Verwalten und Untersuchen von Warnungen

  • 10 Minuten

Verwalten und Untersuchen von Warnungen

Sie können Warnungen verwalten, indem Sie eine Warnung in der Warnungswarteschlange oder auf der Registerkarte „Warnungen“ der Geräteseite für ein einzelnes Gerät auswählen. Wenn Sie an einem dieser Orte eine Warnung auswählen, wird der Bereich für die Warnungsverwaltung geöffnet.

Screenshot of the Microsoft Defender XDR Alerts Queue page.

Alert Management

Sie können Metadaten über die Warnungsvorschau oder die Seite mit Warnungsdetails anzeigen und festlegen.

Screenshot of the Microsoft Defender XDR Alert details page.

Metadatenfelder und Aktionen:

severity

  • Hoch (rot): Warnungen, die häufig mit erweiterten permanenten Bedrohungen (Advanced Persistent Threat, APT) verknüpft sind. Diese Warnungen weisen aufgrund des Schweregrads der Schäden, die sie auf Geräten verursachen können, auf ein hohes Risiko hin. Beispiele hierfür wären etwa Aktivitäten von Tools zum Diebstahl von Anmeldeinformationen, Ransomwareaktivitäten, die keiner Gruppe zugeordnet sind, Manipulationen an Sicherheitssensoren oder böswillige Aktivitäten, die auf einen menschlichen Angreifer hindeuten.

  • Mittel (orange): EDR-Warnungen zu Verhalten nach einer Sicherheitsverletzung, die Teil einer erweiterten permanenten Bedrohung (Advanced Persistent Threat, APT) sein könnten. Dies umfasst beobachtetes Verhalten, das typisch für Angriffsphasen ist, anomale Registrierungsänderungen, die Ausführung verdächtiger Dateien usw. Obwohl einige möglicherweise Teil interner Sicherheitstests sind, müssen sie untersucht werden, da sie auch Teil eines komplexen Angriffs sein können.

  • Niedrig (gelb): Warnungen zu Bedrohungen im Zusammenhang mit weitverbreiteter Schadsoftware. So deuten beispielsweise Hacking-Tools und Hacking-Tools, die keine Schadsoftware sind (wie etwa das Ausführen von Durchsuchungsbefehlen, das Löschen von Protokollen usw.), häufig nicht auf eine komplexe Bedrohung für die Organisation hin. Diese Warnungen können auch durch die isolierte Prüfung eines Sicherheitstools durch einen Benutzer in Ihrer Organisation stammen.

  • Information (grau): Warnungen, die nicht unbedingt als schädlich für das Netzwerk angesehen werden, aber die Aufmerksamkeit auf potenzielle Sicherheitsprobleme lenken können.

Die Schweregrade für Warnungen in Microsoft Defender Antivirus (Microsoft Defender AV) und Defender für Endpunkt weichen voneinander ab, weil sie unterschiedliche Umfänge haben. Der Schweregrad von Bedrohungen in Microsoft Defender AV stellt den absoluten Schweregrad der erkannten Bedrohung (Schadsoftware)dar und wird basierend auf dem potenziellen Risiko für das jeweilige Gerät zugewiesen, falls dies infiziert ist.

Der Schweregrad von Warnungen in Defender für Endpunkt beschreibt das erkannte Verhalten, das tatsächliche Risiko für das Gerät und – am wichtigsten – das potenzielle Risiko für die Organisation.

Beispiel:

  • Der Schweregrad einer Defender für Endpunkt-Warnung zu einer von Microsoft Defender AV erkannten Bedrohung, die abgewehrt wurde und das Gerät nicht infiziert hat, wird als Informationsmeldung kategorisiert, da kein Schaden entstanden ist.

  • Eine Warnung zu einer kommerziellen Schadsoftware, die bei der Ausführung erkannt, aber von Microsoft Defender AV blockiert und beseitigt wurde, wird als „Niedrig“ eingestuft, da sie möglicherweise Schäden an dem einzelnen Gerät verursacht hat, aber keine Bedrohung für die Organisation darstellt.

  • Eine Warnung zu Schadsoftware, die bei der Ausführung erkannt wurde und eine Bedrohung nicht nur für das einzelne Gerät, sondern auch für die Organisation darstellen kann, unabhängig davon, ob sie schließlich blockiert wurde, kann als „Mittel“ oder „Hoch“ eingestuft werden.

  • Warnungen zu verdächtigem Verhalten, das nicht blockiert oder beseitigt wurde, werden nach denselben Aspekten im Hinblick auf die Bedrohung für die gesamte Organisation als „Niedrig“, „Mittel“ oder „Hoch“ eingestuft.

Kategorien

Die Warnungskategorien sind eng an die Angriffstaktiken und -techniken in der MITRE ATT&CK-Unternehmensmatrix angelehnt.

Hinweis

Die Warnungskategorien enthalten auch Elemente (z. B Unwanted Software), die nicht Teil der ATT&CK-Matrizen sind.

Die Kategorien lauten wie folgt:

  • Sammlung: Suchen und Erfassen von Daten für die Exfiltration

  • Command-and-Control: Verbinden mit einer vom Angreifer kontrollieren Netzwerkinfrastruktur, um Daten weiterzuleiten oder Befehle zu empfangen

  • Zugriff auf Anmeldeinformationen: Abrufen von gültigen Anmeldeinformationen, um die Kontrolle auf Geräte und andere Ressourcen im Netzwerk zu erweitern

  • Umgehen von Verteidigungsmaßnahmen: Umgehen von Sicherheitskontrollen z. B. durch Deaktivieren von Sicherheits-Apps, Löschen von Implantaten und Ausführen von Rootkits

  • Ermittlung: Sammeln von Informationen zu wichtigen Geräten und Ressourcen, z. B. Administratorcomputern, Domänencontrollern und Dateiservern

  • Ausführung: Starten von Angreifer-Tools und schädlichem Code, einschließlich RATs und Hintertüren

  • Exfiltration: Extrahieren von Daten aus dem Netzwerk an einen externen, von Angreifern kontrollierten Speicherort

  • Exploit: Missbrauch von Code

  • Ursprünglicher Zugriff: Der erste Zugriff auf das Zielnetzwerk, in der Regel durch Erraten des Kennworts, Exploits oder Phishing-E-Mails

  • Lateral Movement: Wechseln zwischen Geräten im Zielnetzwerk, um kritische Ressourcen zu erreichen oder Netzwerkpersistenz zu erhalten

  • Schadsoftware: Hintertüren, Trojaner und andere Arten von schädlichem Code

  • Persistenz: Erstellen von Autostart-Erweiterbarkeitspunkten (Autostart Extensibility Points, ASEPs), um aktiv zu bleiben und Systemneustarts zu überstehen

  • Rechteausweitung: Abrufen höherer Berechtigungsstufen für Code, indem er im Kontext eines privilegierten Prozesses oder Kontos ausgeführt wird

  • Ransomware: Schadsoftware, mit der Dateien verschlüsselt und Zahlungen verlangt werden, um den Zugriff wiederherzustellen

  • Verdächtige Aktivität: Atypische Aktivitäten, bei denen es sich um Aktivitäten von Schadsoftware oder Teil eines Angriffs handeln könnte

  • Unerwünschte Software: Unseriöse Apps und Apps, die Produktivität und die Benutzerfreundlichkeit beeinträchtigen; als potenziell unerwünschte Anwendungen (PUAs) erkannt

Sie können aus einer Warnung einen neuen Incident erstellen oder einen Link zu einem vorhandenen Incident erstellen.

Zuweisen von Warnungen

Wenn eine Warnung noch nicht zugewiesen wurde, können Sie „Mir zuweisen“ auswählen, um sich die Warnung selbst zuzuweisen.

Suppress alerts (Warnungen unterdrücken)

Möglicherweise gibt es Szenarien, in denen Sie das Anzeigen von Warnungen im Microsoft Defender Security Center unterdrücken müssen. Sie können in Defender für Endpunkt Unterdrückungsregeln für bestimmte, als unbedenklich bekannte Warnungen erstellen, z. B. für bekannte Tools oder Prozesse in Ihrer Organisation.

Unterdrückungsregeln können aus einer vorhandenen Warnung erstellt werden. Sie können bei Bedarf deaktiviert und erneut aktiviert werden.

Wenn eine Unterdrückungsregel erstellt wird, gilt sie ab dem Zeitpunkt ihrer Erstellung. Die Regel wirkt sich nicht auf vorhandene Warnungen aus, die bereits vor der Erstellung in der Warteschlange vorhanden waren. Die Regel wird nur auf Warnungen angewendet, die die nach dem Erstellen der Regel festgelegten Bedingungen erfüllen.

Sie können aus zwei Kontexten für eine Unterdrückungsregel auswählen:

  • Warnung auf diesem Gerät unterdrücken

  • Warnung in meiner Organisation unterdrücken

Mit dem Kontext der Regel können Sie anpassen, was im Portal angezeigt wird, und sicherstellen, dass nur echte Sicherheitswarnungen zu sehen sind.

Ändern des Status einer Warnung

Sie können die Warnungen nacheinander (als neu, in Bearbeitung oder gelöst) kategorisieren, während Sie deren Ursachen untersuchen. Auf diese Weise können Sie die Reaktionsweisen Ihres Teams auf Warnungen besser organisieren und verwalten.

Ein Teamleiter kann z. B. alle Warnungen mit dem Status Neu überprüfen und sie zur weiteren Analyse der Warteschlange In Bearbeitung zuweisen.

Alternativ kann der Teamleiter die Warnung der Warteschlange für gelöste Elemente zuweisen, wenn bekannt ist, dass die Warnung sicher ist, von einem nicht relevanten Gerät stamm (z. B. dem Gerät eines Sicherheitsadministrators) oder durch eine frühere Warnung bereits behandelt wird.

Warnungsklassifizierung

Sie können auswählen, ob Sie eine Klassifizierung festlegen möchten, oder angeben, ob eine Warnung eine echte oder eine falsche Warnung ist. Die Einteilung in „Richtig positiv“ und „Falsch positiv“ ist wichtig, da hiermit die Warnungsqualität überwacht wird und Warnungen genauer werden. Das Feld „Bestimmung“ definiert zusätzlich die Genauigkeit für eine Klassifizierung als „Richtig positiv“.

Hinzufügen von Kommentaren und Anzeigen des Verlaufs einer Warnung

Sie können Kommentare hinzufügen und ältere Ereignisse zu einer Warnung anzeigen, um zuvor an der Warnung vorgenommene Änderungen zu sehen. Wenn eine Warnung geändert oder ein Kommentar hinzugefügt wird, wird dies im Abschnitt „Kommentare und Verlauf“ erfasst. Hinzugefügte Kommentare werden sofort im Bereich angezeigt.

Untersuchung von Warnungen

Hier erfahren Sie, wie Sie Warnungen, die sich auf Ihr Netzwerk auswirken, untersuchen, sie verstehen und beheben.

Wählen Sie in der Warnungswarteschlange eine Warnung aus, um zur entsprechenden Warnungsseite zu wechseln. Diese Ansicht enthält den Warnungstitel, die betroffenen Assets, einen seitlichen Detailbereich sowie den Warnungsverlauf.

Auf der Warnungsseite beginnen Sie mit der Untersuchung, indem Sie die betroffenen Assets oder eine der Entitäten in der Strukturansicht des Warnungsverlaufs auswählen. Im Detailbereich werden automatisch weitere Informationen zu Ihrer Auswahl angezeigt.

Untersuchen mithilfe des Warnungsverlaufs

Im Warnungsverlauf wird erläutert, warum die Warnung ausgelöst wurde, welche zugehörigen Ereignisse davor und danach aufgetreten sind und welche Entitäten im Zusammenhang mit ihr stehen.

Sie können auf die Entitäten klicken, und jede Entität, die keine Warnung ist, kann über das Erweiterungssymbol auf der rechten Seite der Entitätskarte erweitert werden. Die Entität im Fokus wird durch einen blauen Streifen auf der linken Seite der Entitätskarte gekennzeichnet, wobei sich die Warnung im Titel zuerst im Fokus befindet.

Wenn Sie eine Entität auswählen, wird der Kontext des Detailbereichs auf diese Entität umgestellt, und Sie können weitere Informationen prüfen und diese Entität verwalten. Wenn Sie die Ellipse (...) rechts von der Entitätskarte auswählen, werden alle Aktionen angezeigt, die für diese Entität verfügbar sind. Dieselben Aktionen werden auch im Detailbereich angezeigt, wenn sich diese Entität im Fokus befindet.

Ausführen von Aktionen über den Detailbereich

Nachdem Sie eine relevante Entität ausgewählt haben, ändert sich der Detailbereich, um Informationen über den ausgewählten Entitätstyp, Verlaufsinformationen (sofern verfügbar) sowie Steuerelemente anzuzeigen, über die Sie direkt über die Warnungsseite eine Aktion für diese Entität ausführen können.

Wenn Sie die Untersuchung abgeschlossen haben, wechseln Sie zurück zu der Warnung, mit der Sie begonnen haben, markieren Sie den Status der Warnung als gelöst, und klassifizieren Sie sie entweder als „Falscher Alarm“ oder „Echter Alarm“. Durch die Klassifizierung von Warnungen können Sie diese Funktion optimieren, um mehr echte und weniger falsche Warnungen zu erhalten.

Wenn Sie die Warnung als echten Alarm klassifizieren, können Sie auch eine Bestimmung auswählen.

Wenn bei einer Branchenanwendung eine falsche Warnung angezeigt wird, erstellen Sie eine Unterdrückungsregel, um diese Art von Warnung in Zukunft zu vermeiden.