Arbeiten mit SicherheitswarnungenWorking with Security Alerts

In diesem Artikel werden die Grundlagen der Arbeit mit Azure ATP-Sicherheitswarnungen erläutert.This article explains the basics of how to work with Azure ATP security alerts.

Überprüfen von Sicherheitswarnungen auf der Angriffszeitachse Review security alerts on the attack timeline

Nachdem Sie sich beim Azure ATP-Portal angemeldet haben, gelangen Sie automatisch zur Zeitachse für Sicherheitswarnungen.After logging in to the Azure ATP portal, you're automatically taken to the open Security Alerts Timeline. Sicherheitswarnungen werden in chronologischer Reihenfolge aufgeführt, wobei sich die neueste Warnung oben auf der Zeitachse befindet.Security alerts are listed in chronological order, with the newest alert on the top of the timeline.

Jede Sicherheitswarnung enthält die folgenden Informationen:Each security alert has the following information:

  • Die beteiligten Entitäten, einschließlich Benutzer, Computer, Server, Domänencontroller und RessourcenEntities involved, including users, computers, servers, domain controllers, and resources.

  • Uhrzeiten und Zeitrahmen der verdächtigen Aktivitäten, die zur Auslösung der Sicherheitswarnung geführt haben.Times and time frame of the suspicious activities which initiated the security alert.

  • Schweregrad der Warnung: Hoch, Mittel oder Niedrig.Severity of the alert: High, Medium, or Low.

  • Status: „Offen“, „Aufgelöst“ oder „Unterdrückt“.Status: Open, closed, or suppressed.

  • Möglichkeiten:Ability to:

    • Teilen der Sicherheitswarnung mit anderen Personen in Ihrer Organisation per E-Mail.Share the security alert with other people in your organization via email.

    • Herunterladen der Sicherheitswarnung im Excel-Format.Download the security alert in Excel format.

Hinweis

  • Wenn Sie mit der Maus auf einen Benutzer oder Computer zeigen, wird ein Miniprofil der Entität angezeigt.When you hover your mouse over a user or computer, a mini entity profile is displayed. Dieses enthält zusätzliche Informationen zur Entität und die Anzahl der Sicherheitswarnungen, mit denen die Entität verknüpft ist.The mini-profile provides additional information about the entity and includes the number of security alerts that the entity is linked to.
  • Durch Klicken auf eine Entität gelangen Sie zum Entitätsprofil des Benutzers oder Computers.Clicking on an entity, takes you to the entity profile of the user or computer.

Abbildung der Zeitachse für Azure ATP-Sicherheitswarnungen

Kategorien der SicherheitswarnungenSecurity alert categories

Azure ATP-Sicherheitswarnungen werden in die folgenden Kategorien oder Phasen unterteilt, wie die Phasen in einer typischen „Kill Chain“ eines Cyberangriffs.Azure ATP security alerts are divided into the following categories or phases, like the phases seen in a typical cyber-attack kill chain.

Vorschau von Erkennungsfunktionen Preview detections

Das Azure ATP-Forschungsteam arbeitet kontinuierlich daran, neue Erkennungen für neu entdeckte Angriffe zu implementieren.The Azure ATP research team constantly works on implementing new detections for newly discovered attacks. Da es sich bei Azure ATP um einen Clouddienst handelt, werden neue Erkennungen schnell veröffentlicht, damit Azure ATP-Kunden so schnell wie möglich von diesen profitieren können.Because Azure ATP is a cloud service, new detections are released quickly to enable Azure ATP customers to benefit from new detections as soon as possible.

Diese Erkennungen werden als Vorschauversionen markiert, damit Sie die neuen Erkennungen schneller ermitteln können und wissen, dass sie neu für das Produkt sind.These detections are tagged with a preview badge, to help you identify the new detections and know that they are new to the product. Wenn Sie die Erkennungen von Vorschauversionen deaktivieren, werden diese nicht mehr in der Azure ATP-Konsole (und auch nicht auf der Zeitachse oder in den Entitätsprofilen) angezeigt, und es werden keine Warnungen mehr geöffnet.If you turn off preview detections, they will not be displayed in the Azure ATP console - not in the timeline or in entity profiles - and new alerts won’t be opened.

Vorschauversion für VPN-Erkennungen

Erkennungen von Vorschauversionen werden standardmäßig in Azure ATP aktiviert.By default, preview detections are enabled in Azure ATP.

Gehen Sie wie folgt vor, um die Erkennung von Vorschauversionen zu deaktivieren:To disable preview detections:

  1. Klicken Sie in der Azure ATP-Konsole auf das Zahnradsymbol für Einstellungen.In the Azure ATP console, click the settings cog.
  2. Klicken Sie im Menü auf der linken Seite unter „Vorschauversion“ auf Erkennungen.In the left menu, under Preview, click Detections.
  3. Verwenden Sie den Schieberegler, um die Erkennungen für Vorschauversionen zu (de)aktivieren.Use the slider to turn the preview detections on and off.

Erkennungen von Vorschauversionen

Filtern der Liste der SicherheitswarnungenFilter security alerts list

So filtern Sie die Liste der Sicherheitswarnungen:To filter the security alert list:

  1. Wählen Sie auf der linken Seite des Bildschirms im Bereich Filtern nach eine der folgenden Optionen aus: Alle, Offen, Geschlossen oder Unterdrückt.In the Filter by pane on the left side of the screen, select one of the following options: All, Open, Closed, or Suppressed.

  2. Um die Liste weiter zu filtern, wählen Sie Hoch, Mittel oder Niedrig aus.To further filter the list, select High, Medium, or Low.

Schweregrad von verdächtigen AktivitätenSuspicious activity severity

  • NiedrigLow

    Weist auf Aktivitäten hin, die zu Angriffen durch böswillige Benutzer oder Software führen können, um Zugriff auf Organisationsdaten zu erlangen.Indicates activities that can lead to attacks designed for malicious users or software to gain access to organizational data.

  • MittelMedium

    Weist auf Aktivitäten hin, die für bestimmte Identitäten das Risiko schwerwiegenderer Angriffe erhöhen und zu Identitätsdiebstahl oder Berechtigungsausweitung führen können.Indicates activities that can put specific identities at risk for more severe attacks that could result in identity theft or privileged escalation

  • HochHigh

    Weist auf Aktivitäten hin, die zu Identitätsdiebstahl, Berechtigungsausweitung oder anderen Angriffen mit schwerwiegenden Auswirkungen führen können.Indicates activities that can lead to identity theft, privilege escalation, or other high-impact attacks

Verwalten von SicherheitswarnungenManaging security alerts

Sie können den Status einer Sicherheitswarnung ändern, indem Sie auf den aktuellen Status der Sicherheitswarnung klicken und eine der folgenden Optionen auswählen: Offen, Unterdrückt, Aufgelöst oder Verworfen.You can change the status of a security alert by clicking the current status of the security alert and selecting one of the following Open, Suppressed, Closed, or Deleted. Klicken Sie dafür auf die drei Punkte in der oberen rechten Ecke einer bestimmten Warnung, um die Liste der verfügbaren Aktionen anzuzeigen.To do this, click the three dots at the top right corner of a specific alert to reveal the list of available actions.

Azure ATP-Aktionen für Sicherheitswarnungen

SicherheitswarnungsstatusSecurity alert status

  • Offen: Alle neuen Sicherheitswarnungen werden in dieser Liste angezeigt.Open: All new security alerts appear in this list.

  • Auflösen: Wird verwendet, um Sicherheitswarnungen nachzuverfolgen, die Sie identifiziert, untersucht oder entschärft haben.Close: Is used to track security alerts that you identified, researched, and fixed for mitigated.

    Hinweis

    Azure ATP kann geschlossene Warnungen wieder öffnen, wenn die gleiche Aktivität innerhalb eines kurzen Zeitraums erneut erkannt wird.If the same activity is detected again within a short period of time, Azure ATP may reopen a closed alert.

  • Unterdrücken: Durch das Unterdrücken einer Warnung wird diese für den Moment ignoriert. Sie erhalten erst dann wieder eine Warnung, wenn eine neue Instanz vorliegt.Suppress: Suppressing an alert means you want to ignore it for now, and only be alerted again if there's a new instance. Wenn es also eine ähnliche Warnung gibt, wird diese von Azure ATP nicht erneut geöffnet.This means that if there's a similar alert Azure ATP doesn't reopen it. Wenn die Warnung jedoch für sieben Tage angehalten wurde und anschließend erneut auftritt, werden Sie erneut gewarnt.But if the alert stops for seven days, and is then seen again, you are alerted again.

  • Verwerfen: Wenn Sie eine Warnung verwerfen, wird sie aus dem System und aus der Datenbank gelöscht und kann von Ihnen NICHT mehr wiederhergestellt werden.Delete: If you Delete an alert, it is deleted from the system, from the database and you will NOT be able to restore it. Nachdem Sie auf „Verwerfen“ geklickt haben, können Sie alle Sicherheitswarnungen für den gleichen Typ löschen.After you click delete, you'll be able to delete all security alerts of the same type.

  • Ausschließen: Die Möglichkeit, eine Entität davor zu bewahren, mehr bestimmte Warnungstypen auszugeben.Exclude: The ability to exclude an entity from raising more of a certain type of alerts. Sie können z.B. Azure ATP darauf festlegen, eine bestimmte Entität (Benutzer oder Computer) auszuschließen, sodass diese keine Warnung für einen bestimmten Typ einer Aktivität ausgibt, wie etwa ein bestimmter Administrator, der Remote-Code oder eine Sicherheitsüberprüfung ausführt, die DNS-Reconnaissance durchführt.For example, you can set Azure ATP to exclude a specific entity (user or computer) from alerting again for a certain type of activity, such as a specific admin who runs remote code or a security scanner that does DNS reconnaissance. Zusätzlich zur Möglichkeit, Ausnahmen direkt zur Sicherheitswarnung hinzuzufügen, da sie in der Zeitleiste erkannt wurde, können Sie auch auf die Seite „Konfiguration“ zu Ausnahmen wechseln. Für jede Sicherheitswarnung können Sie so manuell ausgeschlossene Entitäten oder Subnetze hinzufügen oder entfernen (z.B. für Pass-the-Ticket).In addition to being able to add exclusions directly on the security alert as it is detected in the time line, you can also go to the Configuration page to Exclusions, and for each security alert you can manually add and remove excluded entities or subnets (for example for Pass-the-Ticket).

Hinweis

Die Seiten für die Konfiguration können nur von Azure ATP-Administratoren bearbeitet werden.The configuration pages can only be modified by Azure ATP admins.

Weitere InformationenSee Also