Incidenten onderzoeken

  • 4 minuten

De incidentpagina bevat de volgende informatie en navigatiekoppelingen.

Overzicht van incidenten

Op de overzichtspagina ziet u een momentopname van de belangrijkste dingen die u kunt zien over het incident.

Screenshot of the Incident overview pane.

De aanvalscategorieën geven u een visuele en numerieke weergave van hoe geavanceerd de aanval is gevorderd tegen de kill chain. Net als bij andere Microsoft-beveiligingsproducten is Microsoft Defender XDR afgestemd op het MITRE ATT&CK-framework™.

In de bereiksectie vindt u een lijst met de belangrijkste beïnvloede assets die deel uitmaken van dit incident. Als er specifieke informatie over deze asset is, zoals risiconiveau, onderzoeksprioriteit en eventuele tagging op de assets, wordt deze ook in deze sectie weergegeven.

De tijdlijn met waarschuwingen biedt een beknopt overzicht van de chronologische volgorde waarin de waarschuwingen zijn opgetreden en de redenen waarom deze waarschuwingen aan dit incident zijn gekoppeld.

En ten slotte geeft de sectie bewijs een overzicht van het aantal verschillende artefacten dat is opgenomen in het incident en de bijbehorende herstelstatus, zodat u onmiddellijk kunt vaststellen of er actie aan uw kant nodig is.

Dit overzicht kan helpen bij de eerste sortering van het incident door inzicht te geven in de belangrijkste kenmerken van het incident waar u rekening mee moet houden.

Waarschuwingen

U kunt alle waarschuwingen bekijken die betrekking hebben op het incident en andere informatie over deze waarschuwingen, zoals ernst, entiteiten die betrokken waren bij de waarschuwing, de bron van de waarschuwingen (Microsoft Defender for Identity, Microsoft Defender voor Eindpunt, Microsoft Defender voor Office 365) en de reden waarom ze aan elkaar zijn gekoppeld.

Standaard worden de waarschuwingen chronologisch geordend, zodat u eerst kunt zien hoe de aanval in de loop van de tijd is uitgespeeld. Als u op elke waarschuwing klikt, wordt u naar de relevante waarschuwingspagina geleid, waar u een uitgebreid onderzoek van die waarschuwing kunt uitvoeren.

Apparaten

Op het tabblad Apparaten worden alle apparaten weergegeven waar waarschuwingen met betrekking tot het incident worden weergegeven.

Als u op de naamkoppeling klikt van de computer waarop de aanval is uitgevoerd, gaat u naar de apparaatpagina. Op de pagina Apparaat ziet u waarschuwingen die erop zijn geactiveerd en gerelateerde gebeurtenissen om het onderzoek te vereenvoudigen.

Gebruikers

Bekijk gebruikers die deel uitmaken van of gerelateerd zijn aan een bepaald incident.

Als u op de gebruikersnaam klikt, gaat u naar de pagina Microsoft Defender voor Cloud Apps van de gebruiker, waar verder onderzoek kan worden uitgevoerd.

Postvakken

Onderzoek postvakken die zijn geïdentificeerd als onderdeel van of gerelateerd aan een incident.

Apps

Onderzoek apps die deel uitmaken van of gerelateerd zijn aan een incident.

Onderzoeken

Selecteer Onderzoeken om alle geautomatiseerde onderzoeken te bekijken die worden geactiveerd door waarschuwingen in dit incident. De onderzoeken voeren herstelacties uit of wachten op goedkeuring van analisten van acties.

Selecteer een onderzoek om naar de pagina Met onderzoeksdetails te navigeren om volledige informatie over het onderzoek en de herstelstatus op te halen. Als er acties in behandeling zijn voor goedkeuring als onderdeel van het onderzoek, worden deze weergegeven op het tabblad Acties in behandeling.

Bewijs en antwoorden

Microsoft Defender XDR onderzoekt automatisch alle ondersteunde gebeurtenissen en verdachte entiteiten in de waarschuwingen, zodat u automatisch kunt reageren en informatie krijgt over de belangrijke bestanden, processen, services, e-mailberichten en meer. Hiermee kunt u snel potentiële bedreigingen in het incident detecteren en blokkeren.

Elk van de geanalyseerde entiteiten wordt gemarkeerd met een oordeel (schadelijk, verdacht, schoon) en een herstelstatus. Dit helpt u inzicht te hebben in de herstelstatus van het hele incident en de volgende stappen om het probleem verder te verhelpen.

Grafiek

De grafiek visualiseert de bijbehorende informatie over bedreigingen voor cyberbeveiliging in een incident, zodat u de patronen en correlaties kunt zien die afkomstig zijn van verschillende gegevenspunten. U kunt een dergelijke correlatie bekijken via de incidentgrafiek.

In Graph wordt het verhaal verteld van de cyberbeveiligingsaanval. U ziet bijvoorbeeld het toegangspunt, welke indicator van inbreuk of activiteit is waargenomen op welk apparaat, enzovoort.

U kunt de cirkels in de incidentgrafiek selecteren om de details van de schadelijke bestanden, de bijbehorende bestandsdetecties, het aantal exemplaren wereldwijd weer te geven, of dit in uw organisatie is waargenomen, als dat het geval is, hoeveel exemplaren er zijn.