Het Actiecentrum
Van toepassing op:
- Microsoft Defender XDR
Het actiecentrum biedt een 'single pane of glass'-ervaring voor incident- en waarschuwingstaken, zoals:
- Goedkeuring van in behandeling zijnde herstelacties.
- Een auditlogboek weergeven met al goedgekeurde herstelacties.
- Voltooide herstelacties controleren.
Omdat het actiecentrum een uitgebreid overzicht biedt van Microsoft Defender XDR op het werk, kan uw beveiligingsteam effectiever en efficiënter werken.
Het geïntegreerde actiecentrum
Het geïntegreerde Actiecentrum (https://security.microsoft.com/action-center) bevat in behandeling zijnde en voltooide herstelacties voor uw apparaten, e-mail & samenwerkingsinhoud en identiteiten op één locatie.
Bijvoorbeeld:
- Als u het Actiecentrum in de Microsoft Defender-beveiligingscentrum (https://securitycenter.windows.com/action-center) gebruikt, probeert u het geïntegreerde Actiecentrum in de Microsoft Defender-portal.
- Als u de Microsoft Defender portal al hebt gebruikt, ziet u verschillende verbeteringen in het actiecentrum (https://security.microsoft.com/action-center).
Het geïntegreerde actiecentrum brengt herstelacties samen in Defender voor Eindpunt en Defender voor Office 365. Het definieert een gemeenschappelijke taal voor alle herstelacties en biedt een uniforme onderzoekservaring. Uw beveiligingsteam heeft een 'single pane of glass'-ervaring om herstelacties weer te geven en te beheren.
U kunt het geïntegreerde actiecentrum gebruiken als u de juiste machtigingen en een of meer van de volgende abonnementen hebt:
Tip
Zie Vereisten voor meer informatie.
U kunt op twee verschillende manieren naar de lijst met acties navigeren die wachten op goedkeuring:
- Ga naar https://security.microsoft.com/action-center; of
- Selecteer in de Microsoft Defender portal (https://security.microsoft.com) in de kaart Automatisch onderzoek & antwoord de optie Goedkeuren in het Actiecentrum.
Het actiecentrum gebruiken
Ga naar Microsoft Defender portal en meld u aan.
Kies in het navigatiedeelvenster onder Acties en inzendingende optie Actiecentrum. Of selecteer in de kaart Automatisch onderzoek & antwoord goedkeuren in het Actiecentrum.
Gebruik de tabbladen Acties in behandeling en Geschiedenis . De volgende tabel bevat een overzicht van wat u op elk tabblad ziet:
Tab Omschrijving Hangende Geeft een lijst weer met acties die aandacht vereisen. U kunt acties één voor één goedkeuren of weigeren of meerdere acties selecteren als ze hetzelfde type actie hebben (zoals Quarantainebestand).
Zorg ervoor dat u in behandeling zijnde acties zo snel mogelijk controleert en goedkeurt (of afwijst), zodat uw geautomatiseerde onderzoeken tijdig kunnen worden voltooid.Geschiedenis Fungeert als een auditlogboek voor acties die zijn uitgevoerd, zoals: - >Herstelacties die zijn genomen als gevolg van geautomatiseerde onderzoeken
- Herstelacties die zijn uitgevoerd op verdachte of schadelijke e-mailberichten, bestanden of URL's
- Herstelacties die zijn goedgekeurd door uw beveiligingsteam
- Opdrachten die zijn uitgevoerd en herstelacties die zijn toegepast tijdens livereactiesessies
- Herstelacties die zijn uitgevoerd door uw antivirusbeveiliging
Biedt een manier om bepaalde acties ongedaan te maken (zie Voltooide acties ongedaan maken).U kunt gegevens aanpassen, sorteren, filteren en exporteren in het Actiecentrum.
- Selecteer een kolomkop om items in oplopende of aflopende volgorde te sorteren.
- Gebruik het filter Tijdsperiode om gegevens weer te geven voor de afgelopen dag, week, 30 dagen of 6 maanden.
- Kies de kolommen die u wilt weergeven.
- Geef op hoeveel items moeten worden opgenomen op elke pagina met gegevens.
- Gebruik filters om alleen de items weer te geven die u wilt zien.
- Selecteer Exporteren om resultaten te exporteren naar een .csv-bestand.
Acties die worden bijgehouden in het actiecentrum
Alle acties, of ze nu in behandeling zijn of al zijn uitgevoerd, worden bijgehouden in het Actiecentrum. Beschikbare acties zijn onder andere:
- Onderzoekspakket verzamelen
- Apparaat isoleren (deze actie kan ongedaan worden gemaakt)
- Computer offboarden
- Uitvoering van releasecode
- Release uit quarantaine
- Aanvraagvoorbeeld
- De uitvoering van code beperken (deze actie kan ongedaan worden gemaakt)
- Antivirusscan uitvoeren
- Stoppen en in quarantaine plaatsen
- Apparaten weghouden van het netwerk
Naast herstelacties die automatisch worden uitgevoerd als gevolg van geautomatiseerd onderzoek, houdt het actiecentrum ook acties bij die uw beveiligingsteam heeft ondernomen om gedetecteerde bedreigingen aan te pakken en acties die zijn uitgevoerd als gevolg van functies voor bedreigingsbeveiliging in Microsoft Defender XDR. Zie Herstelacties voor meer informatie over automatische en handmatige herstelacties.
Details van actiebron weergeven
Het verbeterde Actiecentrum bevat een kolom Actiebron waarin wordt aangegeven waar elke actie vandaan komt. In de volgende tabel worden mogelijke actiebronwaarden beschreven:
| Waarde van actiebron | Beschrijving |
|---|---|
| Handmatige apparaatactie | Een handmatige actie die is uitgevoerd op een apparaat. Voorbeelden zijn apparaatisolatie of bestandsquarantaine. |
| Handmatige e-mailactie | Een handmatige actie die is uitgevoerd op e-mail. Een voorbeeld hiervan is het voorlopig verwijderen van e-mailberichten of het herstellen van een e-mailbericht. |
| Geautomatiseerde apparaatactie | Een geautomatiseerde actie die wordt uitgevoerd op een entiteit, zoals een bestand of proces. Voorbeelden van geautomatiseerde acties zijn het verzenden van een bestand in quarantaine, het stoppen van een proces en het verwijderen van een registersleutel. (Zie Herstelacties in Microsoft Defender voor Eindpunt.) |
| Geautomatiseerde e-mailactie | Een geautomatiseerde actie die wordt uitgevoerd op e-mailinhoud, zoals een e-mailbericht, bijlage of URL. Voorbeelden van geautomatiseerde acties zijn het voorlopig verwijderen van e-mailberichten, het blokkeren van URL's en het uitschakelen van externe e-mail doorsturen. (Zie Herstelacties in Microsoft Defender voor Office 365.) |
| Geavanceerde opsporingsactie | Acties die zijn uitgevoerd op apparaten of e-mail met geavanceerde opsporing. |
| Explorer-actie | Acties die worden uitgevoerd op e-mailinhoud met Explorer. |
| Handmatige live-antwoordactie | Acties die worden uitgevoerd op een apparaat met live-respons. Voorbeelden hiervan zijn het verwijderen van een bestand, het stoppen van een proces en het verwijderen van een geplande taak. |
| Actie voor live-antwoord | Acties die worden uitgevoerd op een apparaat met Microsoft Defender voor Eindpunt-API's. Voorbeelden van acties zijn het isoleren van een apparaat, het uitvoeren van een antivirusscan en het ophalen van informatie over een bestand. |
Vereiste machtigingen voor taken in het actiecentrum
Als u taken wilt uitvoeren, zoals het goedkeuren of weigeren van in behandeling zijnde acties in het Actiecentrum, hebt u specifieke machtigingen nodig. U hebt de volgende opties:
Microsoft Entra machtigingen: lidmaatschap van deze rollen geeft gebruikers de vereiste machtigingen en machtigingen voor andere functies in Microsoft 365:
Microsoft Defender voor Eindpunt herstel (apparaten): lidmaatschap van de rol Beveiligingsbeheerder.
Defender voor Office 365 herstel (Office-inhoud en e-mail):
- Lidmaatschap van de rol Beveiligingsbeheerder .
en
- Lidmaatschap van een rollengroep in Email & samenwerkingsmachtigingen met de rol Search en Opschonen toegewezen. Deze rol wordt standaard alleen toegewezen aan de rollengroepen Gegevensonderzoeker en Organisatiebeheer in Email & samenwerkingsmachtigingen. U kunt gebruikers toevoegen aan deze rolgroepen of u kunt een nieuwe rollengroep maken in Email & samenwerkingsmachtigingen waaraan de rol Search en Opschonen zijn toegewezen en de gebruikers toevoegen aan de aangepaste rollengroep.
Email & samenwerkingsmachtigingen in de Microsoft Defender-portal:
Defender voor Office 365 herstel (Office-inhoud en e-mail):
- Lidmaatschap van de rolgroep Beveiligingsbeheerder
en
- Lidmaatschap van een rollengroep in Email & samenwerkingsmachtigingen met de rol Search en Opschonen toegewezen. Deze rol wordt standaard alleen toegewezen aan de rollengroepen Gegevensonderzoeker en Organisatiebeheer in Email & samenwerkingsmachtigingen. U kunt gebruikers toevoegen aan deze rolgroepen of u kunt een nieuwe rollengroep maken in Email & samenwerkingsmachtigingen waaraan de rol Search en Opschonen zijn toegewezen en de gebruikers toevoegen aan de aangepaste rollengroep.
Tip
Lidmaatschap van de rolgroep Beveiligingsbeheerder Email & samenwerkingsmachtigingen verleent geen toegang tot het Actiecentrum of Microsoft Defender XDR mogelijkheden. Hiervoor moet u lid zijn van de rol Beveiligingsbeheerder in Microsoft Entra machtigingen.
Defender voor Eindpuntmachtigingen:
- Microsoft Defender voor Eindpunt herstel (apparaten):lidmaatschap van de rol Actieve herstelacties.
Tip
Leden van de rol Globale beheerder in Microsoft Entra ID kunnen elke actie in behandeling goedkeuren of weigeren in het Actiecentrum. Als best practice moet u echter de leden van de rol Globale beheerder beperken. U wordt aangeraden de alternatieve rollen en rolgroepen te gebruiken, zoals beschreven in de vorige lijst voor machtigingen voor het Actiecentrum.
Volgende stap
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor