Share via


Details en resultaten van een geautomatiseerd onderzoek

Van toepassing op:

  • Microsoft Defender XDR

Met Microsoft Defender XDR, wanneer een geautomatiseerd onderzoek wordt uitgevoerd, zijn er zowel tijdens als na het geautomatiseerde onderzoek details over dat onderzoek beschikbaar. Als u over de benodigde machtigingen beschikt, kunt u deze details bekijken in een weergave met onderzoeksdetails die u de actuele status biedt en de mogelijkheid biedt om eventuele in behandeling zijnde acties goed te keuren.

(NIEUW) Pagina Voor geïntegreerd onderzoek

De onderzoekspagina is onlangs bijgewerkt met informatie over uw apparaten, e-mail en samenwerkingsinhoud. De nieuwe, geïntegreerde onderzoekspagina definieert een gemeenschappelijke taal en biedt een uniforme ervaring voor automatische onderzoeken in Microsoft Defender voor Eindpunt en Microsoft Defender voor Office 365. Selecteer de koppeling in de gele banner die u ziet op om toegang te krijgen tot de pagina voor geïntegreerd onderzoek:

De weergave met onderzoeksdetails openen

U kunt de weergave met onderzoeksdetails openen met behulp van een van de volgende methoden:

Een item selecteren in het Actiecentrum

Het verbeterde Actiecentrum (https://security.microsoft.com/action-center) brengt herstelacties op al uw apparaten, e-mail & samenwerkingsinhoud en identiteiten samen. Vermelde acties omvatten herstelacties die automatisch of handmatig zijn uitgevoerd. In het Actiecentrum kunt u acties bekijken die wachten op goedkeuring en acties die al zijn goedgekeurd of voltooid. U kunt ook naar meer details navigeren, zoals een onderzoekspagina.

Tip

U moet bepaalde machtigingen hebben om acties goed te keuren, af te wijzen of ongedaan te maken.

  1. Ga naar Microsoft Defender portal en meld u aan.

  2. Kies Actiecentrum in het navigatiedeelvenster.

  3. Selecteer een item op het tabblad In behandeling of Geschiedenis . Het flyoutvenster wordt geopend.

  4. Bekijk de informatie in het flyoutvenster en voer vervolgens een van de volgende stappen uit:

    • Selecteer Onderzoekspagina openen voor meer informatie over het onderzoek.
    • Selecteer Goedkeuren om een actie in behandeling te starten.
    • Selecteer Weigeren om te voorkomen dat een actie in behandeling wordt uitgevoerd.
    • Selecteer Ga zoeken om naar Geavanceerde opsporing te gaan.

Een onderzoek openen vanaf de pagina met details van een incident

Gebruik een pagina met incidentgegevens om gedetailleerde informatie over een incident weer te geven, inclusief waarschuwingen die zijn geactiveerd, informatie over eventuele betrokken apparaten, gebruikersaccounts of postvakken.

  1. Ga naar Microsoft Defender portal en meld u aan.

  2. Kies in het navigatiedeelvenster Incidenten & waarschuwingen>Incidenten.

  3. Selecteer een item in de lijst en kies vervolgens Incidentpagina openen.

  4. Selecteer het tabblad Onderzoeken en selecteer vervolgens een onderzoek in de lijst. Het flyoutvenster wordt geopend.

  5. Selecteer Onderzoekspagina openen.

Hier is een voorbeeld.

De onderzoekspagina in de Microsoft Defender-portal

Onderzoeksdetails

Gebruik de weergave onderzoeksdetails om eerdere, huidige en in behandeling zijnde activiteiten met betrekking tot een onderzoek te bekijken. Hier is een voorbeeld.

De pagina met onderzoeksgegevens in de Microsoft Defender-portal

In de weergave Details van onderzoek ziet u informatie over de tabbladen Onderzoeksgrafiek, Waarschuwingen, Apparaten, Identiteiten, Belangrijkste bevindingen, Entiteiten, Logboek en Acties in behandeling , die in de volgende tabel worden beschreven.

Opmerking

Welke specifieke tabbladen u ziet op een pagina met onderzoeksdetails, is afhankelijk van wat uw abonnement bevat. Als uw abonnement bijvoorbeeld geen Microsoft Defender voor Office 365 Abonnement 2 bevat, ziet u geen tabblad Postvakken.

Tab Omschrijving
Onderzoeksgrafiek Biedt een visuele weergave van het onderzoek. Toont entiteiten en een lijst met bedreigingen die zijn gevonden, samen met waarschuwingen en of er acties wachten op goedkeuring.
U kunt een item in de grafiek selecteren om meer details weer te geven. Als u bijvoorbeeld het pictogram Bewijs selecteert, gaat u naar het tabblad Bewijs , waar u gedetecteerde entiteiten en hun vonnissen kunt zien.
Waarschuwingen Lijsten waarschuwingen die aan het onderzoek zijn gekoppeld. Waarschuwingen kunnen afkomstig zijn van functies voor bedreigingsbeveiliging op het apparaat van een gebruiker, in Office-apps, Microsoft Defender for Cloud Apps en andere Microsoft Defender XDR functies.

Als u niet-ondersteund waarschuwingstype ziet, betekent dit dat de mogelijkheden voor geautomatiseerd onderzoek die waarschuwing niet kunnen ophalen om een geautomatiseerd onderzoek uit te voeren. U kunt deze waarschuwingen echter handmatig onderzoeken.
Apparaten Lijsten apparaten die in het onderzoek zijn opgenomen, samen met hun herstelniveau. (Herstelniveaus komen overeen met het automatiseringsniveau voor apparaatgroepen.)
Postvakken Lijsten postvakken die worden beïnvloed door gedetecteerde bedreigingen.
Gebruikers Lijsten gebruikersaccounts die worden beïnvloed door gedetecteerde bedreigingen.
Bewijs Lijsten stukjes bewijsmateriaal dat door waarschuwingen of onderzoeken is gegenereerd. Bevat vonnissen (schadelijk, verdacht, onbekend of geen bedreigingen gevonden) en herstelstatus.
Entiteiten Bevat details over elke geanalyseerde entiteit, inclusief een beoordeling voor elk entiteitstype (Schadelijk, Verdacht of Geen bedreigingen gevonden).
Log Biedt een chronologische, gedetailleerde weergave van alle onderzoeksacties die zijn uitgevoerd nadat een waarschuwing is geactiveerd.
Actiegeschiedenis in behandeling Lijsten items waarvoor goedkeuring is vereist om door te gaan. Ga naar het Actiecentrum (https://security.microsoft.com/action-center) om acties in behandeling goed te keuren.

Onderzoeksstatussen

De volgende tabel bevat een overzicht van de onderzoeksstatussen en wat deze aangeven.

Onderzoeksstatus Definitie
Goedaardige Artefacten zijn onderzocht en er is vastgesteld dat er geen bedreigingen zijn gevonden.
PendingResource Een geautomatiseerd onderzoek wordt onderbroken omdat een herstelactie in afwachting is van goedkeuring of omdat het apparaat waarop een artefact is gevonden tijdelijk niet beschikbaar is.
UnsupportedAlertType Er is geen geautomatiseerd onderzoek beschikbaar voor dit type waarschuwing. Verder onderzoek kan handmatig worden gedaan, met behulp van geavanceerde opsporing.
Mislukt Ten minste één onderzoekanalyse heeft een probleem gelopen waarbij het onderzoek niet kon worden voltooid. Als een onderzoek mislukt nadat herstelacties zijn goedgekeurd, zijn de herstelacties mogelijk nog steeds geslaagd.
Is hersteld Een geautomatiseerd onderzoek is voltooid en alle herstelacties zijn voltooid of goedgekeurd.

Voor meer context over hoe onderzoeksstatussen worden weergegeven, bevat de volgende tabel waarschuwingen en de bijbehorende status van geautomatiseerd onderzoek. Deze tabel is opgenomen als voorbeeld van wat een beveiligingsteam kan zien in de Microsoft Defender-portal.

Waarschuwingsnaam Ernst Onderzoeksstatus Status Categorie
Er is malware gedetecteerd in een wim disk image-bestand Informatief Goedaardige Opgelost Malware
Er is malware gedetecteerd in een rar-archiefbestand Informatief PendingResource Nieuw Malware
Er is malware gedetecteerd in een rar-archiefbestand Informatief UnsupportedAlertType Nieuw Malware
Er is malware gedetecteerd in een rar-archiefbestand Informatief UnsupportedAlertType Nieuw Malware
Er is malware gedetecteerd in een rar-archiefbestand Informatief UnsupportedAlertType Nieuw Malware
Er is malware gedetecteerd in een zip-archiefbestand Informatief PendingResource Nieuw Malware
Er is malware gedetecteerd in een zip-archiefbestand Informatief PendingResource Nieuw Malware
Er is malware gedetecteerd in een zip-archiefbestand Informatief PendingResource Nieuw Malware
Er is malware gedetecteerd in een zip-archiefbestand Informatief PendingResource Nieuw Malware
Wpakill hacktool is voorkomen Laag Mislukt Nieuw Malware
GendowsBatch hacktool werd voorkomen Laag Mislukt Nieuw Malware
Keygen hacktool is voorkomen Laag Mislukt Nieuw Malware
Er is malware gedetecteerd in een zip-archiefbestand Informatief PendingResource Nieuw Malware
Er is malware gedetecteerd in een rar-archiefbestand Informatief PendingResource Nieuw Malware
Er is malware gedetecteerd in een rar-archiefbestand Informatief PendingResource Nieuw Malware
Er is malware gedetecteerd in een zip-archiefbestand Informatief PendingResource Nieuw Malware
Er is malware gedetecteerd in een rar-archiefbestand Informatief PendingResource Nieuw Malware
Er is malware gedetecteerd in een rar-archiefbestand Informatief PendingResource Nieuw Malware
Er is malware gedetecteerd in een iso-schijfinstallatiekopieënbestand Informatief PendingResource Nieuw Malware
Er is malware gedetecteerd in een iso-schijfinstallatiekopieënbestand Informatief PendingResource Nieuw Malware
Er is malware gedetecteerd in een PST Outlook-gegevensbestand Informatief UnsupportedAlertType Nieuw Malware
Er is malware gedetecteerd in een PST Outlook-gegevensbestand Informatief UnsupportedAlertType Nieuw Malware
MediaGet gedetecteerd Gemiddeld Gedeeltelijk onderzocht Nieuw Malware
TrojanEmailFile Gemiddeld GeslaagdRemediat Opgelost Malware
CustomEnterpriseBlock-malware is voorkomen Informatief GeslaagdRemediat Opgelost Malware
Een actieve CustomEnterpriseBlock-malware is geblokkeerd Laag GeslaagdRemediat Opgelost Malware
Een actieve CustomEnterpriseBlock-malware is geblokkeerd Laag GeslaagdRemediat Opgelost Malware
Een actieve CustomEnterpriseBlock-malware is geblokkeerd Laag GeslaagdRemediat Opgelost Malware
TrojanEmailFile Gemiddeld Goedaardige Opgelost Malware
CustomEnterpriseBlock-malware is voorkomen Informatief UnsupportedAlertType Nieuw Malware
CustomEnterpriseBlock-malware is voorkomen Informatief GeslaagdRemediat Opgelost Malware
TrojanEmailFile Gemiddeld GeslaagdRemediat Opgelost Malware
TrojanEmailFile Gemiddeld Goedaardige Opgelost Malware
Een actieve CustomEnterpriseBlock-malware is geblokkeerd Laag PendingResource Nieuw Malware

Volgende stappen

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.