Waarschuwingen controleren in Microsoft Defender voor Eindpunt

  • Artikel

Van toepassing op:

Wilt u Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

De waarschuwingspagina in Microsoft Defender voor Eindpunt biedt volledige context voor de waarschuwing door aanvalssignalen en waarschuwingen met betrekking tot de geselecteerde waarschuwing te combineren om een gedetailleerd waarschuwingsverhaal samen te stellen.

Snel sorteren, onderzoeken en effectieve actie ondernemen op waarschuwingen die van invloed zijn op uw organisatie. Begrijpen waarom ze zijn geactiveerd en wat de impact ervan is op één locatie. Meer informatie in dit overzicht.

Aan de slag met een waarschuwing

Als u de naam van een waarschuwing selecteert in Defender for Endpoint, wordt u op de waarschuwingspagina geplaatst. Op de waarschuwingspagina wordt alle informatie weergegeven in de context van de geselecteerde waarschuwing. Elke waarschuwingspagina bestaat uit vier secties:

  1. De waarschuwingstitel geeft de naam van de waarschuwing weer en is er om u eraan te herinneren welke waarschuwing uw huidige onderzoek is gestart, ongeacht wat u op de pagina hebt geselecteerd.
  2. Betrokken assets bevat kaarten van apparaten en gebruikers die worden beïnvloed door deze waarschuwing waarop kan worden geklikt voor meer informatie en acties.
  3. In het waarschuwingsverhaal worden alle entiteiten weergegeven die betrekking hebben op de waarschuwing, met elkaar verbonden door een structuurweergave. De waarschuwing in de titel is de waarschuwing die de focus heeft wanneer u voor het eerst op de pagina van de geselecteerde waarschuwing terechtkomt. Entiteiten in het waarschuwingsverhaal zijn uitbreidbaar en klikbaar, om aanvullende informatie te bieden en de reactie te versnellen door u toe te staan acties rechtstreeks in de context van de waarschuwingspagina uit te voeren. Gebruik het waarschuwingsverhaal om uw onderzoek te starten. Lees hoe u dit doet in Waarschuwingen onderzoeken in Microsoft Defender voor Eindpunt.
  4. In het detailvenster worden eerst de details van de geselecteerde waarschuwing weergegeven, met details en acties met betrekking tot deze waarschuwing. Als u een van de betrokken assets of entiteiten selecteert in het waarschuwingsverhaal, wordt het detailvenster gewijzigd om contextuele informatie en acties voor het geselecteerde object te bieden.

Noteer de detectiestatus voor uw waarschuwing.

  • Voorkomen: de poging tot verdachte actie is vermeden. Een bestand is bijvoorbeeld niet naar de schijf geschreven of uitgevoerd.

    De pagina met de preventie van een bedreiging

  • Geblokkeerd: verdacht gedrag is uitgevoerd en vervolgens geblokkeerd. Een proces is bijvoorbeeld uitgevoerd, maar omdat het vervolgens verdacht gedrag vertoonde, is het proces beëindigd.

    De pagina met de blokkering van een bedreiging

  • Gedetecteerd: er is een aanval gedetecteerd en is mogelijk nog steeds actief.

    De pagina met de detectie van een bedreiging

U kunt vervolgens ook de details van geautomatiseerd onderzoek bekijken in het detailvenster van uw waarschuwing om te zien welke acties al zijn uitgevoerd en om de beschrijving van de waarschuwing voor aanbevolen acties te lezen.

Het detailvenster met de waarschuwingsbeschrijving en secties voor automatisch onderzoek gemarkeerd

Andere informatie die beschikbaar is in het detailvenster wanneer de waarschuwing wordt geopend, omvat MITRE-technieken, bron en aanvullende contextuele details.

Opmerking

Als u de waarschuwingsstatus niet-ondersteund ziet , betekent dit dat de mogelijkheden voor geautomatiseerd onderzoek die waarschuwing niet kunnen ophalen om een geautomatiseerd onderzoek uit te voeren. U kunt deze waarschuwingen echter handmatig onderzoeken.

Betrokken assets controleren

Als u een apparaat of een gebruikerskaart selecteert in de betreffende assetssecties, wordt overgeschakeld naar de details van het apparaat of de gebruiker in het detailvenster.

  • Voor apparaten wordt in het detailvenster informatie over het apparaat zelf weergegeven, zoals Domein, Besturingssysteem en IP. Actieve waarschuwingen en de aangemelde gebruikers op dat apparaat zijn ook beschikbaar. U kunt onmiddellijk actie ondernemen door het apparaat te isoleren, de uitvoering van de app te beperken of een antivirusscan uit te voeren. U kunt ook een onderzoekspakket verzamelen, een geautomatiseerd onderzoek starten of naar de apparaatpagina gaan om dit vanuit het oogpunt van het apparaat te onderzoeken.

    Het detailvenster wanneer een apparaat is geselecteerd

  • Voor gebruikers worden in het detailvenster gedetailleerde gebruikersgegevens weergegeven, zoals de SAM-naam en SID van de gebruiker, evenals aanmeldingstypen die door deze gebruiker worden uitgevoerd en eventuele waarschuwingen en incidenten die eraan zijn gerelateerd. U kunt Gebruikerspagina openen selecteren om het onderzoek vanuit het oogpunt van die gebruiker voort te zetten.

    Het detailvenster wanneer een gebruiker is geselecteerd

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.