Verwalten von und Reagieren auf Sicherheitswarnungen in Azure Security CenterManaging and responding to security alerts in Azure Security Center

In diesem Dokument erfahren Sie, wie Sie Azure Security Center verwenden, um Sicherheitswarnungen zu verwalten und auf diese zu reagieren.This document helps you use Azure Security Center to manage and respond to security alerts.

Hinweis

Führen Sie ein Upgrade auf Azure Security Center Standard durch, um erweiterte Erkennungsfunktionen zu aktivieren.To enable advanced detections, upgrade to Azure Security Center Standard. Sie können auch eine kostenlose 60-Tage-Testversion nutzen.A free 60-day trial is available. Wenn Sie ein Upgrade durchführen möchten, wählen Sie in der Sicherheitsrichtliniedie Tarifoption aus.To upgrade, select Pricing Tier in the Security Policy. Weitere Informationen finden Sie unter Azure Security Center Preise.See Azure Security Center pricing to learn more.

Was sind Sicherheitswarnungen?What are security alerts?

Security Center erfasst, analysiert und vereinigt automatisch Protokolldaten von Ihren Azure-Ressourcen, vom Netzwerk und von verbundenen Partnerlösungen, z.B. Lösungen zum Schutz von Firewalls und Endpunkten, um echte Bedrohungen zu erkennen und falsch positive Ergebnisse zu reduzieren.Security Center automatically collects, analyzes, and integrates log data from your Azure resources, the network, and connected partner solutions, like firewall and endpoint protection solutions, to detect real threats and reduce false positives. Eine Liste mit priorisierten Sicherheitswarnungen wird im Security Center zusammen mit den Informationen angezeigt, die Sie zum schnellen Untersuchen des Problems benötigen. Außerdem sind Empfehlungen zum Reagieren auf einen Angriff vorhanden.A list of prioritized security alerts is shown in Security Center along with the information you need to quickly investigate the problem and recommendations for how to remediate an attack.

Hinweis

Weitere Informationen zur Funktionsweise der Security Center-Erkennungsfunktionen finden Sie unter Azure Security Center-Erkennungsfunktionen.For more information about how Security Center detection capabilities work, read Azure Security Center Detection Capabilities.

Verwalten von SicherheitswarnungenManaging security alerts

Aktuelle Warnungen können Sie auf der Kachel Sicherheitswarnungen prüfen.You can review your current alerts by looking at the Security alerts tile. Gehen Sie wie folgt vor, wenn Sie weitere Details zu den einzelnen Warnungen anzeigen möchten:Follow the steps below to see more details about each alert:

  1. Auf dem Security Center-Dashboard befindet sich die Kachel Sicherheitswarnungen.On the Security Center dashboard, you see the Security alerts tile.

    Kachel „Sicherheitswarnungen“ in Security Center

  2. Klicken Sie auf die Kachel, um die Sicherheitswarnungen zu öffnen und weitere Details zu den Warnungen anzuzeigen.Click the tile to open the Security alerts to see more details about the alerts.

    Die Sicherheitswarnungen in Security Center

Im unteren Bereich dieser Seite werden Details zu den einzelnen Warnungen angezeigt.In the bottom part of this page are the details for each alert. Zum Sortieren klicken Sie auf die Spalte, nach der Sie sortieren möchten.To sort, click the column that you want to sort by. Die Spalten sind wie folgt definiert:The definition for each column is given below:

  • Beschreibung: Eine kurze Erläuterung der Warnung.Description: A brief explanation of the alert.
  • Anzahl: Eine Liste mit allen Warnungen dieses speziellen Typs, die an einem bestimmten Tag erkannt wurden.Count: A list of all alerts of this specific type that were detected on a specific day.
  • Erkannt von: Der Dienst, der die Warnung ausgelöst hat.Detected by: The service that was responsible for triggering the alert.
  • Datum: Das Datum, an dem das Ereignis aufgetreten ist.Date: The date that the event occurred.
  • Zustand: Der aktuelle Zustand für diese Warnung.State: The current state for that alert. Es gibt zwei Arten von Zuständen:There are two types of states:
    • Aktiv: Die Sicherheitswarnung wurde erkannt.Active: The security alert has been detected.
  • Schweregrad: Gibt den Schweregrad an („Hoch“, „Mittel“ oder „Niedrig“).Severity: The severity level, which can be high, medium or low.

Hinweis

Von Security Center generierte Sicherheitswarnungen werden auch im Azure-Aktivitätsprotokoll angezeigt.Security alerts generated by Security Center will also appear under Azure Activity Log. Weitere Informationen zum Zugreifen auf das Azure-Aktivitätsprotokoll finden Sie unter Anzeigen von Aktivitätsprotokollen, um Aktionen an Ressourcen zu überwachen.For more information about how to access Azure Activity Log, read View activity logs to audit actions on resources.

Filtern von WarnungenFiltering alerts

Sie können Warnungen nach Datum, Status und Schweregrad filtern.You can filter alerts based on date, state, and severity. Das Filtern von Warnungen kann nützlich für Szenarien sein, in denen Sie den Bereich der angezeigten Warnungen einschränken müssen.Filtering alerts can be useful for scenarios where you need to narrow the scope of security alerts show. Es könnte beispielsweise sein, dass Sie während der Untersuchung einer möglichen Sicherheitsverletzung im System die Sicherheitswarnungen überprüfen möchten, die in den letzten 24 Stunden aufgetreten sind.For example, you might you want to address security alerts that occurred in the last 24 hours because you are investigating a potential breach in the system.

  1. Klicken Sie unter Sicherheitswarnungen auf Filter.Click Filter on the Security Alerts. Der Filter wird geöffnet. Hier können Sie die gewünschten Werte für Datum, Zustand und Schweregrad auswählen.The Filter opens and you select the date, state, and severity values you wish to see.

    Filtern von Warnungen in Security Center

Reagieren auf SicherheitswarnungenRespond to security alerts

Wählen Sie eine Sicherheitswarnung aus, um weitere Informationen zu den Ereignissen zu erhalten, die die Warnung ausgelöst haben, sowie zu den Schritten, die Sie als Reaktion auf den Angriff ausführen müssen (falls zutreffend).Select a security alert to learn more about the event(s) that triggered the alert and what, if any, steps you need to take to remediate an attack. Sicherheitswarnungen werden nach Typ und Datum gruppiert.Security alerts are grouped by type and date. Wenn Sie auf eine Sicherheitswarnung klicken, öffnet sich eine Seite mit einer Liste der gruppierten Warnungen.Clicking a security alert opens a page containing a list of the grouped alerts.

Reagieren auf Sicherheitswarnungen in Azure Security Center

In diesem Fall bezieht sich die ausgelöste Warnung auf eine verdächtige RDP-Aktivität (Remote Desktop Protocol).In this case, the alerts that were triggered refer to suspicious Remote Desktop Protocol (RDP) activity. Die erste Spalte zeigt, welche Ressourcen angegriffen wurden. In der zweiten Spalte sehen Sie , wie häufig die Ressource angegriffen wurde. Die dritte Spalte enthält die Uhrzeit des Angriffs. Die vierte Spalte zeigt den Status der Warnung und die fünfte Spalte den Schweregrad des Angriffs.The first column shows which resources were attacked; the second shows how many times the resource was attacked; the third shows the time of the attack; the fourth shows state of the alert; and the fifth shows the severity of the attack. Klicken Sie nach dem Überprüfen dieser Informationen auf die Ressource, die angegriffen wurde.After reviewing this information, click the resource that was attacked.

Vorschläge für die Bearbeitung von Sicherheitswarnungen in Azure Security Center

Das Feld Beschreibung enthält weitere Informationen zu diesem Ereignis.In the Description field you find more details about this event. Dank dieser zusätzlichen Details erhalten Sie Informationen dazu, wodurch die Sicherheitswarnung ausgelöst wurde, sowie die Zielressource, die IP-Quelladresse (falls zutreffend) und Empfehlungen zur Lösung.These additional details offer insight into what triggered the security alert, the target resource, when applicable the source IP address, and recommendations about how to remediate. In einigen Fällen ist die IP-Quelladresse leer (nicht verfügbar), da nicht alle Windows-Sicherheitsereignisprotokolle die IP-Adresse enthalten.In some instances, the source IP address is empty (not available) because not all Windows security events logs include the IP address.

Die von Security Center vorgeschlagene Wiederherstellung variiert je nach Sicherheitshinweis.The remediation suggested by Security Center vary according to the security alert. In einigen Fällen müssen Sie möglicherweise weitere Azure-Funktionen verwenden, um die empfohlenen Lösungen zu implementieren.In some cases, you may have to use other Azure capabilities to implement the recommended remediation. Beispielsweise kann die Abhilfe für diesen Angriff darin bestehen, die IP-Adresse, die den Angriff generiert, durch eine Netzwerk-ACL oder eine Regel für die Netzwerksicherheitsgruppe auf eine Negativliste zu setzen.For example, the remediation for this attack is to blacklist the IP address that is generating this attack by using a network ACL or a network security group rule. Weitere Informationen zu den verschiedenen Arten von Warnungen finden Sie unter Sicherheitswarnungen nach Typ in Azure Security Center.For more information on the different types of alerts, read Security Alerts by Type in Azure Security Center.

Hinweis

Für Security Center wurde als eingeschränkte Vorschauversion ein neuer Satz von Erkennungen veröffentlicht, die anhand von AuditD-Datensätzen (einem allgemeinen Überwachungsframework) schädliches Verhalten auf Linux-Computern erkennen.Security Center has released to limited preview a new set of detections that leverage auditd records, a common auditing framework, to detect malicious behaviors on Linux machines. Wenn Sie die Vorschauversion ausprobieren möchten, senden Sie uns eine E-Mail mit Ihren Abonnement-IDs.Please send an email with your subscription IDs to us to join the preview.

Weitere InformationenSee also

In diesem Dokument haben Sie erfahren, wie Sie Sicherheitsrichtlinien in Security Center konfigurieren können.In this document, you learned how to configure security policies in Security Center. Weitere Informationen zu Security Center finden Sie in den folgenden Quellen:To learn more about Security Center, see the following: