Anzeigen und Verwalten von Vorfällen in Microsoft Defender for Business
Wenn Bedrohungen erkannt werden, werden Warnungen generiert und Vorfälle erstellt. Das Sicherheitsteam Ihres Unternehmens kann Incidents im Microsoft Defender-Portal anzeigen und verwalten. Sie müssen über die entsprechenden Berechtigungen verfügen, um die Aufgaben in diesem Artikel ausführen zu können. Weitere Informationen finden Sie unter Sicherheitsrollen und Berechtigungen in Microsoft Defender for Business.
Dieser Artikel enthält Folgendes:
Überwachen Von Incidents & Warnungen
Navigieren Sie im Microsoft Defender-Portal (https://security.microsoft.com) im Navigationsbereich zu Incidents & Warnungen, und wählen Sie dann Incidents aus. Alle incidents, die erstellt wurden, werden auf der Seite aufgeführt.
Wichtig
Wenn ein Incident mit
Attack disruption
gekennzeichnet ist, bedeutet dies, dass ein erweiterter Angriff erkannt wurde. Weitere Informationen finden Sie unter Automatische Angriffsunterbrechung.Eine Warnung auswählen, um den Flyoutbereich zu öffnen, in dem Sie mehr über die Warnung erfahren können.
Im Flyoutbereich können Sie den Titel der Warnung anzeigen, eine Liste der betroffenen Ressourcen (z. B. Geräte oder Benutzerkonten) anzeigen, verfügbare Aktionen ergreifen und Links verwenden, um weitere Informationen anzuzeigen und sogar die Detailseite für die ausgewählte Warnung zu öffnen.
Tipp
Defender for Business wurde entwickelt, um Sie bei der Bewältigung erkannter Bedrohungen zu unterstützen, indem Sie Maßnahmen empfehlen, die Sie ergreifen können. Wenn Sie eine Warnung anzeigen, suchen Sie nach diesen Vorschlägen. Beachten Sie auch den Warnungsschweregrad, der nicht nur anhand des erkannten Bedrohungsschweregrads, sondern auch auf der Risikostufe für Ihr Unternehmen bestimmt wird.
Warnungsschweregrad
Wenn eine Bedrohung erkannt wird, wird jeder generierten Warnung ein Schweregrad zugewiesen.
- Microsoft Defender Antivirus weist einen Warnungsschweregrad basierend auf dem absoluten Schweregrad einer erkannten Bedrohung (z. B. Schadsoftware) und dem potenziellen Risiko für ein einzelnes Gerät (falls infiziert) zu.
- Defender for Business weist einen Warnungsschweregrad basierend auf dem Schweregrad des erkannten Verhaltens, dem tatsächlichen Risiko für ein Gerät und vor allem dem potenziellen Risiko für Ihr Unternehmen zu.
In der folgenden Tabelle sind einige Beispiele für Warnungen und deren Schweregrad aufgeführt:
Szenario | Schweregrad und Grund der Warnung |
---|---|
Automatisierte Angriffsunterbrechungen erkennen einen erweiterten Angriff und enthalten Geräte oder Benutzerkonten, um zu verhindern, dass der Angriff fortgesetzt wird. | Hoch. Angriffsunterbrechungsfunktionen helfen bei der Eindämmung eines Angriffs, sodass Ihr IT-/Sicherheitsteam ihn angehen kann. |
Microsoft Defender Antivirus erkennt und stoppt eine Bedrohung, bevor sie Schaden anrichtet. | Informativ. Die Bedrohung wurde gestoppt, bevor ein Schaden angerichtet wurde. |
Microsoft Defender Antivirus erkennt Schadsoftware, die in Ihrem Unternehmen ausgeführt wurde. Die Schadsoftware wird beendet und behoben. | Niedrig. Obwohl ein einzelnes Gerät möglicherweise beschädigt wurde, stellt die Schadsoftware jetzt keine Bedrohung für Ihr Unternehmen dar. |
Schadsoftware, die ausgeführt wird, wird von Defender for Business erkannt. Die Schadsoftware wird fast sofort blockiert. | Mittel oder Hoch. Die Schadsoftware stellt eine Bedrohung für einzelne Geräte und Ihr Unternehmen dar. |
Verdächtiges Verhalten wird erkannt, aber es wurden noch keine Korrekturmaßnahmen durchgeführt. | Niedrig, Mittel oder Hoch. Der Schweregrad hängt davon ab, inwieweit das Verhalten eine Bedrohung für Ihr Unternehmen darstellt. |