Details und Ergebnisse einer automatischen Angriffsunterbrechungsaktion
Gilt für:
- Microsoft Defender XDR
Wenn Microsoft Defender XDR eine automatische Angriffsunterbrechung auslöst, stehen während und nach dem Prozess Details zum Risiko und zur Eindämmung status kompromittierter Ressourcen zur Verfügung. Sie können diese auf der Seite Incident anzeigen, die alle Details zum Angriff und die aktuellen status der zugehörigen Ressourcen enthält.
Überprüfen des Incidentdiagramms
Microsoft Defender XDR automatische Angriffsunterbrechung ist in der Incidentansicht integriert. Durch die Überprüfung des Vorfalldiagramms können Sie den gesamten Angriffsverlauf abrufen und die Auswirkungen und status von Angriffsunterbrechungen bewerten.
Im Folgenden finden Sie einige Beispiele dafür, wie es aussieht:
- Unterbrochene Vorfälle umfassen ein Tag für "Angriffsunterbrechung" und den spezifischen bedrohungstyp identifiziert (z. B. Ransomware). Wenn Sie Incident-E-Mail-Benachrichtigungen abonnieren, werden diese Tags auch in den E-Mails angezeigt.
- Eine hervorgehobene Benachrichtigung unter dem Incidenttitel, die angibt, dass der Vorfall unterbrochen wurde.
- Angehaltene Benutzer und eigenständige Geräte werden mit einer Bezeichnung angezeigt, die ihre status angibt.
Wenn Sie ein Benutzerkonto oder ein Gerät aus der Kapselung freigeben möchten, klicken Sie auf das enthaltene Medienobjekt, und klicken Sie für ein Gerät aus der Kapselung freigeben oder benutzer für ein Benutzerkonto aktivieren .
Nachverfolgen der Aktionen im Info-Center
Das Info-Center (https://security.microsoft.com/action-center) vereint Wartungs- und Reaktionsaktionen auf Ihren Geräten, E-Mail-& Inhalte für die Zusammenarbeit und Identitäten. Zu den aufgeführten Aktionen gehören Wartungsaktionen, die automatisch oder manuell ausgeführt wurden. Sie können aktionen für automatische Angriffsunterbrechungen im Info-Center anzeigen.
Nachdem Sie das Risiko verringert und die Untersuchung eines Incidents abgeschlossen haben, können Sie die enthaltenen Ressourcen aus dem Bereich mit den Aktionsdetails freigeben (z. B. ein deaktiviertes Benutzerkonto aktivieren oder ein Gerät aus der Eindämmung freigeben). Weitere Informationen zum Info-Center finden Sie unter Info-Center.
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Nächster Schritt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für