Herstelacties na een geautomatiseerd onderzoek beoordelen

Van toepassing op:

• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender voor Bedrijven

Herstelacties

Wanneer een geautomatiseerd onderzoek wordt uitgevoerd, wordt een vonnis gegenereerd voor elk onderzocht bewijsstuk. Vonnissen kunnen Kwaadwillend, Verdacht of Geen bedreigingen gevonden zijn.

Afhankelijk van

• het type bedreiging,
• het resulterende oordeel, en
• hoe de apparaatgroepen van uw organisatie zijn geconfigureerd,

herstelacties kunnen automatisch plaatsvinden of alleen na goedkeuring door het beveiligingsteam van uw organisatie.

Opmerking

Het maken van een apparaatgroep wordt ondersteund in Defender for Endpoint Plan 1 en Plan 2.

Hier volgen enkele voorbeelden:

• Voorbeeld 1: De apparaatgroepen van Fabrikam zijn ingesteld op Volledig - bedreigingen automatisch herstellen (de aanbevolen instelling). In dit geval worden herstelacties automatisch uitgevoerd voor artefacten die als schadelijk worden beschouwd na een geautomatiseerd onderzoek (zie Voltooide acties controleren).

• Voorbeeld 2: de apparaten van Contoso zijn opgenomen in een apparaatgroep die is ingesteld op Semi- goedkeuring is vereist voor herstel. In dit geval moet het beveiligingsteam van Contoso alle herstelacties controleren en goedkeuren na een geautomatiseerd onderzoek (zie Acties in behandeling controleren).

• Voorbeeld 3: Tailspin Toys heeft de apparaatgroepen ingesteld op Geen geautomatiseerd antwoord (niet aanbevolen). In dit geval vinden er geen geautomatiseerde onderzoeken plaats. Er worden geen herstelacties uitgevoerd of in behandeling genomen en er worden geen acties vastgelegd in het Actiecentrum voor hun apparaten (zie Apparaatgroepen beheren).

Een geautomatiseerd onderzoek en herstel kan resulteren in een of meer van de herstelacties, ongeacht of deze automatisch of na goedkeuring worden uitgevoerd:

• Een bestand in quarantaine plaatsen
• Een registersleutel verwijderen
• Een proces beëindigen
• Een service stoppen
• Een stuurprogramma uitschakelen
• Een geplande taak verwijderen

In behandeling zijnde acties controleren

1. Ga naar de Microsoft Defender-portal en meld u aan.

2. Kies Actiecentrum in het navigatiedeelvenster.

3. Controleer de items op het tabblad In behandeling .

4. Selecteer een actie om het flyoutvenster te openen.

5. Controleer in het flyoutvenster de informatie en voer een van de volgende stappen uit:

   • Selecteer Onderzoekspagina openen voor meer informatie over het onderzoek.
   • Selecteer Goedkeuren om een actie in behandeling te starten.
   • Selecteer Weigeren om te voorkomen dat een actie in behandeling wordt uitgevoerd.
   • Selecteer Ga zoeken om naar Geavanceerde opsporing te gaan.

Herstelacties goedkeuren of afwijzen

Voor incidenten met de herstelstatus Goedkeuring in behandeling, kunt u ook een herstelactie goedkeuren of weigeren vanuit het incident.

1. Ga in het navigatiedeelvenster naar Incidenten & waarschuwingen>Incidenten.
2. Filter op actie In behandeling voor de status Geautomatiseerd onderzoek (optioneel).
3. Selecteer de naam van een incident om de overzichtspagina te openen.
4. Selecteer het tabblad Bewijs en antwoord .
5. Selecteer een item in de lijst om het flyoutvenster te openen.
6. Bekijk de informatie en voer een van de volgende stappen uit:
   • Selecteer de optie In behandeling goedkeuren om een actie in behandeling te starten.
   • Selecteer de optie Actie in behandeling weigeren om te voorkomen dat een actie in behandeling wordt uitgevoerd.

Voltooide acties controleren

1. Ga naar de Microsoft Defender-portal en meld u aan.

2. Kies Actiecentrum in het navigatiedeelvenster.

3. Controleer de items op het tabblad Geschiedenis .

4. Selecteer een item om meer details over die herstelactie weer te geven.

Voltooide acties ongedaan maken

Als u hebt vastgesteld dat een apparaat of bestand geen bedreiging vormt, kunt u herstelacties ongedaan maken die zijn uitgevoerd, ongeacht of deze acties automatisch of handmatig zijn uitgevoerd. In het Actiecentrum kunt u op het tabblad Geschiedenis een van de volgende acties ongedaan maken:

Actiebron	Ondersteunde acties
Geautomatiseerd onderzoek Handmatige antwoordacties (zie de opmerking hieronder) Microsoft Defender Antivirus	Een stuurprogramma uitschakelen Apparaat isoleren Een bestand in quarantaine plaatsen Een registersleutel verwijderen Een geplande taak verwijderen Uitvoering van code beperken Een service stoppen

Opmerking

Defender voor Eindpunt-abonnement 1 en Microsoft Defender voor Bedrijven bevatten alleen de volgende handmatige antwoordacties:

• Antivirusscan uitvoeren
• Apparaat isoleren
• Een bestand stoppen en in quarantaine plaatsen
• Een indicator toevoegen om een bestand te blokkeren of toe te staan

Meerdere acties tegelijk ongedaan maken

1. Ga naar het actiecentrum (https://security.microsoft.com/action-center) en meld u aan.

2. Selecteer op het tabblad Geschiedenis de acties die u ongedaan wilt maken. Zorg ervoor dat u items selecteert die hetzelfde actietype hebben. Er wordt een flyoutvenster geopend.

3. Selecteer Ongedaan maken in het flyoutvenster.

Een bestand uit quarantaine verwijderen op meerdere apparaten

1. Ga naar het actiecentrum (https://security.microsoft.com/action-center) en meld u aan.

2. Selecteer op het tabblad Geschiedenis een item met het bestand Actietype Quarantaine.

3. Selecteer in het flyoutvenster Toepassen op X meer exemplaren van dit bestand en selecteer vervolgens Ongedaan maken.

Automatiseringsniveaus, geautomatiseerde onderzoeksresultaten en resulterende acties

Automatiseringsniveaus zijn van invloed op het feit of bepaalde herstelacties automatisch of alleen na goedkeuring worden uitgevoerd. Soms moet uw beveiligingsteam meer stappen uitvoeren, afhankelijk van de resultaten van een geautomatiseerd onderzoek. De volgende tabel bevat een overzicht van automatiseringsniveaus, resultaten van geautomatiseerde onderzoeken en wat er in elk geval moet worden gedaan.

Instelling apparaatgroep	Geautomatiseerde onderzoeksresultaten	Wat moet u doen?
Volledig - bedreigingen automatisch herstellen (aanbevolen)	Er wordt een vonnis van Kwaadwillendheid bereikt voor een stuk bewijs. De juiste herstelacties worden automatisch uitgevoerd.	Voltooide acties controleren
Semi - goedkeuring vereisen voor herstel	Er wordt een vonnis van Kwaadwillend of Verdacht bereikt voor een stuk bewijs. Herstelacties zijn in afwachting van goedkeuring om door te gaan.	In behandeling zijnde acties goedkeuren (of weigeren)
Semi- goedkeuring vereisen voor herstel van kernmappen	Er wordt een vonnis van Kwaadwillendheid bereikt voor een stuk bewijs. Als het artefact een bestand of uitvoerbaar is en zich in een map van het besturingssysteem bevindt, zoals de map Windows of de map Programmabestanden, zijn herstelacties in afwachting van goedkeuring. Als het artefact zich niet in een map van een besturingssysteem bevindt, worden herstelacties automatisch uitgevoerd.	In behandeling zijnde acties goedkeuren (of weigeren) Voltooide acties controleren
Semi- goedkeuring vereisen voor herstel van kernmappen	Er wordt een vonnis van Verdacht bereikt voor een stuk bewijs. Herstelacties zijn in afwachting van goedkeuring.	In behandeling zijnde acties goedkeuren (of weigeren).
Semi- goedkeuring vereisen voor herstel van niet-tijdelijke mappen	Er wordt een vonnis van Kwaadwillendheid bereikt voor een stuk bewijs. Als het artefact een bestand of uitvoerbaar bestand is dat zich niet in een tijdelijke map bevindt, zoals de downloadmap of tijdelijke map van de gebruiker, zijn herstelacties in afwachting van goedkeuring. Als het artefact een bestand of uitvoerbaar bestand is dat zich in een tijdelijke map bevindt , worden herstelacties automatisch uitgevoerd.	In behandeling zijnde acties goedkeuren (of weigeren) Voltooide acties controleren
Semi- goedkeuring vereisen voor herstel van niet-tijdelijke mappen	Er wordt een vonnis van Verdacht bereikt voor een stuk bewijs. Herstelacties zijn in afwachting van goedkeuring.	In behandeling zijnde acties goedkeuren (of weigeren)
Een van de volledige of semi-automatiseringsniveaus	Er wordt een uitspraak gedaan over Geen bedreigingen gevonden voor een stuk bewijs. Er worden geen herstelacties uitgevoerd en er zijn geen acties in afwachting van goedkeuring.	Gegevens en resultaten van een geautomatiseerd onderzoek weergeven
Geen geautomatiseerd antwoord (niet aanbevolen)	Er worden geen geautomatiseerde onderzoeken uitgevoerd, dus er worden geen vonnissen bereikt en er worden geen herstelacties uitgevoerd of wachten op goedkeuring.	Overweeg om uw apparaatgroepen in te stellen of te wijzigen voor volledige of semi-automatisering

Alle vonnissen worden bijgehouden in het actiecentrum.

Opmerking

In Defender voor Bedrijven zijn de mogelijkheden voor geautomatiseerd onderzoek en herstel vooraf ingesteld om Volledig te gebruiken : bedreigingen automatisch herstellen. Deze mogelijkheden worden standaard toegepast op alle apparaten.

Volgende stappen

• Meer informatie over mogelijkheden voor liverespons
• Proactief op bedreigingen jagen met geavanceerde opsporing
• Actie ondernemen voor fout-positieven/-negatieven in Microsoft Defender voor Eindpunt

Zie ook

• Overzicht van geautomatiseerde onderzoeken

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.