Delen via

Beveiligingswaarschuwingen weergeven en beheren

De waarschuwingswachtrij toont een lijst met waarschuwingen die zijn gemarkeerd vanuit identiteiten in uw netwerk. Standaard worden in de wachtrij waarschuwingen weergegeven in de afgelopen zeven dagen in een gegroepeerde weergave. De meest recente waarschuwingen worden bovenaan de lijst weergegeven, zodat u eerst de meest recente waarschuwingen kunt zien.

De waarschuwingswachtrij weergeven

Ga in de Microsoft Defender-portal naar Incidenten & waarschuwingen en vervolgens naar Waarschuwingen.

Waarschuwingen van de afgelopen zeven dagen worden weergegeven met de volgende informatie:

  • Waarschuwingsnaam
  • Tags
  • Ernst
  • Onderzoeksstatus
  • Status
  • Categorie
  • Detectiebron
  • Beïnvloede assets
  • Eerste activiteit
  • Laatste activiteit

Schermopname van de pagina Waarschuwingen in de Defender-portal. Twee waarschuwingen met de naam Vermoedelijke brute-force worden weergegeven met volledige waarschuwingsdetails.

De weergave van de waarschuwingswachtrij aanpassen

U kunt de weergave van de waarschuwingswachtrij op een aantal manieren aanpassen. Met behulp van de hulpprogramma's bovenaan de pagina kunt u het volgende doen:

  • Pas de weergave aan om kolommen toe te voegen of te verwijderen.
  • Filters toepassen.
  • Pas de duur aan. Geef de waarschuwingen weer voor een bepaalde duur, zoals 1 dag, 3 dagen, 1 week, 30 dagen en 6 maanden.
  • Exporteer een gedetailleerd Excel-rapport voor analyse.

De weergave waarschuwingen filteren

U kunt de volgende filters toepassen om een meer gerichte weergave van de waarschuwingen te krijgen.

Waarschuwing Beschrijving
Ernst De ernst van de waarschuwing is gebaseerd op verschillende factoren, waaronder de toegang die de aanvaller kan hebben, de mogelijke impact als de aanval slaagt en de kans dat de waarschuwing positief is. Zie Naamtoewijzing van beveiligingswaarschuwingen en unieke externe id's voor een volledige lijst met waarschuwingstypen en de bijbehorende toegewezen ernstniveaus.
Status U kunt ervoor kiezen om de lijst met waarschuwingen te filteren op basis van hun status. U kunt bijvoorbeeld filteren om alleen waarschuwingen weer te geven die Nieuw, In uitvoering of Opgelost zijn.
Detectiebronnen U kunt de waarschuwingen filteren op basis van de volgende detectiebronnen: Microsoft Defender for Identity of Microsoft Defender XDR
Tags U kunt de waarschuwingen filteren op basis van tags die zijn toegewezen aan waarschuwingen.

Een waarschuwing weergeven

U hebt toegang tot afzonderlijke waarschuwingen vanaf meerdere locaties door de naam van de waarschuwing te selecteren in een van de volgende opties:

  • De pagina Waarschuwingen
  • De pagina Incidenten
  • De pagina Identiteiten
  • De pagina's van afzonderlijke apparaten
  • De pagina Geavanceerde opsporing

De pagina Waarschuwingen

De pagina waarschuwingen biedt context in de waarschuwing door aanvalssignalen en waarschuwingen met betrekking tot de geselecteerde waarschuwing te combineren om een gedetailleerd waarschuwingsverhaal samen te stellen. Op de pagina Waarschuwingen kunt u waarschuwingen snel sorteren, onderzoeken en er effectieve actie op ondernemen.

Opmerking

Microsoft Defender for Identity waarschuwingen worden momenteel in twee verschillende indelingen weergegeven in de Microsoft Defender-portal. Hoewel in de waarschuwingsweergaven verschillende informatie wordt weergegeven, zijn alle waarschuwingen gebaseerd op verzamelde gegevens van Defender for Identity. De verschillen in indeling en informatie die worden weergegeven, maken deel uit van een doorlopende overgang naar een uniforme waarschuwingservaring voor Microsoft Defender producten.

