Verwalten von Microsoft Defender for Endpoint Warnungen

Gilt für:

• Microsoft Defender für Endpunkt Plan 1
• Microsoft Defender für Endpunkt Plan 2
• Microsoft Defender XDR

Möchten Sie Defender für Endpunkt erfahren? Registrieren Sie sich für eine kostenlose Testversion

Defender für Endpunkt benachrichtigt Sie über mögliche schädliche Ereignisse, Attribute und Kontextinformationen über Warnungen. Eine Zusammenfassung der neuen Warnungen wird angezeigt, und Sie können auf alle Warnungen in der Warnungswarteschlange zugreifen.

Sie können Warnungen verwalten, indem Sie eine Warnung in der Warnungswarteschlange oder auf der Seite Gerät auf der Registerkarte Warnungen für ein einzelnes Gerät auswählen.

Wenn Sie an einem dieser Orte eine Warnung auswählen, wird der Bereich Warnungsverwaltung angezeigt.

Sehen Sie sich dieses Video an, um zu erfahren, wie Sie die neue Microsoft Defender for Endpoint-Warnungsseite verwenden.

Link zu einem anderen Incident

Sie können einen neuen Incident aus der Warnung erstellen oder einen Link zu einem vorhandenen Incident erstellen.

Zuweisen von Warnungen

Wenn eine Warnung noch nicht zugewiesen ist, können Sie Mir zuweisen auswählen, um die Warnung sich selbst zuzuweisen.

Unterdrücken von Warnungen

Es kann Szenarien geben, in denen Sie Warnungen unterdrücken müssen, die in Microsoft Defender XDR angezeigt werden. Mit Defender für Endpunkt können Sie Unterdrückungsregeln für bestimmte Warnungen erstellen, die bekanntermaßen unbedenklich sind, z. B. bekannte Tools oder Prozesse in Ihrem organization.

Unterdrückungsregeln können aus einer vorhandenen Warnung erstellt werden. Sie können deaktiviert und bei Bedarf erneut aktiviert werden.

Wenn eine Unterdrückungsregel erstellt wird, wird sie ab dem Zeitpunkt wirksam, an dem die Regel erstellt wird. Die Regel wirkt sich nicht auf vorhandene Warnungen aus, die sich vor der Regelerstellung bereits in der Warteschlange befinden. Die Regel wird nur auf Warnungen angewendet, die die bedingungen erfüllen, die nach der Erstellung der Regel festgelegt wurden.

Es gibt zwei Kontexte für eine Unterdrückungsregel, aus denen Sie auswählen können:

• Unterdrücken der Warnung auf diesem Gerät
• Unterdrücken von Warnungen in meinem organization

Mit dem Kontext der Regel können Sie anpassen, was im Portal angezeigt wird, und sicherstellen, dass nur echte Sicherheitswarnungen im Portal angezeigt werden.

Anhand der Beispiele in der folgenden Tabelle können Sie den Kontext für eine Unterdrückungsregel auswählen:

Kontext	Definition	Beispielszenarien
Unterdrücken der Warnung auf diesem Gerät	Warnungen mit demselben Warnungstitel und nur auf diesem gerät werden unterdrückt. Alle anderen Warnungen auf diesem Gerät werden nicht unterdrückt.	Ein Sicherheitsforscher untersucht ein schädliches Skript, das verwendet wurde, um andere Geräte in Ihrem organization anzugreifen. Ein Entwickler erstellt regelmäßig PowerShell-Skripts für sein Team.
Unterdrücken von Warnungen in meinem organization	Warnungen mit demselben Warnungstitel auf jedem Gerät werden unterdrückt.	Ein gutartiges Verwaltungstool wird von jedem in Ihrem organization verwendet.

Unterdrücken einer Warnung und Erstellen einer neuen Unterdrückungsregel

Create benutzerdefinierte Regeln, um zu steuern, wann Warnungen unterdrückt oder aufgelöst werden. Sie können den Kontext für den Zeitpunkt der Unterdrückung einer Warnung steuern, indem Sie den Warnungstitel, den Indikator für Gefährdung und die Bedingungen angeben. Nachdem Sie den Kontext angegeben haben, können Sie die Aktion und den Bereich für die Warnung konfigurieren.

1. Wählen Sie die Warnung aus, die Sie unterdrücken möchten. Dadurch wird der Bereich Warnungsverwaltung angezeigt.

2. Wählen Sie Create einer Unterdrückungsregel aus.

   Sie können eine Unterdrückungsbedingung mit diesen Attributen erstellen. Zwischen jeder Bedingung wird ein AND-Operator angewendet, sodass die Unterdrückung nur erfolgt, wenn alle Bedingungen erfüllt sind.

   • Datei SHA1
   • Dateiname – Der Feldhalter wird unterstützt.
   • Ordnerpfad– Unterstützter Wildcard-Pfad
   • IP-Adresse
   • URL: Wildcard wird unterstützt
   • Befehlszeile– Unterstützter Wildcard-Befehl

3. Wählen Sie das Auslösende IOC aus.

4. Geben Sie die Aktion und den Bereich für die Warnung an.

   Sie können eine Warnung automatisch auflösen oder im Portal ausblenden. Warnungen, die automatisch aufgelöst werden, werden im Abschnitt "Aufgelöst" der Warnungswarteschlange, der Warnungsseite und des geräteseitigen Zeitleiste angezeigt und werden in Defender für Endpunkt-APIs als aufgelöst angezeigt.

   Warnungen, die als ausgeblendet gekennzeichnet sind, werden sowohl für die dem Gerät zugeordneten Warnungen als auch für die Dashboard aus dem gesamten System unterdrückt und nicht über Defender für Endpunkt-APIs gestreamt.

5. Geben Sie einen Regelnamen und einen Kommentar ein.

6. Klicken Sie auf Speichern.

Anzeigen der Liste der Unterdrückungsregeln

1. Wählen Sie im Navigationsbereich Einstellungen>EndpunkteRegeln>Warnungsunterdrückung> aus.

2. Die Liste der Unterdrückungsregeln enthält alle Regeln, die Benutzer in Ihrer organization erstellt haben.

Weitere Informationen zum Verwalten von Unterdrückungsregeln finden Sie unter Verwalten von Unterdrückungsregeln.

Ändern der status einer Warnung

Sie können Warnungen (als Neu, In Bearbeitung oder Gelöst) kategorisieren, indem Sie deren status während der Untersuchung ändern. Dadurch können Sie organisieren und verwalten, wie Ihr Team auf Warnungen reagieren kann.

Beispielsweise kann ein Teamleiter alle Neuen Warnungen überprüfen und sie zur weiteren Analyse der Warteschlange In Bearbeitung zuweisen.

Alternativ kann der Teamleiter die Warnung der Warteschlange Gelöst zuweisen, wenn er weiß, dass die Warnung harmlos ist, von einem Gerät stammt, das irrelevant ist (z. B. einem Sicherheitsadministrator) oder über eine frühere Warnung behandelt wird.

Warnungsklassifizierung

Sie können keine Klassifizierung festlegen oder angeben, ob es sich bei einer Warnung um eine echte oder eine falsche Warnung handelt. Es ist wichtig, die Klassifizierung true positive/false positive bereitzustellen. Diese Klassifizierung wird verwendet, um die Warnungsqualität zu überwachen und Warnungen genauer zu machen. Das Feld "Bestimmung" definiert zusätzliche Genauigkeit für eine "true positive" Klassifizierung.

Die Schritte zum Klassifizieren von Warnungen sind in diesem Video enthalten:

Hinzufügen von Kommentaren und Anzeigen des Verlaufs einer Warnung

Sie können Kommentare hinzufügen und verlaufsbezogene Ereignisse zu einer Warnung anzeigen, um frühere Änderungen anzuzeigen, die an der Warnung vorgenommen wurden.

Wenn eine Änderung oder ein Kommentar an einer Warnung vorgenommen wird, wird sie im Abschnitt Kommentare und Verlauf aufgezeichnet.

Hinzugefügte Kommentare werden sofort in diesem Bereich angezeigt.

Verwandte Artikel

• Ausschlüsse für Microsoft Defender for Endpoint und Microsoft Defender Antivirus
• Verwalten von Unterdrückungsregeln
• Anzeigen und Organisieren der Warnungswarteschlange für Microsoft Defender für Endpunkt
• Untersuchen von Microsoft Defender for Endpoint Warnungen
• Untersuchen einer Datei, die einer Microsoft Defender for Endpoint Warnung zugeordnet ist
• Untersuchen von Geräten in der liste der Microsoft Defender for Endpoint Geräte
• Untersuchen einer IP-Adresse, die einer Microsoft Defender for Endpoint-Warnung zugeordnet ist
• Untersuchen einer Domäne, die einer Microsoft Defender for Endpoint Warnung zugeordnet ist
• Untersuchen eines Benutzerkontos in Microsoft Defender for Endpoint

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender for Endpoint Tech Community.