Reageren op uw eerste incident in Microsoft Defender XDR
Van toepassing op:
- Microsoft Defender XDR
Deze handleiding bevat Microsoft-resources voor nieuwe Microsoft Defender XDR gebruikers om met vertrouwen dagelijkse incidentresponstaken uit te voeren terwijl ze de portal gebruiken. De beoogde resultaten van het gebruik van deze handleiding zijn:
- U leert snel hoe u Microsoft Defender XDR kunt gebruiken om te reageren op incidenten en waarschuwingen.
- U ontdekt de functies van de portal om incidenten te onderzoeken en te herstellen via de video's en zelfstudies.
Microsoft Defender XDR stelt u in staat om relevante bedreigingsevenementen te zien in alle assets (apparaten, identiteiten, postvakken, cloud-apps en meer). De portal consolideert signalen van de Defender-beveiligingssuite, Microsoft Sentinel en andere geïntegreerde SIEM-oplossingen (Security Information and Event Management). Met gecorreleerde informatie over aanvallen met volledige context in één deelvenster van glas kunt u uw organisatie met succes verdedigen en beschermen.
Deze handleiding bevat drie hoofdsecties:
- Inzicht in incidenten: toegang krijgen tot incidenten, triëren en beheren binnen de portal
- Aanvallen analyseren: een verzameling video's en zelfstudies over het onderzoeken van specifieke aanvallen met behulp van de functies van de portal.
- Aanvallen herstellen: geeft een overzicht van de geautomatiseerde en handmatige acties die beschikbaar zijn in de portal om bedreigingen te herstellen. Deze sectie bevat koppelingen naar video's en zelfstudies.
Informatie over incidenten
Een incident is een keten van processen die zijn gemaakt, opdrachten en acties die mogelijk niet samenvallen. Een incident biedt een holistisch beeld en de context van verdachte of schadelijke activiteiten. Eén incident biedt u de volledige context van een aanval in plaats van honderden waarschuwingen van meerdere services te trieren.
Tip
Gedurende een beperkte periode in januari 2024, wanneer u de pagina Incidenten bezoekt, wordt Defender Boxed weergegeven. Defender Boxed markeert de beveiligingssuccessen, verbeteringen en reactieacties van uw organisatie in 2023. Als u Defender Boxed opnieuw wilt openen, gaat u in de Microsoft Defender-portal naar Incidenten en selecteert u vervolgens Uw Defender Boxed.
Microsoft Defender XDR heeft veel functies die u kunt gebruiken om op een incident te reageren. U kunt door de incidenten navigeren door alle incidenten weergeven te selecteren in de kaart Actieve incidenten op de startpagina of door Incidenten & waarschuwingen in het linkernavigatiedeelvenster.
afbeelding 1. Kaart Actieve incidenten op de startpagina van Microsoft Defender XDR
Afbeelding 2. Incidentwachtrij
Elk incident bevat automatisch gecorreleerde waarschuwingen van verschillende detectiebronnen en kan betrekking hebben op verschillende eindpunten, identiteiten of cloud-apps.
Incident triage
De prioriteitstelling van incidenten verschilt per responder, beveiligingsteam en organisatie. Incidentresponsplannen en de richting van beveiligingsteams kunnen prioriteit geven aan incidenten.
Microsoft Defender XDR heeft verschillende indicatoren, zoals ernst van incidenten, typen gebruikers of bedreigingstypen om incidenten te sorteren en prioriteit te geven. U kunt elke combinatie van deze indicatoren gebruiken die direct beschikbaar zijn via de wachtrijfilters voor incidenten .
Een voorbeeld van het bepalen van incidentprioriteit is het combineren van de volgende factoren voor een incident:
- Het incident heeft een hoge ernst.
- De status van het automatiseringsonderzoek is mislukt.
- Er zijn 5 betrokken assets waarbij twee van de assets zijn getagd met zeer vertrouwelijke gegevensgevoeligheid.
- De incidentstatus is nieuw.
- Het incident wordt niet toegewezen aan een teamlid voor onderzoek.
U kunt een hoge prioriteit toewijzen aan het incident met behulp van de bovenstaande informatie. U kunt uw incidentonderzoek starten zodra een prioriteit is bepaald.
Opmerking
Microsoft Defender XDR bepaalt automatisch filters zoals ernst, onderzoeksstatussen, beïnvloede assets en incidentstatussen. De informatie is gebaseerd op de netwerkactiviteiten van uw organisatie die zijn gecontextualiseerd met feeds voor bedreigingsinformatie en de toegepaste geautomatiseerde herstelacties.
Incidenten beheren
U kunt bijdragen aan de efficiëntie van incidentbeheer door essentiële informatie te verstrekken in incidenten en waarschuwingen. Wanneer u informatie toevoegt aan de volgende filters vanaf het moment dat u elk incident sorteert en analyseert, geeft u meer context aan dat incident waar andere responders van kunnen profiteren:
- Incidenten en waarschuwingen classificeren
- Naamgeving van incidenten
- Tags toevoegen
- Opmerkingen geven
Meer informatie over het classificeren van incidenten en waarschuwingen via deze video:
Volgende stappen
- Uw eerste incident analyseren
- Uw eerste incident herstellen
- Bekijk demo's en de nieuwe ontwikkelingen van de portal in de Microsoft Defender XDR Virtual Ninja Training
Zie ook
- Microsoft Defender XDR integreren in uw beveiligingsbewerkingen
- Reageren op veelvoorkomende aanvallen met behulp van playbooks voor reactie op incidenten
- Meer informatie over de functies en functies van de portal via de Microsoft Defender XDR Ninja-training
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor