Werken met beveiligingswaarschuwingenWorking with Security Alerts

Notitie

De Micro soft Defender voor identiteitMicrosoft Defender for Identity functies die op deze pagina worden beschreven, zijn ook toegankelijk via de nieuwe Portal.The Micro soft Defender voor identiteitMicrosoft Defender for Identity features explained on this page are also accessible using the new portal.

In dit artikel worden de basis beginselen uitgelegd van het werken met Micro soft Defender voor identiteitMicrosoft Defender for Identity beveiligings waarschuwingen.This article explains the basics of how to work with Micro soft Defender voor identiteitMicrosoft Defender for Identity security alerts.

Beveiligings waarschuwingen op de tijd lijn van de aanval controlerenReview security alerts on the attack timeline

Nadat u zich hebt aangemeld bij de Defender voor identiteitDefender for Identity Portal, wordt u automatisch naar de tijd lijn voor het openen van beveiligings waarschuwingen geleid.After logging in to the Defender voor identiteitDefender for Identity portal, you're automatically taken to the open Security Alerts Timeline. Beveiligings waarschuwingen worden in chronologische volg orde weer gegeven, met de nieuwste waarschuwing boven aan de tijd lijn.Security alerts are listed in chronological order, with the newest alert on the top of the timeline.

Elke beveiligings waarschuwing heeft de volgende informatie:Each security alert has the following information:

  • Entiteiten die betrokken zijn, met inbegrip van gebruikers, computers, servers, domeincontrollers en bronnen.Entities involved, including users, computers, servers, domain controllers, and resources.

  • Tijdstippen en tijdstippen van de verdachte activiteiten die de beveiligings waarschuwing hebben geïnitieerd.Times and time frame of the suspicious activities which initiated the security alert.

  • Ernst van de waarschuwing: hoog, gemiddeld of laag.Severity of the alert: High, Medium, or Low.

  • Status: Lopend, Gesloten of Onderdrukt.Status: Open, closed, or suppressed.

  • Mogelijkheid om:Ability to:

    • Deel de beveiligings waarschuwing met andere personen in uw organisatie via e-mail.Share the security alert with other people in your organization via email.
    • Down load de beveiligings waarschuwing in Excel-indeling.Download the security alert in Excel format.

Notitie

  • Wanneer u de muis aanwijzer boven een gebruiker of computer houdt, wordt een profiel voor een mini entiteit weer gegeven.When you hover your mouse over a user or computer, a mini entity profile is displayed. Het mini profiel biedt aanvullende informatie over de entiteit en bevat het aantal beveiligings waarschuwingen waaraan de entiteit is gekoppeld.The mini-profile provides additional information about the entity and includes the number of security alerts that the entity is linked to.
  • Als u op een entiteit klikt, gaat u naar het entiteits Profiel van de gebruiker of computer.Clicking on an entity, takes you to the entity profile of the user or computer.

[! INCLUSIEF [product short] (inclusief/product-short. MD)] afbeelding van de tijd lijn voor beveiligings waarschuwingen

Categorieën beveiligings waarschuwingenSecurity alert categories

Defender voor identiteitDefender for Identity beveiligings waarschuwingen worden onderverdeeld in de volgende categorieën of fasen, zoals de fasen die worden weer gegeven in een typische keten voor het afbreken van een cyber aanval.Defender voor identiteitDefender for Identity security alerts are divided into the following categories or phases, like the phases seen in a typical cyber-attack kill chain.

Preview-detectiesPreview detections

Het Defender voor identiteitDefender for Identity onderzoeksteam werkt voortdurend bij het implementeren van nieuwe detecties voor pas ontdekte aanvallen.The Defender voor identiteitDefender for Identity research team constantly works on implementing new detections for newly discovered attacks. Omdat Defender voor identiteitDefender for Identity een Cloud service is, worden nieuwe detecties snel vrijgegeven zodat Defender voor identiteitDefender for Identity klanten zo snel mogelijk kunnen profiteren van nieuwe detecties.Because Defender voor identiteitDefender for Identity is a cloud service, new detections are released quickly to enable Defender voor identiteitDefender for Identity customers to benefit from new detections as soon as possible.

Deze detecties zijn gelabeld met een preview-badge, om u te helpen de nieuwe detecties te identificeren en te weten dat ze nieuw zijn voor het product.These detections are tagged with a preview badge, to help you identify the new detections and know that they are new to the product. Als u Preview-detectie uitschakelt, worden ze niet weer gegeven in de Defender voor identiteitDefender for Identity console, niet in de tijd lijn of in entiteits profielen, en worden er geen nieuwe waarschuwingen geopend.If you turn off preview detections, they will not be displayed in the Defender voor identiteitDefender for Identity console - not in the timeline or in entity profiles - and new alerts won't be opened.

Preview-detectie in de tijd lijn

Preview-detecties zijn standaard ingeschakeld in Defender voor identiteitDefender for Identity .By default, preview detections are enabled in Defender voor identiteitDefender for Identity.

Preview-detectie uitschakelen:To disable preview detections:

  1. Selecteer in de Defender voor identiteitDefender for Identity -console configuratie.In the Defender voor identiteitDefender for Identity console, select Configuration.
  2. Klik in het linkermenu onder Preview op detecties.In the left menu, under Preview, click Detections.
  3. Gebruik de schuif regelaar om de preview-detectie in of uit te scha kelen.Use the slider to turn the preview detections on and off.

