Actie ondernemen op geavanceerde opsporingsqueryresultaten

Notitie

Wilt u Microsoft 365 Defender ervaren? Meer informatie over hoe u Microsoft 365 Defender kunt evalueren en testen.

Van toepassing op:

  • Microsoft 365 Defender
  • Microsoft Defender voor Eindpunt

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

U kunt snel bedreigingen bevatten of gecompromitteerde assets aanpakken die u vindt in geavanceerde opsporing met behulp van krachtige en uitgebreide actieopties. Met deze opties kunt u het volgende doen:

  • Verschillende acties uitvoeren op apparaten
  • Bestanden in quarantaine

Vereiste machtigingen

Als u actie wilt ondernemen op apparaten via geavanceerde opsporing, hebt u een rol nodig in Microsoft Defender voor Eindpunt met machtigingen voor het verzenden van herstelacties op apparaten. Als u geen actie kunt ondernemen, neemt u contact op met een globale beheerder om de volgende machtiging te verkrijgen:

Actieve herstelacties > Bedreiging en vulnerability management - Afhandeling van herstel

Als u actie wilt ondernemen op e-mailberichten via geavanceerde opsporing, hebt u een rol in Microsoft Defender voor Office 365 nodig om e-mailberichten te zoeken en op te schonen.

Verschillende acties uitvoeren op apparaten

U kunt de volgende acties uitvoeren op apparaten die worden geïdentificeerd door de DeviceId kolom in de queryresultaten:

  • De getroffen apparaten isoleren om een infectie te bevatten of te voorkomen dat aanvallen zich lateraal bewegen
  • Onderzoekspakket verzamelen om meer forensische informatie te verkrijgen
  • Een antivirusscan uitvoeren om bedreigingen te zoeken en te verwijderen met behulp van de nieuwste updates voor beveiligingsinformatie
  • Een geautomatiseerd onderzoek starten om bedreigingen op het apparaat en mogelijk andere betrokken apparaten te controleren en op te lossen
  • De uitvoering van apps beperken tot alleen door Microsoft ondertekende uitvoerbare bestanden, waardoor volgende bedreigingsactiviteit wordt voorkomen via malware of andere niet-vertrouwde uitvoerbare bestanden

Lees meer over antwoordacties op apparaten voor meer informatie over hoe deze antwoordacties worden uitgevoerd via Microsoft Defender voor Eindpunt.

Bestanden in quarantaine

U kunt de quarantaineactie implementeren op bestanden, zodat ze automatisch in quarantaine worden geplaatst wanneer ze worden aangetroffen. Wanneer u deze actie selecteert, kunt u kiezen tussen de volgende kolommen om te bepalen welke bestanden in uw query in quarantaine moeten worden geplaatst:

  • SHA1: In de meeste geavanceerde opsporingstabellen verwijst deze kolom naar de SHA-1 van het bestand dat is beïnvloed door de vastgelegde actie. Als er bijvoorbeeld een bestand is gekopieerd, is dit getroffen bestand het gekopieerde bestand.
  • InitiatingProcessSHA1: In de meeste geavanceerde opsporingstabellen verwijst deze kolom naar het bestand dat verantwoordelijk is voor het initiëren van de vastgelegde actie. Als er bijvoorbeeld een onderliggerproces is gestart, maakt dit initiatorbestand deel uit van het bovenliggende proces.
  • SHA256: Deze kolom is het SHA-256-equivalent van het bestand dat wordt geïdentificeerd door de SHA1 kolom.
  • InitiatingProcessSHA256: Deze kolom is het SHA-256-equivalent van het bestand dat wordt geïdentificeerd door de InitiatingProcessSHA1 kolom.

Lees meer over antwoordacties op bestanden voor meer informatie over hoe quarantaineacties worden uitgevoerd en hoe bestanden kunnen worden hersteld.

Notitie

Als u bestanden wilt zoeken en in quarantaine wilt zetten, moeten de queryresultaten ook waarden bevatten DeviceId als apparaat-id's.

Als u een van de beschreven acties wilt uitvoeren, selecteert u een of meer records in de queryresultaten en selecteert u Vervolgens Acties uitvoeren. Een wizard begeleidt u bij het selecteren en vervolgens verzenden van uw gewenste acties.

De optie Acties ondernemen in de Microsoft 365 Defender-portal

Verschillende acties uitvoeren op e-mailberichten

Naast herstelstappen op basis van apparaten kunt u ook bepaalde acties uitvoeren op e-mailberichten uit uw queryresultaten. Selecteer de records waarvoor u actie wilt ondernemen, selecteer Acties ondernemen en selecteer vervolgens onder Acties kiezen uw keuze uit de volgende opties:

  • Move to mailbox folder - selecteer deze optie om de e-mailberichten te verplaatsen naar de map Ongewenste e-mail, Postvak IN of Verwijderde items

    De optie Acties ondernemen in de Microsoft 365 Defender-portal

  • Delete email - Selecteer deze optie om e-mailberichten te verplaatsen naar de map Verwijderde items (voorlopig verwijderen) of ze permanent te verwijderen (definitief verwijderen)

    De optie Acties ondernemen in de Microsoft 365 Defender-portal

U kunt ook een herstelnaam en een korte beschrijving van de ondernomen actie opgeven om deze eenvoudig te volgen in de geschiedenis van het actiecentrum. U kunt ook de goedkeurings-id gebruiken om te filteren op deze acties in het actiecentrum. Deze id wordt aan het einde van de wizard opgegeven:

wizard Acties uitvoeren met acties kiezen voor entiteiten

Deze e-mailacties zijn ook van toepassing op aangepaste detecties .

Uitgevoerde acties controleren

Elke actie wordt afzonderlijk vastgelegd in het actiecentrum onder ActiecentrumGeschiedenis > (security.microsoft.com/action-center/history). Ga naar het actiecentrum om de status van elke actie te controleren.

Notitie

Sommige tabellen in dit artikel zijn mogelijk niet beschikbaar in Microsoft Defender voor Eindpunt. Schakel Microsoft 365 Defender in om bedreigingen op te sporen met behulp van meer gegevensbronnen. U kunt uw geavanceerde opsporingswerkstromen van Microsoft Defender voor Eindpunt naar Microsoft 365 Defender verplaatsen door de stappen te volgen in Geavanceerde opsporingsquery's migreren van Microsoft Defender voor Eindpunt.