Delen via


Defender for Identity-beveiligingswaarschuwingen onderzoeken in Microsoft Defender XDR

Notitie

Defender for Identity is niet ontworpen als een controle- of logboekregistratieoplossing die elke bewerking of activiteit vastlegt op de servers waarop de sensor is geïnstalleerd. Hiermee worden alleen de gegevens vastgelegd die nodig zijn voor de detectie- en aanbevelingsmechanismen.

In dit artikel worden de basisbeginselen uitgelegd van het werken met beveiligingswaarschuwingen van Microsoft Defender for Identity in Microsoft Defender XDR.

Defender for Identity-waarschuwingen zijn systeemeigen geïntegreerd in Microsoft Defender XDR met een speciale indeling voor identiteitswaarschuwingen.

De pagina Identiteitswaarschuwing biedt Klanten van Microsoft Defender for Identity betere verrijking van domeinen en nieuwe mogelijkheden voor automatische identiteitsreacties. Het zorgt ervoor dat u veilig blijft en helpt de efficiëntie van uw beveiligingsbewerkingen te verbeteren.

Een van de voordelen van het onderzoeken van waarschuwingen via Microsoft Defender XDR is dat Microsoft Defender for Identity-waarschuwingen verder worden gecorreleerd met informatie die is verkregen uit elk van de andere producten in de suite. Deze verbeterde waarschuwingen zijn consistent met de andere Microsoft Defender XDR-waarschuwingsindelingen die afkomstig zijn van Microsoft Defender voor Office 365 en Microsoft Defender voor Eindpunt. De nieuwe pagina elimineert de noodzaak om naar een andere productportal te navigeren om waarschuwingen te onderzoeken die zijn gekoppeld aan identiteit.

Waarschuwingen die afkomstig zijn van Defender for Identity kunnen nu de mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) van Microsoft Defender XDR activeren, waaronder het automatisch herstellen van waarschuwingen en het beperken van hulpprogramma's en processen die kunnen bijdragen aan de verdachte activiteit.

Belangrijk

Als onderdeel van de convergentie met Microsoft Defender XDR zijn sommige opties en details gewijzigd van hun locatie in de Defender for Identity-portal. Lees de onderstaande details om te ontdekken waar u zowel de vertrouwde als de nieuwe functies kunt vinden.

Beveiligingswaarschuwingen controleren

Waarschuwingen kunnen worden geopend vanaf meerdere locaties, waaronder de pagina Waarschuwingen , de pagina Incidenten , de pagina's van afzonderlijke apparaten en vanaf de pagina Geavanceerde opsporing . In dit voorbeeld bekijken we de pagina Waarschuwingen.

Ga in Microsoft Defender XDR naar Incidenten en waarschuwingen en vervolgens naar Waarschuwingen.

Het menu-item Waarschuwingen

Als u waarschuwingen van Defender for Identity wilt zien, selecteert u rechtsboven Filter en selecteert u onder Servicebronnen Microsoft Defender for Identity en selecteert u Toepassen:

Het filter voor de Defender for Identity-gebeurtenissen

De waarschuwingen worden weergegeven met informatie in de volgende kolommen: Waarschuwingsnaam, Tags, Ernst, Onderzoek, Status, Categorie, Detectiebron, Beïnvloede assets, Eerste activiteit en Laatste activiteit.

Gebeurtenissen van Defender for Identity

Beveiligingswaarschuwingscategorieën

Defender for Identity-beveiligingswaarschuwingen zijn onderverdeeld in de volgende categorieën of fasen, zoals de fasen die worden gezien in een typische kill chain voor cyberaanvallen.

Waarschuwingen beheren

Als u de naam van de waarschuwing voor een van de waarschuwingen selecteert, gaat u naar de pagina met details over de waarschuwing. In het linkerdeelvenster ziet u een samenvatting van wat er is gebeurd:

Het deelvenster Wat is er gebeurd

Boven het vak Wat is er gebeurd, zijn knoppen voor de accounts, doelhost en bronhost van de waarschuwing. Voor andere waarschuwingen ziet u mogelijk knoppen voor meer informatie over aanvullende hosts, accounts, IP-adressen, domeinen en beveiligingsgroepen. Selecteer een van deze entiteiten voor meer informatie over de betrokken entiteiten.

In het rechterdeelvenster ziet u de details van de waarschuwing. Hier ziet u meer details en voert u verschillende taken uit:

  • Deze waarschuwing classificeren: hier kunt u deze waarschuwing aanwijzen als een echte waarschuwing of een onwaar-waarschuwing

    De pagina waarop u een waarschuwing kunt classificeren

  • Waarschuwingsstatus : in Classificatie instellen kunt u de waarschuwing classificeren als Waar of Onwaar. In Toegewezen aan kunt u de waarschuwing toewijzen aan uzelf of de toewijzing ervan ongedaan maken.

    Het deelvenster Waarschuwingsstatus

  • Waarschuwingsdetails - Onder Waarschuwingsdetails vindt u meer informatie over de specifieke waarschuwing, volgt u een koppeling naar documentatie over het type waarschuwing, bekijkt u aan welk incident de waarschuwing is gekoppeld, bekijkt u alle geautomatiseerde onderzoeken die aan dit waarschuwingstype zijn gekoppeld en bekijkt u de betrokken apparaten en gebruikers.

    De pagina Waarschuwingsdetails

  • Opmerkingen en geschiedenis : hier kunt u uw opmerkingen toevoegen aan de waarschuwing en de geschiedenis bekijken van alle acties die aan de waarschuwing zijn gekoppeld.

    De pagina Opmerkingen en geschiedenis

  • Waarschuwing beheren: als u Waarschuwing beheren selecteert, gaat u naar een deelvenster waarmee u het volgende kunt bewerken:

    • Status: u kunt Nieuw, Opgelost of Wordt uitgevoerd kiezen.

    • Classificatie: u kunt een true-waarschuwing of een onwaar-waarschuwing kiezen.

    • Opmerking : u kunt een opmerking toevoegen over de waarschuwing.

    • Als u de drie puntjes naast Waarschuwing beheren selecteert, kunt u een waarschuwing koppelen aan een ander incident, onderdrukkingsregel maken (alleen beschikbaar voor preview-klanten) of Defender-experts vragen.

      De optie Waarschuwing beheren

      U kunt de waarschuwing ook exporteren naar een Excel-bestand. Selecteer Exporteren om dit te doen.

      Notitie

      In het Excel-bestand zijn nu twee koppelingen beschikbaar: Weergeven in Microsoft Defender for Identity and View in Microsoft Defender XDR. Elke koppeling brengt u naar de relevante portal en geeft daar informatie over de waarschuwing.

Waarschuwingen afstemmen

Stem uw waarschuwingen af om ze aan te passen en te optimaliseren, waardoor fout-positieven worden verminderd. Met het afstemmen van waarschuwingen kunnen uw SOC-teams zich richten op waarschuwingen met hoge prioriteit en de dekking voor bedreigingsdetectie in uw systeem verbeteren. Maak in Microsoft Defender XDR regelvoorwaarden op basis van bewijstypen en pas vervolgens uw regel toe op elk regeltype dat overeenkomt met uw voorwaarden.

Zie Een waarschuwing afstemmen voor meer informatie.

Zie ook

Meer informatie