Incidenten beheren in Microsoft 365 DefenderManage incidents in Microsoft 365 Defender

Belangrijk

Het verbeterde Microsoft 365-beveiligingscentrum is nu beschikbaar.The improved Microsoft 365 security center is now available. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365-beveiligingscentrum.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ontdek wat er nieuw is.Learn what's new.

Van toepassing op:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Incidentbeheer is essentieel om ervoor te zorgen dat bedreigingen worden opgenomen en aangepakt.Incident management is critical in ensuring that threats are contained and addressed.

U beheert incidenten van incidenten & waarschuwingen > incidenten tijdens de snelle start van het Microsoft 365 beveiligingscentrum (security.microsoft.com).You manage incidents from Incidents & alerts > Incidents on the quick launch of the Microsoft 365 security center (security.microsoft.com). Hier is een voorbeeld.Here's an example.

Voorbeeld van de incidentwachtrij

Dit zijn de manieren waarop u uw incidenten kunt beheren:Here are the ways you can manage your incidents:

U kunt incidenten beheren vanuit het deelvenster Incident beheren voor een incident.You can manage incidents from the Manage incident pane for an incident. Hier is een voorbeeld.Here's an example.

Voorbeeld van het deelvenster Incident beheren van een incident

U kunt dit deelvenster weergeven via de koppeling Incident beheren op het volgende:You can display this pane from the Manage incident link on the:

  • Deelvenster Eigenschappen van een incident in de incidentwachtrij.Properties pane of an incident in the incident queue.
  • Overzichtspagina van een incident.Summary page of an incident.

In gevallen waarin u waarschuwingen van het ene incident naar het andere wilt verplaatsen, kunt u dit ook doen via het tabblad Waarschuwingen, waardoor een groter of kleiner incident wordt gemaakt met alle relevante waarschuwingen.In cases where you want to move alerts from one incident to another, you can also do so from the Alerts tab, thus creating a larger or smaller incident that includes all relevant alerts.

De naam van het incident bewerkenEdit the incident name

Microsoft 365 Defender wijst automatisch een naam toe op basis van waarschuwingskenmerken, zoals het aantal getroffen eindpunten, beïnvloede gebruikers, detectiebronnen of categorieën.Microsoft 365 Defender automatically assigns a name based on alert attributes such as the number of endpoints affected, users affected, detection sources or categories. Hierdoor kunt u snel inzicht krijgen in het bereik van het incident.This allows you to quickly understand the scope of the incident. Bijvoorbeeld: incident met meerdere fases op meerdere eindpunten die door meerdere bronnen zijn gerapporteerd.For example: Multi-stage incident on multiple endpoints reported by multiple sources.

U kunt de naam van het incident bewerken vanuit het veld Incidentnaam in het deelvenster Incident beheren.You can edit the incident name from the Incident name field on the Manage incident pane.

Notitie

Incidenten die vóór de implementatie van de functie voor automatische naamgeving van incidenten hebben bestaan, behouden hun naam.Incidents that existed before the rollout of the automatic incident naming feature will retain their name.

Incidentlabels toevoegenAdd incident tags

U kunt aangepaste tags toevoegen aan een incident, bijvoorbeeld om een vlag toe te voegen aan een groep incidenten met een gemeenschappelijke eigenschap.You can add custom tags to an incident, for example to flag a group of incidents with a common characteristic. U kunt de wachtrij voor incidenten later filteren op alle incidenten die een specifieke tag bevatten.You can later filter the incident queue for all incidents that contain a specific tag.

Wanneer u begint te typen, hebt u de optie om te selecteren in een lijst met geselecteerde tags.When you start typing, you have the option to select from a list of selected tags.

Incidenten toewijzenAssign incidents

Als u een incident wilt toewijzen, selecteert u Toewijzen aan mij.To assign an incident, select Assign to me. Als u dit doet, worden de eigenaar van het incident en alle waarschuwingen die aan het incident zijn gekoppeld, toegewezen aan uw gebruikersaccount.Doing so assigns ownership of the incident and all the alerts associated with it to your user account.

U kunt een lijst met incidenten krijgen die aan u zijn toegewezen door de wachtrij voor incidenten te filteren.You can get a list of incidents assigned to you by filtering the incident queue.

  1. Selecteer filters in de wachtrij voor incidenten.From the incident queue, select Filters.
  2. schakel in de sectie Incidenttoewijzing alles selecteren uit en selecteer Toegewezen aan mij.in the Incident assignment section, clear Select all and select Assigned to me.
  3. Selecteer Toepassen en sluit het deelvenster Filters.Select Apply, and then close the Filters pane.

Vervolgens kunt u de resulterende URL in uw browser opslaan als bladwijzer om snel de lijst met incidenten weer te geven die aan u zijn toegewezen.You can then save the resulting URL in your browser as a bookmark to quickly see the list of incidents assigned to you.

Een incident oplossenResolve an incident

Als het incident is opgelost, selecteert u Incident oplossen om de schakelknop naar rechts te verplaatsen.If the incident has been remediated, select Resolve incident to move the toggle to the right. Het oplossen van een incident lost ook alle gekoppelde en actieve waarschuwingen met betrekking tot het incident op.Note that resolving an incident also resolves all the linked and active alerts related to the incident.

Een incident dat niet is opgelost, wordt weergegeven als Actief.An incident that is not resolved displays as Active.

De classificatie en bepaling instellenSet the classification and determination

De incidentclassificatie is of het een echte waarschuwing of een onwaar waarschuwing was, die u configureert vanuit het veld Classificatie.The incident classification is whether it was a true alert or a false alert, which you configure from the Classification field.

Als het een echte waarschuwing was, moet u ook opgeven welk type bedreiging het was met het veld Bepaling.If it was a true alert, you should also specify what type of threat it was with the Determination field. Als u het type bedreiging opgeeft, kan uw beveiligingsteam bedreigingspatronen zien en uw organisatie tegen hen beschermen.Specifying the threat type helps your security team see threat patterns and act to defend your organization from them.

Opmerkingen toevoegenAdd comments

U kunt meerdere opmerkingen toevoegen aan een incident met het veld Opmerking.You can add multiple comments to an incident with the Comment field. Elke opmerking wordt toegevoegd aan de historische gebeurtenissen van het incident.Each comment gets added to the historical events of the incident. U kunt de opmerkingen en geschiedenis van een incident zien via de koppeling Opmerkingen en geschiedenis op de pagina Overzicht.You can see the comments and history of an incident from the Comments and history link on the Summary page.

Volgende stappenNext steps

Voor nieuwe incidenten start u uw onderzoek.For new incidents, begin your investigation.

Ga voor incidenten in proces verder met uw onderzoek.For in-process incidents, continue your investigation.

Voer voor opgeloste incidenten een beoordeling na het incident uit.For resolved incidents, perform a post-incident review.

Zie ookSee also