Freigeben über

Das Info-Center

  • Artikel

Gilt für:

  • Microsoft Defender XDR

Das Info-Center bietet eine "zentrale Benutzeroberfläche" für Incident- und Warnungsaufgaben, z. B.:

  • Genehmigen ausstehender Wartungsaktionen.
  • Anzeigen eines Überwachungsprotokolls mit bereits genehmigten Wartungsaktionen.
  • Überprüfen abgeschlossener Wartungsaktionen

Da das Info-Center eine umfassende Übersicht über Microsoft Defender XDR bei der Arbeit bietet, kann Ihr Sicherheitsbetriebsteam effektiver und effizienter arbeiten.

Das einheitliche Info-Center

Im einheitlichen Info-Center (https://security.microsoft.com/action-center) werden ausstehende und abgeschlossene Wartungsaktionen für Ihre Geräte, E-Mails & Inhalte für die Zusammenarbeit sowie Identitäten an einem Ort aufgelistet.

Das einheitliche Info-Center im Microsoft Defender-Portal.

Zum Beispiel:

Das einheitliche Info-Center vereint Wartungsaktionen in Microsoft Defender for Endpoint und Microsoft Defender for Office 365. Es definiert eine gemeinsame Sprache für alle Wiederherstellungsaktionen und bietet eine einheitliche Untersuchungserfahrung. Ihr Sicherheitsteam verfügt über eine "zentrale Benutzeroberfläche" zum Anzeigen und Verwalten von Wartungsaktionen.

Sie können das einheitliche Info-Center verwenden, wenn Sie über entsprechende Berechtigungen und mindestens eins der folgenden Abonnements verfügen:

Tipp

Weitere Informationen finden Sie unter Anforderungen.

Sie können auf zwei verschiedene Arten zur Liste der Aktionen navigieren, für die die Genehmigung aussteht:

Verwenden des Info-Centers

  1. Wechseln Sie zu Microsoft Defender Portal, und melden Sie sich an.

  2. Wählen Sie im Navigationsbereich unter Aktionen und Übermittlungendie Option Info-Center aus. Oder wählen Sie im Karte Automatisierte Untersuchung & Antwort die Option Genehmigen im Info-Center aus.

  3. Verwenden Sie die Registerkarten Ausstehende Aktionen und Verlauf . In der folgenden Tabelle ist zusammengefasst, was auf den einzelnen Registerkarten angezeigt wird:

    Registerkarte Beschreibung
    Ausstehend Zeigt eine Liste der Aktionen an, die Aufmerksamkeit erfordern. Sie können Aktionen einzeln genehmigen oder ablehnen oder mehrere Aktionen auswählen, wenn sie denselben Aktionstyp aufweisen (z. B. Quarantänedatei).

    Stellen Sie sicher, dass Sie ausstehende Aktionen so schnell wie möglich überprüfen und genehmigen (oder ablehnen), damit Ihre automatisierten Untersuchungen rechtzeitig abgeschlossen werden können.
    Verlauf Dient als Überwachungsprotokoll für ausgeführte Aktionen, z. B.:
    • >Korrekturmaßnahmen, die als Ergebnis automatisierter Untersuchungen durchgeführt wurden
    • Korrekturaktionen, die für verdächtige oder schädliche E-Mail-Nachrichten, Dateien oder URLs ausgeführt wurden
    • Korrekturaktionen, die von Ihrem Sicherheitsteam genehmigt wurden
    • Ausgeführte Befehle und Wartungsaktionen, die während Live Response-Sitzungen angewendet wurden
    • Wartungsaktionen, die von Ihrem Antivirenschutz durchgeführt wurden


    Bietet eine Möglichkeit, bestimmte Aktionen rückgängig zu machen (siehe Rückgängig abgeschlossener Aktionen).

  4. Sie können Daten im Info-Center anpassen, sortieren, filtern und exportieren.

    Screenshot, der die Funktionen zum Sortieren, Filtern und Anpassen des Info-Centers zeigt.

    • Wählen Sie eine Spaltenüberschrift aus, um Elemente in aufsteigender oder absteigender Reihenfolge zu sortieren.
    • Verwenden Sie den Zeitraumfilter, um Daten für den letzten Tag, die letzte Woche, 30 Tage oder 6 Monate anzuzeigen.
    • Wählen Sie die Spalten aus, die Sie anzeigen möchten.
    • Geben Sie an, wie viele Elemente auf jeder Datenseite enthalten sein sollen.
    • Verwenden Sie Filter, um nur die Elemente anzuzeigen, die Sie anzeigen möchten.
    • Wählen Sie Exportieren aus, um ergebnisse in eine .csv datei zu exportieren.

Im Info-Center nachverfolgte Aktionen

Alle Aktionen, unabhängig davon, ob deren Genehmigung aussteht oder sie bereits ausgeführt wurden, werden im Info-Center nachverfolgt. Folgende Aktionen sind verfügbar:

  • Untersuchungspakets erfassen
  • Gerät isolieren (diese Aktion kann rückgängig werden)
  • Computer offboarden
  • Releasecode ausführen
  • Aus Quarantäne freigeben
  • Beispiel anfordern
  • Einschränken der Codeausführung (diese Aktion kann rückgängig werden)
  • Antivirusscan ausführen
  • Beenden und unter Quarantäne stellen
  • Geräte aus dem Netzwerk einschließen

Zusätzlich zu Den Korrekturaktionen, die automatisch als Ergebnis automatisierter Untersuchungen ausgeführt werden, verfolgt das Info-Center auch Aktionen, die Ihr Sicherheitsteam ergriffen hat, um erkannte Bedrohungen zu beheben, und Aktionen, die als Folge von Bedrohungsschutzfunktionen in Microsoft Defender XDR ausgeführt wurden. Weitere Informationen zu automatischen und manuellen Wartungsaktionen finden Sie unter Wartungsaktionen.

Anzeigen von Details zur Aktionsquelle

Das verbesserte Info-Center enthält eine Spalte aktionsquell , die Ihnen mitteilt, woher die einzelnen Aktionen stammen. In der folgenden Tabelle werden mögliche Werte der Aktionsquelle beschrieben:

Wert der Aktionsquelle Beschreibung
Manuelle Geräteaktion Eine manuelle Aktion, die auf einem Gerät ausgeführt wird. Beispiele hierfür sind Geräteisolation oder Dateiquarantäne.
Manuelle E-Mail-Aktion Eine manuelle Aktion, die per E-Mail ausgeführt wird. Ein Beispiel ist das vorläufige Löschen von E-Mail-Nachrichten oder das Korrigieren einer E-Mail-Nachricht.
Automatisierte Geräteaktion Eine automatisierte Aktion, die für eine Entität ausgeführt wird, z. B. eine Datei oder einen Prozess. Beispiele für automatisierte Aktionen sind das Senden einer Datei zur Quarantäne, das Beenden eines Prozesses und das Entfernen eines Registrierungsschlüssels. (Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender for Endpoint.)
Automatisierte E-Mail-Aktion Eine automatisierte Aktion, die für E-Mail-Inhalte ausgeführt wird, z. B. eine E-Mail-Nachricht, eine Anlage oder eine URL. Beispiele für automatisierte Aktionen sind das vorläufige Löschen von E-Mail-Nachrichten, das Blockieren von URLs und das Deaktivieren der externen E-Mail-Weiterleitung. (Siehe Wartungsaktionen in Microsoft Defender for Office 365.)
Erweiterte Huntingaktion Aktionen, die auf Geräten oder E-Mails mit erweiterter Suche ausgeführt werden.
aktion Explorer Aktionen für E-Mail-Inhalte mit Explorer.
Manuelle Liveantwortaktion Aktionen, die auf einem Gerät mit Liveantwort ausgeführt werden. Beispiele hierfür sind das Löschen einer Datei, das Beenden eines Prozesses und das Entfernen einer geplanten Aufgabe.
Live-Antwortaktion Aktionen, die auf einem Gerät mit Microsoft Defender for Endpoint-APIs ausgeführt werden. Beispiele für Aktionen sind das Isolieren eines Geräts, das Ausführen einer Antivirenüberprüfung und das Abrufen von Informationen zu einer Datei.

Erforderliche Berechtigungen für Info-Center-Aufgaben

Um Aufgaben auszuführen, z. B. das Genehmigen oder Ablehnen ausstehender Aktionen im Info-Center, benötigen Sie bestimmte Berechtigungen. Sie haben folgende Optionen:

  • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in diesen Rollen erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365:

    • Microsoft Defender for Endpoint Wartung (Geräte): Mitgliedschaft in der Rolle "Sicherheitsadministrator".

    • Microsoft Defender for Office 365 Korrektur (Office-Inhalt und E-Mail):

      • Mitgliedschaft in der Rolle "Sicherheitsadministrator ".

      und

  • Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal:

    • Microsoft Defender for Office 365 Korrektur (Office-Inhalt und E-Mail):

      • Mitgliedschaft in der Rollengruppe "Sicherheitsadministrator "

      und

  • Microsoft Defender XDR vereinheitlichte rollenbasierte Zugriffssteuerung (RBAC)

    • Microsoft Defender for Endpoint Korrektur: Sicherheitsvorgänge \ Sicherheitsdaten \ Antwort (verwalten).
    • Microsoft Defender for Office 365 Korrektur (Office-Inhalt und E-Mail, wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen auf Aktiv festgelegt sind. Betrifft nur das Defender-Portal, nicht PowerShell):
      • Lesezugriff für E-Mail- und Teams-Nachrichtenheader: Sicherheitsvorgänge/Rohdaten (E-Mail & Zusammenarbeit)/Email & Metadaten für die Zusammenarbeit (lesen).
      • Beheben schädlicher E-Mails: Sicherheitsvorgänge/Sicherheitsdaten/Email & erweiterte Aktionen für die Zusammenarbeit (Verwalten).

    Tipp

    Die Mitgliedschaft in der Rollengruppe Sicherheitsadministrator Email & Berechtigungen für die Zusammenarbeit gewährt keinen Zugriff auf das Info-Center oder Microsoft Defender XDR Funktionen. Für diese müssen Sie Mitglied der Rolle "Sicherheitsadministrator" in Microsoft Entra Berechtigungen sein.

  • Defender für Endpunkt-Berechtigungen:

    • Microsoft Defender for Endpoint Wartung (Geräte):Mitgliedschaft in der Rolle Aktive Wartungsaktionen.

Tipp

Mitglieder der Rolle "Globaler Administrator" in Microsoft Entra ID können ausstehende Aktionen im Info-Center genehmigen oder ablehnen. Als bewährte Methode sollten Sie jedoch die Mitglieder der Rolle "Globaler Administrator " einschränken. Es wird empfohlen, die alternativen Rollen und Rollengruppen wie in der vorherigen Liste für Info-Center-Berechtigungen beschrieben zu verwenden.

Nächster Schritt

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.