Teilen über

Verwalten von Incidents in Microsoft Defender

  • Artikel

Gilt für:

  • Microsoft Defender XDR
  • Microsoft Defender Unified Security Operations Center (SOC)-Plattform

Das Incidentmanagement ist wichtig, damit Incidents benannt, zugewiesen und gekennzeichnet werden, um den zeitlichen Ablauf Ihres Incidentworkflows zu optimieren sowie Bedrohungen schneller einzudämmen und zu beseitigen.

Sie können Incidents über Incidents und Warnungen > Incidents im Schnellstart des Microsoft Defender-Portals (security.microsoft.com) verwalten. Im Folgenden sehen Sie ein Beispiel.

Screenshot, in dem die Option „Incident verwalten“ in der Incidentwarteschlange und im Schnellstartbereich im Microsoft Defender-Portal hervorgehoben ist.

Es gibt folgende Möglichkeiten, um Incidents zu verwalten:

Sie können Vorfälle im Bereich Vorfall verwalten eines Vorfalls verwalten. Im Folgenden sehen Sie ein Beispiel.

Screenshot des Bereichs „Incident verwalten“ im Microsoft Defender-Portal.

Sie können diesen Bereich an folgenden Stellen über den Link Incident verwalten anzeigen:

  • Seite Warnungsverlauf.
  • Eigenschaftenbereich eines Incidents in der Incidentwarteschlange.
  • Seite Zusammenfassung eines Incidents.
  • Option „Incident verwalten“ oben rechts auf der Incidentseite.

In Fällen, in denen Sie Warnungen von einem Incident in einen anderen verschieben möchten, können Sie dies auch über die Registerkarte Warnungen erledigen und so einen größeren oder kleineren Incident erstellen, der alle relevanten Warnungen enthält.

Bearbeiten des Incidentnamens

Microsoft Defender weist basierend auf Warnungsattributen, z. B. Anzahl betroffener Endpunkte, betroffene Benutzer, Erkennungsquellen oder Kategorien, automatisch einen Namen zu. Der Incidentname bietet die Möglichkeit, sich schnell ein Bild vom Umfang des Incidents machen. Beispiel: Mehrstufiger Incident an mehreren Endpunkten, der von mehreren Quellen gemeldet wird.

Sie können den Incidentnamen im Feld Incidentname im Bereich Incident verwalten bearbeiten.

Hinweis

Incidents, die vor dem Rollout der automatischen Incidentbenennungsfunktion vorhanden waren, behalten ihren Namen.

Zuweisen oder Ändern des Schweregrads

Sie können den Schweregrad eines Incidents im Feld Schweregrad im Bereich Incident verwalten zuweisen oder ändern. Der Schweregrad eines Incidents wird durch den höchsten Schweregrad der zugehörigen Warnungen bestimmt. Der Schweregrad eines Incidents kann auf hoch, mittel, niedrigoder informativ festgelegt werden.

Hinzufügen von Ereigniskategorien

Sie können einem Vorfall benutzerdefinierte Tags hinzufügen, um beispielsweise eine Gruppe von Vorfällen mit einer gemeinsamen Charakteristik zu kennzeichnen. Sie können die Liste der Vorfälle später nach allen Einträgen filtern, die einen bestimmten Tag enthalten.

Sobald Sie mit der Eingabe beginnen, wird die Option zum Auswählen von zuvor verwendeten und ausgewählten Tags in einer Liste angezeigt.

Zuweisen eines Incidents

Sie können das Feld Zuweisen zu auswählen und das Benutzerkonto angeben, um einen Incident zuzuweisen. Um die Zuweisung eines Incidents zu ändern, entfernen Sie das aktuelle Zuweisungskonto, indem Sie das „x“ neben dem Kontonamen auswählen, und dann das Feld Zuweisen zu auswählen. Bei Zuweisung eines Besitzers für einen Incident wird allen zugehörigen Warnungen der gleiche Besitzer zugewiesen.

Sie können eine Liste der Incidents abrufen, die Ihnen zugewiesen sind, indem Sie die Incidentwarteschlange filtern.

  1. Wählen Sie in der Incidentwarteschlange Filter aus.
  2. Deaktivieren Sie im Abschnitt Incidentzuweisung die Option Alle auswählen. Wählen Sie Mir zugewiesen, Einem anderen Benutzer zugewiesen oder Einer Benutzergruppe zugewiesen aus.
  3. Wählen Sie Anwenden aus, und schließen Sie dann den Bereich Filter.

Anschließend können Sie die resultierende URL in Ihrem Browser als Lesezeichen speichern, um schnell die Liste der Ihnen zugewiesenen Incidents anzuzeigen.

Beheben eines Incidents

Wählen Sie Incident beheben aus, um den Umschalter nach rechts zu verschieben, wenn ein Incident beseitigt wurde. Beim Beheben eines Incidents werden auch alle verknüpften und aktiven Warnungen im Zusammenhang mit dem Incident behoben.

Ein nicht behobener Incident wird als Aktiv angezeigt.

Angeben der Klassifizierung

Im Feld Klassifizierung können Sie den Incident folgendermaßen klassifizieren:

  • Nicht festgelegt (Standardeinstellung).
  • True Positive mit einem Bedrohungstyp. Verwenden Sie diese Klassifizierung für Incidents, die exakt auf eine reale Bedrohung hinweisen. Die Angabe des Bedrohungstyps hilft Ihrem Sicherheitsteam, Bedrohungsmuster zu erkennen und Maßnahmen zur Abwehr dieser in Ihrer Organisation zu ergreifen.
  • Informativ, erwartete Aktivität mit einem Aktivitätstyp. Verwenden Sie die Optionen in dieser Kategorie für Sicherheitstests, Red-Teamaktivitäten und voraussichtlich ungewöhnliches Verhalten von vertrauenswürdigen Apps und Benutzern.
  • False Positive für Incidenttypen, die Ihrer Ermittlung nach ignoriert werden können, da sie technisch unrichtig oder irreführend sind.

Das Klassifizieren von Incidents sowie das Angeben ihres Status und Typs hilft bei der Optimierung von Microsoft Defender XDR, um im Laufe der Zeit eine bessere Erkennungsermittlung zu ermöglichen.

Kommentare hinzufügen

Sie können im Feld Kommentar mehrere Kommentare für einen Incident hinzufügen. Das Kommentarfeld unterstützt Text und Formatierung, Links und Bilder. Jeder Kommentar ist auf maximal 30.000 Zeichen begrenzt.

Alle Kommentare werden den Verlaufsereignissen des Incidents hinzugefügt. Sie können die Kommentare und den Verlauf eines Incidents über den Link Kommentare und Verlauf auf der Seite Zusammenfassung anzeigen.

Aktivitätsprotokoll

Das Aktivitätsprotokoll umfasst eine Liste aller Kommentare und Aktionen, die für den Incident ausgeführt werden (wird als Überwachungen und Kommentare bezeichnet). Alle Änderungen, die von einem Benutzer oder vom System am Incident vorgenommen werden, werden im Aktivitätsprotokoll aufgezeichnet. Das Aktivitätsprotokoll ist über die Option Aktivitätsprotokoll auf der Incidentseite oder im Seitenbereich für Incidents verfügbar.

Screenshot mit hervorgehobener Option „Aktivitätsprotokoll“ auf der Incidentseite im Microsoft Defender-Portal.

Sie können die Aktivitäten im Protokoll nach Kommentaren und Aktionen filtern. Klicken Sie auf Inhalt: Überwachungen, Kommentare, und wählen Sie dann den Inhaltstyp aus, um Aktivitäten zu filtern. Im Folgenden sehen Sie ein Beispiel.

Screenshot mit hervorgehobenen Filteroptionen im Bereich „Aktivitätsprotokoll“ auf der Incidentseite im Microsoft Defender-Portal.

Sie können über das Kommentarfeld, das im Aktivitätsprotokoll verfügbar ist, auch eigene Kommentare hinzufügen. Das Kommentarfeld akzeptiert Text und Formatierung, Links und Bilder.

Screenshot mit hervorgehobenem Kommentarfeld auf der Incidentseite im Microsoft Defender-Portal.

Exportieren von Incidentdaten in PDF

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Das Feature zum Exportieren von Incidentdaten ist derzeit für Microsoft Defender XDR- und Microsoft Defender Unified Security Operations Center (SOC)-Plattformkunden mit der Microsoft Copilot für Security-Lizenz verfügbar.

Sie können die Daten eines Incidents über die Funktion Incident als PDF exportieren als PDF exportieren und im PDF-Format speichern. Diese Funktion bietet Sicherheitsteams die Möglichkeit, die Details eines Incidents jederzeit offline zu überprüfen.

Die exportierten Incidentdaten enthalten die folgenden Informationen:

Nachstehend sehen Sie ein Beispiel für eine PDF:

Screenshot der ersten Seite der exportierten PDF.

Wenn Sie über die Copilot für Security-Lizenz verfügen, enthält die exportierte PDF die folgenden zusätzlichen Incidentdaten:

Die PDF-Exportfunktion ist auch im Copilot-Seitenbereich eines generierten Incidentberichts verfügbar.

Screenshot der zusätzlichen Aktionen auf der Ergebniskarte des Incidentberichts.

Führen Sie die folgenden Schritte aus, um die PDF zu generieren:

  1. Öffnen Sie eine Vorfallsseite. Wählen Sie oben rechts die Auslassungspunkte ... für weitere Aktionen und dann Incident als PDF exportieren aus. Die Funktion wird ausgegraut, während die PDF generiert wird.

    Screenshot mit hervorgehobener Option „Incident als PDF exportieren“.

  2. In einem Dialogfeld wird darauf hingewiesen, dass die PDF generiert wird. Klicken Sie auf Verstanden, um das Dialogfeld zu schließen. Darüber hinaus wird unterhalb des Incidenttitels eine Statusmeldung mit dem aktuellen Status des Downloads angezeigt. Der Exportvorgang kann abhängig von der Komplexität des Incidents und der Menge der zu exportierenden Daten einige Minuten dauern.

    Screenshot mit Hervorhebung von Exportmeldung und -status vor dem Download.

  3. Sobald die PDF erstellt wurde, wird in der Statusmeldung angezeigt, dass die PDF fertig ist, und ein weiteres Dialogfeld wird angezeigt. Wählen Sie im Dialogfeld Herunterladen aus, um die PDF auf Ihrem Gerät zu speichern.

    Screenshot mit Hervorhebung von Exportmeldung und -status, wenn der Download verfügbar ist.

Der Bericht wird für einige Minuten zwischengespeichert. Das System stellt die zuvor generierte PDF bereit, wenn Sie versuchen, denselben Incident innerhalb eines kurzen Zeitraums erneut zu exportieren. Um eine neuere Version der PDF zu generieren, warten Sie einige Minuten, bis der Cache abgelaufen ist.

Nächste Schritte

Beginnen Sie bei neuen Incidents mit ihrer Untersuchung.

Setzen Sie bei in Bearbeitung befindlichen Incidents Ihre Untersuchung fort.

Führen Sie für behobene Incidents eine nachträgliche Incidentbewertung durch.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.