Untersuchen von Defender for Identity-Sicherheitswarnungen in Microsoft Defender XDR

Hinweis

Defender for Identity ist nicht als Überwachungs- oder Protokollierungslösung konzipiert, die jeden einzelnen Vorgang oder jede Aktivität auf den Servern erfasst, auf denen der Sensor installiert ist. Es erfasst nur die Daten, die für die Erkennungs- und Empfehlungsmechanismen erforderlich sind.

In diesem Artikel werden die Grundlagen der Arbeit mit Microsoft Defender for Identity Sicherheitswarnungen in Microsoft Defender XDR erläutert.

Defender for Identity-Warnungen werden nativ in Microsoft Defender XDR mit einem dedizierten Identitätswarnungsseitenformat integriert.

Die Seite "Identitätswarnung" bietet Microsoft Defender for Identity Kunden eine bessere domänenübergreifende Signalanreicherung und neue automatisierte Identitätsantwortfunktionen. Es stellt sicher, dass Sie sicher bleiben, und trägt dazu bei, die Effizienz Ihrer Sicherheitsvorgänge zu verbessern.

Einer der Vorteile der Untersuchung von Warnungen über Microsoft Defender XDR besteht darin, dass Microsoft Defender for Identity Warnungen weiter mit Informationen korreliert werden, die von den anderen Produkten in der Suite abgerufen wurden. Diese erweiterten Warnungen sind konsistent mit den anderen Microsoft Defender XDR Warnungsformaten, die von Microsoft Defender for Office 365 und Microsoft Defender for Endpoint stammen. Die neue Seite entfällt effektiv die Notwendigkeit, zu einem anderen Produktportal zu navigieren, um Warnungen im Zusammenhang mit der Identität zu untersuchen.

Warnungen, die von Defender for Identity stammen, können jetzt die Microsoft Defender XDR funktionen für automatisierte Untersuchung und Reaktion (AIR) auslösen, einschließlich der automatischen Behebung von Warnungen und der Entschärfung von Tools und Prozessen, die zu verdächtigen Aktivitäten beitragen können.

Wichtig

Im Rahmen der Konvergenz mit Microsoft Defender XDR haben sich einige Optionen und Details von ihrem Standort im Defender for Identity-Portal geändert. Lesen Sie die details unten, um herauszufinden, wo Sie sowohl die vertrauten als auch die neuen Features finden.

Überprüfen von Sicherheitswarnungen

Auf Warnungen kann von mehreren Standorten aus zugegriffen werden, einschließlich der Seite Warnungen , der Seite Incidents , den Seiten einzelner Geräte und der Seite Erweiterte Suche . In diesem Beispiel sehen wir uns die Seite Warnungen an.

Wechseln Sie Microsoft Defender XDR zu Incidents & Warnungen und dann zu Warnungen.

Um Warnungen von Defender for Identity anzuzeigen, wählen Sie oben rechts Filter aus, und wählen Sie dann unter Dienstquellendie Option Microsoft Defender for Identity und dann Anwenden aus:

Die Warnungen werden mit Informationen in den folgenden Spalten angezeigt: Warnungsname, Tags, Schweregrad, Untersuchungsstatus, Status, Kategorie, Erkennungsquelle, Betroffenen Ressourcen, Erste Aktivität und Letzte Aktivität.

Sicherheitswarnungskategorien

Defender for Identity-Sicherheitswarnungen sind in die folgenden Kategorien oder Phasen unterteilt, wie die Phasen in einer typischen Kill Chain für Cyberangriffe.

• Reconnaissance-Warnungen
• Warnungen zu kompromittierten Anmeldeinformationen
• Lateral Movement-Warnungen
• Domänendominanzwarnungen
• Exfiltrationswarnungen

Verwalten von Warnungen

Wenn Sie den Warnungsnamen für eine der Warnungen auswählen, wechseln Sie zu der Seite mit Details zur Warnung. Im linken Bereich sehen Sie eine Zusammenfassung von Was ist passiert:

Oberhalb des Felds Was ist passiert , befinden sich Schaltflächen für konten, Zielhost und Quellhost der Warnung. Für andere Warnungen werden möglicherweise Schaltflächen mit Details zu zusätzlichen Hosts, Konten, IP-Adressen, Domänen und Sicherheitsgruppen angezeigt. Wählen Sie eine von ihnen aus, um weitere Details zu den beteiligten Entitäten zu erhalten.

Im rechten Bereich werden die Warnungsdetails angezeigt. Hier können Sie weitere Details anzeigen und verschiedene Aufgaben ausführen:

• Klassifizieren dieser Warnung: Hier können Sie diese Warnung als "True"- oder "False"-Warnung festlegen.

  

• Warnungsstatus : Unter Klassifizierung festlegen können Sie die Warnung als True oder False klassifizieren. Unter Zugewiesen zu können Sie die Warnung sich selbst zuweisen oder die Zuweisung aufheben.

  

• Warnungsdetails : Unter Warnungsdetails finden Sie weitere Informationen zu der jeweiligen Warnung, folgen Sie einem Link zur Dokumentation über die Art der Warnung, sehen Sie sich an, welchem Incident die Warnung zugeordnet ist, überprüfen Sie alle automatisierten Untersuchungen, die mit diesem Warnungstyp verknüpft sind, und sehen Sie sich die betroffenen Geräte und Benutzer an.

  

• Kommentare & Verlauf : Hier können Sie Der Warnung Ihre Kommentare hinzufügen und den Verlauf aller Aktionen anzeigen, die der Warnung zugeordnet sind.

  

• Warnung verwalten : Wenn Sie Warnung verwalten auswählen, wechseln Sie zu einem Bereich, in dem Sie Folgendes bearbeiten können:

  • Status : Sie können Neu, Aufgelöst oder In Bearbeitung auswählen.

  • Klassifizierung : Sie können True alert (Echte Warnung ) oder False alert (Falsche Warnung) auswählen.

  • Kommentar : Sie können einen Kommentar zu der Warnung hinzufügen.

  • Wenn Sie die drei Punkte neben Warnung verwalten auswählen, können Sie Warnung mit einem anderen Incident verknüpfen, Unterdrückungsregel erstellen (nur für Vorschaukunden verfügbar) oder Defender-Experten fragen.

    

    Sie können die Warnung auch in eine Excel-Datei exportieren. Wählen Sie hierzu Exportieren aus .

    Hinweis

    In der Excel-Datei stehen nun zwei Links zur Verfügung: In Microsoft Defender for Identity anzeigen und In Microsoft Defender XDR anzeigen. Jeder Link führt Sie zum entsprechenden Portal und enthält Dort Informationen zur Warnung.

Optimieren von Warnungen

Optimieren Sie Ihre Warnungen, um sie anzupassen und zu optimieren, um falsch positive Ergebnisse zu reduzieren. Die Warnungsoptimierung ermöglicht es Ihren SOC-Teams, sich auf Warnungen mit hoher Priorität zu konzentrieren und die Abdeckung der Bedrohungserkennung im gesamten System zu verbessern. Erstellen Sie in Microsoft Defender XDR Regelbedingungen basierend auf Beweistypen, und wenden Sie ihre Regel dann auf jeden Regeltyp an, der Ihren Bedingungen entspricht.

Weitere Informationen finden Sie unter Optimieren einer Warnung.

Siehe auch

• Microsoft Defender for Identity Sicherheitswarnungen

Weitere Informationen

• Testen Sie unseren interaktiven Leitfaden: Erkennen verdächtiger Aktivitäten und potenzieller Angriffe mit Microsoft Defender for Identity