Arbeiten mit SicherheitswarnungenWorking with Security Alerts

Hinweis

Die auf dieser Seite erläuterten Microsoft Defender for IdentityMicrosoft Defender for Identity-Features sind auch über das neue Portal zugänglich.The Microsoft Defender for IdentityMicrosoft Defender for Identity features explained on this page are also accessible using the new portal.

In diesem Artikel werden die Grundlagen der Arbeit mit Microsoft Defender for IdentityMicrosoft Defender for Identity-Sicherheitswarnungen erläutert.This article explains the basics of how to work with Microsoft Defender for IdentityMicrosoft Defender for Identity security alerts.

Überprüfen von Sicherheitswarnungen auf der Angriffszeitachse Review security alerts on the attack timeline

Nachdem Sie sich beim Microsoft Defender for IdentityDefender for Identity-Portal angemeldet haben, gelangen Sie automatisch zur Zeitachse für Sicherheitswarnungen.After logging in to the Microsoft Defender for IdentityDefender for Identity portal, you're automatically taken to the open Security Alerts Timeline. Sicherheitswarnungen werden in chronologischer Reihenfolge aufgeführt, wobei sich die neueste Warnung oben auf der Zeitachse befindet.Security alerts are listed in chronological order, with the newest alert on the top of the timeline.

Jede Sicherheitswarnung enthält die folgenden Informationen:Each security alert has the following information:

  • Die beteiligten Entitäten, einschließlich Benutzer, Computer, Server, Domänencontroller und RessourcenEntities involved, including users, computers, servers, domain controllers, and resources.

  • Uhrzeiten und Zeitrahmen der verdächtigen Aktivitäten, die zur Auslösung der Sicherheitswarnung geführt haben.Times and time frame of the suspicious activities which initiated the security alert.

  • Schweregrad der Warnung: Hoch, Mittel oder Niedrig.Severity of the alert: High, Medium, or Low.

  • Status: „Offen“, „Aufgelöst“ oder „Unterdrückt“.Status: Open, closed, or suppressed.

  • Möglichkeiten:Ability to:

    • Teilen der Sicherheitswarnung mit anderen Personen in Ihrer Organisation per E-Mail.Share the security alert with other people in your organization via email.
    • Herunterladen der Sicherheitswarnung im Excel-Format.Download the security alert in Excel format.

Hinweis

  • Wenn Sie mit der Maus auf einen Benutzer oder Computer zeigen, wird ein Miniprofil der Entität angezeigt.When you hover your mouse over a user or computer, a mini entity profile is displayed. Dieses enthält zusätzliche Informationen zur Entität und die Anzahl der Sicherheitswarnungen, mit denen die Entität verknüpft ist.The mini-profile provides additional information about the entity and includes the number of security alerts that the entity is linked to.
  • Durch Klicken auf eine Entität gelangen Sie zum Entitätsprofil des Benutzers oder Computers.Clicking on an entity, takes you to the entity profile of the user or computer.

Abbildung der Zeitachse der Sicherheitswarnungen von Microsoft Defender for IdentityDefender for Identity

Kategorien der SicherheitswarnungenSecurity alert categories

Microsoft Defender for IdentityDefender for Identity-Sicherheitswarnungen werden in die folgenden Kategorien bzw. Phasen unterteilt, ähnlich wie die Phasen in einer typischen „Kill Chain“ eines Cyberangriffs.Microsoft Defender for IdentityDefender for Identity security alerts are divided into the following categories or phases, like the phases seen in a typical cyber-attack kill chain.

Vorschau von Erkennungsfunktionen Preview detections

Das Microsoft Defender for IdentityDefender for Identity-Forschungsteam arbeitet kontinuierlich daran, neue Erkennungen für neu entdeckte Angriffe zu implementieren.The Microsoft Defender for IdentityDefender for Identity research team constantly works on implementing new detections for newly discovered attacks. Da es sich bei Microsoft Defender for IdentityDefender for Identity um einen Clouddienst handelt, werden neue Erkennungen schnell veröffentlicht, damit Microsoft Defender for IdentityDefender for Identity-Kunden so schnell wie möglich davon profitieren können.Because Microsoft Defender for IdentityDefender for Identity is a cloud service, new detections are released quickly to enable Microsoft Defender for IdentityDefender for Identity customers to benefit from new detections as soon as possible.

Diese Erkennungen werden als Vorschauversionen markiert, damit Sie die neuen Erkennungen schneller ermitteln können und wissen, dass sie neu für das Produkt sind.These detections are tagged with a preview badge, to help you identify the new detections and know that they are new to the product. Wenn Sie die Erkennung von Vorschauversionen deaktivieren, werden diese Versionen in der Microsoft Defender for IdentityDefender for Identity-Konsole (sowie auf der Zeitachse oder in den Entitätsprofilen) nicht mehr angezeigt, und es werden keine neuen Warnungen mehr geöffnet.If you turn off preview detections, they will not be displayed in the Microsoft Defender for IdentityDefender for Identity console - not in the timeline or in entity profiles - and new alerts won't be opened.

Erkennung von Vorschauversionen auf der Zeitachse

Die Erkennung von Vorschauversionen ist in Microsoft Defender for IdentityDefender for Identity standardmäßig aktiviert.By default, preview detections are enabled in Microsoft Defender for IdentityDefender for Identity.

Gehen Sie wie folgt vor, um die Erkennung von Vorschauversionen zu deaktivieren:To disable preview detections:

  1. Klicken Sie in der Microsoft Defender for IdentityDefender for Identity-Konsole auf Konfiguration.In the Microsoft Defender for IdentityDefender for Identity console, select Configuration.
  2. Klicken Sie im Menü auf der linken Seite unter Vorschauversion auf Erkennungen.In the left menu, under Preview, click Detections.
  3. Verwenden Sie den Schieberegler, um die Erkennungen für Vorschauversionen zu (de)aktivieren.Use the slider to turn the preview detections on and off.

Erkennungen von Vorschauversionen

Filtern der Liste der SicherheitswarnungenFilter security alerts list

So filtern Sie die Liste der Sicherheitswarnungen:To filter the security alert list:

  1. Wählen Sie auf der linken Seite des Bildschirms im Bereich Filtern nach eine der folgenden Optionen aus: Alle, Offen, Geschlossen oder Unterdrückt.In the Filter by pane on the left side of the screen, select one of the following options: All, Open, Closed, or Suppressed.

  2. Um die Liste weiter zu filtern, wählen Sie Hoch, Mittel oder Niedrig aus.To further filter the list, select High, Medium, or Low.

Schweregrad von verdächtigen AktivitätenSuspicious activity severity

  • NiedrigLow

    Weist auf Aktivitäten hin, die zu Angriffen durch böswillige Benutzer oder Software führen können, um Zugriff auf Organisationsdaten zu erlangen.Indicates activities that can lead to attacks designed for malicious users or software to gain access to organizational data.

  • MittelMedium

    Weist auf Aktivitäten hin, die für bestimmte Identitäten das Risiko schwerwiegenderer Angriffe erhöhen und zu Identitätsdiebstahl oder Berechtigungsausweitung führen können.Indicates activities that can put specific identities at risk for more severe attacks that could result in identity theft or privileged escalation

  • HochHigh

    Weist auf Aktivitäten hin, die zu Identitätsdiebstahl, Berechtigungsausweitung oder anderen Angriffen mit schwerwiegenden Auswirkungen führen können.Indicates activities that can lead to identity theft, privilege escalation, or other high-impact attacks

Verwalten von SicherheitswarnungenManaging security alerts

Sie können den Status einer Sicherheitswarnung ändern, indem Sie auf den aktuellen Status der Sicherheitswarnung klicken und eine der folgenden Optionen auswählen: Offen, Unterdrückt, Aufgelöst oder Verworfen.You can change the status of a security alert by clicking the current status of the security alert and selecting one of the following Open, Suppressed, Closed, or Deleted. Klicken Sie dafür auf die drei Punkte in der oberen rechten Ecke einer bestimmten Warnung, um die Liste der verfügbaren Aktionen anzuzeigen.To do this, click the three dots at the top right corner of a specific alert to reveal the list of available actions.

Microsoft Defender for IdentityDefender for Identity-Aktionen für Sicherheitswarnungen

SicherheitswarnungsstatusSecurity alert status

  • Offen: Alle neuen Sicherheitswarnungen werden in dieser Liste angezeigt.Open: All new security alerts appear in this list.

  • Auflösen: Wird verwendet, um Sicherheitswarnungen nachzuverfolgen, die Sie identifiziert, untersucht oder entschärft haben.Close: Is used to track security alerts that you identified, researched, and fixed for mitigated.

  • Unterdrücken: Durch das Unterdrücken einer Warnung wird diese für den Moment ignoriert. Sie erhalten erst dann wieder eine Warnung, wenn eine neue Instanz vorliegt.Suppress: Suppressing an alert means you want to ignore it for now, and only be alerted again if there's a new instance. Wenn es also eine ähnliche Warnung gibt, wird diese von Microsoft Defender for IdentityDefender for Identity nicht mehr geöffnet.This means that if there's a similar alert Microsoft Defender for IdentityDefender for Identity doesn't reopen it. Wenn die Warnung jedoch für sieben Tage angehalten wurde und anschließend erneut auftritt, wird eine neue Warnung geöffnet.But if the alert stops for seven days, and is then seen again, a new alert is opened.

  • Löschen Wenn Sie eine Warnung verwerfen, wird sie aus dem System und aus der Datenbank gelöscht und kann von Ihnen NICHT mehr wiederhergestellt werden.Delete: If you Delete an alert, it is deleted from the system, from the database and you will NOT be able to restore it. Nachdem Sie auf „Verwerfen“ geklickt haben, können Sie alle Sicherheitswarnungen für den gleichen Typ löschen.After you click delete, you'll be able to delete all security alerts of the same type.

  • Ausschließen: Die Möglichkeit, eine Entität davor zu bewahren, mehr bestimmte Warnungstypen auszugeben.Exclude: The ability to exclude an entity from raising more of a certain type of alerts. Sie können z. B. festlegen, dass Microsoft Defender for IdentityDefender for Identity eine bestimmte Entität (Benutzer oder Computer) ausschließt, sodass für einen bestimmten Aktivitätstyp keine Warnungen mehr ausgegeben werden. Beispiele hierfür sind etwa ein bestimmter Administrator, der Remotecode ausführt, oder eine Sicherheitsüberprüfung, die eine DNS-Reconnaissance durchführt.For example, you can set Microsoft Defender for IdentityDefender for Identity to exclude a specific entity (user or computer) from alerting again for a certain type of activity, such as a specific admin who runs remote code or a security scanner that does DNS reconnaissance. Zusätzlich zur Möglichkeit, Ausnahmen direkt zur Sicherheitswarnung hinzuzufügen, da sie in der Zeitleiste erkannt wurde, können Sie auch auf die Seite „Konfiguration“ zu Ausnahmen wechseln. Für jede Sicherheitswarnung können Sie so manuell ausgeschlossene Entitäten oder Subnetze hinzufügen oder entfernen (z.B. für Pass-the-Ticket).In addition to being able to add exclusions directly on the security alert as it is detected in the time line, you can also go to the Configuration page to Exclusions, and for each security alert you can manually add and remove excluded entities or subnets (for example for Pass-the-Ticket).

Hinweis

Die Konfigurationsseiten können nur von Microsoft Defender for IdentityDefender for Identity-Administratoren bearbeitet werden.The configuration pages can only be modified by Microsoft Defender for IdentityDefender for Identity admins.

Weitere InformationenSee Also