Beveiligingswaarschuwingen beheren en erop reageren

  • Artikel

Defender voor Cloud verzamelt, analyseert en integreert logboekgegevens van uw Azure-, hybride en multicloud-bronnen, het netwerk en verbonden partneroplossingen, zoals firewalls en eindpunt-agenten. Defender voor Cloud gebruikt de logboekgegevens om echte bedreigingen te detecteren en fout-positieven te verminderen. In Defender voor Cloud wordt een lijst met beveiligingswaarschuwingen met prioriteiten weergegeven samen met de informatie die u nodig hebt om snel onderzoek te doen naar het probleem en de aanbevolen stappen voor het herstellen van een aanval.

In dit artikel leest u hoe u waarschuwingen van Defender voor Cloud kunt bekijken en verwerken en uw resources kunt beveiligen.

Bij het sorteren van beveiligingswaarschuwingen moet u prioriteit geven aan waarschuwingen op basis van de ernst van de waarschuwing, waarbij u waarschuwingen met een hogere ernst eerst aanpakt. Meer informatie over hoe waarschuwingen worden geclassificeerd.

Tip

U kunt Microsoft Defender voor Cloud verbinden met SIEM-oplossingen, waaronder Microsoft Sentinel, en de waarschuwingen van uw keuze gebruiken. Meer informatie over het streamen van waarschuwingen naar een SIEM-, SOAR- of IT Service Management-oplossing.

Uw beveiligingswaarschuwingen beheren

  1. Meld u aan bij de Azure-portal.

  2. Navigeer naar Microsoft Defender voor Cloud> Beveiligingswaarschuwingen.

    Screenshot that shows the security alerts page from Microsoft Defender for Cloud's overview page.

  3. (Optioneel) Filter de lijst met waarschuwingen met een van de relevante filters. U kunt extra filters toevoegen met de optie Filter toevoegen.

    Screenshot that shows you how to add filters to the alerts view.

    De lijst wordt bijgewerkt op basis van de geselecteerde filters. U kunt bijvoorbeeld beveiligingswaarschuwingen aanpakken die in de afgelopen 24 uur zijn opgetreden, omdat u een mogelijke inbreuk in het systeem onderzoekt.

Een beveiligingswaarschuwing onderzoeken

Elke waarschuwing bevat informatie over de waarschuwing die u helpt bij uw onderzoek.

Een beveiligingswaarschuwing onderzoeken:

  1. Selecteer een waarschuwing. Er wordt een zijvenster geopend met een beschrijving van de waarschuwing en alle betrokken resources.

    Screenshot of the high-level details view of a security alert.

  2. Bekijk de algemene informatie over de beveiligingswaarschuwing.

    • Ernst van waarschuwing, status en tijd van activiteit
    • Beschrijving met uitleg over de precieze gedetecteerde activiteit
    • Betrokken resources
    • Kill chain intent of the activity on the MITRE ATT&CK matrix (indien van toepassing)

  3. Selecteer Volledige details weergeven.

    Het rechterdeelvenster bevat het tabblad Waarschuwingsgegevens met verdere details van de waarschuwing om u te helpen het probleem te onderzoeken: IP-adressen, bestanden, processen en meer.

    Screenshot that shows the full details page for an alert.

    In het rechterdeelvenster vindt u ook het tabblad Actie ondernemen . Gebruik dit tabblad om verdere acties uit te voeren met betrekking tot de beveiligingswaarschuwing. Acties zoals:

    • Resourcecontext inspecteren - stuurt u naar de activiteitenlogboeken van de resource die ondersteuning bieden voor de beveiligingswaarschuwing
    • De bedreiging beperken: biedt handmatige herstelstappen voor deze beveiligingswaarschuwing
    • Toekomstige aanvallen voorkomen: biedt beveiligingsaanbevelingen om de kwetsbaarheid voor aanvallen te verminderen, de beveiligingspostuur te verhogen en toekomstige aanvallen te voorkomen
    • Geautomatiseerde reactie activeren: biedt de optie om een logische app te activeren als reactie op deze beveiligingswaarschuwing
    • Vergelijkbare waarschuwingen onderdrukken: biedt de optie om toekomstige waarschuwingen met vergelijkbare kenmerken te onderdrukken als de waarschuwing niet relevant is voor uw organisatie

    Screenshot that shows the options available in the Take action tab.

Neem voor meer informatie contact op met de resource-eigenaar om te controleren of de gedetecteerde activiteit een fout-positief is. U kunt ook de onbewerkte logboeken onderzoeken die zijn gegenereerd door de aangevallen resource.

