Delen via

Incidenten beheren in Microsoft Defender

  • Artikel
  • Van toepassing op:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Incidentbeheer is essentieel om ervoor te zorgen dat incidenten worden benoemd, toegewezen en getagd om de tijd in uw incidentwerkstroom te optimaliseren en bedreigingen sneller te bevatten en aan te pakken.

U kunt incidenten beheren vanuit Incidenten & waarschuwingen > Incidenten bij het snel starten van de Microsoft Defender-portal (security.microsoft.com). Hier is een voorbeeld.

Schermopname van de optie Incident beheren in de incidentwachtrij en het deelvenster Snel starten in de Microsoft Defender-portal.

Hier volgen de manieren waarop u uw incidenten kunt beheren:

U kunt incidenten beheren vanuit het deelvenster Incident beheren voor een incident. Hier is een voorbeeld.

Schermopname van het deelvenster Incident beheren in de Microsoft Defender portal.

U kunt dit deelvenster weergeven via de koppeling Incident beheren op de:

  • Pagina Waarschuwingsverhaal .
  • Deelvenster Eigenschappen van een incident in de incidentwachtrij.
  • Overzichtspagina van een incident.
  • De optie Incident beheren bevindt zich rechtsboven op de pagina Incident.

In gevallen waarin u waarschuwingen van het ene incident naar het andere wilt verplaatsen, kunt u dit ook doen vanaf het tabblad Waarschuwingen , waardoor een groter of kleiner incident wordt gemaakt dat alle relevante waarschuwingen bevat.

De naam van het incident bewerken

Microsoft Defender wijst automatisch een naam toe op basis van waarschuwingskenmerken, zoals het aantal betrokken eindpunten, betrokken gebruikers, detectiebronnen of categorieën. Met de naam van het incident kunt u snel het bereik van het incident begrijpen. Bijvoorbeeld: incident met meerdere fasen op meerdere eindpunten die door meerdere bronnen zijn gerapporteerd.

U kunt de naam van het incident bewerken in het veld Incidentnaam in het deelvenster Incident beheren .

Opmerking

Incidenten die bestonden vóór de implementatie van de functie voor het automatisch benoemen van incidenten, behouden hun naam.

Ernst van incidenten toewijzen of wijzigen

U kunt de ernst van een incident toewijzen of wijzigen in het veld Ernst in het deelvenster Incident beheren . De ernst van een incident wordt bepaald door de hoogste ernst van de waarschuwingen die eraan zijn gekoppeld. De ernst van een incident kan worden ingesteld op hoog, gemiddeld, laag of informatief.

Incidenttags toevoegen

U kunt aangepaste tags toevoegen aan een incident, bijvoorbeeld om een vlag toe te voegen aan een groep incidenten met een gemeenschappelijk kenmerk. U kunt de incidentwachtrij later filteren op alle incidenten die een specifieke tag bevatten.

De optie om te selecteren uit een lijst met eerder gebruikte en geselecteerde tags wordt weergegeven nadat u begint te typen.

Een incident kan systeemtags en/of aangepaste tags met bepaalde kleurenachtergronden hebben. Aangepaste tags gebruiken de witte achtergrond, terwijl systeemtags meestal rode of zwarte achtergrondkleuren gebruiken. Systeemtags identificeren het volgende in een incident:

  • Een type aanval, zoals referentiephishing of BEC-fraude
  • Automatische acties, zoals automatisch onderzoek en reactie en automatische aanvalsonderbreking
  • Defender-experts die een incident verwerken
  • Kritieke assets die betrokken zijn bij het incident

Tip

De Security Exposure Management van Microsoft, op basis van vooraf gedefinieerde classificaties, worden apparaten, identiteiten en cloudresources automatisch als een kritieke asset gelabeld. Deze out-of-the-box-functionaliteit zorgt voor de bescherming van de waardevolle en belangrijkste activa van een organisatie. Het helpt ook beveiligingsteams bij het prioriteren van onderzoek en herstel. Meer informatie over essentieel assetbeheer.

Een incident toewijzen

U kunt het vak Toewijzen aan selecteren en het gebruikersaccount opgeven om een incident toe te wijzen. Als u een incident opnieuw wilt toewijzen, verwijdert u het huidige toewijzingsaccount door de 'x' naast de accountnaam te selecteren en vervolgens het vak Toewijzen aan te selecteren. Als u het eigendom van een incident toewijst, wordt hetzelfde eigendom toegewezen aan alle waarschuwingen die eraan zijn gekoppeld.

U kunt een lijst met incidenten ophalen die aan u zijn toegewezen door de incidentwachtrij te filteren.

  1. Selecteer Filters in de incidentwachtrij.
  2. Schakel in de sectie Incidenttoewijzing alles selecteren uit. Selecteer Toegewezen aan mij, Toegewezen aan een andere gebruiker of Toegewezen aan een gebruikersgroep.
  3. Selecteer Toepassen en sluit het deelvenster Filters .

Vervolgens kunt u de resulterende URL in uw browser opslaan als een bladwijzer om snel de lijst met incidenten te zien die aan u zijn toegewezen.

Een incident oplossen

Wanneer een incident is hersteld en opgelost, selecteert u Opgelost in de vervolgkeuzelijst Status . Als u een incident oplost, worden ook alle gekoppelde en actieve waarschuwingen met betrekking tot het incident opgelost.

Wanneer u de status van een incident wijzigt in Opgelost, wordt er direct na het veld Status een nieuw veld weergegeven. Voer in dit veld een notitie in waarin wordt uitgelegd waarom u het incident als opgelost beschouwt. Deze opmerking is zichtbaar in het activiteitenlogboek van het incident, in de buurt van de vermelding die de oplossing van het incident registreert.

Schermopname van het panel voor incidentbeheer met een opmerking over het oplossen van incidenten.

Op zowel de pagina incidentenwachtrij als de incidentpagina van een opgelost incident ziet u de opmerking over het oplossen van incidenten in het zijpaneel, in de sectie Incidentdetails .

Schermopname van het verschijnen van een oplossingsnotitie in het deelvenster met details van het incident.

Als u een incident oplost, worden ook alle gekoppelde en actieve waarschuwingen met betrekking tot het incident opgelost. Een incident dat niet is opgelost, wordt weergegeven als Actief.

De classificatie opgeven

In het veld Classificatie geeft u op of het incident het volgende is:

  • Niet ingesteld (de standaardinstelling).
  • Echt positief met een soort bedreiging. Gebruik deze classificatie voor incidenten die nauwkeurig duiden op een echte bedreiging. Door het bedreigingstype op te geven, kan uw beveiligingsteam bedreigingspatronen zien en actie ondernemen om uw organisatie tegen deze patronen te beschermen.
  • Informatieve, verwachte activiteit met een type activiteit. Gebruik de opties in deze categorie om incidenten te classificeren voor beveiligingstests, rode teamactiviteit en verwacht ongebruikelijk gedrag van vertrouwde apps en gebruikers.
  • Fout-positief voor typen incidenten waarvan u weet dat ze kunnen worden genegeerd omdat ze technisch onnauwkeurig of misleidend zijn.

Door incidenten te classificeren en hun status en type op te geven, kunt u Microsoft Defender XDR afstemmen om betere detectiebepaling in de loop van de tijd te bieden.

Opmerkingen toevoegen

U kunt meerdere opmerkingen toevoegen aan een incident met het veld Opmerking . Het opmerkingenveld ondersteunt tekst en opmaak, koppelingen en afbeeldingen. Elke opmerking is beperkt tot 30.000 tekens.

Alle opmerkingen worden toegevoegd aan de historische gebeurtenissen van het incident. U kunt de opmerkingen en geschiedenis van een incident bekijken via de koppeling Opmerkingen en geschiedenis op de pagina Samenvatting .

Activiteitenlogboek

In het activiteitenlogboek wordt een lijst weergegeven met alle opmerkingen en acties die zijn uitgevoerd op het incident, ook wel controles en opmerkingen genoemd. Alle wijzigingen die zijn aangebracht in het incident, door een gebruiker of door het systeem, worden vastgelegd in het activiteitenlogboek. Het activiteitenlogboek is beschikbaar via de optie Activiteitenlogboek op de incidentpagina of in het deelvenster aan de incidentzijde.

Schermopname van de optie activiteitenlogboek op de incidentpagina in de Microsoft Defender portal.

U kunt de activiteiten in het logboek filteren op opmerkingen en acties. Klik op inhoud: controles en opmerkingen en selecteer vervolgens het inhoudstype om activiteiten te filteren. Hier is een voorbeeld.

Schermopname van de filteropties in het deelvenster activiteitenlogboek vanaf de incidentpagina in de Microsoft Defender-portal.

U kunt ook uw eigen opmerkingen toevoegen met behulp van het opmerkingenvak dat beschikbaar is in het activiteitenlogboek. Het opmerkingenvak accepteert tekst en opmaak, koppelingen en afbeeldingen.

Schermopname van het opmerkingenvak van de incidentpagina in de Microsoft Defender-portal.

Incidentgegevens exporteren naar PDF

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

De functie voor het exporteren van incidentgegevens is momenteel beschikbaar voor klanten van Microsoft Defender XDR- en Microsoft SOC-platform (Unified Security Operations Center) met de Microsoft Copilot voor beveiligingslicentie.

U kunt de gegevens van een incident exporteren naar PDF via de functie Incident exporteren als PDF en deze opslaan in PDF-indeling. Met deze functie kunnen beveiligingsteams de details van een incident op elk gewenst moment offline bekijken.

De geëxporteerde incidentgegevens bevatten de volgende informatie:

Hier volgt een voorbeeld van het geëxporteerde PDF-bestand:

Schermopname van de eerste pagina van de geëxporteerde PDF.

Als u de Licentie voor Copilot for Security hebt, bevat de geëxporteerde PDF de volgende aanvullende incidentgegevens:

De functie exporteren naar PDF is ook beschikbaar in het copilot-zijpaneel. Wanneer u het beletselteken Meer acties (...) selecteert in de rechterbovenhoek van de kaart met resultaten van het incidentrapport, kunt u Incident exporteren als PDF kiezen.

Schermopname van aanvullende acties in de kaart met resultaten van het incidentrapport.

Voer de volgende stappen uit om het PDF-bestand te genereren:

  1. Open een incidentpagina. Selecteer het beletselteken Meer acties (...) in de rechterbovenhoek en kies Incident exporteren als PDF.

    Schermopname van het beletselteken Meer acties op de incidentpagina.

  2. Bevestig in het dialoogvenster dat vervolgens wordt weergegeven de incidentgegevens die u wilt opnemen of uitsluiten in het PDF-bestand. Alle incidentgegevens zijn standaard geselecteerd. Selecteer PDF exporteren om door te gaan.

    Schermopname van de optie voor het exporteren van het incident naar PDF.

  3. Onder de titel van het incident wordt een statusbericht weergegeven waarin de huidige status van de download wordt aangegeven. Het exportproces kan enkele minuten duren, afhankelijk van de complexiteit van het incident en de hoeveelheid gegevens die moet worden geëxporteerd.

    Schermopname waarin het exportbericht en de status voor het downloaden worden gemarkeerd.

  4. Er wordt een ander dialoogvenster weergegeven waarin wordt aangegeven dat het PDF-bestand gereed is. Selecteer Downloaden in het dialoogvenster om het PDF-bestand op uw apparaat op te slaan. Het statusbericht onder de titel van het incident wordt ook bijgewerkt om aan te geven dat de download beschikbaar is.

    Schermopname van het exportbericht en de status wanneer downloaden beschikbaar is.

Het rapport wordt een paar minuten in de cache opgeslagen. Het systeem levert het eerder gegenereerde PDF-bestand als u hetzelfde incident binnen een korte periode opnieuw probeert te exporteren. Als u een nieuwere versie van het PDF-bestand wilt genereren, wacht u enkele minuten totdat de cache is verlopen.

Volgende stappen

Voor nieuwe incidenten begint u met uw onderzoek.

Voor in-process incidenten gaat u verder met uw onderzoek.

Voer voor opgeloste incidenten een incidentbeoordeling uit.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.