Reaktion auf Vorfälle mit Microsoft 365 Defender
Hinweis
Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.
Gilt für:
- Microsoft 365 Defender
Ein Vorfall in Microsoft 365 Defender ist eine Sammlung korrelierter Warnungen und zugehöriger Daten, die die Geschichte eines Angriffs ausmachen.
Microsoft 365-Dienste und -Anwendungen erstellen Warnungen, wenn sie ein verdächtiges oder bösartiges Ereignis oder eine Aktivität erkennen. Einzelne Warnungen bieten wertvolle Hinweise zu einem abgeschlossenen oder laufenden Angriff. Angriffe wenden jedoch in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten an, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind mehrere Warnungen für mehrere Entitäten in Ihrem Mandanten.
Da es schwierig und zeitaufwändig sein kann, die einzelnen Warnungen zusammenzufassen, um Erkenntnisse zu einem Angriff zu erhalten, fasst Microsoft 365 Defender die Warnungen und die damit verbundenen Informationen automatisch zu einem Vorfall zusammen.
Sehen Sie sich diese kurze Übersicht über Vorfälle in Microsoft 365 Defender (4 Minuten) an.
Das Gruppieren von verwandten Warnungen in einem Vorfall gibt Sie einen umfassenden Überblick über einen Angriff. Sie können beispielsweise Folgendes sehen:
- Wo der Angriff begonnen hat.
- Welche Taktiken verwendet wurden.
- Wie weit der Angriff Ihren Mandanten gelangt ist.
- Den Umfang des Angriffs, z. B. wie viele Geräte, Benutzer und Postfächer betroffen waren.
- Alle Daten, die dem Angriff zugeordnet sind.
Wenn diese Option aktiviert ist, können Microsoft 365 Defender Warnungen automatisch durch Automatisierung und künstliche Intelligenz untersuchen und beheben. Sie können auch zusätzliche Korrekturschritte ausführen, um den Angriff zu beheben.
Vorfälle und Warnungen im Microsoft 365 Defender Portal
Sie verwalten Vorfälle aus Vorfällen & Warnungen > Vorfälle auf der Schnellstartleiste des Microsoft 365 Defender-Portals. Im Folgenden sehen Sie ein Beispiel.
Wenn Sie einen Vorfallnamen auswählen, wird eine Zusammenfassung des Vorfalls angezeigt und der Zugriff auf Registerkarten mit zusätzlichen Informationen ermöglicht. Im Folgenden sehen Sie ein Beispiel.
Die zusätzlichen Registerkarten für einen Vorfall sind:
Warnungen
Alle Warnungen im Zusammenhang mit dem Vorfall und deren Informationen.
Geräte
Alle Geräte, die als Teil des Vorfalls oder im Zusammenhang mit dem Vorfall identifiziert wurden.
Benutzer
Alle Benutzer, die als Teil des Vorfalls oder im Zusammenhang mit dem Vorfall identifiziert wurden.
Postfächer
Alle Postfächer, die als Teil des Vorfalls oder im Zusammenhang mit dem Vorfall identifiziert wurden.
Untersuchungen
Alle automatisierten Untersuchungen , die durch Warnungen im Vorfall ausgelöst werden.
Nachweis und Reaktion
Alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen des Vorfalls.
Graph (Vorschau)
Eine visuelle Darstellung des Angriffs, die die verschiedenen verdächtigen Entitäten, die Teil des Angriffs sind, mit ihren verwandten Ressourcen wie Benutzern, Geräten und Postfächern verbindet.
Hier ist die Beziehung zwischen einem Vorfall und seinen Daten und den Registerkarten eines Vorfalls im Microsoft 365 Defender Portal.
Beispielworkflow zur Reaktion auf Vorfälle für Microsoft 365 Defender
Hier ist ein Beispielworkflow zum Reagieren auf Vorfälle in Microsoft 365 mit dem Microsoft 365 Defender Portal.
Identifizieren Sie fortlaufend die Vorfälle mit der höchsten Priorität für die Analyse und Lösung in der Vorfallswarteschlange, und bereiten Sie sie auf Reaktionen vor. Dies ist eine Kombination aus:
- Triagieren zur Ermittlung der Vorfälle mit der höchsten Priorität durch Filtern und Sortieren der Vorfallswarteschlange.
- Verwalten von Vorfällen durch Ändern ihres Titels, Zuweisen zu einem Analysten und Hinzufügen von Tags und Kommentaren.
Ziehen Sie die folgenden Schritte für Ihren eigenen Vorfallreaktionsworkflow in Betracht:
Beginnen Sie für jeden Vorfall eine Angriffs- und Warnungsuntersuchung und -analyse:
Zeigen Sie die Zusammenfassung des Vorfalls an, um den Umfang und Schweregrad sowie die betroffenen Entitäten mit den Registerkarten "Zusammenfassung" und "Graph (Vorschau)" zu verstehen.
Beginnen Sie mit der Analyse der Warnungen, um deren Ursprung, Umfang und Schweregrad mit der Registerkarte "Warnungen " zu verstehen.
Sammeln Sie bei Bedarf Informationen zu betroffenen Geräten, Benutzern und Postfächern mit den Registerkarten "Geräte", "Benutzer" und " Postfächer ".
Auf der Registerkarte "Untersuchungen" erfahren Sie, wie Microsoft 365 Defender einige Warnungen automatisch behoben hat.
Verwenden Sie nach Bedarf Informationen im Dataset für den Vorfall, um weitere Informationen über die Registerkarte " Nachweise und Reaktion" zu erfahren.
Führen Sie nach oder während Ihrer Analyse eine Eindämmung durch, um die zusätzlichen Auswirkungen des Angriffs zu verringern und die Sicherheitsrisiken zu beseitigen.
Stellen Sie nach dem Angriff so viel wie möglich wieder her, indem Sie Ihre Mandantenressourcen in den Zustand wiederherstellen, in dem sie sich vor dem Vorfall befanden.
Beheben Sie den Vorfall, und nehmen Sie sich Zeit, bis Sie nach dem Vorfall Folgendes gelernt haben:
- Verstehen sie den Typ des Angriffs und seine Auswirkungen.
- Recherchieren Sie den Angriff in Threat Analytics und der Sicherheitscommunity nach einem Sicherheitsangriffstrend.
- Erinnern Sie sich an den Workflow, den Sie verwendet haben, um den Vorfall zu beheben und aktualisieren Sie Ihre standardmäßigen Workflows, Prozesse, Richtlinien und Playbooks bei Bedarf.
- Ermitteln Sie, ob Änderungen in Ihrer Sicherheitskonfiguration erforderlich sind, und implementieren Sie sie.
Wenn Sie mit der Sicherheitsanalyse noch nicht fertig sind, lesen Sie die Einführung in die Reaktion auf Ihren ersten Vorfall , um weitere Informationen zu erhalten und einen Beispielvorfall zu durchlaufen.
Weitere Informationen zur Reaktion auf Vorfälle in microsoft-Produkten finden Sie in diesem Artikel.
Beispiel für Sicherheitsvorgänge für Microsoft 365 Defender
Hier ist ein Beispiel für Sicherheitsvorgänge (SecOps) für Microsoft 365 Defender.
Tägliche Aufgaben können Folgendes umfassen:
- Verwalten von Vorfällen
- Überprüfen von Air-Aktionen (Automated Investigation and Response) im Info-Center
- Überprüfen der neuesten Bedrohungsanalyse
- Reaktion auf Vorfälle
Monatliche Aufgaben können Folgendes umfassen:
- Überprüfen der AIR-Einstellungen
- Überprüfen von Sicherheitsbewertung und Bedrohungs- & Sicherheitsrisikomanagement
- Berichterstellung für Ihre IT-Sicherheitsverwaltungskette
Vierteljährliche Aufgaben können einen Bericht und eine Unterrichtung der Sicherheitsergebnisse an den Chief Information Security Officer (CISO) umfassen.
Zu den jährlichen Aufgaben kann die Durchführung eines größeren Vorfalls oder einer Verletzung gehören, um Ihre Mitarbeiter, Systeme und Prozesse zu testen.
Tägliche, monatliche, vierteljährliche und jährliche Aufgaben können verwendet werden, um Prozesse, Richtlinien und Sicherheitskonfigurationen zu aktualisieren oder zu verfeinern.
Weitere Informationen finden Sie unter Integrieren von Microsoft 365 Defender in Ihre Sicherheitsvorgänge.
SecOps-Ressourcen in allen Microsoft-Produkten
Weitere Informationen zu SecOps in allen Microsoft-Produkten finden Sie in den folgenden Ressourcen:
Abrufen von Vorfallbenachrichtigungen per E-Mail
Sie können Microsoft 365 Defender einrichten, um Ihre Mitarbeiter per E-Mail über neue Vorfälle oder Aktualisierungen vorhandener Vorfälle zu informieren. Sie können Benachrichtigungen basierend auf folgendem Abrufen auswählen:
- Schweregrad des Vorfalls.
- Gerätegruppe.
- Nur beim ersten Update pro Vorfall.
Die E-Mail-Benachrichtigung enthält wichtige Details zum Vorfall, z. B. den Vorfallnamen, den Schweregrad und Kategorien. Sie können auch direkt zum Vorfall wechseln und Ihre Analyse sofort starten. Weitere Informationen finden Sie unter Untersuchen von Vorfällen.
Sie können Empfänger in den E-Mail-Benachrichtigungen hinzufügen oder entfernen. Neue Empfänger werden über Vorfälle benachrichtigt, nachdem sie hinzugefügt wurden.
Hinweis
Sie benötigen die Berechtigung " Sicherheitseinstellungen verwalten ", um E-Mail-Benachrichtigungseinstellungen zu konfigurieren. Wenn Sie sich für die Verwendung der grundlegenden Berechtigungsverwaltung entschieden haben, können Benutzer mit den Rollen "Sicherheitsadministrator" oder "Globaler Administrator" E-Mail-Benachrichtigungen konfigurieren.
Ebenso können Sie, wenn Ihre Organisation die rollenbasierte Zugriffssteuerung (RBAC) verwendet, nur Benachrichtigungen basierend auf Gerätegruppen erstellen, bearbeiten, löschen und empfangen, die Sie verwalten dürfen.
Erstellen einer Regel für E-Mail-Benachrichtigungen
Führen Sie die diese Schritte aus, um eine neue Regel zu erstellen und E-Mail-Benachrichtigungseinstellungen anzupassen.
Wählen Sie im Navigationsbereich Einstellungen > Microsoft 365 Defender > Vorfall-E-Mail-Benachrichtigungen aus.
Wählen Sie "Element hinzufügen" aus.
Geben Sie auf der Seite "Grundlagen " den Regelnamen und eine Beschreibung ein, und wählen Sie dann "Weiter" aus.
Konfigurieren Sie auf der Seite "Benachrichtigungseinstellungen " Folgendes:
- Benachrichtigungsschweregrad – Wählen Sie den Benachrichtigungsschweregrad aus, der eine Vorfallbenachrichtigung auslösen wird. Wenn Sie beispielsweise nur über Vorfälle mit hohem Schweregrad informiert werden möchten, wählen Sie " Hoch" aus.
- Gerätegruppenbereich – Sie können alle Gerätegruppen angeben, oder aus der Liste der Gerätegruppen in Ihrem Mandanten auswählen.
- Benachrichtigung nur beim ersten Auftreten pro Vorfall – Wählen Sie dies aus, wenn Sie eine Benachrichtigung nur für die erste Benachrichtigung wünschen, die Ihrer anderen Auswahl entspricht. Spätere Aktualisierungen oder Benachrichtigungen im Zusammenhang mit dem Vorfall werden keine zusätzlichen Benachrichtigungen senden.
- Organisationsnamens in der E-Mail einschließen – Wählen Sie dies aus, wenn Sie wollen, dass der Name Ihrer Organisation in der E-Mail-Benachrichtigung angezeigt wird.
- Mandantenspezifischen Portallink einschließen – Wählen Sie dies aus, wenn Sie einen Link mit der Mandanten-ID in der E-Mail-Benachrichtigung für den Zugriff auf einen bestimmten Microsoft 365-Mandanten hinzufügen wollen.
Wählen Sie Weiter aus. Fügen Sie auf der Seite "Empfänger " die E-Mail-Adressen hinzu, die die Vorfallbenachrichtigungen erhalten. Wählen Sie "Hinzufügen" aus, nachdem Sie jede neue E-Mail-Adresse eingegeben haben. Um Benachrichtigungen zu testen und sicherzustellen, dass die Empfänger sie in den Posteingängen erhalten, wählen Sie "Test-E-Mail senden" aus.
Wählen Sie Weiter aus. Überprüfen Sie auf der Seite "Regel überprüfen " die Einstellungen der Regel, und wählen Sie dann " Regel erstellen" aus. Empfänger erhalten basierend auf den Einstellungen Benachrichtigungen über Vorfälle per E-Mail.
Um eine vorhandene Regel zu bearbeiten, wählen Sie sie aus der Liste der Regeln aus. Wählen Sie im Bereich mit dem Regelnamen "Regel bearbeiten" aus, und nehmen Sie ihre Änderungen auf den Seiten "Grundlagen", "Benachrichtigungseinstellungen" und "Empfänger" vor.
Um eine Regel zu löschen, wählen Sie sie aus der Liste der Regeln aus. Wählen Sie im Bereich mit dem Regelnamen " Löschen" aus.
Schulung für Sicherheitsanalysten
Verwenden Sie dieses Lernmodul von Microsoft Learn, um zu verstehen, wie Sie Microsoft 365 Defender verwenden, um Vorfälle und Warnungen zu verwalten.
Schulung: | Untersuchen von Vorfällen mit Microsoft 365 Defender |
---|---|
Microsoft 365 Defender vereint Bedrohungsdaten aus mehreren Diensten und verwendet KI, um sie in Vorfällen und Warnungen zu kombinieren. Erfahren Sie, wie Sie die Zeit zwischen einem Vorfall und seiner Bearbeitung für die nachfolgende Reaktion und Lösung minimieren. 27 min - 6 Einheiten |
Nächste Schritte
Führen Sie die aufgeführten Schritte basierend auf Ihrer Erfahrungsstufe oder Rolle in Ihrem Sicherheitsteam aus.
Erfahrungsebene
Folgen Sie dieser Tabelle, um Ihren Erfahrungsgrad mit Sicherheitsanalysen und Reaktionen auf Vorfälle zu erhalten.
Ebene | Schritte |
---|---|
New |
|
Erfahrenen |
|
Sicherheitsteamrolle
Folgen Sie dieser Tabelle basierend auf Ihrer Sicherheitsteamrolle.
Rolle | Schritte |
---|---|
Vorfallantworter (Stufe 1) | Erste Schritte mit der Vorfallwarteschlange auf der Seite "Vorfälle" des Microsoft 365 Defender Portals. Von hier aus können Sie folgende Aktionen ausführen:
|
Sicherheitsermittler oder Analyst (Stufe 2) |
|
Advanced Security Analyst oder Threat Hunter (Stufe 3) |
|
SOC-Manager | Erfahren Sie, wie Sie Microsoft 365 Defender in Ihr Security Operations Center (SOC) integrieren. |