Freigeben über

Ergreifen von Reaktionen auf einem Gerät

  • Artikel

Gilt für:

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Reagieren Sie schnell auf erkannte Angriffe, indem Sie Geräte isolieren oder ein Untersuchungspaket sammeln. Nachdem Sie Maßnahmen für Geräte ergriffen haben, können Sie die Aktivitätsdetails im Info-Center überprüfen.

Antwortaktionen werden am oberen Rand einer bestimmten Geräteseite ausgeführt und umfassen Folgendes:

  • Verwalten von Kategorien
  • Initiieren einer automatisierten Untersuchung
  • Liveantwortsitzung initiieren
  • Untersuchungspakets erfassen
  • Antivirusscan ausführen
  • App-Ausführung einschränken
  • Gerät isolieren
  • Gerät enthalten
  • Wenden Sie sich an einen Bedrohungsexperten
  • Info-Center

Screenshot: Antwortaktionen am oberen Rand einer Geräteseite im Microsoft Defender-Portal

Hinweis

Defender für Endpunkt Plan 1 umfasst nur die folgenden manuellen Antwortaktionen:

  • Antivirusscan ausführen
  • Gerät isolieren
  • Beenden und Isolieren einer Datei
  • Sie fügen einen Indikator hinzu, um eine Datei zu blockieren oder zuzulassen.

Microsoft Defender for Business enthält derzeit nicht die Aktion "Eine Datei beenden und unter Quarantäne stellen".

Ihr Abonnement muss Defender für Endpunkt Plan 2 enthalten, damit alle in diesem Artikel beschriebenen Antwortaktionen ausgeführt werden können.

Geräteseiten finden Sie in einer der folgenden Ansichten:

  • Warnungswarteschlange: Wählen Sie den Gerätenamen neben dem Gerätesymbol aus der Warnungswarteschlange aus.
  • Geräteliste: Wählen Sie die Überschrift des Gerätenamens aus der Geräteliste aus.
  • Suchfeld: Wählen Sie im Dropdownmenü Die Option Gerät aus, und geben Sie den Gerätenamen ein.

Wichtig

Informationen zur Verfügbarkeit und Unterstützung für jede Antwortaktion finden Sie in den unterstützten Mindestanforderungen an das Betriebssystem für jedes Feature.

Verwalten von Kategorien

Hinzufügen oder Verwalten von Tags, um eine logische Gruppenzugehörigkeit zu erstellen. Gerätekategorien unterstützen die ordnungsgemäße Zuordnung des Netzwerks, sodass Sie verschiedene Kategorien anfügen können, um den Kontext zu erfassen und die dynamische Listenerstellung als Teil eines Vorfalls zu ermöglichen.

Weitere Informationen zur Gerätemarkierung finden Sie unter Erstellen und Verwalten von Gerätetags.

Initiieren einer automatisierten Untersuchung

Sie können bei Bedarf eine neue, allgemeine automatisierte Untersuchung auf dem Gerät starten. Während eine Untersuchung ausgeführt wird, wird jede andere Warnung, die vom Gerät generiert wird, einer laufenden automatisierten Untersuchung hinzugefügt, bis diese Untersuchung abgeschlossen ist. Wenn die gleiche Bedrohung auch auf anderen Geräten erkannt wird, werden diese Geräte der Untersuchung hinzugefügt.

Weitere Informationen zu automatisierten Untersuchungen finden Sie unter Übersicht über automatisierte Untersuchungen.

Initiieren einer Liveantwortsitzung

Die Liveantwort ist eine Funktion, mit der Sie über eine Remoteshellverbindung sofort auf ein Gerät zugreifen können. Dies gibt Ihnen die Möglichkeit, eingehende Untersuchungen durchzuführen und sofortige Reaktionsaktionen zu ergreifen, um identifizierte Bedrohungen in Echtzeit sofort einzudämmen.

Live Response wurde entwickelt, um Untersuchungen zu verbessern, indem Sie forensische Daten sammeln, Skripts ausführen, verdächtige Entitäten zur Analyse senden, Bedrohungen beseitigen und proaktiv nach neuen Bedrohungen suchen können.

Weitere Informationen zur Liveantwort finden Sie unter Untersuchen von Entitäten auf Geräten mithilfe von Liveantworten.

Erfassen eines Untersuchungspakets von Geräten

Im Rahmen des Untersuchungs- oder Antwortprozesses können Sie ein Untersuchungspaket von einem Gerät sammeln. Durch das Sammeln des Untersuchungspakets können Sie den aktuellen Zustand des Geräts identifizieren und die vom Angreifer verwendeten Tools und Techniken besser verstehen.

