Freigeben über


Untersuchen von Vorfällen im Microsoft Defender-Portal

Das Microsoft Defender-Portal stellt korrelierte Warnungen, Ressourcen, Untersuchungen und Beweise aus all Ihren Ressourcen zu einem Incident dar, um Ihnen einen umfassenden Einblick in die gesamte Bandbreite eines Angriffs zu bieten.

Innerhalb eines Incidents analysieren Sie die Warnungen, verstehen, was sie bedeuten, und sortieren die Beweise, damit Sie einen effektiven Wiederherstellungsplan erstellen können.

Erste Untersuchung

Bevor Sie sich mit den Details befassen, sehen Sie sich die Eigenschaften und die gesamte Angriffsgeschichte des Vorfalls an.

Sie können zunächst den Incident aus der Häkchenspalte auswählen. Im Folgenden sehen Sie ein Beispiel.

Auswählen eines Incidents im Microsoft Defender-Portal

Wenn Sie dies tun, wird ein Zusammenfassungsbereich mit wichtigen Informationen zum Incident geöffnet, z. B. details zum Vorfall, empfohlene Aktionen und verwandte Bedrohungen. Im Folgenden sehen Sie ein Beispiel.

Der Bereich, in dem die Zusammenfassungsdetails für einen Vorfall im Microsoft Defender-Portal angezeigt werden.

Von hier aus können Sie Vorfallseite öffnen auswählen. Dadurch wird die seite Standard für den Vorfall geöffnet, auf der Sie die vollständigen Informationen zum Angriffsverlauf und Registerkarten für Warnungen, Geräte, Benutzer, Untersuchungen und Beweise finden. Sie können auch die Seite Standard für einen Incident öffnen, indem Sie den Incidentnamen aus der Incidentwarteschlange auswählen.

Hinweis

Benutzern mit bereitgestelltem Zugriff auf Microsoft Security Copilot wird der Copilot-Bereich auf der rechten Seite des Bildschirms angezeigt, wenn sie einen Incident öffnen. Copilot bietet Einblicke und Empfehlungen in Echtzeit, die Ihnen helfen, Incidents zu untersuchen und darauf zu reagieren. Weitere Informationen finden Sie unter Microsoft Copilot in Microsoft Defender.

Angriffsgeschichte

Angriffsgeschichten helfen Ihnen, Angriffe schnell zu überprüfen, zu untersuchen und zu beheben, während Sie die gesamte Geschichte des Angriffs auf derselben Registerkarte anzeigen. Außerdem können Sie die Entitätsdetails überprüfen und Korrekturmaßnahmen durchführen, z. B. das Löschen einer Datei oder das Isolieren eines Geräts, ohne den Kontext zu verlieren.

Die Angriffsgeschichte wird im folgenden Video kurz beschrieben.

In der Angriffsgeschichte finden Sie die Warnungsseite und das Incidentdiagramm.

Die Seite "Incidentwarnungen" enthält die folgenden Abschnitte:

  • Warnungsmeldung, die Folgendes umfasst:

    • Was ist passiert
    • Durchgeführte Aktionen
    • Verwandte Ereignisse
  • Warnungseigenschaften im rechten Bereich (Status, Details, Beschreibung usw.)

Beachten Sie, dass nicht jede Warnung alle im Abschnitt Warnungsabschnitt aufgeführten Unterabschnitte enthält.

Das Diagramm zeigt den gesamten Umfang des Angriffs, wie sich der Angriff im Laufe der Zeit in Ihrem Netzwerk ausbreitete, wo er begonnen hat und wie weit der Angreifer gegangen ist. Es verbindet die verschiedenen verdächtigen Entitäten, die Teil des Angriffs sind, mit ihren zugehörigen Ressourcen wie Benutzern, Geräten und Postfächern.

Das Diagramm ermöglicht Folgendes:

  • Spielen Sie die Warnungen und Knoten im Diagramm ab, wie sie im Laufe der Zeit aufgetreten sind, um die Chronologie des Angriffs zu verstehen.

    Screenshot, der die Wiedergabe der Warnungen und Knoten auf der Seite mit dem Angriffsverlaufsdiagramm zeigt.

  • Öffnen Sie einen Entitätsbereich, in dem Sie die Entitätsdetails überprüfen und auf Korrekturaktionen wie das Löschen einer Datei oder das Isolieren eines Geräts reagieren können.

    Screenshot: Überprüfung der Entitätsdetails auf der Seite

  • Markieren Sie die Warnungen basierend auf der Entität, mit der sie verknüpft sind.

  • Suchen nach Entitätsinformationen eines Geräts, einer Datei, einer IP-Adresse, einer URL, eines Benutzers, einer E-Mail-Adresse, eines Postfachs oder einer Cloudressource.

Suche starten

Die Go-Hunt-Aktion nutzt die erweiterte Suchfunktion , um relevante Informationen zu einer Entität zu finden. Die Go-Hunt-Abfrage überprüft relevante Schematabellen auf Ereignisse oder Warnungen, die die spezifische Entität betreffen, die Sie untersuchen. Sie können eine der Optionen auswählen, um relevante Informationen zur Entität zu finden:

  • Alle verfügbaren Abfragen anzeigen : Die Option gibt alle verfügbaren Abfragen für den Entitätstyp zurück, den Sie untersuchen.
  • Alle Aktivitäten: Die Abfrage gibt alle Aktivitäten zurück, die einer Entität zugeordnet sind, und bietet Ihnen eine umfassende Übersicht über den Kontext des Incidents.
  • Verwandte Warnungen: Die Abfrage sucht nach allen Sicherheitswarnungen, die eine bestimmte Entität betreffen, und gibt diese zurück, um sicherzustellen, dass Sie keine Informationen verpassen.

Auswählen der Option

Die resultierenden Protokolle oder Warnungen können mit einem Incident verknüpft werden, indem Sie ein Ergebnis und dann Mit Incident verknüpfen auswählen.

Hervorheben der Option

Wenn der Incident oder die zugehörigen Warnungen das Ergebnis einer von Ihnen festgelegten Analyseregel waren, können Sie auch Abfrage ausführen auswählen, um andere verwandte Ergebnisse anzuzeigen.

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Angriffspfade

Das Incidentdiagramm enthält auch Informationen zu Angriffspfaden. Mithilfe dieser Pfade können Sicherheitsanalysten ermitteln, welche anderen Entitäten ein Angreifer wahrscheinlich als Nächstes anzielt. Um einen Angriffspfad anzuzeigen, können Sie im Incidentdiagramm auf eine Entität klicken und Angriffspfade anzeigen auswählen. Angriffspfade sind für Entitäten mit dem Kritischen Assettag verfügbar.

Hervorhebung der Aktion Angriffspfade anzeigen im Incidentdiagramm.

Wenn Sie Angriffspfade anzeigen auswählen, wird ein Seitenbereich geöffnet, in dem eine Liste der Angriffspfade für die ausgewählte Entität angezeigt wird. Die Angriffspfade werden in einem Tabellenformat angezeigt, das den Angriffspfadnamen, den Einstiegspunkt, den Einstiegspunkttyp, das Ziel, den Zieltyp und die Zielkritikalität anzeigt.

Wenn Sie einen Angriffspfad aus der Liste auswählen, wird das Angriffspfaddiagramm angezeigt, das den Angriffspfad vom Einstiegspunkt zum Ziel anzeigt. Wenn Sie Karte anzeigen auswählen , wird ein neues Fenster geöffnet, in dem Der Angriffspfad vollständig angezeigt wird.

Ein Beispiel für das Angriffspfaddiagramm, das im Seitenbereich angezeigt wird.

Hinweis

Um die Details eines Angriffspfads anzuzeigen, benötigen Sie Lesezugriffsberechtigungen im Microsoft Defender-Portal und die Lizenz für Microsoft Security Exposure Management.

Zum Anzeigen von Angriffspfaddetails auf der Unified Security Operations-Plattform ist eine Sentinel Rolle Leser erforderlich. Zum Erstellen neuer Angriffspfade ist die Rolle Sicherheitsadministrator erforderlich.

Warnungen

Auf der Registerkarte Warnungen können Sie die Warnungswarteschlange für Warnungen im Zusammenhang mit dem Incident und andere Informationen zu ihnen wie die folgenden anzeigen:

  • Schweregrad der Warnungen.
  • Die An der Warnung beteiligten Entitäten.
  • Die Quelle der Warnungen (Microsoft Defender for Identity, Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Defender for Cloud Apps und das App-Governance-Add-On).
  • Der Grund, warum sie miteinander verknüpft wurden.

Im Folgenden sehen Sie ein Beispiel.

Bereich

Standardmäßig sind die Warnungen chronologisch angeordnet, damit Sie sehen können, wie sich der Angriff im Laufe der Zeit abgespielt hat. Wenn Sie eine Warnung innerhalb eines Incidents auswählen, zeigt Microsoft Defender XDR die Warnungsinformationen an, die für den Kontext des Gesamtvorfalls spezifisch sind.

Sie können die Ereignisse der Warnung anzeigen, die andere ausgelöste Warnungen die aktuelle Warnung verursacht haben, sowie alle betroffenen Entitäten und Aktivitäten, die an dem Angriff beteiligt sind, einschließlich Geräten, Dateien, Benutzern, Cloud-Apps und Postfächern.

Im Folgenden sehen Sie ein Beispiel.

Die Details einer Warnung innerhalb eines Incidents im Microsoft Defender-Portal.

Erfahren Sie, wie Sie die Warnungswarteschlangen- und Warnungsseiten in Untersuchen von Warnungen verwenden.

Objekte

Mit der neuen Registerkarte Assets können Sie alle Ihre Ressourcen ganz einfach an einem Ort anzeigen und verwalten. Diese einheitliche Ansicht umfasst Geräte, Benutzer, Postfächer und Apps.

Auf der Registerkarte Assets wird neben dem Namen die Gesamtanzahl der Ressourcen angezeigt. Eine Liste verschiedener Kategorien mit der Anzahl der Ressourcen in dieser Kategorie wird angezeigt, wenn Sie die Registerkarte Assets auswählen.

Die Seite

Geräte

In der Ansicht Geräte werden alle Geräte aufgelistet, die sich auf den Incident beziehen. Im Folgenden sehen Sie ein Beispiel.

Seite

Wenn Sie ein Gerät aus der Liste auswählen, wird eine Leiste geöffnet, in der Sie das ausgewählte Gerät verwalten können. Sie können Tags schnell exportieren, verwalten, automatisierte Untersuchungen initiieren und vieles mehr.

Sie können das Häkchen für ein Gerät aktivieren, um Details zum Gerät, Verzeichnisdaten, aktiven Warnungen und angemeldeten Benutzern anzuzeigen. Wählen Sie den Namen des Geräts aus, um Gerätedetails im Defender für Endpunkt-Gerätebestand anzuzeigen. Im Folgenden sehen Sie ein Beispiel.

Die Geräteoptionen auf der Seite Assets im Microsoft Defender-Portal.

Auf der Geräteseite können Sie zusätzliche Informationen zum Gerät sammeln, z. B. alle Warnungen, eine Zeitleiste und Sicherheitsempfehlungen. Beispielsweise können Sie auf der Registerkarte Zeitachse durch das Gerät scrollen Zeitleiste und alle Ereignisse und Verhaltensweisen anzeigen, die auf dem Computer beobachtet wurden, in chronologischer Reihenfolge, eingestreut mit den ausgelösten Warnungen.

Benutzer

In der Ansicht Benutzer werden alle Benutzer aufgelistet, die als Teil des Incidents oder im Zusammenhang mit diesem identifiziert wurden. Im Folgenden sehen Sie ein Beispiel.

Die Seite Benutzer im Microsoft Defender-Portal.

Sie können das Häkchen für einen Benutzer aktivieren, um Details der Bedrohungs-, Offenlegungs- und Kontaktinformationen des Benutzerkontos anzuzeigen. Wählen Sie den Benutzernamen aus, um zusätzliche Benutzerkontodetails anzuzeigen.

Erfahren Sie, wie Sie zusätzliche Benutzerinformationen anzeigen und die Benutzer eines Incidents in Untersuchen von Benutzern verwalten.

Postfächer

In der Ansicht Postfächer werden alle Postfächer aufgelistet, die als Teil des Incidents oder im Zusammenhang mit dem Incident identifiziert wurden. Im Folgenden sehen Sie ein Beispiel.

Die Seite Postfächer für einen Incident im Microsoft Defender-Portal.

Sie können das Häkchen für ein Postfach aktivieren, um eine Liste der aktiven Warnungen anzuzeigen. Wählen Sie den Postfachnamen aus, um weitere Postfachdetails auf der Seite Explorer für Defender for Office 365 anzuzeigen.

Apps

In der Ansicht Apps werden alle Apps aufgelistet, die als Teil des Incidents oder im Zusammenhang mit diesem identifiziert wurden. Im Folgenden sehen Sie ein Beispiel.

Die Seite Apps für einen Incident im Microsoft Defender-Portal.

Sie können das Häkchen für eine App aktivieren, um eine Liste der aktiven Warnungen anzuzeigen. Wählen Sie den App-Namen aus, um weitere Details auf der Seite Explorer für Defender for Cloud Apps anzuzeigen.

Cloudressourcen

In der Ansicht Cloudressourcen werden alle Cloudressourcen aufgelistet, die als Teil des Incidents oder im Zusammenhang mit diesem identifiziert wurden. Im Folgenden sehen Sie ein Beispiel.

Die Seite Cloudressourcen für einen Incident im Microsoft Defender-Portal.

Sie können das Häkchen für eine Cloudressource aktivieren, um die Details der Ressource und eine Liste der aktiven Warnungen anzuzeigen. Wählen Sie Seite "Cloudressource öffnen" aus, um weitere Details anzuzeigen und die vollständigen Details in Microsoft Defender für Cloud anzuzeigen.

Untersuchungen

Auf der Registerkarte Untersuchungen werden alle automatisierten Untersuchungen aufgelistet, die durch Warnungen in diesem Incident ausgelöst werden. Automatisierte Untersuchungen führen Korrekturaktionen durch oder warten auf die Genehmigung von Aktionen durch Analysten, je nachdem, wie Sie Ihre automatisierten Untersuchungen für die Ausführung in Defender für Endpunkt und Defender for Office 365 konfiguriert haben.

Die Seite

Wählen Sie eine Untersuchung aus, um zu ihrer Detailseite zu navigieren, um vollständige Informationen zur Untersuchung und Behebung status zu erhalten. Wenn im Rahmen der Untersuchung Aktionen zur Genehmigung ausstehen, werden diese auf der Registerkarte Ausstehende Aktionen angezeigt. Ergreifen Sie Maßnahmen im Rahmen der Behebung von Vorfällen.

Es gibt auch eine Registerkarte "Untersuchungsdiagramm ", auf der Folgendes angezeigt wird:

  • Die Verbindung von Warnungen mit den betroffenen Ressourcen in Ihrem organization.
  • Welche Entitäten hängen mit welchen Warnungen zusammen und wie sie Teil der Geschichte des Angriffs sind.
  • Die Warnungen für den Incident.

Das Untersuchungsdiagramm hilft Ihnen, den gesamten Umfang des Angriffs schnell zu verstehen, indem die verschiedenen verdächtigen Entitäten, die Teil des Angriffs sind, mit ihren zugehörigen Ressourcen wie Benutzern, Geräten und Postfächern verbunden werden.

Weitere Informationen finden Sie unter Automatisierte Untersuchung und Reaktion in Microsoft Defender XDR.

Beweis und Antwort

Auf der Registerkarte Beweis und Antwort werden alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen im Incident angezeigt. Im Folgenden sehen Sie ein Beispiel.

Seite

Microsoft Defender XDR untersucht automatisch alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen und stellt Ihnen Informationen zu wichtigen E-Mails, Dateien, Prozessen, Diensten, IP-Adressen und mehr zur Verfügung. Dies hilft Ihnen, potenzielle Bedrohungen im Incident schnell zu erkennen und zu blockieren.

Jede der analysierten Entitäten ist mit einem Urteil (Böswillig, verdächtig, bereinigen) und einer Korrektur status gekennzeichnet. Dies hilft Ihnen, die Status des gesamten Incidents zu verstehen und welche nächsten Schritte unternommen werden können.

Genehmigen oder Ablehnen von Korrekturaktionen

Bei Vorfällen mit der status "Ausstehende Genehmigung" können Sie eine Korrekturaktion genehmigen oder ablehnen, in Explorer öffnen oder auf der Registerkarte "Nachweis und Antwort" die Suche starten. Hier sehen Sie ein Beispiel.

Die Option Genehmigen\Ablehnen im Bereich Beweis- und Antwortverwaltung für einen Incident im Microsoft Defender-Portal.

Zusammenfassung

Verwenden Sie die Seite Zusammenfassung , um die relative Wichtigkeit des Incidents zu bewerten und schnell auf die zugehörigen Warnungen und betroffenen Entitäten zuzugreifen. Auf der Seite Zusammenfassung erhalten Sie einen Momentaufnahme Überblick über die wichtigsten Punkte, die Sie über den Vorfall beachten müssen.

Screenshot, der die Zusammenfassungsinformationen für einen Incident im Microsoft Defender-Portal zeigt.

Informationen sind in diesen Abschnitten organisiert.

Abschnitt Beschreibung
Warnungen und Kategorien Eine visuelle und numerische Ansicht, wie weit der Angriff gegen die Kill Chain fortgeschritten ist. Wie bei anderen Microsoft-Sicherheitsprodukten ist Microsoft Defender XDR auf das MITRE ATT&CK-Framework™ ausgerichtet. Die warnungs-Zeitleiste zeigt die chronologische Reihenfolge, in der die Warnungen aufgetreten sind, sowie für jeden deren status und Namen an.
Bereich Zeigt die Anzahl der betroffenen Geräte, Benutzer und Postfächer an und listet die Entitäten nach Risikostufe und Untersuchungspriorität auf.
Warnungen Zeigt die Warnungen an, die an dem Incident beteiligt sind.
Beweis Zeigt die Anzahl der entitäten an, die von dem Vorfall betroffen sind.
Incidentinformationen Zeigt die Eigenschaften des Incidents an, z. B. Tags, status und Schweregrad.

Ähnliche Vorfälle

Bei einigen Vorfällen sind möglicherweise ähnliche Vorfälle auf der Seite Ähnliche Vorfälle aufgeführt. Dieser Abschnitt zeigt Incidents mit ähnlichen Warnungen, Entitäten und anderen Eigenschaften. Dies kann Ihnen helfen, den Umfang des Angriffs zu verstehen und andere Incidents zu identifizieren, die möglicherweise im Zusammenhang stehen. Im Folgenden sehen Sie ein Beispiel.

Screenshot: Registerkarte

Nächste Schritte

Je nach Bedarf:

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.