Schritt 4. Reagieren auf einen Incident mit Microsoft Sentinel und Microsoft Defender XDR
Dieser Artikel enthält eine allgemeine Reihe von Schritten und Verfahren zum Beheben eines Vorfalls mithilfe von Microsoft Sentinel und Microsoft Defender XDR, einschließlich Triage, Untersuchung und Lösung. Microsoft Sentinel und Microsoft Defender XDR teilen sich:
- Aktualisierungen zum Lebenszyklus (Status, Besitzer, Klassifizierung) werden von den Produkten gemeinsam genutzt.
- Die während einer Untersuchung gesammelten Nachweise werden in dem Microsoft Sentinel-Vorfall gezeigt.
Die folgenden Abbildungen zeigen, wie die erweiterte Lösung für Erkennung und Reaktion (XDR) von Microsoft nahtlos in Microsoft Sentinel integriert wird, je nachdem, ob Sie Ihren Microsoft Sentinel-Arbeitsbereich in die einheitliche Sicherheitsoperationsplattform im Microsoft Defender-Portal integriert haben.
Die folgende Abbildung zeigt, wie die XDR-Lösung von Microsoft nahtlos in Microsoft Sentinel mit der einheitlichen Sicherheitsoperationsplattform integriert wird.
In diesem Diagramm:
- Erkenntnisse aus Signalen in Ihrer gesamten Organisation werden in Microsoft Defender XDR und Microsoft Defender for Cloud erfasst.
- Microsoft Sentinel bietet Unterstützung für Multicloud-Umgebungen und kann in Drittanbieter-Apps und -Partner integriert werden.
- Microsoft Sentinel-Daten werden zusammen mit den Daten Ihrer Organisation in das Microsoft Defender-Portal aufgenommen.
- SecOps-Teams können dann Bedrohungen analysieren und auf die Bedrohungen reagieren, die in Microsoft Sentinel und Microsoft Defender XDR im Microsoft Defender-Portal identifiziert wurden.
Prozess zur Reaktion auf Vorfälle
Der Prozess der Reaktion auf Vorfälle zur Behebung eines Vorfalls mithilfe von Microsoft Sentinel und Microsoft Defender XDR unterscheidet sich, je nachdem, ob Sie Ihren Arbeitsbereich in die einheitliche Sicherheitsoperationsplattform integriert haben und auf Microsoft Sentinel im Defender-Portal zugreifen können.
Verwenden Sie das Defender-Portal zur Priorisierung des potenziellen Vorfalls. Dazu gehört das Verstehen der Vorfalldetails und das Ergreifen sofortiger Maßnahmen.
Führen Sie die Untersuchung im Defender-Portal aus, einschließlich:
- Verständnis des Vorfalls und seines Umfangs und Überprüfung der Zeitpläne für die Vermögenswerte.
- Überprüfung ausstehender Selbsthilfeaktionen, manuelle Korrektur von Entitäten, Durchführung von Live-Reaktionen.
- Hinzufügen von Präventionsmaßnahmen.
Verwenden Sie den Microsoft Sentinel-Bereich des Defender-Portals, um Ihre Untersuchung zu vertiefen, einschließlich:
- Verstehen des Umfangs des Vorfalls, indem Sie ihn mit Ihren Sicherheitsprozessen, Richtlinien und Verfahren (3P) korrelieren.
- Durchführen automatisierter 3P Untersuchungs- und Wartungsaktionen und Erstellen von benutzerdefinierten Sicherheits-Orchestrierungs-, Automatisierungs- und Reaktions-Playbooks (SOAR).
- Aufzeichnung von Beweisen für das Management von Zwischenfällen.
- Hinzufügen benutzerdefinierter Maße.
Lösen Sie den Vorfall auf, und führen Sie entsprechende Nachverfolgung innerhalb Ihres Sicherheitsteams durch.
Weitere Informationen finden Sie unter:
Unabhängig davon, welches Portal Sie verwenden, sollten Sie die Playbook- und Automatisierungsregelfunktionen von Microsoft Sentinel nutzen:
Ein Playbook ist eine Sammlung von Untersuchungs- und Wartungsaktionen, die über das Microsoft Sentinel-Portal als Routine ausgeführt werden können. Playbooks können helfen, Ihre Reaktion auf Bedrohungen zu automatisieren und zu orchestrieren. Sie können bei Bedarf manuell auf Vorfälle, Entitäten und Alarme angewendet werden oder automatisch als Reaktion auf bestimmte Alarme oder Vorfälle ausgeführt werden, wenn sie durch eine Automatisierungsregel ausgelöst werden. Weitere Informationen finden Sie unter Automatisierung der Reaktion auf Bedrohungen mit Playbooks.
Automatisierungsregeln sind eine Möglichkeit, die Automatisierung in Microsoft Sentinel zentral zu verwalten, indem Sie eine kleine Reihe von Regeln definieren und koordinieren können, die in verschiedenen Szenarien angewendet werden können. Weitere Informationen finden Sie unter Automatisierung der Reaktion auf Bedrohungen in Microsoft Sentinel mit Automatisierungsregeln.
Beachten Sie nach dem Onboarding Ihres Microsoft Sentinel-Arbeitsbereichs auf der einheitlichen Security Operations-Plattform dass es Unterschiede in der Art und Weise gibt, wie Automatisierungsfunktionen in Ihrem Arbeitsbereich funktionieren. Weitere Informationen finden Sie unter Automatisierung mit der einheitlichen Security Operations-Plattform.
Schritt 1: Triage des Vorfalls
Verwenden Sie diese Schritte als allgemeine Methode zur Triage des Vorfall mit Microsoft Sentinel und Microsoft Defender XDR. Wenn Sie Ihren Arbeitsbereich in die einheitliche Sicherheitsoperationsplattform integriert haben, verwenden Sie das Defender-Portal. Verwenden Sie andernfalls das Azure-Portal.
So untersuchen Sie Microsoft Sentinel-Vorfälle im Defender-Portal:
Wählen Sie im Defender-Portal die Option Untersuchung und Reaktion> Vorfälle und Warnungen > Vorfälle und suchen Sie den verdächtigen Vorfall. Filtern Sie Ihre Dienst-/Erkennungsquellen nach Microsoft Sentinel, damit Sie die Liste der Vorfälle auf diejenigen eingrenzen können, die von Microsoft Sentinel stammen.
Wählen Sie die Vorfallzeile aus, um grundlegende Informationen im Bereich "Vorfallzusammenfassung" anzuzeigen.
Wählen Sie Vorfall verwalten aus, um Details wie Name, Schweregrad, Status, Klassifizierung oder Kommentare hinzuzufügen. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.
Wählen Sie die Vorfallseite öffnen aus, um die Untersuchung fortzusetzen.
Schritt 2: Untersuchen des Vorfalls
Wenn Ihr Arbeitsbereich in die einheitliche Sicherheitsoperationsplattform integriert ist, bleiben Sie für diesen gesamten Schritt im Defender-Portal. Beginnen Sie andernfalls im Azure-Portal. Sie springen zur Untersuchung zum Defender-Portal und kehren dann zum Azure-Portal zurück.
Berücksichtigen Sie im Defender-Portal auf der Registerkarte Angriffsverlauf der Seite der Vorfalleinzelheiten die folgenden Schritte für Ihren eigenen Vorfallreaktionsworkflow:
Sehen Sie sich den Angriffsverlauf des Vorfalls an, um den Umfang, den Schweregrad, die Erkennungsquelle und die betroffenen Einrichtungen zu verstehen.
Analysieren Sie die Warnungen des Vorfalls, um deren Ursprung, Umfang und Schweregrad mit der Warnungsmeldung innerhalb des Vorfalls zu verstehen.
Sammeln Sie bei Bedarf Informationen über betroffene Geräte, Benutzer und Postfächer mit der Grafik. Wählen Sie eine beliebige Entität aus, um ein Flyout mit allen Details zu öffnen.
Erfahren Sie, wie Microsoft Defender XDR einige Warnungen automatisch mit der Registerkarte Untersuchungen aufgelöst hat.
Verwenden Sie bei Bedarf Informationen aus dem Datensatz für den Vorfall auf der Registerkarte Beweise und Reaktionen.
Zeigen Sie auf der Registerkarte Objekte die Entitäten an, die an dem Vorfall beteiligt sind. Wählen Sie ein Benutzerkonto, einen Hostnamen, eine IP-Adresse oder eine Azure-Ressource aus, um weitere Untersuchungen auf der Seite mit den Entitätsdetails fortzusetzen. Wenn Sie beispielsweise einen Benutzer ausgewählt haben, wählen Sie im Bereich "Benutzerdetails" die Option Zur Benutzerseite wechseln aus, um die Entitätsdetailseite des Benutzers zu öffnen.
Wählen Sie auf der Seite mit den Entitätsdetails Sentinel-Ereignisse aus, um detaillierte Zeitachseninformationen zu der ausgewählten Entität und Entitätserkenntnisse anzuzeigen.
