Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Belangrijk
Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
De Microsoft Defender-portal bevat gecorreleerde waarschuwingen, assets, onderzoeken en bewijsmateriaal van al uw assets in een incident om u een uitgebreid overzicht te geven van de volledige breedte van een aanval.
Binnen een incident analyseert u de waarschuwingen, begrijpt u wat ze betekenen en verzamelt u het bewijs zodat u een effectief herstelplan kunt maken.
Eerste onderzoek
Voordat u in de details duikt, bekijkt u de eigenschappen en het hele aanvalsverhaal van het incident.
U kunt beginnen met het selecteren van de incidentrij, maar niet door de naam van het incident te selecteren. Er wordt een overzichtsvenster geopend met belangrijke informatie over het incident, waaronder de prioriteitsbeoordeling, de factoren die van invloed zijn op de prioriteitsscore, de details van het incident, aanbevolen acties en gerelateerde bedreigingen. Gebruik de pijl-omhoog en pijl-omlaag bovenaan het deelvenster om naar het vorige of volgende incident in de incidentwachtrij te navigeren.
Hier kunt u De incidentpagina openen selecteren. Hiermee opent u de hoofdpagina voor het incident, waar u de volledige informatie over het aanvalsverhaal en tabbladen voor waarschuwingen, apparaten, gebruikers, onderzoeken en bewijs vindt. U kunt ook de hoofdpagina voor een incident openen door de naam van het incident te selecteren in de incidentwachtrij.
Opmerking
Wanneer gebruikers met ingerichte toegang tot Microsoft Security Copilot een incident openen, zien ze het copilot-deelvenster aan de rechterkant van het scherm. Copilot biedt realtime inzichten en aanbevelingen om u te helpen incidenten te onderzoeken en erop te reageren. Zie Microsoft Copilot in Microsoft Defender voor meer informatie.
Aanvalsverhaal
Met aanvalsverhalen kunt u aanvallen snel bekijken, onderzoeken en herstellen terwijl u het volledige verhaal van de aanval op hetzelfde tabblad weergeeft. Met behulp van een aanvalsverhaal kunt u de entiteitsdetails bekijken en herstelacties uitvoeren, zoals het verwijderen van een bestand of het isoleren van een apparaat zonder contextverlies.
In de volgende video wordt het aanvalsverhaal kort beschreven.
In het aanvalsverhaal vindt u de waarschuwingspagina en de incidentgrafiek.
De pagina incidentwaarschuwing bevat de volgende secties:
Waarschuwingsverhaal, waaronder:
- Wat is er gebeurd
- Uitgevoerde acties
- Gerelateerde gebeurtenissen
Waarschuwingseigenschappen in het rechterdeelvenster (status, details, beschrijving en andere)
Niet elke waarschuwing bevat alle vermelde subsecties in de sectie Waarschuwingsverhaal .
In de grafiek ziet u het volledige bereik van de aanval, hoe de aanval zich in de loop van de tijd heeft verspreid, waar deze is gestart en hoe ver de aanvaller is gegaan. Het verbindt de verschillende verdachte entiteiten die deel uitmaken van de aanval met hun gerelateerde assets, zoals gebruikers, apparaten en postvakken.
Vanuit de grafiek kunt u het volgende doen:
Speel de waarschuwingen en de knooppunten in de grafiek af zoals ze zich in de loop van de tijd hebben voorgedaan om de chronologie van de aanval te begrijpen.
Open een entiteitsvenster, zodat u de details van de entiteit kunt bekijken en herstelacties kunt uitvoeren, zoals het verwijderen van een bestand of het isoleren van een apparaat.
Markeer de waarschuwingen op basis van de entiteit waaraan ze zijn gerelateerd.
Zoek naar entiteitsgegevens van een apparaat, bestand, IP-adres, URL, gebruiker, e-mail, postvak of cloudresource.
Beginnen met opsporen
De actie Go Hunt maakt gebruik van de geavanceerde opsporingsfunctie om relevante informatie over een entiteit te vinden. De Go Hunt-query controleert relevante schematabellen op gebeurtenissen of waarschuwingen die betrekking hebben op de specifieke entiteit die u onderzoekt. Als u relevante informatie over de entiteit wilt vinden, selecteert u een van de volgende opties:
- Alle beschikbare query's bekijken: retourneert alle beschikbare query's voor het entiteitstype dat u onderzoekt.
- Alle activiteit: retourneert alle activiteiten die zijn gekoppeld aan een entiteit, zodat u een uitgebreid overzicht krijgt van de context van het incident.
- Gerelateerde waarschuwingen: zoekt en retourneert alle beveiligingswaarschuwingen die betrekking hebben op een specifieke entiteit, zodat u geen informatie mist.
- Alle gebruikersafwijkingen (preview): retourneert alle afwijkingen die zijn gekoppeld aan de gebruiker van de afgelopen 30 dagen, zodat u ongebruikelijk gedrag kunt identificeren dat mogelijk relevant is voor het incident. Deze optie is alleen beschikbaar voor gebruikersentiteiten als u Microsoft Sentinel UEBA (User and Entity Behavior Analytics) inschakelt.
U kunt de resulterende logboeken of waarschuwingen aan een incident koppelen door een resultaat te selecteren en vervolgens Koppelen aan incident te selecteren.
Als een analyseregel die u instelt, het incident of gerelateerde waarschuwingen heeft gemaakt, kunt u ook Query uitvoeren selecteren om andere gerelateerde resultaten weer te geven.
Straalanalyse van ontploffing
Straalanalyse is een geavanceerde grafiekvisualisatie die is geïntegreerd in de ervaring voor incidentonderzoek. Het is gebouwd op de Microsoft Sentinel data lake- en graph-infrastructuur en genereert een interactieve grafiek met mogelijke doorgiftepaden van het geselecteerde knooppunt naar vooraf gedefinieerde kritieke doelen, met het bereik van de machtigingen van de gebruiker.
Opmerking
Analyse van explosieradius breidt en vervangt de analyse van het aanvalspad.
De straalgrafiek biedt een unieke, uniforme weergave van zowel prebreach- als post-inbreukgegevens op de incidentpagina. Tijdens een incidentonderzoek kunnen analisten de huidige impact van een inbreuk en de mogelijke toekomstige impact in één geconsolideerde grafiek zien. Omdat deze is geïntegreerd in de incidentgrafiek, helpt de straalgrafiek beveiligingsteams sneller inzicht te krijgen in het bereik van het beveiligingsincident en hun verdedigingsmaatregelen te verbeteren om de kans op wijdverspreide schade te verminderen. Met straalanalyse kunnen analisten het risico voor hoog aangeschreven doelen beter beoordelen en inzicht krijgen in de bedrijfsimpact.
De volgende vereisten zijn vereist voor het gebruik van de straalgrafiek:
- U moet zijn voorbereid op Microsoft Sentinel Data Lake. Zie Onboarding to Microsoft Sentinel data lake and graph (Onboarding to Microsoft Sentinel data lake and graph) voor meer informatie.
- Machtiging voor blootstellingsbeheer (lezen) of hoger. Zie Machtigingen beheren met Microsoft Defender op rollen gebaseerd toegangsbeheer (RBAC) voor meer informatie.
Belangrijk
Aanvalspaden en blast radius-functies worden berekend op basis van de beschikbare omgevingsgegevens van de organisatie. De waarde in de grafiek neemt toe naarmate er meer gegevens beschikbaar zijn voor de berekening. Als u geen verdere workloads inschakelt of kritieke assets niet volledig definieert, vertegenwoordigen straalgrafieken uw omgevingsrisico's niet volledig. Zie Kritieke assets controleren en classificeren voor meer informatie over het definiëren van kritieke assets.
In de volgende tabel vindt u een overzicht van de use cases voor de analyse van straalstralen voor verschillende gebruikersrollen:
| Gebruikersrol | Use case |
|---|---|
| Beveiligingsanalist | Gebruik straalanalyse om een incident te onderzoeken. Bekijk direct het gecompromitteerde onderdeel in het midden van de grafiek en de paden naar mogelijk gecompromitteerde doelen. De grafiek biedt een intuïtief visueel inzicht in het incident en helpt u snel inzicht te krijgen in het mogelijke bereik van een inbreuk. Op basis van het doel en de paden kunt u acties escaleren en activeren om het incident op knooppunten langs de paden naar het doel te verstoren, te isoleren en te onder controle te brengen. |
| IT-beheerders en SOC-technici | Gebruik straalanalyse om resources te mobiliseren op basis van bedrijfsimpact en schatting van mogelijke schade. Technici kunnen prioriteit geven aan de meest kritieke beveiligingsproblemen die onmiddellijke aandacht vereisen. De technicus kan de vereiste resources proactief toewijzen op basis van het bereik van de explosieradius aan kritieke doelen in de organisatie door meerdere knooppunten te onderzoeken die zijn gemarkeerd met beveiligingsproblemen op de kaart. De technicus kan duidelijk communiceren wat er is beveiligd en wat er is beïnvloed en extra verdedigings- en netwerksegmentaties plannen en prioriteren die nodig zijn om de verdere impact van toekomstige potentiële aanvallen te verminderen. |
| Incidentresponsteam | Bepaal snel het bereik van het incident, met een dynamische visuele incidenttoewijzing waarmee ze gerichte actie kunnen ondernemen op de systemen die in de grafiek worden aangegeven. |
| CISO of beveiligingsleiders | Gebruik de straalstraalfunctie om de huidige status aan te geven, doelen en indicatoren voor metrische gegevens in te stellen en deze te gebruiken om te rapporteren en te controleren om nalevingsredenen. De functie kan worden gebruikt om de voortgang van investeringen in verdedigingsacties en beveiligingsmaatregelen bij te houden. |
Straalgrafieken weergeven
Nadat u een incident hebt geselecteerd in de lijst op de pagina Incidenten , worden in een grafiekweergave de entiteiten en assets weergegeven die bij het incident betrokken zijn.
Selecteer een knooppunt om het contextmenu te openen en selecteer vervolgens Straal van ontploffing weergeven. Als er geen straalpad voor ontploffing wordt gevonden, wordt in het menu-item Geen straal van ontploffing gevonden weergegeven.
Als u de straal van een enkel knooppunt in een groep wilt weergeven, gebruikt u de wisselknop groeperen opheffen boven het raster om alle knooppunten weer te geven.
Er wordt een nieuwe grafiekweergave geladen met de acht best beoordeelde aanvalspaden. Een volledige lijst met de paden is zichtbaar in het rechterdeelvenster wanneer u Lijst met volledige straal weergeven boven de grafiek selecteert. In de lijst met bereikbare doelen kunt u het pad verder verkennen door een van de vermelde doelen te selecteren. In het rechterdeelvenster ziet u het mogelijke pad van het toegangspunt naar dit doel. Aan sommige knooppunten zijn mogelijk geen paden gekoppeld.
Zie Grafieken en visualisaties in Microsoft Defender voor een uitleg van de pictogrammen die worden gebruikt voor knooppunten en randen in de straalgrafiek.
Selecteer Straalstraallijst weergeven om een lijst met doelassets weer te geven. Selecteer een doelasset in de lijst om de details en mogelijke aanvalspaden ervan weer te geven. Als u de badges in verbindingen selecteert, ziet u meer informatie over de verbinding.
Wanneer paden leiden naar gegroepeerde doelen van dezelfde typen, selecteert u de gegroepeerde pictogrammen om discrete paden naar doelen weer te geven. Er wordt een deelvenster aan de rechterkant geopend met alle doelen in de groep. Als u het selectievakje aan de linkerkant inschakelt en de knop Uitvouwen bovenaan selecteert, worden elk doel en de bijbehorende paden afzonderlijk weergegeven.
Verberg de straalgrafiek en ga terug naar de oorspronkelijke incidentgrafiek door het knooppunt te selecteren en Straal van explosie verbergen te kiezen.
Beperkingen
De volgende beperkingen zijn van toepassing op de straalgrafiek:
Beperkingen voor padlengte (bereik van analyse): Berekeningen van de lengte van de straalgrafiek worden beperkt tot zeven hops van het bronknooppunt. De straal van de explosie is een benadering van het volledige aanvalsbereik. Het maximum aantal hops is afhankelijk van de omgeving:
- Vijf hops voor cloud
- Vijf hops voor on-premises
- Drie hops voor hybride
Nieuwheid van gegevens: Er kunnen latenties bestaan tussen een wijziging in de omgeving van de organisatie en de weerspiegeling van die wijziging in de straalgrafiek. Gedurende deze periode is het model mogelijk onvolledig.
Mogelijke paden: De straalgrafiek toont mogelijke paden. Het biedt geen garantie dat een aanvaller elk pad gebruikt dat wordt weergegeven.
Bekende aanvalsvectoren: De grafiek is afhankelijk van bekende aanvalsvectoren. Als aanvallers een nieuwe zijwaartse beweging of nieuwe techniek vinden die nog moet worden gemodelleerd, wordt deze niet weergegeven in de straalgrafiek.
Gebruikersbereiken: De weergegeven grafiek is gebaseerd op de toegestane bereiken voor de weergevende gebruiker. In de grafiek ziet u alleen knooppunten en randen met een bereik voor de gebruiker op basis van de gedefinieerde RBAC- en bereikinstellingen. Paden die knooppunten of randen buiten het bereik bevatten, zijn niet zichtbaar.
Eilandknooppunten: Niet-verbonden knooppunten kunnen in de grafiek worden weergegeven vanwege wijzigingen die optreden tussen het moment dat de gegevens worden verzameld en de berekening van de straal van de ontploffing.
Incidentdetails
U kunt de details van een incident bekijken in het rechterdeelvenster van een incidentpagina. De incidentdetails omvatten incidenttoewijzing, id, classificatie, categorieën en datum en tijd van de eerste en laatste activiteit. Het bevat ook een beschrijving van het incident, beïnvloede assets, actieve waarschuwingen en, indien van toepassing, de gerelateerde bedreigingen, aanbevelingen en het overzicht en de gevolgen van de onderbreking. Hier volgt een voorbeeld van de incidentdetails waarin de beschrijving van het incident is gemarkeerd.
De beschrijving van het incident biedt een kort overzicht van het incident. In sommige gevallen wordt de eerste waarschuwing in het incident gebruikt als de beschrijving van het incident. In dit geval wordt de beschrijving alleen weergegeven in de portal en niet opgeslagen in het activiteitenlogboek, geavanceerde opsporingstabellen of de Microsoft Sentinel in Azure Portal.
Tip
Microsoft Sentinel klanten kunnen dezelfde incidentbeschrijving ook bekijken en overschrijven in de Azure Portal door de beschrijving van het incident in te stellen via API of automatisering.
De incidentgrafiek filteren en richten (preview)
Gebruik filters op zeer grote incidenten met veel waarschuwingen en entiteiten of verberg specifieke entiteiten om complexe incidentgrafieken te vereenvoudigen. Door de grafiek te vereenvoudigen, kunt u uw onderzoek richten op wat het belangrijkst is.
Een incidentgrafiek filteren:
Selecteer Filter toevoegen boven de incidentgrafiek.
Kies een van de volgende beschikbare filtercriteria en selecteer vervolgens Toevoegen:
- Ernst: Waarschuwingen met een hoge, gemiddelde of lage ernst weergeven.
- Status: Nieuwe, actieve of opgeloste waarschuwingen weergeven.
- Servicebronnen: Waarschuwingen van specifieke services weergeven, zoals Microsoft Defender voor Eindpunt, Microsoft Defender for Identity, Microsoft Defender voor Office 365 en andere.
Kies voor elke toegevoegde filtercriteria de items die u wilt filteren en selecteer vervolgens Toepassen.
Opmerking
Als alle entiteiten worden uitgefilterd, wordt er een leeg statusbericht weergegeven. Pas uw filters aan om relevante entiteiten weer te geven.
Specifieke entiteitstypen verbergen:
Selecteer Entiteitstypen boven de incidentgrafiek.
Schakel de entiteitstypen uit die u wilt verbergen, zoals een bestand of gebruiker. De grafiek wordt opnieuw getekend zonder deze entiteiten.
Waarschuwingen
Op het tabblad Waarschuwingen kunt u de waarschuwingswachtrij bekijken voor waarschuwingen die betrekking hebben op het incident en andere informatie hierover, zoals de volgende details:
- Ernst van de waarschuwingen.
- De entiteiten die betrokken waren bij de waarschuwing.
- De bron van de waarschuwingen (Defender for Identity, Defender voor Eindpunt, Defender voor Office 365, Microsoft Defender for Cloud Apps en de app-governance-invoegtoepassing).
- De reden waarom de waarschuwingen aan elkaar zijn gekoppeld.
Standaard ziet u de waarschuwingen in chronologische volgorde, zodat u kunt zien hoe de aanval zich in de loop van de tijd heeft afgespeeld. Wanneer u een waarschuwing binnen een incident selecteert, geeft Microsoft Defender XDR de waarschuwingsgegevens weer die specifiek zijn voor de context van het algehele incident.
U kunt de gebeurtenissen van de waarschuwing zien, welke andere geactiveerde waarschuwingen de huidige waarschuwing hebben veroorzaakt, en alle betrokken entiteiten en activiteiten die bij de aanval betrokken zijn, inclusief apparaten, bestanden, gebruikers, cloud-apps en postvakken.
Zie Waarschuwingen onderzoeken voor meer informatie.
Opmerking
Als u toegang hebt ingericht tot Microsoft Purview Beheer van insider-risico's, kunt u waarschuwingen voor intern risicobeheer bekijken en beheren en zoeken naar gebeurtenissen voor intern risicobeheer in de Microsoft Defender portal. Zie Bedreigingen voor intern risico onderzoeken in de Microsoft Defender-portal voor meer informatie.
Activiteiten
Op het tabblad Activiteiten wordt een uniforme tijdlijn weergegeven van alle handmatige en geautomatiseerde acties die zich binnen een incident voordoen. U kunt filteren op oorsprong, categorie, provider, trigger, activiteitsstatus, beleidsstatus, type, doelnaam, doeltype of uitgevoerd op. U kunt deze informatie ook openen als een zijpaneel in het activiteitenlogboek.
Met behulp van het tabblad Activiteiten kunnen analisten incidenten sorteren en onderzoeken. Dit proces omvat het identificeren van belangrijke stappen die zijn genomen door mensen en geautomatiseerde systemen, het controleren van recente wijzigingen (zoals tags, samenvoegingen, updates van ernst), het controleren van opmerkingen en overdrachten, het inspecteren van gedetailleerde metagegevens in zijpanelen en het volgen van geautomatiseerde werkstromen die zijn gestart door automatiseringsregels, playbooks of agents.
Activa
Bekijk en beheer eenvoudig al uw assets op één plek met behulp van het tabblad Assets . Deze geïntegreerde weergave bevat apparaten, gebruikers, postvakken en apps.
Op het tabblad Assets wordt het totale aantal assets naast de naam weergegeven. Wanneer u het tabblad Assets selecteert, ziet u een lijst met verschillende categorieën met het aantal assets binnen elke categorie.
Apparaten
In de weergave Apparaten worden alle apparaten weergegeven die betrekking hebben op het incident.
Wanneer u een apparaat in de lijst selecteert, opent u een balk die u kunt gebruiken om het geselecteerde apparaat te beheren. U kunt snel tags exporteren, beheren, geautomatiseerd onderzoek initiëren en meer.
U kunt het vinkje voor een apparaat selecteren om details van het apparaat, adreslijstgegevens, actieve waarschuwingen en aangemelde gebruikers weer te geven. Selecteer de naam van het apparaat om apparaatdetails weer te geven in de Defender voor Eindpunt-apparaatinventaris.
Op de apparaatpagina kunt u aanvullende informatie over het apparaat verzamelen, zoals alle waarschuwingen, een tijdlijn en beveiligingsaanbeveling. U kunt bijvoorbeeld op het tabblad Tijdlijn door de tijdlijn van het apparaat schuiven en alle gebeurtenissen en gedragingen die op de machine zijn waargenomen in chronologische volgorde bekijken, afgewisseld met de gegenereerde waarschuwingen.
Gebruikers
De weergave Gebruikers bevat alle gebruikers die zijn geïdentificeerd als onderdeel van of gerelateerd aan het incident.
Selecteer het vinkje voor een gebruiker om details te zien van de bedreiging, blootstelling en contactgegevens van het gebruikersaccount. Selecteer de gebruikersnaam om aanvullende gebruikersaccountgegevens weer te geven.
Zie Gebruikers onderzoeken voor meer informatie over het weergeven van aanvullende gebruikersgegevens en het beheren van de gebruikers van een incident.
Postvakken
De weergave Postvakken bevat alle postvakken die zijn geïdentificeerd als onderdeel van of gerelateerd aan het incident.
Selecteer het vinkje voor een postvak om een lijst met actieve waarschuwingen weer te geven. Selecteer de naam van het postvak om aanvullende postvakgegevens weer te geven op de Explorer-pagina voor Defender voor Office 365.
Apps
In de weergave Apps worden alle apps vermeld die deel uitmaken van of gerelateerd zijn aan het incident.
Selecteer het vinkje voor een app om een lijst met actieve waarschuwingen weer te geven. Selecteer de app-naam voor meer informatie op de pagina Explorer voor Defender for Cloud Apps.
Cloudresources
De weergave Cloudresources bevat alle cloudresources die deel uitmaken van of gerelateerd zijn aan het incident.
Selecteer het vinkje voor een cloudresource om de details van de resource en een lijst met actieve waarschuwingen te bekijken. Selecteer De pagina Cloudresource openen voor meer informatie en om de volledige details ervan te bekijken in Microsoft Defender voor Cloud.
Onderzoeken
Het tabblad Onderzoeken bevat alle geautomatiseerde onderzoeken die worden geactiveerd door waarschuwingen in dit incident. Afhankelijk van hoe u geautomatiseerde onderzoeken configureert om uit te voeren in Defender voor Eindpunt en Defender voor Office 365, voeren geautomatiseerde onderzoeken herstelacties uit of wachten op goedkeuring door analisten van acties.
Selecteer een onderzoek om naar de detailpagina te gaan voor volledige informatie over de onderzoeks- en herstelstatus. Als acties moeten worden goedgekeurd als onderdeel van het onderzoek, worden deze weergegeven op het tabblad Acties in behandeling . Actie ondernemen als onderdeel van incidentherstel.
Op het tabblad Onderzoekgrafiek ziet u het volgende:
- De verbinding van waarschuwingen met de betrokken assets in uw organisatie.
- Welke entiteiten zijn gerelateerd aan welke waarschuwingen en hoe ze deel uitmaken van het verhaal van de aanval.
- De waarschuwingen voor het incident.
De onderzoeksgrafiek helpt u snel inzicht te krijgen in het volledige bereik van de aanval door de verschillende verdachte entiteiten die deel uitmaken van de aanval te verbinden met hun gerelateerde assets, zoals gebruikers, apparaten en postvakken.
Zie Geautomatiseerd onderzoek en respons in Microsoft Defender XDR voor meer informatie.
Bewijs en antwoord
Op het tabblad Bewijs en antwoord ziet u alle ondersteunde gebeurtenissen en verdachte entiteiten in de waarschuwingen in het incident.
Microsoft Defender XDR onderzoekt automatisch de ondersteunde gebeurtenissen en verdachte entiteiten van de incidenten in de waarschuwingen, waarbij u informatie krijgt over de belangrijke e-mailberichten, bestanden, processen, services, IP-adressen en meer. Hiermee kunt u potentiële bedreigingen in het incident snel detecteren en blokkeren.
Elke geanalyseerde entiteit wordt gemarkeerd met een beoordeling (schadelijk, verdacht, schoon) en een herstelstatus. Deze informatie helpt u inzicht te hebben in de herstelstatus van het hele incident en welke volgende stappen u kunt uitvoeren.
Herstelacties goedkeuren of afwijzen
Voor incidenten met de herstelstatus Goedkeuring in behandeling, kunt u een herstelactie goedkeuren of weigeren, openen in Verkenner of Ga zoeken vanuit het tabblad Bewijs en antwoord.
Samenvatting
Gebruik de pagina Samenvatting om het relatieve belang van het incident te beoordelen en snel toegang te krijgen tot de bijbehorende waarschuwingen en betrokken entiteiten. Op de pagina Samenvatting ziet u een momentopname van de belangrijkste dingen die u over het incident kunt zien.
De informatie is ingedeeld in deze secties.
| Sectie | Beschrijving |
|---|---|
| Waarschuwingen en categorieën | Een visuele en numerieke weergave van de voortgang van de aanval op de kill chain. Net als bij andere Microsoft-beveiligingsproducten is Microsoft Defender XDR afgestemd op het MITRE ATT&CK-framework™. De tijdlijn voor waarschuwingen toont de chronologische volgorde waarin de waarschuwingen zijn opgetreden en voor elk daarvan hun status en naam. |
| Bereik | Geeft het aantal betrokken apparaten, gebruikers en postvakken weer. Hierin worden de entiteiten vermeld in volgorde van risiconiveau en onderzoeksprioriteit. |
| Waarschuwingen | Geeft de waarschuwingen weer die betrokken zijn bij het incident. |
| Bewijs | Geeft het aantal entiteiten weer dat wordt beïnvloed door het incident. |
| Incidentgegevens | Geeft de eigenschappen van het incident weer, zoals tags, status en ernst. |
Vergelijkbare incidenten
Sommige incidenten kunnen vergelijkbare incidenten bevatten die worden vermeld op de pagina Vergelijkbare incidenten . In deze sectie ziet u incidenten met vergelijkbare waarschuwingen, entiteiten en andere eigenschappen. Deze overeenkomst kan u helpen het bereik van de aanval te begrijpen en andere incidenten te identificeren die mogelijk gerelateerd zijn.
Tip
Defender Boxed, een reeks kaarten met de beveiligingssuccessen, verbeteringen en reactieacties van uw organisatie in de afgelopen zes maanden of jaar, wordt gedurende een beperkte periode weergegeven in januari en juli van elk jaar. Meer informatie over hoe u uw Defender Boxed-markeringen kunt delen.
Volgende stappen
Raadpleeg indien nodig de volgende resources:
Zie ook
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.