Reageren op uw eerste incident in Microsoft Defender XDR

Van toepassing op:

• Microsoft Defender XDR

Deze handleiding bevat Microsoft-resources voor nieuwe Microsoft Defender XDR gebruikers om met vertrouwen dagelijkse incidentresponstaken uit te voeren terwijl ze de portal gebruiken. De beoogde resultaten van het gebruik van deze handleiding zijn:

• U leert snel hoe u Microsoft Defender XDR kunt gebruiken om te reageren op incidenten en waarschuwingen.
• U ontdekt de functies van de portal om incidenten te onderzoeken en te herstellen via de video's en zelfstudies.

Microsoft Defender XDR stelt u in staat om relevante bedreigingsevenementen te zien in alle assets (apparaten, identiteiten, postvakken, cloud-apps en meer). De portal consolideert signalen van de Defender-beveiligingssuite, Microsoft Sentinel en andere geïntegreerde SIEM-oplossingen (Security Information and Event Management). Met gecorreleerde informatie over aanvallen met volledige context in één deelvenster van glas kunt u uw organisatie met succes verdedigen en beschermen.

Deze handleiding bevat drie hoofdsecties:

• Inzicht in incidenten: toegang krijgen tot incidenten, triëren en beheren binnen de portal
• Aanvallen analyseren: een verzameling video's en zelfstudies over het onderzoeken van specifieke aanvallen met behulp van de functies van de portal.
• Aanvallen herstellen: geeft een overzicht van de geautomatiseerde en handmatige acties die beschikbaar zijn in de portal om bedreigingen te herstellen. Deze sectie bevat koppelingen naar video's en zelfstudies.

Informatie over incidenten

Een incident is een keten van processen die zijn gemaakt, opdrachten en acties die mogelijk niet samenvallen. Een incident biedt een holistisch beeld en de context van verdachte of schadelijke activiteiten. Eén incident biedt u de volledige context van een aanval in plaats van honderden waarschuwingen van meerdere services te trieren.

Microsoft Defender XDR heeft veel functies die u kunt gebruiken om op een incident te reageren. U kunt door de incidenten navigeren door alle incidenten weergeven te selecteren in de kaart Actieve incidenten op de startpagina of door Incidenten & waarschuwingen in het linkernavigatiedeelvenster.

afbeelding 1. Kaart Actieve incidenten op de startpagina van Microsoft Defender XDR

Afbeelding 2. Incidentwachtrij

Elk incident bevat automatisch gecorreleerde waarschuwingen van verschillende detectiebronnen en kan betrekking hebben op verschillende eindpunten, identiteiten of cloud-apps.

Incident triage

De prioriteitstelling van incidenten verschilt per responder, beveiligingsteam en organisatie. Incidentresponsplannen en de richting van beveiligingsteams kunnen prioriteit geven aan incidenten.

Microsoft Defender XDR heeft verschillende indicatoren, zoals ernst van incidenten, typen gebruikers of bedreigingstypen om incidenten te sorteren en prioriteit te geven. U kunt elke combinatie van deze indicatoren gebruiken die direct beschikbaar zijn via de wachtrijfilters voor incidenten .

Een voorbeeld van het bepalen van incidentprioriteit is het combineren van de volgende factoren voor een incident:

• Het incident heeft een hoge ernst.
• De status van het automatiseringsonderzoek is mislukt.
• Er zijn 5 betrokken assets waarbij twee van de assets zijn getagd met zeer vertrouwelijke gegevensgevoeligheid.
• De incidentstatus is nieuw.
• Het incident wordt niet toegewezen aan een teamlid voor onderzoek.

U kunt een hoge prioriteit toewijzen aan het incident met behulp van de bovenstaande informatie. U kunt uw incidentonderzoek starten zodra een prioriteit is bepaald.

Opmerking

Microsoft Defender XDR bepaalt automatisch filters zoals ernst, onderzoeksstatussen, beïnvloede assets en incidentstatussen. De informatie is gebaseerd op de netwerkactiviteiten van uw organisatie die zijn gecontextualiseerd met feeds voor bedreigingsinformatie en de toegepaste geautomatiseerde herstelacties.

Incidenten beheren

U kunt bijdragen aan de efficiëntie van incidentbeheer door essentiële informatie te verstrekken in incidenten en waarschuwingen. Wanneer u informatie toevoegt aan de volgende filters vanaf het moment dat u elk incident sorteert en analyseert, geeft u meer context aan dat incident waar andere responders van kunnen profiteren:

• Incidenten en waarschuwingen classificeren
• Naamgeving van incidenten
• Tags toevoegen
• Opmerkingen geven

Meer informatie over het classificeren van incidenten en waarschuwingen via deze video:

Volgende stappen

• Uw eerste incident analyseren
• Uw eerste incident herstellen
• Bekijk demo's en de nieuwe ontwikkelingen van de portal in de Microsoft Defender XDR Virtual Ninja Training

Zie ook

• Microsoft Defender XDR integreren in uw beveiligingsbewerkingen
• Reageren op veelvoorkomende aanvallen met behulp van playbooks voor reactie op incidenten
• Meer informatie over de functies en functies van de portal via de Microsoft Defender XDR Ninja-training

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.