Als u waarschuwingen van zowel Defender for Identity als Defender XDR wilt weergeven, selecteert u Filteren, kiest u vervolgens onderServicebronnen Microsoft Defender for Identity en Defender XDR en selecteert u Toepassen:

Schermopname van het filtermenu voor waarschuwingen per service.

Microsoft Defender for Identity waarschuwingen

Boven aan de pagina ziet u secties voor de accounts, doelhost en bronhost van de waarschuwing. Afhankelijk van de waarschuwing ziet u mogelijk details over extra hosts, accounts, IP-adressen, domeinen en beveiligingsgroepen. Selecteer een van deze entiteiten voor meer informatie over de betrokken entiteiten.

  • De sectie Waarschuwingsverhaal bevat informatie voor een volledig verhaal met de details van de waarschuwing. Het waarschuwingsverhaal is onderverdeeld in twee secties:
    • Wat er is gebeurd , omvat de tijdlijn van de waarschuwing en de entiteiten die bij de waarschuwing betrokken zijn.
    • Waarschuwingsgrafiek biedt een visuele weergave van de waarschuwing, inclusief de entiteiten die betrokken zijn bij de waarschuwing en hun relaties. De grafiek helpt u inzicht te krijgen in hoe de entiteiten zijn verbonden en hoe ze zich verhouden tot de waarschuwing.
  • Belangrijke informatie biedt technische context die waarschuwingsonderzoek ondersteunt. U kunt deze informatie gebruiken om te valideren of de activiteit verwacht of verdacht was en om te bepalen welke acties u moet ondernemen om het incident te onder controle te houden of te escaleren.
  • Activiteitsdetails bevatten gedetailleerde informatie, waaronder de tijdstempel, het basisobject, het zoekbereik en andere details over de waarschuwing.
  • Het detailvenster aan de rechterkant van de pagina bevat aanvullende informatie over de waarschuwing, waaronder de waarschuwingsdetails, Opmerkingen & geschiedenis. Het detailvenster bevat ook aanvullende opties, zoals:
    • Waarschuwing beheren
    • Waarschuwing exporteren
    • Waarschuwing verplaatsen naar een ander incident
    • Een waarschuwing classificeren

Schermopname van de waarschuwingsstructuur van Defender for Identity.

Microsoft Defender XDR waarschuwingen

Boven aan de pagina ziet u secties voor de accounts, doelhost en bronhost van de waarschuwing. Afhankelijk van de waarschuwing ziet u mogelijk knoppen voor meer informatie over extra hosts, accounts, IP-adressen, domeinen en beveiligingsgroepen. Selecteer een van deze entiteiten voor meer informatie over de betrokken entiteiten.

  • De sectie Waarschuwingsverhaal bevat informatie voor een volledig verhaal met de details van de waarschuwing. Het waarschuwingsverhaal is onderverdeeld in twee secties:
    • Wat er is gebeurd , omvat de tijdlijn van de waarschuwing en de entiteiten die bij de waarschuwing betrokken zijn.
  • Het detailvenster aan de rechterkant van de pagina bevat aanvullende informatie over de waarschuwing, waaronder de waarschuwingsdetails, Opmerkingen & geschiedenis. Het detailvenster bevat ook aanvullende opties, zoals:
    • Waarschuwing beheren
    • Waarschuwing verplaatsen naar een ander incident
    • Een waarschuwing classificeren

Schermopname van de waarschuwingsstructuur van Defender voor XDR

Beveiligingswaarschuwingen beheren

Als u een waarschuwing selecteert, wordt het deelvenster Waarschuwingsbeheer geopend, waar u de volgende acties kunt uitvoeren:

De status van een waarschuwing wijzigen

U kunt waarschuwingen categoriseren als Nieuw, Wordt uitgevoerd of Opgelost door hun status te wijzigen naarmate uw onderzoek vordert. Hiermee kunt u organiseren en beheren hoe uw team kan reageren op waarschuwingen. Een teamleider kan bijvoorbeeld alle nieuwe waarschuwingen bekijken en besluiten deze toe te wijzen aan de wachtrij In uitvoering voor verdere analyse. De teamleider kan de waarschuwing toewijzen aan de wachtrij Opgelost als deze weet dat de waarschuwing goedaardig is of afkomstig is van een apparaat dat niet relevant is (zoals een apparaat dat eigendom is van een beveiligingsbeheerder) of dat wordt afgehandeld via een eerdere waarschuwing.

Een waarschuwing verplaatsen naar een ander incident

U kunt een nieuw incident maken vanuit de waarschuwing of een koppeling naar een bestaand incident.

Schermopname van de optie om een waarschuwing te verplaatsen naar een ander incident.

Waarschuwingen toewijzen

Als er nog geen waarschuwing is toegewezen, kunt u Toewijzen aan mij selecteren om de waarschuwing aan uzelf toe te wijzen.

Schermopname die laat zien hoe u een waarschuwing aan uzelf toewijst.

Opmerkingen toevoegen aan een waarschuwing

U kunt opmerkingen toevoegen aan een waarschuwing om aanvullende context of informatie te bieden. Dit is handig voor het delen van inzichten met uw team of het documenteren van uw onderzoeksproces. Wanneer er een wijziging of opmerking wordt aangebracht in een waarschuwing, wordt deze vastgelegd in de sectie Opmerkingen en geschiedenis.

Schermopname van de sectie Opmerkingen & geschiedenis in de Microsoft Defender portal. Er is een tekstvak beschikbaar voor het invoeren van opmerkingen.

Beveiligingswaarschuwingen classificeren

Stel voor elke waarschuwing de volgende vragen om de waarschuwingsclassificatie te bepalen en te bepalen wat er nu moet worden uitgevoerd:

  1. Is de beveiligingswaarschuwing een TP, B-TP of FP?
  2. Hoe gebruikelijk is deze specifieke beveiligingswaarschuwing in uw omgeving?
  3. Is de waarschuwing geactiveerd door dezelfde typen computers of gebruikers? Bijvoorbeeld servers met dezelfde rol of gebruikers uit dezelfde groep/afdeling? Als de computers of gebruikers vergelijkbaar waren, kunt u besluiten om deze uit te sluiten om extra toekomstige FP-waarschuwingen te voorkomen.

Na het juiste onderzoek kunnen alle beveiligingswaarschuwingen van Defender for Identity worden geclassificeerd als een van de volgende activiteitstypen:

  • True positive (TP): een schadelijke actie die is gedetecteerd door Defender for Identity.

  • Benign true positive (B-TP): een actie die is gedetecteerd door Defender for Identity die echt is, maar niet schadelijk, zoals een penetratietest of bekende activiteit die wordt gegenereerd door een goedgekeurde toepassing.

  • Fout-positief (FP): een vals alarm, wat betekent dat de activiteit niet is uitgevoerd.

Schermopname die laat zien hoe u een waarschuwing classificeert als een waarschuwing waar of onwaar.

Opmerking

Een toename van waarschuwingen van exact hetzelfde type vermindert doorgaans het verdachte/urgentieniveau van de waarschuwing. Voor herhaalde waarschuwingen controleert u de configuraties en gebruikt u details en definities van beveiligingswaarschuwingen om precies te begrijpen wat er gebeurt, waardoor de herhalingen worden geactiveerd.

Waarschuwingen afstemmen

Stem uw waarschuwingen af om ze aan te passen en te optimaliseren, waardoor fout-positieven worden verminderd. Met het afstemmen van waarschuwingen kunnen uw SOC-teams zich richten op waarschuwingen met hoge prioriteit en de dekking van bedreigingsdetectie in uw systeem verbeteren. Maak in Microsoft Defender XDR regelvoorwaarden op basis van bewijstypen en pas de regel vervolgens toe op elk regeltype dat overeenkomt met uw voorwaarden.

Zie Een waarschuwing afstemmen voor meer informatie.

Verwante onderwerpen

  • Last updated on