Verwalten von automatisierten Untersuchungen

  • 3 Minuten

Verwalten von automatisierten Untersuchungen

Das Sicherheitsteam Ihrer Organisation erhält immer dann eine Warnung, wenn Microsoft Defender ein schädliches oder verdächtiges Element für den Endpunkt erkennt. Der Umgang mit der Vielzahl von Warnungen, die durch einen scheinbar unendlichen Fluss von Bedrohungen ausgelöst werden, stellt eine große Herausforderung für Sicherheitsteams dar. Microsoft Defender für Endpunkt umfasst automatisierte Untersuchungs- und Wiederherstellungsfunktionen (Automated Investigation and Remediation, AIR), mit denen das Sicherheitsteam Ihrer Organisation Bedrohungen effizienter und effektiver behandeln kann.

Die Technologie bei der automatisierten Untersuchung verwendet verschiedene Überprüfungsalgorithmen und basiert auf Prozessen, die von Sicherheitsanalysten verwendet werden. AIR-Funktionen wurden entwickelt, um Warnungen zu untersuchen und sofortige Maßnahmen zum Beheben von Verletzungen zu ergreifen. Mit den AIR-Funktionen wird das Warnungsaufkommen erheblich reduziert, sodass sich Sicherheitsaktivitäten auf komplexere Bedrohungen und andere wichtige Maßnahmen konzentrieren können. Das Info-Center bietet einen Überblick über alle Untersuchungen, die automatisch initiiert wurden, sowie Details wie Untersuchungsstatus, Erkennungsquelle und ausstehende oder abgeschlossene Aktionen.

Start der automatisierten Untersuchung

Wenn eine Warnung ausgelöst wird, tritt ein Sicherheitsplaybook in Kraft. Je nach Sicherheitsplaybook kann eine automatisierte Untersuchung beginnen. Nehmen Sie beispielsweise an, dass sich eine schädliche Datei auf einem Gerät befindet. Wenn diese Datei erkannt wird, wird eine Warnung ausgelöst, und der automatisierte Untersuchungsprozess beginnt. Microsoft Defender für Endpunkt prüft, ob die schädliche Datei auch auf anderen Geräten in der Organisation vorhanden ist. Während und nach der automatisierten Untersuchung sind Details aus der Untersuchung verfügbar, u. a. die Bewertung („Bösartig“, „Verdächtig“ oder „Keine Bedrohungen gefunden“). Weitere Informationen dazu, was nach der Bewertung geschieht, nachdem ein Urteil erreicht wurde, finden Sie im Abschnitt zu automatisierten Untersuchungsergebnissen und Korrekturmaßnahmen.

Details zu einer automatisierten Untersuchung

Während und nach einer automatisierten Untersuchung können Sie Details dazu anzeigen. Wählen Sie eine auslösende Warnung aus, um die Untersuchungsdetails zu sehen. Von dort aus können Sie die Registerkarten „Untersuchungsdiagramm“, „Benachrichtigungen“, „Geräte“, „Beweis“, „Entitäten“ und „Protokoll“ aufrufen.

  • Warnungen: Die Warnungen, durch die die Untersuchung ausgelöst wurde.

  • Geräte: Die Geräte, auf denen die Bedrohung erkannt wurde.

  • Beweis: Die Entitäten, die während einer Untersuchung als bösartig eingestuft wurden.

  • Entitäten: Details zu jeder analysierten Entität, einschließlich einer Bestimmung des Entitätstyps („Bösartig“, „Verdächtig“ oder „Keine Bedrohungen gefunden“).

  • Protokoll: Die chronologische, ausführliche Übersicht über aller Untersuchungsaktionen, die für die Warnung durchgeführt wurden.

  • Ausstehende Aktionen: Wenn aufgrund der Untersuchung Aktionen vorhanden sind, die genehmigt werden müssen, wird die Registerkarte „Ausstehende Aktionen“ angezeigt. Auf der Registerkarte „Ausstehende Aktionen“ können Sie die einzelnen Aktionen genehmigen oder ablehnen.

Erweitern des Umfangs einer automatisierten Untersuchung

Während einer Untersuchung werden alle anderen vom Gerät generierten Warnungen einer laufenden automatisierten Untersuchung hinzugefügt, bis diese Untersuchung abgeschlossen ist. Wenn auf anderen Geräten dieselbe Bedrohung erkannt wird, werden diese Geräte ebenfalls der Untersuchung hinzugefügt.

Wenn eine verdächtige Entität auf einem anderen Gerät gefunden wird, erweitert der automatisierte Untersuchungsprozess seinen Umfang, um dieses Gerät einzuschließen. Außerdem wird ein allgemeines Sicherheitsplaybook auf dem Gerät gestartet. Wenn während dieses Erweiterungsprozesses von derselben Entität 10 oder mehr Geräte gefunden werden, ist für diese Erweiterungsaktion eine Genehmigung erforderlich, und sie wird auf der Registerkarte „Ausstehende Aktionen“ angezeigt.

Behebung von Bedrohungen

Wenn Warnungen ausgelöst werden und eine automatisierte Untersuchung ausgeführt wird, wird für jedes untersuchte Beweiselement eine Bewertung generiert. Die möglichen Bewertungen sind „Bösartig“, „Verdächtig“ und „Keine Bedrohungen gefunden“.

Wenn die Bewertungen festgelegt wurden, können durch automatisierte Untersuchungen eine oder mehrere Korrekturmaßnahmen ausgeführt werden. Beispiele für Korrekturmaßnahmen sind das Senden einer Datei in die Quarantäne, das Beenden eines Diensts, das Entfernen einer geplanten Aufgabe usw. (Siehe Korrekturmaßnahmen.)

Abhängig vom Grad der Automatisierung für Ihre Organisation und anderen Sicherheitseinstellungen können Korrekturmaßnahmen automatisch oder nur nach Genehmigung durch das Sicherheitsteam ausgeführt werden. Zu den anderen Sicherheitseinstellungen, die sich auf die automatische Korrektur auswirken können, zählt u. a. der Schutz vor möglicherweise unerwünschten Anwendungen (Potentially Unwanted Applications, PUA).

Alle Korrekturmaßnahmen, ob ausstehend oder abgeschlossen, können im Info-Center angezeigt werden (https://security.microsoft.com). Falls erforderlich, kann Ihr Sicherheitsteam eine Korrekturmaßnahme rückgängig machen.

Automatisierungsgrade bei der automatisierten Untersuchung und Korrektur

Die Funktionen für die automatisierte Untersuchung und Korrektur (AIR) in Microsoft Defender für Endpunkt können auf einen von mehreren Automatisierungsgraden festgelegt werden. Der Automatisierungsgrad wirkt sich darauf aus, ob Korrekturmaßnahmen nach AIR-Untersuchungen automatisch oder nur nach Genehmigung durchgeführt werden.

  • Bei der vollständigen Automatisierung (empfohlen) werden für Artefakte, die als bösartig bewertet werden, automatisch Korrekturmaßnahmen durchgeführt.

  • Bei der teilweisen Automatisierung werden einige Aktionen automatisch ausgeführt, andere Korrekturmaßnahmen benötigen zuerst eine Genehmigung. (Weitere Informationen finden Sie in der Tabelle zu Automatisierungsgraden.)

  • Alle Korrekturmaßnahmen, ob ausstehend oder abgeschlossen, können im Info-Center angezeigt werden.

Automatisierungsgrade

Full – remediate threats automatically (Vollständig: Bedrohungen automatisch beheben)

Bei dieser auch als vollständige Automatisierung bezeichneten Automatisierungsebene werden Wartungsaktionen automatisch ausgeführt. Alle ausgeführten Wiederherstellungsaktionen können im Info-Center auf der Registerkarte „Verlauf“ angezeigt werden. Bei Bedarf kann eine Korrekturaktion rückgängig gemacht werden.

Semi – require approval for any remediation (Teilweise: Genehmigung für jede Wartung erforderlich)

Diese Automatisierungsebene wird auch als Teilautomatisierung bezeichnet. Dabei ist für jede Wartungsaktion eine Genehmigung erforderlich. Die ausstehenden Aktionen können im Info-Center auf der Registerkarte „Ausstehend“ angezeigt und genehmigt werden.

Semi – require approval for core folders remediation (Teilweise: Genehmigung für Wartung in Kernordnern erforderlich)

Bei dieser Ebene mit Teilautomatisierung ist eine Genehmigung für alle Wartungsaktionen an Dateien oder ausführbare Dateien in Kernordnern erforderlich. Zu den Kernordnern gehören Betriebssystemverzeichnisse wie z. B. Windows (\windows*).

Für Dateien oder ausführbare Dateien außerhalb dieser Kernordner können Wartungsaktionen aber automatisch ausgeführt werden.

Ausstehende Aktionen für Dateien oder ausführbare Dateien in Kernordnern können im Info-Center auf der Registerkarte „Ausstehend“ angezeigt und genehmigt werden.

Aktionen, die für Dateien oder ausführbare Dateien in anderen Ordnern ausgeführt wurden, können im Info-Center auf der Registerkarte „Verlauf“ überprüft werden.

Semi – require approval for non-temp folders remediation (Teilweise: Genehmigung für Wartung in nicht temporären Ordnern erforderlich)

Bei dieser Teilautomatisierung ist eine Genehmigung aller Wartungsaktionen für Dateien oder ausführbare Dateien erforderlich, die sich nicht in temporären Ordnern befinden.

Zu den temporären Ordnern gehören z. B. die folgenden:

  • \Benutzer*\appdata\local\temp*

  • \Dokumente und Einstellungen*\local settings\temp*

  • \Dokumente und Einstellungen*\local settings\temporary*

  • \windows\temp*

  • \Benutzer*\Downloads*

  • \Programme\

  • \Programme (x86)*

  • \Dokumente und Einstellungen*\Benutzer*

Für Dateien oder ausführbare Dateien in temporären Ordnern können Wartungsaktionen aber automatisch ausgeführt werden.

Ausstehende Aktionen für Dateien oder ausführbare Dateien außerhalb der temporären Ordner können im Info-Center auf der Registerkarte „Ausstehend“ angezeigt und genehmigt werden.

Aktionen, die für Dateien oder ausführbare Dateien in temporären Ordnern ausgeführt wurden, können im Info-Center auf der Registerkarte „Verlauf“ überprüft werden.

No automated response (Keine automatisierte Reaktion)

Ohne Automatisierung wird auf den Geräten Ihrer Organisation keine automatisierte Untersuchung durchgeführt. Entsprechend werden auch keine Wartungsaktionen als Ergebnis einer automatisierten Untersuchung durchgeführt oder als ausstehend gekennzeichnet. Andere Schutzfunktionen gegen Bedrohungen, z. B. der Schutz vor potenziell unerwünschten Anwendungen, können jedoch aktiv sein. Dies hängt von der Konfiguration der Schutzfunktionen wie Antivirensoftware oder Funktionen der nächsten Generation ab.

Die Verwendung der Option ohne Automatisierung ist nicht empfehlenswert, da sich dadurch der Sicherheitsstatus der Geräte Ihrer Organisation verschlechtert. Es empfiehlt sich, die Automatisierungsebene auf vollständige Automatisierung (oder zumindest eine Teilautomatisierung) festzulegen.

Wichtige Punkte zu Automatisierungsgraden

Die vollständige Automatisierung hat sich als zuverlässig, effizient und sicher erwiesen und wird für alle Kunden empfohlen. Durch die vollständige Automatisierung werden Ihre kritischen Sicherheitsressourcen freigegeben, sodass sie sich mehr auf strategische Initiativen konzentrieren können. Wenn Ihr Sicherheitsteam Gerätegruppen mit einer Automatisierungsstufe definiert hat, werden diese Einstellungen nicht durch die neuen Standardeinstellungen geändert, die eingeführt werden.