Incidenten beheren in Microsoft Defender
Van toepassing op:
- Microsoft Defender XDR
- Microsoft Defender SOC-platform (Unified Security Operations Center)
Incidentbeheer is essentieel om ervoor te zorgen dat incidenten worden benoemd, toegewezen en getagd om de tijd in uw incidentwerkstroom te optimaliseren en bedreigingen sneller te bevatten en aan te pakken.
Tip
Gedurende een beperkte periode in januari 2024, wanneer u de pagina Incidenten bezoekt, wordt Defender Boxed weergegeven. Defender Boxed markeert de beveiligingssuccessen, verbeteringen en reactieacties van uw organisatie in 2023. Als u Defender Boxed opnieuw wilt openen, gaat u in de Microsoft Defender-portal naar Incidenten en selecteert u vervolgens Uw Defender Boxed.
U kunt incidenten beheren vanuit Incidenten & waarschuwingen > Incidenten bij het snel starten van de Microsoft Defender-portal (security.microsoft.com). Hier is een voorbeeld.
Hier volgen de manieren waarop u uw incidenten kunt beheren:
- De naam van het incident bewerken
- Ernst toewijzen of wijzigen
- Incidenttags toevoegen
- Het incident toewijzen aan een gebruikersaccount
- Ze oplossen
- De classificatie opgeven
- Opmerkingen toevoegen
- De activiteitscontrole evalueren en opmerkingen toevoegen in het activiteitenlogboek
- Incidentgegevens exporteren naar PDF
U kunt incidenten beheren vanuit het deelvenster Incident beheren voor een incident. Hier is een voorbeeld.
U kunt dit deelvenster weergeven via de koppeling Incident beheren op de:
- Pagina Waarschuwingsverhaal .
- Deelvenster Eigenschappen van een incident in de incidentwachtrij.
- Overzichtspagina van een incident.
- De optie Incident beheren bevindt zich rechtsboven op de pagina Incident.
In gevallen waarin u waarschuwingen van het ene incident naar het andere wilt verplaatsen, kunt u dit ook doen vanaf het tabblad Waarschuwingen , waardoor een groter of kleiner incident wordt gemaakt dat alle relevante waarschuwingen bevat.
De naam van het incident bewerken
Microsoft Defender wijst automatisch een naam toe op basis van waarschuwingskenmerken, zoals het aantal betrokken eindpunten, betrokken gebruikers, detectiebronnen of categorieën. Met de naam van het incident kunt u snel het bereik van het incident begrijpen. Bijvoorbeeld: incident met meerdere fasen op meerdere eindpunten die door meerdere bronnen zijn gerapporteerd.
U kunt de naam van het incident bewerken in het veld Incidentnaam in het deelvenster Incident beheren .
Opmerking
Incidenten die bestonden vóór de implementatie van de functie voor het automatisch benoemen van incidenten, behouden hun naam.
Ernst van incidenten toewijzen of wijzigen
U kunt de ernst van een incident toewijzen of wijzigen in het veld Ernst in het deelvenster Incident beheren . De ernst van een incident wordt bepaald door de hoogste ernst van de waarschuwingen die eraan zijn gekoppeld. De ernst van een incident kan worden ingesteld op hoog, gemiddeld, laag of informatief.
Incidenttags toevoegen
U kunt aangepaste tags toevoegen aan een incident, bijvoorbeeld om een vlag toe te voegen aan een groep incidenten met een gemeenschappelijk kenmerk. U kunt de incidentwachtrij later filteren op alle incidenten die een specifieke tag bevatten.
De optie om te selecteren uit een lijst met eerder gebruikte en geselecteerde tags wordt weergegeven nadat u begint te typen.
Een incident toewijzen
U kunt het vak Toewijzen aan selecteren en het gebruikersaccount opgeven om een incident toe te wijzen. Als u een incident opnieuw wilt toewijzen, verwijdert u het huidige toewijzingsaccount door de 'x' naast de accountnaam te selecteren en vervolgens het vak Toewijzen aan te selecteren. Als u het eigendom van een incident toewijst, wordt hetzelfde eigendom toegewezen aan alle waarschuwingen die eraan zijn gekoppeld.
U kunt een lijst met incidenten ophalen die aan u zijn toegewezen door de incidentwachtrij te filteren.
- Selecteer Filters in de incidentwachtrij.
- Schakel in de sectie Incidenttoewijzing alles selecteren uit. Selecteer Toegewezen aan mij, Toegewezen aan een andere gebruiker of Toegewezen aan een gebruikersgroep.
- Selecteer Toepassen en sluit het deelvenster Filters .
Vervolgens kunt u de resulterende URL in uw browser opslaan als een bladwijzer om snel de lijst met incidenten te zien die aan u zijn toegewezen.
Een incident oplossen
Selecteer Incident oplossen om de wisselknop naar rechts te verplaatsen wanneer een incident wordt hersteld. Als u een incident oplost, worden ook alle gekoppelde en actieve waarschuwingen met betrekking tot het incident opgelost.
Een incident dat niet is opgelost, wordt weergegeven als Actief.
De classificatie opgeven
In het veld Classificatie geeft u op of het incident het volgende is:
- Niet ingesteld (de standaardinstelling).
- Echt positief met een soort bedreiging. Gebruik deze classificatie voor incidenten die nauwkeurig duiden op een echte bedreiging. Door het bedreigingstype op te geven, kan uw beveiligingsteam bedreigingspatronen zien en actie ondernemen om uw organisatie tegen deze patronen te beschermen.
- Informatieve, verwachte activiteit met een type activiteit. Gebruik de opties in deze categorie om incidenten te classificeren voor beveiligingstests, rode teamactiviteit en verwacht ongebruikelijk gedrag van vertrouwde apps en gebruikers.
- Fout-positief voor typen incidenten waarvan u weet dat ze kunnen worden genegeerd omdat ze technisch onnauwkeurig of misleidend zijn.
Door incidenten te classificeren en hun status en type op te geven, kunt u Microsoft Defender XDR afstemmen om betere detectiebepaling in de loop van de tijd te bieden.
Opmerkingen toevoegen
U kunt meerdere opmerkingen toevoegen aan een incident met het veld Opmerking . Het opmerkingenveld ondersteunt tekst en opmaak, koppelingen en afbeeldingen. Elke opmerking is beperkt tot 30.000 tekens.
Alle opmerkingen worden toegevoegd aan de historische gebeurtenissen van het incident. U kunt de opmerkingen en geschiedenis van een incident bekijken via de koppeling Opmerkingen en geschiedenis op de pagina Samenvatting .
Activiteitenlogboek
In het activiteitenlogboek wordt een lijst weergegeven met alle opmerkingen en acties die zijn uitgevoerd op het incident, ook wel controles en opmerkingen genoemd. Alle wijzigingen die zijn aangebracht in het incident, door een gebruiker of door het systeem, worden vastgelegd in het activiteitenlogboek. Het activiteitenlogboek is beschikbaar via de optie Activiteitenlogboek op de incidentpagina of in het deelvenster aan de incidentzijde.
U kunt de activiteiten in het logboek filteren op opmerkingen en acties. Klik op inhoud: controles en opmerkingen en selecteer vervolgens het inhoudstype om activiteiten te filteren. Hier is een voorbeeld.
U kunt ook uw eigen opmerkingen toevoegen met behulp van het opmerkingenvak dat beschikbaar is in het activiteitenlogboek. Het opmerkingenvak accepteert tekst en opmaak, koppelingen en afbeeldingen.
Incidentgegevens exporteren naar PDF
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
De functie voor het exporteren van incidentgegevens is momenteel beschikbaar voor klanten van Microsoft Defender XDR en Microsoft Defender SOC-platform (Unified Security Operations Center) met de Microsoft Copilot for Security-licentie.
U kunt de gegevens van een incident exporteren naar PDF via de functie Incident exporteren als PDF en deze opslaan in PDF-indeling. Met deze functie kunnen beveiligingsteams de details van een incident op elk gewenst moment offline bekijken.
De geëxporteerde incidentgegevens bevatten de volgende informatie:
- Een overzicht met de details van het incident
- De aanvalsverhaalgrafiek en bedreigingscategorieën
- De betrokken activa, die maximaal 10 activa voor elk assettype dekken
- De bewijslijst omvat maximaal 100 items
- Ondersteunende gegevens, inclusief alle gerelateerde waarschuwingen en activiteiten die zijn vastgelegd in het activiteitenlogboek
Hier volgt een voorbeeld van het geëxporteerde PDF-bestand:
Als u de Copilot voor Beveiliging-licentie hebt, bevat de geëxporteerde PDF de volgende aanvullende incidentgegevens:
De functie exporteren naar PDF is ook beschikbaar in het copilot-zijpaneel van een gegenereerd incidentrapport.
Voer de volgende stappen uit om het PDF-bestand te genereren:
Open een incidentpagina. Selecteer het beletselteken Meer acties (...) in de rechterbovenhoek en kies Incident exporteren als PDF. De functie wordt grijs weergegeven terwijl het PDF-bestand wordt gegenereerd.
Er wordt een dialoogvenster weergegeven waarin wordt aangegeven dat het PDF-bestand wordt gegenereerd. Selecteer Gekregen om het dialoogvenster te sluiten. Bovendien wordt een statusbericht weergegeven dat de huidige status van de download aangeeft onder de titel van het incident. Het exportproces kan enkele minuten duren, afhankelijk van de complexiteit van het incident en de hoeveelheid gegevens die moet worden geëxporteerd.
Zodra het PDF-bestand gereed is, wordt in het statusbericht aangegeven dat de PDF gereed is en dat er een ander dialoogvenster wordt weergegeven. Selecteer Downloaden in het dialoogvenster om het PDF-bestand op uw apparaat op te slaan.
Het rapport wordt een paar minuten in de cache opgeslagen. Het systeem levert het eerder gegenereerde PDF-bestand als u hetzelfde incident binnen een korte periode opnieuw probeert te exporteren. Als u een nieuwere versie van het PDF-bestand wilt genereren, wacht u enkele minuten totdat de cache is verlopen.
Volgende stappen
Voor nieuwe incidenten begint u met uw onderzoek.
Voor in-process incidenten gaat u verder met uw onderzoek.
Voer voor opgeloste incidenten een incidentbeoordeling uit.
Zie ook
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor