Freigeben über


Anzeigen und Verwalten von Sicherheitswarnungen

Die Warnungswarteschlange zeigt eine Liste von Warnungen an, die von Identitäten in Ihrem Netzwerk gekennzeichnet wurden. Standardmäßig zeigt die Warteschlange Warnungen in den letzten sieben Tagen in einer gruppierten Ansicht an. Die neuesten Warnungen werden oben in der Liste angezeigt, damit Sie die neuesten Warnungen zuerst sehen können.

Anzeigen der Warnungswarteschlange

Wechseln Sie im Microsoft Defender-Portal zu Incidents & Warnungen und dann zu Warnungen.

Warnungen der letzten sieben Tage werden mit den folgenden Informationen angezeigt:

  • Warnungsname
  • Tags
  • Severity
  • Untersuchungsstatus
  • Status
  • Kategorie
  • Erkennungsquelle
  • Betroffene Ressourcen
  • Erste Aktivität
  • Letzte Aktivität

Screenshot: Seite

Anpassen der Ansicht der Warnungswarteschlange

Sie können die Ansicht der Warnungswarteschlange auf verschiedene Arten anpassen. Mit den Tools oben auf der Seite haben Sie folgende Möglichkeiten:

  • Passen Sie die Ansicht an, um Spalten hinzuzufügen oder zu entfernen.
  • Wenden Sie Filter an.
  • Passen Sie die Dauer an. Zeigen Sie die Warnungen für eine bestimmte Dauer an, z. B. 1 Tag, 3 Tage, 1 Woche, 30 Tage und 6 Monate.
  • Exportieren Sie einen detaillierten Excel-Bericht zur Analyse.

Filtern der Warnungsansicht

Sie können die folgenden Filter anwenden, um eine fokussiertere Ansicht der Warnungen zu erhalten.

Warnung Beschreibung
Schweregrad Der Warnungsschweregrad basiert auf mehreren Faktoren, einschließlich des möglichen Zugriffs des Angreifers, der potenziellen Auswirkungen auf einen erfolgreichen Angriff und der Wahrscheinlichkeit, dass die Warnung ein wahrer Positiver ist. Eine vollständige Liste der Warnungstypen und deren zugewiesenen Schweregrade finden Sie unter Zuordnung von Sicherheitswarnungsnamen und eindeutigen externen IDs.
Status Sie können die Liste der Warnungen basierend auf ihrem Status filtern. Sie können z. B. filtern, um nur Warnungen anzuzeigen, die neu, In Bearbeitung oder Gelöst sind.
Erkennungsquellen Sie können die Warnungen anhand der folgenden Erkennungsquellen filtern: Microsoft Defender for Identity oder Microsoft Defender XDR
Tags Sie können die Warnungen nach Tags filtern, die Warnungen zugewiesen sind.

Anzeigen einer Warnung

Sie können von mehreren Standorten aus auf einzelne Warnungen zugreifen, indem Sie den Warnungsnamen aus einem der folgenden Optionen auswählen:

  • Seite "Warnungen"
  • Seite "Incidents"
  • Seite "Identitäten"
  • Die Seiten einzelner Geräte
  • Seite "Erweiterte Suche"

Die Seite "Warnungen"

Die Seite warnungen bietet Kontext für die Warnung, indem Angriffssignale und Warnungen im Zusammenhang mit der ausgewählten Warnung kombiniert werden, um einen detaillierten Warnungsverlauf zu erstellen. Auf der Seite "Warnungen" können Sie Warnungen schnell selektieren, untersuchen und effektive Maßnahmen ergreifen.

Hinweis

Microsoft Defender for Identity Warnungen werden derzeit in zwei verschiedenen Layouts im Microsoft Defender XDR-Portal angezeigt. Während die Warnungsansichten unterschiedliche Informationen anzeigen, basieren alle Warnungen auf Erkennungen von Defender for Identity-Sensoren. Die unterschiede zwischen Layout und Informationen sind Teil eines kontinuierlichen Übergangs zu einer einheitlichen Warnungserfahrung für Microsoft Defender Produkte.

Um Warnungen von Defender for Identity und Defender XDR anzuzeigen, wählen Sie Filter und dann unter Dienstquellendie Option Microsoft Defender for Identity und Defender XDR und dann Anwenden aus:

Screenshot: Menü

Microsoft Defender for Identity Warnungen

Oben auf der Seite befinden sich Abschnitte für Konten, Zielhost und Quellhost der Warnung. Je nach Warnung werden möglicherweise Details zu zusätzlichen Hosts, Konten, IP-Adressen, Domänen und Sicherheitsgruppen angezeigt. Wählen Sie eine von ihnen aus, um weitere Details zu den beteiligten Entitäten zu erhalten.

  • Der Abschnitt Warnungsabschnitt enthält Informationen, um eine vollständige Geschichte mit den Details der Warnung bereitzustellen. Der Warnungsverlauf ist in zwei Abschnitte unterteilt:
    • Was passiert ist, umfasst die Zeitleiste der Warnung und die an der Warnung beteiligten Entitäten.
    • Das Warnungsdiagramm bietet eine visuelle Darstellung der Warnung, einschließlich der an der Warnung beteiligten Entitäten und deren Beziehungen. Das Diagramm hilft Ihnen zu verstehen, wie die Entitäten verbunden sind und wie sie mit der Warnung verbunden sind.
  • Wichtige Informationen bieten technischen Kontext, der die Untersuchung von Warnungen unterstützt. Sie können diese Informationen verwenden, um zu überprüfen, ob die Aktivität erwartet oder verdächtig war, und entscheiden, welche Maßnahmen zur Eindämmung oder Eskalation des Incidents ausgeführt werden sollen.
  • Aktivitätsdetails enthalten detaillierte Informationen, einschließlich des Zeitstempels, des Basisobjekts, des Suchbereichs und anderer Details zur Warnung.
  • Der Detailbereich auf der rechten Seite der Seite enthält zusätzliche Informationen zur Warnung, einschließlich warnungsdetails, Kommentare & Verlauf. Der Detailbereich bietet auch zusätzliche Optionen, z. B.:
    • Warnung verwalten
    • Warnung exportieren
    • Warnung in einen anderen Incident verschieben
    • Klassifizieren einer Warnung

Screenshot: Defender for Identity-Warnungsstruktur

Microsoft Defender XDR Warnungen

Oben auf der Seite befinden sich Abschnitte für Konten, Zielhost und Quellhost der Warnung. Abhängig von der Warnung werden möglicherweise Schaltflächen mit Details zu zusätzlichen Hosts, Konten, IP-Adressen, Domänen und Sicherheitsgruppen angezeigt. Wählen Sie eine von ihnen aus, um weitere Details zu den beteiligten Entitäten zu erhalten.

  • Der Abschnitt Warnungsabschnitt enthält Informationen, um eine vollständige Geschichte mit den Details der Warnung bereitzustellen. Der Warnungsverlauf ist in zwei Abschnitte unterteilt:
    • Was passiert ist, umfasst die Zeitleiste der Warnung und die an der Warnung beteiligten Entitäten.
  • Der Detailbereich auf der rechten Seite der Seite enthält zusätzliche Informationen zur Warnung, einschließlich warnungsdetails, Kommentare & Verlauf. Der Detailbereich bietet auch zusätzliche Optionen, z. B.:
    • Warnung verwalten
    • Warnung in einen anderen Incident verschieben
    • Klassifizieren einer Warnung

Screenshot: Defender für XDR-Warnungsstruktur

Verwalten von Sicherheitswarnungen

Wenn Sie eine Warnung auswählen, wird der Bereich Warnungsverwaltung geöffnet, in dem Sie die folgenden Aktionen ausführen können:

Ändern der status einer Warnung

Sie können Warnungen als Neu, In Bearbeitung oder Gelöst kategorisieren, indem Sie deren status während der Untersuchung ändern. Dadurch können Sie organisieren und verwalten, wie Ihr Team auf Warnungen reagieren kann. Beispielsweise kann ein Teamleiter alle Neuen Warnungen überprüfen und sie zur weiteren Analyse der Warteschlange In Bearbeitung zuweisen. Der Teamleiter kann die Warnung der Warteschlange "Gelöst" zuweisen, wenn er weiß, dass die Warnung harmlos ist oder von einem Gerät stammt, das irrelevant ist (z. B. einem Sicherheitsadministrator) oder über eine frühere Warnung behandelt wird.

Verschieben einer Warnung in einen anderen Incident

Sie können einen neuen Incident aus der Warnung erstellen oder einen Link zu einem vorhandenen Incident erstellen.

Screenshot: Option zum Verschieben einer Warnung auf einen anderen Incident

Zuweisen von Warnungen

Wenn noch keine Warnung zugewiesen ist, können Sie mir zuweisen auswählen, um die Warnung sich selbst zuzuweisen.

Screenshot, der zeigt, wie Sie sich selbst eine Warnung zuweisen.

Hinzufügen von Kommentaren zu einer Warnung

Sie können einer Warnung Kommentare hinzufügen, um zusätzlichen Kontext oder Informationen bereitzustellen. Dies ist nützlich, um Erkenntnisse mit Ihrem Team zu teilen oder Ihren Untersuchungsprozess zu dokumentieren. Wenn eine Änderung oder ein Kommentar an einer Warnung vorgenommen wird, wird sie im Abschnitt Kommentare und Verlauf aufgezeichnet.

Screenshot: Abschnitt

Klassifizieren von Sicherheitswarnungen

Stellen Sie für jede Warnung die folgenden Fragen, um die Warnungsklassifizierung zu bestimmen und zu entscheiden, was als Nächstes zu tun ist:

  1. Handelt es sich bei der Sicherheitswarnung um ein TP, B-TP oder FP?
  2. Wie häufig ist diese spezifische Sicherheitswarnung in Ihrer Umgebung?
  3. Wurde die Warnung von denselben Computertypen oder Benutzern ausgelöst? Beispielsweise Server mit der gleichen Rolle oder Benutzer aus derselben Gruppe/Abteilung? Wenn die Computer oder Benutzer ähnlich waren, können Sie dies ausschließen, um zusätzliche zukünftige FP-Warnungen zu vermeiden.

Nach einer ordnungsgemäßen Untersuchung können alle Defender for Identity-Sicherheitswarnungen als einer der folgenden Aktivitätstypen klassifiziert werden:

  • True Positive (TP): Eine schädliche Aktion, die von Defender for Identity erkannt wurde.

  • Gutartig wahr positiv (B-TP): Eine von Defender for Identity erkannte Aktion, die real, aber nicht böswillig ist, z. B. ein Penetrationstest oder eine bekannte Aktivität, die von einer genehmigten Anwendung generiert wird.

  • Falsch positiv (False Positive, FP): Ein falscher Alarm, was bedeutet, dass die Aktivität nicht aufgetreten ist.

Screenshot: Klassifizieren einer Warnung als

Hinweis

Eine Zunahme von Warnungen genau desselben Typs verringert in der Regel die Verdächtige/Wichtigkeitsstufe der Warnung. Überprüfen Sie bei wiederholten Warnungen Konfigurationen, und verwenden Sie Sicherheitswarnungsdetails und -definitionen, um genau zu verstehen, was passiert, die die Wiederholungen auslösen.

Optimieren von Warnungen

Optimieren Sie Ihre Warnungen, um sie anzupassen und zu optimieren, um falsch positive Ergebnisse zu reduzieren. Die Warnungsoptimierung ermöglicht es Ihren SOC-Teams, sich auf Warnungen mit hoher Priorität zu konzentrieren und die Abdeckung der Bedrohungserkennung im gesamten System zu verbessern. Erstellen Sie in Microsoft Defender XDR Regelbedingungen basierend auf Beweistypen, und wenden Sie ihre Regel dann auf jeden Regeltyp an, der Ihren Bedingungen entspricht.

Weitere Informationen finden Sie unter Optimieren einer Warnung.