Freigeben über


Verwaltete Erkennung und Reaktion

Gilt für:

Anweisungen zur verwalteten Erkennung und Antwort finden Sie in diesem kurzen Video.

Durch eine Kombination aus Automatisierung und menschlichem Fachwissen selektieren Microsoft Defender-Experten für XDR Microsoft Defender XDR-Vorfälle, priorisiert sie in Ihrem Namen, filtert die Geräusche heraus, führt detaillierte Untersuchungen durch und bietet Ihren SOC-Teams (Security Operations Center) eine umsetzbare verwaltete Reaktion.

Incidentupdates

Sobald unsere Experten mit der Untersuchung eines Incidents beginnen, werden die Felder Zugewiesen zu und Status des Incidents auf Defender Experts bzw . In Bearbeitung aktualisiert.

Wenn unsere Experten ihre Untersuchung zu einem Vorfall abschließen, wird das Klassifizierungsfeld des Incidents auf eine der folgenden Informationen aktualisiert, je nach den Ergebnissen der Experten:

  • Richtig positiv
  • Falsch positiv
  • Information, erwartete Aktivität

Das Feld "Bestimmung ", das jeder Klassifizierung entspricht, wird ebenfalls aktualisiert, um weitere Erkenntnisse zu den Ergebnissen zu erhalten, die unsere Experten dazu veranlasst haben, die genannte Klassifizierung zu bestimmen.

Screenshot der Seite

Wenn ein Incident als Falsch positiv oder Informativ, Erwartete Aktivität klassifiziert wird, wird das Feld Status des Incidents auf Gelöst aktualisiert. Unsere Experten schließen dann ihre Arbeit zu diesem Vorfall ab, und das Feld Zugewiesen zu wird auf Nicht zugewiesen aktualisiert. Unsere Experten können Updates aus ihrer Untersuchung und deren Schlussfolgerungen bei der Lösung eines Incidents teilen. Diese Updates werden unter Untersuchungszusammenfassung im Flyoutbereich verwaltete Antworten des Incidents veröffentlicht.

Wenn ein Incident als True Positive klassifiziert wird, identifizieren unsere Experten die erforderlichen Reaktionsaktionen, die ausgeführt werden müssen. Die Methode, mit der die Aktionen ausgeführt werden, hängt von den Berechtigungen und Zugriffsebenen ab, die Sie dem Defender Experts for XDR-Dienst erteilt haben. Erfahren Sie mehr über das Erteilen von Berechtigungen an unsere Experten.

  • Wenn Sie Defender Experts for XDR die empfohlenen Zugriffsberechtigungen für Sicherheitsoperator erteilt haben, können unsere Experten die erforderlichen Reaktionsaktionen für den Incident in Ihrem Namen ausführen. Diese Aktionen werden zusammen mit einer Untersuchungszusammenfassung im Flyout-Bereich verwaltete Antworten des Incidents in Ihrem Microsoft Defender-Portal angezeigt, damit Sie oder Ihr SOC-Team sie überprüfen können. Alle Aktionen, die von Defender Experts for XDR abgeschlossen werden, werden im Abschnitt Abgeschlossene Aktionen angezeigt. Alle ausstehenden Aktionen, die Sie oder Ihr SOC-Team ausführen müssen, sind im Abschnitt Ausstehende Aktionen aufgeführt. Weitere Informationen finden Sie im Abschnitt Aktionen . Nachdem unsere Experten alle erforderlichen Aktionen für den Vorfall ergriffen haben, wird das Feld Status in Gelöst aktualisiert, und das Feld Zugewiesen zu wird auf Kunde aktualisiert.

  • Wenn Sie Defender Experts for XDR den Standardzugriff für Sicherheitsleseberechtigte gewährt haben, werden die erforderlichen Antwortaktionen zusammen mit einer Zusammenfassung der Untersuchung im Flyoutbereich verwaltete Antworten des Incidents im Abschnitt Ausstehende Aktionen in Ihrem Microsoft Defender-Portal angezeigt, damit Sie oder Ihr SOC-Team ausführen können. Weitere Informationen finden Sie im Abschnitt Aktionen . Um diese Übergabe zu identifizieren, wird das Feld Status des Incidents auf Warten auf Kundenaktion aktualisiert, und das Feld Zugewiesen an wird auf Kunde aktualisiert.

Sie können die Anzahl der Vorfälle, die Ihre Aktion erfordern, im Banner Defender Experts oben auf der Microsoft Defender-Homepage überprüfen.

Screenshot der Defender Experts-Karte im Microsoft Defender-Portal mit der Anzahl der Vorfälle, die auf kundenrelevante Aktionen warten.

Sie können die Vorfälle im Zusammenhang mit Defender Experts anzeigen, indem Sie die Incidentwarteschlange in Ihrem Microsoft Defender-Portal mithilfe mehrerer Filtersätze filtern. Weitere Informationen zum Hinzufügen von Incidentwarteschlangenfiltern

  • Um die Vorfälle anzuzeigen, die unsere Experten derzeit untersuchen, verwenden Sie den Filter "Incidentzuweisung ", und wählen Sie Defender-Experten zugewiesen aus.

  • Um die Vorfälle anzuzeigen, die unsere Experten untersucht und an Ihr Team übergeben haben, um auf ausstehende Abhilfemaßnahmen zu reagieren, wählen Sie mithilfe des Filters "Incidentzuweisung " die Option Dem Kundenteam zugewiesen aus.

    Screenshot der Warteschlange für Vorfälle, die gefiltert wurde, um nur diejenigen mit dem Tag

  • Um die Vorfälle anzuzeigen, die unsere Experten untersucht und an Ihr Team übergeben haben, um auf ausstehende Abhilfemaßnahmen zu reagieren, wählen Sie mit dem Filter Status die Option Warten auf Kundenaktion aus.

    Screenshot der Warteschlange

  • Um die Vorfälle anzuzeigen, die unsere Experten untersucht haben (und entweder direkt gelöst oder Ihrem Team zugewiesen wurden, um ausstehende Korrekturmaßnahmen zu erhalten), wählen Sie mit dem Filter Tagsdie Option Defender Experts aus.

    Screenshot der Warteschlange

Verwenden einer verwalteten Antwort in Microsoft Defender XDR

Im Microsoft Defender-Portal ist für einen Incident, der Ihre Aufmerksamkeit mithilfe einer verwalteten Antwort erfordert, das Feld Status auf Wartende Kundenaktion, das Feld Zugewiesen an auf Kunde und eine Aufgabenkarte oben im Bereich Incidents festgelegt. Ihre angegebenen Incidentkontakte erhalten auch eine entsprechende E-Mail-Benachrichtigung mit einem Link zum Defender-Portal, um den Incident anzuzeigen. Erfahren Sie mehr über Benachrichtigungskontakte. Sie erhalten auch eine Teams-Benachrichtigung, die Sie über die Updates informiert. Weitere Informationen zum Einrichten von Teams

Wählen Sie auf der Aufgabenkarte oder oben auf der Portalseite (Registerkarte Verwaltete Antwort) die Option Verwaltete Antwort anzeigen aus, um ein Flyout-Panel zu öffnen, in dem Sie die Untersuchungszusammenfassung unserer Experten lesen, ausstehende Aktionen ausführen, die von unseren Experten identifiziert wurden, oder über einen Chat mit ihnen interagieren können.

Zusammenfassung der Untersuchung

Der Abschnitt "Zusammenfassung der Untersuchung " bietet Ihnen mehr Kontext zu dem von unseren Experten analysierten Incident, um Ihnen Einblicke in den Schweregrad und die potenziellen Auswirkungen zu geben, wenn sie nicht sofort behandelt werden. Sie kann die Gerätezeitachse, die Indikatoren für Angriffe und die beobachteten Gefährdungsindikatoren (IOCs) sowie weitere Details enthalten.

Screenshot: Zusammenfassung der Untersuchung der verwalteten Antwort

Aktionen

Auf der Registerkarte Aktionen werden Aufgabenkarten angezeigt, die von unseren Experten empfohlene Antwortaktionen enthalten.

Defender Experts for XDR unterstützt derzeit die folgenden verwalteten Antwortaktionen mit nur einem Klick:

Aktion Beschreibung
Gerät isolieren Isoliert ein Gerät, wodurch verhindert wird, dass ein Angreifer es kontrolliert und weitere Aktivitäten wie Datenexfiltration und Lateral Movement ausführt. Das isolierte Gerät ist weiterhin mit Microsoft Defender für Endpunkt verbunden.
Quarantänedatei Beendet die Ausführung von Prozessen, isoliert die Dateien und löscht persistente Daten wie Registrierungsschlüssel.
Einschränken der App-Ausführung Schränkt die Ausführung potenziell schädlicher Programme ein und sperrt das Gerät, um weitere Versuche zu verhindern.
Release from isolation (Aus isolation freigeben) Hebt die Isolation eines Geräts auf.
Entfernen von App-Einschränkungen Hebt die Freigabe aus der Isolation auf.
Benutzer deaktivieren Deaktivieren Sie den Zugriff einer Identität auf das Netzwerk und verschiedene Endpunkte.

Neben diesen 1-Klick-Aktionen können Sie auch verwaltete Antworten von unseren Experten erhalten, die Sie manuell ausführen müssen.

Hinweis

Bevor Sie eine der empfohlenen aktionen für verwaltete Antworten ausführen, stellen Sie sicher, dass sie nicht bereits von Ihren automatisierten Untersuchungs- und Antwortkonfigurationen behandelt werden. Erfahren Sie mehr über automatisierte Untersuchungs- und Reaktionsfunktionen in Microsoft Defender XDR.

So zeigen Sie die verwalteten Antwortaktionen an und führen sie aus:

  1. Wählen Sie die Pfeilschaltflächen in einer Aktionskarte aus, um sie zu erweitern und weitere Informationen zur erforderlichen Aktion zu lesen.

    Screenshot der verwalteten Antwortaktion zum Isolieren des Geräteproduktservers.

  2. Wählen Sie für Karten mit 1-Klick-Antwortaktionen die erforderliche Aktion aus. Der Aktionsstatus auf der Karte ändert sich abhängig vom Ergebnis der Aktion in In Bearbeitung und dann in Fehler oder Abgeschlossen.

    Screenshot der verwalteten Antwortaktion, die zeigt, dass der Produktserver des Geräts isoliert wird.

Tipp

Sie können auch den Status von Reaktionsaktionen im Portal im Info-Center überwachen. Wenn eine Antwortaktion fehlschlägt, versuchen Sie es erneut auf der Seite Gerätedetails anzeigen , oder initiieren Sie einen Chat mit Defender Experts.

  1. Wählen Sie für Karten mit erforderlichen Aktionen, die Sie manuell ausführen müssen, ich habe diese Aktion abgeschlossen aus, nachdem Sie sie ausgeführt haben, und wählen Sie dann Ja, ich habe es ausgeführt im angezeigten Bestätigungsdialogfeld aus.

    Screenshot der verwalteten Antwortaktion zum Bestätigen des Abschlusses der Aktion.

  2. Wenn Sie eine erforderliche Aktion nicht sofort abschließen möchten, wählen Sie Überspringen und dann Ja, diese Aktion überspringen im angezeigten Bestätigungsdialogfeld aus.

Wichtig

Wenn Sie feststellen, dass eine der Schaltflächen auf den Aktionskarten abgeblendet ist, kann dies darauf hindeuten, dass Sie nicht über die erforderlichen Berechtigungen zum Ausführen der Aktion verfügen. Stellen Sie sicher, dass Sie beim Microsoft Defender XDR-Portal mit den entsprechenden Berechtigungen angemeldet sind. Die meisten verwalteten Antwortaktionen erfordern, dass Sie mindestens über den Zugriff des Sicherheitsoperators verfügen. Wenn dieses Problem auch mit den entsprechenden Berechtigungen weiterhin auftritt, navigieren Sie zu Gerätedetails anzeigen , und führen Sie die Schritte dort aus.

Einblick in Defender Experts-Untersuchungen in Ihrer SIEM- oder ITSM-Anwendung erhalten

Wenn Defender Experts for XDR Incidents untersuchen und Abhilfemaßnahmen einleitet, können Sie Einblick in ihre Arbeit an Incidents in Ihren SIEM-Anwendungen (Security Information and Event Management) und IT Service Management (ITSM) erhalten, einschließlich sofort verfügbarer Anwendungen.

Microsoft Sentinel

Sie können die Sichtbarkeit von Vorfällen in Microsoft Sentinel erhalten, indem Sie den sofort einsatzbereiten Microsoft Defender XDR-Datenconnector aktivieren. Weitere Informationen.

Nachdem Sie den Connector aktiviert haben, werden updates von Defender Experts für die Felder Status, Zugewiesen zu, Klassifizierung und Bestimmung in Microsoft Defender XDR in den entsprechenden Feldern Status, Besitzer und Grund für das Schließen in Sentinel angezeigt.

Hinweis

Der Status von Vorfällen, die von Defender-Experten in Microsoft Defender XDR untersucht werden, wechselt in der Regel von Aktiv in In Bearbeitung in Awaiting Customer Action to Resolved, während er in Sentinel dem Pfad Neu zu Aktiv bis Aufgelöst folgt. Der Microsoft Defender XDR-Status wartet auf Kundenaktion verfügt in Sentinel nicht über ein entsprechendes Feld. stattdessen wird es als Tag in einem Incident in Sentinel angezeigt.

Im folgenden Abschnitt wird beschrieben, wie ein von unseren Experten behandelter Incident in Sentinel aktualisiert wird, während er die Untersuchungsreise durchläuft:

  1. Ein Vorfall, der von unseren Experten untersucht wird, weist den Status als Aktiv und den Besitzer als Defender-Experten auf.

  2. Ein Incident, den unsere Experten als wahr positiv bestätigt haben, verfügt über eine verwaltete Antwort, die in Microsoft Defender XDR veröffentlicht wurde, und ein Tagawaiting Customer Action und der Besitzer wird als Kunde aufgeführt. Sie müssen basierend auf der im Defender-Portal bereitgestellten verwalteten Antwort auf den Incident reagieren.

  3. Für einen Vorfall, den unsere Experten als "Richtig positiv" bestätigt haben, mit allen Korrekturmaßnahmen, die von Defender Experts durchgeführt wurden, wird der Status des Vorfalls auf Gelöst aktualisiert, und der Besitzer wird als Kunde aufgeführt. Sie können die für den Incident ausgeführten Aktionen mithilfe der bereitgestellten verwalteten Antwort im Defender-Portal überprüfen.

  4. Sobald unsere Experten ihre Untersuchung abgeschlossen und einen Vorfall als Falsch positiv oder Information, erwartete Aktivität geschlossen haben, wird der Status des Vorfalls in Gelöst aktualisiert, der Besitzer wird auf Nicht zugewiesen aktualisiert und ein Grund für die Schließung angegeben.

    Screenshot: Microsoft Sentinel-Incidents.

Andere Anwendungen

Sie können einblick in Incidents in Ihrer SIEM- oder ITSM-Anwendung erhalten, indem Sie die Microsoft Defender XDR-API oder Connectors in Sentinel verwenden.

Nach dem Konfigurieren eines Connectors können die Updates von Defender Experts zu den Feldern Status, Zugewiesen zu, Klassifizierung und Bestimmung eines Incidents in Microsoft Defender XDR mit den SIEM- oder ITSM-Anwendungen von Drittanbietern synchronisiert werden, je nachdem, wie die Feldzuordnung implementiert wurde. Zur Veranschaulichung können Sie einen Blick auf den Connector werfen, der von Sentinel zu ServiceNow verfügbar ist.

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.