Onderzoeken en reageren met Microsoft Defender XDR

Dit zijn de belangrijkste taken voor het onderzoeken en beantwoorden van Microsoft Defender XDR:

• Reageren op incidenten
• Automatische herstelacties controleren en goedkeuren
• Search bekende bedreigingen in uw gegevens
• Inzicht in de nieuwste cyberaanvallen

Incidentreactie

Microsoft 365-services en -apps maken waarschuwingen wanneer ze een verdachte of schadelijke gebeurtenis of activiteit detecteren. Afzonderlijke waarschuwingen bieden waardevolle aanwijzingen over een voltooide of doorlopende aanval. Aanvallen maken echter meestal gebruik van verschillende technieken tegen verschillende typen entiteiten, zoals apparaten, gebruikers en postvakken. Het resultaat is meerdere waarschuwingen voor meerdere entiteiten in uw tenant. Omdat het samenvoegen van de afzonderlijke waarschuwingen om inzicht te krijgen in een aanval lastig en tijdrovend kan zijn, worden Microsoft Defender XDR de waarschuwingen en de bijbehorende informatie automatisch samengevoegd tot een incident.

U moet voortdurend de incidenten met de hoogste prioriteit identificeren voor analyse en oplossing in de incidentwachtrij en deze voorbereiden voor reactie. Dit is een combinatie van:

• Prioriteit geven aan het bepalen van incidenten met de hoogste prioriteit door de incidentwachtrij te filteren en te sorteren. Dit wordt ook wel trieren genoemd.
• Incidenten beheren door de titel ervan te wijzigen, ze toe te wijzen aan een analist, tags en opmerkingen toe te voegen en ze te classificeren wanneer ze zijn opgelost.

Gebruik voor elk incident uw werkstroom voor incidentrespons om het incident en de bijbehorende waarschuwingen en gegevens te analyseren om de aanval te bevatten, de bedreiging uit te roeien, te herstellen van de aanval en ervan te leren. Zie dit voorbeeld voor Microsoft Defender XDR.

Geautomatiseerd onderzoek en herstel

Als uw organisatie gebruikmaakt van Microsoft Defender XDR, ontvangt uw beveiligingsteam een waarschuwing in de Microsoft Defender portal wanneer er een schadelijke of verdachte activiteit of artefact wordt gedetecteerd. Gezien de oneindige stroom van bedreigingen die kunnen binnenkomen, staan beveiligingsteams vaak voor de uitdaging om het grote aantal waarschuwingen aan te pakken. Gelukkig bevat Microsoft Defender XDR mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) waarmee uw beveiligingsteam bedreigingen efficiënter en effectiever kan aanpakken.

Wanneer een geautomatiseerd onderzoek is voltooid, wordt er een uitspraak gedaan voor elk bewijs van een incident. Afhankelijk van de uitspraak worden herstelacties geïdentificeerd. In sommige gevallen worden herstelacties automatisch uitgevoerd; in andere gevallen wachten herstelacties op goedkeuring via het Microsoft Defender XDR Actiecentrum.

Zie Geautomatiseerd onderzoek en respons in Microsoft Defender XDR voor meer informatie.

Proactief zoeken naar bedreigingen met geavanceerde opsporing

Het is niet voldoende om te reageren op aanvallen terwijl ze optreden. Voor uitgebreide aanvallen met meerdere fasen, zoals ransomware, moet u proactief zoeken naar het bewijs van een aanval die wordt uitgevoerd en actie ondernemen om deze te stoppen voordat deze is voltooid.

Geavanceerde opsporing is een hulpprogramma voor het opsporen van bedreigingen op basis van query's in Microsoft Defender XDR waarmee u tot 30 dagen aan onbewerkte gegevens kunt verkennen. U kunt proactief gebeurtenissen in uw netwerk inspecteren om bedreigingsindicatoren en entiteiten te vinden. Deze flexibele toegang tot de Microsoft Defender XDR gegevens maakt een onbeperkte opsporing van zowel bekende als potentiële bedreigingen mogelijk.

U kunt dezelfde query's voor het opsporen van bedreigingen gebruiken om aangepaste detectieregels te maken. Deze regels worden automatisch uitgevoerd om te controleren op en vervolgens te reageren op verdachte inbreukactiviteiten, onjuist geconfigureerde machines en andere bevindingen.

Zie Proactief zoeken naar bedreigingen met geavanceerde opsporing in Microsoft Defender XDR voor meer informatie.

Opkomende bedreigingen voorgaan met bedreigingsanalyse

Bedreigingsanalyse is een mogelijkheid voor bedreigingsinformatie in Microsoft Defender XDR die is ontworpen om uw beveiligingsteam te helpen zo efficiënt mogelijk te zijn terwijl u te maken krijgt met nieuwe bedreigingen. Het bevat gedetailleerde analyses en informatie over:

• Actieve bedreigingsactoren en hun campagnes
• Populaire en nieuwe aanvalstechnieken
• Kritieke beveiligingsproblemen
• Veelvoorkomende kwetsbaarheid voor aanvallen
• Bekende malware

Bedreigingsanalyse bevat ook informatie over gerelateerde incidenten en betrokken assets binnen uw Microsoft 365-tenant voor elke geïdentificeerde bedreiging.

Elke geïdentificeerde bedreiging bevat een analistenrapport, een uitgebreide analyse van de bedreiging die is geschreven door Microsoft-beveiligingsonderzoekers die voorop lopen bij het detecteren en analyseren van cyberbeveiliging. Deze rapporten kunnen ook informatie bieden over hoe de aanvallen worden weergegeven in Microsoft Defender XDR.

Zie Bedreigingsanalyse in Microsoft Defender XDR voor meer informatie.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.