Incidenten in Microsoft Defender voor Bedrijven weergeven en beheren
Na het detecteren van bedreigingen en het genereren van waarschuwingen worden incidenten gemaakt. Het beveiligingsteam van uw bedrijf kan incidenten bekijken en beheren in de Microsoft Defender portal. U moet de juiste machtigingen hebben om de taken in dit artikel uit te voeren. Zie Beveiligingsrollen en -machtigingen in Microsoft Defender voor Bedrijven.
Dit artikel bevat:
Uw incidenten & waarschuwingen bewaken
Ga in de Microsoft Defender portal (https://security.microsoft.com) in het navigatiedeelvenster naar Incidenten & waarschuwingen en selecteer vervolgens Incidenten. Alle incidenten die zijn gemaakt, worden weergegeven op de pagina.
Belangrijk
Als u een incident ziet met
Attack disruption
de tag , betekent dit dat er een geavanceerde aanval is gedetecteerd. Zie Automatische onderbreking van aanvallen.Selecteer een waarschuwing om het flyoutvenster te openen, waar je meer informatie over de waarschuwing vindt.
In het flyoutvenster kunt u de titel van de waarschuwing zien, een lijst weergeven met assets (zoals apparaten of gebruikersaccounts) die zijn beïnvloed, beschikbare acties ondernemen en koppelingen gebruiken om meer informatie weer te geven en zelfs de detailpagina voor de geselecteerde waarschuwing te openen.
Tip
Defender voor Bedrijven is ontworpen om u te helpen gedetecteerde bedreigingen aan te pakken door acties aan te bevelen die u kunt uitvoeren. Wanneer u een waarschuwing bekijkt, zoekt u naar deze suggesties. Let ook op de ernst van de waarschuwing, die niet alleen wordt bepaald op basis van de gedetecteerde ernst van de bedreiging, maar ook op basis van het risiconiveau voor uw bedrijf.
Ernst van waarschuwingen
Wanneer een bedreiging wordt gedetecteerd, wordt een ernstniveau toegewezen aan elke waarschuwing die wordt gegenereerd.
- Microsoft Defender Antivirus wijst de ernst van de waarschuwing toe op basis van de absolute ernst van een gedetecteerde bedreiging (zoals malware) en het potentiële risico voor een afzonderlijk apparaat (indien geïnfecteerd).
- Defender voor Bedrijven wijst de ernst van de waarschuwing toe op basis van de ernst van het gedetecteerde gedrag, het werkelijke risico voor een apparaat en nog belangrijker, het potentiële risico voor uw bedrijf.
De volgende tabel bevat enkele voorbeelden van waarschuwingen en hun ernstniveaus:
Scenario | Ernst en reden van waarschuwing |
---|---|
Geautomatiseerde aanvalsonderbreking detecteert een geavanceerde aanval en bevat apparaten of gebruikersaccounts om te voorkomen dat de aanval doorgaat. | Hoog. Aanvalsonderbrekingsmogelijkheden helpen een aanval te beperken, zodat uw IT-/beveiligingsteam deze kan aanpakken. |
Microsoft Defender Antivirus detecteert en stopt een bedreiging voordat deze schade aanricht. | Informatief. De dreiging werd gestopt voordat er schade werd aangericht. |
Microsoft Defender Antivirus detecteert malware die binnen uw bedrijf werd uitgevoerd. De malware wordt gestopt en hersteld. | Laag. Hoewel er mogelijk schade is toegebracht aan een afzonderlijk apparaat, vormt de malware nu geen bedreiging voor uw bedrijf. |
Malware die wordt uitgevoerd, wordt gedetecteerd door Defender voor Bedrijven. De malware wordt bijna onmiddellijk geblokkeerd. | Gemiddeld of hoog. De malware vormt een bedreiging voor afzonderlijke apparaten en voor uw bedrijf. |
Er wordt verdacht gedrag gedetecteerd, maar er zijn nog geen herstelacties uitgevoerd. | Laag, Gemiddeld of Hoog. De ernst is afhankelijk van de mate waarin het gedrag een bedreiging vormt voor uw bedrijf. |