Untersuchen von Warnungen in Microsoft 365 Defender

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.

Gilt für:

  • Microsoft 365 Defender

Hinweis

In diesem Artikel werden Sicherheitswarnungen in Microsoft 365 Defender beschrieben. Sie können jedoch Aktivitätsbenachrichtigungen verwenden, um E-Mail-Benachrichtigungen an sich selbst oder andere Administratoren zu senden, wenn Benutzer bestimmte Aktivitäten in Microsoft 365 ausführen. Weitere Informationen finden Sie unter Erstellen von Aktivitätswarnungen – Microsoft Purview | Microsoft-Dokumentation.

Warnungen sind die Grundlage aller Vorfälle und deuten auf das Auftreten bösartiger oder verdächtiger Ereignisse in Ihrer Umgebung hin. Warnungen sind in der Regel Teil eines umfassenderen Angriffs und geben Hinweise auf einen Vorfall.

In Microsoft 365 Defender werden verwandte Warnungen zu Vorfällen zusammengefasst. Vorfälle bieten immer den breiteren Kontext eines Angriffs, die Analyse von Warnungen kann jedoch hilfreich sein, wenn eine tiefere Analyse erforderlich ist.

In der Warnungswarteschlange werden die aktuellen Warnungen angezeigt. Sie gelangen über Vorfälle & Warnungen > Warnungen auf der Schnellstartleiste des Microsoft 365 Defender-Portals zur Warnungswarteschlange.

Der Abschnitt "Warnungen" im Microsoft 365 Defender-Portal

Hier werden Warnungen von verschiedenen Microsoft-Sicherheitslösungen wie Microsoft Defender for Endpoint, Microsoft Defender for Office 365 und Microsoft 365 Defender angezeigt.

Standardmäßig zeigt die Warnungswarteschlange im Microsoft 365 Defender Portal die neuen und laufenden Warnungen aus den letzten 30 Tagen an. Die letzte Warnung befindet sich am Anfang der Liste, sodass Sie sie zuerst sehen können.

In der Standardbenachrichtigungswarteschlange können Sie "Filtern " auswählen, um einen Filterbereich anzuzeigen, in dem Sie eine Teilmenge der Warnungen angeben können. Im Folgenden sehen Sie ein Beispiel.

Der Abschnitt "Filter" im Microsoft 365 Defender-Portal.

Sie können Warnungen nach den folgenden Kriterien filtern:

  • Severity
  • Status
  • Dienstquellen
  • Entitäten (die betroffenen Ressourcen)
  • Automatisierter Untersuchungsstatus

Erforderliche Rollen für Defender for Office 365 Warnungen

Sie müssen über eine der folgenden Rollen verfügen, um auf Microsoft Defender for Office 365 Warnungen zugreifen zu können:

  • Für globale Azure Active Directory (Azure AD)-Rollen:

    • Globaler Administrator

    • Sicherheitsadministrator

    • Sicherheitsoperator

    • Globaler Leser

    • Sicherheitsleseberechtigter

  • Office 365 Rollengruppen für sicherheitsrelevante & Compliance

    • Complianceadministrator

    • Organisationsverwaltung

  • Eine benutzerdefinierte Rolle

Analysieren einer Warnung

Um die Hauptbenachrichtigungsseite anzuzeigen, wählen Sie den Namen der Warnung aus. Im Folgenden sehen Sie ein Beispiel.

Die Details einer Warnung im Microsoft 365 Defender-Portal

Sie können auch die Aktion " Hauptbenachrichtigungsseite öffnen " im Bereich "Warnung verwalten " auswählen.

Eine Warnungsseite besteht aus folgenden Abschnitten:

  • Alert story, which is the chain of events and alerts related to this alert in chronologisch order
  • Zusammenfassungsdetails

Auf einer Warnungsseite können Sie die Auslassungszeichen (...) neben einer beliebigen Entität auswählen, um verfügbare Aktionen anzuzeigen, z. B. das Verknüpfen der Warnung mit einem anderen Vorfall. Die Liste der verfügbaren Aktionen hängt vom Warnungstyp ab.

