Geautomatiseerd onderzoek en antwoord in Microsoft 365 Defender

Van toepassing op:

• Microsoft 365 Defender

Als uw organisatie een Microsoft 365 Defender gebruikt,ontvangt uw beveiligingsteam een waarschuwing binnen de Microsoft 365 Defender portal wanneer een schadelijke of verdachte activiteit of artefact wordt gedetecteerd. Gezien de schijnbaar eindeloze stroom van bedreigingen die kunnen binnenstromen, worden beveiligingsteams vaak geconfronteerd met de uitdaging om het grote aantal waarschuwingen aan te pakken. Gelukkig bevat Microsoft 365 Defender geautomatiseerde onderzoeks- en antwoordmogelijkheden (AIR) die uw beveiligingsteam kunnen helpen om bedreigingen efficiënter en effectiever aan te pakken.

Dit artikel bevat een overzicht van AIR en bevat koppelingen naar de volgende stappen en aanvullende bronnen.

Hoe geautomatiseerd onderzoek en zelfherstel werken

Wanneer beveiligingswaarschuwingen worden geactiveerd, is het aan uw beveiligingsteam om deze waarschuwingen te bekijken en stappen te ondernemen om uw organisatie te beschermen. Het kan erg tijdrovend zijn om prioriteit te geven aan waarschuwingen en deze te onderzoeken, met name wanneer er nieuwe waarschuwingen binnen blijven komen terwijl er een onderzoek wordt gestart. Beveiligingsbewerkingsteams kunnen zich overstelpt voelen door het grote aantal bedreigingen dat ze moeten bewaken en beschermen. Geautomatiseerde onderzoeks- en antwoordmogelijkheden, met self-healing, in Microsoft 365 Defender kunnen helpen.

Bekijk de volgende video om te zien hoe zelfherstel werkt:

In Microsoft 365 Defender werkt automatisch onderzoek en antwoord met self-helende mogelijkheden op uw apparaten, e-mail & inhoud en identiteiten.

Uw eigen virtuele analist

Imagine virtuele analist in uw beveiligingsteam van Tier 1 of Tier 2. De virtuele analist bootst de ideale stappen na die beveiligingsbewerkingen zouden ondernemen om bedreigingen te onderzoeken en te corrigeren. De virtuele analist kan 24x7 werken, met onbeperkte capaciteit, en een aanzienlijke belasting van onderzoeken en bedreigingsremediatie op zich nemen. Een dergelijke virtuele analist kan de tijd om te reageren aanzienlijk verminderen, waardoor uw beveiligingsteam vrij komt voor andere belangrijke bedreigingen of strategische projecten. Als dit scenario klinkt als sciencefiction, is dat niet het geval. Een dergelijke virtuele analist maakt deel uit van Microsoft 365 Defender suite en de naam is geautomatiseerd onderzoek en antwoord.

Met geautomatiseerde onderzoeks- en antwoordmogelijkheden kan uw beveiligingsteam de capaciteit van uw organisatie voor beveiligingswaarschuwingen en incidenten aanzienlijk vergroten. Met geautomatiseerde onderzoeken en antwoorden kunt u de kosten van het omgaan met onderzoek- en antwoordactiviteiten verlagen en het beste uit uw suite voor bedreigingsbeveiliging halen. Geautomatiseerde onderzoeks- en antwoordmogelijkheden helpen uw team voor beveiligingsbewerkingen door:

1. Bepalen of een bedreiging actie vereist.
2. Het nemen (of aanbevelen van) de benodigde herstelacties.
3. Bepalen of en welke andere onderzoeken moeten worden uitgevoerd.
4. Herhaal het proces zo nodig voor andere waarschuwingen.

Het geautomatiseerde onderzoeksproces

Met een waarschuwing wordt een incident gemaakt dat een geautomatiseerd onderzoek kan starten. Het geautomatiseerde onderzoek resulteert in een vonnis voor elk bewijs. Vonnissen kunnen zijn:

• Kwaadaardig
• Verdacht
• Geen bedreigingen gevonden

Herstelacties voor schadelijke of verdachte entiteiten worden geïdentificeerd. Voorbeelden van herstelacties zijn:

• Een bestand in quarantaine plaatsen
• Een proces stoppen
• Een apparaat isoleren
• Een URL blokkeren
• Andere acties

Zie Herstelacties inMicrosoft 365 Defender.

Afhankelijk van hoe geautomatiseerde onderzoeks- en antwoordmogelijkheden zijn geconfigureerd voor uw organisatie, worden herstelacties automatisch of alleen uitgevoerd na goedkeuring door uw beveiligingsteam. Alle acties, in behandeling of voltooid, worden weergegeven in het Actiecentrum.

Terwijl een onderzoek wordt uitgevoerd, worden alle andere gerelateerde waarschuwingen toegevoegd aan het onderzoek totdat het is voltooid. Als een betrokken entiteit ergens anders wordt gezien, wordt het bereik van het geautomatiseerde onderzoek uitgebreid met deze entiteit en wordt het onderzoeksproces herhaald.

In Microsoft 365 Defender elk geautomatiseerd onderzoek correleert de signalen in Microsoft Defender voor identiteit, Microsoft Defender voor Eindpunt en Microsoft Defender voor Office 365, zoals samengevat in de volgende tabel:

Een lijst met onderzoeken weergeven

Als u onderzoeken wilt bekijken, gaat u naar de pagina Incidenten. Selecteer een incident en selecteer vervolgens het tabblad Onderzoeken. Zie Details en resultaten van een geautomatiseerd onderzoek voor meer informatie.

Training voor beveiligingsanalisten

Gebruik deze leermodule van Microsoft Learn om te begrijpen hoe Microsoft 365 Defender geautomatiseerde self-healing gebruikt voor onderzoek en reactie van incidenten.

Training:	Automatiseer zelfherstel met Microsoft 365 Defender
	Microsoft 365 Defender ai gebruikt om herstel voor incidenten te automatiseren, zodat uw beveiligingsteam bedreigingen efficiënter en effectiever kan aanpakken. 11 min - 5 eenheden

Volgende stappen

• Bekijk de vereisten voor geautomatiseerd onderzoek en antwoord
• Geautomatiseerd onderzoek en antwoord configureren voor uw organisatie
• Meer informatie over het Actiecentrum