Freigeben über


Incidents und Warnungen im Microsoft Defender-Portal

Das Microsoft Defender-Portal vereint einen einheitlichen Satz von Sicherheitsdiensten, um Ihre Gefährdung durch Sicherheitsbedrohungen zu reduzieren, den Sicherheitsstatus Ihrer Organisation zu verbessern, Sicherheitsbedrohungen zu erkennen und Sicherheitsverletzungen zu untersuchen und darauf zu reagieren. Diese Dienste sammeln und erzeugen Signale, die im Portal angezeigt werden. Die beiden Standard Arten von Signalen sind:

Warnungen: Signale, die sich aus verschiedenen Aktivitäten zur Bedrohungserkennung ergeben. Diese Signale weisen auf das Auftreten schädlicher oder verdächtiger Ereignisse in Ihrer Umgebung hin.

Incidents: Container, die Sammlungen verwandter Warnungen enthalten und die gesamte Geschichte eines Angriffs erzählen. Die Warnungen in einem einzelnen Incident können von allen Sicherheits- und Compliancelösungen von Microsoft sowie von einer großen Anzahl externer Lösungen stammen, die über Microsoft Sentinel und Microsoft Defender für Cloud gesammelt wurden.

Incidents für Korrelation und Untersuchung

Sie können zwar die Bedrohungen untersuchen und minimieren, die Ihnen einzelne Warnungen zur Kenntnis bringen, aber diese Bedrohungen sind selbst isolierte Vorkommen, die Ihnen nichts über eine umfassendere, komplexe Angriffsgeschichte erzählen. Sie können gruppen von Warnungen suchen, untersuchen und korrelieren, die in einer einzigen Angriffsgeschichte zusammen gehören, aber das kostet Ihnen viel Zeit, Aufwand und Energie.

Stattdessen aggregieren und korrelieren die Korrelations-Engines und Algorithmen im Microsoft Defender-Portal automatisch verwandte Warnungen, um Incidents zu bilden, die diese größeren Angriffsgeschichten darstellen. Defender identifiziert mehrere Signale, die zu demselben Angriffsverlauf gehören, indem KI verwendet wird, um seine Telemetriequellen kontinuierlich zu überwachen und bereits geöffneten Vorfällen weitere Beweise hinzuzufügen. Incidents enthalten alle Warnungen, die miteinander und mit der gesamten Angriffsgeschichte in Zusammenhang stehen, und stellen die Geschichte in verschiedenen Formen dar:

  • Zeitachsen von Warnungen und unformatierten Ereignissen, auf denen sie basieren
  • Eine Liste der verwendeten Taktiken
  • Listen aller beteiligten und betroffenen Benutzer, Geräte und anderen Ressourcen
  • Eine visuelle Darstellung der Interaktion aller Spieler in der Geschichte
  • Protokolle der automatischen Untersuchungs- und Antwortprozesse, die initiiert und abgeschlossen Defender XDR
  • Sammlungen von Beweisen, die die Angriffsgeschichte unterstützen: Benutzerkonten und Geräteinformationen und -adressen von böswilligen Akteuren, schädliche Dateien und Prozesse, relevante Threat Intelligence usw.
  • Eine Textzusammenfassung der Angriffsgeschichte

Incidents bieten Ihnen auch ein Framework für die Verwaltung und Dokumentation Ihrer Untersuchungen und Reaktion auf Bedrohungen. Weitere Informationen zur Funktionalität von Incidents in dieser Hinsicht finden Sie unter Verwalten von Vorfällen in Microsoft Defender.

Warnungsquellen und Bedrohungserkennung

Warnungen im Microsoft Defender-Portal stammen aus vielen Quellen. Zu diesen Quellen gehören die vielen Dienste, die Teil von Microsoft Defender XDR sind, sowie andere Dienste mit unterschiedlichem Integrationsgrad in das Microsoft Defender-Portal.

Wenn beispielsweise Microsoft Sentinel in das Microsoft Defender-Portal integriert ist, hat die Korrelations-Engine im Defender-Portal Zugriff auf alle rohen Daten, die von Microsoft Sentinel erfasst werden, die Sie in den Erweiterten Suchtabellen von Defender finden.

Microsoft Defender XDR selbst erstellt auch Warnungen. Defender XDR einzigartige Korrelationsfunktionen bieten eine weitere Ebene der Datenanalyse und Bedrohungserkennung für alle Nicht-Microsoft-Lösungen in Ihrem digitalen Bestand. Diese Erkennungen erzeugen zusätzlich zu den Warnungen, die bereits von den Analyseregeln von Microsoft Sentinel bereitgestellt werden, Defender XDR Warnungen.

In jeder dieser Quellen gibt es einen oder mehrere Mechanismen zur Bedrohungserkennung, die Warnungen basierend auf den in den einzelnen Mechanismen definierten Regeln erzeugen.

Beispielsweise verfügt Microsoft Sentinel über mindestens vier verschiedene Engines, die unterschiedliche Arten von Warnungen erzeugen, von denen jede über eigene Regeln verfügt.

Tools und Methoden für Untersuchung und Reaktion

Das Microsoft Defender-Portal enthält Tools und Methoden, um die Selektierung, Untersuchung und Lösung von Vorfällen zu automatisieren oder anderweitig zu unterstützen. Diese Tools werden in der folgenden Tabelle dargestellt:

Tool/Methode Beschreibung
Verwalten und Untersuchen von Vorfällen Stellen Sie sicher, dass Sie Ihre Incidents entsprechend dem Schweregrad priorisieren und sie dann zur Untersuchung durcharbeiten. Verwenden Sie die erweiterte Suche, um nach Bedrohungen zu suchen und mit Bedrohungsanalysen neuen Bedrohungen einen Schritt voraus zu sein.
Automatisches Untersuchen und Auflösen von Warnungen Wenn dies aktiviert ist, können Microsoft Defender XDR Warnungen von Microsoft 365- und Entra-ID-Quellen durch Automatisierung und künstliche Intelligenz automatisch untersuchen und auflösen.
Konfigurieren automatischer Angriffsunterbrechungsaktionen Verwenden Sie Signale mit hoher Zuverlässigkeit, die von Microsoft Defender XDR und Microsoft Sentinel gesammelt werden, um aktive Angriffe automatisch mit Computergeschwindigkeit zu unterbrechen, die Bedrohung einzudämmen und die Auswirkungen zu begrenzen.
Konfigurieren von Microsoft Sentinel Automatisierungsregeln Verwenden Sie Automatisierungsregeln, um die Selektierung, Zuweisung und Verwaltung von Vorfällen unabhängig von ihrer Quelle zu automatisieren. Verbessern Sie die Effizienz Ihres Teams noch mehr, indem Sie Ihre Regeln so konfigurieren, dass Sie Basierend auf ihrem Inhalt Tags auf Incidents anwenden, laute (falsch positive) Vorfälle unterdrücken und aufgelöste Incidents schließen, die den entsprechenden Kriterien entsprechen, einen Grund angeben und Kommentare hinzufügen.
Proaktive Suche mit erweiterter Suche Verwenden Sie Kusto-Abfragesprache (KQL), um Ereignisse in Ihrem Netzwerk proaktiv zu untersuchen, indem Sie die im Defender-Portal gesammelten Protokolle abfragen. Die erweiterte Suche unterstützt einen geführten Modus für Benutzer, die den Komfort eines Abfrage-Generators suchen.
Nutzen von KI mit Microsoft Copilot für Sicherheit Fügen Sie KI hinzu, um Analysten bei komplexen und zeitaufwändigen täglichen Workflows zu unterstützen. Beispielsweise kann Microsoft Copilot für Sicherheit bei der End-to-End-Untersuchung und -Reaktion von Vorfällen helfen, indem sie klar beschriebene Angriffsstorys, Schritt-für-Schritt-Anleitungen zur umsetzbaren Behebung und zusammengefasste Berichte zur Incidentaktivität, KQL-Suche in natürlicher Sprache und Expertencodeanalyse bereitstellen, um die SOC-Effizienz für alle Daten aus allen Quellen zu optimieren.

Diese Funktion wird zusätzlich zu den anderen KI-basierten Funktionen bereitgestellt, die Microsoft Sentinel für die einheitliche Plattform in den Bereichen Benutzer- und Entitätsverhaltensanalyse, Anomalieerkennung, mehrstufige Bedrohungserkennung und vieles mehr bietet.

Weitere Informationen zur Warnungskorrelation und Incidentzusammenführung im Defender-Portal finden Sie unter Warnungen, Vorfälle und Korrelationen in Microsoft Defender XDR