Reageer op een incident met behulp van Microsoft Sentinel in de Azure Portal en Microsoft Defender XDR.
In dit artikel wordt uitgelegd hoe u beveiligingsincidenten kunt oplossen met Behulp van Microsoft Sentinel in Azure Portal en Microsoft Defender XDR. Leer stapsgewijze richtlijnen voor het sorteren, onderzoeken en oplossen van incidenten om snelle reactie op incidenten te garanderen.
- Updates over de levenscyclus (status, eigenaar, classificatie) worden gedeeld tussen de producten.
- Bewijs dat tijdens een onderzoek is verzameld, wordt weergegeven in het Microsoft Sentinel-incident.
Zie Microsoft Defender XDR-integratie met Microsoft Sentinelvoor meer informatie over de integratie van Microsoft Defender met Microsoft Sentinel. Deze interactieve handleiding leidt je door het proces van het detecteren en reageren op moderne aanvallen met Microsoft’s unified security information and event management (SIEM) en extended detection and response (XDR) mogelijkheden.
Incidenttriage
Start de sortering in Azure Portal met Microsoft Sentinel om details van incidenten te controleren en direct actie te ondernemen. Zoek op de pagina Incidenten het verdachte incident en werk details bij, zoals de naam van de eigenaar, de status en de ernst, of voeg opmerkingen toe. Verdere informatie onderzoeken om uw onderzoek voort te zetten.
Zie Navigate, triage en manage Microsoft Sentinel-incidenten in Azure Portal voor meer informatie.
Incidentonderzoek
Gebruik Azure Portal als uw primaire hulpprogramma voor het reageren op incidenten en schakel over naar de Defender-portal voor meer gedetailleerd onderzoek.
Bijvoorbeeld:
| Portaal | Taken |
|---|---|
| in de Azure portal | Gebruik Microsoft Sentinel in Azure Portal om het incident te correleren met uw beveiligingsprocessen, beleid en procedures (3P). Selecteer op een pagina met incidentdetails Onderzoeken in Microsoft Defender XDR om hetzelfde incident te openen in de Defender-portal. |
| in de Defender-portal | Onderzoek details zoals de omvang van het incident, tijdlijnen van bedrijfsmiddelen, en zelfherstellende acties in behandeling. Mogelijk moet u ook entiteiten handmatig herstellen, live-respons uitvoeren en preventiemaatregelen toevoegen. Op de pagina met details van het incident aanvalsverhaal tabblad: - Bekijk het aanvalsverhaal van het incident om inzicht te krijgen in het bereik, de ernst, de detectiebron en welke entiteiten worden beïnvloed. - Analyseer de waarschuwingen van het incident om inzicht te hebben in de oorsprong, het bereik en de ernst van het incident met het waarschuwingsverhaal binnen het incident. - Verzamel indien nodig informatie over beïnvloede apparaten, gebruikers en postvakken met de grafiek. Selecteer een entiteit om een flyout te openen met alle details. - Bekijk hoe Microsoft Defender XDR automatisch bepaalde waarschuwingen heeft opgelost met het tabblad Onderzoeken. - Gebruik indien nodig informatie in de gegevensset voor het incident op het tabblad Bewijs en Antwoord. |
| in de Azure-portal | Ga terug naar Azure Portal om extra incidentacties uit te voeren, zoals: - Geautomatiseerd onderzoek en herstelacties voor 3P uitvoeren - Aangepaste SOAR-playbooks (Security Orchestration, Automation and Response) maken - Het vastleggen van bewijs voor incidentbeheer, zoals opmerkingen om uw acties en de resultaten van uw analyse vast te leggen. - Aangepaste metingen toevoegen. |
Zie voor meer informatie:
- Microsoft Sentinel-incidenten grondig onderzoeken in de Azure portal
- Incidenten beheren in Microsoft Defender
Automatisering met Microsoft Sentinel
Gebruik de playbook- en automatiseringsregelfunctionaliteit van Microsoft Sentinel:
Een playbook is een verzameling onderzoeks- en herstelacties die u uitvoert vanuit de Microsoft Sentinel-portal als routine. Playbooks helpen bij het automatiseren en organiseren van uw reactie op bedreigingen. Ze worden handmatig uitgevoerd op incidenten, entiteiten of waarschuwingen, of automatisch wanneer ze worden geactiveerd door een automatiseringsregel. Zie Bedreigingsreactie automatiseren met playbooksvoor meer informatie.
Automation-regels kunt u automatisering centraal beheren in Microsoft Sentinel door een kleine set regels te definiëren en coördineren die in verschillende scenario's van toepassing zijn. Zie Het antwoord op bedreigingen automatiseren in Microsoft Sentinel met automatiseringsregelsvoor meer informatie.
Oplossing van incidenten
Wanneer uw onderzoek is afgerond en u het incident in de portals hebt opgelost, lost u dit op. Zie Een incident sluiten in Azure Portalvoor meer informatie.
Meld het incident bij uw incidentresponsleider voor eventuele vervolgacties. Bijvoorbeeld:
- Informeer uw beveiligingsanalisten op laag 1 om de aanval vroeg te detecteren.
- Onderzoek de aanval in Microsoft Defender XDR Threat Analytics en de beveiligingscommunity voor een beveiligingsaanvaltrend.
- Noteer de werkstroom die wordt gebruikt om het incident op te lossen en werk uw standaardwerkstromen, processen, beleidsregels en playbooks bij.
- Bepaal of er wijzigingen in uw beveiligingsconfiguratie nodig zijn en implementeer deze.
- Maak een orchestratiehandleiding om uw respons op bedreigingen bij vergelijkbare risico's te automatiseren. Zie Bedreigingsreactie automatiseren met playbooks in Microsoft Sentinelvoor meer informatie.
Verwante inhoud
Zie voor meer informatie:
- Microsoft Defender XDR-integratie met Microsoft Sentinel
- interactieve handleiding voor Unified SIEM en XDR
- Microsoft Defender XDR Threat Analytics