Microsoft Defender voor Eindpunt-waarschuwingen beheren
Van toepassing op:
- Plan 1 voor Microsoft Defender voor Eindpunt
- Plan 2 voor Microsoft Defender voor Eindpunt
- Microsoft Defender XDR
Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.
Defender voor Eindpunt waarschuwt u over mogelijke schadelijke gebeurtenissen, kenmerken en contextuele informatie via waarschuwingen. Er wordt een overzicht van nieuwe waarschuwingen weergegeven en u hebt toegang tot alle waarschuwingen in de wachtrij Waarschuwingen.
U kunt waarschuwingen beheren door een waarschuwing te selecteren in de wachtrij Waarschuwingen of het tabblad Waarschuwingen van de pagina Apparaat voor een afzonderlijk apparaat.
Als u op een van deze plaatsen een waarschuwing selecteert, wordt het deelvenster Waarschuwingsbeheer weergegeven.
Bekijk deze video voor meer informatie over het gebruik van de nieuwe Microsoft Defender voor Eindpunt waarschuwingspagina.
Koppeling naar een ander incident
U kunt een nieuw incident maken vanuit de waarschuwing of een koppeling naar een bestaand incident.
Waarschuwingen toewijzen
Als er nog geen waarschuwing is toegewezen, kunt u Toewijzen aan mij selecteren om de waarschuwing aan uzelf toe te wijzen.
Waarschuwingen onderdrukken
Er kunnen scenario's zijn waarin u moet voorkomen dat waarschuwingen worden weergegeven in Microsoft Defender XDR. Met Defender voor Eindpunt kunt u onderdrukkingsregels maken voor specifieke waarschuwingen die onschadelijk zijn, zoals bekende hulpprogramma's of processen in uw organisatie.
Onderdrukkingsregels kunnen worden gemaakt op basis van een bestaande waarschuwing. Ze kunnen indien nodig worden uitgeschakeld en opnieuw worden ingeschakeld.
Wanneer een onderdrukkingsregel wordt gemaakt, wordt deze van kracht vanaf het moment dat de regel wordt gemaakt. De regel heeft geen invloed op bestaande waarschuwingen die al in de wachtrij staan, voordat de regel wordt gemaakt. De regel wordt alleen toegepast op waarschuwingen die voldoen aan de voorwaarden die zijn ingesteld nadat de regel is gemaakt.
Er zijn twee contexten voor een onderdrukkingsregel waaruit u kunt kiezen:
- Waarschuwing onderdrukken op dit apparaat
- Waarschuwing onderdrukken in mijn organisatie
Met de context van de regel kunt u aanpassen wat in de portal wordt weergegeven en ervoor zorgen dat alleen echte beveiligingswaarschuwingen in de portal worden weergegeven.
U kunt de voorbeelden in de volgende tabel gebruiken om de context voor een onderdrukkingsregel te kiezen:
| Context | Definitie | Voorbeeldscenario's |
|---|---|---|
| Waarschuwing onderdrukken op dit apparaat | Waarschuwingen met dezelfde waarschuwingstitel en alleen op dat specifieke apparaat worden onderdrukt. Alle andere waarschuwingen op dat apparaat worden niet onderdrukt. |
|
| Waarschuwing onderdrukken in mijn organisatie | Waarschuwingen met dezelfde waarschuwingstitel op elk apparaat worden onderdrukt. |
|
Een waarschuwing onderdrukken en een nieuwe onderdrukkingsregel maken
Creatie aangepaste regels om te bepalen wanneer waarschuwingen worden onderdrukt of opgelost. U kunt de context bepalen voor wanneer een waarschuwing wordt onderdrukt door de titel van de waarschuwing, indicator van inbreuk en de voorwaarden op te geven. Nadat u de context hebt opgegeven, kunt u de actie en het bereik van de waarschuwing configureren.
Selecteer de waarschuwing die u wilt onderdrukken. Hiermee wordt het deelvenster Waarschuwingsbeheer weergegeven.
Selecteer Creatie een onderdrukkingsregel.
U kunt een onderdrukkingsvoorwaarde maken met behulp van deze kenmerken. Er wordt een AND-operator toegepast tussen elke voorwaarde, zodat onderdrukking alleen plaatsvindt als aan alle voorwaarden wordt voldaan.