Führen Sie die folgenden Schritte aus, um das Paket (ZIP-Ordner) herunterzuladen und die Ereignisse zu untersuchen, die auf einem Gerät aufgetreten sind:

  1. Wählen Sie untersuchungspaket sammeln aus der Zeile der Antwortaktionen oben auf der Geräteseite aus.

  2. Geben Sie im Textfeld an, warum Sie diese Aktion ausführen möchten. Wählen Sie Bestätigen aus.

  3. Die ZIP-Datei wird heruntergeladen.

Oder verwenden Sie dieses alternative Verfahren:

  1. Wählen Sie auf der Geräteseite im Abschnitt "Antwortaktionen" die Option Untersuchungspaket sammeln aus.

    Abbildung des Collect-Untersuchungspakets

  2. Fügen Sie Kommentare hinzu, und wählen Sie dann Bestätigen aus.

    Abbildung des Kommentars bestätigen

  3. Wählen Sie auf der Geräteseite im Abschnitt "Antwortaktionen" die Option Info-Center aus.

    Abbildung des Info-Centers

  4. Wählen Sie Paketsammlungspaket verfügbar aus, um das Sammlungspaket herunterzuladen.

    Abbildung des Downloadpakets

Inhalt des Untersuchungspakets für Windows-Geräte

Für Windows-Geräte enthält das Paket die in der folgenden Tabelle beschriebenen Ordner:

Ordner Beschreibung
Autoruns Enthält einen Satz von Dateien, die jeweils den Inhalt der Registrierung eines bekannten automatischen Starteinstiegspunkts (ASEP) darstellen, um die Persistenz des Angreifers auf dem Gerät zu identifizieren.

Wenn der Registrierungsschlüssel nicht gefunden wird, enthält die Datei die folgende Meldung: "ERROR: The system was unable to find the specified registry key or value."
Installierte Programme Diese .CSV Datei enthält die Liste der installierten Programme, die ihnen helfen können, zu identifizieren, was derzeit auf dem Gerät installiert ist. Weitere Informationen finden Sie unter Win32_Product-Klasse.
Netzwerkverbindungen Dieser Ordner enthält eine Reihe von Datenpunkten im Zusammenhang mit den Konnektivitätsinformationen, die bei der Identifizierung der Konnektivität mit verdächtigen URLs, der Befehls- und Steuerungsinfrastruktur (C&C) des Angreifers, lateralen Verschiebungen oder Remoteverbindungen helfen können.

- ActiveNetConnections.txt: Zeigt Protokollstatistiken und aktuelle TCP/IP-Netzwerkverbindungen an. Ermöglicht es Ihnen, nach verdächtigen Verbindungen zu suchen, die von einem Prozess hergestellt werden.

- Arp.txt: Zeigt die aktuellen ARP-Cachetabellen (Address Resolution Protocol) für alle Schnittstellen an. ARP-Cache kann andere Hosts in einem Netzwerk aufdecken, die kompromittiert wurden oder verdächtige Systeme im Netzwerk, die zum Ausführen eines internen Angriffs verwendet werden könnten.

- DnsCache.txt: Zeigt den Inhalt des DNS-Client-Konfliktlösercaches an, der sowohl Einträge enthält, die vorab aus der lokalen Hostdatei geladen wurden, als auch alle kürzlich abgerufenen Ressourceneinträge für vom Computer aufgelöste Namensabfragen. Dies kann bei der Identifizierung verdächtiger Verbindungen helfen.

- IpConfig.txt: Zeigt die vollständige TCP/IP-Konfiguration für alle Adapter an. Adapter können physische Schnittstellen darstellen, z. B. installierte Netzwerkadapter oder logische Schnittstellen, z. B. DFÜ-Verbindungen.

- FirewallExecutionLog.txt und pfirewall.log

Die pfirewall.log Datei muss in %windir%\system32\logfiles\firewall\pfirewall.logvorhanden sein, sodass sie im Untersuchungspaket enthalten ist. Weitere Informationen zum Erstellen der Firewallprotokolldatei finden Sie unter Konfigurieren der Windows-Firewall mit erweitertem Sicherheitsprotokoll.
Vorabrufdateien Windows Prefetch-Dateien wurden entwickelt, um den Anwendungsstartprozess zu beschleunigen. Es kann verwendet werden, um alle Zuletzt im System verwendeten Dateien nachzuverfolgen und Nachverfolgungen für Anwendungen zu finden, die möglicherweise gelöscht werden, aber weiterhin in der Liste der Vorabrufdateien gefunden werden können.

- Prefetch folder: Enthält eine Kopie der Vorabrufdateien aus %SystemRoot%\Prefetch. Es wird empfohlen, einen Vorabrufdatei-Viewer herunterzuladen, um die Vorabrufdateien anzuzeigen.

- PrefetchFilesList.txt: Enthält die Liste aller kopierten Dateien, die verwendet werden können, um nachzuverfolgen, ob Kopierfehler im Vorabrufordner aufgetreten sind.
Prozesse Enthält eine .CSV Datei, die die ausgeführten Prozesse auflistet, und bietet die Möglichkeit, aktuelle Prozesse zu identifizieren, die auf dem Gerät ausgeführt werden. Dies kann bei der Identifizierung eines verdächtigen Prozesses und seines Zustands hilfreich sein.
Geplante Vorgänge Enthält eine .CSV Datei, die die geplanten Aufgaben auflistet, die verwendet werden kann, um Routinen zu identifizieren, die automatisch auf einem ausgewählten Gerät ausgeführt werden, um nach verdächtigem Code zu suchen, der für die automatische Ausführung festgelegt wurde.
Sicherheitsereignisprotokoll Enthält das Sicherheitsereignisprotokoll, das Datensätze zu Anmelde- oder Abmeldeaktivitäten oder anderen sicherheitsbezogenen Ereignissen enthält, die von der Überwachungsrichtlinie des Systems angegeben werden.

Öffnen Sie die Ereignisprotokolldatei mithilfe der Ereignisanzeige.
Dienste Enthält eine .CSV-Datei, die Dienste und deren Zustände auflistet.
SMB-Sitzungen (Windows Server Message Block) Listen gemeinsamen Zugriff auf Dateien, Drucker und serielle Ports sowie verschiedene Kommunikationen zwischen Knoten in einem Netzwerk. Dies kann dabei helfen, Datenexfiltration oder laterale Verschiebungen zu identifizieren.

Enthält Dateien für SMBInboundSessions und SMBOutboundSession. Wenn keine Sitzungen (eingehend oder ausgehend) vorhanden sind, erhalten Sie eine Textdatei, die Ihnen mitteilt, dass keine SMB-Sitzungen gefunden wurden.
Systeminformationen Enthält eine SystemInformation.txt Datei, die Systeminformationen wie Betriebssystemversion und Netzwerkkarten auflistet.
Temporäre Verzeichnisse Enthält eine Gruppe von Textdateien, in denen die Dateien aufgelistet werden, die sich in %Temp% für jeden Benutzer im System befinden. Dies kann helfen, verdächtige Dateien nachzuverfolgen, die ein Angreifer möglicherweise auf dem System abgelegt hat.

Wenn die Datei die folgende Meldung enthält: "Das System kann den angegebenen Pfad nicht finden", bedeutet dies, dass für diesen Benutzer kein temporäres Verzeichnis vorhanden ist. Dies liegt möglicherweise daran, dass sich der Benutzer nicht beim System angemeldet hat.
Benutzer und Gruppen Stellt eine Liste von Dateien bereit, die jeweils eine Gruppe und ihre Mitglieder darstellen.
WdSupportLogs Stellt und bereit MpCmdRunLog.txtMPSupportFiles.cab. Dieser Ordner wird nur unter Windows 10, Version 1709 oder höher, mit dem Updaterollup vom Februar 2020 oder neueren Versionen erstellt:

– Win10 1709 (RS3) Build 16299.1717: KB4537816

– Win10 1803 (RS4) Build 17134.1345: KB4537795

– Win10 1809 (RS5) Build 17763.1075: KB4537818

– Win10 1903/1909 (19h1/19h2) Builds 18362.693 und 18363.693: KB4535996
CollectionSummaryReport.xls Diese Datei ist eine Zusammenfassung der Untersuchungspaketsammlung. Sie enthält die Liste der Datenpunkte, den Befehl zum Extrahieren der Daten, die Ausführung status und den Fehlercode bei Fehlern. Mithilfe dieses Berichts können Sie nachverfolgen, ob das Paket alle erwarteten Daten enthält, und ermitteln, ob Fehler aufgetreten sind.

Inhalt des Untersuchungspakets für Mac- und Linux-Geräte

In der folgenden Tabelle sind die Inhalte der Sammlungspakete für Mac- und Linux-Geräte aufgeführt:

Objekt macOS Linux
Anwendungen Eine Liste aller installierten Anwendungen Nicht zutreffend
Datenträgervolume – Menge des freien Speicherplatzes
– Liste aller bereitgestellten Datenträgervolumes
– Liste aller Partitionen		 – Menge des freien Speicherplatzes
– Liste aller bereitgestellten Datenträgervolumes
– Liste aller Partitionen
File Eine Liste aller geöffneten Dateien mit den entsprechenden Prozessen, die diese Dateien verwenden Eine Liste aller geöffneten Dateien mit den entsprechenden Prozessen, die diese Dateien verwenden
Verlauf Shellverlauf Nicht zutreffend
Kernelmodule Alle geladenen Module Nicht zutreffend
Netzwerkverbindungen – Aktive Verbindungen
– Aktive Lauschverbindungen
– ARP-Tabelle
– Firewallregeln
– Schnittstellenkonfiguration
– Proxyeinstellungen
– VPN-Einstellungen		 – Aktive Verbindungen
– Aktive Lauschverbindungen
– ARP-Tabelle
– Firewallregeln
– IP-Liste
– Proxyeinstellungen
Prozesse Eine Liste aller ausgeführten Prozesse Eine Liste aller ausgeführten Prozesse
Dienste und geplante Aufgaben -Atteste
– Konfigurationsprofile
– Hardwareinformationen		 – CPU-Details
– Hardwareinformationen
- Betriebssysteminformationen
Systemsicherheitsinformationen – EFI-Integritätsinformationen (Extensible Firmware Interface)
– Firewall status
- Informationen zum Malware Removal Tool (MRT)
– SIP-status (System Integrity Protection)		 Nicht zutreffend
Benutzer und Gruppen - Anmeldeverlauf
- Sudoers		 - Anmeldeverlauf
- Sudoers

Ausführen Microsoft Defender Antivirus-Überprüfung auf Geräten

Im Rahmen des Untersuchungs- oder Antwortprozesses können Sie remote eine Antivirenüberprüfung initiieren, um Schadsoftware zu identifizieren und zu beheben, die möglicherweise auf einem kompromittierten Gerät vorhanden ist.

Wichtig

  • Diese Aktion wird für macOS und Linux für Clientversion 101.98.84 und höher unterstützt. Sie können auch die Liveantwort verwenden, um die Aktion auszuführen. Weitere Informationen zur Liveantwort finden Sie unter Untersuchen von Entitäten auf Geräten mithilfe von Liveantworten.
  • Eine Microsoft Defender Antivirus-Überprüfung kann zusammen mit anderen Antivirenlösungen ausgeführt werden, unabhängig davon, ob Microsoft Defender Antivirus die aktive Antivirenlösung ist oder nicht. Microsoft Defender Antivirus kann sich im passiven Modus befinden. Weitere Informationen finden Sie unter Microsoft Defender Antivirus-Kompatibilität.

Wenn Sie Antivirenscan ausführen ausgewählt haben, wählen Sie den Scantyp aus, den Sie ausführen möchten (schnell oder vollständig), und fügen Sie einen Kommentar hinzu, bevor Sie die Überprüfung bestätigen.

Die Benachrichtigung zum Auswählen der Schnellüberprüfung oder vollständigen Überprüfung und hinzufügen eines Kommentars

Im Info-Center werden die Scaninformationen und das Gerät Zeitleiste ein neues Ereignis enthalten, das angibt, dass eine Scanaktion auf dem Gerät gesendet wurde. Microsoft Defender Antivirenwarnungen spiegeln alle Erkennungen wider, die während der Überprüfung angezeigt wurden.

Hinweis

Beim Auslösen einer Überprüfung mithilfe der Defender für Endpunkt-Antwortaktion gilt Microsoft Defender Antiviruswert ScanAvgCPULoadFactor und schränkt die CPU-Auswirkungen der Überprüfung ein. Wenn ScanAvgCPULoadFactor nicht konfiguriert ist, ist der Standardwert ein Grenzwert von 50 % der maximalen CPU-Auslastung während einer Überprüfung. Weitere Informationen finden Sie unter configure-advanced-scan-types-microsoft-defender-antivirus.

App-Ausführung einschränken

Zusätzlich zur Eindämmung eines Angriffs, indem Sie schädliche Prozesse beenden, können Sie auch ein Gerät sperren und verhindern, dass nachfolgende Versuche potenziell schädlicher Programme ausgeführt werden.

Wichtig

  • Diese Aktion ist für Geräte mit Windows 10 Version 1709 oder höher, Windows 11 und Windows Server 2019 oder höher verfügbar.
  • Dieses Feature ist verfügbar, wenn Ihr organization Microsoft Defender Antivirus verwendet.
  • Diese Aktion muss die Codeintegritätsrichtlinienformate und Signaturanforderungen der Windows Defender-Anwendungssteuerung erfüllen. Weitere Informationen finden Sie unter Formate und Signierung von Codeintegritätsrichtlinien.

Um die Ausführung einer Anwendung zu beschränken, wird eine Codeintegritätsrichtlinie angewendet, die die Ausführung von Dateien nur zulässt, wenn sie von einem von Microsoft ausgestellten Zertifikat signiert sind. Diese Einschränkungsmethode kann dazu beitragen, einen Angreifer daran zu hindern, kompromittierte Geräte zu kontrollieren und weitere schädliche Aktivitäten auszuführen.

Hinweis

Sie können die Einschränkung der Ausführung von Anwendungen jederzeit rückgängig machen. Die Schaltfläche auf der Geräteseite ändert sich in App-Einschränkungen entfernen, und Sie führen dann die gleichen Schritte wie die Einschränkung der App-Ausführung aus.

Nachdem Sie auf der Geräteseite Die App-Ausführung einschränken ausgewählt haben, geben Sie einen Kommentar ein, und wählen Sie Bestätigen aus. Im Info-Center werden die Scaninformationen und das Gerät Zeitleiste ein neues Ereignis enthalten.

Die Benachrichtigung über Anwendungseinschränkung

Benachrichtigung über den Gerätebenutzer

Wenn eine App eingeschränkt ist, wird die folgende Benachrichtigung angezeigt, um den Benutzer darüber zu informieren, dass die Ausführung einer App eingeschränkt ist:

Meldung zur Anwendungseinschränkung

Hinweis

Die Benachrichtigung ist auf Windows Server 2016 und Windows Server 2012 R2 nicht verfügbar.

Isolieren von Geräten aus dem Netzwerk

Abhängig von der Schwere des Angriffs und der Empfindlichkeit des Geräts können Sie das Gerät vom Netzwerk isolieren. Diese Aktion kann dazu beitragen, dass der Angreifer das kompromittierte Gerät kontrolliert und weitere Aktivitäten wie Datenexfiltration und Lateral Movement ausführt.

Wichtige Punkte, die Sie beachten sollten:

  • Das Isolieren von Geräten aus dem Netzwerk wird für macOS für Clientversion 101.98.84 und höher unterstützt. Sie können auch die Liveantwort verwenden, um die Aktion auszuführen. Weitere Informationen zur Liveantwort finden Sie unter Untersuchen von Entitäten auf Geräten mithilfe von Liveantworten.
  • Die vollständige Isolation ist für Geräte verfügbar, auf denen Windows 11, Windows 10, Version 1703 oder höher, Windows Server 2022, Windows Server 2019, Windows Server 2016 und Windows Server 2012 R2 ausgeführt wird.
  • Sie können die Geräteisolationsfunktion für alle unterstützten Microsoft Defender for Endpoint unter Linux verwenden, die unter Systemanforderungen aufgeführt sind. Stellen Sie sicher, dass die folgenden Voraussetzungen aktiviert sind:
    • iptables
    • ip6tables
    • Linux-Kernel mit CONFIG_NETFILTER, CONFID_IP_NF_IPTABLESund CONFIG_IP_NF_MATCH_OWNER
  • Die selektive Isolation ist für Geräte mit Windows 10 Version 1709 oder höher und Windows 11 verfügbar.
  • Beim Isolieren eines Geräts sind nur bestimmte Prozesse und Ziele zulässig. Daher können Geräte, die sich hinter einem vollständigen VPN-Tunnel befinden, den Microsoft Defender for Endpoint Clouddienst nicht erreichen, nachdem das Gerät isoliert wurde. Es wird empfohlen, ein Split-Tunneling-VPN für Microsoft Defender for Endpoint und Microsoft Defender cloudbasierten Schutzdatenverkehr von Antivirus zu verwenden.
  • Das Feature unterstützt VPN-Verbindungen.
  • Ihnen muss mindestens die Active remediation actions Rolle zugewiesen sein. Weitere Informationen finden Sie unter Erstellen und Verwalten von Rollen.
  • Sie müssen basierend auf den Gerätegruppeneinstellungen Zugriff auf das Gerät haben. Weitere Informationen finden Sie unter Erstellen und Verwalten von Gerätegruppen.
  • Ausschlüsse wie E-Mail, Messaginganwendung und andere Anwendungen für die macOS- und Linux-Isolation werden nicht unterstützt.
  • Ein isoliertes Gerät wird aus der Isolation entfernt, wenn ein Administrator dem isolierten Gerät eine neue iptable Regel hinzufügt oder ändert.
  • Das Isolieren eines Servers, der auf Microsoft Hyper-V ausgeführt wird, blockiert den Netzwerkdatenverkehr zu allen untergeordneten virtuellen Computern des Servers.

Die Geräteisolationsfunktion trennt das kompromittierte Gerät vom Netzwerk, während die Konnektivität mit dem Defender für Endpunkt-Dienst beibehalten wird, der das Gerät weiterhin überwacht. Ab Windows 10 Version 1709 können Sie die selektive Isolation verwenden, um die Netzwerkisolationsstufe besser steuern zu können. Sie können auch die Outlook- und Microsoft Teams-Konnektivität aktivieren.

Hinweis

Sie können das Gerät jederzeit wieder mit dem Netzwerk verbinden. Die Schaltfläche auf der Geräteseite ändert sich in Release from isolation (Aus Isolation freigeben), und Dann führen Sie die gleichen Schritte wie das Isolieren des Geräts aus.

Nachdem Sie auf der Geräteseite die Option Gerät isolieren ausgewählt haben, geben Sie einen Kommentar ein, und wählen Sie Bestätigen aus. Im Info-Center werden die Scaninformationen und das Gerät Zeitleiste ein neues Ereignis enthalten.

Detailseite eines isolierten Geräts

Hinweis

Das Gerät bleibt auch dann mit dem Defender für Endpunkt-Dienst verbunden, wenn es vom Netzwerk isoliert ist. Wenn Sie sich entschieden haben, Outlook und Skype for Business Kommunikation zu aktivieren, können Sie mit dem Benutzer kommunizieren, während das Gerät isoliert ist. Die selektive Isolation funktioniert nur in den klassischen Versionen von Outlook und Microsoft Teams.

Erzwungenes Freigeben des Geräts aus der Isolation

Die Geräteisolationsfunktion ist ein unschätzbares Tool zum Schutz von Geräten vor externen Bedrohungen. Es gibt jedoch Fälle, in denen isolierte Geräte nicht mehr reagieren.

Es gibt ein herunterladbares Skript für diese Instanzen, das Sie ausführen können, um Geräte zwangslos aus der Isolation freizugeben. Das Skript ist über einen Link auf der Benutzeroberfläche verfügbar.

Hinweis

  • Administratoren und Verwalten von Sicherheitseinstellungen in Security Center-Berechtigungen können Geräte zwangslos aus der Isolation befreien.
  • Das Skript ist nur für das jeweilige Gerät gültig.
  • Das Skript läuft in drei Tagen ab.

So lassen Sie das Gerät zwangslos aus der Isolation:

  1. Wählen Sie auf der Geräteseite skript herunterladen aus, um ein Gerät aus der Isolation im Aktionsmenü zu erzwingen .

  2. Wählen Sie im Bereich auf der rechten Seite Skript herunterladen aus.

Mindestanforderungen für die Freigabe von forciblen Geräten

Um ein Gerät zwangslos aus der Isolation zu entlassen, muss auf dem Gerät Windows ausgeführt werden. Die folgenden Versionen werden unterstützt:

  • Windows 10 21H2 und 22H2 mit KB-KB5023773.
  • Windows 11 Version 21H2, alle Editionen mit KB5023774.
  • Windows 11 Version 22H2, alle Editionen mit KB5023778.

Benachrichtigung über den Gerätebenutzer

Wenn ein Gerät isoliert wird, wird die folgende Benachrichtigung angezeigt, um den Benutzer darüber zu informieren, dass das Gerät vom Netzwerk isoliert wird:

Meldung

Hinweis

Die Benachrichtigung ist auf Nicht-Windows-Plattformen nicht verfügbar.

Geräte aus dem Netzwerk einschließen

Wenn Sie ein nicht verwaltetes Gerät identifiziert haben, das kompromittiert oder potenziell kompromittiert ist, sollten Sie dieses Gerät aus dem Netzwerk enthalten, um zu verhindern, dass sich der potenzielle Angriff seitlich über das Netzwerk bewegt. Wenn Sie ein Gerät enthalten, blockiert jedes Microsoft Defender for Endpoint integriertes Gerät die eingehende und ausgehende Kommunikation mit diesem Gerät. Diese Aktion kann dazu beitragen, zu verhindern, dass benachbarte Geräte kompromittiert werden, während der Sicherheitsbetriebsanalyst die Bedrohung auf dem kompromittierten Gerät sucht, identifiziert und beseitigt.

Hinweis

Das Blockieren der eingehenden und ausgehenden Kommunikation mit einem "eigenständigen" Gerät wird auf integrierten Microsoft Defender for Endpoint Windows 10- und Windows Server 2019+ Geräten unterstützt.

Sobald Geräte enthalten sind, empfehlen wir, die Bedrohung auf den enthaltenen Geräten so bald wie möglich zu untersuchen und zu beheben. Nach der Wartung sollten Sie die Geräte aus der Eindämmung entfernen.

So wird's: Ein Gerät enthalten

  1. Wechseln Sie zur Seite Gerätebestand , und wählen Sie das gerät aus.

  2. Wählen Sie im Menü "Aktionen" im Geräte-Flyout die Option Gerät enthalten aus.

    Screenshot der Popupmeldung

  3. Geben Sie im Popup "Gerät enthalten" einen Kommentar ein, und wählen Sie Bestätigen aus.

Screenshot des Menüelements

Wichtig

Wenn Sie eine große Anzahl von Geräten enthalten, kann dies zu Leistungsproblemen auf geräten führen, die in Defender für Endpunkt integriert sind. Um Probleme zu vermeiden, empfiehlt Microsoft, bis zu 100 Geräte zu einem bestimmten Zeitpunkt zu verwenden.

Enthalten eines Geräts von der Geräteseite

Ein Gerät kann auch auf der Geräteseite enthalten sein, indem Sie in der Aktionsleiste Auf Gerät enthalten klicken:

Screenshot des Menüelements

Hinweis

Es kann bis zu 5 Minuten dauern, bis die Details zu einem neu enthaltenen Gerät Microsoft Defender for Endpoint integrierten Geräte erreichen.

Wichtig

  • Wenn ein eigenständiges Gerät seine IP-Adresse ändert, erkennen alle integrierten Microsoft Defender for Endpoint Geräte dies und blockieren die Kommunikation mit der neuen IP-Adresse. Die ursprüngliche IP-Adresse wird nicht mehr blockiert (Es kann bis zu 5 Minuten dauern, bis diese Änderungen angezeigt werden).
  • In Fällen, in denen die IP-Adresse des enthaltenen Geräts von einem anderen Gerät im Netzwerk verwendet wird, wird beim Enthalten des Geräts eine Warnung mit einem Link zur erweiterten Suche (mit einer vorab aufgefüllten Abfrage) angezeigt. Dies bietet Sichtbarkeit für die anderen Geräte, die die gleiche IP-Adresse verwenden, damit Sie eine bewusste Entscheidung treffen können, wenn Sie mit dem Enthalten des Geräts fortfahren möchten.
  • In Fällen, in denen das enthaltene Gerät ein Netzwerkgerät ist, wird eine Warnung mit einer Meldung angezeigt, dass dies zu Netzwerkkonnektivitätsproblemen führen kann (z. B. mit einem Router, der als Standardgateway fungiert). An diesem Punkt können Sie auswählen, ob das Gerät enthalten sein soll oder nicht.

Wenn das Verhalten nach dem Einbinden eines Geräts nicht wie erwartet ist, überprüfen Sie, ob der BFE-Dienst (Base Filtering Engine) auf den integrierten Defender für Endpunkt-Geräten aktiviert ist.

Beenden des Enthaltens eines Geräts

Sie können den Inhalt eines Geräts jederzeit beenden.

  1. Wählen Sie das Gerät aus der Geräteinventur aus, oder öffnen Sie die Geräteseite.

  2. Wählen Sie im Aktionsmenü Release from containment (Aus Einschluss freigeben ) aus. Durch diese Aktion wird die Verbindung dieses Geräts mit dem Netzwerk wiederhergestellt.

Benutzer aus dem Netzwerk enthalten

Wenn eine Identität in Ihrem Netzwerk möglicherweise kompromittiert wird, müssen Sie verhindern, dass diese Identität auf das Netzwerk und verschiedene Endpunkte zugreifen kann. Defender für Endpunkt kann eine Identität enthalten, die den Zugriff blockiert und dabei hilft, Angriffe zu verhindern, insbesondere Ransomware. Wenn eine Identität enthalten ist, blockiert jedes unterstützte Microsoft Defender for Endpoint integriertes Gerät eingehenden Datenverkehr in bestimmten Protokollen im Zusammenhang mit Angriffen (Netzwerkanmeldungen, RPC, SMB, RDP), beendet laufende Remotesitzungen und meldet vorhandene RDP-Verbindungen ab (Beendigung der Sitzung selbst einschließlich aller zugehörigen Prozesse), während legitimer Datenverkehr ermöglicht wird. Diese Aktion kann erheblich dazu beitragen, die Auswirkungen eines Angriffs zu reduzieren. Wenn eine Identität enthalten ist, haben Sicherheitsbetriebsanalysten zusätzliche Zeit, um die Bedrohung für die kompromittierte Identität zu finden, zu identifizieren und zu beheben.

Hinweis

Das Blockieren der eingehenden Kommunikation mit einem "eigenständigen" Benutzer wird auf integrierten Microsoft Defender for Endpoint Windows 10 und 11 Geräten (Sense-Version 8740 und höher), Windows Server Geräten ab 2019 und Windows Server 2012R2 und 2016 mit dem modernen Agent unterstützt.

Wichtig

Sobald eine Benutzeraktion Einschluss auf einem Domänencontroller erzwungen wird, wird ein GPO-Update für die Standarddomänencontrollerrichtlinie gestartet. Eine Änderung eines Gruppenrichtlinienobjekts startet eine Synchronisierung auf den Domänencontrollern in Ihrer Umgebung. Dies ist ein erwartetes Verhalten, und wenn Sie Ihre Umgebung auf AD-GPO-Änderungen überwachen, werden Sie möglicherweise über solche Änderungen benachrichtigt. Durch das Rückgängigmachen der Aktion Benutzer enthalten werden die GPO-Änderungen in den vorherigen Zustand zurückgesetzt, wodurch dann eine weitere AD-GPO-Synchronisierung in Ihrer Umgebung gestartet wird. Erfahren Sie mehr über das Zusammenführen von Sicherheitsrichtlinien auf Domänencontrollern.

Wie man einen Benutzer einbezieht

Derzeit sind enthaltende Benutzer nur automatisch verfügbar, indem automatische Angriffsunterbrechungen verwendet werden. Wenn Microsoft erkennt, dass ein Benutzer kompromittiert ist, wird automatisch die Richtlinie "Benutzer enthalten" festgelegt.

Anzeigen der Benutzeraktionen "contain"

Nachdem ein Benutzer enthalten ist, können Sie die Aktion in dieser Verlaufsansicht des Info-Centers anzeigen. Hier können Sie sehen, wann die Aktion aufgetreten ist und welche Benutzer in Ihrer organization enthalten waren:

Anzeigen der Aktion

Darüber hinaus wird dieser Benutzer, nachdem eine Identität als "enthalten" betrachtet wird, von Defender für Endpunkt blockiert und kann keine böswillige Lateralverschiebung oder Remoteverschlüsselung auf oder auf einem unterstützten integrierten Defender für Endpunkt-Gerät durchführen. Diese Blöcke werden als Warnungen angezeigt, damit Sie die Geräte, auf die der kompromittierte Benutzer zugriff hat, und potenzielle Angriffstechniken schnell erkennen können:

Zeigt an, dass ein Benutzer das Blockereignis

Rückgängigmachen von Benutzeraktionen

Sie können die Blöcke und Kapselung für einen Benutzer jederzeit freigeben:

  1. Wählen Sie im Info-Center die Aktion Benutzer enthalten aus. Wählen Sie im Seitenbereich Rückgängig aus.

  2. Wählen Sie den Benutzer entweder aus dem Benutzerbestand, dem Seitenbereich der Incidentseite oder dem Warnungsseitenbereich aus, und wählen Sie Rückgängig aus.

Mit dieser Aktion wird die Verbindung des Benutzers mit dem Netzwerk wiederhergestellt.

Zeigt die Option

Untersuchungsfunktionen mit "Benutzer enthalten"

Nachdem ein Benutzer enthalten ist, können Sie die potenzielle Bedrohung untersuchen, indem Sie die blockierten Aktionen des kompromittierten Benutzers anzeigen. In der Ansicht "Gerät Zeitleiste" können Sie Informationen zu bestimmten Ereignissen anzeigen, einschließlich Protokoll- und Schnittstellengranularität sowie die zugehörige MITRE-Technik.

Zeigt Details zu blockierten Ereignissen für einen eigenständigen Benutzer an.

Darüber hinaus können Sie die Untersuchung mithilfe der erweiterten Suche erweitern. Suchen Sie in der Tabelle nach einem beliebigen Aktionstyp, der DeviceEvents mit "contain" beginnt. Anschließend können Sie alle verschiedenen einzelnen Blockierungsereignisse in Bezug auf "Benutzer enthalten" in Ihrem Mandanten anzeigen, tiefer in den Kontext der einzelnen Blöcke eintauchen und die verschiedenen Entitäten und Techniken extrahieren, die diesen Ereignissen zugeordnet sind.

Zeigt die erweiterte Suche nach Benutzer-Enthalten-Ereignissen an.

Wenden Sie sich an einen Bedrohungsexperten

Sie können sich an einen Microsoft-Bedrohungsexperten wenden, um weitere Einblicke in ein potenziell gefährdetes oder bereits kompromittiertes Gerät zu erhalten. Microsoft-Bedrohungsexperten können direkt aus dem Microsoft Defender XDR für eine rechtzeitige und genaue Reaktion verwendet werden. Experten liefern Nicht nur Erkenntnisse zu einem potenziell kompromittierten Gerät, sondern auch, um komplexe Bedrohungen, gezielte Angriffsbenachrichtigungen, die Sie erhalten, besser zu verstehen, oder wenn Sie weitere Informationen zu den Warnungen oder einen Threat Intelligence-Kontext benötigen, den Sie in Ihrem Portal sehen Dashboard.

Weitere Informationen finden Sie unter Konfigurieren und Verwalten von Endpunktangriffsbenachrichtigungen .

Überprüfen von Aktivitätsdetails im Aktionscenter

Das Info-Center (https://security.microsoft.com/action-center) enthält Informationen zu Aktionen, die auf einem Gerät oder einer Datei ausgeführt wurden. Sie können die folgenden Details anzeigen:

  • Sammlung von Untersuchungspaketen
  • Antivirenüberprüfung
  • App-Einschränkung
  • Geräteisolation

Alle anderen zugehörigen Details werden ebenfalls angezeigt, z. B. Datum/Uhrzeit der Übermittlung, Übermitteln des Benutzers und ob die Aktion erfolgreich war oder fehlgeschlagen ist.

Info-Center mit Informationen

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.