Verwaltete Erkennung und Reaktion

  • Artikel

Gilt für:

Durch eine Kombination aus Automatisierung und menschlichem Know-how Microsoft Defender Experts for XDR selektierungen Microsoft Defender XDR Incidents, priorisiert sie in Ihrem Namen, filtert die Geräusche heraus, führt detaillierte Untersuchungen durch und bietet Ihren SOC-Teams (Security Operations Center) eine umsetzbare verwaltete Reaktion.

Incidentupdates

Sobald unsere Experten mit der Untersuchung eines Incidents beginnen, werden die Felder Zugewiesen zu und Status des Incidents auf Defender Experts bzw . In Bearbeitung aktualisiert.

Wenn unsere Experten ihre Untersuchung zu einem Vorfall abschließen, wird das Klassifizierungsfeld des Incidents auf eine der folgenden Informationen aktualisiert, je nach den Ergebnissen der Experten:

  • Richtig positiv
  • Falsch positiv
  • Information, erwartete Aktivität

Das Feld "Bestimmung ", das jeder Klassifizierung entspricht, wird ebenfalls aktualisiert, um weitere Erkenntnisse zu den Ergebnissen zu erhalten, die unsere Experten dazu veranlasst haben, die genannte Klassifizierung zu bestimmen.

Screenshot der Seite

Wenn ein Incident als Falsch positiv oder Informativ, Erwartete Aktivität klassifiziert wird, wird das Feld Status des Incidents auf Gelöst aktualisiert. Unsere Experten schließen dann ihre Arbeit zu diesem Vorfall ab, und das Feld Zugewiesen zu wird auf Nicht zugewiesen aktualisiert. Unsere Experten können Updates aus ihrer Untersuchung und deren Schlussfolgerungen bei der Lösung eines Incidents teilen. Diese Updates werden im Flyoutbereich Kommentare und Verlauf des Vorfalls veröffentlicht.

Hinweis

Incidentkommentare sind unidirektionale Beiträge. Defender-Experten können nicht auf Kommentare oder Fragen antworten, die Sie im Bereich Kommentare und Verlauf hinzufügen. Weitere Informationen zur Korrespondenz mit unseren Experten finden Sie unter Kommunikation mit Experten im Microsoft Defender Experts for XDR Service.

Wenn ein Incident als True Positive klassifiziert wird, identifizieren unsere Experten die erforderlichen Reaktionsaktionen, die ausgeführt werden müssen. Die Methode, mit der die Aktionen ausgeführt werden, hängt von den Berechtigungen und Zugriffsebenen ab, die Sie dem Defender Experts for XDR-Dienst erteilt haben. Erfahren Sie mehr über das Erteilen von Berechtigungen an unsere Experten.

  • Wenn Sie Defender Experts for XDR die empfohlenen Zugriffsberechtigungen für Sicherheitsoperator erteilt haben, können unsere Experten die erforderlichen Reaktionsaktionen für den Incident in Ihrem Namen ausführen. Diese Aktionen werden zusammen mit einer Untersuchungszusammenfassung im Flyout-Bereich verwaltete Antworten des Incidents in Ihrem Microsoft Defender-Portal angezeigt, das Sie oder Ihr SOC-Team überprüfen können. Alle Aktionen, die von Defender Experts for XDR abgeschlossen werden, werden im Abschnitt Abgeschlossene Aktionen angezeigt. Alle ausstehenden Aktionen, die Sie oder Ihr SOC-Team ausführen müssen, sind im Abschnitt Ausstehende Aktionen aufgeführt. Weitere Informationen finden Sie im Abschnitt Aktionen . Nachdem unsere Experten alle erforderlichen Aktionen für den Vorfall ergriffen haben, wird das Feld Status in Gelöst aktualisiert, und das Feld Zugewiesen zu wird auf Nicht zugewiesen aktualisiert.

  • Wenn Sie Defender Experts for XDR den Standardmäßigen Zugriff auf Sicherheitsleseberechtigte gewährt haben, werden die erforderlichen Antwortaktionen zusammen mit einer Zusammenfassung der Untersuchung im Flyout-Bereich verwaltete Antworten des Incidents im Abschnitt Ausstehende Aktionen in Ihrem Microsoft Defender-Portal für Sie oder Ihr SOC-Team angezeigt. Weitere Informationen finden Sie im Abschnitt Aktionen . Um diese Übergabe zu identifizieren, wird das Feld Status des Incidents auf Warten auf Kundenaktion aktualisiert, und das Feld Zugewiesen an wird auf Kunde aktualisiert.

Sie können die Anzahl der Vorfälle, die Ihre Aktion erfordern, im Banner defender experts am oberen Rand der Microsoft Defender Homepage überprüfen.

Screenshot der Defender Experts-Karte in Microsoft Defender Portal mit der Anzahl der Vorfälle, die auf kundenrelevante Aktionen warten.

Um die Vorfälle anzuzeigen, die unsere Experten untersucht haben oder derzeit untersuchen, filtern Sie die Incidentwarteschlange in Ihrem Microsoft Defender-Portal mithilfe des Defender Experts-Tags.

Screenshot: Warteschlange für Vorfälle in Microsoft Defender Portal gefiltert, um nur diejenigen mit dem Tag

Verwenden einer verwalteten Antwort in Microsoft Defender XDR

Im Microsoft Defender-Portal ist für einen Incident, der Ihre Aufmerksamkeit mithilfe einer verwalteten Antwort erfordert, das Feld Status auf Warten auf Kundenaktion festgelegt, das Feld Zugewiesen an auf Kunde und eine Aufgabe Karte oben im Bereich Incidents. Ihre angegebenen Incidentkontakte erhalten auch eine entsprechende E-Mail-Benachrichtigung mit einem Link zum Defender-Portal, um den Incident anzuzeigen. Erfahren Sie mehr über Benachrichtigungskontakte. Sie erhalten auch eine Teams-Benachrichtigung, die Sie über die Updates informiert. Weitere Informationen zum Einrichten von Teams

Wählen Sie verwaltete Antwort anzeigen auf der Aufgabe Karte oder oben auf der Portalseite (Registerkarte Verwaltete Antwort) aus, um ein Flyout-Panel zu öffnen, in dem Sie die Untersuchungszusammenfassung unserer Experten lesen, ausstehende Aktionen ausführen können, die von unseren Experten identifiziert wurden, oder über einen Chat mit ihnen interagieren können.

Zusammenfassung der Untersuchung

Der Abschnitt "Zusammenfassung der Untersuchung " bietet Ihnen mehr Kontext zu dem von unseren Experten analysierten Incident, um Ihnen Einblicke in den Schweregrad und die potenziellen Auswirkungen zu geben, wenn sie nicht sofort behandelt werden. Sie kann die Zeitleiste des Geräts, Indikatoren für Angriffe und beobachtete Gefährdungsindikatoren (IOCs) sowie weitere Details enthalten.

Screenshot: Zusammenfassung der Untersuchung der verwalteten Antwort

Aktionen

Auf der Registerkarte Aktionen werden Aufgabenkarten angezeigt, die von unseren Experten empfohlene Antwortaktionen enthalten.

Defender Experts for XDR unterstützt derzeit die folgenden verwalteten Antwortaktionen mit nur einem Klick:

Aktion Beschreibung
Gerät isolieren Isoliert ein Gerät, wodurch verhindert wird, dass ein Angreifer es kontrolliert und weitere Aktivitäten wie Datenexfiltration und Lateral Movement ausführt. Das isolierte Gerät ist weiterhin mit Microsoft Defender for Endpoint verbunden.
Quarantänedatei Beendet die Ausführung von Prozessen, isoliert die Dateien und löscht persistente Daten wie Registrierungsschlüssel.
Einschränken der App-Ausführung Schränkt die Ausführung potenziell schädlicher Programme ein und sperrt das Gerät, um weitere Versuche zu verhindern.
Release from isolation (Aus isolation freigeben) Hebt die Isolation eines Geräts auf.
Entfernen von App-Einschränkungen Hebt die Freigabe aus der Isolation auf.

Neben diesen 1-Klick-Aktionen können Sie auch verwaltete Antworten von unseren Experten erhalten, die Sie manuell ausführen müssen.

Hinweis

Bevor Sie eine der empfohlenen aktionen für verwaltete Antworten ausführen, stellen Sie sicher, dass sie nicht bereits von Ihren automatisierten Untersuchungs- und Antwortkonfigurationen behandelt werden. Erfahren Sie mehr über automatisierte Untersuchungs- und Reaktionsfunktionen in Microsoft Defender XDR.

So zeigen Sie die verwalteten Antwortaktionen an und führen sie aus:

  1. Wählen Sie die Pfeilschaltflächen in einer Aktion Karte aus, um sie zu erweitern und weitere Informationen zur erforderlichen Aktion zu lesen.

Screenshot der verwalteten Antwortaktion zum Isolieren des Geräteproduktservers.

  1. Wählen Sie für Karten mit 1-Klick-Antwortaktionen die erforderliche Aktion aus. Die aktion status im Karte in In Bearbeitung und dann in Fehler oder Abgeschlossen geändert, je nach Ergebnis der Aktion.

Screenshot der verwalteten Antwortaktion, die zeigt, dass der Produktserver des Geräts isoliert wird.

Tipp

Sie können auch die status von Reaktionsaktionen im Portal im Info-Center überwachen. Wenn eine Antwortaktion fehlschlägt, versuchen Sie es erneut auf der Seite Gerätedetails anzeigen , oder initiieren Sie einen Chat mit Defender Experts.

  1. Wählen Sie für Karten mit erforderlichen Aktionen, die Sie manuell ausführen müssen, ich habe diese Aktion abgeschlossen aus, nachdem Sie sie ausgeführt haben, und wählen Sie dann Ja, ich habe es ausgeführt im angezeigten Bestätigungsdialogfeld aus.

Screenshot der verwalteten Antwortaktion zum Bestätigen des Abschlusses der Aktion.

  1. Wenn Sie eine erforderliche Aktion nicht sofort abschließen möchten, wählen Sie Überspringen und dann Ja, diese Aktion überspringen im angezeigten Bestätigungsdialogfeld aus.

Wichtig

Wenn Sie feststellen, dass eine der Schaltflächen auf den Aktionskarten abgeblendet ist, kann dies darauf hindeuten, dass Sie nicht über die erforderlichen Berechtigungen zum Ausführen der Aktion verfügen. Stellen Sie sicher, dass Sie beim Microsoft Defender XDR-Portal mit den entsprechenden Berechtigungen angemeldet sind. Die meisten verwalteten Antwortaktionen erfordern, dass Sie mindestens über den Zugriff des Sicherheitsoperators verfügen. Wenn dieses Problem auch mit den entsprechenden Berechtigungen weiterhin auftritt, navigieren Sie zu Gerätedetails anzeigen , und führen Sie die Schritte dort aus.

Einblick in Defender Experts-Untersuchungen in Ihrer SIEM- oder ITSM-Anwendung erhalten

Wenn Defender Experts for XDR Incidents untersuchen und Abhilfemaßnahmen einleitet, können Sie Einblick in ihre Arbeit an Incidents in Ihren SIEM-Anwendungen (Security Information and Event Management) und IT Service Management (ITSM) erhalten, einschließlich sofort verfügbarer Anwendungen.

Microsoft Sentinel

Sie können die Sichtbarkeit von Vorfällen in Microsoft Sentinel erhalten, indem Sie den sofort einsatzbereiten Microsoft Defender XDR-Datenconnector aktivieren. Weitere Informationen.

Nachdem Sie den Connector aktiviert haben, werden updates von Defender Experts für die Felder Status, Zugewiesen zu, Klassifizierung und Bestimmung in Microsoft Defender XDR in den entsprechenden Feldern Status, Besitzer und Grund für das Schließen in Sentinel angezeigt.

Hinweis

Die status von Vorfällen, die von Defender-Experten in Microsoft Defender XDR in der Regel von Aktiv zu In Bearbeitung zu Awaiting Customer Action to Resolved übergehen, während sie in Sentinel dem Pfad Neu zu Aktiv bis Gelöst folgt. Die Microsoft Defender XDR Status Awaiting Customer Action (Status wartet auf Kundenaktion) verfügt nicht über ein entsprechendes Feld in Sentinel, sondern wird stattdessen als Tag in einem Incident in Sentinel angezeigt.

Im folgenden Abschnitt wird beschrieben, wie ein von unseren Experten behandelter Incident in Sentinel aktualisiert wird, während er die Untersuchungsreise durchläuft:

  1. Ein Vorfall, der von unseren Experten untersucht wird, weist den Status als Aktiv und den Besitzer als Defender-Experten auf.
  2. Ein Incident, den unsere Experten als wahr positiv bestätigt haben, verfügt über eine verwaltete Antwort, die in Microsoft Defender XDR veröffentlicht wurde, und ein Tagawaiting Customer Action und der Besitzer werden als Kunde aufgeführt. Sie müssen basierend auf der bereitgestellten verwalteten Antwort auf den Incident reagieren.
  3. Sobald unsere Experten ihre Untersuchung abgeschlossen und einen Vorfall als Falsch positiv oder Information, erwartete Aktivität geschlossen haben, wird der Status des Vorfalls in Gelöst aktualisiert, der Besitzer wird auf Nicht zugewiesen aktualisiert und ein Grund für die Schließung angegeben.

Screenshot: Microsoft Sentinel-Incidents.

Andere Anwendungen

Sie können Einblick in Incidents in Ihrer SIEM- oder ITSM-Anwendung erhalten, indem Sie die Microsoft Defender XDR-API oder Connectors in Sentinel verwenden.

Nach dem Konfigurieren eines Connectors können die Updates von Defender Experts zu den Feldern Status, Zugewiesen zu, Klassifizierung und Bestimmung eines Incidents in Microsoft Defender XDR mit den SIEM- oder ITSM-Anwendungen von Drittanbietern synchronisiert werden, je nachdem, wie die Feldzuordnung implementiert wurde. Zur Veranschaulichung können Sie einen Blick auf den Connector werfen, der von Sentinel zu ServiceNow verfügbar ist.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.