Verwalten von Sicherheitsincidents in Microsoft Defender für Cloud

Das Selektieren und Untersuchen von Sicherheitswarnungen kann auch für sehr erfahrene Sicherheitsanalysten zeitaufwändig sein. Häufig ist nur schwer zu erkennen, wo überhaupt begonnen werden soll.

Defender für Cloud nutzt Analysen, um die Informationen der einzelnen Sicherheitswarnungen miteinander zu verbinden. Mithilfe dieser Verbindungen kann Defender für Cloud eine zentrale Übersicht über einen Angriff und die zugehörigen Warnungen bereitstellen, damit Sie die Aktionen des Angreifers und die betroffenen Ressourcen besser verstehen können.

Auf dieser Seite erhalten Sie einen Überblick über die Incidents in Defender für Cloud.

Was ist ein Sicherheitsvorfall?

In Defender für Cloud ist ein Sicherheitsincident eine Aggregation aller Warnungen für eine Ressource, die Kill Chain-Mustern entsprechen. Vorfälle werden auf der Seite Sicherheitswarnungen angezeigt. Wählen Sie einen Vorfall aus, um die zugehörigen Warnungen anzuzeigen und weitere Informationen zu erhalten.

Verwalten von Sicherheitsvorfällen

  1. Verwenden Sie auf der Seite „Sicherheitswarnungen“ von Defender for Cloud die Schaltfläche Filter hinzufügen, um nach dem Warnungsnamen Sicherheitsincident in mehreren Ressourcen erkannt zu filtern.

    Anzeigen der Incidents auf der Seite „Sicherheitswarnungen“ in Microsoft Defender für Cloud

    In der gefilterten Liste werden nur Incidents angezeigt. Beachten Sie, dass Sicherheitsvorfälle ein anderes Symbol als Sicherheitswarnungen aufweisen.

    Liste mit Incidents auf der Seite „Warnungen“ in Microsoft Defender für Cloud

  2. Um die Details eines Incident anzuzeigen, wählen Sie einen Incident aus der Liste aus. Ein Seitenbereich mit weiteren Details des Incident wird angezeigt.

    Seitenbereich mit Details zum Incident

  3. Wenn Sie weitere Details anzeigen möchten, wählen Sie Alle Informationen anzeigen aus.

    Reagieren auf Sicherheitsincidents in Microsoft Defender für Cloud

    Im linken Bereich der Seite mit dem Sicherheitsvorfall werden allgemeine Informationen über den Sicherheitsvorfall angezeigt: Titel, Schweregrad, Status, Zeitpunkt der Aktivität, Beschreibung und die betroffene Ressource. Neben der betroffenen Ressource sehen Sie die relevanten Azure-Tags. Verwenden Sie diese Tags, um den Organisationskontext der Ressource abzuleiten, wenn Sie die Warnung untersuchen.

    Der rechte Bereich enthält die Registerkarte Warnungen mit den Sicherheitswarnungen, die mit diesem Vorfall korreliert wurden.

    Tipp

    Um weitere Informationen zu einer bestimmten Warnung zu erhalten, wählen Sie sie aus.

    Registerkarte „Maßnahmen ergreifen“ des Incidents

    Um zur Registerkarte Maßnahmen ergreifen zu wechseln, wählen Sie die Registerkarte oder die Schaltfläche am unteren Rand des rechten Bereichs aus. Verwenden Sie diese Registerkarte, um weitere Aktionen durchzuführen, wie z. B:

    • Auswirkungen der Bedrohung minimieren: Stellt manuelle Schritte zur Behebung dieses Sicherheitsvorfalls bereit.
    • Künftige Angriffe verhindern: Gibt Sicherheitsempfehlungen, um die Angriffsfläche zu verringern, den Sicherheitsstatus zu erhöhen und künftige Angriffe zu verhindern.
    • Automatische Reaktion auslösen: Bietet die Möglichkeit, eine Logik-App als Reaktion auf diesen Sicherheitsvorfall auszulösen.
    • Ähnliche Warnungen unterdrücken: Bietet die Möglichkeit, zukünftige Warnungen mit ähnlichen Merkmalen zu unterdrücken, wenn die Warnung für Ihre Organisation nicht relevant ist.

    Hinweis

    Dieselbe Warnung kann als Teil eines Vorfalls vorhanden sein und als eigenständige Warnung angezeigt werden.

  4. Führen Sie die für jede Warnung bereitgestellten Problembehandlungsschritte aus, um die Bedrohungen durch den Vorfall zu beseitigen.

Nächste Schritte

Auf dieser Seite wurden die Funktionen für Sicherheitsincidents von Defender für Cloud beschrieben. Zugehörige Informationen finden Sie auf den folgenden Seiten: