Verwalten von Incidents in Microsoft Defender

• Gilt für::

  Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Das Incidentmanagement ist wichtig, um sicherzustellen, dass Incidents benannt, zugewiesen und gekennzeichnet werden, um die Zeit in Ihrem Incidentworkflow zu optimieren und Bedrohungen schneller einzudämten und zu beheben.

Verwalten Sie Ihre Vorfälle über Untersuchung & Reaktion > Incidents & Warnungen > Incidents beim Schnellstart des Microsoft Defender-Portals (security.microsoft.com). Im Folgenden sehen Sie ein Beispiel.

In diesem Artikel erfahren Sie, wie Sie verschiedene Incident management-Aufgaben ausführen, die verschiedenen Phasen im Lebenszyklus eines Incidents zugeordnet sind.

Incident-Selektierung:

• Weisen Sie den Incident einem Besitzer zu.
• Weisen Sie den Schweregrad zu oder ändern Sie diesen.
• Fügen Sie Incidenttags hinzu.
• Ändern Sie den incident-status.

Untersuchung und Lösung von Vorfällen:

• Beheben eines Incidents.
• Geben Sie die Klassifizierung eines Incidents an.
• Hinzufügen von Kommentaren zu einem Incident.

Incidentprotokollierung und -berichterstellung:

• Bearbeiten Sie den Incidentnamen.
• Bewerten Sie die Aktivitätsüberwachung, und fügen Sie Kommentare im Aktivitätsprotokoll hinzu.
• Exportieren von Incidentdaten in eine PDF-Datei.

Zugreifen auf den Bereich "Incident verwalten "

Auf die meisten dieser Aufgaben kann über den Bereich Incident verwalten für einen Incident zugegriffen werden. Sie können diesen Bereich von einem beliebigen von mehreren Standorten aus erreichen.

Aus der Incidentwarteschlange

1. Wählen Sie untersuchungs- & reaktion > incidents & alerts > Incidents on the quick launch of the Microsoft Defender portal aus.

2. Greifen Sie über die Incidentwarteschlange auf eine von zwei Arten auf den Bereich Incident verwalten zu:

   • Aktivieren Sie das Kontrollkästchen eines Incidents, und wählen Sie in der Symbolleiste über den Filtern die Option Incidents verwalten aus. Verwalten Sie viele Incidents gleichzeitig, indem Sie mehrere Kontrollkästchen aktivieren.

   • Wählen Sie die Zeile eines Incidents aus (ohne den Vorfallnamen auszuwählen), sodass der Bereich mit den Incidentdetails angezeigt wird, und wählen Sie im Bereich mit den Incidentdetails die Option Incident verwalten aus.

     

Von der Seite "Incident"

1. Wählen Sie untersuchungs- & reaktion > incidents & alerts > Incidents on the quick launch of the Microsoft Defender portal aus.

2. Wählen Sie den Namen eines Incidents aus der Warteschlange aus. Alternativ können Sie die Zeile eines Incidents in der Warteschlange und dann im Bereich mit den Incidentdetails die Option Incidentseite öffnen auswählen.

3. Wählen Sie auf der Seite incident die Option Incident verwalten im oberen Bereich aus.

   Wenn Incident verwalten nicht sichtbar ist, wählen Sie die drei Punkte in der oberen rechten Ecke aus (im folgenden Screenshot neben "Incident verwalten"), und wählen Sie ihn im angezeigten Menü aus.

   

Selektierung von Vorfällen

Die folgenden Verwaltungsaufgaben sind eng mit der Selektierung von Vorfällen verbunden, können jedoch jederzeit ausgeführt werden.

• Weisen Sie den Incident einem Besitzer zu.
• Weisen Sie den Schweregrad zu oder ändern Sie diesen.
• Fügen Sie Incidenttags hinzu.
• Ändern Sie den incident-status.

Zuweisen eines Incidents zu einem Besitzer

Standardmäßig werden neue Incidents ohne Besitzer erstellt. Im Idealfall sollte Ihr SecOps-Team über Mechanismen und Verfahren verfügen, um Incidents automatisch Besitzern zuzuweisen. Möglicherweise müssen Sie einen Incident im Falle einer Eskalation oder einer fehlerhaften ursprünglichen Zuweisung neu zuweisen.

Zuweisen eines Besitzers

Führen Sie die folgenden Schritte aus, um einem Incident manuell einen neuen Besitzer zuzuweisen:

1. Befolgen Sie die Anweisungen im Abschnitt zum Öffnen des Bereichs " Incident verwalten ".

2. Wählen Sie das Feld Zuweisen zu aus. Eine Dropdownliste der vorgeschlagenen Zugewiesenen wird angezeigt.

3. Wenn das Benutzer- oder Gruppenkonto angezeigt wird, dem Sie den Incident zuweisen möchten, wählen Sie es aus.

   Andernfalls beginnen Sie, den Namen oder die Konto-ID des gewünschten Benutzers oder der gewünschten Gruppe in das Textfeld am Anfang der Liste einzugeben. Die Liste wird dynamisch aktualisiert und nach Ihrer Eingabe gefiltert. Wenn der gewünschte Benutzer oder die gewünschte Gruppe angezeigt wird, wählen Sie ihn aus.

4. Um eine vorhandene Zuweisung zu entfernen, einschließlich der soeben hinzugefügten, wählen Sie das X neben dem Kontonamen aus. Wählen Sie dann das Feld Zuweisen zu aus, wenn Sie eine weitere Zuweisung hinzufügen möchten.

   Einem Incident kann nur ein Benutzer- oder Gruppenkonto zugewiesen werden.

5. Klicken Sie auf Speichern.

Durch das Zuweisen des Besitzes an einem Incident wird allen zugehörigen Warnungen derselbe Besitz zugewiesen.

Anzeigen von Incidents, die einem bestimmten Besitzer zugewiesen sind

Um die Liste der Incidents anzuzeigen, die einem bestimmten Benutzer oder einer bestimmten Gruppe zugewiesen sind, filtern Sie die Incidentwarteschlange:

1. Wählen Sie in der Incidentwarteschlange den Filter Incidentzuweisung aus. Eine Dropdownliste der vorgeschlagenen Zugewiesenen wird angezeigt.

   Wenn unter den Filtern keine Incidentzuweisung angezeigt wird, wählen Sie Filter hinzufügen aus, wählen Sie Incidentzuweisung aus der Dropdownliste aus, und wählen Sie Hinzufügen aus.

2. Wenn das Benutzerkonto angezeigt wird, dessen zugewiesenen Incidents Sie anzeigen möchten, wählen Sie es aus.

   Andernfalls beginnen Sie, den Namen oder die Konto-ID des gewünschten Benutzers oder der gewünschten Gruppe in das Textfeld am Anfang der Liste einzugeben. Die Liste wird dynamisch aktualisiert und nach Ihrer Eingabe gefiltert. Wenn der gewünschte Benutzer oder die gewünschte Gruppe angezeigt wird, wählen Sie ihn aus.

   Im Gegensatz zum Zuweisen von Incidents können Sie hier mehr als einen zugewiesenen Empfänger auswählen, nach dem die Liste gefiltert werden soll. Um dem Filter ein weiteres Benutzer- oder Gruppenkonto hinzuzufügen, markieren Sie das Textfeld (neben dem vorhandenen Konto im Filter), und die Liste der vorgeschlagenen Zugewiesenen wird erneut angezeigt.

3. Wählen Sie Anwenden aus.

   

Um einen Link zur Incidentwarteschlange mit den aktuellen Angewendeten Filtern zu speichern, wählen Sie auf der Symbolleiste auf der Seite incident queue (Incidentwarteschlange) listenlink kopieren aus. Erstellen Sie eine Verknüpfung in Ihren Favoriten oder auf Ihrem Desktop, und fügen Sie den Link darin ein.

Zuweisen oder Ändern des Incidentschweregrads

Der Schweregrad eines Incidents wird durch den höchsten Schweregrad der zugehörigen Warnungen bestimmt. Der Schweregrad eines Incidents kann auf hoch, mittel, niedrig oder informativ festgelegt werden.

Führen Sie die folgenden Schritte aus, um den Schweregrad eines Incidents manuell zuzuweisen oder zu ändern:

1. Befolgen Sie die Anweisungen im Abschnitt zum Öffnen des Bereichs " Incident verwalten ".

2. Wählen Sie im Bereich Incident verwalten in der Dropdownliste Schweregrad den Schweregrad aus, den Sie anwenden möchten.

3. Klicken Sie auf Speichern.

Hinzufügen von Ereigniskategorien

Benutzerdefinierte Tags fügen Informationen hinzu, um einem Incident Kontext zu verleihen. Beispielsweise kann ein Tag eine Gruppe von Incidents mit einem gemeinsamen Merkmal bezeichnen. Tags sind ein Kriterium für die Filterung, sodass Sie die Incidentwarteschlange später nach allen Incidents filtern können, die ein bestimmtes Tag enthalten. So wenden Sie ein Tag auf einen Incident an:

1. Befolgen Sie die Anweisungen im Abschnitt zum Öffnen des Bereichs " Incident verwalten ".

2. Beginnen Sie im Feld Incidenttags mit der Eingabe des Namens des Tags, das Sie anwenden möchten. Während der Eingabe wird eine Liste der zuvor verwendeten und ausgewählten Tags angezeigt. Wenn das Tag, das Sie anwenden möchten, in der Liste angezeigt wird, wählen Sie es aus.

   

   Wenn Sie einen Tagnamen eingegeben haben, der noch nicht verwendet wurde, wählen Sie den letzten Eintrag in der Liste aus. Dabei handelt es sich um den text, den Sie eingegeben haben, gefolgt von "(Neu erstellen)."

   

   Das Tag wird dann als Bezeichnung im Feld Incidenttags angezeigt. Wiederholen Sie diesen Schritt, um nach Bedarf weitere Tags hinzuzufügen.

   

3. Klicken Sie auf Speichern.

Ein Incident kann Systemtags und/oder benutzerdefinierte Tags mit bestimmten Farbhintergründen aufweisen. Benutzerdefinierte Tags verwenden den weißen Hintergrund, während Systemtags in der Regel rote oder schwarze Hintergrundfarben verwenden. Systemtags identifizieren Folgendes in einem Incident:

• Eine Art von Angriff, z. B. Phishing von Anmeldeinformationen oder BEC-Betrug
• Automatische Aktionen, z. B. automatische Untersuchung und Reaktion und automatische Angriffsunterbrechung
• Defender-Experten zur Behandlung eines Incidents
• Kritische Ressourcen , die an dem Vorfall beteiligt sind

Tipp

Die Security Exposure Management von Microsoft, basierend auf vordefinierten Klassifizierungen, markiert Geräte, Identitäten und Cloudressourcen automatisch als kritische Ressource. Diese sofort einsatzbereite Funktion stellt den Schutz der wertvollen und wichtigsten Ressourcen einer organization sicher. Darüber hinaus unterstützt sie Sicherheitsteams bei der Priorisierung von Untersuchungen und Korrekturen. Erfahren Sie mehr über die Verwaltung kritischer Ressourcen.

Ändern des incident-status

Incidents beginnen mit dem status Active. Wenn Sie an einem Incident arbeiten, ändern Sie den Status in In Bearbeitung.

Untersuchung und Lösung von Vorfällen

Die folgenden Verwaltungsaufgaben sind eng mit der Untersuchung und Behebung von Vorfällen verbunden, können jedoch jederzeit ausgeführt werden.

• Beheben eines Incidents.
• Geben Sie die Klassifizierung eines Incidents an.
• Hinzufügen von Kommentaren zu einem Incident.

Beheben eines Incidents

Wenn ein Incident behoben und behoben wird, führen Sie die folgenden Aktionen aus, um die Lösung aufzuzeichnen:

1. Befolgen Sie die Anweisungen im Abschnitt zum Öffnen des Bereichs " Incident verwalten ".

2. Ändern Sie die status. Wählen Sie in der Dropdownliste Status die Option Aufgelöst aus. Wenn Sie die status eines Incidents in Gelöst ändern, wird unmittelbar nach dem Feld Status ein neues Feld angezeigt.

3. Geben Sie in diesem Feld eine Notiz ein, in der erläutert wird, warum Sie den Vorfall als gelöst betrachten. Dieser Hinweis ist im Aktivitätsprotokoll des Incidents in der Nähe des Eintrags sichtbar, der die Lösung des Incidents aufzeichnet.

   

   Der Lösungshinweis ist auch im Bereich "Incidentdetails " sowohl auf der Seite "Incidentwarteschlange" als auch auf der Seite "Incidents" eines behobenen Incidents sichtbar.

   

4. Klicken Sie auf Speichern.

Durch die Behebung eines Incidents werden auch alle verknüpften und aktiven Warnungen im Zusammenhang mit dem Incident aufgelöst. Ein Incident, der nicht aufgelöst wurde, wird als Aktiv angezeigt.

Angeben der Klassifizierung des Incidents

Wenn Sie einen Vorfall oder zu einem beliebigen Zeitpunkt in der Untersuchung eines Incidents beheben, sobald Sie wissen, wie der Vorfall klassifiziert werden soll, legen Sie das Feld Klassifizierung entsprechend fest.

1. Befolgen Sie die Anweisungen im Abschnitt zum Öffnen des Bereichs " Incident verwalten ".

2. Wählen Sie in der Dropdownliste Klassifizierung den entsprechenden Wert aus:

   • Nicht festgelegt (Standard).
   • Richtig positiv mit einer Art von Bedrohung. Verwenden Sie diese Klassifizierung für Vorfälle, die genau auf eine echte Bedrohung hinweisen. Die Angabe des Bedrohungstyps hilft Ihrem Sicherheitsteam, Bedrohungsmuster zu erkennen und Maßnahmen zur Abwehr dieser in Ihrer Organisation zu ergreifen.
   • Information, erwartete Aktivität mit einem Aktivitätstyp. Verwenden Sie die Optionen in dieser Kategorie, um Vorfälle für Sicherheitstests, rote Teamaktivitäten und erwartetes ungewöhnliches Verhalten von vertrauenswürdigen Apps und Benutzern zu klassifizieren.
   • Falsch positiv für Von Ihnen ermittelte Incidenttypen können ignoriert werden, da sie technisch ungenau oder irreführend sind.

   Sehen Sie sich die verfügbaren Arten von Aktivitäten und Bedrohungen für jede dieser Klassifizierungen im folgenden Screenshot an.

3. Klicken Sie auf Speichern.

   

Durch das Klassifizieren von Vorfällen und die Angabe ihrer status und ihres Typs können Sie Microsoft Defender optimieren, um im Laufe der Zeit eine bessere Erkennungsbestimmung zu ermöglichen.

Hinzufügen von Kommentaren zu einem Incident

Fügen Sie im Verlauf der Untersuchung und des Vorfalls Kommentare hinzu, um Ihre Aktivitäten, Erkenntnisse und Schlussfolgerungen aufzuzeichnen.

1. Öffnen Sie das Aktivitätsprotokoll des Incidents. Wählen Sie auf der Seite "Incident" oder im Bereich "Incidentdetails" auf der Seite "Incidentwarteschlange" die drei Punkte in der oberen rechten Ecke aus, und wählen Sie im resultierenden Menü Aktivitätsprotokoll aus.

   

2. Geben Sie Ihren Kommentar in das Textfeld ein. Das Kommentarfeld unterstützt Text und Formatierung, Links und Bilder. Jeder Kommentar ist auf 30.000 Zeichen beschränkt.

   

3. Klicken Sie auf Speichern.

Alle Kommentare werden den historischen Ereignissen des Vorfalls hinzugefügt. Sie können die Kommentare und den Verlauf eines Incidents über den Link Kommentare und Verlauf auf der Seite Zusammenfassung anzeigen.

Incidentprotokollierung und -berichterstellung

Die folgenden Verwaltungsaufgaben können mit der Überwachung und Berichterstellung bei Incidentuntersuchungen verknüpft werden, können jedoch jederzeit ausgeführt werden.

• Bearbeiten Sie den Incidentnamen.
• Bewerten Sie die Aktivitätsüberwachung, und fügen Sie Kommentare im Aktivitätsprotokoll hinzu.
• Exportieren von Incidentdaten in eine PDF-Datei.

Bearbeiten des Incidentnamens

Microsoft Defender weist automatisch einen Namen basierend auf Warnungsattributen zu, z. B. der Anzahl der betroffenen Endpunkte, betroffenen Benutzer, Erkennungsquellen oder Kategorien. Mithilfe des Incidentnamens können Sie den Umfang des Incidents schnell verstehen. Beispiel: Mehrstufiger Incident auf mehreren Endpunkten, die von mehreren Quellen gemeldet werden.

Führen Sie die folgenden Schritte aus, um den Incidentnamen zu bearbeiten:

1. Befolgen Sie die Anweisungen im Abschnitt zum Öffnen des Bereichs " Incident verwalten ".

2. Geben Sie im Bereich Incident verwalten im Feld Incidentname einen neuen Namen ein.

3. Klicken Sie auf Speichern.

Hinweis

• Incidents, die vor dem Rollout der automatischen Incidentbenennungsfunktion vorhanden waren, behalten ihre Namen bei.

• Wenn ein anderer Incident in einem umbenannten Incident zusammengeführt wird, gibt Defender dem Incident einen neuen Namen und überschreibt jeden benutzerdefinierten Namen, den Sie ihm zuvor gegeben haben.

Anzeigen des Aktivitätsprotokolls eines Incidents

Wenn Sie ein Postmortem eines Incidents durchführen, sehen Sie sich das Aktivitätsprotokoll des Incidents an, um den Verlauf der für den Vorfall ausgeführten Aktionen (als "Audits" bezeichnet) und alle aufgezeichneten Kommentare anzuzeigen. Alle Änderungen, die an dem Incident vorgenommen wurden, ob von einem Benutzer oder vom System, werden im Aktivitätsprotokoll aufgezeichnet.

1. Öffnen Sie das Aktivitätsprotokoll des Incidents. Wählen Sie auf der Seite "Incident" oder im Bereich "Incidentdetails" auf der Seite "Incidentwarteschlange" die drei Punkte in der oberen rechten Ecke aus, und wählen Sie im resultierenden Menü Aktivitätsprotokoll aus.

   

2. Filtern Sie die Aktivitäten im Protokoll nach Kommentaren und Aktionen. Wählen Sie Inhalt: Überwachungen und Kommentare aus, und wählen Sie dann den Inhaltstyp aus, um Aktivitäten zu filtern. Im Folgenden sehen Sie ein Beispiel.

   

3. Wählen Sie Anwenden aus.

Sie können auch eigene Kommentare hinzufügen , indem Sie das Kommentarfeld verwenden, das im Aktivitätsprotokoll verfügbar ist. Das Kommentarfeld akzeptiert Text und Formatierungen, Links und Bilder.

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Exportieren von Incidentdaten in eine PDF-Datei

Sie können die Daten eines Incidents über die Funktion Incident als PDF exportieren als PDF exportieren und im PDF-Format speichern. Diese Funktion ermöglicht es Sicherheitsteams, die Details eines Incidents jederzeit offline zu überprüfen.

Die exportierten Incidentdaten enthalten die folgenden Informationen:

• Eine Übersicht mit den Incidentdetails
• Angriffsgeschichtendiagramm und Bedrohungskategorien
• Die betroffenen Vermögenswerte, die bis zu 10 Ressourcen für jeden Ressourcentyp abdecken
• Die Beweisliste mit bis zu 100 Elementen
• Unterstützende Daten, einschließlich aller zugehörigen Warnungen und Aktivitäten, die im Aktivitätsprotokoll aufgezeichnet wurden

Hier sehen Sie ein Beispiel für die exportierte PDF:

Wenn Sie über die Copilot for Security-Lizenz verfügen, enthält die exportierte PDF die folgenden zusätzlichen Incidentdaten:

• Incidentzusammenfassung
• Schadensbericht

Die Funktion "In PDF exportieren" ist auch im Copilot-Seitenbereich verfügbar. Wenn Sie in der oberen rechten Ecke der Ergebnisse des Incidentberichts Karte die Auslassungspunkte Weitere Aktionen (...) auswählen, können Sie Incident als PDF exportieren auswählen.

Führen Sie zum Generieren der PDF-Datei die folgenden Schritte aus:

1. Öffnen Sie eine Vorfallsseite. Wählen Sie in der oberen rechten Ecke die Auslassungspunkte weitere Aktionen (...) und dann Incident als PDF exportieren aus.

   

2. Bestätigen Sie im nächsten Dialogfeld die Incidentinformationen, die Sie in die PDF-Datei einfügen oder ausschließen möchten. Alle Incidentinformationen sind standardmäßig ausgewählt. Wählen Sie PDF exportieren aus, um fortzufahren.

   

3. Eine status Meldung, die den aktuellen Status des Downloads angibt, wird unter dem Incidenttitel angezeigt. Der Exportvorgang kann je nach Komplexität des Incidents und der zu exportierenden Datenmenge einige Minuten dauern.

   

4. Ein weiteres Dialogfeld wird angezeigt, das angibt, dass die PDF-Datei bereit ist. Wählen Sie im Dialogfeld Herunterladen aus, um die PDF-Datei auf Ihrem Gerät zu speichern. Die status Meldung unterhalb des Incidenttitels wird ebenfalls aktualisiert, um anzugeben, dass der Download verfügbar ist.

   

Der Bericht wird für einige Minuten zwischengespeichert. Das System stellt die zuvor generierte PDF bereit, wenn Sie versuchen, denselben Incident innerhalb eines kurzen Zeitraums erneut zu exportieren. Um eine neuere Version der PDF-Datei zu generieren, warten Sie einige Minuten, bis der Cache abläuft.

Nächste Schritte

Setzen Sie ihre Untersuchung bei neuen und in Prozessen ausgeführten Vorfällen fort.

Führen Sie bei gelösten Vorfällen eine Überprüfung nach dem Incident durch.

Siehe auch

• Übersicht über Vorfälle
• Priorisieren von Vorfällen
• Untersuchen von Vorfällen

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.