Schritt 3: Beheben des Vorfalls
Wenn Ihre Untersuchung ihren Abschluss erreicht hat und Sie den Vorfall innerhalb der Portale behoben haben, lösen Sie den Vorfall, indem Sie den Status des Vorfalls auf Geschlossen festlegen.
Wenn Sie den Status eines Vorfalls als geschlossen markieren, stellen Sie sicher, dass Sie eine Klassifizierung auswählen, einschließlich wahrer, gutartiger oder falsch positiver Optionen.
Zum Beispiel:
Weitere Informationen finden Sie unter Beheben eines Vorfalls im Defender-Portal.
Melden Sie den Vorfall bei Bedarf an Ihren Vorfallreaktionsleiter, um mögliche Nachverfolgungen zu ermöglichen, um weitere Aktionen zu ermitteln. Zum Beispiel:
- Informieren Sie Ihre Tier-1-Sicherheitsanalysten, um den Angriff frühzeitig zu erkennen.
- Recherchieren Sie den Angriff in Microsoft Defender XDR Threat Analytics und der Sicherheitscommunity für einen Sicherheitsangriffstrend.
- Erfassen Sie bei Bedarf den Workflow, den Sie zur Lösung des Vorfalls verwendet haben, und aktualisieren Sie Ihre Standard-Workflows, Prozesse, Richtlinien und Playbooks.
- Stellen Sie fest, ob Änderungen an Ihrer Sicherheitskonfiguration erforderlich sind und setzen Sie diese um.
- Erstellen Sie ein Orchestrierungs-Playbook, um Ihre Bedrohungsreaktion für ein ähnliches Risiko in Zukunft zu automatisieren und zu koordinieren. Weitere Informationen finden Sie unter Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel.
Empfohlene Schulung
Im Folgenden finden Sie die empfohlenen Schulungsmodule für diesen Schritt. Schulungsinhalte konzentrieren sich auf allgemeine Verfügbarkeitsfeatures und enthalten daher keine Inhalte für die einheitliche Sicherheitsbetriebsplattform, die sich in der Vorschau befindet.
Verwaltung von Sicherheitsvorfällen in Microsoft Sentinel
Training | Verwaltung von Sicherheitsvorfällen in Microsoft Sentinel |
---|---|
In diesem Modul untersuchen Sie die Microsoft Sentinel-Vorfallverwaltung, lernen Microsoft Sentinel-Ereignisse und -Entitäten kennen und entdecken Möglichkeiten zum Beheben von Vorfällen. |
Verbessern der Zuverlässigkeit durch moderne Betriebsmethoden: Incident Response
Training | Schulung Verbesserung Ihrer Zuverlässigkeit durch moderne Betriebsverfahren: Reaktion auf Vorfälle |
---|---|
In diesem Modul lernen Sie die Grundlagen einer effizienten Incident-Response-Strategie sowie die Azure-Tools kennen, die diese ermöglichen. |
Grundlegendes zur Verwaltung von Sicherheitszwischenfällen in Microsoft 365
Training | Grundlegendes zur Verwaltung von Sicherheitszwischenfällen in Microsoft 365 |
---|---|
Erfahren Sie, wie Microsoft 365 Sicherheitsbedenken untersucht, verwaltet und darauf reagiert, um Kunden und die Microsoft 365-Cloudumgebung zu schützen. |
Nächste Schritte
- Unter Navigieren und Untersuchen von Vorfällen in Microsoft Sentinel und Vorfallsreaktion mit Microsoft Defender XDR finden Sie weitere Einzelheiten zu Vorfallsreaktionsprozessen innerhalb der Portale Microsoft Sentinel und Microsoft Defender.
- Weitere Informationen zu den bewährten Sicherheitsverfahren von Microsoft finden Sie unter Übersicht über die Reaktion auf Vorfälle.
- In den Playbooks zur Reaktion auf Vorfälle finden Sie Workflows und Checklisten zur Reaktion auf gängige Cyberangriffe.
References
Nutzen Sie diese Ressourcen, um sich über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien zu informieren:
- Integration von Microsoft Defender XDR mit Microsoft Sentinel
- Interaktiver Leitfaden zu Unified SIEM und XDR-Funktionen
- Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel
- Automatisierung der Reaktion auf Bedrohungen mit Playbooks
- Automatisieren der Bedrohungsabwehr in Microsoft Sentinel mit Automatisierungsregeln
- Microsoft Defender XDR Threat Analytics
Nutzen Sie diese Ressourcen, um mehr über die Reaktion auf Vorfälle zu erfahren: