Delen via

Beheer beveiligingsincidenten in Microsoft Defender for Cloud

  • Artikel

Het kan tijdrovend zijn voor zelfs de meest ervaren beveiligingsanalisten om beveiligingswaarschuwingen te trireren en te onderzoeken. Voor velen is het moeilijk om te weten waar te beginnen.

Defender voor Cloud gebruikmaakt van analyses om de informatie te verbinden tussen afzonderlijke beveiligingswaarschuwingen. Met behulp van deze verbindingen kan Defender voor Cloud één weergave bieden van een aanvalscampagne en de bijbehorende waarschuwingen, zodat u inzicht krijgt in de acties van de aanvaller en de betrokken resources.

Deze pagina biedt een overzicht van incidenten in Defender voor Cloud.

Wat is een beveiligingsincident?

In Defender voor Cloud is een beveiligingsincident een aggregatie van alle waarschuwingen voor een resource die overeenkomt met kill chain-patronen. Incidenten worden weergegeven op de pagina Beveiligingswaarschuwingen . Selecteer een incident om de gerelateerde waarschuwingen weer te geven en meer informatie te krijgen.

Beveiligingsincidenten beheren

  1. Gebruik op de pagina beveiligingswaarschuwingen van Defender voor Cloud de knop Filter toevoegen om te filteren op waarschuwingsnaam op beveiligingsincident dat is gedetecteerd op meerdere resources.

    De incidenten zoeken op de pagina beveiligingswaarschuwingen in Microsoft Defender voor Cloud.

    De lijst is nu gefilterd om alleen incidenten weer te geven. U ziet dat beveiligingsincidenten een ander pictogram hebben dan beveiligingswaarschuwingen.

    Lijst met incidenten op de pagina beveiligingswaarschuwingen in Microsoft Defender voor Cloud.

  2. Als u details van een incident wilt weergeven, selecteert u er een in de lijst. Er wordt een zijvenster weergegeven met meer informatie over het incident.

    Zijvenster met details van het incident.

  3. Als u meer details wilt weergeven, selecteert u Volledige details weergeven.

    Reageren op beveiligingsincidenten in Microsoft Defender voor Cloud.

    In het linkerdeelvenster van de pagina beveiligingsincidenten ziet u informatie op hoog niveau over het beveiligingsincident: titel, ernst, status, activiteitstijd, beschrijving en de betreffende resource. Naast de betreffende resource ziet u de relevante Azure-tags. Gebruik deze tags om de organisatiecontext van de resource af te stellen bij het onderzoeken van de waarschuwing.

    Het rechterdeelvenster bevat het tabblad Waarschuwingen met de beveiligingswaarschuwingen die zijn gecorreleerd als onderdeel van dit incident.

    Tip

    Selecteer deze voor meer informatie over een specifieke waarschuwing.

    Tabblad Actie ondernemen van incident.

    Als u wilt overschakelen naar het tabblad Actie ondernemen, selecteert u het tabblad of de knop onderaan het rechterdeelvenster. Gebruik dit tabblad om verdere acties uit te voeren, zoals:

    • De bedreiging beperken: biedt handmatige herstelstappen voor dit beveiligingsincident
    • Toekomstige aanvallen voorkomen: biedt beveiligingsaanbevelingen om de kwetsbaarheid voor aanvallen te verminderen, de beveiligingspostuur te verhogen en toekomstige aanvallen te voorkomen
    • Geautomatiseerd antwoord activeren : biedt de optie om een logische app te activeren als reactie op dit beveiligingsincident
    • Vergelijkbare waarschuwingen onderdrukken: biedt de optie om toekomstige waarschuwingen met vergelijkbare kenmerken te onderdrukken als de waarschuwing niet relevant is voor uw organisatie

    Notitie

    Dezelfde waarschuwing kan bestaan als onderdeel van een incident en kan ook zichtbaar zijn als een zelfstandige waarschuwing.

  4. Volg de herstelstappen voor elke waarschuwing om de bedreigingen in het incident op te lossen.

Volgende stappen

Op deze pagina worden de mogelijkheden voor beveiligingsincidenten van Defender voor Cloud uitgelegd. Zie de volgende pagina's voor verwante informatie: