Automatisierte Untersuchung und Reaktion in Microsoft Defender XDR
Artikel
Gilt für:
Microsoft Defender XDR
Wenn Ihr organization Microsoft Defender XDR verwendet, erhält Ihr Sicherheitsteam eine Warnung im Microsoft Defender-Portal, wenn eine schädliche oder verdächtige Aktivität oder ein verdächtiges Artefakt erkannt wird. Angesichts des scheinbar endlosen Flusses von Bedrohungen, die auftreten können, stehen Sicherheitsteams häufig vor der Herausforderung, die große Anzahl von Warnungen zu bewältigen. Glücklicherweise umfasst Microsoft Defender XDR funktionen für automatisierte Untersuchung und Reaktion (Air), mit denen Ihr Sicherheitsteam Bedrohungen effizienter und effektiver angehen kann.
Dieser Artikel bietet eine Übersicht über AIR und enthält Links zu den nächsten Schritten und zusätzlichen Ressourcen.
Funktionsweise der automatisierten Untersuchung und des Self-healing
Wenn Sicherheitswarnungen ausgelöst werden, liegt es in der Verantwortung Ihres Sicherheitsteams, diese Warnungen zu untersuchen und entsprechende Maßnahmen zum Schutz Ihrer Organisation zu ergreifen. Die Priorisierung und Untersuchung von Warnungen kann sehr zeitaufwändig sein, insbesondere dann, wenn ständig neue Benachrichtigungen während einer laufenden Untersuchung eingehen. Sicherheitsteams können sich angesichts des enormen Volumens der Bedrohungen, die sie überwachen müssen, überfordert fühlen. Automatisierte Untersuchungs- und Reaktionsfunktionen mit Selbstreparatur in Microsoft Defender XDR können helfen.
Sehen Sie sich das folgende Video an, um zu sehen, wie die Selbstreparatur funktioniert:
In Microsoft Defender XDR funktioniert die automatisierte Untersuchung und Reaktion mit Selbstreparaturfunktionen auf Ihren Geräten, E-Mails & Inhalten und Identitäten.
Stellen Sie sich vor, sie haben einen virtuellen Analysten in Ihrem Sicherheitsbetriebsteam der Ebene 1 oder 2. Der virtuelle Analyst imitiert die idealen Schritte, die das Sicherheitsteam zur Untersuchung und Behebung von Bedrohungen ausführen würde. Der virtuelle Analyst könnte 24x7 mit unbegrenzter Kapazität arbeiten und eine erhebliche Last an Untersuchungen und Bedrohungsbehebungen übernehmen. Ein solcher virtueller Analyst könnte die Zeit für die Reaktion erheblich verkürzen und Ihr Sicherheitsteam für andere wichtige Bedrohungen oder strategische Projekte freigeben. Wenn dieses Szenario wie Science-Fiction klingt, ist es nicht! Ein solcher virtueller Analyst ist Teil Ihrer Microsoft Defender XDR Suite, und sein Name ist automatisierte Untersuchung und Reaktion.
Automatisierte Untersuchungs- und Reaktionsfunktionen ermöglichen es Ihrem Sicherheitsteam, die Kapazität Ihrer organization für den Umgang mit Sicherheitswarnungen und Incidents erheblich zu erhöhen. Mit automatisierter Untersuchung und Reaktion können Sie die Kosten für den Umgang mit Untersuchungs- und Reaktionsaktivitäten reduzieren und das Beste aus Ihrer Threat Protection-Suite herauszuholen. Automatisierte Untersuchungs- und Reaktionsfunktionen unterstützen Ihr Sicherheitsteam durch Folgendes:
Ermitteln, ob eine Bedrohung eine Aktion erfordert.
Ergreifen (oder Empfehlen) aller erforderlichen Wartungsmaßnahmen.
Bestimmen, ob und welche weiteren Untersuchungen durchgeführt werden sollen.
Wiederholen des Vorgangs für andere Warnungen.
Der Prozess der automatischen Untersuchung
Eine ausgelöste Warnung erstellt einen Vorfall, der wiederum eine automatische Untersuchung starten kann. Die automatisierte Untersuchung führt zu einer Bewertung für jeden Beweis. Die Bewertung kann wie folgt lauten:
Bösartig
Verdächtig
Keine Bedrohungen gefunden
Korrekturmaßnahmen für bösartige oder verdächtige Entitäten werden identifiziert. Beispiele für Korrekturmaßnahmen sind:
Je nachdem, wie automatisierte Untersuchungs- und Reaktionsfunktionen für Ihre organization konfiguriert sind, werden Korrekturmaßnahmen automatisch oder nur nach Genehmigung durch Ihr Sicherheitsteam ausgeführt. Alle Aktionen, ob ausstehend oder abgeschlossen, werden im Info-Center aufgeführt.
Während eine Untersuchung läuft, werden alle anderen zugehörigen Warnungen zur Untersuchung hinzugefügt, bis diese abgeschlossen ist. Wenn eine betroffene Entität an einer anderer Stelle angezeigt wird, erweitert die automatisierte Untersuchung ihren Suchbereich, um diese Entität einzuschließen, und der Untersuchungsprozess wird wiederholt.
In Microsoft Defender XDR korreliert jede automatisierte Untersuchung Signale über Microsoft Defender for Identity, Microsoft Defender for Endpoint und Microsoft Defender for Office 365, wie in der folgenden Tabelle zusammengefasst:
Entitäten
Dienste für den Bedrohungsschutz
Geräte (auch als Endpunkte oder Computer bezeichnet)
Nicht jede Warnung löst eine automatisierte Untersuchung aus, und nicht jede Untersuchung führt zu automatisierten Korrekturmaßnahmen. Dies hängt davon ab, wie Automated Investigation and Response für Ihre Organisation konfiguriert ist. Weitere Informationen finden Sie unter Konfigurieren der Funktionen der automatischen Untersuchung und Reaktion.
Anzeigen einer Liste von Untersuchungen
Um Untersuchungen anzuzeigen, wechseln Sie zur Seite Incidents . Wählen Sie einen Vorfall und dann die Registerkarte Untersuchungen aus. Weitere Informationen finden Sie unter Details und Ergebnisse einer automatisierten Untersuchung.
Automatisierte untersuchungs- & response Karte
Die neue Karte Automatisierte Untersuchung & Antwort ist im Microsoft Defender-Portal (https://security.microsoft.com) verfügbar. Diese neue Karte Einblick in die Gesamtzahl der verfügbaren Wartungsaktionen. Die Karte bietet auch einen Überblick über alle Warnungen und die erforderliche Genehmigungszeit für jede Warnung.
Mithilfe des Karte Automatisierte Untersuchung & Reaktion kann Ihr Sicherheitsteam schnell zum Info-Center navigieren, indem es den Link Im Info-Center genehmigen auswählt und dann die entsprechenden Aktionen ausführt. Die Karte ermöglicht es Ihrem Sicherheitsteam, Aktionen, die ausstehen, effektiver zu verwalten.
Um diesen Microsoft Applied Skills-Leistungsnachweis zu erwerben, müssen Lernende die Fähigkeit demonstrieren, Microsoft Defender XDR zum Erkennen von und Reagieren auf Cyberbedrohungen zu verwenden. Kandidaten für diesen Leistungsnachweis sollten mit dem Untersuchen und Sammeln von Nachweisen über Angriffe auf Endpunkte vertraut sein. Sie sollten auch Erfahrung mit der Verwendung von Microsoft Defender for Endpoint und KQL (Kusto-Abfragesprache) haben.