Share via

Incidenten en waarschuwingen in Microsoft Defender multitenantbeheer weergeven en beheren

  • Geldt voor: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Beheer met meerdere tenants voor Microsoft Defender XDR en Microsoft Sentinel in de Defender-portal stelt SOC-analisten (Security Operation Center) in staat om gegevens van meerdere tenants en werkruimten op één plek te openen en te analyseren, zodat ze bedreigingen snel kunnen identificeren en erop kunnen reageren. Sorteer incidenten en waarschuwingen over SIEM-gegevens (Security Information and Event Management) en XDR-gegevens (Extended Detection and Response) voor tenants die een Microsoft Sentinel werkruimte hebben toegevoegd aan het Defender-platform.

Beheer incidenten & waarschuwingen die afkomstig zijn van meerdere tenants en werkruimten onder Incidenten & waarschuwingen.

Incidenten weergeven en onderzoeken

Een incident bekijken of onderzoeken:

  1. Ga naar de pagina Incidenten in Microsoft Defender multitenantbeheer. In de kolommen Tenantnaam en Werkruimten ziet u van welke tenant het incident afkomstig is:

    Schermopname van de pagina Microsoft Defender multitenant incidenten.

  2. Selecteer het incident dat u wilt weergeven. Er wordt een flyout geopend met het detailvenster van het incident, waar u het volgende kunt doen:

    • Selecteer Incidentpagina openen om dit incident weer te geven op een nieuw tabblad voor de specifieke tenant in de Microsoft Defender-portal.
    • Selecteer Incident beheren om het incident toe te wijzen, incidenttags in te stellen, de incidentstatus in te stellen en het incident te classificeren.

Zie Incidenten onderzoeken voor meer informatie.

Meerdere incidenten beheren

Incidenten beheren in meerdere tenants en werkruimten:

  1. Ga naar de pagina Incidenten in Microsoft Defender multitenantbeheer.

  2. Kies de incidenten die u wilt beheren in de lijst met incidenten en selecteer Incidenten beheren.

    Schermopname met de optie Incidenten beheren gemarkeerd op de pagina incidenten in Microsoft Defender multitenantbeheer.

In het flyoutvenster incidenten kunt u incidenten toewijzen, incidententags toewijzen, de incidentstatus instellen en meerdere incidenten voor meerdere tenants tegelijk classificeren.

Opmerking

Op dit moment kunt u alleen meerdere incidenten van dezelfde tenant toewijzen.

Zie Incidenten beheren voor meer informatie over incidenten in de Microsoft Defender portal.

Waarschuwingen weergeven en onderzoeken

Een waarschuwing weergeven of onderzoeken:

  1. Ga naar de pagina Waarschuwingen in multitenantbeheer en selecteer de waarschuwing die u wilt weergeven. Er wordt een flyoutvenster geopend met de pagina met waarschuwingsgegevens:

    Schermopname van de pagina met waarschuwingsdetails voor een waarschuwing in Microsoft Defender multitenantbeheer.

  2. In het deelvenster met waarschuwingsdetails kunt u het volgende doen:

    • Selecteer acties zoals Pagina Waarschuwingen openen, Waarschuwing verplaatsen naar een ander incident en Waarschuwing afstemmen om deze waarschuwing weer te geven op een nieuw tabblad voor de specifieke tenant in de Microsoft Defender portal.
    • Selecteer Waarschuwing beheren om de waarschuwing toe te wijzen, de waarschuwingsstatus in te stellen en de waarschuwing te classificeren.

Zie Waarschuwingen onderzoeken voor meer informatie.

Meerdere waarschuwingen beheren

Waarschuwingen voor meerdere tenants en werkruimten beheren:

  1. Ga naar de pagina Waarschuwingen in Microsoft Defender multitenantbeheer.

  2. Kies de waarschuwingen die u wilt beheren in de lijst met waarschuwingen en selecteer Waarschuwingen beheren.

    Schermopname met de optie Waarschuwingen beheren gemarkeerd voor geselecteerde waarschuwingen in Microsoft Defender multitenantbeheer.

Gebruik het deelvenster Waarschuwingen beheren om de waarschuwingsstatus in te stellen, waarschuwingen toe te wijzen, classificaties in te stellen en opmerkingen toe te voegen voor meerdere waarschuwingen tegelijk. Hoewel waarschuwingsstatus, classificaties en opmerkingen kunnen worden toegevoegd aan tenants, kan het toewijzen van waarschuwingen alleen worden uitgevoerd voor waarschuwingen van dezelfde tenant.

Zie Waarschuwingen beheren voor meer informatie.

Waarschuwingen verplaatsen

Verplaats een waarschuwing naar een ander incident om u te helpen gerelateerde beveiligingsevenementen beter te organiseren en te correleren. U kunt bijvoorbeeld merken dat meerdere waarschuwingen deel uitmaken van dezelfde beveiligingsschending en deze allemaal in hetzelfde incident wilt opnemen. Dit zorgt ervoor dat alle relevante informatie wordt gegroepeerd, waardoor onderzoek en respons efficiënter kunnen worden uitgevoerd.

Een of meer waarschuwingen verplaatsen:

  • Selecteer op de pagina Waarschuwingen een of meer waarschuwingen en selecteer vervolgens Waarschuwingen verplaatsen
  • Selecteer waarschuwing verplaatsen naar een ander incident in een deelvenster met waarschuwingsdetails of een pagina met waarschuwingsdetails

Geef in het deelvenster Waarschuwing verplaatsen naar een ander incident aan of u een nieuw incident wilt maken of een bestaand incident wilt gebruiken. Als u ervoor kiest om een bestaand incident te gebruiken, zoekt u het incident op naam of id en voegt u een reden voor de wijziging toe. Voeg in alle gevallen een opmerking toe waarin uw wijziging wordt beschreven voordat u Opslaan selecteert.

Verwante onderwerpen