Reactie op incidenten met Microsoft 365 Defender

Opmerking

Wilt u Microsoft 365 Defender ervaren? Meer informatie over hoe u Microsoft 365 Defender kunt evalueren en piloten.

Van toepassing op:

  • Microsoft 365 Defender

Een incident in Microsoft 365 Defender is een verzameling gecorreleerde waarschuwingen en bijbehorende gegevens die het verhaal van een aanval vormen.

Microsoft 365-services en -apps maken waarschuwingen wanneer ze een verdachte of schadelijke gebeurtenis of activiteit detecteren. Afzonderlijke waarschuwingen bieden waardevolle aanwijzingen over een voltooide of doorlopende aanval. Aanvallen maken echter meestal gebruik van verschillende technieken tegen verschillende typen entiteiten, zoals apparaten, gebruikers en postvakken. Het resultaat is meerdere waarschuwingen voor meerdere entiteiten in uw tenant.

Omdat het samenvoegen van de afzonderlijke waarschuwingen om inzicht te krijgen in een aanval lastig en tijdrovend kan zijn, worden Microsoft 365 Defender de waarschuwingen en de bijbehorende informatie automatisch samengevoegd tot een incident.

Hoe Microsoft 365 Defender gebeurtenissen van entiteiten in een incident correleert.

Door gerelateerde waarschuwingen in een incident te groeperen, krijgt u een uitgebreid overzicht van een aanval. U kunt bijvoorbeeld het volgende zien:

  • Waar de aanval begon.
  • Welke tactieken werden gebruikt.
  • Hoe ver de aanval in uw tenant is gegaan.
  • Het bereik van de aanval, zoals het aantal apparaten, gebruikers en postvakken dat is beïnvloed.
  • Alle gegevens die aan de aanval zijn gekoppeld.

Als dit is ingeschakeld, kunt Microsoft 365 Defender waarschuwingen automatisch onderzoeken en oplossen via automatisering en kunstmatige intelligentie. U kunt ook extra herstelstappen uitvoeren om de aanval op te lossen.

Incidenten en waarschuwingen in de Microsoft 365 Defender-portal

U beheert incidenten vanuit incidentenwaarschuwingen &> Incidenten bij het snel starten van de Microsoft 365 Defender-portal. Hier is een voorbeeld.

De pagina Incidenten in de Microsoft 365 Defender portal.

Als u een incidentnaam selecteert, wordt het hele aanvalsverhaal van het incident weergegeven, inclusief:

  • Waarschuwingspagina in incident: het bereik van waarschuwingen met betrekking tot het incident en de bijbehorende informatie op hetzelfde tabblad.
  • Graph: Een visuele weergave van de aanval die de verschillende verdachte entiteiten die deel uitmaken van de aanval verbindt met hun gerelateerde assets, zoals gebruikers, apparaten en postvakken.

U kunt de entiteitsdetails rechtstreeks vanuit de grafiek bekijken en hierop reageren met antwoordopties zoals bestand verwijderen of apparaatisolatie.

Schermopname van de pagina met het aanvalsverhaal voor een incident in de Microsoft 365 Defender portal.

De extra tabbladen voor een incident zijn:

  • Waarschuwingen

    Alle waarschuwingen met betrekking tot het incident en hun informatie.

  • Apparaten

    Alle apparaten waarvan is vastgesteld dat ze deel uitmaken van of gerelateerd zijn aan het incident.

  • Gebruikers

    Alle gebruikers waarvan is vastgesteld dat ze deel uitmaken van of gerelateerd zijn aan het incident.

  • Postvakken

    Alle postvakken die zijn geïdentificeerd als onderdeel van of gerelateerd aan het incident.

  • Onderzoeken

    Alle geautomatiseerde onderzoeken die zijn geactiveerd door waarschuwingen in het incident.

  • Bewijs en antwoord

    Alle ondersteunde gebeurtenissen en verdachte entiteiten in de waarschuwingen van het incident.

  • Samenvatting

    Een kort overzicht van de betrokken assets die zijn gekoppeld aan waarschuwingen.

Opmerking

Als u een waarschuwingsstatus van het type Niet-ondersteund ziet , betekent dit dat de mogelijkheden voor geautomatiseerd onderzoek die waarschuwing niet kunnen ophalen om een geautomatiseerd onderzoek uit te voeren. U kunt deze waarschuwingen echter handmatig onderzoeken.

Voorbeeldwerkstroom voor reactie op incidenten voor Microsoft 365 Defender

Hier volgt een voorbeeldwerkstroom voor het reageren op incidenten in Microsoft 365 met de Microsoft 365 Defender portal.

Een voorbeeld van een werkstroom voor het reageren op incidenten voor de Microsoft 365 Defender portal.

Identificeer voortdurend de incidenten met de hoogste prioriteit voor analyse en oplossing in de incidentwachtrij en bereid ze voor op reactie. Dit is een combinatie van:

  • Triging om de incidenten met de hoogste prioriteit te bepalen door de incidentwachtrij te filteren en te sorteren.
  • Incidenten beheren door de titel ervan te wijzigen, ze toe te wijzen aan een analist en tags en opmerkingen toe te voegen.

Overweeg deze stappen voor uw eigen werkstroom voor incidentrespons:

  1. Begin voor elk incident met een aanvals- en waarschuwingsonderzoek en -analyse:

    1. Bekijk het aanvalsverhaal van het incident om inzicht te krijgen in het bereik, de ernst, de detectiebron en welke entiteiten worden beïnvloed.

    2. Begin met het analyseren van de waarschuwingen om inzicht te hebben in de oorsprong, het bereik en de ernst van de waarschuwingen met het waarschuwingsverhaal binnen het incident.

    3. Verzamel zo nodig informatie over betrokken apparaten, gebruikers en postvakken met behulp van de grafiek. Klik met de rechtermuisknop op een entiteit om een flyout met alle details te openen.

    4. Bekijk hoe Microsoft 365 Defender sommige waarschuwingen automatisch heeft opgelost met het tabblad Onderzoeken.

    5. Gebruik indien nodig informatie in de gegevensset voor het incident voor meer informatie op het tabblad Bewijs en antwoord .

  2. Voer na of tijdens uw analyse insluiting uit om de extra impact van de aanval en de uitroeiing van de beveiligingsrisico's te beperken.

  3. Herstel zoveel mogelijk van de aanval door uw tenantresources te herstellen naar de staat waarin ze zich vóór het incident bevonden.

  4. Los het incident op en neem de tijd om het volgende na het incident te leren:

    • Inzicht in het type aanval en de impact ervan.
    • Onderzoek de aanval in Bedreigingsanalyse en de beveiligingscommunity voor een trend voor beveiligingsaanvallen.
    • Herinner de werkstroom die u hebt gebruikt om het incident op te lossen en werk uw standaardwerkstromen, processen, beleidsregels en playbooks zo nodig bij.
    • Bepaal of er wijzigingen in uw beveiligingsconfiguratie nodig zijn en implementeer deze.

Als u geen kennis hebt van beveiligingsanalyse, raadpleegt u de inleiding om te reageren op uw eerste incident voor meer informatie en om een voorbeeldincident te doorlopen.

Zie dit artikel voor meer informatie over het reageren op incidenten in Microsoft-producten.

Voorbeeld van beveiligingsbewerkingen voor Microsoft 365 Defender

Hier volgt een voorbeeld van beveiligingsbewerkingen (SecOps) voor Microsoft 365 Defender.

Een voorbeeld van beveiligingsbewerkingen voor Microsoft 365 Defender

Dagelijkse taken kunnen het volgende omvatten:

Maandelijkse taken kunnen het volgende omvatten:

Driemaandelijkse taken kunnen een rapport en een briefing van beveiligingsresultaten aan de Chief Information Security Officer (CISO) omvatten.

Jaarlijkse taken kunnen het uitvoeren van een groot incident of inbreukoefening omvatten om uw personeel, systemen en processen te testen.

Dagelijkse, maandelijkse, driemaandelijkse en jaarlijkse taken kunnen worden gebruikt om processen, beleidsregels en beveiligingsconfiguraties bij te werken of te verfijnen.

Zie Integratie van Microsoft 365 Defender in uw beveiligingsbewerkingen voor meer informatie.

SecOps-resources in Microsoft-producten

Zie deze resources voor meer informatie over SecOps in microsoft-producten:

Incidentmeldingen per e-mail ontvangen

U kunt Microsoft 365 Defender instellen om uw personeel via een e-mail op de hoogte te stellen van nieuwe incidenten of updates van bestaande incidenten. U kunt ervoor kiezen om meldingen te ontvangen op basis van:

  • Ernst van waarschuwing
  • Waarschuwingsbronnen
  • Apparaatgroep

Ervoor kiezen om alleen e-mailmeldingen te ontvangen voor een specifieke servicebron: u kunt eenvoudig specifieke servicebronnen selecteren waarvoor u e-mailmeldingen wilt ontvangen.

Krijg meer granulariteit met specifieke detectiebronnen: u kunt alleen meldingen ontvangen voor een specifieke detectiebron.

De ernst per detectie of servicebron instellen: u kunt ervoor kiezen om alleen e-mailmeldingen te ontvangen voor specifieke ernst per bron. U kunt bijvoorbeeld een melding ontvangen voor waarschuwingen voor gemiddeld en hoog voor EDR en alle ernstn voor Microsoft Defender experts.

De e-mailmelding bevat belangrijke details over het incident, zoals de naam, ernst en categorieën van het incident. U kunt ook rechtstreeks naar het incident gaan en uw analyse direct starten. Zie Incidenten onderzoeken voor meer informatie.

U kunt geadresseerden toevoegen of verwijderen in de e-mailmeldingen. Nieuwe geadresseerden krijgen een melding over incidenten nadat ze zijn toegevoegd.

Opmerking

U hebt de machtiging Beveiligingsinstellingen beheren nodig om instellingen voor e-mailmeldingen te configureren. Als u ervoor hebt gekozen om basismachtigingenbeheer te gebruiken, kunnen gebruikers met de rol Beveiligingsbeheerder of Globale beheerder e-mailmeldingen configureren.

Als uw organisatie gebruikmaakt van op rollen gebaseerd toegangsbeheer (RBAC), kunt u alleen meldingen maken, bewerken, verwijderen en ontvangen op basis van apparaatgroepen die u mag beheren.

Een regel maken voor e-mailmeldingen

Volg deze stappen om een nieuwe regel te maken en instellingen voor e-mailmeldingen aan te passen.

  1. Ga naar Microsoft 365 Defender in het navigatiedeelvenster en selecteer Instellingen > Microsoft 365 Defender > E-mailmeldingen voor incidenten.

  2. Selecteer Item toevoegen.

  3. Typ op de pagina Basisbeginselen de regelnaam en een beschrijving en selecteer volgende.

  4. Configureer op de pagina Meldingsinstellingen het volgende:

    • Ernst van waarschuwingen : kies de ernst van de waarschuwing die een incidentmelding activeert. Als u bijvoorbeeld alleen wilt worden geïnformeerd over incidenten met hoge ernst, selecteert u Hoog.
    • Bereik van apparaatgroepen : u kunt alle apparaatgroepen opgeven of een selectie maken in de lijst met apparaatgroepen in uw tenant.
    • Slechts één melding per incident verzenden : selecteer of u één melding per incident wilt.
    • Organisatienaam opnemen in het e-mailbericht : selecteer of u de naam van uw organisatie wilt weergeven in de e-mailmelding.
    • Tenantspecifieke portalkoppeling opnemen : selecteer of u een koppeling met de tenant-id wilt toevoegen in de e-mailmelding voor toegang tot een specifieke Microsoft 365-tenant.

    Schermopname van de pagina Meldingsinstellingen voor e-mailmeldingen voor incidenten in de Microsoft 365 Defender-portal.

  5. Selecteer Volgende. Voeg op de pagina Geadresseerden de e-mailadressen toe die de incidentmeldingen ontvangen. Selecteer Toevoegen nadat u elk nieuw e-mailadres hebt getypt. Als u meldingen wilt testen en ervoor wilt zorgen dat de geadresseerden deze ontvangen in de postvakken IN, selecteert u Test-e-mail verzenden.

  6. Selecteer Volgende. Controleer op de pagina Regel controleren de instellingen van de regel en selecteer vervolgens Regel maken. Ontvangers ontvangen incidentenmeldingen via e-mail op basis van de instellingen.

Als u een bestaande regel wilt bewerken, selecteert u deze in de lijst met regels. Selecteer in het deelvenster met de regelnaam regel bewerken en breng uw wijzigingen aan op de pagina's Basisbeginselen, Meldingsinstellingen en Geadresseerden .

Als u een regel wilt verwijderen, selecteert u deze in de lijst met regels. Selecteer Verwijderen in het deelvenster met de regelnaam.

Zodra u de melding hebt ontvangen, kunt u rechtstreeks naar het incident gaan en uw onderzoek meteen starten. Zie Incidenten onderzoeken in Microsoft 365 Defender voor meer informatie over het onderzoeken van incidenten.

Training voor beveiligingsanalisten

Gebruik deze leermodule van Microsoft Learn om te begrijpen hoe u Microsoft 365 Defender gebruikt om incidenten en waarschuwingen te beheren.

Training: Incidenten onderzoeken met Microsoft 365 Defender
Incidenten onderzoeken met Microsoft 365 Defender trainingspictogram. Microsoft 365 Defender combineert bedreigingsgegevens van meerdere services en gebruikt AI om deze te combineren tot incidenten en waarschuwingen. Meer informatie over het minimaliseren van de tijd tussen een incident en het beheer ervan voor volgende reactie en oplossing.

27 min - 6 eenheden

Volgende stappen

Gebruik de vermelde stappen op basis van uw ervaringsniveau of rol in uw beveiligingsteam.

Ervaringsniveau

Volg deze tabel voor uw ervaringsniveau met beveiligingsanalyse en incidentrespons.

Niveau Stappen
Nieuw
  1. Zie de walkthrough Reageren op uw eerste incident voor een rondleiding door een typisch proces van analyse, herstel en incidentbeoordeling in de Microsoft 365 Defender portal met een voorbeeldaanval.
  2. Bekijk welke incidenten prioriteit moeten krijgen op basis van ernst en andere factoren.
  3. Incidenten beheren, waaronder het hernoemen, toewijzen, classificeren en toevoegen van tags en opmerkingen op basis van uw werkstroom voor incidentbeheer.
Ervaren
  1. Ga aan de slag met de incidentwachtrij op de pagina Incidenten van de Microsoft 365 Defender-portal. U kunt hier het volgende doen:
    • Bekijk welke incidenten prioriteit moeten krijgen op basis van ernst en andere factoren.
    • Incidenten beheren, waaronder het hernoemen, toewijzen, classificeren en toevoegen van tags en opmerkingen op basis van uw werkstroom voor incidentbeheer.
    • Onderzoek naar incidenten uitvoeren.
  2. Volg en reageer op nieuwe bedreigingen met bedreigingsanalyse.
  3. Proactief zoeken naar bedreigingen met geavanceerde opsporing van bedreigingen.
  4. Zie deze playbooks voor reactie op incidenten voor gedetailleerde richtlijnen voor phishing, wachtwoordspray en app-toestemming verlenen aanvallen.

Rol van beveiligingsteam

Volg deze tabel op basis van uw beveiligingsteamrol.

Rol Stappen
Incident responder (laag 1) Ga aan de slag met de incidentwachtrij op de pagina Incidenten van de Microsoft 365 Defender-portal. U kunt hier het volgende doen:
  • Bekijk welke incidenten prioriteit moeten krijgen op basis van ernst en andere factoren.
  • Incidenten beheren, waaronder het hernoemen, toewijzen, classificeren en toevoegen van tags en opmerkingen op basis van uw werkstroom voor incidentbeheer.
Beveiligingsonderzoeker of -analist (laag 2)
  1. Onderzoek naar incidenten uitvoeren vanaf de pagina Incidenten van de Microsoft 365 Defender portal.
  2. Zie deze playbooks voor reactie op incidenten voor gedetailleerde richtlijnen voor phishing, wachtwoordspray en app-toestemming verlenen aanvallen.
Geavanceerde beveiligingsanalist of bedreigingsjager (laag 3)
  1. Onderzoek naar incidenten uitvoeren vanaf de pagina Incidenten van de Microsoft 365 Defender portal.
  2. Volg en reageer op nieuwe bedreigingen met bedreigingsanalyse.
  3. Proactief zoeken naar bedreigingen met geavanceerde opsporing van bedreigingen.
  4. Zie deze playbooks voor reactie op incidenten voor gedetailleerde richtlijnen voor phishing, wachtwoordspray en app-toestemming verlenen aanvallen.
SOC-manager Zie hoe u Microsoft 365 Defender integreert in uw Security Operations Center (SOC).