Herstelacties in Microsoft Defender XDR
Van toepassing op:
- Microsoft Defender XDR
Tijdens en na een geautomatiseerd onderzoek in Microsoft Defender XDR worden herstelacties geïdentificeerd voor schadelijke of verdachte items. Sommige soorten herstelacties worden uitgevoerd op apparaten, ook wel eindpunten genoemd. Andere herstelacties worden uitgevoerd op identiteiten, accounts en e-mailinhoud. Bovendien kunnen sommige typen herstelacties automatisch worden uitgevoerd, terwijl andere typen herstelacties handmatig worden uitgevoerd door het beveiligingsteam van uw organisatie. Wanneer een geautomatiseerd onderzoek resulteert in een of meer herstelacties, wordt het onderzoek alleen voltooid wanneer de herstelacties worden uitgevoerd, goedgekeurd of afgekeurd.
Belangrijk
Of herstelacties automatisch of alleen na goedkeuring worden uitgevoerd, is afhankelijk van bepaalde instellingen, zoals automatiseringsniveaus. Zie de volgende artikelen voor meer informatie:
De volgende tabel bevat een overzicht van herstelacties die momenteel worden ondersteund in Microsoft Defender XDR.
| Herstelacties voor apparaat (eindpunt) | E-mailherstelacties | Gebruikers (accounts) |
|---|---|---|
| - Onderzoekspakket verzamelen - Apparaat isoleren (deze actie kan ongedaan worden gemaakt) - Offboard machine - Uitvoering van releasecode - Release uit quarantaine - Aanvraagvoorbeeld - De uitvoering van code beperken (deze actie kan ongedaan worden gemaakt) - Antivirusscan uitvoeren - Stoppen en in quarantaine plaatsen - Apparaten van het netwerk bevatten |
- Blok-URL (tijd van klikken) - E-mailberichten of clusters voorlopig verwijderen - E-mail in quarantaine plaatsen - Een e-mailbijlage in quarantaine plaatsen - Extern doorsturen van e-mail uitschakelen |
- Gebruiker uitschakelen - Gebruikerswachtwoord opnieuw instellen - Bevestig dat de gebruiker is gehackt |
Herstelacties, die in behandeling zijn of al zijn voltooid, kunnen worden weergegeven in het Actiecentrum.
Herstelacties die volgen op geautomatiseerde onderzoeken
Wanneer een geautomatiseerd onderzoek is voltooid, wordt een uitspraak gedaan voor elk betrokken bewijsstuk. Afhankelijk van de uitspraak worden herstelacties geïdentificeerd. In sommige gevallen worden herstelacties automatisch uitgevoerd; in andere gevallen wachten herstelacties op goedkeuring. Het hangt allemaal af van hoe geautomatiseerd onderzoek en antwoord zijn geconfigureerd.
De volgende tabel bevat mogelijke uitspraken en resultaten:
| Vonnis | Betrokken entiteiten | Resultaten |
|---|---|---|
| Kwaadaardig | Apparaten (eindpunten) | Herstelacties worden automatisch uitgevoerd (ervan uitgaande dat de apparaatgroepen van uw organisatie zijn ingesteld op Volledig- bedreigingen automatisch herstellen) |
| Gecompromitteerd | Gebruikers | Herstelacties worden automatisch uitgevoerd |
| Kwaadaardig | E-mailinhoud (URL's of bijlagen) | Aanbevolen herstelacties zijn in afwachting van goedkeuring |
| Achterdochtig | Apparaten of e-mailinhoud | Aanbevolen herstelacties zijn in afwachting van goedkeuring |
| Er zijn geen bedreigingen gevonden | Apparaten of e-mailinhoud | Er zijn geen herstelacties nodig |
Herstelacties die handmatig worden uitgevoerd
Naast herstelacties die volgen op geautomatiseerde onderzoeken, kan uw beveiligingsteam bepaalde herstelacties handmatig uitvoeren. Deze acties omvatten:
- Handmatige apparaatactie, zoals apparaatisolatie of bestandsquarantaine
- Handmatige e-mailactie, zoals het voorlopig verwijderen van e-mailberichten
- Handmatige gebruikersactie, zoals gebruiker uitschakelen of gebruikerswachtwoord opnieuw instellen
- Geavanceerde opsporingsactie op apparaten, gebruikers of e-mail
- Explorer-actie voor e-mailinhoud, zoals het verplaatsen van e-mail naar ongewenste e-mail, het voorlopig verwijderen van e-mail of het hard verwijderen van e-mail
- Handmatige actie voor liverespons , zoals het verwijderen van een bestand, het stoppen van een proces en het verwijderen van een geplande taak
- Liveresponsactie met Microsoft Defender voor Eindpunt-API's, zoals het isoleren van een apparaat, het uitvoeren van een antivirusscan en het ophalen van informatie over een bestand
Volgende stappen
- Naar het Actiecentrum
- Herstelacties bekijken en goedkeuren
- Fout-positieven of fout-negatieven adresseert
- Apparaten weghouden van het netwerk
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.