Wartungsaktionen in Microsoft Defender XDR
Gilt für:
- Microsoft Defender XDR
Während und nach einer automatisierten Untersuchung in Microsoft Defender XDR werden Korrekturaktionen für schädliche oder verdächtige Elemente identifiziert. Einige Arten von Korrekturaktionen werden auf Geräten ausgeführt, die auch als Endpunkte bezeichnet werden. Weitere Korrekturmaßnahmen werden für Identitäten, Konten und E-Mail-Inhalte ausgeführt. Automatisierte Untersuchungen werden abgeschlossen, nachdem Korrekturmaßnahmen durchgeführt, genehmigt oder abgelehnt wurden.
Wichtig
Ob Korrekturmaßnahmen automatisch oder nur nach Genehmigung ausgeführt werden, hängt von bestimmten Einstellungen ab, z. B. Automatisierungsebenen. Weitere Informationen finden Sie in den folgenden Artikeln:
In der folgenden Tabelle sind die Wartungsaktionen zusammengefasst, die derzeit in Microsoft Defender XDR unterstützt werden.
| Wartungsaktionen für Geräte (Endpunkt) | Wartungsaktionen für E-Mails | Benutzer (Konten) |
|---|---|---|
| – Untersuchungspaket sammeln – Isolieren des Geräts (diese Aktion kann rückgängig werden) - Offboardcomputer - Releasecodeausführung - Aus Quarantäne entlassen - Anforderungsbeispiel - Einschränken der Codeausführung (diese Aktion kann rückgängig werden) - Antivirusscan ausführen - Beenden und isolieren – Geräte aus dem Netzwerk enthalten |
– Url blockieren (Zeitpunkt des Klickens) – Vorläufiges Löschen von E-Mail-Nachrichten oder -Clustern - E-Mail unter Quarantäne stellen – Quarantäne einer E-Mail-Anlage – Deaktivieren der externen E-Mail-Weiterleitung |
– Benutzer deaktivieren – Zurücksetzen des Benutzerkennworts – Benutzer als kompromittiert bestätigen |
Wartungsaktionen, unabhängig davon, ob die Genehmigung aussteht oder bereits abgeschlossen ist, können im Info-Center angezeigt werden.
Korrekturaktionen, die automatisierten Untersuchungen folgen
Nach Abschluss einer automatisierten Untersuchung wird für jeden beteiligten Beweis ein Urteil getroffen. Je nach Bewertung werden Korrekturmaßnahmen identifiziert. In einigen Fällen werden Korrekturaktionen automatisch ausgeführt. In anderen Fällen müssen Korrekturaktionen genehmigt werden. Alles hängt davon ab, wie die automatisierte Untersuchung und Reaktion konfiguriert ist.
In der folgenden Tabelle sind mögliche Urteile und Ergebnisse aufgelistet:
| Erkenntnis | Betroffene Entitäten | Ergebnisse |
|---|---|---|
| Bösartig | Geräte (Endpunkte) | Korrekturaktionen werden automatisch ausgeführt (vorausgesetzt, dass die Gerätegruppen Ihres organization auf Vollständig festgelegt sind – Bedrohungen automatisch beheben). |
| Gefährdet | Benutzer | Korrekturaktionen werden automatisch ausgeführt. |
| Bösartig | E-Mail-Inhalt (URLs oder Anlagen) | Empfohlene Korrekturaktionen müssen genehmigt werden. |
| Verdächtig | Geräte oder E-Mail-Inhalte | Empfohlene Korrekturaktionen müssen genehmigt werden. |
| Keine Bedrohungen gefunden | Geräte oder E-Mail-Inhalte | Es sind keine Korrekturaktionen erforderlich. |
Manuell ausgeführte Korrekturmaßnahmen
Zusätzlich zu Wartungsaktionen, die automatisierten Untersuchungen folgen, kann Ihr Sicherheitsbetriebsteam bestimmte Korrekturmaßnahmen manuell durchführen. Hierzu gehören:
- Manuelle Geräteaktion, z. B. Geräteisolation oder Dateiquarantäne
- Manuelle E-Mail-Aktion, z. B. vorläufiges Löschen von E-Mail-Nachrichten
- Manuelle Benutzeraktion, z. B. Deaktivieren des Benutzers oder Zurücksetzen des Benutzerkennworts
- Erweiterte Suchaktion auf Geräten, Benutzern oder E-Mails
- Explorer Aktion für E-Mail-Inhalte, z. B. Verschieben von E-Mails in Junk-E-Mails, vorläufiges Löschen von E-Mails oder das endgültige Löschen von E-Mails
- Manuelle Liveantwortaktion , z. B. Löschen einer Datei, Beenden eines Prozesses und Entfernen einer geplanten Aufgabe
- Liveantwortaktion mit Microsoft Defender for Endpoint-APIs, z. B. Isolieren eines Geräts, Ausführen einer Antivirenüberprüfung und Abrufen von Informationen zu einer Datei
Nächste Schritte
- Aufrufen des Aktionszentrums
- Anzeigen und Genehmigen von Korrekturaktionen
- Behandeln falsch positiver oder falsch negativer Ergebnisse
- Geräte aus dem Netzwerk einschließen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für