Delen via


De wachtrij Microsoft Defender voor Eindpunt waarschuwingen weergeven en organiseren

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

In de wachtrij Waarschuwingen ziet u een lijst met waarschuwingen die zijn gemarkeerd vanaf apparaten in uw netwerk. Standaard worden in de wachtrij waarschuwingen weergegeven in de afgelopen 7 dagen in een gegroepeerde weergave. De meest recente waarschuwingen worden bovenaan de lijst weergegeven, zodat u eerst de meest recente waarschuwingen kunt zien.

Opmerking

De waarschuwingen worden aanzienlijk verminderd met geautomatiseerd onderzoek en herstel, waardoor beveiligingsexperts zich kunnen richten op geavanceerdere bedreigingen en andere hoogwaardige initiatieven. Wanneer een waarschuwing een ondersteunde entiteit bevat voor geautomatiseerd onderzoek (bijvoorbeeld een bestand) op een apparaat met een ondersteund besturingssysteem, kan een geautomatiseerd onderzoek en herstel worden gestart. Zie Overzicht van geautomatiseerde onderzoeken voor meer informatie over geautomatiseerde onderzoeken.

Er zijn verschillende opties waaruit u kunt kiezen om de weergave voor waarschuwingen aan te passen.

In de bovenste navigatie kunt u het volgende doen:

  • Kolommen aanpassen om kolommen toe te voegen of te verwijderen
  • Filters toepassen
  • De waarschuwingen weergeven voor een bepaalde duur, zoals 1 dag, 3 dagen, 1 week, 30 dagen en 6 maanden
  • De lijst met waarschuwingen exporteren naar Excel
  • Waarschuwingen beheren

De pagina Waarschuwingenwachtrij

Waarschuwingen sorteren en filteren

U kunt de volgende filters toepassen om de lijst met waarschuwingen te beperken en een meer gerichte weergave van de waarschuwingen te krijgen.

Ernst

Ernst van waarschuwingen Omschrijving
Hoog
(Rood)
Waarschuwingen die vaak worden weergegeven in verband met geavanceerde permanente bedreigingen (APT). Deze waarschuwingen wijzen op een hoog risico vanwege de ernst van de schade die ze aan apparaten kunnen toebrengen. Enkele voorbeelden zijn: activiteiten van hulpprogramma's voor referentiediefstal, ransomware-activiteiten die niet zijn gekoppeld aan een groep, manipulatie met beveiligingssensoren of kwaadwillende activiteiten die duiden op een menselijke aanvaller.
Gemiddeld
(Oranje)
Waarschuwingen van eindpuntdetectie en reactiegedrag na inbreuk die deel kunnen uitmaken van een advanced persistent threat (APT). Dit gedrag omvat waargenomen gedrag dat typisch is voor aanvalsfasen, afwijkende registerwijziging, uitvoering van verdachte bestanden, enzovoort. Hoewel sommige mogelijk deel uitmaken van interne beveiligingstests, is onderzoek vereist, omdat het ook een onderdeel kan zijn van een geavanceerde aanval.
Laag
(Geel)
Waarschuwingen over bedreigingen die verband houden met gangbare malware. Bijvoorbeeld hack-tools, niet-malware hack tools, zoals het uitvoeren van verkenningsopdrachten, het wissen van logboeken, enzovoort, die vaak niet duiden op een geavanceerde bedreiging gericht op de organisatie. Het kan ook afkomstig zijn van een geïsoleerd beveiligingsprogramma dat wordt getest door een gebruiker in uw organisatie.
Informatief
(Grijs)
Waarschuwingen die mogelijk niet als schadelijk voor het netwerk worden beschouwd, maar die de organisatie bewust kunnen maken van mogelijke beveiligingsproblemen.

Inzicht in de ernst van waarschuwingen

Microsoft Defender Antivirus- en Defender voor Eindpuntwaarschuwingen verschillen omdat ze verschillende bereiken vertegenwoordigen.

De ernst van de Microsoft Defender Antivirus-bedreiging vertegenwoordigt de absolute ernst van de gedetecteerde bedreiging (malware) en wordt toegewezen op basis van het potentiële risico voor het afzonderlijke apparaat, indien geïnfecteerd.

De ernst van de Defender voor Eindpunt-waarschuwing vertegenwoordigt de ernst van het gedetecteerde gedrag, het werkelijke risico voor het apparaat, maar nog belangrijker het potentiële risico voor de organisatie.

Bijvoorbeeld:

  • De ernst van een Defender voor Eindpunt-waarschuwing over een Microsoft Defender Antivirus gedetecteerde bedreiging die is voorkomen en het apparaat niet infecteert, wordt gecategoriseerd als 'Informatief' omdat er geen werkelijke schade is opgetreden.
  • Een waarschuwing over een commerciële malware is gedetecteerd tijdens het uitvoeren, maar geblokkeerd en hersteld door Microsoft Defender Antivirus, is gecategoriseerd als 'Laag' omdat het mogelijk enige schade heeft veroorzaakt aan het afzonderlijke apparaat, maar geen bedreiging vormt voor de organisatie.
  • Een waarschuwing over malware die tijdens het uitvoeren is gedetecteerd en die een bedreiging kan vormen, niet alleen voor het afzonderlijke apparaat, maar voor de organisatie, ongeacht of deze uiteindelijk is geblokkeerd, kan worden geclassificeerd als 'Gemiddeld' of 'Hoog'.
  • Verdachte gedragswaarschuwingen, die niet zijn geblokkeerd of hersteld, worden geclassificeerd als 'Laag', 'Gemiddeld' of 'Hoog' op basis van dezelfde bedreigingsoverwegingen van de organisatie.

Status

U kunt ervoor kiezen om de lijst met waarschuwingen te filteren op basis van hun status.

Opmerking

Als u de waarschuwingsstatus niet-ondersteund ziet , betekent dit dat de mogelijkheden voor geautomatiseerd onderzoek die waarschuwing niet kunnen ophalen om een geautomatiseerd onderzoek uit te voeren. U kunt deze waarschuwingen echter handmatig onderzoeken.

Categorieën

We hebben de waarschuwingscategorieën opnieuw gedefinieerd om af te stemmen op de aanvalstactieken van ondernemingen in de MITRE ATT&CK-matrix. Nieuwe categorienamen zijn van toepassing op alle nieuwe waarschuwingen. Bestaande waarschuwingen behouden de vorige categorienamen.

Servicebronnen

U kunt de waarschuwingen filteren op basis van de volgende servicebronnen:

  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender voor Eindpunt
  • Microsoft Defender XDR
  • Microsoft Defender voor Office 365
  • App-beheer
  • Microsoft Entra ID Protection

Klanten van Microsoft Endpoint Notification kunnen nu detecties van de service filteren en zien door te filteren op Microsoft Defender experts die zijn genest onder de Microsoft Defender voor Eindpunt servicebron.

Opmerking

Het antivirusfilter wordt alleen weergegeven als apparaten Microsoft Defender Antivirus gebruiken als het standaard antimalwareproduct voor realtimebeveiliging.

Tags

U kunt de waarschuwingen filteren op basis van tags die zijn toegewezen aan waarschuwingen.

Beleid

U kunt de waarschuwingen filteren op basis van het volgende beleid:

Detectiebron API-waarde
Sensoren van derden ThirdPartySensors
Antivirus WindowsDefenderAv
Geautomatiseerd onderzoek AutomatedInvestigation
Aangepaste detectie CustomDetection
Aangepaste TI CustomerTI
EDR WindowsDefenderAtp
Microsoft Defender XDR MTP
Microsoft Defender voor Office 365 OfficeATP
Microsoft Defender experts ThreatExperts
Smartscreen WindowsDefenderSmartScreen

Entiteiten

U kunt de waarschuwingen filteren op basis van de naam of id van de entiteit.

Status van geautomatiseerd onderzoek

U kunt ervoor kiezen om de waarschuwingen te filteren op basis van hun status van geautomatiseerd onderzoek.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.