This is the Trace Id: e4baba05d94dc786336acee5600d3499
Overslaan naar hoofdinhoud Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Alle producten weergeven Cyberbeveiliging, mogelijk gemaakt met AI Cloudbeveiliging Gegevensbeveiliging en governance Toegang tot identiteit en netwerk Privacy- en risicobeheer Beveiliging voor AI Klein en middelgroot bedrijf Uniforme beveiligingsbewerkingen Zero Trust Prijsstelling Services Partners Waarom Microsoft Beveiliging Bewustwording over cyberbeveiliging Verhalen van klanten Beveiliging 101 Proefversie van product Erkenning in de sector Microsoft Security Insider Microsoft Digital Defense-rapport Security Response Center Microsoft Security-blog Microsoft-beveiligingsevenementen Microsoft Tech Community Documentatie Technische Inhoudsbibliotheek Training & certificeringen Complianceprogramma voor Microsoft Cloud Microsoft Vertrouwenscentrum Service Trust Portal Microsoft Secure Future Initiative Business Solutions Hub Contact opnemen met Verkoop Start gratis proefversie Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mixed reality Microsoft HoloLens Microsoft Viva Quantumcomputing Onderwijs Auto's Financiële dienstverlening Overheid Gezondheidszorg Productiebedrijven Detailhandel Een partner zoeken Een partner worden Partnernetwerk Microsoft Marketplace Blog Microsoft Advertising Ontwikkelaarscentrum Documentatie Evenementen Licenties Microsoft Learn Microsoft Research Bekijk het siteoverzicht
Hier is de alt-tekst zoals gevraagd, zonder de onscherpe gezichtsafbeelding te noemen: **Alt-tekst:** Een persoon die een tablet vasthoudt in een serverruimte en een dashboard bekijkt met grafieken en systeemprestaties op het scherm.

Wat zijn Indicators of Compromise (IOC's)?

Meer informatie over het bewaken, identificeren, gebruiken en reageren op indicators of Compromise.
Ontdek Microsoft Defender-bedreigingsinformatie

Uitleg over Indicators of Compromise

Een indicator of Compromise (IOC) is bewijs dat iemand het netwerk van een organisatie of eindpunt heeft geschonden. Deze forensische gegevens duiden niet alleen op een mogelijke bedreiging, maar geven ook aan dat er al een aanval is opgetreden, zoals malware, verdachte referenties of gegevensexfiltratie. Beveiligingsprofessionals zoeken naar IOC's in gebeurtenislogboeken, oplossingen voor uitgebreide detectie en reactie (XDR) en SIEM (Security Information and Event Management)-oplossingen. Tijdens een aanval maakt het team gebruik van IOC's om de bedreiging te elimineren en schade te beperken. Na herstel helpen IOC's een organisatie beter te begrijpen wat er is gebeurd, zodat het beveiligingsteam van de organisatie de beveiliging kan versterken en het risico op een nieuw soortgelijk incident kan verkleinen.

Voorbeelden van IOC's

Bij IOC-beveiliging controleert de IT-afdeling de omgeving op de volgende aanwijzingen dat er een aanval gaande is:

Afwijkingen in netwerkverkeer

In de meeste organisaties zijn er consistente patronen in het netwerkverkeer dat de digitale omgeving in en uit gaat. Wanneer dat verandert, bijvoorbeeld als er aanzienlijk meer gegevens de organisatie verlaten of als er activiteiten zijn die afkomstig zijn van een ongebruikelijke locatie in het netwerk, kan dit een indicatie zijn van een aanval.

Ongebruikelijke aanmeldingspogingen

Net als netwerkverkeer zijn de werkgewoonten van mensen voorspelbaar. Ze melden zich doorgaans aan vanaf dezelfde locaties en op ongeveer dezelfde tijdstippen gedurende de week. Beveiligingsprofessionals kunnen een gehackt account detecteren door aandacht te besteden aan aanmeldingen op vreemde tijden van de dag of vanuit ongebruikelijke geografische gebieden, zoals een land waar een organisatie geen kantoor heeft. Het is ook belangrijk om kennis te nemen van meerdere mislukte aanmeldingen vanaf hetzelfde account. Hoewel mensen af en toe hun wachtwoord vergeten of problemen hebben met inloggen, kunnen ze dit meestal na een paar pogingen oplossen. Herhaalde mislukte aanmeldingspogingen kunnen erop duiden dat iemand toegang probeert te krijgen tot de organisatie met behulp van een gestolen account.

Onregelmatigheden in bevoegdhedenaccount

Veel aanvallers, of ze nu insiders of outsiders zijn, zijn geïnteresseerd in toegang tot beheerdersaccounts en het verkrijgen van gevoelige gegevens. Afwijkend gedrag in verband met deze accounts, zoals pogingen om meer bevoegdheden te krijgen, kan wijzen op een inbreuk.

Wijzigingen in systeemconfiguraties

Malware is vaak geprogrammeerd om wijzigingen aan te brengen in systeemconfiguraties, zoals het inschakelen van externe toegang of het uitschakelen van beveiligingssoftware. Door deze onverwachte configuratiewijzigingen te controleren, kunnen beveiligingsprofessionals een inbreuk identificeren voordat er te veel schade is opgetreden.

Onverwachte software-installaties of -updates

Veel aanvallen beginnen met de installatie van software, zoals malware of ransomware, die is ontworpen om bestanden ontoegankelijk te maken of om aanvallers toegang te geven tot het netwerk. Door te controleren op niet-geplande software-installaties en -updates, kunnen organisaties deze IOC's snel ondervangen.

Talloze aanvragen voor hetzelfde bestand

Meerdere aanvragen voor hetzelfde bestand kunnen erop duiden dat een kwaadwillende het probeert te stelen en verschillende methoden heeft geprobeerd om het te openen.

Ongebruikelijke aanvragen voor domeinnaamsystemen

Sommige kwaadwillenden gebruiken de aanvalsmethode 'command and control'. Ze installeren malware op de server van een organisatie die een verbinding tot stand brengt met een server waarvan zij eigenaar zijn. Vervolgens verzenden ze opdrachten vanaf hun server naar de geïnfecteerde machine om te proberen gegevens te stelen of bewerkingen te verstoren. Ongebruikelijke DNS-aanvragen (Domain Name Systems) helpen de IT-afdeling bij het detecteren van deze aanvallen.

Hoe IOC's te identificeren

De signalen van een digitale aanval worden vastgelegd in de logboekbestanden. Als onderdeel van IOC-cyberbeveiliging controleren teams regelmatig digitale systemen op verdachte activiteiten. Moderne SIEM- en XDR-oplossingen vereenvoudigen dit proces met AI- en machine learning-algoritmen die een basis leggen voor wat normaal is in de organisatie en het team vervolgens waarschuwen voor afwijkingen. Het is ook belangrijk om werknemers buiten de IT-afdeling erbij te betrekken, die mogelijk verdachte e-mails ontvangen of per ongeluk een geïnfecteerd bestand downloaden. Goede beveiligingstrainingsprogramma's helpen werknemers beter te worden in het detecteren van gecompromitteerde e-mails en bieden manieren waarop ze zaken kunnen rapporteren die niet kloppen.

Waarom IOC's belangrijk zijn

Het bewaken van IOC's is essentieel om het beveiligingsrisico van een organisatie te verminderen. Met vroege detectie van I/OE's kunnen beveiligingsteams snel reageren op aanvallen en deze oplossen, waardoor de hoeveelheid downtime en onderbrekingen wordt verminderd. Regelmatige controle biedt teams ook meer inzicht in beveiligingsproblemen van de organisatie, die vervolgens kunnen worden verholpen.

Reageren op indicatoren van inbreuk

Zodra beveiligingsteams een IOC identificeren, moeten ze effectief reageren om de organisatie zo min mogelijk schade te berokkenen. Met de volgende stappen kunnen organisaties gefocust blijven en bedreigingen zo snel mogelijk stoppen:

Een plan voor incidentrespons opstellen

Reageren op een incident is stressvol en tijdgevoelig, omdat hoe langer aanvallers onopgemerkt blijven, hoe groter de kans is dat ze hun doelen bereiken. Veel organisaties ontwikkelen eenincidentresponsplan om teams te begeleiden tijdens de kritieke fasen van een respons. In het plan wordt beschreven hoe de organisatie een incident, rollen en verantwoordelijkheden definieert, welke stappen nodig zijn om een incident op te lossen en hoe het team moet communiceren met werknemers en externe belanghebbenden.

Gecompromitteerde systemen en apparaten isoleren

Zodra een organisatie een bedreiging heeft geïdentificeerd, isoleert het beveiligingsteam snel toepassingen of systemen die worden aangevallen van de rest van de netwerken. Dit helpt voorkomen dat de aanvallers toegang krijgen tot andere delen van het bedrijf.

Forensische analyse uitvoeren

Forensische analyse helpt organisaties bij het ontdekken van alle aspecten van een inbreuk, met inbegrip van de bron, het type aanval en de doelen van de aanvaller. Er wordt tijdens de aanval een analyse uitgevoerd om inzicht te krijgen in de omvang van de inbreuk. Zodra de organisatie is hersteld van de aanval, helpt aanvullende analyse het team mogelijke beveiligingsproblemen en andere inzichten te begrijpen.

De bedreiging elimineren

Het team verwijdert de aanvaller en eventuele malware uit betrokken systemen en resources, waarbij systemen mogelijk offline worden gehaald.

Beveiligings- en procesverbeteringen implementeren

Zodra de organisatie is hersteld van het incident, is het belangrijk om te evalueren waarom de aanval heeft plaatsgevonden en of de organisatie iets had kunnen doen om dit te voorkomen. Er kunnen eenvoudige proces- en beleidsverbeteringen zijn die het risico op een soortgelijke aanval in de toekomst zullen verminderen of het team kan oplossingen voor de langere termijn identificeren om toe te voegen aan een beveiligingsroadmap.



IOC-oplossingen

De meeste inbreuken op de beveiliging laten een forensisch spoor achter in logbestanden en systemen. Door deze IOC's te leren identificeren en monitoren, kunnen organisaties aanvallers snel isoleren en elimineren. Veel teams schakelen over op SIEM-oplossingen, zoals Microsoft Sentinel en Microsoft Defender XDR, die AI en automatisering gebruiken om IOC's naar boven te halen en deze te correleren met andere evenementen. Een incidentresponsplan stelt teams in staat aanvallen voor te zijn en deze snel af te dichten. Als het om cyberbeveiliging gaat, geldt dat hoe sneller bedrijven begrijpen wat er gebeurt, hoe groter de kans is dat ze een aanval kunnen stoppen voordat deze geld kost of hun reputatie schaadt. IOC-beveiliging is essentieel om organisaties te helpen hun risico op een kostbare inbreuk te verminderen.
Resources

Meer informatie over Microsoft Beveiliging

  1.
Een man en vrouw die aan een tafel zitten, terwijl de vrouw op een boek schrijft en een laptop zichtbaar is.

Microsoft bedreigingsbeveiliging

Identificeer incidenten in je hele organisatie en reageer erop met de nieuwste bescherming tegen bedreigingen.
Meer informatie
Een persoon die aan een bureau zit en een laptop gebruikt.

Microsoft Sentinel

Breng beveiligingsgegevens en context samen tot een krachtige agentische verdediging met SIEM & AI-gericht platform.
Meer informatie
Een vrouw die naar haar mobiele telefoon kijkt.

Microsoft Defender XDR

Stop aanvallen op eindpunten, e-mail, identiteiten, toepassingen en gegevens met XDR-oplossingen.
Meer informatie
Een groep van drie mensen in een helder kantoor, glimlachend en betrokken terwijl ze naar een laptop kijken die door één persoon wordt vastgehouden.

Community voor bedreigingsinformatie

Download de nieuwste updates van de community-editie van Microsoft Defender-bedreigingsinformatie.
Meer informatie
Terug naar sectie Gerelateerde producten
Veelgestelde vragen

Veelgestelde vragen

  • Er zijn verschillende typen IOC's. Enkele van de meest voorkomende zijn:
    • Afwijkingen in netwerkverkeer
    • Ongebruikelijke aanmeldingspogingen
    • Onregelmatigheden in bevoegdhedenaccount
    • Wijzigingen in systeemconfiguraties
    • Onverwachte software-installaties of -updates
    • Talloze aanvragen voor hetzelfde bestand
    • Ongebruikelijke aanvragen voor domeinnaamsystemen
  • Een Indicator of Compromise is digitaal bewijs dat er al een aanval is opgetreden. Een indicator van een aanval is bewijs dat een aanval waarschijnlijk zal optreden. Een phishingcampagne is bijvoorbeeld een indicator van een aanval omdat er geen bewijs is dat de aanvaller het bedrijf gecompromitteerd heeft. Als iemand echter op een phishingkoppeling klikt en malware downloadt, is de installatie van de malware een Indicator of Compromise.
  • Indicators of Compromise in e-mail zijn onder andere een plotselinge stroom spam, vreemde bijlagen of koppelingen of een onverwacht e-mailbericht van een bekende persoon. Als een werknemer bijvoorbeeld een e-mailbericht met een vreemde bijlage verzendt naar een collega, kan dit erop duiden dat zijn of haar account is gecompromitteerd.
  • Er zijn meerdere manieren om een aangetast systeem te identificeren. Een wijziging in het netwerkverkeer van een bepaalde computer kan een indicatie zijn dat er de computer gecompromitteerd is. Als iemand die normaal gesproken geen systeem nodig heeft, er regelmatig toegang toe krijgt, is dat een alarmsignaal. Wijzigingen in de configuraties op het systeem of een onverwachte software-installatie kunnen er ook op duiden dat deze is gecompromitteerd.
  • Drie IOC-voorbeelden zijn:
    • Een gebruikersaccount dat zich in Noord-Amerika bevindt, begint zich aan te melden bij bedrijfsbronnen uit Europa.
    • Duizenden toegangsaanvragen voor verschillende gebruikersaccounts, wat aangeeft dat de organisatie het slachtoffer is van een beveiligingsaanval.
    • Nieuwe aanvragen voor domeinnaamsystemen die afkomstig zijn van een nieuwe host of een land waar geen werknemers of klanten wonen.

Volg Microsoft Beveiliging

Surface Pro Surface Laptop Copilot voor organisaties Copilot voor persoonlijk gebruik Microsoft 365 Bekijk Microsoft-producten Windows 11-apps Accountprofiel Downloadcentrum Ondersteuning Microsoft Store Terugzendingen Bestelling traceren Recyclage Commerciële garanties Microsoft Education Apparaten voor het onderwijs Microsoft Teams for Education Microsoft 365 Education Office Education Educator-training en -ontwikkeling Aanbiedingen voor studenten en ouders Azure voor studenten
Microsoft AI Microsoft Beveiliging Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Midden- en kleinbedrijf Microsoft-ontwikkelaar Microsoft Learn Ondersteuning voor AI-marketplace-apps Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Softwarebedrijven Visual Studio Vacatures Privacy bij Microsoft Investeerders
Nederlands (Nederland) Privacy van consumentenstatus Contact opnemen met Microsoft Privacy Cookies beheren Gebruiksvoorwaarden Handelsmerken Over onze advertenties EU Compliance DoCs