Das Info-Center
Gilt für:
- Microsoft Defender XDR
Das Info-Center bietet eine "zentrale Benutzeroberfläche" für Incident- und Warnungsaufgaben, z. B.:
- Genehmigen ausstehender Wartungsaktionen.
- Anzeigen eines Überwachungsprotokolls mit bereits genehmigten Wartungsaktionen.
- Überprüfen abgeschlossener Wartungsaktionen
Da das Info-Center eine umfassende Übersicht über Microsoft Defender XDR bei der Arbeit bietet, kann Ihr Sicherheitsbetriebsteam effektiver und effizienter arbeiten.
Das einheitliche Info-Center
Im einheitlichen Info-Center (https://security.microsoft.com/action-center) werden ausstehende und abgeschlossene Wartungsaktionen für Ihre Geräte, E-Mails & Inhalte für die Zusammenarbeit sowie Identitäten an einem Ort aufgelistet.
Zum Beispiel:
- Wenn Sie das Info-Center im Microsoft Defender Security Center (https://securitycenter.windows.com/action-center) verwendet haben, versuchen Sie es mit dem einheitlichen Info-Center im Microsoft Defender-Portal.
- Wenn Sie bereits das Microsoft Defender-Portal verwendet haben, werden mehrere Verbesserungen im Info-Center (https://security.microsoft.com/action-center) angezeigt.
Das einheitliche Info-Center vereint Korrekturaktionen in Defender für Endpunkt und Defender for Office 365. Es definiert eine gemeinsame Sprache für alle Wiederherstellungsaktionen und bietet eine einheitliche Untersuchungserfahrung. Ihr Sicherheitsteam verfügt über eine "zentrale Benutzeroberfläche" zum Anzeigen und Verwalten von Wartungsaktionen.
Sie können das einheitliche Info-Center verwenden, wenn Sie über entsprechende Berechtigungen und mindestens eins der folgenden Abonnements verfügen:
- Defender für Endpunkt
- [Defender for Office 365]/defender-office-365/mdo-about
- Microsoft Defender XDR
Tipp
Weitere Informationen finden Sie unter Anforderungen.
Sie können auf zwei verschiedene Arten zur Liste der Aktionen navigieren, für die die Genehmigung aussteht:
- Wechseln Sie zu https://security.microsoft.com/action-center, oder
- Wählen Sie im Microsoft Defender-Portal (https://security.microsoft.com) im Karte Automatisierte Untersuchung & Antwort die Option Genehmigen im Info-Center aus.
Verwenden des Info-Centers
Wechseln Sie zu Microsoft Defender Portal, und melden Sie sich an.
Wählen Sie im Navigationsbereich unter Aktionen und Übermittlungendie Option Info-Center aus. Oder wählen Sie im Karte Automatisierte Untersuchung & Antwort die Option Genehmigen im Info-Center aus.
Verwenden Sie die Registerkarten Ausstehende Aktionen und Verlauf . In der folgenden Tabelle ist zusammengefasst, was auf den einzelnen Registerkarten angezeigt wird:
Registerkarte Beschreibung Ausstehend Zeigt eine Liste der Aktionen an, die Aufmerksamkeit erfordern. Sie können Aktionen einzeln genehmigen oder ablehnen oder mehrere Aktionen auswählen, wenn sie denselben Aktionstyp aufweisen (z. B. Quarantänedatei).
Stellen Sie sicher, dass Sie ausstehende Aktionen so schnell wie möglich überprüfen und genehmigen (oder ablehnen), damit Ihre automatisierten Untersuchungen rechtzeitig abgeschlossen werden können.Verlauf Dient als Überwachungsprotokoll für ausgeführte Aktionen, z. B.:
– Korrekturmaßnahmen, die als Ergebnis automatisierter Untersuchungen durchgeführt wurden
– Korrekturaktionen, die für verdächtige oder böswillige E-Mail-Nachrichten, Dateien oder URLs ausgeführt wurden
– Wartungsaktionen, die von Ihrem Sicherheitsteam genehmigt wurden
– Befehle, die ausgeführt wurden, und Wartungsaktionen, die während Live Response-Sitzungen angewendet wurden
– Wartungsaktionen, die von Ihrem Antivirenschutz durchgeführt wurden
Bietet eine Möglichkeit, bestimmte Aktionen rückgängig zu machen (siehe Rückgängig abgeschlossener Aktionen).Sie können Daten im Info-Center anpassen, sortieren, filtern und exportieren.
- Wählen Sie eine Spaltenüberschrift aus, um Elemente in aufsteigender oder absteigender Reihenfolge zu sortieren.
- Verwenden Sie den Zeitraumfilter, um Daten für den letzten Tag, die letzte Woche, 30 Tage oder 6 Monate anzuzeigen.
- Wählen Sie die Spalten aus, die Sie anzeigen möchten.
- Geben Sie an, wie viele Elemente auf jeder Datenseite enthalten sein sollen.
- Verwenden Sie Filter, um nur die Elemente anzuzeigen, die Sie anzeigen möchten.
- Wählen Sie Exportieren aus, um ergebnisse in eine .csv datei zu exportieren.
Im Info-Center nachverfolgte Aktionen
Alle Aktionen, unabhängig davon, ob deren Genehmigung aussteht oder sie bereits ausgeführt wurden, werden im Info-Center nachverfolgt. Folgende Aktionen sind verfügbar:
- Untersuchungspakets erfassen
- Gerät isolieren (diese Aktion kann rückgängig werden)
- Computer offboarden
- Releasecode ausführen
- Aus Quarantäne freigeben
- Beispiel anfordern
- Einschränken der Codeausführung (diese Aktion kann rückgängig werden)
- Antivirusscan ausführen
- Beenden und unter Quarantäne stellen
- Geräte aus dem Netzwerk einschließen
Zusätzlich zu Den Korrekturaktionen, die automatisch als Ergebnis automatisierter Untersuchungen ausgeführt werden, verfolgt das Info-Center auch Aktionen, die Ihr Sicherheitsteam ergriffen hat, um erkannte Bedrohungen zu beheben, und Aktionen, die als Folge von Bedrohungsschutzfunktionen in Microsoft Defender XDR ausgeführt wurden. Weitere Informationen zu automatischen und manuellen Wartungsaktionen finden Sie unter Wartungsaktionen.
Anzeigen von Details zur Aktionsquelle
(NEU!) Das verbesserte Info-Center enthält jetzt eine Spalte aktionsquell , die Ihnen mitteilt, woher die einzelnen Aktionen stammen. In der folgenden Tabelle werden mögliche Werte der Aktionsquelle beschrieben:
Wert der Aktionsquelle | Beschreibung |
---|---|
Manuelle Geräteaktion | Eine manuelle Aktion, die auf einem Gerät ausgeführt wird. Beispiele hierfür sind Geräteisolation oder Dateiquarantäne. |
Manuelle E-Mail-Aktion | Eine manuelle Aktion, die per E-Mail ausgeführt wird. Ein Beispiel ist das vorläufige Löschen von E-Mail-Nachrichten oder das Korrigieren einer E-Mail-Nachricht. |
Automatisierte Geräteaktion | Eine automatisierte Aktion, die für eine Entität ausgeführt wird, z. B. eine Datei oder einen Prozess. Beispiele für automatisierte Aktionen sind das Senden einer Datei zur Quarantäne, das Beenden eines Prozesses und das Entfernen eines Registrierungsschlüssels. (Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender for Endpoint.) |
Automatisierte E-Mail-Aktion | Eine automatisierte Aktion, die für E-Mail-Inhalte ausgeführt wird, z. B. eine E-Mail-Nachricht, eine Anlage oder eine URL. Beispiele für automatisierte Aktionen sind das vorläufige Löschen von E-Mail-Nachrichten, das Blockieren von URLs und das Deaktivieren der externen E-Mail-Weiterleitung. (Siehe Wartungsaktionen in Microsoft Defender for Office 365.) |
Erweiterte Huntingaktion | Aktionen, die auf Geräten oder E-Mails mit erweiterter Suche ausgeführt werden. |
aktion Explorer | Aktionen für E-Mail-Inhalte mit Explorer. |
Manuelle Liveantwortaktion | Aktionen, die auf einem Gerät mit Liveantwort ausgeführt werden. Beispiele hierfür sind das Löschen einer Datei, das Beenden eines Prozesses und das Entfernen einer geplanten Aufgabe. |
Live-Antwortaktion | Aktionen, die auf einem Gerät mit Microsoft Defender for Endpoint-APIs ausgeführt werden. Beispiele für Aktionen sind das Isolieren eines Geräts, das Ausführen einer Antivirenüberprüfung und das Abrufen von Informationen zu einer Datei. |
Erforderliche Berechtigungen für Info-Center-Aufgaben
Um Aufgaben ausführen zu können, z. B. das Genehmigen oder Ablehnen ausstehender Aktionen im Info-Center, müssen Ihnen Berechtigungen zugewiesen sein, die in der folgenden Tabelle aufgeführt sind:
Wartungsaktion | Erforderliche Rollen und Berechtigungen |
---|---|
Microsoft Defender for Endpoint Wartung (Geräte) | Rolle "Sicherheitsadministrator", die entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen ist --- oder --- In Microsoft Defender for Endpoint zugewiesene Rolle "Aktive Wartungsaktionen" Weitere Informationen hierzu finden Sie in den folgenden Ressourcen: - Microsoft Entra integrierten Rollen - Create und Verwalten von Rollen für die rollenbasierte Zugriffssteuerung (Microsoft Defender for Endpoint) |
Microsoft Defender for Office 365 Korrektur (Office-Inhalt und E-Mail) | Rolle "Sicherheitsadministrator", die entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen ist --- und --- Search- und Bereinigungsrolle, die in den Rollen "Microsoft Defender XDR >Email & Collaboration" zugewiesen sind WICHTIG: Wenn Ihnen die Rolle "Sicherheitsadministrator" nur im Microsoft Defender XDR >Email & Zusammenarbeitsrollen zugewiesen ist, können Sie nicht auf das Info-Center oder Microsoft Defender XDR Funktionen zugreifen. Ihnen muss die Rolle "Sicherheitsadministrator" in Microsoft Entra ID oder dem Microsoft 365 Admin Center zugewiesen sein. Weitere Informationen hierzu finden Sie in den folgenden Ressourcen: - Microsoft Entra integrierten Rollen - Berechtigungen im Security & Compliance Center |
Tipp
Benutzer, denen die Rolle "Globaler Administrator" in Microsoft Entra ID zugewiesen ist, können alle ausstehenden Aktionen im Info-Center genehmigen oder ablehnen. Als bewährte Methode sollte Ihr organization jedoch die Anzahl der Personen begrenzen, denen die Rolle "Globaler Administrator" zugewiesen ist. Es wird empfohlen, die in der vorherigen Tabelle aufgeführten Rollen Sicherheitsadministrator, Aktive Wartungsaktionen und Search und Bereinigen für Info-Center-Berechtigungen zu verwenden.
Nächster Schritt
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für