Untersuchen von Vorfällen in Microsoft Defender für Endpunkt

Gilt für:

Untersuchen Sie Vorfälle, die sich auf Ihr Netzwerk auswirken, verstehen Sie, was sie bedeuten, und ermitteln Sie Beweise, um sie zu beheben.

Wenn Sie einen Incident untersuchen, wird Folgendes angezeigt:

  • Vorfalldetails
  • Incidentkommentare und -aktionen
  • Registerkarten (Warnungen, Geräte, Untersuchungen, Beweise, Diagramm)

Analysieren von Incidentdetails

Tipp

Für einen begrenzten Zeitraum im Januar 2024 wird Defender Boxed angezeigt, wenn Sie die Seite Incidents besuchen. Defender Boxed hebt die Sicherheitserfolge, Verbesserungen und Reaktionsaktionen Ihres organization im Jahr 2023 hervor. Um Defender Boxed erneut zu öffnen, wechseln Sie im Microsoft Defender-Portal zu Incidents, und wählen Sie dann Ihr Defender Boxed aus.

Klicken Sie auf einen Incident, um den Bereich Incident anzuzeigen. Wählen Sie Vorfallseite öffnen aus, um die Incidentdetails und die zugehörigen Informationen (Warnungen, Geräte, Untersuchungen, Beweise, Diagramm) anzuzeigen.

Die Details eines Incidents

Warnungen

Sie können die Warnungen untersuchen und sehen, wie sie in einem Incident miteinander verknüpft wurden. Warnungen werden aus folgenden Gründen in Incidents gruppiert:

  • Automatisierte Untersuchung: Die automatisierte Untersuchung hat die verknüpfte Warnung ausgelöst, während die ursprüngliche Warnung untersucht wurde.
  • Dateimerkmale: Die der Warnung zugeordneten Dateien weisen ähnliche Merkmale auf.
  • Manuelle Zuordnung: Ein Benutzer hat die Warnungen manuell verknüpft.
  • Proximatzeit: Die Warnungen wurden innerhalb eines bestimmten Zeitraums auf demselben Gerät ausgelöst.
  • Dieselbe Datei: Die der Warnung zugeordneten Dateien sind genau identisch.
  • Gleiche URL: Die URL, die die Warnung ausgelöst hat, ist identisch.

Registerkarte

Sie können auch eine Warnung verwalten und Warnungsmetadaten zusammen mit anderen Informationen anzeigen. Weitere Informationen finden Sie unter Untersuchen von Warnungen.

Geräte

Sie können auch die Geräte untersuchen, die Teil eines bestimmten Incidents sind oder sich darauf beziehen. Weitere Informationen finden Sie unter Untersuchen von Geräten.

Registerkarte

Untersuchungen

Wählen Sie Untersuchungen aus, um alle automatischen Untersuchungen anzuzeigen, die vom System als Reaktion auf die Incidentwarnungen gestartet wurden.

Registerkarte

Durchgehen der Beweise

Microsoft Defender for Endpoint untersucht automatisch alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen und stellt Ihnen Autoresponse und Informationen zu wichtigen Dateien, Prozessen, Diensten und mehr zur Verfügung.

Jede der analysierten Entitäten wird als infiziert, behoben oder verdächtig gekennzeichnet.

Registerkarte

Visualisieren der zugehörigen Cybersicherheitsbedrohungen

Microsoft Defender for Endpoint aggregiert die Bedrohungsinformationen in einem Incident, damit Sie die Muster und Korrelationen sehen können, die von verschiedenen Datenpunkten stammen. Sie können eine solche Korrelation über das Incidentdiagramm anzeigen.

Incidentdiagramm

Der Graph erzählt die Geschichte des Cybersicherheitsangriffs. Es zeigt Ihnen beispielsweise, welcher Einstiegspunkt war, welcher Indikator für die Kompromittierung oder Aktivität auf welchem Gerät beobachtet wurde. Etc.

Das Incidentdiagramm

Sie können auf die Kreise im Incidentdiagramm klicken, um die Details der schädlichen Dateien, die zugehörigen Dateierkennungen, die Anzahl der weltweiten Instanzen anzuzeigen, ob dies in Ihrem organization beobachtet wurde, wenn ja, wie viele Instanzen.

Die Seite mit den Incidentdetails

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.