Wartungsaktionen in Microsoft Defender XDR
Gilt für:
- Microsoft Defender XDR
Während und nach einer automatisierten Untersuchung in Microsoft Defender XDR werden Korrekturaktionen für schädliche oder verdächtige Elemente identifiziert. Einige Arten von Korrekturaktionen werden auf Geräten ausgeführt, die auch als Endpunkte bezeichnet werden. Weitere Korrekturmaßnahmen werden für Identitäten, Konten und E-Mail-Inhalte ausgeführt. Darüber hinaus können einige Arten von Wiederherstellungsaktionen automatisch ausgeführt werden, während andere Arten von Wartungsaktionen manuell vom Sicherheitsteam Ihrer Organisation ausgeführt werden. Wenn eine automatisierte Untersuchung zu einer oder mehreren Korrekturaktionen führt, wird die Untersuchung nur abgeschlossen, wenn die Abhilfemaßnahmen ausgeführt, genehmigt oder abgelehnt werden.
Wichtig
Ob Korrekturmaßnahmen automatisch oder nur nach Genehmigung ausgeführt werden, hängt von bestimmten Einstellungen ab, z. B. Automatisierungsebenen. Weitere Informationen finden Sie in den folgenden Artikeln:
In der folgenden Tabelle sind die Wartungsaktionen zusammengefasst, die derzeit in Microsoft Defender XDR unterstützt werden.
Wartungsaktionen für Geräte (Endpunkt) | Wartungsaktionen für E-Mails | Benutzer (Konten) |
---|---|---|
– Untersuchungspaket sammeln – Isolieren des Geräts (diese Aktion kann rückgängig werden) - Offboardcomputer - Releasecodeausführung - Aus Quarantäne entlassen - Anforderungsbeispiel - Einschränken der Codeausführung (diese Aktion kann rückgängig werden) - Antivirusscan ausführen - Beenden und isolieren – Geräte aus dem Netzwerk enthalten |
– Url blockieren (Zeitpunkt des Klickens) – Vorläufiges Löschen von E-Mail-Nachrichten oder -Clustern - E-Mail unter Quarantäne stellen – Quarantäne einer E-Mail-Anlage – Deaktivieren der externen E-Mail-Weiterleitung |
– Benutzer deaktivieren – Zurücksetzen des Benutzerkennworts – Benutzer als kompromittiert bestätigen |
Wartungsaktionen, unabhängig davon, ob die Genehmigung aussteht oder bereits abgeschlossen ist, können im Info-Center angezeigt werden.
Korrekturaktionen, die automatisierten Untersuchungen folgen
Nach Abschluss einer automatisierten Untersuchung wird für jeden beteiligten Beweis ein Urteil getroffen. Je nach Bewertung werden Korrekturmaßnahmen identifiziert. In einigen Fällen werden Korrekturaktionen automatisch ausgeführt. In anderen Fällen müssen Korrekturaktionen genehmigt werden. Alles hängt davon ab, wie die automatisierte Untersuchung und Reaktion konfiguriert ist.
In der folgenden Tabelle sind mögliche Urteile und Ergebnisse aufgelistet:
Erkenntnis | Betroffene Entitäten | Ergebnisse |
---|---|---|
Bösartig | Geräte (Endpunkte) | Korrekturmaßnahmen werden automatisch ausgeführt (vorausgesetzt, die Gerätegruppen Ihrer Organisation sind auf Vollständig festgelegt – Bedrohungen werden automatisch behoben). |
Kompromittiert | Benutzer | Korrekturaktionen werden automatisch ausgeführt. |
Bösartig | E-Mail-Inhalt (URLs oder Anlagen) | Empfohlene Korrekturaktionen müssen genehmigt werden. |
Verdächtig | Geräte oder E-Mail-Inhalte | Empfohlene Korrekturaktionen müssen genehmigt werden. |
Keine Bedrohungen gefunden | Geräte oder E-Mail-Inhalte | Es sind keine Korrekturaktionen erforderlich. |
Manuell ausgeführte Korrekturmaßnahmen
Zusätzlich zu Wartungsaktionen, die automatisierten Untersuchungen folgen, kann Ihr Sicherheitsbetriebsteam bestimmte Korrekturmaßnahmen manuell durchführen. Diese setzen sich wie folgt zusammen:
- Manuelle Geräteaktion, z. B. Geräteisolation oder Dateiquarantäne
- Manuelle E-Mail-Aktion, z. B. vorläufiges Löschen von E-Mail-Nachrichten
- Manuelle Benutzeraktion, z. B. Deaktivieren des Benutzers oder Zurücksetzen des Benutzerkennworts
- Erweiterte Suchaktion auf Geräten, Benutzern oder E-Mails
- Explorer-Aktion für E-Mail-Inhalte, z. B. Verschieben von E-Mails in Junk-E-Mails, vorläufiges Löschen von E-Mails oder endgültiges Löschen von E-Mails
- Manuelle Liveantwortaktion , z. B. Löschen einer Datei, Beenden eines Prozesses und Entfernen einer geplanten Aufgabe
- Live-Antwortaktion mit Microsoft Defender für Endpunkt-APIs, z. B. Isolieren eines Geräts, Ausführen einer Antivirenüberprüfung und Abrufen von Informationen zu einer Datei
Nächste Schritte
- Aufrufen des Aktionszentrums
- Anzeigen und Genehmigen von Korrekturaktionen
- Behandeln falsch positiver oder falsch negativer Ergebnisse
- Geräte aus dem Netzwerk einschließen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.