Anzeigen und Organisieren der Warnungswarteschlange für Microsoft Defender für Endpunkt

Gilt für:

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

In der Warnungswarteschlange wird eine Liste der Warnungen angezeigt, die von Geräten in Ihrem Netzwerk gekennzeichnet wurden. Standardmäßig zeigt die Warteschlange Warnungen an, die in den letzten 30 Tagen in einer gruppierten Ansicht angezeigt wurden. Die neuesten Warnungen werden oben in der Liste angezeigt, damit Sie zuerst die neuesten Warnungen sehen können.

Hinweis

Die Warnungswarteschlange wird durch automatische Untersuchung und Behebung erheblich reduziert, sodass sich Sicherheitsexperten auf komplexere Bedrohungen und andere hochwertige Initiativen konzentrieren können. Wenn eine Warnung eine unterstützte Entität für die automatisierte Untersuchung (z. B. eine Datei) auf einem Gerät enthält, für das ein betriebssystemgestütztes Betriebssystem unterstützt wird, kann eine automatisierte Untersuchung und Korrektur gestartet werden. Weitere Informationen zu automatisierten Untersuchungen finden Sie unter "Übersicht über automatisierte Untersuchungen".

Es gibt mehrere Optionen, aus denen Sie auswählen können, um die Warnungswarteschlangenansicht anzupassen.

In der oberen Navigationsleiste haben Sie folgende Möglichkeiten:

  • Gruppierte Ansicht oder Listenansicht auswählen
  • Anpassen von Spalten zum Hinzufügen oder Entfernen von Spalten
  • Auswählen der Elemente, die pro Seite angezeigt werden sollen
  • Navigieren zwischen Seiten
  • Anwenden von Filtern

Abbildung der Warnungswarteschlange.

Sortieren, Filtern und Gruppieren der Warnungswarteschlange

Sie können die folgenden Filter anwenden, um die Liste der Warnungen einzuschränken und eine stärker fokussierte Ansicht der Warnungen zu erhalten.

Severity

Warnungsschweregrad Beschreibung
Hoch
(Rot)
Warnungen, die häufig mit erweiterten dauerhaften Bedrohungen (Advanced Persistent Threats, APT) verbunden sind. Diese Warnungen weisen auf ein hohes Risiko aufgrund des Schweregrads des Schadens hin, den sie auf Geräten verursachen können. Beispiele sind: Aktivitäten zum Diebstahl von Anmeldeinformationen, Ransomware-Aktivitäten, die keiner Gruppe zugeordnet sind, Manipulationen an Sicherheitssensoren oder bösartige Aktivitäten, die auf einen menschlichen Angreifer hinweisen.
Medium
(Orange)
Warnungen von EDR Verhaltensweisen nach der Verletzung, die Teil einer erweiterten dauerhaften Bedrohung (Advanced Persistent Threat, APT) sein können. Dazu gehören beobachtete Verhaltensweisen, die typisch für Angriffsphasen sind, anomale Registrierungsänderungen, die Ausführung verdächtiger Dateien usw. Obwohl einige möglicherweise Teil der internen Sicherheitstests sind, ist eine Untersuchung erforderlich, da sie auch Teil eines erweiterten Angriffs sein kann.
Niedrig
(Gelb)
Warnungen zu Bedrohungen im Zusammenhang mit weit verbreiteter Schadsoftware. Beispielsweise Hack-Tools, Hack-Tools, die keine Schadsoftware sind, z. B. Das Ausführen von Untersuchungsbefehlen, das Löschen von Protokollen usw., die häufig nicht auf eine erweiterte Bedrohung für die Organisation hinweisen. Er kann auch aus isolierten Sicherheitstools stammen, die von einem Benutzer in Ihrer Organisation getestet wurden.
Zur Information
(Grau)
Warnungen, die möglicherweise nicht als schädlich für das Netzwerk betrachtet werden, aber das Sicherheitsbewusstsein der Organisation bei potenziellen Sicherheitsproblemen fördern können.

Grundlegendes zum Warnungsschweregrad

Microsoft Defender Antivirus (Microsoft Defender AV) und Defender für Endpunkt-Warnungsschweregrad sind unterschiedlich, da sie unterschiedliche Bereiche darstellen.

Der Microsoft Defender Antivirus Bedrohungsschweregrad stellt den absoluten Schweregrad der erkannten Bedrohung (Schadsoftware) dar und wird basierend auf dem potenziellen Risiko für das einzelne Gerät zugewiesen, wenn es infiziert ist.

Der Warnungsschweregrad von Defender für Endpunkt stellt den Schweregrad des erkannten Verhaltens dar, das tatsächliche Risiko für das Gerät, aber vor allem das potenzielle Risiko für die Organisation.

Beispiel:

  • Der Schweregrad einer Defender für Endpunkt-Warnung zu einer Microsoft Defender Antivirus erkannten Bedrohung, die vollständig verhindert wurde und das Gerät nicht infiziert hat, wird als "Informational" kategorisiert, da kein tatsächlicher Schaden aufgetreten ist.
  • Eine Warnung über eine kommerzielle Schadsoftware wurde während der Ausführung erkannt, aber von Microsoft Defender AV blockiert und behoben, wird als "Niedrig" kategorisiert, da sie möglicherweise einen Schaden am einzelnen Gerät verursacht hat, aber keine organisatorische Bedrohung darstellt.
  • Eine Warnung über Schadsoftware, die während der Ausführung erkannt wurde und eine Bedrohung nicht nur für das einzelne Gerät, sondern für die Organisation darstellen kann, unabhängig davon, ob sie schließlich blockiert wurde, kann als "Mittel" oder "Hoch" eingestuft werden.
  • Verdächtige Verhaltenswarnungen, die nicht blockiert oder behoben wurden, werden gemäß den gleichen Organisatorischen Bedrohungsaspekten als "Niedrig", "Mittel" oder "Hoch" eingestuft.

Grundlegendes zu Warnungskategorien

Wir haben die Warnungskategorien neu definiert, um sie an die Strategie für Unternehmensangriffe in der MITRE ATT&CK-Matrixanzupassen. Neue Kategorienamen gelten für alle neuen Warnungen. Vorhandene Warnungen behalten die vorherigen Kategorienamen bei.

In der folgenden Tabelle sind die aktuellen Kategorien und ihre allgemeine Zuordnung zu früheren Kategorien aufgeführt.

Neue Kategorie API-Kategoriename Erkannte Bedrohungsaktivität oder Komponente
Sammlung Sammlung Suchen und Sammeln von Daten für die Exfiltration.
Befehl und Steuerelement CommandAndControl Herstellen einer Verbindung mit der vom Angreifer gesteuerten Netzwerkinfrastruktur, um Daten weiterzuleiten oder Befehle zu empfangen.
Zugriff auf Anmeldeinformationen CredentialAccess Abrufen gültiger Anmeldeinformationen, um die Kontrolle über Geräte und andere Ressourcen im Netzwerk zu erweitern.
Abwehrmaßnahmen DefenseEvasion Vermeiden von Sicherheitskontrollen, z. B. durch Deaktivieren von Sicherheits-Apps, Löschen von Implenten und Ausführen von Rootkits.
Suche Suche Sammeln von Informationen zu wichtigen Geräten und Ressourcen, z. B. Administratorcomputern, Domänencontrollern und Dateiservern.
Ausführung Ausführung Starten von Angreifertools und bösartigem Code, einschließlich RATs und Hintertüren.
Exfiltration Exfiltration Extrahieren von Daten aus dem Netzwerk an einen externen, vom Angreifer gesteuerten Speicherort.
Nutzen Nutzen Exploit-Code und mögliche Nutzungsaktivitäten.
Anfänglicher Zugriff InitialAccess Erhalten des anfänglichen Zugriffs auf das Zielnetzwerk, in der Regel mit Kennworterraten, Exploits oder Phishing-E-Mails.
Lateralverschiebung LateralMovement Wechseln zwischen Geräten im Zielnetzwerk, um kritische Ressourcen zu erreichen oder die Netzwerkpersistenz zu erhalten.
Schadsoftware Schadsoftware Hintertüren, Trojaner und andere Arten von bösartigem Code.
Persistenz Persistenz Erstellen von AutoStart-Erweiterungspunkten (ASEPs), um aktiv zu bleiben und Systemneustarts zu überstehen.
Berechtigungseskalation PrivilegeEscalation Abrufen höherer Berechtigungsstufen für Code, indem es im Kontext eines privilegierten Prozesses oder Kontos ausgeführt wird.
Ransomware Ransomware Schadsoftware, die Dateien verschlüsselt und Zahlungen erpresst, um den Zugriff wiederherzustellen.
Verdächtige Aktivität SuspiciousActivity Atypische Aktivität, die Schadsoftwareaktivität oder Teil eines Angriffs sein kann.
Unerwünschte Software UnwantedSoftware Apps und Apps mit geringem Ruf, die sich auf die Produktivität und die Benutzererfahrung auswirken; als potenziell unerwünschte Anwendungen (PUAs) erkannt.

Status

Sie können die Liste der Warnungen basierend auf ihrem Status einschränken.

Untersuchungsstatus

Entspricht dem Status der automatischen Untersuchung.

Kategorie

Sie können die Warteschlange filtern, um bestimmte Arten von böswilligen Aktivitäten anzuzeigen.

Zugewiesen an

Sie können zwischen der Anzeige von Warnungen, die Ihnen zugewiesen sind, oder der Automatisierung wählen.

Erkennungsquelle

Wählen Sie die Quelle aus, die die Warnungserkennung ausgelöst hat. Microsoft-Bedrohungsexperten Preview-Teilnehmer können jetzt Erkennungen des neuen von Bedrohungsexperten verwalteten Suchdiensts filtern und anzeigen.

Hinweis

Der Antivirusfilter wird nur angezeigt, wenn Geräte Microsoft Defender Antivirus als Standardprodukt zum Schutz vor Antischadsoftware in Echtzeit verwenden.

Erkennungsquelle API-Wert
Sensoren von Drittanbietern ThirdPartySensors
Antivirus WindowsDefenderAv
Automatisierte Untersuchung AutomatedInvestigation
Benutzerdefinierte Erkennung CustomDetection
Benutzerdefinierte TI CustomerTI
EDR WindowsDefenderAtp
Microsoft 365 Defender MTP
Microsoft Defender für Office 365 OfficeATP
Microsoft-Bedrohungsexperten ThreatExperts
Smartscreen WindowsDefenderSmartScreen

Betriebssystemplattform

Beschränken Sie die Warnungswarteschlangenansicht, indem Sie die Betriebssystemplattform auswählen, die Sie untersuchen möchten.

Gerätegruppe

Wenn Sie bestimmte Gerätegruppen haben, die Sie überprüfen möchten, können Sie die Gruppen auswählen, um die Warnungswarteschlangenansicht einzuschränken.

Zugeordnete Bedrohung

Verwenden Sie diesen Filter, um sich auf Warnungen im Zusammenhang mit Bedrohungen mit hohem Profil zu konzentrieren. Sie können die vollständige Liste der Bedrohungen mit hohem Profil in der Bedrohungsanalyseanzeigen.