Incidenten beheren

  • 8 minuten

Microsoft Defender XDR biedt een correlatie tussen domeinen en doelgestuurde portal voor het onderzoeken van bedreigingen. Incidenten zijn gebaseerd op gerelateerde waarschuwingen die worden gemaakt wanneer een schadelijke gebeurtenis of activiteit op uw netwerk wordt weergegeven. Afzonderlijke waarschuwingen bieden waardevolle aanwijzingen over een voortdurende aanval. Aanvallen maken echter meestal gebruik van verschillende vectoren en technieken om een inbreuk uit te voeren. Het samenvoegen van afzonderlijke aanwijzingen kan lastig en tijdrovend zijn.

Deze korte video geeft een overzicht van incidenten in Microsoft Defender XDR.

Een incident is een verzameling gecorreleerde waarschuwingen waaruit het verhaal van een aanval bestaat. Microsoft Defender XDR voegt automatisch schadelijke en verdachte gebeurtenissen samen die zich in verschillende apparaat-, gebruikers- en postvakentiteiten in het netwerk bevinden. Het groeperen van gerelateerde waarschuwingen in een incident biedt beveiligingsverdedigers een uitgebreide weergave van een aanval.

Beveiligingsverdedigers kunnen bijvoorbeeld zien waar de aanval is begonnen, welke tactieken zijn gebruikt en hoe ver de aanval in het netwerk is gegaan. Beveiligingsverdedigers kunnen ook het bereik van de aanval zien. Zoals hoeveel apparaten, gebruikers en postvakken zijn beïnvloed, hoe ernstig de impact was en andere details over betrokken entiteiten.

Indien ingeschakeld, kan Microsoft Defender XDR de afzonderlijke waarschuwingen automatisch onderzoeken en oplossen via automatisering en kunstmatige intelligentie. Beveiligingsverdedigers kunnen ook meer herstelstappen uitvoeren om de aanval rechtstreeks vanuit de weergave incidenten op te lossen.

Incidenten van de afgelopen 30 dagen worden weergegeven in de incidentwachtrij. Vanaf hier kunnen beveiligingsverdedigers zien welke incidenten prioriteit moeten krijgen op basis van risiconiveau en andere factoren.

Beveiligingsverdedigers kunnen ook de naam van incidenten wijzigen, deze toewijzen aan afzonderlijke analisten, classificeren en tags toevoegen aan incidenten voor een betere en meer aangepaste ervaring voor incidentbeheer.

Prioriteit geven aan incidenten

Microsoft Defender XDR past correlatieanalyses toe en voegt alle gerelateerde waarschuwingen en onderzoeken van verschillende producten samen in één incident. Microsoft Defender XDR activeert ook unieke waarschuwingen voor activiteiten die alleen als schadelijk kunnen worden geïdentificeerd, gezien de end-to-end zichtbaarheid die Microsoft Defender XDR heeft voor de hele activa en suite producten. Deze weergave geeft uw beveiligingsanalist het bredere verhaal over aanvallen, waardoor ze complexe bedreigingen in de hele organisatie beter kunnen begrijpen en afhandelen.

In de wachtrij Incidenten ziet u een verzameling van incidenten met vlag van apparaten, gebruikers en postvakken. Het helpt u bij het sorteren van incidenten om prioriteit te geven aan en een weloverwogen beslissing voor het reageren op cyberbeveiliging te maken.

Screen shot of the Microsoft Defender XDR Incident Queue.

In de wachtrij in de Microsoft Defender-portal worden standaard incidenten weergegeven die in de afgelopen 30 dagen zijn gezien. Het meest recente incident bevindt zich boven aan de lijst, zodat u het eerst kunt zien.

De incidentwachtrij bevat aanpasbare kolommen die u inzicht geven in verschillende kenmerken van het incident of de ingesloten entiteiten. Deze diepere informatielaag helpt u bij het nemen van een weloverwogen beslissing over de prioriteitstelling van incidenten die moeten worden afgehandeld.

Voor meer duidelijkheid in één oogopslag genereert automatische naamgeving van incidenten incidentnamen op basis van waarschuwingskenmerken, zoals het aantal betrokken eindpunten, de betrokken gebruikers, detectiebronnen of categorieën. Met de automatische naamgeving kunt u snel inzicht hebben in het bereik van het incident.

Beschikbare filters

-Status

U kunt ervoor kiezen om de lijst met incidenten te beperken die worden weergegeven op basis van hun status om te zien welke actief of opgelost zijn.

Ernst

De ernst van een incident wijst op de impact die het kan hebben op uw assets. Hoe hoger de ernst, hoe groter de impact en vereist doorgaans de meest onmiddellijke aandacht.

Incidenttoewijzing

U kunt ervoor kiezen om waarschuwingen weer te geven die aan u zijn toegewezen of de waarschuwingen die worden verwerkt door automatisering.

Meerdere servicebron

Selecteer Nee (standaard) of ja om in te schakelen.

Servicebronnen

Filter om alleen incidenten te zien die waarschuwingen uit verschillende bronnen bevatten. Bronnen zijn onder andere: Microsoft Defender voor Eindpunt, Microsoft Cloud App Security, Microsoft Defender for Identity, Microsoft Defender voor Office 365.

Tags

Filter op toegewezen tags. Toegewezen tags worden weergegeven zodra u het veld Labelnaam selecteert.

