Delen via


Apparaten onderzoeken in de lijst Microsoft Defender voor Eindpunt apparaten

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Onderzoek de details van een waarschuwing die is gegenereerd op een specifiek apparaat om ander gedrag of gebeurtenissen te identificeren die mogelijk te maken hebben met de waarschuwing of het mogelijke bereik van de inbreuk.

Opmerking

Als onderdeel van het onderzoeks- of reactieproces kunt u een onderzoekspakket van een apparaat verzamelen. U doet dit als volgt: Verzamel het onderzoekspakket van apparaten.

U kunt op betrokken apparaten selecteren wanneer u ze in de portal ziet om een gedetailleerd rapport over dat apparaat te openen. Betrokken apparaten worden geïdentificeerd in de volgende gebieden:

Wanneer u een specifiek apparaat onderzoekt, ziet u het volgende:

  • Apparaatdetails
  • Reactieacties
  • Tabbladen (overzicht, waarschuwingen, tijdlijn, beveiligingsaanbevelingen, software-inventarisatie, gedetecteerde beveiligingsproblemen, ontbrekende KB's)
  • Kaarten (actieve waarschuwingen, aangemelde gebruikers, beveiligingsevaluatie, status van apparaat)

De apparaatweergave

Opmerking

Vanwege productbeperkingen houdt het apparaatprofiel niet rekening met al het cyberbewijs bij het bepalen van het tijdsbestek 'Laatst gezien' (zoals ook te zien op de apparaatpagina). De waarde 'Laatst gezien' op de pagina Apparaat kan bijvoorbeeld een ouder tijdsbestek weergeven, ook al zijn er recentere waarschuwingen of gegevens beschikbaar op de tijdlijn van de machine.

Apparaatdetails

De sectie apparaatdetails bevat informatie zoals het domein, het besturingssysteem en de status van het apparaat. Als er een onderzoekspakket beschikbaar is op het apparaat, ziet u een koppeling waarmee u het pakket kunt downloaden.

Reactieacties

Antwoordacties worden boven aan een specifieke apparaatpagina uitgevoerd en omvatten:

  • Weergeven in kaart
  • Apparaatwaarde
  • Kritiek instellen
  • Tags beheren
  • Apparaat isoleren
  • Het uitvoeren van apps beperken
  • Antivirusscan uitvoeren
  • Onderzoekspakket verzamelen
  • Live-antwoordsessie starten
  • Geautomatiseerd onderzoek initiëren
  • Contact opnemen met een risicodeskundige
  • Actiecentrum

U kunt antwoordacties uitvoeren in het Actiecentrum, op een specifieke apparaatpagina of op een specifieke bestandspagina.

Zie Actie ondernemen op een apparaat voor meer informatie over het uitvoeren van actie op een apparaat.

Zie Gebruikersentiteiten onderzoeken voor meer informatie.

Opmerking

Weergeven in kaart en kritieke instellingen zijn functies van Microsoft Exposure Management, die momenteel in openbare preview is.

Tabbladen

De tabbladen bevatten relevante informatie over beveiliging en bedreigingspreventie met betrekking tot het apparaat. Op elk tabblad kunt u de weergegeven kolommen aanpassen door Kolommen aanpassen te selecteren in de balk boven de kolomkoppen.

Overzicht

Op het tabblad Overzicht worden de kaarten weergegeven voor actieve waarschuwingen, aangemelde gebruikers en beveiligingsevaluatie.

Het tabblad Overzicht op de apparaatpagina

Incidenten en waarschuwingen

Het tabblad Incidenten en waarschuwingen bevat een lijst met incidenten en waarschuwingen die aan het apparaat zijn gekoppeld. Deze lijst is een gefilterde versie van de wachtrij Waarschuwingen en bevat een korte beschrijving van het incident, de waarschuwing, de ernst (hoog, gemiddeld, laag, informatief), de status in de wachtrij (nieuw, wordt uitgevoerd, opgelost), de classificatie (niet ingesteld, foutwaarschuwing, echte waarschuwing), de onderzoeksstatus, de categorie van de waarschuwing, wie de waarschuwing aanpakt en de laatste activiteit. U kunt ook de waarschuwingen filteren.

Het tabblad van de waarschuwingen met betrekking tot het apparaat

Wanneer een waarschuwing is geselecteerd, wordt er een fly-out weergegeven. In dit deelvenster kunt u de waarschuwing beheren en meer details bekijken, zoals het incidentnummer en gerelateerde apparaten. Er kunnen meerdere waarschuwingen tegelijk worden geselecteerd.

Als u een volledige paginaweergave van een waarschuwing wilt zien, selecteert u de titel van de waarschuwing.

Tijdlijn

Het tabblad Tijdlijn biedt een chronologische weergave van de gebeurtenissen en bijbehorende waarschuwingen die op het apparaat zijn waargenomen. Dit kan u helpen bij het correleren van gebeurtenissen, bestanden en IP-adressen met betrekking tot het apparaat.

Met de tijdlijn kunt u ook selectief inzoomen op gebeurtenissen die zich binnen een bepaalde periode hebben voorgedaan. U kunt de tijdelijke volgorde van gebeurtenissen bekijken die zich gedurende een geselecteerde periode op een apparaat hebben voorgedaan. Als u de weergave verder wilt beheren, kunt u filteren op gebeurtenisgroepen of de kolommen aanpassen.

Opmerking

Als u firewallgebeurtenissen wilt weergeven, moet u het controlebeleid inschakelen. Zie Audit Filtering Platform-verbinding.

Firewall behandelt de volgende gebeurtenissen:

  • 5025 - firewallservice gestopt
  • 5031 - toepassing geblokkeerd voor het accepteren van binnenkomende verbindingen op het netwerk
  • 5157 - geblokkeerde verbinding

De tijdlijn van het apparaat met gebeurtenissen

Een aantal van de functionaliteiten omvat:

  • Search voor specifieke gebeurtenissen
    • Gebruik de zoekbalk om te zoeken naar specifieke tijdlijnen.
  • Gebeurtenissen van een specifieke datum filteren
    • Selecteer het agendapictogram in de linkerbovenhoek van de tabel om gebeurtenissen in de afgelopen dag, week, 30 dagen of aangepast bereik weer te geven. De tijdlijn van het apparaat is standaard ingesteld op het weergeven van de gebeurtenissen van de afgelopen 30 dagen.
    • Gebruik de tijdlijn om naar een bepaald moment in de tijd te gaan door de sectie te markeren. De pijlen op de tijdlijn geven automatisch onderzoek aan
  • Gedetailleerde tijdlijnen voor apparaten exporteren
    • Exporteer de apparaattijdlijn voor de huidige datum of een opgegeven datumbereik van maximaal zeven dagen.

Meer informatie over bepaalde gebeurtenissen vindt u in de sectie Aanvullende informatie . Deze details variëren afhankelijk van het type gebeurtenis, bijvoorbeeld:

  • Opgenomen door Application Guard: de webbrowsergebeurtenis is beperkt door een geïsoleerde container
  • Actieve bedreiging gedetecteerd: de detectie van de bedreiging is opgetreden terwijl de bedreiging werd uitgevoerd
  • Herstel is mislukt: een poging om de gedetecteerde bedreiging te herstellen, is aangeroepen, maar is mislukt
  • Herstel is voltooid: de gedetecteerde bedreiging is gestopt en opgeschoond
  • Waarschuwing overgeslagen door gebruiker: de Windows Defender SmartScreen-waarschuwing is genegeerd en overschreven door een gebruiker
  • Verdacht script gedetecteerd : er is een mogelijk schadelijk script gevonden dat wordt uitgevoerd
  • De waarschuwingscategorie: als de gebeurtenis heeft geleid tot het genereren van een waarschuwing, wordt de waarschuwingscategorie (bijvoorbeeld laterale beweging) opgegeven

Details van de gebeurtenis

Selecteer een gebeurtenis om relevante details over die gebeurtenis weer te geven. Er wordt een deelvenster weergegeven om algemene gebeurtenisgegevens weer te geven. Wanneer van toepassing en gegevens beschikbaar zijn, wordt ook een grafiek met gerelateerde entiteiten en hun relaties weergegeven.

Als u de gebeurtenis en gerelateerde gebeurtenissen verder wilt inspecteren, kunt u snel een geavanceerde opsporingsquery uitvoeren door Zoeken te selecteren voor gerelateerde gebeurtenissen. De query retourneert de geselecteerde gebeurtenis en de lijst met andere gebeurtenissen die zich rond dezelfde tijd op hetzelfde eindpunt hebben voorgedaan.

Het deelvenster met gebeurtenisdetails

Beveiligingsaanbeveling

Beveiligingsaanbeveling wordt gegenereerd op basis van de mogelijkheid voor het beheer van beveiligingsproblemen van Microsoft Defender voor Eindpunt. Als u een aanbeveling selecteert, ziet u een deelvenster waarin u relevante details kunt bekijken, zoals een beschrijving van de aanbeveling en de mogelijke risico's die zijn verbonden aan het niet uitvoeren ervan. Zie Beveiligingsaan aanbeveling voor meer informatie.

Beveiligingsbeleid

Op het tabblad Beveiligingsbeleid ziet u het beveiligingsbeleid voor eindpunten dat op het apparaat wordt toegepast. U ziet een lijst met beleidsregels, type, status en laatste inchecktijd. Als u de naam van een beleid selecteert, gaat u naar de pagina met beleidsdetails, waar u de status van de beleidsinstellingen, toegepaste apparaten en toegewezen groepen kunt zien.

Het tabblad Beveiligingsbeleid

Software-inventaris

Op het tabblad Software-inventaris kunt u software op het apparaat bekijken, samen met eventuele zwakke punten of bedreigingen. Als u de naam van de software selecteert, gaat u naar de pagina met softwaredetails, waar u beveiligingsaanbeveling, gedetecteerde beveiligingsproblemen, geïnstalleerde apparaten en versiedistributie kunt bekijken. Zie Software-inventaris voor meer informatie.

Het tabblad Software-inventaris

Gedetecteerde beveiligingsproblemen

Op het tabblad Gedetecteerde beveiligingsproblemen ziet u de naam, ernst en bedreigingsinformatie van gedetecteerde beveiligingsproblemen op het apparaat. Als u een specifiek beveiligingsprobleem selecteert, ziet u een beschrijving en details.

Het tabblad Gedetecteerde beveiligingsproblemen

Ontbrekende KB's

Het tabblad Ontbrekende KB's bevat de ontbrekende beveiligingsupdates voor het apparaat.

Het tabblad Ontbrekende KB's

Kaarten

Actieve waarschuwingen

De Azure Advanced Threat Protection-kaart geeft een overzicht van waarschuwingen op hoog niveau weer met betrekking tot het apparaat en het risiconiveau ervan, als u de functie Microsoft Defender for Identity gebruikt en er actieve waarschuwingen zijn. Meer informatie vindt u in de inzoom op waarschuwingen .

De kaart met actieve waarschuwingen

Opmerking

U moet de integratie inschakelen op zowel Microsoft Defender for Identity als Defender voor Eindpunt om deze functie te kunnen gebruiken. In Defender voor Eindpunt kunt u deze functie inschakelen in geavanceerde functies. Zie Geavanceerde functies inschakelen voor meer informatie over het inschakelen van geavanceerde functies.

Aangemelde gebruikers

Op de kaart Aangemelde gebruikers ziet u hoeveel gebruikers zich hebben aangemeld in de afgelopen 30 dagen, samen met de meest en minst frequente gebruikers. Als u de koppeling Alle gebruikers weergeven selecteert, wordt het detailvenster geopend, waarin informatie wordt weergegeven, zoals gebruikerstype, aanmeldingstype en wanneer de gebruiker voor het eerst en voor het laatst is gezien. Zie Gebruikersentiteiten onderzoeken voor meer informatie.

Het deelvenster met gebruikersdetails

Opmerking

De waarde van de meest voorkomende gebruiker wordt alleen berekend op basis van bewijs van gebruikers die zich interactief hebben aangemeld. In het zijdeelvenster Alle gebruikers worden echter allerlei gebruikersaanmeldingen berekend, zodat er naar verwachting vaker gebruikers in het zijvenster worden weergegeven, aangezien deze gebruikers mogelijk niet interactief zijn.

Beveiligingsevaluaties

De kaart Beveiligingsevaluaties toont het algehele blootstellingsniveau, beveiligingsaanbevelingen, geïnstalleerde software en gedetecteerde beveiligingsproblemen. Het blootstellingsniveau van een apparaat wordt bepaald door de cumulatieve impact van de in behandeling zijnde beveiligingsaanbeveling.

De kaart voor beveiligingsevaluaties

Status van apparaat

Op de kaart Status van apparaat ziet u een samengevat statusrapport voor het specifieke apparaat. Een van de volgende berichten wordt boven aan de kaart weergegeven om de algehele status van het apparaat aan te geven (vermeld in volgorde van hoogste naar laagste prioriteit):

  • Defender Antivirus niet actief
  • Beveiligingsinformatie is niet up-to-date
  • Engine is niet up-to-date
  • Snelle scan is mislukt
  • Volledige scan is mislukt
  • Platform is niet up-to-date
  • Updatestatus van beveiligingsinformatie is onbekend
  • Updatestatus van engine is onbekend
  • Status van snelle scan is onbekend
  • Volledige scanstatus is onbekend
  • Status van platformupdate is onbekend
  • Apparaat is up-to-date
  • Status niet beschikbaar voor macOS & Linux

Andere informatie op de kaart bevat: de laatste volledige scan, de laatste snelle scan, de updateversie van de beveiligingsinformatie, de versie van de engine-update, de versie van het platformupdate en de Defender Antivirus-modus.

Een grijze cirkel geeft aan dat de gegevens onbekend zijn.

Opmerking

Het algemene statusbericht voor macOS- en Linux-apparaten wordt momenteel weergegeven als 'Status niet beschikbaar voor macOS & Linux'. Op dit moment is het statusoverzicht alleen beschikbaar voor Windows-apparaten. Alle andere informatie in de tabel is bijgewerkt om de afzonderlijke statussen van elk apparaatstatussignaal voor alle ondersteunde platforms weer te geven.

Als u een uitgebreide weergave van het rapport over de apparaatstatus wilt krijgen, gaat u naar Rapporten Apparaatstatus>. Zie Rapport apparaatstatus en naleving in Microsoft Defender voor Eindpunt voor meer informatie.

Opmerking

De datum en tijd voor de Defender Antivirus-modus zijn momenteel niet beschikbaar.

De statuskaart van het apparaat

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.