Delen via

Assets onderzoeken

  • Artikel

Microsoft Defender for Identity biedt Microsoft Defender XDR gebruikers bewijs van wanneer gebruikers, computers en apparaten verdachte activiteiten hebben uitgevoerd of tekenen van inbreuk vertonen.

Dit artikel bevat aanbevelingen voor het bepalen van risico's voor uw organisatie, het bepalen van hoe u herstelt en bepaalt hoe u vergelijkbare aanvallen in de toekomst het beste kunt voorkomen.

Onderzoeksstappen voor verdachte gebruikers

Opmerking

Zie Microsoft Defender XDR documentatie voor informatie over het weergeven van gebruikersprofielen in Microsoft Defender XDR.

Als een waarschuwing of incident aangeeft dat een gebruiker verdacht of gehackt is, controleert en onderzoekt u het gebruikersprofiel op de volgende details en activiteiten:

  • Gebruikersidentiteit

    • Is de gebruiker een gevoelige gebruiker (zoals beheerder, of op een volglijst, enzovoort)?
    • Wat is hun rol binnen de organisatie?
    • Zijn ze belangrijk in de structuur van de organisatie?

  • Verdachte activiteiten onderzoeken, zoals:

    • Heeft de gebruiker andere geopende waarschuwingen in Defender for Identity of in andere beveiligingsprogramma's, zoals Microsoft Defender voor Eindpunt, Microsoft Defender voor cloud en/of Microsoft Defender for Cloud Apps?
    • Heeft de gebruiker mislukte aanmeldingen?
    • Welke resources heeft de gebruiker geopend?
    • Heeft de gebruiker toegang tot hoogwaardige resources?
    • Zou de gebruiker toegang moeten krijgen tot de resources die ze hebben geopend?
    • Bij welke apparaten heeft de gebruiker zich aangemeld?
    • Moest de gebruiker zich aanmelden bij die apparaten?
    • Is er een lateral movement path (LMP) tussen de gebruiker en een gevoelige gebruiker?

Gebruik de antwoorden op deze vragen om te bepalen of het account gecompromitteerd lijkt of dat de verdachte activiteiten schadelijke acties impliceren.

Zoek identiteitsgegevens in de volgende Microsoft Defender XDR gebieden:

  • Pagina's met afzonderlijke identiteitsdetails
  • Pagina met details van afzonderlijke waarschuwingen of incidenten
  • Pagina's met apparaatdetails
  • Geavanceerde opsporingsquery's
  • De pagina Actiecentrum

In de volgende afbeelding ziet u bijvoorbeeld de details op een pagina met identiteitsgegevens:

Schermopname van de pagina van een specifieke gebruiker in de Microsoft Defender portal.

Identiteitsdetails

Wanneer u een specifieke identiteit onderzoekt, ziet u de volgende details op een pagina met identiteitsgegevens:

Paginagebied identiteitsdetails Beschrijving
Tabblad Overzicht Algemene identiteitsgegevens, zoals het Microsoft Entra identiteitsrisiconiveau, het aantal apparaten waarop de gebruiker is aangemeld, wanneer de gebruiker voor het eerst en voor het laatst is gezien, de accounts van de gebruiker en meer belangrijke informatie.

Gebruik het tabblad Overzicht om ook grafieken weer te geven voor incidenten en waarschuwingen, de prioriteitsscore voor onderzoek, een organisatiestructuur, entiteitstags en een tijdlijn voor gescoorde activiteit.
Incidenten en waarschuwingen Lijsten actieve incidenten en waarschuwingen met betrekking tot de gebruiker van de afgelopen 180 dagen, inclusief details zoals de ernst van de waarschuwing en het tijdstip waarop de waarschuwing is gegenereerd.
Waargenomen in organisatie Bevat de volgende subgebieden:
- Apparaten: de apparaten waarop de identiteit is aangemeld, inclusief de meeste en minst gebruikte in de afgelopen 180 dagen.
- Locaties: de waargenomen locaties van de identiteit in de afgelopen 30 dagen.
- Groepen: alle waargenomen on-premises groepen voor de identiteit.
- Laterale verplaatsingspaden : alle geprofileerde laterale verplaatsingspaden van de on-premises omgeving.
Identiteitstijdlijn De tijdlijn vertegenwoordigt activiteiten en waarschuwingen die zijn waargenomen vanuit de identiteit van een gebruiker van de afgelopen 180 dagen, die identiteitsvermeldingen in Microsoft Defender for Identity, Microsoft Defender for Cloud Apps en Microsoft Defender voor Eindpunt.

Gebruik de tijdlijn om zich te richten op activiteiten die een gebruiker heeft uitgevoerd of is uitgevoerd in specifieke periodes. Selecteer de standaardwaarde 30 dagen om het tijdsbereik te wijzigen in een andere ingebouwde waarde of in een aangepast bereik.
Herstelacties Reageer op gecompromitteerde gebruikers door hun accounts uit te schakelen of hun wachtwoord opnieuw in te stellen. Nadat u actie hebt ondernomen voor gebruikers, kunt u de details van de activiteit controleren in het Microsoft Defender XDR **Actiecentrum.

Opmerking

Onderzoeksprioriteitsscore is op 3 december 2025 afgeschaft. Als gevolg hiervan zijn zowel de uitsplitsingsprioriteitsscore als de tijdlijnkaarten voor gescoorde activiteit verwijderd uit de gebruikersinterface.

Zie Gebruikers onderzoeken in de documentatie voor Microsoft Defender XDR voor meer informatie.

Onderzoeksstappen voor verdachte groepen

Als een waarschuwing of incidentonderzoek betrekking heeft op een Active Directory-groep, controleert u de groepsentiteit op de volgende details en activiteiten:

  • Groepsentiteit

    • Is de groep een gevoelige groep, zoals domeinadministrators?
    • Bevat de groep gevoelige gebruikers?

  • Verdachte activiteiten onderzoeken, zoals:

    • Heeft de groep andere geopende, gerelateerde waarschuwingen in Defender for Identity of in andere beveiligingsprogramma's, zoals Microsoft Defender voor Eindpunt, Microsoft Defender voor cloud en/of Microsoft Defender for Cloud Apps?
    • Welke gebruikers zijn onlangs toegevoegd aan of verwijderd uit de groep?
    • Is er onlangs een query uitgevoerd op de groep en door wie?

Gebruik de antwoorden op deze vragen om u te helpen bij uw onderzoek.

Selecteer in het detailvenster van een groepsentiteit De optie Zoeken of Tijdlijn openen om dit te onderzoeken. U kunt groepsinformatie ook vinden in de volgende Microsoft Defender XDR gebieden:

  • Pagina met details van afzonderlijke waarschuwingen of incidenten
  • Pagina's met apparaat- of gebruikersdetails
  • Geavanceerde opsporingsquery's

In de volgende afbeelding ziet u bijvoorbeeld de tijdlijn van de activiteit Serveroperators , met inbegrip van gerelateerde waarschuwingen en activiteiten van de afgelopen 180 dagen:

Schermopname van het tabblad Tijdlijn van de groep.

Onderzoeksstappen voor verdachte apparaten

Microsoft Defender XDR waarschuwing geeft een overzicht van alle apparaten en gebruikers die zijn verbonden met elke verdachte activiteit. Selecteer een apparaat om de pagina met apparaatdetails weer te geven en onderzoek vervolgens naar de volgende details en activiteiten:

  • Wat is er gebeurd rond het tijdstip van de verdachte activiteit?

    • Welke gebruiker is aangemeld bij het apparaat?
    • Heeft die gebruiker zich normaal gesproken aangemeld bij of toegang tot het bron- of doelapparaat?
    • Welke resources zijn geopend? Door welke gebruikers? Als resources werden geopend, waren het dan waardevolle resources?
    • Moest de gebruiker toegang krijgen tot deze resources?
    • Heeft de gebruiker die toegang heeft tot het apparaat andere verdachte activiteiten uitgevoerd?

  • Meer verdachte activiteiten om te onderzoeken:

    • Zijn er rond dezelfde tijd als deze waarschuwing andere waarschuwingen geopend in Defender for Identity of in andere beveiligingsprogramma's, zoals Microsoft Defender voor Eindpunt, Microsoft Defender voor cloud en/of Microsoft Defender for Cloud Apps?
    • Zijn er mislukte aanmeldingen?
    • Zijn er nieuwe programma's geïmplementeerd of geïnstalleerd?

Gebruik de antwoorden op deze vragen om te bepalen of het apparaat gecompromitteerd lijkt of dat de verdachte activiteiten schadelijke acties impliceren.

In de volgende afbeelding ziet u bijvoorbeeld een pagina met apparaatdetails:

Schermopname van een pagina met apparaatdetails.

Zie Apparaten onderzoeken in de documentatie voor Microsoft Defender XDR voor meer informatie.

Volgende stappen

Tip

Probeer onze interactieve handleiding: Aanvallen onderzoeken en erop reageren met Microsoft Defender for Identity