Priorisieren von Vorfällen im Microsoft Defender-Portal

Die Unified Security Operations-Plattform im Microsoft Defender-Portal wendet Korrelationsanalysen an und aggregiert zugehörige Warnungen und automatisierte Untersuchungen von verschiedenen Produkten auf einen Incident. Microsoft Sentinel und Defender XDR lösen auch eindeutige Warnungen für Aktivitäten aus, die nur aufgrund der End-to-End-Sichtbarkeit in der einheitlichen Plattform für die gesamte Produktsuite als bösartig identifiziert werden können. Diese Ansicht bietet Ihren Sicherheitsanalysten die umfassendere Angriffsgeschichte, die ihnen hilft, komplexe Bedrohungen in Ihrer Organisation besser zu verstehen und damit umzugehen.

Wichtig

Microsoft Sentinel ist jetzt allgemein auf der Microsoft Unified Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Incidentwarteschlange

Die Incidentwarteschlange zeigt eine Sammlung von Incidents an, die geräte-, benutzer-, postfach- und andere Ressourcenübergreifend erstellt wurden. Es hilft Ihnen, Incidents zu sortieren, um eine fundierte Entscheidung zur Reaktion auf die Cybersicherheit zu priorisieren und zu erstellen, ein Prozess, der als Incident-Selektierung bezeichnet wird.

Sie können die Incidentwarteschlange von Incidents & Warnungen > Incidents beim Schnellstart des Microsoft Defender-Portals aufrufen. Im Folgenden sehen Sie ein Beispiel.

Screenshot der Incidentwarteschlange im Microsoft Defender-Portal.

Wählen Sie Neueste Vorfälle und Warnungen aus, um die Erweiterung des oberen Abschnitts umzuschalten, der ein Zeitachsendiagramm der Anzahl der empfangenen Warnungen und der in den letzten 24 Stunden erstellten Vorfälle anzeigt.

Screenshot: 24-Stunden-Incidentdiagramm

Darunter zeigt die Incidentwarteschlange im Microsoft Defender-Portal Vorfälle an, die in den letzten sechs Monaten aufgetreten sind. Sie können einen anderen Zeitrahmen auswählen, indem Sie ihn in der Dropdownliste oben auswählen. Incidents werden gemäß den neuesten automatischen oder manuellen Aktualisierungen eines Incidents angeordnet. Sie können die Incidents nach der Spalte zum Zeitpunkt der letzten Aktualisierung anordnen, um Incidents gemäß den neuesten automatischen oder manuellen Updates anzuzeigen.

Die Incidentwarteschlange verfügt über anpassbare Spalten, die Ihnen Einblick in verschiedene Merkmale des Incidents oder der betroffenen Entitäten bieten. Diese Filterung hilft Ihnen, eine fundierte Entscheidung hinsichtlich der Priorisierung von Incidents für die Analyse zu treffen. Wählen Sie Spalten anpassen aus, um die folgenden Anpassungen basierend auf Ihrer bevorzugten Ansicht durchzuführen:

  • Aktivieren/deaktivieren Sie die Spalten, die in der Incidentwarteschlange angezeigt werden sollen.
  • Ordnen Sie die Reihenfolge der Spalten an, indem Sie sie ziehen.

Screenshot: Filter- und Spaltensteuerelemente für Incidentseiten

Incidentnamen

Für mehr Sichtbarkeit auf einen Blick generiert Microsoft Defender XDR automatisch Incidentnamen, basierend auf Warnungsattributen wie der Anzahl der betroffenen Endpunkte, betroffenen Benutzer, Erkennungsquellen oder Kategorien. Diese spezifische Benennung ermöglicht es Ihnen, den Umfang des Incidents schnell zu verstehen.

Beispiel: Mehrstufiger Incident auf mehreren Endpunkten, die von mehreren Quellen gemeldet werden.

Wenn Sie Microsoft Sentinel in die Unified Security Operations-Plattform integriert haben, werden die Namen aller Warnungen und Vorfälle, die von Microsoft Sentinel stammen, wahrscheinlich geändert (unabhängig davon, ob sie vor oder seit dem Onboarding erstellt wurden).

Es wird empfohlen, die Verwendung des Incidentnamens als Bedingung zum Auslösen von Automatisierungsregeln zu vermeiden. Wenn der Incidentname eine Bedingung ist und sich der Incidentname ändert, wird die Regel nicht ausgelöst.

Filter

Die Incidentwarteschlange bietet auch mehrere Filteroptionen, mit denen Sie bei Anwendung eine breite Übersicht über alle vorhandenen Vorfälle in Ihrer Umgebung durchführen oder sich auf ein bestimmtes Szenario oder eine bestimmte Bedrohung konzentrieren können. Durch Anwenden von Filtern in der Vorfallswarteschlange können Sie ermitteln, welcher Vorfall sofort beachtet werden muss.

Die Liste Filter oberhalb der Liste der Vorfälle zeigt die aktuell angewendeten Filter an.

In der Standardvorfallwarteschlange können Sie Filter hinzufügen auswählen, um die Dropdownliste Filter hinzufügen anzuzeigen, in der Sie Filter angeben, die auf die Incidentwarteschlange angewendet werden sollen, um die Angezeigten Incidents einzuschränken. Im Folgenden sehen Sie ein Beispiel.

Der Bereich Filter für die Incidentwarteschlange im Microsoft Defender-Portal.

Wählen Sie die filter aus, die Sie verwenden möchten, und wählen Sie dann am ende der Liste Hinzufügen aus, um sie verfügbar zu machen.

Nun werden die ausgewählten Filter zusammen mit den vorhandenen angewendeten Filtern angezeigt. Wählen Sie den neuen Filter aus, um seine Bedingungen anzugeben. Wenn Sie beispielsweise den Filter "Dienst/Erkennungsquellen" ausgewählt haben, wählen Sie ihn aus, um die Quellen auszuwählen, nach denen die Liste gefiltert werden soll.

Sie können auch den Bereich Filter anzeigen, indem Sie einen der Filter in der Liste Filter oberhalb der Liste der Vorfälle auswählen.

In dieser Tabelle sind die verfügbaren Filternamen aufgeführt.

Filtername Beschreibung/Bedingungen
Status Wählen Sie Neu, In Bearbeitung oder Gelöst aus.
Warnungsschweregrad
Incidentschweregrad
Der Schweregrad einer Warnung oder eines Incidents ist ein Hinweis auf die Auswirkungen, die er auf Ihre Ressourcen haben kann. Je höher der Schweregrad, desto größer die Auswirkung und erfordert in der Regel die unmittelbarste Aufmerksamkeit. Wählen Sie Hoch, Mittel, Niedrig oder Information aus.
Incidentzuweisung Wählen Sie den bzw. die zugewiesenen Benutzer aus.
Mehrere Dienstquellen Geben Sie an, ob der Filter für mehrere Dienstquellen gilt.
Dienst-/Erkennungsquellen Geben Sie Incidents an, die Warnungen aus einer oder mehreren der folgenden Elemente enthalten:
  • Microsoft Defender for Identity
  • Microsoft Defender for Cloud Apps
  • Microsoft Defender für Endpunkt
  • Microsoft Defender XDR
  • Microsoft Defender für Office 365
  • App-Governance
  • Microsoft Entra ID Protection
  • Microsoft Data Loss Prevention
  • Microsoft Defender für Cloud
  • Microsoft Sentinel

    Viele dieser Dienste können im Menü erweitert werden, um weitere Auswahlmöglichkeiten für Erkennungsquellen innerhalb eines bestimmten Diensts anzuzeigen.
  • Tags Wählen Sie einen oder mehrere Tagnamen aus der Liste aus.
    Mehrere Kategorie Geben Sie an, ob der Filter für mehrere Kategorien bestimmt ist.
    Kategorien Wählen Sie Kategorien aus, um sich auf bestimmte Taktiken, Techniken oder Angriffskomponenten zu konzentrieren.
    Entities Geben Sie den Namen eines Medienobjekts an, z. B. einen Benutzer, ein Gerät, ein Postfach oder einen Anwendungsnamen.
    Vertraulichkeit der Daten Bei einigen Angriffen liegt der Schwerpunkt auf dem Exfiltrieren von vertraulichen oder wertvollen Daten. Durch Anwenden eines Filters für bestimmte Vertraulichkeitsbezeichnungen können Sie schnell ermitteln, ob vertrauliche Informationen potenziell kompromittiert wurden, und die Behandlung dieser Vorfälle priorisieren.

    Dieser Filter zeigt Informationen nur an, wenn Sie Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection angewendet haben.
    Gerätegruppen Geben Sie einen Gerätegruppennamen an.
    Betriebssystemplattform Geben Sie Gerätebetriebssysteme an.
    Klassifizierung Geben Sie den Satz von Klassifizierungen der zugehörigen Warnungen an.
    Status der automatisierten Untersuchung Geben Sie den Status der automatisierten Untersuchung an.
    Zugeordnete Bedrohung Geben Sie eine benannte Bedrohung an.
    Warnungsrichtlinien Geben Sie einen Warnungsrichtlinientitel an.
    Warnungsabonnement-IDs Geben Sie eine Warnung basierend auf einer Abonnement-ID an.

    Der Standardfilter besteht darin, alle Warnungen und Vorfälle mit dem Status Neu und In Bearbeitung und dem Schweregrad "Hoch", " Mittel" oder " Niedrig" anzuzeigen.

    Sie können einen Filter schnell entfernen, indem Sie das X im Namen eines Filters in der Liste Filter auswählen.

    Sie können auch Filtersätze auf der Seite Incidents erstellen, indem Sie Gespeicherte Filterabfragen > Filtersatz erstellen auswählen. Wenn keine Filtersätze erstellt wurden, wählen Sie Speichern aus, um einen zu erstellen.

    Die Option Filtersätze erstellen für die Incidentwarteschlange im Microsoft Defender-Portal.

    Hinweis

    Microsoft Defender XDR-Kunden können jetzt Vorfälle mit Warnungen filtern, bei denen ein kompromittiertes Gerät mit OT-Geräten (Operational Technology) kommuniziert, die über die Geräteermittlungsintegration von Microsoft Defender für IoT und Microsoft Defender für Endpunkt mit dem Unternehmensnetzwerk verbunden sind. Um diese Vorfälle zu filtern, wählen Sie in den Dienst-/Erkennungsquellen die Option Beliebige aus, und wählen Sie dann Microsoft Defender für IoT im Produktnamen aus, oder lesen Sie untersuchen von Vorfällen und Warnungen in Microsoft Defender für IoT im Defender-Portal. Sie können auch Gerätegruppen verwenden, um nach standortspezifischen Warnungen zu filtern. Weitere Informationen zu den Voraussetzungen für Defender für IoT finden Sie unter Erste Schritte mit der Enterprise IoT-Überwachung in Microsoft Defender XDR.

    Speichern von benutzerdefinierten Filtern als URLs

    Nachdem Sie einen nützlichen Filter in der Incidentwarteschlange konfiguriert haben, können Sie die URL der Browserregisterkarte mit einem Lesezeichen versehen oder anderweitig als Link auf einer Webseite, in einem Word-Dokument oder an einem Ort Ihrer Wahl speichern. Durch Lesezeichen können Sie mit nur einem Klick auf wichtige Ansichten der Incidentwarteschlange zugreifen, z. B.:

    • Neue Vorfälle
    • Vorfälle mit hohem Schweregrad
    • Nicht zugewiesene Vorfälle
    • Hochschwere, nicht zugewiesene Vorfälle
    • Mir zugewiesene Vorfälle
    • Mir zugewiesene Vorfälle und für Microsoft Defender für Endpunkt
    • Incidents mit einem bestimmten Tag oder Tags
    • Incidents mit einer bestimmten Bedrohungskategorie
    • Incidents mit einer bestimmten zugeordneten Bedrohung
    • Incidents mit einem bestimmten Akteur

    Nachdem Sie Ihre Liste der nützlichen Filteransichten als URLs kompiliert und gespeichert haben, verwenden Sie sie, um die Incidents in Ihrer Warteschlange schnell zu verarbeiten und zu priorisieren und für die nachfolgende Zuweisung und Analyse zu verwalten .

    Im Feld Nach Namen oder ID suchen oberhalb der Liste der Vorfälle können Sie auf verschiedene Arten nach Incidents suchen, um schnell das gesuchte Ziel zu finden.

    Suche nach Incidentname oder ID

    Suchen Sie direkt nach einem Incident, indem Sie die Incident-ID oder den Incidentnamen eingeben. Wenn Sie einen Incident aus der Liste der Suchergebnisse auswählen, öffnet das Microsoft Defender-Portal eine neue Registerkarte mit den Eigenschaften des Incidents, über die Sie ihre Untersuchung starten können.

    Suche nach betroffenen Ressourcen

    Sie können ein Medienobjekt benennen, z. B. einen Benutzer, ein Gerät, ein Postfach, einen Anwendungsnamen oder eine Cloudressource, und alle Incidents im Zusammenhang mit diesem Medienobjekt finden.

    Angeben eines Zeitbereichs

    Die Standardliste der Incidents gilt für diejenigen, die in den letzten sechs Monaten aufgetreten sind. Sie können einen neuen Zeitbereich im Dropdownfeld neben dem Kalendersymbol angeben, indem Sie Folgendes auswählen:

    • Einen Tag
    • Drei Tage
    • Eine Woche
    • 30 Tage
    • 30 Tage
    • Sechs Monate
    • Ein benutzerdefinierter Bereich, in dem Sie sowohl Datumsangaben als auch Uhrzeiten angeben können.

    Nächste Schritte

    Nachdem Sie ermittelt haben, welcher Incident die höchste Priorität erfordert, wählen Sie ihn aus und:

    • Verwalten Sie die Eigenschaften des Incidents für Tags, Zuweisung, sofortige Lösung für falsch positive Vorfälle und Kommentare.
    • Beginnen Sie ihre Untersuchungen.

    Siehe auch

    Tipp

    Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.