Schritt 4. Reagieren auf einen Incident mit Microsoft Sentinel und Microsoft Defender XDR

• Gilt für::

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Dieser Artikel enthält eine allgemeine Reihe von Schritten und Verfahren zum Beheben eines Vorfalls mithilfe von Microsoft Sentinel und Microsoft Defender XDR, einschließlich Triage, Untersuchung und Lösung. Microsoft Sentinel und Microsoft Defender XDR teilen sich:

• Aktualisierungen zum Lebenszyklus (Status, Besitzer, Klassifizierung) werden von den Produkten gemeinsam genutzt.
• Die während einer Untersuchung gesammelten Nachweise werden in dem Microsoft Sentinel-Vorfall gezeigt.

Die folgenden Abbildungen zeigen, wie die erweiterte Lösung für Erkennung und Reaktion (XDR) von Microsoft nahtlos in Microsoft Sentinel integriert wird, je nachdem, ob Sie Ihren Microsoft Sentinel-Arbeitsbereich in die einheitliche Sicherheitsoperationsplattform im Microsoft Defender-Portal integriert haben.

Defender-Portal

Die folgende Abbildung zeigt, wie die XDR-Lösung von Microsoft nahtlos in Microsoft Sentinel mit der einheitlichen Sicherheitsoperationsplattform integriert wird.

In diesem Diagramm:

• Erkenntnisse aus Signalen in Ihrer gesamten Organisation werden in Microsoft Defender XDR und Microsoft Defender for Cloud erfasst.
• Microsoft Sentinel bietet Unterstützung für Multicloud-Umgebungen und kann in Drittanbieter-Apps und -Partner integriert werden.
• Microsoft Sentinel-Daten werden zusammen mit den Daten Ihrer Organisation in das Microsoft Defender-Portal aufgenommen.
• SecOps-Teams können dann Bedrohungen analysieren und auf die Bedrohungen reagieren, die in Microsoft Sentinel und Microsoft Defender XDR im Microsoft Defender-Portal identifiziert wurden.

Azure portal

Die folgende Abbildung zeigt, wie sich die XDR-Lösung von Microsoft nahtlos in Microsoft Sentinel integriert.

In diesem Diagramm:

• Erkenntnisse aus Signalen in Ihrer gesamten Organisation werden in Microsoft Defender XDR und Microsoft Defender for Cloud erfasst.
• Microsoft Defender XDR und Microsoft Defender for Cloud senden SIEM-Protokolldaten über Microsoft Sentinel-Connectors.
• SecOps-Teams können dann Bedrohungen analysieren und auf die Bedrohungen reagieren, die in den Microsoft Sentinel- und Microsoft Defender-Portalen identifiziert wurden.
• Microsoft Sentinel bietet Unterstützung für Multicloud-Umgebungen und kann in Drittanbieter-Apps und -Partner integriert werden.

Weitere Informationen über die Integration von Microsoft Defender mit Microsoft Sentinel finden Sie unter Microsoft Defender XDR-Integration mit Microsoft Sentinel. Dieser interaktive Leitfaden führt Sie durch die Erkennung und Reaktion auf moderne Angriffe mit Microsofts vereinheitlichtem Sicherheitsinformations- und Ereignis-Management (SIEM) und erweiterten Erkennungs- und Reaktionsfunktionen (XDR).

Prozess zur Reaktion auf Vorfälle

Der Prozess der Reaktion auf Vorfälle zur Behebung eines Vorfalls mithilfe von Microsoft Sentinel und Microsoft Defender XDR unterscheidet sich, je nachdem, ob Sie Ihren Arbeitsbereich in die einheitliche Sicherheitsoperationsplattform integriert haben und auf Microsoft Sentinel im Defender-Portal zugreifen können.

Defender-Portal

1. Verwenden Sie das Defender-Portal zur Priorisierung des potenziellen Vorfalls. Dazu gehört das Verstehen der Vorfalldetails und das Ergreifen sofortiger Maßnahmen.

2. Führen Sie die Untersuchung im Defender-Portal aus, einschließlich:

   • Verständnis des Vorfalls und seines Umfangs und Überprüfung der Zeitpläne für die Vermögenswerte.
   • Überprüfung ausstehender Selbsthilfeaktionen, manuelle Korrektur von Entitäten, Durchführung von Live-Reaktionen.
   • Hinzufügen von Präventionsmaßnahmen.

   Verwenden Sie den Microsoft Sentinel-Bereich des Defender-Portals, um Ihre Untersuchung zu vertiefen, einschließlich:

   • Verstehen des Umfangs des Vorfalls, indem Sie ihn mit Ihren Sicherheitsprozessen, Richtlinien und Verfahren (3P) korrelieren.
   • Durchführen automatisierter 3P Untersuchungs- und Wartungsaktionen und Erstellen von benutzerdefinierten Sicherheits-Orchestrierungs-, Automatisierungs- und Reaktions-Playbooks (SOAR).
   • Aufzeichnung von Beweisen für das Management von Zwischenfällen.
   • Hinzufügen benutzerdefinierter Maße.

3. Lösen Sie den Vorfall auf, und führen Sie entsprechende Nachverfolgung innerhalb Ihres Sicherheitsteams durch.

Weitere Informationen finden Sie unter:

• Untersuchen von Vorfällen in Microsoft Defender XDR
• Reaktion auf Vorfälle mit Microsoft Defender XDR
• Entitätsseiten in Microsoft Sentinel

Azure portal

1. Verwenden Sie Microsoft Sentinel im Azure-Portal zur Priorisierung des potenziellen Vorfalls. Dazu gehört das Verstehen der Vorfalldetails und das Ergreifen sofortiger Maßnahmen.

2. Gehen Sie zum Microsoft Defender-Portal, um Ihre Untersuchung zu beginnen. Dies umfasst:

   • Verständnis des Vorfalls und seines Umfangs und Überprüfung der Zeitpläne für die Vermögenswerte.
   • Überprüfung ausstehender Selbsthilfeaktionen, manuelle Korrektur von Entitäten, Durchführung von Live-Reaktionen.
   • Hinzufügen von Präventionsmaßnahmen.

3. Setzen Sie die Untersuchung bei Bedarf im Microsoft Sentinel-Portal fort. Dies umfasst:

   • Verstehen des Umfangs des Vorfalls, indem Sie ihn mit Ihren Sicherheitsprozessen, Richtlinien und Verfahren (3P) korrelieren.
   • Durchführen automatisierter 3P Untersuchungs- und Wartungsaktionen und Erstellen von benutzerdefinierten Sicherheits-Orchestrierungs-, Automatisierungs- und Reaktions-Playbooks (SOAR).
   • Aufzeichnung von Beweisen für das Management von Zwischenfällen.
   • Hinzufügen benutzerdefinierter Maße.

4. Beheben des Vorfalls im Microsoft Sentinel-Portal und Durchführung entsprechender Folgemaßnahmen innerhalb Ihres Sicherheitsteams.

Weitere Informationen finden Sie unter Navigieren und Untersuchen von Vorfällen in Microsoft Sentinel.

Unabhängig davon, welches Portal Sie verwenden, sollten Sie die Playbook- und Automatisierungsregelfunktionen von Microsoft Sentinel nutzen:

• Ein Playbook ist eine Sammlung von Untersuchungs- und Wartungsaktionen, die über das Microsoft Sentinel-Portal als Routine ausgeführt werden können. Playbooks können helfen, Ihre Reaktion auf Bedrohungen zu automatisieren und zu orchestrieren. Sie können bei Bedarf manuell auf Vorfälle, Entitäten und Alarme angewendet werden oder automatisch als Reaktion auf bestimmte Alarme oder Vorfälle ausgeführt werden, wenn sie durch eine Automatisierungsregel ausgelöst werden. Weitere Informationen finden Sie unter Automatisierung der Reaktion auf Bedrohungen mit Playbooks.

• Automatisierungsregeln sind eine Möglichkeit, die Automatisierung in Microsoft Sentinel zentral zu verwalten, indem Sie eine kleine Reihe von Regeln definieren und koordinieren können, die in verschiedenen Szenarien angewendet werden können. Weitere Informationen finden Sie unter Automatisierung der Reaktion auf Bedrohungen in Microsoft Sentinel mit Automatisierungsregeln.

Beachten Sie nach dem Onboarding Ihres Microsoft Sentinel-Arbeitsbereichs auf der einheitlichen Security Operations-Plattform dass es Unterschiede in der Art und Weise gibt, wie Automatisierungsfunktionen in Ihrem Arbeitsbereich funktionieren. Weitere Informationen finden Sie unter Automatisierung mit der einheitlichen Security Operations-Plattform.

Schritt 1: Triage des Vorfalls

Verwenden Sie diese Schritte als allgemeine Methode zur Triage des Vorfall mit Microsoft Sentinel und Microsoft Defender XDR. Wenn Sie Ihren Arbeitsbereich in die einheitliche Sicherheitsoperationsplattform integriert haben, verwenden Sie das Defender-Portal. Verwenden Sie andernfalls das Azure-Portal.

Defender-Portal

So untersuchen Sie Microsoft Sentinel-Vorfälle im Defender-Portal:

1. Wählen Sie im Defender-Portal die Option Untersuchung und Reaktion> Vorfälle und Warnungen > Vorfälle und suchen Sie den verdächtigen Vorfall. Filtern Sie Ihre Dienst-/Erkennungsquellen nach Microsoft Sentinel, damit Sie die Liste der Vorfälle auf diejenigen eingrenzen können, die von Microsoft Sentinel stammen.

2. Wählen Sie die Vorfallzeile aus, um grundlegende Informationen im Bereich "Vorfallzusammenfassung" anzuzeigen.

3. Wählen Sie Vorfall verwalten aus, um Details wie Name, Schweregrad, Status, Klassifizierung oder Kommentare hinzuzufügen. Wählen Sie Speichern aus, um Ihre Änderungen zu speichern.

4. Wählen Sie die Vorfallseite öffnen aus, um die Untersuchung fortzusetzen.

Azure portal

So untersuchen Sie Vorfälle im Azure-Portal:

1. Wählen Sie in Microsoft Sentinel unter Bedrohungsverwaltung Vorfälle aus, und suchen Sie den verdächtigen Vorfall.

2. Aktualisieren Sie im Bereich "Vorfallzusammenfassung" Details wie Besitzername, Status, Schweregrad oder Hinzufügen von Kommentaren.

3. Wählen Sie Vollständige Details anzeigen aus, um die Untersuchung fortzusetzen.

Schritt 2: Untersuchen des Vorfalls

Wenn Ihr Arbeitsbereich in die einheitliche Sicherheitsoperationsplattform integriert ist, bleiben Sie für diesen gesamten Schritt im Defender-Portal. Beginnen Sie andernfalls im Azure-Portal. Sie springen zur Untersuchung zum Defender-Portal und kehren dann zum Azure-Portal zurück.

Defender-Portal

Berücksichtigen Sie im Defender-Portal auf der Registerkarte Angriffsverlauf der Seite der Vorfalleinzelheiten die folgenden Schritte für Ihren eigenen Vorfallreaktionsworkflow:

1. Sehen Sie sich den Angriffsverlauf des Vorfalls an, um den Umfang, den Schweregrad, die Erkennungsquelle und die betroffenen Einrichtungen zu verstehen.

2. Analysieren Sie die Warnungen des Vorfalls, um deren Ursprung, Umfang und Schweregrad mit der Warnungsmeldung innerhalb des Vorfalls zu verstehen.

3. Sammeln Sie bei Bedarf Informationen über betroffene Geräte, Benutzer und Postfächer mit der Grafik. Wählen Sie eine beliebige Entität aus, um ein Flyout mit allen Details zu öffnen.

4. Erfahren Sie, wie Microsoft Defender XDR einige Warnungen automatisch mit der Registerkarte Untersuchungen aufgelöst hat.

5. Verwenden Sie bei Bedarf Informationen aus dem Datensatz für den Vorfall auf der Registerkarte Beweise und Reaktionen.

6. Zeigen Sie auf der Registerkarte Objekte die Entitäten an, die an dem Vorfall beteiligt sind. Wählen Sie ein Benutzerkonto, einen Hostnamen, eine IP-Adresse oder eine Azure-Ressource aus, um weitere Untersuchungen auf der Seite mit den Entitätsdetails fortzusetzen. Wenn Sie beispielsweise einen Benutzer ausgewählt haben, wählen Sie im Bereich "Benutzerdetails" die Option Zur Benutzerseite wechseln aus, um die Entitätsdetailseite des Benutzers zu öffnen.

7. Wählen Sie auf der Seite mit den Entitätsdetails Sentinel-Ereignisse aus, um detaillierte Zeitachseninformationen zu der ausgewählten Entität und Entitätserkenntnisse anzuzeigen.

Azure portal

1. Klicken Sie im Azure-Portalauf der Seite "Vorfalldetails":

   • Allgemeine Informationen zum Vorfall auf der Registerkarte Übersicht anzeigen, einschließlich der Vorfallzeitachse, der Liste der Entitäten und verwandter Vorfälle.

   • Wählen Sie Untersuchen aus, um ein Diagramm des Vorfalls anzuzeigen.

   • Wählen Sie die Registerkarte Entitäten und dann eine Entität aus, die sie weiter untersuchen soll. Wählen Sie den Abschnitt Einblicke des Entitätsbereichs aus, und überprüfen Sie Einblicke, die über den Vorfall gesammelt wurden.

   • Wählen Sie In Microsoft Defender XDR untersuchen aus, um denselben Vorfall im Defender-Portal zu öffnen.

2. Berücksichtigen Sie im Defender-Portal auf der Registerkarte Angriffsverlauf der Seite der Vorfalleinzelheiten die folgenden Schritte für Ihren eigenen Vorfallreaktionsworkflow:

   1. Sehen Sie sich den Angriffsverlauf des Vorfalls an, um den Umfang, den Schweregrad, die Erkennungsquelle und die betroffenen Einrichtungen zu verstehen.

   2. Analysieren Sie die Warnungen des Vorfalls, um deren Ursprung, Umfang und Schweregrad mit der Warnungsmeldung innerhalb des Vorfalls zu verstehen.

   3. Sammeln Sie bei Bedarf Informationen über betroffene Geräte, Benutzer und Postfächer mit der Grafik. Wählen Sie eine beliebige Entität aus, um ein Flyout mit allen Details zu öffnen.

   4. Erfahren Sie, wie Microsoft Defender XDR einige Warnungen automatisch mit der Registerkarte Untersuchungen aufgelöst hat.

   5. Verwenden Sie bei Bedarf Informationen aus dem Datensatz für den Vorfall auf der Registerkarte Beweise und Reaktionen.

3. Kehren Sie zum Azure-Portal zurück, um zusätzliche Vorfallaktionen auszuführen, z. B. das Ausführen eines Playbook oder das Erstellen einer Automatisierungsregel.

   Fügen Sie Kommentare zu dem Vorfall hinzu, um Ihre Aktionen und die Ergebnisse Ihrer Analyse festzuhalten.

Schritt 3: Beheben des Vorfalls

Wenn Ihre Untersuchung ihren Abschluss erreicht hat und Sie den Vorfall innerhalb der Portale behoben haben, lösen Sie den Vorfall, indem Sie den Status des Vorfalls auf Geschlossen festlegen.

Wenn Sie den Status eines Vorfalls als geschlossen markieren, stellen Sie sicher, dass Sie eine Klassifizierung auswählen, einschließlich wahrer, gutartiger oder falsch positiver Optionen.

Zum Beispiel:

Defender-Portal

Weitere Informationen finden Sie unter Beheben eines Vorfalls im Defender-Portal.

Azure portal

Weitere Informationen finden Sie unter Schließen eines Vorfalls im Azure-Portal.

Melden Sie den Vorfall bei Bedarf an Ihren Vorfallreaktionsleiter, um mögliche Nachverfolgungen zu ermöglichen, um weitere Aktionen zu ermitteln. Zum Beispiel:

• Informieren Sie Ihre Tier-1-Sicherheitsanalysten, um den Angriff frühzeitig zu erkennen.
• Recherchieren Sie den Angriff in Microsoft Defender XDR Threat Analytics und der Sicherheitscommunity für einen Sicherheitsangriffstrend.
• Erfassen Sie bei Bedarf den Workflow, den Sie zur Lösung des Vorfalls verwendet haben, und aktualisieren Sie Ihre Standard-Workflows, Prozesse, Richtlinien und Playbooks.
• Stellen Sie fest, ob Änderungen an Ihrer Sicherheitskonfiguration erforderlich sind und setzen Sie diese um.
• Erstellen Sie ein Orchestrierungs-Playbook, um Ihre Bedrohungsreaktion für ein ähnliches Risiko in Zukunft zu automatisieren und zu koordinieren. Weitere Informationen finden Sie unter Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel.

Empfohlene Schulung

Im Folgenden finden Sie die empfohlenen Schulungsmodule für diesen Schritt. Schulungsinhalte konzentrieren sich auf allgemeine Verfügbarkeitsfeatures und enthalten daher keine Inhalte für die einheitliche Sicherheitsbetriebsplattform, die sich in der Vorschau befindet.

Verwaltung von Sicherheitsvorfällen in Microsoft Sentinel

Training	Verwaltung von Sicherheitsvorfällen in Microsoft Sentinel
	In diesem Modul untersuchen Sie die Microsoft Sentinel-Vorfallverwaltung, lernen Microsoft Sentinel-Ereignisse und -Entitäten kennen und entdecken Möglichkeiten zum Beheben von Vorfällen.

Start >

Verbessern der Zuverlässigkeit durch moderne Betriebsmethoden: Incident Response

Training	Schulung Verbesserung Ihrer Zuverlässigkeit durch moderne Betriebsverfahren: Reaktion auf Vorfälle
	In diesem Modul lernen Sie die Grundlagen einer effizienten Incident-Response-Strategie sowie die Azure-Tools kennen, die diese ermöglichen.

Start >

Grundlegendes zur Verwaltung von Sicherheitszwischenfällen in Microsoft 365

Training	Grundlegendes zur Verwaltung von Sicherheitszwischenfällen in Microsoft 365
	Erfahren Sie, wie Microsoft 365 Sicherheitsbedenken untersucht, verwaltet und darauf reagiert, um Kunden und die Microsoft 365-Cloudumgebung zu schützen.

Start >

Nächste Schritte

• Unter Navigieren und Untersuchen von Vorfällen in Microsoft Sentinel und Vorfallsreaktion mit Microsoft Defender XDR finden Sie weitere Einzelheiten zu Vorfallsreaktionsprozessen innerhalb der Portale Microsoft Sentinel und Microsoft Defender.
• Weitere Informationen zu den bewährten Sicherheitsverfahren von Microsoft finden Sie unter Übersicht über die Reaktion auf Vorfälle.
• In den Playbooks zur Reaktion auf Vorfälle finden Sie Workflows und Checklisten zur Reaktion auf gängige Cyberangriffe.

References

Nutzen Sie diese Ressourcen, um sich über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien zu informieren:

• Integration von Microsoft Defender XDR mit Microsoft Sentinel
• Interaktiver Leitfaden zu Unified SIEM und XDR-Funktionen
• Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel
• Automatisierung der Reaktion auf Bedrohungen mit Playbooks
• Automatisieren der Bedrohungsabwehr in Microsoft Sentinel mit Automatisierungsregeln
• Microsoft Defender XDR Threat Analytics

Nutzen Sie diese Ressourcen, um mehr über die Reaktion auf Vorfälle zu erfahren:

• Navigieren und Untersuchen von Incidents mit Microsoft Sentinel
• Reaktion auf Vorfälle mit Microsoft Defender XDR
• Übersicht über die Reaktion auf Vorfälle
• Playbooks zur Reaktion auf Vorfälle