Verwalten von Vorfällen in Microsoft Defender XDR

Hinweis

Möchten Sie Microsoft Defender XDR erleben? Erfahren Sie mehr darüber, wie Sie Microsoft Defender XDR evaluieren und pilotieren können.

Gilt für:

  • Microsoft Defender XDR

Das Incidentmanagement ist wichtig, um sicherzustellen, dass Incidents benannt, zugewiesen und gekennzeichnet werden, um die Zeit in Ihrem Incidentworkflow zu optimieren und Bedrohungen schneller einzudämten und zu beheben.

Tipp

Für einen begrenzten Zeitraum im Januar 2024 wird Defender Boxed angezeigt, wenn Sie die Seite Incidents besuchen. Defender Boxed hebt die Sicherheitserfolge, Verbesserungen und Reaktionsaktionen Ihres organization im Jahr 2023 hervor. Um Defender Boxed erneut zu öffnen, wechseln Sie im Microsoft Defender-Portal zu Incidents, und wählen Sie dann Ihr Defender Boxed aus.

Sie können Incidents über Incidents verwalten & Warnungen > Incidents über den Schnellstart des Microsoft Defender-Portals (security.microsoft.com). Im Folgenden sehen Sie ein Beispiel.

Hervorheben der Option

Hier sind die Möglichkeiten, wie Sie Ihre Vorfälle verwalten können:

Sie können Vorfälle im Bereich Vorfall verwalten eines Vorfalls verwalten. Im Folgenden sehen Sie ein Beispiel.

Bereich

Sie können diesen Bereich über den Link Incident verwalten auf der folgenden Seite anzeigen:

  • Seite "Warnungsverlauf ".
  • Eigenschaftenbereich eines Incidents in der Incidentwarteschlange.
  • Zusammenfassungsseite eines Incidents.
  • Option "Incident verwalten", die sich oben rechts auf der Seite Incident befindet.

In Fällen, in denen Sie Warnungen von einem Incident in einen anderen verschieben möchten, können Sie dies auch über die Registerkarte Warnungen tun und so einen größeren oder kleineren Incident erstellen, der alle relevanten Warnungen enthält.

Bearbeiten des Incidentnamens

Microsoft Defender XDR weist automatisch einen Namen basierend auf Warnungsattributen zu, z. B. der Anzahl der betroffenen Endpunkte, betroffenen Benutzer, Erkennungsquellen oder Kategorien. Mithilfe des Incidentnamens können Sie den Umfang des Incidents schnell verstehen. Beispiel: Mehrstufiger Incident auf mehreren Endpunkten, die von mehreren Quellen gemeldet werden.

Sie können den Incidentnamen im Feld Incidentname im Bereich Incident verwalten bearbeiten.

Hinweis

Incidents, die vor dem Rollout des Features für die automatische Benennung von Vorfällen vorhanden waren, behalten ihren Namen bei.

Zuweisen oder Ändern des Incidentschweregrads

Sie können den Schweregrad eines Incidents im Feld Schweregrad im Bereich Incident verwalten zuweisen oder ändern. Der Schweregrad eines Incidents wird durch den höchsten Schweregrad der zugehörigen Warnungen bestimmt. Der Schweregrad eines Incidents kann auf hoch, mittel, niedrig oder informativ festgelegt werden.

Hinzufügen von Ereigniskategorien

Sie können einem Vorfall benutzerdefinierte Tags hinzufügen, um beispielsweise eine Gruppe von Vorfällen mit einer gemeinsamen Charakteristik zu kennzeichnen. Sie können die Liste der Vorfälle später nach allen Einträgen filtern, die einen bestimmten Tag enthalten.

Die Option zum Auswählen aus einer Liste der zuvor verwendeten und ausgewählten Tags wird angezeigt, nachdem Sie mit der Eingabe begonnen haben.

Zuweisen eines Incidents

Sie können das Feld Zuweisen zu aktivieren und das Benutzerkonto zum Zuweisen eines Incidents angeben. Um einen Incident neu zuzuweisen, entfernen Sie das aktuelle Zuweisungskonto, indem Sie das "x" neben dem Kontonamen auswählen und dann das Feld Zuweisen zu aktivieren. Durch das Zuweisen des Besitzes an einem Incident wird allen zugehörigen Warnungen derselbe Besitz zugewiesen.

Sie können eine Liste der Ihnen zugewiesenen Incidents abrufen, indem Sie die Incidentwarteschlange filtern.

  1. Wählen Sie in der Incidentwarteschlange Filter aus.
  2. Deaktivieren Sie im Abschnitt Incidentzuweisung die Option Alles auswählen. Wählen Sie Mir zugewiesen, Einem anderen Benutzer zugewiesen oder Einer Benutzergruppe zugewiesen aus.
  3. Wählen Sie Übernehmen aus, und schließen Sie dann den Bereich Filter .

Anschließend können Sie die resultierende URL in Ihrem Browser als Lesezeichen speichern, um schnell die Liste der Ihnen zugewiesenen Vorfälle anzuzeigen.

Beheben eines Incidents

Wählen Sie Incident auflösen aus, um die Umschaltfläche nach rechts zu verschieben, wenn ein Incident behoben wird. Durch die Behebung eines Incidents werden auch alle verknüpften und aktiven Warnungen im Zusammenhang mit dem Incident aufgelöst.

Ein Incident, der nicht aufgelöst wurde, wird als Aktiv angezeigt.

Angeben der Klassifizierung

Im Feld Klassifizierung geben Sie an, ob es sich bei dem Incident um Folgendes handelt:

  • Nicht festgelegt (Standard).
  • Richtig positiv mit einer Art von Bedrohung. Verwenden Sie diese Klassifizierung für Vorfälle, die genau auf eine echte Bedrohung hinweisen. Die Angabe des Bedrohungstyps hilft Ihrem Sicherheitsteam, Bedrohungsmuster zu erkennen und Maßnahmen zur Abwehr dieser in Ihrer Organisation zu ergreifen.
  • Information, erwartete Aktivität mit einem Aktivitätstyp. Verwenden Sie die Optionen in dieser Kategorie, um Vorfälle für Sicherheitstests, rote Teamaktivitäten und erwartetes ungewöhnliches Verhalten von vertrauenswürdigen Apps und Benutzern zu klassifizieren.
  • Falsch positiv für Von Ihnen ermittelte Incidenttypen können ignoriert werden, da sie technisch ungenau oder irreführend sind.

Das Klassifizieren von Vorfällen und die Angabe ihrer status und ihres Typs hilft, Microsoft Defender XDR zu optimieren, um im Laufe der Zeit eine bessere Erkennungsbestimmung zu ermöglichen.

Kommentare hinzufügen

Mit dem Feld Kommentar können Sie einem Incident mehrere Kommentare hinzufügen. Das Kommentarfeld unterstützt Text und Formatierung, Links und Bilder. Jeder Kommentar ist auf 30.000 Zeichen beschränkt.

Alle Kommentare werden den historischen Ereignissen des Vorfalls hinzugefügt. Sie können die Kommentare und den Verlauf eines Incidents über den Link Kommentare und Verlauf auf der Seite Zusammenfassung anzeigen.

Aktivitätsprotokoll

Das Aktivitätsprotokoll zeigt eine Liste aller Kommentare und Aktionen an, die für den Vorfall ausgeführt wurden, die als Überwachungen und Kommentare bezeichnet werden. Alle Änderungen, die an dem Incident vorgenommen wurden, ob von einem Benutzer oder vom System, werden im Aktivitätsprotokoll aufgezeichnet. Das Aktivitätsprotokoll ist über die Option Aktivitätsprotokoll auf der Incidentseite oder im Bereich "Incidentseite" verfügbar.

Hervorheben der Aktivitätsprotokolloption auf der Seite

Sie können die Aktivitäten im Protokoll nach Kommentaren und Aktionen filtern. Klicken Sie auf Inhalt: Überwachungen, Kommentare, und wählen Sie dann den Inhaltstyp aus, um Aktivitäten zu filtern. Im Folgenden sehen Sie ein Beispiel.

Hervorheben der Filteroptionen im Bereich

Sie können auch eigene Kommentare hinzufügen, indem Sie das Kommentarfeld verwenden, das im Aktivitätsprotokoll verfügbar ist. Das Kommentarfeld akzeptiert Text und Formatierungen, Links und Bilder.

Hervorheben des Kommentarfelds auf der Seite

Nächste Schritte

Beginnen Sie bei neuen Vorfällen mit der Untersuchung.

Setzen Sie ihre Untersuchung bei In-Process-Vorfällen fort.

Führen Sie bei gelösten Vorfällen eine Überprüfung nach dem Incident durch.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.