Onze EDR-tool stuurt alerts - wat doe ik ermee?
Endpoint Detection & Response (Defender for Endpoint, SentinelOne, CrowdStrike) genereren elke dag alerts. Niet elke is een aanval, maar geen alert mag zomaar weg.
Probeer dit eerst zelf
- 1Categoriseer per alert: 'Informational' (geen actie), 'Low' (later kijken), 'Medium/High' (vandaag) of 'Critical' (nu). De tool zelf classificeert al, gebruik dat.
- 2Bij Medium of hoger: klik door naar de details. Welke gebruiker, welk apparaat, welk proces? Vaak zie je meteen of het herkenbaar werkverkeer is of niet.
- 3Onbekend proces dat 'iets met PowerShell' deed: isoleer het apparaat (in Defender: 'Isolate device'). Niet uitzetten - blijf hem online voor onderzoek.
- 4Verzamel context op een ander apparaat: heeft de gebruiker iets ongewoons gedaan? Een nieuwe tool geïnstalleerd? Vraag persoonlijk, niet via mail van het verdachte apparaat.
- 5Sluit alerts niet zonder onderzoek. Beter een open alert die later 'false positive' wordt dan iets gemist.
Wanneer ons inschakelen
Critical alert + geen ervaring met EDR-onderzoek = bel ons direct. We kunnen mee-troubleshooten in jullie console binnen een uur. Niet zelf 'snelle conclusies' trekken.
Zie ook
- Ik denk dat ik op een phishing-link heb gekliktNiet schamen, gebeurt iedereen. De volgende vijftien minuten doen ertoe.
- Een collega-account doet rare dingenMails verzenden uit naam van de collega, regels die mappen verbergen, ongebruikelijke logins. Verdacht.
- MFA-app verloren - nieuwe telefoon, geen backup-codesKlassiek probleem na een telefoon-upgrade. Niet de eerste die zonder kan inloggen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.