Freigeben über


Untersuchen von Defender for Identity-Sicherheitswarnungen in Microsoft Defender XDR

Hinweis

Defender for Identity ist keine Überwachungs- oder Protokollierungslösung, die jeden einzelnen Vorgang oder jede Aktivität auf den Servern, auf denen der Sensor installiert ist, erfasst. Er erfasst lediglich nur Daten, die für seinen Erkennungs- und Empfehlungsmechanismen erforderlich sind.

In diesem Artikel werden die Grundlagen der Arbeit mit Microsoft Defender for Identity-Sicherheitswarnungen in Microsoft Defender XDR erläutert.

Defender for Identity-Warnungen werden nativ in Microsoft Defender XDR mit einem dedizierten Identitätswarnungsseitenformat integriert.

Die Seite "Identitätswarnung" bietet Microsoft Defender for Identity-Kunden bessere Möglichkeiten Standard Signalanreicherung und neue funktionen für automatisierte Identitätsantworten. Dadurch wird sichergestellt, dass Sie sicher bleiben und die Effizienz Ihrer Sicherheitsvorgänge verbessern.

Einer der Vorteile der Untersuchung von Warnungen über Microsoft Defender XDR besteht darin, dass Microsoft Defender for Identity-Warnungen weiter mit Informationen korreliert werden, die von jedem der anderen Produkte in der Suite abgerufen werden. Diese erweiterten Warnungen sind mit den anderen Microsoft Defender XDR-Warnungsformaten konsistent, die von Microsoft Defender for Office 365 und Microsoft Defender for Endpunkt stammen. Die neue Seite beseitigt effektiv die Notwendigkeit, zu einem anderen Produktportal zu navigieren, um Warnungen zu untersuchen, die mit der Identität verbunden sind.

Warnungen, die von Defender for Identity stammen, können jetzt die Funktionen der automatisierten Untersuchung und Reaktion von Microsoft Defender XDR (AIR) auslösen, einschließlich der automatischen Behebung von Warnungen und der Entschärfung von Tools und Prozessen, die zur verdächtigen Aktivität beitragen können.

Wichtig

Im Rahmen der Konvergenz mit Microsoft Defender XDR haben sich einige Optionen und Details vom Standort im Defender for Identity-Portal geändert. Lesen Sie die unten aufgeführten Details, um zu erfahren, wo Sowohl die vertrauten als auch die neuen Features zu finden sind.

Anzeigen von Sicherheitswarnungen

Auf Warnungen kann von mehreren Standorten aus zugegriffen werden, einschließlich von der Seite Warnungen, der Seite Vorfälle, den Seiten einzelner Geräte und der SeiteErweiterte Bedrohungssuche. In diesem Beispiel überprüfen wir die Seite "Benachrichtigungen".

Wechseln Sie in Microsoft Defender XDR zu Vorfällen & und dann zu "Warnungen".

Das Menüelement „Warnungen“

Um Warnungen von Defender for Identity anzuzeigen, wählen Sie oben rechts Filter aus, und wählen Sie dann unter Dienstquellen Microsoft Defender for Identity aus, und wählen Sie Übernehmen aus:

Der Filter für die Defender for Identity-Ereignisse

Die Warnungen werden mit Informationen in den folgenden Spalten angezeigt: Warnungsname, Tags, Schweregrad, Untersuchungsstatus, Status, Kategorie, Erkennungsquelle, betroffene Objekte, Erste Aktivität und Letzte Aktivität.

Die Defender for Identity-Ereignisse

Sicherheitswarnungskategorien

Defender for Identity-Sicherheitswarnungen werden in die folgenden Kategorien oder Phasen unterteilt, wie die Phasen, die in einer typischen Killchain für Cyberangriffe zu sehen sind.

Verwalten von Warnungen

Wenn Sie den Warnungsnamen für eine der Warnungen auswählen, wechseln Sie zur Seite mit Details zur Warnung. Im linken Bereich wird eine Zusammenfassung der Ereignisse angezeigt:

Der Bereich „Was ist passiert?“

Über dem Feld Was passiert befinden sich Schaltflächen für die Konten, den Zielhost und den Quellhost der Warnung. Bei anderen Warnungen werden möglicherweise Schaltflächen für Details zu zusätzlichen Hosts, Konten, IP-Adressen, do Standard s und Sicherheitsgruppen angezeigt. Wählen Sie eine dieser Elemente aus, um weitere Details zu den beteiligten Entitäten zu erhalten.

Im rechten Bereich werden die Warnungsdetails angezeigt. Hier können Sie weitere Details anzeigen und mehrere Aufgaben ausführen:

  • Klassifizieren Sie diese Warnung – Hier können Sie diese Warnung als True oder False festlegen.

    Die Seite, auf der Sie eine Warnung klassifizieren können

  • Warnungszustand – In "Klassifizierung festlegen" können Sie die Warnung als "True " oder "False" klassifizieren. In "Zugewiesen an" können Sie die Benachrichtigung selbst zuweisen oder die Zuweisung aufheben.

    Der Statusbereich „Warnung“

  • Warnungsdetails – Unter Warnungsdetails finden Sie weitere Informationen zu der spezifischen Warnung, folgen Sie einem Link zur Dokumentation über den Typ der Warnung, sehen Sie, welchem Vorfall die Warnung zugeordnet ist, überprüfen Sie alle automatisierten Untersuchungen, die mit diesem Warnungstyp verknüpft sind, und sehen Sie sich die betroffenen Geräte und Benutzer an.

    Die Seite „Warnungsdetails“

  • Kommentare und Verlauf – Hier können Sie Ihre Kommentare zur Warnung hinzufügen und den Verlauf aller Aktionen anzeigen, die der Warnung zugeordnet sind.

    Die Seite „Kommentare und Verlauf“

  • Warnung verwalten – Wenn Sie Warnung verwalten auswählen, wechseln Sie zu einem Bereich, in dem Sie Folgendes bearbeiten können:

    • Status – Sie können Neu, Aufgelöst oder In Bearbeitung auswählen.

    • Klassifizierung – Sie können True alert oder False alert auswählen.

    • Kommentar : Sie können einen Kommentar zur Warnung hinzufügen.

    • Wenn Sie die drei Punkte neben " Warnung verwalten" auswählen, können Sie eine Warnung mit einem anderen Vorfall verknüpfen, eine Unterdrückungsregel erstellen (nur für Vorschaukunden verfügbar) oder Ask Defender Experts.

      Die Option „Warnung verwalten“

      Sie können die Warnung auch in eine Excel-Datei exportieren. Klicken Sie dazu auf Weiter.

      Hinweis

      In der Excel-Datei sind jetzt zwei Links verfügbar: Anzeigen in Microsoft Defender for Identity und View in Microsoft Defender XDR. Jeder Link bringt Sie zum relevanten Portal und stellt dort Informationen über die Warnung bereit.

Optimieren von Warnungen

Optimieren Sie Ihre Warnungen, um sie anzupassen und zu optimieren, wodurch falsch positive Ergebnisse reduziert werden. Die Warnungsoptimierung ermöglicht Es Ihren SOC-Teams, sich auf Warnungen mit hoher Priorität zu konzentrieren und die Bedrohungserkennungsabdeckung im gesamten System zu verbessern. Erstellen Sie in Microsoft Defender XDR Regelbedingungen basierend auf Nachweistypen, und wenden Sie die Regel dann auf jeden Regeltyp an, der Ihren Bedingungen entspricht.

Weitere Informationen finden Sie unter Eine Warnung optimieren.

Siehe auch

Weitere Informationen