Überprüfen von Korrekturaktionen nach einer automatisierten Untersuchung

Gilt für:

• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender für Unternehmen

Wartungsaktionen

Wenn eine automatisierte Untersuchung ausgeführt wird, wird für jeden untersuchten Beweis ein Urteil generiert. Urteile können böswillig, verdächtig oder Keine Bedrohungen gefunden sein.

Je

• die Art der Bedrohung,
• das resultierende Urteil und
• Wie die Gerätegruppen Ihrer organization konfiguriert werden,

Korrekturaktionen können automatisch oder nur nach Genehmigung durch das Sicherheitsbetriebsteam Ihres organization ausgeführt werden.

Hinweis

Die Erstellung von Gerätegruppen wird in Defender für Endpunkt Plan 1 und Plan 2 unterstützt.

Hier ein paar Beispiele:

• Beispiel 1: Die Gerätegruppen von Fabrikam sind auf Vollständig festgelegt – Bedrohungen werden automatisch behoben (empfohlene Einstellung). In diesem Fall werden Korrekturaktionen automatisch für Artefakte ausgeführt, die nach einer automatisierten Untersuchung als schädlich eingestuft werden (siehe Überprüfen abgeschlossener Aktionen).

• Beispiel 2: Die Geräte von Contoso sind in einer Gerätegruppe enthalten, die auf Semi festgelegt ist – Genehmigung für alle Korrekturen erforderlich. In diesem Fall muss das Sicherheitsteam von Contoso alle Korrekturaktionen nach einer automatisierten Untersuchung überprüfen und genehmigen (siehe Überprüfen ausstehender Aktionen).

• Beispiel 3: Die Gerätegruppen von Tailspin Toys sind auf Keine automatisierte Antwort (nicht empfohlen) festgelegt. In diesem Fall finden keine automatisierten Untersuchungen statt. Es werden keine Korrekturaktionen ausgeführt oder stehen aus, und es werden keine Aktionen im Info-Center für ihre Geräte protokolliert (siehe Verwalten von Gerätegruppen).

Unabhängig davon, ob sie automatisch oder nach Genehmigung durchgeführt werden, kann eine automatisierte Untersuchung und Wartung zu einer oder mehreren der Wiederherstellungsaktionen führen:

• Isolieren einer Datei
• Entfernen eines Registrierungsschlüssels
• Beenden eines Prozesses
• Beenden eines Diensts
• Deaktivieren eines Treibers
• Entfernen einer geplanten Aufgabe

Überprüfen ausstehender Aktionen

1. Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.

2. Wählen Sie im Navigationsbereich Info-Center aus.

3. Überprüfen Sie die Elemente auf der Registerkarte Ausstehend .

4. Wählen Sie eine Aktion aus, um den zugehörigen Flyoutbereich zu öffnen.

5. Überprüfen Sie im Flyoutbereich die Informationen, und führen Sie dann einen der folgenden Schritte aus:

   • Wählen Sie Untersuchungsseite öffnen aus, um weitere Details zur Untersuchung anzuzeigen.
   • Wählen Sie Genehmigen aus, um eine ausstehende Aktion zu initiieren.
   • Wählen Sie Ablehnen aus, um zu verhindern, dass eine ausstehende Aktion ausgeführt wird.
   • Wählen Sie Gehe zur Jagd , um zur Erweiterten Suche zu wechseln.

Genehmigen oder Ablehnen von Korrekturaktionen

Bei Vorfällen mit einer Status ausstehender Genehmigung können Sie eine Korrekturaktion auch innerhalb des Incidents genehmigen oder ablehnen.

1. Wechseln Sie im Navigationsbereich zu Incidents & Warnungen>Incidents.
2. Filtern Sie nach der Aktion "Ausstehend " für den Status "Automatisierte Untersuchung" (optional).
3. Wählen Sie einen Incidentnamen aus, um die zugehörige Zusammenfassungsseite zu öffnen.
4. Wählen Sie die Registerkarte Beweis und Antwort aus.
5. Wählen Sie ein Element in der Liste aus, um den flyout-Bereich zu öffnen.
6. Überprüfen Sie die Informationen, und führen Sie dann einen der folgenden Schritte aus:
   • Wählen Sie die Option Ausstehende Aktion genehmigen aus, um eine ausstehende Aktion zu initiieren.
   • Wählen Sie die Option Ausstehende Aktion ablehnen aus, um zu verhindern, dass eine ausstehende Aktion ausgeführt wird.

Überprüfen abgeschlossener Aktionen

1. Wechseln Sie zum Microsoft Defender-Portal, und melden Sie sich an.

2. Wählen Sie im Navigationsbereich Info-Center aus.

3. Überprüfen Sie die Elemente auf der Registerkarte Verlauf .

4. Wählen Sie ein Element aus, um weitere Details zu dieser Wartungsaktion anzuzeigen.

Rückgängigmachen abgeschlossener Aktionen

Wenn Sie festgestellt haben, dass ein Gerät oder eine Datei keine Bedrohung darstellt, können Sie durchgeführte Wiederherstellungsaktionen rückgängig gemacht werden, unabhängig davon, ob diese Aktionen automatisch oder manuell ausgeführt wurden. Im Info-Center können Sie auf der Registerkarte Verlauf eine der folgenden Aktionen rückgängigmachen:

Aktionsquelle	Unterstützte Aktionen
Automatisierte Untersuchung Manuelle Reaktionsaktionen (siehe hinweis unten) Microsoft Defender Antivirus	Deaktivieren eines Treibers Gerät isolieren Isolieren einer Datei Entfernen eines Registrierungsschlüssels Entfernen einer geplanten Aufgabe Code-Ausführung einschränken Beenden eines Diensts

Hinweis

Defender für Endpunkt Plan 1 und Microsoft Defender for Business nur die folgenden manuellen Antwortaktionen enthalten:

• Antivirusscan ausführen
• Gerät isolieren
• Beenden und Isolieren einer Datei
• Hinzufügen eines Indikators zum Blockieren oder Zulassen einer Datei

So machen Sie mehrere Aktionen gleichzeitig rückgängig

1. Wechseln Sie zum Info-Center (https://security.microsoft.com/action-center), und melden Sie sich an.

2. Wählen Sie auf der Registerkarte Verlauf die Aktionen aus, die Sie rückgängig machen möchten. Stellen Sie sicher, dass Sie Elemente mit demselben Aktionstyp auswählen. Ein Flyoutbereich wird geöffnet.

3. Wählen Sie im Flyoutbereich Rückgängig aus.

So entfernen Sie eine Datei aus der Quarantäne auf mehreren Geräten

1. Wechseln Sie zum Info-Center (https://security.microsoft.com/action-center), und melden Sie sich an.

2. Wählen Sie auf der Registerkarte Verlauf ein Element mit dem Aktionstyp Quarantänedatei aus.

3. Wählen Sie im Flyoutbereich Auf X weitere Instanzen dieser Datei anwenden und dann Rückgängig aus.

Automatisierungsebenen, automatisierte Untersuchungsergebnisse und daraus resultierende Aktionen

Automatisierungsebenen wirken sich darauf aus, ob bestimmte Korrekturaktionen automatisch oder nur nach Genehmigung ausgeführt werden. Manchmal muss Ihr Sicherheitsteam abhängig von den Ergebnissen einer automatisierten Untersuchung weitere Schritte ausführen. In der folgenden Tabelle sind Automatisierungsebenen, Ergebnisse automatisierter Untersuchungen und die jeweils zu tunden Schritte zusammengefasst.

Gerätegruppeneinstellung	Automatisierte Untersuchungsergebnisse	Vorgehensweise
Vollständig: Automatisches Beheben von Bedrohungen (empfohlen)	Ein Urteil über Böswilligen wird für einen Beweis getroffen. Geeignete Korrekturmaßnahmen werden automatisch ausgeführt.	Überprüfen abgeschlossener Aktionen
Semi: Genehmigung für alle Korrekturen erforderlich	Ein Urteil über böswillig oder verdächtig wird für einen Beweis getroffen. Die Genehmigung für die Fortsetzung von Wartungsaktionen steht aus.	Genehmigen (oder Ablehnen) ausstehender Aktionen
Semi: Genehmigung für die Wiederherstellung von Kernordnern erforderlich	Ein Urteil über Böswilligen wird für einen Beweis getroffen. Wenn es sich bei dem Artefakt um eine Datei oder ausführbare Datei handelt und sich in einem Betriebssystemverzeichnis befindet, z. B. im Windows-Ordner oder im Ordner "Programme", stehen die Korrekturaktionen aus. Wenn sich das Artefakt nicht in einem Betriebssystemverzeichnis befindet, werden Korrekturaktionen automatisch ausgeführt.	Genehmigen (oder Ablehnen) ausstehender Aktionen Überprüfen abgeschlossener Aktionen
Semi: Genehmigung für die Wiederherstellung von Kernordnern erforderlich	Ein Urteil über Verdächtige wird für einen Beweis getroffen. Die Genehmigung von Korrekturaktionen steht aus.	Ausstehende Aktionen genehmigen (oder ablehnen).
Semi: Genehmigung für die Wiederherstellung nicht temporärer Ordner erforderlich	Ein Urteil über Böswilligen wird für einen Beweis getroffen. Wenn es sich bei dem Artefakt um eine Datei oder ausführbare Datei handelt, die sich nicht in einem temporären Ordner befindet, z. B. im Downloadordner oder temporären Ordner des Benutzers, stehen die Korrekturaktionen aus. Wenn es sich bei dem Artefakt um eine Datei oder ausführbare Datei handelt, die sich in einem temporären Ordner befindet, werden automatisch Korrekturaktionen ausgeführt.	Genehmigen (oder Ablehnen) ausstehender Aktionen Überprüfen abgeschlossener Aktionen
Semi: Genehmigung für die Wiederherstellung nicht temporärer Ordner erforderlich	Ein Urteil über Verdächtige wird für einen Beweis getroffen. Die Genehmigung von Korrekturaktionen steht aus.	Genehmigen (oder Ablehnen) ausstehender Aktionen
Alle Automatisierungsebenen "Vollständig " oder "Semi "	Ein Urteil von Keine Bedrohungen gefunden wird für ein Stück Beweis erreicht. Es werden keine Abhilfemaßnahmen ausgeführt, und es stehen keine Maßnahmen zur Genehmigung aus.	Anzeigen von Details und Ergebnissen von automatischen Untersuchungen
Keine automatisierte Antwort (nicht empfohlen)	Es werden keine automatisierten Untersuchungen ausgeführt, sodass keine Urteile getroffen werden und keine Abhilfemaßnahmen durchgeführt werden oder auf die Genehmigung warten.	Erwägen Sie das Einrichten oder Ändern Ihrer Gerätegruppen, um die Voll- oder Halbautomatisierung zu verwenden.

Alle Urteile werden im Info-Center nachverfolgt.

Hinweis

In Defender for Business sind automatisierte Untersuchungs- und Korrekturfunktionen so voreingestellt, dass sie vollständig – Bedrohungen automatisch beheben. Diese Funktionen werden standardmäßig auf alle Geräte angewendet.

Nächste Schritte

• Erfahren Sie mehr über live response-Funktionen
• Proaktive Suche nach Bedrohungen mit erweiterter Suche
• Adressiert falsch positive/negative Ergebnisse in Microsoft Defender für Endpunkt

Siehe auch

• Übersicht über automatisierte Untersuchungen

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.