Apparaten onderzoeken in de lijst met Microsoft Defender voor Eindpunt-apparaten

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Onderzoek de details van een waarschuwing die op een specifiek apparaat wordt gegenereerd om ander gedrag of gebeurtenissen te identificeren die mogelijk verband houden met de waarschuwing of het mogelijke bereik van de inbreuk.

Notitie

Als onderdeel van het onderzoek- of antwoordproces kunt u een onderzoekspakket van een apparaat verzamelen. Dit doet u als: Onderzoekspakket van apparaten verzamelen.

U kunt op betrokken apparaten klikken wanneer u ze in de portal ziet om een gedetailleerd rapport over dat apparaat te openen. Betrokken apparaten worden geïdentificeerd in de volgende gebieden:

Wanneer u een specifiek apparaat onderzoekt, ziet u:

  • Apparaatdetails
  • Antwoordacties
  • Tabbladen (overzicht, waarschuwingen, tijdlijn, beveiligingsadviezen, software-inventaris, gedetecteerde beveiligingsproblemen, ontbrekende KB's)
  • Kaarten (actieve waarschuwingen, aangemelde gebruikers, beveiligingsevaluatie, status van apparaat)

De apparaatweergave

Notitie

Vanwege productbeperkingen houdt het apparaatprofiel niet rekening met alle cybergegevens bij het bepalen van het tijdsbestek 'Laatst gezien' (zoals ook te zien is op de apparaatpagina). De waarde 'Laatst gezien' op de pagina Apparaat kan bijvoorbeeld een ouder tijdsbestek weergeven, ook al zijn er recentere waarschuwingen of gegevens beschikbaar op de tijdlijn van de computer.

Apparaatdetails

De sectie apparaatdetails bevat informatie zoals het domein, het besturingssysteem en de status van het apparaat. Als er een onderzoekspakket beschikbaar is op het apparaat, ziet u een koppeling waarmee u het pakket kunt downloaden.

Antwoordacties

Antwoordacties worden boven aan een specifieke apparaatpagina uitgevoerd en omvatten:

  • Tags beheren
  • Apparaat isoleren
  • Het uitvoeren van apps beperken
  • Antivirusscan uitvoeren
  • Onderzoekspakket verzamelen
  • Live antwoordsessie initiëren
  • Geautomatiseerd onderzoek initiëren
  • Contact opnemen met een risicodeskundige
  • Actiecentrum

U kunt antwoordacties uitvoeren in het actiecentrum, op een specifieke apparaatpagina of op een specifieke bestandspagina.

Zie Actie ondernemen op een apparaat voor meer informatie over het ondernemen van actie op een apparaat.

Zie Gebruikersentiteiten onderzoeken voor meer informatie.

Tabbladen

De tabbladen bevatten relevante informatie over beveiliging en bedreigingspreventie met betrekking tot het apparaat. Op elk tabblad kunt u de kolommen aanpassen die worden weergegeven door Kolommen aanpassen te selecteren op de balk boven de kolomkoppen.

Overzicht

Op het tabblad Overzicht worden de kaarten weergegeven voor actieve waarschuwingen, aangemelde gebruikers en beveiligingsevaluatie.

Het tabblad Overzicht op de apparaatpagina

Waarschuwingen

Het tabblad Waarschuwingen bevat een lijst met waarschuwingen die aan het apparaat zijn gekoppeld. Deze lijst is een gefilterde versie van de wachtrij Waarschuwingen en bevat een korte beschrijving van de waarschuwing, de ernst (hoog, gemiddeld, laag, informatielijk), de status in de wachtrij (nieuw, wordt uitgevoerd, opgelost), classificatie (niet ingesteld, valse waarschuwing, echte waarschuwing), onderzoeksstatus, categorie van waarschuwing, wie de waarschuwing adresseert en de laatste activiteit. U kunt de waarschuwingen ook filteren.

Het tabblad van de waarschuwingen met betrekking tot het apparaat

Wanneer het cirkelpictogram links van een waarschuwing is geselecteerd, wordt er een fly-out weergegeven. In dit deelvenster kunt u de waarschuwing beheren en meer details bekijken, zoals het incidentnummer en gerelateerde apparaten. Er kunnen meerdere waarschuwingen tegelijk worden geselecteerd.

Selecteer de titel van de waarschuwing als u een volledige paginaweergave van een waarschuwing wilt zien, inclusief de incidentgrafiek en de processtructuur.

Tijdlijn

Het tabblad Tijdlijn biedt een chronologische weergave van de gebeurtenissen en de bijbehorende waarschuwingen die op het apparaat zijn waargenomen. Dit kan u helpen bij het correleren van gebeurtenissen, bestanden en IP-adressen met betrekking tot het apparaat.

Met de tijdlijn kunt u ook selectief inzoomen op gebeurtenissen die zich binnen een bepaalde periode hebben voorgedaan. U kunt de tijdelijke volgorde bekijken van gebeurtenissen die op een apparaat zijn opgetreden gedurende een geselecteerde periode. Als u de weergave verder wilt beheren, kunt u filteren op gebeurtenisgroepen of de kolommen aanpassen.

Notitie

Als u firewallgebeurtenissen wilt weergeven, moet u het controlebeleid inschakelen. Zie De verbinding Filterplatform controleren.

Firewall behandelt de volgende gebeurtenissen:

  • 5025 - firewallservice gestopt
  • 5031 - toepassing kan binnenkomende verbindingen op het netwerk niet accepteren
  • 5157 - geblokkeerde verbinding

De tijdlijn van het apparaat met gebeurtenissen

Enkele van de functionaliteiten zijn:

  • Zoeken naar specifieke gebeurtenissen
    • Gebruik de zoekbalk om te zoeken naar specifieke tijdlijn gebeurtenissen.
  • Gebeurtenissen filteren op een specifieke datum
    • Selecteer het agendapictogram in de linkerbovenhoek van de tabel om gebeurtenissen in het afgelopen dag-, week-, 30 dagen- of aangepaste bereik weer te geven. De tijdlijn van het apparaat is standaard ingesteld om de gebeurtenissen van de afgelopen 30 dagen weer te geven.
    • Gebruik de tijdlijn om naar een bepaald tijdstip te gaan door de sectie te markeren. De pijlen op de tijdlijn geven geautomatiseerde onderzoeken aan
  • Gedetailleerde gebeurtenissen op de apparaattijdlijn exporteren
    • Exporteer de tijdlijn van het apparaat voor de huidige datum of een opgegeven datumbereik tot zeven dagen.

Meer informatie over bepaalde gebeurtenissen vindt u in de sectie Aanvullende informatie . Deze details variëren afhankelijk van het type gebeurtenis, bijvoorbeeld:

  • Ingesloten door Application Guard: de webbrowsergebeurtenis is beperkt door een geïsoleerde container
  • Actieve bedreiging gedetecteerd: de detectie van bedreigingen is opgetreden tijdens het uitvoeren van de bedreiging
  • Herstel mislukt: een poging om de gedetecteerde bedreiging te herstellen is aangeroepen, maar is mislukt
  • Herstel geslaagd: de gedetecteerde bedreiging is gestopt en opgeschoond
  • Waarschuwing genegeerd door gebruiker: de Windows Defender SmartScreen-waarschuwing is genegeerd en overschreven door een gebruiker
  • Suspicious script detected- a potentially malicious script is found running (Verdacht script gedetecteerd: er is een mogelijk schadelijk script gevonden dat wordt uitgevoerd)
  • De waarschuwingscategorie: als de gebeurtenis heeft geleid tot het genereren van een waarschuwing, wordt de waarschuwingscategorie (bijvoorbeeld Lateral Movement) opgegeven

Details van de gebeurtenis

Selecteer een gebeurtenis om relevante details over die gebeurtenis weer te geven. Er wordt een deelvenster weergegeven om algemene gebeurtenisgegevens weer te geven. Indien van toepassing en er zijn gegevens beschikbaar, wordt ook een grafiek weergegeven met gerelateerde entiteiten en hun relaties.

Als u de gebeurtenis en gerelateerde gebeurtenissen verder wilt controleren, kunt u snel een geavanceerde opsporingsquery uitvoeren door Opsporing op gerelateerde gebeurtenissen te selecteren. De query retourneert de geselecteerde gebeurtenis en de lijst met andere gebeurtenissen die zich rond dezelfde tijd op hetzelfde eindpunt hebben voorgedaan.

Het deelvenster met gebeurtenisdetails

Aanbevelingen voor beveiliging

Beveiligingsadviezen worden gegenereerd op basis van de beveiligingsbeheerfunctie van Microsoft Defender voor Eindpunt. Als u een aanbeveling selecteert, ziet u een deelvenster waarin u relevante details kunt bekijken, zoals een beschrijving van de aanbeveling en de mogelijke risico's die zijn verbonden aan het niet uitvoeren ervan. Zie De aanbeveling voor beveiliging voor meer informatie.

Het tabblad Aanbevelingen voor beveiliging

Software-inventaris

Op het tabblad Software-inventaris kunt u de software op het apparaat bekijken, samen met eventuele zwakke punten of bedreigingen. Als u de naam van de software selecteert, gaat u naar de pagina met softwaredetails waar u beveiligingsadviezen, gedetecteerde beveiligingsproblemen, geïnstalleerde apparaten en versiedistributie kunt bekijken. Zie Software-inventaris voor meer informatie

Het tabblad Software-inventaris

Gedetecteerde beveiligingsproblemen

Op het tabblad Gedetecteerde beveiligingsproblemen ziet u de naam, ernst en bedreigingsinzichten van gedetecteerde beveiligingsproblemen op het apparaat. Als u specifieke beveiligingsproblemen selecteert, worden een beschrijving en details weergegeven.

Het tabblad Gedetecteerde beveiligingsproblemen

Ontbrekende KB's

Het tabblad Ontbrekende KB's bevat de ontbrekende beveiligingsupdates voor het apparaat.

Het tabblad Ontbrekende KB's

Kaarten

Actieve waarschuwingen

De Azure Advanced Threat Protection-kaart geeft een overzicht op hoog niveau weer van waarschuwingen met betrekking tot het apparaat en hun risiconiveau, als u de Microsoft Defender for Identity-functie hebt ingeschakeld en er actieve waarschuwingen zijn. Meer informatie vindt u in het inzoomen op Waarschuwingen.

De kaart met actieve waarschuwingen

Notitie

U moet de integratie op zowel Microsoft Defender for Identity als Defender voor Eindpunt inschakelen om deze functie te kunnen gebruiken. In Defender voor Eindpunt kunt u deze functie inschakelen in geavanceerde functies. Zie Geavanceerde functies inschakelen voor meer informatie over het inschakelen van geavanceerde functies.

Aangemelde gebruikers

De kaart Aangemelde gebruikers laat zien hoeveel gebruikers zich de afgelopen 30 dagen hebben aangemeld, samen met de meest en minst frequente gebruikers. Als u de koppeling Alle gebruikers weergeven selecteert, wordt het detailvenster geopend, waarin informatie wordt weergegeven zoals gebruikerstype, aanmeldingstype en wanneer de gebruiker voor het eerst en het laatst is gezien. Zie Gebruikersentiteiten onderzoeken voor meer informatie.

Het deelvenster Gebruikersgegevens

Notitie

De 'meest frequente' gebruikerswaarde wordt alleen berekend op basis van bewijs van gebruikers die zich interactief hebben aangemeld. In het zijvenster 'Alle gebruikers' worden echter allerlei soorten gebruikersaanmeldingen berekend, zodat er naar verwachting vaker gebruikers in het zijvenster worden weergegeven, aangezien deze gebruikers mogelijk niet interactief zijn.

Beveiligingsevaluaties

De kaart Beveiligingsevaluaties toont het algehele blootstellingsniveau, beveiligingsadviezen, geïnstalleerde software en gedetecteerde beveiligingsproblemen. Het blootstellingsniveau van een apparaat wordt bepaald door de cumulatieve impact van de beveiligingsadviezen die in behandeling zijn.

De kaart voor beveiligingsevaluaties

Status van apparaat

Op de statuskaart apparaat wordt een samengevat statusrapport voor het specifieke apparaat weergegeven. Een van de volgende berichten wordt boven aan de kaart weergegeven om de algehele status van het apparaat aan te geven (vermeld in volgorde van hoogste naar laagste prioriteit):

  • Defender Antivirus niet actief
  • Beveiligingsinformatie is niet up-to-date
  • Engine is niet up-to-date
  • Snelle scan is mislukt
  • Volledige scan is mislukt
  • Platform is niet up-to-date
  • Updatestatus van beveiligingsinformatie is onbekend
  • Status van engine-update is onbekend
  • Status van snelle scan is onbekend
  • De volledige scanstatus is onbekend
  • Status van platformupdate is onbekend
  • Apparaat is bijgewerkt
  • Status niet beschikbaar voor macOS & Linux

Andere informatie op de kaart is: de laatste volledige scan, de laatste snelle scan, de versie van de update van de beveiligingsinformatie, de versie van de engine-update, de platformupdateversie en de Defender Antivirus-modus.

Houd er rekening mee dat een grijze cirkel aangeeft dat de gegevens onbekend zijn.

Notitie

Het algemene statusbericht voor macOS- en Linux-apparaten wordt momenteel weergegeven als 'Status niet beschikbaar voor macOS & Linux'. Op dit moment is het statusoverzicht alleen beschikbaar voor Windows-apparaten. Alle andere informatie in de tabel is bijgewerkt om de afzonderlijke statussen van elk apparaatstatussignaal voor alle ondersteunde platforms weer te geven.

Als u een uitgebreid overzicht wilt krijgen van het statusrapport van het apparaat, gaat u naar Rapporten > Apparaatstatus. Zie het rapport Apparaatstatus en naleving in Microsoft Defender voor Eindpunt voor meer informatie.

De statuskaart van het apparaat