De wachtrij met Microsoft Defender voor Eindpunt-waarschuwingen weergeven en organiseren

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

De wachtrij Waarschuwingen bevat een lijst met waarschuwingen die zijn gemarkeerd vanaf apparaten in uw netwerk. Standaard worden in de wachtrij waarschuwingen weergegeven die in de afgelopen 30 dagen in een gegroepeerde weergave zijn weergegeven. De meest recente waarschuwingen worden bovenaan de lijst weergegeven, zodat u eerst de meest recente waarschuwingen kunt zien.

Opmerking

De waarschuwingen worden aanzienlijk verminderd met geautomatiseerd onderzoek en herstel, zodat beveiligingsexperts zich kunnen richten op geavanceerdere bedreigingen en andere hoogwaardige initiatieven. Wanneer een waarschuwing een ondersteunde entiteit bevat voor geautomatiseerd onderzoek (bijvoorbeeld een bestand) op een apparaat met een ondersteund besturingssysteem, kan een geautomatiseerd onderzoek en herstel worden gestart. Zie Overzicht van geautomatiseerde onderzoeken voor meer informatie over geautomatiseerde onderzoeken.

Er zijn verschillende opties waaruit u kunt kiezen om de waarschuwingsweergave aan te passen.

Op de bovenste navigatiebalk kunt u het volgende doen:

  • Kolommen aanpassen om kolommen toe te voegen of te verwijderen
  • Filters toepassen
  • De waarschuwingen voor een bepaalde duur weergeven, zoals 1 dag, 3 dagen, 1 week, 30 dagen en 6 maanden
  • De lijst met waarschuwingen exporteren naar Excel
  • Waarschuwingen beheren

De pagina Waarschuwingenwachtrij

Waarschuwingen sorteren en filteren

U kunt de volgende filters toepassen om de lijst met waarschuwingen te beperken en een meer gerichte weergave van de waarschuwingen te krijgen.

Ernst

Ernst van waarschuwing Beschrijving
Hoog
(Rood)
Waarschuwingen die vaak worden gezien in verband met geavanceerde permanente bedreigingen (APT). Deze waarschuwingen duiden op een hoog risico vanwege de ernst van de schade die ze op apparaten kunnen veroorzaken. Enkele voorbeelden zijn: activiteiten van referentiediefstalprogramma's, ransomware-activiteiten die niet zijn gekoppeld aan een groep, manipulatie met beveiligingssensoren of schadelijke activiteiten die duiden op een menselijke kwaadwillende persoon.
Gemiddeld
(Oranje)
Waarschuwingen van eindpuntdetectie en reactie na inbreukgedrag dat mogelijk deel uitmaakt van een advanced persistent threat (APT). Dit gedrag omvat waargenomen gedrag dat typisch is voor aanvalsfasen, afwijkende registerwijziging, uitvoering van verdachte bestanden, enzovoort. Hoewel sommige deel kunnen uitmaken van interne beveiligingstests, is onderzoek vereist, omdat het ook een onderdeel kan zijn van een geavanceerde aanval.
Laag
(Geel)
Waarschuwingen voor bedreigingen die zijn gekoppeld aan gangbare malware. Bijvoorbeeld hack-tools, niet-malware hack tools, zoals het uitvoeren van verkenningsopdrachten, het wissen van logboeken, enzovoort, die vaak niet wijzen op een geavanceerde bedreiging gericht op de organisatie. Het kan ook afkomstig zijn van een geïsoleerd beveiligingshulpprogramma dat door een gebruiker in uw organisatie wordt getest.
Informatief
(Grijs)
Waarschuwingen die mogelijk niet als schadelijk voor het netwerk worden beschouwd, maar die de beveiligingsstatus van de organisatie kunnen stimuleren bij potentiële beveiligingsproblemen.

Inzicht in ernst van waarschuwing

Microsoft Defender de ernst van waarschuwingen van Antivirus en Defender voor Eindpunt verschillen omdat ze verschillende bereiken vertegenwoordigen.

De ernst van de Microsoft Defender Antivirus-bedreiging vertegenwoordigt de absolute ernst van de gedetecteerde bedreiging (malware) en wordt toegewezen op basis van het potentiële risico voor het afzonderlijke apparaat, indien geïnfecteerd.

De ernst van de Defender voor Eindpunt-waarschuwing geeft de ernst aan van het gedetecteerde gedrag, het werkelijke risico voor het apparaat, maar belangrijker het potentiële risico voor de organisatie.

Bijvoorbeeld:

  • De ernst van een Defender voor Eindpunt-waarschuwing over een Microsoft Defender Antivirus heeft een bedreiging gedetecteerd die is voorkomen en het apparaat niet heeft geïnfecteerd, wordt gecategoriseerd als 'Informatielijk' omdat er geen werkelijke schade is opgetreden.
  • Er is een waarschuwing over een commerciële malware gedetecteerd tijdens het uitvoeren, maar geblokkeerd en hersteld door Microsoft Defender Antivirus, is gecategoriseerd als 'Laag' omdat het mogelijk enige schade heeft veroorzaakt aan het afzonderlijke apparaat, maar geen organisatorische bedreiging vormt.
  • Een waarschuwing over malware die is gedetecteerd tijdens het uitvoeren, wat niet alleen een bedreiging kan vormen voor het afzonderlijke apparaat, maar ook voor de organisatie, ongeacht of het uiteindelijk is geblokkeerd, kan worden geclassificeerd als 'Gemiddeld' of 'Hoog'.
  • Verdachte gedragswaarschuwingen, die niet zijn geblokkeerd of hersteld, krijgen de rang 'Laag', 'Gemiddeld' of 'Hoog' op basis van dezelfde bedreigingsoverwegingen van de organisatie.

Status

U kunt ervoor kiezen om de lijst met waarschuwingen te filteren op basis van hun status.

Opmerking

Als u de waarschuwingsstatus niet-ondersteund waarschuwingstype ziet, betekent dit dat geautomatiseerde onderzoeksmogelijkheden die waarschuwing niet kunnen ophalen om een geautomatiseerd onderzoek uit te voeren. U kunt deze waarschuwingen echter handmatig onderzoeken.

Categorieën

We hebben de waarschuwingscategorieën opnieuw gedefinieerd om deze af te stemmen op de aanvalstactieken van ondernemingen in de MITRE ATT&CK-matrix. Nieuwe categorienamen zijn van toepassing op alle nieuwe waarschuwingen. Bestaande waarschuwingen behouden de namen van de vorige categorieën.

Servicebronnen

Microsoft Threat Experts preview-deelnemers kunnen nu filteren en detecties zien van de nieuwe door bedreigingsexperts beheerde opsporingsservice.

Filter de waarschuwingen op basis van de volgende servicebronnen:

  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender voor Eindpunt
  • Microsoft 365 Defender
  • Microsoft Defender voor Office 365
  • App-beheer
  • AAD Identity Protection

Opmerking

Het antivirusfilter wordt alleen weergegeven als apparaten Microsoft Defender Antivirus gebruiken als het standaard antimalwareproduct voor realtime-beveiliging.

Tags

U kunt de waarschuwingen filteren op basis van tags die zijn toegewezen aan waarschuwingen.

Beleid

U kunt de waarschuwingen filteren op basis van de volgende beleidsregels:

Detectiebron API-waarde
Sensoren van derden ThirdPartySensors
Antivirus WindowsDefenderAv
Geautomatiseerd onderzoek AutomatedInvestigation
Aangepaste detectie CustomDetection
Aangepaste TI CustomerTI
Edr WindowsDefenderAtp
Microsoft 365 Defender Mtp
Microsoft Defender voor Office 365 OfficeATP
Microsoft Threat Experts ThreatExperts
Smartscreen WindowsDefenderSmartScreen

Entiteiten

U kunt de waarschuwingen filteren op basis van de naam of id van de entiteit.

Status van geautomatiseerd onderzoek

U kunt ervoor kiezen om de waarschuwingen te filteren op basis van hun geautomatiseerde onderzoeksstatus.