Overzicht van geautomatiseerde onderzoeken

Van toepassing op:

• Microsoft Defender XDR
• Plan 2 voor Microsoft Defender voor Eindpunt
• Microsoft Defender voor Bedrijven

Platforms

• Windows

Wilt u zien hoe het werkt? Bekijk de volgende video:

De technologie in geautomatiseerd onderzoek maakt gebruik van verschillende inspectiealgoritmen en is gebaseerd op processen die worden gebruikt door beveiligingsanalisten. AIR-mogelijkheden zijn ontworpen om waarschuwingen te onderzoeken en onmiddellijk actie te ondernemen om schendingen op te lossen. Air-mogelijkheden verminderen het waarschuwingsvolume aanzienlijk, waardoor beveiligingsbewerkingen zich kunnen richten op geavanceerdere bedreigingen en andere waardevolle initiatieven. Alle herstelacties, in behandeling of voltooid, worden bijgehouden in het Actiecentrum. In het Actiecentrum worden in behandeling zijnde acties goedgekeurd (of geweigerd) en kunnen voltooide acties indien nodig ongedaan worden gemaakt.

Dit artikel bevat een overzicht van AIR en koppelingen naar de volgende stappen en aanvullende bronnen.

Tip

Wilt u Microsoft Defender voor Eindpunt ervaren? Meld u aan voor een gratis proefversie.

Hoe het geautomatiseerde onderzoek begint

Een geautomatiseerd onderzoek kan worden gestart wanneer een waarschuwing wordt geactiveerd of wanneer een beveiligingsoperator het onderzoek start.

Situatie	Wat gebeurt er
Er wordt een waarschuwing geactiveerd	Over het algemeen wordt een geautomatiseerd onderzoek gestart wanneer een waarschuwing wordt geactiveerd en een incident wordt gemaakt. Stel dat een schadelijk bestand zich op een apparaat bevindt. Wanneer dat bestand wordt gedetecteerd, wordt er een waarschuwing geactiveerd en wordt een incident gemaakt. Een geautomatiseerd onderzoeksproces begint op het apparaat. Omdat andere waarschuwingen worden gegenereerd vanwege hetzelfde bestand op andere apparaten, worden ze toegevoegd aan het bijbehorende incident en aan het geautomatiseerde onderzoek.
Een onderzoek wordt handmatig gestart	Een geautomatiseerd onderzoek kan handmatig worden gestart door uw beveiligingsteam. Stel dat een beveiligingsoperator een lijst met apparaten bekijkt en merkt dat een apparaat een hoog risiconiveau heeft. De beveiligingsoperator kan het apparaat in de lijst selecteren om de flyout te openen en vervolgens Geautomatiseerd onderzoek starten selecteren.

Hoe een geautomatiseerd onderzoek het bereik uitbreidt

Terwijl een onderzoek wordt uitgevoerd, worden alle andere waarschuwingen die van het apparaat worden gegenereerd, toegevoegd aan een doorlopend geautomatiseerd onderzoek totdat dat onderzoek is voltooid. Bovendien, als dezelfde bedreiging wordt gezien op andere apparaten, worden deze apparaten toegevoegd aan het onderzoek.

Als een beschuldigende entiteit op een ander apparaat wordt gezien, wordt het bereik van het geautomatiseerde onderzoek uitgebreid met dat apparaat en wordt er een algemeen beveiligingsplaybook op dat apparaat gestart. Als er 10 of meer apparaten worden gevonden tijdens dit uitbreidingsproces van dezelfde entiteit, moet die uitbreidingsactie worden goedgekeurd en wordt deze weergegeven op het tabblad Acties in behandeling .

Hoe bedreigingen worden hersteld

Wanneer waarschuwingen worden geactiveerd en er een geautomatiseerd onderzoek wordt uitgevoerd, wordt er een oordeel gegenereerd voor elk onderzocht bewijs. Vonnissen kunnen zijn:

• Schadelijk;
• Verdacht; Of
• Er zijn geen bedreigingen gevonden.

Naarmate de vonnissen worden bereikt, kunnen geautomatiseerde onderzoeken resulteren in een of meer herstelacties. Voorbeelden van herstelacties zijn het verzenden van een bestand in quarantaine, het stoppen van een service, het verwijderen van een geplande taak en meer. Zie Herstelacties voor meer informatie.

Afhankelijk van het automatiseringsniveau dat is ingesteld voor uw organisatie en andere beveiligingsinstellingen, kunnen herstelacties automatisch of alleen na goedkeuring door uw beveiligingsteam worden uitgevoerd. Aanvullende beveiligingsinstellingen die van invloed kunnen zijn op automatisch herstel zijn onder andere beveiliging tegen mogelijk ongewenste toepassingen (PUA).

Alle herstelacties, in behandeling of voltooid, worden bijgehouden in het Actiecentrum. Indien nodig kan uw beveiligingsteam een herstelactie ongedaan maken. Zie Herstelacties controleren en goedkeuren na een geautomatiseerd onderzoek voor meer informatie.

Tip

Bekijk de nieuwe, geïntegreerde onderzoekspagina in de Microsoft Defender-portal. Zie de pagina Unified investigation (Unified investigation) voor meer informatie.

Vereisten voor AIR

Uw abonnement moet Defender voor Eindpunt of Defender voor Bedrijven bevatten.

Opmerking

Voor geautomatiseerd onderzoek en reactie is Microsoft Defender Antivirus vereist voor uitvoering in de passieve modus of de actieve modus. Als Microsoft Defender Antivirus is uitgeschakeld of verwijderd, werken geautomatiseerd onderzoek en antwoord niet correct.

Momenteel ondersteunt AIR alleen de volgende versies van het besturingssysteem:

• Windows Server 2012 R2 (preview)
• Windows Server 2016 (preview)
• Windows Server 2019
• Windows Server 2022
• Windows 10 versie 1709 (OS-build 16299.1085 met KB4493441) of hoger
• Windows 10 versie 1803 (OS-build 17134.704 met KB4493464) of hoger
• Windows 10 versie 1803 of hoger
• Windows 11

Opmerking

Voor geautomatiseerd onderzoek en reactie op Windows Server 2012 R2 en Windows Server 2016 moet de Unified Agent zijn geïnstalleerd.

Volgende stappen

• Meer informatie over automatiseringsniveaus
• Zie de interactieve handleiding: Bedreigingen onderzoeken en herstellen met Microsoft Defender voor Eindpunt
• Mogelijkheden voor geautomatiseerd onderzoek en herstel configureren in Microsoft Defender voor Eindpunt

Zie ook

• PUA-beveiliging
• Geautomatiseerd onderzoek en antwoord in Microsoft Defender voor Office 365
• Geautomatiseerd onderzoek en antwoord in Microsoft Defender XDR

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.