Prioriteit geven aan incidenten in Microsoft Defender XDR

Opmerking

Wilt u Microsoft Defender XDR ervaren? Meer informatie over hoe u Microsoft Defender XDR kunt evalueren en piloten.

Van toepassing op:

  • Microsoft Defender XDR

Microsoft Defender XDR past correlatieanalyse toe en voegt gerelateerde waarschuwingen en geautomatiseerde onderzoeken van verschillende producten toe in een incident. Microsoft Defender XDR activeert ook unieke waarschuwingen voor activiteiten die alleen als schadelijk kunnen worden geïdentificeerd, gezien de end-to-end zichtbaarheid in Microsoft Defender XDR in de hele reeks producten. Deze weergave geeft uw beveiligingsanalisten het bredere aanvalsverhaal, waardoor ze complexe bedreigingen in uw organisatie beter begrijpen en ermee omgaan.

De wachtrij Incident toont een verzameling incidenten die zijn gemaakt op apparaten, gebruikers en postvakken. Het helpt u incidenten te sorteren om prioriteit te geven aan een geïnformeerde beslissing over cyberbeveiligingsreacties, een proces dat bekend staat als incident triage.

Tip

Gedurende een beperkte periode in januari 2024, wanneer u de pagina Incidenten bezoekt, wordt Defender Boxed weergegeven. Defender Boxed markeert de beveiligingssuccessen, verbeteringen en reactieacties van uw organisatie in 2023. Als u Defender Boxed opnieuw wilt openen, gaat u in de Microsoft Defender-portal naar Incidenten en selecteert u vervolgens Uw Defender Boxed.

U kunt de wachtrij voor incidenten openen vanuit Incidenten & waarschuwingen > Incidenten op de snelle start van de Microsoft Defender-portal. Hier is een voorbeeld.

De sectie Incident met de wachtrij voor incidenten in de Microsoft Defender portal.

In de sectie Meest recente incidenten en waarschuwingen ziet u een grafiek van het aantal ontvangen waarschuwingen en incidenten dat in de afgelopen 24 uur is gemaakt.

In de incidentwachtrij in de Microsoft Defender portal worden standaard incidenten weergegeven die in de afgelopen zes maanden zijn gezien. Het meest recente incident staat bovenaan de lijst, zodat u het eerst kunt zien.

De incidentwachtrij heeft aanpasbare kolommen (selecteer Kolommen kiezen) die u inzicht geven in verschillende kenmerken van het incident of de betrokken entiteiten. Met deze filtering kunt u een weloverwogen beslissing nemen met betrekking tot het prioriteren van incidenten voor analyse.

Voor meer zichtbaarheid in één oogopslag genereert automatische naamgeving van incidenten namen van incidenten op basis van waarschuwingskenmerken, zoals het aantal betrokken eindpunten, betrokken gebruikers, detectiebronnen of categorieën. Hierdoor kunt u snel inzicht hebben in het bereik van het incident.

Bijvoorbeeld: incident met meerdere fasen op meerdere eindpunten die door meerdere bronnen zijn gerapporteerd.

Opmerking

De naam van incidenten die bestonden vóór de implementatie van de automatische naamgeving van incidenten, wordt niet gewijzigd.

De incidentwachtrij biedt ook meerdere filteropties, waarmee u, indien toegepast, alle bestaande incidenten in uw omgeving breed kunt opschonen of besluiten om zich te richten op een specifiek scenario of een specifieke bedreiging. Het toepassen van filters op de incidentwachtrij kan helpen bepalen welk incident onmiddellijke aandacht vereist.

In de lijst Filters boven de lijst met incidenten worden de momenteel toegepaste filters weergegeven.

Beschikbare filters

In de standaardwachtrij voor incidenten kunt u Filter selecteren om een filtervenster weer te geven, waaruit u een gefilterde set incidenten opgeeft. Hier is een voorbeeld.

Het deelvenster Filters voor de incidentwachtrij in de Microsoft Defender portal.

U kunt het deelvenster Filter ook zien door een van de filters in de lijst Filters boven de lijst met incidenten te selecteren.

Deze tabel bevat de filternamen die beschikbaar zijn.

Filternaam Beschrijving
Status Selecteer Nieuw, Wordt uitgevoerd of Opgelost.
Ernst De ernst van een incident geeft aan welke impact het kan hebben op uw assets. Hoe hoger de ernst, hoe groter de impact en meestal de meest directe aandacht vereist. Selecteer Hoog, Gemiddeld, Laag of Informatief.
Incidenttoewijzing Selecteer de toegewezen gebruiker of gebruikers.
Meerdere servicebronnen Geef op of het filter voor meer dan één servicebron is.
Servicebronnen Incidenten opgeven die waarschuwingen bevatten van: App Governance, Microsoft Defender XDR, Microsoft Defender voor Office 365, Microsoft Defender voor Eindpunt, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps.
Tags Selecteer een of meer tagnamen in de lijst.
Meerdere categorieën Geef op of het filter voor meer dan één categorie is.
Categorieën Kies categorieën om u te richten op specifieke tactieken, technieken of aanvalsonderdelen die worden gezien.
Entiteiten Geef de naam op van een asset, zoals een gebruiker, apparaat, postvak of toepassingsnaam.
Gegevensgevoeligheid Sommige aanvallen richten zich op het exfiltreren van gevoelige of waardevolle gegevens. Door een filter toe te passen voor specifieke vertrouwelijkheidslabels, kunt u snel bepalen of gevoelige informatie mogelijk is aangetast en prioriteit geven aan het aanpakken van deze incidenten.

Met dit filter wordt alleen informatie weergegeven wanneer u vertrouwelijkheidslabels van Microsoft Purview Informatiebeveiliging hebt toegepast.
Apparaatgroepen Geef de naam van een apparaatgroep op.
Besturingssysteemplatform Geef apparaatbesturingssystemen op.
Indeling Geef de set classificaties van de gerelateerde waarschuwingen op.
Status van geautomatiseerd onderzoek Geef de status van geautomatiseerd onderzoek op.
Gekoppelde bedreiging Geef een benoemde bedreiging op.
Waarschuwingsbeleid Geef een waarschuwingsbeleidstitel op.

Het standaardfilter is om alle waarschuwingen en incidenten weer te geven met de status Nieuw en In uitvoering en met de ernst Laag, Gemiddeld of Hoog.

U kunt een filter snel verwijderen door de X te selecteren in de naam van een filter in de lijst Filters .

U kunt ook filtersets maken op de pagina incidenten door de filtersets maken te selecteren.

De optie Filter maken stelt de optie in voor de incidentwachtrij in de Microsoft Defender portal.

Aangepaste filters opslaan als URL's

Zodra u een handig filter in de wachtrij voor incidenten hebt geconfigureerd, kunt u een bladwijzer maken voor de URL van het browsertabblad of deze op een andere manier opslaan als een koppeling op een webpagina, een Word document of een locatie naar keuze. Met bladwijzers hebt u met één klik toegang tot belangrijke weergaven van de incidentwachtrij, zoals:

  • Nieuwe incidenten
  • Incidenten met hoge ernst
  • Niet-toegewezen incidenten
  • Niet-toegewezen incidenten met hoge ernst
  • Aan mij toegewezen incidenten
  • Aan mij en voor Microsoft Defender voor Eindpunt toegewezen incidenten
  • Incidenten met een specifieke tag of tags
  • Incidenten met een specifieke bedreigingscategorie
  • Incidenten met een specifieke bijbehorende bedreiging
  • Incidenten met een specifieke actor

Zodra u uw lijst met nuttige filterweergaven als URL's hebt gecompileerd en opgeslagen, gebruikt u deze om de incidenten in uw wachtrij snel te verwerken en te prioriteren en te beheren voor volgende toewijzing en analyse.

Zoeken naar incidenten

In het vak Naam of id zoeken boven de lijst met incidenten kunt u de incident-id of de naam van het incident typen. Wanneer u een incident selecteert in de lijst met zoekresultaten, wordt in de Microsoft Defender portal een nieuw tabblad geopend met de eigenschappen van het incident, van waaruit u uw onderzoek kunt starten.

Zoeken naar betrokken assets

U kunt een asset een naam noemen, zoals een gebruiker, apparaat, postvak of toepassingsnaam, en alle gerelateerde incidenten zoeken.

Een tijdsbereik opgeven

De standaardlijst met incidenten is voor incidenten die zich in de afgelopen zes maanden hebben voorgedaan. U kunt een nieuw tijdsbereik opgeven in de vervolgkeuzelijst naast het agendapictogram door het volgende te selecteren:

  • Een dag
  • Drie dagen
  • Eén week
  • 30 dagen
  • 30 dagen
  • Zes maanden
  • Een aangepast bereik waarin u zowel datums als tijden kunt opgeven

Volgende stappen

Nadat u hebt vastgesteld welk incident de hoogste prioriteit vereist, selecteert u het en:

  • Beheer de eigenschappen van het incident voor tags, toewijzing, onmiddellijke oplossing voor fout-positieve incidenten en opmerkingen.
  • Begin met uw onderzoek.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.