Reaktion auf Vorfälle mit Microsoft 365 Defender

Artikel
04/09/2022
4 Minuten Lesedauer

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.

Gilt für:

Microsoft 365 Defender

Ein Vorfall in Microsoft 365 Defender ist eine Sammlung korrelierter Warnungen und zugehöriger Daten, die die Geschichte eines Angriffs ausmachen.

Microsoft 365-Dienste und -Anwendungen erstellen Warnungen, wenn sie ein verdächtiges oder bösartiges Ereignis oder eine Aktivität erkennen. Einzelne Warnungen bieten wertvolle Hinweise zu einem abgeschlossenen oder laufenden Angriff. Angriffe wenden jedoch in der Regel verschiedene Techniken gegen verschiedene Arten von Entitäten an, z. B. Geräte, Benutzer und Postfächer. Das Ergebnis sind mehrere Warnungen für mehrere Entitäten in Ihrem Mandanten.

Da es schwierig und zeitaufwändig sein kann, die einzelnen Warnungen zusammenzufassen, um Erkenntnisse zu einem Angriff zu erhalten, fasst Microsoft 365 Defender die Warnungen und die damit verbundenen Informationen automatisch zu einem Vorfall zusammen.

Sehen Sie sich diese kurze Übersicht über Vorfälle in Microsoft 365 Defender (4 Minuten) an.

Das Gruppieren von verwandten Warnungen in einem Vorfall gibt Sie einen umfassenden Überblick über einen Angriff. Sie können beispielsweise Folgendes sehen:

Wo der Angriff begonnen hat.
Welche Taktiken verwendet wurden.
Wie weit der Angriff Ihren Mandanten gelangt ist.
Den Umfang des Angriffs, z. B. wie viele Geräte, Benutzer und Postfächer betroffen waren.
Alle Daten, die dem Angriff zugeordnet sind.

Wenn diese Option aktiviert ist, können Microsoft 365 Defender Warnungen automatisch durch Automatisierung und künstliche Intelligenz untersuchen und beheben. Sie können auch zusätzliche Korrekturschritte ausführen, um den Angriff zu beheben.

Vorfälle und Warnungen im Microsoft 365 Defender Portal

Sie verwalten Vorfälle aus Vorfällen & Warnungen > Vorfälle auf der Schnellstartleiste des Microsoft 365 Defender-Portals. Im Folgenden sehen Sie ein Beispiel.

Wenn Sie einen Vorfallnamen auswählen, wird eine Zusammenfassung des Vorfalls angezeigt und der Zugriff auf Registerkarten mit zusätzlichen Informationen ermöglicht. Im Folgenden sehen Sie ein Beispiel.

Die zusätzlichen Registerkarten für einen Vorfall sind:

Warnungen

Alle Warnungen im Zusammenhang mit dem Vorfall und deren Informationen.
Geräte

Alle Geräte, die als Teil des Vorfalls oder im Zusammenhang mit dem Vorfall identifiziert wurden.
Benutzer

Alle Benutzer, die als Teil des Vorfalls oder im Zusammenhang mit dem Vorfall identifiziert wurden.
Postfächer

Alle Postfächer, die als Teil des Vorfalls oder im Zusammenhang mit dem Vorfall identifiziert wurden.
Untersuchungen

Alle automatisierten Untersuchungen , die durch Warnungen im Vorfall ausgelöst werden.
Nachweis und Reaktion

Alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen des Vorfalls.
Graph (Vorschau)

Eine visuelle Darstellung des Angriffs, die die verschiedenen verdächtigen Entitäten, die Teil des Angriffs sind, mit ihren verwandten Ressourcen wie Benutzern, Geräten und Postfächern verbindet.

Hier ist die Beziehung zwischen einem Vorfall und seinen Daten und den Registerkarten eines Vorfalls im Microsoft 365 Defender Portal.

Beispielworkflow zur Reaktion auf Vorfälle für Microsoft 365 Defender

Hier ist ein Beispielworkflow zum Reagieren auf Vorfälle in Microsoft 365 mit dem Microsoft 365 Defender Portal.

Identifizieren Sie fortlaufend die Vorfälle mit der höchsten Priorität für die Analyse und Lösung in der Vorfallswarteschlange, und bereiten Sie sie auf Reaktionen vor. Dies ist eine Kombination aus:

Triagieren zur Ermittlung der Vorfälle mit der höchsten Priorität durch Filtern und Sortieren der Vorfallswarteschlange.
Verwalten von Vorfällen durch Ändern ihres Titels, Zuweisen zu einem Analysten und Hinzufügen von Tags und Kommentaren.

Ziehen Sie die folgenden Schritte für Ihren eigenen Vorfallreaktionsworkflow in Betracht:

Beginnen Sie für jeden Vorfall eine Angriffs- und Warnungsuntersuchung und -analyse:
1. Zeigen Sie die Zusammenfassung des Vorfalls an, um den Umfang und Schweregrad sowie die betroffenen Entitäten mit den Registerkarten "Zusammenfassung" und "Graph (Vorschau)" zu verstehen.
2. Beginnen Sie mit der Analyse der Warnungen, um deren Ursprung, Umfang und Schweregrad mit der Registerkarte "Warnungen " zu verstehen.
3. Sammeln Sie bei Bedarf Informationen zu betroffenen Geräten, Benutzern und Postfächern mit den Registerkarten "Geräte", "Benutzer" und " Postfächer ".
4. Auf der Registerkarte "Untersuchungen" erfahren Sie, wie Microsoft 365 Defender einige Warnungen automatisch behoben hat.
5. Verwenden Sie nach Bedarf Informationen im Dataset für den Vorfall, um weitere Informationen über die Registerkarte " Nachweise und Reaktion" zu erfahren.
Führen Sie nach oder während Ihrer Analyse eine Eindämmung durch, um die zusätzlichen Auswirkungen des Angriffs zu verringern und die Sicherheitsrisiken zu beseitigen.
Stellen Sie nach dem Angriff so viel wie möglich wieder her, indem Sie Ihre Mandantenressourcen in den Zustand wiederherstellen, in dem sie sich vor dem Vorfall befanden.
Beheben Sie den Vorfall, und nehmen Sie sich Zeit, bis Sie nach dem Vorfall Folgendes gelernt haben:
- Verstehen sie den Typ des Angriffs und seine Auswirkungen.
- Recherchieren Sie den Angriff in Threat Analytics und der Sicherheitscommunity nach einem Sicherheitsangriffstrend.
- Erinnern Sie sich an den Workflow, den Sie verwendet haben, um den Vorfall zu beheben und aktualisieren Sie Ihre standardmäßigen Workflows, Prozesse, Richtlinien und Playbooks bei Bedarf.
- Ermitteln Sie, ob Änderungen in Ihrer Sicherheitskonfiguration erforderlich sind, und implementieren Sie sie.

Wenn Sie mit der Sicherheitsanalyse noch nicht fertig sind, lesen Sie die Einführung in die Reaktion auf Ihren ersten Vorfall , um weitere Informationen zu erhalten und einen Beispielvorfall zu durchlaufen.

Weitere Informationen zur Reaktion auf Vorfälle in microsoft-Produkten finden Sie in diesem Artikel.

Beispiel für Sicherheitsvorgänge für Microsoft 365 Defender

Hier ist ein Beispiel für Sicherheitsvorgänge (SecOps) für Microsoft 365 Defender.

Tägliche Aufgaben können Folgendes umfassen:

Verwalten von Vorfällen
Überprüfen von Air-Aktionen (Automated Investigation and Response) im Info-Center
Überprüfen der neuesten Bedrohungsanalyse
Reaktion auf Vorfälle

Monatliche Aufgaben können Folgendes umfassen:

Überprüfen der AIR-Einstellungen
Überprüfen von Sicherheitsbewertung und Bedrohungs- & Sicherheitsrisikomanagement
Berichterstellung für Ihre IT-Sicherheitsverwaltungskette

Vierteljährliche Aufgaben können einen Bericht und eine Unterrichtung der Sicherheitsergebnisse an den Chief Information Security Officer (CISO) umfassen.

Zu den jährlichen Aufgaben kann die Durchführung eines größeren Vorfalls oder einer Verletzung gehören, um Ihre Mitarbeiter, Systeme und Prozesse zu testen.

Tägliche, monatliche, vierteljährliche und jährliche Aufgaben können verwendet werden, um Prozesse, Richtlinien und Sicherheitskonfigurationen zu aktualisieren oder zu verfeinern.

Weitere Informationen finden Sie unter Integrieren von Microsoft 365 Defender in Ihre Sicherheitsvorgänge.

SecOps-Ressourcen in allen Microsoft-Produkten

Weitere Informationen zu SecOps in allen Microsoft-Produkten finden Sie in den folgenden Ressourcen:

Abrufen von Vorfallbenachrichtigungen per E-Mail

Sie können Microsoft 365 Defender einrichten, um Ihre Mitarbeiter per E-Mail über neue Vorfälle oder Aktualisierungen vorhandener Vorfälle zu informieren. Sie können Benachrichtigungen basierend auf folgendem Abrufen auswählen:

Schweregrad des Vorfalls.
Gerätegruppe.
Nur beim ersten Update pro Vorfall.

Die E-Mail-Benachrichtigung enthält wichtige Details zum Vorfall, z. B. den Vorfallnamen, den Schweregrad und Kategorien. Sie können auch direkt zum Vorfall wechseln und Ihre Analyse sofort starten. Weitere Informationen finden Sie unter Untersuchen von Vorfällen.

Sie können Empfänger in den E-Mail-Benachrichtigungen hinzufügen oder entfernen. Neue Empfänger werden über Vorfälle benachrichtigt, nachdem sie hinzugefügt wurden.

Hinweis

Sie benötigen die Berechtigung " Sicherheitseinstellungen verwalten ", um E-Mail-Benachrichtigungseinstellungen zu konfigurieren. Wenn Sie sich für die Verwendung der grundlegenden Berechtigungsverwaltung entschieden haben, können Benutzer mit den Rollen "Sicherheitsadministrator" oder "Globaler Administrator" E-Mail-Benachrichtigungen konfigurieren.

Ebenso können Sie, wenn Ihre Organisation die rollenbasierte Zugriffssteuerung (RBAC) verwendet, nur Benachrichtigungen basierend auf Gerätegruppen erstellen, bearbeiten, löschen und empfangen, die Sie verwalten dürfen.

Erstellen einer Regel für E-Mail-Benachrichtigungen

Führen Sie die diese Schritte aus, um eine neue Regel zu erstellen und E-Mail-Benachrichtigungseinstellungen anzupassen.

Wählen Sie im Navigationsbereich Einstellungen > Microsoft 365 Defender > Vorfall-E-Mail-Benachrichtigungen aus.
Wählen Sie "Element hinzufügen" aus.
Geben Sie auf der Seite "Grundlagen " den Regelnamen und eine Beschreibung ein, und wählen Sie dann "Weiter" aus.
Konfigurieren Sie auf der Seite "Benachrichtigungseinstellungen " Folgendes:
- Benachrichtigungsschweregrad – Wählen Sie den Benachrichtigungsschweregrad aus, der eine Vorfallbenachrichtigung auslösen wird. Wenn Sie beispielsweise nur über Vorfälle mit hohem Schweregrad informiert werden möchten, wählen Sie " Hoch" aus.
- Gerätegruppenbereich – Sie können alle Gerätegruppen angeben, oder aus der Liste der Gerätegruppen in Ihrem Mandanten auswählen.
- Benachrichtigung nur beim ersten Auftreten pro Vorfall – Wählen Sie dies aus, wenn Sie eine Benachrichtigung nur für die erste Benachrichtigung wünschen, die Ihrer anderen Auswahl entspricht. Spätere Aktualisierungen oder Benachrichtigungen im Zusammenhang mit dem Vorfall werden keine zusätzlichen Benachrichtigungen senden.
- Organisationsnamens in der E-Mail einschließen – Wählen Sie dies aus, wenn Sie wollen, dass der Name Ihrer Organisation in der E-Mail-Benachrichtigung angezeigt wird.
- Mandantenspezifischen Portallink einschließen – Wählen Sie dies aus, wenn Sie einen Link mit der Mandanten-ID in der E-Mail-Benachrichtigung für den Zugriff auf einen bestimmten Microsoft 365-Mandanten hinzufügen wollen.
Wählen Sie Weiter aus. Fügen Sie auf der Seite "Empfänger " die E-Mail-Adressen hinzu, die die Vorfallbenachrichtigungen erhalten. Wählen Sie "Hinzufügen" aus, nachdem Sie jede neue E-Mail-Adresse eingegeben haben. Um Benachrichtigungen zu testen und sicherzustellen, dass die Empfänger sie in den Posteingängen erhalten, wählen Sie "Test-E-Mail senden" aus.
Wählen Sie Weiter aus. Überprüfen Sie auf der Seite "Regel überprüfen " die Einstellungen der Regel, und wählen Sie dann " Regel erstellen" aus. Empfänger erhalten basierend auf den Einstellungen Benachrichtigungen über Vorfälle per E-Mail.

Um eine vorhandene Regel zu bearbeiten, wählen Sie sie aus der Liste der Regeln aus. Wählen Sie im Bereich mit dem Regelnamen "Regel bearbeiten" aus, und nehmen Sie ihre Änderungen auf den Seiten "Grundlagen", "Benachrichtigungseinstellungen" und "Empfänger" vor.

Um eine Regel zu löschen, wählen Sie sie aus der Liste der Regeln aus. Wählen Sie im Bereich mit dem Regelnamen " Löschen" aus.

Schulung für Sicherheitsanalysten

Verwenden Sie dieses Lernmodul von Microsoft Learn, um zu verstehen, wie Sie Microsoft 365 Defender verwenden, um Vorfälle und Warnungen zu verwalten.

Schulung:	Untersuchen von Vorfällen mit Microsoft 365 Defender
	Microsoft 365 Defender vereint Bedrohungsdaten aus mehreren Diensten und verwendet KI, um sie in Vorfällen und Warnungen zu kombinieren. Erfahren Sie, wie Sie die Zeit zwischen einem Vorfall und seiner Bearbeitung für die nachfolgende Reaktion und Lösung minimieren. 27 min - 6 Einheiten

Start >

Nächste Schritte

Führen Sie die aufgeführten Schritte basierend auf Ihrer Erfahrungsstufe oder Rolle in Ihrem Sicherheitsteam aus.

Erfahrungsebene

Folgen Sie dieser Tabelle, um Ihren Erfahrungsgrad mit Sicherheitsanalysen und Reaktionen auf Vorfälle zu erhalten.

Ebene	Schritte
New	Sehen Sie sich die exemplarische Vorgehensweise "Antworten auf Ihren ersten Vorfall" an, um eine geführte Tour durch einen typischen Analyse-, Wartungs- und Nachfallprozess im Microsoft 365 Defender Portal mit einem Beispielangriff zu erhalten. Sehen Sie, welche Vorfälle basierend auf dem Schweregrad und anderen Faktoren priorisiert werden sollten. Verwalten Sie Vorfälle, einschließlich Umbenennen, Zuweisen, Klassifizieren und Hinzufügen von Tags und Kommentaren basierend auf Ihrem Vorfallverwaltungsworkflow.
Erfahrenen	Erste Schritte mit der Vorfallwarteschlange auf der Seite "Vorfälle" des Microsoft 365 Defender Portals. Von hier aus können Sie folgende Aktionen ausführen: Sehen Sie, welche Vorfälle basierend auf dem Schweregrad und anderen Faktoren priorisiert werden sollten. Verwalten Sie Vorfälle, einschließlich Umbenennen, Zuweisen, Klassifizieren und Hinzufügen von Tags und Kommentaren basierend auf Ihrem Vorfallverwaltungsworkflow. Führen Sie Untersuchungen zu Vorfällen durch. Nachverfolgen und Reagieren auf neue Bedrohungen mithilfe von Bedrohungsanalysen. Proaktive Suche nach Bedrohungen mit erweiterter Bedrohungssuche. In diesen Playbooks zur Reaktion auf Vorfälle finden Sie detaillierte Anleitungen für Phishing-, Kennwort-Spray- und App-Zustimmungserteilungsangriffe.

