Reaktion auf Vorfälle mit Microsoft 365 Defender
Hinweis
Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender bewerten und pilotieren können.
Gilt für:
- Microsoft 365 Defender
Ein Incident in Microsoft 365 Defender ist eine Sammlung korrelierter Warnungen und zugehöriger Daten, die die Geschichte eines Angriffs bilden.
Microsoft 365-Dienste und -Anwendungen erstellen Warnungen, wenn sie ein verdächtiges oder bösartiges Ereignis oder eine Aktivität erkennen. Einzelne Warnungen bieten wertvolle Hinweise zu einem abgeschlossenen oder laufenden Angriff. Angriffe wenden jedoch in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten an, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind mehrere Warnungen für mehrere Entitäten in Ihrem Mandanten.
Da es schwierig und zeitaufwändig sein kann, die einzelnen Warnungen zusammenzufassen, um Erkenntnisse zu einem Angriff zu erhalten, fasst Microsoft 365 Defender die Warnungen und die damit verbundenen Informationen automatisch zu einem Vorfall zusammen.
Das Gruppieren von verwandten Warnungen in einem Vorfall gibt Sie einen umfassenden Überblick über einen Angriff. Sie können beispielsweise Folgendes sehen:
- Wo der Angriff begonnen hat.
- Welche Taktiken verwendet wurden.
- Wie weit der Angriff Ihren Mandanten gelangt ist.
- Den Umfang des Angriffs, z. B. wie viele Geräte, Benutzer und Postfächer betroffen waren.
- Alle Daten, die dem Angriff zugeordnet sind.
Wenn diese Option aktiviert ist, können Microsoft 365 Defender Warnungen durch Automatisierung und künstliche Intelligenz automatisch untersuchen und auflösen. Sie können auch zusätzliche Korrekturschritte ausführen, um den Angriff zu beheben.
Incidents und Warnungen im Microsoft 365 Defender-Portal
Sie verwalten Incidents über Incidents-Warnungen &> Incidents beim Schnellstart des Microsoft 365 Defender-Portals. Im Folgenden sehen Sie ein Beispiel.
Wenn Sie einen Incidentnamen auswählen, wird die gesamte Angriffsgeschichte des Incidents angezeigt, einschließlich:
- Warnungsseite innerhalb des Incidents: Der Bereich der Warnungen im Zusammenhang mit dem Incident und deren Informationen auf derselben Registerkarte.
- Graph: Eine visuelle Darstellung des Angriffs, der die verschiedenen verdächtigen Entitäten, die Teil des Angriffs sind, mit ihren zugehörigen Ressourcen wie Benutzern, Geräten und Postfächern verbindet.
Sie können die Entitätsdetails direkt aus dem Graphen anzeigen und mit Antwortoptionen wie Dateilöschung oder Geräteisolation darauf reagieren.
Die zusätzlichen Registerkarten für einen Incident sind:
Angriffsgeschichte
Die vollständige Geschichte des Angriffs, einschließlich aller Warnungen, Ressourcen und Durchgeführten Wiederherstellungsaktionen.
Warnungen
Alle Warnungen im Zusammenhang mit dem Vorfall und deren Informationen.
Objekte
Alle Ressourcen (Geräte, Benutzer, Postfächer und Apps), die als Teil des Incidents oder im Zusammenhang mit diesem identifiziert wurden.
Untersuchungen
Alle automatisierten Untersuchungen , die durch Warnungen im Incident ausgelöst werden.
Beweis und Antwort
Alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen des Incidents.
Zusammenfassung
Eine kurze Übersicht über die betroffenen Ressourcen, die Warnungen zugeordnet sind.
Hinweis
Wenn eine Warnung vom Typ "Nicht unterstützt" status angezeigt wird, bedeutet dies, dass automatisierte Untersuchungsfunktionen diese Warnung nicht zum Ausführen einer automatisierten Untersuchung aufnehmen können. Sie können diese Warnungen jedoch manuell untersuchen.
Beispielworkflow zur Reaktion auf Vorfälle für Microsoft 365 Defender
Hier ist ein Beispielworkflow für die Reaktion auf Vorfälle in Microsoft 365 mit dem Microsoft 365 Defender-Portal.
Identifizieren Sie fortlaufend die Vorfälle mit der höchsten Priorität für die Analyse und Lösung in der Vorfallswarteschlange, und bereiten Sie sie auf Reaktionen vor. Dies ist eine Kombination aus:
- Selektierung zur Ermittlung der Vorfälle mit der höchsten Priorität durch Filtern und Sortieren der Incidentwarteschlange.
- Verwalten von Incidents, indem Sie ihren Titel ändern, sie einem Analysten zuweisen und Tags und Kommentare hinzufügen.
Berücksichtigen Sie die folgenden Schritte für Ihren eigenen Workflow zur Reaktion auf Vorfälle:
Beginnen Sie für jeden Vorfall mit einer Untersuchung und Analyse von Angriffen und Warnungen:
Zeigen Sie die Angriffsgeschichte des Incidents an, um den Umfang, den Schweregrad, die Erkennungsquelle und die betroffenen Entitäten zu verstehen.
Beginnen Sie mit der Analyse der Warnungen, um deren Ursprung, Umfang und Schweregrad mit dem Warnungsverlauf innerhalb des Incidents zu verstehen.
Sammeln Sie bei Bedarf Mit dem Diagramm Informationen zu betroffenen Geräten, Benutzern und Postfächern. Klicken Sie mit der rechten Maustaste auf eine beliebige Entität, um ein Flyout mit allen Details zu öffnen.
Erfahren Sie, wie Microsoft 365 Defender einige Warnungen auf der Registerkarte Untersuchungen automatisch aufgelöst hat.
Verwenden Sie bei Bedarf informationen im Dataset für den Incident, um weitere Informationen über die Registerkarte Beweise und Antwort zu erstellen.
Führen Sie nach oder während Ihrer Analyse eine Eindämmung durch, um die zusätzlichen Auswirkungen des Angriffs zu verringern und die Sicherheitsrisiken zu beseitigen.
Stellen Sie nach dem Angriff so viel wie möglich wieder her, indem Sie Ihre Mandantenressourcen in den Zustand wiederherstellen, in dem sie sich vor dem Vorfall befanden.
Beheben Sie den Vorfall, und nehmen Sie sich Zeit für das Lernen nach dem Incident, um Folgendes zu erfahren:
- Verstehen sie den Typ des Angriffs und seine Auswirkungen.
- Untersuchen Sie den Angriff in Threat Analytics und der Sicherheitscommunity auf einen Sicherheitsangriffstrend.
- Erinnern Sie sich an den Workflow, den Sie verwendet haben, um den Vorfall zu beheben und aktualisieren Sie Ihre standardmäßigen Workflows, Prozesse, Richtlinien und Playbooks bei Bedarf.
- Ermitteln Sie, ob Änderungen in Ihrer Sicherheitskonfiguration erforderlich sind, und implementieren Sie sie.
Wenn Sie mit der Sicherheitsanalyse noch nicht fertig sind, finden Sie in der Einführung zur Reaktion auf Ihren ersten Incident weitere Informationen und informationen zum Schrittweisen Durchlaufen eines Beispielvorfalls.
Weitere Informationen zur Reaktion auf Vorfälle in Microsoft-Produkten finden Sie in diesem Artikel.
Beispielsicherheitsvorgänge für Microsoft 365 Defender
Hier sehen Sie ein Beispiel für Sicherheitsvorgänge (SecOps) für Microsoft 365 Defender.
Tägliche Aufgaben können Folgendes umfassen:
- Verwalten von Incidents
- Überprüfen von AIR-Aktionen (Automated Investigation and Response, automatisierte Untersuchung und Reaktion) im Info-Center
- Überprüfen der neuesten Bedrohungsanalyse
- Reagieren auf Vorfälle
Monatliche Aufgaben können Folgendes umfassen:
- Überprüfen der AIR-Einstellungen
- Überprüfen der Sicherheitsbewertung und Microsoft Defender Vulnerability Management
- Berichterstellung an Ihre IT-Sicherheitsverwaltungskette
Vierteljährliche Aufgaben können einen Bericht und eine Einweisung der Sicherheitsergebnisse an den Chief Information Security Officer (CISO) umfassen.
Jährliche Aufgaben können die Durchführung eines größeren Vorfalls oder einer Sicherheitsverletzungsübung umfassen, um Ihre Mitarbeiter, Systeme und Prozesse zu testen.
Tägliche, monatliche, vierteljährliche und jährliche Aufgaben können verwendet werden, um Prozesse, Richtlinien und Sicherheitskonfigurationen zu aktualisieren oder zu verfeinern.
Weitere Informationen finden Sie unter Integrieren von Microsoft 365 Defender in Ihre Sicherheitsvorgänge.
SecOps-Ressourcen für Microsoft-Produkte
Weitere Informationen zu SecOps für microsoft-Produkte finden Sie in den folgenden Ressourcen:
Abrufen von Incidentbenachrichtigungen per E-Mail
Sie können Microsoft 365 Defender einrichten, um Ihre Mitarbeiter per E-Mail über neue Vorfälle oder Aktualisierungen vorhandener Vorfälle zu benachrichtigen. Sie können Benachrichtigungen basierend auf folgenden Optionen erhalten:
- Warnungsschweregrad
- Warnungsquellen
- Gerätegruppe
E-Mail-Benachrichtigungen nur für eine bestimmte Dienstquelle erhalten: Sie können ganz einfach bestimmte Dienstquellen auswählen, für die Sie E-Mail-Benachrichtigungen erhalten möchten.
Erhalten Sie mehr Granularität mit bestimmten Erkennungsquellen: Sie können nur Benachrichtigungen für eine bestimmte Erkennungsquelle erhalten.
Festlegen des Schweregrads pro Erkennungs- oder Dienstquelle: Sie können auswählen, dass E-Mail-Benachrichtigungen nur für bestimmte Schweregrade pro Quelle abgerufen werden sollen. Sie können z. B. für warnungen mittel und hoch für EDR und alle Schweregrade für Microsoft Defender Experts benachrichtigt werden.
Die E-Mail-Benachrichtigung enthält wichtige Details zum Incident, z. B. Den Incidentnamen, den Schweregrad und die Kategorien. Sie können auch direkt zum Incident wechseln und ihre Analyse sofort starten. Weitere Informationen finden Sie unter Untersuchen von Incidents.
Sie können Empfänger in den E-Mail-Benachrichtigungen hinzufügen oder entfernen. Neue Empfänger werden über Vorfälle benachrichtigt, nachdem sie hinzugefügt wurden.
Hinweis
Sie benötigen die Berechtigung Sicherheitseinstellungen verwalten , um E-Mail-Benachrichtigungseinstellungen zu konfigurieren. Wenn Sie sich für die grundlegende Berechtigungsverwaltung entschieden haben, können Benutzer mit den Rollen "Sicherheitsadministrator" oder "Globaler Administrator" E-Mail-Benachrichtigungen konfigurieren.
Wenn Ihr organization die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwendet, können Sie Benachrichtigungen nur basierend auf Gerätegruppen erstellen, bearbeiten, löschen und empfangen, die Sie verwalten dürfen.
Erstellen einer Regel für E-Mail-Benachrichtigungen
Führen Sie die diese Schritte aus, um eine neue Regel zu erstellen und E-Mail-Benachrichtigungseinstellungen anzupassen.
Wechseln Sie im Navigationsbereich zu Microsoft 365 Defender, und wählen Sie Einstellungen > Microsoft 365 Defender > Incident-E-Mail-Benachrichtigungen aus.
Wählen Sie Element hinzufügen aus.
Geben Sie auf der Seite Grundlagen den Regelnamen und eine Beschreibung ein, und wählen Sie dann Weiter aus.
Konfigurieren Sie auf der Seite Benachrichtigungseinstellungen Folgendes:
- Benachrichtigungsschweregrad – Wählen Sie den Benachrichtigungsschweregrad aus, der eine Vorfallbenachrichtigung auslösen wird. Wenn Sie beispielsweise nur über Vorfälle mit hohem Schweregrad informiert werden möchten, wählen Sie Hoch aus.
- Gerätegruppenbereich – Sie können alle Gerätegruppen angeben, oder aus der Liste der Gerätegruppen in Ihrem Mandanten auswählen.
- Nur eine Benachrichtigung pro Incident senden : Wählen Sie diese Option aus, wenn Sie eine Benachrichtigung pro Incident wünschen.
- Organisationsnamens in der E-Mail einschließen – Wählen Sie dies aus, wenn Sie wollen, dass der Name Ihrer Organisation in der E-Mail-Benachrichtigung angezeigt wird.
- Mandantenspezifischen Portallink einschließen – Wählen Sie dies aus, wenn Sie einen Link mit der Mandanten-ID in der E-Mail-Benachrichtigung für den Zugriff auf einen bestimmten Microsoft 365-Mandanten hinzufügen wollen.
Wählen Sie Weiter aus. Fügen Sie auf der Seite Empfänger die E-Mail-Adressen hinzu, die die Incidentbenachrichtigungen erhalten. Wählen Sie Hinzufügen aus, nachdem Sie jede neue E-Mail-Adresse eingegeben haben. Um Benachrichtigungen zu testen und sicherzustellen, dass die Empfänger sie in den Posteingängen erhalten, wählen Sie Test-E-Mail senden aus.
Wählen Sie Weiter aus. Überprüfen Sie auf der Seite Regel überprüfen die Einstellungen der Regel, und wählen Sie dann Regel erstellen aus. Empfänger erhalten basierend auf den Einstellungen Incidentbenachrichtigungen per E-Mail.
Um eine vorhandene Regel zu bearbeiten, wählen Sie sie aus der Liste der Regeln aus. Wählen Sie im Bereich mit dem Regelnamen Regel bearbeiten aus, und nehmen Sie Ihre Änderungen auf den Seiten Grundlagen, Benachrichtigungseinstellungen und Empfänger vor.
Um eine Regel zu löschen, wählen Sie sie aus der Liste der Regeln aus. Wählen Sie im Bereich mit dem Regelnamen Löschen aus.
Sobald Sie die Benachrichtigung erhalten haben, können Sie direkt zum Incident wechseln und sofort mit der Untersuchung beginnen. Weitere Informationen zum Untersuchen von Vorfällen finden Sie unter Untersuchen von Vorfällen in Microsoft 365 Defender.
Schulung für Sicherheitsanalysten
Verwenden Sie dieses Lernmodul von Microsoft Learn, um zu verstehen, wie Sie Microsoft 365 Defender verwenden, um Incidents und Warnungen zu verwalten.
| Schulung: | Untersuchen von Vorfällen mit Microsoft 365 Defender |
|---|---|
 |
Microsoft 365 Defender vereinheitlicht Bedrohungsdaten aus mehreren Diensten und verwendet KI, um sie in Incidents und Warnungen zu kombinieren. Erfahren Sie, wie Sie die Zeit zwischen einem Vorfall und seiner Bearbeitung für die nachfolgende Reaktion und Lösung minimieren. 27 Min. - 6 Einheiten |
Nächste Schritte
Verwenden Sie die aufgeführten Schritte basierend auf Ihrer Erfahrungsebene oder Rolle in Ihrem Sicherheitsteam.
Erfahrungsstufe
Befolgen Sie diese Tabelle, um Ihren Erfahrungsgrad mit sicherheitsrelevanter Analyse und Reaktion auf Vorfälle zu erhalten.
| Ebene | Schritte |
|---|---|
| New |
|
| Erfahrenen |
|
Rolle des Sicherheitsteams
Befolgen Sie diese Tabelle basierend auf der Rolle Ihres Sicherheitsteams.
| Rolle | Schritte |
|---|---|
| Incident Responder (Ebene 1) | Erste Schritte mit der Incidentwarteschlange auf der Seite Incidents des Microsoft 365 Defender-Portals. Von hier aus können Sie folgende Aktionen ausführen:
|
| Sicherheitsermittler oder -analyst (Ebene 2) |
|
| Advanced Security Analyst oder Threat Hunter (Ebene 3) |
|
| SOC-Manager | Erfahren Sie, wie Sie Microsoft 365 Defender in Ihr Security Operations Center (SOC) integrieren. |