Untersuchen von Vorfällen in Microsoft Defender XDR

Gilt für:

  • Microsoft Defender XDR

Microsoft Defender XDR fasst alle zugehörigen Warnungen, Ressourcen, Untersuchungen und Beweise von Ihren Geräten, Benutzern und Postfächern zu einem Incident zusammen, um Ihnen einen umfassenden Einblick in die gesamte Bandbreite eines Angriffs zu geben.

Innerhalb eines Incidents analysieren Sie die Warnungen, die sich auf Ihr Netzwerk auswirken, verstehen, was sie bedeuten, und sortieren die Beweise, damit Sie einen effektiven Wiederherstellungsplan erstellen können.

Erste Untersuchung

Bevor Sie sich mit den Details befassen, sehen Sie sich die Eigenschaften und die gesamte Angriffsgeschichte des Vorfalls an.

Sie können zunächst den Incident aus der Häkchenspalte auswählen. Im Folgenden sehen Sie ein Beispiel.

Auswählen eines Incidents im Microsoft Defender-Portal

Wenn Sie dies tun, wird ein Zusammenfassungsbereich mit wichtigen Informationen zum Incident geöffnet, z. B. schweregrad, dem er zugewiesen ist, und den MITRE ATT&CK-Kategorien™ für den Incident. Im Folgenden sehen Sie ein Beispiel.

Der Bereich, in dem die Zusammenfassungsdetails für einen Vorfall im Microsoft Defender-Portal angezeigt werden.

Von hier aus können Sie Vorfallseite öffnen auswählen. Dadurch wird die seite Standard für den Vorfall geöffnet, auf der Sie die vollständigen Informationen zum Angriffsverlauf und Registerkarten für Warnungen, Geräte, Benutzer, Untersuchungen und Beweise finden.

Sie können auch die Seite Standard für einen Incident öffnen, indem Sie den Incidentnamen aus der Incidentwarteschlange auswählen.

Angriffsgeschichte

Angriffsgeschichten helfen Ihnen, Angriffe schnell zu überprüfen, zu untersuchen und zu beheben, während Sie die gesamte Geschichte des Angriffs auf derselben Registerkarte anzeigen. Außerdem können Sie die Entitätsdetails überprüfen und Korrekturmaßnahmen durchführen, z. B. das Löschen einer Datei oder das Isolieren eines Geräts, ohne den Kontext zu verlieren.

Die Angriffsgeschichte wird im folgenden Video kurz beschrieben.

In der Angriffsgeschichte finden Sie die Warnungsseite und das Incidentdiagramm.

Die Seite "Incidentwarnungen" enthält die folgenden Abschnitte:

  • Warnungsmeldung, die Folgendes umfasst:

    • Was ist passiert
    • Durchgeführte Aktionen
    • Verwandte Ereignisse
  • Warnungseigenschaften im rechten Bereich (Status, Details, Beschreibung usw.)

Beachten Sie, dass nicht jede Warnung alle im Abschnitt Warnungsabschnitt aufgeführten Unterabschnitte enthält.

Das Diagramm zeigt den gesamten Umfang des Angriffs, wie sich der Angriff im Laufe der Zeit in Ihrem Netzwerk ausbreitete, wo er begonnen hat und wie weit der Angreifer gegangen ist. Es verbindet die verschiedenen verdächtigen Entitäten, die Teil des Angriffs sind, mit ihren zugehörigen Ressourcen wie Benutzern, Geräten und Postfächern.

Das Diagramm ermöglicht Folgendes:

  • Spielen Sie die Warnungen und Knoten im Diagramm ab, wie sie im Laufe der Zeit aufgetreten sind, um die Chronologie des Angriffs zu verstehen.

    Screenshot, der die Wiedergabe der Warnungen und Knoten auf der Seite mit dem Angriffsverlaufsdiagramm zeigt.

  • Öffnen Sie einen Entitätsbereich, in dem Sie die Entitätsdetails überprüfen und auf Korrekturaktionen wie das Löschen einer Datei oder das Isolieren eines Geräts reagieren können.

    Screenshot: Überprüfung der Entitätsdetails auf der Seite

  • Markieren Sie die Warnungen basierend auf der Entität, mit der sie verknüpft sind.

  • Suchen nach Entitätsinformationen eines Geräts, einer Datei, einer IP-Adresse oder URL.

Die Option "Go Hunt " nutzt die erweiterte Suchfunktion , um relevante Informationen zu einer Entität zu finden. Die Go-Hunt-Abfrage überprüft relevante Schematabellen auf Ereignisse oder Warnungen, die die spezifische Entität betreffen, die Sie untersuchen. Sie können eine der Optionen auswählen, um relevante Informationen zur Entität zu finden:

  • Alle verfügbaren Abfragen anzeigen : Die Option gibt alle verfügbaren Abfragen für den Entitätstyp zurück, den Sie untersuchen.
  • Alle Aktivitäten: Die Abfrage gibt alle Aktivitäten zurück, die einer Entität zugeordnet sind, und bietet Ihnen eine umfassende Übersicht über den Kontext des Incidents.
  • Verwandte Warnungen: Die Abfrage sucht nach allen Sicherheitswarnungen, die eine bestimmte Entität betreffen, und gibt diese zurück, um sicherzustellen, dass Sie keine Informationen verpassen.

Auswählen der Option

Die resultierenden Protokolle oder Warnungen können mit einem Incident verknüpft werden, indem Sie ein Ergebnis und dann Mit Incident verknüpfen auswählen.

Hervorheben der Option

Wenn der Incident oder die zugehörigen Warnungen das Ergebnis einer von Ihnen festgelegten Analyseregel waren, können Sie auch Abfrage ausführen auswählen, um andere verwandte Ergebnisse anzuzeigen.

Zusammenfassung

Verwenden Sie die Seite Zusammenfassung , um die relative Wichtigkeit des Incidents zu bewerten und schnell auf die zugehörigen Warnungen und betroffenen Entitäten zuzugreifen. Auf der Seite Zusammenfassung erhalten Sie einen Momentaufnahme Überblick über die wichtigsten Punkte, die Sie über den Vorfall beachten müssen.

Screenshot, der die Zusammenfassungsinformationen für einen Incident im Microsoft Defender-Portal zeigt.

Informationen sind in diesen Abschnitten organisiert.

Abschnitt Beschreibung
Warnungen und Kategorien Eine visuelle und numerische Ansicht, wie weit der Angriff gegen die Kill Chain fortgeschritten ist. Wie bei anderen Microsoft-Sicherheitsprodukten ist Microsoft Defender XDR auf das MITRE ATT&CK-Framework™ ausgerichtet. Die warnungs-Zeitleiste zeigt die chronologische Reihenfolge, in der die Warnungen aufgetreten sind, sowie für jeden deren status und Namen an.
Bereich Zeigt die Anzahl der betroffenen Geräte, Benutzer und Postfächer an und listet die Entitäten nach Risikostufe und Untersuchungspriorität auf.
Beweis Zeigt die Anzahl der entitäten an, die von dem Vorfall betroffen sind.
Incidentinformationen Zeigt die Eigenschaften des Incidents an, z. B. Tags, status und Schweregrad.

Warnungen

Auf der Registerkarte Warnungen können Sie die Warnungswarteschlange für Warnungen im Zusammenhang mit dem Incident und andere Informationen zu diesen anzeigen, z. B.:

  • Schweregrad.
  • Die An der Warnung beteiligten Entitäten.
  • Die Quelle der Warnungen (Microsoft Defender for Identity, Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Defender for Cloud Apps und das App-Governance-Add-On).
  • Der Grund, warum sie miteinander verknüpft wurden.

Im Folgenden sehen Sie ein Beispiel.

Bereich

Standardmäßig sind die Warnungen chronologisch angeordnet, damit Sie sehen können, wie sich der Angriff im Laufe der Zeit abgespielt hat. Wenn Sie eine Warnung innerhalb eines Incidents auswählen, zeigt Microsoft Defender XDR die Warnungsinformationen an, die für den Kontext des Gesamtvorfalls spezifisch sind.

Sie können die Ereignisse der Warnung anzeigen, die andere ausgelöste Warnungen die aktuelle Warnung verursacht haben, sowie alle betroffenen Entitäten und Aktivitäten, die an dem Angriff beteiligt sind, einschließlich Geräten, Dateien, Benutzern und Postfächern.

Im Folgenden sehen Sie ein Beispiel.

Die Details einer Warnung innerhalb eines Incidents im Microsoft Defender-Portal.

Erfahren Sie, wie Sie die Warnungswarteschlangen- und Warnungsseiten in Untersuchen von Warnungen verwenden.

Objekte

Mit der neuen Registerkarte Assets können Sie alle Ihre Ressourcen ganz einfach an einem Ort anzeigen und verwalten. Diese einheitliche Ansicht umfasst Geräte, Benutzer, Postfächer und Apps.

Auf der Registerkarte Assets wird neben dem Namen die Gesamtanzahl der Ressourcen angezeigt. Eine Liste verschiedener Kategorien mit der Anzahl der Ressourcen in dieser Kategorie wird angezeigt, wenn Sie die Registerkarte Assets auswählen.

Die Seite

Geräte

In der Ansicht Geräte werden alle Geräte aufgelistet, die sich auf den Incident beziehen. Im Folgenden sehen Sie ein Beispiel.

Seite

Wenn Sie ein Gerät aus der Liste auswählen, wird eine Leiste geöffnet, in der Sie das ausgewählte Gerät verwalten können. Sie können Tags schnell exportieren, verwalten, automatisierte Untersuchungen initiieren und vieles mehr.

Sie können das Häkchen für ein Gerät aktivieren, um Details zum Gerät, Verzeichnisdaten, aktiven Warnungen und angemeldeten Benutzern anzuzeigen. Wählen Sie den Namen des Geräts aus, um Gerätedetails im Defender für Endpunkt-Gerätebestand anzuzeigen. Im Folgenden sehen Sie ein Beispiel.

Die Geräteoptionen auf der Seite Assets im Microsoft Defender-Portal.

Auf der Geräteseite können Sie zusätzliche Informationen zum Gerät sammeln, z. B. alle Warnungen, eine Zeitleiste und Sicherheitsempfehlungen. Beispielsweise können Sie auf der Registerkarte Zeitachse durch das Gerät scrollen Zeitleiste und alle Ereignisse und Verhaltensweisen anzeigen, die auf dem Computer beobachtet wurden, in chronologischer Reihenfolge, eingestreut mit den ausgelösten Warnungen. Hier ist ein Beispiel

Die Details eines Geräts auf der Seite Gerät im Microsoft Defender-Portal.

Tipp

Sie können bedarfsgesteuerte Überprüfungen auf einer Geräteseite durchführen. Wählen Sie im Microsoft Defender-Portal Endpunkte > Gerätebestand aus. Wählen Sie ein Gerät mit Warnungen aus, und führen Sie dann eine Antivirenüberprüfung aus. Aktionen, z. B. Antivirenscans, werden nachverfolgt und sind auf der Seite Gerätebestand sichtbar. Weitere Informationen finden Sie unter Ausführen Microsoft Defender Antivirusscans auf Geräten.

Benutzer

In der Ansicht Benutzer werden alle Benutzer aufgelistet, die als Teil des Incidents oder im Zusammenhang mit diesem identifiziert wurden. Im Folgenden sehen Sie ein Beispiel.

Die Seite Benutzer im Microsoft Defender-Portal.

Sie können das Häkchen für einen Benutzer aktivieren, um Details der Bedrohungs-, Offenlegungs- und Kontaktinformationen des Benutzerkontos anzuzeigen. Wählen Sie den Benutzernamen aus, um zusätzliche Benutzerkontodetails anzuzeigen.

Erfahren Sie, wie Sie zusätzliche Benutzerinformationen anzeigen und die Benutzer eines Incidents in Untersuchen von Benutzern verwalten.

Postfächer

In der Ansicht Postfächer werden alle Postfächer aufgelistet, die als Teil des Incidents oder im Zusammenhang mit dem Incident identifiziert wurden. Im Folgenden sehen Sie ein Beispiel.

Die Seite Postfächer für einen Incident im Microsoft Defender-Portal.

Sie können das Häkchen für ein Postfach aktivieren, um eine Liste der aktiven Warnungen anzuzeigen. Wählen Sie den Postfachnamen aus, um weitere Postfachdetails auf der Seite Explorer für Defender for Office 365 anzuzeigen.

Apps

In der Ansicht Apps werden alle Apps aufgelistet, die als Teil des Incidents oder im Zusammenhang mit diesem identifiziert wurden. Im Folgenden sehen Sie ein Beispiel.

Die Seite Apps für einen Incident im Microsoft Defender-Portal.

Sie können das Häkchen für eine App aktivieren, um eine Liste der aktiven Warnungen anzuzeigen. Wählen Sie den App-Namen aus, um weitere Details auf der Seite Explorer für Defender for Cloud Apps anzuzeigen.

Untersuchungen

Auf der Registerkarte Untersuchungen werden alle automatisierten Untersuchungen aufgelistet, die durch Warnungen in diesem Incident ausgelöst werden. Automatisierte Untersuchungen führen Korrekturaktionen durch oder warten auf die Genehmigung von Aktionen durch Analysten, je nachdem, wie Sie Ihre automatisierten Untersuchungen für die Ausführung in Defender für Endpunkt und Defender for Office 365 konfiguriert haben.

Die Seite

Wählen Sie eine Untersuchung aus, um zu ihrer Detailseite zu navigieren, um vollständige Informationen zur Untersuchung und Behebung status zu erhalten. Wenn im Rahmen der Untersuchung Aktionen zur Genehmigung ausstehen, werden diese auf der Registerkarte Verlauf der ausstehenden Aktionen angezeigt. Ergreifen Sie Maßnahmen im Rahmen der Behebung von Vorfällen.

Es gibt auch eine Registerkarte "Untersuchungsdiagramm ", auf der Folgendes angezeigt wird:

  • Die Verbindung von Warnungen mit den betroffenen Ressourcen in Ihrem organization.
  • Welche Entitäten hängen mit welchen Warnungen zusammen und wie sie Teil der Geschichte des Angriffs sind.
  • Die Warnungen für den Incident.

Das Untersuchungsdiagramm hilft Ihnen, den gesamten Umfang des Angriffs schnell zu verstehen, indem die verschiedenen verdächtigen Entitäten, die Teil des Angriffs sind, mit ihren zugehörigen Ressourcen wie Benutzern, Geräten und Postfächern verbunden werden.

Weitere Informationen finden Sie unter Automatisierte Untersuchung und Reaktion in Microsoft Defender XDR.

Beweis und Antwort

Auf der Registerkarte Beweis und Antwort werden alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen im Incident angezeigt. Im Folgenden sehen Sie ein Beispiel.

Seite

Microsoft Defender XDR untersucht automatisch alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen und stellt Ihnen Informationen zu wichtigen E-Mails, Dateien, Prozessen, Diensten, IP-Adressen und mehr zur Verfügung. Dies hilft Ihnen, potenzielle Bedrohungen im Incident schnell zu erkennen und zu blockieren.

Jede der analysierten Entitäten ist mit einem Urteil (Böswillig, verdächtig, bereinigen) und einer Korrektur status gekennzeichnet. Dies hilft Ihnen, die Status des gesamten Incidents zu verstehen und welche nächsten Schritte unternommen werden können.

Genehmigen oder Ablehnen von Korrekturaktionen

Bei Vorfällen mit einer Status ausstehender Genehmigung können Sie eine Korrekturaktion innerhalb des Incidents genehmigen oder ablehnen.

  1. Wechseln Sie im Navigationsbereich zu Incidents & Warnungen>Incidents.
  2. Filtern Sie nach der Aktion "Ausstehend " für den Status "Automatisierte Untersuchung" (optional).
  3. Wählen Sie einen Incidentnamen aus, um die zugehörige Zusammenfassungsseite zu öffnen.
  4. Wählen Sie die Registerkarte Beweis und Antwort aus.
  5. Wählen Sie ein Element in der Liste aus, um den flyout-Bereich zu öffnen.
  6. Überprüfen Sie die Informationen, und führen Sie dann einen der folgenden Schritte aus:
    • Wählen Sie die Option Ausstehende Aktion genehmigen aus, um eine ausstehende Aktion zu initiieren.
    • Wählen Sie die Option Ausstehende Aktion ablehnen aus, um zu verhindern, dass eine ausstehende Aktion ausgeführt wird.

Die Option Genehmigen\Ablehnen im Bereich Beweis- und Antwortverwaltung für einen Incident im Microsoft Defender-Portal.

Nächste Schritte

Je nach Bedarf:

Siehe auch

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.