Untersuchen von Defender for Identity-Sicherheitswarnungen in Microsoft Defender XDR

In diesem Artikel werden die Grundlagen der Arbeit mit Microsoft Defender for Identity-Sicherheitswarnungen in Microsoft Defender XDR erläutert.

Defender for Identity-Warnungen werden nativ in Microsoft Defender XDR mit einem dedizierten Identitätswarnungsseitenformat integriert.

Die Seite "Identitätswarnung" bietet Microsoft Defender for Identity-Kunden bessere Möglichkeiten Standard Signalanreicherung und neue funktionen für automatisierte Identitätsantworten. Dadurch wird sichergestellt, dass Sie sicher bleiben und die Effizienz Ihrer Sicherheitsvorgänge verbessern.

Einer der Vorteile der Untersuchung von Warnungen über Microsoft Defender XDR besteht darin, dass Microsoft Defender for Identity-Warnungen weiter mit Informationen korreliert werden, die von jedem der anderen Produkte in der Suite abgerufen werden. Diese erweiterten Warnungen sind mit den anderen Microsoft Defender XDR-Warnungsformaten konsistent, die von Microsoft Defender for Office 365 und Microsoft Defender for Endpunkt stammen. Die neue Seite beseitigt effektiv die Notwendigkeit, zu einem anderen Produktportal zu navigieren, um Warnungen zu untersuchen, die mit der Identität verbunden sind.

Warnungen, die von Defender for Identity stammen, können jetzt die Funktionen der automatisierten Untersuchung und Reaktion von Microsoft Defender XDR (AIR) auslösen, einschließlich der automatischen Behebung von Warnungen und der Entschärfung von Tools und Prozessen, die zur verdächtigen Aktivität beitragen können.

Wichtig

Im Rahmen der Konvergenz mit Microsoft Defender XDR haben sich einige Optionen und Details vom Standort im Defender for Identity-Portal geändert. Lesen Sie die unten aufgeführten Details, um zu erfahren, wo Sowohl die vertrauten als auch die neuen Features zu finden sind.

Anzeigen von Sicherheitswarnungen

Auf Warnungen kann von mehreren Standorten aus zugegriffen werden, einschließlich der Seite "Warnungen", der Seite "Vorfälle", der Seiten einzelner Geräte und von der Seite "Erweiterte Bedrohungssuche". In diesem Beispiel überprüfen wir die Seite "Benachrichtigungen".

Wechseln Sie in Microsoft Defender XDR zu Vorfällen und Warnungen und dann zu "Warnungen".

Um Warnungen von Defender for Identity anzuzeigen, wählen Sie oben rechts "Filter" aus, und wählen Sie dann unter Dienstquellen Microsoft Defender for Identity aus, und wählen Sie "Übernehmen" aus:

Die Warnungen werden mit Informationen in den folgenden Spalten angezeigt: Warnungsname, Tags, Schweregrad, Untersuchungsstatus, Status, Kategorie, Erkennungsquelle, betroffene Objekte, Erste Aktivität und letzte Aktivität.

Sicherheitswarnungskategorien

Defender for Identity-Sicherheitswarnungen werden in die folgenden Kategorien oder Phasen unterteilt, wie die Phasen, die in einer typischen Killchain für Cyberangriffe zu sehen sind.

• Reconnaissance-Warnungen
• Warnungen vor kompromittierten Anmeldeinformationen
• Meldungen über laterale Verschiebungen
• Warnungen zur Domänenbeherrschung
• Exfiltrationsphasenwarnungen

Verwalten von Warnungen

Wenn Sie den Warnungsnamen für eine der Warnungen auswählen, wechseln Sie zur Seite mit Details zur Warnung. Im linken Bereich wird eine Zusammenfassung der Ereignisse angezeigt:

Über dem Feld Was passiert befinden sich Schaltflächen für die Konten, den Zielhost und den Quellhost der Warnung. Bei anderen Warnungen werden möglicherweise Schaltflächen für Details zu zusätzlichen Hosts, Konten, IP-Adressen, do Standard s und Sicherheitsgruppen angezeigt. Wählen Sie eine dieser Elemente aus, um weitere Details zu den beteiligten Entitäten zu erhalten.

Im rechten Bereich werden die Warnungsdetails angezeigt. Hier können Sie weitere Details anzeigen und mehrere Aufgaben ausführen:

• Klassifizieren Sie diese Warnung – Hier können Sie diese Warnung als "True" oder "False" festlegen.

  

• Warnungszustand – In "Klassifizierung festlegen" können Sie die Warnung als "True " oder "False" klassifizieren. In "Zugewiesen an" können Sie die Benachrichtigung selbst zuweisen oder die Zuweisung aufheben.

  

• Warnungsdetails – Unter Warnungsdetails finden Sie weitere Informationen zu der spezifischen Warnung, folgen Sie einem Link zur Dokumentation über den Typ der Warnung, sehen Sie, welchem Vorfall die Warnung zugeordnet ist, überprüfen Sie alle automatisierten Untersuchungen, die mit diesem Warnungstyp verknüpft sind, und sehen Sie sich die betroffenen Geräte und Benutzer an.

  

• Kommentare und Verlauf – Hier können Sie Ihre Kommentare zur Warnung hinzufügen und den Verlauf aller Aktionen anzeigen, die der Warnung zugeordnet sind.

  

• Warnung verwalten – Wenn Sie "Warnung verwalten" auswählen, wechseln Sie zu einem Bereich, in dem Sie folgendes bearbeiten können:

  • Status : Sie können "Neu", "Aufgelöst" oder "In Bearbeitung" auswählen.

  • Klassifizierung – Sie können "True alert" oder "False alert" auswählen.

  • Kommentar : Sie können einen Kommentar zur Warnung hinzufügen.

  • Wenn Sie die drei Punkte neben " Warnung verwalten" auswählen, können Sie eine Warnung mit einem anderen Vorfall verknüpfen, eine Unterdrückungsregel erstellen (nur für Vorschaukunden verfügbar) oder Ask Defender Experts.

    

    Sie können die Warnung auch in eine Excel-Datei exportieren. Klicken Sie dazu auf Weiter.

    Hinweis

    In der Excel-Datei sind jetzt zwei Links verfügbar: Anzeigen in Microsoft Defender for Identity und View in Microsoft Defender XDR. Jeder Link bringt Sie zum relevanten Portal und stellt dort Informationen über die Warnung bereit.

Optimieren von Warnungen

Optimieren Sie Ihre Warnungen, um sie anzupassen und zu optimieren, wodurch falsch positive Ergebnisse reduziert werden. Die Warnungsoptimierung ermöglicht Es Ihren SOC-Teams, sich auf Warnungen mit hoher Priorität zu konzentrieren und die Bedrohungserkennungsabdeckung im gesamten System zu verbessern. Erstellen Sie in Microsoft Defender XDR Regelbedingungen basierend auf Nachweistypen, und wenden Sie die Regel dann auf jeden Regeltyp an, der Ihren Bedingungen entspricht.

Weitere Informationen finden Sie unter Eine Warnung optimieren.

Siehe auch

• Microsoft Defender for Cloud: Sicherheitswarnungen

Weitere Informationen

• Probieren Sie unsere interaktive Anleitung aus: Erkennen verdächtiger Aktivitäten und potenzieller Angriffe mit Microsoft Defender for Identity