Reactie op incidenten met Microsoft 365 Defender

Notitie

Wilt u Microsoft 365 Defender ervaren? Meer informatie over hoe u Microsoft 365 Defender kunt evalueren en testen.

Van toepassing op:

  • Microsoft 365 Defender

Een incident in Microsoft 365 Defender is een verzameling gecorreleerde waarschuwingen en bijbehorende gegevens die het verhaal van een aanval vormen.

Microsoft 365 services en apps maken waarschuwingen wanneer ze een verdachte of schadelijke gebeurtenis of activiteit detecteren. Afzonderlijke waarschuwingen geven waardevolle aanwijzingen over een voltooide of lopende aanval. Aanvallen maken echter meestal gebruik van verschillende technieken voor verschillende typen entiteiten, zoals apparaten, gebruikers en postvakken. Het resultaat is meerdere waarschuwingen voor meerdere entiteiten in uw tenant.

Omdat het samenvoegen van de afzonderlijke waarschuwingen om inzicht te krijgen in een aanval lastig en tijdrovend kan zijn, worden de waarschuwingen en de bijbehorende informatie automatisch samengevoegd in een incident Microsoft 365 Defender.

Hoe Microsoft 365 Defender gebeurtenissen van entiteiten in een incident correleert.

Bekijk dit korte overzicht van incidenten in Microsoft 365 Defender (4 minuten).


Het groeperen van gerelateerde waarschuwingen in een incident geeft u een uitgebreid overzicht van een aanval. U kunt bijvoorbeeld het volgende zien:

  • Waar de aanval begon.
  • Welke tactieken werden gebruikt.
  • Hoe ver de aanval is gegaan naar uw tenant.
  • Het bereik van de aanval, zoals hoeveel apparaten, gebruikers en postvakken zijn beïnvloed.
  • Alle gegevens die aan de aanval zijn gekoppeld.

Als deze optie is ingeschakeld, kunnen Microsoft 365 Defender waarschuwingen automatisch onderzoeken en oplossen via automatisering en kunstmatige intelligentie. U kunt ook aanvullende herstelstappen uitvoeren om de aanval op te lossen.

Incidenten en waarschuwingen in de Microsoft 365 Defender-portal

U beheert incidenten vanuit incidenten & waarschuwingen > Incidenten bij het snel starten van de Microsoft 365 Defender-portal. Hier is een voorbeeld.

De pagina Incidenten in de Microsoft 365 Defender-portal.

Als u een incidentnaam selecteert, wordt een samenvatting van het incident weergegeven en kunt u toegang krijgen tot tabbladen met aanvullende informatie. Hier is een voorbeeld.

De overzichtspagina voor een incident in de Microsoft 365 Defender-portal

De extra tabbladen voor een incident zijn:

  • Waarschuwingen

    Alle waarschuwingen met betrekking tot het incident en de bijbehorende informatie.

  • Apparaten

    Alle apparaten die zijn geïdentificeerd als onderdeel van of gerelateerd aan het incident.

  • Gebruikers

    Alle gebruikers die zijn geïdentificeerd als onderdeel van of gerelateerd aan het incident.

  • Postvakken

    Alle postvakken die zijn geïdentificeerd als onderdeel van of gerelateerd aan het incident.

  • Onderzoeken

    Alle geautomatiseerde onderzoeken die worden geactiveerd door waarschuwingen in het incident.

  • Bewijs en antwoord

    Alle ondersteunde gebeurtenissen en verdachte entiteiten in de waarschuwingen van het incident.

  • Graph (preview)

    Een visuele weergave van de aanval die de verschillende verdachte entiteiten die deel uitmaken van de aanval, verbindt met hun gerelateerde assets, zoals gebruikers, apparaten en postvakken.

Hier is de relatie tussen een incident en de bijbehorende gegevens en de tabbladen van een incident in de Microsoft 365 Defender-portal.

De relatie van een incident en de bijbehorende gegevens met de tabbladen van een incident in de Microsoft 365 Defender-portal.

Voorbeeld van een werkstroom voor het reageren op incidenten voor Microsoft 365 Defender

Hier is een voorbeeldwerkstroom voor het reageren op incidenten in Microsoft 365 met de Microsoft 365 Defender-portal.

Een voorbeeld van een werkstroom voor het reageren op incidenten voor de Microsoft 365 Defender-portal.

Identificeer voortdurend de incidenten met de hoogste prioriteit voor analyse en oplossing in de incidentwachtrij en bereid ze voor op reactie. Dit is een combinatie van:

  • Sorteren op het bepalen van de incidenten met de hoogste prioriteit door het filteren en sorteren van de incidentwachtrij.
  • Incidenten beheren door hun titel te wijzigen, toe te wijzen aan een analist en tags en opmerkingen toe te voegen.

Overweeg deze stappen voor uw eigen werkstroom voor het reageren op incidenten:

  1. Begin voor elk incident met een onderzoek en analyse van aanvallen en waarschuwingen:

    1. Bekijk de samenvatting van het incident om inzicht te krijgen in het bereik en de ernst en welke entiteiten worden beïnvloed door de tabbladen Samenvatting en Graph (preview).

    2. Begin met het analyseren van de waarschuwingen om inzicht te krijgen in de oorsprong, het bereik en de ernst ervan met behulp van het tabblad Waarschuwingen .

    3. Verzamel zo nodig informatie over betrokken apparaten, gebruikers en postvakken met de tabbladen Apparaten, Gebruikers en Postvakken .

    4. Bekijk op het tabblad Onderzoeken hoe Microsoft 365 Defender bepaalde waarschuwingen automatisch heeft opgelost.

    5. Gebruik zo nodig informatie in de gegevensset voor het incident voor meer informatie met het tabblad Bewijs en antwoord .

  2. Voer na of tijdens uw analyse insluiting uit om eventuele extra impact van de aanval en uitroeiing van de beveiligingsbedreiging te verminderen.

  3. Herstel zo veel mogelijk van de aanval door uw tenantresources te herstellen naar de status waarin ze zich vóór het incident bevonden.

  4. Los het incident op en neem de tijd om na het incident te leren:

    • Inzicht in het type aanval en de impact ervan.
    • Onderzoek de aanval in Threat Analytics en de beveiligingscommunity voor een trend in beveiligingsaanvallen.
    • Denk terug aan de werkstroom die u hebt gebruikt om het incident op te lossen en werk uw standaardwerkstromen, processen, beleid en playbooks indien nodig bij.
    • Bepaal of er wijzigingen in uw beveiligingsconfiguratie nodig zijn en implementeer deze.

Als u geen kennis hebt van beveiligingsanalyse, raadpleegt u de inleiding om te reageren op uw eerste incident voor aanvullende informatie en om een voorbeeldincident te doorlopen.

Zie dit artikel voor meer informatie over het reageren op incidenten in Microsoft-producten.

Voorbeeld van beveiligingsbewerkingen voor Microsoft 365 Defender

Hier is een voorbeeld van beveiligingsbewerkingen (SecOps) voor Microsoft 365 Defender.

Een voorbeeld van beveiligingsbewerkingen voor Microsoft 365 Defender

Dagelijkse taken kunnen het volgende omvatten:

Maandelijkse taken kunnen het volgende omvatten:

Driemaandelijkse taken kunnen een rapport en briefing van beveiligingsresultaten bevatten aan de Chief Information Security Officer (CISO).

Jaarlijkse taken kunnen bestaan uit het uitvoeren van een grote incident- of schendingsoefening om uw personeel, systemen en processen te testen.

Dagelijkse, maandelijkse, driemaandelijkse en jaarlijkse taken kunnen worden gebruikt om processen, beleidsregels en beveiligingsconfiguraties bij te werken of te verfijnen.

Zie Microsoft 365 Defender integreren in uw beveiligingsbewerkingen voor meer informatie.

SecOps-resources in Microsoft-producten

Zie de volgende bronnen voor meer informatie over SecOps in microsoft-producten:

Incidentmeldingen per e-mail ontvangen

U kunt Microsoft 365 Defender instellen om uw personeel een e-mail te sturen over nieuwe incidenten of updates voor bestaande incidenten. U kunt ervoor kiezen om meldingen te ontvangen op basis van:

  • Ernst van het incident.
  • Apparaatgroep.
  • Alleen bij de eerste update per incident.

De e-mailmelding bevat belangrijke details over het incident, zoals de incidentnaam, ernst en categorieën, onder andere. U kunt ook rechtstreeks naar het incident gaan en uw analyse direct starten. Zie Incidenten onderzoeken voor meer informatie.

U kunt geadresseerden toevoegen aan of verwijderen uit de e-mailmeldingen. Nieuwe ontvangers krijgen een melding over incidenten nadat ze zijn toegevoegd.

Notitie

U hebt de machtiging Beveiligingsinstellingen beheren nodig om instellingen voor e-mailmeldingen te configureren. Als u ervoor hebt gekozen om basismachtigingsbeheer te gebruiken, kunnen gebruikers met de rol Beveiligingsbeheerder of Globale beheerder e-mailmeldingen configureren.

Als uw organisatie gebruikmaakt van op rollen gebaseerd toegangsbeheer (RBAC), kunt u alleen meldingen maken, bewerken, verwijderen en ontvangen op basis van apparaatgroepen die u mag beheren.

Een regel maken voor e-mailmeldingen

Volg deze stappen om een nieuwe regel te maken en instellingen voor e-mailmeldingen aan te passen.

  1. Selecteer Instellingen > Microsoft 365 Defender > e-mailmeldingen voor incidenten in het navigatiedeelvenster.

  2. Selecteer Item toevoegen.

  3. Typ op de pagina Basisinformatie de regelnaam en een beschrijving en selecteer Vervolgens Volgende.

  4. Configureer het volgende op de pagina Instellingen voor meldingen :

    • Ernst van waarschuwing: kies de ernst van de waarschuwing die een incidentmelding activeert. Als u bijvoorbeeld alleen wilt worden geïnformeerd over incidenten met een hoge ernst, selecteert u Hoog.
    • Bereik van apparaatgroepen : u kunt alle apparaatgroepen opgeven of een apparaatgroep selecteren in de lijst met apparaatgroepen in uw tenant.
    • Alleen een melding bij eerste exemplaar per incident : selecteer of u alleen een melding wilt ontvangen voor de eerste waarschuwing die overeenkomt met uw andere selecties. Latere updates of waarschuwingen met betrekking tot het incident verzenden geen extra meldingen.
    • Organisatienaam opnemen in het e-mailbericht - Selecteer of u wilt dat de naam van uw organisatie wordt weergegeven in de e-mailmelding.
    • Tenantspecifieke portalkoppeling opnemen - Selecteer of u een koppeling met de tenant-id wilt toevoegen in de e-mailmelding voor toegang tot een specifieke Microsoft 365 tenant.

    De pagina Meldingsinstellingen voor e-mailmeldingen voor incidenten in de Microsoft 365 Defender-portal.

  5. Selecteer Volgende. Voeg op de pagina Ontvangers de e-mailadressen toe die de incidentmeldingen ontvangen. Selecteer Toevoegen nadat u elk nieuw e-mailadres hebt getypt. Als u meldingen wilt testen en ervoor wilt zorgen dat de geadresseerden deze ontvangen in de Postvakken, selecteert u Test-e-mail verzenden.

  6. Selecteer Volgende. Controleer op de pagina Regel controleren de instellingen van de regel en selecteer vervolgens Regel maken. Ontvangers ontvangen incidentmeldingen via e-mail op basis van de instellingen.

Als u een bestaande regel wilt bewerken, selecteert u deze in de lijst met regels. Selecteer regel bewerken in het deelvenster met de naam van de regel en breng uw wijzigingen aan op de pagina's Basisbeginselen, Meldingsinstellingen en Geadresseerden .

Als u een regel wilt verwijderen, selecteert u deze in de lijst met regels. Selecteer Verwijderen in het deelvenster met de regelnaam.

Training voor beveiligingsanalisten

Gebruik deze leermodule van Microsoft Learn om te begrijpen hoe u Microsoft 365 Defender gebruikt om incidenten en waarschuwingen te beheren.

Training: Incidenten onderzoeken met Microsoft 365 Defender
Incidenten onderzoeken met Microsoft 365 Defender trainingspictogram. Microsoft 365 Defender combineert bedreigingsgegevens van meerdere services en maakt gebruik van AI om deze te combineren in incidenten en waarschuwingen. Meer informatie over het minimaliseren van de tijd tussen een incident en het bijbehorende beheer voor verdere reactie en oplossing.

27 min - 6 eenheden

Volgende stappen

Gebruik de vermelde stappen op basis van uw ervaringsniveau of rol in uw beveiligingsteam.

Ervaringsniveau

Volg deze tabel voor uw ervaring met beveiligingsanalyse en incidentrespons.

Niveau Stappen
Nieuw
  1. Zie het overzicht Reageren op uw eerste incident om een rondleiding te krijgen van een typisch proces van analyse, herstel en incidentbeoordeling in de Microsoft 365 Defender-portal met een voorbeeld van een aanval.
  2. Bekijk welke incidenten prioriteit moeten krijgen op basis van ernst en andere factoren.
  3. Incidenten beheren, waaronder het wijzigen van de naam, het toewijzen, classificeren en toevoegen van tags en opmerkingen op basis van uw werkstroom voor incidentbeheer.
Ervaren
  1. Aan de slag met de incidentwachtrij op de pagina Incidenten van de Microsoft 365 Defender-portal. U kunt hier het volgende doen:
    • Bekijk welke incidenten prioriteit moeten krijgen op basis van ernst en andere factoren.
    • Incidenten beheren, waaronder het wijzigen van de naam, het toewijzen, classificeren en toevoegen van tags en opmerkingen op basis van uw werkstroom voor incidentbeheer.
    • Onderzoek naar incidenten uitvoeren.
  2. Volg en reageer op opkomende bedreigingen met bedreigingsanalyse.
  3. Proactief op bedreigingen jagen met geavanceerde opsporing van bedreigingen.
  4. Zie deze playbooks voor reacties op incidenten voor gedetailleerde richtlijnen voor phishing, wachtwoordspray en app-toestemmingstoestemmingsaanvallen.

Rol van beveiligingsteam

Volg deze tabel op basis van de rol van uw beveiligingsteam.

Rol Stappen
Incident responder (laag 1) Aan de slag met de incidentwachtrij op de pagina Incidenten van de Microsoft 365 Defender-portal. U kunt hier het volgende doen:
  • Bekijk welke incidenten prioriteit moeten krijgen op basis van ernst en andere factoren.
  • Incidenten beheren, waaronder het wijzigen van de naam, het toewijzen, classificeren en toevoegen van tags en opmerkingen op basis van uw werkstroom voor incidentbeheer.
Beveiligingsonderzoeker of analist (Laag 2)
  1. Voer onderzoeken uit van incidenten vanaf de pagina Incidenten van de Microsoft 365 Defender-portal.
  2. Zie deze playbooks voor reacties op incidenten voor gedetailleerde richtlijnen voor phishing, wachtwoordspray en app-toestemmingstoestemmingsaanvallen.
Geavanceerde beveiligingsanalist of bedreigingsjager (Laag 3)
  1. Voer onderzoeken uit van incidenten vanaf de pagina Incidenten van de Microsoft 365 Defender-portal.
  2. Volg en reageer op opkomende bedreigingen met bedreigingsanalyse.
  3. Proactief op bedreigingen jagen met geavanceerde opsporing van bedreigingen.
  4. Zie deze playbooks voor reacties op incidenten voor gedetailleerde richtlijnen voor phishing, wachtwoordspray en app-toestemmingstoestemmingsaanvallen.
SOC-manager Meer informatie over het integreren van Microsoft 365 Defender in uw Security Operations Center (SOC).