Verwenden von Microsoft Defender Experten für Bedrohungssuche

  • Artikel

Gilt für:

Onboarding

Wenn Sie noch nicht mit Microsoft Defender XDR und Defender Experten für Bedrohungssuche sind:

  1. Nachdem Sie Ihre Willkommens-E-Mail erhalten haben, wählen Sie Bei Microsoft Defender XDR anmelden aus.
  2. Melden Sie sich an, wenn Sie bereits über ein Microsoft-Konto verfügen. Wenn keines vorhanden ist, erstellen Sie eine.
  3. Die Microsoft Defender XDR kurze Tour macht Sie mit der Sicherheitssuite vertraut, wo die Funktionen sind und wie wichtig sie sind. Wählen Sie Kurze Tour machen aus.
  4. Lesen Sie die kurzen Beschreibungen über den Microsoft Defender Experts-Dienst und die funktionen, die er bietet. Wählen Sie Weiter aus. Die Willkommensseite wird angezeigt:

Screenshot der Microsoft Defender XDR-Willkommensseite mit einem Karte für den Defender Experten für Bedrohungssuche-Dienst.

Empfangen von Benachrichtigungen für Defender-Experten

Der Defender Experts-Benachrichtigungsdienst umfasst Folgendes:

  • Bedrohungsüberwachung und -analyse, reduzierung der Verweilzeit und des Risikos für Ihr Unternehmen
  • Hunter-trainierte künstliche Intelligenz, um sowohl bekannte Angriffe als auch neue Bedrohungen zu entdecken und zu erreichen
  • Identifizierung der relevantesten Risiken, um SOCs dabei zu helfen, ihre Wirksamkeit zu maximieren
  • Hilfe beim Eingrenzen von Kompromissen und so viel Kontext wie möglich, um eine schnelle SOC-Antwort zu ermöglichen

Sehen Sie sich den folgenden Screenshot an, um eine Beispielbenachrichtigung für Defender-Experten anzuzeigen:

Screenshot einer Defender Experts-Benachrichtigung in Microsoft Defender XDR. Eine Defender Expert Notification enthält einen Titel, der die beobachtete Bedrohung oder Aktivität beschreibt, eine Zusammenfassung und eine Liste mit Empfehlungen.

Benachrichtigungen zu Defender-Experten

Sie können Defender Experts-Benachrichtigungen von Defender-Experten über die folgenden Medien erhalten:

Filtern, um nur die Defender Experts-Benachrichtigungen anzuzeigen

Sie können Ihre Incidents und Warnungen filtern, wenn Sie nur die Defender Experts-Benachrichtigungen unter den vielen Warnungen anzeigen möchten. Gehen Sie hierzu folgendermaßen vor:

  1. Wechseln Sie im Navigationsmenü zu Incidents & Warnungen>Incidents> wählen Sie das Symbol Filtersymbol aus.
  2. Scrollen Sie nach unten zu Dienst-/Erkennungsquellen, und aktivieren Sie dann die Kontrollkästchen Microsoft Defender Experten unter Microsoft Defender for Endpoint und Microsoft Defender XDR.
  3. Wählen Sie Anwenden aus.

Einrichten von Defender Experts-E-Mail-Benachrichtigungen

Sie können Microsoft Defender XDR einrichten, um Sie oder Ihre Mitarbeiter per E-Mail über neue Vorfälle oder Aktualisierungen bestehender Vorfälle zu informieren, einschließlich der von Microsoft Defender Experten beobachteten Vorfälle. Weitere Informationen zum Abrufen von Incidentbenachrichtigungen per E-Mail

  1. Wählen Sie im Microsoft Defender XDR Navigationsbereich Einstellungen>Microsoft Defender XDR>Email Benachrichtigungen>Incidents aus.
  2. Aktualisieren Sie Ihre vorhandenen E-Mail-Benachrichtigungsregeln, oder erstellen Sie eine neue. Weitere Informationen zum Erstellen einer Regel für E-Mail-Benachrichtigungen
  3. Stellen Sie auf der Seite Benachrichtigungseinstellungen der Regel sicher, dass Sie Folgendes konfigurieren:
    • Quelle: Wählen Sie Microsoft Defender Experten unter Microsoft Defender XDR und Microsoft Defender for Endpoint
    • Warnungsschweregrad : Wählen Sie die Warnungsschweregrade aus, die eine Incidentbenachrichtigung auslösen. Wenn Sie beispielsweise nur über Vorfälle mit hohem Schweregrad informiert werden möchten, wählen Sie „Hoch“ aus.

Generieren von Defender Experts-Beispielbenachrichtigungen

Sie können eine Defender Experts-Beispielbenachrichtigung generieren, um mit dem Defender Experten für Bedrohungssuche Dienst zu beginnen, ohne auf eine tatsächliche kritische Aktivität in Ihrer Umgebung warten zu müssen. Durch das Generieren einer Beispielbenachrichtigung können Sie auch die E-Mail-Benachrichtigungen testen, die Sie zuvor im Microsoft Defender-Portal für diesen Dienst konfiguriert haben, sowie die Konfiguration von Playbooks (sofern für solche Benachrichtigungen konfiguriert) und Regeln in Ihrer SIEM-Umgebung (Security Information and Event Management) testen.

Auf Ihrer Seite "Incidents" wird eine Beispielbenachrichtigung für Defender-Experten mit dem Titel Defender Experts: Test Notification from Microsoft Defender Experts angezeigt. Die Inhalte der Benachrichtigung sind Platzhaltertexte, während die anderen Elemente wie Warnungen nach dem Zufallsprinzip aus Ereignissen generiert werden, die in Ihrem Mandanten vorhanden sind und nicht tatsächlich betroffen sind.

Screenshot: Beispiel-DEN in Defender Experten für Bedrohungssuche.

So generieren Sie eine Beispielbenachrichtigung:

  1. Wechseln Sie in Ihrem Microsoft Defender XDR Navigationsbereich zu Einstellungen>Defender-Experten, und wählen Sie dann Beispielbenachrichtigungen aus.
  2. Wählen Sie Beispielbenachrichtigung generieren aus. Es wird eine grüne status Angezeigt, die bestätigt, dass Ihre Beispielbenachrichtigung zur Überprüfung bereit ist.
  3. Wählen Sie unter Zuletzt generierte Defender-Expertenbenachrichtigung einen Link aus der Liste aus, um die entsprechende generierte Beispielbenachrichtigung anzuzeigen. Das neueste Beispiel wird oben in der Liste angezeigt. Wenn Sie einen Link auswählen, werden Sie zur Seite Incidents weitergeleitet.

Screenshot: Beispiel-DEN-Links.

Nächster Schritt

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.