Beveiligingswaarschuwingen voor Defender for Identity onderzoeken in Microsoft Defender XDR

Opmerking

Defender for Identity is niet ontworpen als een controle- of logboekregistratieoplossing die elke bewerking of activiteit vastlegt op de servers waarop de sensor is geïnstalleerd. Het legt alleen de gegevens vast die nodig zijn voor de detectie- en aanbevelingsmechanismen.

In dit artikel wordt uitgelegd hoe u met Microsoft Defender for Identity beveiligingswaarschuwingen werkt in Microsoft Defender XDR.

Defender for Identity-waarschuwingen zijn systeemeigen geïntegreerd in Microsoft Defender XDR met een speciale indeling voor identiteitswaarschuwingspagina's.

De pagina Identiteitswaarschuwing biedt Microsoft Defender for Identity klanten betere signaalverrijking tussen domeinen en nieuwe mogelijkheden voor geautomatiseerde identiteitsrespons. Het zorgt ervoor dat u veilig blijft en helpt de efficiëntie van uw beveiligingsbewerkingen te verbeteren.

Een van de voordelen van het onderzoeken van waarschuwingen via Microsoft Defender XDR is dat Microsoft Defender for Identity waarschuwingen verder worden gecorreleerd met informatie die is verkregen van elk van de andere producten in de suite. Deze verbeterde waarschuwingen zijn consistent met de andere Microsoft Defender XDR waarschuwingsindelingen die afkomstig zijn van Microsoft Defender voor Office 365 en Microsoft Defender voor Eindpunt. De nieuwe pagina elimineert de noodzaak om naar een andere productportal te navigeren om waarschuwingen te onderzoeken die zijn gekoppeld aan identiteit.

Waarschuwingen die afkomstig zijn van Defender for Identity kunnen nu de Microsoft Defender XDR mogelijkheden voor geautomatiseerd onderzoek en respons (AIR) activeren, waaronder het automatisch herstellen van waarschuwingen en het beperken van hulpprogramma's en processen die kunnen bijdragen aan de verdachte activiteit.

Belangrijk

Als onderdeel van de convergentie met Microsoft Defender XDR zijn sommige opties en details gewijzigd van hun locatie in de Defender for Identity-portal. Lees de onderstaande details om te ontdekken waar u zowel de vertrouwde als nieuwe functies kunt vinden.

Beveiligingswaarschuwingen controleren

Waarschuwingen zijn toegankelijk vanaf meerdere locaties, waaronder de pagina Waarschuwingen , de pagina Incidenten , de pagina's van afzonderlijke apparaten en vanaf de pagina Geavanceerde opsporing . In dit voorbeeld bekijken we de pagina Waarschuwingen.

Ga in Microsoft Defender XDR naar Incidenten & waarschuwingen en vervolgens naar Waarschuwingen.

Als u waarschuwingen van Defender for Identity wilt zien, selecteert u rechtsboven Filter en selecteert u vervolgens onder ServicebronnenMicrosoft Defender for Identity en selecteert u Toepassen:

De waarschuwingen worden weergegeven met informatie in de volgende kolommen: Waarschuwingsnaam, Tags, Ernst, Onderzoeksstatus, Status, Categorie, Detectiebron, Beïnvloede assets, Eerste activiteit en Laatste activiteit.

Beveiligingswaarschuwingscategorieën

Defender for Identity-beveiligingswaarschuwingen zijn onderverdeeld in de volgende categorieën of fasen, zoals de fasen in een typische kill chain voor cyberaanvallen.

• Reconnaissance-waarschuwingen
• Waarschuwingen voor gecompromitteerde referenties
• Waarschuwingen voor laterale verplaatsing
• Waarschuwingen voor domeindominantie
• Exfiltratiewaarschuwingen

Waarschuwingen beheren

Als u de waarschuwingsnaam voor een van de waarschuwingen selecteert, gaat u naar de pagina met details over de waarschuwing. In het linkerdeelvenster ziet u een overzicht van Wat is er gebeurd:

Boven het vak Wat is er gebeurd staan knoppen voor de accounts, doelhost en bronhost van de waarschuwing. Voor andere waarschuwingen ziet u mogelijk knoppen voor meer informatie over extra hosts, accounts, IP-adressen, domeinen en beveiligingsgroepen. Selecteer een van deze entiteiten voor meer informatie over de betrokken entiteiten.

In het rechterdeelvenster ziet u de waarschuwingsdetails. Hier kunt u meer details bekijken en verschillende taken uitvoeren:

• Deze waarschuwing classificeren : hier kunt u deze waarschuwing aanwijzen als een waarschuwing Waar of Onwaar

  

• Waarschuwingsstatus : in Classificatie instellen kunt u de waarschuwing classificeren als Waar of Onwaar. In Toegewezen aan kunt u de waarschuwing aan uzelf toewijzen of de toewijzing opheffen.

  

• Waarschuwingsdetails : onder Waarschuwingsdetails vindt u meer informatie over de specifieke waarschuwing, volgt u een koppeling naar documentatie over het type waarschuwing, ziet u aan welk incident de waarschuwing is gekoppeld, bekijkt u eventuele geautomatiseerde onderzoeken die zijn gekoppeld aan dit waarschuwingstype en ziet u de betrokken apparaten en gebruikers.

  

• Opmerkingen & geschiedenis : hier kunt u uw opmerkingen toevoegen aan de waarschuwing en de geschiedenis bekijken van alle acties die aan de waarschuwing zijn gekoppeld.

  

• Waarschuwing beheren : als u Waarschuwing beheren selecteert, gaat u naar een deelvenster waar u het volgende kunt bewerken:

  • Status : u kunt Nieuw, Opgelost of In uitvoering kiezen.

  • Classificatie : u kunt Waar-waarschuwing of Onwaarwaarschuwing kiezen.

  • Opmerking : u kunt een opmerking over de waarschuwing toevoegen.

  • Als u de drie puntjes naast Waarschuwing beheren selecteert, kunt u waarschuwing koppelen aan een ander incident, Onderdrukkingsregel maken (alleen beschikbaar voor preview-klanten) of Defender-experts vragen.

    

    U kunt de waarschuwing ook exporteren naar een Excel-bestand. Hiervoor selecteert u Exporteren.

    Opmerking

    In het Excel-bestand zijn nu twee koppelingen beschikbaar: Weergeven in Microsoft Defender for Identity en Weergeven in Microsoft Defender XDR. Elke koppeling brengt u naar de relevante portal en geeft daar informatie over de waarschuwing.

Waarschuwingen afstemmen

Stem uw waarschuwingen af om ze aan te passen en te optimaliseren, waardoor fout-positieven worden verminderd. Met het afstemmen van waarschuwingen kunnen uw SOC-teams zich richten op waarschuwingen met hoge prioriteit en de dekking van bedreigingsdetectie in uw systeem verbeteren. Maak in Microsoft Defender XDR regelvoorwaarden op basis van bewijstypen en pas de regel vervolgens toe op elk regeltype dat overeenkomt met uw voorwaarden.

Zie Een waarschuwing afstemmen voor meer informatie.

Zie ook

• Microsoft Defender for Identity beveiligingswaarschuwingen

Meer informatie

• Probeer onze interactieve handleiding: Verdachte activiteiten en mogelijke aanvallen detecteren met Microsoft Defender for Identity