Untersuchen und Antworten mit Microsoft Defender XDR
Hier sind die primären Untersuchungs- und Antwortaufgaben für Microsoft Defender XDR:
- Auf Vorfälle reagieren
- Überprüfen und Genehmigen automatischer Wartungsaktionen
- Search für bekannte Bedrohungen in Ihren Daten
- Grundlegendes zu den neuesten Cyberangriffen
Reaktion auf Sicherheitsvorfälle
Microsoft 365-Dienste und -Anwendungen erstellen Warnungen, wenn sie ein verdächtiges oder bösartiges Ereignis oder eine Aktivität erkennen. Einzelne Warnungen bieten wertvolle Hinweise zu einem abgeschlossenen oder laufenden Angriff. Angriffe wenden jedoch in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten an, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind mehrere Warnungen für mehrere Entitäten in Ihrem Mandanten. Da es schwierig und zeitaufwändig sein kann, die einzelnen Warnungen zusammenzufassen, um Einblicke in einen Angriff zu erhalten, aggregiert Microsoft Defender XDR automatisch die Warnungen und die zugehörigen Informationen zu einem Incident.
Fortlaufend müssen Sie die Vorfälle mit der höchsten Priorität für die Analyse und Lösung in der Incidentwarteschlange identifizieren und für die Reaktion vorbereiten. Dies ist eine Kombination aus:
- Priorisieren der Ermittlung der Vorfälle mit der höchsten Priorität durch Filtern und Sortieren der Incidentwarteschlange. Dies wird auch als Triaging bezeichnet.
- Verwalten von Incidents, indem Sie ihren Titel ändern, sie einem Analysten zuweisen, Tags und Kommentare hinzufügen und bei Behebung, klassifizieren.
Verwenden Sie für jeden Incident Ihren Workflow zur Reaktion auf Vorfälle, um den Incident und seine Warnungen und Daten zu analysieren, um den Angriff einzudämten, die Bedrohung zu beseitigen, sich nach dem Angriff zu erholen und daraus zu lernen. In diesem Beispiel finden Sie Microsoft Defender XDR.
Automatische Untersuchung und Reaktion
Wenn Ihr organization Microsoft Defender XDR verwendet, erhält Ihr Sicherheitsteam eine Warnung innerhalb des Microsoft Defender-Portals, wenn eine schädliche oder verdächtige Aktivität oder ein verdächtiges Artefakt erkannt wird. Angesichts des nie endenden Flusses von Bedrohungen, die auftreten können, stehen Sicherheitsteams häufig vor der Herausforderung, die große Anzahl von Warnungen zu bewältigen. Glücklicherweise umfasst Microsoft Defender XDR funktionen für automatisierte Untersuchung und Reaktion (Air), mit denen Ihr Sicherheitsteam Bedrohungen effizienter und effektiver angehen kann.
Wenn eine automatisierte Untersuchung abgeschlossen ist, wird für jeden Beweis eines Vorfalls ein Erkenntnis ermittelt. Je nach Bewertung werden Korrekturmaßnahmen identifiziert. In einigen Fällen werden Korrekturmaßnahmen automatisch ausgeführt. in anderen Fällen müssen Wartungsaktionen über das Microsoft Defender XDR Info-Center genehmigt werden.
Weitere Informationen finden Sie unter Automatisierte Untersuchung und Reaktion in Microsoft Defender XDR.
Proaktive Suche nach Bedrohungen mit erweiterter Suche
Es reicht nicht aus, auf Angriffe zu reagieren, wenn sie auftreten. Bei erweiterten, mehrstufigen Angriffen wie Ransomware müssen Sie proaktiv nach den Beweisen für einen laufenden Angriff suchen und Maßnahmen ergreifen, um ihn zu stoppen, bevor er abgeschlossen ist.
Die erweiterte Suche ist ein abfragebasiertes Tool zur Bedrohungssuche in Microsoft Defender XDR, mit dem Sie rohe Daten von bis zu 30 Tagen untersuchen können. Sie können Ereignisse in Ihrem Netzwerk proaktiv prüfen, um Bedrohungsindikatoren und -entitäten zu ermitteln. Dieser flexible Zugriff auf die Microsoft Defender XDR Daten ermöglicht die uneingeschränkte Suche nach bekannten und potenziellen Bedrohungen.
Sie können dieselben Bedrohungssucheabfragen verwenden, um benutzerdefinierte Erkennungsregeln zu erstellen. Diese Regeln werden automatisch ausgeführt, um verdächtige Sicherheitsverletzungen, falsch konfigurierte Computer und andere Ergebnisse zu überprüfen und darauf zu reagieren.
Weitere Informationen finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche in Microsoft Defender XDR.
Mit bedrohungsanalyse neuen Bedrohungen einen Schritt voraus
Threat Analytics ist eine Threat Intelligence-Funktion in Microsoft Defender XDR entwickelt, um Ihr Sicherheitsteam dabei zu unterstützen, so effizient wie möglich zu sein, während es sich um neue Bedrohungen handelt. Sie enthält detaillierte Analysen und Informationen zu folgenden Themen:
- Aktive Bedrohungsakteure und ihre Kampagnen
- Beliebte und neue Angriffstechniken
- Kritische Sicherheitsrisiken
- Häufige Angriffsflächen
- Weit verbreitete Schadsoftware
Die Bedrohungsanalyse enthält auch Informationen zu verwandten Vorfällen und betroffenen Ressourcen in Ihrem Microsoft 365-Mandanten für jede identifizierte Bedrohung.
Jede identifizierte Bedrohung umfasst einen Analystenbericht, eine umfassende Analyse der Bedrohung, die von Microsoft-Sicherheitsexperten geschrieben wurde, die an der Spitze der Cybersicherheitserkennung und -analyse stehen. Diese Berichte können auch Informationen darüber liefern, wie die Angriffe in Microsoft Defender XDR.
Weitere Informationen finden Sie unter Bedrohungsanalyse in Microsoft Defender XDR.
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.