Share via

Beheer beveiligingsincidenten in Microsoft Defender for Cloud

  • Artikel

Het uitzoeken en onderzoeken van beveiligingswaarschuwingen kan tijdrovend zijn voor zelfs de meest ervaren beveiligingsanalisten. Voor velen is het moeilijk om te weten waar te beginnen.

Defender for Cloud maakt gebruik van analyses om de informatie tussen verschillende beveiligingswaarschuwingen te verbinden. Met behulp van deze verbindingen kan Defender voor Cloud één weergave bieden van een aanvalscampagne en de bijbehorende waarschuwingen, zodat u inzicht krijgt in de acties van de aanvaller en de betrokken resources.

Deze pagina biedt een overzicht van incidenten in Defender for Cloud.

Wat is een beveiligingsincident?

In Defender voor Cloud is een beveiligingsincident een aggregatie van alle waarschuwingen voor een resource die zijn afgestemd op kill chain-patronen . Incidenten worden weergegeven op de pagina Beveiligingswaarschuwingen . Selecteer een incident om de gerelateerde waarschuwingen weer te geven en meer informatie te krijgen.

Beveiligingsincidenten beheren

  1. Gebruik op de pagina beveiligingswaarschuwingen van Defender voor Cloud de knop Filter toevoegen om op waarschuwingsnaam te filteren op de waarschuwingsnaam Beveiligingsincident dat is gedetecteerd op meerdere resources.

    De incidenten zoeken op de pagina beveiligingswaarschuwingen in Microsoft Defender voor Cloud.

    De lijst wordt nu gefilterd om alleen incidenten weer te geven. U ziet dat beveiligingsincidenten een ander pictogram hebben dan beveiligingswaarschuwingen.

    Lijst met incidenten op de pagina beveiligingswaarschuwingen in Microsoft Defender for Cloud.

  2. Als u de details van een incident wilt weergeven, selecteert u een incident in de lijst. Er wordt een zijvenster weergegeven met meer informatie over het incident.

    Zijdeelvenster met details van het incident.

  3. Als u meer details wilt weergeven, selecteert u Volledige details weergeven.

    Reageren op beveiligingsincidenten in Microsoft Defender for Cloud.

    Het linkerdeelvenster van de pagina met beveiligingsincidenten bevat algemene informatie over het beveiligingsincident: titel, ernst, status, activiteitstijd, beschrijving en de betreffende resource. Naast de betreffende resource ziet u de relevante Azure-tags. Gebruik deze tags om de organisatiecontext van de resource af te stellen bij het onderzoeken van de waarschuwing.

    Het rechterdeelvenster bevat het tabblad Waarschuwingen met de beveiligingswaarschuwingen die zijn gecorreleerd als onderdeel van dit incident.

    Tip

    Selecteer deze voor meer informatie over een specifieke waarschuwing.

    Het tabblad Actie ondernemen van het incident.

    Als u wilt overschakelen naar het tabblad Actie ondernemen , selecteert u het tabblad of de knop onderaan het rechterdeelvenster. Gebruik dit tabblad om verdere acties uit te voeren, zoals:

    • De bedreiging beperken : biedt handmatige herstelstappen voor dit beveiligingsincident
    • Toekomstige aanvallen voorkomen : biedt beveiligingsaanbevelingen om de kwetsbaarheid voor aanvallen te verminderen, de beveiligingspostuur te verhogen en toekomstige aanvallen te voorkomen
    • Automatische reactie activeren : biedt de optie om een logische app te activeren als reactie op dit beveiligingsincident
    • Vergelijkbare waarschuwingen onderdrukken : biedt de optie om toekomstige waarschuwingen met vergelijkbare kenmerken te onderdrukken als de waarschuwing niet relevant is voor uw organisatie

    Notitie

    Dezelfde waarschuwing kan bestaan als onderdeel van een incident en kan ook zichtbaar zijn als een zelfstandige waarschuwing.

  4. Als u de bedreigingen in het incident wilt herstellen, volgt u de herstelstappen die bij elke waarschuwing zijn opgegeven.

Volgende stappen

Op deze pagina worden de mogelijkheden voor beveiligingsincidenten van Defender for Cloud uitgelegd. Zie de volgende pagina's voor gerelateerde informatie: