Reageren op een incident met behulp van de Defender-portal
In dit artikel wordt uitgelegd hoe u kunt reageren op een incident met behulp van Microsoft Sentinel in de Defender-portal, met informatie over triage, onderzoek en oplossing.
Voorwaarden
Incidenten onderzoeken in de Defender-portal:
- Uw Log Analytics-werkruimte die wordt gebruikt voor Microsoft Sentinel, moet worden toegevoegd aan de Defender-portal. Zie Microsoft Sentinel verbinden met de Microsoft Defender-portalvoor meer informatie.
Proces voor reactie op incidenten
Wanneer u in de Defender-portal werkt, voert u de eerste stappen voor triage, oplossing en opvolging uit zoals u dat anders zou doen. Zorg er bij het onderzoeken voor dat u het volgende doet:
- Krijg inzicht in het incident en de omvang ervan door de tijdlijnen van middelen te bekijken.
- Controleer zelfherstellende acties die in behandeling zijn, herstel entiteiten handmatig en voer een live-reactie uit.
- Voeg preventiemaatregelen toe.
De toegevoegde Microsoft Sentinel- gebied van de Defender-portal helpt u bij het verdiepen van uw onderzoek, waaronder:
- Inzicht in het bereik van het incident door het te correleren met uw beveiligingsprocessen, beleid en procedures (3P).
- 3P geautomatiseerde onderzoeks- en herstelacties uitvoeren en aangepaste SOAR-playbooks (Security Orchestration, Automation en Response) maken.
- Het vastleggen van bewijs voor incidentbeheer.
- Aangepaste metingen toevoegen.
Zie voor meer informatie:
- Incidenten onderzoeken in Microsoft Defender XDR
- Reactie op incidenten met de Microsoft Defender XDR
- Entiteitspagina's in Microsoft Sentinel
Automatisering met Microsoft Sentinel
Zorg ervoor dat u profiteert van de playbook- en automatiseringsregelfunctionaliteit van Microsoft Sentinel:
Een playbook is een verzameling onderzoeks- en herstelacties die als routine vanuit de Microsoft Sentinel-portal kunnen worden uitgevoerd. Playbooks kunnen u helpen bij het automatiseren en organiseren van uw reactie op bedreigingen. Ze kunnen handmatig op aanvraag worden uitgevoerd op incidenten, entiteiten en waarschuwingen, of worden ingesteld om automatisch te worden uitgevoerd als reactie op specifieke waarschuwingen of incidenten, wanneer deze worden geactiveerd door een automatiseringsregel. Zie Bedreigingsreactie automatiseren met playbooksvoor meer informatie.
Automation-regels zijn een manier om automatisering centraal te beheren in Microsoft Sentinel, doordat u een kleine set regels kunt definiëren en coördineren die in verschillende scenario's kunnen worden toegepast. Zie Het antwoord op bedreigingen automatiseren in Microsoft Sentinel met automatiseringsregelsvoor meer informatie.
Nadat u uw Microsoft Sentinel-werkruimte hebt toegevoegd aan het geïntegreerde platform voor beveiligingsbewerkingen, moet u er rekening mee houden dat er verschillen zijn in de manier waarop automatisering in uw werkruimte functioneert. Zie Automation met het geïntegreerde platform voor beveiligingsbewerkingenvoor meer informatie.
Reactie na incidenten
Nadat u het incident hebt opgelost, meldt u het incident aan de lead voor het reageren op incidenten voor mogelijke opvolging om meer acties te bepalen. Bijvoorbeeld:
- Informeer uw beveiligingsanalisten op laag 1 om de aanval vroeg te detecteren.
- Onderzoek de aanval in Microsoft Defender XDR Threat Analytics en de beveiligingscommunity voor een beveiligingsaanvaltrend. Zie Threat Analytics in Microsoft Defender XDRvoor meer informatie.
- Noteer zo nodig de werkstroom die u hebt gebruikt om het incident op te lossen en werk uw standaardwerkstromen, processen, beleidsregels en playbooks bij.
- Bepaal of er wijzigingen in uw beveiligingsconfiguratie nodig zijn en implementeer deze.
- Maak een orkestratiehandleiding om uw bedreigingsreactie te automatiseren en orkestreren voor een vergelijkbaar risico in de toekomst. Zie Bedreigingsreactie automatiseren met playbooks in Microsoft Sentinelvoor meer informatie.
Verwante inhoud
Zie voor meer informatie: