Waarschuwingen beheren en onderzoeken

  • 10 minuten

Waarschuwingen onderzoeken beheren

U kunt waarschuwingen beheren door een waarschuwing te selecteren in de wachtrij Waarschuwingen of op het tabblad Waarschuwingen van de pagina Apparaat voor een afzonderlijk apparaat. Als u een waarschuwing op een van deze plaatsen selecteert, wordt het deelvenster Waarschuwingsbeheer weergegeven.

Screenshot of the Microsoft Defender XDR Alerts Queue page.

Waarschuwingsbeheer

U kunt metagegevens over de pagina Waarschuwingsvoorbeeld of Waarschuwingsgegevens bekijken en instellen.

Screenshot of the Microsoft Defender XDR Alert details page.

De metagegevensvelden omvatten en acties omvatten:

Ernst

  • Hoog (rood): waarschuwingen die vaak worden gezien met geavanceerde permanente bedreigingen (APT). Deze waarschuwingen geven een hoog risico aan vanwege de ernst van de schade die ze op apparaten kunnen toebrengen. Voorbeelden zijn activiteiten van referentiediefstalhulpprogramma's, ransomware-activiteiten die niet zijn gekoppeld aan een groep, manipulatie met beveiligingssensoren of schadelijke activiteiten die wijzen op een menselijke aanvaller.

  • Gemiddeld (oranje): waarschuwingen van eindpuntdetectie en -respons gedrag na inbreuk dat mogelijk deel uitmaakt van een geavanceerde permanente bedreiging (APT). Dit omvat waargenomen gedragingen die typisch zijn voor aanvalsfasen, afwijkende registerwijziging, uitvoering van verdachte bestanden, enzovoort. Hoewel sommige mogelijk deel uitmaken van interne beveiligingstests, is onderzoek vereist, omdat het mogelijk ook deel uitmaakt van een geavanceerde aanval.

  • Laag (geel): waarschuwingen over bedreigingen die zijn gekoppeld aan veelvoorkomende malware. Bijvoorbeeld hack-tools, niet-malware hack tools, zoals het uitvoeren van verkenningsopdrachten, het wissen van logboeken, enz. geven vaak geen geavanceerde bedreiging aan die gericht is op de organisatie. Het kan ook afkomstig zijn van een geïsoleerd beveiligingshulpprogramma dat door een gebruiker in uw organisatie wordt getest.

  • Informatief (grijs): waarschuwingen die mogelijk niet als schadelijk voor het netwerk worden beschouwd, maar die het beveiligingsbewustzijn van de organisatie kunnen stimuleren bij mogelijke beveiligingsproblemen.

De ernst van waarschuwingen voor Microsoft Defender Antivirus (Microsoft Defender AV) en Defender voor Eindpunt verschillen omdat ze verschillende bereiken vertegenwoordigen. De ernst van de AV-bedreiging van Microsoft Defender vertegenwoordigt de absolute ernst van de gedetecteerde bedreiging (malware) en wordt toegewezen op basis van het potentiële risico voor het afzonderlijke apparaat als het is geïnfecteerd.

De ernst van de waarschuwing van Defender voor Eindpunt vertegenwoordigt de ernst van het gedetecteerde gedrag, het werkelijke risico voor het apparaat en het belangrijkste, het potentiële risico voor de organisatie.

Bijvoorbeeld:

  • De ernst van een Defender voor Eindpunt-waarschuwing over een Microsoft Defender AV heeft een bedreiging gedetecteerd die is voorkomen en het apparaat niet heeft geïnfecteerd, wordt gecategoriseerd als 'Informatief' omdat er geen werkelijke schade is opgetreden.

  • Er is een waarschuwing over een commerciële malware gedetecteerd tijdens het uitvoeren, maar geblokkeerd en hersteld door Microsoft Defender AV, wordt gecategoriseerd als 'Laag', omdat het mogelijk enige schade aan het afzonderlijke apparaat heeft veroorzaakt, maar geen organisatorische bedreiging vormt.

  • Een waarschuwing over malware die is gedetecteerd tijdens het uitvoeren van een bedreiging, niet alleen voor het afzonderlijke apparaat, maar voor de organisatie, ongeacht of deze uiteindelijk is geblokkeerd, kan worden geclassificeerd als 'Gemiddeld' of 'Hoog'.

  • Verdachte gedragswaarschuwingen, die niet zijn geblokkeerd of hersteld, krijgen de classificatie 'Laag', 'Gemiddeld' of 'Hoog' volgens dezelfde overwegingen voor bedreigingen van de organisatie.

Categorieën

De waarschuwingscategorieën zijn nauw afgestemd op de aanvaltactieken en -technieken in de MITRE ATT&CK Enterprise-matrix.

Notitie

De waarschuwingscategorieën bevatten ook items (zoals Unwanted Software) die geen deel uitmaken van de ATT&CK-matrices.

De categorieën zijn:

  • Verzameling : gegevens zoeken en verzamelen voor exfiltratie

  • Opdracht en beheer: Verbinding maken naar door een aanvaller beheerde netwerkinfrastructuur om gegevens door te sturen of opdrachten te ontvangen

  • Toegang tot referenties: geldige referenties verkrijgen om de controle over apparaten en andere resources in het netwerk uit te breiden

  • Beschermingsontduiking : beveiligingscontroles vermijden door bijvoorbeeld beveiligings-apps uit te schakelen, implantaten te verwijderen en rootkits uit te voeren

  • Detectie : informatie verzamelen over belangrijke apparaten en resources, zoals beheerderscomputers, domeincontrollers en bestandsservers

  • Uitvoering : aanvallerhulpprogramma's en schadelijke code starten, waaronder RAT's en backdoors

  • Exfiltratie : gegevens uit het netwerk extraheren naar een externe, door een aanvaller beheerde locatie

  • Exploit - Misbruik van code en mogelijke exploitatieactiviteit

  • Initiële toegang : eerste vermelding verkrijgen in het doelnetwerk, meestal met het raden van wachtwoorden, aanvallen of phishing-e-mailberichten

  • Laterale verplaatsing : verplaatsen tussen apparaten in het doelnetwerk om kritieke resources te bereiken of netwerkpersistentie te verkrijgen

  • Malware - Backdoors, trojans en andere soorten schadelijke code

  • Persistentie : het maken van autostart-uitbreidbaarheidspunten (ASEPs) om actief te blijven en het systeem opnieuw op te starten

  • Escalatie van bevoegdheden: hogere machtigingsniveaus voor code verkrijgen door deze uit te voeren in de context van een bevoegd proces of account

  • Ransomware - Malware die bestanden en afperst betaling versleutelt om de toegang te herstellen

  • Verdachte activiteit : atypische activiteit die malwareactiviteit kan zijn of een deel van een aanval kan zijn

  • Ongewenste software : apps en apps met een lage reputatie die van invloed zijn op de productiviteit en de gebruikerservaring; gedetecteerd als mogelijk ongewenste toepassingen (PUA's)

U kunt een nieuw incident maken op basis van de waarschuwing of een koppeling maken naar een bestaand incident.

Waarschuwingen toewijzen

Als er nog geen waarschuwing is toegewezen, kunt u Toewijzen aan mij selecteren om de waarschuwing aan uzelf toe te wijzen.

Waarschuwingen onderdrukken

Er kunnen scenario's zijn waarin u waarschuwingen moet onderdrukken die niet worden weergegeven in Microsoft Defender-beveiligingscentrum. Met Defender voor Eindpunt kunt u onderdrukkingsregels maken voor specifieke waarschuwingen die onschuldig zijn, zoals bekende hulpprogramma's of processen in uw organisatie.

Onderdrukkingsregels kunnen worden gemaakt op basis van een bestaande waarschuwing. Ze kunnen indien nodig worden uitgeschakeld en opnieuw worden ingeschakeld.

Wanneer er een onderdrukkingsregel wordt gemaakt, wordt deze van kracht vanaf het punt waarop de regel wordt gemaakt. De regel heeft geen invloed op bestaande waarschuwingen die al in de wachtrij staan voordat de regel wordt gemaakt. De regel wordt alleen toegepast op waarschuwingen die voldoen aan de voorwaarden die zijn ingesteld nadat de regel is gemaakt.

Er zijn twee contexten voor een onderdrukkingsregel waaruit u kunt kiezen:

  • Waarschuwing op dit apparaat onderdrukken

  • Waarschuwing in mijn organisatie onderdrukken

Met de context van de regel kunt u afstemmen wat er in de portal wordt weergegeven en ervoor zorgen dat alleen echte beveiligingswaarschuwingen in de portal worden weergegeven.

