Freigeben über

Grundlegendes zu Sicherheitswarnungen

  • Artikel

Microsoft Defender for Identity Sicherheitswarnungen erklären in klarer Sprache und Grafiken, welche verdächtigen Aktivitäten in Ihrem Netzwerk und den an den Bedrohungen beteiligten Akteuren und Computern identifiziert wurden. Warnungen werden nach Schweregrad bewertet, farbcodiert, damit sie einfach visuell gefiltert und nach Bedrohungsphase organisiert werden können. Jede Warnung ist so konzipiert, dass Sie schnell verstehen, was genau in Ihrem Netzwerk geschieht. Beweislisten für Warnungen enthalten direkte Links zu den beteiligten Benutzern und Computern, um Ihre Untersuchungen einfacher und direkter zu gestalten.

In diesem Artikel erfahren Sie mehr über die Struktur von Defender for Identity-Sicherheitswarnungen und deren Verwendung.

  • Struktur von Sicherheitswarnungen
  • Klassifizierungen der Sicherheitsbenachrichtigungen
  • Sicherheitswarnungskategorien
  • Untersuchung erweiterter Sicherheitswarnungen
  • Verwandte Entitäten
  • Defender for Identity und NNR (Netzwerknamenauflösung)

Struktur von Sicherheitswarnungen

Jede Defender for Identity-Sicherheitswarnung enthält eine Warnungsmeldung. Dies ist die Kette von Ereignissen im Zusammenhang mit dieser Warnung in chronologischer Reihenfolge und anderen wichtigen Informationen im Zusammenhang mit der Warnung.

Auf der Warnungsseite haben Sie folgende Möglichkeiten:

  • Warnung verwalten: Ändern Sie die status, Zuweisung und Klassifizierung der Warnung. Sie können hier auch einen Kommentar hinzufügen.

  • Exportieren – Herunterladen eines detaillierten Excel-Berichts für die Analyse

  • Verknüpfen einer Warnung mit einem anderen Incident – Verknüpfen einer Warnung mit einem neuen vorhandenen Incident

    Defender for Identity-Sicherheitswarnungsstruktur

Weitere Informationen zu Warnungen finden Sie unter Untersuchen von Warnungen in Microsoft Defender XDR.

Klassifizierungen der Sicherheitsbenachrichtigungen

Nach einer ordnungsgemäßen Untersuchung können alle Defender for Identity-Sicherheitswarnungen als einer der folgenden Aktivitätstypen klassifiziert werden:

  • True Positive (TP): Eine schädliche Aktion, die von Defender for Identity erkannt wurde.

  • Gutartig wahr positiv (B-TP): Eine von Defender for Identity erkannte Aktion, die real, aber nicht böswillig ist, z. B. ein Penetrationstest oder eine bekannte Aktivität, die von einer genehmigten Anwendung generiert wird.

  • Falsch positiv (False Positive, FP): Ein falscher Alarm, was bedeutet, dass die Aktivität nicht aufgetreten ist.

Ist die Sicherheitswarnung ein TP, B-TP oder FP?

Stellen Sie für jede Warnung die folgenden Fragen, um die Warnungsklassifizierung zu bestimmen und zu entscheiden, was als Nächstes zu tun ist:

  1. Wie häufig ist diese spezifische Sicherheitswarnung in Ihrer Umgebung?
  2. Wurde die Warnung von denselben Computertypen oder Benutzern ausgelöst? Beispielsweise Server mit der gleichen Rolle oder Benutzer aus derselben Gruppe/Abteilung? Wenn die Computer oder Benutzer ähnlich waren, können Sie dies ausschließen, um weitere zukünftige FP-Warnungen zu vermeiden.

Hinweis

Eine Zunahme von Warnungen genau desselben Typs verringert in der Regel die Verdächtige/Wichtigkeitsstufe der Warnung. Überprüfen Sie bei wiederholten Warnungen Konfigurationen, und verwenden Sie Sicherheitswarnungsdetails und -definitionen, um genau zu verstehen, was passiert, die die Wiederholungen auslösen.

Sicherheitswarnungskategorien

Defender for Identity-Sicherheitswarnungen sind in die folgenden Kategorien oder Phasen unterteilt, wie die Phasen in einer typischen Kill Chain für Cyberangriffe. Erfahren Sie mehr über die einzelnen Phasen und die Warnungen, die zur Erkennung der einzelnen Angriffe entwickelt wurden, indem Sie die folgenden Links verwenden:

Untersuchung erweiterter Sicherheitswarnungen

Um weitere Details zu einer Sicherheitswarnung zu erhalten, wählen Sie exportieren auf der Seite mit den Warnungsdetails aus, um den detaillierten Excel-Warnungsbericht herunterzuladen.

Die heruntergeladene Datei enthält Zusammenfassungsdetails zur Warnung auf der ersten Registerkarte, einschließlich:

  • Titel
  • Beschreibung
  • Startzeit (UTC)
  • Endzeit (UTC)
  • Schweregrad – Niedrig/Mittel/Hoch
  • Status – Offen/Geschlossen
  • Statusaktualisierungszeit (UTC)
  • Anzeigen im Browser

Alle beteiligten Entitäten, einschließlich Konten, Computer und Ressourcen, werden durch ihre Rolle getrennt aufgeführt. Je nach Warnung werden Details für die Quelle, das Ziel oder die angegriffene Entität bereitgestellt.

Die meisten Registerkarten enthalten die folgenden Daten pro Entität:

  • Name

  • Details

  • Typ

  • SamName

  • Übersetzungsrechner

  • Quellbenutzer (falls verfügbar)

  • Domänencontroller

  • Ressource, auf die zugegriffen wird: Zeit, Computer, Name, Details, Typ, Dienst.

  • Verwandte Entitäten: ID, Typ, Name, JSON der eindeutigen Entität, JSON-Code für eindeutige Entitäten

  • Alle unformatierten Aktivitäten, die von Defender for Identity Sensors im Zusammenhang mit der Warnung (Netzwerk- oder Ereignisaktivitäten) erfasst werden, einschließlich:

    • Netzwerkaktivitäten
    • Ereignisaktivitäten

Einige Warnungen verfügen über zusätzliche Registerkarten, z. B. Details zu:

  • Angegriffene Konten, wenn der mutmaßliche Angriff Brute Force verwendet hat.
  • DNS-Server (Domain Name System), wenn der Mutmaßlich angegriffen wurde, umfasste Netzwerkzuordnungs reconnaissance (DNS).

Zum Beispiel:

Beteiligte Entitäten.

In jeder Warnung enthält die letzte Registerkarte die verknüpften Entitäten. Verwandte Entitäten sind alle Entitäten, die an einer verdächtigen Aktivität beteiligt sind, ohne dass die "Rolle" getrennt wird, die sie in der Warnung gespielt haben. Jede Entität verfügt über zwei JSON-Dateien, den Json-Code für eindeutige Entitäten und den JSON-Code für eindeutige Entitäten. Verwenden Sie diese beiden JSON-Dateien, um mehr über die Entität zu erfahren und Sie bei der Untersuchung der Warnung zu unterstützen.

Json-Datei für eindeutige Entitäten

Enthält die Daten, die Defender for Identity aus Active Directory über das Konto gelernt hat. Dies umfasst alle Attribute wie Distinguished Name, SID, LockoutTime und PasswordExpiryTime. Für Benutzerkonten umfasst Daten wie Department, Mail und PhoneNumber. Für Computerkonten umfasst Daten wie OperatingSystem, IsDomainController und DnsName.

Json-Datei mit eindeutigem Entitätsprofil

Schließt alle Daten ein, für die Defender for Identity ein Profil für die Entität erstellt wurde. Defender for Identity verwendet die erfassten Netzwerk- und Ereignisaktivitäten, um mehr über die Benutzer und Computer der Umgebung zu erfahren. Defender for Identity-Profile relevante Informationen pro Entität. Diese Informationen tragen zu den Bedrohungserkennungsfunktionen von Defender for Identity bei.

Verwandte Entitäten.

Wie kann ich Defender for Identity-Informationen in einer Untersuchung verwenden?

Untersuchungen können so detailliert wie nötig sein. Im Folgenden finden Sie einige Ideen, wie Sie die von Defender for Identity bereitgestellten Daten untersuchen können.

  • Überprüfen Sie, ob alle verwandten Benutzer derselben Gruppe oder Abteilung angehören.
  • Verwenden verwandte Benutzer Ressourcen, Anwendungen oder Computer gemeinsam?
  • Ist ein Konto aktiv, obwohl passwordExpiryTime bereits bestanden wurde?

Defender for Identity und NNR (Netzwerknamenauflösung)

Defender for Identity-Erkennungsfunktionen basieren auf der aktiven Netzwerknamensauflösung (Network Name Resolution, NNR), um IP-Adressen auf Computern in Ihrem organization aufzulösen. Mithilfe von NNR kann Defender for Identity zwischen unformatierten Aktivitäten (mit IP-Adressen) und den relevanten Computern korrelieren, die an den einzelnen Aktivitäten beteiligt sind. Basierend auf den unformatierten Aktivitäten profiliert Defender for Identity Entitäten, einschließlich Computern, und generiert Warnungen.

NNR-Daten sind entscheidend für die Erkennung der folgenden Warnungen:

  • Mutmaßlicher Identitätsdiebstahl (Pass-the-Ticket)
  • Vermuteter DCSync-Angriff (Replikation von Verzeichnisdiensten)
  • Netzwerkzuordnungs-Reconnaissance (DNS)

Verwenden Sie die NNR-Informationen auf der Registerkarte Netzwerkaktivitäten des Warnungsdownloadberichts, um zu ermitteln, ob eine Warnung ein FP ist. In Fällen einer FP-Warnung ist es üblich, dass das NNR-Vertrauenswürdigkeitsergebnis mit geringer Zuverlässigkeit angegeben wird.

Berichtsdaten herunterladen werden in zwei Spalten angezeigt:

  • Quell-/Zielcomputer

    • Sicherheit : Sicherheit mit niedriger Auflösung kann auf eine falsche Namensauflösung hinweisen.

  • Quell-/Zielcomputer

    • Auflösungsmethode: Stellt die NNR-Methoden bereit, die zum Auflösen der IP-Adresse auf computer im organization verwendet werden.

Netzwerkaktivitäten.

Weitere Informationen zum Arbeiten mit Defender for Identity-Sicherheitswarnungen finden Sie unter Arbeiten mit Sicherheitswarnungen.

Verwandte Inhalte