Untersuchen von Warnungen in Microsoft Defender XDR
Gilt für:
- Microsoft Defender XDR
Hinweis
In diesem Artikel werden Sicherheitswarnungen in Microsoft Defender XDR beschrieben. Sie können jedoch Aktivitätswarnungen verwenden, um E-Mail-Benachrichtigungen an sich selbst oder andere Administratoren zu senden, wenn Benutzer bestimmte Aktivitäten in Microsoft 365 ausführen. Weitere Informationen finden Sie unter Erstellen von Aktivitätswarnungen – Microsoft Purview | Microsoft-Dokumentation.
Warnungen sind die Grundlage aller Vorfälle und weisen auf das Auftreten bösartiger oder verdächtiger Ereignisse in Ihrer Umgebung hin. Warnungen sind in der Regel Teil eines umfassenderen Angriffs und bieten Hinweise zu einem Vorfall.
In Microsoft Defender XDR werden verwandte Warnungen zu Incidents zusammengefasst. Incidents bieten immer den breiteren Kontext eines Angriffs. Die Analyse von Warnungen kann jedoch nützlich sein, wenn eine tiefergehende Analyse erforderlich ist.
Die Warnungswarteschlange zeigt den aktuellen Satz von Warnungen an. Sie gelangen zur Warnungswarteschlange von Incidents & Warnungen Warnungen > beim Schnellstart des Microsoft Defender-Portals.
Warnungen von verschiedenen Microsoft-Sicherheitslösungen wie Microsoft Defender für Endpunkt, Defender für Office 365, Microsoft Sentinel, Defender für Cloud, Defender for Identity, Defender for Cloud Apps, Defender XDR, App Governance, Microsoft Entra ID Protection und Microsoft Data Loss Prevention werden hier angezeigt.
Standardmäßig werden in der Warnungswarteschlange im Microsoft Defender-Portal die neuen und in Bearbeitung befindlichen Warnungen der letzten sieben Tage angezeigt. Die letzte Warnung befindet sich oben in der Liste, sodass Sie sie zuerst sehen können.
In der Standardwarnungswarteschlange können Sie Filter auswählen, um einen Filterbereich anzuzeigen, in dem Sie eine Teilmenge der Warnungen angeben können. Im Folgenden sehen Sie ein Beispiel.
Sie können Warnungen nach diesen Kriterien filtern:
- Severity
- Status
- Kategorien
- Dienst-/Erkennungsquellen
- Tags
- Richtlinie
- Entitäten (die betroffenen Ressourcen)
- Status der automatisierten Untersuchung
- Warnungsabonnement-IDs
Hinweis
Microsoft Defender XDR-Kunden können jetzt Vorfälle mit Warnungen filtern, bei denen ein kompromittiertes Gerät mit OT-Geräten (Operational Technology) kommuniziert, die über die Geräteermittlungsintegration von Microsoft Defender für IoT und Microsoft Defender für Endpunkt mit dem Unternehmensnetzwerk verbunden sind. Um diese Vorfälle zu filtern, wählen Sie in den Dienst-/Erkennungsquellen die Option Beliebige aus, und wählen Sie dann Microsoft Defender für IoT im Produktnamen aus, oder lesen Sie untersuchen von Vorfällen und Warnungen in Microsoft Defender für IoT im Defender-Portal. Sie können auch Gerätegruppen verwenden, um nach standortspezifischen Warnungen zu filtern. Weitere Informationen zu den Voraussetzungen für Defender für IoT finden Sie unter Erste Schritte mit der Enterprise IoT-Überwachung in Microsoft Defender XDR.
Eine Warnung kann Systemtags und/oder benutzerdefinierte Tags mit bestimmten Farbhintergründen enthalten. Benutzerdefinierte Tags verwenden den weißen Hintergrund, während Systemtags in der Regel rote oder schwarze Hintergrundfarben verwenden. Systemtags identifizieren Folgendes in einem Incident:
- Eine Art von Angriff, z. B. Ransomware- oder Anmeldeinformations-Phishing
- Automatische Aktionen, z. B. automatische Untersuchung und Reaktion und automatische Angriffsunterbrechung
- Defender-Experten zur Behandlung eines Incidents
- Kritische Ressourcen , die an dem Vorfall beteiligt sind
Tipp
Das Security Exposure Management von Microsoft markiert Geräte, Identitäten und Cloudressourcen basierend auf vordefinierten Klassifizierungen automatisch als kritische Ressource. Diese sofort einsatzbereite Funktion stellt den Schutz der wertvollen und wichtigsten Ressourcen einer Organisation sicher. Darüber hinaus unterstützt sie Sicherheitsteams bei der Priorisierung von Untersuchungen und Korrekturen. Erfahren Sie mehr über die Verwaltung kritischer Ressourcen.
Erforderliche Rollen für Defender für Office 365-Warnungen
Sie benötigen eine der folgenden Rollen, um auf Microsoft Defender für Office 365-Warnungen zugreifen zu können:
Für globale Microsoft Entra-Rollen:
- Globaler Administrator
- Sicherheitsadministrator
- Sicherheitsoperator
- Globaler Leser
- Sicherheitsleseberechtigter
Office 365 Security & Compliance-Rollengruppen
- Complianceadministrator
- Organisationsverwaltung
Hinweis
Microsoft empfiehlt die Verwendung von Rollen mit weniger Berechtigungen, um die Sicherheit zu verbessern. Die Rolle "Globaler Administrator", die über viele Berechtigungen verfügt, sollte nur in Notfällen verwendet werden, wenn keine andere Rolle passt.
Analysieren einer Warnung
Um die Hauptwarnungsseite anzuzeigen, wählen Sie den Namen der Warnung aus. Im Folgenden sehen Sie ein Beispiel.
Sie können auch die Aktion Hauptwarnungsseite öffnen im Bereich Warnung verwalten auswählen.
Eine Warnungsseite besteht aus den folgenden Abschnitten:
- Warnungsverlauf: Dies ist die Kette von Ereignissen und Warnungen im Zusammenhang mit dieser Warnung in chronologischer Reihenfolge.
- Zusammenfassungsdetails
Auf einer Warnungsseite können Sie die Auslassungspunkte (...) neben einer beliebigen Entität auswählen, um verfügbare Aktionen anzuzeigen, z. B. das Verknüpfen der Warnung mit einem anderen Incident. Die Liste der verfügbaren Aktionen hängt vom Typ der Warnung ab.
Warnungsquellen
Microsoft Defender XDR-Warnungen stammen von Lösungen wie Microsoft Defender für Endpunkt, Defender für Office 365, Defender for Identity, Defender for Cloud Apps, dem App-Governance-Add-On für Microsoft Defender für Cloud-Apps, Microsoft Entra ID Protection und Microsoft Data Loss Prevention. Möglicherweise bemerken Sie Warnungen mit vorangestellten Zeichen in der Warnung. Die folgende Tabelle enthält Anleitungen, die Ihnen helfen, die Zuordnung von Warnungsquellen basierend auf dem vorangestellten Zeichen für die Warnung zu verstehen.
Hinweis
- Die vorangestellten GUIDs sind nur für einheitliche Umgebungen wie einheitliche Warnungswarteschlangen, einheitliche Warnungsseite, einheitliche Untersuchung und einheitlicher Vorfall spezifisch.
- Das vorangestellte Zeichen ändert die GUID der Warnung nicht. Die einzige Änderung an der GUID ist die vorangestellte Komponente.
Warnungsquelle | Warnungs-ID mit vorangestellten Zeichen |
---|---|
Microsoft Defender XDR | ra{GUID} ta{GUID} für Warnungen von ThreatExpertsea{GUID} für Warnungen aus benutzerdefinierten Erkennungen |
Microsoft Defender für Office 365 | fa{GUID} Beispiel: fa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender für Endpunkt | da{GUID} ed{GUID} für Warnungen aus benutzerdefinierten Erkennungen |
Microsoft Defender for Identity | aa{GUID} Beispiel: aa123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Defender for Cloud Apps | ca{GUID} Beispiel: ca123a456b-c789-1d2e-12f1g33h445h6i |
Microsoft Entra ID Protection | ad{GUID} |
App-Governance | ma{GUID} |
Microsoft Data Loss Prevention | dl{GUID} |
Microsoft Defender für Cloud | dc{GUID} |
Microsoft Sentinel | sn{GUID} |
Konfigurieren des Microsoft Entra IP-Warnungsdiensts
Wechseln Sie zum Microsoft Defender-Portal (security.microsoft.com), und wählen Sie Einstellungen>Microsoft Defender XDR aus.
Wählen Sie in der Liste Warnungsdiensteinstellungen aus, und konfigurieren Sie dann Ihren Microsoft Entra ID Protection-Warnungsdienst .
Standardmäßig sind nur die relevantesten Warnungen für das Security Operation Center aktiviert. Wenn Sie alle Microsoft Entra IP-Risikoerkennungen abrufen möchten, können Sie dies im Abschnitt Warnungsdiensteinstellungen ändern.
Sie können auch direkt auf die Einstellungen des Warnungsdiensts über die Seite Incidents im Microsoft Defender-Portal zugreifen.
Wichtig
Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.
Analysieren betroffener Ressourcen
Der Abschnitt Durchgeführte Aktionen enthält eine Liste der betroffenen Ressourcen, z. B. Postfächer, Geräte und Benutzer, die von dieser Warnung betroffen sind.
Sie können auch Im Info-Center anzeigen auswählen, um die Registerkarte Verlauf des Info-Centers im Microsoft Defender-Portal anzuzeigen.
Nachverfolgen der Rolle einer Warnung im Warnungsverlauf
Im Warnungsverlauf werden alle Ressourcen oder Entitäten im Zusammenhang mit der Warnung in einer Prozessstrukturansicht angezeigt. Die Warnung im Titel befindet sich im Fokus, wenn Sie zum ersten Mal auf die Seite der ausgewählten Warnung gelangen. Ressourcen im Warnungsabschnitt können erweitert und geklickt werden. Sie stellen zusätzliche Informationen bereit und beschleunigen Ihre Reaktion, indem sie es Ihnen ermöglichen, direkt im Kontext der Warnungsseite Maßnahmen zu ergreifen.
Hinweis
Der Abschnitt "Warnungsverlauf" kann mehrere Warnungen enthalten, wobei zusätzliche Warnungen im Zusammenhang mit derselben Ausführungsstruktur vor oder nach der ausgewählten Warnung angezeigt werden.
Weitere Warnungsinformationen auf der Detailseite anzeigen
Auf der Detailseite werden die Details der ausgewählten Warnung mit details und aktionen angezeigt. Wenn Sie eine der betroffenen Ressourcen oder Entitäten im Warnungsverlauf auswählen, ändert sich die Detailseite, um kontextbezogene Informationen und Aktionen für das ausgewählte Objekt bereitzustellen.
Nachdem Sie eine interessante Entität ausgewählt haben, wird die Detailseite geändert, um Informationen zum ausgewählten Entitätstyp, Verlaufsinformationen, sofern verfügbar, und Optionen zum Ausführen von Aktionen für diese Entität direkt auf der Warnungsseite anzuzeigen.
Verwalten von Warnungen
Wählen Sie zum Verwalten einer Warnung im Abschnitt "Zusammenfassungsdetails" der Warnungsseite Warnung verwalten aus. Für eine einzelne Warnung finden Sie hier ein Beispiel für den Bereich Warnung verwalten.
Im Bereich Warnung verwalten können Sie Folgendes anzeigen oder angeben:
- Der Warnungsstatus (Neu, Behoben, In Bearbeitung).
- Das Benutzerkonto, dem die Warnung zugewiesen wurde.
- Die Klassifizierung der Warnung:
- Nicht festgelegt (Standard).
- Richtig positiv mit einer Art von Bedrohung. Verwenden Sie diese Klassifizierung für Warnungen, die genau auf eine echte Bedrohung hinweisen. Wenn Sie diesen Bedrohungstyp angeben, sieht Ihr Sicherheitsteam Bedrohungsmuster und schützt Ihre Organisation vor diesen.
- Information, erwartete Aktivität mit einem Aktivitätstyp. Verwenden Sie diese Option für Warnungen, die technisch genau sind, aber normales Verhalten oder simulierte Bedrohungsaktivitäten darstellen. Sie möchten diese Warnungen im Allgemeinen ignorieren, erwarten sie jedoch für ähnliche Aktivitäten in der Zukunft, bei denen die Aktivitäten von tatsächlichen Angreifern oder Schadsoftware ausgelöst werden. Verwenden Sie die Optionen in dieser Kategorie, um Warnungen für Sicherheitstests, rote Teamaktivitäten und erwartetes ungewöhnliches Verhalten von vertrauenswürdigen Apps und Benutzern zu klassifizieren.
- Falsch positiv für Typen von Warnungen, die auch dann erstellt wurden, wenn keine schädliche Aktivität vorhanden ist, oder für einen falschen Alarm. Verwenden Sie die Optionen in dieser Kategorie, um Warnungen, die versehentlich als normale Ereignisse oder Aktivitäten identifiziert werden, als böswillig oder verdächtig zu klassifizieren. Im Gegensatz zu Warnungen für "Informationelle, erwartete Aktivität", die auch nützlich sein können, um echte Bedrohungen abzufangen, möchten Sie diese Warnungen in der Regel nicht erneut sehen. Das Klassifizieren von Warnungen als falsch positiv hilft Microsoft Defender XDR, die Erkennungsqualität zu verbessern.
- Ein Kommentar zur Warnung.
Hinweis
Ab dem 29. August 2022 sind die zuvor unterstützten Warnungsermittlungswerte ("Apt" und "SecurityPersonnel") veraltet und nicht mehr über die API verfügbar.
Hinweis
Eine Möglichkeit, Warnungen mithilfe von Tags zu verwalten. Die Taggingfunktion für Microsoft Defender für Office 365 wird inkrementell eingeführt und befindet sich derzeit in der Vorschauphase.
Derzeit werden geänderte Tagnamen nur auf Warnungen angewendet, die nach dem Update erstellt wurden. Warnungen, die vor der Änderung generiert wurden, spiegeln nicht den aktualisierten Tagnamen wider.
Um eine Gruppe von Warnungen ähnlich einer bestimmten Warnung zu verwalten, wählen Sie ähnliche Warnungen im Feld INSIGHT im Abschnitt zusammenfassungsdetails der Warnungsseite anzeigen aus.
Im Bereich Warnungen verwalten können Sie dann alle zugehörigen Warnungen gleichzeitig klassifizieren. Im Folgenden sehen Sie ein Beispiel.
Wenn ähnliche Warnungen bereits in der Vergangenheit klassifiziert wurden, können Sie Zeit sparen, indem Sie microsoft Defender XDR-Empfehlungen verwenden, um zu erfahren, wie die anderen Warnungen behoben wurden. Wählen Sie im Abschnitt mit den Zusammenfassungsdetails Empfehlungen aus.
Die Registerkarte Empfehlungen enthält Aktionen und Ratschläge für die Untersuchung, Korrektur und Verhinderung in den nächsten Schritten. Im Folgenden sehen Sie ein Beispiel.
Optimieren einer Warnung
Als SOC-Analyst (Security Operations Center) ist eines der wichtigsten Probleme die Schiere Anzahl von Warnungen, die täglich ausgelöst werden. Die Zeit eines Analysten ist wertvoll, da er sich nur auf Warnungen mit hohem Schweregrad und hoher Priorität konzentrieren möchte. In der Zwischenzeit müssen Analysten auch Warnungen mit niedrigerer Priorität selektieren und auflösen, was in der Regel ein manueller Prozess ist.
Die Warnungsoptimierung, früher als Warnungsunterdrückung bezeichnet, bietet die Möglichkeit, Warnungen im Voraus zu optimieren und zu verwalten. Dies optimiert die Warnungswarteschlange und spart Selektierungszeit, indem Warnungen automatisch ausgeblendet oder aufgelöst werden, wenn ein bestimmtes erwartetes Organisationsverhalten auftritt und Die Regelbedingungen erfüllt sind.
Warnungsoptimierungsregeln unterstützen Bedingungen basierend auf Beweistypen wie Dateien, Prozessen, geplanten Aufgaben und anderen Arten von Beweisen, die Warnungen auslösen. Nachdem Sie eine Warnungsoptimierungsregel erstellt haben, wenden Sie sie auf die ausgewählte Warnung oder einen beliebigen Warnungstyp an, der die definierten Bedingungen erfüllt, um die Warnung zu optimieren.
Warnungsoptimierung, da die allgemeine Verfügbarkeit nur Warnungen von Defender für Endpunkt erfasst. In der Vorschauversion wird die Warnungsoptimierung jedoch auch auf andere Microsoft Defender XDR-Dienste erweitert, einschließlich Defender für Office 365, Defender for Identity, Defender for Cloud Apps, Microsoft Entra ID Protection (Microsoft Entra IP) und andere, sofern diese auf Ihrer Plattform und Ihrem Plan verfügbar sind.
Achtung
Es wird empfohlen, die Warnungsoptimierung mit Vorsicht zu verwenden, wenn interne Geschäftsanwendungen oder Sicherheitstests bekannte Szenarien eine erwartete Aktivität auslösen und Sie die Warnungen nicht anzeigen möchten.
Erstellen von Regelbedingungen zum Optimieren von Warnungen
Erstellen Sie Warnungsoptimierungsregeln über den Bereich Microsoft Defender XDR-Einstellungen oder über eine Seite mit Warnungsdetails. Wählen Sie eine der folgenden Registerkarten aus, um fortzufahren.
Wählen Sie im Microsoft Defender-Portal Einstellungen > Microsoft Defender XDR-Warnungsoptimierung >aus.
Wählen Sie Neue Regel hinzufügen aus, um eine neue Warnung zu optimieren, oder wählen Sie eine vorhandene Regelzeile aus, um Änderungen vorzunehmen. Wenn Sie den Regeltitel auswählen, wird eine Seite mit den Regeldetails geöffnet, auf der Sie eine Liste der zugehörigen Warnungen anzeigen, Bedingungen bearbeiten oder die Regel aktivieren und deaktivieren können.
Wählen Sie im Bereich Warnung optimieren unter Dienstquellen auswählen die Dienstquellen aus, für die die Regel angewendet werden soll. Nur Dienste, für die Sie über Berechtigungen verfügen, werden in der Liste angezeigt. Zum Beispiel:
Fügen Sie im Bereich Bedingungen eine Bedingung für die Trigger der Warnung hinzu. Wenn Sie beispielsweise verhindern möchten, dass eine Warnung ausgelöst wird, wenn eine bestimmte Datei erstellt wird, definieren Sie eine Bedingung für den Trigger File:Custom , und definieren Sie die Dateidetails:
Die aufgeführten Trigger unterscheiden sich je nach ausgewählten Dienstquellen. Trigger sind alle Indikatoren der Kompromittierung (IOCs), z. B. Dateien, Prozesse, geplante Aufgaben und andere Beweistypen, die eine Warnung auslösen können, einschließlich AMSI-Skripts (AntiMalware Scan Interface), WMI-Ereignisse (Windows Management Instrumentation) oder geplante Aufgaben.
Um mehrere Regelbedingungen festzulegen, wählen Sie Filter hinzufügen aus, und verwenden Sie AND, OR und Gruppierungsoptionen, um die Beziehungen zwischen den verschiedenen Beweistypen zu definieren, die die Warnung auslösen. Weitere Beweiseigenschaften werden automatisch als neue Untergruppe aufgefüllt, in der Sie Ihre Bedingungswerte definieren können. Bei Bedingungswerten wird die Groß-/Kleinschreibung nicht beachtet, und einige Eigenschaften unterstützen Wildcards.
Wählen Sie im Bereich Aktion des Bereichs Warnung optimieren die relevante Aktion aus, die die Regel ausführen soll, entweder Warnung ausblenden oder Warnung auflösen.
Geben Sie einen aussagekräftigen Namen für Ihre Warnung und einen Kommentar zur Beschreibung der Warnung ein, und wählen Sie dann Speichern aus.
Hinweis
Der Warnungstitel (Name) basiert auf dem Warnungstyp (IoaDefinitionId), der den Warnungstitel bestimmt. Zwei Warnungen, die denselben Warnungstyp aufweisen, können in einen anderen Warnungstitel geändert werden.
Beheben einer Warnung
Sobald Sie mit der Analyse einer Warnung fertig sind und diese aufgelöst werden kann, wechseln Sie zum Bereich Warnung verwalten für die Warnung oder ähnliche Warnungen, und markieren Sie den Status als Gelöst , und klassifizieren Sie sie dann als Richtig positiv mit einer Art von Bedrohung, einer Information, erwarteten Aktivität mit einem Aktivitätstyp oder falsch positiv.
Das Klassifizieren von Warnungen hilft Microsoft Defender XDR, die Erkennungsqualität zu verbessern.
Verwenden von Power Automate zum Selektieren von Warnungen
Moderne Security Operations-Teams (SecOps) benötigen Automatisierung, um effektiv zu arbeiten. Um sich auf die Suche und Untersuchung realer Bedrohungen zu konzentrieren, verwenden SecOps-Teams Power Automate, um die Liste der Warnungen zu selektieren und diejenigen zu beseitigen, die keine Bedrohungen sind.
Kriterien für das Auflösen von Warnungen
- Die Abwesenheitsnachricht des Benutzers ist aktiviert.
- Der Benutzer ist nicht als hohes Risiko gekennzeichnet.
Wenn beides true ist, markiert SecOps die Warnung als legitime Reise und löst sie auf. Eine Benachrichtigung wird in Microsoft Teams gepostet, nachdem die Warnung behoben wurde.
Verbinden von Power Automate mit Microsoft Defender für Cloud-Apps
Zum Erstellen der Automatisierung benötigen Sie ein API-Token, bevor Sie Power Automate mit Microsoft Defender for Cloud Apps verbinden können.
Öffnen Sie Microsoft Defender, und wählen Sie Einstellungen>Cloud Apps>API-Token aus, und wählen Sie dann auf der Registerkarte API-Tokendie Option Token hinzufügen aus.
Geben Sie einen Namen für Ihr Token an, und wählen Sie dann Generieren aus. Speichern Sie das Token, da Sie es später benötigen.
Erstellen eines automatisierten Flows
Sehen Sie sich dieses kurze Video an, um zu erfahren, wie Die Automatisierung effizient funktioniert, um einen reibungslosen Workflow zu schaffen, und wie Sie Power Automate mit Defender für Cloud-Apps verbinden.
Nächste Schritte
Setzen Sie ihre Untersuchung bei Bedarf für In-Process-Vorfälle fort.
Siehe auch
- Übersicht über Vorfälle
- Verwalten von Vorfällen
- Untersuchen von Vorfällen
- Untersuchen von Warnungen zur Verhinderung von Datenverlust in Defender
- Microsoft Entra ID Protection
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.