Actie ondernemen voor geavanceerde resultaten van query's

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum. Ontdek wat er nieuw is.

Van toepassing op:

  • Microsoft 365 Defender
  • Microsoft Defender voor Eindpunt

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Met krachtige en uitgebreide actieopties kunt u snel bedreigingen bevatten of gecompromitteerde activa die u in geavanceerde zoekactie vindt, bevatten. Met deze opties kunt u:

  • Verschillende acties uitvoeren op apparaten
  • Quarantainebestanden

Vereiste machtigingen

Als u actie wilt kunnen ondernemen via geavanceerde zoekacties, hebt u een rol nodig in Microsoft Defender voor Eindpunt met machtigingen voor het indienen van herstelacties op apparaten. Als u geen actie kunt ondernemen, neemt u contact op met een globale beheerder over het verkrijgen van de volgende machtigingen:

Actieve herstelacties > Bedreiging en vulnerability management - Herstelafhandeling

Verschillende acties uitvoeren op apparaten

U kunt de volgende acties uitvoeren op apparaten die zijn geïdentificeerd door de DeviceId kolom in de queryresultaten:

  • Getroffen apparaten isoleren om een infectie te bevatten of om te voorkomen dat aanvallen lateraal worden verplaatst
  • Onderzoekspakket verzamelen om meer gerechtelijke informatie te verkrijgen
  • Voer een antivirusscan uit om bedreigingen te zoeken en te verwijderen met de meest recente beveiligingsinformatie-updates
  • Een geautomatiseerd onderzoek starten om bedreigingen op het apparaat en mogelijk andere getroffen apparaten te controleren en te corrigeren
  • De uitvoering van apps beperken tot alleen door Microsoft ondertekende uitvoerbare bestanden, waardoor verdere bedreigingsactiviteit via malware of andere niet-vertrouwde uitvoerbare bestanden wordt voorkomen

Lees meer over reactieacties op apparaten voor meer informatie over hoe deze antwoordacties worden uitgevoerd via Microsoft Defender voor Eindpunt.

Quarantainebestanden

U kunt de quarantaineactie voor bestanden implementeren, zodat ze automatisch in quarantaine worden geplaatst wanneer ze worden aangetroffen. Wanneer u deze actie selecteert, kunt u kiezen uit de volgende kolommen om te bepalen welke bestanden in de queryresultaten in quarantaine moeten worden geplaatst:

  • SHA1 — In de meeste geavanceerde zoektabellen is dit de SHA-1 van het bestand dat is beïnvloed door de opgenomen actie. Als een bestand bijvoorbeeld is gekopieerd, is dit het gekopieerde bestand.
  • InitiatingProcessSHA1 — In de meest geavanceerde zoektabellen is dit het bestand dat verantwoordelijk is voor het starten van de opgenomen actie. Als bijvoorbeeld een onderliggend proces is gestart, is dit het bovenliggende proces.
  • SHA256 — Dit is het SHA-256-equivalent van het bestand dat door de kolom is SHA1 geïdentificeerd.
  • InitiatingProcessSHA256 — Dit is het SHA-256-equivalent van het bestand dat door de kolom is InitiatingProcessSHA1 geïdentificeerd.

Voor meer informatie over hoe quarantaineacties worden ondernomen en hoe bestanden kunnen worden hersteld, leest u meer over reactieacties op bestanden.

Notitie

Als u bestanden wilt zoeken en in quarantaine wilt plaatsen, moeten de queryresultaten ook waarden DeviceId bevatten als apparaataanduidingen.

Actie ondernemen

Als u een van de beschreven acties wilt uitvoeren, selecteert u een of meer records in de queryresultaten en selecteert u Vervolgens Acties uitvoeren. Een wizard begeleidt u bij het proces van het selecteren en vervolgens indienen van uw gewenste acties.

Afbeelding van geselecteerde record met deelvenster voor het controleren van de record.

Acties bekijken die zijn ondernomen

Elke actie wordt afzonderlijk opgenomen in het actiecentrum onder Actiecentrumgeschiedenis > (security.microsoft.com/action-center/history). Ga naar het actiecentrum om de status van elke actie te controleren.

Notitie

Sommige tabellen in dit artikel zijn mogelijk niet beschikbaar in Microsoft Defender voor Eindpunt. Schakel de Microsoft 365 Defender in om te zoeken naar bedreigingen met meer gegevensbronnen. U kunt uw geavanceerde zoekwerkstromen verplaatsen van Microsoft Defender voor Eindpunt naar Microsoft 365 Defender door de stappen in Geavanceerde zoekquery's migreren uit Microsoft Defender voor Eindpunt te volgen.