Preview-detecties

Lijst met beveiligings waarschuwingen filterenFilter security alerts list

De lijst met beveiligings waarschuwingen filteren:To filter the security alert list:

  1. Selecteer in het deel venster filteren aan de linkerkant van het scherm een van de volgende opties: alle, openen, gesloten of onderdrukt.In the Filter by pane on the left side of the screen, select one of the following options: All, Open, Closed, or Suppressed.

  2. Als u de lijst nog verder wilt filteren, selecteert u hoog, gemiddeld of laag.To further filter the list, select High, Medium, or Low.

Ernst verdachte activiteitSuspicious activity severity

  • LaagLow

    Geeft activiteiten aan die kunnen leiden tot aanvallen die zijn ontworpen voor kwaadwillende gebruikers of software om toegang te krijgen tot Bedrijfs gegevens.Indicates activities that can lead to attacks designed for malicious users or software to gain access to organizational data.

  • GemiddeldMedium

    Geeft activiteiten aan waarvoor specifieke identiteiten kunnen worden toegevoegd voor meer ernstige aanvallen die kunnen leiden tot identiteits diefstal of geprivilegieerde escalatieIndicates activities that can put specific identities at risk for more severe attacks that could result in identity theft or privileged escalation

  • HoogHigh

    Geeft activiteiten aan die kunnen leiden tot identiteits diefstal, escalatie van bevoegdheden of andere aanvallen met een hoge impactIndicates activities that can lead to identity theft, privilege escalation, or other high-impact attacks

Beveiligingswaarschuwingen beherenManaging security alerts

U kunt de status van een beveiligings waarschuwing wijzigen door te klikken op de huidige status van de beveiligings waarschuwing en een van de volgende Open, onderdrukt, gesloten of Verwijderde te selecteren.You can change the status of a security alert by clicking the current status of the security alert and selecting one of the following Open, Suppressed, Closed, or Deleted. Als u dit wilt doen, klikt u op de drie puntjes in de rechter bovenhoek van een specifieke waarschuwing om de lijst met beschik bare acties weer te geven.To do this, click the three dots at the top right corner of a specific alert to reveal the list of available actions.

[! INCLUSIEF [product short] (inclusief/product-short. MD)] acties voor beveiligings waarschuwingen

Status van beveiligings waarschuwingSecurity alert status

  • Openen: alle nieuwe beveiligings waarschuwingen worden in deze lijst weer gegeven.Open: All new security alerts appear in this list.

  • Sluiten: wordt gebruikt om beveiligings waarschuwingen bij te houden die u hebt geïdentificeerd, opnieuw te doorzoeken en opgelost om te worden verholpen.Close: Is used to track security alerts that you identified, researched, and fixed for mitigated.

  • Onderdrukken: een waarschuwing onderdrukken houdt in dat u deze nu wilt negeren en alleen opnieuw wilt worden gewaarschuwd als er een nieuw exemplaar is.Suppress: Suppressing an alert means you want to ignore it for now, and only be alerted again if there's a new instance. Dit betekent dat als er een vergelijk bare waarschuwing wordt Defender voor identiteitDefender for Identity weer gegeven, deze niet opnieuw wordt geopend.This means that if there's a similar alert Defender voor identiteitDefender for Identity doesn't reopen it. Als de waarschuwing gedurende zeven dagen wordt gestopt en vervolgens weer wordt weer gegeven, wordt er een nieuwe waarschuwing geopend.But if the alert stops for seven days, and is then seen again, a new alert is opened.

  • Verwijderen: als u een waarschuwing verwijdert, wordt deze verwijderd uit de data base uit het systeem en kunt u deze niet meer herstellen.Delete: If you Delete an alert, it is deleted from the system, from the database and you will NOT be able to restore it. Nadat u op verwijderen hebt geklikt, kunt u alle beveiligings waarschuwingen van hetzelfde type verwijderen.After you click delete, you'll be able to delete all security alerts of the same type.

  • Uitsluiten: de mogelijkheid een entiteit uit te sluiten van het geven van meer waarschuwingen van een bepaald type.Exclude: The ability to exclude an entity from raising more of a certain type of alerts. U kunt bijvoorbeeld instellen Defender voor identiteitDefender for Identity dat een specifieke entiteit (gebruiker of computer) niet meer wordt gewaarschuwd voor een bepaald type activiteit, zoals een specifieke beheerder die externe code uitvoert of een beveiligings scanner die DNS-Reconnaissance.For example, you can set Defender voor identiteitDefender for Identity to exclude a specific entity (user or computer) from alerting again for a certain type of activity, such as a specific admin who runs remote code or a security scanner that does DNS reconnaissance. Naast het rechtstreeks toevoegen van uitzonde ringen op de beveiligings waarschuwing die wordt gedetecteerd op de tijd lijn, kunt u ook naar de configuratie pagina voor uitsluitingen gaan, en voor elke beveiligings waarschuwing kunt u hand matig uitgesloten entiteiten of subnetten toevoegen en verwijderen (bijvoorbeeld voor pass-the-ticket).In addition to being able to add exclusions directly on the security alert as it is detected in the time line, you can also go to the Configuration page to Exclusions, and for each security alert you can manually add and remove excluded entities or subnets (for example for Pass-the-Ticket).

Notitie

De configuratie pagina's kunnen alleen worden gewijzigd door Defender voor identiteitDefender for Identity beheerders.The configuration pages can only be modified by Defender voor identiteitDefender for Identity admins.

Zie ookSee Also