Beheerde detectie en reactie

  • Artikel

Van toepassing op:

Door middel van een combinatie van automatisering en menselijke expertise Microsoft Defender Experts voor XDR-triages Microsoft Defender XDR incidenten, deze namens u prioriteert, de ruis wegfiltert, gedetailleerde onderzoeken uitvoert en een bruikbare beheerde reactie biedt aan uw SOC-teams (Security Operations Center).

Incidentupdates

Zodra onze experts een incident onderzoeken, worden de velden Toegewezen aan en Status van het incident bijgewerkt naar respectievelijk Defender-experts en In uitvoering.

Wanneer onze experts hun onderzoek naar een incident afronden, wordt het veld Classificatie van het incident bijgewerkt naar een van de volgende, afhankelijk van de bevindingen van de experts:

  • Waar positief
  • Fout-positief
  • Informatieve, verwachte activiteit

Het veld Bepaling dat overeenkomt met elke classificatie wordt ook bijgewerkt om meer inzicht te geven in de bevindingen die onze experts ertoe hebben gebracht om de genoemde classificatie te bepalen.

Schermopname van de pagina Incidenten met de velden Tags, Status, Toegewezen aan, Classificatie en Bepaling.

Als een incident is geclassificeerd als Fout-positief of Informatief, Verwachte activiteit, wordt het veld Status van het incident bijgewerkt naar Opgelost. Onze experts ronden vervolgens hun werk aan dit incident af en het veld Toegewezen aan wordt bijgewerkt naar Niet toegewezen. Onze experts kunnen updates van hun onderzoek en hun conclusie delen bij het oplossen van een incident. Deze updates worden geplaatst in het flyoutvenster Opmerkingen en geschiedenis van het incident.

Opmerking

Incidentopmerkingen zijn eenrichtingsberichten. Defender-experts kunnen niet reageren op opmerkingen of vragen die u toevoegt in het deelvenster Opmerkingen en geschiedenis . Zie Communiceren met experts in de Microsoft Defender Experts voor XDR-service voor meer informatie over het corresponderen met onze experts.

Als een incident anders wordt geclassificeerd als Waar positief, identificeren onze experts de vereiste reactieacties die moeten worden uitgevoerd. De methode waarin de acties worden uitgevoerd, is afhankelijk van de machtigingen en toegangsniveaus die u aan de Defender-experts voor XDR-service hebt gegeven. Meer informatie over het verlenen van machtigingen aan onze experts.

  • Als u Defender Experts voor XDR de aanbevolen toegangsmachtigingen voor beveiligingsoperator hebt verleend, kunnen onze experts namens u de vereiste reactieacties uitvoeren op het incident. Deze acties, samen met een overzicht van onderzoek, worden weergegeven in het flyoutvenster Beheerde respons van het incident in uw Microsoft Defender portal, zodat u of uw SOC-team deze kunt controleren. Alle acties die zijn voltooid door Defender Experts voor XDR, worden weergegeven in de sectie Voltooide acties . Alle in behandeling zijnde acties waarvoor u of uw SOC-team moet voltooien, worden vermeld in de sectie Acties in behandeling . Zie de sectie Acties voor meer informatie. Zodra onze experts alle benodigde acties voor het incident hebben uitgevoerd, wordt het veld Status bijgewerkt naar Opgelost en wordt het veld Toegewezen aan bijgewerkt naar Niet toegewezen.

  • Als u Defender Experts voor XDR toegang hebt verleend tot de standaardbeveiligingslezer, worden de vereiste reactieacties, samen met een samenvatting van onderzoek, weergegeven in het flyoutvenster Beheerde reactie van het incident onder de sectie Acties in behandeling in uw Microsoft Defender portal, zodat u of uw SOC-team deze kunnen uitvoeren. Zie de sectie Acties voor meer informatie. Om deze overdracht te identificeren, wordt het veld Status van het incident bijgewerkt naar Actie klant in afwachting en wordt het veld Toegewezen aan bijgewerkt naar Klant.

U kunt het aantal incidenten dat uw actie vereist, controleren in de banner Defender-experts boven aan de startpagina van Microsoft Defender.

Schermopname van de kaart Defender Experts in Microsoft Defender portal met het aantal incidenten dat wacht op actie van de klant.

Als u de incidenten wilt bekijken die onze experts hebben onderzocht of momenteel onderzoeken, filtert u de incidentwachtrij in uw Microsoft Defender portal met behulp van de tag Defender Experts.

Schermopname van de wachtrij Incidenten in Microsoft Defender portal die is gefilterd om alleen die met de tag Defender Experts weer te geven.

Beheerde respons gebruiken in Microsoft Defender XDR

In de Microsoft Defender-portal heeft een incident dat uw aandacht vereist met behulp van een beheerd antwoord, het veld Toegewezen aan ingesteld op Klant en een taakkaart boven op het deelvenster Incidenten. Uw aangewezen contactpersonen voor incidenten ontvangen ook een bijbehorende e-mailmelding met een koppeling naar de Defender-portal om het incident te bekijken. Meer informatie over contactpersonen voor meldingen.

Selecteer Beheerd antwoord weergeven op de taakkaart of boven aan de portalpagina (tabblad Beheerd antwoord ) om een flyoutvenster te openen waarin u het onderzoeksoverzicht van onze experts kunt lezen, in behandeling zijnde acties kunt voltooien die door onze experts zijn geïdentificeerd of met hen kunt communiceren via chat.

Onderzoekssamenvatting

De sectie Onderzoekoverzicht biedt u meer context over het incident dat door onze experts is geanalyseerd om u inzicht te geven in de ernst en mogelijke gevolgen als deze niet onmiddellijk worden aangepakt. Dit kan de tijdlijn van het apparaat, indicatoren van aanvallen en indicatoren van het waargenomen inbreuk (IOC's) en andere details omvatten.

Schermopname van de samenvatting van het onderzoek van beheerde antwoorden.

Acties

Op het tabblad Acties worden taakkaarten weergegeven die reactieacties bevatten die door onze experts zijn aanbevolen.

Defender Experts voor XDR ondersteunt momenteel de volgende beheerde antwoordacties met één klik:

Actie Beschrijving
Apparaat isoleren Hiermee wordt een apparaat geïsoleerd, waardoor een aanvaller het niet kan beheren en verdere activiteiten kan uitvoeren, zoals gegevensexfiltratie en laterale verplaatsing. Het geïsoleerde apparaat is nog steeds verbonden met Microsoft Defender voor Eindpunt.
Bestand in quarantaine plaatsen Stopt de uitvoering van processen, plaatst de bestanden in quarantaine en verwijdert permanente gegevens, zoals registersleutels.
Het uitvoeren van apps beperken Hiermee wordt de uitvoering van mogelijk schadelijke programma's beperkt en het apparaat vergrendeld om verdere pogingen te voorkomen.
Losmaken van isolatie De isolatie van een apparaat ongedaan maken.
App-beperking verwijderen Loskoppelen van isolatie ongedaan maken.

Afgezien van deze acties met één klik, kunt u ook beheerde antwoorden van onze experts ontvangen die u handmatig moet uitvoeren.

Opmerking

Voordat u een van de aanbevolen beheerde antwoordacties uitvoert, moet u ervoor zorgen dat deze niet al worden aangepakt door uw geautomatiseerde onderzoek- en antwoordconfiguraties. Meer informatie over mogelijkheden voor geautomatiseerd onderzoek en respons vindt u in Microsoft Defender XDR.

Ga als volgt te werk om de beheerde antwoordacties weer te geven en uit te voeren:

  1. Selecteer de pijlknoppen op een actiekaart om deze uit te vouwen en lees meer informatie over de vereiste actie.

Schermopname van de actie beheerde reactie om de prod-server van het apparaat te isoleren.

  1. Selecteer de vereiste actie voor kaarten met één klik-actie. De actiestatus op de kaart verandert in Wordt uitgevoerd en vervolgens in Mislukt of Voltooid, afhankelijk van het resultaat van de actie.

Schermopname van de beheerde antwoordactie die wordt weergegeven in uitvoering om de prod-server van het apparaat te isoleren.

Tip

U kunt ook de status van antwoordacties in de portal bewaken in het Actiecentrum. Als een reactieactie mislukt, probeert u dit opnieuw te doen vanaf de pagina Apparaatdetails weergeven of start u een chatgesprek met Defender-experts.

  1. Voor kaarten met vereiste acties die u handmatig moet uitvoeren, selecteert u Ik heb deze actie voltooid nadat u deze hebt uitgevoerd en selecteert u vervolgens Ja, ik heb het gedaan in het bevestigingsdialoogvenster dat wordt weergegeven.

Schermopname van de actie Beheerd antwoord om de voltooiing van de actie te bevestigen.

  1. Als u een vereiste actie niet meteen wilt voltooien, selecteert u Overslaan en selecteert u vervolgens Ja, deze actie overslaan in het bevestigingsdialoogvenster dat wordt weergegeven.

Belangrijk

Als u merkt dat een van de knoppen op de actiekaarten grijs wordt weergegeven, kan dit erop wijzen dat u niet over de benodigde machtigingen beschikt om de actie uit te voeren. Zorg ervoor dat u bent aangemeld bij de Microsoft Defender XDR portal met de juiste machtigingen. Voor de meeste beheerde reactieacties moet u ten minste toegang hebben tot de beveiligingsoperator. Als u dit probleem nog steeds ondervindt, zelfs met de juiste machtigingen, gaat u naar Apparaatdetails weergeven en voert u de stappen uit.

Inzicht krijgen in Defender Experts-onderzoeken in uw SIEM- of ITSM-toepassing

Als Defender Experts voor XDR incidenten onderzoeken en herstelacties bedenken, kunt u inzicht krijgen in hun werk aan incidenten in uw SIEM-toepassingen (Security Information and Event Management) en IT Service Management (ITSM), inclusief toepassingen die direct beschikbaar zijn.

Microsoft Sentinel

U kunt zichtbaarheid van incidenten krijgen in Microsoft Sentinel door de kant-en-klare Microsoft Defender XDR-gegevensconnector in te schakelen. Meer informatie.

Nadat u de connector hebt ingeschakeld, worden updates van Defender-experts naar de velden Status, Toegewezen aan, Classificatie en Bepaling in Microsoft Defender XDR weergegeven in de bijbehorende velden Status, Eigenaar en Reden voor het sluiten in Sentinel.

Opmerking

De status van incidenten die door Defender-experts in Microsoft Defender XDR zijn onderzocht, gaat doorgaans van Actief naar In uitvoering naar Wachtende klantactie naar Opgelost, terwijl in Sentinel het pad Nieuw naar Actief naar Opgelost volgt. De actie Microsoft Defender XDR Status in afwachting van klant heeft geen gelijkwaardig veld in Sentinel. In plaats daarvan wordt het weergegeven als een tag in een incident in Sentinel.

In de volgende sectie wordt beschreven hoe een incident dat door onze experts wordt verwerkt, wordt bijgewerkt in Sentinel naarmate het verdergaat met het onderzoek:

  1. Een incident dat door onze experts wordt onderzocht, heeft de statusActief en de Eigenaar vermeld als Defender-experts.
  2. Een incident dat onze experts hebben bevestigd als een waar-positief, heeft een beheerd antwoord gepost in Microsoft Defender XDR, en een tagwacht op klantactie en de eigenaar wordt vermeld als klant. U moet reageren op het incident op basis van het gebruik van het opgegeven beheerde antwoord.
  3. Zodra onze experts hun onderzoek hebben afgerond en een incident hebben gesloten als fout-positief of informatief, verwachte activiteit, wordt de status van het incident bijgewerkt naar Opgelost, wordt de eigenaar bijgewerkt naar Niet-toegewezen en wordt een reden voor het sluiten opgegeven.

Schermopname van Microsoft Sentinel-incidenten.

Andere toepassingen

U kunt inzicht krijgen in incidenten in uw SIEM- of ITSM-toepassing met behulp van de Microsoft Defender XDR-API of connectors in Sentinel.

Nadat u een connector hebt geconfigureerd, kunnen de updates door Defender Experts van de velden Status, Toegewezen aan, Classificatie en Bepaling van een incident in Microsoft Defender XDR worden gesynchroniseerd met de SIEM- of ITSM-toepassingen van derden, afhankelijk van hoe de veldtoewijzing is geïmplementeerd. Ter illustratie kunt u de connector bekijken die beschikbaar is van Sentinel naar ServiceNow.

Zie ook

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.