De status van meerdere beveiligingswaarschuwingen tegelijk wijzigen

De lijst met waarschuwingen bevat selectievakjes, zodat u meerdere waarschuwingen tegelijk kunt verwerken. U kunt bijvoorbeeld besluiten om alle informatieve waarschuwingen voor een specifieke resource te negeren.

  1. Filter op basis van de waarschuwingen die u bulksgewijs wilt verwerken.

    In dit voorbeeld worden de waarschuwingen met de ernst van Informational de resource ASC-AKS-CLOUD-TALK geselecteerd.

    Screenshot that shows how to filter alerts to show related alerts.

  2. Gebruik de selectievakjes om de waarschuwingen te selecteren die moeten worden verwerkt.

    In dit voorbeeld worden alle waarschuwingen geselecteerd. De knop Status wijzigen is nu beschikbaar.

    Screenshot of selecting all alerts to handle in bulk.

  3. Gebruik de opties Status wijzigen om de gewenste status in te stellen.

    Screenshot of the security alerts status tab.

De waarschuwingen die op de huidige pagina worden weergegeven, hebben hun status gewijzigd in de geselecteerde waarde.

Reageren op een beveiligingswaarschuwing

Nadat u een beveiligingswaarschuwing hebt onderzocht, kunt u reageren op de waarschuwing vanuit Microsoft Defender voor Cloud.

Ga als volgende te werk om te reageren op een beveiligingswaarschuwing:

  1. Open het tabblad Actie ondernemen om de aanbevolen reacties te bekijken.

    Screenshot of the security alerts take action tab.

  2. Raadpleeg de sectie De bedreiging oplossen voor de handmatige onderzoeksstappen die nodig zijn om het probleem te verhelpen.

  3. Om uw resources te beveiligen en toekomstige aanvallen van dit type te voorkomen, moet u de beveiligingsaanbevelingen in de sectie Toekomstige aanvallen voorkomen volgen.

  4. Als u een logische app wilt activeren met geautomatiseerde antwoordstappen, gebruikt u de sectie Geautomatiseerde reactie activeren en selecteert u Logische trigger-app.

  5. Als de gedetecteerde activiteit niet schadelijk is, kunt u toekomstige waarschuwingen van dit type onderdrukken met behulp van de sectie Vergelijkbare waarschuwingen onderdrukken en onderdrukkingsregel maken selecteren.

  6. Selecteer Instellingen voor e-mailmeldingen configureren om te bekijken wie e-mailberichten ontvangt met betrekking tot beveiligingswaarschuwingen voor dit abonnement. Neem contact op met de eigenaar van het abonnement om de e-mailinstellingen te configureren.

  7. Wanneer u het onderzoek naar de waarschuwing hebt voltooid en op de juiste manier hebt gereageerd, wijzigt u de status in Gesloten.

    Screenshot of the alert's status drop down menu

    De waarschuwing wordt verwijderd uit de lijst met hoofdwaarschuwingen. U kunt het filter op de pagina met waarschuwingen gebruiken om alle waarschuwingen met de status Genegeerd weer te geven.

  8. Stuur vooral feedback over de waarschuwing naar Microsoft:

    1. De waarschuwing markeren als Nuttig of Niet nuttig.

    2. Selecteer een reden en voeg een opmerking toe.

      Screenshot of the provide feedback to Microsoft window that allows you to select the usefulness of an alert.

    Tip

    We bekijken uw feedback om onze algoritmen te verbeteren en betere beveiligingswaarschuwingen te bieden.

Zie Beveiligingswaarschuwingen: een referentiehandleiding voor meer informatie over de verschillende typen waarschuwingen.

Zie Hoe Microsoft Defender voor Cloud bedreigingen detecteert en reageert op bedreigingen voor een overzicht van hoe Defender voor Cloud waarschuwingen genereert.

Bekijk de resultaten van de scan zonder agent

De resultaten voor zowel de agent- als de scanner zonder agent worden weergegeven op de pagina Beveiligingswaarschuwingen.

Screenshot of the security alerts page that shows the results of both the agent-based and agentless scan results.

Notitie

Als u een van deze waarschuwingen herstelt, wordt de andere waarschuwing pas hersteld nadat de volgende scan is voltooid.

Zie ook

In dit document hebt u geleerd hoe u beveiligingswaarschuwingen kunt weergeven. Zie de volgende pagina's voor gerelateerd materiaal: