Tutorial: Untersuchen eines ComputersTutorial: Investigate a computer

Hinweis

Die auf dieser Seite erläuterten Azure ATP-Features sind auch über das neue Portal zugänglich.The Azure ATP features explained on this page are also accessible using the new portal.

Ein Beweis für Warnungen in Azure ATP zeigt eindeutig an, wenn Computer von verdächtigen Aktivitäten betroffen sind, oder wenn es Anzeichen dafür gibt, dass ein Computer gefährdet ist.Azure ATP alert evidence provides clear indications when computers have been involved in suspicious activities or when indications exist that a machine is compromised. In diesem Tutorial verwenden Sie die Untersuchungsempfehlungen dazu, das Risiko für Ihre Organisation zu ermitteln, Abhilfemaßnahmen zu bestimmen und festzulegen, wie ähnliche Angriffe in der Zukunft am besten verhindert werden können.In this tutorial you'll use the investigation suggestions to help determine the risk to your organization, decide how to remediate, and determine the best way to prevent similar attacks in the future.

  • Überprüfen Sie den Computer des angemeldeten Benutzers.Check the computer for the logged in user.
  • Überprüfen Sie, ob der Benutzer normalerweise auf die entsprechenden Computer zugreift.Verify if the user normally accesses the computers.
  • Untersuchen Sie verdächtige Aktivitäten auf dem Computer.Investigate suspicious activities from the computer.
  • Ermitteln Sie, ob zur gleichen Zeit andere Warnungen aufgetreten sind.Where there other alerts around the same time?

Untersuchungsschritte für verdächtige ComputerInvestigation steps for suspicious computers

Klicken Sie auf den in der Warnung genannten Computer, den Sie untersuchen möchten, um auf die Profilseite des Computers zuzugreifen.To access the computer profile page, click on the specific computer mentioned in the alert that you wish to investigate. Als Unterstützung für Ihre Untersuchung sind in dem Beweis für Warnungen alle Computer (und Benutzer) aufgelistet, die mit den verdächtigen Aktivitäten in Verbindung stehen.To assist your investigation, alert evidence lists all computers (and users) connected to each suspicious activity.

Überprüfen und untersuchen Sie das Computerprofil auf die folgenden Details und Aktivitäten:Check and investigate the computer profile for the following details and activities:

  • Was ist zum Zeitpunkt der verdächtigen Aktivität geschehen?What happened around the time of the suspicious activity?

    1. Welcher Benutzer war an dem Computer angemeldet?Which user was logged in to the computer?
    2. Meldet sich dieser Benutzer normalerweise an der Quelle oder am Zielcomputer an, oder greift er darauf zu?Does that user normally log into or access the source or destination computer?
    3. Auf welche Ressourcen ist zugegriffen worden?Which resources where accessed? Durch welche Benutzer?By which users?
      • Wenn auf Ressourcen zugegriffen worden ist, hat es sich um wertvolle Ressourcen gehandelt?If resources were accessed, were they high value resources?
    4. Hätte der Benutzer Zugriff auf diese Ressourcen haben dürfen?Was the user supposed to access those resources?
    5. Hat der Benutzer, der auf den Computer zugegriffen hat, weitere verdächtige Aktivitäten ausgeführt?Did the user that accessed the computer perform other suspicious activities?
  • Weitere zu untersuchende verdächtige Aktivitäten:Additional suspicious activities to investigate:

    1. Waren ungefähr gleichzeitig mit dieser Warnung noch weitere Warnungen in Azure ATP oder in anderen Sicherheitstools wie Microsoft Defender ATP, Azure Security Center und/oder Microsoft CAS geöffnet?Were other alerts opened around the same time as this alert in Azure ATP, or in other security tools such as Microsoft Defender ATP, Azure Security Center and/or Microsoft CAS?
    2. Hat es Anmeldefehler gegeben?Were there failed logons?
  • Wenn die Microsoft Defender ATP-Integration aktiviert ist, klicken Sie auf das Microsoft Defender ATP-Badge, um den Computer genauer zu untersuchen.If Microsoft Defender ATP integration is enabled, click the Microsoft Defender ATP badge to further investigate the computer. In Microsoft Defender ATP können Sie sehen, welche Prozesse und Warnungen ungefähr gleichzeitig mit der Warnung aufgetreten sind.In Microsoft Defender ATP you can see which processes and alerts occurred around the same time as the alert.

    1. Sind neue Programme bereitgestellt oder installiert worden?Were any new programs deployed or installed?

Nächste SchritteNext steps