Anzeigen und Verwalten von Vorfällen in Microsoft Defender for Business

Wenn Bedrohungen erkannt werden, werden Warnungen generiert und Vorfälle erstellt. Das Sicherheitsteam Ihres Unternehmens kann Incidents im Microsoft Defender-Portal anzeigen und verwalten. Sie müssen über die entsprechenden Berechtigungen verfügen, um die Aufgaben in diesem Artikel ausführen zu können. Weitere Informationen finden Sie unter Sicherheitsrollen und Berechtigungen in Microsoft Defender for Business.

Dieser Artikel enthält Folgendes:

Überwachen Von Incidents & Warnungen

  1. Navigieren Sie im Microsoft Defender-Portal (https://security.microsoft.com) im Navigationsbereich zu Incidents & Warnungen, und wählen Sie dann Incidents aus. Alle incidents, die erstellt wurden, werden auf der Seite aufgeführt.

    Wichtig

    Wenn ein Incident mit Attack disruptiongekennzeichnet ist, bedeutet dies, dass ein erweiterter Angriff erkannt wurde. Weitere Informationen finden Sie unter Automatische Angriffsunterbrechung.

  2. Eine Warnung auswählen, um den Flyoutbereich zu öffnen, in dem Sie mehr über die Warnung erfahren können.

    Screenshot des ausgewählten Incidents mit geöffnetem Flyout

  3. Im Flyoutbereich können Sie den Titel der Warnung anzeigen, eine Liste der betroffenen Ressourcen (z. B. Geräte oder Benutzerkonten) anzeigen, verfügbare Aktionen ergreifen und Links verwenden, um weitere Informationen anzuzeigen und sogar die Detailseite für die ausgewählte Warnung zu öffnen.

Tipp

Defender for Business wurde entwickelt, um Sie bei der Bewältigung erkannter Bedrohungen zu unterstützen, indem Sie Maßnahmen empfehlen, die Sie ergreifen können. Wenn Sie eine Warnung anzeigen, suchen Sie nach diesen Vorschlägen. Beachten Sie auch den Warnungsschweregrad, der nicht nur anhand des erkannten Bedrohungsschweregrads, sondern auch auf der Risikostufe für Ihr Unternehmen bestimmt wird.

Warnungsschweregrad

Wenn eine Bedrohung erkannt wird, wird jeder generierten Warnung ein Schweregrad zugewiesen.

  • Microsoft Defender Antivirus weist einen Warnungsschweregrad basierend auf dem absoluten Schweregrad einer erkannten Bedrohung (z. B. Schadsoftware) und dem potenziellen Risiko für ein einzelnes Gerät (falls infiziert) zu.
  • Defender for Business weist einen Warnungsschweregrad basierend auf dem Schweregrad des erkannten Verhaltens, dem tatsächlichen Risiko für ein Gerät und vor allem dem potenziellen Risiko für Ihr Unternehmen zu.

In der folgenden Tabelle sind einige Beispiele für Warnungen und deren Schweregrad aufgeführt:

Szenario Schweregrad und Grund der Warnung
Automatisierte Angriffsunterbrechungen erkennen einen erweiterten Angriff und enthalten Geräte oder Benutzerkonten, um zu verhindern, dass der Angriff fortgesetzt wird. Hoch. Angriffsunterbrechungsfunktionen helfen bei der Eindämmung eines Angriffs, sodass Ihr IT-/Sicherheitsteam ihn angehen kann.
Microsoft Defender Antivirus erkennt und stoppt eine Bedrohung, bevor sie Schaden anrichtet. Informativ. Die Bedrohung wurde gestoppt, bevor ein Schaden angerichtet wurde.
Microsoft Defender Antivirus erkennt Schadsoftware, die in Ihrem Unternehmen ausgeführt wurde. Die Schadsoftware wird beendet und behoben. Niedrig. Obwohl ein einzelnes Gerät möglicherweise beschädigt wurde, stellt die Schadsoftware jetzt keine Bedrohung für Ihr Unternehmen dar.
Schadsoftware, die ausgeführt wird, wird von Defender for Business erkannt. Die Schadsoftware wird fast sofort blockiert. Mittel oder Hoch. Die Schadsoftware stellt eine Bedrohung für einzelne Geräte und Ihr Unternehmen dar.
Verdächtiges Verhalten wird erkannt, aber es wurden noch keine Korrekturmaßnahmen durchgeführt. Niedrig, Mittel oder Hoch. Der Schweregrad hängt davon ab, inwieweit das Verhalten eine Bedrohung für Ihr Unternehmen darstellt.

Nächste Schritte