Gebruiksscenario's voor uitgebreide detectie en respons (XDR) verkennen
Hier volgen voorbeelden van detectie- en beperkingsgebruiksscenario's.
Detectie van bedreigingen
In dit scenario ziet u een geval waarin Microsoft Defender voor Eindpunt een schadelijke nettolading detecteert (die afkomstig kan zijn van elke bron, inclusief persoonlijke e-mail of een USB-station).
Het slachtoffer ontvangt een schadelijk e-mailbericht op een persoonlijk e-mailaccount dat niet wordt beveiligd door Microsoft Defender voor Office 365 (MDO) of een USB-station en opent de bijlage. Zodra de bijlage wordt geopend, infecteert de malware de computer. De gebruiker weet niet dat er een aanval is opgetreden. Maar Microsoft Defender voor Eindpunt s (MDE) detecteert deze aanval, genereert een waarschuwing voor beveiligingsbewerkingen en geeft informatie over de bedreiging voor het beveiligingsteam. Gebruikerstoegang uitschakelen vanaf het apparaat terwijl het apparaat is geïnfecteerd- MDE communiceert met Intune dat het risiconiveau op dit eindpunt is gewijzigd. Een Intune-nalevingsbeleid dat is geconfigureerd met de ernst van het MDE-risiconiveau, wordt geactiveerd en markeert het account als niet-compatibel met het beleid van organisaties. De voorwaardelijke toegang die is gemaakt in Microsoft Entra ID blokkeert gebruikerstoegang tot apps.
Herstel
MDE herstelt bedreiging, hetzij via geautomatiseerd herstel, goedkeuring van beveiligingsanalisten van geautomatiseerd herstel of handmatig onderzoek naar bedreigingen door analisten.
MDE herstelt deze bedreiging ook voor uw hele onderneming en voor onze Microsoft MDE-klanten door informatie over deze aanval toe te voegen aan het Microsoft Threat Intelligence-systeem
Toegang delen en herstellen
Toegang herstellen: zodra de geïnfecteerde apparaten zijn hersteld, geeft MDE Intune de risicostatus van het apparaat aan en voorwaardelijke toegang van Microsoft Entra ID en krijgt u toegang tot bedrijfsresources (meer op de volgende dia). Bedreigingsvarianten herstellen in MDO en anderen: de bedreigingssignalen in Microsoft Threat Intelligence worden gebruikt door Microsoft-hulpprogramma's waarmee andere onderdelen van het kwetsbaarheid voor aanvallen van uw organisatie worden beveiligd. MDO en Microsoft Defender voor Cloud de signalen gebruiken om bedreigingen in e-mail, samenwerking op kantoor, Azure en meer te detecteren en op te lossen.
uit de vorige afbeelding toen het apparaat van de gebruiker nog steeds is gecompromitteerd
Beperkte toegang
Voorwaardelijke toegang weet over apparaatrisico omdat Microsoft Defender voor Eindpunt (MDE) Intune heeft gewaarschuwd, waardoor de nalevingsstatus van het apparaat in Microsoft Entra-id vervolgens is bijgewerkt.
Gedurende deze tijd heeft de gebruiker geen toegang tot bedrijfsbronnen. Dit geldt voor alle nieuwe resourceaanvragen en blokkeert alle huidige toegang tot resources die ondersteuning bieden voor continue toegangsevaluatie (CAE). Mensen algemene taken voor internetproductiviteit kunnen uitvoeren, zoals onderzoek naar YouTube, Wikipedia en andere zaken waarvoor geen bedrijfsverificatie is vereist, maar geen toegang hebben tot bedrijfsbronnen.
Toegang hersteld
Zodra de bedreiging is hersteld en opgeschoond, activeert MDE Intune om Microsoft Entra-id bij te werken. Met voorwaardelijke toegang wordt de toegang van de gebruiker tot bedrijfsresources hersteld.
Dit vermindert het risico voor de organisatie door ervoor te zorgen dat aanvallers die mogelijk de controle hebben over deze apparaten geen toegang hebben tot bedrijfsbronnen, terwijl de impact op de productiviteit van gebruikers wordt geminimaliseerd om onderbreking van bedrijfsprocessen te minimaliseren.