Incidenten beheren in Microsoft 365 Defender

Notitie

Wilt u Microsoft 365 Defender ervaren? Meer informatie over hoe u Microsoft 365 Defender kunt evalueren en testen.

Van toepassing op:

  • Microsoft 365 Defender

Incidentbeheer is essentieel om ervoor te zorgen dat incidenten worden benoemd, toegewezen en getagd om de tijd in uw incidentwerkstroom te optimaliseren en bedreigingen sneller te bevatten en aan te pakken.

U kunt incidenten beheren vanuit incidenten & waarschuwingen > Incidenten bij het snel starten van de Microsoft 365 Defender-portal (security.microsoft.com). Hier is een voorbeeld.

De pagina Incidenten in de Microsoft 365 Defender-portal

Dit zijn de manieren waarop u uw incidenten kunt beheren:

U kunt incidenten beheren vanuit het deelvenster Incidenten beheren voor een incident. Hier is een voorbeeld.

Het deelvenster Incidenten beheren in de Microsoft 365 Defender-portal

U kunt dit deelvenster weergeven via de koppeling Incident beheren op de volgende pagina:

  • Eigenschappenvenster van een incident in de incidentwachtrij.
  • Overzichtspagina van een incident.

In gevallen waarin u waarschuwingen van het ene incident naar het andere wilt verplaatsen, kunt u dit ook doen vanaf het tabblad Waarschuwingen , waardoor een groter of kleiner incident wordt gemaakt dat alle relevante waarschuwingen bevat.

De incidentnaam bewerken

Microsoft 365 Defender wijst automatisch een naam toe op basis van waarschuwingskenmerken, zoals het aantal betrokken eindpunten, betrokken gebruikers, detectiebronnen of categorieën. Hierdoor kunt u snel inzicht krijgen in het bereik van het incident. Bijvoorbeeld: Incident met meerdere fasen op meerdere eindpunten die door meerdere bronnen zijn gerapporteerd.

U kunt de incidentnaam bewerken vanuit het veld Incidentnaam in het deelvenster Incident beheren .

Notitie

Incidenten die bestonden vóór de implementatie van de functie voor automatische naamgeving van incidenten, behouden hun naam.

Incidenttags toevoegen

U kunt aangepaste tags toevoegen aan een incident, bijvoorbeeld om een groep incidenten met een gemeenschappelijk kenmerk te markeren. U kunt de incidentwachtrij later filteren op alle incidenten die een specifieke tag bevatten.

Wanneer u begint te typen, kunt u kiezen uit een lijst met eerder gebruikte en geselecteerde tags.

Een incident toewijzen

Als er nog geen incident is toegewezen, kunt u het vak Toewijzen aan selecteren en het gebruikersaccount opgeven. Als u een incident opnieuw wilt toewijzen, verwijdert u het huidige toewijzingsaccount door de x naast de accountnaam te selecteren en vervolgens het vak Toewijzen aan te selecteren. Als u het eigendom van een incident toewijst, wordt hetzelfde eigendom toegewezen aan alle waarschuwingen die eraan zijn gekoppeld.

U kunt een lijst met incidenten ophalen die aan u zijn toegewezen door de incidentwachtrij te filteren.

  1. Selecteer Filters in de incidentwachtrij.
  2. In de sectie Incidenttoewijzing schakelt u Alles selecteren uit en selecteert u Toegewezen aan mij.
  3. Selecteer Toepassen en sluit vervolgens het deelvenster Filters .

Vervolgens kunt u de resulterende URL in uw browser opslaan als bladwijzer om snel de lijst met incidenten te zien die aan u zijn toegewezen.

Een incident oplossen

Als het incident is hersteld, selecteert u Incident oplossen om de wisselknop naar rechts te verplaatsen. Houd er rekening mee dat het oplossen van een incident ook alle gekoppelde en actieve waarschuwingen met betrekking tot het incident oplost.

Een incident dat niet is opgelost, wordt weergegeven als Actief.

De classificatie opgeven

In het veld Classificatie geeft u op of het incident:

  • Niet ingesteld (de standaardinstelling).
  • Terecht positief met een soort bedreiging. Gebruik deze classificatie voor incidenten die een echte bedreiging nauwkeurig aangeven. Door het bedreigingstype op te geven, kan uw beveiligingsteam bedreigingspatronen zien en actie ondernemen om uw organisatie ervan te beschermen.
  • Informatieve, verwachte activiteit met een type activiteit. Gebruik de opties in deze categorie om incidenten te classificeren voor beveiligingstests, rode teamactiviteiten en verwacht ongebruikelijk gedrag van vertrouwde apps en gebruikers.
  • Fout-positief voor typen incidenten die u vaststelt, kunnen worden genegeerd omdat ze technisch onjuist of misleidend zijn.

Door incidenten te classificeren en hun status en type op te geven, kunt u Microsoft 365 Defender afstemmen om de detectie in de loop van de tijd beter te bepalen.

Bekijk deze korte video om te leren hoe u classificatie kunt gebruiken om de triage-efficiëntie te verhogen.

Opmerkingen toevoegen

U kunt meerdere opmerkingen toevoegen aan een incident met het veld Opmerking . Elke opmerking wordt toegevoegd aan de historische gebeurtenissen van het incident. U kunt de opmerkingen en geschiedenis van een incident bekijken via de koppeling Opmerkingen en geschiedenis op de pagina Samenvatting .

Volgende stappen

Begin met uw onderzoek voor nieuwe incidenten.

Voor in-processincidenten gaat u verder met uw onderzoek.

Voor opgeloste incidenten voert u een incidentbeoordeling uit.

Zie ook