Priorisieren, Verwalten, Untersuchen & Reagieren auf Vorfälle in Microsoft Defender XDR
Wenn Warnungen in Microsoft Defender XDR ausgelöst werden, beginnt die automatisierte Untersuchung und Reaktion (Automated Investigation and Response, AIR) und sucht über das Abonnement eines organization, bestimmt die Auswirkungen und den Umfang der Bedrohung und gliedert die Informationen zu einem einzelnen Incident, damit Administratoren nicht mehrere Incidents verwalten müssen.
Was Sie benötigen
- Microsoft Defender for Office 365 Plan 2 oder höher
- Ausreichende Berechtigungen (Sicherheitsleseberechtigter, Sicherheitsvorgänge oder Sicherheitsadministrator sowie Search und Bereinigungsrolle)
Priorisieren & Verwalten von Incidents
Navigieren Sie zur Seite https://security.microsoft.com/incidentsIncidents im Sicherheitsportal.
Wenn die Seite Incident geladen wird, können Sie filtern und priorisieren, indem Sie auf Spalten klicken, um die Aktionen zu sortieren, oder Filter drücken, um einen Filter wie Datenquelle, Tags oder Zustand anzuwenden.
Jetzt verfügen Sie über eine priorisierte Liste von Vorfällen, aus der Sie auswählen können, um über die Schaltfläche Incidents verwalten umzubenennen, zuzuweisen, zu klassifizieren, zu markieren, die status zu ändern oder Kommentare hinzuzufügen.
Verwenden Sie die Filter, um sicherzustellen, dass Microsoft Defender for Office 365 Elemente enthalten sind.
Wenn Sie nach bestimmten Warnungen suchen, verwenden Sie entweder die Funktion für die Incidentsuche (Search für Name oder ID), oder erwägen Sie die Verwendung der Warnungswarteschlangenfilterung für eine bestimmte Warnung.
Untersuchen & Reagieren auf Incidents
Nachdem Sie Ihre Incidentwarteschlange priorisiert haben, wählen Sie den Incident aus, den Sie untersuchen möchten, um die Seite Übersicht über Vorfälle zu laden. Sie sehen nützliche Informationen, wie z. B. MITRE ATT&beobachtete CK-Techniken und eine Zeitleiste des Angriffs.
Die Registerkarten oben auf der Incidentseite ermöglichen Es Ihnen, weitere Details wie die betroffenen Benutzer, Postfächer, Endpunkte und et cetera zu erkunden.
Auf der Registerkarte Beweis und Antwort werden Elemente angezeigt, die über die Untersuchung als im Zusammenhang mit der ursprünglichen Warnung identifiziert wurden.
Alle Elemente, die als Ausstehende Aktion in "Beweis" und "Antwort" angezeigt werden, warten auf die Genehmigung durch einen Administrator. Die Sortierung nach der Status Spalte "Alle Beweise" wird empfohlen. Klicken Sie anschließend auf die Entität oder den Cluster, um das Flyoutmenü zu laden, in dem Sie die Aktionen ggf. genehmigen können.
Wenn Sie die beteiligten Elemente weiter verstehen müssen, können Sie das Incidentdiagramm verwenden, um die visuelle Verknüpfung der beteiligten Beweise und Entitäten anzuzeigen. Alternativ können Sie die zugrunde liegenden Untersuchungen überprüfen, die mehr Entitäten und Elemente anzeigen, die am Sicherheitsereignis beteiligt sind.
Nächste Schritte
Sie können das Info-Center verwenden, um auf ausstehende Aktionselemente von allen Vorfällen in Ihrem organization zu reagieren, wenn Sie sich auf die Aktionselemente konzentrieren möchten, für die AIR eine Genehmigung benötigt.
Weitere Informationen
Verwalten von Vorfällen in Microsoft Defender XDR | Microsoft-Dokumentation.
Funktionsweise der automatisierten Untersuchung und Reaktion in Microsoft Defender for Office 365