De status van een waarschuwing wijzigen

U kunt waarschuwingen categoriseren als Nieuw, Wordt uitgevoerd of Opgelost door de status te wijzigen wanneer uw onderzoek vordert. Dit helpt u bij het organiseren en beheren van de wijze waarop uw team op waarschuwingen kan reageren.

Een teamleider kan bijvoorbeeld alle nieuwe waarschuwingen bekijken en besluiten deze toe te wijzen aan de wachtrij In voortgang voor verdere analyse.

De teamleider kan de waarschuwing ook toewijzen aan de wachtrij Opgelost als deze weet dat de waarschuwing goedaardig is, afkomstig van een irrelevant apparaat (zoals een apparaat dat deel uitmaakt van een beveiligingsbeheerder) of wordt afgehandeld via een eerdere waarschuwing.

Waarschuwingsclassificatie

U kunt ervoor kiezen om geen classificatie in te stellen of op te geven of een waarschuwing een echte waarschuwing of een valse waarschuwing is. Het is belangrijk om de classificatie van terecht-positief/fout-positief te bieden, omdat deze wordt gebruikt om de kwaliteit van waarschuwingen te bewaken en waarschuwingen nauwkeuriger te maken. Het veld 'bepaling' definieert extra betrouwbaarheid voor een 'terecht positieve' classificatie.

Opmerkingen toevoegen en de geschiedenis van een waarschuwing weergeven

U kunt opmerkingen toevoegen en historische gebeurtenissen over een waarschuwing bekijken om eerdere wijzigingen in de waarschuwing te bekijken. Wanneer een wijziging of opmerking wordt aangebracht in een waarschuwing, wordt deze vastgelegd in de sectie Opmerkingen en geschiedenis. Opmerkingen worden direct in het deelvenster weergegeven.

Waarschuwingsonderzoek

Onderzoek waarschuwingen die van invloed zijn op uw netwerk, begrijp wat ze betekenen en hoe u deze kunt oplossen.

Selecteer een waarschuwing in de wachtrij met waarschuwingen om naar de waarschuwingspagina te gaan. Deze weergave bevat de titel van de waarschuwing, de betrokken assets, het detailvenster en het waarschuwingsverhaal.

Begin op de waarschuwingspagina met uw onderzoek door de betrokken assets of een van de entiteiten in de structuurweergave van het waarschuwingsverhaal te selecteren. Het detailvenster wordt automatisch gevuld met meer informatie over wat u hebt geselecteerd.

Onderzoeken met behulp van het waarschuwingsverhaal

In het waarschuwingsverhaal wordt uitgelegd waarom de waarschuwing is geactiveerd, gerelateerde gebeurtenissen die zich voor en na hebben voorgedaan en andere gerelateerde entiteiten.

Entiteiten kunnen worden geklikt en elke entiteit die geen waarschuwing is, kan worden uitgebreid met behulp van het uitvouwpictogram aan de rechterkant van de kaart van die entiteit. De entiteit in focus wordt aangegeven met een blauwe streep aan de linkerkant van de kaart van die entiteit, waarbij de waarschuwing in de titel in eerste instantie in focus is.

Als u een entiteit selecteert, wordt de context van het detailvenster naar deze entiteit overgeschakeld en kunt u meer informatie bekijken en die entiteit beheren. Selecteren... rechts van de entiteitskaart worden alle acties weergegeven die beschikbaar zijn voor die entiteit. Dezelfde acties worden weergegeven in het detailvenster wanneer die entiteit de focus heeft.

Actie ondernemen vanuit het detailvenster

Zodra u een entiteit van belang hebt geselecteerd, verandert het detailvenster om informatie weer te geven over het geselecteerde entiteitstype, historische informatie wanneer deze beschikbaar is en biedt u besturingselementen om rechtstreeks vanaf de waarschuwingspagina actie te ondernemen op deze entiteit.

Zodra u klaar bent met onderzoeken, gaat u terug naar de waarschuwing waarmee u bent begonnen, markeert u de status van de waarschuwing als Opgelost en classificeert u deze als Onwaar-waarschuwing of True-waarschuwing. Door waarschuwingen te classificeren, kunt u deze mogelijkheid afstemmen om meer echte waarschuwingen en minder valse waarschuwingen te bieden.

Als u deze als een echte waarschuwing classificeert, kunt u ook een bepaling selecteren.

Als u een valse waarschuwing ondervindt met een Line-Of-Business-toepassing, maakt u een onderdrukkingsregel om dit type waarschuwing in de toekomst te voorkomen.