Aan de slag met Microsoft Defender-experts voor jagen

Van toepassing op:

Onboarding

Als u nog geen ervaring hebt met Microsoft 365 Defender en Defender Experts for Hunting:

  1. Wanneer u uw welkomstbericht hebt ontvangen, selecteert u Aanmelden bij Microsoft 365 Defender.
  2. Meld u aan als u al een Microsoft-account hebt. Als er geen is, maakt u er een.
  3. De Microsoft 365 Defender snelle rondleiding zal u vertrouwd maken met de beveiligingssuite, waar de mogelijkheden zijn en hoe belangrijk ze zijn. Selecteer Een snelle rondleiding volgen.
  4. Lees de korte beschrijvingen over wat de Microsoft Defender Experts-service is en de mogelijkheden die deze biedt. Selecteer Volgende. U ziet de welkomstpagina:

Schermopname van de Microsoft 365 Defender welkomstpagina met een kaart voor de Defender Experts for Hunting-service.

Meldingen van Defender-experts ontvangen

De Defender Experts Notification-service omvat:

  • Bedreigingsbewaking en -analyse, vermindering van de verblijfstijd en het risico voor uw bedrijf
  • Door Hunter getrainde kunstmatige intelligentie om zowel bekende aanvallen als opkomende bedreigingen te detecteren en aan te vallen
  • Identificatie van de meest relevante risico's, waardoor SOC's hun effectiviteit kunnen maximaliseren
  • Hulp bij het verkennen van compromissen en zo veel context als snel kan worden geleverd om een snelle SOC-reactie mogelijk te maken

Raadpleeg de volgende schermopname om een voorbeeldmelding van Defender Experts te zien:

Schermopname van een melding van Defender-experts in Microsoft 365 Defender. Een Defender Expert Notification bevat een titel die de waargenomen bedreiging of activiteit beschrijft, een samenvatting van de leidinggevende en een lijst met aanbevelingen.

Waar vindt u Meldingen van Defender-experts

U kunt meldingen van Defender-experts ontvangen van Defender-experts via de volgende media:

Filter om alleen de meldingen van Defender-experts weer te geven

U kunt uw incidenten en waarschuwingen filteren als u alleen de meldingen van Defender-experts wilt zien onder de vele waarschuwingen. U gaat hiervoor als volgt te werk:

  1. Ga in het navigatiemenu naar Incidentenwaarschuwingen &>Incidenten> selecteer het pictogram Filterpictogram.
  2. Schuif omlaag naar het veld >Tags en schakel het selectievakje Defender-experts in.
  3. Selecteer Toepassen.

E-mailmeldingen van Defender Experts instellen

U kunt Microsoft 365 Defender instellen om u of uw personeel per e-mail op de hoogte te stellen van nieuwe incidenten of updates van bestaande incidenten, inclusief incidenten die door Microsoft Defender experts zijn waargenomen. Meer informatie over het ontvangen van incidentmeldingen via e-mail

  1. Selecteer in het navigatiedeelvenster Microsoft 365 Defender Instellingen>Microsoft 365 Defender>Email meldingen>Incidenten.
  2. Werk uw bestaande regels voor e-mailmeldingen bij of maak een nieuwe. Meer informatie over het maken van een regel voor e-mailmeldingen
  3. Zorg ervoor dat u op de pagina Meldingsinstellingen van de regel het volgende configureert:
    • Bron: kies Microsoft Defender experts onder Microsoft 365 Defender en Microsoft Defender voor Eindpunt
    • Ernst van waarschuwingen : kies de ernst van de waarschuwing die een incidentmelding activeert. Als u bijvoorbeeld alleen wilt worden ge├»nformeerd over incidenten met hoge ernst, selecteert u Hoog.

Samenwerken met experts op aanvraag

Opmerking

Experts on Demand is opgenomen in uw Defender Experts for Hunting-abonnement met maandelijkse toewijzingen. Het is echter geen service voor het reageren op beveiligingsincidenten. Het is bedoeld om een beter inzicht te krijgen in complexe bedreigingen die van invloed zijn op uw organisatie. Neem contact op met uw eigen reactieteam voor beveiligingsincidenten om problemen met het reageren op beveiligingsincidenten op te lossen. Als u geen eigen reactieteam voor beveiligingsincidenten hebt en hulp van Microsoft wilt, maakt u een ondersteuningsaanvraag in de Premier Services Hub.

Selecteer Defender-experts rechtstreeks in de Microsoft 365-beveiligingsportal vragen om snel en nauwkeurig antwoord te krijgen op al uw vragen over het opsporen van bedreigingen. Experts kunnen inzicht bieden om meer inzicht te krijgen in de complexe bedreigingen die uw organisatie kan tegenkomen. Experts op aanvraag kunnen u helpen bij het volgende:

  • Verzamel aanvullende informatie over waarschuwingen en incidenten, waaronder hoofdoorzaken en bereik
  • Krijg inzicht in verdachte apparaten, waarschuwingen of incidenten en voer de volgende stappen uit als u te maken krijgt met een geavanceerde aanvaller
  • Risico's en beschikbare beveiligingen bepalen met betrekking tot bedreigingsactoren, campagnes of opkomende aanvallertechnieken

De optie Defender-experts vragen is beschikbaar op verschillende plaatsen in de portal:

  • Menu Apparaatpaginaacties

Schermopname van de menuoptie Defender Experts vragen in het actiemenu Apparaatpagina in de Microsoft 365 Defender portal.

  • Flyoutmenu van de pagina Apparaatinventaris

Schermopname van de menuoptie Ask Defender Experts in het flyoutmenu van de pagina Apparaatinventaris in de Microsoft 365 Defender portal.

  • Flyoutmenu waarschuwingenpagina

Schermopname van de menuoptie Defender Experts vragen in het flyoutmenu Van de pagina Waarschuwingen in de Microsoft 365 Defender portal.

  • Menu Acties van de pagina Incidenten

Schermopname van de menuoptie Defender-experts vragen in het menu Acties van de pagina Incidenten in de Microsoft 365 Defender-portal.

Opmerking

Als u de status van uw Experts on Demand-cases wilt bijhouden via Microsoft Services Hub, neemt u contact op met uw Customer Success Account Manager. Bekijk deze video voor een kort overzicht van de Microsoft Services Hub.

Voorbeeldvragen die u kunt stellen van Defender-experts

Waarschuwingsgegevens

  • We hebben een nieuw type waarschuwing gezien voor een binair bestand buiten het land. We kunnen de waarschuwings-id opgeven. Kunt u ons meer vertellen over deze waarschuwing en of deze betrekking heeft op een incident en hoe we deze verder kunnen onderzoeken?
  • We hebben twee vergelijkbare aanvallen waargenomen, die beide proberen schadelijke PowerShell-scripts uit te voeren, maar verschillende waarschuwingen genereren. De ene is 'Verdachte PowerShell-opdrachtregel' en de andere is 'Er is een schadelijk bestand gedetecteerd op basis van een indicatie van Office 365'. Wat is het verschil?
  • We hebben vandaag een vreemde waarschuwing ontvangen over een abnormaal aantal mislukte aanmeldingen van het apparaat van een gebruiker met een hoog profiel. We kunnen geen verder bewijs vinden voor deze pogingen. Hoe kunt Microsoft 365 Defender deze pogingen zien? Welk type aanmeldingen worden bewaakt?
  • Kunt u meer context of inzicht geven over de waarschuwing en eventuele gerelateerde incidenten, 'Verdacht gedrag door een systeemhulpprogramma is waargenomen'?
  • Ik heb een waarschuwing waargenomen met de titel 'Doorstuur-/omleidingsregel maken'. Ik denk dat de activiteit goedaardig is. Kun je me vertellen waarom ik een waarschuwing heb ontvangen?

Mogelijke apparaatinbreuk

  • Kunt u uitleggen waarom er op veel apparaten in onze organisatie een bericht of waarschuwing wordt weergegeven voor 'Onbekend proces waargenomen'? We stellen alle invoer op prijs om te verduidelijken of dit bericht of deze waarschuwing betrekking heeft op schadelijke activiteiten of incidenten.
  • Kunt u helpen bij het valideren van een mogelijke inbreuk op het volgende systeem, daterend van vorige week? Het gedraagt zich op dezelfde manier als een eerdere malwaredetectie op hetzelfde systeem zes maanden geleden.

Details van bedreigingsinformatie

  • Er is een phishing-e-mail gedetecteerd die een schadelijk Word-document aan een gebruiker heeft bezorgd. Het document heeft een reeks verdachte gebeurtenissen veroorzaakt, waardoor meerdere waarschuwingen voor een bepaalde malwarefamilie zijn geactiveerd. Hebt u informatie over deze malware? Zo ja, kunt u ons een koppeling sturen?
  • We hebben onlangs een blogbericht gezien over een bedreiging die gericht is op onze branche. Kunt u ons helpen begrijpen welke bescherming Microsoft 365 Defender biedt tegen deze bedreigingsacteur?
  • We hebben onlangs een phishingcampagne tegen onze organisatie gezien. Kunt u ons vertellen of dit specifiek is gericht op ons bedrijf of verticaal?

Microsoft Defender-experts voor jagen waarschuwingscommunicatie

  • Kan uw incidentresponsteam ons helpen bij het oplossen van de melding van Defender-experts die we hebben ontvangen?
  • We hebben deze defender-expertsmelding ontvangen van Microsoft Defender-experts voor jagen. We hebben geen eigen incidentresponsteam. Wat kunnen we nu doen en hoe kunnen we het incident indammen?
  • We hebben een melding van Defender-experts ontvangen van Microsoft Defender-experts voor jagen. Welke gegevens kunt u ons verstrekken die we kunnen doorgeven aan ons incidentresponsteam?

Volgende stap