Incidenten beheren in Microsoft Defender

• Van toepassing op:

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Incidentbeheer is essentieel om ervoor te zorgen dat incidenten worden benoemd, toegewezen en getagd om de tijd in uw incidentwerkstroom te optimaliseren en bedreigingen sneller te bevatten en aan te pakken.

Uw incidenten beheren vanuit Onderzoek & reactie > Incidenten & waarschuwingen > Incidenten bij het snel starten van de Microsoft Defender-portal (security.microsoft.com). Hier is een voorbeeld.

In dit artikel wordt beschreven hoe u verschillende incidentbeheertaken uitvoert die zijn gekoppeld aan verschillende fasen in de levenscyclus van een incident.

Incident triage:

• Wijs het incident toe aan een eigenaar.
• Ernst toewijzen of wijzigen.
• Incidenttags toevoegen.
• Wijzig de status van het incident.

Onderzoek en oplossing van incidenten:

• Een incident oplossen.
• Geef de classificatie van een incident op.
• Opmerkingen toevoegen aan een incident.

Logboekregistratie en rapportage van incidenten:

• Bewerk de naam van het incident.
• Beoordeel de activiteitscontrole en voeg opmerkingen toe in het activiteitenlogboek.
• Incidentgegevens exporteren naar PDF.

Het deelvenster Incident beheren openen

De meeste van deze taken zijn toegankelijk via het deelvenster Incident beheren voor een incident. U kunt dit deelvenster bereiken vanaf een van de verschillende locaties.

Vanuit de incidentwachtrij

1. Selecteer Onderzoeken & antwoord > Incidenten & waarschuwingen > Incidenten bij het snel starten van de Microsoft Defender-portal.

2. Ga vanuit de incidentwachtrij op twee manieren naar het deelvenster Incident beheren :

   • Schakel het selectievakje van een incident in en selecteer Incidenten beheren op de werkbalk boven de filters. Beheer veel incidenten tegelijk door meerdere selectievakjes in te schakelen.

   • Selecteer de rij van een incident (zonder de naam van het incident te selecteren), zodat het detailvenster van het incident wordt weergegeven en selecteer Incident beheren in het deelvenster met incidentdetails.

     

Vanaf de incidentpagina

1. Selecteer Onderzoeken & antwoord > Incidenten & waarschuwingen > Incidenten bij het snel starten van de Microsoft Defender-portal.

2. Selecteer de naam van een incident in de wachtrij. Of selecteer de rij van een incident in de wachtrij en selecteer vervolgens Incidentpagina openen in het deelvenster met incidentdetails.

3. Selecteer op de pagina incident de optie Incident beheren in het bovenste deelvenster.

   Als Incident beheren niet zichtbaar is, selecteert u de drie puntjes in de rechterbovenhoek (zichtbaar in de volgende schermopname naast Incident beheren) en selecteert u dit in het menu dat wordt weergegeven.

   

Incident triage

De volgende beheertaken zijn nauw verbonden met incidentsorage, hoewel ze op elk gewenst moment kunnen worden uitgevoerd.

• Wijs het incident toe aan een eigenaar.
• Ernst toewijzen of wijzigen.
• Incidenttags toevoegen.
• Wijzig de status van het incident.

Een incident toewijzen aan een eigenaar

Standaard worden nieuwe incidenten gemaakt zonder eigenaar. In het ideale geval moet uw SecOps-team beschikken over mechanismen en procedures om incidenten automatisch toe te wijzen aan eigenaren. Mogelijk moet u een incident opnieuw toewijzen in het geval van escalatie of verkeerde oorspronkelijke toewijzing.

Een eigenaar toewijzen

Voer de volgende stappen uit om handmatig een nieuwe eigenaar toe te wijzen aan een incident:

1. Volg de instructies in de sectie Openen om het deelvenster Incidenten beheren te openen.

2. Selecteer het vak Toewijzen aan . Er wordt een vervolgkeuzelijst met voorgestelde toegewezen personen weergegeven.

3. Als u het gebruikers- of groepsaccount ziet waaraan u het incident wilt toewijzen, selecteert u het.

   Typ anders de naam of account-id van de gewenste gebruiker of groep in het tekstvak bovenaan de lijst. De lijst wordt dynamisch bijgewerkt, gefilterd op wat u typt. Wanneer u de gewenste gebruiker of groep ziet, selecteert u deze.

4. Als u een bestaande toewijzing wilt verwijderen, inclusief de toewijzing die u zojuist hebt toegevoegd, selecteert u de X naast de accountnaam. Selecteer vervolgens het vak Toewijzen aan als u een andere toewijzing wilt toevoegen.

   Er kan slechts één gebruikers- of groepsaccount worden toegewezen aan een incident.

5. Klik op Opslaan.

Als u het eigendom van een incident toewijst, wordt hetzelfde eigendom toegewezen aan alle waarschuwingen die eraan zijn gekoppeld.

Incidenten weergeven die zijn toegewezen aan een bepaalde eigenaar

Als u de lijst met incidenten wilt zien die zijn toegewezen aan een bepaalde gebruiker of groep, filtert u de incidentwachtrij:

1. Selecteer in de incidentwachtrij het filter Incidenttoewijzing . Er wordt een vervolgkeuzelijst met voorgestelde toegewezen personen weergegeven.

   Als u Incidenttoewijzing niet ziet tussen de filters, selecteert u Filter toevoegen, selecteert u Incidenttoewijzing in de vervolgkeuzelijst en selecteert u Toevoegen.

2. Als u het gebruikersaccount ziet waarvan u de toegewezen incidenten wilt weergeven, selecteert u dit.

   Typ anders de naam of account-id van de gewenste gebruiker of groep in het tekstvak bovenaan de lijst. De lijst wordt dynamisch bijgewerkt, gefilterd op wat u typt. Wanneer u de gewenste gebruiker of groep ziet, selecteert u deze.

   In tegenstelling tot het toewijzen van incidenten kunt u hier meer dan één toegewezen gebruiker selecteren om de lijst op te filteren. Als u een ander gebruikers- of groepsaccount wilt toevoegen aan het filter, selecteert u het tekstvak (naast het bestaande account in het filter) en wordt de lijst met voorgestelde toegewezen personen opnieuw weergegeven.

3. Selecteer Toepassen.

   

Als u een koppeling naar de incidentwachtrij wilt opslaan waarop de huidige filters zijn toegepast, selecteert u Koppeling lijst kopiëren op de werkbalk op de pagina voor de incidentwachtrij. Maak een snelkoppeling in uw favorieten of op uw bureaublad en plak de koppeling erin.

Ernst van incidenten toewijzen of wijzigen

De ernst van een incident wordt bepaald door de hoogste ernst van de waarschuwingen die eraan zijn gekoppeld. De ernst van een incident kan worden ingesteld op hoog, gemiddeld, laag of informatief.

Voer de volgende stappen uit om handmatig de ernst van een incident toe te wijzen of te wijzigen:

1. Volg de instructies in de sectie Openen om het deelvenster Incidenten beheren te openen.

2. Selecteer de ernstwaarde die u wilt toepassen in de vervolgkeuzelijst Ernst in het deelvenster Incident beheren .

3. Klik op Opslaan.

Incidenttags toevoegen

Aangepaste tags voegen informatie toe om context toe te voegen aan een incident. Een tag kan bijvoorbeeld een label toevoegen aan een groep incidenten met een gemeenschappelijk kenmerk. Tags zijn een criterium voor het filteren, zodat u de incidentwachtrij later kunt filteren op alle incidenten die een specifieke tag bevatten. Een tag toepassen op een incident:

1. Volg de instructies in de sectie Openen om het deelvenster Incidenten beheren te openen.

2. Begin in het veld Incidenttags de naam te typen van de tag die u wilt toepassen. Terwijl u typt, wordt een lijst met eerder gebruikte en geselecteerde tags weergegeven. Als u de tag ziet die u wilt toepassen in de lijst, selecteert u deze.

   

   Als u een tagnaam hebt getypt die nog niet eerder is gebruikt, selecteert u het laatste item in de lijst. Dit is de tekst die u hebt getypt, gevolgd door '(Nieuwe maken).'

   

   De tag wordt vervolgens weergegeven als een label in het veld Incidenttags. Herhaal deze stap als u meer tags wilt toevoegen.

   

3. Klik op Opslaan.

Een incident kan systeemtags en/of aangepaste tags met bepaalde kleurenachtergronden hebben. Aangepaste tags gebruiken de witte achtergrond, terwijl systeemtags meestal rode of zwarte achtergrondkleuren gebruiken. Systeemtags identificeren het volgende in een incident:

• Een type aanval, zoals referentiephishing of BEC-fraude
• Automatische acties, zoals automatisch onderzoek en reactie en automatische aanvalsonderbreking
• Defender-experts die een incident verwerken
• Kritieke assets die betrokken zijn bij het incident

Tip

De Security Exposure Management van Microsoft, op basis van vooraf gedefinieerde classificaties, worden apparaten, identiteiten en cloudresources automatisch als een kritieke asset gelabeld. Deze out-of-the-box-functionaliteit zorgt voor de bescherming van de waardevolle en belangrijkste activa van een organisatie. Het helpt ook beveiligingsteams bij het prioriteren van onderzoek en herstel. Meer informatie over essentieel assetbeheer.

De incidentstatus wijzigen

Incidenten beginnen met de status Actief. Wanneer u aan een incident werkt, wijzigt u de status in Wordt uitgevoerd.

Onderzoek en oplossing van incidenten

De volgende beheertaken zijn nauw verbonden met het onderzoeken en oplossen van incidenten, hoewel ze op elk gewenst moment kunnen worden uitgevoerd.

• Een incident oplossen.
• Geef de classificatie van een incident op.
• Opmerkingen toevoegen aan een incident.

Een incident oplossen

Wanneer een incident is hersteld en opgelost, voert u de volgende acties uit om de oplossing vast te leggen:

1. Volg de instructies in de sectie Openen om het deelvenster Incidenten beheren te openen.

2. Wijzig de status. Selecteer Opgelost in de vervolgkeuzelijst Status . Wanneer u de status van een incident wijzigt in Opgelost, wordt er direct na het veld Status een nieuw veld weergegeven.

3. Voer in dit veld een notitie in waarin wordt uitgelegd waarom u het incident als opgelost beschouwt. Deze opmerking is zichtbaar in het activiteitenlogboek van het incident, in de buurt van de vermelding die de oplossing van het incident registreert.

   

   De oplossingsnotitie is ook zichtbaar in het deelvenster Incidentdetails op zowel de pagina incidentenwachtrij als de incidentpagina van een opgelost incident.

   

4. Klik op Opslaan.

Als u een incident oplost, worden ook alle gekoppelde en actieve waarschuwingen met betrekking tot het incident opgelost. Een incident dat niet is opgelost, wordt weergegeven als Actief.

De classificatie van het incident opgeven

Wanneer u een incident oplost of op een bepaald moment in het onderzoek van een incident, zodra u weet hoe het incident moet worden geclassificeerd, stelt u het veld Classificatie dienovereenkomstig in.

1. Volg de instructies in de sectie Openen om het deelvenster Incidenten beheren te openen.

2. Kies de juiste waarde in de vervolgkeuzelijst Classificatie :

   • Niet ingesteld (de standaardinstelling).
   • Echt positief met een soort bedreiging. Gebruik deze classificatie voor incidenten die nauwkeurig duiden op een echte bedreiging. Door het bedreigingstype op te geven, kan uw beveiligingsteam bedreigingspatronen zien en actie ondernemen om uw organisatie tegen deze patronen te beschermen.
   • Informatieve, verwachte activiteit met een type activiteit. Gebruik de opties in deze categorie om incidenten te classificeren voor beveiligingstests, rode teamactiviteit en verwacht ongebruikelijk gedrag van vertrouwde apps en gebruikers.
   • Fout-positief voor typen incidenten waarvan u weet dat ze kunnen worden genegeerd omdat ze technisch onnauwkeurig of misleidend zijn.

   Bekijk de beschikbare typen activiteiten en bedreigingen voor elk van deze classificaties in de volgende schermopname.

3. Klik op Opslaan.

   

Door incidenten te classificeren en hun status en type op te geven, kunt u Microsoft Defender afstemmen om betere detectiebepaling in de loop van de tijd te bieden.

Opmerkingen toevoegen aan een incident

Voeg tijdens het onderzoeken en incident opmerkingen toe om uw activiteiten, inzichten en conclusies vast te leggen.

1. Open het activiteitenlogboek van het incident. Selecteer op de pagina incident of in het deelvenster incidentdetails op de pagina met incidentwachtrijen de drie puntjes in de rechterbovenhoek en selecteer activiteitenlogboek in het resulterende menu.

   

2. Typ uw opmerking in het tekstveld. Het opmerkingenveld ondersteunt tekst en opmaak, koppelingen en afbeeldingen. Elke opmerking is beperkt tot 30.000 tekens.

   

3. Klik op Opslaan.

Alle opmerkingen worden toegevoegd aan de historische gebeurtenissen van het incident. U kunt de opmerkingen en geschiedenis van een incident bekijken via de koppeling Opmerkingen en geschiedenis op de pagina Samenvatting .

Logboekregistratie en rapportage van incidenten

De volgende beheertaken kunnen worden gekoppeld aan het controleren en rapporteren van incidentonderzoeken, hoewel ze op elk gewenst moment kunnen worden uitgevoerd.

• Bewerk de naam van het incident.
• Beoordeel de activiteitscontrole en voeg opmerkingen toe in het activiteitenlogboek.
• Incidentgegevens exporteren naar PDF.

De naam van het incident bewerken

Microsoft Defender wijst automatisch een naam toe op basis van waarschuwingskenmerken, zoals het aantal betrokken eindpunten, betrokken gebruikers, detectiebronnen of categorieën. Met de naam van het incident kunt u snel het bereik van het incident begrijpen. Bijvoorbeeld: incident met meerdere fasen op meerdere eindpunten die door meerdere bronnen zijn gerapporteerd.

