Geautomatiseerde onderzoeken beheren

  • 3 minuten

Geautomatiseerde onderzoeken beheren

Uw beveiligingsteam ontvangt een waarschuwing wanneer Microsoft Defender een schadelijk of verdacht artefact van een eindpunt detecteert. Beveiligingsteams hebben te maken met uitdagingen bij het aanpakken van de vele waarschuwingen die ontstaan door de schijnbaar nooit eindigende stroom van bedreigingen. Microsoft Defender voor Eindpunt bevat mogelijkheden voor geautomatiseerd onderzoek en herstel (AIR) waarmee uw beveiligingsteam bedreigingen efficiënter en effectiever kan aanpakken.

De technologie in geautomatiseerd onderzoek maakt gebruik van verschillende inspectiealgoritmen en is gebaseerd op processen die worden gebruikt door beveiligingsanalisten. AIR-mogelijkheden zijn ontworpen om waarschuwingen te onderzoeken en onmiddellijk actie te ondernemen om schendingen op te lossen. AIR-mogelijkheden verminderen het waarschuwingsvolume aanzienlijk, waardoor beveiligingsbewerkingen zich kunnen richten op geavanceerdere bedreigingen en andere initiatieven met een hoge waarde. Het Actiecentrum houdt alle onderzoeken bij die automatisch zijn gestart, samen met details, zoals de onderzoeksstatus, de detectiebron en alle in behandeling zijnde of voltooide acties.

Hoe het geautomatiseerde onderzoek begint

Wanneer een waarschuwing wordt geactiveerd, wordt een beveiligingsplaybook van kracht. Afhankelijk van het beveiligingsplaybook kan een geautomatiseerd onderzoek worden gestart. Stel dat een schadelijk bestand zich op een apparaat bevindt. Wanneer dat bestand wordt gedetecteerd, wordt er een waarschuwing geactiveerd en wordt het geautomatiseerde onderzoeksproces gestart. Microsoft Defender voor Eindpunt controleert of het schadelijke bestand aanwezig is op andere apparaten in de organisatie. Details van het onderzoek, waaronder uitspraken (schadelijk, verdacht en geen bedreigingen gevonden) zijn beschikbaar tijdens en na het geautomatiseerde onderzoek. Zie Geautomatiseerde onderzoeksresultaten en herstelacties voor meer informatie over wat er gebeurt nadat een beoordeling is bereikt.

Details van een geautomatiseerd onderzoek

Tijdens en na een geautomatiseerd onderzoek kunt u details over het onderzoek bekijken. Selecteer een triggerwaarschuwing om de details van het onderzoek weer te geven. Hier kunt u naar de tabbladen Onderzoeksgrafiek, Waarschuwingen, Apparaten, Bewijs, Entiteiten en Logboeken gaan.

  • Waarschuwingen : de waarschuwing(en) die het onderzoek hebben gestart.

  • Apparaten : de apparaten waar de bedreiging is gezien.

  • Bewijs : de entiteiten die tijdens een onderzoek schadelijk zijn bevonden.

  • Entiteiten : details over elke geanalyseerde entiteit, inclusief een bepaling voor elk entiteitstype (schadelijk, verdacht of geen bedreigingen gevonden).

  • Logboek - De chronologische, gedetailleerde weergave van alle onderzoeksmaatregelen die op de waarschuwing zijn uitgevoerd.

  • Acties in behandeling: als er acties zijn die wachten op goedkeuring als gevolg van het onderzoek, wordt het tabblad Acties in behandeling weergegeven. Op het tabblad Acties in behandeling kunt u elke actie goedkeuren of afwijzen.

Hoe een geautomatiseerd onderzoek het bereik uitbreidt

Terwijl een onderzoek wordt uitgevoerd, worden alle andere waarschuwingen die op het apparaat worden gegenereerd, toegevoegd aan een doorlopend geautomatiseerd onderzoek totdat dat onderzoek is voltooid. Als dezelfde bedreiging op andere apparaten wordt gezien, worden deze apparaten bovendien toegevoegd aan het onderzoek.

Als een geïncrimineerde entiteit op een ander apparaat wordt gezien, wordt het bereik van het geautomatiseerde onderzoek uitgebreid met dat apparaat en wordt er een algemeen beveiligingsplaybook gestart op dat apparaat. Als er tien of meer apparaten worden gevonden tijdens dit uitbreidingsproces van dezelfde entiteit, vereist die uitbreidingsactie goedkeuring en is deze zichtbaar op het tabblad Acties in behandeling.

Hoe bedreigingen worden hersteld

Wanneer waarschuwingen worden geactiveerd en er een geautomatiseerd onderzoek wordt uitgevoerd, wordt er een oordeel gegenereerd voor elk onderzocht stuk bewijs. Uitspraken kunnen kwaadaardig, verdacht of geen bedreigingen gevonden zijn.

Naarmate de uitspraken worden bereikt, kunnen geautomatiseerde onderzoeken resulteren in een of meer herstelacties. Voorbeelden van herstelacties zijn het verzenden van een bestand naar quarantaine, het stoppen van een service, het verwijderen van een geplande taak en meer. (Zie Herstelacties.)

Afhankelijk van het automatiseringsniveau voor uw organisatie en andere beveiligingsinstellingen kunnen herstelacties automatisch of alleen worden uitgevoerd na goedkeuring door uw beveiligingsteam. Andere beveiligingsinstellingen die van invloed kunnen zijn op automatische herstel, zijn bescherming tegen mogelijk ongewenste toepassingen (PUA).

Alle herstelacties, in behandeling of voltooid, kunnen worden weergegeven in het Actiecentrum https://security.microsoft.com. Indien nodig kan uw beveiligingsteam een herstelactie ongedaan maken.

Automatiseringsniveaus in geautomatiseerde onderzoeks- en herstelmogelijkheden

Mogelijkheden voor geautomatiseerd onderzoek en herstel (AIR) in Microsoft Defender voor Eindpunt kunnen worden geconfigureerd op een van de verschillende automatiseringsniveaus. Uw automatiseringsniveau bepaalt of herstelacties na AIR-onderzoeken automatisch of alleen na goedkeuring worden uitgevoerd.

  • Volledige automatisering (aanbevolen) betekent dat herstelacties automatisch worden uitgevoerd op artefacten die schadelijk zijn.

  • Semi-automatisering betekent dat sommige herstelacties automatisch worden uitgevoerd, maar andere herstelacties wachten op goedkeuring voordat ze worden uitgevoerd. (Zie de tabel in Automatiseringsniveaus.)

  • Alle herstelacties, in behandeling of voltooid, worden bijgehouden in het Actiecentrum

Niveaus van automatisering

Volledig: bedreigingen automatisch herstellen (ook wel volledige automatisering genoemd)

Met volledige automatisering worden herstelacties automatisch uitgevoerd. Alle herstelacties die worden uitgevoerd, kunnen worden weergegeven in het Actiecentrum op het tabblad Geschiedenis. Indien nodig kan een herstelactie ongedaan worden gemaakt.

Semi- goedkeuring vereisen voor herstel (ook wel semi-automatisering genoemd)

Met dit niveau van semi-automatisering is goedkeuring vereist voor elke herstelactie. Dergelijke acties die in behandeling zijn, kunnen worden weergegeven en goedgekeurd in het Actiecentrum, op het tabblad In behandeling.

Semi- goedkeuring vereisen voor herstel van kernmappen (ook een type semi-automatisering)

Met dit niveau van semi-automatisering is goedkeuring vereist voor herstelacties die nodig zijn voor bestanden of uitvoerbare bestanden die zich in kernmappen bevinden. Kernmappen bevatten besturingssysteemmappen, zoals windows (\windows*).

Herstelacties kunnen automatisch worden uitgevoerd op bestanden of uitvoerbare bestanden die zich in andere (niet-kern)mappen bevinden.

Acties die in behandeling zijn voor bestanden of uitvoerbare bestanden in kernmappen, kunnen worden weergegeven en goedgekeurd in het Actiecentrum op het tabblad In behandeling.

Acties die zijn uitgevoerd op bestanden of uitvoerbare bestanden in andere mappen, kunnen worden weergegeven in het Actiecentrum op het tabblad Geschiedenis.

Semi- goedkeuring vereisen voor herstel van niet-tijdelijke mappen (ook een type semi-automatisering)

Met dit niveau van semi-automatisering is goedkeuring vereist voor herstelacties die nodig zijn voor bestanden of uitvoerbare bestanden die zich niet in tijdelijke mappen bevinden.

Tijdelijke mappen kunnen de volgende voorbeelden bevatten:

  • \users*\appdata\local\temp*

  • \documents and settings*\local settings\temp*

  • \documents and settings*\local settings\temporary*

  • \windows\temp*

  • \users*\downloads*

  • \program files\

  • \program files (x86)*

  • \documents and settings*\users*

Herstelacties kunnen automatisch worden uitgevoerd op bestanden of uitvoerbare bestanden die zich in tijdelijke mappen bevinden.

Acties die in behandeling zijn voor bestanden of uitvoerbare bestanden die zich niet in tijdelijke mappen bevinden, kunnen worden weergegeven en goedgekeurd in het Actiecentrum, op het tabblad In behandeling.

Acties die zijn uitgevoerd op bestanden of uitvoerbare bestanden in tijdelijke mappen, kunnen worden weergegeven en goedgekeurd in het Actiecentrum op het tabblad Geschiedenis.

Geen geautomatiseerd antwoord (ook wel geen automatisering genoemd)

Zonder automatisering wordt het geautomatiseerde onderzoek niet uitgevoerd op de apparaten van uw organisatie. Als gevolg hiervan worden er geen herstelacties uitgevoerd of in behandeling als gevolg van een geautomatiseerd onderzoek. Andere functies voor beveiliging tegen bedreigingen, zoals beveiliging tegen mogelijk ongewenste toepassingen, kunnen echter van kracht zijn, afhankelijk van hoe uw antivirus- en beveiligingsfuncties van de volgende generatie zijn geconfigureerd.

Het gebruik van de optie geen automatisering wordt niet aanbevolen omdat dit de beveiligingspostuur van de apparaten van uw organisatie vermindert. Overweeg om uw automatiseringsniveau in te stellen op volledige automatisering (of ten minste semi-automatisering).

Belangrijke punten over automatiseringsniveaus

Volledige automatisering is betrouwbaar, efficiënt en veilig gebleken en wordt aanbevolen voor alle klanten. Volledige automatisering maakt uw kritieke beveiligingsresources vrij, zodat ze zich meer kunnen richten op uw strategische initiatieven. Als uw beveiligingsteam apparaatgroepen heeft gedefinieerd met een automatiseringsniveau, worden deze instellingen niet gewijzigd door de nieuwe standaardinstellingen die worden geïmplementeerd.