Incidenten in Microsoft Defender voor Eindpunt onderzoeken

  • Artikel

Van toepassing op:

Onderzoek incidenten die van invloed zijn op uw netwerk, begrijp wat ze betekenen en verzamel bewijs om ze op te lossen.

Wanneer u een incident onderzoekt, ziet u het volgende:

  • Incidentdetails
  • Opmerkingen en acties bij incidenten
  • Tabbladen (waarschuwingen, apparaten, onderzoeken, bewijs, grafiek)

Incidentdetails analyseren

Tip

Gedurende een beperkte periode in januari 2024, wanneer u de pagina Incidenten bezoekt, wordt Defender Boxed weergegeven. Defender Boxed markeert de beveiligingssuccessen, verbeteringen en reactieacties van uw organisatie in 2023. Als u Defender Boxed opnieuw wilt openen, gaat u in de Microsoft Defender-portal naar Incidenten en selecteert u vervolgens Uw Defender Boxed.

Klik op een incident om het deelvenster Incident weer te geven. Selecteer De pagina Incident openen om de details van het incident en gerelateerde informatie (waarschuwingen, apparaten, onderzoeken, bewijsmateriaal, grafiek) te bekijken.

De details van een incident

Waarschuwingen

U kunt de waarschuwingen onderzoeken en zien hoe ze aan elkaar zijn gekoppeld in een incident. Waarschuwingen worden gegroepeerd in incidenten op basis van de volgende redenen:

  • Geautomatiseerd onderzoek: het geautomatiseerde onderzoek heeft de gekoppelde waarschuwing geactiveerd tijdens het onderzoeken van de oorspronkelijke waarschuwing
  • Bestandskenmerken: de bestanden die aan de waarschuwing zijn gekoppeld, hebben vergelijkbare kenmerken
  • Handmatig koppelen: een gebruiker heeft de waarschuwingen handmatig gekoppeld
  • Gelijktijdige tijd: de waarschuwingen zijn binnen een bepaald tijdsbestek op hetzelfde apparaat geactiveerd
  • Hetzelfde bestand: de bestanden die aan de waarschuwing zijn gekoppeld, zijn precies hetzelfde
  • Dezelfde URL: de URL die de waarschuwing heeft geactiveerd, is precies hetzelfde

Het tabblad Waarschuwingen met de pagina incidentdetails met de redenen waarom de waarschuwingen aan elkaar zijn gekoppeld in dat incident

U kunt ook een waarschuwing beheren en metagegevens van waarschuwingen bekijken, samen met andere informatie. Zie Waarschuwingen onderzoeken voor meer informatie.

Apparaten

U kunt ook de apparaten onderzoeken die deel uitmaken van of gerelateerd zijn aan een bepaald incident. Zie Apparaten onderzoeken voor meer informatie.

Het tabblad Apparaten op de pagina incidentdetails

Onderzoeken

Selecteer Onderzoeken om alle automatische onderzoeken te bekijken die door het systeem zijn gestart als reactie op de incidentwaarschuwingen.

Het tabblad Onderzoeken op de pagina met incidentdetails

Het bewijs doorlopen

Microsoft Defender voor Eindpunt onderzoekt automatisch de ondersteunde gebeurtenissen en verdachte entiteiten van de incidenten in de waarschuwingen, zodat u automatisch kunt reageren en informatie krijgt over de belangrijke bestanden, processen, services en meer.

Elk van de geanalyseerde entiteiten wordt gemarkeerd als geïnfecteerd, hersteld of verdacht.

Het tabblad Bewijs op de pagina incidentdetails

Gerelateerde cyberbeveiligingsbedreigingen visualiseren

Microsoft Defender voor Eindpunt voegt de bedreigingsinformatie samen in een incident, zodat u de patronen en correlaties kunt zien die afkomstig zijn van verschillende gegevenspunten. U kunt een dergelijke correlatie bekijken via de incidentgrafiek.

Incidentgrafiek

De Graph vertelt het verhaal van de cyberbeveiligingsaanval. U ziet bijvoorbeeld wat het toegangspunt was, welke indicator van een inbreuk of activiteit op welk apparaat is waargenomen. Enz.

De incidentgrafiek

U kunt op de cirkels in de incidentgrafiek klikken om de details weer te geven van de schadelijke bestanden, gekoppelde bestandsdetecties, hoeveel exemplaren er wereldwijd zijn, of deze is waargenomen in uw organisatie, zo ja, hoeveel exemplaren.

De pagina met details van het incident

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender voor Eindpunt Tech Community.