Ebene

Schritte

New

Sehen Sie sich die exemplarische Vorgehensweise "Antworten auf Ihren ersten Vorfall" an, um eine geführte Tour durch einen typischen Analyse-, Wartungs- und Nachfallprozess im Microsoft 365 Defender Portal mit einem Beispielangriff zu erhalten.
Sehen Sie, welche Vorfälle basierend auf dem Schweregrad und anderen Faktoren priorisiert werden sollten.
Verwalten Sie Vorfälle, einschließlich Umbenennen, Zuweisen, Klassifizieren und Hinzufügen von Tags und Kommentaren basierend auf Ihrem Vorfallverwaltungsworkflow.

Erfahrenen

Erste Schritte mit der Vorfallwarteschlange auf der Seite "Vorfälle" des Microsoft 365 Defender Portals. Von hier aus können Sie folgende Aktionen ausführen:

Sehen Sie, welche Vorfälle basierend auf dem Schweregrad und anderen Faktoren priorisiert werden sollten.
Verwalten Sie Vorfälle, einschließlich Umbenennen, Zuweisen, Klassifizieren und Hinzufügen von Tags und Kommentaren basierend auf Ihrem Vorfallverwaltungsworkflow.
Führen Sie Untersuchungen zu Vorfällen durch.

Nachverfolgen und Reagieren auf neue Bedrohungen mithilfe von Bedrohungsanalysen.
Proaktive Suche nach Bedrohungen mit erweiterter Bedrohungssuche.
In diesen Playbooks zur Reaktion auf Vorfälle finden Sie detaillierte Anleitungen für Phishing-, Kennwort-Spray- und App-Zustimmungserteilungsangriffe.

Sicherheitsteamrolle

Folgen Sie dieser Tabelle basierend auf Ihrer Sicherheitsteamrolle.

Rolle	Schritte
Vorfallantworter (Stufe 1)	Erste Schritte mit der Vorfallwarteschlange auf der Seite "Vorfälle" des Microsoft 365 Defender Portals. Von hier aus können Sie folgende Aktionen ausführen: Sehen Sie, welche Vorfälle basierend auf dem Schweregrad und anderen Faktoren priorisiert werden sollten. Verwalten Sie Vorfälle, einschließlich Umbenennen, Zuweisen, Klassifizieren und Hinzufügen von Tags und Kommentaren basierend auf Ihrem Vorfallverwaltungsworkflow.
Sicherheitsermittler oder Analyst (Stufe 2)	Führen Sie Untersuchungen zu Vorfällen auf der Seite "Vorfälle" des Microsoft 365 Defender Portals durch. In diesen Playbooks zur Reaktion auf Vorfälle finden Sie detaillierte Anleitungen für Phishing-, Kennwort-Spray- und App-Zustimmungserteilungsangriffe.
Advanced Security Analyst oder Threat Hunter (Stufe 3)	Führen Sie Untersuchungen zu Vorfällen auf der Seite "Vorfälle" des Microsoft 365 Defender Portals durch. Nachverfolgen und Reagieren auf neue Bedrohungen mithilfe von Bedrohungsanalysen. Proaktive Suche nach Bedrohungen mit erweiterter Bedrohungssuche. In diesen Playbooks zur Reaktion auf Vorfälle finden Sie detaillierte Anleitungen für Phishing-, Kennwort-Spray- und App-Zustimmungserteilungsangriffe.
SOC-Manager	Erfahren Sie, wie Sie Microsoft 365 Defender in Ihr Security Operations Center (SOC) integrieren.