Schritt 4. Reagieren auf einen Incident mit Microsoft Sentinel und Microsoft Defender XDR

Dieser Artikel enthält eine allgemeine Reihe von Schritten und Verfahren zum Beheben eines Vorfalls mithilfe von Microsoft Sentinel und Microsoft Defender XDR, einschließlich Triage, Untersuchung und Lösung. Microsoft Sentinel und Microsoft Defender XDR teilen sich:

• Aktualisierungen zum Lebenszyklus (Status, Besitzer, Klassifizierung) werden von den Produkten gemeinsam genutzt.
• Die während einer Untersuchung gesammelten Nachweise werden in dem Microsoft Sentinel-Vorfall gezeigt.

Das folgende Diagramm zeigt, wie die erweiterte Erkennungs- und Reaktionslösung (XDR) von Microsoft nahtlos in Microsoft Sentinel integriert ist.

In diesem Diagramm:

• Erkenntnisse aus Signalen in Ihrer gesamten Organisation werden in Microsoft Defender XDR und Microsoft Defender for Cloud erfasst.
• Microsoft Defender XDR und Microsoft Defender for Cloud senden SIEM-Protokolldaten über eine Reihe von Microsoft Sentinel-Konnektoren.
• SecOps-Teams können dann die Bedrohungen analysieren und darauf reagieren.
• Microsoft Sentinel bietet Unterstützung für Multicloud-Umgebungen und kann in Drittanbieter-Apps und -Partner integriert werden.

Weitere Informationen über die Integration von Microsoft Defender mit Microsoft Sentinel finden Sie unter Microsoft Defender XDR-Integration mit Microsoft Sentinel. Dieser interaktive Leitfaden führt Sie durch die Erkennung und Reaktion auf moderne Angriffe mit Microsofts vereinheitlichtem Sicherheitsinformations- und Ereignis-Management (SIEM) und erweiterten Erkennungs- und Reaktionsfunktionen (XDR).

Prozess zur Reaktion auf Vorfälle

Der Prozess der Reaktion auf Vorfälle zur Behebung eines Vorfalls mithilfe von Microsoft Sentinel und Microsoft Defender XDR lautet:

1. Verwenden Sie das Microsoft Sentinel-Portal, um den potenziellen Vorfall einzuteilen, d. h. die Details des Vorfalls zu verstehen und sofortige Maßnahmen zu ergreifen.

2. Gehen Sie zum Microsoft Defender-Portal, um Ihre Untersuchung zu beginnen. Dies umfasst:

   • Verständnis des Vorfalls und seines Umfangs und Überprüfung der Zeitpläne für die Vermögenswerte.
   • Überprüfung ausstehender Selbsthilfeaktionen, manuelle Korrektur von Entitäten, Durchführung von Live-Reaktionen.
   • Hinzufügen von Präventionsmaßnahmen.

3. Setzen Sie die Untersuchung bei Bedarf im Microsoft Sentinel-Portal fort. Dies umfasst:

   • Verstehen des Umfangs des Vorfalls (Zusammenhang mit Ihren Sicherheitsprozessen, -richtlinien und -verfahren [3P]).
   • Durchführung von automatisierten 3P-Untersuchungs- und Abhilfemaßnahmen und Erstellung von benutzerdefinierten SOAR-Playbooks (Security Orchestration, Automation, and Response).
   • Aufzeichnung von Beweisen für das Management von Zwischenfällen.
   • Hinzufügen benutzerdefinierter Maße.

4. Beheben des Vorfalls im Microsoft Sentinel-Portal und Durchführung entsprechender Folgemaßnahmen innerhalb Ihres Sicherheitsteams.

Innerhalb von Microsoft Sentinel können Sie die Vorteile von Playbooks und Automatisierungsregeln nutzen.

• Ein Playbook ist eine Sammlung von Untersuchungs- und Abhilfemaßnahmen, die über das Microsoft Sentinel Portal als Routine ausgeführt werden können. Playbooks können helfen, Ihre Reaktion auf Bedrohungen zu automatisieren und zu orchestrieren. Sie können bei Bedarf manuell auf Vorfälle, Entitäten und Alarme angewendet werden oder automatisch als Reaktion auf bestimmte Alarme oder Vorfälle ausgeführt werden, wenn sie durch eine Automatisierungsregel ausgelöst werden. Weitere Informationen finden Sie unter Automatisierung der Reaktion auf Bedrohungen mit Playbooks.
• Automatisierungsregeln sind eine Möglichkeit, die Automatisierung in Microsoft Sentinel zentral zu verwalten, indem Sie eine kleine Reihe von Regeln definieren und koordinieren können, die in verschiedenen Szenarien angewendet werden können. Weitere Informationen finden Sie unter Automatisierung der Reaktion auf Bedrohungen in Microsoft Sentinel mit Automatisierungsregeln.

In den folgenden Abschnitten wird der allgemeine Prozess zur Reaktion auf Vorfälle mithilfe der Microsoft Sentinel- und Microsoft Defender-Portale beschrieben.

Schritt 1: Sichtung des Vorfalls im Microsoft Sentinel Portal

Verwenden Sie diese Schritte als allgemeine Methode zur Einstufung des Vorfalls mit Microsoft Sentinel:

1. Öffnen Sie das Microsoft Sentinel-Portal.
2. Wählen Sie Vorfälle, und suchen Sie dann den verdächtigen Vorfall. Sie können nach Vorfällen anhand ihrer ID, ihres Titels, ihrer Tags, des Besitzers des Vorfalls, der Entität oder des Produkts suchen.
3. Wenn Sie den Vorfall gefunden haben, markieren Sie ihn und wählen Sie dann im Bereich Vorfallzusammenfassung (Vorschau) die Option Vollständige Details anzeigen.
4. Auf der Registerkarte Übersicht sehen Sie die Zusammenfassung des Vorfalls, die Zeitleiste, die Entitäten, die wichtigsten Erkenntnisse, ähnliche Vorfälle und andere Informationen. Um ein zuvor erstelltes Playbook für den Vorfall auszuführen, wählen Sie Vorfall-Aktionen und dann Playbook ausführen (Vorschau) aus.
5. Suchen Sie auf der Registerkarte Entitäten die Entität, die Sie interessiert, in der Liste. Sie können das Suchfeld verwenden, um nach dem Namen der Entität zu suchen oder nach dem Entitätstyp zu filtern.
6. Um ein zuvor erstelltes Playbook für eine Entität auszuführen, markieren Sie die Entität und wählen Playbook ausführen. Wählen Sie im Bereich Playbook ausführen die Option Ausführen für die Playbooks, die Sie für diesen Vorfall erstellt haben und benötigen, um zusätzliche Informationen über die Entität zu generieren.
7. Wählen Sie im Bereich Erkenntnisse des Entitätsfensters die entsprechenden Kategorien von Erkenntnissen aus, die Sie benötigen, um Informationen über die Entität zu sammeln. Bitte beachten Sie, dass die hier gezeigten Erkenntnisse auf den letzten 24 Stunden vor der Erstellung des ersten Alarms beruhen. Wenn Sie auf Vollständige Details klicken, werden weitere Erkenntnisse mit einem konfigurierbaren Zeitbereich angezeigt.
8. Wählen Sie Vorfall und dann die Registerkarte Kommentare.
9. Wenn Playbooks automatisch oder manuell ausgeführt wurden, überprüfen Sie die von ihnen erstellten Kommentare zu dem Vorfall.

Weitere Informationen finden Sie unter Navigieren und Untersuchen von Vorfällen in Microsoft Sentinel.

Schritt 2: Untersuchen des Vorfalls im Microsoft Defender-Portal

Führen Sie die folgenden Schritte als allgemeine Methode aus, um den Vorfall mit Microsoft Defender XDR zu untersuchen:

1. Wählen Sie auf der Seite Vorfall des Microsoft Sentinel-Portals (Vorschau) im Zusammenfassungsbereich Untersuchen in Microsoft Defender XDR aus.
2. Beginnen Sie auf der Registerkarte Angriffsabschnitt im Microsoft Defender-Portal mit Microsoft Defender XDR mit Ihrer Untersuchung. Überlegen Sie, ob Sie die folgenden Schritte für Ihren eigenen Workflow zur Reaktion auf Vorfälle verwenden wollen.
3. Sehen Sie sich den Angriffsverlauf des Vorfalls an, um den Umfang, den Schweregrad, die Erkennungsquelle und die betroffenen Einrichtungen zu verstehen.
4. Beginnen Sie mit der Analyse der Alarme, um deren Ursprung, Umfang und Schweregrad anhand der Alarmgeschichte innerhalb des Vorfalls zu verstehen.
5. Sammeln Sie bei Bedarf Informationen über betroffene Geräte, Benutzer und Postfächer mit der Grafik. Klicken Sie auf eine beliebige Entität, um ein Flyout mit allen Details zu öffnen.
6. Erfahren Sie, wie Microsoft Defender XDR einige Warnungen automatisch mit der Registerkarte Untersuchungen aufgelöst hat.
7. Verwenden Sie bei Bedarf Informationen aus dem Datensatz für den Vorfall auf der Registerkarte Beweise und Reaktionen.

Weitere Informationen finden Sie unter Vorfallreaktion mit Microsoft Defender XDR.

Schritt 3: Setzen Sie die Untersuchung im Microsoft Sentinel Portal fort (je nach Bedarf)

Verwenden Sie diese Schritte als allgemeine Methode, um die Untersuchung eines Vorfalls mit Microsoft Sentinel unter Verwendung der verbesserten Vorfallsseite (Vorschau) fortzusetzen.

1. Suchen Sie im Microsoft Sentinel-Portal den Vorfall in der Warteschlange, wählen Sie ihn aus und wählen Sie dann Vollständige Details anzeigen im Übersichtsbereich des Vorfalls.

2. In der Registerkarte Übersicht:

   a. Sehen Sie sich die Zeitleiste des Vorfalls an.

   b. Blättern Sie durch die Liste der Entitäten.

   c. Sehen Sie sich die Liste der damit verbundenen Vorfälle an.

   d. Sehen Sie sich die wichtigsten Erkenntnisse zu diesem Vorfall an.

   e. Führen Sie eine zusätzliche Ereignisaktion durch, z. B. die Ausführung eines Playbooks oder die Erstellung einer Automatisierungsregel.

   f. Wählen Sie Untersuchen, um eine Grafik des Vorfalls zu sehen.

3. In der Registerkarte Entitäten:

   a. Sehen Sie sich Details und Erkenntnisse zu einem ausgewählten Unternehmen an.

   b. Führen Sie bei Bedarf und falls verfügbar ein Playbook aus (Vorschau).

4. Fügen Sie Kommentare zu dem Vorfall hinzu, um Ihre Aktionen und die Ergebnisse Ihrer Analyse festzuhalten.

Weitere Informationen finden Sie unter Navigieren und Untersuchen von Vorfällen in Microsoft Sentinel.

Schritt 4: Beheben Sie den Vorfall

Wenn Ihre Untersuchung abgeschlossen ist und Sie den Vorfall in den Portalen behoben haben, können Sie den Vorfall im Microsoft Sentinel Portal beheben, indem Sie den Status des Vorfalls auf Geschlossen setzen.

1. Suchen Sie im Microsoft Sentinel-Portal über die verbesserte Vorfallseite (Vorschau) den Vorfall in der Warteschlange und wählen Sie ihn aus. Wählen Sie in der Dropdown-Liste Status für den Vorfall die Option Abgeschlossen und wählen Sie dann eine Klassifizierung:

   • Richtig positiv – verdächtige Aktivität
   • Unschädlich positiv – verdächtig, aber erwartet
   • Falsch positiv – falsche Warnungslogik
   • Falsch positiv – falsche Daten
   • Unbestimmt

   Wenn Sie eine Klassifizierung auswählen, werden die Daten für den Vorfall in ein maschinelles Lernmodell eingegeben, das Microsoft dabei hilft, Ihnen Empfehlungen und Korrelationsinformationen zu liefern.

2. Sie werden auch aufgefordert, einen Kommentar zu dem Vorfall abzugeben. Sie können Details hinzufügen, wie zum Beispiel:

   • Die Art des Angriffs mit einer Standardbeschreibung oder mit Codes oder Abkürzungen, die von Ihrem Sicherheitsteam verwendet werden.
   • Die Namen der Personen, die an dem Vorfall gearbeitet haben.
   • Die wichtigsten Einrichtungen, die von dem Angriff betroffen waren.
   • Hinweise auf Aufgaben und Strategien zur Verbesserung.

   Hier ist ein Beispiel.

   

3. Wählen Sie Anwenden, um den Vorfall zu beheben. Nachdem Sie den Vorfall in Microsoft Sentinel geschlossen haben, synchronisiert er den Vorfallstatus mit Microsoft Defender XDR und Microsoft Defender für Cloud.

4. Melden Sie den Vorfall bei Bedarf Ihrem Verantwortlichen für die Reaktion auf Vorfälle, um weitere Maßnahmen festzulegen, z. B:

   • Informieren Sie Ihre Tier-1-Sicherheitsanalysten, um den Angriff frühzeitig zu erkennen.
   • Erstellen Sie ein Orchestration Playbook, um Ihre Reaktion auf Bedrohungen auf ähnliche Weise zu automatisieren und zu orchestrieren. Weitere Informationen finden Sie unter Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel.
   • Recherchieren Sie den Angriff in Microsoft Defender XDR Threat Analytics und der Sicherheitscommunity für einen Sicherheitsangriffstrend.
   • Erfassen Sie bei Bedarf den Workflow, den Sie zur Lösung des Vorfalls verwendet haben, und aktualisieren Sie Ihre Standard-Workflows, Prozesse, Richtlinien und Playbooks.
   • Stellen Sie fest, ob Änderungen an Ihrer Sicherheitskonfiguration erforderlich sind und setzen Sie diese um.

Empfohlene Schulung

Im Folgenden finden Sie die empfohlenen Schulungsmodule für diesen Schritt.

Verwaltung von Sicherheitsvorfällen in Microsoft Sentinel

Training	Verwaltung von Sicherheitsvorfällen in Microsoft Sentinel
	In diesem Modul untersuchen Sie das Incident Management in Microsoft Sentinel, erfahren mehr über Microsoft Sentinel-Ereignisse und -Entitäten und entdecken Möglichkeiten zum Beheben von Incidents.

Start >

Verbessern der Zuverlässigkeit durch moderne Betriebsmethoden: Incident Response

Training	Schulung Verbesserung Ihrer Zuverlässigkeit durch moderne Betriebsverfahren: Reaktion auf Vorfälle
	In diesem Modul lernen Sie die Grundlagen einer effizienten Incident-Response-Strategie sowie die Azure-Tools kennen, die diese ermöglichen.

Start >

Grundlegendes zur Verwaltung von Sicherheitszwischenfällen in Microsoft 365

Training	Grundlegendes zur Verwaltung von Sicherheitszwischenfällen in Microsoft 365
	Erfahren Sie, wie Microsoft 365 Sicherheitsbedenken untersucht, verwaltet und darauf reagiert, um Kunden und die Microsoft 365-Cloudumgebung zu schützen.

Start >

Nächste Schritte

• Unter Navigieren und Untersuchen von Vorfällen in Microsoft Sentinel und Vorfallsreaktion mit Microsoft Defender XDR finden Sie weitere Einzelheiten zu Vorfallsreaktionsprozessen innerhalb der Portale Microsoft Sentinel und Microsoft Defender.
• Weitere Informationen zu den bewährten Sicherheitsverfahren von Microsoft finden Sie unter Übersicht über die Reaktion auf Vorfälle.
• In den Playbooks zur Reaktion auf Vorfälle finden Sie Workflows und Checklisten zur Reaktion auf gängige Cyberangriffe.

References

Nutzen Sie diese Ressourcen, um sich über die verschiedenen in diesem Artikel erwähnten Dienste und Technologien zu informieren:

• Integration von Microsoft Defender XDR mit Microsoft Sentinel
• Interaktiver Leitfaden zu Unified SIEM und XDR-Funktionen
• Automatisieren der Bedrohungsabwehr mit Playbooks in Microsoft Sentinel
• Automatisierung der Reaktion auf Bedrohungen mit Playbooks
• Automatisieren der Bedrohungsabwehr in Microsoft Sentinel mit Automatisierungsregeln
• Microsoft Defender XDR Threat Analytics

Nutzen Sie diese Ressourcen, um mehr über die Reaktion auf Vorfälle zu erfahren:

• Navigieren und Untersuchen von Incidents mit Microsoft Sentinel
• Reaktion auf Vorfälle mit Microsoft Defender XDR
• Übersicht über die Reaktion auf Vorfälle
• Playbooks zur Reaktion auf Vorfälle