Automatisierte Untersuchung und Reaktion in Microsoft Defender XDR

Gilt für:

  • Microsoft Defender XDR

Wenn Ihr organization Microsoft Defender XDR verwendet, erhält Ihr Sicherheitsteam eine Warnung im Microsoft Defender-Portal, wenn eine schädliche oder verdächtige Aktivität oder ein verdächtiges Artefakt erkannt wird. Angesichts des scheinbar endlosen Flusses von Bedrohungen, die auftreten können, stehen Sicherheitsteams häufig vor der Herausforderung, die große Anzahl von Warnungen zu bewältigen. Glücklicherweise umfasst Microsoft Defender XDR funktionen für automatisierte Untersuchung und Reaktion (Air), mit denen Ihr Sicherheitsteam Bedrohungen effizienter und effektiver angehen kann.

Dieser Artikel bietet eine Übersicht über AIR und enthält Links zu den nächsten Schritten und zusätzlichen Ressourcen.

Funktionsweise der automatisierten Untersuchung und des Self-healing

Wenn Sicherheitswarnungen ausgelöst werden, liegt es in der Verantwortung Ihres Sicherheitsteams, diese Warnungen zu untersuchen und entsprechende Maßnahmen zum Schutz Ihrer Organisation zu ergreifen. Die Priorisierung und Untersuchung von Warnungen kann sehr zeitaufwändig sein, insbesondere dann, wenn ständig neue Benachrichtigungen während einer laufenden Untersuchung eingehen. Sicherheitsteams können sich angesichts des enormen Volumens der Bedrohungen, die sie überwachen müssen, überfordert fühlen. Automatisierte Untersuchungs- und Reaktionsfunktionen mit Selbstreparatur in Microsoft Defender XDR können helfen.

Sehen Sie sich das folgende Video an, um zu sehen, wie die Selbstreparatur funktioniert:

In Microsoft Defender XDR funktioniert die automatisierte Untersuchung und Reaktion mit Selbstreparaturfunktionen auf Ihren Geräten, E-Mails & Inhalten und Identitäten.

Tipp

In diesem Artikel wird die Funktionsweise der automatisierten Untersuchung und Reaktion beschrieben. Informationen zum Konfigurieren dieser Funktionen finden Sie unter Konfigurieren automatisierter Untersuchungs- und Reaktionsfunktionen in Microsoft Defender XDR.

Ihr eigener virtueller Analyst

Stellen Sie sich vor, sie haben einen virtuellen Analysten in Ihrem Sicherheitsbetriebsteam der Ebene 1 oder 2. Der virtuelle Analyst imitiert die idealen Schritte, die das Sicherheitsteam zur Untersuchung und Behebung von Bedrohungen ausführen würde. Der virtuelle Analyst könnte 24x7 mit unbegrenzter Kapazität arbeiten und eine erhebliche Last an Untersuchungen und Bedrohungsbehebungen übernehmen. Ein solcher virtueller Analyst könnte die Zeit für die Reaktion erheblich verkürzen und Ihr Sicherheitsteam für andere wichtige Bedrohungen oder strategische Projekte freigeben. Wenn dieses Szenario wie Science-Fiction klingt, ist es nicht! Ein solcher virtueller Analyst ist Teil Ihrer Microsoft Defender XDR Suite, und sein Name ist automatisierte Untersuchung und Reaktion.

Automatisierte Untersuchungs- und Reaktionsfunktionen ermöglichen es Ihrem Sicherheitsteam, die Kapazität Ihrer organization für den Umgang mit Sicherheitswarnungen und Incidents erheblich zu erhöhen. Mit automatisierter Untersuchung und Reaktion können Sie die Kosten für den Umgang mit Untersuchungs- und Reaktionsaktivitäten reduzieren und das Beste aus Ihrer Threat Protection-Suite herauszuholen. Automatisierte Untersuchungs- und Reaktionsfunktionen unterstützen Ihr Sicherheitsteam durch Folgendes:

  1. Ermitteln, ob eine Bedrohung eine Aktion erfordert.
  2. Ergreifen (oder Empfehlen) aller erforderlichen Wartungsmaßnahmen.
  3. Bestimmen, ob und welche weiteren Untersuchungen durchgeführt werden sollen.
  4. Wiederholen des Vorgangs für andere Warnungen.

Der Prozess der automatischen Untersuchung

Eine ausgelöste Warnung erstellt einen Vorfall, der wiederum eine automatische Untersuchung starten kann. Die automatisierte Untersuchung führt zu einer Bewertung für jeden Beweis. Die Bewertung kann wie folgt lauten:

  • Bösartig
  • Verdächtig
  • Keine Bedrohungen gefunden

Korrekturmaßnahmen für bösartige oder verdächtige Entitäten werden identifiziert. Beispiele für Korrekturmaßnahmen sind:

  • Eine Datei unter Quarantäne stellen
  • Ein Prozess beenden
  • Gerät wird isoliert
  • Eine URL blockieren
  • Weitere Aktionen

Weitere Informationen finden Sie unter Wartungsaktionen in Microsoft Defender XDR.

Je nachdem, wie automatisierte Untersuchungs- und Reaktionsfunktionen für Ihre organization konfiguriert sind, werden Korrekturmaßnahmen automatisch oder nur nach Genehmigung durch Ihr Sicherheitsteam ausgeführt. Alle Aktionen, ob ausstehend oder abgeschlossen, werden im Info-Center aufgeführt.

Während eine Untersuchung läuft, werden alle anderen zugehörigen Warnungen zur Untersuchung hinzugefügt, bis diese abgeschlossen ist. Wenn eine betroffene Entität an einer anderer Stelle angezeigt wird, erweitert die automatisierte Untersuchung ihren Suchbereich, um diese Entität einzuschließen, und der Untersuchungsprozess wird wiederholt.

In Microsoft Defender XDR korreliert jede automatisierte Untersuchung Signale über Microsoft Defender for Identity, Microsoft Defender for Endpoint und Microsoft Defender for Office 365, wie in der folgenden Tabelle zusammengefasst:

Entitäten Dienste für den Bedrohungsschutz
Geräte (auch als Endpunkte oder Computer bezeichnet) Defender für Endpunkt
Lokale Active Directory-Benutzer, Entitätsverhalten und Aktivitäten Defender for Identity
Email Inhalte (E-Mail-Nachrichten, die Dateien und URLs enthalten können) Defender for Office 365

Hinweis

Nicht jede Warnung löst eine automatisierte Untersuchung aus, und nicht jede Untersuchung führt zu automatisierten Korrekturmaßnahmen. Dies hängt davon ab, wie Automated Investigation and Response für Ihre Organisation konfiguriert ist. Weitere Informationen finden Sie unter Konfigurieren der Funktionen der automatischen Untersuchung und Reaktion.

Anzeigen einer Liste von Untersuchungen

Um Untersuchungen anzuzeigen, wechseln Sie zur Seite Incidents . Wählen Sie einen Vorfall und dann die Registerkarte Untersuchungen aus. Weitere Informationen finden Sie unter Details und Ergebnisse einer automatisierten Untersuchung.

Automatisierte untersuchungs- & response Karte

Die neue Karte Automatisierte Untersuchung & Antwort ist im Microsoft Defender-Portal (https://security.microsoft.com) verfügbar. Diese neue Karte Einblick in die Gesamtzahl der verfügbaren Wartungsaktionen. Die Karte bietet auch einen Überblick über alle Warnungen und die erforderliche Genehmigungszeit für jede Warnung.

Screenshot: automatisierte Untersuchung & Antwort Karte

Mithilfe des Karte Automatisierte Untersuchung & Reaktion kann Ihr Sicherheitsteam schnell zum Info-Center navigieren, indem es den Link Im Info-Center genehmigen auswählt und dann die entsprechenden Aktionen ausführt. Die Karte ermöglicht es Ihrem Sicherheitsteam, Aktionen, die ausstehen, effektiver zu verwalten.

Nächste Schritte

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.