Verwalten von und Reagieren auf Sicherheitswarnungen in Azure Security CenterManaging and responding to security alerts in Azure Security Center

In diesem Dokument erfahren Sie, wie Sie Azure Security Center verwenden, um Sicherheitswarnungen zu verwalten und auf diese zu reagieren.This document helps you use Azure Security Center to manage and respond to security alerts.

Hinweis

Führen Sie ein Upgrade auf Azure Security Center Standard durch, um erweiterte Erkennungsfunktionen zu aktivieren.To enable advanced detections, upgrade to Azure Security Center Standard. Eine kostenlose Testversion ist verfügbar.A free trial is available. Wenn Sie ein Upgrade durchführen möchten, wählen Sie in der Sicherheitsrichtliniedie Tarifoption aus.To upgrade, select Pricing Tier in the Security Policy. Weitere Informationen finden Sie unter Azure Security Center Preise.See Azure Security Center pricing to learn more.

Was sind Sicherheitswarnungen?What are security alerts?

Security Center erfasst, analysiert und vereinigt automatisch Protokolldaten von Ihren Azure-Ressourcen, vom Netzwerk und von verbundenen Partnerlösungen, z.B. Lösungen zum Schutz von Firewalls und Endpunkten, um echte Bedrohungen zu erkennen und falsch positive Ergebnisse zu reduzieren.Security Center automatically collects, analyzes, and integrates log data from your Azure resources, the network, and connected partner solutions, like firewall and endpoint protection solutions, to detect real threats and reduce false positives. Eine Liste mit priorisierten Sicherheitswarnungen wird im Security Center zusammen mit den Informationen angezeigt, die Sie zum schnellen Untersuchen des Problems benötigen. Außerdem sind Empfehlungen zum Reagieren auf einen Angriff vorhanden.A list of prioritized security alerts is shown in Security Center along with the information you need to quickly investigate the problem and recommendations for how to remediate an attack.

Hinweis

Weitere Informationen zur Funktionsweise der Security Center-Erkennungsfunktionen finden Sie unter Azure Security Center-Erkennungsfunktionen.For more information about how Security Center detection capabilities work, read Azure Security Center Detection Capabilities.

Verwalten von SicherheitswarnungenManaging security alerts

Aktuelle Warnungen können Sie auf der Kachel Sicherheitswarnungen prüfen.You can review your current alerts by looking at the Security alerts tile. Gehen Sie wie folgt vor, wenn Sie weitere Details zu den einzelnen Warnungen anzeigen möchten:Follow the steps below to see more details about each alert:

  1. Auf dem Security Center-Dashboard befindet sich die Kachel Sicherheitswarnungen.On the Security Center dashboard, you see the Security alerts tile.

    Kachel „Sicherheitswarnungen“ in Security Center

  2. Klicken Sie auf die Kachel, um die Sicherheitswarnungen zu öffnen und weitere Details zu den Warnungen anzuzeigen.Click the tile to open the Security alerts to see more details about the alerts.

    Die Sicherheitswarnungen in Security Center

Im unteren Bereich dieser Seite werden Details zu den einzelnen Warnungen angezeigt.In the bottom part of this page are the details for each alert. Zum Sortieren klicken Sie auf die Spalte, nach der Sie sortieren möchten.To sort, click the column that you want to sort by. Die Spalten sind wie folgt definiert:The definition for each column is given below:

  • Beschreibung: Eine kurze Erläuterung der Warnung.Description: A brief explanation of the alert.
  • Anzahl: Eine Liste mit allen Warnungen dieses speziellen Typs, die an einem bestimmten Tag erkannt wurden.Count: A list of all alerts of this specific type that were detected on a specific day.
  • Erkannt von: Der Dienst, der die Warnung ausgelöst hat.Detected by: The service that was responsible for triggering the alert.
  • Datum: Das Datum, an dem das Ereignis aufgetreten ist.Date: The date that the event occurred.
  • Zustand: Der aktuelle Zustand für diese Warnung.State: The current state for that alert. Es gibt zwei Arten von Zuständen:There are two types of states:
    • Aktiv: Die Sicherheitswarnung wurde erkannt.Active: The security alert has been detected.
    • Verworfen: Die Sicherheitswarnung wurde vom Benutzer verworfen.Dismissed: The security alert has been dismissed by the user. Dieser Status wird üblicherweise für Warnungen verwendet, die untersucht und behoben oder als harmlos eingestuft wurden.This status is typically used for alerts that were investigated and either mitigated or found not to be an actual attack.
  • Schweregrad: Der Schweregrad („Hoch“, „Mittel“ oder „Niedrig“).Severity: The severity level, which can be high, medium or low.

Hinweis

Von Security Center generierte Sicherheitswarnungen werden auch im Azure-Aktivitätsprotokoll angezeigt.Security alerts generated by Security Center will also appear under Azure Activity Log. Weitere Informationen zum Zugreifen auf das Azure-Aktivitätsprotokoll finden Sie unter Anzeigen von Aktivitätsprotokollen, um Aktionen an Ressourcen zu überwachen.For more information about how to access Azure Activity Log, read View activity logs to audit actions on resources.

Schweregrad der WarnungAlert severity

Hinweis

Der Schweregrad der Warnung wird im Portal und in der REST-API unterschiedlich angezeigt. Die Unterschiede sind in der Liste unten angegeben.Alert severity is displayed differently in the portal and the REST API, the differences are noted in the list below.

  • Hoch: Ihre Ressource wurde mit hoher Wahrscheinlichkeit kompromittiert.High: There is a high probability that your resource is compromised. Sie sollten dies sofort überprüfen.You should look into it right away. Von Security Center werden sowohl die böswillige Absicht als auch die ermittelten Ergebnisse zur Ausgabe der Warnung als hoch eingestuft.Security Center has high confidence in both the malicious intent and in the findings used to issue the alert. Ein Beispiel hierfür ist eine Warnung, bei der die Ausführung eines bekannten schädlichen Tools wie Mimikatz erkannt wird, das häufig für den Diebstahl von Anmeldeinformationen verwendet wird.For example, an alert that detects the execution of a known malicious tool such as Mimikatz, a common tool used for credential theft.
  • Mittel („Niedrig“ in REST-API): Eine potenziell verdächtige Aktivität, die möglicherweise auf die Kompromittierung einer Ressource hindeutet.Medium (Low in the REST API): This is probably a suspicious activity that may indicate that a resource is compromised. Security Center stuft die Analyse oder die ermittelten Ergebnisse als „Mittel“ und die schädliche Absicht als „Mittel“ bis „Hoch“ ein.Security Center’s confidence in the analytic or finding is medium and the confidence of the malicious intent is medium to high. Hierbei handelt es sich normalerweise um Erkennungen, die auf maschinellem Lernen oder Anomalien basieren.These would usually be machine learning or anomaly based detections. Ein Beispiel hierfür ist ein Anmeldeversuch, der von einem ungewöhnlichen Standort aus durchgeführt wird.For example, a sign in attempt from an anomalous location.
  • Niedrig („Information“ in der REST-API): Hierbei kann es sich um ein unschädliches positives Ergebnis oder um einen blockierten Angriff handeln.Low (Information in the REST API): This might be a benign positive or a blocked attack.
    • Security Center stuft die Absicht nicht als schädlich ein, und die Aktivität ist vermutlich harmlos.Security Center is not confident enough that the intent is malicious and the activity may be innocent. Das Löschen eines Protokolls ist beispielsweise eine Aktion, die ggf. von einem Angreifer durchgeführt wird, um Spuren zu verwischen. Häufig handelt es sich aber um einen Routinevorgang eines Administrators.For example, log clear is an action that may happen when an attacker tries to hide their tracks, but in many cases is a routine operation performed by admins.
    • Security Center teilt Ihnen normalerweise nicht mit, wenn Angriffe blockiert wurden. Eine Ausnahme sind interessante Fälle, bei denen wir Ihnen raten, dass Sie sich diese ansehen.Security Center doesn’t usually tell you when attacks were blocked, unless it’s an interesting case that we suggest you look into.
  • Information („Im Hintergrund“ in der REST-API): Warnungen vom Typ „Information“ werden nur angezeigt, wenn Sie für einen Sicherheitsincident einen Drilldown ausführen oder die REST-API mit einer bestimmten Warnungs-ID verwenden.Informational (Silent in the REST API): You will only see informational alerts when you drill down into a security incident, or if you use the REST API with a specific alert ID. Ein Incident besteht normalerweise aus mehreren Warnungen, von denen einige gesondert als „Information“ angezeigt werden, die aber im Zusammenhang mit anderen Warnungen durchaus interessant sein können und untersucht werden sollten.An incident is typically made up of a number of alerts, some of which may appear on their own to be only informational, but in the context of the other alerts may be worthy of a closer look.

Filtern von WarnungenFiltering alerts

Sie können Warnungen nach Datum, Status und Schweregrad filtern.You can filter alerts based on date, state, and severity. Das Filtern von Warnungen kann nützlich für Szenarien sein, in denen Sie den Bereich der angezeigten Warnungen einschränken müssen.Filtering alerts can be useful for scenarios where you need to narrow the scope of security alerts show. Es könnte beispielsweise sein, dass Sie während der Untersuchung einer möglichen Sicherheitsverletzung im System die Sicherheitswarnungen überprüfen möchten, die in den letzten 24 Stunden aufgetreten sind.For example, you might you want to address security alerts that occurred in the last 24 hours because you are investigating a potential breach in the system.

  1. Klicken Sie unter Sicherheitswarnungen auf Filter.Click Filter on the Security Alerts. Der Filter wird geöffnet. Hier können Sie die gewünschten Werte für Datum, Zustand und Schweregrad auswählen.The Filter opens and you select the date, state, and severity values you wish to see.

    Filtern von Warnungen in Security Center

Reagieren auf SicherheitswarnungenRespond to security alerts

Wählen Sie eine Sicherheitswarnung aus, um weitere Informationen zu den Ereignissen zu erhalten, die die Warnung ausgelöst haben, sowie zu den Schritten, die Sie als Reaktion auf den Angriff ausführen müssen (falls zutreffend).Select a security alert to learn more about the event(s) that triggered the alert and what, if any, steps you need to take to remediate an attack. Sicherheitswarnungen werden nach Typ und Datum gruppiert.Security alerts are grouped by type and date. Wenn Sie auf eine Sicherheitswarnung klicken, öffnet sich eine Seite mit einer Liste der gruppierten Warnungen.Clicking a security alert opens a page containing a list of the grouped alerts.

Reagieren auf Sicherheitswarnungen in Azure Security Center

In diesem Fall bezieht sich die ausgelöste Warnung auf eine verdächtige RDP-Aktivität (Remote Desktop Protocol).In this case, the alerts that were triggered refer to suspicious Remote Desktop Protocol (RDP) activity. Die erste Spalte zeigt, welche Ressourcen angegriffen wurden. In der zweiten Spalte sehen Sie , wie häufig die Ressource angegriffen wurde. Die dritte Spalte enthält die Uhrzeit des Angriffs. Die vierte Spalte zeigt den Status der Warnung und die fünfte Spalte den Schweregrad des Angriffs.The first column shows which resources were attacked; the second shows how many times the resource was attacked; the third shows the time of the attack; the fourth shows state of the alert; and the fifth shows the severity of the attack. Klicken Sie nach dem Überprüfen dieser Informationen auf die Ressource, die angegriffen wurde.After reviewing this information, click the resource that was attacked.

Vorschläge für die Bearbeitung von Sicherheitswarnungen in Azure Security Center

Das Feld Beschreibung enthält weitere Informationen zu diesem Ereignis.In the Description field you find more details about this event. Dank dieser zusätzlichen Details erhalten Sie Informationen dazu, wodurch die Sicherheitswarnung ausgelöst wurde, sowie die Zielressource, die IP-Quelladresse (falls zutreffend) und Empfehlungen zur Lösung.These additional details offer insight into what triggered the security alert, the target resource, when applicable the source IP address, and recommendations about how to remediate. In einigen Fällen ist die IP-Quelladresse leer (nicht verfügbar), da nicht alle Windows-Sicherheitsereignisprotokolle die IP-Adresse enthalten.In some instances, the source IP address is empty (not available) because not all Windows security events logs include the IP address.

Die von Security Center vorgeschlagene Wiederherstellung variiert je nach Sicherheitshinweis.The remediation suggested by Security Center vary according to the security alert. In einigen Fällen müssen Sie möglicherweise weitere Azure-Funktionen verwenden, um die empfohlenen Lösungen zu implementieren.In some cases, you may have to use other Azure capabilities to implement the recommended remediation. Beispielsweise kann die Abhilfe für diesen Angriff darin bestehen, die IP-Adresse, die den Angriff generiert, durch eine Netzwerk-ACL oder eine Regel für die Netzwerksicherheitsgruppe auf eine Negativliste zu setzen.For example, the remediation for this attack is to blacklist the IP address that is generating this attack by using a network ACL or a network security group rule. Weitere Informationen zu den verschiedenen Arten von Warnungen finden Sie unter Sicherheitswarnungen nach Typ in Azure Security Center.For more information on the different types of alerts, read Security Alerts by Type in Azure Security Center.

Hinweis

Für Security Center wurde als eingeschränkte Vorschauversion ein neuer Satz von Erkennungen veröffentlicht, die anhand von AuditD-Datensätzen (einem allgemeinen Überwachungsframework) schädliches Verhalten auf Linux-Computern erkennen.Security Center has released to limited preview a new set of detections that leverage auditd records, a common auditing framework, to detect malicious behaviors on Linux machines. Wenn Sie die Vorschauversion ausprobieren möchten, senden Sie uns eine E-Mail mit Ihren Abonnement-IDs.Please send an email with your subscription IDs to us to join the preview.

Weitere InformationenSee also

In diesem Dokument haben Sie erfahren, wie Sie Sicherheitsrichtlinien in Security Center konfigurieren können.In this document, you learned how to configure security policies in Security Center. Weitere Informationen zu Security Center finden Sie in den folgenden Quellen:To learn more about Security Center, see the following: