Als je in het menu kiest voor "Incidents", dan krijg je een overzicht te zien van alle incidenten die zijn aangemaakt.
Je kunt alle incidenten bekijken door naar het overzicht te gaan, waarin alle incidenten ongeacht de status of tenant, worden getoond. Vervolgens kun je de nodige stappen ondernemen om de situatie op te lossen.
Wanneer je een filter gebruikt in het incidentenoverzicht, kun je specifieke incidenten selecteren en zo een beter overzicht krijgen van de incidenten die voor jou relevant zijn.
Filter aanpassen
Om gebruik te kunnen maken van de filterfunctie , kun je op onderstaande knop klikken. Met deze zelfde knop kan de functie ook weer uitgeschakeld worden.
Binnen de incidenten is het mogelijk om te filteren op onderstaande kolommen;
- Applied solution
- Status
Je kunt de filter aanpassen door op het symbool naast de kolom te drukken.
Je hebt de mogelijkheid om de sortering van het veld “Created” en het veld “Last updated” aan te passen door op de pijl te klikken die naast dit veld wordt weergegeven. Door op deze pijl te klikken, kun je de sortering wijzigen van 'nieuw naar oud' of van 'oud naar nieuw'.
Dit is handig om de informatie te bekijken in de gewenste volgorde, afhankelijk van jouw behoeften en voorkeuren.
Beschikbare informatie in incidenten
In het overzicht is onderstaande informatie beschikbaar.
| Naam | Omschrijving |
| Name | In de kolom met de naam van het incident vind je een korte beschrijving van de inhoud van het incident, inclusief een symbool dat aangeeft om welk type incident het gaat. Dit symbool kan aangeven of het gaat om een thema-, een change- of een monitoringincident. |
| Applied solution | In deze kolom wordt de naam van de applied solution weergegeven. |
| Status | In deze kolom wordt de status van het incident weergegeven, die kan variëren van "open" en "new" tot "pending", "solved", "closed" en "on hold". |
| Created | Dit is de datum waarop het incident is aangemaakt. |
| Last updated | Dit is de datum waarop het incident voor het laatst gewijzigd is. |
Incident details
Door een incident te selecteren open je het scherm waar je alle details over het incident kunt vinden.
In de onderstaande sectie wordt de titel van het incident, de bijbehorende status en een beknopte beschrijving daarvan weergegeven.
In de sectie er onder wordt weergegeven welke fixes er beschikbaar zijn.
Voor sommige checks kunnen wij geen geautomatiseerde fix aanbieden, maar adviseren wij om een handmatige wijziging door te voeren. Deze handmatige fixes worden getoond in de sectie er onder.
Hieronder wordt weergegeven welke checks aan het incident zijn gekoppeld en wat hun status is. Aan een thema-incidenten kunnen meerdere checks gekoppeld zijn.
Enkele thema's bevatten monitoring checks, in het thema-incident wordt gevraagd of deze checks geactiveerd mogen worden.
Onderaan het incident is het mogelijk om notities toe te voegen aan een incident. Op de kolom "incident reference" kan ook gezocht worden in het overzicht van de incidenten.
Onderaan de pagina staan de actieknoppen, welke gebruikt kunnen worden voor het afhandelen van het incident.
Meer informatie over het afhandelen van incidenten kan je hier vinden.
Afhandelen van incidenten
Je kunt incidenten direct afhandelen in Attic door de volgende stappen te volgen.
Zoek eerst het af te handelen incident op en klik er op om het te openen.
De afhandeling van een incident is afhankelijk van het type incident.
Thema incident
Een thema incident bestaat uit een groep checks die op de een of andere wijze aan elkaar gerelateerd zijn.
Op dit moment zijn onderstaande thema’s beschikbaar:
| Naam | |
| Oboarding | Om de microsoft cloud goed te beschermen moeten we nog een paar dingen regelen. |
| Logging | Logs zijn nodig om een verdacht of ongewenst gedrag te herkennen en onderzoeken. We activeren een aantal logboeken die niet standaard aan staan. |
| Toegang | Het is belangrijk om goed in te stellen op welke manier mensen en programma’s toegang kunnen krijgen tot de Microsoft cloud. |
| Sterke wachtwoorden | Met een aantal instellingen zorgen we ervoor dat mensen een sterk wachtwoord kiezen, in lijn met de laatste inzichten hieromtrent. |
| Multi-factor authenticatie | MFA: de belangrijkste basismaatregel in het vergroten van de digitale weerbaarheid. We zorgen voor de beste configuratie en bewaken die. |
| E-mail bescherming | De meeste security incidenten beginnen met e-mail. We activeren een aantal instellingen om ongewenste berichten blokkeren. |
| Oath Apps | Dit zijn programma’s die namens de gebruiker toegang krijgen tot de Mirosoft cloud. Met een aantal instellingen verkleinen we de kans op misbruik. |
| Afwijkend gedrag | Activeer slimme controles van Microsoft om verdachte aanmeldpogingen en andere risicovol gedrag te signaleren. |
| Monitoring | We activeren een aantal alarmen om wijzigingen die leiden tot potentieel onbevoegde toegang te kunnen dubbel-checken. |
| Domein & DNS | Domeinen die gekoppeld zijn aan de Microsoft cloud, moeten voorzien zijn van een aantal instellingen om misbruik te voorkomen. |
| Gasten | Houd controle over gasten die van buiten de organisatie toegang krijgen tot data in de Microsoft cloud. |
| Systeem | De computers van medewerkers bevatten zakelijke data en vormern voor aanvallers een springplank de organisatie. |
| Malware | Controleer bestanden in de Microsoft365 cloud op virussen en andere malware, voordat ze bij medewerkers uitkomen. |
Er zijn verschillende manieren om een thema incident af te handelen.
- Alle fixes en handmatige acties accepteren
- Alle fixes en handmatige acties uitstellen
- Alle checks voor het thema uitschakelen
- Zelf kiezen welke fixes en handmatige acties je wilt accepteren, uitstellen of uitschakelen.
Alle fixes en handmatige acties accepteren
Druk op de knop “Accepteren” om alle fixes en handmatige acties te accepteren.
Alle fixes en handmatige acties uitstellen
Druk op de knop “Voorlopig negeren” om alle fixes en handmatige acties te negeren.
Het gevolg hier van is dat de checks, gekoppeld aan het incident “gemute” worden voor 4 weken. Na 4 weken zal het incident opnieuw aangeboden worden. Het incident zelf zal gesloten worden.
Alle checks voor het thema uitschakelen
Als de checks niet relevant zijn voor een specifieke tenant, kunnen ze worden uitgeschakeld om te voorkomem dat er incidenten voor worden gegenereerd.
Houd er rekening mee dat het uitschakelen van checks mogelijk gevolgen heeft voor de beveiliging van de tenant.
Zelf kiezen welke fixes en handmatige acties je wilt accepteren, uitstellen of uitschakelen
Daarnaast is het ook mogelijk om zelf te bepalen welke fixes en handmatige acties je accepteert, uitstelt of uitschakelt.
Ga hiervoor naar Fixes en selecteer per aangeboden fix de gewenste actie. Er kan gekozen worden uit: Accepteer, Stel uit en Wijs af.
Maak vervolgens ook een keuze bij eventueel aangeboden Handmatige fixes.
Indien van toepassing kan er ook aangegeven worden worden welke monitoring checks geaccepteerd worden. Klik hier voor meer informatie over de monitoring incidenten.
Druk op “Keuzes accepteren” wanneer alle keuzes gemaakt zijn.
Afhankelijk van de genomen beslissingen wordt de status van het incident bepaald. Het incident kan bijvoorbeeld worden afgesloten of op “pending” worden gezet als er nog verdere acties nodig zijn.
Wanneer alle fixes succesvol zijn uitgevoerd, zal het incident automatisch gesloten worden.
Wat gebeurd er nadat het incident gesloten is?
Nadat alle acties zijn voltooid en alle checks opnieuw zijn uitgevoerd, wordt het incident afgesloten. Als een van de checks echter een nieuw alert genereert, wordt automatisch een nieuw incident aangemaakt dat opnieuw moet worden afgehandeld.
Kan ik zelf een thema incident aanmaken?
Volg de stappen in deze video om zelf een thema incident aan te maken.
Change incident
Een change incident wordt aangemaakt wanneer we een wijziging voorstellen op basis van een uitgevoerde check. In de meeste gevallen bieden we een fix aan waarmee je de wijziging met één druk op de knop kunt doorvoeren. In sommige gevallen kan de wijziging echter niet worden geautomatiseerd en moet deze handmatig worden uitgevoerd.
Er zijn verschillende manieren om een Change incident af te handelen.
- Accepteer de aangeboden fix/handmatige actie.
- Stel de aangeboden fix/handmatige actie uit.
- Schakel de check permanent uit.
Accepteer de aangeboden fix/handmatige actie
Druk op de knop “Accepteren”/”Voer ik uit” om de fix of handmatige acties te accepteren.
Het incident sluit nadat de check in orde is.
Stel de aangeboden fix/handmatige actie uit
Druk op de knop “Voorlopig negeren” om de fix/handmatige actie te negeren.
Het gevolg hier van is dat de check, gekoppeld aan het incident “gemute” zal worden voor 4 weken. Na 4 weken kan het incident opnieuw aangeboden worden. Het incident zelf zal gesloten worden.
Schakel de check permanent uit
Als de check niet relevant is voor een specifieke tenant, kan deze worden uitgeschakeld om te voorkomem dat er incidenten voor worden gegenereerd.
Houd er rekening mee dat het uitschakelen van checks mogelijk gevolgen heeft voor de beveiliging van de tenant. Na het permanent uitschakelen van de check zal het incident gesloten worden.
Wat gebeurd er nadat het incident gesloten is?
Nadat de actie is voltooid en de check opnieuw is uitgevoerd, wordt het incident afgesloten. Als de check een nieuw alert genereert wordt er niet automatisch een nieuw incident aangemaakt. Indien dit wel gewenst is, neem dan contact op met support.
Wel is het mogelijk om zelf een incident hier voor aan te maken. Klik hier voor meer informatie over het aanmaken van incidenten n.a.v. een alert.
Monitoring incident
We bieden een reeks checks om wijzigingen te monitoren die kunnen leiden tot potentieel onbevoegde toegang. Houd er rekening mee dat deze checks geen oplossingen bieden. De afhandeling van de alerts kan per situatie verschillen en vereist soms wel en soms geen actie.
Er zijn verschillende manieren om een Monitoring incident af te handelen, in Attic.
Sluit het incident
Als je op de hoogte bent van het incident en, indien nodig, actie hebt ondernomen, kun je het incident sluiten door op de knop "Sluiten" te klikken.
Negeer het alert
Druk op “Voorlopig negeren” als je er voor wilt kiezen om het alert 4 weken uit te stellen. Het incident wordt vervolgens gesloten en zal later opnieuw aangeboden worden.
Schakel de check permanent uit
Als de check niet relevant is voor een specifieke tenant, kan deze worden uitgeschakeld om te voorkomem dat er incidenten voor worden gegenereerd.
Houd er rekening mee dat het uitschakelen van checks mogelijk gevolgen heeft voor de beveiliging van de tenant. Na het permanent uitschakelen van de check zal het incident gesloten worden.
Voor het weer activeren van een check kan er contact worden opgenomen met support.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.