Priorisieren von Vorfällen in Microsoft 365 Defender

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.

Gilt für:

  • Microsoft 365 Defender

Microsoft 365 Defender wendet Korrelationsanalysen an und aggregiert verwandte Warnungen und automatisierte Untersuchungen von verschiedenen Produkten zu einem Vorfall. Microsoft 365 Defender löst außerdem eindeutige Warnungen zu Aktivitäten aus, die nur aufgrund der end-to-end-Sichtbarkeit in Microsoft 365 Defender für die gesamte Produktsuite als bösartig erkannt werden können. Diese Ansicht gibt Ihren Sicherheitsanalysten die umfassendere Angriffsgeschichte, die ihnen hilft, komplexe Bedrohungen in Ihrer Organisation besser zu verstehen und zu bewältigen.

In der Vorfallwarteschlange wird eine Sammlung von Vorfällen angezeigt, die geräte-, benutzer- und postfachübergreifend erstellt wurden. Es hilft Ihnen, Vorfälle zu sortieren, um eine fundierte Entscheidung zur Reaktion auf die Cybersicherheit zu priorisieren und zu erstellen, ein Prozess, der als Vorfalltriage bezeichnet wird.

Auf der Schnellstartleiste des Microsoft 365 Defender-Portals gelangen Sie über Vorfälle & Warnungen > Vorfälle zur Vorfallwarteschlange. Im Folgenden sehen Sie ein Beispiel.

Der Abschnitt "Vorfall" mit der Vorfallwarteschlange im Microsoft 365 Defender Portal.

Der Abschnitt " Letzte Vorfälle und Warnungen " zeigt ein Diagramm der Anzahl der empfangenen Warnungen und Vorfälle, die in den letzten 24 Stunden erstellt wurden.

Standardmäßig zeigt die Vorfallwarteschlange im Microsoft 365 Defender Portal Vorfälle an, die in den letzten sechs Monaten aufgetreten sind. Der letzte Vorfall steht ganz oben in der Liste, sodass Sie ihn zuerst sehen können.

Die Vorfallwarteschlange verfügt über anpassbare Spalten (wählen Sie Spalten auswählen), die Ihnen Einblicke in verschiedene Merkmale des Vorfalls oder der betroffenen Entitäten geben. Dies hilft Ihnen, eine fundierte Entscheidung über die Priorisierung von Vorfällen für die Analyse zu treffen.

Für eine zusätzliche Sichtbarkeit auf einen Blick generiert die automatische Vorfallbenennung Vorfallnamen basierend auf Warnungsattributen wie der Anzahl der betroffenen Endpunkte, betroffenen Benutzer, Erkennungsquellen oder Kategorien. Auf diese Weise können Sie sich schnell ein Bild vom Umfang des Vorfalls machen.

Beispiel: Mehrstufiger Vorfall an mehreren Endpunkten, die von mehreren Quellen gemeldet wurden.

Hinweis

Bei Vorfällen, die vor dem Rollout der automatischen Benennung von Vorfällen aufgetreten sind, wird ihr Name nicht geändert.

Die Vorfallswarteschlange bietet auch mehrere Filteroptionen, mit denen Sie bei Anwendung eine umfassende Übersicht über alle vorhandenen Vorfälle in Ihrer Umgebung durchführen oder sich auf ein bestimmtes Szenario oder eine bestimmte Bedrohung konzentrieren können. Durch Anwenden von Filtern in der Vorfallswarteschlange können Sie ermitteln, welcher Vorfall sofort beachtet werden muss.

In der Liste "Filter " oberhalb der Liste der Vorfälle werden die derzeit angewendeten Filter angezeigt.

Verfügbare Filter

In der Standardvorfallwarteschlange können Sie "Filtern " auswählen, um einen Filterbereich anzuzeigen, in dem Sie einen gefilterten Satz von Vorfällen angeben. Im Folgenden sehen Sie ein Beispiel.

Der Bereich "Filter" für die Vorfallwarteschlange im Microsoft 365 Defender Portal.

Sie können auch den Filterbereich anzeigen, indem Sie einen der Filter in der Filterliste oberhalb der Liste der Vorfälle auswählen.

In dieser Tabelle sind die verfügbaren Filternamen aufgeführt.

Filtername Beschreibung
Status Wählen Sie "Neu", " In Bearbeitung" oder " Aufgelöst" aus.
Severity Der Schweregrad eines Vorfalls ist ein Indikator für die Auswirkungen, die er auf Ihre Ressourcen haben kann. Je höher der Schweregrad, desto größer der Aufprall und erfordert in der Regel die unmittelbarste Aufmerksamkeit. Wählen Sie "Hoch", " Mittel", "Niedrig" oder "Informal" aus.
Zuweisung von Vorfällen Wählen Sie den oder die zugewiesenen Benutzer aus.
Mehrere Dienstquellen Geben Sie an, ob der Filter für mehrere Dienstquellen bestimmt ist.
Dienstquellen Angeben von Vorfällen, die Warnungen enthalten von: App-Governance, Microsoft 365 Defender, Microsoft Defender für Office 365, Microsoft Defender für Endpunkt, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps.
Tags Wählen Sie einen oder mehrere Tagnamen aus der Liste aus.
Mehrere Kategorien Geben Sie an, ob der Filter für mehrere Kategorien gilt.
Kategorien Wählen Sie Kategorien aus, um sich auf bestimmte Taktiken, Techniken oder Angriffskomponenten zu konzentrieren.
Entitäten Geben Sie den Namen einer Ressource an, z. B. einen Benutzer, ein Gerät, ein Postfach oder einen Anwendungsnamen.
Vertraulichkeit der Daten Bei einigen Angriffen liegt der Schwerpunkt auf dem Exfiltrieren von vertraulichen oder wertvollen Daten. Durch Anwenden eines Filters für bestimmte Vertraulichkeitsbezeichnungen können Sie schnell ermitteln, ob vertrauliche Informationen potenziell kompromittiert wurden, und die Behandlung dieser Vorfälle priorisieren.

Dieser Filter zeigt Informationen nur an, wenn Sie Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection angewendet haben.
Gerätegruppen Geben Sie einen Gerätegruppennamen an.
Betriebssystemplattform Geben Sie Gerätebetriebssysteme an.
Klassifizierung Geben Sie den Satz von Klassifizierungen der zugehörigen Warnungen an.
Automatisierter Untersuchungsstatus Geben Sie den Status der automatisierten Untersuchung an.
Zugeordnete Bedrohung Geben Sie eine benannte Bedrohung an.
Actors Geben Sie einen benannten Bedrohungsakteur an.

Der Standardfilter besteht darin, alle Warnungen und Vorfälle mit dem Status "Neu " und " In Bearbeitung " mit dem Schweregrad "Niedrig", " Mittel" oder " Hoch" anzuzeigen.

Sie können einen Filter schnell entfernen, indem Sie das X im Namen eines Filters in der Filterliste auswählen.

Speichern benutzerdefinierter Filter als URLs

Nachdem Sie einen nützlichen Filter in der Vorfallswarteschlange konfiguriert haben, können Sie die URL der Browserregisterkarte mit einem Lesezeichen versehen oder anderweitig als Link auf einer Webseite, einem Word-Dokument oder einem Ort Ihrer Wahl speichern. Dadurch erhalten Sie mit einem Klick Zugriff auf wichtige Ansichten der Vorfallswarteschlange, z. B.:

  • Neue Vorfälle
  • Vorfälle mit hohem Schweregrad
  • Nicht zugewiesene Vorfälle
  • Vorfälle mit hohem Schweregrad, nicht zugewiesen
  • Mir zugewiesene Vorfälle
  • Mir und für Microsoft Defender für Endpunkt zugewiesene Vorfälle
  • Vorfälle mit einem bestimmten Tag oder tags
  • Vorfälle mit einer bestimmten Bedrohungskategorie
  • Vorfälle mit einer bestimmten zugeordneten Bedrohung
  • Vorfälle mit einem bestimmten Akteur

Nachdem Sie Ihre Liste nützlicher Filteransichten als URLs kompiliert und gespeichert haben, können Sie sie verwenden, um die Vorfälle in Ihrer Warteschlange schnell zu verarbeiten und zu priorisieren und für die nachfolgende Zuordnung und Analyse zu verwalten .

Suchen nach Vorfällen

Im Feld "Nach Namen oder ID suchen " oberhalb der Liste der Vorfälle können Sie die Vorfall-ID oder den Vorfallnamen eingeben. Wenn Sie einen Vorfall aus der Liste der Suchergebnisse auswählen, öffnet das Microsoft 365 Defender Portal eine neue Registerkarte mit den Eigenschaften des Vorfalls, über die Sie Ihre Untersuchung starten können.

Suchen nach betroffenen Ressourcen

Sie können eine Ressource— als Benutzer, Gerät, Postfach oder Anwendungsname— benennen und alle zugehörigen Vorfälle finden.

Angeben eines Zeitraums

Die Standardliste der Vorfälle gilt für Vorfälle, die in den letzten sechs Monaten aufgetreten sind. Sie können einen neuen Zeitbereich aus dem Dropdownfeld neben dem Kalendersymbol angeben, indem Sie Folgendes auswählen:

  • 1 Tag
  • 3 Tage
  • 1 Woche
  • 30 Tage
  • 30 Tage
  • 6 Monate
  • Ein benutzerdefinierter Bereich, in dem Sie Datums- und Uhrzeitangaben angeben können

Nächste Schritte

Nachdem Sie festgestellt haben, welcher Vorfall die höchste Priorität erfordert, wählen Sie ihn aus und:

  • Verwalten Sie die Eigenschaften des Vorfalls für Tags, Zuordnung, sofortige Lösung für falsch positive Vorfälle und Kommentare.
  • Beginnen Sie Ihre Untersuchungen.

Siehe auch