Actie ondernemen bij geavanceerde opsporingsqueryresultaten

Van toepassing op:

• Microsoft Defender XDR

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

U kunt snel bedreigingen onderschept of gecompromitteerde assets aanpakken die u in geavanceerde opsporing vindt met behulp van krachtige en uitgebreide actie-opties. Met deze opties kunt u het volgende doen:

• Verschillende acties uitvoeren op apparaten
• Bestanden in quarantaine plaatsen

Vereiste machtigingen

Als u actie wilt ondernemen op apparaten via geavanceerde opsporing, hebt u een rol in Microsoft Defender voor Eindpunt met machtigingen nodig om herstelacties op apparaten in te dienen. Als u geen actie kunt ondernemen, neemt u contact op met een globale beheerder over het verkrijgen van de volgende machtiging:

Actieve herstelacties > Bedreigings- en beveiligingsbeheer - Herstelafhandeling

Als u actie wilt ondernemen op e-mailberichten via geavanceerde opsporing, hebt u een rol nodig in Microsoft Defender voor Office 365 om e-mailberichten te zoeken en op te halen.

Verschillende acties uitvoeren op apparaten

U kunt de volgende acties uitvoeren op apparaten die worden geïdentificeerd door de DeviceId kolom in de queryresultaten:

• Betrokken apparaten isoleren om een infectie te bevatten of te voorkomen dat aanvallen lateraal worden verplaatst
• Onderzoekspakket verzamelen om meer forensische informatie te verkrijgen
• Een antivirusscan uitvoeren om bedreigingen te vinden en te verwijderen met behulp van de nieuwste updates voor beveiligingsinformatie
• Een geautomatiseerd onderzoek starten om bedreigingen op het apparaat en mogelijk andere betrokken apparaten te controleren en te herstellen
• Beperk de uitvoering van apps tot alleen door Microsoft ondertekende uitvoerbare bestanden en voorkom verdere bedreigingsactiviteiten via malware of andere niet-vertrouwde uitvoerbare bestanden

Lees meer over antwoordacties op apparaten voor meer informatie over hoe deze reactieacties worden uitgevoerd via Microsoft Defender voor Eindpunt.

Bestanden in quarantaine plaatsen

U kunt de quarantaineactie implementeren op bestanden, zodat deze automatisch in quarantaine worden geplaatst wanneer ze worden aangetroffen. Wanneer u deze actie selecteert, kunt u kiezen uit de volgende kolommen om te bepalen welke bestanden in uw query in quarantaine moeten worden geplaatst:

• SHA1: In de meeste geavanceerde opsporingstabellen verwijst deze kolom naar de SHA-1 van het bestand dat is beïnvloed door de geregistreerde actie. Als er bijvoorbeeld een bestand is gekopieerd, is dit het gekopieerde bestand.
• InitiatingProcessSHA1: In de meeste geavanceerde opsporingstabellen verwijst deze kolom naar het bestand dat verantwoordelijk is voor het initiëren van de opgenomen actie. Als er bijvoorbeeld een onderliggend proces is gestart, maakt dit initiatorbestand deel uit van het bovenliggende proces.
• SHA256: Deze kolom is het SHA-256-equivalent van het bestand dat wordt geïdentificeerd door de SHA1 kolom.
• InitiatingProcessSHA256: Deze kolom is het SHA-256-equivalent van het bestand dat wordt geïdentificeerd door de InitiatingProcessSHA1 kolom.

Lees over reactieacties op bestanden voor meer informatie over hoe quarantaineacties worden uitgevoerd en hoe bestanden kunnen worden hersteld.

Opmerking

Als u bestanden wilt zoeken en in quarantaine wilt plaatsen, moeten de queryresultaten ook waarden als apparaat-id's bevatten DeviceId .

Als u een van de beschreven acties wilt uitvoeren, selecteert u een of meer records in de queryresultaten en selecteert u vervolgens Acties ondernemen. Een wizard begeleidt u door het proces van het selecteren en vervolgens indienen van uw voorkeursacties.

Verschillende acties uitvoeren op e-mailberichten

Afgezien van apparaatgerichte herstelstappen, kunt u ook enkele acties uitvoeren op e-mailberichten vanuit uw queryresultaten. Selecteer de records waarop u actie wilt ondernemen, selecteer Acties ondernemen en selecteer vervolgens onder Acties kiezen uw keuze uit het volgende:

• Move to mailbox folder - selecteer deze optie om de e-mailberichten te verplaatsen naar de map Ongewenste e-mail, Postvak IN of Verwijderde items

  

• Delete email - selecteer deze optie om e-mailberichten te verplaatsen naar de map Verwijderde items (Voorlopig verwijderen) of om ze definitief te verwijderen (hard verwijderen)

  

U kunt ook een herstelnaam en een korte beschrijving van de uitgevoerde actie opgeven om deze eenvoudig bij te houden in de geschiedenis van het actiecentrum. U kunt ook de goedkeurings-id gebruiken om te filteren op deze acties in het actiecentrum. Deze id wordt opgegeven aan het einde van de wizard:

Deze e-mailacties zijn ook van toepassing op aangepaste detecties .

Uitgevoerde acties controleren

Elke actie wordt afzonderlijk vastgelegd in het actiecentrum onderGeschiedenis van het actiecentrum> (security.microsoft.com/action-center/history). Ga naar het actiecentrum om de status van elke actie te controleren.

Opmerking

Sommige tabellen in dit artikel zijn mogelijk niet beschikbaar in Microsoft Defender voor Eindpunt. Schakel Microsoft Defender XDR in om bedreigingen op te sporen met behulp van meer gegevensbronnen. U kunt uw geavanceerde opsporingswerkstromen van Microsoft Defender voor Eindpunt naar Microsoft Defender XDR verplaatsen door de stappen in Geavanceerde opsporingsquery's migreren van Microsoft Defender voor Eindpunt te volgen.

Verwante onderwerpen

• Overzicht van geavanceerd opsporen
• De querytaal leren
• Werken met queryresultaten
• Meer informatie over het schema
• Overzicht van actiecentrum

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.