Warnungsquellen

Microsoft 365 Defender Warnungen können von Lösungen wie Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps und das App-Governance-Add-On für Microsoft Defender for Cloud Apps. Möglicherweise werden Benachrichtigungen mit vorangestellten Zeichen in der Warnung angezeigt. Die folgende Tabelle enthält Anleitungen, die Ihnen helfen, die Zuordnung von Warnungsquellen basierend auf dem vorangestellten Zeichen für die Warnung zu verstehen.

Hinweis

  • Die vorangestellten GUIDs sind nur für einheitliche Umgebungen wie einheitliche Warnungswarteschlangen, einheitliche Warnungsseite, einheitliche Untersuchung und einheitliche Vorfälle spezifisch.
  • Das vorangestellte Zeichen ändert nicht die GUID der Warnung. Die einzige Änderung an der GUID ist die vorangestellte Komponente.
Warnungsquelle Vorangestelltes Zeichen
Microsoft Defender für Office 365 fa{GUID}
Beispiel: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender für Endpunkt da oder ed für benutzerdefinierte Erkennungswarnungen
Microsoft Defender for Identity aa{GUID}
Beispiel: aa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender for Cloud Apps ca{GUID}
Beispiel: ca123a456b-c789-1d2e-12f1g33h445h6i

Analysieren betroffener Ressourcen

Der Abschnitt "Ausgeführte Aktionen" enthält eine Liste der betroffenen Ressourcen, z. B. Postfächer, Geräte und Benutzer, die von dieser Warnung betroffen sind.

Sie können auch "Im Info-Center anzeigen" auswählen, um die Registerkarte "Verlauf" im Info-Center im Microsoft 365 Defender Portal anzuzeigen.

Nachverfolgen der Rolle einer Warnung im Warnungsverlauf

Der Warnungsartikel zeigt alle Ressourcen oder Entitäten im Zusammenhang mit der Warnung in einer Prozessstrukturansicht an. Die Benachrichtigung im Titel ist die Warnung, die sich im Fokus befindet, wenn Sie zum ersten Mal auf der Seite Ihrer ausgewählten Warnung landen. Ressourcen im Warnungsartikel können erweitert und angeklickt werden. Sie stellen zusätzliche Informationen bereit und beschleunigen Ihre Antwort, indem Sie direkt im Kontext der Warnungsseite Maßnahmen ergreifen können.

Hinweis

Der Abschnitt "Warnungsartikel" kann mehrere Warnungen enthalten, wobei zusätzliche Warnungen im Zusammenhang mit derselben Ausführungsstruktur vor oder nach der ausgewählten Warnung angezeigt werden.

Anzeigen weiterer Warnungsinformationen auf der Detailseite

Auf der Detailseite werden die Details der ausgewählten Warnung mit zugehörigen Details und Aktionen angezeigt. Wenn Sie eine der betroffenen Ressourcen oder Entitäten im Warnungsartikel auswählen, ändert sich die Detailseite, um Kontextinformationen und Aktionen für das ausgewählte Objekt bereitzustellen.

Nachdem Sie eine interessante Entität ausgewählt haben, ändert sich die Detailseite, um Informationen zum ausgewählten Entitätstyp, historische Informationen, sobald diese verfügbar sind, und Optionen zum Ergreifen von Maßnahmen für diese Entität direkt über die Warnungsseite anzuzeigen.

Verwalten von Warnungen

Um eine Warnung zu verwalten, wählen Sie im Abschnitt "Zusammenfassungsdetails" der Warnungsseite die Option " Benachrichtigung verwalten " aus. Für eine einzelne Warnung finden Sie hier ein Beispiel für den Bereich "Warnung verwalten ".

Der Abschnitt "Warnung verwalten" im Microsoft 365 Defender-Portal

Im Bereich "Warnung verwalten " können Sie Folgendes anzeigen oder angeben:

  • Der Warnungsstatus (Neu, Aufgelöst, in Bearbeitung).
  • Das Benutzerkonto, dem die Warnung zugewiesen wurde.
  • Klassifizierung der Warnung:
    • Nicht festgelegt (Standard).
    • True positive mit einer Art von Bedrohung. Verwenden Sie diese Klassifizierung für Warnungen, die genau auf eine echte Bedrohung hinweisen. Wenn Sie diesen Bedrohungstyp angeben, sieht Ihr Sicherheitsteam Bedrohungsmuster und handelt, um Ihre Organisation vor ihnen zu schützen.
    • Informative, erwartete Aktivität mit einer Art von Aktivität. Verwenden Sie diese Option für Warnungen, die technisch genau sind, aber normales Verhalten oder simulierte Bedrohungsaktivitäten darstellen. Sie möchten diese Warnungen im Allgemeinen ignorieren, aber sie für ähnliche Aktivitäten in der Zukunft erwarten, bei denen die Aktivitäten von tatsächlichen Angreifern oder Schadsoftware ausgelöst werden. Verwenden Sie die Optionen in dieser Kategorie, um Warnungen für Sicherheitstests, rote Teamaktivitäten und erwartetes ungewöhnliches Verhalten von vertrauenswürdigen Apps und Benutzern zu klassifizieren.
    • Falsch positiv für Arten von Warnungen, die erstellt wurden, auch wenn keine böswilligen Aktivitäten vorhanden sind, oder für einen falschen Alarm. Verwenden Sie die Optionen in dieser Kategorie, um Warnungen, die fälschlicherweise als normale Ereignisse oder Aktivitäten identifiziert werden, als bösartig oder verdächtig zu klassifizieren. Im Gegensatz zu Warnungen für "Informationelle, erwartete Aktivitäten", die auch zum Abfangen realer Bedrohungen nützlich sein können, möchten Sie diese Warnungen im Allgemeinen nicht mehr sehen. Das Klassifizieren von Warnungen als falsch positiv hilft Microsoft 365 Defender die Erkennungsqualität zu verbessern.
  • Ein Kommentar zur Warnung.

Hinweis

Gegen 29. August 2022 werden zuvor unterstützte Warnungsermittlungswerte ('Apt' und 'SecurityPersonnel') veraltet sein und nicht mehr über die API verfügbar sein.

Hinweis

Eine Möglichkeit zum Verwalten von Warnungen durch die Verwendung von Tags. Die Taggingfunktion für Microsoft Defender for Office 365 wird inkrementell eingeführt und befindet sich derzeit in der Vorschau.
Derzeit werden geänderte Tagnamen nur auf Warnungen angewendet, die nach dem Update erstellt wurden. Warnungen, die vor der Änderung generiert wurden, spiegeln nicht den aktualisierten Tagnamen wider.

Wenn Sie eine Reihe von Warnungen verwalten möchten, die einer bestimmten Warnung ähneln, wählen Sie im Feld INSIGHT im Abschnitt "Zusammenfassungsdetails" der Warnungsseite die Option "Ähnliche Warnungen anzeigen" aus.

Verwalten einer Benachrichtigung im Microsoft 365 Defender-Portal

Im Bereich "Warnungen verwalten " können Sie dann alle zugehörigen Warnungen gleichzeitig klassifizieren. Im Folgenden sehen Sie ein Beispiel.

Verwalten verwandter Warnungen im Microsoft 365 Defender-Portal

Wenn ähnliche Warnungen bereits in der Vergangenheit klassifiziert wurden, können Sie Zeit sparen, indem Sie Microsoft 365 Defender Empfehlungen verwenden, um zu erfahren, wie die anderen Warnungen behoben wurden. Wählen Sie im Abschnitt "Zusammenfassungsdetails" die Option "Empfehlungen" aus.

Beispiel für die Auswahl von Empfehlungen für eine Warnung

Auf der Registerkarte "Empfehlungen " finden Sie Aktionen und Ratschläge in nächsten Schritten zur Untersuchung, Behebung und Prävention. Im Folgenden sehen Sie ein Beispiel.

Beispiel für Warnungsempfehlungen

Unterdrücken einer Warnung

Als SoC-Analyst (Security Operations Center) ist es eines der wichtigsten Probleme, die schieren Anzahl von Warnungen zu triagieren, die täglich ausgelöst werden. Bei Warnungen mit niedrigerer Priorität ist ein Analyst weiterhin verpflichtet, die Warnung zu selektieren und aufzulösen, was in der Regel ein manueller Prozess ist. Die Zeit eines SOC-Analysten ist wertvoll und möchte sich nur auf Warnungen mit hohem Schweregrad und hoher Priorität konzentrieren.

Die Warnungsunterdrückung bietet die Möglichkeit, Warnungen im Voraus zu optimieren und zu verwalten. Dadurch wird die Warnungswarteschlange optimiert und Triagezeit gespart, indem Warnungen automatisch ausgeblendet oder aufgelöst werden, jedes Mal, wenn ein bestimmtes erwartetes Organisationsverhalten auftritt und Regelbedingungen erfüllt sind.

Sie können Regelbedingungen basierend auf "Nachweistypen" erstellen, z. B. Dateien, Prozesse, geplante Aufgaben und viele andere Nachweistypen, die die Warnung auslösen. Nach dem Erstellen der Regel kann der Benutzer die Regel auf die ausgewählte Warnung oder einen beliebigen Warnungstyp anwenden, der die Regelbedingungen erfüllt, um die Warnung zu unterdrücken.

Hinweis

Die Unterdrückung von Warnungen wird nicht empfohlen. In bestimmten Situationen lösen eine bekannte interne Geschäftsanwendung oder Sicherheitstests jedoch eine erwartete Aktivität aus, und Sie möchten diese Warnungen nicht sehen. Sie können also eine Unterdrückungsregel für die Warnung erstellen.

Erstellen von Regelbedingungen zum Unterdrücken von Warnungen

So erstellen Sie eine Unterdrückungsregel für Warnungen:

  1. Wählen Sie die untersuchte Warnung aus. Wählen Sie auf der Hauptbenachrichtigungsseite im Abschnitt "Zusammenfassungsdetails" der Warnungsseite die Option "Unterdrückungsregel erstellen " aus.

    Screenshot der Aktion "Trennregel erstellen".

  2. Wählen Sie im Bereich "Unterdrückungsregel erstellen " "Nur diesen Warnungstyp " aus, um die Regel auf die ausgewählte Warnung anzuwenden.

    Wenn Sie die Regel jedoch auf jeden Warnungstyp anwenden möchten, der die Regelbedingungen erfüllt, wählen Sie " Jeder Warnungstyp basierend auf IOC-Bedingungen" aus.

    IOCs sind Indikatoren wie Dateien, Prozesse, geplante Aufgaben und andere Nachweistypen, die die Warnung auslösen.

    Hinweis

    Sie können eine Warnung, die von der Benutzerdefinierten Erkennungsquelle ausgelöst wird, nicht mehr unterdrücken. Sie können keine Unterdrückungsregel für diese Warnung erstellen.

  3. Wählen Sie im IoCs-Abschnitt "Beliebiges IOC " aus, um die Warnung zu unterdrücken, unabhängig davon, welche "Beweise" die Warnung verursacht haben.

    Um mehrere Regelbedingungen festzulegen, wählen Sie "IOCs auswählen" aus. Verwenden Sie AND, OR und Gruppierungsoptionen, um eine Beziehung zwischen diesen mehreren "Nachweistypen" aufzubauen, die die Warnung auslösen.

    1. Wählen Sie beispielsweise im Abschnitt "Bedingungen " die Auslösende Nachweisentitätsrolle aus: "Auslösen", "Gleich ", und wählen Sie den Nachweistyp aus der Dropdownliste aus.

    Screenshot der Dropdownliste "Nachweistypen".

    1. Alle Eigenschaften dieses "Nachweises" werden automatisch als neue Untergruppe in den entsprechenden Feldern unten aufgefüllt. Screenshot der Eigenschaften des automatischen Auffüllens von Nachweisen.

    Hinweis

    Bei Bedingungswerten wird die Groß-/Kleinschreibung nicht beachtet.

    1. Sie können Eigenschaften dieses "Nachweises" gemäß Ihrer Anforderung bearbeiten und/oder löschen (mit Platzhaltern, wenn unterstützt).

    2. Abgesehen von Dateien und Prozessen sind Amsi-Skript (AntiMalware Scan Interface), WMI-Ereignis (Windows Management Instrumentation) und geplante Aufgaben einige der neu hinzugefügten Nachweistypen, die Sie aus der Dropdownliste "Nachweistypen" auswählen können. Screenshot anderer Arten von Nachweisen.

    3. Wenn Sie ein weiteres IOC hinzufügen möchten, klicken Sie auf "Filter hinzufügen".

    Hinweis

    Das Hinzufügen von mindestens einem IOC zur Regelbedingung ist erforderlich, um jeden Warnungstyp zu unterdrücken.

  4. Alternativ können Sie im IOC-Abschnitt "Automatisches Ausfüllen aller Benachrichtigung 7-bezogenen IOCs" auswählen, um alle warnungsbezogenen Nachweistypen und deren Eigenschaften gleichzeitig im Abschnitt "Bedingungen" hinzuzufügen. Screenshot des automatischen Ausfüllens aller Benachrichtigungs-bezogenen IOCs.

  5. Legen Sie im Abschnitt "Bereich " den Bereich im Unterabschnitt "Bedingungen" fest, indem Sie ein bestimmtes Gerät, mehrere Geräte, Gerätegruppen, die gesamte Organisation oder nach Benutzer auswählen.

    Hinweis

    Sie müssen über Admin Berechtigung verfügen, wenn der Bereich nur für den Benutzer festgelegt ist. Admin Berechtigung ist nicht erforderlich, wenn der Bereich für Benutzer zusammen mit Gerätegruppen festgelegt ist.

Screenshot des Bereichs "Unterdrückungsregel erstellen": Bedingungen, Bereich, Aktion.

  1. Führen Sie im Abschnitt "Aktion" die entsprechende Aktion aus, entweder " Warnung ausblenden " oder "Warnung auflösen". Geben Sie "Name", "Kommentar" ein, und klicken Sie auf "Speichern".

  2. Verhindern, dass die IOCs in Zukunft blockiert werden:
    Nachdem Sie die Unterdrückungsregel gespeichert haben, können Sie auf der daraufhin angezeigten Seite " Erfolgreiche Erstellung von Unterdrückungsregel " die ausgewählten IOCs als Indikatoren zur "Zulassungsliste" hinzufügen und verhindern, dass sie in Zukunft blockiert werden.
    Alle benachrichtigungsbezogenen IOCs werden in der Liste angezeigt.
    IOCs, die unter den Unterdrückungsbedingungen ausgewählt wurden, werden standardmäßig ausgewählt.

    1. Sie können z. B. Dateien hinzufügen, die dem Select Evidence (IOC) zugelassen werden sollen. Standardmäßig ist die Datei ausgewählt, die die Warnung ausgelöst hat.
    2. Geben Sie den Bereich für den Auswahlbereich ein, auf den angewendet werden soll. Standardmäßig ist der Bereich für die zugehörige Warnung ausgewählt.
    3. Klicken Sie auf Speichern. Jetzt wird die Datei nicht blockiert, da sie in der Zulassungsliste enthalten ist.

    Screenshot der erfolgreichen Erstellung von Unterdrückungsregel.

  3. Die neue Unterdrückungswarnungsfunktion ist standardmäßig verfügbar.
    Sie können jedoch wieder zur vorherigen Erfahrung im Microsoft 365 Defender Portal wechseln, indem Sie zu Einstellungen > Endpunkte > Warnungsunterdrückung navigieren und dann die Umschaltfläche "Neue Unterdrückungsregeln erstellen" deaktivieren.

    Screenshot der Umschaltfläche zum Aktivieren/Deaktivieren der Funktion zum Erstellen von Unterdrückungsregel.

    Hinweis

    Bald wird nur die neue Warnungsunterdrückung verfügbar sein. Sie können nicht zur vorherigen Erfahrung zurückkehren.

  4. Vorhandene Regeln bearbeiten:
    Sie können regelbedingungen und den Umfang neuer oder vorhandener Regeln jederzeit im Microsoft Defender-Portal hinzufügen oder ändern, indem Sie die entsprechende Regel auswählen und auf " Regel bearbeiten" klicken.
    Um vorhandene Regeln zu bearbeiten, stellen Sie sicher, dass die Umschaltfläche "Neue Unterdrückungsregeln erstellen" aktiviert ist.

    Screenshot der Bearbeitungsunterdrückungsregel.

Auflösen einer Warnung

Nachdem Sie die Analyse einer Warnung abgeschlossen haben und diese aufgelöst werden kann, wechseln Sie zum Bereich "Warnung verwalten " für die Warnung oder ähnliche Warnungen, markieren Sie den Status als "Behoben ", und klassifizieren Sie ihn dann als "Wahr positiv " mit einer Art von Bedrohung, einer informativen, erwarteten Aktivität mit einer Aktivitätsart oder einem falsch positiven Ergebnis.

Das Klassifizieren von Warnungen hilft Microsoft 365 Defender die Erkennungsqualität zu verbessern.

Verwenden von Power Automate zum Triagen von Warnungen

SecOps-Teams (Modern Security Operations) benötigen Automatisierung, um effektiv zu arbeiten. Um sich auf die Suche und Untersuchung realer Bedrohungen zu konzentrieren, verwenden SecOps-Teams Power Automate, um die Liste der Warnungen zu durchlaufen und diejenigen zu beseitigen, die keine Bedrohungen sind.

Kriterien für das Auflösen von Warnungen

  • Der Benutzer hat die Abwesenheitsnachricht aktiviert.

  • Der Benutzer ist nicht mit einem hohen Risiko gekennzeichnet.

Wenn beides zutrifft, kennzeichnet SecOps die Warnung als legitime Reise und löst sie auf. Eine Benachrichtigung wird in Microsoft Teams veröffentlicht, nachdem die Warnung behoben wurde.

Verbinden von Power Automate mit Microsoft Defender for Cloud Apps

Zum Erstellen der Automatisierung benötigen Sie ein API-Token, bevor Sie Power Automate mit Microsoft Defender for Cloud Apps verbinden können.

  1. Klicken Sie auf "Einstellungen", wählen Sie "Sicherheitserweiterungen" aus, und klicken Sie dann auf der Registerkarte "API-Token" auf "Token hinzufügen".

  2. Geben Sie einen Namen für Ihr Token an, und klicken Sie dann auf "Generieren". Speichern Sie das Token so, wie Sie es später benötigen.

Erstellen eines automatisierten Flusses

Schauen Sie sich dieses kurze Video an, um zu erfahren, wie Automatisierung effizient funktioniert, um einen reibungslosen Workflow zu erstellen und wie Power Automate mit Defender für Cloud-Apps verbunden wird.

Nächste Schritte

Fahren Sie bei Bedarf bei Vorfällen in Einem Prozess mit Ihrer Untersuchung fort.

Siehe auch