Priorisieren von Incidents im Microsoft Defender-Portal

  • Artikel
  • Gilt für:
    Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Die einheitliche Plattform für Sicherheitsvorgänge im Microsoft Defender-Portal wendet Korrelationsanalysen an und aggregiert verwandte Warnungen und automatisierte Untersuchungen von verschiedenen Produkten auf einen Incident. Microsoft Sentinel und Defender XDR auch eindeutige Warnungen zu Aktivitäten auslösen, die nur aufgrund der End-to-End-Sichtbarkeit in der einheitlichen Plattform für die gesamte Produktsuite als böswillig identifiziert werden können. Diese Ansicht bietet Ihren Sicherheitsanalysten eine umfassendere Angriffsgeschichte, die ihnen hilft, komplexe Bedrohungen in Ihrem organization besser zu verstehen und damit umzugehen.

Wichtig

Microsoft Sentinel ist als Teil der öffentlichen Vorschau für die Unified Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Incidentwarteschlange

Die Incidentwarteschlange zeigt eine Sammlung von Incidents an, die geräte-, benutzer-, postfach- und andere Ressourcenübergreifend erstellt wurden. Es hilft Ihnen, Incidents zu sortieren, um eine fundierte Entscheidung zur Reaktion auf die Cybersicherheit zu priorisieren und zu erstellen, ein Prozess, der als Incident-Selektierung bezeichnet wird.

Tipp

Für einen begrenzten Zeitraum im Januar 2024 wird Defender Boxed angezeigt, wenn Sie die Seite Incidents besuchen. Defender Boxed hebt die Sicherheitserfolge, Verbesserungen und Reaktionsaktionen Ihres organization im Jahr 2023 hervor. Um Defender Boxed erneut zu öffnen, wechseln Sie im Microsoft Defender-Portal zu Incidents, und wählen Sie dann Ihr Defender Boxed aus.

Sie können die Incidentwarteschlange über Incidents & Alerts > Incidents beim Schnellstart des Microsoft Defender-Portals aufrufen. Im Folgenden sehen Sie ein Beispiel.

Screenshot der Incidentwarteschlange im Microsoft Defender-Portal.

Wählen Sie Neueste Vorfälle und Warnungen aus, um die Erweiterung des oberen Abschnitts umzuschalten, der ein Zeitleiste Diagramm der Anzahl der in den letzten 24 Stunden empfangenen Warnungen und Incidents anzeigt.

Screenshot: 24-Stunden-Incidentdiagramm

Darunter zeigt die Incidentwarteschlange im Microsoft Defender-Portal Vorfälle an, die in den letzten sechs Monaten aufgetreten sind. Der letzte Incident befindet sich ganz oben in der Liste, sodass Sie ihn zuerst sehen können. Sie können einen anderen Zeitrahmen auswählen, indem Sie ihn in der Dropdownliste oben auswählen.

Die Incidentwarteschlange verfügt über anpassbare Spalten (wählen Sie Spalten anpassen), die Ihnen Einblicke in die verschiedenen Merkmale des Incidents oder der betroffenen Entitäten bieten. Diese Filterung hilft Ihnen, eine fundierte Entscheidung hinsichtlich der Priorisierung von Incidents für die Analyse zu treffen.

Screenshot: Filter- und Spaltensteuerelemente für Incidentseiten

Incidentnamen

Für mehr Sichtbarkeit auf einen Blick generiert Microsoft Defender XDR automatisch Incidentnamen, basierend auf Warnungsattributen wie der Anzahl der betroffenen Endpunkte, betroffenen Benutzern, Erkennungsquellen oder Kategorien. Diese spezifische Benennung ermöglicht es Ihnen, den Umfang des Incidents schnell zu verstehen.

Beispiel: Mehrstufiger Incident auf mehreren Endpunkten, die von mehreren Quellen gemeldet werden.

Wenn Sie Microsoft Sentinel in die Unified Security Operations-Plattform integriert haben, werden die Namen aller Warnungen und Vorfälle, die von Microsoft Sentinel stammen, wahrscheinlich geändert (unabhängig davon, ob sie vor oder seit dem Onboarding erstellt wurden).

Es wird empfohlen, die Verwendung des Incidentnamens als Bedingung zum Auslösen von Automatisierungsregeln zu vermeiden. Wenn der Incidentname eine Bedingung ist und sich der Incidentname ändert, wird die Regel nicht ausgelöst.

Filter

Die Incidentwarteschlange bietet auch mehrere Filteroptionen, mit denen Sie bei Anwendung eine breite Übersicht über alle vorhandenen Vorfälle in Ihrer Umgebung durchführen oder sich auf ein bestimmtes Szenario oder eine bestimmte Bedrohung konzentrieren können. Durch Anwenden von Filtern in der Vorfallswarteschlange können Sie ermitteln, welcher Vorfall sofort beachtet werden muss.

Die Liste Filter oberhalb der Liste der Vorfälle zeigt die aktuell angewendeten Filter an.

In der Standardvorfallwarteschlange können Sie Filter hinzufügen auswählen, um die Dropdownliste Filter hinzufügen anzuzeigen, in der Sie Filter angeben, die auf die Incidentwarteschlange angewendet werden sollen, um die Angezeigten Incidents einzuschränken. Im Folgenden sehen Sie ein Beispiel.

Der Bereich Filter für die Incidentwarteschlange im Microsoft Defender-Portal.

Wählen Sie die filter aus, die Sie verwenden möchten, und wählen Sie dann am ende der Liste Hinzufügen aus, um sie verfügbar zu machen.

Nun werden die ausgewählten Filter zusammen mit den vorhandenen angewendeten Filtern angezeigt. Wählen Sie den neuen Filter aus, um seine Bedingungen anzugeben. Wenn Sie beispielsweise den Filter "Dienst/Erkennungsquellen" ausgewählt haben, wählen Sie ihn aus, um die Quellen auszuwählen, nach denen die Liste gefiltert werden soll.

Sie können auch den Bereich Filter anzeigen, indem Sie einen der Filter in der Liste Filter oberhalb der Liste der Vorfälle auswählen.

In dieser Tabelle sind die verfügbaren Filternamen aufgeführt.

Filtername Beschreibung/Bedingungen
Status Wählen Sie Neu, In Bearbeitung oder Gelöst aus.
Warnungsschweregrad
Incidentschweregrad		 Der Schweregrad einer Warnung oder eines Incidents ist ein Hinweis auf die Auswirkungen, die er auf Ihre Ressourcen haben kann. Je höher der Schweregrad, desto größer die Auswirkung und erfordert in der Regel die unmittelbarste Aufmerksamkeit. Wählen Sie Hoch, Mittel, Niedrig oder Information aus.
Incidentzuweisung Wählen Sie den bzw. die zugewiesenen Benutzer aus.
Mehrere Dienstquellen Geben Sie an, ob der Filter für mehrere Dienstquellen gilt.
Dienst-/Erkennungsquellen Geben Sie Incidents an, die Warnungen aus einer oder mehreren der folgenden Elemente enthalten:
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender für Endpunkt
  • Microsoft Defender XDR
  • Microsoft Defender für Office 365
  • App-Governance
  • Microsoft Entra ID Protection
  • Microsoft Data Loss Prevention
  • Microsoft Defender für Cloud
  • Microsoft Sentinel

    Viele dieser Dienste können im Menü erweitert werden, um weitere Auswahlmöglichkeiten für Erkennungsquellen innerhalb eines bestimmten Diensts anzuzeigen.
    		•
    Tags Wählen Sie einen oder mehrere Tagnamen aus der Liste aus.
    Mehrere Kategorie Geben Sie an, ob der Filter für mehrere Kategorien bestimmt ist.
    Kategorien Wählen Sie Kategorien aus, um sich auf bestimmte Taktiken, Techniken oder Angriffskomponenten zu konzentrieren.
    Entities Geben Sie den Namen eines Medienobjekts an, z. B. einen Benutzer, ein Gerät, ein Postfach oder einen Anwendungsnamen.
    Vertraulichkeit der Daten Bei einigen Angriffen liegt der Schwerpunkt auf dem Exfiltrieren von vertraulichen oder wertvollen Daten. Durch Anwenden eines Filters für bestimmte Vertraulichkeitsbezeichnungen können Sie schnell ermitteln, ob vertrauliche Informationen potenziell kompromittiert wurden, und die Behandlung dieser Vorfälle priorisieren.

    Dieser Filter zeigt Informationen nur an, wenn Sie Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection angewendet haben.
    Gerätegruppen Geben Sie einen Gerätegruppennamen an.
    Betriebssystemplattform Geben Sie Gerätebetriebssysteme an.
    Klassifizierung Geben Sie den Satz von Klassifizierungen der zugehörigen Warnungen an.
    Status der automatisierten Untersuchung Geben Sie die status der automatisierten Untersuchung an.
    Zugeordnete Bedrohung Geben Sie eine benannte Bedrohung an.
    Warnungsrichtlinien Geben Sie einen Warnungsrichtlinientitel an.

    Der Standardfilter besteht darin, alle Warnungen und Vorfälle mit dem status Neu und In Bearbeitung und mit dem Schweregrad Hoch, Mittel oder Niedrig anzuzeigen.

    Sie können einen Filter schnell entfernen, indem Sie das X im Namen eines Filters in der Liste Filter auswählen.

    Sie können auch Filtersätze auf der Seite Incidents erstellen, indem Sie Gespeicherte Filterabfragen > Filtersatz erstellen auswählen. Wenn keine Filtersätze erstellt wurden, wählen Sie Speichern aus, um einen zu erstellen.

    Die Option Filtersätze erstellen für die Incidentwarteschlange im Microsoft Defender-Portal.

    Speichern von benutzerdefinierten Filtern als URLs

    Nachdem Sie einen nützlichen Filter in der Incidentwarteschlange konfiguriert haben, können Sie die URL der Browserregisterkarte mit einem Lesezeichen versehen oder sie anderweitig als Link auf einer Webseite, einem Word Dokument oder an einem Ort Ihrer Wahl speichern. Durch Lesezeichen können Sie mit nur einem Klick auf wichtige Ansichten der Incidentwarteschlange zugreifen, z. B.:

    • Neue Vorfälle
    • Vorfälle mit hohem Schweregrad
    • Nicht zugewiesene Vorfälle
    • Hochschwere, nicht zugewiesene Vorfälle
    • Mir zugewiesene Vorfälle
    • Mir zugewiesene Vorfälle und zur Microsoft Defender for Endpoint
    • Incidents mit einem bestimmten Tag oder Tags
    • Incidents mit einer bestimmten Bedrohungskategorie
    • Incidents mit einer bestimmten zugeordneten Bedrohung
    • Incidents mit einem bestimmten Akteur

    Nachdem Sie Ihre Liste der nützlichen Filteransichten als URLs kompiliert und gespeichert haben, verwenden Sie sie, um die Incidents in Ihrer Warteschlange schnell zu verarbeiten und zu priorisieren und für die nachfolgende Zuweisung und Analyse zu verwalten .

    Im Feld Search für Name oder ID oberhalb der Liste der Vorfälle können Sie auf verschiedene Weise nach Incidents suchen, um schnell das gesuchte Ziel zu finden.

    Search nach Incidentname oder ID

    Search direkt für einen Incident, indem Sie die Incident-ID oder den Incidentnamen eingeben. Wenn Sie einen Incident aus der Liste der Suchergebnisse auswählen, öffnet das Microsoft Defender-Portal eine neue Registerkarte mit den Eigenschaften des Incidents, über die Sie ihre Untersuchung starten können.

    Search von betroffenen Ressourcen

    Sie können ein Medienobjekt benennen, z. B. einen Benutzer, ein Gerät, ein Postfach, einen Anwendungsnamen oder eine Cloudressource, und alle Incidents im Zusammenhang mit diesem Medienobjekt finden.

    Angeben eines Zeitbereichs

    Die Standardliste der Incidents gilt für diejenigen, die in den letzten sechs Monaten aufgetreten sind. Sie können einen neuen Zeitbereich im Dropdownfeld neben dem Kalendersymbol angeben, indem Sie Folgendes auswählen:

    • Einen Tag
    • Drei Tage
    • Eine Woche
    • 30 Tage
    • 30 Tage
    • Sechs Monate
    • Ein benutzerdefinierter Bereich, in dem Sie sowohl Datumsangaben als auch Uhrzeiten angeben können.

    Nächste Schritte

    Nachdem Sie ermittelt haben, welcher Incident die höchste Priorität erfordert, wählen Sie ihn aus und:

    • Verwalten Sie die Eigenschaften des Incidents für Tags, Zuweisung, sofortige Lösung für falsch positive Vorfälle und Kommentare.
    • Beginnen Sie ihre Untersuchungen.

    Siehe auch

    Tipp

    Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.