Zelf studie: een computer onderzoekenTutorial: Investigate a computer

Notitie

De Micro soft Defender voor identiteitMicrosoft Defender for Identity functies die op deze pagina worden beschreven, zijn ook toegankelijk via de nieuwe Portal.The Micro soft Defender voor identiteitMicrosoft Defender for Identity features explained on this page are also accessible using the new portal.

Micro soft Defender voor identiteitMicrosoft Defender for Identity waarschuwings bewijs levert duidelijke aanwijzingen wanneer computers betrokken zijn geweest bij verdachte activiteiten of wanneer er aanwijzingen zijn dat een computer is aangetast.Micro soft Defender voor identiteitMicrosoft Defender for Identity alert evidence provides clear indications when computers have been involved in suspicious activities or when indications exist that a machine is compromised. In deze zelf studie gebruikt u de suggesties voor onderzoek om het risico voor uw organisatie te bepalen, te bepalen hoe u het probleem kunt oplossen en de beste manier om te voor komen dat er in de toekomst vergelijk bare aanvallen worden verstaan.In this tutorial you'll use the investigation suggestions to help determine the risk to your organization, decide how to remediate, and determine the best way to prevent similar attacks in the future.

  • Controleer de computer op de aangemelde gebruiker.Check the computer for the logged in user.
  • Controleer of de gebruiker normaal gesp roken toegang heeft tot de computers.Verify if the user normally accesses the computers.
  • Onderzoek verdachte activiteiten vanaf de computer.Investigate suspicious activities from the computer.
  • Waar worden er andere waarschuwingen rond hetzelfde tijdstip?Where there other alerts around the same time?

Onderzoek stappen voor verdachte computersInvestigation steps for suspicious computers

Als u toegang wilt krijgen tot de pagina computer profiel, klikt u op de specifieke computer die wordt vermeld in de waarschuwing die u wilt onderzoeken.To access the computer profile page, click on the specific computer mentioned in the alert that you wish to investigate. Om u te helpen bij het onderzoek, worden met waarschuwings bewijzen alle computers (en gebruikers) weer gegeven die zijn verbonden met elke verdachte activiteit.To assist your investigation, alert evidence lists all computers (and users) connected to each suspicious activity.

Controleer en onderzoek het computer profiel voor de volgende details en activiteiten:Check and investigate the computer profile for the following details and activities:

  • Wat is er gebeurd rond het tijdstip van de verdachte activiteit?What happened around the time of the suspicious activity?

    1. Welke gebruiker is aangemeld bij de computer?Which user was logged in to the computer?
    2. Meldt de gebruiker zich Norma liter aan of toegang tot de bron-of doel computer?Does that user normally log into or access the source or destination computer?
    3. Welke resources wilt u openen?Which resources where accessed? Door welke gebruikers?By which users?
    • Als er resources zijn geopend, waren deze grote bronnen?If resources were accessed, were they high-value resources?
    1. Had de gebruiker toegang tot deze bronnen?Was the user supposed to access those resources?
    2. Heeft de gebruiker die de computer heeft bezocht, andere verdachte activiteiten uitgevoerd?Did the user that accessed the computer perform other suspicious activities?
  • Aanvullende verdachte activiteiten die moeten worden onderzocht:Additional suspicious activities to investigate:

    1. Zijn er andere waarschuwingen op hetzelfde moment geopend als deze waarschuwing in Defender voor identiteitDefender for Identity , of in andere beveiligings Programma's, zoals micro soft Defender voor eind punt, Azure Security Center en/of micro soft-ca's?Were other alerts opened around the same time as this alert in Defender voor identiteitDefender for Identity, or in other security tools such as Microsoft Defender for Endpoint, Azure Security Center and/or Microsoft CAS?
    2. Zijn er mislukte aanmeldingen?Were there failed logons?
  • Als micro soft Defender voor endpoint Integration is ingeschakeld, klikt u op de badge van micro soft Defender voor endpoint om de computer verder te onderzoeken.If Microsoft Defender for Endpoint integration is enabled, click the Microsoft Defender for Endpoint badge to further investigate the computer. In micro soft Defender voor eind punt kunt u zien welke processen en waarschuwingen rond dezelfde keer als de waarschuwing zijn uitgevoerd.In Microsoft Defender for Endpoint you can see which processes and alerts occurred around the same time as the alert.

    • Waren er nieuwe Program ma's ge├»mplementeerd of ge├»nstalleerd?Were any new programs deployed or installed?

Volgende stappenNext steps