Untersuchen von Warnungen in Microsoft 365 Defender

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender bewerten und pilotieren können.

Gilt für:

  • Microsoft 365 Defender

Hinweis

In diesem Artikel werden Sicherheitswarnungen in Microsoft 365 Defender beschrieben. Sie können jedoch Aktivitätswarnungen verwenden, um E-Mail-Benachrichtigungen an sich selbst oder andere Administratoren zu senden, wenn Benutzer bestimmte Aktivitäten in Microsoft 365 ausführen. Weitere Informationen finden Sie unter Erstellen von Aktivitätswarnungen – Microsoft Purview | Microsoft-Dokumentation.

Warnungen sind die Grundlage aller Vorfälle und zeigen das Auftreten bösartiger oder verdächtiger Ereignisse in Ihrer Umgebung an. Warnungen sind in der Regel Teil eines umfassenderen Angriffs und geben Hinweise auf einen Vorfall.

In Microsoft 365 Defender werden verwandte Warnungen zu Incidents zusammengefasst. Incidents bieten immer den breiteren Kontext eines Angriffs. Die Analyse von Warnungen kann jedoch nützlich sein, wenn eine tiefergehende Analyse erforderlich ist.

Die Warnungswarteschlange zeigt den aktuellen Satz von Warnungen an. Sie gelangen zur Warnungswarteschlange über Incidentwarnungen > Warnungen & beim Schnellstart des Microsoft 365 Defender-Portals.

Abschnitt

Warnungen von verschiedenen Microsoft-Sicherheitslösungen wie Microsoft Defender for Endpoint, Microsoft Defender for Office 365 und Microsoft 365 Defender werden hier angezeigt.

Standardmäßig zeigt die Warnungswarteschlange im Microsoft 365 Defender-Portal die neuen und in Bearbeitung befindlichen Warnungen der letzten 30 Tage an. Die letzte Warnung befindet sich oben in der Liste, sodass Sie sie zuerst sehen können.

In der Standardwarnungswarteschlange können Sie Filter auswählen, um einen Filterbereich anzuzeigen, in dem Sie eine Teilmenge der Warnungen angeben können. Im Folgenden sehen Sie ein Beispiel.

Der Abschnitt Filter im Microsoft 365 Defender-Portal.

Sie können Warnungen nach folgenden Kriterien filtern:

  • Severity
  • Status
  • Dienstquellen
  • Entitäten (die betroffenen Ressourcen)
  • Status der automatisierten Untersuchung

Erforderliche Rollen für Defender for Office 365 Warnungen

Sie benötigen eine der folgenden Rollen, um auf Microsoft Defender for Office 365 Warnungen zugreifen zu können:

  • Für globale Azure Active Directory-Rollen (Azure AD):

    • Globaler Administrator
    • Sicherheitsadministrator
    • Sicherheitsoperator
    • Globaler Leser
    • Sicherheitsleseberechtigter
  • Office 365 Sicherheit & Compliancerollengruppen

    • Complianceadministrator
    • Organisationsverwaltung
  • Eine benutzerdefinierte Rolle

Analysieren einer Warnung

Wählen Sie den Namen der Warnung aus, um die Hauptwarnungsseite anzuzeigen. Im Folgenden sehen Sie ein Beispiel.

Screenshot: Details einer Warnung im Microsoft 365 Defender-Portal

Sie können auch die Aktion Hauptwarnungsseite öffnen im Bereich Warnung verwalten auswählen.

Eine Warnungsseite besteht aus den folgenden Abschnitten:

  • Warnungsverlauf: Dies ist die Kette von Ereignissen und Warnungen im Zusammenhang mit dieser Warnung in chronologischer Reihenfolge.
  • Zusammenfassungsdetails

Auf einer Warnungsseite können Sie die Auslassungspunkte (...) neben einer beliebigen Entität auswählen, um verfügbare Aktionen anzuzeigen, z. B. das Verknüpfen der Warnung mit einem anderen Incident. Die Liste der verfügbaren Aktionen hängt vom Typ der Warnung ab.

Warnungsquellen

Microsoft 365 Defender Warnungen können von Lösungen wie Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps, das App-Governance-Add-On für Microsoft Defender for Cloud Apps, Azure Active Directory Identity Protection und Microsoft Data Loss Prevention. Möglicherweise bemerken Sie Warnungen mit vorangestellten Zeichen in der Warnung. Die folgende Tabelle enthält Anleitungen, die Ihnen helfen, die Zuordnung von Warnungsquellen basierend auf dem vorangestellten Zeichen für die Warnung zu verstehen.

Hinweis

  • Die vorab bereitgestellten GUIDs sind nur für einheitliche Umgebungen wie Warteschlange für einheitliche Warnungen, Seite mit einheitlichen Warnungen, einheitliche Untersuchung und einheitliche Vorfälle spezifisch.
  • Das vorangestellte Zeichen ändert die GUID der Warnung nicht. Die einzige Änderung an der GUID ist die vorangestellte Komponente.
Warnungsquelle Vorangestelltes Zeichen
Microsoft 365 Defender ra
ta für ThreatExperts
ea for DetectionSource = DetectionSource.CustomDetection
Microsoft Defender für Office 365 fa{GUID}
Beispiel: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender für Endpunkt da oder ed für benutzerdefinierte Erkennungswarnungen
Microsoft Defender for Identity aa{GUID}
Beispiel: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Beispiel: ca123a456b-c789-1d2e-12f1g33h445h6i
Azure Active Directory (AAD) Identity Protection ad
App-Governance ma
Microsoft Data Loss Prevention dl

Konfigurieren des AAD-IP-Warnungsdiensts

  1. Wechseln Sie zum Microsoft 365 Defender-Portal (security.microsoft.com), und wählen Sie Einstellungen>Microsoft 365 Defender aus.

  2. Wählen Sie in der Liste Warnungsdiensteinstellungen aus, und konfigurieren Sie dann Ihren Azure AD Identity Protection-Warnungsdienst .

    Screenshot der Azure AD Identity Protection-Warnungseinstellung im Microsoft 365 Defender-Portal.

Standardmäßig sind nur die relevantesten Warnungen für das Security Operation Center aktiviert. Wenn Sie alle AAD-IP-Risikoerkennungen abrufen möchten, können Sie dies im Abschnitt Warnungsdiensteinstellungen ändern.

Sie können auch direkt über die Seite Incidents im Microsoft 365 Defender Portal auf Die Einstellungen des Warnungsdiensts zugreifen.

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Analysieren betroffener Ressourcen

Der Abschnitt Ausgeführte Aktionen enthält eine Liste der betroffenen Ressourcen, z. B. Postfächer, Geräte und Benutzer, die von dieser Warnung betroffen sind.

Sie können auch Im Info-Center anzeigen auswählen, um die Registerkarte Verlauf des Info-Centers im Microsoft 365 Defender-Portal anzuzeigen.

Nachverfolgen der Rolle einer Warnung im Warnungsverlauf

Der Warnungsabschnitt zeigt alle Ressourcen oder Entitäten im Zusammenhang mit der Warnung in einer Prozessstrukturansicht an. Die Warnung im Titel ist die Warnung, die im Fokus steht, wenn Sie zum ersten Mal auf die Seite der ausgewählten Warnung gelangen. Ressourcen im Warnungsabschnitt können erweitert und geklickt werden. Sie bieten zusätzliche Informationen und beschleunigen Ihre Reaktion, indem Sie direkt im Kontext der Warnungsseite Maßnahmen ergreifen können.

Hinweis

Der Abschnitt "Warnungsverlauf" kann mehrere Warnungen enthalten, wobei zusätzliche Warnungen im Zusammenhang mit derselben Ausführungsstruktur vor oder nach der ausgewählten Warnung angezeigt werden.

