Verwalten von Vorfällen in Microsoft 365 Defender

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.

Gilt für:

• Microsoft 365 Defender

Die Vorfallverwaltung ist wichtig, um sicherzustellen, dass Vorfälle benannt, zugewiesen und markiert werden, um die Zeit in Ihrem Vorfallworkflow zu optimieren und Bedrohungen schneller einzudämmen und zu beheben.

Sie können Vorfälle aus Vorfällen Benachrichtigungen &> Vorfälle auf der Schnellstartleiste des Microsoft 365 Defender-Portals (security.microsoft.com) verwalten. Im Folgenden sehen Sie ein Beispiel.

Hier sind die Möglichkeiten, wie Sie Ihre Vorfälle verwalten können:

• Bearbeiten des Vorfallnamens
• Hinzufügen von Vorfalltags
• Zuweisen des Vorfalls zu einem Benutzerkonto
• Beheben von Vorfällen
• Angeben der Klassifizierung
• Hinzufügen von Kommentaren

Sie können Vorfälle im Bereich Vorfall verwalten eines Vorfalls verwalten. Im Folgenden sehen Sie ein Beispiel.

Sie können diesen Bereich über den Link "Vorfall verwalten " auf folgendem Link anzeigen:

• Seite "Benachrichtigungsartikel ".
• Eigenschaftenbereich eines Vorfalls in der Vorfallwarteschlange.
• Zusammenfassungsseite eines Vorfalls.

In Fällen, in denen Sie Warnungen von einem Vorfall in einen anderen verschieben möchten, können Sie dies auch über die Registerkarte " Warnungen " tun und so einen größeren oder kleineren Vorfall erstellen, der alle relevanten Warnungen enthält.

Bearbeiten des Vorfallnamens

Microsoft 365 Defender weist automatisch einen Namen basierend auf Warnungsattributen zu, z. B. der Anzahl betroffener Endpunkte, betroffener Benutzer, Erkennungsquellen oder Kategorien. Auf diese Weise können Sie sich schnell ein Bild vom Umfang des Vorfalls machen. Beispiel: Mehrstufiger Vorfall an mehreren Endpunkten, die von mehreren Quellen gemeldet wurden.

Sie können den Vorfallnamen im Feld " Vorfallname " im Bereich "Vorfall verwalten" bearbeiten.

Hinweis

Vorfälle, die vor dem Rollout des Features für die automatische Benennung von Vorfällen vorhanden waren, behalten ihren Namen.

Hinzufügen von Ereigniskategorien

Sie können einem Vorfall benutzerdefinierte Tags hinzufügen, um beispielsweise eine Gruppe von Vorfällen mit einer gemeinsamen Charakteristik zu kennzeichnen. Sie können die Liste der Vorfälle später nach allen Einträgen filtern, die einen bestimmten Tag enthalten.

Wenn Sie mit der Eingabe beginnen, haben Sie die Möglichkeit, aus einer Liste der zuvor verwendeten und ausgewählten Tags auszuwählen.

Zuweisen eines Vorfalls

Wenn noch kein Vorfall zugewiesen wurde, können Sie das Feld "Zuweisen zu " auswählen und das Benutzerkonto angeben. Um einen Vorfall erneut zuzuweisen, entfernen Sie das aktuelle Zuordnungskonto, indem Sie das "x" neben dem Kontonamen und dann das Feld " Zuweisen zu " auswählen. Wenn Sie den Besitz eines Vorfalls zuweisen, wird allen damit verbundenen Warnungen der gleiche Besitz zugewiesen.

Sie können eine Liste der Vorfälle abrufen, die Ihnen zugewiesen wurden, indem Sie die Vorfallswarteschlange filtern.

1. Wählen Sie in der Vorfallwarteschlange "Filter" aus.
2. deaktivieren Sie im Abschnitt "Vorfallzuweisung" "Alles auswählen", und wählen Sie "Mir zugewiesen" aus.
3. Wählen Sie "Übernehmen" aus, und schließen Sie dann den Bereich "Filter ".

Anschließend können Sie die resultierende URL in Ihrem Browser als Textmarke speichern, um die Liste der Ihnen zugewiesenen Vorfälle schnell anzuzeigen.

Beheben eines Vorfalls

Wenn der Vorfall behoben wurde, wählen Sie "Vorfall beheben " aus, um den Umschalter nach rechts zu verschieben. Beachten Sie, dass die Lösung eines Vorfalls auch alle verknüpften und aktiven Warnungen im Zusammenhang mit dem Vorfall behebt.

Ein Vorfall, der nicht behoben wurde, wird als "Aktiv" angezeigt.

Angeben der Klassifizierung

Im Feld "Klassifizierung " geben Sie an, ob der Vorfall folgendermaßen lautet:

• Nicht festgelegt (Standardeinstellung).
• True positive mit einer Art von Bedrohung. Verwenden Sie diese Klassifizierung für Vorfälle, die genau auf eine reale Bedrohung hinweisen. Die Angabe des Bedrohungstyps hilft Ihrem Sicherheitsteam, Bedrohungsmuster zu erkennen und Maßnahmen zur Abwehr dieser in Ihrer Organisation zu ergreifen.
• Informative, erwartete Aktivität mit einer Art von Aktivität. Verwenden Sie die Optionen in dieser Kategorie, um Vorfälle für Sicherheitstests, rote Teamaktivitäten und erwartetes ungewöhnliches Verhalten von vertrauenswürdigen Apps und Benutzern zu klassifizieren.
• Falsch positive Ergebnisse für Arten von Vorfällen, die Sie bestimmen, können ignoriert werden, da sie technisch ungenau oder irreführend sind.

Das Klassifizieren von Vorfällen und die Angabe ihres Status und Typs hilft dabei, Microsoft 365 Defender zu optimieren, um eine bessere Erkennungsermittlung im Laufe der Zeit zu ermöglichen.

Kommentare hinzufügen

Mit dem Feld "Kommentar " können Sie einem Vorfall mehrere Kommentare hinzufügen. Jeder Kommentar wird den historischen Ereignissen des Vorfalls hinzugefügt. Sie können die Kommentare und den Verlauf eines Vorfalls über den Link "Kommentare und Verlauf " auf der Seite "Zusammenfassung " anzeigen.

Nächste Schritte

Beginnen Sie bei neuen Vorfällen mit Ihrer Untersuchung.

Fahren Sie bei Vorfällen in Einem Prozess mit Ihrer Untersuchung fort.

Führen Sie für gelöste Vorfälle eine Überprüfung nach dem Vorfall durch.

Siehe auch

• Übersicht über Vorfälle
• Priorisieren von Vorfällen
• Untersuchen von Vorfällen