Pagina Apparaatentiteit in Microsoft Defender
De pagina apparaatentiteit in de Microsoft Defender-portal helpt u bij het onderzoeken van apparaatentiteiten. De pagina bevat alle belangrijke informatie over een bepaalde apparaatentiteit. Als een waarschuwing of incident aangeeft dat een apparaat zich verdacht gedraagt of mogelijk is gecompromitteerd, onderzoekt u de details van het apparaat om ander gedrag of andere gebeurtenissen te identificeren die mogelijk betrekking hebben op de waarschuwing of het incident en het potentiële bereik van de inbreuk te ontdekken. U kunt ook de pagina apparaatentiteit gebruiken om enkele algemene beveiligingstaken uit te voeren, evenals enkele reactieacties om beveiligingsrisico's te beperken of te verhelpen.
Belangrijk
De inhoudsset die wordt weergegeven op de pagina van de apparaatentiteit kan enigszins verschillen, afhankelijk van de inschrijving van het apparaat in Microsoft Defender voor Eindpunt en Microsoft Defender for Identity.
Als uw organisatie Microsoft Sentinel heeft onboardd naar de Defender-portal, wordt er aanvullende informatie weergegeven.
In Microsoft Sentinel worden apparaatentiteiten ook wel hostentiteiten genoemd. Meer informatie.
Microsoft Sentinel is nu algemeen beschikbaar in het geïntegreerde platform voor beveiligingsbewerkingen van Microsoft in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Apparaatentiteiten zijn te vinden in de volgende gebieden:
- Lijst met apparaten, onder Assets
- Waarschuwingenwachtrij
- Elke afzonderlijke waarschuwing/incident
- Elke afzonderlijke gebruikersentiteitspagina
- Elke afzonderlijke weergave met bestandsdetails
- Weergave van IP-adres- of domeindetails
- Activiteitenlogboek
- Geavanceerde opsporingsquery's
- Actiecentrum
U kunt apparaten selecteren wanneer u ze in de portal ziet om de entiteitspagina van het apparaat te openen, waarop meer informatie over het apparaat wordt weergegeven. U kunt bijvoorbeeld de details van apparaten zien die worden vermeld in de waarschuwingen van een incident in de Microsoft Defender-portal op Incidenten & waarschuwingen Assets > apparaten voor incidentenincidenten>>>.
Op de pagina van de apparaatentiteit worden de gegevens weergegeven in een indeling met tabbladen. In dit artikel worden de typen informatie beschreven die beschikbaar zijn op elk tabblad en ook de acties die u op een bepaald apparaat kunt uitvoeren.
De volgende tabbladen worden weergegeven op de pagina van de apparaatentiteit:
- Overzicht
- Incidenten en waarschuwingen
- Tijdlijn
- Beveiligingsaanbeveling
- Voorraden
- Gedetecteerde beveiligingsproblemen
- Ontbrekende KB's
- Beveiligingsbasislijnen
- Beveiligingsbeleid
- Sentinel-gebeurtenissen
Koptekst van entiteitspagina
De bovenste sectie van de entiteitspagina bevat de volgende details:
- Entiteitsnaam
- Indicatoren voor ernst, kritiek en apparaatwaarde
- Tags waarmee het apparaat kan worden geclassificeerd. Kan worden toegevoegd door Defender voor Eindpunt, Defender voor Identiteit of door gebruikers. Tags van Microsoft Defender for Identity kunnen niet worden bewerkt.
- Hier bevinden zich ook antwoordacties. Lees er hieronder meer over.
Tabblad Overzicht
Het standaardtabblad is Overzicht. Het biedt een beknopt overzicht van de belangrijkste beveiligingsfeit over het apparaat. Het tabblad Overzicht bevat de zijbalk met apparaatdetails en een dashboard met enkele kaarten waarop informatie op hoog niveau wordt weergegeven.
Apparaatdetails
De zijbalk bevat de volledige naam en het blootstellingsniveau van het apparaat. Het biedt ook enkele belangrijke basisinformatie in kleine subsecties, die kunnen worden uitgevouwen of samengevouwen, zoals:
Afdeling | Opgenomen informatie |
---|---|
VM-details | Machine- en domeinnamen en -id's, statussen en onboardingstatussen, tijdstempels voor het eerst en laatst gezien, IP-adressen en meer |
Synchronisatiedetails van DLP-beleid | Indien relevant |
Configuratiestatus | Details met betrekking tot de configuratie van Microsoft Defender voor Eindpunt |
Details van cloudresources | Cloudplatform, resource-id, abonnementsgegevens en meer |
Hardware en firmware | VM-, processor- en BIOS-informatie, en meer |
Apparaatbeheer | Registratiestatus en beheergegevens voor Microsoft Defender voor Eindpunt |
Adreslijstgegevens | UAC-vlaggen , SPN's en groepslidmaatschappen. |
Dashboard
In het hoofdgedeelte van het tabblad Overzicht ziet u verschillende weergavekaarten van het dashboardtype:
- Actieve waarschuwingen en risiconiveau met betrekking tot het apparaat in de afgelopen zes maanden, gegroepeerd op ernst
- Beveiligingsevaluaties en blootstellingsniveau van het apparaat
- Aangemelde gebruikers op het apparaat in de afgelopen 30 dagen
- De status van het apparaat en andere informatie over de meest recente scans van het apparaat.
Tip
Het blootstellingsniveau heeft betrekking op de mate waarin het apparaat voldoet aan de beveiligingsaanbeveling, terwijl het risiconiveau wordt berekend op basis van een aantal factoren, waaronder het type en de ernst van actieve waarschuwingen.
Tabblad Incidenten en waarschuwingen
Het tabblad Incidenten en waarschuwingen bevat een lijst met incidenten die waarschuwingen bevatten die zijn gegenereerd op het apparaat, afkomstig van een van een aantal detectiebronnen van Microsoft Defender, waaronder, indien onboarding, Microsoft Sentinel. Deze lijst is een gefilterde versie van de wachtrij met incidenten en bevat een korte beschrijving van het incident of de waarschuwing, de ernst (hoog, gemiddeld, laag, informatief), de status in de wachtrij (nieuw, wordt uitgevoerd, opgelost), de classificatie (niet ingesteld, valse waarschuwing, echte waarschuwing), de onderzoeksstatus, de categorie, wie is toegewezen om deze te adresseren en de laatste activiteit die is waargenomen.
U kunt aanpassen welke kolommen voor elk item worden weergegeven. U kunt de waarschuwingen ook filteren op ernst, status of een andere kolom in de weergave.
De kolom betrokken entiteiten verwijst naar alle apparaat- en gebruikersentiteiten waarnaar wordt verwezen in het incident of de waarschuwing.
Wanneer een incident of waarschuwing is geselecteerd, wordt er een fly-out weergegeven. In dit deelvenster kunt u het incident of de waarschuwing beheren en meer details bekijken, zoals incident-/waarschuwingsnummer en gerelateerde apparaten. Er kunnen meerdere waarschuwingen tegelijk worden geselecteerd.
Als u een volledige paginaweergave van een incident of waarschuwing wilt zien, selecteert u de titel ervan.
Tabblad Tijdlijn
Op het tabblad Tijdlijn wordt een chronologische weergave weergegeven van alle gebeurtenissen die op het apparaat zijn waargenomen. Dit kan u helpen bij het correleren van gebeurtenissen, bestanden en IP-adressen met betrekking tot het apparaat.
De keuze van de kolommen die in de lijst worden weergegeven, kan beide worden aangepast. De standaardkolommen bevatten de gebeurtenistijd, actieve gebruiker, actietype, gekoppelde entiteiten (processen, bestanden, IP-adressen) en aanvullende informatie over de gebeurtenis.
U kunt de periode bepalen waarvoor gebeurtenissen worden weergegeven door de randen van de periode langs de algemene tijdlijngrafiek boven aan de pagina te schuiven. U kunt ook een periode kiezen in de vervolgkeuzelijst bovenaan de lijst (de standaardwaarde is 30 dagen). Als u de weergave verder wilt beheren, kunt u filteren op gebeurtenisgroepen of de kolommen aanpassen.
U kunt maximaal zeven dagen aan gebeurtenissen exporteren naar een CSV-bestand om te downloaden.
Zoom in op de details van afzonderlijke gebeurtenissen door de gebeurtenis te selecteren en de details ervan weer te geven in het resulterende flyoutvenster. Zie Gebeurtenisdetails hieronder.
Opmerking
Als u firewallgebeurtenissen wilt weergeven, moet u het controlebeleid inschakelen. Zie Audit Filtering Platform-verbinding.
Firewall behandelt de volgende gebeurtenissen:
Details van de gebeurtenis
Selecteer een gebeurtenis om relevante details over die gebeurtenis weer te geven. Er wordt een flyoutvenster weergegeven om veel meer informatie over de gebeurtenis weer te geven. De typen informatie die worden weergegeven, is afhankelijk van het type gebeurtenis. Wanneer van toepassing en gegevens beschikbaar zijn, ziet u mogelijk een grafiek met gerelateerde entiteiten en hun relaties, zoals een keten van bestanden of processen. Mogelijk ziet u ook een samenvattingsbeschrijving van de MITRE ATT&CK-tactieken en -technieken die van toepassing zijn op de gebeurtenis.
Als u de gebeurtenis en gerelateerde gebeurtenissen verder wilt inspecteren, kunt u snel een geavanceerde opsporingsquery uitvoeren door Zoeken te selecteren voor gerelateerde gebeurtenissen. De query retourneert de geselecteerde gebeurtenis en de lijst met andere gebeurtenissen die zich rond dezelfde tijd op hetzelfde eindpunt hebben voorgedaan.
Tabblad Beveiligingsaanbeveling
Op het tabblad Beveiligingsaanbeveling vindt u de acties die u kunt uitvoeren om het apparaat te beveiligen. Als u een item in deze lijst selecteert, wordt er een flyout geopend waarin u instructies kunt krijgen voor het toepassen van de aanbeveling.
Net als bij de vorige tabbladen kan de keuze van weergegeven kolommen worden aangepast.
De standaardweergave bevat kolommen met informatie over de beveiligingsproblemen die zijn opgelost, de bijbehorende bedreiging, het gerelateerde onderdeel of de software die door de bedreiging wordt beïnvloed, en meer. Items kunnen worden gefilterd op de status van de aanbeveling.
Meer informatie over beveiligingsaanbeveling.
Tabblad Inventarissen
Op dit tabblad worden inventarissen van vier typen onderdelen weergegeven: Software, kwetsbare onderdelen, browserextensies en certificaten.
Software-inventaris
Deze kaart bevat een lijst met software die op het apparaat is geïnstalleerd.
In de standaardweergave worden de softwareleverancier, het geïnstalleerde versienummer, het aantal bekende zwakke plekken in de software, bedreigingsinformatie, productcode en tags weergegeven. Het aantal items dat wordt weergegeven en welke kolommen worden weergegeven, kan beide worden aangepast.
Als u een item in deze lijst selecteert, wordt een flyout geopend met meer informatie over de geselecteerde software en het pad en de tijdstempel voor de laatste keer dat de software is gevonden.
Deze lijst kan worden gefilterd op productcode, zwakke punten en de aanwezigheid van bedreigingen.
Kwetsbare onderdelen
Deze kaart bevat softwareonderdelen die beveiligingsproblemen bevatten.
De standaardweergave- en filteropties zijn hetzelfde als voor software.
Selecteer een item om meer informatie weer te geven in een flyout.
Browserextensies
Deze kaart toont de browserextensies die op het apparaat zijn geïnstalleerd. De standaardvelden die worden weergegeven, zijn de extensienaam, de browser waarvoor deze is geïnstalleerd, de versie, het machtigingsrisico (op basis van het type toegang tot apparaten of sites dat is aangevraagd door de extensie) en de status. Optioneel kan de leverancier ook worden weergegeven.
Selecteer een item om meer informatie weer te geven in een flyout.
Certificaten
Op deze kaart worden alle certificaten weergegeven die op het apparaat zijn geïnstalleerd.
