Teilen über


Verwalten von Microsoft Defender for Endpoint Incidents

Gilt für:

Möchten Sie Microsoft Defender für Endpunkt ausprobieren? Registrieren Sie sich für eine kostenlose Testversion.

Die Verwaltung von Incidents ist ein wichtiger Bestandteil jedes Cybersicherheitsvorgangs. Sie können Incidents verwalten, indem Sie einen Incident in der Incidentwarteschlange oder im Bereich Incidentverwaltung auswählen.

Tipp

Für einen begrenzten Zeitraum im Januar 2024 wird Defender Boxed angezeigt, wenn Sie die Seite Incidents besuchen. Defender Boxed hebt die Sicherheitserfolge, Verbesserungen und Reaktionsaktionen Ihres organization im Jahr 2023 hervor. Um Defender Boxed erneut zu öffnen, wechseln Sie im Microsoft Defender-Portal zu Incidents, und wählen Sie dann Ihr Defender Boxed aus.

Wenn Sie einen Incident aus der Incidentwarteschlange auswählen, wird der Bereich "Incidentverwaltung" angezeigt, in dem Sie die Seite "Incident" für Details öffnen können.

Der Bereich

Sie können Incidents sich selbst zuweisen, die status und klassifizierung ändern, umbenennen oder kommentieren, um deren Fortschritt nachzuverfolgen.

Tipp

Für zusätzliche Sichtbarkeit auf einen Blick werden Incidentnamen automatisch basierend auf Warnungsattributen wie der Anzahl der betroffenen Endpunkte, betroffenen Benutzer, Erkennungsquellen oder Kategorien generiert. Auf diese Weise können Sie sich schnell ein Bild vom Umfang des Vorfalls machen.

Beispiel: Mehrstufiger Incident auf mehreren Endpunkten, die von mehreren Quellen gemeldet werden.

Incidents, die vor dem Rollout der automatischen Incidentbenennung vorhanden waren, behalten ihre Namen bei.

Die Detailseite des Incidents

Zuweisen von Vorfällen

Wenn ein Incident noch nicht zugewiesen wurde, können Sie mir zuweisen auswählen, um den Incident sich selbst zuzuweisen. Dies setzt voraus, dass nicht nur der Vorfall, sondern auch alle ihm zugeordneten Alerts in Ihrem Besitz sind.

Festlegen des Status und der Klassifizierung

Status des Vorfalls

Sie können Ereignisse kategorisieren (z.B. als aktiveoder aufgelöste), indem Sie deren Status ändern, während ihre Untersuchung voranschreitet. Auf diese Weise können Sie organisieren und verwalten, wie Ihr Team auf Vorfälle reagiert.

Ihr SOC-Analyst kann beispielsweise die dringenden aktiven Vorfälle für den Tag überprüfen und sich entscheiden, sie sich selbst zur Untersuchung zuzuweisen.

Alternativ kann Ihr SOC-Analyst den Vorfall als aufgelöst einstufen, wenn der Vorfall behoben wurde.

Klassifizierung

Sie können festlegen, dass keine Klassifizierung festgelegt wird, oder Sie können angeben, ob ein Vorfall wahr oder falsch ist. Auf diese Weise kann das Team Muster erkennen und von ihnen lernen.

Kommentare hinzufügen

Sie können Kommentare hinzufügen und Historien-Ereignisse zu einem Vorfall anzeigen, um die vorherigen vorgenommenen Änderungen anzuzeigen.

Immer wenn eine Änderung an einem Alert vorgenommen oder ein Kommentar zu einem Alert hinterlassen wird, wird dies im Abschnitt Kommentare und Verlauf aufgezeichnet.

Hinzugefügte Kommentare werden sofort in diesem Bereich angezeigt.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.