Untersuchen von Warnungen in Microsoft Defender XDR

Gilt für:

• Microsoft Defender XDR

Hinweis

In diesem Artikel werden Sicherheitswarnungen in Microsoft Defender XDR beschrieben. Sie können jedoch Aktivitätswarnungen verwenden, um E-Mail-Benachrichtigungen an sich selbst oder andere Administratoren zu senden, wenn Benutzer bestimmte Aktivitäten in Microsoft 365 ausführen. Weitere Informationen finden Sie unter Erstellen von Aktivitätswarnungen – Microsoft Purview | Microsoft-Dokumentation.

Warnungen sind die Grundlage aller Vorfälle und weisen auf das Auftreten bösartiger oder verdächtiger Ereignisse in Ihrer Umgebung hin. Warnungen sind in der Regel Teil eines umfassenderen Angriffs und bieten Hinweise zu einem Vorfall.

In Microsoft Defender XDR werden verwandte Warnungen zu Incidents zusammengefasst. Incidents bieten immer den breiteren Kontext eines Angriffs. Die Analyse von Warnungen kann jedoch nützlich sein, wenn eine tiefergehende Analyse erforderlich ist.

Die Warnungswarteschlange zeigt den aktuellen Satz von Warnungen an. Sie gelangen zur Warnungswarteschlange von Incidents & Warnungen Warnungen > beim Schnellstart des Microsoft Defender-Portals.

Warnungen von verschiedenen Microsoft-Sicherheitslösungen wie Microsoft Defender für Endpunkt, Defender für Office 365, Microsoft Sentinel, Defender für Cloud, Defender for Identity, Defender for Cloud Apps, Defender XDR, App Governance, Microsoft Entra ID Protection und Microsoft Data Loss Prevention werden hier angezeigt.

Standardmäßig werden in der Warnungswarteschlange im Microsoft Defender-Portal die neuen und in Bearbeitung befindlichen Warnungen der letzten 30 Tage angezeigt. Die letzte Warnung befindet sich oben in der Liste, sodass Sie sie zuerst sehen können.

In der Standardwarnungswarteschlange können Sie Filter auswählen, um einen Filterbereich anzuzeigen, in dem Sie eine Teilmenge der Warnungen angeben können. Im Folgenden sehen Sie ein Beispiel.

Sie können Warnungen nach diesen Kriterien filtern:

• Severity
• Status
• Kategorien
• Dienst-/Erkennungsquellen
• Tags
• Richtlinie
• Entitäten (die betroffenen Ressourcen)
• Status der automatisierten Untersuchung
• Warnungsabonnement-IDs

Erforderliche Rollen für Defender für Office 365-Warnungen

Sie benötigen eine der folgenden Rollen, um auf Microsoft Defender für Office 365-Warnungen zugreifen zu können:

• Für globale Microsoft Entra-Rollen:

  • Globaler Administrator
  • Sicherheitsadministrator
  • Sicherheitsoperator
  • Globaler Leser
  • Sicherheitsleseberechtigter

• Office 365 Security & Compliance-Rollengruppen

  • Complianceadministrator
  • Organisationsverwaltung

• Eine benutzerdefinierte Rolle

Analysieren einer Warnung

Um die Hauptwarnungsseite anzuzeigen, wählen Sie den Namen der Warnung aus. Im Folgenden sehen Sie ein Beispiel.

Sie können auch die Aktion Hauptwarnungsseite öffnen im Bereich Warnung verwalten auswählen.

Eine Warnungsseite besteht aus den folgenden Abschnitten:

• Warnungsverlauf: Dies ist die Kette von Ereignissen und Warnungen im Zusammenhang mit dieser Warnung in chronologischer Reihenfolge.
• Zusammenfassungsdetails

Auf einer Warnungsseite können Sie die Auslassungspunkte (...) neben einer beliebigen Entität auswählen, um verfügbare Aktionen anzuzeigen, z. B. das Verknüpfen der Warnung mit einem anderen Incident. Die Liste der verfügbaren Aktionen hängt vom Typ der Warnung ab.

Warnungsquellen

Microsoft Defender XDR-Warnungen stammen von Lösungen wie Microsoft Defender für Endpunkt, Defender für Office 365, Defender for Identity, Defender for Cloud Apps, dem App-Governance-Add-On für Microsoft Defender für Cloud-Apps, Microsoft Entra ID Protection und Microsoft Data Loss Prevention. Möglicherweise bemerken Sie Warnungen mit vorangestellten Zeichen in der Warnung. Die folgende Tabelle enthält Anleitungen, die Ihnen helfen, die Zuordnung von Warnungsquellen basierend auf dem vorangestellten Zeichen für die Warnung zu verstehen.

Hinweis

• Die vorangestellten GUIDs sind nur für einheitliche Umgebungen wie einheitliche Warnungswarteschlangen, einheitliche Warnungsseite, einheitliche Untersuchung und einheitlicher Vorfall spezifisch.
• Das vorangestellte Zeichen ändert die GUID der Warnung nicht. Die einzige Änderung an der GUID ist die vorangestellte Komponente.

Warnungsquelle	Vorangestelltes Zeichen
Microsoft Defender XDR	ra ta für ThreatExperts ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender für Office 365	fa{GUID} Beispiel: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender für Endpunkt	da oder ed für benutzerdefinierte Erkennungswarnungen
Microsoft Defender for Identity	aa{GUID} Beispiel: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps	ca{GUID} Beispiel: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID Protection	ad
App-Governance	ma
Microsoft Data Loss Prevention	dl
Microsoft Defender für Cloud	dc

Konfigurieren des Microsoft Entra IP-Warnungsdiensts

1. Wechseln Sie zum Microsoft Defender-Portal (security.microsoft.com), und wählen Sie Einstellungen>Microsoft Defender XDR aus.

2. Wählen Sie in der Liste Warnungsdiensteinstellungen aus, und konfigurieren Sie dann Ihren Microsoft Entra ID Protection-Warnungsdienst .

   

Standardmäßig sind nur die relevantesten Warnungen für das Security Operation Center aktiviert. Wenn Sie alle Microsoft Entra IP-Risikoerkennungen abrufen möchten, können Sie dies im Abschnitt Warnungsdiensteinstellungen ändern.

Sie können auch direkt auf die Einstellungen des Warnungsdiensts über die Seite Incidents im Microsoft Defender-Portal zugreifen.

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Analysieren betroffener Ressourcen

Der Abschnitt Durchgeführte Aktionen enthält eine Liste der betroffenen Ressourcen, z. B. Postfächer, Geräte und Benutzer, die von dieser Warnung betroffen sind.

Sie können auch Im Info-Center anzeigen auswählen, um die Registerkarte Verlauf des Info-Centers im Microsoft Defender-Portal anzuzeigen.

Nachverfolgen der Rolle einer Warnung im Warnungsverlauf

Im Warnungsverlauf werden alle Ressourcen oder Entitäten im Zusammenhang mit der Warnung in einer Prozessstrukturansicht angezeigt. Die Warnung im Titel befindet sich im Fokus, wenn Sie zum ersten Mal auf die Seite der ausgewählten Warnung gelangen. Ressourcen im Warnungsabschnitt können erweitert und geklickt werden. Sie stellen zusätzliche Informationen bereit und beschleunigen Ihre Reaktion, indem sie es Ihnen ermöglichen, direkt im Kontext der Warnungsseite Maßnahmen zu ergreifen.

Hinweis

Der Abschnitt "Warnungsverlauf" kann mehrere Warnungen enthalten, wobei zusätzliche Warnungen im Zusammenhang mit derselben Ausführungsstruktur vor oder nach der ausgewählten Warnung angezeigt werden.

Weitere Warnungsinformationen auf der Detailseite anzeigen

Auf der Detailseite werden die Details der ausgewählten Warnung mit details und aktionen angezeigt. Wenn Sie eine der betroffenen Ressourcen oder Entitäten im Warnungsverlauf auswählen, ändert sich die Detailseite, um kontextbezogene Informationen und Aktionen für das ausgewählte Objekt bereitzustellen.

Nachdem Sie eine interessante Entität ausgewählt haben, wird die Detailseite geändert, um Informationen zum ausgewählten Entitätstyp, Verlaufsinformationen, sofern verfügbar, und Optionen zum Ausführen von Aktionen für diese Entität direkt auf der Warnungsseite anzuzeigen.

Verwalten von Warnungen

Wählen Sie zum Verwalten einer Warnung im Abschnitt "Zusammenfassungsdetails" der Warnungsseite Warnung verwalten aus. Für eine einzelne Warnung finden Sie hier ein Beispiel für den Bereich Warnung verwalten.

Im Bereich Warnung verwalten können Sie Folgendes anzeigen oder angeben:

• Der Warnungsstatus (Neu, Behoben, In Bearbeitung).
• Das Benutzerkonto, dem die Warnung zugewiesen wurde.
• Die Klassifizierung der Warnung:
  • Nicht festgelegt (Standard).
  • Richtig positiv mit einer Art von Bedrohung. Verwenden Sie diese Klassifizierung für Warnungen, die genau auf eine echte Bedrohung hinweisen. Wenn Sie diesen Bedrohungstyp angeben, sieht Ihr Sicherheitsteam Bedrohungsmuster und schützt Ihre Organisation vor diesen.
  • Information, erwartete Aktivität mit einem Aktivitätstyp. Verwenden Sie diese Option für Warnungen, die technisch genau sind, aber normales Verhalten oder simulierte Bedrohungsaktivitäten darstellen. Sie möchten diese Warnungen im Allgemeinen ignorieren, erwarten sie jedoch für ähnliche Aktivitäten in der Zukunft, bei denen die Aktivitäten von tatsächlichen Angreifern oder Schadsoftware ausgelöst werden. Verwenden Sie die Optionen in dieser Kategorie, um Warnungen für Sicherheitstests, rote Teamaktivitäten und erwartetes ungewöhnliches Verhalten von vertrauenswürdigen Apps und Benutzern zu klassifizieren.
  • Falsch positiv für Typen von Warnungen, die auch dann erstellt wurden, wenn keine schädliche Aktivität vorhanden ist, oder für einen falschen Alarm. Verwenden Sie die Optionen in dieser Kategorie, um Warnungen, die versehentlich als normale Ereignisse oder Aktivitäten identifiziert werden, als böswillig oder verdächtig zu klassifizieren. Im Gegensatz zu Warnungen für "Informationelle, erwartete Aktivität", die auch nützlich sein können, um echte Bedrohungen abzufangen, möchten Sie diese Warnungen in der Regel nicht erneut sehen. Das Klassifizieren von Warnungen als falsch positiv hilft Microsoft Defender XDR, die Erkennungsqualität zu verbessern.
• Ein Kommentar zur Warnung.

Hinweis

Ab dem 29. August 2022 sind die zuvor unterstützten Warnungsermittlungswerte ("Apt" und "SecurityPersonnel") veraltet und nicht mehr über die API verfügbar.

Hinweis

Eine Möglichkeit, Warnungen mithilfe von Tags zu verwalten. Die Taggingfunktion für Microsoft Defender für Office 365 wird inkrementell eingeführt und befindet sich derzeit in der Vorschauphase.

Derzeit werden geänderte Tagnamen nur auf Warnungen angewendet, die nach dem Update erstellt wurden. Warnungen, die vor der Änderung generiert wurden, spiegeln nicht den aktualisierten Tagnamen wider.

Um eine Gruppe von Warnungen ähnlich einer bestimmten Warnung zu verwalten, wählen Sie ähnliche Warnungen im Feld INSIGHT im Abschnitt zusammenfassungsdetails der Warnungsseite anzeigen aus.

Im Bereich Warnungen verwalten können Sie dann alle zugehörigen Warnungen gleichzeitig klassifizieren. Im Folgenden sehen Sie ein Beispiel.

Wenn ähnliche Warnungen bereits in der Vergangenheit klassifiziert wurden, können Sie Zeit sparen, indem Sie microsoft Defender XDR-Empfehlungen verwenden, um zu erfahren, wie die anderen Warnungen behoben wurden. Wählen Sie im Abschnitt mit den Zusammenfassungsdetails Empfehlungen aus.

Die Registerkarte Empfehlungen enthält Aktionen und Ratschläge für die Untersuchung, Korrektur und Verhinderung in den nächsten Schritten. Im Folgenden sehen Sie ein Beispiel.

Optimieren einer Warnung

Als SOC-Analyst (Security Operations Center) ist eines der wichtigsten Probleme die Schiere Anzahl von Warnungen, die täglich ausgelöst werden. Die Zeit eines Analysten ist wertvoll, da er sich nur auf Warnungen mit hohem Schweregrad und hoher Priorität konzentrieren möchte. In der Zwischenzeit müssen Analysten auch Warnungen mit niedrigerer Priorität selektieren und auflösen, was in der Regel ein manueller Prozess ist.

Die Warnungsoptimierung, früher als Warnungsunterdrückung bezeichnet, bietet die Möglichkeit, Warnungen im Voraus zu optimieren und zu verwalten. Dies optimiert die Warnungswarteschlange und spart Selektierungszeit, indem Warnungen automatisch ausgeblendet oder aufgelöst werden, wenn ein bestimmtes erwartetes Organisationsverhalten auftritt und Die Regelbedingungen erfüllt sind.

Warnungsoptimierungsregeln unterstützen Bedingungen basierend auf Beweistypen wie Dateien, Prozessen, geplanten Aufgaben und anderen Arten von Beweisen, die Warnungen auslösen. Nachdem Sie eine Warnungsoptimierungsregel erstellt haben, wenden Sie sie auf die ausgewählte Warnung oder einen beliebigen Warnungstyp an, der die definierten Bedingungen erfüllt, um die Warnung zu optimieren.

Warnungsoptimierung, da die allgemeine Verfügbarkeit nur Warnungen von Defender für Endpunkt erfasst. In der Vorschauversion wird die Warnungsoptimierung jedoch auch auf andere Microsoft Defender XDR-Dienste erweitert, einschließlich Defender für Office 365, Defender for Identity, Defender for Cloud Apps, Microsoft Entra ID Protection (Microsoft Entra IP) und andere, sofern diese auf Ihrer Plattform und Ihrem Plan verfügbar sind.

Achtung

Es wird empfohlen, die Warnungsoptimierung mit Vorsicht zu verwenden, wenn interne Geschäftsanwendungen oder Sicherheitstests bekannte Szenarien eine erwartete Aktivität auslösen und Sie die Warnungen nicht anzeigen möchten.

Erstellen von Regelbedingungen zum Optimieren von Warnungen

Erstellen Sie Warnungsoptimierungsregeln über den Bereich Microsoft Defender XDR-Einstellungen oder über eine Seite mit Warnungsdetails. Wählen Sie eine der folgenden Registerkarten aus, um fortzufahren.

Einstellungen-Seite

1. Wählen Sie im Microsoft Defender-Portal Einstellungen > Microsoft Defender XDR-Warnungsoptimierung >aus.

   

2. Wählen Sie Neue Regel hinzufügen aus, um eine neue Warnung zu optimieren, oder wählen Sie eine vorhandene Regelzeile aus, um Änderungen vorzunehmen. Wenn Sie den Regeltitel auswählen, wird eine Seite mit den Regeldetails geöffnet, auf der Sie eine Liste der zugehörigen Warnungen anzeigen, Bedingungen bearbeiten oder die Regel aktivieren und deaktivieren können.

3. Wählen Sie im Bereich Warnung optimieren unter Dienstquellen auswählen die Dienstquellen aus, für die die Regel angewendet werden soll. Nur Dienste, für die Sie über Berechtigungen verfügen, werden in der Liste angezeigt. Beispiel:

   

4. Fügen Sie im Bereich Bedingungen eine Bedingung für die Trigger der Warnung hinzu. Wenn Sie beispielsweise verhindern möchten, dass eine Warnung ausgelöst wird, wenn eine bestimmte Datei erstellt wird, definieren Sie eine Bedingung für den Trigger File:Custom , und definieren Sie die Dateidetails:

   

   • Die aufgeführten Trigger unterscheiden sich je nach ausgewählten Dienstquellen. Trigger sind alle Indikatoren der Kompromittierung (IOCs), z. B. Dateien, Prozesse, geplante Aufgaben und andere Beweistypen, die eine Warnung auslösen können, einschließlich AMSI-Skripts (AntiMalware Scan Interface), WMI-Ereignisse (Windows Management Instrumentation) oder geplante Aufgaben.

   • Um mehrere Regelbedingungen festzulegen, wählen Sie Filter hinzufügen aus, und verwenden Sie AND, OR und Gruppierungsoptionen, um die Beziehungen zwischen den verschiedenen Beweistypen zu definieren, die die Warnung auslösen. Weitere Beweiseigenschaften werden automatisch als neue Untergruppe aufgefüllt, in der Sie Ihre Bedingungswerte definieren können. Bei Bedingungswerten wird die Groß-/Kleinschreibung nicht beachtet, und einige Eigenschaften unterstützen Wildcards.

5. Wählen Sie im Bereich Aktion des Bereichs Warnung optimieren die relevante Aktion aus, die die Regel ausführen soll, entweder Warnung ausblenden oder Warnung auflösen.

6. Geben Sie einen aussagekräftigen Namen für Ihre Warnung und einen Kommentar zur Beschreibung der Warnung ein, und wählen Sie dann Speichern aus.

Seite "Warnungen"

1. Navigieren Sie im Microsoft Defender-Portal zur Seite Warnungen oder zu einer Seite mit Warnungsdetails. Wenn Sie sich auf der Seite Warnungen befinden, wählen Sie zuerst die Warnung aus, die Sie optimieren möchten, und wählen Sie dann Warnung optimieren aus. Je nach Bildschirmauflösung müssen Sie möglicherweise die Auslassungspunkte (...) auswählen, um die Option Warnung optimieren anzuzeigen. Beispiel:

   

   Der Bereich Warnung optimieren wird auf der Seite geöffnet, in der Sie Bedingungen für die Warnung definieren können. Beispiel:

   

2. Konfigurieren Sie die folgenden Details, und wählen Sie dann Speichern aus:

3. Wählen Sie im Bereich Warnungstypen aus, dass die Warnungsoptimierungsregel nur auf Warnungen des ausgewählten Typs oder auf einen beliebigen Warnungstyp angewendet werden soll, der auf denselben Bedingungen basiert. Wenn Sie Beliebiger Warnungstyp basierend auf bestimmten Bedingungen auswählen, wählen Sie auch die Dienstquellen aus, in denen die Regel angewendet werden soll. Nur Dienste, für die Sie über Berechtigungen verfügen, werden in der Liste angezeigt. Beispiel:

   

4. Fügen Sie im Bereich Bedingungen eine Bedingung für die Trigger der Warnung hinzu. Wenn Sie beispielsweise verhindern möchten, dass eine Warnung ausgelöst wird, wenn eine bestimmte Datei erstellt wird, definieren Sie eine Bedingung für den Trigger File:Custom , und definieren Sie die Dateidetails:

   

   • Die aufgeführten Trigger unterscheiden sich je nach ausgewählten Dienstquellen. Trigger sind alle Indikatoren der Kompromittierung (IOCs), z. B. Dateien, Prozesse, geplante Aufgaben und andere Beweistypen, die eine Warnung auslösen können, einschließlich AMSI-Skripts (AntiMalware Scan Interface), WMI-Ereignisse (Windows Management Instrumentation) oder geplante Aufgaben.

   • Um mehrere Regelbedingungen festzulegen, wählen Sie Filter hinzufügen aus, und verwenden Sie AND, OR und Gruppierungsoptionen, um die Beziehungen zwischen den verschiedenen Beweistypen zu definieren, die die Warnung auslösen. Weitere Beweiseigenschaften werden automatisch als neue Untergruppe aufgefüllt, in der Sie Ihre Bedingungswerte definieren können. Bei Bedingungswerten wird die Groß-/Kleinschreibung nicht beachtet, und einige Eigenschaften unterstützen Wildcards.

5. Wählen Sie im Bereich Aktion des Bereichs Warnung optimieren die relevante Aktion aus, die die Regel ausführen soll, entweder Warnung ausblenden oder Warnung auflösen.

6. Geben Sie einen aussagekräftigen Namen für Ihre Warnung und einen Kommentar ein, um die Warnung zu beschreiben.

Hinweis

Der Warnungstitel (Name) basiert auf dem Warnungstyp (IoaDefinitionId), der den Warnungstitel bestimmt. Zwei Warnungen, die denselben Warnungstyp aufweisen, können in einen anderen Warnungstitel geändert werden.

Beheben einer Warnung

Sobald Sie mit der Analyse einer Warnung fertig sind und diese aufgelöst werden kann, wechseln Sie zum Bereich Warnung verwalten für die Warnung oder ähnliche Warnungen, und markieren Sie den Status als Gelöst , und klassifizieren Sie sie dann als Richtig positiv mit einer Art von Bedrohung, einer Information, erwarteten Aktivität mit einem Aktivitätstyp oder falsch positiv.

Das Klassifizieren von Warnungen hilft Microsoft Defender XDR, die Erkennungsqualität zu verbessern.

Verwenden von Power Automate zum Selektieren von Warnungen

Moderne Security Operations-Teams (SecOps) benötigen Automatisierung, um effektiv zu arbeiten. Um sich auf die Suche und Untersuchung realer Bedrohungen zu konzentrieren, verwenden SecOps-Teams Power Automate, um die Liste der Warnungen zu selektieren und diejenigen zu beseitigen, die keine Bedrohungen sind.

Kriterien für das Auflösen von Warnungen

• Die Abwesenheitsnachricht des Benutzers ist aktiviert.
• Der Benutzer ist nicht als hohes Risiko gekennzeichnet.

Wenn beides true ist, markiert SecOps die Warnung als legitime Reise und löst sie auf. Eine Benachrichtigung wird in Microsoft Teams gepostet, nachdem die Warnung behoben wurde.

Verbinden von Power Automate mit Microsoft Defender für Cloud-Apps

Zum Erstellen der Automatisierung benötigen Sie ein API-Token, bevor Sie Power Automate mit Microsoft Defender for Cloud Apps verbinden können.

1. Öffnen Sie Microsoft Defender, und wählen Sie Einstellungen>Cloud Apps>API-Token aus, und wählen Sie dann auf der Registerkarte API-Tokendie Option Token hinzufügen aus.

2. Geben Sie einen Namen für Ihr Token an, und wählen Sie dann Generieren aus. Speichern Sie das Token, da Sie es später benötigen.

Erstellen eines automatisierten Flows

Sehen Sie sich dieses kurze Video an, um zu erfahren, wie Die Automatisierung effizient funktioniert, um einen reibungslosen Workflow zu schaffen, und wie Sie Power Automate mit Defender für Cloud-Apps verbinden.

Nächste Schritte

Setzen Sie ihre Untersuchung bei Bedarf für In-Process-Vorfälle fort.

Siehe auch

• Übersicht über Vorfälle
• Verwalten von Vorfällen
• Untersuchen von Vorfällen
• Untersuchen von Warnungen zur Verhinderung von Datenverlust in Defender
• Microsoft Entra ID Protection

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.