Herstelacties na een geautomatiseerd onderzoek controlerenReview remediation actions following an automated investigation

HerstelactiesRemediation actions

Wanneer een geautomatiseerd onderzoek wordt uitgevoerd, wordt een vonnis gegenereerd voor elk bewijs dat wordt onderzocht.When an automated investigation runs, a verdict is generated for each piece of evidence investigated. Vonnissen kunnen Schadelijk, Verdacht of Geen bedreigingen zijn gevonden.Verdicts can be Malicious, Suspicious, or No threats found.

Afhankelijk vanDepending on

  • het type bedreiging;the type of threat,
  • de resulterende uitspraak, enthe resulting verdict, and
  • hoe de apparaatgroepen van uw organisatie zijn geconfigureerd,how your organization's device groups are configured,

Herstelacties kunnen automatisch of alleen plaatsvinden na goedkeuring door het beveiligingsteam van uw organisatie.remediation actions can occur automatically or only upon approval by your organization’s security operations team.

Hier zijn enkele voorbeelden:Here are a few examples:

  • Voorbeeld 1: De apparaatgroepen van Fabrikam zijn ingesteld op Volledig: herstel bedreigingen automatisch (de aanbevolen instelling).Example 1: Fabrikam's device groups are set to Full - remediate threats automatically (the recommended setting). In dit geval worden herstelacties automatisch uitgevoerd voor artefacten die worden beschouwd als schadelijk na een geautomatiseerd onderzoek (zie Voltooide acties controleren).In this case, remediation actions are taken automatically for artifacts that are considered to be malicious following an automated investigation (see Review completed actions).

  • Voorbeeld 2: De apparaten van Contoso zijn opgenomen in een apparaatgroep die is ingesteld voor Semi - goedkeuring vereisen voor eventuele herstel.Example 2: Contoso's devices are included in a device group that is set for Semi - require approval for any remediation. In dit geval moet het beveiligingsteam van Contoso alle herstelacties na een geautomatiseerd onderzoek controleren en goedkeuren (zie Lopende acties controleren).In this case, Contoso's security operations team must review and approve all remediation actions following an automated investigation (see Review pending actions).

  • Voorbeeld 3: Tailspin Toys heeft hun apparaatgroepen ingesteld op Geen geautomatiseerde reactie (niet aanbevolen).Example 3: Tailspin Toys has their device groups set to No automated response (not recommended). In dit geval vindt er geen geautomatiseerd onderzoek plaats.In this case, automated investigations do not occur. Er worden geen herstelacties ondernomen of in behandeling en er worden geen acties geregistreerd in het Actiecentrum voor hun apparaten (zie Apparaatgroepen beheren).No remediation actions are taken or pending, and no actions are logged in the Action center for their devices (see Manage device groups).

Of dit nu automatisch of na goedkeuring wordt gedaan, een geautomatiseerd onderzoek kan leiden tot een of meer herstelacties:Whether taken automatically or upon approval, an automated investigation can result in one or more of the remediation actions:

  • Een bestand in quarantaine plaatsenQuarantine a file
  • Een registersleutel verwijderenRemove a registry key
  • Een proces om te laten gaanKill a process
  • Een service stoppenStop a service
  • Een stuurprogramma uitschakelenDisable a driver
  • Een geplande taak verwijderenRemove a scheduled task

Acties in behandeling controlerenReview pending actions

  1. Ga naar het Microsoft 365 beveiligingscentrum ( https://security.microsoft.com ) en meld u aan.Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. Kies actiecentrum in het navigatiedeelvenster.In the navigation pane, choose Action center.
  3. Bekijk de items op het tabblad In behandeling.Review the items on the Pending tab.
  4. Selecteer een actie om het flyoutvenster te openen.Select an action to open its flyout pane.
  5. Bekijk de gegevens in het deelvenster Flyout en volg een van de volgende stappen:In the flyout pane, review the information, and then take one of the following steps:
    • Selecteer Onderzoekspagina openen voor meer informatie over het onderzoek.Select Open investigation page to view more details about the investigation.
    • Selecteer Goedkeuren om een actie in behandeling te starten.Select Approve to initiate a pending action.
    • Selecteer Weigeren om te voorkomen dat een actie in behandeling wordt ondernomen.Select Reject to prevent a pending action from being taken.
    • Selecteer Ga op zoek om naar Geavanceerd zoeken te gaan.Select Go hunt to go into Advanced hunting.

Voltooide acties controlerenReview completed actions

  1. Ga naar het Microsoft 365 beveiligingscentrum ( https://security.microsoft.com ) en meld u aan.Go to the Microsoft 365 security center (https://security.microsoft.com) and sign in.
  2. Kies actiecentrum in het navigatiedeelvenster.In the navigation pane, choose Action center.
  3. Bekijk de items op het tabblad Geschiedenis.Review the items on the History tab.
  4. Selecteer een item om meer informatie over die herstelactie weer te geven.Select an item to view more details about that remediation action.

Voltooide acties ongedaan makenUndo completed actions

Als u hebt vastgesteld dat een apparaat of bestand geen bedreiging is, kunt u herstelacties ongedaan maken die zijn ondernomen, ongeacht of deze acties automatisch of handmatig zijn ondernomen.If you’ve determined that a device or a file is not a threat, you can undo remediation actions that were taken, whether those actions were taken automatically or manually. In het actiecentrum op het tabblad Geschiedenis kunt u een van de volgende acties ongedaan maken:In the Action center, on the History tab, you can undo any of the following actions:

ActiebronAction source Ondersteunde actiesSupported Actions
- Geautomatiseerd onderzoek- Automated investigation
- Microsoft Defender Antivirus- Microsoft Defender Antivirus
- Handmatige antwoordacties- Manual response actions
- Apparaat isoleren- Isolate device
- Codeuitvoering beperken- Restrict code execution
- Een bestand in quarantaine plaatsen- Quarantine a file
- Een registersleutel verwijderen- Remove a registry key
- Een service stoppen- Stop a service
- Een stuurprogramma uitschakelen- Disable a driver
- Een geplande taak verwijderen- Remove a scheduled task

Meerdere acties tegelijk ongedaan makenTo undo multiple actions at one time

  1. Ga naar het Actiecentrum https://security.microsoft.com/action-center () en meld u aan.Go to the Action center (https://security.microsoft.com/action-center) and sign in.
  2. Selecteer op het tabblad Geschiedenis de acties die u ongedaan wilt maken.On the History tab, select the actions that you want to undo. Selecteer items met hetzelfde actietype.Make sure to select items that have the same Action type. Er wordt een flyoutvenster geopend.A flyout pane opens.
  3. Selecteer ongedaan maken in het deelvenster Flyout.In the flyout pane, select Undo.

Een bestand verwijderen uit quarantaine op meerdere apparatenTo remove a file from quarantine across multiple devices

  1. Ga naar het Actiecentrum https://security.microsoft.com/action-center () en meld u aan.Go to the Action center (https://security.microsoft.com/action-center) and sign in.
  2. Selecteer op het tabblad Geschiedenis een item met het bestand Actietype Quarantaine.On the History tab, select an item that has the Action type Quarantine file.
  3. Selecteer in het deelvenster Flyout de optie Toepassen op X meer exemplaren van dit bestand en selecteer vervolgens Ongedaan maken.In the flyout pane, select Apply to X more instances of this file, and then select Undo.

Automatiseringsniveaus, geautomatiseerde onderzoeksresultaten en resulterende actiesAutomation levels, automated investigation results, and resulting actions

Automatiseringsniveaus bepalen of bepaalde herstelacties automatisch of alleen na goedkeuring worden ondernomen.Automation levels affect whether certain remediation actions are taken automatically or only upon approval. Soms moet uw beveiligingsteam meer stappen uitvoeren, afhankelijk van de resultaten van een geautomatiseerd onderzoek.Sometimes your security operations team has more steps to take, depending on the results of an automated investigation. In de volgende tabel worden automatiseringsniveaus, resultaten van geautomatiseerde onderzoeken en wat u in elk geval moet doen, samengevat.The following table summarizes automation levels, results of automated investigations, and what to do in each case.

Instelling apparaatgroepDevice group setting Geautomatiseerde onderzoeksresultatenAutomated investigation results Wat moet u doen?What to do
Volledig: herstel bedreigingen automatisch (de aanbevolen instelling)Full - remediate threats automatically (the recommended setting) Er wordt een uitspraak van Kwaadwillend bereikt voor een bewijs.A verdict of Malicious is reached for a piece of evidence.

De juiste herstelacties worden automatisch ondernomen.Appropriate remediation actions are taken automatically.
Voltooide acties controlerenReview completed actions
Volledig: herstel bedreigingen automatischFull - remediate threats automatically Er wordt een vonnis van Verdachte bereikt voor een bewijs.A verdict of Suspicious is reached for a piece of evidence.

Herstelacties zijn in afwachting van goedkeuring om door te gaan.Remediation actions are pending approval to proceed.
Acties in behandeling goedkeuren (of weigeren)Approve (or reject) pending actions
Semi - goedkeuring vereisen voor eventuele herstelmaatregelenSemi - require approval for any remediation Een uitspraak van kwaadwillend of verdacht wordt bereikt voor een bewijs.A verdict of either Malicious or Suspicious is reached for a piece of evidence.

Herstelacties zijn in afwachting van goedkeuring om door te gaan.Remediation actions are pending approval to proceed.
Acties in behandeling goedkeuren (of weigeren)Approve (or reject) pending actions
Semi - goedkeuring vereisen voor herstel van kernmappenSemi - require approval for core folders remediation Er wordt een uitspraak van Kwaadwillend bereikt voor een bewijs.A verdict of Malicious is reached for a piece of evidence.

Als het artefact een bestand is of uitvoerbaar is en zich in een adreslijst van het besturingssysteem, zoals de map Windows of de map Programma-bestanden, zijn herstelacties in behandeling.If the artifact is a file or executable and is in an operating system directory, such as the Windows folder or the Program files folder, then remediation actions are pending approval.

Als het artefact niet in een besturingssysteemmap staat, worden herstelacties automatisch ondernomen.If the artifact is not in an operating system directory, remediation actions are taken automatically.
1. In behandeling zijnde acties goedkeuren (of weigeren)1. Approve (or reject) pending actions

2. Voltooide acties controleren2. Review completed actions
Semi - goedkeuring vereisen voor herstel van kernmappenSemi - require approval for core folders remediation Er wordt een vonnis van Verdachte bereikt voor een bewijs.A verdict of Suspicious is reached for a piece of evidence.

Herstelacties zijn in behandeling bij goedkeuring.Remediation actions are pending approval.
In behandeling zijnde acties goedkeuren (of afwijzen).Approve (or reject) pending actions.
Semi - goedkeuring vereisen voor herstel van niet-tijdelijke mappenSemi - require approval for non-temp folders remediation Er wordt een uitspraak van Kwaadwillend bereikt voor een bewijs.A verdict of Malicious is reached for a piece of evidence.

Als het artefact een bestand of uitvoerbaar bestand is dat zich niet in een tijdelijke map, zoals de downloadmap of de tijdelijke map van de gebruiker, in behandeling heeft, worden herstelacties in behandeling genomen.If the artifact is a file or executable that is not in a temporary folder, such as the user's downloads folder or temp folder, remediation actions are pending approval.

Als het artefact een bestand is of dat kan worden uitgevoerd in een tijdelijke map, worden herstelacties automatisch uitgevoerd.If the artifact is a file or executable that is in a temporary folder, remediation actions are taken automatically.
1. In behandeling zijnde acties goedkeuren (of weigeren)1. Approve (or reject) pending actions

2. Voltooide acties controleren2. Review completed actions
Semi - goedkeuring vereisen voor herstel van niet-tijdelijke mappenSemi - require approval for non-temp folders remediation Er wordt een vonnis van Verdachte bereikt voor een bewijs.A verdict of Suspicious is reached for a piece of evidence.

Herstelacties zijn in behandeling bij goedkeuring.Remediation actions are pending approval.
Acties in behandeling goedkeuren (of weigeren)Approve (or reject) pending actions
Een van de volledige of semi-automatiseringsniveausAny of the Full or Semi automation levels Een uitspraak van Geen gevonden bedreigingen wordt bereikt voor een bewijs.A verdict of No threats found is reached for a piece of evidence.

Er worden geen herstelacties ondernomen en er worden geen acties in behandeling genomen.No remediation actions are taken, and no actions are pending approval.
Gegevens en resultaten van een geautomatiseerd onderzoek weergevenView details and results of automated investigations
Geen geautomatiseerde reactie (niet aanbevolen)No automated response (not recommended) Er worden geen geautomatiseerde onderzoeken uitgevoerd, dus er worden geen vonnissen bereikt en er worden geen herstelacties ondernomen of wachten op goedkeuring.No automated investigations run, so no verdicts are reached, and no remediation actions are taken or awaiting approval. Overweeg om uw apparaatgroepen in te stellen of te wijzigen om Volledige of Semi-automatisering te gebruikenConsider setting up or changing your device groups to use Full or Semi automation

In Microsoft Defender voor Eindpunt worden alle vonnissen bij gehouden in het Actiecentrum.In Microsoft Defender for Endpoint, all verdicts are tracked in the Action center.

Volgende stappenNext steps

Zie ookSee also