Priorisieren von Incidents im Microsoft Defender-Portal
Die einheitliche Plattform für Sicherheitsvorgänge im Microsoft Defender-Portal wendet Korrelationsanalysen an und aggregiert verwandte Warnungen und automatisierte Untersuchungen von verschiedenen Produkten auf einen Incident. Microsoft Sentinel und Defender XDR auch eindeutige Warnungen für Aktivitäten auslösen, die nur aufgrund der End-to-End-Sichtbarkeit in der einheitlichen Plattform für die gesamte Produktsuite als böswillig identifiziert werden können. Diese Ansicht bietet Ihren Sicherheitsanalysten eine umfassendere Angriffsgeschichte, die ihnen hilft, komplexe Bedrohungen in Ihrem organization besser zu verstehen und damit umzugehen.
Wichtig
Microsoft Sentinel ist allgemein auf der Unified Security Operations-Plattform von Microsoft im Microsoft Defender-Portal verfügbar. Für die Vorschauversion ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Die Incidentwarteschlange zeigt eine Sammlung von Incidents an, die geräte-, benutzer-, postfach- und andere Ressourcenübergreifend erstellt wurden. Es hilft Ihnen, Incidents zu sortieren, um eine fundierte Entscheidung zur Reaktion auf die Cybersicherheit zu priorisieren und zu erstellen, ein Prozess, der als Incident-Selektierung bezeichnet wird.
Sie können die Incidentwarteschlange über Incidents & Alerts > Incidents beim Schnellstart des Microsoft Defender-Portals aufrufen. Im Folgenden sehen Sie ein Beispiel.
Wählen Sie Neueste Vorfälle und Warnungen aus, um die Erweiterung des oberen Abschnitts umzuschalten, der ein Zeitleiste Diagramm der Anzahl der in den letzten 24 Stunden empfangenen Warnungen und Incidents anzeigt.
Darunter zeigt die Incidentwarteschlange im Microsoft Defender-Portal Vorfälle an, die in den letzten sechs Monaten aufgetreten sind. Sie können einen anderen Zeitrahmen auswählen, indem Sie ihn in der Dropdownliste oben auswählen. Incidents werden gemäß den neuesten automatischen oder manuellen Aktualisierungen eines Incidents angeordnet. Sie können die Incidents nach der Spalte zum Zeitpunkt der letzten Aktualisierung anordnen, um Incidents gemäß den neuesten automatischen oder manuellen Updates anzuzeigen.
Die Incidentwarteschlange verfügt über anpassbare Spalten, die Ihnen Einblick in verschiedene Merkmale des Incidents oder der betroffenen Entitäten bieten. Diese Filterung hilft Ihnen, eine fundierte Entscheidung hinsichtlich der Priorisierung von Incidents für die Analyse zu treffen. Wählen Sie Spalten anpassen aus, um die folgenden Anpassungen basierend auf Ihrer bevorzugten Ansicht durchzuführen:
- Aktivieren/deaktivieren Sie die Spalten, die in der Incidentwarteschlange angezeigt werden sollen.
- Ordnen Sie die Reihenfolge der Spalten an, indem Sie sie ziehen.
Für mehr Sichtbarkeit auf einen Blick generiert Microsoft Defender XDR automatisch Incidentnamen, basierend auf Warnungsattributen wie der Anzahl der betroffenen Endpunkte, betroffenen Benutzern, Erkennungsquellen oder Kategorien. Diese spezifische Benennung ermöglicht es Ihnen, den Umfang des Incidents schnell zu verstehen.
Beispiel: Mehrstufiger Incident auf mehreren Endpunkten, die von mehreren Quellen gemeldet werden.
Wenn Sie Microsoft Sentinel in die Unified Security Operations-Plattform integriert haben, werden die Namen aller Warnungen und Vorfälle, die von Microsoft Sentinel stammen, wahrscheinlich geändert (unabhängig davon, ob sie vor oder seit dem Onboarding erstellt wurden).
Es wird empfohlen, die Verwendung des Incidentnamens als Bedingung zum Auslösen von Automatisierungsregeln zu vermeiden. Wenn der Incidentname eine Bedingung ist und sich der Incidentname ändert, wird die Regel nicht ausgelöst.
Die Incidentwarteschlange bietet auch mehrere Filteroptionen, mit denen Sie bei Anwendung eine breite Übersicht über alle vorhandenen Vorfälle in Ihrer Umgebung durchführen oder sich auf ein bestimmtes Szenario oder eine bestimmte Bedrohung konzentrieren können. Durch Anwenden von Filtern in der Vorfallswarteschlange können Sie ermitteln, welcher Vorfall sofort beachtet werden muss.
Die Liste Filter oberhalb der Liste der Vorfälle zeigt die aktuell angewendeten Filter an.
In der Standardvorfallwarteschlange können Sie Filter hinzufügen auswählen, um die Dropdownliste Filter hinzufügen anzuzeigen, in der Sie Filter angeben, die auf die Incidentwarteschlange angewendet werden sollen, um die Angezeigten Incidents einzuschränken. Im Folgenden sehen Sie ein Beispiel.
Wählen Sie die filter aus, die Sie verwenden möchten, und wählen Sie dann am ende der Liste Hinzufügen aus, um sie verfügbar zu machen.
Nun werden die ausgewählten Filter zusammen mit den vorhandenen angewendeten Filtern angezeigt. Wählen Sie den neuen Filter aus, um seine Bedingungen anzugeben. Wenn Sie beispielsweise den Filter "Dienst/Erkennungsquellen" ausgewählt haben, wählen Sie ihn aus, um die Quellen auszuwählen, nach denen die Liste gefiltert werden soll.
Sie können auch den Bereich Filter anzeigen, indem Sie einen der Filter in der Liste Filter oberhalb der Liste der Vorfälle auswählen.
In dieser Tabelle sind die verfügbaren Filternamen aufgeführt.
Filtername | Beschreibung/Bedingungen |
---|---|
Status | Wählen Sie Neu, In Bearbeitung oder Gelöst aus. |
Warnungsschweregrad Incidentschweregrad |
Der Schweregrad einer Warnung oder eines Incidents ist ein Hinweis auf die Auswirkungen, die er auf Ihre Ressourcen haben kann. Je höher der Schweregrad, desto größer die Auswirkung und erfordert in der Regel die unmittelbarste Aufmerksamkeit. Wählen Sie Hoch, Mittel, Niedrig oder Information aus. |
Incidentzuweisung | Wählen Sie den bzw. die zugewiesenen Benutzer aus. |
Mehrere Dienstquellen | Geben Sie an, ob der Filter für mehrere Dienstquellen gilt. |
Dienst-/Erkennungsquellen | Geben Sie Incidents an, die Warnungen aus einer oder mehreren der folgenden Elemente enthalten: Viele dieser Dienste können im Menü erweitert werden, um weitere Auswahlmöglichkeiten für Erkennungsquellen innerhalb eines bestimmten Diensts anzuzeigen. |
Tags | Wählen Sie einen oder mehrere Tagnamen aus der Liste aus. |
Mehrere Kategorie | Geben Sie an, ob der Filter für mehrere Kategorien bestimmt ist. |
Kategorien | Wählen Sie Kategorien aus, um sich auf bestimmte Taktiken, Techniken oder Angriffskomponenten zu konzentrieren. |
Entities | Geben Sie den Namen eines Medienobjekts an, z. B. einen Benutzer, ein Gerät, ein Postfach oder einen Anwendungsnamen. |
Vertraulichkeit der Daten | Bei einigen Angriffen liegt der Schwerpunkt auf dem Exfiltrieren von vertraulichen oder wertvollen Daten. Durch Anwenden eines Filters für bestimmte Vertraulichkeitsbezeichnungen können Sie schnell ermitteln, ob vertrauliche Informationen potenziell kompromittiert wurden, und die Behandlung dieser Vorfälle priorisieren. Dieser Filter zeigt Informationen nur an, wenn Sie Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection angewendet haben. |
Gerätegruppen | Geben Sie einen Gerätegruppennamen an. |
Betriebssystemplattform | Geben Sie Gerätebetriebssysteme an. |
Klassifizierung | Geben Sie den Satz von Klassifizierungen der zugehörigen Warnungen an. |
Status der automatisierten Untersuchung | Geben Sie die status der automatisierten Untersuchung an. |
Zugeordnete Bedrohung | Geben Sie eine benannte Bedrohung an. |
Warnungsrichtlinien | Geben Sie einen Warnungsrichtlinientitel an. |
Warnungsabonnement-IDs | Geben Sie eine Warnung basierend auf einer Abonnement-ID an. |
Der Standardfilter besteht darin, alle Warnungen und Vorfälle mit dem status Neu und In Bearbeitung und mit dem Schweregrad Hoch, Mittel oder Niedrig anzuzeigen.
Sie können einen Filter schnell entfernen, indem Sie das X im Namen eines Filters in der Liste Filter auswählen.
Sie können auch Filtersätze auf der Seite Incidents erstellen, indem Sie Gespeicherte Filterabfragen > Filtersatz erstellen auswählen. Wenn keine Filtersätze erstellt wurden, wählen Sie Speichern aus, um einen zu erstellen.
Hinweis
Microsoft Defender XDR Kunden können jetzt Incidents mit Warnungen filtern, bei denen ein kompromittiertes Gerät mit OT-Geräten (Operational Technology) kommuniziert wird, die über die Geräteermittlungsintegration von Microsoft Defender für IoT und mit dem Unternehmensnetzwerk verbunden sind. Microsoft Defender for Endpoint. Um diese Vorfälle zu filtern, wählen Sie in den Dienst-/Erkennungsquellen die Option Beliebige aus, und wählen Sie dann Microsoft Defender für IoT im Produktnamen aus, oder lesen Sie Untersuchen von Vorfällen und Warnungen in Microsoft Defender für IoT im Defender-Portal. Sie können auch Gerätegruppen verwenden, um nach standortspezifischen Warnungen zu filtern. Weitere Informationen zu den Voraussetzungen für Defender für IoT finden Sie unter Erste Schritte mit der Enterprise IoT-Überwachung in Microsoft Defender XDR.
Nachdem Sie einen nützlichen Filter in der Incidentwarteschlange konfiguriert haben, können Sie die URL der Browserregisterkarte mit einem Lesezeichen versehen oder sie anderweitig als Link auf einer Webseite, einem Word Dokument oder an einem Ort Ihrer Wahl speichern. Durch Lesezeichen können Sie mit nur einem Klick auf wichtige Ansichten der Incidentwarteschlange zugreifen, z. B.:
- Neue Vorfälle
- Vorfälle mit hohem Schweregrad
- Nicht zugewiesene Vorfälle
- Hochschwere, nicht zugewiesene Vorfälle
- Mir zugewiesene Vorfälle
- Mir zugewiesene Vorfälle und zur Microsoft Defender for Endpoint
- Incidents mit einem bestimmten Tag oder Tags
- Incidents mit einer bestimmten Bedrohungskategorie
- Incidents mit einer bestimmten zugeordneten Bedrohung
- Incidents mit einem bestimmten Akteur
Nachdem Sie Ihre Liste der nützlichen Filteransichten als URLs kompiliert und gespeichert haben, verwenden Sie sie, um die Incidents in Ihrer Warteschlange schnell zu verarbeiten und zu priorisieren und für die nachfolgende Zuweisung und Analyse zu verwalten .
Im Feld Nach Namen oder ID suchen oberhalb der Liste der Vorfälle können Sie auf verschiedene Arten nach Incidents suchen, um schnell das gesuchte Ziel zu finden.
Suchen Sie direkt nach einem Incident, indem Sie die Incident-ID oder den Incidentnamen eingeben. Wenn Sie einen Incident aus der Liste der Suchergebnisse auswählen, öffnet das Microsoft Defender-Portal eine neue Registerkarte mit den Eigenschaften des Incidents, über die Sie ihre Untersuchung starten können.
Sie können ein Medienobjekt benennen, z. B. einen Benutzer, ein Gerät, ein Postfach, einen Anwendungsnamen oder eine Cloudressource, und alle Incidents im Zusammenhang mit diesem Medienobjekt finden.
Die Standardliste der Incidents gilt für diejenigen, die in den letzten sechs Monaten aufgetreten sind. Sie können einen neuen Zeitbereich im Dropdownfeld neben dem Kalendersymbol angeben, indem Sie Folgendes auswählen:
- Einen Tag
- Drei Tage
- Eine Woche
- 30 Tage
- 30 Tage
- Sechs Monate
- Ein benutzerdefinierter Bereich, in dem Sie sowohl Datumsangaben als auch Uhrzeiten angeben können.
Nachdem Sie ermittelt haben, welcher Incident die höchste Priorität erfordert, wählen Sie ihn aus und:
- Verwalten Sie die Eigenschaften des Incidents für Tags, Zuweisung, sofortige Lösung für falsch positive Vorfälle und Kommentare.
- Beginnen Sie ihre Untersuchungen.
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.