Delen via

Beheerde detectie en reactie

  • Artikel

Van toepassing op:

Bekijk deze korte video voor beheerde detectie- en reactie-instructies.

Door middel van een combinatie van automatisering en menselijke expertise worden Microsoft Defender Experts for XDR-incidenten door Microsoft Defender XDR gesorteerd, worden deze namens u gepriorteerd, worden de ruis gefilterd, worden gedetailleerde onderzoeken uitgevoerd en worden uw SOC-teams (Security Operations Center) op actie kunnen reageren.

Incidentupdates

Zodra onze experts een incident onderzoeken, worden de velden Toegewezen aan en Status van het incident bijgewerkt naar respectievelijk Defender-experts en In uitvoering.

Wanneer onze experts hun onderzoek naar een incident afronden, wordt het veld Classificatie van het incident bijgewerkt naar een van de volgende, afhankelijk van de bevindingen van de experts:

  • Waar positief
  • Fout-positief
  • Informatieve, verwachte activiteit

Het veld Bepaling dat overeenkomt met elke classificatie wordt ook bijgewerkt om meer inzicht te geven in de bevindingen die onze experts ertoe hebben gebracht om de genoemde classificatie te bepalen.

Schermopname van de pagina Incidenten met de velden Tags, Status, Toegewezen aan, Classificatie en Bepaling.

Als een incident is geclassificeerd als Fout-positief of Informatief, Verwachte activiteit, wordt het veld Status van het incident bijgewerkt naar Opgelost. Onze experts ronden vervolgens hun werk aan dit incident af en het veld Toegewezen aan wordt bijgewerkt naar Niet toegewezen. Onze experts kunnen updates van hun onderzoek en hun conclusie delen bij het oplossen van een incident. Deze updates worden geplaatst onder Onderzoeksoverzicht in het flyoutvenster Beheerde respons van het incident.

Als een incident anders wordt geclassificeerd als Waar positief, identificeren onze experts de vereiste reactieacties die moeten worden uitgevoerd. De methode waarin de acties worden uitgevoerd, is afhankelijk van de machtigingen en toegangsniveaus die u aan de Defender-experts voor XDR-service hebt gegeven. Meer informatie over het verlenen van machtigingen aan onze experts.

  • Als u Defender Experts voor XDR de aanbevolen toegangsmachtigingen voor beveiligingsoperator hebt verleend, kunnen onze experts namens u de vereiste reactieacties uitvoeren op het incident. Deze acties, samen met een overzicht van onderzoek, worden weergegeven in het flyoutvenster Beheerde reactie van het incident in uw Microsoft Defender-portal, zodat u of uw SOC-team deze kunt controleren. Alle acties die zijn voltooid door Defender Experts voor XDR, worden weergegeven in de sectie Voltooide acties . Alle in behandeling zijnde acties waarvoor u of uw SOC-team moet voltooien, worden vermeld in de sectie Acties in behandeling . Zie de sectie Acties voor meer informatie. Zodra onze experts alle benodigde acties voor het incident hebben uitgevoerd, wordt het veld Status bijgewerkt naar Opgelost en wordt het veld Toegewezen aan bijgewerkt naar de klant.

  • Als u Defender Experts voor XDR toegang hebt verleend tot de standaardbeveiligingslezer, worden de vereiste reactieacties, samen met een samenvatting van onderzoek, weergegeven in het flyoutvenster Beheerde reactie van het incident onder de sectie Acties in behandeling in uw Microsoft Defender-portal, zodat u of uw SOC-team deze kunnen uitvoeren. Zie de sectie Acties voor meer informatie. Om deze overdracht te identificeren, wordt het veld Status van het incident bijgewerkt naar Actie klant in afwachting en wordt het veld Toegewezen aan bijgewerkt naar Klant.

U kunt het aantal incidenten dat uw actie vereist controleren in de banner Defender-experts bovenaan de startpagina van Microsoft Defender.

Schermopname van de kaart Defender Experts in de Microsoft Defender-portal met het aantal incidenten dat wacht op actie van de klant.

U kunt de incidenten met betrekking tot Defender Experts bekijken door de incidentwachtrij in uw Microsoft Defender-portal te filteren met behulp van verschillende filtersets. Meer informatie over het toevoegen van incidentwachtrijfilters

  • Als u de incidenten wilt bekijken die onze experts momenteel onderzoeken, gebruikt u het filter Incidenttoewijzing en selecteert u Toegewezen aan Defender-experts.

  • Als u de incidenten wilt bekijken die onze experts hebben onderzocht en aan uw team hebben overgedragen om actie te ondernemen op in behandeling zijnde herstelacties, kiest u met behulp van het filter Incidenttoewijzingde optie Toegewezen aan klantteam.

    Schermopname van de wachtrij Incidenten gefilterd om alleen de incidenten weer te geven met de tag Toegewezen aan Defender Experts.

  • Als u de incidenten wilt bekijken die onze experts hebben onderzocht en aan uw team hebben overgedragen om actie te ondernemen op openstaande herstelacties, kiest u met behulp van het filter Statusde optie Wachtende klantactie.

    Schermopname van de wachtrij Incidenten in de Microsoft Defender-portal gefilterd om alleen die met de actietag Wachtende klant weer te geven.

  • Als u de incidenten wilt bekijken waarop onze experts hun onderzoek hebben voltooid (en die rechtstreeks zijn opgelost of toegewezen aan uw team voor openstaande herstelacties), kiest u defender-experts met behulp van het filter Tags.

    Schermopname van de wachtrij Incidenten in de Microsoft Defender-portal gefilterd om alleen de tag Defender-experts weer te geven.

Beheerde respons gebruiken in Microsoft Defender XDR

In de Microsoft Defender-portal heeft een incident dat uw aandacht vereist met behulp van een beheerd antwoord het veld Status ingesteld op Actie klant in afwachting, het veld Toegewezen aan ingesteld op Klant en een taakkaart boven op het deelvenster Incidenten . Uw aangewezen contactpersonen voor incidenten ontvangen ook een bijbehorende e-mailmelding met een koppeling naar de Defender-portal om het incident te bekijken. Meer informatie over contactpersonen voor meldingen. U ontvangt ook een Teams-melding waarin u wordt geïnformeerd over de updates. Meer informatie over het instellen van Teams

Selecteer Beheerd antwoord weergeven op de taakkaart of boven aan de portalpagina (tabblad Beheerd antwoord ) om een flyoutvenster te openen waarin u het onderzoeksoverzicht van onze experts kunt lezen, in behandeling zijnde acties kunt voltooien die door onze experts zijn geïdentificeerd of met hen kunt communiceren via chat.

Onderzoekssamenvatting

De sectie Onderzoekoverzicht biedt u meer context over het incident dat door onze experts is geanalyseerd om u inzicht te geven in de ernst en mogelijke gevolgen als deze niet onmiddellijk worden aangepakt. Dit kan de tijdlijn van het apparaat, indicatoren van aanvallen en indicatoren van het waargenomen inbreuk (IOC's) en andere details omvatten.

Schermopname van de samenvatting van het onderzoek van beheerde antwoorden.

Acties

Op het tabblad Acties worden taakkaarten weergegeven die reactieacties bevatten die door onze experts zijn aanbevolen.

Defender Experts voor XDR ondersteunt momenteel de volgende beheerde antwoordacties met één klik:

Actie Beschrijving
Apparaat isoleren Hiermee wordt een apparaat geïsoleerd, waardoor een aanvaller het niet kan beheren en verdere activiteiten kan uitvoeren, zoals gegevensexfiltratie en laterale verplaatsing. Het geïsoleerde apparaat is nog steeds verbonden met Microsoft Defender for Endpoint.
Bestand in quarantaine plaatsen Stopt de uitvoering van processen, plaatst de bestanden in quarantaine en verwijdert permanente gegevens, zoals registersleutels.
Het uitvoeren van apps beperken Hiermee wordt de uitvoering van mogelijk schadelijke programma's beperkt en het apparaat vergrendeld om verdere pogingen te voorkomen.
Losmaken van isolatie De isolatie van een apparaat ongedaan maken.
App-beperking verwijderen Loskoppelen van isolatie ongedaan maken.
Gebruiker uitschakelen Een identiteit uitschakelen voor toegang tot het netwerk en verschillende eindpunten.

Afgezien van deze acties met één klik, kunt u ook beheerde antwoorden van onze experts ontvangen die u handmatig moet uitvoeren.

Opmerking

Voordat u een van de aanbevolen beheerde antwoordacties uitvoert, moet u ervoor zorgen dat deze niet al worden aangepakt door uw geautomatiseerde onderzoek- en antwoordconfiguraties. Meer informatie over mogelijkheden voor geautomatiseerd onderzoek en respons in Microsoft Defender XDR.

Ga als volgt te werk om de beheerde antwoordacties weer te geven en uit te voeren:

  1. Selecteer de pijlknoppen op een actiekaart om deze uit te vouwen en lees meer informatie over de vereiste actie.

    Schermopname van de actie beheerde reactie om de prod-server van het apparaat te isoleren.

  2. Selecteer de vereiste actie voor kaarten met één klik-actie. De actiestatus op de kaart verandert in Wordt uitgevoerd en vervolgens in Mislukt of Voltooid, afhankelijk van het resultaat van de actie.

    Schermopname van de beheerde antwoordactie die wordt weergegeven in uitvoering om de prod-server van het apparaat te isoleren.

Tip

U kunt ook de status van antwoordacties in de portal bewaken in het Actiecentrum. Als een reactieactie mislukt, probeert u dit opnieuw te doen vanaf de pagina Apparaatdetails weergeven of start u een chatgesprek met Defender-experts.

  1. Voor kaarten met vereiste acties die u handmatig moet uitvoeren, selecteert u Ik heb deze actie voltooid nadat u deze hebt uitgevoerd en selecteert u vervolgens Ja, ik heb het gedaan in het bevestigingsdialoogvenster dat wordt weergegeven.

    Schermopname van de actie Beheerd antwoord om de voltooiing van de actie te bevestigen.

  2. Als u een vereiste actie niet meteen wilt voltooien, selecteert u Overslaan en selecteert u vervolgens Ja, deze actie overslaan in het bevestigingsdialoogvenster dat wordt weergegeven.

Belangrijk

Als u merkt dat een van de knoppen op de actiekaarten grijs wordt weergegeven, kan dit erop wijzen dat u niet over de benodigde machtigingen beschikt om de actie uit te voeren. Zorg ervoor dat u bent aangemeld bij de Microsoft Defender XDR-portal met de juiste machtigingen. Voor de meeste beheerde reactieacties moet u ten minste toegang hebben tot de beveiligingsoperator. Als u dit probleem nog steeds ondervindt, zelfs met de juiste machtigingen, gaat u naar Apparaatdetails weergeven en voert u de stappen uit.

Inzicht krijgen in Defender Experts-onderzoeken in uw SIEM- of ITSM-toepassing

Als Defender Experts voor XDR incidenten onderzoeken en herstelacties bedenken, kunt u inzicht krijgen in hun werk aan incidenten in uw SIEM-toepassingen (Security Information and Event Management) en IT Service Management (ITSM), inclusief toepassingen die direct beschikbaar zijn.

Microsoft Sentinel

U kunt zichtbaarheid van incidenten krijgen in Microsoft Sentinel door de kant-en-klare Microsoft Defender XDR-gegevensconnector in te schakelen. Meer informatie.

Zodra u de connector hebt ingeschakeld, worden updates van Defender-experts naar de velden Status, Toegewezen aan, Classificatie en Bepaling in Microsoft Defender XDR weergegeven in de bijbehorende velden Status, Eigenaar en Reden voor het sluiten in Sentinel.

Opmerking

De status van incidenten die door Defender-experts in Microsoft Defender XDR zijn onderzocht, gaat doorgaans van Actief naar In uitvoering naar Wachtende klantactie naar Opgelost, terwijl in Sentinel het pad Nieuw naar Actief naar Opgelost volgt. De actie Microsoft Defender XDR-status in afwachting van klant heeft geen equivalent veld in Sentinel. In plaats daarvan wordt het weergegeven als een tag in een incident in Sentinel.

In de volgende sectie wordt beschreven hoe een incident dat door onze experts wordt verwerkt, wordt bijgewerkt in Sentinel naarmate het verdergaat met het onderzoek:

  1. Een incident dat door onze experts wordt onderzocht, heeft de statusActief en de Eigenaar vermeld als Defender-experts.

  2. Een incident dat onze experts hebben bevestigd als een true positive , heeft een beheerd antwoord gepost in Microsoft Defender XDR, en een tagwacht op klantactie en de eigenaar wordt vermeld als klant. U moet reageren op het incident op basis van het gebruik van het opgegeven beheerde antwoord in de Defender-portal.

  3. Een incident dat onze experts hebben bevestigd als een true positive, met alle herstelacties die zijn uitgevoerd door Defender-experts, heeft de status van het incident bijgewerkt naar Opgelost en de eigenaar wordt vermeld als klant. U kunt de uitgevoerde acties voor het incident bekijken met behulp van het opgegeven beheerde antwoord in de Defender-portal.

  4. Zodra onze experts hun onderzoek hebben afgerond en een incident hebben gesloten als fout-positief of informatief, verwachte activiteit, wordt de status van het incident bijgewerkt naar Opgelost, wordt de eigenaar bijgewerkt naar Niet-toegewezen en wordt een reden voor het sluiten opgegeven.

    Schermopname van Microsoft Sentinel-incidenten.

Andere toepassingen

U kunt inzicht krijgen in incidenten in uw SIEM- of ITSM-toepassing met behulp van de Microsoft Defender XDR-API of connectors in Sentinel.

Nadat u een connector hebt geconfigureerd, kunnen de updates door Defender Experts naar de velden Status, Toegewezen aan, Classificatie en Bepaling van een incident in Microsoft Defender XDR worden gesynchroniseerd met de SIEM- of ITSM-toepassingen van derden, afhankelijk van hoe de veldtoewijzing is geïmplementeerd. Ter illustratie kunt u de connector bekijken die beschikbaar is van Sentinel naar ServiceNow.

Zie ook

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.