Anzeigen weiterer Warnungsinformationen auf der Detailseite

Auf der Detailseite werden die Details der ausgewählten Warnung mit details und aktionen angezeigt. Wenn Sie eine der betroffenen Ressourcen oder Entitäten im Warnungsverlauf auswählen, ändert sich die Detailseite, um Kontextinformationen und Aktionen für das ausgewählte Objekt bereitzustellen.

Nachdem Sie eine interessante Entität ausgewählt haben, ändert sich die Detailseite, um Informationen zum ausgewählten Entitätstyp, Verlaufsinformationen, sofern verfügbar, und Optionen anzuzeigen, um direkt auf der Warnungsseite Maßnahmen für diese Entität zu ergreifen.

Verwalten von Warnungen

Um eine Warnung zu verwalten, wählen Sie Warnung verwalten im Abschnitt mit den Zusammenfassungsdetails der Warnungsseite aus. Für eine einzelne Warnung finden Sie hier ein Beispiel für den Bereich Warnung verwalten .

Screenshot des Abschnitts

Im Bereich Warnung verwalten können Sie Folgendes anzeigen oder angeben:

  • Der Warnungsstatus (Neu, Aufgelöst, In Bearbeitung).
  • Das Benutzerkonto, dem die Warnung zugewiesen wurde.
  • Die Klassifizierung der Warnung:
    • Nicht festgelegt (Standard).
    • Richtig positiv mit einer Art von Bedrohung. Verwenden Sie diese Klassifizierung für Warnungen, die genau auf eine echte Bedrohung hinweisen. Wenn Sie diesen Bedrohungstyp angeben, sieht Ihr Sicherheitsteam Bedrohungsmuster und schützt Ihre Organisation vor diesen.
    • Information, erwartete Aktivität mit einem Aktivitätstyp. Verwenden Sie diese Option für Warnungen, die technisch genau sind, aber normales Verhalten oder simulierte Bedrohungsaktivitäten darstellen. Sie möchten diese Warnungen im Allgemeinen ignorieren, erwarten sie jedoch für ähnliche Aktivitäten in der Zukunft, bei denen die Aktivitäten von tatsächlichen Angreifern oder Schadsoftware ausgelöst werden. Verwenden Sie die Optionen in dieser Kategorie, um Warnungen für Sicherheitstests, rote Teamaktivitäten und erwartetes ungewöhnliches Verhalten von vertrauenswürdigen Apps und Benutzern zu klassifizieren.
    • Falsch positiv für Typen von Warnungen, die auch dann erstellt wurden, wenn keine schädliche Aktivität vorhanden ist, oder für einen falschen Alarm. Verwenden Sie die Optionen in dieser Kategorie, um Warnungen, die versehentlich als normale Ereignisse oder Aktivitäten identifiziert werden, als böswillig oder verdächtig zu klassifizieren. Im Gegensatz zu Warnungen für "Informationelle, erwartete Aktivität", die auch nützlich sein können, um echte Bedrohungen abzufangen, möchten Sie diese Warnungen in der Regel nicht erneut sehen. Die Klassifizierung von Warnungen als falsch positiv hilft Microsoft 365 Defender die Erkennungsqualität zu verbessern.
  • Ein Kommentar zur Warnung.

Hinweis

Ab dem 29. August 2022 sind die zuvor unterstützten Warnungsermittlungswerte ("Apt" und "SecurityPersonnel") veraltet und nicht mehr über die API verfügbar.

Hinweis

Eine Möglichkeit, Warnungen mithilfe von Tags zu verwalten. Die Taggingfunktion für Microsoft Defender for Office 365 wird inkrementell eingeführt und befindet sich derzeit in der Vorschauphase.

Derzeit werden geänderte Tagnamen nur auf Warnungen angewendet, die nach dem Update erstellt wurden. Warnungen, die vor der Änderung generiert wurden, spiegeln nicht den aktualisierten Tagnamen wider.

Um eine Gruppe von Warnungen ähnlich einer bestimmten Warnung zu verwalten, wählen Sie ähnliche Warnungen im Feld INSIGHT im Abschnitt zusammenfassungsdetails der Warnungsseite anzeigen aus.

Screenshot: Auswählen einer Warnung im Microsoft 365 Defender-Portal

Im Bereich Warnungen verwalten können Sie dann alle zugehörigen Warnungen gleichzeitig klassifizieren. Im Folgenden sehen Sie ein Beispiel.

Screenshot: Verwalten verwandter Warnungen im Microsoft 365 Defender-Portal

Wenn ähnliche Warnungen bereits in der Vergangenheit klassifiziert wurden, können Sie Zeit sparen, indem Sie Microsoft 365 Defender Empfehlungen verwenden, um zu erfahren, wie die anderen Warnungen gelöst wurden. Wählen Sie im Abschnitt zusammenfassungsdetails die Option Empfehlungen aus.

Screenshot eines Beispiels für die Auswahl von Empfehlungen für eine Warnung

Die Registerkarte Empfehlungen enthält Die nächsten Schritte und Empfehlungen für Untersuchung, Korrektur und Prävention. Im Folgenden sehen Sie ein Beispiel.

Screenshot eines Beispiels für Warnungsempfehlungen

Unterdrücken einer Warnung

Als SOC-Analyst (Security Operations Center) ist eines der wichtigsten Probleme die Schiere Anzahl von Warnungen, die täglich ausgelöst werden. Bei Warnungen mit niedrigerer Priorität muss weiterhin ein Analyst die Warnung selektieren und auflösen, was in der Regel ein manueller Prozess ist. Die Zeit eines SOC-Analysten ist wertvoll, da er sich nur auf Warnungen mit hohem Schweregrad und hoher Priorität konzentrieren möchte.

Die Unterdrückung von Warnungen bietet die Möglichkeit, Warnungen im Voraus zu optimieren und zu verwalten. Dies optimiert die Warnungswarteschlange und spart Selektierungszeit, indem Warnungen automatisch ausgeblendet oder aufgelöst werden, jedes Mal, wenn ein bestimmtes erwartetes Organisationsverhalten auftritt und die Regelbedingungen erfüllt sind.

Sie können Regelbedingungen basierend auf "Beweistypen" erstellen, z. B. Dateien, Prozesse, geplante Aufgaben und viele andere Beweistypen, die die Warnung auslösen. Nach dem Erstellen der Regel kann der Benutzer die Regel auf die ausgewählte Warnung oder einen beliebigen Warnungstyp anwenden, der die Regelbedingungen erfüllt, um die Warnung zu unterdrücken.

Hinweis

Die Unterdrückung von Warnungen wird nicht empfohlen. In bestimmten Situationen lösen jedoch eine bekannte interne Geschäftsanwendung oder Sicherheitstests eine erwartete Aktivität aus, und Sie möchten diese Warnungen nicht sehen. Daher können Sie eine Unterdrückungsregel für die Warnung erstellen.

Erstellen von Regelbedingungen zum Unterdrücken von Warnungen

So erstellen Sie eine Unterdrückungsregel für Warnungen:

  1. Wählen Sie die untersuchte Warnung aus. Wählen Sie auf der Hauptseite der Warnung im Abschnitt mit den Zusammenfassungsdetails der Warnungsseite die Option Unterdrückungsregel erstellen aus.

    Screenshot der Aktion

  2. Wählen Sie im Bereich Unterdrückungsregel erstellendie Option Nur dieser Warnungstyp aus, um die Regel auf die ausgewählte Warnung anzuwenden.

    Um die Regel jedoch auf jeden Warnungstyp anzuwenden, der die Regelbedingungen erfüllt, wählen Sie Jeder Warnungstyp basierend auf IOC-Bedingungen aus.

    IOCs sind Indikatoren wie Dateien, Prozesse, geplante Aufgaben und andere Beweistypen, die die Warnung auslösen.

    Hinweis

    Sie können eine Warnung, die von der Quelle "benutzerdefinierte Erkennung" ausgelöst wird, nicht mehr unterdrücken. Sie können keine Unterdrückungsregel für diese Warnung erstellen.

  3. Wählen Sie im Abschnitt IOCsdie Option Beliebiges IOC aus, um die Warnung zu unterdrücken, unabhängig davon, welche "Beweise" die Warnung verursacht haben.

    Um mehrere Regelbedingungen festzulegen, wählen Sie IOCs auswählen aus. Verwenden Sie AND, OR und Gruppierungsoptionen, um eine Beziehung zwischen diesen verschiedenen "Beweistypen" aufzubauen, die die Warnung auslösen.

    1. Wählen Sie beispielsweise im Abschnitt Bedingungen den auslösenden Beweis Entitätsrolle: Triggering, Equals aus, und wählen Sie den Beweistyp aus der Dropdownliste aus.

      Screenshot der Dropdownliste

    2. Alle Eigenschaften dieses "Beweises" werden automatisch als neue Untergruppe in den entsprechenden Feldern unten aufgefüllt.

      Screenshot der Eigenschaften der automatischen Auffüllung von Beweisen.

      Hinweis

      Bei Bedingungswerten wird die Groß-/Kleinschreibung nicht beachtet.

    3. Sie können die Eigenschaften dieses "Beweises" gemäß Ihren Anforderungen bearbeiten und/oder löschen (sofern unterstützt mithilfe von Wildcards).

    4. Neben Dateien und Prozessen sind das AMSI-Skript (AntiMalware Scan Interface), das WMI-Ereignis (Windows Management Instrumentation) und geplante Aufgaben einige der neu hinzugefügten Beweistypen, die Sie in der Dropdownliste Beweistypen auswählen können.

      Screenshot: Andere Arten von Beweisen.

    5. Um ein weiteres IOC hinzuzufügen, klicken Sie auf Filter hinzufügen.

      Hinweis

      Das Hinzufügen von mindestens einem IOC zur Regelbedingung ist erforderlich, um jeden Warnungstyp zu unterdrücken.

  4. Alternativ können Sie im Abschnitt IOCdie Option Alle warnungsbezogenen 7 bezogenen IOCs automatisch ausfüllen auswählen, um alle warnungsbezogenen Beweistypen und deren Eigenschaften gleichzeitig im Abschnitt Bedingungen hinzuzufügen.

    Screenshot: Automatisches Ausfüllen aller warnungsbezogenen IOCs

  5. Legen Sie im Abschnitt Bereich den Bereich im Unterabschnitt Bedingungen fest, indem Sie ein bestimmtes Gerät, mehrere Geräte, Gerätegruppen, die gesamte Organisation oder nach Benutzer auswählen.

    Hinweis

    Sie müssen über Admin Berechtigung verfügen, wenn der Bereich nur für Benutzer festgelegt ist. Admin Berechtigung ist nicht erforderlich, wenn der Bereich für Benutzer zusammen mit Gerät, Gerätegruppen festgelegt ist.

    Screenshot des Bereichs

  6. Führen Sie im Abschnitt Aktion die entsprechende Aktion entweder Warnung ausblenden oder Warnung auflösen aus.

    Geben Sie Name und Kommentar ein, und klicken Sie auf Speichern.

  7. Verhindern, dass die IOCs in Zukunft blockiert werden:

    Nachdem Sie die Unterdrückungsregel gespeichert haben, können Sie auf der angezeigten Seite Erfolgreiche Erstellung der Unterdrückungsregel die ausgewählten IOCs als Indikatoren zur "Zulassungsliste" hinzufügen und verhindern, dass sie in Zukunft blockiert werden.

    Alle warnungsbezogenen IOCs werden in der Liste angezeigt.

    IOps, die in den Unterdrückungsbedingungen ausgewählt wurden, werden standardmäßig ausgewählt.

    1. Sie können z. B. Dateien hinzufügen, die dem select evidence (IOC) zu erlaubenden Nachweis (Select evidence, IOC) zugelassen werden sollen. Standardmäßig ist die Datei ausgewählt, die die Warnung ausgelöst hat.
    2. Geben Sie den Bereich für den Bereich für den Bereich auswählen ein, auf den angewendet werden soll. Standardmäßig ist der Bereich für die zugehörige Warnung ausgewählt.
    3. Klicken Sie auf Speichern. Jetzt ist die Datei nicht blockiert, da sie in der Zulassungsliste enthalten ist.

    Screenshot der erfolgreichen Erstellung von Unterdrückungsregeln.

  8. Die neue Unterdrückungswarnungsfunktion ist standardmäßig verfügbar.

    Sie können jedoch zurück zur vorherigen Benutzeroberfläche in Microsoft 365 Defender Portal wechseln, indem Sie zu Einstellungen > Endpunkte Warnungsunterdrückung >navigieren und dann die Umschaltfläche Neue Unterdrückungsregeln erstellen aktiviert deaktivieren.

    Screenshot: Umschalten zum Aktivieren/Deaktivieren der Funktion zum Erstellen von Unterdrückungsregeln

    Hinweis

    Bald wird nur die neue Benutzeroberfläche für die Warnungsunterdrückung verfügbar sein. Sie können nicht zur vorherigen Erfahrung zurückkehren.

  9. Vorhandene Regeln bearbeiten:

    Sie können regelbedingungen und den Bereich neuer oder vorhandener Regeln jederzeit in Microsoft Defender Portal hinzufügen oder ändern, indem Sie die entsprechende Regel auswählen und auf Regel bearbeiten klicken.

    Um vorhandene Regeln zu bearbeiten, stellen Sie sicher, dass die Umschaltfläche Neue Unterdrückungsregelnerstellung aktiviert ist.

    Screenshot der Unterdrückungsregel zum Bearbeiten.

Auflösen einer Warnung

Sobald Sie mit der Analyse einer Warnung fertig sind und sie aufgelöst werden kann, wechseln Sie zum Bereich Warnung verwalten für die Warnung oder ähnliche Warnungen, und markieren Sie den Status als Gelöst , und klassifizieren Sie sie dann als Richtig positiv mit einer Art von Bedrohung, einer Information, erwarteten Aktivität mit einem Aktivitätstyp oder falsch positiv.

Das Klassifizieren von Warnungen hilft Microsoft 365 Defender die Erkennungsqualität zu verbessern.

Verwenden von Power Automate zum Selektieren von Warnungen

Moderne Security Operations-Teams (SecOps) benötigen Automatisierung, um effektiv zu arbeiten. Um sich auf die Suche und Untersuchung realer Bedrohungen zu konzentrieren, verwenden SecOps-Teams Power Automate, um die Liste der Warnungen zu selektieren und diejenigen zu beseitigen, die keine Bedrohungen sind.

Kriterien für das Auflösen von Warnungen

  • Die Abwesenheitsnachricht des Benutzers ist aktiviert.
  • Der Benutzer ist nicht als hohes Risiko gekennzeichnet.

Wenn beides true ist, markiert SecOps die Warnung als legitime Reise und löst sie auf. Eine Benachrichtigung wird in Microsoft Teams gepostet, nachdem die Warnung behoben wurde.

Verbinden von Power Automate mit Microsoft Defender for Cloud Apps

Um die Automatisierung zu erstellen, benötigen Sie ein API-Token, bevor Sie Power Automate mit Microsoft Defender for Cloud Apps verbinden können.

  1. Klicken Sie auf Einstellungen, wählen Sie Sicherheitserweiterungen aus, und klicken Sie dann auf der Registerkarte API-Token auf Token hinzufügen.

  2. Geben Sie einen Namen für Ihr Token an, und klicken Sie dann auf Generieren. Speichern Sie das Token, da Sie es später benötigen.

Erstellen eines automatisierten Flows

Sehen Sie sich dieses kurze Video an, um zu erfahren, wie Die Automatisierung effizient funktioniert, um einen reibungslosen Workflow zu schaffen, und wie Sie Power Automate mit Defender für Cloud-Apps verbinden.

Nächste Schritte

Setzen Sie ihre Untersuchung bei Bedarf für In-Process-Vorfälle fort.

Siehe auch