Delen via


Reageren op uw eerste incident in Microsoft Defender XDR

Van toepassing op:

  • Microsoft Defender XDR

Deze handleiding bevat Microsoft-resources voor nieuwe Microsoft Defender XDR gebruikers om met vertrouwen dagelijkse incidentresponstaken uit te voeren terwijl ze de portal gebruiken. De beoogde resultaten van het gebruik van deze handleiding zijn:

  • U leert snel hoe u Microsoft Defender XDR kunt gebruiken om te reageren op incidenten en waarschuwingen.
  • U ontdekt de functies van de portal om incidenten te onderzoeken en te herstellen via de video's en zelfstudies.

Microsoft Defender XDR stelt u in staat om relevante bedreigingsevenementen te zien in alle assets (apparaten, identiteiten, postvakken, cloud-apps en meer). De portal consolideert signalen van de Defender-beveiligingssuite, Microsoft Sentinel en andere geïntegreerde SIEM-oplossingen (Security Information and Event Management). Met gecorreleerde informatie over aanvallen met volledige context in één deelvenster van glas kunt u uw organisatie met succes verdedigen en beschermen.

Deze handleiding bevat drie hoofdsecties:

  • Inzicht in incidenten: toegang krijgen tot incidenten, triëren en beheren binnen de portal
  • Aanvallen analyseren: een verzameling video's en zelfstudies over het onderzoeken van specifieke aanvallen met behulp van de functies van de portal.
  • Aanvallen herstellen: geeft een overzicht van de geautomatiseerde en handmatige acties die beschikbaar zijn in de portal om bedreigingen te herstellen. Deze sectie bevat koppelingen naar video's en zelfstudies.

Informatie over incidenten

Een incident is een keten van processen die zijn gemaakt, opdrachten en acties die mogelijk niet samenvallen. Een incident biedt een holistisch beeld en de context van verdachte of schadelijke activiteiten. Eén incident biedt u de volledige context van een aanval in plaats van honderden waarschuwingen van meerdere services te trieren.

Tip

Gedurende een beperkte periode in januari 2024, wanneer u de pagina Incidenten bezoekt, wordt Defender Boxed weergegeven. Defender Boxed markeert de beveiligingssuccessen, verbeteringen en reactieacties van uw organisatie in 2023. Als u Defender Boxed opnieuw wilt openen, gaat u in de Microsoft Defender-portal naar Incidenten en selecteert u vervolgens Uw Defender Boxed.

Microsoft Defender XDR heeft veel functies die u kunt gebruiken om op een incident te reageren. U kunt door de incidenten navigeren door alle incidenten weergeven te selecteren in de kaart Actieve incidenten op de startpagina of door Incidenten & waarschuwingen in het linkernavigatiedeelvenster.

Bekijk alle incidenten die worden weergegeven in Microsoft Defender XDR startpaginaafbeelding 1. Kaart Actieve incidenten op de startpagina van Microsoft Defender XDR

Incidentwachtrij in Microsoft Defender XDRAfbeelding 2. Incidentwachtrij

Elk incident bevat automatisch gecorreleerde waarschuwingen van verschillende detectiebronnen en kan betrekking hebben op verschillende eindpunten, identiteiten of cloud-apps.

Incident triage

De prioriteitstelling van incidenten verschilt per responder, beveiligingsteam en organisatie. Incidentresponsplannen en de richting van beveiligingsteams kunnen prioriteit geven aan incidenten.

Microsoft Defender XDR heeft verschillende indicatoren, zoals ernst van incidenten, typen gebruikers of bedreigingstypen om incidenten te sorteren en prioriteit te geven. U kunt elke combinatie van deze indicatoren gebruiken die direct beschikbaar zijn via de wachtrijfilters voor incidenten .

Een voorbeeld van het bepalen van incidentprioriteit is het combineren van de volgende factoren voor een incident:

  • Het incident heeft een hoge ernst.
  • De status van het automatiseringsonderzoek is mislukt.
  • Er zijn 5 betrokken assets waarbij twee van de assets zijn getagd met zeer vertrouwelijke gegevensgevoeligheid.
  • De incidentstatus is nieuw.
  • Het incident wordt niet toegewezen aan een teamlid voor onderzoek.

U kunt een hoge prioriteit toewijzen aan het incident met behulp van de bovenstaande informatie. U kunt uw incidentonderzoek starten zodra een prioriteit is bepaald.

Opmerking

Microsoft Defender XDR bepaalt automatisch filters zoals ernst, onderzoeksstatussen, beïnvloede assets en incidentstatussen. De informatie is gebaseerd op de netwerkactiviteiten van uw organisatie die zijn gecontextualiseerd met feeds voor bedreigingsinformatie en de toegepaste geautomatiseerde herstelacties.

Incidenten beheren

U kunt bijdragen aan de efficiëntie van incidentbeheer door essentiële informatie te verstrekken in incidenten en waarschuwingen. Wanneer u informatie toevoegt aan de volgende filters vanaf het moment dat u elk incident sorteert en analyseert, geeft u meer context aan dat incident waar andere responders van kunnen profiteren:

Meer informatie over het classificeren van incidenten en waarschuwingen via deze video:

Volgende stappen

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.