Defender for Identity-beveiligingswaarschuwingen in Microsoft 365 Defender

In dit artikel worden de basisbeginselen uitgelegd van het werken met Microsoft Defender for Identity beveiligingswaarschuwingen in Microsoft 365 Defender.

Defender for Identity-waarschuwingen zijn systeemeigen geïntegreerd in Microsoft 365 Defender met een speciale indeling voor de identiteitswaarschuwingspagina.

De pagina Identiteitswaarschuwingen biedt Microsoft Defender for Identity klanten betere verrijking van signalen tussen domeinen en nieuwe mogelijkheden voor geautomatiseerde identiteitsreacties. Het zorgt ervoor dat u veilig blijft en helpt de efficiëntie van uw beveiligingsbewerkingen te verbeteren.

Een van de voordelen van het onderzoeken van waarschuwingen via Microsoft 365 Defender is dat Microsoft Defender for Identity waarschuwingen verder worden gecorreleerd met informatie die is verkregen van elk van de andere producten in de suite. Deze verbeterde waarschuwingen zijn consistent met de andere Microsoft 365 Defender waarschuwingsindelingen die afkomstig zijn van Microsoft Defender voor Office 365 en Microsoft Defender voor Eindpunt. De nieuwe pagina elimineert de noodzaak om naar een andere productportal te navigeren om waarschuwingen te onderzoeken die zijn gekoppeld aan identiteit.

Waarschuwingen die afkomstig zijn van Defender for Identity kunnen nu de Microsoft 365 Defender mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) activeren, waaronder het automatisch herstellen van waarschuwingen en het beperken van hulpprogramma's en processen die kunnen bijdragen aan de verdachte activiteit.

Belangrijk

Als onderdeel van de convergentie met Microsoft 365 Defender zijn sommige opties en details gewijzigd van hun locatie in de Defender for Identity-portal. Lees de onderstaande details om te ontdekken waar u zowel de vertrouwde als nieuwe functies kunt vinden.

Beveiligingswaarschuwingen controleren

Waarschuwingen kunnen worden geopend vanaf meerdere locaties, waaronder de pagina Waarschuwingen , de pagina Incidenten , de pagina's van afzonderlijke apparaten en vanaf de pagina Geavanceerde opsporing . In dit voorbeeld bekijken we de pagina Waarschuwingen.

Ga in Microsoft 365 Defender naar Waarschuwingen voor incidenten & en vervolgens naar Waarschuwingen.

Als u waarschuwingen van Defender for Identity wilt zien, selecteert u rechtsboven Filter en selecteert u vervolgens onder ServicebronnenMicrosoft Defender for Identity en selecteert u Toepassen:

De waarschuwingen worden weergegeven met informatie in de volgende kolommen: Waarschuwingsnaam, Tags, Ernst, Onderzoeksstatus, Status, Categorie, Detectiebron, Beïnvloede assets, Eerste activiteit en Laatste activiteit.

Categorieën van beveiligingswaarschuwingen

Beveiligingswaarschuwingen van Defender for Identity zijn onderverdeeld in de volgende categorieën of fasen, zoals de fasen die worden gezien in een typische kill-chain voor cyberaanvallen.

• Waarschuwingen voor verkenningen
• Waarschuwingen voor verdachte referenties
• Waarschuwingen voor zijdelingse verplaatsing
• Waarschuwingen voor domeindominantie
• Waarschuwingen voor gegevensoverdracht

Waarschuwingen beheren

Als u de naam van de waarschuwing selecteert voor een van de waarschuwingen, gaat u naar de pagina met details over de waarschuwing. In het linkerdeelvenster ziet u een overzicht van Wat is er gebeurd:

Boven het vak Wat is er gebeurd staan knoppen voor de accounts, doelhost en bronhost van de waarschuwing. Voor andere waarschuwingen ziet u mogelijk knoppen voor meer informatie over extra hosts, accounts, IP-adressen, domeinen en beveiligingsgroepen. Selecteer een van deze voor meer informatie over de betrokken entiteiten.

In het rechterdeelvenster ziet u de details van de waarschuwing. Hier ziet u meer details en voert u verschillende taken uit:

• Deze waarschuwing classificeren : hier kunt u deze waarschuwing aanwijzen als een waarschuwing waar of onwaar

  

• Waarschuwingsstatus : in Classificatie instellen kunt u de waarschuwing classificeren als Waar of Onwaar. In Toegewezen aan kunt u de waarschuwing aan uzelf toewijzen of de toewijzing opheffen.

  

• Waarschuwingsdetails : onder Waarschuwingsdetails vindt u meer informatie over de specifieke waarschuwing, volgt u een koppeling naar documentatie over het type waarschuwing, ziet u aan welk incident de waarschuwing is gekoppeld, bekijkt u eventuele geautomatiseerde onderzoeken die zijn gekoppeld aan dit waarschuwingstype en bekijkt u de betrokken apparaten en gebruikers.

  

• Opmerkingengeschiedenis & : hier kunt u uw opmerkingen toevoegen aan de waarschuwing en de geschiedenis bekijken van alle acties die aan de waarschuwing zijn gekoppeld.

  

• Waarschuwing beheren : als u Waarschuwing beheren selecteert, gaat u naar een deelvenster waar u het volgende kunt bewerken:

  • Status : u kunt Nieuw, Opgelost of Wordt uitgevoerd kiezen.

  • Classificatie : u kunt waar ofonwaar kiezen.

  • Opmerking : u kunt een opmerking over de waarschuwing toevoegen.

    Als u de drie puntjes naast Waarschuwing beheren selecteert, kunt u waarschuwing koppelen aan een ander incident, Onderdrukkingsregel maken of Defender-experts vragen.

    

    U kunt de waarschuwing ook exporteren naar een Excel-bestand. Selecteer exporteren om dit te doen .

    Notitie

    In het Excel-bestand zijn nu twee koppelingen beschikbaar: Weergeven in Microsoft Defender for Identity en Weergeven in Microsoft 365 Defender. Elke koppeling brengt u naar de relevante portal en geeft daar informatie over de waarschuwing.

Zie ook

• Microsoft Defender for Identity beveiligingswaarschuwingen

Lees meer

• Probeer onze interactieve handleiding: Verdachte activiteiten en mogelijke aanvallen detecteren met Microsoft Defender for Identity