gegevensbestand | Informatief | UnsupportedAlertType | Nieuw | Malware |
| Er is malware gedetecteerd in een PST Outlook-gegevensbestand | Informatief | UnsupportedAlertType | Nieuw | Malware |
| MediaGet gedetecteerd | Gemiddeld | Gedeeltelijk onderzocht | Nieuw | Malware |
| TrojanEmailFile | Gemiddeld | GeslaagdRemediat | Opgelost | Malware |
| CustomEnterpriseBlock-malware is voorkomen | Informatief | GeslaagdRemediat | Opgelost | Malware |
| Een actieve CustomEnterpriseBlock-malware is geblokkeerd | Laag | GeslaagdRemediat | Opgelost | Malware |
| Een actieve CustomEnterpriseBlock-malware is geblokkeerd | Laag | GeslaagdRemediat | Opgelost | Malware |
| Een actieve CustomEnterpriseBlock-malware is geblokkeerd | Laag | GeslaagdRemediat | Opgelost | Malware |
| TrojanEmailFile | Gemiddeld | Goedaardige | Opgelost | Malware |
| CustomEnterpriseBlock-malware is voorkomen | Informatief | UnsupportedAlertType | Nieuw | Malware |
| CustomEnterpriseBlock-malware is voorkomen | Informatief | GeslaagdRemediat | Opgelost | Malware |
| TrojanEmailFile | Gemiddeld | GeslaagdRemediat | Opgelost | Malware |
| TrojanEmailFile | Gemiddeld | Goedaardige | Opgelost | Malware |
| Een actieve CustomEnterpriseBlock-malware is geblokkeerd | Laag | PendingResource | Nieuw | Malware |
Volgende stappen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.