Threat Intelligence-Berichte von Microsoft Defender für Cloud

Auf dieser Seite wird erläutert, wie Sie anhand von Threat Intelligence-Berichten von Microsoft Defender für Cloud mehr über eine Bedrohung erfahren, die eine Sicherheitswarnung ausgelöst hat.

Was ist ein Bericht mit Bedrohungsinformationen?

Im Rahmen des Bedrohungsschutzes von Defender für Cloud werden von Ihren Azure-Ressourcen, aus dem Netzwerk und von verbundenen Partnerlösungen stammende Sicherheitsinformationen überwacht. Diese Informationen, bei denen es sich häufig um korrelierende Informationen aus mehreren Quellen handelt, werden analysiert, um Bedrohungen zu identifizieren. Weitere Informationen finden Sie unter Erkennen von und Reagieren auf Bedrohungen mit Microsoft Defender für Cloud.

Wenn Defender für Cloud eine Bedrohung erkennt, wird eine Sicherheitswarnung mit ausführlichen Informationen zum betreffenden Ereignis sowie mit Vorschlägen zur Beseitigung ausgelöst. Um die für Incidents zuständigen Teams bei der Untersuchung und Beseitigung von Bedrohungen zu unterstützen, bietet Defender für Cloud Berichte mit detaillierten Informationen zu den erkannten Bedrohungen. Die Berichte umfassen folgende Informationen:

  • Identität oder Verbindungen des Angreifers (sofern verfügbar)
  • Ziele der Angreifer
  • Aktuelle und vergangene Angriffskampagnen (sofern verfügbar)
  • Taktiken, Tools und Verfahren der Angreifer
  • Zugehörige IoCs (Indicators of Compromise) wie URLs und Dateihashes
  • Viktimologie (also die betroffene Branche und die geografische Verbreitung), um zu ermitteln, ob Ihre Azure-Ressourcen gefährdet sind
  • Informationen zu Risikominderung und Beseitigung

Hinweis

Die Informationsmenge variiert von Bericht zu Bericht. Der Detailgrad hängt von der Aktivität und der Verbreitung der Schadsoftware ab.

Defender für Cloud bietet drei Arten von Bedrohungsberichten, die abhängig vom jeweiligen Angriff variieren können. Folgende Berichte stehen zur Verfügung:

  • Aktivitätsgruppenbericht: Enthält detaillierte Informationen zu Angreifern sowie zu ihren Zielen und Taktiken.
  • Kampagnenbericht: Konzentriert sich auf Details zu bestimmten Angriffskampagnen.
  • Zusammenfassender Bedrohungsbericht: Enthält alle Elemente der beiden vorherigen Berichte.

Diese Informationen sind hilfreich bei der Reaktion auf Incidents, um im Rahmen einer laufenden Untersuchung die Angriffsquelle, die Beweggründe des Angreifers und eine geeignete Vorgehensweise zur zukünftigen Vermeidung des Problems zu ermitteln.

Wie greife ich auf den Bericht mit Bedrohungsinformationen zu?

  1. Öffnen Sie im Menü von Defender für Cloud die Seite Sicherheitswarnungen.

  2. Wählen Sie eine Warnung aus.

    Eine Detailseite wird geöffnet und zeigt weitere Informationen zu der Warnung an. Im Folgenden sehen Sie die Detailseite zur Warnung Ransomware-Indikatoren erkannt.

    Detailseite zur Warnung „Ransomware-Indikatoren erkannt“

  3. Wählen Sie den Link zum Bericht aus. Damit wird in Ihrem Standardbrowser eine PDF-Datei geöffnet.

    Detailseite zur Warnung „Potenziell unsichere Aktion“

    Sie können den PDF-Bericht auch herunterladen.

    Tipp

    Der Informationsgehalt von Sicherheitswarnungen ist abhängig von der Art der jeweiligen Warnung.

Nächste Schritte

Auf dieser Seite wurde erläutert, wie Sie Berichte mit Bedrohungsinformationen öffnen, wenn Sie Sicherheitswarnungen untersuchen. Zugehörige Informationen finden Sie auf den folgenden Seiten: