Lezen in het Engels

Delen via


Pagina Apparaatentiteit in Microsoft Defender

De pagina apparaatentiteit in de Microsoft Defender portal helpt u bij het onderzoeken van apparaatentiteiten. De pagina bevat alle belangrijke informatie over een bepaalde apparaatentiteit. Als een waarschuwing of incident aangeeft dat een apparaat zich verdacht gedraagt of mogelijk is gecompromitteerd, onderzoekt u de details van het apparaat om ander gedrag of andere gebeurtenissen te identificeren die mogelijk betrekking hebben op de waarschuwing of het incident en het potentiële bereik van de inbreuk te ontdekken. U kunt ook de pagina apparaatentiteit gebruiken om enkele algemene beveiligingstaken uit te voeren, evenals enkele reactieacties om beveiligingsrisico's te beperken of te verhelpen.

Belangrijk

De inhoudsset die wordt weergegeven op de entiteitspagina van het apparaat kan enigszins verschillen, afhankelijk van de inschrijving van het apparaat in Microsoft Defender voor Eindpunt en Microsoft Defender for Identity.

Als uw organisatie onboarding Microsoft Sentinel naar de Defender-portal heeft uitgevoerd, wordt er aanvullende informatie weergegeven.

In Microsoft Sentinel worden apparaatentiteiten ook wel hostentiteiten genoemd. Meer informatie.

Microsoft Sentinel is algemeen beschikbaar in het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender portal voor meer informatie.

Apparaatentiteiten zijn te vinden in de volgende gebieden:

  • Lijst met apparaten, onder Assets
  • Waarschuwingenwachtrij
  • Elke afzonderlijke waarschuwing/incident
  • Elke afzonderlijke gebruikersentiteitspagina
  • Elke afzonderlijke weergave met bestandsdetails
  • Weergave van IP-adres- of domeindetails
  • Activiteitenlogboek
  • Geavanceerde opsporingsquery's
  • Actiecentrum

U kunt apparaten selecteren wanneer u ze in de portal ziet om de entiteitspagina van het apparaat te openen, waarop meer informatie over het apparaat wordt weergegeven. U kunt bijvoorbeeld de details van apparaten zien die worden vermeld in de waarschuwingen van een incident in de Microsoft Defender-portal op Incidenten & waarschuwingen Assets Apparaten voor incidentenincidenten>>>>.

Schermopname van de pagina Gebruikers voor een incident in de Microsoft Defender portal.

Op de pagina van de apparaatentiteit worden de gegevens weergegeven in een indeling met tabbladen. In dit artikel worden de typen informatie beschreven die beschikbaar zijn op elk tabblad en ook de acties die u op een bepaald apparaat kunt uitvoeren.

De volgende tabbladen worden weergegeven op de pagina van de apparaatentiteit:

Koptekst van entiteitspagina

De bovenste sectie van de entiteitspagina bevat de volgende details:

  • Entiteitsnaam
  • Indicatoren voor ernst, kritiek en apparaatwaarde
  • Tags waarmee het apparaat kan worden geclassificeerd. Kan worden toegevoegd door Defender voor Eindpunt, Defender voor Identiteit of door gebruikers. Tags van Microsoft Defender for Identity kunnen niet worden bewerkt.
  • Hier bevinden zich ook antwoordacties. Lees er hieronder meer over.

Tabblad Overzicht

Het standaardtabblad is Overzicht. Het biedt een beknopt overzicht van de belangrijkste beveiligingsfeit over het apparaat. Het tabblad Overzicht bevat de zijbalk met apparaatdetails en een dashboard met enkele kaarten waarop informatie op hoog niveau wordt weergegeven.

Apparaatdetails

De zijbalk bevat de volledige naam en het blootstellingsniveau van het apparaat. Het biedt ook enkele belangrijke basisinformatie in kleine subsecties, die kunnen worden uitgevouwen of samengevouwen, zoals:

Afdeling Opgenomen informatie
VM-details Machine- en domeinnamen en -id's, statussen en onboardingstatussen, tijdstempels voor het eerst en laatst gezien, IP-adressen en meer
Synchronisatiedetails van DLP-beleid Indien relevant
Configuratiestatus Details met betrekking tot Microsoft Defender voor Eindpunt configuratie
Details van cloudresources Cloudplatform, resource-id, abonnementsgegevens en meer
Hardware en firmware VM-, processor- en BIOS-informatie, en meer
Apparaatbeheer Microsoft Defender voor Eindpunt registratiestatus en beheergegevens
Adreslijstgegevens UAC-vlaggen , SPN's en groepslidmaatschappen.

Dashboard

In het hoofdgedeelte van het tabblad Overzicht ziet u verschillende weergavekaarten van het dashboardtype:

  • Actieve waarschuwingen en risiconiveau met betrekking tot het apparaat in de afgelopen zes maanden, gegroepeerd op ernst
  • Beveiligingsevaluaties en blootstellingsniveau van het apparaat
  • Aangemelde gebruikers op het apparaat in de afgelopen 30 dagen
  • De status van het apparaat en andere informatie over de meest recente scans van het apparaat.

Tip

Het blootstellingsniveau heeft betrekking op de mate waarin het apparaat voldoet aan de beveiligingsaanbeveling, terwijl het risiconiveau wordt berekend op basis van een aantal factoren, waaronder het type en de ernst van actieve waarschuwingen.

Schermopname van het tabblad Overzicht voor de pagina apparaatentiteit in de Microsoft Defender portal.

Tabblad Incidenten en waarschuwingen

Het tabblad Incidenten en waarschuwingen bevat een lijst met incidenten die waarschuwingen bevatten die zijn gegenereerd op het apparaat, afkomstig van een aantal Microsoft Defender detectiebronnen, inclusief, indien onboarding, Microsoft Sentinel. Deze lijst is een gefilterde versie van de wachtrij met incidenten en bevat een korte beschrijving van het incident of de waarschuwing, de ernst (hoog, gemiddeld, laag, informatief), de status in de wachtrij (nieuw, wordt uitgevoerd, opgelost), de classificatie (niet ingesteld, valse waarschuwing, echte waarschuwing), de onderzoeksstatus, de categorie, wie is toegewezen om deze te adresseren en de laatste activiteit die is waargenomen.

U kunt aanpassen welke kolommen voor elk item worden weergegeven. U kunt de waarschuwingen ook filteren op ernst, status of een andere kolom in de weergave.

De kolom betrokken entiteiten verwijst naar alle apparaat- en gebruikersentiteiten waarnaar wordt verwezen in het incident of de waarschuwing.

Wanneer een incident of waarschuwing is geselecteerd, wordt er een fly-out weergegeven. In dit deelvenster kunt u het incident of de waarschuwing beheren en meer details bekijken, zoals incident-/waarschuwingsnummer en gerelateerde apparaten. Er kunnen meerdere waarschuwingen tegelijk worden geselecteerd.

Als u een volledige paginaweergave van een incident of waarschuwing wilt zien, selecteert u de titel ervan.

Schermopname van het tabblad Incidenten en waarschuwingen voor de pagina apparaatentiteit in de Microsoft Defender portal.

Tabblad Tijdlijn

Op het tabblad Tijdlijn wordt een chronologische weergave weergegeven van alle gebeurtenissen die op het apparaat zijn waargenomen. Dit kan u helpen bij het correleren van gebeurtenissen, bestanden en IP-adressen met betrekking tot het apparaat.

De keuze van de kolommen die in de lijst worden weergegeven, kan beide worden aangepast. De standaardkolommen bevatten de gebeurtenistijd, actieve gebruiker, actietype, gekoppelde entiteiten (processen, bestanden, IP-adressen) en aanvullende informatie over de gebeurtenis.

U kunt de periode bepalen waarvoor gebeurtenissen worden weergegeven door de randen van de periode langs de algemene tijdlijngrafiek boven aan de pagina te schuiven. U kunt ook een periode kiezen in de vervolgkeuzelijst bovenaan de lijst (de standaardwaarde is 30 dagen). Als u de weergave verder wilt beheren, kunt u filteren op gebeurtenisgroepen of de kolommen aanpassen.

U kunt maximaal zeven dagen aan gebeurtenissen exporteren naar een CSV-bestand om te downloaden.

Zoom in op de details van afzonderlijke gebeurtenissen door de gebeurtenis te selecteren en de details ervan weer te geven in het resulterende flyoutvenster. Zie Gebeurtenisdetails hieronder.

Notitie

Als u firewallgebeurtenissen wilt weergeven, moet u het controlebeleid inschakelen. Zie Audit Filtering Platform-verbinding.

Firewall behandelt de volgende gebeurtenissen:

  • 5025 - firewallservice gestopt
  • 5031 - toepassing geblokkeerd voor het accepteren van binnenkomende verbindingen op het netwerk
  • 5157 - geblokkeerde verbinding

Schermopname van het tabblad Tijdlijn voor de pagina apparaatentiteit in de Microsoft Defender portal.

Details van de gebeurtenis

Selecteer een gebeurtenis om relevante details over die gebeurtenis weer te geven. Er wordt een flyoutvenster weergegeven om veel meer informatie over de gebeurtenis weer te geven. De typen informatie die worden weergegeven, is afhankelijk van het type gebeurtenis. Wanneer van toepassing en gegevens beschikbaar zijn, ziet u mogelijk een grafiek met gerelateerde entiteiten en hun relaties, zoals een keten van bestanden of processen. Mogelijk ziet u ook een samenvattingsbeschrijving van de MITRE ATT&CK-tactieken en -technieken die van toepassing zijn op de gebeurtenis.

Als u de gebeurtenis en gerelateerde gebeurtenissen verder wilt inspecteren, kunt u snel een geavanceerde opsporingsquery uitvoeren door Zoeken te selecteren voor gerelateerde gebeurtenissen. De query retourneert de geselecteerde gebeurtenis en de lijst met andere gebeurtenissen die zich rond dezelfde tijd op hetzelfde eindpunt hebben voorgedaan.

Schermopname van het deelvenster met gebeurtenisdetails.

Tabblad Beveiligingsaanbeveling

Op het tabblad Beveiligingsaanbeveling vindt u de acties die u kunt uitvoeren om het apparaat te beveiligen. Als u een item in deze lijst selecteert, wordt er een flyout geopend waarin u instructies kunt krijgen voor het toepassen van de aanbeveling.

Net als bij de vorige tabbladen kan de keuze van weergegeven kolommen worden aangepast.

De standaardweergave bevat kolommen met informatie over de beveiligingsproblemen die zijn opgelost, de bijbehorende bedreiging, het gerelateerde onderdeel of de software die door de bedreiging wordt beïnvloed, en meer. Items kunnen worden gefilterd op de status van de aanbeveling.

Meer informatie over beveiligingsaanbeveling.

Schermopname van het tabblad Beveiligingsaanbeveling voor de pagina apparaatentiteit.

Tabblad Inventarissen

Op dit tabblad worden inventarissen van vier typen onderdelen weergegeven: Software, kwetsbare onderdelen, browserextensies en certificaten.

Software-inventaris

Deze kaart bevat een lijst met software die op het apparaat is geïnstalleerd.

In de standaardweergave worden de softwareleverancier, het geïnstalleerde versienummer, het aantal bekende zwakke plekken in de software, bedreigingsinformatie, productcode en tags weergegeven. Het aantal items dat wordt weergegeven en welke kolommen worden weergegeven, kan beide worden aangepast.

Als u een item in deze lijst selecteert, wordt een flyout geopend met meer informatie over de geselecteerde software en het pad en de tijdstempel voor de laatste keer dat de software is gevonden.

Deze lijst kan worden gefilterd op productcode, zwakke punten en de aanwezigheid van bedreigingen.

Schermopname van het tabblad Software-inventaris voor apparaatprofiel in de Microsoft Defender portal

Kwetsbare onderdelen

Deze kaart bevat softwareonderdelen die beveiligingsproblemen bevatten.

De standaardweergave- en filteropties zijn hetzelfde als voor software.

Selecteer een item om meer informatie weer te geven in een flyout.

Browserextensies

Deze kaart toont de browserextensies die op het apparaat zijn geïnstalleerd. De standaardvelden die worden weergegeven, zijn de extensienaam, de browser waarvoor deze is geïnstalleerd, de versie, het machtigingsrisico (op basis van het type toegang tot apparaten of sites dat is aangevraagd door de extensie) en de status. Optioneel kan de leverancier ook worden weergegeven.

Selecteer een item om meer informatie weer te geven in een flyout.

Certificaten

Op deze kaart worden alle certificaten weergegeven die op het apparaat zijn geïnstalleerd.

De velden die standaard worden weergegeven, zijn de certificaatnaam, de uitgiftedatum, de vervaldatum, de sleutelgrootte, de verlener, het handtekening-algoritme, het sleutelgebruik en het aantal exemplaren.

De lijst kan worden gefilterd op status, zelfondertekend of niet, sleutelgrootte, handtekening-hash en sleutelgebruik.

Selecteer een certificaat om meer informatie weer te geven in een flyout.

Tabblad Gedetecteerde beveiligingsproblemen

Dit tabblad bevat alle veelvoorkomende beveiligingsproblemen en exploits (CVE's) die van invloed kunnen zijn op het apparaat.

In de standaardweergave ziet u de ernst van de CVE, de COMMON Vulnerability Score (CVSS), de software met betrekking tot de CVE, wanneer de CVE is gepubliceerd, wanneer de CVE voor het eerst is gedetecteerd en voor het laatst is bijgewerkt, en bedreigingen die aan de CVE zijn gekoppeld.

Net als bij de vorige tabbladen kan de keuze van de weer te geven kolommen worden aangepast. De lijst kan worden gefilterd op ernst, bedreigingsstatus, blootstelling van het apparaat en tags.

Als u een item in deze lijst selecteert, wordt een flyout geopend waarin de CVE wordt beschreven.

Schermopname van het tabblad Gedetecteerde beveiligingsproblemen voor apparaatprofiel in de Microsoft Defender portal

Tabblad Ontbrekende KB's

Op het tabblad Ontbrekende KB's worden alle Microsoft-Updates weergegeven die nog niet op het apparaat moeten worden toegepast. De "KB's" in kwestie zijn Knowledge Base-artikelen, waarin deze updates worden beschreven; bijvoorbeeld KB4551762.

In de standaardweergave wordt het bulletin weergegeven met de updates, de versie van het besturingssysteem, het KB-id-nummer, de betrokken producten, de adreslijst en tags.

De keuze van de kolommen die moeten worden weergegeven, kan worden aangepast.

Als u een item selecteert, wordt er een flyout geopend die naar de update is gekoppeld.

tabblad gebeurtenissen Sentinel

Als uw organisatie onboarding Microsoft Sentinel naar de Defender-portal heeft uitgevoerd, bevindt dit extra tabblad zich op de pagina van de apparaatentiteit. Op dit tabblad wordt de pagina Host-entiteit uit Microsoft Sentinel geïmporteerd.

tijdlijn van Sentinel

Deze tijdlijn toont waarschuwingen die zijn gekoppeld aan de apparaatentiteit, in Microsoft Sentinel bekend als de hostentiteit. Deze waarschuwingen omvatten de waarschuwingen die worden weergegeven op het tabblad Incidenten en waarschuwingen en die zijn gemaakt door Microsoft Sentinel van externe, niet-Microsoft-gegevensbronnen.

Deze tijdlijn bevat ook zoekbewerkingen met bladwijzers van andere onderzoeken die verwijzen naar deze gebruikersentiteit, gebruikersactiviteitsgebeurtenissen van externe gegevensbronnen en ongebruikelijk gedrag dat is gedetecteerd door de anomalieregels van Microsoft Sentinel.

Inzichten

Entiteits insights zijn query's die zijn gedefinieerd door Microsoft-beveiligingsonderzoekers om u te helpen efficiënter en effectiever te onderzoeken. Deze inzichten stellen automatisch de grote vragen over uw apparaatentiteit en bieden waardevolle beveiligingsinformatie in de vorm van tabelgegevens en grafieken. De inzichten omvatten gegevens met betrekking tot aanmeldingen, groepstoevoegingen, procesuitvoeringen, afwijkende gebeurtenissen en meer, en omvatten geavanceerde machine learning-algoritmen om afwijkend gedrag te detecteren.

Hier volgen enkele van de inzichten die worden weergegeven:

  • Schermopname gemaakt op de host.
  • Processen die niet zijn ondertekend door Microsoft gedetecteerd.
  • Informatie over de uitvoering van Windows-processen.
  • Windows-aanmeldingsactiviteit.
  • Acties voor accounts.
  • Gebeurtenislogboeken gewist op de host.
  • Groeps toevoegingen.
  • Opsomming van hosts, gebruikers en groepen op de host.
  • Microsoft Defender toepassingsbeheer.
  • Rariteit verwerken via entropieberekening.
  • Een afwijkend hoog aantal beveiligingsincidenten.
  • Watchlist insights (preview).
  • Windows Defender Antivirus-gebeurtenissen.

De inzichten zijn gebaseerd op de volgende gegevensbronnen:

  • Syslog (Linux)
  • SecurityEvent (Windows)
  • AuditLogs (Microsoft Entra ID)
  • SigninLogs (Microsoft Entra ID)
  • OfficeActivity (Office 365)
  • BehaviorAnalytics (Microsoft Sentinel UEBA)
  • Heartbeat (Azure Monitor-agent)
  • CommonSecurityLog (Microsoft Sentinel)

Schermopname van Sentinel tabblad Gebeurtenissen op de pagina gebruikersentiteit.

Als u een van de inzichten in dit deelvenster verder wilt verkennen, selecteert u de koppeling bij het inzicht. De koppeling brengt u naar de pagina Geavanceerde opsporing , waar de onderliggende query van het inzicht wordt weergegeven, samen met de onbewerkte resultaten. U kunt de query wijzigen of inzoomen op de resultaten om uw onderzoek uit te breiden of gewoon uw nieuwsgierigheid te bevredigen.

Schermopname van geavanceerd opsporingsscherm met inzichtquery.

Reactieacties

Reactieacties bieden snelkoppelingen voor het analyseren, onderzoeken en beschermen tegen bedreigingen.

Schermopname van de actiebalk voor de pagina apparaatentiteit in de Microsoft Defender portal.

Belangrijk

  • Antwoordacties zijn alleen beschikbaar als het apparaat is ingeschreven bij Microsoft Defender voor Eindpunt.
  • Apparaten die zijn ingeschreven bij Microsoft Defender voor Eindpunt, kunnen verschillende aantallen antwoordacties weergeven op basis van het besturingssysteem en versienummer van het apparaat.

Antwoordacties worden boven aan een specifieke apparaatpagina uitgevoerd en omvatten:

Actie Omschrijving
Apparaatwaarde
Kritiek instellen
Tags beheren Updates aangepaste tags die u op dit apparaat hebt toegepast.
Onnauwkeurigheid van apparaten rapporteren
Antivirusscan uitvoeren Updates Microsoft Defender antivirusdefinities en voert onmiddellijk een antivirusscan uit. Kies tussen Snelle scan of Volledige scan.
Onderzoekspakket verzamelen Verzamelt informatie over het apparaat. Wanneer het onderzoek is voltooid, kunt u het downloaden.
Het uitvoeren van apps beperken Hiermee voorkomt u dat toepassingen worden uitgevoerd die niet zijn ondertekend door Microsoft.
Geautomatiseerd onderzoek initiëren Hiermee worden bedreigingen automatisch onderzocht en hersteld. Hoewel u geautomatiseerde onderzoeken handmatig kunt activeren om uit te voeren vanaf deze pagina, worden door bepaalde waarschuwingsbeleidsregels automatisch onderzoeken zelf geactiveerd.
Live-antwoordsessie starten Laadt een externe shell op het apparaat voor uitgebreid beveiligingsonderzoek.
Apparaat isoleren Isoleert het apparaat van het netwerk van uw organisatie terwijl het verbonden blijft met Microsoft Defender. U kunt ervoor kiezen om Outlook, Teams en Skype voor Bedrijven uit te voeren terwijl het apparaat is geïsoleerd, voor communicatiedoeleinden.
Vraag het aan Defender-experts
Actiecentrum Geeft informatie weer over eventuele reactieacties die momenteel worden uitgevoerd. Alleen beschikbaar als er al een andere actie is geselecteerd.
Geforceerde release downloaden van isolatiescript
Uitsluiten
Beginnen met opsporen
Probleemoplossingsmodus inschakelen
Beleidssynchronisatie

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.