Voer de volgende stappen uit om de naam van het incident te bewerken:

1. Volg de instructies in de sectie Openen om het deelvenster Incidenten beheren te openen.

2. Typ een nieuwe naam in het veld Incidentnaam in het deelvenster Incident beheren .

3. Klik op Opslaan.

Opmerking

• Incidenten die bestonden vóór de implementatie van de functie voor het automatisch benoemen van incidenten, behouden hun naam.

• Als een ander incident wordt samengevoegd in een incident met een naam, geeft Defender het incident een nieuwe naam, waardoor een aangepaste naam die u eerder hebt gegeven, wordt overschreven.

Het activiteitenlogboek van een incident weergeven

Wanneer u een incident postmortem uitvoert, bekijkt u het activiteitenlogboek van het incident om de geschiedenis te zien van acties die op het incident zijn uitgevoerd ('Audits' genoemd) en eventuele opmerkingen die zijn vastgelegd. Alle wijzigingen die zijn aangebracht in het incident, door een gebruiker of door het systeem, worden vastgelegd in het activiteitenlogboek.

1. Open het activiteitenlogboek van het incident. Selecteer op de pagina incident of in het deelvenster incidentdetails op de pagina met incidentwachtrijen de drie puntjes in de rechterbovenhoek en selecteer activiteitenlogboek in het resulterende menu.

   

2. Filter de activiteiten in het logboek op opmerkingen en acties. Selecteer Inhoud: Controles, Opmerkingen en selecteer vervolgens het inhoudstype om activiteiten te filteren. Hier is een voorbeeld.

   

3. Selecteer Toepassen.

U kunt ook uw eigen opmerkingen toevoegen met behulp van het opmerkingenvak dat beschikbaar is in het activiteitenlogboek. Het opmerkingenvak accepteert tekst en opmaak, koppelingen en afbeeldingen.

Belangrijk

Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.

Incidentgegevens exporteren naar PDF

U kunt de gegevens van een incident exporteren naar PDF via de functie Incident exporteren als PDF en deze opslaan in PDF-indeling. Met deze functie kunnen beveiligingsteams de details van een incident op elk gewenst moment offline bekijken.

De geëxporteerde incidentgegevens bevatten de volgende informatie:

• Een overzicht met de details van het incident
• De aanvalsverhaalgrafiek en bedreigingscategorieën
• De betrokken activa, die maximaal 10 activa voor elk assettype dekken
• De bewijslijst omvat maximaal 100 items
• Ondersteunende gegevens, inclusief alle gerelateerde waarschuwingen en activiteiten die zijn vastgelegd in het activiteitenlogboek

Hier volgt een voorbeeld van het geëxporteerde PDF-bestand:

Als u de Licentie voor Copilot for Security hebt, bevat de geëxporteerde PDF de volgende aanvullende incidentgegevens:

• Overzicht van incidenten
• Incidentrapport

De functie exporteren naar PDF is ook beschikbaar in het copilot-zijpaneel. Wanneer u het beletselteken Meer acties (...) selecteert in de rechterbovenhoek van de kaart met resultaten van het incidentrapport, kunt u Incident exporteren als PDF kiezen.

Voer de volgende stappen uit om het PDF-bestand te genereren:

1. Open een incidentpagina. Selecteer het beletselteken Meer acties (...) in de rechterbovenhoek en kies Incident exporteren als PDF.

   

2. Bevestig in het dialoogvenster dat vervolgens wordt weergegeven de incidentgegevens die u wilt opnemen of uitsluiten in het PDF-bestand. Alle incidentgegevens zijn standaard geselecteerd. Selecteer PDF exporteren om door te gaan.

   

3. Onder de titel van het incident wordt een statusbericht weergegeven waarin de huidige status van de download wordt aangegeven. Het exportproces kan enkele minuten duren, afhankelijk van de complexiteit van het incident en de hoeveelheid gegevens die moet worden geëxporteerd.

   

4. Er wordt een ander dialoogvenster weergegeven waarin wordt aangegeven dat het PDF-bestand gereed is. Selecteer Downloaden in het dialoogvenster om het PDF-bestand op uw apparaat op te slaan. Het statusbericht onder de titel van het incident wordt ook bijgewerkt om aan te geven dat de download beschikbaar is.

   

Het rapport wordt een paar minuten in de cache opgeslagen. Het systeem levert het eerder gegenereerde PDF-bestand als u hetzelfde incident binnen een korte periode opnieuw probeert te exporteren. Als u een nieuwere versie van het PDF-bestand wilt genereren, wacht u enkele minuten totdat de cache is verlopen.

Volgende stappen

Voor nieuwe incidenten en incidenten die in behandeling zijn, gaat u verder met uw incidentonderzoek.

Voer voor opgeloste incidenten een incidentbeoordeling uit.

Zie ook

• Overzicht van incidenten
• Prioriteit geven aan incidenten
• Incidenten onderzoeken

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.