Bewerken

Delen via

Beveiligingswaarschuwingen beheren en erop reageren

  • Uitleg

Defender voor Cloud verzamelt, analyseert en integreert logboekgegevens van uw Azure-, hybride en multicloud-bronnen, het netwerk en verbonden partneroplossingen, zoals firewalls en eindpunt-agenten. Defender voor Cloud gebruikt de logboekgegevens om echte bedreigingen te detecteren en fout-positieven te verminderen. In Defender voor Cloud wordt een lijst met beveiligingswaarschuwingen met prioriteiten weergegeven samen met de informatie die u nodig hebt om snel onderzoek te doen naar het probleem en de aanbevolen stappen voor het herstellen van een aanval.

In dit artikel leest u hoe u waarschuwingen van Defender voor Cloud kunt bekijken en verwerken en uw resources kunt beveiligen.

Bij het sorteren van beveiligingswaarschuwingen moet u prioriteit geven aan waarschuwingen op basis van de ernst van de waarschuwing, waarbij u waarschuwingen met een hogere ernst eerst aanpakt. Meer informatie over hoe waarschuwingen worden geclassificeerd.

Tip

U kunt Microsoft Defender voor Cloud verbinden met SIEM-oplossingen, waaronder Microsoft Sentinel, en de waarschuwingen van uw keuze gebruiken. Meer informatie over het streamen van waarschuwingen naar een SIEM-, SOAR- of IT Service Management-oplossing.

Vereisten

Zie Ondersteuningsmatrices voor Defender voor Cloud voor vereisten.

Uw beveiligingswaarschuwingen beheren

Volg vervolgens deze stappen:

  1. Meld u aan bij het Azure-portaal.

  2. Navigeer naar Microsoft Defender voor Cloud> Beveiligingswaarschuwingen.

    Schermopname van de pagina beveiligingswaarschuwingen op de overzichtspagina van Microsoft Defender voor Cloud.

  3. (Optioneel) Filter de lijst met waarschuwingen met een van de relevante filters. U kunt extra filters toevoegen met de optie Filter toevoegen.

    Schermopname die laat zien hoe u filters toevoegt aan de weergave Waarschuwingen.

    De lijst wordt bijgewerkt op basis van de geselecteerde filters. U kunt bijvoorbeeld beveiligingswaarschuwingen aanpakken die in de afgelopen 24 uur zijn opgetreden, omdat u een mogelijke inbreuk in het systeem onderzoekt.

Een beveiligingswaarschuwing onderzoeken

Elke waarschuwing bevat informatie over de waarschuwing die u helpt bij uw onderzoek.

Een beveiligingswaarschuwing onderzoeken:

  1. Selecteer een waarschuwing. Er wordt een zijvenster geopend met een beschrijving van de waarschuwing en alle betrokken resources.

    Schermopname van de detailweergave op hoog niveau van een beveiligingswaarschuwing.

  2. Bekijk de algemene informatie over de beveiligingswaarschuwing.

    • Ernst van waarschuwing, status en tijd van activiteit
    • Beschrijving met uitleg over de precieze gedetecteerde activiteit
    • Betrokken resources
    • Kill chain intent of the activity on the MITRE ATT&CK matrix (indien van toepassing)

  3. Selecteer Volledige details weergeven.

    Het rechterdeelvenster bevat het tabblad Waarschuwingsgegevens met verdere details van de waarschuwing om u te helpen het probleem te onderzoeken: IP-adressen, bestanden, processen en meer.

    Schermopname van de volledige detailpagina voor een waarschuwing.

    In het rechterdeelvenster vindt u ook het tabblad Actie ondernemen . Gebruik dit tabblad om verdere acties uit te voeren met betrekking tot de beveiligingswaarschuwing. Acties zoals:

    • Resourcecontext inspecteren - stuurt u naar de activiteitenlogboeken van de resource die ondersteuning bieden voor de beveiligingswaarschuwing
    • De bedreiging beperken: biedt handmatige herstelstappen voor deze beveiligingswaarschuwing
    • Toekomstige aanvallen voorkomen: biedt beveiligingsaanbevelingen om de kwetsbaarheid voor aanvallen te verminderen, de beveiligingspostuur te verhogen en toekomstige aanvallen te voorkomen
    • Geautomatiseerde reactie activeren: biedt de optie om een logische app te activeren als reactie op deze beveiligingswaarschuwing
    • Vergelijkbare waarschuwingen onderdrukken: biedt de optie om toekomstige waarschuwingen met vergelijkbare kenmerken te onderdrukken als de waarschuwing niet relevant is voor uw organisatie

    Schermopname van de opties die beschikbaar zijn op het tabblad Actie ondernemen.

    Neem voor meer informatie contact op met de resource-eigenaar om te controleren of de gedetecteerde activiteit een fout-positief is. U kunt ook de onbewerkte logboeken onderzoeken die zijn gegenereerd door de aangevallen resource.

De status van meerdere beveiligingswaarschuwingen tegelijk wijzigen

De lijst met waarschuwingen bevat selectievakjes, zodat u meerdere waarschuwingen tegelijk kunt verwerken. U kunt bijvoorbeeld besluiten om alle informatieve waarschuwingen voor een specifieke resource te negeren.

  1. Filter op basis van de waarschuwingen die u bulksgewijs wilt verwerken.

    In dit voorbeeld worden de waarschuwingen met de ernst van Informational de resource ASC-AKS-CLOUD-TALK geselecteerd.

    Schermopname van het filteren van waarschuwingen om gerelateerde waarschuwingen weer te geven.

  2. Gebruik de selectievakjes om de waarschuwingen te selecteren die moeten worden verwerkt.

    In dit voorbeeld worden alle waarschuwingen geselecteerd. De knop Status wijzigen is nu beschikbaar.

    Schermopname van het selecteren van alle waarschuwingen die bulksgewijs moeten worden verwerkt.

  3. Gebruik de opties Status wijzigen om de gewenste status in te stellen.

    Schermopname van het tabblad Status van beveiligingswaarschuwingen.

    De waarschuwingen die op de huidige pagina worden weergegeven, hebben hun status gewijzigd in de geselecteerde waarde.

Reageren op een beveiligingswaarschuwing

Nadat u een beveiligingswaarschuwing hebt onderzocht, kunt u reageren op de waarschuwing vanuit Microsoft Defender voor Cloud.

Ga als volgende te werk om te reageren op een beveiligingswaarschuwing:

  1. Open het tabblad Actie ondernemen om de aanbevolen reacties te bekijken.

    Schermopname van het tabblad Beveiligingswaarschuwingen.

  2. Raadpleeg de sectie De bedreiging oplossen voor de handmatige onderzoeksstappen die nodig zijn om het probleem te verhelpen.

  3. Om uw resources te beveiligen en toekomstige aanvallen van dit type te voorkomen, moet u de beveiligingsaanbevelingen in de sectie Toekomstige aanvallen voorkomen volgen.

  4. Als u een logische app wilt activeren met geautomatiseerde antwoordstappen, gebruikt u de sectie Geautomatiseerde reactie activeren en selecteert u Logische trigger-app.

  5. Als de gedetecteerde activiteit niet schadelijk is, kunt u toekomstige waarschuwingen van dit type onderdrukken met behulp van de sectie Vergelijkbare waarschuwingen onderdrukken en onderdrukkingsregel maken selecteren.

  6. Selecteer Instellingen voor e-mailmeldingen configureren om te bekijken wie e-mailberichten ontvangt met betrekking tot beveiligingswaarschuwingen voor dit abonnement. Neem contact op met de eigenaar van het abonnement om de e-mailinstellingen te configureren.

  7. Wanneer u het onderzoek naar de waarschuwing hebt voltooid en op de juiste manier hebt gereageerd, wijzigt u de status in Gesloten.

    Schermopname van de vervolgkeuzelijst status van de waarschuwing.

    De waarschuwing wordt verwijderd uit de lijst met hoofdwaarschuwingen. U kunt het filter op de pagina met waarschuwingen gebruiken om alle waarschuwingen met de status Genegeerd weer te geven.

  8. Stuur vooral feedback over de waarschuwing naar Microsoft:

    1. De waarschuwing markeren als Nuttig of Niet nuttig.
    2. Selecteer een reden en voeg een opmerking toe.

    Schermopname van het venster Feedback geven aan Microsoft waarmee u de bruikbaarheid van een waarschuwing kunt selecteren.

    Tip

    We bekijken uw feedback om onze algoritmen te verbeteren en betere beveiligingswaarschuwingen te bieden.

    Zie Beveiligingswaarschuwingen: een referentiehandleiding voor meer informatie over de verschillende typen waarschuwingen.

    Zie Hoe Microsoft Defender voor Cloud bedreigingen detecteert en reageert op bedreigingen voor een overzicht van hoe Defender voor Cloud waarschuwingen genereert.

    Bekijk de resultaten van de scan zonder agent

    De resultaten voor zowel de agent- als de scanner zonder agent worden weergegeven op de pagina Beveiligingswaarschuwingen.

    Schermopname van de pagina beveiligingswaarschuwingen met de resultaten van zowel op agents gebaseerde als agentloze scanresultaten.

    Notitie

    Als u een van deze waarschuwingen herstelt, wordt de andere waarschuwing pas hersteld nadat de volgende scan is voltooid.

Gerelateerde inhoud