De wachtrij Microsoft Defender voor Eindpunt waarschuwingen weergeven en organiseren
Van toepassing op:
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
In de wachtrij Waarschuwingen ziet u een lijst met waarschuwingen die zijn gemarkeerd vanaf apparaten in uw netwerk. Standaard worden in de wachtrij waarschuwingen weergegeven in de afgelopen 7 dagen in een gegroepeerde weergave. De meest recente waarschuwingen worden bovenaan de lijst weergegeven, zodat u eerst de meest recente waarschuwingen kunt zien.
Opmerking
De waarschuwingen worden aanzienlijk verminderd met geautomatiseerd onderzoek en herstel, waardoor beveiligingsexperts zich kunnen richten op geavanceerdere bedreigingen en andere hoogwaardige initiatieven. Wanneer een waarschuwing een ondersteunde entiteit bevat voor geautomatiseerd onderzoek (bijvoorbeeld een bestand) op een apparaat met een ondersteund besturingssysteem, kan een geautomatiseerd onderzoek en herstel worden gestart. Zie Overzicht van geautomatiseerde onderzoeken voor meer informatie over geautomatiseerde onderzoeken.
Er zijn verschillende opties waaruit u kunt kiezen om de weergave voor waarschuwingen aan te passen.
In de bovenste navigatie kunt u het volgende doen:
- Kolommen aanpassen om kolommen toe te voegen of te verwijderen
- Filters toepassen
- De waarschuwingen weergeven voor een bepaalde duur, zoals 1 dag, 3 dagen, 1 week, 30 dagen en 6 maanden
- De lijst met waarschuwingen exporteren naar Excel
- Waarschuwingen beheren
Waarschuwingen sorteren en filteren
U kunt de volgende filters toepassen om de lijst met waarschuwingen te beperken en een meer gerichte weergave van de waarschuwingen te krijgen.
Ernst
| Ernst van waarschuwingen | Beschrijving |
|---|---|
| Hoog (Rood) |
Waarschuwingen die vaak worden weergegeven in verband met geavanceerde permanente bedreigingen (APT). Deze waarschuwingen wijzen op een hoog risico vanwege de ernst van de schade die ze aan apparaten kunnen toebrengen. Enkele voorbeelden zijn: activiteiten van hulpprogramma's voor referentiediefstal, ransomware-activiteiten die niet zijn gekoppeld aan een groep, manipulatie met beveiligingssensoren of kwaadwillende activiteiten die duiden op een menselijke aanvaller. |
| Gemiddeld (Oranje) |
Waarschuwingen van eindpuntdetectie en reactiegedrag na inbreuk die deel kunnen uitmaken van een advanced persistent threat (APT). Dit gedrag omvat waargenomen gedrag dat typisch is voor aanvalsfasen, afwijkende registerwijziging, uitvoering van verdachte bestanden, enzovoort. Hoewel sommige mogelijk deel uitmaken van interne beveiligingstests, is onderzoek vereist, omdat het ook een onderdeel kan zijn van een geavanceerde aanval. |
| Laag (Geel) |
Waarschuwingen over bedreigingen die verband houden met gangbare malware. Bijvoorbeeld hack-tools, niet-malware hack tools, zoals het uitvoeren van verkenningsopdrachten, het wissen van logboeken, enzovoort, die vaak niet duiden op een geavanceerde bedreiging gericht op de organisatie. Het kan ook afkomstig zijn van een geïsoleerd beveiligingsprogramma dat wordt getest door een gebruiker in uw organisatie. |
| Informatief (Grijs) |
Waarschuwingen die mogelijk niet als schadelijk voor het netwerk worden beschouwd, maar die de organisatie bewust kunnen maken van mogelijke beveiligingsproblemen. |
Inzicht in de ernst van waarschuwingen
Microsoft Defender Antivirus- en Defender voor Eindpuntwaarschuwingen verschillen omdat ze verschillende bereiken vertegenwoordigen.
De ernst van de Microsoft Defender Antivirus-bedreiging vertegenwoordigt de absolute ernst van de gedetecteerde bedreiging (malware) en wordt toegewezen op basis van het potentiële risico voor het afzonderlijke apparaat, indien geïnfecteerd.
De ernst van de Defender voor Eindpunt-waarschuwing vertegenwoordigt de ernst van het gedetecteerde gedrag, het werkelijke risico voor het apparaat, maar nog belangrijker het potentiële risico voor de organisatie.
Bijvoorbeeld:
- De ernst van een Defender voor Eindpunt-waarschuwing over een Microsoft Defender Antivirus gedetecteerde bedreiging die is voorkomen en het apparaat niet infecteert, wordt gecategoriseerd als 'Informatief' omdat er geen werkelijke schade is opgetreden.
- Een waarschuwing over een commerciële malware is gedetecteerd tijdens het uitvoeren, maar geblokkeerd en hersteld door Microsoft Defender Antivirus, is gecategoriseerd als 'Laag' omdat het mogelijk enige schade heeft veroorzaakt aan het afzonderlijke apparaat, maar geen bedreiging vormt voor de organisatie.
- Een waarschuwing over malware die tijdens het uitvoeren is gedetecteerd en die een bedreiging kan vormen, niet alleen voor het afzonderlijke apparaat, maar voor de organisatie, ongeacht of deze uiteindelijk is geblokkeerd, kan worden geclassificeerd als 'Gemiddeld' of 'Hoog'.
- Verdachte gedragswaarschuwingen, die niet zijn geblokkeerd of hersteld, worden geclassificeerd als 'Laag', 'Gemiddeld' of 'Hoog' op basis van dezelfde bedreigingsoverwegingen van de organisatie.
Status
U kunt ervoor kiezen om de lijst met waarschuwingen te filteren op basis van hun status.
Opmerking
Als u de waarschuwingsstatus niet-ondersteund ziet , betekent dit dat de mogelijkheden voor geautomatiseerd onderzoek die waarschuwing niet kunnen ophalen om een geautomatiseerd onderzoek uit te voeren. U kunt deze waarschuwingen echter handmatig onderzoeken.
Categorieën
We hebben de waarschuwingscategorieën opnieuw gedefinieerd om af te stemmen op de aanvalstactieken van ondernemingen in de MITRE ATT&CK-matrix. Nieuwe categorienamen zijn van toepassing op alle nieuwe waarschuwingen. Bestaande waarschuwingen behouden de vorige categorienamen.
Servicebronnen
U kunt de waarschuwingen filteren op basis van de volgende servicebronnen:
- Microsoft Defender for Identity
- Microsoft Defender for Cloud Apps
- Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
- Microsoft Defender voor Office 365
- App-beheer
- Microsoft Entra ID Protection
Klanten van Microsoft Endpoint Notification kunnen nu detecties van de service filteren en zien door te filteren op Microsoft Defender experts die zijn genest onder de Microsoft Defender voor Eindpunt servicebron.
Opmerking
Het antivirusfilter wordt alleen weergegeven als apparaten Microsoft Defender Antivirus gebruiken als het standaard antimalwareproduct voor realtimebeveiliging.
Tags
U kunt de waarschuwingen filteren op basis van tags die zijn toegewezen aan waarschuwingen.
Beleid
U kunt de waarschuwingen filteren op basis van het volgende beleid:
| Detectiebron | API-waarde |
|---|---|
| Sensoren van derden | ThirdPartySensors |
| Antivirus | WindowsDefenderAv |
| Geautomatiseerd onderzoek | AutomatedInvestigation |
| Aangepaste detectie | CustomDetection |
| Aangepaste TI | CustomerTI |
| EDR | WindowsDefenderAtp |
| Microsoft Defender XDR | MTP |
| Microsoft Defender voor Office 365 | OfficeATP |
| Microsoft Defender experts | ThreatExperts |
| Smartscreen | WindowsDefenderSmartScreen |
Entiteiten
U kunt de waarschuwingen filteren op basis van de naam of id van de entiteit.
Status van geautomatiseerd onderzoek
U kunt ervoor kiezen om de waarschuwingen te filteren op basis van hun status van geautomatiseerd onderzoek.
Verwante onderwerpen
- Microsoft Defender voor Eindpunt-waarschuwingen beheren
- Microsoft Defender voor Eindpunt-waarschuwingen onderzoeken
- Een bestand onderzoeken dat is gekoppeld aan een Microsoft Defender voor Eindpunt-waarschuwing
- Apparaten onderzoeken in de lijst Microsoft Defender voor Eindpunt apparaten
- Een IP-adres onderzoeken dat is gekoppeld aan een Microsoft Defender voor Eindpunt-waarschuwing
- Een domein onderzoeken dat is gekoppeld aan een Microsoft Defender voor Eindpunt-waarschuwing
- Een gebruikersaccount onderzoeken in Microsoft Defender voor Eindpunt
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub Issues geleidelijk uitfaseren als het feedbackmechanisme voor inhoud. Het wordt vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor