Verwalten von und Reagieren auf Sicherheitswarnungen

  • Vorgehensweise

Defender für Cloud sammelt, analysiert und integriert Protokolldaten von Ihren Azure-, hybriden und Multicloud-Ressourcen, aus dem Netzwerk und aus verbundenen Partnerlösungen (beispielsweise Firewalls und Endpunkt-Agents). Defender für Cloud verwendet die Protokolldaten, um echte Bedrohungen zu erkennen und False Positives zu reduzieren. Eine Liste mit priorisierten Sicherheitswarnungen wird in Defender für Cloud zusammen mit den Informationen angezeigt, die Sie benötigen, um das Problem schnell zu untersuchen und die Schritte zur Behebung eines Angriffs einzuleiten.

In diesem Artikel erfahren Sie, wie Sie die Warnmeldungen von Defender for Cloud anzeigen und verarbeiten und Ihre Ressourcen schützen können.

Bei der Einstufung von Sicherheitswarnungen sollten Sie Prioritäten nach dem Schweregrad der Warnmeldungen setzen und Warnmeldungen mit höherem Schweregrad zuerst bearbeiten. Erfahren Sie mehr über die Klassifizierung von Warnungen.

Tipp

Sie können Microsoft Defender for Cloud mit SIEM-Lösungen wie Microsoft Sentinel verbinden und die Warnmeldungen des Tools Ihrer Wahl nutzen. Erfahren Sie mehr darüber, wie Sie Warnmeldungen an eine SIEM-, SOAR- oder IT-Dienstverwaltungslösung streamen können.

Voraussetzungen

Voraussetzungen und Anforderungen finden Sie unter Unterstützungsmatrizen für Defender for Cloud.

Verwalten von Sicherheitswarnungen

Führen Sie folgende Schritte aus:

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Microsoft Defender für Cloud>Sicherheitswarnungen.

    Screenshot der Seite „Sicherheitswarnungen“ auf der Übersichtsseite von Microsoft Defender for Cloud

  3. (Optional) Filtern Sie die Liste der Warnungen mit einem der relevanten Filter. Mit der Option Filter hinzufügen können Sie weitere Filter hinzufügen.

    Screenshot, der das Hinzufügen von Filtern zur Warnungsansicht zeigt

    Die Liste wird entsprechend der ausgewählten Filter aktualisiert. Vielleicht möchten Sie zum Beispiel Sicherheitswarnungen der letzten 24 Stunden bearbeiten, weil Sie eine mögliche Sicherheitsverletzung im System untersuchen.

Untersuchen einer Sicherheitswarnung

Jede Warnung enthält Informationen über die Warnung, die Ihnen bei Ihren Nachforschungen helfen.

So untersuchen Sie eine Sicherheitswarnung:

  1. Wählen Sie eine Warnung aus. Daraufhin wird ein Seitenbereich geöffnet, in dem eine Beschreibung der Warnung und alle betroffenen Ressourcen angezeigt werden.

    Screenshot der Ansicht mit allgemeinen Details einer Sicherheitswarnung

  2. Überprüfen Sie die wichtigsten Informationen über die Sicherheitswarnung.

    • Schweregrad, Status und Aktivitätszeit der Warnung
    • Beschreibung, die die genaue erkannte Aktivität erläutert
    • Betroffene Ressourcen
    • Kill Chain-Absicht der Aktivität auf der MITRE ATT & CK-Matrix (falls zutreffend)

  3. Wählen Sie Alle Informationen anzeigen aus.

    Auf der rechten Seite befindet sich die Registerkarte Warnungsdetails, die detaillierte Informationen zur Warnung anzeigt, die Ihnen beim Untersuchen des Problems helfen: IP-Adressen, Dateien, Prozesse und vieles mehr.

    Screenshot der Seite mit den vollständigen Details für eine Warnung

    Im rechten Bereich finden Sie auch die Registerkarte Aktion ausführen. Über diese Registerkarte können Sie weitere Aktionen in Bezug auf die Sicherheitswarnung ausführen. Folgende Aktionen sind möglich:

    • Überprüfen des Ressourcenkontexts – sendet Sie zu den Aktivitätsprotokollen der Ressource, die die Sicherheitswarnung unterstützen
    • Auswirkungen der Bedrohung minimieren: Stellt manuelle Schritte zur Behebung dieser Sicherheitswarnung bereit.
    • Künftige Angriffe verhindern: Gibt Sicherheitsempfehlungen, um die Angriffsfläche zu verringern, den Sicherheitsstatus zu erhöhen und so künftige Angriffe zu verhindern.
    • Automatische Reaktion auslösen: Bietet die Möglichkeit, eine Logik-App als Reaktion auf diese Sicherheitswarnung auszulösen.
    • Ähnliche Warnungen unterdrücken: Bietet die Möglichkeit, zukünftige Warnungen mit ähnlichen Merkmalen zu unterdrücken, wenn die Warnung für Ihre Organisation nicht relevant ist.

    Screenshot der verfügbaren Optionen auf der Registerkarte „Aktion ausführen“

    Für weitere Einzelheiten wenden Sie sich an den Besitzer bzw. die Besitzerin der Ressource, um zu überprüfen, ob es sich bei der entdeckten Aktivität um ein False Positive handelt. Sie können sich auch die von der angegriffenen Ressource erzeugten unbearbeiteten Protokolle ansehen.

Gleichzeitiges Ändern des Status mehrerer Sicherheitswarnungen

Die Warnungsliste enthält Kontrollkästchen, damit Sie mehrere Warnungen gleichzeitig verarbeiten können. Beispielsweise können Sie zu Selektierungszwecken entscheiden, alle Informationswarnungen für eine bestimmte Ressource zu schließen.

  1. Filtern Sie nach den Warnungen, die Sie per Massenvorgang verarbeiten möchten.

    In diesem Beispiel werden die Warnmeldungen mit dem Schweregrad Informational für die Ressource ASC-AKS-CLOUD-TALK ausgewählt.

    Screenshot, der das Filtern von Warnungen zum Anzeigen zugehöriger Warnungen zeigt

  2. Verwenden Sie die Kontrollkästchen, um die zu bearbeitenden Warnmeldungen auszuwählen.

    In diesem Beispiel sind alle Warnmeldungen ausgewählt. Die Schaltfläche Status ändern ist jetzt verfügbar.

    Screenshot: Auswählen aller Warnungen zur Massenverarbeitung

  3. Verwenden Sie die Option Status ändern, um den gewünschten Status festzulegen.

    Screenshot der Registerkarte „Status“ für Sicherheitswarnungen

    Der Status der auf der aktuellen Seite angezeigten Warnmeldungen wird auf den ausgewählten Wert geändert.

Reagieren auf eine Sicherheitswarnung

Nachdem Sie eine Sicherheitswarnung untersucht haben, können Sie in Microsoft Defender for Cloud auf die Warnung reagieren.

Reagieren auf eine Sicherheitswarnung:

  1. Öffnen Sie die Registerkarte Aktion ausführen, um die empfohlenen Reaktionen anzuzeigen.

    Screenshot der Registerkarte „Aktion ausführen“ für Sicherheitswarnungen

  2. Im Abschnitt Auswirkungen der Bedrohung minimieren, finden Sie die manuellen Schritte zur Behebung des Problems.

  3. Um Ihre Ressourcen zu sichern und zukünftige Angriffe dieser Art zu verhindern, setzen Sie die Sicherheitsempfehlungen im Abschnitt Künftige Angriffe verhindern um.

  4. Um eine Logik-App mit automatisierten Reaktionsschritten auszulösen, verwenden Sie den Abschnitt Automatisierte Reaktion auslösen und wählen Logik-App auslösen.

  5. Wenn die entdeckte Aktivität nicht bösartig ist, können Sie zukünftige Warnungen dieser Art unterdrücken, indem Sie den Abschnitt Ähnliche Warnungen unterdrücken und Unterdrückungsregel erstellen wählen.

  6. Wählen Sie E-Mail-Benachrichtigungseinstellungen konfigurieren, um zu sehen, wer E-Mails zu Sicherheitswarnungen für dieses Abonnement erhält. Wenden Sie sich an den Besitzer bzw. die Besitzerin des Abonnements, um die E-Mail-Einstellungen zu konfigurieren.

  7. Wenn Sie die Untersuchung des Alarms abgeschlossen und angemessen reagiert haben, ändern Sie den Status auf Erledigt.

    Screenshot des Dropdownmenüs „Status“ der Warnung

    Die Warnung wird aus der Hauptliste der Warnungen entfernt. Mit dem Filter auf der Seite mit der Liste der Warnungen können Sie alle Warnungen mit dem Status Verworfen anzeigen.

  8. Wir würden uns freuen, wenn Sie Microsoft Feedback zur Warnung zur Verfügung stellen würden:

    1. Markieren Sie die Warnung als Hilfreich oder Nicht hilfreich.
    2. Wählen Sie einen Grund aus und fügen Sie einen Kommentar hinzu.

    Screenshot des Fensters zum Senden von Feedback an Microsoft, in dem Sie die Nützlichkeit einer Warnung auswählen können

    Tipp

    Wir berücksichtigen Ihr Feedback, um unsere Algorithmen zu verbessern und bessere Sicherheitswarnungen bereitzustellen.

    Informationen zu den verschiedenen Arten von Warnungen finden Sie unter Sicherheitswarnungen (Referenzhandbuch).

    Eine Übersicht darüber, wie Defender für Cloud Warnungen generiert, finden Sie unter Erkennen von und Reagieren auf Bedrohungen mit Microsoft Defender für Cloud.

    Ansehen der Ergebnisse der agentlosen Überprüfung

    Ergebnisse für den agentbasierte und agentlose Überprüfung werden auf der Seite „Sicherheitswarnungen“ angezeigt.

    Screenshot der Seite „Sicherheitswarnungen“, auf der die Ergebnisse der agentbasierten und der agentlosen Scanergebnisse angezeigt werden

    Hinweis

    Durch das Beheben einer dieser Warnungen wird die andere Warnung erst behoben, wenn die nächste Überprüfung abgeschlossen ist.

Zugehöriger Inhalt