Uw eerste incident in Microsoft Defender XDR herstellen

Opmerking

Wilt u Microsoft Defender XDR ervaren? Meer informatie over hoe u Microsoft Defender XDR kunt evalueren en piloten.

Van toepassing op:

• Microsoft Defender XDR

Microsoft Defender XDR biedt detectie- en analysemogelijkheden om te zorgen voor inperking en uitroeiing van bedreigingen. Containment bevat stappen om de impact van de aanval te verminderen, terwijl uitroeiing ervoor zorgt dat alle sporen van activiteiten van de aanvaller uit het netwerk worden verwijderd.

Herstel in Microsoft Defender XDR kan worden geautomatiseerd of via handmatige acties die worden uitgevoerd door incident responders. Herstelacties kunnen worden uitgevoerd op apparaten, bestanden en identiteiten.

Automatisch herstel

Microsoft Defender XDR maakt gebruik van bedreigingsinformatie en de signalen binnen uw netwerk om de meest verstorende aanvallen te bestrijden. Ransomware, zakelijke e-mailcompromittatie (BEC) en aiTM-phishing (adversary-in-the-middle) zijn enkele van de meest complexe aanvallen die onmiddellijk kunnen worden ingeperkt door automatische aanvalsonderbreking . Zodra een aanval is onderbroken, kunnen incident responders een aanval overnemen en volledig onderzoeken en de vereiste herstelbewerking toepassen.

Meer informatie over hoe automatische onderbreking van aanvallen helpt bij het reageren op incidenten:

Ondertussen kunnen de geautomatiseerde onderzoeks- en reactiemogelijkheden van Microsoft Defender XDR automatisch herstelacties onderzoeken en toepassen op schadelijke en verdachte items. Deze mogelijkheden schalen onderzoek en oplossing naar bedreigingen, waardoor incident responders zich kunnen richten op aanvallen met een hoge impact.

U kunt geautomatiseerde onderzoeks- en reactiemogelijkheden configureren en beheren . U kunt ook alle eerdere en in behandeling zijnde acties bekijken via het Actiecentrum.

Opmerking

U kunt automatische acties na controle ongedaan maken.

Als u bepaalde onderzoekstaken wilt versnellen, kunt u waarschuwingen sorteren met Power Automate. Daarnaast kan geautomatiseerd herstel worden gemaakt met behulp van automatisering en playbooks. Microsoft heeft playbooksjablonen op GitHub voor de volgende scenario's:

• Het delen van gevoelige bestanden verwijderen na het aanvragen van gebruikersvalidatie
• Onregelmatige landwaarschuwingen automatisch sorteren
• Actie manager aanvragen voordat een account wordt uitgeschakeld
• Schadelijke regels voor Postvak IN uitschakelen

Playbooks gebruiken Power Automate om aangepaste geautomatiseerde procesautomatiseringsstromen te maken om bepaalde activiteiten te automatiseren zodra specifieke criteria zijn geactiveerd. Organisaties kunnen playbooks maken op basis van bestaande sjablonen of helemaal zelf. Playbooks kunnen ook worden gemaakt tijdens de incidentbeoordeling om herstelacties te maken op basis van opgeloste incidenten.

Meer informatie over hoe Power Automate u kan helpen bij het automatiseren van uw reactie op incidenten via deze video:

Handmatig herstel

Tijdens het reageren op een aanval kunnen beveiligingsteams gebruikmaken van de handmatige herstelacties van de portal om te voorkomen dat aanvallen verdere schade veroorzaken. Sommige acties kunnen een bedreiging onmiddellijk stoppen, terwijl andere helpen bij verdere forensische analyse. U kunt deze acties toepassen op elke entiteit, afhankelijk van de Defender-workloads die in uw organisatie zijn geïmplementeerd.

Acties op apparaten

• Het apparaat isoleren : isoleert een getroffen apparaat door de verbinding van het apparaat met het netwerk te verbreken. Het apparaat blijft verbonden met de Defender voor Eindpunt-service voor verdere bewaking.

• De uitvoering van apps beperken : hiermee wordt een toepassing beperkt door een code-integriteitsbeleid toe te passen dat alleen toestaat dat bestanden worden uitgevoerd als ze zijn ondertekend door een door Microsoft uitgegeven certificaat.

• Antivirusscan uitvoeren : hiermee initieert u een Defender Antivirus-scan op afstand voor een apparaat. De scan kan naast andere antivirusoplossingen worden uitgevoerd, ongeacht of Defender Antivirus de actieve antivirusoplossing is of niet.

• Onderzoekspakket verzamelen : u kunt een onderzoekspakket van een apparaat verzamelen als onderdeel van het onderzoek- of antwoordproces. Door het onderzoekspakket te verzamelen, kunt u de huidige status van het apparaat identificeren en meer inzicht krijgen in de hulpprogramma's en technieken die door de aanvaller worden gebruikt.

• Geautomatiseerd onderzoek starten : start een nieuw, geautomatiseerd onderzoek voor algemeen gebruik op het apparaat. Terwijl een onderzoek wordt uitgevoerd, wordt elke andere waarschuwing die op het apparaat wordt gegenereerd, toegevoegd aan een doorlopend geautomatiseerd onderzoek totdat dat onderzoek is voltooid. Bovendien, als dezelfde bedreiging wordt gezien op andere apparaten, worden deze apparaten toegevoegd aan het onderzoek.

• Live-reactie initiëren : hiermee hebt u direct toegang tot een apparaat via een externe shell-verbinding, zodat u uitgebreid onderzoek kunt doen en onmiddellijk actie kunt ondernemen om geïdentificeerde bedreigingen in realtime te beperken. Live response is ontworpen om onderzoeken te verbeteren door u in staat te stellen forensische gegevens te verzamelen, scripts uit te voeren, verdachte entiteiten te verzenden voor analyse, bedreigingen te herstellen en proactief te zoeken naar nieuwe bedreigingen.

• Vraag het Defender-experts: u kunt een Microsoft Defender-expert raadplegen voor meer inzichten over mogelijk gecompromitteerde of al gecompromitteerde apparaten. Microsoft Defender experts kunnen rechtstreeks vanuit de portal worden ingeschakeld voor een tijdige en nauwkeurige reactie. Deze actie is beschikbaar voor zowel apparaten als bestanden.

Andere acties op apparaten zijn beschikbaar via de volgende zelfstudie:

• Reactieacties op een apparaat dat is ingeschakeld via Defender voor Eindpunt

Opmerking

U kunt acties uitvoeren op apparaten rechtstreeks vanuit de grafiek in het aanvalsverhaal.

Acties voor bestanden

• Bestand stoppen en in quarantaine plaatsen : omvat het stoppen van actieve processen, het in quarantaine plaatsen van bestanden en het verwijderen van permanente gegevens, zoals registersleutels.
• Indicatoren toevoegen om bestanden te blokkeren of toe te staan : voorkomt dat een aanval zich verder verspreidt door mogelijk schadelijke bestanden of verdachte malware te verbieden. Met deze bewerking voorkomt u dat het bestand wordt gelezen, geschreven of uitgevoerd op apparaten in uw organisatie.
• Bestand downloaden of verzamelen : hiermee kunnen analisten een bestand downloaden in een met een wachtwoord beveiligd .zip archiefbestand voor verdere analyse door de organisatie.
• Diepgaande analyse : voert een bestand uit in een veilige, volledig geïnstrueerde cloudomgeving. Uitgebreide analyseresultaten tonen de activiteiten van het bestand, waargenomen gedrag en bijbehorende artefacten, zoals verwijderde bestanden, registerwijzigingen en communicatie met IP-adressen.

Andere aanvallen herstellen

Opmerking

Deze zelfstudies zijn van toepassing wanneer andere Defender-workloads zijn ingeschakeld in uw omgeving.

In de volgende zelfstudies worden de stappen en acties opgesomd die u kunt toepassen bij het onderzoeken van entiteiten of bij het reageren op specifieke bedreigingen:

• Reageren op een gehackt e-mailaccount via Defender voor Office 365
• Beveiligingsproblemen oplossen met Defender for Vulnerability Management
• Herstelacties voor gebruikersaccounts via Defender for Identity
• Beleid toepassen om apps te beheren met Defender for Cloud Apps

Volgende stappen

• Aanvallen simuleren via de training voor aanvalssimulatie
• Verken Microsoft Defender XDR via de Virtual Ninja-training

Zie ook

• Incidenten onderzoeken
• Meer informatie over de functies en functies van de portal via de Microsoft Defender XDR Ninja-training

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.