Playbooks zur Warnungsklassifizierung
Gilt für:
- Microsoft Defender XDR
Mit Playbooks zur Warnungsklassifizierung können Sie die Warnungen für bekannte Angriffe methodisch überprüfen und schnell klassifizieren und empfohlene Maßnahmen ergreifen, um den Angriff zu beheben und Ihr Netzwerk zu schützen. Die Warnungsklassifizierung hilft auch bei der ordnungsgemäßen Klassifizierung des Gesamtvorfalls.
Als Sicherheitsforscher oder SOC-Analyst (Security Operations Center) müssen Sie Zugriff auf das Microsoft Defender-Portal haben, damit Sie:
- Bewerten und überprüfen Sie die generierten Warnungen und die zugehörigen Incidents. Weitere Informationen finden Sie unter Untersuchen von Warnungen.
- Search die Sicherheitssignaldaten Ihres Mandanten und überprüfen Sie auf potenzielle Bedrohungen und verdächtige Aktivitäten. Weitere Informationen finden Sie unter Erweiterte Suche.
Hinweis
Sie können Microsoft Nicht nur am Ende der Untersuchung, sondern auch während des Untersuchungsprozesses Feedback zu Warnungen zu wahr positiven und falsch positiven Ergebnissen geben. Dies kann Microsoft bei der zukünftigen Analyse und Klassifizierung von Sicherheitsereignissen helfen.
Microsoft Defender für Office 365
Microsoft Defender for Office 365 schützt Ihre organization vor böswilligen Bedrohungen durch E-Mail-Nachrichten, Links (URLs) und Tools für die Zusammenarbeit. Microsoft Defender für Office 365 umfasst:
Bedrohungsschutz-Richtlinien
Definieren Sie Bedrohungsschutzrichtlinien, um die geeignete Schutzebene für Ihre organization festzulegen.
Berichte
Zeigen Sie Echtzeitberichte an, um Defender for Office 365 Leistung in Ihrem organization zu überwachen.
Funktionen zur Untersuchung und Reaktion auf Bedrohungen
Verwenden Sie führende Tools, um Bedrohungen zu untersuchen, zu verstehen, zu simulieren und zu verhindern.
Automatisierte Untersuchungs- und Reaktionsfunktionen
Sparen Sie Zeit und Aufwand beim Untersuchen und Abmildern von Bedrohungen.
Defender for Office 365 Warnungen können wie folgt klassifiziert werden:
- True Positive (TP) für bestätigte schädliche Aktivitäten.
- False Positive (FP) für bestätigte nicht schädliche Aktivitäten.
Hinweis
Microsoft Defender Portal https://security.microsoft.com vereint Funktionen aus vorhandenen Microsoft-Sicherheitsportalen. Das Microsoft Defender-Portal betont den schnellen Zugriff auf Informationen, einfachere Layouts und das Zusammenführen verwandter Informationen zur einfacheren Verwendung.
Microsoft Defender for Cloud Apps
Microsoft Defender for Cloud Apps ist ein Cloud Access Security Broker (CASB), der verschiedene Bereitstellungsmodi unterstützt, einschließlich Protokollsammlung, API-Connectors und Reverseproxy. Er bietet umfassende Transparenz und Kontrolle bei der Datenübertragung, und modernste Analysen tragen dazu bei, Cyberbedrohungen in all Ihren Microsoft-Clouddiensten und Clouddiensten von Drittanbietern zu erkennen und abzuwehren.
Defender für Cloud-Apps lässt sich nativ in führende Microsoft-Lösungen integrieren und wurde unter Berücksichtigung von Sicherheitsexperten entwickelt. Microsoft Cloud App Security bietet Funktionen für eine einfache Bereitstellung, zentrale Verwaltung und innovative Automatisierung.
Das Defender for Cloud Apps-Framework bietet die Möglichkeit, Ihr Netzwerk vor Cyberbedrohungen und Anomalien zu schützen und ungewöhnliches Verhalten in Cloud-Apps zu erkennen, um Ransomware, kompromittierte Benutzer oder nicht autorisierte Anwendungen zu identifizieren. Es ermöglicht die Analyse der Nutzung mit hohem Risiko und kann automatisch behoben werden, um das Risiko auf Ihre organization zu begrenzen.
Defender for Cloud Apps-Warnungen können wie folgt klassifiziert werden:
- TP für bestätigte schädliche Aktivitäten.
- Gutartige wahr positive (B-TP) für verdächtige, aber nicht böswillige Aktivitäten, z. B. einen Penetrationstest oder eine andere autorisierte verdächtige Aktion.
- FP für bestätigte nicht schädliche Aktivitäten.
Playbooks zur Warnungsklassifizierung
Schritte zum schnelleren Klassifizieren von Warnungen für die folgenden Bedrohungen finden Sie in diesen Playbooks:
- Verdächtige E-Mail-Weiterleitunsaktivitäten
- Verdächtige Posteingangsmanipulationsregeln
- Verdächtige Posteingangsweiterleitungsregeln
- Verdächtige IP-Adressen im Zusammenhang mit kennwortspray-Aktivitäten
- Kennwort-Spray-Angriffe
Informationen zum Untersuchen von Warnungen mit dem Microsoft Defender-Portal finden Sie unter Untersuchen von Warnungen.
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.