Geautomatiseerd onderzoek en antwoord in Microsoft Defender XDR

Opmerking

Wilt u Microsoft Defender XDR ervaren? Meer informatie over hoe u Microsoft Defender XDR kunt evalueren en piloten.

Van toepassing op:

  • Microsoft Defender XDR

Als uw organisatie gebruikmaakt van Microsoft Defender XDR, ontvangt uw beveiligingsteam een waarschuwing in de Microsoft Defender portal wanneer er een schadelijke of verdachte activiteit of artefact wordt gedetecteerd. Gezien de schijnbaar oneindige stroom van bedreigingen die kunnen binnenkomen, staan beveiligingsteams vaak voor de uitdaging om het grote aantal waarschuwingen aan te pakken. Gelukkig bevat Microsoft Defender XDR mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) waarmee uw beveiligingsteam bedreigingen efficiƫnter en effectiever kan aanpakken.

Dit artikel bevat een overzicht van AIR en koppelingen naar de volgende stappen en aanvullende bronnen.

Hoe geautomatiseerd onderzoek en zelfherstel werken

Wanneer beveiligingswaarschuwingen worden geactiveerd, is het aan uw beveiligingsteam om deze waarschuwingen te bekijken en stappen te ondernemen om uw organisatie te beschermen. Het prioriteren en onderzoeken van waarschuwingen kan erg tijdrovend zijn, vooral wanneer er nieuwe waarschuwingen binnenkomen terwijl er een onderzoek gaande is. Beveiligingsteams kunnen zich overweldigd voelen door het grote aantal bedreigingen dat ze moeten bewaken en waartegen ze zich moeten beschermen. Geautomatiseerde onderzoeks- en reactiemogelijkheden, met zelfherstel, in Microsoft Defender XDR kunnen helpen.

Bekijk de volgende video om te zien hoe zelfherstel werkt:

In Microsoft Defender XDR werken geautomatiseerde onderzoeken en reageren met mogelijkheden voor zelfherstel op al uw apparaten, e-mail & inhoud en identiteiten.

Tip

In dit artikel wordt beschreven hoe geautomatiseerd onderzoek en respons werken. Zie Mogelijkheden voor geautomatiseerd onderzoek en respons configureren in Microsoft Defender XDR om deze mogelijkheden te configureren.

Uw eigen virtuele analist

Stel dat u een virtuele analist hebt in uw beveiligingsteam op laag 1 of laag 2. De virtuele analist bootst de ideale stappen na die beveiligingsbewerkingen zouden moeten uitvoeren om bedreigingen te onderzoeken en te herstellen. De virtuele analist kan 24x7 werken, met onbeperkte capaciteit, en een aanzienlijke hoeveelheid onderzoeken en herstel van bedreigingen overnemen. Zo'n virtuele analist kan de reactietijd aanzienlijk verkorten, waardoor uw beveiligingsteam vrij komt voor andere belangrijke bedreigingen of strategische projecten. Als dit scenario klinkt als sciencefiction, is het niet! Een dergelijke virtuele analist maakt deel uit van uw Microsoft Defender XDR suite en de naam is geautomatiseerd onderzoek en antwoord.

Met geautomatiseerde onderzoeks- en reactiemogelijkheden kan uw beveiligingsteam de capaciteit van uw organisatie om beveiligingswaarschuwingen en -incidenten af te handelen aanzienlijk vergroten. Met geautomatiseerd onderzoek en respons kunt u de kosten voor het afhandelen van onderzoeks- en reactieactiviteiten verlagen en optimaal profiteren van uw bedreigingsbeveiligingspakket. Geautomatiseerde onderzoeks- en reactiemogelijkheden helpen uw beveiligingsteam door:

  1. Bepalen of een bedreiging actie vereist.
  2. Het nemen (of aanbevelen) van alle benodigde herstelacties.
  3. Bepalen of en welke andere onderzoeken moeten plaatsvinden.
  4. Het proces herhalen als dat nodig is voor andere waarschuwingen.

Het geautomatiseerde onderzoeksproces

Een waarschuwing maakt een incident, waardoor een geautomatiseerd onderzoek kan worden gestart. Het geautomatiseerde onderzoek resulteert in een uitspraak voor elk bewijsstuk. Vonnissen kunnen zijn:

  • Kwaadaardig
  • Verdachte
  • Er zijn geen bedreigingen gevonden

Herstelacties voor kwaadwillende of verdachte entiteiten worden geĆÆdentificeerd. Voorbeelden van herstelacties zijn:

  • Een bestand in quarantaine plaatsen
  • Een proces stoppen
  • Een apparaat isoleren
  • Een URL blokkeren
  • Andere acties

Zie Herstelacties in Microsoft Defender XDR voor meer informatie.

Afhankelijk van hoe geautomatiseerde onderzoeks- en reactiemogelijkheden zijn geconfigureerd voor uw organisatie, worden herstelacties automatisch of alleen na goedkeuring door uw beveiligingsteam uitgevoerd. Alle acties, in behandeling of voltooid, worden weergegeven in het Actiecentrum.

Terwijl een onderzoek wordt uitgevoerd, worden alle andere gerelateerde waarschuwingen die zich voordoen aan het onderzoek toegevoegd totdat het is voltooid. Als een betrokken entiteit ergens anders wordt gezien, wordt het bereik van het geautomatiseerde onderzoek uitgebreid met die entiteit en wordt het onderzoeksproces herhaald.

In Microsoft Defender XDR correleert elk geautomatiseerd onderzoek signalen tussen Microsoft Defender for Identity, Microsoft Defender voor Eindpunt en Microsoft Defender voor Office 365, zoals samengevat in de volgende tabel:

Entiteiten Services voor bedreigingsbeveiliging
Apparaten (ook wel eindpunten of machines genoemd) Defender voor Eindpunt
On-premises Active Directory-gebruikers, entiteitsgedrag en activiteiten Defender for Identity
Email inhoud (e-mailberichten die bestanden en URL's kunnen bevatten) Defender voor Office 365

Opmerking

Niet elke waarschuwing activeert een geautomatiseerd onderzoek en niet elk onderzoek resulteert in geautomatiseerde herstelacties. Dit is afhankelijk van hoe geautomatiseerd onderzoek en antwoord is geconfigureerd voor uw organisatie. Zie Mogelijkheden voor geautomatiseerd onderzoek en respons configureren.

Een lijst met onderzoeken weergeven

Als u onderzoeken wilt bekijken, gaat u naar de pagina Incidenten . Selecteer een incident en selecteer vervolgens het tabblad Onderzoeken . Zie Details en resultaten van een geautomatiseerd onderzoek voor meer informatie.

Antwoordkaart voor geautomatiseerd onderzoek &

De nieuwe kaart Geautomatiseerd onderzoek & antwoord is beschikbaar in de Microsoft Defender portal (https://security.microsoft.com). Deze nieuwe kaart is zichtbaar voor het totale aantal beschikbare herstelacties. De kaart geeft ook een overzicht van alle waarschuwingen en de vereiste goedkeuringstijd voor elke waarschuwing.

Schermopname van het geautomatiseerde onderzoek & antwoordkaart.

Met behulp van de kaart Geautomatiseerd onderzoek & antwoord kan uw beveiligingsteam snel naar het actiecentrum navigeren door de koppeling Goedkeuren in actiecentrum te selecteren en vervolgens de juiste acties te ondernemen. Met de kaart kan uw beveiligingsteam effectiever acties beheren die wachten op goedkeuring.

Volgende stappen

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.