Untersuchen von Vorfällen mit Microsoft 365 Defender

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender bewerten und pilotieren können.

Gilt für:

  • Microsoft 365 Defender

Microsoft 365 Defender fasst alle zugehörigen Warnungen, Ressourcen, Untersuchungen und Beweise aus Ihren Geräten, Benutzern und Postfächern in einem Incident zusammen, um Ihnen einen umfassenden Einblick in die gesamte Bandbreite eines Angriffs zu geben.

Innerhalb eines Incidents analysieren Sie die Warnungen, die sich auf Ihr Netzwerk auswirken, verstehen, was sie bedeuten, und sortieren die Beweise, damit Sie einen effektiven Wiederherstellungsplan erstellen können.

Erste Untersuchung

Bevor Sie sich mit den Details befassen, sehen Sie sich die Eigenschaften und die gesamte Angriffsgeschichte des Vorfalls an.

Sie können zunächst den Incident aus der Häkchenspalte auswählen. Im Folgenden sehen Sie ein Beispiel.

Auswählen eines Incidents im Microsoft 365 Defender-Portal

Wenn Sie dies tun, wird ein Zusammenfassungsbereich mit wichtigen Informationen zum Incident geöffnet, z. B. dem Schweregrad, dem er zugewiesen ist, und den MITRE ATT&CK-Kategorien™ für den Incident. Im Folgenden sehen Sie ein Beispiel.

Der Bereich, in dem die Zusammenfassungsdetails für einen Incident im Microsoft 365 Defender-Portal angezeigt werden.

Von hier aus können Sie Vorfallseite öffnen auswählen. Dadurch wird die Hauptseite für den Incident geöffnet, auf der Sie die vollständigen Informationen zum Angriffsverlauf und Registerkarten für Warnungen, Geräte, Benutzer, Untersuchungen und Beweise finden.

Sie können auch die Hauptseite für einen Incident öffnen, indem Sie den Incidentnamen aus der Incidentwarteschlange auswählen.

Angriffsgeschichte

Angriffsgeschichten helfen Ihnen, Angriffe schnell zu überprüfen, zu untersuchen und zu beheben, während Sie die gesamte Geschichte des Angriffs auf derselben Registerkarte anzeigen. Außerdem können Sie die Entitätsdetails überprüfen und Korrekturmaßnahmen durchführen, z. B. das Löschen einer Datei oder das Isolieren eines Geräts, ohne den Kontext zu verlieren.

Die Angriffsgeschichte eines Incidents

In der Angriffsgeschichte finden Sie die Warnungsseite und das Incidentdiagramm.

Die Seite "Incidentwarnungen" enthält die folgenden Abschnitte:

  • Warnungsmeldung, die Folgendes umfasst:

    • Was ist passiert

    • Durchgeführte Aktionen

    • Verwandte Ereignisse

  • Warnungseigenschaften im rechten Bereich (Status, Details, Beschreibung usw.)

Beachten Sie, dass nicht jede Warnung alle im Abschnitt Warnungsabschnitt aufgeführten Unterabschnitte enthält.

Das Diagramm zeigt den gesamten Umfang des Angriffs, wie sich der Angriff im Laufe der Zeit in Ihrem Netzwerk ausbreitete, wo er begonnen hat und wie weit der Angreifer gegangen ist. Es verbindet die verschiedenen verdächtigen Entitäten, die Teil des Angriffs sind, mit ihren zugehörigen Ressourcen wie Benutzern, Geräten und Postfächern.

Das Diagramm ermöglicht Folgendes:

  • Spielen Sie die Warnungen und Knoten im Diagramm ab, wie sie im Laufe der Zeit aufgetreten sind, um die Chronologie des Angriffs zu verstehen.

    Screenshot, der die Wiedergabe der Warnungen und Knoten auf der Seite mit dem Angriffsverlaufsdiagramm zeigt.

  • Öffnen Sie einen Entitätsbereich, in dem Sie die Entitätsdetails überprüfen und auf Korrekturaktionen wie das Löschen einer Datei oder das Isolieren eines Geräts reagieren können.

    Screenshot: Überprüfung der Entitätsdetails auf der Seite

  • Markieren Sie die Warnungen basierend auf der Entität, mit der sie verknüpft sind.

Verwenden Sie die Seite Zusammenfassung , um die relative Wichtigkeit des Incidents zu bewerten und schnell auf die zugehörigen Warnungen und betroffenen Entitäten zuzugreifen.

Zusammenfassung

Auf der Seite Zusammenfassung erhalten Sie einen Überblick über die wichtigsten Dinge, die Sie über den Vorfall beachten müssen.

Screenshot, der die Zusammenfassungsinformationen für einen Incident im Microsoft 365 Defender-Portal zeigt.

Informationen sind in diesen Abschnitten organisiert.

Abschnitt Beschreibung
Warnungen und Kategorien Eine visuelle und numerische Ansicht, wie weit der Angriff gegen die Kill Chain fortgeschritten ist. Wie bei anderen Microsoft Sicherheitsprodukten ist Microsoft 365 Defender auf das MITRE ATT&CK-Framework™ ausgerichtet. Die Zeitachse der Warnungen zeigt die chronologische Reihenfolge, in der die Warnungen aufgetreten sind, sowie für jeden deren Status und Namen.
Bereich Zeigt die Anzahl der betroffenen Geräte, Benutzer und Postfächer an und listet die Entitäten nach Risikostufe und Untersuchungspriorität auf.
Beweis Zeigt die Anzahl der entitäten an, die von dem Vorfall betroffen sind.
Incidentinformationen Zeigt die Eigenschaften des Incidents an, z. B. Tags, Status und Schweregrad.

Warnungen

Auf der Registerkarte Warnungen können Sie die Warnungswarteschlange für Warnungen im Zusammenhang mit dem Incident und andere Informationen zu diesen anzeigen, z. B.:

  • Schweregrad.
  • Die An der Warnung beteiligten Entitäten.
  • Die Quelle der Warnungen (Microsoft Defender for Identity, Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Defender für Cloud Apps und das App-Governance-Add-On).
  • Der Grund, warum sie miteinander verknüpft wurden.

Im Folgenden sehen Sie ein Beispiel.

Bereich

Standardmäßig sind die Warnungen chronologisch angeordnet, damit Sie sehen können, wie sich der Angriff im Laufe der Zeit abgespielt hat. Wenn Sie eine Warnung innerhalb eines Incidents auswählen, zeigt Microsoft 365 Defender die Warnungsinformationen an, die für den Kontext des Gesamtvorfalls spezifisch sind.

Sie können die Ereignisse der Warnung anzeigen, die andere ausgelöste Warnungen die aktuelle Warnung verursacht haben, sowie alle betroffenen Entitäten und Aktivitäten, die an dem Angriff beteiligt sind, einschließlich Geräten, Dateien, Benutzern und Postfächern.

Im Folgenden sehen Sie ein Beispiel.

Die Details einer Warnung innerhalb eines Incidents im Microsoft 365 Defender-Portal.

Erfahren Sie, wie Sie die Warnungswarteschlangen- und Warnungsseiten in Untersuchen von Warnungen verwenden.

Geräte

Auf der Registerkarte Geräte werden alle Geräte aufgelistet, die sich auf den Incident beziehen. Im Folgenden sehen Sie ein Beispiel.

Seite

Sie können das Häkchen für ein Gerät aktivieren, um Details zum Gerät, Verzeichnisdaten, aktiven Warnungen und angemeldeten Benutzern anzuzeigen. Wählen Sie den Namen des Geräts aus, um Gerätedetails im Defender für Endpunkt-Gerätebestand anzuzeigen. Im Folgenden sehen Sie ein Beispiel.

Die Seite gerätebestandsbezogene Optionen im Microsoft Defender for Endpoint.

Auf der Geräteseite können Sie zusätzliche Informationen zum Gerät sammeln, z. B. alle Warnungen, eine Zeitachse und Sicherheitsempfehlungen. Beispielsweise können Sie auf der Registerkarte Zeitachse durch die Computerzeitachse scrollen und alle ereignisse und verhaltensweisen, die auf dem Computer beobachtet wurden, in chronologischer Reihenfolge anzeigen, die mit den ausgelösten Warnungen durchsetzt sind.

Tipp

Sie können bedarfsgesteuerte Überprüfungen auf einer Geräteseite durchführen. Wählen Sie im Microsoft 365 Defender-Portal Endpunkte > Gerätebestand aus. Wählen Sie ein Gerät mit Warnungen aus, und führen Sie dann eine Antivirenüberprüfung aus. Aktionen, z. B. Antivirenscans, werden nachverfolgt und sind auf der Seite Gerätebestand sichtbar. Weitere Informationen finden Sie unter Ausführen Microsoft Defender Antivirusscans auf Geräten.

Benutzer

Auf der Registerkarte Benutzer werden alle Benutzer aufgelistet, die als Teil des Incidents oder im Zusammenhang mit diesem identifiziert wurden. Im Folgenden sehen Sie ein Beispiel.

Die Seite Benutzer im Microsoft 365 Defender-Portal.

Sie können das Häkchen für einen Benutzer aktivieren, um Details der Bedrohungs-, Offenlegungs- und Kontaktinformationen des Benutzerkontos anzuzeigen. Wählen Sie den Benutzernamen aus, um zusätzliche Benutzerkontodetails anzuzeigen.

Erfahren Sie, wie Sie zusätzliche Benutzerinformationen anzeigen und die Benutzer eines Incidents in "Untersuchen von Benutzern" verwalten.

Postfächer

Auf der Registerkarte Postfächer werden alle Postfächer aufgelistet, die als Teil des Incidents oder im Zusammenhang mit diesem identifiziert wurden. Im Folgenden sehen Sie ein Beispiel.

Die Seite Postfächer für einen Incident im Microsoft 365 Defender-Portal.

Sie können das Häkchen für ein Postfach aktivieren, um eine Liste der aktiven Warnungen anzuzeigen. Wählen Sie den Postfachnamen aus, um weitere Postfachdetails auf der Seite Explorer für Defender for Office 365 anzuzeigen.

Untersuchungen

Auf der Registerkarte Untersuchungen werden alle automatisierten Untersuchungen aufgelistet, die durch Warnungen in diesem Incident ausgelöst werden. Automatisierte Untersuchungen führen Korrekturaktionen durch oder warten auf die Genehmigung von Aktionen durch Analysten, je nachdem, wie Sie Ihre automatisierten Untersuchungen für die Ausführung in Defender für Endpunkt und Defender for Office 365 konfiguriert haben.

Seite

Wählen Sie eine Untersuchung aus, um zur Detailseite zu navigieren, um vollständige Informationen zum Untersuchungs- und Korrekturstatus zu erhalten. Wenn im Rahmen der Untersuchung Aktionen zur Genehmigung ausstehen, werden diese auf der Registerkarte Verlauf der ausstehenden Aktionen angezeigt. Ergreifen Sie Maßnahmen im Rahmen der Behebung von Vorfällen.

Es gibt auch eine Registerkarte "Untersuchungsdiagramm ", auf der Folgendes angezeigt wird:

  • Die Verbindung von Warnungen mit den betroffenen Ressourcen in Ihrer Organisation.
  • Welche Entitäten hängen mit welchen Warnungen zusammen und wie sie Teil der Geschichte des Angriffs sind.
  • Die Warnungen für den Incident.

Das Untersuchungsdiagramm hilft Ihnen, den gesamten Umfang des Angriffs schnell zu verstehen, indem die verschiedenen verdächtigen Entitäten, die Teil des Angriffs sind, mit ihren zugehörigen Ressourcen wie Benutzern, Geräten und Postfächern verbunden werden.

Weitere Informationen finden Sie unter Automatisierte Untersuchung und Reaktion in Microsoft 365 Defender.

Beweis und Antwort

Auf der Registerkarte Beweis und Antwort werden alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen im Incident angezeigt. Im Folgenden sehen Sie ein Beispiel.

Seite

Microsoft 365 Defender untersucht automatisch alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen und stellt Ihnen Informationen zu wichtigen E-Mails, Dateien, Prozessen, Diensten, IP-Adressen und mehr zur Verfügung. Dies hilft Ihnen, potenzielle Bedrohungen im Incident schnell zu erkennen und zu blockieren.

Jede der analysierten Entitäten ist mit einem Urteil (Böswillig, verdächtig, Bereinigen) und einem Korrekturstatus gekennzeichnet. Dies hilft Ihnen, den Behebungsstatus des gesamten Incidents und die nächsten Schritte zu verstehen.

Genehmigen oder Ablehnen von Korrekturaktionen

Bei Vorfällen mit dem Wartungsstatus Pending approval (Ausstehend) können Sie eine Korrekturaktion innerhalb des Incidents genehmigen oder ablehnen.

  1. Navigieren Sie im Navigationsbereich zu Incidents alerts >Incidents Incidents( Incidents &Alerts Incidents).
  2. Filtern Sie nach der Aktion "Ausstehend " für den Status "Automatisierte Untersuchung" (optional).
  3. Wählen Sie einen Incidentnamen aus, um die zugehörige Zusammenfassungsseite zu öffnen.
  4. Wählen Sie die Registerkarte Beweis und Antwort aus.
  5. Wählen Sie ein Element in der Liste aus, um dessen Flyoutbereich zu öffnen.
  6. Überprüfen Sie die Informationen, und führen Sie dann einen der folgenden Schritte aus:
    • Wählen Sie die Option Ausstehende Aktion genehmigen aus, um eine ausstehende Aktion zu initiieren.
    • Wählen Sie die Option Ausstehende Aktion ablehnen aus, um zu verhindern, dass eine ausstehende Aktion ausgeführt wird.

Die Option Genehmigen\Ablehnen im Bereich

Nächste Schritte

Je nach Bedarf:

Siehe auch