- Bestand SHA1
- Bestandsnaam - jokerteken ondersteund
- Mappad - jokerteken ondersteund
- IP-adres
- URL - jokerteken ondersteund
- Opdrachtregel - jokerteken ondersteund
Selecteer de IOC activeren.
Geef de actie en het bereik van de waarschuwing op.
U kunt een waarschuwing automatisch oplossen of verbergen in de portal. Waarschuwingen die automatisch worden opgelost, worden weergegeven in de sectie Opgelost van de waarschuwingswachtrij, waarschuwingspagina en apparaattijdlijn en worden weergegeven als opgelost in defender voor eindpunt-API's.
Waarschuwingen die als verborgen zijn gemarkeerd, worden onderdrukt vanuit het hele systeem, zowel op de gekoppelde waarschuwingen van het apparaat als vanuit het dashboard en worden niet gestreamd tussen Defender voor Eindpunt-API's.
Voer een regelnaam en een opmerking in.
Klik op Opslaan.
De lijst met onderdrukkingsregels weergeven
Selecteer in het navigatiedeelvenster Instellingen>Eindpunten>Regels>Waarschuwingsonderdrukking.
De lijst met onderdrukkingsregels bevat alle regels die gebruikers in uw organisatie hebben gemaakt.
Zie Onderdrukkingsregels beheren voor meer informatie over het beheren van onderdrukkingsregels.
De status van een waarschuwing wijzigen
U kunt waarschuwingen categoriseren (als Nieuw, Wordt uitgevoerd of Opgelost) door hun status te wijzigen naarmate uw onderzoek vordert. Hiermee kunt u organiseren en beheren hoe uw team kan reageren op waarschuwingen.
Een teamleider kan bijvoorbeeld alle nieuwe waarschuwingen bekijken en besluiten deze toe te wijzen aan de wachtrij In uitvoering voor verdere analyse.
De teamleider kan de waarschuwing ook toewijzen aan de wachtrij Opgelost als deze weet dat de waarschuwing goedaardig is, afkomstig is van een apparaat dat niet relevant is (zoals een apparaat van een beveiligingsbeheerder) of dat wordt verwerkt via een eerdere waarschuwing.
Waarschuwingsclassificatie
U kunt ervoor kiezen om geen classificatie in te stellen of op te geven of een waarschuwing een echte of een valse waarschuwing is. Het is belangrijk om de classificatie waar-positief/fout-positief op te geven. Deze classificatie wordt gebruikt om de kwaliteit van waarschuwingen te bewaken en waarschuwingen nauwkeuriger te maken. Het veld 'bepaling' definieert aanvullende betrouwbaarheid voor een 'true positive' classificatie.
De stappen voor het classificeren van waarschuwingen zijn opgenomen in deze video:
Opmerkingen toevoegen en de geschiedenis van een waarschuwing weergeven
U kunt opmerkingen toevoegen en historische gebeurtenissen over een waarschuwing bekijken om eerdere wijzigingen in de waarschuwing te bekijken.
Wanneer een wijziging of opmerking wordt aangebracht in een waarschuwing, wordt deze vastgelegd in de sectie Opmerkingen en geschiedenis .
Toegevoegde opmerkingen worden direct weergegeven in het deelvenster.
Verwante artikelen
- Uitsluitingen voor Microsoft Defender voor Eindpunt en Microsoft Defender Antivirus
- Onderdrukkende regels beheren
- De wachtrij Microsoft Defender voor Eindpunt waarschuwingen weergeven en organiseren
- Microsoft Defender voor Eindpunt-waarschuwingen onderzoeken
- Een bestand onderzoeken dat is gekoppeld aan een Microsoft Defender voor Eindpunt-waarschuwing
- Apparaten onderzoeken in de lijst Microsoft Defender voor Eindpunt apparaten
- Een IP-adres onderzoeken dat is gekoppeld aan een Microsoft Defender voor Eindpunt-waarschuwing
- Een domein onderzoeken dat is gekoppeld aan een Microsoft Defender voor Eindpunt-waarschuwing
- Een gebruikersaccount onderzoeken in Microsoft Defender voor Eindpunt
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor