Reagieren auf Ihren ersten Vorfall in Microsoft Defender XDR
Gilt für:
- Microsoft Defender XDR
In diesem Leitfaden werden Microsoft-Ressourcen für neue Microsoft Defender XDR Benutzer aufgelistet, die während der Verwendung des Portals tägliche Aufgaben zur Reaktion auf Vorfälle sicher ausführen können. Die verwendung dieses Leitfadens hat folgende Ergebnisse:
- Sie lernen schnell, wie Sie Microsoft Defender XDR verwenden, um auf Vorfälle und Warnungen zu reagieren.
- Die Features des Portals zur Unterstützung der Untersuchung und Behebung von Vorfällen finden Sie in den Videos und Tutorials.
Microsoft Defender XDR können Sie relevante Bedrohungsereignisse für alle Ressourcen (Geräte, Identitäten, Postfächer, Cloud-Apps usw.) anzeigen. Das Portal konsolidiert Signale aus der Defender-Schutzsuite, Microsoft Sentinel und anderen integrierten Siem-Lösungen (Security Information and Event Management). Korrelierte Angriffsinformationen mit vollständigem Kontext in einem einzigen Bereich ermöglichen es Ihnen, Ihre organization erfolgreich zu schützen und zu schützen.
Dieser Leitfaden umfasst drei Standard Abschnitte:
- Grundlegendes zu Vorfällen: Zugriff auf, Selektierung und Verwaltung von Vorfällen im Portal
- Analysieren von Angriffen: Eine Sammlung von Videos und Tutorials zur Untersuchung bestimmter Angriffe mithilfe der Features des Portals.
- Abwehr von Angriffen: Listet die automatisierten und manuellen Aktionen auf, die im Portal zur Behebung von Bedrohungen verfügbar sind. Dieser Abschnitt enthält Links zu Videos und Tutorials.
Grundlegendes zu Vorfällen
Ein Incident ist eine Kette von Prozessen, die erstellt wurden, Befehle und Aktionen, die möglicherweise nicht zusammenfallen. Ein Incident bietet ein ganzheitliches Bild und Kontext verdächtiger oder böswilliger Aktivitäten. Ein einzelner Vorfall bietet Ihnen den vollständigen Kontext eines Angriffs, anstatt Hunderte von Warnungen von mehreren Diensten zu selektieren.
Tipp
Für einen begrenzten Zeitraum im Januar 2024 wird Defender Boxed angezeigt, wenn Sie die Seite Incidents besuchen. Defender Boxed hebt die Sicherheitserfolge, Verbesserungen und Reaktionsaktionen Ihres organization im Jahr 2023 hervor. Um Defender Boxed erneut zu öffnen, wechseln Sie im Microsoft Defender-Portal zu Incidents, und wählen Sie dann Ihr Defender Boxed aus.
Microsoft Defender XDR verfügt über viele Features, mit denen Sie auf einen Incident reagieren können. Sie können durch die Incidents navigieren, indem Sie im Karte Aktive Vorfälle auf der Startseite oder im linken Navigationsbereich über Incidents & Warnungen die Option Alle Vorfälle anzeigen auswählen.
Abbildung 1. Aktive Vorfälle Karte auf der Microsoft Defender XDR-Startseite
Abbildung 2. Incidentwarteschlange
Jeder Incident enthält automatisch korrelierte Warnungen aus verschiedenen Erkennungsquellen und kann verschiedene Endpunkte, Identitäten oder Cloud-Apps umfassen.
Selektierung von Vorfällen
Die Incidentpriorisierung variiert je nach Reaktion, Sicherheitsteam und organization. Pläne zur Reaktion auf Vorfälle und die Richtung von Sicherheitsteams können Incidentpriorität festlegen.
Microsoft Defender XDR verfügt über verschiedene Indikatoren wie Incidentschweregrad, Benutzertypen oder Bedrohungstypen, um Incidents zu selektieren und zu priorisieren. Sie können eine beliebige Kombination dieser Indikatoren verwenden, die über die Incidentwarteschlangenfilter verfügbar sind.
Ein Beispiel für die Ermittlung der Incidentpriorität ist die Kombination der folgenden Faktoren für einen Incident:
- Der Incident hat einen hohen Schweregrad.
- Fehler beim Untersuchungsstatus der Automatisierung.
- Es gibt fünf betroffene Ressourcen, bei denen zwei der Ressourcen mit streng vertraulichen Daten gekennzeichnet sind.
- Die incident-status ist neu.
- Der Vorfall wird keinem Teammitglied zur Untersuchung zugewiesen.
Sie können dem Incident mithilfe der obigen Informationen eine hohe Priorität zuweisen. Sie können mit der Untersuchung des Incidents beginnen, sobald eine Priorität festgelegt wurde.
Hinweis
Microsoft Defender XDR bestimmt automatisch Filter wie Schweregrad, Untersuchungszustände, beeinträchtigte Ressourcen und Incidentstatus. Die Informationen basieren auf den Netzwerkaktivitäten Ihres organization kontextualisiert mit Threat Intelligence-Feeds und den angewendeten automatisierten Wartungsaktionen.
Verwalten von Vorfällen
Sie können zur Effizienz des Incidentmanagements beitragen, indem Sie wichtige Informationen in Incidents und Warnungen bereitstellen. Wenn Sie den folgenden Filtern Informationen hinzufügen, wenn Sie jeden Incident selektieren und analysieren, stellen Sie weiteren Kontext für diesen Vorfall bereit, den andere Einsatzhelfer nutzen können:
- Klassifizieren von Vorfällen und Warnungen
- Benennen von Incidents
- Hinzufügen von Tags
- Bereitstellen von Kommentaren
In diesem Video erfahren Sie, wie Sie Vorfälle und Warnungen klassifizieren:
Nächste Schritte
- Analysieren Ihres ersten Vorfalls
- Beheben Ihres ersten Vorfalls
- Sehen Sie sich Demos und die neuen Entwicklungen des Portals in Aktion im Microsoft Defender XDR Virtual Ninja Training an
Siehe auch
- Integrieren von Microsoft Defender XDR in Ihre Sicherheitsvorgänge
- Reagieren auf häufige Angriffe mithilfe von Playbooks zur Reaktion auf Vorfälle
- Lernen Sie die Features und Funktionen des Portals durch das Microsoft Defender XDR Ninja-Training kennen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.