Aan de slag met Microsoft Defender-experts voor opsporing

  • Artikel

Van toepassing op:

Onboarding

Als u nog geen gebruik hebt van Microsoft Defender XDR en Defender-experts voor opsporing:

  1. Wanneer u uw welkomstbericht hebt ontvangen, selecteert u Aanmelden bij Microsoft Defender XDR.
  2. Meld u aan als u al een Microsoft-account hebt. Als er geen is, maakt u er een.
  3. Met de Microsoft Defender XDR snelle rondleiding leert u de beveiligingssuite kennen, waar de mogelijkheden zijn en hoe belangrijk ze zijn. Selecteer Een snelle rondleiding volgen.
  4. Lees de korte beschrijvingen over wat de Microsoft Defender Experts-service is en de mogelijkheden die deze biedt. Selecteer Volgende. U ziet de welkomstpagina:

Schermopname van de welkomstpagina van Microsoft Defender XDR met een kaart voor de Defender-experts voor opsporing-service.

Meldingen van Defender-experts ontvangen

De Defender Experts Notification-service omvat:

  • Bedreigingsbewaking en -analyse, vermindering van de verblijfstijd en het risico voor uw bedrijf
  • Door Hunter getrainde kunstmatige intelligentie om zowel bekende aanvallen als opkomende bedreigingen te detecteren en aan te vallen
  • Identificatie van de meest relevante risico's, waardoor SOC's hun effectiviteit kunnen maximaliseren
  • Hulp bij het verkennen van compromissen en zo veel context als snel kan worden geleverd om een snelle SOC-reactie mogelijk te maken

Raadpleeg de volgende schermopname om een voorbeeldmelding van Defender Experts te zien:

Schermopname van een melding van Defender-experts in Microsoft Defender XDR. Een Defender-expertmelding bevat een titel die de waargenomen bedreiging of activiteit beschrijft, een samenvatting van de leidinggevende en een lijst met aanbevelingen.

Waar vind ik Meldingen van Defender-experts

U kunt meldingen van Defender-experts ontvangen van Defender-experts via de volgende media:

Filter om alleen de meldingen van Defender-experts weer te geven

U kunt uw incidenten en waarschuwingen filteren als u alleen de meldingen van Defender-experts wilt zien onder de vele waarschuwingen. U gaat hiervoor als volgt te werk:

  1. Ga in het navigatiemenu naar Incidenten & waarschuwingen>Incidenten> selecteer het pictogram Filterpictogram .
  2. Schuif omlaag naar Service-/detectiebronnen en schakel de selectievakjes Microsoft Defender Experts in onder Microsoft Defender voor Eindpunt en Microsoft Defender XDR.
  3. Selecteer Toepassen.

E-mailmeldingen van Defender Experts instellen

U kunt Microsoft Defender XDR instellen om u of uw personeel per e-mail op de hoogte te stellen van nieuwe incidenten of updates van bestaande incidenten, met inbegrip van incidenten die door Microsoft Defender experts zijn waargenomen. Meer informatie over het ontvangen van incidentmeldingen via e-mail

  1. Selecteer in het navigatiedeelvenster Microsoft Defender XDR Instellingen>Microsoft Defender XDR>Email meldingen>Incidenten.
  2. Werk uw bestaande regels voor e-mailmeldingen bij of maak een nieuwe. Meer informatie over het maken van een regel voor e-mailmeldingen
  3. Zorg ervoor dat u op de pagina Meldingsinstellingen van de regel het volgende configureert:
    • Bron: kies Microsoft Defender experts onder Microsoft Defender XDR en Microsoft Defender voor Eindpunt
    • Ernst van waarschuwingen : kies de ernst van de waarschuwingen waarmee een incidentmelding wordt geactiveerd. Als u bijvoorbeeld alleen wilt worden geïnformeerd over incidenten met hoge ernst, selecteert u Hoog.

Voorbeeldmeldingen van Defender-experts genereren

U kunt een voorbeeldmelding van Defender-experts genereren om de Defender-experts voor opsporing-service te ervaren zonder dat u hoeft te wachten tot er een werkelijke kritieke activiteit plaatsvindt in uw omgeving. Als u een voorbeeldmelding genereert, kunt u ook de e-mailmeldingen testen die u mogelijk eerder hebt geconfigureerd in de Microsoft Defender-portal voor deze service, en de configuratie van playbooks (indien geconfigureerd voor dergelijke meldingen) en regels in uw SIEM-omgeving (Security Information and Event Management).

Op de pagina Incidenten wordt een voorbeeldmelding van Defender-experts weergegeven met de titel Defender-experts: testmelding van Microsoft Defender experts. De inhoud van de melding bestaat uit tijdelijke aanduidingen, terwijl de andere elementen, zoals waarschuwingen, willekeurig worden gegenereerd op basis van gebeurtenissen die aanwezig zijn in uw tenant en niet daadwerkelijk worden beïnvloed.

Schermopname van voorbeeld-DEN in Defender-experts voor opsporing.

Een voorbeeldmelding genereren:

  1. Ga in het navigatiedeelvenster van uw Microsoft Defender XDR naar Instellingen>Defender-experts en selecteer vervolgens Voorbeeldmeldingen.
  2. Selecteer Een voorbeeldmelding genereren. Er wordt een groen statusbericht weergegeven, waarin wordt bevestigd dat uw voorbeeldmelding gereed is voor revisie.
  3. Selecteer onder Onlangs gegenereerde Defender Experts-melding een koppeling in de lijst om de bijbehorende gegenereerde voorbeeldmelding weer te geven. Het meest recente voorbeeld wordt boven aan de lijst weergegeven. Als u een koppeling selecteert, wordt u omgeleid naar de pagina Incidenten .

Schermopname van voorbeeld-DEN-koppelingen.

Samenwerken met experts op aanvraag

Opmerking

Vraag Defender-experts is opgenomen in uw Defender-experts voor opsporing-abonnement met maandelijkse toewijzingen. Het is echter geen service voor het reageren op beveiligingsincidenten. Het is bedoeld om meer inzicht te krijgen in complexe bedreigingen die van invloed zijn op uw organisatie. Engage met uw eigen reactieteam voor beveiligingsincidenten om urgente problemen met het reageren op beveiligingsincidenten op te lossen. Als u geen eigen reactieteam voor beveiligingsincidenten hebt en hulp van Microsoft wilt, maakt u een ondersteuningsaanvraag in de Premier Services Hub.

Selecteer Defender-experts rechtstreeks in de Microsoft 365-beveiligingsportal vragen om snel en nauwkeurig antwoord te krijgen op al uw vragen over het opsporen van bedreigingen. Experts kunnen inzicht bieden om meer inzicht te krijgen in de complexe bedreigingen die uw organisatie kan tegenkomen. Vraag defender-experts om u te helpen bij het volgende:

  • Verzamel aanvullende informatie over waarschuwingen en incidenten, waaronder hoofdoorzaken en bereik
  • Krijg inzicht in verdachte apparaten, waarschuwingen of incidenten en voer de volgende stappen uit als u te maken krijgt met een geavanceerde aanvaller
  • Risico's en beschikbare beveiligingen bepalen met betrekking tot bedreigingsactoren, campagnes of opkomende aanvallertechnieken

Vereiste machtigingen voor het indienen van vragen in het deelvenster Defender-experts

U moet een van de volgende machtigingen selecteren voordat u aanvragen indient bij onze Defender-experts. Zie RBAC-machtigingen (Microsoft Defender voor Eindpunt en Microsoft Defender XDR RBAC) voor meer informatie over RBAC-machtigingen (op rollen gebaseerd toegangsbeheer).

Productnaam Product-RBAC-machtiging
Microsoft Defender voor Eindpunt RBAC Beveiligingsinstellingen beheren in Security Center
Microsoft Defender XDR Unified RBAC Autorisatie en instellingen \ Beveiligingsinstellingen \ Kernbeveiligingsinstellingen (beheren)
Autorisatie en instellingen \ Beveiligingsinstellingen \ Detectie afstemmen (beheren)

Waar vind je Defender-experts vragen?

De optie Defender-experts vragen is beschikbaar op verschillende plaatsen in de portal:

  • Menu Apparaatpaginaacties

    Schermopname van de menuoptie Defender Experts vragen in het actiemenu Apparaatpagina in de Microsoft Defender portal.

  • Flyoutmenu van de pagina Apparaatinventaris

    Schermopname van de menuoptie Ask Defender Experts in het flyoutmenu van de pagina Apparaatinventarisatie in de Microsoft Defender portal.

  • Flyoutmenu waarschuwingenpagina

    Schermopname van de menuoptie Defender Experts vragen in het flyoutmenu van de pagina Waarschuwingen in de Microsoft Defender portal.

  • Menu Acties van de pagina Incidenten

    Schermopname van de menuoptie Defender-experts vragen in het menu Acties van de pagina Incidenten in de Microsoft Defender-portal.

Voorbeeldvragen die u kunt stellen van Defender-experts

Waarschuwingsinformatie

  • We hebben een nieuw type waarschuwing gezien voor een binair bestand buiten het land. We kunnen de waarschuwings-id opgeven. Kunt u ons meer vertellen over deze waarschuwing en of deze betrekking heeft op een incident en hoe we deze verder kunnen onderzoeken?
  • We hebben twee vergelijkbare aanvallen waargenomen, die beide proberen schadelijke PowerShell-scripts uit te voeren, maar verschillende waarschuwingen genereren. De ene is 'Verdachte PowerShell-opdrachtregel' en de andere is 'Er is een schadelijk bestand gedetecteerd op basis van een indicatie van Office 365'. Wat is het verschil?
  • We hebben vandaag een vreemde waarschuwing ontvangen over een abnormaal aantal mislukte aanmeldingen van het apparaat van een gebruiker met een hoog profiel. We kunnen geen verder bewijs vinden voor deze pogingen. Hoe kunt Microsoft Defender XDR deze pogingen zien? Welk type aanmeldingen worden bewaakt?
  • Kunt u meer context of inzicht geven over de waarschuwing en eventuele gerelateerde incidenten, 'Verdacht gedrag door een systeemhulpprogramma is waargenomen'?
  • Ik heb een waarschuwing waargenomen met de titel 'Doorstuur-/omleidingsregel maken'. Ik denk dat de activiteit goedaardig is. Kun je me vertellen waarom ik een waarschuwing heb ontvangen?

Mogelijke apparaatinbreuk

  • Kunt u uitleggen waarom er een bericht of waarschuwing wordt weergegeven voor 'Onbekend proces waargenomen' op veel apparaten in onze organisatie? We stellen alle invoer op prijs om te verduidelijken of dit bericht of deze waarschuwing betrekking heeft op schadelijke activiteiten of incidenten.
  • Kunt u helpen bij het valideren van een mogelijke inbreuk op het volgende systeem, daterend van vorige week? Het gedraagt zich op dezelfde manier als een eerdere malwaredetectie op hetzelfde systeem zes maanden geleden.

Details van bedreigingsinformatie

  • Er is een phishing-e-mail gedetecteerd die een schadelijk Word document aan een gebruiker heeft bezorgd. Het document heeft een reeks verdachte gebeurtenissen veroorzaakt, waardoor meerdere waarschuwingen voor een bepaalde malwarefamilie zijn geactiveerd. Hebt u informatie over deze malware? Zo ja, kunt u ons een koppeling sturen?
  • We hebben onlangs een blogbericht gezien over een bedreiging die gericht is op onze branche. Kunt u ons helpen begrijpen welke bescherming Microsoft Defender XDR biedt tegen deze bedreigingsacteur?
  • We hebben onlangs een phishingcampagne tegen onze organisatie gezien. Kunt u ons vertellen of dit specifiek is gericht op ons bedrijf of verticaal?

Microsoft Defender-experts voor opsporing waarschuwingscommunicatie

  • Kan uw incidentresponsteam ons helpen bij het oplossen van de melding van Defender-experts die we hebben ontvangen?
  • We hebben deze defender-expertsmelding ontvangen van Microsoft Defender-experts voor opsporing. We hebben geen eigen incidentresponsteam. Wat kunnen we nu doen en hoe kunnen we het incident indammen?
  • We hebben een defender-expertsmelding ontvangen van Microsoft Defender-experts voor opsporing. Welke gegevens kunt u ons verstrekken die we kunnen doorgeven aan ons incidentresponsteam?

Volgende stap

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.