Untersuchen von Warnungen in Microsoft 365 Defender

  • Artikel

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender bewerten und pilotieren können.

Gilt für:

  • Microsoft 365 Defender

Hinweis

In diesem Artikel werden Sicherheitswarnungen in Microsoft 365 Defender beschrieben. Sie können jedoch Aktivitätswarnungen verwenden, um E-Mail-Benachrichtigungen an sich selbst oder andere Administratoren zu senden, wenn Benutzer bestimmte Aktivitäten in Microsoft 365 ausführen. Weitere Informationen finden Sie unter Erstellen von Aktivitätswarnungen – Microsoft Purview | Microsoft-Dokumentation.

Warnungen sind die Grundlage aller Vorfälle und weisen auf das Auftreten bösartiger oder verdächtiger Ereignisse in Ihrer Umgebung hin. Warnungen sind in der Regel Teil eines umfassenderen Angriffs und bieten Hinweise zu einem Vorfall.

In Microsoft 365 Defender werden verwandte Warnungen zusammengefasst, um Vorfälle zu bilden. Incidents bieten immer den breiteren Kontext eines Angriffs. Die Analyse von Warnungen kann jedoch nützlich sein, wenn eine tiefergehende Analyse erforderlich ist.

Die Warnungswarteschlange zeigt den aktuellen Satz von Warnungen an. Sie gelangen zur Warnungswarteschlange über Incidentwarnungen > Warnungen & beim Schnellstart des Microsoft 365 Defender-Portals.

Abschnitt

Warnungen von verschiedenen Microsoft-Sicherheitslösungen wie Microsoft Defender for Endpoint, Microsoft Defender for Office 365 und Microsoft 365 Defender werden hier angezeigt.

Standardmäßig zeigt die Warnungswarteschlange im Microsoft 365 Defender-Portal die neuen und in Bearbeitung befindlichen Warnungen der letzten 30 Tage an. Die letzte Warnung befindet sich oben in der Liste, sodass Sie sie zuerst sehen können.

In der Standardwarnungswarteschlange können Sie Filter auswählen, um einen Filterbereich anzuzeigen, in dem Sie eine Teilmenge der Warnungen angeben können. Im Folgenden sehen Sie ein Beispiel.

Der Abschnitt Filter im Microsoft 365 Defender-Portal.

Sie können Warnungen nach diesen Kriterien filtern:

  • Severity
  • Status
  • Dienstquellen
  • Entitäten (die betroffenen Ressourcen)
  • Status der automatisierten Untersuchung

Erforderliche Rollen für Defender for Office 365 Warnungen

Sie benötigen eine der folgenden Rollen, um auf Microsoft Defender for Office 365 Warnungen zugreifen zu können:

  • Für globale Azure Active Directory-Rollen (Azure AD):

    • Globaler Administrator
    • Sicherheitsadministrator
    • Sicherheitsoperator
    • Globaler Leser
    • Sicherheitsleseberechtigter

  • Office 365 Sicherheit & Compliancerollengruppen

    • Complianceadministrator
    • Organisationsverwaltung

  • Eine benutzerdefinierte Rolle

Analysieren einer Warnung

Um die Hauptwarnungsseite anzuzeigen, wählen Sie den Namen der Warnung aus. Im Folgenden sehen Sie ein Beispiel.

Screenshot: Details einer Warnung im Microsoft 365 Defender-Portal

Sie können auch die Aktion Standard Warnungsseite öffnen im Bereich Warnung verwalten auswählen.

Eine Warnungsseite besteht aus den folgenden Abschnitten:

  • Warnungsverlauf: Dies ist die Kette von Ereignissen und Warnungen im Zusammenhang mit dieser Warnung in chronologischer Reihenfolge.
  • Zusammenfassungsdetails

Auf einer Warnungsseite können Sie die Auslassungspunkte (...) neben einer beliebigen Entität auswählen, um verfügbare Aktionen anzuzeigen, z. B. das Verknüpfen der Warnung mit einem anderen Incident. Die Liste der verfügbaren Aktionen hängt vom Typ der Warnung ab.

Warnungsquellen

Microsoft 365 Defender Warnungen können von Lösungen wie Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, das App-Governance-Add-On für Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection und Microsoft Data Loss Prevention. Möglicherweise werden Warnungen mit vorangestellten Zeichen in der Warnung angezeigt. Die folgende Tabelle enthält Anleitungen, die Ihnen helfen, die Zuordnung von Warnungsquellen basierend auf dem vorangestellten Zeichen für die Warnung zu verstehen.

Hinweis

  • Die vorangestellten GUIDs sind nur für einheitliche Umgebungen wie einheitliche Warnungswarteschlangen, einheitliche Warnungsseite, einheitliche Untersuchung und einheitlicher Vorfall spezifisch.
  • Das vorangestellte Zeichen ändert die GUID der Warnung nicht. Die einzige Änderung an der GUID ist die vorangestellte Komponente.
Warnungsquelle Vorangestelltes Zeichen
Microsoft 365 Defender ra
ta für ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender für Office 365 fa{GUID}
Beispiel: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender für Endpunkt da oder ed für benutzerdefinierte Erkennungswarnungen
Microsoft Defender for Identity aa{GUID}
Beispiel: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Beispiel: ca123a456b-c789-1d2e-12f1g33h445h6i
Azure Active Directory (AAD) Identity Protection ad
App-Governance ma
Microsoft Data Loss Prevention dl

Konfigurieren des AAD-IP-Warnungsdiensts

  1. Wechseln Sie zum Microsoft 365 Defender-Portal (security.microsoft.com), und wählen Sie Einstellungen>Microsoft 365 Defender aus.

  2. Wählen Sie in der Liste Warnungsdiensteinstellungen aus, und konfigurieren Sie dann Ihren Azure AD Identity Protection-Warnungsdienst .

    Screenshot der Azure AD Identity Protection-Warnungseinstellung im Microsoft 365 Defender-Portal.

Standardmäßig sind nur die relevantesten Warnungen für das Security Operation Center aktiviert. Wenn Sie alle AAD-IP-Risikoerkennungen abrufen möchten, können Sie dies im Abschnitt Warnungsdiensteinstellungen ändern.

Sie können auch direkt über die Seite Incidents im Microsoft 365 Defender Portal auf Die Einstellungen des Warnungsdiensts zugreifen.

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Analysieren betroffener Ressourcen

Der Abschnitt Durchgeführte Aktionen enthält eine Liste der betroffenen Ressourcen, z. B. Postfächer, Geräte und Benutzer, die von dieser Warnung betroffen sind.

Sie können auch In Info-Center anzeigen auswählen, um die Registerkarte Verlauf des Info-Center im Microsoft 365 Defender-Portal anzuzeigen.

Nachverfolgen der Rolle einer Warnung im Warnungsverlauf

Im Warnungsverlauf werden alle Ressourcen oder Entitäten im Zusammenhang mit der Warnung in einer Prozessstrukturansicht angezeigt. Die Warnung im Titel befindet sich im Fokus, wenn Sie zum ersten Mal auf die Seite der ausgewählten Warnung gelangen. Ressourcen im Warnungsabschnitt können erweitert und geklickt werden. Sie stellen zusätzliche Informationen bereit und beschleunigen Ihre Reaktion, indem sie es Ihnen ermöglichen, direkt im Kontext der Warnungsseite Maßnahmen zu ergreifen.

Hinweis

Der Abschnitt "Warnungsverlauf" kann mehrere Warnungen enthalten, wobei zusätzliche Warnungen im Zusammenhang mit derselben Ausführungsstruktur vor oder nach der ausgewählten Warnung angezeigt werden.

Weitere Warnungsinformationen auf der Detailseite anzeigen

Auf der Detailseite werden die Details der ausgewählten Warnung mit details und aktionen angezeigt. Wenn Sie eine der betroffenen Ressourcen oder Entitäten im Warnungsverlauf auswählen, ändert sich die Detailseite, um kontextbezogene Informationen und Aktionen für das ausgewählte Objekt bereitzustellen.

Nachdem Sie eine interessante Entität ausgewählt haben, wird die Detailseite geändert, um Informationen zum ausgewählten Entitätstyp, Verlaufsinformationen, sofern verfügbar, und Optionen zum Ausführen von Aktionen für diese Entität direkt auf der Warnungsseite anzuzeigen.

Verwalten von Warnungen

Wählen Sie zum Verwalten einer Warnung im Abschnitt "Zusammenfassungsdetails" der Warnungsseite Warnung verwalten aus. Für eine einzelne Warnung finden Sie hier ein Beispiel für den Bereich Warnung verwalten.

Screenshot des Abschnitts

Im Bereich Warnung verwalten können Sie Folgendes anzeigen oder angeben:

  • Der Warnungsstatus (Neu, Behoben, In Bearbeitung).
  • Das Benutzerkonto, dem die Warnung zugewiesen wurde.
  • Die Klassifizierung der Warnung:
    • Nicht festgelegt (Standard).
    • Richtig positiv mit einer Art von Bedrohung. Verwenden Sie diese Klassifizierung für Warnungen, die genau auf eine echte Bedrohung hinweisen. Wenn Sie diesen Bedrohungstyp angeben, sieht Ihr Sicherheitsteam Bedrohungsmuster und schützt Ihre organization vor diesen.
    • Information, erwartete Aktivität mit einem Aktivitätstyp. Verwenden Sie diese Option für Warnungen, die technisch genau sind, aber normales Verhalten oder simulierte Bedrohungsaktivitäten darstellen. Sie möchten diese Warnungen im Allgemeinen ignorieren, erwarten sie jedoch für ähnliche Aktivitäten in der Zukunft, bei denen die Aktivitäten von tatsächlichen Angreifern oder Schadsoftware ausgelöst werden. Verwenden Sie die Optionen in dieser Kategorie, um Warnungen für Sicherheitstests, rote Teamaktivitäten und erwartetes ungewöhnliches Verhalten von vertrauenswürdigen Apps und Benutzern zu klassifizieren.
    • Falsch positiv für Typen von Warnungen, die auch dann erstellt wurden, wenn keine schädliche Aktivität vorhanden ist, oder für einen falschen Alarm. Verwenden Sie die Optionen in dieser Kategorie, um Warnungen, die versehentlich als normale Ereignisse oder Aktivitäten identifiziert werden, als böswillig oder verdächtig zu klassifizieren. Im Gegensatz zu Warnungen für "Informationelle, erwartete Aktivität", die auch nützlich sein können, um echte Bedrohungen abzufangen, möchten Sie diese Warnungen in der Regel nicht erneut sehen. Das Klassifizieren von Warnungen als falsch positiv hilft Microsoft 365 Defender, seine Erkennungsqualität zu verbessern.
  • Ein Kommentar zur Warnung.

Hinweis

Ab dem 29. August 2022 sind die zuvor unterstützten Warnungsermittlungswerte ("Apt" und "SecurityPersonnel") veraltet und nicht mehr über die API verfügbar.

Hinweis

Eine Möglichkeit, Warnungen mithilfe von Tags zu verwalten. Die Taggingfunktion für Microsoft Defender for Office 365 wird inkrementell eingeführt und befindet sich derzeit in der Vorschauphase.

Derzeit werden geänderte Tagnamen nur auf Warnungen angewendet, die nach dem Update erstellt wurden. Warnungen, die vor der Änderung generiert wurden, spiegeln nicht den aktualisierten Tagnamen wider.

Um eine Gruppe von Warnungen ähnlich einer bestimmten Warnung zu verwalten, wählen Sie ähnliche Warnungen im Feld INSIGHT im Abschnitt zusammenfassungsdetails der Warnungsseite anzeigen aus.

Screenshot: Auswählen einer Warnung im Microsoft 365 Defender-Portal

Im Bereich Warnungen verwalten können Sie dann alle zugehörigen Warnungen gleichzeitig klassifizieren. Im Folgenden sehen Sie ein Beispiel.

Screenshot: Verwalten verwandter Warnungen im Microsoft 365 Defender-Portal

Wenn ähnliche Warnungen bereits in der Vergangenheit klassifiziert wurden, können Sie Zeit sparen, indem Sie Microsoft 365 Defender-Empfehlungen verwenden, um zu erfahren, wie die anderen Warnungen behoben wurden. Wählen Sie im Abschnitt mit den Zusammenfassungsdetails Empfehlungen aus.

Screenshot eines Beispiels für die Auswahl von Empfehlungen für eine Warnung

Die Registerkarte Empfehlungen enthält Aktionen und Ratschläge für die Untersuchung, Korrektur und Verhinderung in den nächsten Schritten. Im Folgenden sehen Sie ein Beispiel.

Screenshot eines Beispiels für Warnungsempfehlungen

Optimieren einer Warnung

Als SOC-Analyst (Security Operations Center) ist eines der wichtigsten Probleme die Schiere Anzahl von Warnungen, die täglich ausgelöst werden. Die Zeit eines Analysten ist wertvoll, da er sich nur auf Warnungen mit hohem Schweregrad und hoher Priorität konzentrieren möchte. In der Zwischenzeit müssen Analysten auch Warnungen mit niedrigerer Priorität selektieren und auflösen, was in der Regel ein manueller Prozess ist.

Die Warnungsoptimierung bietet die Möglichkeit, Warnungen im Voraus zu optimieren und zu verwalten. Dies optimiert die Warnungswarteschlange und spart Selektierungszeit, indem Warnungen automatisch ausgeblendet oder aufgelöst werden, jedes Mal, wenn ein bestimmtes erwartetes Organisationsverhalten auftritt und Die Regelbedingungen erfüllt sind.

Sie können Regelbedingungen basierend auf "Beweistypen" erstellen, z. B. Dateien, Prozesse, geplante Aufgaben und viele andere Beweistypen, die die Warnung auslösen. Nach dem Erstellen der Regel können Sie die Regel auf die ausgewählte Warnung oder einen beliebigen Warnungstyp anwenden, der die Regelbedingungen erfüllt, um die Warnung zu optimieren.

Darüber hinaus deckt das Feature auch Warnungen aus verschiedenen Microsoft 365 Defender Dienstquellen ab. Das Feature zur Warnungsoptimierung in der öffentlichen Vorschauversion erhält Warnungen von Workloads wie Defender für Endpunkt, Defender for Office 365, Defender for Identity, Defender for Cloud Apps, Azure Active Directory Identity Protection (AAD IP) und anderen, wenn diese Quellen auf Ihrer Plattform und Ihrem Plan verfügbar sind. Bisher hat die Warnungsoptimierungsfunktion nur Warnungen aus der Defender für Endpunkt-Workload erfasst.

Hinweis

Es wird empfohlen, die Warnungsoptimierung, früher als Warnungsunterdrückung bezeichnet, mit Vorsicht zu verwenden. In bestimmten Situationen lösen eine bekannte interne Geschäftsanwendung oder Sicherheitstests eine erwartete Aktivität aus, und Sie möchten diese Warnungen nicht sehen. Sie können also eine Regel erstellen, um diese Warnungstypen zu optimieren.

Erstellen von Regelbedingungen zum Optimieren von Warnungen

Es gibt zwei Möglichkeiten, eine Warnung in Microsoft 365 Defender zu optimieren. So optimieren Sie eine Warnung auf der Seite Einstellungen :

  1. Wechseln Sie zu "Einstellungen". Wechseln Sie im linken Bereich zu Regeln , und wählen Sie Warnungsoptimierung aus.

    Screenshot der Option

    Wählen Sie Neue Regel hinzufügen aus, um eine neue Warnung zu optimieren. Sie können auch eine vorhandene Regel in dieser Ansicht bearbeiten, indem Sie eine Regel aus der Liste auswählen.

    Screenshot: Hinzufügen neuer Regeln auf der Seite

  2. Im Bereich Warnung optimieren können Sie im Dropdownmenü unter Dienstquellen Dienstquellen auswählen, für die die Regel gilt.

    Screenshot des Dropdownmenüs

    Hinweis

    Es werden nur Dienste angezeigt, für die der Benutzer über die Berechtigung verfügt.

  3. Fügen Sie Gefährdungsindikatoren (IOCs) hinzu, die die Warnung im Abschnitt IOCs auslösen. Sie können eine Bedingung hinzufügen, um die Warnung zu beenden, wenn sie von einem bestimmten IOC oder einem beliebigen in der Warnung hinzugefügten IOC ausgelöst wird.

    IOCs sind Indikatoren wie Dateien, Prozesse, geplante Aufgaben und andere Beweistypen, die die Warnung auslösen.

    Screenshot des IOC-Menüs auf der Seite

    Um mehrere Regelbedingungen festzulegen, verwenden Sie AND, OR und Gruppierungsoptionen, um eine Beziehung zwischen diesen verschiedenen "Beweistypen" aufzubauen, die die Warnung auslösen.

    1. Wählen Sie z. B. die auslösende Nachweis-Entitätsrolle: Trigger, gleich und alle aus, um die Warnung zu beenden, wenn sie von einem in der Warnung hinzugefügten IOC ausgelöst wird. Alle Eigenschaften dieses "Beweises" werden automatisch als neue Untergruppe in den entsprechenden Feldern unten aufgefüllt.

    Hinweis

    Bei Bedingungswerten wird die Groß-/Kleinschreibung nicht beachtet.

    1. Sie können die Eigenschaften dieses "Nachweises" je nach Ihren Anforderungen bearbeiten und/oder löschen (sofern unterstützt mithilfe von Wildcards).

    2. Abgesehen von Dateien und Prozessen sind das AMSI-Skript (AntiMalware Scan Interface), das WMI-Ereignis (Windows Management Instrumentation) und geplante Aufgaben einige der neu hinzugefügten Beweistypen, die Sie in der Dropdownliste Beweistypen auswählen können.

    3. Um ein weiteres IOC hinzuzufügen, klicken Sie auf Filter hinzufügen.

    Hinweis

    Das Hinzufügen von mindestens einem IOC zur Regelbedingung ist erforderlich, um jeden Warnungstyp zu optimieren.

  4. Führen Sie im Abschnitt Aktion die entsprechende Aktion entweder Warnung ausblenden oder Warnung auflösen aus.

    Geben Sie Name und Beschreibung ein, und klicken Sie auf Speichern.

    Hinweis

    Der Warnungstitel (Name) basiert auf dem Warnungstyp (IoaDefinitionId), der den Warnungstitel bestimmt. Zwei Warnungen, die denselben Warnungstyp aufweisen, können in einen anderen Warnungstitel geändert werden.

    Screenshot des Menüs

So optimieren Sie eine Warnung auf der Seite Warnungen :

  1. Wählen Sie auf der Seite Warnungen unter Vorfälle und Warnungen eine Warnung aus. Alternativ können Sie beim Überprüfen von Incidentdetails auf der Seite Incident eine Warnung auswählen.

    Sie können eine Warnung über den Bereich Warnung optimieren optimieren, der auf der rechten Seite der Warnungsdetails automatisch geöffnet wird.

    Screenshot: Optimieren eines Warnungsbereichs auf einer Warnungsseite

  2. Wählen Sie im Abschnitt Warnungstypen die Bedingungen aus, unter denen die Warnung gilt. Wählen Sie Nur diesen Warnungstyp aus, um die Regel auf die ausgewählte Warnung anzuwenden.

    Um die Regel jedoch auf jeden Warnungstyp anzuwenden, der die Regelbedingungen erfüllt, wählen Sie Jeder Warnungstyp basierend auf IOC-Bedingungen aus.

    Screenshot: Optimieren eines Warnungsbereichs mit hervorgehobenem Abschnitt

  3. Das Ausfüllen des Abschnitts Bereich ist erforderlich, wenn die Warnungsoptimierung Defender für Endpunkt-spezifisch ist. Wählen Sie aus, ob die Regel für alle Geräte im organization oder für ein bestimmtes Gerät gilt.

    Hinweis

    Das Anwenden der Regel auf alle organization erfordert eine Administratorrollenberechtigung.

    Screenshot: Optimieren eines Warnungsbereichs mit hervorgehobenem Abschnitt

  4. Fügen Sie bedingungen im Abschnitt Bedingungen hinzu, um die Warnung zu beenden, wenn sie von einem bestimmten IOC oder einem in der Warnung hinzugefügten IOC ausgelöst wird. In diesem Abschnitt können Sie ein bestimmtes Gerät, mehrere Geräte, Gerätegruppen, die gesamte organization oder nach Benutzer auswählen.

    Hinweis

    Sie müssen über Admin Berechtigung verfügen, wenn der Bereich nur für Benutzer festgelegt ist. Admin Berechtigung ist nicht erforderlich, wenn der Bereich für Benutzer zusammen mit Gerät, Gerätegruppen festgelegt ist.

    Screenshot: Optimieren eines Warnungsbereichs mit hervorgehobenem Abschnitt

  5. Fügen Sie ioCs hinzu, in denen die Regel im Abschnitt IOCs gilt. Sie können Beliebiges IOC auswählen, um die Warnung zu beenden, unabhängig davon, welche "Beweise" die Warnung verursacht haben.

    Screenshot: Optimieren eines Warnungsbereichs mit hervorgehobenem Abschnitt

  6. Alternativ können Sie im Abschnitt IOCs die Option Alle warnungsbezogenen 7 bezogenen IOCs automatisch ausfüllen auswählen, um alle warnungsbezogenen Beweistypen und ihre Eigenschaften gleichzeitig im Abschnitt Bedingungen hinzuzufügen.

    Screenshot: Automatisches Ausfüllen aller warnungsbezogenen IOCs

  7. Führen Sie im Abschnitt Aktion die entsprechende Aktion entweder Warnung ausblenden oder Warnung auflösen aus.

    Geben Sie Name und Kommentar ein, und klicken Sie auf Speichern.

    Screenshot des Abschnitts

  8. Verhindern, dass die IOCs in Zukunft blockiert werden:

    Nachdem Sie die Warnungsoptimierungsregel gespeichert haben, können Sie auf der angezeigten Seite Erfolgreiche Regelerstellung die ausgewählten IOCs als Indikatoren zur "Zulassungsliste" hinzufügen und verhindern, dass sie in Zukunft blockiert werden.

    Alle warnungsbezogenen IOCs werden in der Liste angezeigt.

    IOps, die in den Unterdrückungsbedingungen ausgewählt wurden, werden standardmäßig ausgewählt.

    1. Sie können z. B. Dateien hinzufügen, die dem zuzulassenden IOC (Select evidence) zulässig sind. Standardmäßig ist die Datei ausgewählt, die die Warnung ausgelöst hat.
    2. Geben Sie den Bereich für den Bereich für den Bereich auswählen ein, auf den angewendet werden soll. Standardmäßig ist der Bereich für die zugehörige Warnung ausgewählt.
    3. Klicken Sie auf Speichern. Jetzt ist die Datei nicht blockiert, da sie in der Zulassungsliste enthalten ist.

  9. Die neue Warnungsoptimierungsfunktion ist standardmäßig verfügbar.

    Sie können jedoch zurück zur vorherigen Benutzeroberfläche in Microsoft 365 Defender Portal wechseln, indem Sie zu Einstellungen > Microsoft 365 Defender > Warnungsoptimierung >navigieren und dann die Umschaltfläche Neue Optimierungsregeln erstellung aktiviert deaktivieren.

    Hinweis

    In Kürze wird nur die neue Benutzeroberfläche für die Warnungsoptimierung verfügbar sein. Sie können nicht zur vorherigen Erfahrung zurückkehren.

  10. Vorhandene Regeln bearbeiten:

    Sie können im Microsoft 365 Defender Portal jederzeit Regelbedingungen und den Bereich neuer oder vorhandener Regeln hinzufügen oder ändern, indem Sie die entsprechende Regel auswählen und auf Regel bearbeiten klicken.

    Um vorhandene Regeln zu bearbeiten, stellen Sie sicher, dass die Umschaltfläche Neue Warnungsoptimierungsregeln erstellung aktiviert ist.

Beheben einer Warnung

Sobald Sie mit der Analyse einer Warnung fertig sind und diese behoben werden kann, wechseln Sie zum Bereich Warnung verwalten für die Warnung oder ähnliche Warnungen, und markieren Sie die status als Gelöst, und klassifizieren Sie sie dann als Richtig positiv mit einem Bedrohungstyp, einer informationellen, erwarteten Aktivität mit einem Aktivitätstyp oder falsch positiv.

Das Klassifizieren von Warnungen hilft Microsoft 365 Defender, seine Erkennungsqualität zu verbessern.

Verwenden von Power Automate zum Selektieren von Warnungen

Moderne Security Operations-Teams (SecOps) benötigen Automatisierung, um effektiv zu arbeiten. Um sich auf die Suche und Untersuchung realer Bedrohungen zu konzentrieren, verwenden SecOps-Teams Power Automate, um die Liste der Warnungen zu selektieren und diejenigen zu beseitigen, die keine Bedrohungen sind.

Kriterien für das Auflösen von Warnungen

  • Die Abwesenheitsnachricht des Benutzers ist aktiviert.
  • Der Benutzer ist nicht als hohes Risiko gekennzeichnet.

Wenn beides true ist, markiert SecOps die Warnung als legitime Reise und löst sie auf. Eine Benachrichtigung wird in Microsoft Teams gepostet, nachdem die Warnung behoben wurde.

Verbinden von Power Automate mit Microsoft Defender for Cloud Apps

Um die Automatisierung zu erstellen, benötigen Sie ein API-Token, bevor Sie Power Automate mit Microsoft Defender for Cloud Apps verbinden können.

  1. Klicken Sie auf Einstellungen, wählen Sie Sicherheitserweiterungen aus, und klicken Sie dann auf der Registerkarte API-Token auf Token hinzufügen.

  2. Geben Sie einen Namen für Ihr Token an, und klicken Sie dann auf Generieren. Speichern Sie das Token, da Sie es später benötigen.

Erstellen eines automatisierten Flows

Sehen Sie sich dieses kurze Video an, um zu erfahren, wie Die Automatisierung effizient funktioniert, um einen reibungslosen Workflow zu schaffen, und wie Sie Power Automate mit Defender für Cloud-Apps verbinden.

Nächste Schritte

Setzen Sie ihre Untersuchung bei Bedarf für In-Process-Vorfälle fort.

Siehe auch