Incidenten in Microsoft 365 DefenderIncidents in Microsoft 365 Defender

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar.The improved Microsoft 365 security center is now available. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ontdek wat er nieuw is.Learn what's new.

Van toepassing op:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Wilt u Microsoft 365 Defender ervaren?Want to experience Microsoft 365 Defender? U kunt het evalueren in een testomgeving of uw pilotproject uitvoeren in een productieomgeving.You can evaluate it in a lab environment or run your pilot project in production.

Een incident in Microsoft 365 Defender is een verzameling gecorreleerde waarschuwingen en bijbehorende gegevens die het verhaal van een aanval bevatten.An incident in Microsoft 365 Defender is a collection of correlated alerts and associated data that make up the story of an attack.

Microsoft 365 services en apps maken waarschuwingen wanneer ze een verdachte of schadelijke gebeurtenis of activiteit detecteren.Microsoft 365 services and apps create alerts when they detect a suspicious or malicious event or activity. Afzonderlijke waarschuwingen geven waardevolle aanwijzingen over een voltooide of lopende aanval.Individual alerts provide valuable clues about a completed or ongoing attack. Aanvallen gebruiken echter meestal verschillende technieken voor verschillende typen entiteiten, zoals apparaten, gebruikers en postvakken.However, attacks typically employ various techniques against different types of entities, such as devices, users, and mailboxes. Het resultaat is meerdere waarschuwingen voor meerdere entiteiten in uw tenant.The result is multiple alerts for multiple entities in your tenant.

Omdat het lastig en tijdrovend kan zijn om de afzonderlijke waarschuwingen samen te cirkelen om inzicht te krijgen in een aanval, worden de waarschuwingen en de bijbehorende informatie automatisch samengevoegd tot een incident door Microsoft 365 Defender.Because piecing the individual alerts together to gain insight into an attack can be challenging and time-consuming, Microsoft 365 Defender automatically aggregates the alerts and their associated information into an incident.

Hoe Microsoft 365 Defender gebeurtenissen van entiteiten correleert in een incident

Bekijk dit korte overzicht van incidenten in Microsoft 365 Defender (4 minuten).Watch this short overview of incidents in Microsoft 365 Defender (4 minutes).


Door gerelateerde waarschuwingen in een incident te groeperen, krijgt u een uitgebreide weergave van een aanval.Grouping related alerts into an incident gives you a comprehensive view of an attack. U kunt bijvoorbeeld het volgende zien:For example, you can see:

  • Waar de aanval is begonnen.Where the attack started.
  • Welke tactieken zijn gebruikt.What tactics were used.
  • Hoe ver de aanval is gegaan in uw tenant.How far the attack has gone into your tenant.
  • Het bereik van de aanval, zoals het aantal apparaten, gebruikers en postvakken dat is beïnvloed.The scope of the attack, such as how many devices, users, and mailboxes were impacted.
  • Alle gegevens die aan de aanval zijn gekoppeld.All of the data associated with the attack.

Als dit is ingeschakeld,Microsoft 365 Defender waarschuwingen automatisch onderzoeken en oplossen via automatisering en kunstmatige intelligentie.If enabled, Microsoft 365 Defender can automatically investigate and resolve alerts through automation and artificial intelligence. U kunt ook aanvullende herstelstappen uitvoeren om de aanval op te lossen.You can also perform additional remediation steps to resolve the attack.

Incidenten en waarschuwingen in het Microsoft 365 beveiligingscentrumIncidents and alerts in the Microsoft 365 security center

U beheert incidenten van incidenten & waarschuwingen > incidenten tijdens de snelle start van het Microsoft 365 beveiligingscentrum (security.microsoft.com).You manage incidents from Incidents & alerts > Incidents on the quick launch of the Microsoft 365 security center (security.microsoft.com). Hier is een voorbeeld.Here's an example.

De pagina Incidenten in het Microsoft 365 beveiligingscentrum

Als u een incidentnaam selecteert, wordt een overzicht van het incident weergegeven en krijgt u toegang tot tabbladen met aanvullende informatie.Selecting an incident name displays a summary of the incident and provides access to tabs with additional information.

Voorbeeld van de pagina Overzicht voor een incident in het Microsoft 365 beveiligingscentrum

De extra tabbladen voor een incident zijn:The additional tabs for an incident are:

  • WaarschuwingenAlerts

    Alle waarschuwingen met betrekking tot het incident en de bijbehorende informatie.All the alerts related to the incident and their information.

  • ApparatenDevices

    Alle apparaten die zijn geïdentificeerd als onderdeel van of gerelateerd aan het incident.All the devices that have been identified to be part of or related to the incident.

  • GebruikersUsers

    Alle gebruikers die zijn geïdentificeerd als onderdeel van of gerelateerd aan het incident.All the users that have been identified to be part of or related to the incident.

  • PostvakkenMailboxes

    Alle postvakken die zijn geïdentificeerd als onderdeel van of gerelateerd aan het incident.All the mailboxes that have been identified to be part of or related to the incident.

  • OnderzoekenInvestigations

    Alle automatische onderzoeken die worden veroorzaakt door waarschuwingen bij het incident.All the automated investigations triggered by alerts in the incident.

  • Bewijs en antwoordEvidence and Response

    Alle ondersteunde gebeurtenissen en verdachte entiteiten in de waarschuwingen in het incident.All the supported events and suspicious entities in the alerts in the incident.

  • Graph (in voorbeeld)Graph (in preview)

    Een afbeelding met de verbinding van waarschuwingen met de beïnvloede activa in uw organisatie.A figure showing the connection of alerts to the impacted assets in your organization.

Hier is de relatie tussen een incident en de gegevens en de tabbladen van een incident in het Microsoft 365 beveiligingscentrum.Here's the relationship between an incident and its data and the tabs of an incident in the Microsoft 365 security center.

De relatie van een incident en de gegevens ervan met de tabbladen van een incident in het Microsoft 365 beveiligingscentrum

Voorbeeld van de werkstroom incidentrespons voor Microsoft 365 DefenderExample incident response workflow for Microsoft 365 Defender

Hier is een voorbeeldwerkstroom voor het reageren op incidenten in Microsoft 365 met het Microsoft 365 beveiligingscentrum.Here's an example workflow for responding to incidents in Microsoft 365 with the Microsoft 365 security center.

Voorbeeld van een werkstroom voor incidentrespons voor Microsoft 365

Identificeer doorlopend de incidenten met de hoogste prioriteit voor analyse en oplossing in de incidentwachtrij en maak ze klaar voor reactie.On an ongoing basis, identify the highest priority incidents for analysis and resolution in the incident queue and get them ready for response. Dit is een combinatie van:This is a combination of:

  • Triaging om de incidenten met de hoogste prioriteit te bepalen door de wachtrij voor incidenten te filteren en te sorteren.Triaging to determining the highest priority incidents through filtering and sorting of the incident queue.
  • U kunt incidenten beheren door de titel te wijzigen, deze toe te wijzen aan een analist en tags en opmerkingen toe te voegen.Managing incidents by modifying their title, assigning them to an analyst, and adding tags and comments.
  1. Voor elk incident start u een aanval en een waarschuwingsonderzoek en -analyse:For each incident, begin an attack and alert investigation and analysis:

    a.a. Bekijk de samenvatting van het incident om te begrijpen wat het bereik en de ernst is en welke entiteiten worden beïnvloed (het tabblad Overzicht).View the summary of the incident to understand it's scope and severity and what entities are affected (the Summary tab).

    b.b. Begin met het analyseren van de waarschuwingen om de herkomst, het bereik en de ernst ervan te begrijpen (het tabblad Waarschuwingen).Begin analyzing the alerts to understand their origin, scope, and severity (the Alerts tab).

    c.c. Verzamel zo nodig informatie over beïnvloede apparaten, gebruikers en postvakken (de tabbladen Apparaten, Gebruikers en Postvakken).As needed, gather information on impacted devices, users, and mailboxes (the Devices, Users, and Mailboxes tabs).

    d.d. Bekijk hoe Microsoft 365 meldingen automatisch heeft opgelost (het tabblad Onderzoeken).See how Microsoft 365 Defender has automatically resolved some alerts (the Investigations tab).

    e.e. Gebruik zo nodig informatie in de gegevensset voor het incident voor meer informatie (het tabblad Bewijs en antwoord).As needed, use information in the data set for the incident for more information (the Evidence and Response tab).

  2. Voer na of tijdens uw analyse insluiting uit om eventuele extra gevolgen van de aanval en de uitbanning van de beveiligingsrisico's te beperken.After or during your analysis, perform containment to reduce any additional impact of the attack and eradication of the security threat.

  3. Herstel zoveel mogelijk van de aanval door de tenantbronnen te herstellen in de status waarin ze zich vóór het incident hebben voordeden.As much as possible, recover from the attack by restoring your tenant resources to the state they were in before the incident.

  4. Los het incident op en neem de tijd om na het incident te leren:Resolve the incident and take time for post-incident learning to:

    • Inzicht in het type van de aanval en de impact ervan.Understand the type of the attack and its impact.
    • Onderzoek de aanval in Threat Analytics en de beveiligingsgemeenschap voor een beveiligingsaanvaltrend.Research the attack in Threat Analytics and the security community for a security attack trend.
    • De werkstroom inroepen die u hebt gebruikt om het incident op te lossen en uw standaardwerkstromen, processen, beleidsregels en playbooks zo nodig bij te werken.Recall the workflow you used to resolve the incident and update your standard workflows, processes, policies, and playbooks as needed.
    • Bepaal of wijzigingen in uw beveiligingsconfiguratie nodig zijn en implementeert deze.Determine whether changes in your security configuration are needed and implement them.

Als u nog niet bekend bent met beveiligingsanalyse, bekijkt u de inleiding tot het reageren op uw eerste incident voor meer informatie en een voorbeeldincident door te nemen.If you are new to security analysis, see the introduction to responding to your first incident for additional information and to step through an example incident.

Voorbeeld van beveiligingsbewerkingen voor Microsoft 365 DefenderExample security operations for Microsoft 365 Defender

Hier volgen een voorbeeld van beveiligingsbewerkingen voor Microsoft 365 Defender.Here's an example of security operations for Microsoft 365 Defender.

Een voorbeeld van beveiligingsbewerkingen voor Microsoft 365 Defender

Dagelijkse taken kunnen bestaan uit:Daily tasks can include:

Maandelijkse taken kunnen bestaan uit:Monthly tasks can include:

Driemaandelijkse taken kunnen een rapport en een briefing van beveiligingsresultaten bevatten aan de Ciso (Chief Information Security Officer).Quarterly tasks can include a report and briefing of security results to the Chief Information Security Officer (CISO).

Jaarlijkse taken kunnen bestaan uit het uitvoeren van een grote incident- of inbreukoefening om uw personeel, systemen en processen te testen.Annual tasks can include conducting a major incident or breach exercise to test your staff, systems, and processes.

Dagelijkse, maandelijkse, kwartaal- en jaarlijkse taken kunnen worden gebruikt om processen, beleidsregels en beveiligingsconfiguraties bij te werken of te verfijnen.Daily, monthly, quarterly, and annual tasks can be used to update or refine processes, policies, and security configurations.

Volgende stappenNext steps

Als u nog niet bekend bent met beveiligingsanalyse en incidentrespons:If you are new to security analysis and incident response:

  • Zie de walkthrough Reageren op uw eerste incident om een rondleiding te krijgen van een typisch proces van analyse, herstel en beoordeling na het incident in het Microsoft 365-beveiligingscentrum met een voorbeeld van een aanval.See the Respond to your first incident walkthrough to get a guided tour of a typical process of analysis, remediation, and post-incident review in the Microsoft 365 security center with an example of an attack.

Als u ervaring hebt met beveiligingsanalyse en incidentrespons:If you have experience with security analysis and incident response:

  • Ga aan de slag met de incidentenwachtrij vanaf de pagina Incidenten van het Microsoft 365 beveiligingscentrum.Get started with the incident queue from the Incidents page of the Microsoft 365 security center. Hier kunt u het volgende doen:From here, you can:

    • Bekijk welke incidenten prioriteit moeten krijgen op basis van ernst en andere factoren.See which incidents should be prioritized based on severity and other factors.

    • Beheer incidenten,waaronder het wijzigen van de naam, de toewijzing, het classificeren en het toevoegen van tags en opmerkingen op basis van uw werkstroom voor incidentbeheer.Manage incidents, which includes renaming, assignment, classifying, and adding tags and comments based on your incident management workflow.

    • Voer onderzoeken van incidenten uit.Perform investigations of incidents.

  • Bekijk deze playbooks voor incidentreacties voor gedetailleerde richtlijnen voor phishing- en wachtwoordincidenten en app-toestemmingsverleningsaanvallen.See these incident response playbooks for detailed guidance for phishing, password spray, and app consent grant attacks.