Meerdere categorieën

U kunt ervoor kiezen om alleen incidenten weer te geven die zijn toegewezen aan meerdere categorieën en zo mogelijk meer schade kunnen veroorzaken.

Categorieën

Kies categorieën om te focussen op specifieke tactieken, technieken of aanvalsonderdelen die worden gezien.

Entiteiten

Filter op entiteitsnaam of -id.

Vertrouwelijkheid van gegevens

Sommige aanvallen richten zich op het doel om gevoelige of waardevolle gegevens te exfiltreren. Door een filter toe te passen om te zien of er gevoelige gegevens betrokken zijn bij het incident, kunt u snel bepalen of gevoelige informatie is aangetast. En als er een inbreuk wordt gevonden, kunt u prioriteit geven aan een reactie op deze incidenten. Deze filtermogelijkheid is alleen van toepassing als Microsoft Purview Informatiebeveiliging is ingeschakeld.

Apparaatgroep

Filteren op gedefinieerde apparaatgroepen.

Besturingssysteemplatform

Beperk de weergave van de incidentwachtrij per besturingssysteem.

Classificatie

Filter incidenten op basis van de ingestelde classificaties van de gerelateerde waarschuwingen. De waarden omvatten echte waarschuwingen, valse waarschuwingen of niet ingesteld.

Geautomatiseerde onderzoeksstatus

Filter incidenten op de status van het geautomatiseerde onderzoek.

Gekoppelde bedreiging

Als u het veld Type gekoppelde bedreiging selecteert, kunt u bedreigingsinformatie invoeren en eerdere zoekcriteria weergeven.

Preview-incidenten

De portalpagina's bieden voorbeeldinformatie voor de meeste lijstgerelateerde gegevens.

In deze schermopname zijn de drie gemarkeerde gebieden de cirkel, des te groter dan het symbool en de werkelijke koppeling.

Screen shot of Incident Preview information options.

Cirkel

Als u de cirkel selecteert, wordt aan de rechterkant van de pagina een detailvenster geopend met een voorbeeld van het regelitem met een optie om de volledige pagina met informatie te openen.

Screen shot of Incidents details window.

Groter dan symbool

Als er gerelateerde records zijn die kunnen worden weergegeven, worden de records onder de huidige record weergegeven als u het groter dan teken selecteert.

Screen shot of Related Incident records.

Koppeling

Via de koppeling gaat u naar de volledige pagina voor het regelitem.

Incidenten beheren

Het beheren van incidenten is essentieel om ervoor te zorgen dat bedreigingen worden opgenomen en aangepakt. In Microsoft Defender XDR hebt u toegang tot het beheren van incidenten op apparaten, gebruikers en postvakken. U kunt incidenten beheren door een incident te selecteren in de wachtrij Incidenten.

U kunt de naam van een incident bewerken, oplossen, classificatie en bepaling instellen. U kunt het incident ook aan uzelf toewijzen, incidenttags en opmerkingen toevoegen.

In gevallen waarin u waarschuwingen van het ene incident naar het andere wilt verplaatsen, kunt u dit ook doen vanaf het tabblad Waarschuwingen. Met het tabblad Waarschuwingen kunt u een groter of kleiner incident maken dat alle relevante waarschuwingen bevat.

Naam van incident bewerken

Incidenten krijgen automatisch een naam toegewezen op basis van waarschuwingskenmerken, zoals het aantal betrokken eindpunten, de betrokken gebruikers, detectiebronnen of categorieën. Met naamgeving op basis van waarschuwingskenmerken kunt u snel inzicht hebben in het bereik van het incident. U kunt de naam van het incident wijzigen zodat deze beter aansluit bij de naamconventie van uw voorkeur.

Incidenten toewijzen

Als er nog geen incident is toegewezen, kunt u Toewijzen aan mij selecteren om het incident aan uzelf toe te wijzen. Hierbij wordt ervan uitgegaan dat u niet alleen eigenaar bent van het incident, maar ook van alle waarschuwingen die eraan zijn gekoppeld.

Status en classificatie instellen

Incidentstatus

U kunt incidenten categoriseren (als actief of opgelost) door de status ervan te wijzigen wanneer uw onderzoek vordert. Deze mogelijkheid om de status bij te werken helpt u bij het organiseren en beheren van hoe uw team kan reageren op incidenten.

Uw SOC-analist kan bijvoorbeeld de urgente actieve incidenten voor de dag bekijken en besluiten om ze aan zichzelf toe te wijzen voor onderzoek.

Uw SOC-analist kan het incident ook instellen als Opgelost als het incident is hersteld. Als u een incident oplost, worden automatisch alle geopende waarschuwingen gesloten die deel uitmaken van het incident.

Classificatie en bepaling

U kunt ervoor kiezen om geen classificatie in te stellen of om op te geven of een incident waar of onwaar is. Dit helpt het team patronen te zien en hiervan te leren.

Opmerkingen toevoegen

U kunt opmerkingen toevoegen en historische gebeurtenissen over een incident bekijken om eerdere wijzigingen ervan te bekijken.

Wanneer een wijziging of opmerking wordt aangebracht in een waarschuwing, wordt deze vastgelegd in de sectie Opmerkingen en geschiedenis.

Opmerkingen worden direct in het deelvenster weergegeven.

Incidenttags toevoegen

U kunt aangepaste tags toevoegen aan een incident, bijvoorbeeld om een groep incidenten met algemene kenmerken te markeren. U kunt de incidentenwachtrij later filteren op alle incidenten die een specifieke tag bevatten.