Beheer en reageer op beveiligingswaarschuwingen in Microsoft Defender for Cloud

  • Artikel

In dit onderwerp wordt beschreven hoe u waarschuwingen van Defender for Cloud kunt weergeven en verwerken en hoe u uw resources beveiligt.

Geavanceerde detecties die beveiligingswaarschuwingen activeren, zijn alleen beschikbaar als de verbeterde beveiligingsfuncties van Microsoft Defender voor Cloud zijn ingeschakeld. Er is een gratis proefversie beschikbaar. Zie Verbeterde beveiligingen inschakelen om een upgrade uit te voeren.

Wat zijn beveiligingswaarschuwingen?

Defender for Cloud verzamelt, analyseert en integreert logboekgegevens van uw Azure-, hybride en multicloudresources, het netwerk en verbonden partneroplossingen, zoals firewalls en eindpuntagenten. Defender for Cloud gebruikt de logboekgegevens om echte bedreigingen te detecteren en fout-positieven te verminderen. Een lijst met beveiligingswaarschuwingen met prioriteit wordt weergegeven in Defender for Cloud, samen met de informatie die u nodig hebt om het probleem snel te onderzoeken en de stappen die u moet ondernemen om een aanval te herstellen.

Zie Beveiligingswaarschuwingen - een referentiehandleiding voor meer informatie over de verschillende typen waarschuwingen.

Zie Hoe Microsoft Defender for Cloud bedreigingen detecteert en erop reageert voor een overzicht van hoe Defender voor Cloud waarschuwingen genereert.

Uw beveiligingswaarschuwingen beheren

  1. Selecteer op de overzichtspagina van Defender for Cloud de tegel Beveiligingswaarschuwingen boven aan de pagina of de koppeling in de zijbalk.

    De pagina beveiligingswaarschuwingen openen vanaf de overzichtspagina van Microsoft Defender for Cloud

    De pagina beveiligingswaarschuwingen wordt geopend.

    lijst met beveiligingswaarschuwingen van Microsoft Defender for Cloud

  2. Als u de lijst met waarschuwingen wilt filteren, selecteert u een van de relevante filters. U kunt eventueel nog meer filters toevoegen met de optie Filter toevoegen .

    Filters toevoegen aan de weergave waarschuwingen.

    De lijst wordt bijgewerkt op basis van de filteropties die u hebt geselecteerd. U kunt u bijvoorbeeld concentreren op de beveiligingswaarschuwingen van de afgelopen 24 uur, omdat u een mogelijke inbreuk in het systeem onderzoekt.

Reageren op beveiligingswaarschuwingen

  1. Selecteer een waarschuwing in de lijst Beveiligingswaarschuwingen . Er wordt een zijvenster geopend met een beschrijving van de waarschuwing en alle betrokken resources.

    Mini-detailweergave van een beveiligingswaarschuwing.

    Tip

    Als dit zijvenster is geopend, kunt u snel de lijst met waarschuwingen bekijken met de pijl-omhoog en pijl-omlaag op het toetsenbord.

  2. Selecteer Volledige details weergeven voor meer informatie.

    Het linkerdeelvenster van de pagina met beveiligingswaarschuwingen bevat algemene informatie met betrekking tot de beveiligingswaarschuwing: titel, ernst, status, activiteitstijd, beschrijving van de verdachte activiteit en de betrokken resource. Met de Azure-tags voor de betrokken resource krijgt u inzicht in de organisatiecontext van de resource.

    Het rechterdeelvenster bevat het tabblad Details van waarschuwingen met meer details van de waarschuwing, zodat u het probleem kunt onderzoeken: IP-adressen, bestanden, processen en meer.

    Suggesties voor wat u moet doen met beveiligingswaarschuwingen.

    In het rechterdeelvenster bevindt zich ook het tabblad Actie ondernemen . Gebruik dit tabblad om verdere acties te ondernemen met betrekking tot de beveiligingswaarschuwing. Acties zoals:

    • Resourcecontext inspecteren : stuurt u naar de activiteitenlogboeken van de resource die ondersteuning bieden voor de beveiligingswaarschuwing
    • De bedreiging beperken : biedt handmatige herstelstappen voor deze beveiligingswaarschuwing
    • Toekomstige aanvallen voorkomen : biedt beveiligingsaanbevelingen om de kwetsbaarheid voor aanvallen te verminderen, de beveiligingspostuur te verhogen en zo toekomstige aanvallen te voorkomen
    • Automatische reactie activeren : biedt de optie om een logische app te activeren als reactie op deze beveiligingswaarschuwing
    • Vergelijkbare waarschuwingen onderdrukken : biedt de optie om toekomstige waarschuwingen met vergelijkbare kenmerken te onderdrukken als de waarschuwing niet relevant is voor uw organisatie

    Tabblad Actie ondernemen.

De status van meerdere beveiligingswaarschuwingen tegelijk wijzigen

De lijst met waarschuwingen bevat selectievakjes, zodat u meerdere waarschuwingen tegelijk kunt afhandelen. Voor trigrafische doeleinden kunt u bijvoorbeeld besluiten om alle informatieve waarschuwingen voor een specifieke resource te negeren.

  1. Filter op basis van de waarschuwingen die u bulksgewijs wilt verwerken.

    In dit voorbeeld hebben we alle waarschuwingen met de ernst 'Informatief' geselecteerd voor de resource 'ASC-AKS-CLOUD-TALK'.

    Schermopname van het filteren van de waarschuwingen om gerelateerde waarschuwingen weer te geven.

  2. Gebruik de selectievakjes om de waarschuwingen te selecteren die moeten worden verwerkt, of gebruik het selectievakje bovenaan de lijst om ze allemaal te selecteren.

    In dit voorbeeld hebben we alle waarschuwingen geselecteerd. U ziet dat de knop Status wijzigen nu beschikbaar is.

    Schermopname van het selecteren van alle waarschuwingen die bulksgewijs moeten worden verwerkt.

  3. Gebruik de opties Status wijzigen om de gewenste status in te stellen.

De status van de waarschuwingen die op de huidige pagina worden weergegeven, wordt gewijzigd in de geselecteerde waarde.

Zie ook

In dit document hebt u geleerd hoe u beveiligingswaarschuwingen kunt weergeven. Zie de volgende pagina's voor gerelateerd materiaal: