Apparaten onderzoeken in de lijst Microsoft Defender voor Eindpunt apparaten

Van toepassing op:

• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender XDR

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Onderzoek de details van een waarschuwing die is gegenereerd op een specifiek apparaat om ander gedrag of gebeurtenissen te identificeren die mogelijk te maken hebben met de waarschuwing of het mogelijke bereik van de inbreuk.

Opmerking

Als onderdeel van het onderzoeks- of reactieproces kunt u een onderzoekspakket van een apparaat verzamelen. U doet dit als volgt: Verzamel het onderzoekspakket van apparaten.

U kunt op betrokken apparaten selecteren wanneer u ze in de portal ziet om een gedetailleerd rapport over dat apparaat te openen. Betrokken apparaten worden geïdentificeerd in de volgende gebieden:

• Lijst met apparaten
• Waarschuwingenwachtrij
• Elke afzonderlijke waarschuwing
• Elke afzonderlijke weergave met bestandsdetails
• Weergave van IP-adres- of domeindetails

Wanneer u een specifiek apparaat onderzoekt, ziet u het volgende:

• Apparaatdetails
• Reactieacties
• Tabbladen (overzicht, waarschuwingen, tijdlijn, beveiligingsaanbevelingen, software-inventarisatie, gedetecteerde beveiligingsproblemen, ontbrekende KB's)
• Kaarten (actieve waarschuwingen, aangemelde gebruikers, beveiligingsevaluatie, status van apparaat)

Opmerking

Vanwege productbeperkingen houdt het apparaatprofiel niet rekening met al het cyberbewijs bij het bepalen van het tijdsbestek 'Laatst gezien' (zoals ook te zien op de apparaatpagina). De waarde 'Laatst gezien' op de pagina Apparaat kan bijvoorbeeld een ouder tijdsbestek weergeven, ook al zijn er recentere waarschuwingen of gegevens beschikbaar op de tijdlijn van de machine.

Apparaatdetails

De sectie apparaatdetails bevat informatie zoals het domein, het besturingssysteem en de status van het apparaat. Als er een onderzoekspakket beschikbaar is op het apparaat, ziet u een koppeling waarmee u het pakket kunt downloaden.

Reactieacties

Antwoordacties worden boven aan een specifieke apparaatpagina uitgevoerd en omvatten:

• Weergeven in kaart
• Apparaatwaarde
• Kritiek instellen
• Tags beheren
• Apparaat isoleren
• Het uitvoeren van apps beperken
• Antivirusscan uitvoeren
• Onderzoekspakket verzamelen
• Live-antwoordsessie starten
• Geautomatiseerd onderzoek initiëren
• Contact opnemen met een risicodeskundige
• Actiecentrum

U kunt antwoordacties uitvoeren in het Actiecentrum, op een specifieke apparaatpagina of op een specifieke bestandspagina.

Zie Actie ondernemen op een apparaat voor meer informatie over het uitvoeren van actie op een apparaat.

Zie Gebruikersentiteiten onderzoeken voor meer informatie.

Opmerking

Weergeven in kaart en kritieke instellingen zijn functies van Microsoft Exposure Management, die momenteel in openbare preview is.

Tabbladen

De tabbladen bevatten relevante informatie over beveiliging en bedreigingspreventie met betrekking tot het apparaat. Op elk tabblad kunt u de weergegeven kolommen aanpassen door Kolommen aanpassen te selecteren in de balk boven de kolomkoppen.

Overzicht

Op het tabblad Overzicht worden de kaarten weergegeven voor actieve waarschuwingen, aangemelde gebruikers en beveiligingsevaluatie.

Incidenten en waarschuwingen

Het tabblad Incidenten en waarschuwingen bevat een lijst met incidenten en waarschuwingen die aan het apparaat zijn gekoppeld. Deze lijst is een gefilterde versie van de wachtrij Waarschuwingen en bevat een korte beschrijving van het incident, de waarschuwing, de ernst (hoog, gemiddeld, laag, informatief), de status in de wachtrij (nieuw, wordt uitgevoerd, opgelost), de classificatie (niet ingesteld, foutwaarschuwing, echte waarschuwing), de onderzoeksstatus, de categorie van de waarschuwing, wie de waarschuwing aanpakt en de laatste activiteit. U kunt ook de waarschuwingen filteren.

Wanneer een waarschuwing is geselecteerd, wordt er een fly-out weergegeven. In dit deelvenster kunt u de waarschuwing beheren en meer details bekijken, zoals het incidentnummer en gerelateerde apparaten. Er kunnen meerdere waarschuwingen tegelijk worden geselecteerd.

Als u een volledige paginaweergave van een waarschuwing wilt zien, selecteert u de titel van de waarschuwing.

Tijdlijn

Het tabblad Tijdlijn biedt een chronologische weergave van de gebeurtenissen en bijbehorende waarschuwingen die op het apparaat zijn waargenomen. Dit kan u helpen bij het correleren van gebeurtenissen, bestanden en IP-adressen met betrekking tot het apparaat.

Met de tijdlijn kunt u ook selectief inzoomen op gebeurtenissen die zich binnen een bepaalde periode hebben voorgedaan. U kunt de tijdelijke volgorde van gebeurtenissen bekijken die zich gedurende een geselecteerde periode op een apparaat hebben voorgedaan. Als u de weergave verder wilt beheren, kunt u filteren op gebeurtenisgroepen of de kolommen aanpassen.

Opmerking

Als u firewallgebeurtenissen wilt weergeven, moet u het controlebeleid inschakelen. Zie Audit Filtering Platform-verbinding.

Firewall behandelt de volgende gebeurtenissen:

• 5025 - firewallservice gestopt
• 5031 - toepassing geblokkeerd voor het accepteren van binnenkomende verbindingen op het netwerk
• 5157 - geblokkeerde verbinding

Een aantal van de functionaliteiten omvat:

• Search voor specifieke gebeurtenissen
  • Gebruik de zoekbalk om te zoeken naar specifieke tijdlijnen.
• Gebeurtenissen van een specifieke datum filteren
  • Selecteer het agendapictogram in de linkerbovenhoek van de tabel om gebeurtenissen in de afgelopen dag, week, 30 dagen of aangepast bereik weer te geven. De tijdlijn van het apparaat is standaard ingesteld op het weergeven van de gebeurtenissen van de afgelopen 30 dagen.
  • Gebruik de tijdlijn om naar een bepaald moment in de tijd te gaan door de sectie te markeren. De pijlen op de tijdlijn geven automatisch onderzoek aan
• Gedetailleerde tijdlijnen voor apparaten exporteren
  • Exporteer de apparaattijdlijn voor de huidige datum of een opgegeven datumbereik van maximaal zeven dagen.

Meer informatie over bepaalde gebeurtenissen vindt u in de sectie Aanvullende informatie . Deze details variëren afhankelijk van het type gebeurtenis, bijvoorbeeld:

• Opgenomen door Application Guard: de webbrowsergebeurtenis is beperkt door een geïsoleerde container
• Actieve bedreiging gedetecteerd: de detectie van de bedreiging is opgetreden terwijl de bedreiging werd uitgevoerd
• Herstel is mislukt: een poging om de gedetecteerde bedreiging te herstellen, is aangeroepen, maar is mislukt
• Herstel is voltooid: de gedetecteerde bedreiging is gestopt en opgeschoond
• Waarschuwing overgeslagen door gebruiker: de Windows Defender SmartScreen-waarschuwing is genegeerd en overschreven door een gebruiker
• Verdacht script gedetecteerd : er is een mogelijk schadelijk script gevonden dat wordt uitgevoerd
• De waarschuwingscategorie: als de gebeurtenis heeft geleid tot het genereren van een waarschuwing, wordt de waarschuwingscategorie (bijvoorbeeld laterale beweging) opgegeven

Details van de gebeurtenis

Selecteer een gebeurtenis om relevante details over die gebeurtenis weer te geven. Er wordt een deelvenster weergegeven om algemene gebeurtenisgegevens weer te geven. Wanneer van toepassing en gegevens beschikbaar zijn, wordt ook een grafiek met gerelateerde entiteiten en hun relaties weergegeven.

Als u de gebeurtenis en gerelateerde gebeurtenissen verder wilt inspecteren, kunt u snel een geavanceerde opsporingsquery uitvoeren door Zoeken te selecteren voor gerelateerde gebeurtenissen. De query retourneert de geselecteerde gebeurtenis en de lijst met andere gebeurtenissen die zich rond dezelfde tijd op hetzelfde eindpunt hebben voorgedaan.

Beveiligingsaanbeveling

Beveiligingsaanbeveling wordt gegenereerd op basis van de mogelijkheid voor het beheer van beveiligingsproblemen van Microsoft Defender voor Eindpunt. Als u een aanbeveling selecteert, ziet u een deelvenster waarin u relevante details kunt bekijken, zoals een beschrijving van de aanbeveling en de mogelijke risico's die zijn verbonden aan het niet uitvoeren ervan. Zie Beveiligingsaan aanbeveling voor meer informatie.

Beveiligingsbeleid

Op het tabblad Beveiligingsbeleid ziet u het beveiligingsbeleid voor eindpunten dat op het apparaat wordt toegepast. U ziet een lijst met beleidsregels, type, status en laatste inchecktijd. Als u de naam van een beleid selecteert, gaat u naar de pagina met beleidsdetails, waar u de status van de beleidsinstellingen, toegepaste apparaten en toegewezen groepen kunt zien.

Software-inventaris

Op het tabblad Software-inventaris kunt u software op het apparaat bekijken, samen met eventuele zwakke punten of bedreigingen. Als u de naam van de software selecteert, gaat u naar de pagina met softwaredetails, waar u beveiligingsaanbeveling, gedetecteerde beveiligingsproblemen, geïnstalleerde apparaten en versiedistributie kunt bekijken. Zie Software-inventaris voor meer informatie.

Gedetecteerde beveiligingsproblemen

Op het tabblad Gedetecteerde beveiligingsproblemen ziet u de naam, ernst en bedreigingsinformatie van gedetecteerde beveiligingsproblemen op het apparaat. Als u een specifiek beveiligingsprobleem selecteert, ziet u een beschrijving en details.

Ontbrekende KB's

Het tabblad Ontbrekende KB's bevat de ontbrekende beveiligingsupdates voor het apparaat.

Kaarten

Actieve waarschuwingen

De Azure Advanced Threat Protection-kaart geeft een overzicht van waarschuwingen op hoog niveau weer met betrekking tot het apparaat en het risiconiveau ervan, als u de functie Microsoft Defender for Identity gebruikt en er actieve waarschuwingen zijn. Meer informatie vindt u in de inzoom op waarschuwingen .

Opmerking

U moet de integratie inschakelen op zowel Microsoft Defender for Identity als Defender voor Eindpunt om deze functie te kunnen gebruiken. In Defender voor Eindpunt kunt u deze functie inschakelen in geavanceerde functies. Zie Geavanceerde functies inschakelen voor meer informatie over het inschakelen van geavanceerde functies.

Aangemelde gebruikers

Op de kaart Aangemelde gebruikers ziet u hoeveel gebruikers zich hebben aangemeld in de afgelopen 30 dagen, samen met de meest en minst frequente gebruikers. Als u de koppeling Alle gebruikers weergeven selecteert, wordt het detailvenster geopend, waarin informatie wordt weergegeven, zoals gebruikerstype, aanmeldingstype en wanneer de gebruiker voor het eerst en voor het laatst is gezien. Zie Gebruikersentiteiten onderzoeken voor meer informatie.

Opmerking

De waarde van de meest voorkomende gebruiker wordt alleen berekend op basis van bewijs van gebruikers die zich interactief hebben aangemeld. In het zijdeelvenster Alle gebruikers worden echter allerlei gebruikersaanmeldingen berekend, zodat er naar verwachting vaker gebruikers in het zijvenster worden weergegeven, aangezien deze gebruikers mogelijk niet interactief zijn.

Beveiligingsevaluaties

De kaart Beveiligingsevaluaties toont het algehele blootstellingsniveau, beveiligingsaanbevelingen, geïnstalleerde software en gedetecteerde beveiligingsproblemen. Het blootstellingsniveau van een apparaat wordt bepaald door de cumulatieve impact van de in behandeling zijnde beveiligingsaanbeveling.

Status van apparaat

Op de kaart Status van apparaat ziet u een samengevat statusrapport voor het specifieke apparaat. Een van de volgende berichten wordt boven aan de kaart weergegeven om de algehele status van het apparaat aan te geven (vermeld in volgorde van hoogste naar laagste prioriteit):

• Defender Antivirus niet actief
• Beveiligingsinformatie is niet up-to-date
• Engine is niet up-to-date
• Snelle scan is mislukt
• Volledige scan is mislukt
• Platform is niet up-to-date
• Updatestatus van beveiligingsinformatie is onbekend
• Updatestatus van engine is onbekend
• Status van snelle scan is onbekend
• Volledige scanstatus is onbekend
• Status van platformupdate is onbekend
• Apparaat is up-to-date
• Status niet beschikbaar voor macOS & Linux

Andere informatie op de kaart bevat: de laatste volledige scan, de laatste snelle scan, de updateversie van de beveiligingsinformatie, de versie van de engine-update, de versie van het platformupdate en de Defender Antivirus-modus.

Een grijze cirkel geeft aan dat de gegevens onbekend zijn.

Opmerking

Het algemene statusbericht voor macOS- en Linux-apparaten wordt momenteel weergegeven als 'Status niet beschikbaar voor macOS & Linux'. Op dit moment is het statusoverzicht alleen beschikbaar voor Windows-apparaten. Alle andere informatie in de tabel is bijgewerkt om de afzonderlijke statussen van elk apparaatstatussignaal voor alle ondersteunde platforms weer te geven.

Als u een uitgebreide weergave van het rapport over de apparaatstatus wilt krijgen, gaat u naar Rapporten Apparaatstatus>. Zie Rapport apparaatstatus en naleving in Microsoft Defender voor Eindpunt voor meer informatie.

Opmerking

De datum en tijd voor de Defender Antivirus-modus zijn momenteel niet beschikbaar.

Verwante artikelen

• De wachtrij Microsoft Defender voor Eindpunt waarschuwingen weergeven en organiseren
• Microsoft Defender voor Eindpunt-waarschuwingen beheren
• Microsoft Defender voor Eindpunt-waarschuwingen onderzoeken
• Een bestand onderzoeken dat is gekoppeld aan een Defender for Endpoint-waarschuwing
• Een IP-adres onderzoeken dat is gekoppeld aan een Defender for Endpoint-waarschuwing
• Een domein onderzoeken dat is gekoppeld aan een Defender for Endpoint-waarschuwing
• Een gebruikersaccount onderzoeken in Defender voor Eindpunt
• Aanbeveling voor beveiliging
• Software-inventaris

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.