De velden die standaard worden weergegeven, zijn de certificaatnaam, de uitgiftedatum, de vervaldatum, de sleutelgrootte, de verlener, het handtekening-algoritme, het sleutelgebruik en het aantal exemplaren.
De lijst kan worden gefilterd op status, zelfondertekend of niet, sleutelgrootte, handtekening-hash en sleutelgebruik.
Selecteer een certificaat om meer informatie weer te geven in een flyout.
Tabblad Gedetecteerde beveiligingsproblemen
Dit tabblad bevat alle veelvoorkomende beveiligingsproblemen en exploits (CVE's) die van invloed kunnen zijn op het apparaat.
In de standaardweergave ziet u de ernst van de CVE, de COMMON Vulnerability Score (CVSS), de software met betrekking tot de CVE, wanneer de CVE is gepubliceerd, wanneer de CVE voor het eerst is gedetecteerd en voor het laatst is bijgewerkt, en bedreigingen die aan de CVE zijn gekoppeld.
Net als bij de vorige tabbladen kan de keuze van de weer te geven kolommen worden aangepast. De lijst kan worden gefilterd op ernst, bedreigingsstatus, blootstelling van het apparaat en tags.
Als u een item in deze lijst selecteert, wordt een flyout geopend waarin de CVE wordt beschreven.
Tabblad Ontbrekende KB's
Het tabblad Ontbrekende KB's bevat alle Microsoft-updates die nog niet op het apparaat moeten worden toegepast. De "KB's" in kwestie zijn Knowledge Base-artikelen, waarin deze updates worden beschreven; bijvoorbeeld KB4551762.
In de standaardweergave wordt het bulletin weergegeven met de updates, de versie van het besturingssysteem, het KB-id-nummer, de betrokken producten, de adreslijst en tags.
De keuze van de kolommen die moeten worden weergegeven, kan worden aangepast.
Als u een item selecteert, wordt er een flyout geopend die naar de update is gekoppeld.
Tabblad Sentinel-gebeurtenissen
Als uw organisatie Microsoft Sentinel heeft onboardd naar de Defender-portal, bevindt dit extra tabblad zich op de pagina van de apparaatentiteit. Op dit tabblad wordt de pagina Host-entiteit uit Microsoft Sentinel geïmporteerd.
Sentinel-tijdlijn
Deze tijdlijn toont waarschuwingen die zijn gekoppeld aan de apparaatentiteit, in Microsoft Sentinel bekend als de hostentiteit . Deze waarschuwingen omvatten waarschuwingen die worden weergegeven op het tabblad Incidenten en waarschuwingen en waarschuwingen die door Microsoft Sentinel zijn gemaakt vanuit externe, niet-Microsoft-gegevensbronnen.
Deze tijdlijn bevat ook zoekbewerkingen met bladwijzers van andere onderzoeken die verwijzen naar deze gebruikersentiteit, gebruikersactiviteitsgebeurtenissen van externe gegevensbronnen en ongebruikelijk gedrag dat is gedetecteerd door de anomalieregels van Microsoft Sentinel.
Inzichten
Entiteits insights zijn query's die zijn gedefinieerd door Microsoft-beveiligingsonderzoekers om u te helpen efficiënter en effectiever te onderzoeken. Deze inzichten stellen automatisch de grote vragen over uw apparaatentiteit en bieden waardevolle beveiligingsinformatie in de vorm van tabelgegevens en grafieken. De inzichten omvatten gegevens met betrekking tot aanmeldingen, groepstoevoegingen, procesuitvoeringen, afwijkende gebeurtenissen en meer, en omvatten geavanceerde machine learning-algoritmen om afwijkend gedrag te detecteren.
Hier volgen enkele van de inzichten die worden weergegeven:
- Schermopname gemaakt op de host.
- Processen die niet zijn ondertekend door Microsoft gedetecteerd.
- Informatie over de uitvoering van Windows-processen.
- Windows-aanmeldingsactiviteit.
- Acties voor accounts.
- Gebeurtenislogboeken gewist op de host.
- Groeps toevoegingen.
- Opsomming van hosts, gebruikers en groepen op de host.
- Microsoft Defender Application Control.
- Rariteit verwerken via entropieberekening.
- Een afwijkend hoog aantal beveiligingsincidenten.
- Watchlist insights (preview).
- Windows Defender Antivirus-gebeurtenissen.
De inzichten zijn gebaseerd op de volgende gegevensbronnen:
- Syslog (Linux)
- SecurityEvent (Windows)
- AuditLogs (Microsoft Entra ID)
- SigninLogs (Microsoft Entra ID)
- OfficeActivity (Office 365)
- BehaviorAnalytics (Microsoft Sentinel UEBA)
- Heartbeat (Azure Monitor-agent)
- CommonSecurityLog (Microsoft Sentinel)
Als u een van de inzichten in dit deelvenster verder wilt verkennen, selecteert u de koppeling bij het inzicht. De koppeling brengt u naar de pagina Geavanceerde opsporing , waar de onderliggende query van het inzicht wordt weergegeven, samen met de onbewerkte resultaten. U kunt de query wijzigen of inzoomen op de resultaten om uw onderzoek uit te breiden of gewoon uw nieuwsgierigheid te bevredigen.
Reactieacties
Reactieacties bieden snelkoppelingen voor het analyseren, onderzoeken en beschermen tegen bedreigingen.
Belangrijk
- Antwoordacties zijn alleen beschikbaar als het apparaat is ingeschreven bij Microsoft Defender voor Eindpunt.
- Op apparaten die zijn ingeschreven bij Microsoft Defender voor Eindpunt kunnen verschillende aantallen reactieacties worden weergegeven op basis van het besturingssysteem en versienummer van het apparaat.
Antwoordacties worden boven aan een specifieke apparaatpagina uitgevoerd en omvatten:
Actie | Omschrijving |
---|---|
Apparaatwaarde | |
Kritiek instellen | |
Tags beheren | Hiermee worden aangepaste tags bijgewerkt die u op dit apparaat hebt toegepast. |
Onnauwkeurigheid van apparaten rapporteren | |
Antivirusscan uitvoeren | Werkt Microsoft Defender Antivirus-definities bij en voert onmiddellijk een antivirusscan uit. Kies tussen Snelle scan of Volledige scan. |
Onderzoekspakket verzamelen | Verzamelt informatie over het apparaat. Wanneer het onderzoek is voltooid, kunt u het downloaden. |
Het uitvoeren van apps beperken | Hiermee voorkomt u dat toepassingen worden uitgevoerd die niet zijn ondertekend door Microsoft. |
Geautomatiseerd onderzoek initiëren | Hiermee worden bedreigingen automatisch onderzocht en hersteld. Hoewel u geautomatiseerde onderzoeken handmatig kunt activeren om uit te voeren vanaf deze pagina, worden door bepaalde waarschuwingsbeleidsregels automatisch onderzoeken zelf geactiveerd. |
Live-antwoordsessie starten | Laadt een externe shell op het apparaat voor uitgebreid beveiligingsonderzoek. |
Apparaat isoleren | Isoleert het apparaat van het netwerk van uw organisatie terwijl het verbonden blijft met Microsoft Defender. U kunt ervoor kiezen om Outlook, Teams en Skype voor Bedrijven uit te voeren terwijl het apparaat is geïsoleerd, voor communicatiedoeleinden. |
Vraag het aan Defender-experts | |
Actiecentrum | Geeft informatie weer over eventuele reactieacties die momenteel worden uitgevoerd. Alleen beschikbaar als er al een andere actie is geselecteerd. |
Geforceerde release downloaden van isolatiescript | |
Uitsluiten | |
Beginnen met opsporen | |
Probleemoplossingsmodus inschakelen | |
Beleidssynchronisatie |
Verwante onderwerpen
- Overzicht van Microsoft Defender XDR
- Microsoft Defender XDR inschakelen
- Pagina Gebruikersentiteit in Microsoft Defender
- Entiteitspagina IP-adres in Microsoft Defender
- Microsoft Defender XDR-integratie met Microsoft Sentinel
- Microsoft Sentinel verbinden met Microsoft Defender XDR
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.