Het Actiecentrum

Artikel
04/27/2024

Van toepassing op:

Microsoft Defender XDR

Het actiecentrum biedt een 'single pane of glass'-ervaring voor incident- en waarschuwingstaken, zoals:

Goedkeuring van in behandeling zijnde herstelacties.
Een auditlogboek weergeven met al goedgekeurde herstelacties.
Voltooide herstelacties controleren.

Omdat het actiecentrum een uitgebreid overzicht biedt van Microsoft Defender XDR op het werk, kan uw beveiligingsteam effectiever en efficiënter werken.

Het geïntegreerde actiecentrum

Het geïntegreerde Actiecentrum (https://security.microsoft.com/action-center) bevat in behandeling zijnde en voltooide herstelacties voor uw apparaten, e-mail & samenwerkingsinhoud en identiteiten op één locatie.

Bijvoorbeeld:

Als u het Actiecentrum in de Microsoft Defender-beveiligingscentrum (https://securitycenter.windows.com/action-center) gebruikt, probeert u het geïntegreerde Actiecentrum in de Microsoft Defender-portal.
Als u de Microsoft Defender portal al hebt gebruikt, ziet u verschillende verbeteringen in het actiecentrum (https://security.microsoft.com/action-center).

Het geïntegreerde actiecentrum brengt herstelacties samen in Defender voor Eindpunt en Defender voor Office 365. Het definieert een gemeenschappelijke taal voor alle herstelacties en biedt een uniforme onderzoekservaring. Uw beveiligingsteam heeft een 'single pane of glass'-ervaring om herstelacties weer te geven en te beheren.

U kunt het geïntegreerde actiecentrum gebruiken als u de juiste machtigingen en een of meer van de volgende abonnementen hebt:

Defender voor Eindpunt
[Defender voor Office 365]/defender-office-365/mdo-about
Microsoft Defender XDR

Tip

Zie Vereisten voor meer informatie.

U kunt op twee verschillende manieren naar de lijst met acties navigeren die wachten op goedkeuring:

Ga naar https://security.microsoft.com/action-center; of
Selecteer in de Microsoft Defender portal (https://security.microsoft.com) in de kaart Automatisch onderzoek & antwoord de optie Goedkeuren in het Actiecentrum.

Het actiecentrum gebruiken

Ga naar Microsoft Defender portal en meld u aan.
Kies in het navigatiedeelvenster onder Acties en inzendingende optie Actiecentrum. Of selecteer in de kaart Automatisch onderzoek & antwoord goedkeuren in het Actiecentrum.

Gebruik de tabbladen Acties in behandeling en Geschiedenis . De volgende tabel bevat een overzicht van wat u op elk tabblad ziet:

Tab	Omschrijving
Hangende	Geeft een lijst weer met acties die aandacht vereisen. U kunt acties één voor één goedkeuren of weigeren of meerdere acties selecteren als ze hetzelfde type actie hebben (zoals Quarantainebestand). Zorg ervoor dat u in behandeling zijnde acties zo snel mogelijk controleert en goedkeurt (of afwijst), zodat uw geautomatiseerde onderzoeken tijdig kunnen worden voltooid.
Geschiedenis	Fungeert als een auditlogboek voor acties die zijn uitgevoerd, zoals: - Herstelacties die zijn genomen als gevolg van geautomatiseerd onderzoek - Herstelacties die zijn uitgevoerd op verdachte of schadelijke e-mailberichten, bestanden of URL's - Herstelacties die zijn goedgekeurd door uw beveiligingsteam - Opdrachten die zijn uitgevoerd en herstelacties die zijn toegepast tijdens livereactiesessies - Herstelacties die zijn uitgevoerd door uw antivirusbeveiliging Biedt een manier om bepaalde acties ongedaan te maken (zie Voltooide acties ongedaan maken).

Tab

Omschrijving

Hangende

Geeft een lijst weer met acties die aandacht vereisen. U kunt acties één voor één goedkeuren of weigeren of meerdere acties selecteren als ze hetzelfde type actie hebben (zoals Quarantainebestand).

Zorg ervoor dat u in behandeling zijnde acties zo snel mogelijk controleert en goedkeurt (of afwijst), zodat uw geautomatiseerde onderzoeken tijdig kunnen worden voltooid.

Geschiedenis

Fungeert als een auditlogboek voor acties die zijn uitgevoerd, zoals:
- Herstelacties die zijn genomen als gevolg van geautomatiseerd onderzoek
- Herstelacties die zijn uitgevoerd op verdachte of schadelijke e-mailberichten, bestanden of URL's
- Herstelacties die zijn goedgekeurd door uw beveiligingsteam
- Opdrachten die zijn uitgevoerd en herstelacties die zijn toegepast tijdens livereactiesessies
- Herstelacties die zijn uitgevoerd door uw antivirusbeveiliging

Biedt een manier om bepaalde acties ongedaan te maken (zie Voltooide acties ongedaan maken).

U kunt gegevens aanpassen, sorteren, filteren en exporteren in het Actiecentrum.
- Selecteer een kolomkop om items in oplopende of aflopende volgorde te sorteren.
- Gebruik het filter Tijdsperiode om gegevens weer te geven voor de afgelopen dag, week, 30 dagen of 6 maanden.
- Kies de kolommen die u wilt weergeven.
- Geef op hoeveel items moeten worden opgenomen op elke pagina met gegevens.
- Gebruik filters om alleen de items weer te geven die u wilt zien.
- Selecteer Exporteren om resultaten te exporteren naar een .csv-bestand.

Acties die worden bijgehouden in het actiecentrum

Alle acties, of ze nu in behandeling zijn of al zijn uitgevoerd, worden bijgehouden in het Actiecentrum. Beschikbare acties zijn onder andere:

Onderzoekspakket verzamelen
Apparaat isoleren (deze actie kan ongedaan worden gemaakt)
Computer offboarden
Uitvoering van releasecode
Release uit quarantaine
Aanvraagvoorbeeld
De uitvoering van code beperken (deze actie kan ongedaan worden gemaakt)
Antivirusscan uitvoeren
Stoppen en in quarantaine plaatsen
Apparaten weghouden van het netwerk

Naast herstelacties die automatisch worden uitgevoerd als gevolg van geautomatiseerd onderzoek, houdt het actiecentrum ook acties bij die uw beveiligingsteam heeft ondernomen om gedetecteerde bedreigingen aan te pakken en acties die zijn uitgevoerd als gevolg van functies voor bedreigingsbeveiliging in Microsoft Defender XDR. Zie Herstelacties voor meer informatie over automatische en handmatige herstelacties.

Details van actiebron weergeven

(NIEUW!) Het verbeterde Actiecentrum bevat nu een kolom Actiebron waarin wordt aangegeven waar elke actie vandaan komt. In de volgende tabel worden mogelijke actiebronwaarden beschreven:

Waarde van actiebron	Omschrijving
Handmatige apparaatactie	Een handmatige actie die is uitgevoerd op een apparaat. Voorbeelden zijn apparaatisolatie of bestandsquarantaine.
Handmatige e-mailactie	Een handmatige actie die is uitgevoerd op e-mail. Een voorbeeld hiervan is het voorlopig verwijderen van e-mailberichten of het herstellen van een e-mailbericht.
Geautomatiseerde apparaatactie	Een geautomatiseerde actie die wordt uitgevoerd op een entiteit, zoals een bestand of proces. Voorbeelden van geautomatiseerde acties zijn het verzenden van een bestand in quarantaine, het stoppen van een proces en het verwijderen van een registersleutel. (Zie Herstelacties in Microsoft Defender voor Eindpunt.)
Geautomatiseerde e-mailactie	Een geautomatiseerde actie die wordt uitgevoerd op e-mailinhoud, zoals een e-mailbericht, bijlage of URL. Voorbeelden van geautomatiseerde acties zijn het voorlopig verwijderen van e-mailberichten, het blokkeren van URL's en het uitschakelen van externe e-mail doorsturen. (Zie Herstelacties in Microsoft Defender voor Office 365.)
Geavanceerde opsporingsactie	Acties die zijn uitgevoerd op apparaten of e-mail met geavanceerde opsporing.
Explorer-actie	Acties die worden uitgevoerd op e-mailinhoud met Explorer.
Handmatige live-antwoordactie	Acties die worden uitgevoerd op een apparaat met live-respons. Voorbeelden hiervan zijn het verwijderen van een bestand, het stoppen van een proces en het verwijderen van een geplande taak.
Actie voor live-antwoord	Acties die worden uitgevoerd op een apparaat met Microsoft Defender voor Eindpunt-API's. Voorbeelden van acties zijn het isoleren van een apparaat, het uitvoeren van een antivirusscan en het ophalen van informatie over een bestand.

Vereiste machtigingen voor taken in het actiecentrum

Als u taken wilt uitvoeren, zoals het goedkeuren of weigeren van acties in behandeling in het Actiecentrum, moet er machtigingen zijn toegewezen zoals vermeld in de volgende tabel:

Herstelactie	Vereiste rollen en machtigingen
Microsoft Defender voor Eindpunt herstel (apparaten)	De rol beveiligingsbeheerder die is toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com) ---Of--- Rol actieve herstelacties toegewezen in Microsoft Defender voor Eindpunt Zie de volgende bronnen voor meer informatie: - ingebouwde rollen Microsoft Entra - Creatie en beheer rollen voor op rollen gebaseerd toegangsbeheer (Microsoft Defender voor Eindpunt)
Microsoft Defender voor Office 365 herstel (Office-inhoud en e-mail)	De rol beveiligingsbeheerder die is toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com) ---En--- de rol Search en Opschonen die zijn toegewezen aan de Microsoft Defender XDR >Email & samenwerkingsrollen BELANGRIJK: als u de rol Beveiligingsbeheerder alleen hebt toegewezen in de Microsoft Defender XDR >Email & samenwerkingsrollen, hebt u geen toegang tot het actiecentrum of Microsoft Defender XDR mogelijkheden. U moet de rol Beveiligingsbeheerder hebben toegewezen in Microsoft Entra ID of de Microsoft 365-beheercentrum. Zie de volgende bronnen voor meer informatie: - ingebouwde rollen Microsoft Entra - Machtigingen in het Compliancecentrum voor beveiliging &

Herstelactie

Vereiste rollen en machtigingen

Microsoft Defender voor Eindpunt herstel (apparaten)

De rol beveiligingsbeheerder die is toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com)
---Of---
Rol actieve herstelacties toegewezen in Microsoft Defender voor Eindpunt

Zie de volgende bronnen voor meer informatie:
- ingebouwde rollen Microsoft Entra
- Creatie en beheer rollen voor op rollen gebaseerd toegangsbeheer (Microsoft Defender voor Eindpunt)

Microsoft Defender voor Office 365 herstel (Office-inhoud en e-mail)

De rol beveiligingsbeheerder die is toegewezen in Microsoft Entra ID (https://portal.azure.com) of de Microsoft 365-beheercentrum (https://admin.microsoft.com)
---En---
de rol Search en Opschonen die zijn toegewezen aan de Microsoft Defender XDR >Email & samenwerkingsrollen

BELANGRIJK: als u de rol Beveiligingsbeheerder alleen hebt toegewezen in de Microsoft Defender XDR >Email & samenwerkingsrollen, hebt u geen toegang tot het actiecentrum of Microsoft Defender XDR mogelijkheden. U moet de rol Beveiligingsbeheerder hebben toegewezen in Microsoft Entra ID of de Microsoft 365-beheercentrum.

Zie de volgende bronnen voor meer informatie:
- ingebouwde rollen Microsoft Entra
- Machtigingen in het Compliancecentrum voor beveiliging &

Tip

Gebruikers aan wie de rol Globale beheerder is toegewezen in Microsoft Entra ID kunnen elke actie die in behandeling is in het Actiecentrum goedkeuren of weigeren. Als best practice moet uw organisatie echter het aantal personen beperken waaraan de rol globale beheerder is toegewezen. U wordt aangeraden de rollen Beveiligingsbeheerder, Actieve herstelacties en Search en Opschonen te gebruiken die in de voorgaande tabel worden vermeld voor de machtigingen van het Actiecentrum.

Volgende stap

Herstelacties bekijken en goedkeuren

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.