Automatisierte Untersuchung und Reaktion in Microsoft 365 Defender

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.

Gilt für:

  • Microsoft 365 Defender

Wenn Ihre Organisation Microsoft 365 Defender verwendet, erhält Ihr Sicherheitsteam eine Benachrichtigung im Microsoft 365 Defender Portal, wenn eine böswillige oder verdächtige Aktivität oder ein Artefakt erkannt wird. Angesichts des scheinbar unendlichen Flusses von Bedrohungen, die auftreten können, stehen Sicherheitsteams oft vor der Herausforderung, die große Anzahl von Warnungen zu adressieren. Glücklicherweise umfasst Microsoft 365 Defender funktionen für automatisierte Untersuchung und Reaktion (AIR), die Ihrem Sicherheitsteam helfen können, Bedrohungen effizienter und effektiver zu bekämpfen.

Dieser Artikel enthält eine Übersicht über AIR und Links zu den nächsten Schritten und zusätzlichen Ressourcen.

Funktionsweise der automatisierten Untersuchung und Selbstheilung

Wenn Sicherheitswarnungen ausgelöst werden, liegt es an Ihrem Sicherheitsteam, sich diese Warnungen anzusehen und Maßnahmen zum Schutz Ihrer Organisation zu ergreifen. Die Priorisierung und Untersuchung von Warnungen kann sehr zeitaufwändig sein, insbesondere dann, wenn ständig neue Benachrichtigungen während einer laufenden Untersuchung eingehen. Sicherheitsteams können sich angesichts des enormen Volumens der Bedrohungen, die sie überwachen müssen, überfordert fühlen. Automatisierte Untersuchungs- und Reaktionsfunktionen mit Selbstheilung in Microsoft 365 Defender können dabei helfen.

Schauen Sie sich das folgende Video an, um zu sehen, wie Selbstheilung funktioniert:

In Microsoft 365 Defender funktioniert die automatisierte Untersuchung und Reaktion mit Selbstheilungsfunktionen auf Ihren Geräten, E-Mails & Inhalten und Identitäten.

Tipp

In diesem Artikel wird beschrieben, wie die automatisierte Untersuchung und Reaktion funktioniert. Informationen zum Konfigurieren dieser Funktionen finden Sie unter Konfigurieren automatisierter Untersuchungs- und Reaktionsfunktionen in Microsoft 365 Defender.

Ihr eigener virtueller Analyst

Imagine mit einem virtuellen Analysten in Ihrem Sicherheitsteam der Stufe 1 oder Stufe 2. Der virtuelle Analyst imitiert die idealen Schritte, die das Sicherheitsteam zur Untersuchung und Behebung von Bedrohungen ausführen würde. Der virtuelle Analyst könnte 24 x 7 mit unbegrenzter Kapazität arbeiten und eine erhebliche Last von Untersuchungen und Bedrohungsbehebungen annehmen. Ein solcher virtueller Analyst könnte die Zeit zum Reagieren erheblich reduzieren und Ihr Sicherheitsteam für andere wichtige Bedrohungen oder strategische Projekte freigeben. Wenn dieses Szenario nach Science-Fiction klingt, ist es das nicht! Ein solcher virtueller Analyst ist Teil Ihrer Microsoft 365 Defender Suite und heißt automatisierte Untersuchung und Reaktion.

Automatisierte Untersuchungs- und Reaktionsfunktionen ermöglichen es Ihrem Sicherheitsteam, die Kapazität Ihrer Organisation zur Behandlung von Sicherheitswarnungen und Vorfällen erheblich zu erhöhen. Mit automatisierter Untersuchung und Reaktion können Sie die Kosten für den Umgang mit Untersuchungs- und Reaktionsaktivitäten reduzieren und Ihre Bedrohungsschutzsuite optimal nutzen. Automatisierte Untersuchungs- und Reaktionsfunktionen helfen Ihrem Sicherheitsteam durch:

  1. Ermitteln, ob eine Bedrohung eine Aktion erfordert.
  2. Ergreifen (oder Empfehlen) aller erforderlichen Wartungsmaßnahmen.
  3. Bestimmen, ob und welche weiteren Untersuchungen durchgeführt werden sollen.
  4. Wiederholen des Vorgangs für andere Warnungen.

Der Prozess der automatischen Untersuchung

Eine Warnung erstellt einen Vorfall, der eine automatisierte Untersuchung starten kann. Die automatisierte Untersuchung führt zu einer Bewertung für jeden Beweis. Urteile können sein:

  • Bösartig
  • Verdächtig
  • Keine Bedrohungen gefunden

Abhilfemaßnahmen für böswillige oder verdächtige Entitäten werden identifiziert. Beispiele für Abhilfemaßnahmen sind:

  • Senden einer Datei in Quarantäne
  • Beenden eines Prozesses
  • Gerät wird isoliert
  • Blockieren einer URL
  • Weitere Aktionen

Weitere Informationen finden Sie unter Korrekturaktionen in Microsoft 365 Defender.

Je nachdem , wie automatisierte Untersuchungs- und Reaktionsfunktionen für Ihre Organisation konfiguriert sind, werden Wartungsaktionen automatisch oder nur nach Genehmigung durch Ihr Sicherheitsteam ausgeführt. Alle Aktionen, ob ausstehend oder abgeschlossen, werden im Info-Center aufgelistet.

Während eine Untersuchung läuft, werden alle anderen zugehörigen Warnungen zur Untersuchung hinzugefügt, bis diese abgeschlossen ist. Wenn eine betroffene Entität an einer anderer Stelle angezeigt wird, erweitert die automatisierte Untersuchung ihren Suchbereich, um diese Entität einzuschließen, und der Untersuchungsprozess wird wiederholt.

In Microsoft 365 Defender korreliert jede automatisierte Untersuchung Signale über Microsoft Defender for Identity, Microsoft Defender für Endpunkt und Microsoft Defender für Office 365, wie in der folgenden Tabelle zusammengefasst:

Entitäten Dienste für den Bedrohungsschutz
Geräte (auch als Endpunkte oder Computer bezeichnet) Defender für Endpunkt
Lokale Active Directory-Benutzer, Entitätsverhalten und Aktivitäten Defender for Identity
E-Mail-Inhalte (E-Mail-Nachrichten, die Dateien und URLs enthalten können) Defender for Office 365

Hinweis

Nicht jede Warnung löst eine automatisierte Untersuchung aus, und nicht jede Untersuchung führt zu automatisierten Wartungsaktionen. Dies hängt davon ab, wie die automatisierte Untersuchung und Reaktion für Ihre Organisation konfiguriert ist. Siehe Konfigurieren automatisierter Untersuchungs- und Reaktionsfunktionen.

Anzeigen einer Liste von Untersuchungen

Um Untersuchungen anzuzeigen, wechseln Sie zur Seite "Vorfälle ". Wählen Sie einen Vorfall und dann die Registerkarte "Untersuchungen " aus. Weitere Informationen finden Sie unter Details und Ergebnisse einer automatisierten Untersuchung.

Schulung für Sicherheitsanalysten

Verwenden Sie dieses Lernmodul von Microsoft Learn, um zu verstehen, wie Microsoft 365 Defender automatisierte Selbstheilung für die Untersuchung und Reaktion auf Vorfälle verwendet.

Schulung: Automatisieren des Self-healing mit Microsoft 365 Defender
Automatisieren Sie die Selbstheilung mit Microsoft 365 Defender Schulungssymbol. Microsoft 365 Defender nutzt KI, um die Behebung von Vorfällen zu automatisieren, sodass Ihr Sicherheitsteam Bedrohungen effizienter und effektiver angehen kann.

11 min - 5 Einheiten

Nächste Schritte