Reaktion auf Vorfälle mit Microsoft 365 Defender

Wichtig

Das verbesserte Microsoft 365 Defender-Portal ist jetzt verfügbar. Diese neue Erfahrung bringt Defender für Endpunkt, Defender für Office 365, Microsoft 365 Defender und mehr in das Microsoft 365 Defender Portal. Erfahren Sie, was es Neues gibt.

Gilt für:

  • Microsoft 365 Defender

Möchten Sie Microsoft 365 Defender erleben? Sie können in einer Laborumgebung auswerten oder Ihr Pilotprojekt in der Produktionsumgebung ausführen.

Ein Vorfall in Microsoft 365 Defender ist eine Sammlung korrelierter Warnungen und zugehöriger Daten, die die Geschichte eines Angriffs bilden.

Microsoft 365-Dienste und -Anwendungen erstellen Warnungen, wenn sie ein verdächtiges oder bösartiges Ereignis oder eine Aktivität erkennen. Einzelne Warnungen bieten wertvolle Hinweise zu einem abgeschlossenen oder laufenden Angriff. Angriffe wenden jedoch in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten an, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind mehrere Warnungen für mehrere Entitäten in Ihrem Mandanten.

Da es schwierig und zeitaufwändig sein kann, die einzelnen Warnungen zusammenzufassen, um Erkenntnisse zu einem Angriff zu erhalten, fasst Microsoft 365 Defender die Warnungen und die damit verbundenen Informationen automatisch zu einem Vorfall zusammen.

Wie Microsoft 365 Defender Ereignisse von Entitäten in einen Vorfall korreliert.

Sehen Sie sich diese kurze Übersicht über Vorfälle in Microsoft 365 Defender (4 Minuten) an.


Das Gruppieren von verwandten Warnungen in einem Vorfall gibt Sie einen umfassenden Überblick über einen Angriff. Sie können beispielsweise Folgendes sehen:

  • Wo der Angriff begonnen hat.
  • Welche Taktiken verwendet wurden.
  • Wie weit der Angriff Ihren Mandanten gelangt ist.
  • Den Umfang des Angriffs, z. B. wie viele Geräte, Benutzer und Postfächer betroffen waren.
  • Alle Daten, die dem Angriff zugeordnet sind.

Wenn diese Option aktiviertist, können Microsoft 365 Defender Warnungen durch Automatisierung und künstliche Intelligenz automatisch untersuchen und beheben. Sie können auch zusätzliche Korrekturschritte ausführen, um den Angriff zu beheben.

Vorfälle und Warnungen im Microsoft 365 Defender-Portal

Sie verwalten Vorfälle aus Vorfällen & Warnungen > Vorfällen im Schnellstart des Microsoft 365 Defender-Portals (security.microsoft.com). Im Folgenden sehen Sie ein Beispiel.

Die Seite "Vorfälle" im Microsoft 365 Defender Portal.

Wenn Sie einen Vorfallnamen auswählen, wird eine Zusammenfassung des Vorfalls angezeigt und der Zugriff auf Registerkarten mit zusätzlichen Informationen ermöglicht.

Beispiel für die Seite "Zusammenfassung" für einen Vorfall im portal Microsoft 365 Defender

Die zusätzlichen Registerkarten für einen Vorfall sind:

  • Warnungen

    Alle Warnungen im Zusammenhang mit dem Vorfall und deren Informationen.

  • Geräte

    Alle Geräte, die als Teil des Vorfalls oder im Zusammenhang mit dem Vorfall identifiziert wurden.

  • Benutzer

    Alle Benutzer, die als Teil des Vorfalls oder im Zusammenhang mit dem Vorfall identifiziert wurden.

  • Postfächer

    Alle Postfächer, die als Teil des Vorfalls oder im Zusammenhang mit dem Vorfall identifiziert wurden.

  • Untersuchungen

    Alle automatisierten Untersuchungen, die durch Warnungen im Vorfall ausgelöst wurden.

  • Nachweise und Antworten

    Alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen des Vorfalls.

  • Graph (Vorschau)

    Eine visuelle Darstellung des Angriffs, die die verschiedenen verdächtigen Entitäten, die Teil des Angriffs sind, mit ihren verwandten Ressourcen wie Benutzern, Geräten und Postfächern verbindet.

Hier sehen Sie die Beziehung zwischen einem Vorfall und seinen Daten sowie die Registerkarten eines Vorfalls im portal Microsoft 365 Defender.

Die Beziehung eines Vorfalls und seiner Daten zu den Registerkarten eines Vorfalls im Microsoft 365 Defender Portal.

Beispielworkflow für die Reaktion auf Vorfälle für Microsoft 365 Defender

Hier ist ein Beispielworkflow für die Reaktion auf Vorfälle in Microsoft 365 mit dem Microsoft 365 Defender-Portal.

Beispiel für einen Vorfallreaktionsworkflow für Microsoft 365.

Identifizieren Sie fortlaufend die Vorfälle mit der höchsten Priorität für die Analyse und Lösung in der Vorfallswarteschlange, und bereiten Sie sie auf Reaktionen vor. Dies ist eine Kombination aus:

  • Ermittlung der Vorfälle mit der höchsten Priorität durch Filtern und Sortieren der Vorfallswarteschlange.
  • Verwalten von Vorfällen durch Ändern ihres Titels, Zuweisen zu einem Analysten und Hinzufügen von Tags und Kommentaren.
  1. Beginnen Sie für jeden Vorfall mit einer Untersuchung und Analyse von Angriffen und Warnungen:

    1. Sehen Sie sich die Zusammenfassung des Vorfalls an, um den Umfang und den Schweregrad des Vorfalls zu verstehen und zu verstehen, welche Entitäten betroffen sind, mit den Registerkarten "Zusammenfassung" und "Graph (Vorschau)."

    2. Beginnen Sie mit der Analyse der Warnungen, um deren Ursprung, Umfang und Schweregrad mit der Registerkarte "Warnungen" zu verstehen.

    3. Sammeln Sie bei Bedarf Informationen zu betroffenen Geräten, Benutzern und Postfächern mit den Registerkarten "Geräte", "Benutzer" und "Postfächer".

    4. Erfahren Sie, wie Microsoft 365 Defender einige Warnungen mit der Registerkarte "Untersuchungen" automatisch aufgelöst hat.

    5. Verwenden Sie bei Bedarf Informationen im Datensatz für den Vorfall, um weitere Informationen mit der Registerkarte "Nachweise und Reaktion" zu erhalten.

  2. Führen Sie nach oder während Ihrer Analyse eine Eindämmung durch, um die zusätzlichen Auswirkungen des Angriffs zu verringern und die Sicherheitsrisiken zu beseitigen.

  3. Stellen Sie nach dem Angriff so viel wie möglich wieder her, indem Sie Ihre Mandantenressourcen in den Zustand wiederherstellen, in dem sie sich vor dem Vorfall befanden.

  4. Beheben Sie den Vorfall, und nehmen Sie sich Zeit, um nach dem Vorfall zu lernen:

    • Verstehen sie den Typ des Angriffs und seine Auswirkungen.
    • Untersuchen Sie den Angriff in Threat Analytics und die Sicherheitscommunity nach einem Trend bei Sicherheitsangriffen.
    • Erinnern Sie sich an den Workflow, den Sie verwendet haben, um den Vorfall zu beheben und aktualisieren Sie Ihre standardmäßigen Workflows, Prozesse, Richtlinien und Playbooks bei Bedarf.
    • Ermitteln Sie, ob Änderungen in Ihrer Sicherheitskonfiguration erforderlich sind, und implementieren Sie sie.

Wenn Sie noch keine Informationen zur Sicherheitsanalyse haben, lesen Sie die Einführung in die Reaktion auf Ihren ersten Vorfall, um weitere Informationen zu erhalten und einen Beispielvorfall durchzugehen.

Weitere Informationen zur Behandlung von Sicherheitsvorfällen in Microsoft-Produkten finden Sie in diesem Artikel.

Beispielsicherheitsvorgänge für Microsoft 365 Defender

Hier ist ein Beispiel für Sicherheitsvorgänge (SecOps) für Microsoft 365 Defender.

Ein Beispiel für Sicherheitsvorgänge für Microsoft 365 Defender.

Tägliche Aufgaben können Folgendes umfassen:

Monatliche Aufgaben können Folgendes umfassen:

Vierteljährliche Aufgaben können einen Bericht und ein Briefing der Sicherheitsergebnisse an den Chief Information Security Officer (CISO) umfassen.

Jährliche Aufgaben können die Durchführung eines größeren Vorfalls oder einer Verletzungsübung umfassen, um Ihre Mitarbeiter, Systeme und Prozesse zu testen.

Tägliche, monatliche, vierteljährliche und jährliche Aufgaben können verwendet werden, um Prozesse, Richtlinien und Sicherheitskonfigurationen zu aktualisieren oder zu verfeinern.

Weitere Informationen finden Sie unter Integrieren von Microsoft 365 Defender in Ihre Sicherheitsvorgänge.

SecOps-Ressourcen in microsoftweiten Produkten

Weitere Informationen zu SecOps in allen Microsoft-Produkten finden Sie in den folgenden Ressourcen:

Abrufen von Vorfallbenachrichtigungen per E-Mail

Sie können Microsoft 365 Defender einrichten, um Ihre Mitarbeiter per E-Mail über neue Vorfälle oder Aktualisierungen vorhandener Vorfälle zu informieren. Sie können Benachrichtigungen basierend auf Folgenden abrufen:

  • Schweregrad des Vorfalls.
  • Gerätegruppe.
  • Nur beim ersten Update pro Vorfall.

Die E-Mail-Benachrichtigung enthält wichtige Details zu dem Vorfall, wie z. B. den Namen, den Schweregrad und die Kategorien des Vorfalls. Sie können auch direkt zu dem Vorfall wechseln und Ihre Analyse sofort starten. Weitere Informationen finden Sie unter Untersuchen von Vorfällen.

Sie können Empfänger in den E-Mail-Benachrichtigungen hinzufügen oder entfernen. Neue Empfänger werden über Vorfälle benachrichtigt, nachdem sie hinzugefügt wurden.

Hinweis

Sie benötigen die Berechtigung "Sicherheitseinstellungen verwalten", um E-Mail-Benachrichtigungseinstellungen zu konfigurieren. Wenn Sie die grundlegende Berechtigungsverwaltung verwendet haben, können Benutzer mit Sicherheitsadministrator- oder globalen Administratorrollen E-Mail-Benachrichtigungen für Sie konfigurieren.

Ebenso können Sie, wenn Ihre Organisation die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verwendet, Benachrichtigungen nur basierend auf Gerätegruppen erstellen, bearbeiten, löschen und empfangen, die Sie verwalten dürfen.

Erstellen einer Regel für E-Mail-Benachrichtigungen

Führen Sie die diese Schritte aus, um eine neue Regel zu erstellen und E-Mail-Benachrichtigungseinstellungen anzupassen.

  1. Wählen Sie im Navigationsbereich Einstellungen > Microsoft 365 Defender > Vorfall-E-Mail-Benachrichtigungen aus.

  2. Wählen Sie "Element hinzufügen" aus.

  3. Geben Sie auf der Seite "Grundlagen" den Regelnamen und eine Beschreibung ein, und wählen Sie dann "Weiter" aus.

  4. Konfigurieren Sie auf der Seite "Benachrichtigungseinstellungen" Folgendes:

    • Benachrichtigungsschweregrad – Wählen Sie den Benachrichtigungsschweregrad aus, der eine Vorfallbenachrichtigung auslösen wird. Wenn Sie beispielsweise nur über Vorfälle mit hohem Schweregrad informiert werden möchten, wählen Sie "Hoch" aus.
    • Gerätegruppenbereich – Sie können alle Gerätegruppen angeben, oder aus der Liste der Gerätegruppen in Ihrem Mandanten auswählen.
    • Benachrichtigung nur beim ersten Auftreten pro Vorfall – Wählen Sie dies aus, wenn Sie eine Benachrichtigung nur für die erste Benachrichtigung wünschen, die Ihrer anderen Auswahl entspricht. Spätere Aktualisierungen oder Benachrichtigungen im Zusammenhang mit dem Vorfall werden keine zusätzlichen Benachrichtigungen senden.
    • Organisationsnamens in der E-Mail einschließen – Wählen Sie dies aus, wenn Sie wollen, dass der Name Ihrer Organisation in der E-Mail-Benachrichtigung angezeigt wird.
    • Mandantenspezifischen Portallink einschließen – Wählen Sie dies aus, wenn Sie einen Link mit der Mandanten-ID in der E-Mail-Benachrichtigung für den Zugriff auf einen bestimmten Microsoft 365-Mandanten hinzufügen wollen.

    Benachrichtigungseinstellungen für Vorfall-E-Mail-Benachrichtigungen.

  5. Wählen Sie Weiter aus. Fügen Sie auf der Seite "Empfänger" die E-Mail-Adressen hinzu, die die Vorfallbenachrichtigungen erhalten. Wählen Sie nach der Eingabe jeder neuen E-Mail-Adresse "Hinzufügen" aus. Um Benachrichtigungen zu testen und sicherzustellen, dass die Empfänger sie in den Postfächern erhalten, wählen Sie Test-E-Mail senden aus.

  6. Wählen Sie Weiter aus. Überprüfen Sie auf der Seite "Regel überprüfen" die Einstellungen der Regel, und wählen Sie dann Regel erstellen aus. Empfänger erhalten basierend auf den Einstellungen Benachrichtigungen über Vorfälle per E-Mail.

Um eine vorhandene Regel zu bearbeiten, wählen Sie sie aus der Liste der Regeln aus. Wählen Sie im Bereich mit dem Regelnamen "Regel bearbeiten" aus, und nehmen Sie ihre Änderungen auf den Seiten "Grundlagen", "Benachrichtigungseinstellungen" und "Empfänger" vor.

Um eine Regel zu löschen, wählen Sie sie aus der Liste der Regeln aus. Wählen Sie im Bereich mit dem Regelnamen "Löschen" aus.

Schulung für Sicherheitsanalysten

Verwenden Sie dieses Lernmodul von Microsoft Learn, um zu verstehen, wie Sie Microsoft 365 Defender zum Verwalten von Vorfällen und Warnungen verwenden.

Schulung: Untersuchen von Vorfällen mit Microsoft 365 Defender
Untersuchen Sie Vorfälle mit Microsoft 365 Defender Schulungssymbol. Microsoft 365 Defender vereinheitlicht Bedrohungsdaten aus mehreren Diensten und verwendet KI, um sie in Vorfällen und Warnungen zu kombinieren. Erfahren Sie, wie Sie die Zeit zwischen einem Vorfall und seiner Bearbeitung für die nachfolgende Reaktion und Lösung minimieren.

27 Min. - 6 Einheiten

Nächste Schritte

Führen Sie die aufgeführten Schritte basierend auf Ihrer Erfahrungsstufe oder Rolle in Ihrem Sicherheitsteam aus.

Erfahrungsstufe

Befolgen Sie diese Tabelle, um Ihre Erfahrung mit Sicherheitsanalyse und Reaktion auf Vorfälle zu erhalten.

Ebene Schritte
New
  1. Sehen Sie sich die exemplarische Vorgehensweise zum Reagieren auf Ihren ersten Vorfall an, um eine Führung durch einen typischen Prozess der Analyse, Behebung und Überprüfung nach dem Vorfall im Microsoft 365 Defender-Portal mit einem Beispielangriff zu erhalten.
  2. Erfahren Sie, welche Vorfälle basierend auf dem Schweregrad und anderen Faktoren priorisiert werden sollten.
  3. Verwalten Von Vorfällen,einschließlich Umbenennen, Zuweisen, Klassifizieren und Hinzufügen von Tags und Kommentaren basierend auf Ihrem Vorfallverwaltungsworkflow.
Erfahrenen
  1. Erste Schritte mit der Vorfallwarteschlange auf der Seite "Vorfälle" des Microsoft 365 Defender-Portals. Von hier aus können Sie folgende Aktionen ausführen:
    • Erfahren Sie, welche Vorfälle basierend auf dem Schweregrad und anderen Faktoren priorisiert werden sollten.
    • Verwalten Von Vorfällen,einschließlich Umbenennen, Zuweisen, Klassifizieren und Hinzufügen von Tags und Kommentaren basierend auf Ihrem Vorfallverwaltungsworkflow.
    • Führen Sie Untersuchungen von Vorfällen durch.
  2. Nachverfolgen und Reagieren auf neue Bedrohungen mithilfe von Bedrohungsanalysen.
  3. Proaktive Suche nach Bedrohungen mit erweiterter Bedrohungssuche.
  4. In diesen Playbooks zur Behandlung von Sicherheitsvorfällen finden Sie ausführliche Anleitungen für Phishing-, Kennwort-Spray- und App-Genehmigungs-Angriffe.

Rolle "Sicherheitsteam"

Befolgen Sie diese Tabelle basierend auf Ihrer Sicherheitsteamrolle.

Rolle Schritte
Reaktion auf Vorfälle (Ebene 1) Erste Schritte mit der Vorfallwarteschlange auf der Seite "Vorfälle" des Microsoft 365 Defender-Portals. Von hier aus können Sie folgende Aktionen ausführen:
  • Erfahren Sie, welche Vorfälle basierend auf dem Schweregrad und anderen Faktoren priorisiert werden sollten.
  • Verwalten Von Vorfällen,einschließlich Umbenennen, Zuweisen, Klassifizieren und Hinzufügen von Tags und Kommentaren basierend auf Ihrem Vorfallverwaltungsworkflow.
Sicherheitsermittler oder Analyst (Stufe 2)
  1. Führen Sie Untersuchungen von Vorfällen auf der Seite "Vorfälle" des Microsoft 365 Defender-Portals durch.
  2. In diesen Playbooks zur Behandlung von Sicherheitsvorfällen finden Sie ausführliche Anleitungen für Phishing-, Kennwort-Spray- und App-Genehmigungs-Angriffe.
Advanced Security Analyst oder Threat Hunter (Stufe 3)
  1. Führen Sie Untersuchungen von Vorfällen auf der Seite "Vorfälle" des Microsoft 365 Defender-Portals durch.
  2. Nachverfolgen und Reagieren auf neue Bedrohungen mithilfe von Bedrohungsanalysen.
  3. Proaktive Suche nach Bedrohungen mit erweiterter Bedrohungssuche.
  4. In diesen Playbooks zur Behandlung von Sicherheitsvorfällen finden Sie ausführliche Anleitungen für Phishing-, Kennwort-Spray- und App-Genehmigungs-Angriffe.
SOC-Manager Erfahren Sie, wie Sie Microsoft 365 Defender in Ihr Security Operations Center (SOC) integrieren.