Beheben Ihres ersten Incidents in Microsoft Defender XDR

  • Artikel

Gilt für:

  • Microsoft Defender XDR

Microsoft Defender XDR bietet Erkennungs- und Analysefunktionen, um die Eindämmung und Beseitigung von Bedrohungen sicherzustellen. Die Eindämmung umfasst Schritte, um die Auswirkungen des Angriffs zu verringern, während die Tilgung sicherstellt, dass alle Spuren von Angreiferaktivitäten aus dem Netzwerk entfernt werden.

Die Korrektur in Microsoft Defender XDR kann automatisiert oder durch manuelle Aktionen erfolgen, die von Reaktionshelfern für Vorfälle durchgeführt werden. Korrekturmaßnahmen können für Geräte, Dateien und Identitäten ausgeführt werden.

Automatische Wartung

Microsoft Defender XDR nutzt seine Threat Intelligence und die Signale in Ihrem Netzwerk, um die störendsten Angriffe zu bekämpfen. Ransomware, Business Email Compromise (BEC) und Adversary-in-the-Middle (AiTM) Phishing sind einige der komplexesten Angriffe, die sofort durch automatische Angriffsunterbrechung eingedämmt werden können. Sobald ein Angriff unterbrochen wurde, können Incident-Responder einen Angriff übernehmen und einen Angriff vollständig untersuchen und die erforderliche Korrektur anwenden.

Erfahren Sie, wie automatische Angriffsunterbrechungen bei der Reaktion auf Vorfälle helfen:

In der Zwischenzeit können die automatisierten Untersuchungs- und Reaktionsfunktionen von Microsoft Defender XDR automatisch schädliche und verdächtige Elemente untersuchen und Abhilfemaßnahmen anwenden. Diese Funktionen skalieren die Untersuchung und Lösung auf Bedrohungen und ermöglichen reaktionsfähige Incidents, sich auf angriffe mit hoher Wirkung zu konzentrieren.

Sie können automatisierte Untersuchungs- und Reaktionsfunktionen konfigurieren und verwalten . Sie können auch alle vergangenen und ausstehenden Aktionen über das Info-Center anzeigen.

Hinweis

Sie können automatische Aktionen nach der Überprüfung rückgängig machen.

Um einige Ihrer Untersuchungsaufgaben zu beschleunigen, können Sie Warnungen mit Power Automate selektieren. Darüber hinaus kann eine automatisierte Korrektur mithilfe von Automatisierung und Playbooks erstellt werden. Microsoft verfügt auf GitHub über Playbookvorlagen für die folgenden Szenarien:

  • Entfernen vertraulicher Dateifreigaben nach dem Anfordern der Benutzerüberprüfung
  • Automatische Selektierung seltener Länderwarnungen
  • Anfordern einer Vorgesetztenaktion vor dem Deaktivieren eines Kontos
  • Deaktivieren bösartiger Posteingangsregeln

Playbooks verwenden Power Automate, um benutzerdefinierte Roboterprozessautomatisierungsflows zu erstellen, um bestimmte Aktivitäten zu automatisieren, sobald bestimmte Kriterien ausgelöst wurden. Organisationen können Playbooks entweder aus vorhandenen Vorlagen oder von Grund auf neu erstellen. Playbooks können auch während der Überprüfung nach dem Incident erstellt werden, um Korrekturaktionen aus gelösten Vorfällen zu erstellen.

In diesem Video erfahren Sie, wie Power Automate Ihnen dabei helfen kann, Ihre Reaktion auf Vorfälle zu automatisieren:

Manuelle Wartung

Während sie auf einen Angriff reagieren, können Sicherheitsteams die manuellen Korrekturaktionen des Portals nutzen, um zu verhindern, dass Angriffe weiter schaden. Einige Aktionen können eine Bedrohung sofort stoppen, während andere bei der weiteren forensischen Analyse helfen. Sie können diese Aktionen abhängig von den Defender-Workloads, die in Ihrem organization bereitgestellt werden, auf jede beliebige Entität anwenden.

Aktionen auf Geräten

  • Isolieren des Geräts : Isoliert ein betroffenes Gerät, indem das Gerät vom Netzwerk getrennt wird. Das Gerät bleibt zur weiteren Überwachung mit dem Defender für Endpunkt-Dienst verbunden.

  • Einschränken der App-Ausführung : Schränkt eine Anwendung durch Anwenden einer Codeintegritätsrichtlinie ein, die die Ausführung von Dateien nur zulässt, wenn sie von einem von Microsoft ausgestellten Zertifikat signiert sind.

  • Ausführen der Antivirenüberprüfung : Initiiert eine Defender Antivirus-Überprüfung für ein Gerät remote. Die Überprüfung kann zusammen mit anderen Antivirenlösungen ausgeführt werden, unabhängig davon, ob Defender Antivirus die aktive Antivirenlösung ist oder nicht.

  • Untersuchungspaket sammeln : Sie können ein Untersuchungspaket von einem Gerät im Rahmen des Untersuchungs- oder Antwortprozesses erfassen. Durch das Sammeln des Untersuchungspakets können Sie den aktuellen Zustand des Geräts identifizieren und die vom Angreifer verwendeten Tools und Techniken besser verstehen.

  • Initiieren einer automatisierten Untersuchung : Startet eine neue allgemeine automatisierte Untersuchung auf dem Gerät. Während eine Untersuchung ausgeführt wird, werden alle anderen warnungen, die vom Gerät generiert werden, einer laufenden automatisierten Untersuchung hinzugefügt, bis diese Untersuchung abgeschlossen ist. Wenn die gleiche Bedrohung auch auf anderen Geräten erkannt wird, werden diese Geräte der Untersuchung hinzugefügt.

  • Initiieren einer Liveantwort : Ermöglicht Ihnen den sofortigen Zugriff auf ein Gerät mithilfe einer Remoteshellverbindung, sodass Sie eingehende Untersuchungen durchführen und sofortige Reaktionsaktionen ergreifen können, um identifizierte Bedrohungen umgehend in Echtzeit einzudämmen. Live Response wurde entwickelt, um Untersuchungen zu verbessern, indem Sie forensische Daten sammeln, Skripts ausführen, verdächtige Entitäten zur Analyse senden, Bedrohungen beseitigen und proaktiv nach neuen Bedrohungen suchen können.

  • Fragen Sie Defender-Experten: Sie können sich an einen Microsoft Defender Experten wenden, um weitere Erkenntnisse zu potenziell kompromittierten oder bereits kompromittierten Geräten zu erhalten. Microsoft Defender Experten können direkt über das Portal für eine zeitnahe und genaue Antwort eingebunden werden. Diese Aktion ist sowohl für Geräte als auch für Dateien verfügbar.

Weitere Aktionen auf Geräten sind im folgenden Tutorial verfügbar:

Hinweis

Sie können Aktionen auf Geräten direkt aus dem Diagramm innerhalb der Angriffsgeschichte ausführen.

Aktionen auf Dateien

  • Beenden und Isolieren von Dateien : Umfasst das Beenden ausgeführter Prozesse, das Isolieren von Dateien und das Löschen persistenter Daten wie Registrierungsschlüsseln.
  • Hinzufügen von Indikatoren zum Blockieren oder Zulassen von Dateien : Verhindert, dass sich ein Angriff weiter ausbreitet, indem potenziell schädliche Dateien oder vermutete Schadsoftware gesperrt werden. Dieser Vorgang verhindert, dass die Datei auf Geräten in Ihrem organization gelesen, geschrieben oder ausgeführt wird.
  • Herunterladen oder Sammeln von Dateien : Ermöglicht Analysten das Herunterladen einer Datei in einer kennwortgeschützten .zip Archivdatei zur weiteren Analyse durch die organization.
  • Umfassende Analyse : Führt eine Datei in einer sicheren, vollständig instrumentierten Cloudumgebung aus. Ausführliche Analyseergebnisse zeigen die Aktivitäten der Datei, das beobachtete Verhalten und die zugehörigen Artefakte, z. B. gelöschte Dateien, Registrierungsänderungen und Kommunikation mit IP-Adressen.

Beheben anderer Angriffe

Hinweis

Diese Tutorials gelten, wenn andere Defender-Workloads in Ihrer Umgebung aktiviert sind.

In den folgenden Tutorials werden Die Schritte und Aktionen aufgelistet, die Sie anwenden können, wenn Sie Entitäten untersuchen oder auf bestimmte Bedrohungen reagieren:

Nächste Schritte

Siehe auch

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.