Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Das Microsoft Defender-Portal stellt korrelierte Warnungen, Ressourcen, Untersuchungen und Beweise aus all Ihren Ressourcen zu einem Incident dar, um Ihnen einen umfassenden Einblick in die gesamte Bandbreite eines Angriffs zu bieten.
Innerhalb eines Incidents analysieren Sie die Warnungen, verstehen, was sie bedeuten, und sammeln die Beweise, damit Sie einen effektiven Wiederherstellungsplan erstellen können.
Erste Untersuchung
Bevor Sie sich mit den Details befassen, sehen Sie sich die Eigenschaften und die gesamte Angriffsgeschichte des Vorfalls an.
Sie können zunächst die Incidentzeile auswählen, aber nicht den Incidentnamen auswählen. Ein Zusammenfassungsbereich wird mit wichtigen Informationen zum Vorfall geöffnet, einschließlich der Prioritätsbewertung, der Faktoren, die die Prioritätsbewertung beeinflussen, den Details des Vorfalls, empfohlenen Aktionen und verwandten Bedrohungen. Verwenden Sie die NACH-OBEN- und NACH-UNTEN-TASTE am oberen Rand des Bereichs, um zum vorherigen oder nächsten Incident in der Incidentwarteschlange zu navigieren.
Von hier aus können Sie Vorfallseite öffnen auswählen. Dadurch wird die Hauptseite für den Incident geöffnet, auf der Sie die vollständigen Informationen zum Angriffsverlauf und Registerkarten für Warnungen, Geräte, Benutzer, Untersuchungen und Beweise finden. Sie können auch die Hauptseite für einen Incident öffnen, indem Sie den Incidentnamen aus der Incidentwarteschlange auswählen.
Hinweis
Wenn Benutzer mit bereitgestelltem Zugriff auf Microsoft Security Copilot einen Incident öffnen, wird auf der rechten Seite des Bildschirms der Bereich Copilot angezeigt. Copilot bietet Einblicke und Empfehlungen in Echtzeit, die Ihnen helfen, Incidents zu untersuchen und darauf zu reagieren. Weitere Informationen finden Sie unter Microsoft Copilot in Microsoft Defender.
Angriffsgeschichte
Angriffsgeschichten helfen Ihnen, Angriffe schnell zu überprüfen, zu untersuchen und zu beheben, während Sie die gesamte Geschichte des Angriffs auf derselben Registerkarte anzeigen. Mithilfe einer Angriffsgeschichte können Sie die Entitätsdetails überprüfen und Korrekturmaßnahmen durchführen, z. B. das Löschen einer Datei oder das Isolieren eines Geräts, ohne den Kontext zu verlieren.
Im folgenden Video wird die Angriffsgeschichte kurz beschrieben.
In der Angriffsgeschichte finden Sie die Warnungsseite und das Incidentdiagramm.
Die Seite "Incidentwarnungen" enthält die folgenden Abschnitte:
Warnungsmeldung, die Folgendes umfasst:
- Was ist passiert
- Durchgeführte Aktionen
- Verwandte Ereignisse
Warnungseigenschaften im rechten Bereich (Status, Details, Beschreibung usw.)
Nicht jede Warnung verfügt über alle aufgeführten Unterabschnitte im Abschnitt Warnungsverlauf .
Das Diagramm zeigt den gesamten Umfang des Angriffs, wie sich der Angriff im Laufe der Zeit in Ihrem Netzwerk ausbreitete, wo er begonnen hat und wie weit der Angreifer gegangen ist. Es verbindet die verschiedenen verdächtigen Entitäten, die Teil des Angriffs sind, mit ihren zugehörigen Ressourcen wie Benutzern, Geräten und Postfächern.
Das Diagramm ermöglicht Folgendes:
Spielen Sie die Warnungen und Knoten im Diagramm ab, wie sie im Laufe der Zeit aufgetreten sind, um die Chronologie des Angriffs zu verstehen.
Öffnen Sie einen Entitätsbereich, in dem Sie die Entitätsdetails überprüfen und auf Korrekturaktionen wie das Löschen einer Datei oder das Isolieren eines Geräts reagieren können.
Markieren Sie die Warnungen basierend auf der Entität, mit der sie verknüpft sind.
Suchen nach Entitätsinformationen eines Geräts, einer Datei, einer IP-Adresse, einer URL, eines Benutzers, einer E-Mail-Adresse, eines Postfachs oder einer Cloudressource.
Suche starten
Die Aktion "Go Hunt " verwendet das Feature "Erweiterte Suche ", um relevante Informationen zu einer Entität zu finden. Die Go-Hunt-Abfrage überprüft relevante Schematabellen auf Ereignisse oder Warnungen, die die spezifische Entität betreffen, die Sie untersuchen. Um relevante Informationen zur Entität zu finden, wählen Sie eine der folgenden Optionen aus:
- Alle verfügbaren Abfragen anzeigen : Gibt alle verfügbaren Abfragen für den Entitätstyp zurück, den Sie untersuchen.
- Alle Aktivitäten: Gibt alle Aktivitäten zurück, die einer Entität zugeordnet sind, sodass Sie einen umfassenden Überblick über den Kontext des Incidents erhalten.
- Verwandte Warnungen: Sucht nach allen Sicherheitswarnungen, die eine bestimmte Entität betreffen, und gibt diese zurück, sodass Sie keine Informationen verpassen.
- Alle Benutzeranomalien (Vorschau): Gibt alle Anomalien zurück, die dem Benutzer aus den letzten 30 Tagen zugeordnet sind, sodass Sie ungewöhnliches Verhalten identifizieren können, das für den Vorfall relevant sein könnte. Diese Option ist nur für Benutzerentitäten verfügbar, wenn Sie Microsoft Sentinel User and Entity Behavior Analytics (UEBA) aktivieren.
Sie können die resultierenden Protokolle oder Warnungen mit einem Incident verknüpfen, indem Sie ein Ergebnis und dann Mit Incident verknüpfen auswählen.
Wenn eine von Ihnen festgelegte Analyseregel den Incident oder zugehörige Warnungen erstellt hat, können Sie auch Abfrage ausführen auswählen, um andere verwandte Ergebnisse anzuzeigen.
Analyse des Strahlradius
Die Analyse des Strahlradius ist eine erweiterte Graphvisualisierung, die in die Untersuchung von Vorfällen integriert ist. Basierend auf der Microsoft Sentinel Data Lake- und Graphinfrastruktur generiert es ein interaktives Diagramm, das mögliche Weitergabepfade vom ausgewählten Knoten zu vordefinierten kritischen Zielen zeigt, die auf die Berechtigungen des Benutzers festgelegt sind.
Hinweis
Die Analyse des Strahlradius erweitert und ersetzt die Analyse des Angriffspfads.
Das Diagramm für den Explosionsradius bietet eine einzigartige einheitliche Ansicht von Informationen sowohl vor als auch nach einem Verstoß auf der Incidentseite. Während einer Incidentuntersuchung können Analysten die aktuellen Auswirkungen einer Sicherheitsverletzung und die möglichen zukünftigen Auswirkungen in einem konsolidierten Diagramm sehen. Da es in das Incidentdiagramm integriert ist, hilft das Explosionsradiusdiagramm Sicherheitsteams dabei, den Umfang des Sicherheitsvorfalls schneller zu verstehen und ihre Abwehrmaßnahmen zu verbessern, um die Wahrscheinlichkeit von weit verbreiteten Schäden zu verringern. Die Analyse des Explosionsradius hilft Analysten dabei, das Risiko für hoch angesehene Ziele besser einzuschätzen und die geschäftlichen Auswirkungen zu verstehen.
Für die Verwendung des Strahlradiusdiagramms sind die folgenden Voraussetzungen erforderlich:
- Sie müssen in Microsoft Sentinel Data Lake integriert sein. Weitere Informationen finden Sie unter Onboarding in Microsoft Sentinel Data Lake und Graph.
- Die Berechtigung "Expositionsverwaltung (Lesen)" oder höher. Weitere Informationen finden Sie unter Verwalten von Berechtigungen mit Microsoft Defender einheitlichen rollenbasierten Zugriffssteuerung (Unified Role-Based Access Control, RBAC).
Wichtig
Angriffspfade und Strahlradiusfeatures werden basierend auf den verfügbaren Umgebungsdaten der organization berechnet. Der Wert im Diagramm steigt, wenn mehr Daten für die Berechnung verfügbar sind. Wenn Sie keine weiteren Workloads aktivieren oder kritische Ressourcen nicht vollständig definieren, stellen Explosionsradiusdiagramme Ihre Umgebungsrisiken nicht vollständig dar. Weitere Informationen zum Definieren kritischer Ressourcen finden Sie unter Überprüfen und Klassifizieren kritischer Ressourcen.
In der folgenden Tabelle sind die Anwendungsfälle zur Analyse des Strahlradius für verschiedene Benutzerrollen zusammengefasst:
| Benutzerrolle | Anwendungsfall |
|---|---|
| Sicherheitsanalyst | Verwenden Sie die Analyse des Strahlradius, um einen Vorfall zu untersuchen. Sehen Sie sofort die kompromittierte Komponente in der Mitte des Diagramms und die Pfade zu potenziell kompromittierten Zielen. Der Graph bietet ein intuitives visuelles Verständnis des Incidents und hilft Ihnen, den potenziellen Umfang einer Sicherheitsverletzung schnell zu verstehen. Basierend auf dem Ziel und den Pfaden können Sie Aktionen eskalieren und auslösen, um den Incident auf Knoten entlang der Pfade zum Ziel zu unterbrechen, zu isolieren und einzudämmen. |
| IT-Administratoren und SOC-Techniker | Verwenden Sie die Analyse des Stoßradius, um Ressourcen basierend auf den geschäftlichen Auswirkungen und der Schätzung potenzieller Schäden zu mobilisieren. Techniker können die kritischsten Sicherheitsrisiken priorisieren, die sofortige Aufmerksamkeit erfordern. Der Techniker kann die erforderlichen Ressourcen basierend auf dem Explosionsradius proaktiv zu kritischen Zielen im organization zuordnen, indem er mehrere Knoten untersucht, die auf der Karte mit Sicherheitsrisiken gekennzeichnet sind. Der Techniker kann klar kommunizieren, was geschützt wurde und was betroffen ist, und zusätzliche Schutzmaßnahmen und Netzwerksegmentierungen planen und priorisieren, die erforderlich sind, um weitere Auswirkungen zukünftiger potenzieller Angriffe zu reduzieren. |
| Team zur Reaktion auf Vorfälle | Ermitteln Sie schnell den Umfang des Incidents mit einer dynamischen visuellen Incident map, die es ihnen ermöglicht, gezielte Maßnahmen für die im Diagramm angegebenen Systeme zu ergreifen. |
| CISO oder Sicherheitsführer | Verwenden Sie das Feature "Explosionsradius", um aktuelle status anzugeben, Ziele und Metrikindikatoren festzulegen und diese funktion aus Compliancegründen zu melden und zu überwachen. Das Feature kann verwendet werden, um den Fortschritt von Verteidigungsmaßnahmen und Investitionen in Schutzmaßnahmen nachzuverfolgen. |
Anzeigen von Strahlradiusdiagrammen
Nachdem Sie einen Incident aus der Liste auf der Seite Incidents ausgewählt haben, werden in einer Diagrammansicht die Entitäten und Ressourcen angezeigt, die an dem Vorfall beteiligt sind.
Wählen Sie einen Knoten aus, um das Kontextmenü zu öffnen, und wählen Sie dann Strahlradius anzeigen aus. Wenn kein Pfad für den Strahlradius gefunden wird, wird im Menüelement Kein Strahlradius gefunden angezeigt.
Um den Strahlradius eines einzelnen Knotens in einer Gruppe anzuzeigen, verwenden Sie den Umschalter Gruppierung aufheben über dem Raster, um alle Knoten darzustellen.
Eine neue Diagrammansicht lädt mit den acht am besten bewerteten Angriffspfaden. Eine vollständige Liste der Pfade wird im rechten Bereich angezeigt, wenn Sie Über dem Diagramm die Option Liste des vollständigen Strahlradius anzeigen auswählen. In der Liste der erreichbaren Ziele können Sie den Pfad weiter untersuchen, indem Sie eines der aufgelisteten Ziele auswählen. Im rechten Bereich wird der potenzielle Pfad vom Einstiegspunkt zu diesem Ziel angezeigt. Einigen Knoten sind möglicherweise keine Pfade zugeordnet.
Eine Erläuterung der Symbole, die für Knoten und Kanten im Strahlradiusdiagramm verwendet werden, finden Sie unter Grundlegendes zu Diagrammen und Visualisierungen in Microsoft Defender.
Wählen Sie Liste mit Dem Strahlradius anzeigen aus, um eine Liste der Zielressourcen anzuzeigen. Wählen Sie ein Zielobjekt aus der Liste aus, um seine Details und potenziellen Angriffspfade anzuzeigen. Wenn Sie die Badges in Verbindungen auswählen, werden weitere Details zur Verbindung angezeigt.
Wenn Pfade zu gruppierten Zielen desselben Typs führen, wählen Sie die gruppierten Symbole aus, um diskrete Pfade zu Zielen anzuzeigen. Auf der rechten Seite wird ein Bereich geöffnet, in dem alle Ziele in der Gruppe angezeigt werden. Wenn Sie das Kontrollkästchen auf der linken Seite aktivieren und oben die Schaltfläche Erweitern auswählen, werden jedes Ziel und seine Pfade separat angezeigt.
Blenden Sie das Strahlradiusdiagramm aus, und kehren Sie zum ursprünglichen Vorfalldiagramm zurück, indem Sie den Knoten und dann Blendenradius ausblenden aus.
Begrenzungen
Die folgenden Einschränkungen gelten für das Strahlradiusdiagramm:
Einschränkungen der Pfadlänge (Analysebereich): Die Berechnung der Länge des Strahlradiusdiagramms umfasst bis zu sieben Hops vom Quellknoten. Der Strahlradius ist eine Annäherung an die gesamte Angriffsreichweite. Die maximale Anzahl von Hops hängt von der Umgebung ab:
- Fünf Hops für die Cloud
- Fünf Hops für lokale Umgebungen
- Drei Hops für hybride
Aktualität der Daten: Latenzen können zwischen einer Änderung in der Umgebung des organization und der Reflexion dieser Änderung im Explosionsradiusdiagramm bestehen. Während dieser Zeit ist das Modell möglicherweise unvollständig.
Mögliche Pfade: Das Diagramm des Strahlradius zeigt mögliche Pfade an. Es ist nicht garantiert, dass ein Angreifer jeden gezeigten Pfad einnimmt.
Bekannte Angriffsvektoren: Der Graph basiert auf bekannten Angriffsvektoren. Wenn Angreifer eine neue laterale Bewegung oder eine neue Technik finden, die noch modelliert werden muss, wird sie nicht im Explosionsradiusdiagramm angezeigt.
Benutzerbereiche: Das angezeigte Diagramm basiert auf den zulässigen Bereichen für den Anzeigenbenutzer. Das Diagramm zeigt nur Knoten und Kanten, die basierend auf der definierten RBAC- und Bereichseinstellungen für den Benutzer festgelegt sind. Pfade, die Knoten oder Kanten außerhalb des Bereichs enthalten, sind nicht sichtbar.
Inselknoten: Nicht verbundene Knoten werden möglicherweise aufgrund von Änderungen im Diagramm angezeigt, die zwischen der Erfassung der Daten und der Berechnung des Strahlradius auftreten.
Vorfalldetails
Sie können die Details eines Incidents im rechten Bereich einer Incidentseite anzeigen. Zu den Incidentdetails gehören Incidentzuweisung, ID, Klassifizierung, Kategorien sowie Datum und Uhrzeit der ersten und letzten Aktivität. Es enthält auch eine Beschreibung des Incidents, der betroffenen Ressourcen, der aktiven Warnungen und gegebenenfalls der zugehörigen Bedrohungen, Empfehlungen und der Zusammenfassung und Auswirkungen von Unterbrechungen. Hier sehen Sie ein Beispiel für die Incidentdetails, bei denen die Beschreibung des Vorfalls hervorgehoben ist.
Die Vorfallbeschreibung bietet einen kurzen Überblick über den Vorfall. In einigen Fällen wird die erste Warnung im Incident als Beschreibung des Vorfalls verwendet. In diesem Fall wird die Beschreibung nur im Portal angezeigt und nicht im Aktivitätsprotokoll, in erweiterten Huntingtabellen oder im Microsoft Sentinel in Azure-Portal gespeichert.
Tipp
Microsoft Sentinel Kunden können auch die gleiche Vorfallbeschreibung im Azure-Portal anzeigen und überschreiben, indem sie die Vorfallbeschreibung über die API oder Automatisierung festlegen.
Filtern und Konzentrieren des Incidentdiagramms (Vorschau)
Verwenden Sie Filter für sehr große Incidents mit vielen Warnungen und Entitäten, oder blenden Sie bestimmte Entitäten aus, um komplexe Incidentdiagramme zu vereinfachen. Durch die Vereinfachung des Diagramms können Sie ihre Untersuchung auf das Wesentliche konzentrieren.
So filtern Sie ein Incidentdiagramm:
Wählen Sie Filter hinzufügen über dem Incidentdiagramm aus.
Wählen Sie eines der folgenden verfügbaren Filterkriterien und dann Hinzufügen aus:
- Schweregrad: Anzeigen von Warnungen mit hohem, mittlerem oder niedrigem Schweregrad.
- Status: Anzeigen neuer, in Bearbeitung oder aufgelöster Warnungen.
- Dienstquellen: Anzeigen von Warnungen von bestimmten Diensten wie Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender für Office 365 usw.
Wählen Sie für jedes hinzugefügte Filterkriterium die Elemente aus, die Sie filtern möchten, und wählen Sie dann Übernehmen aus.
Hinweis
Wenn alle Entitäten herausgefiltert werden, wird eine leere Statusmeldung angezeigt. Passen Sie Ihre Filter an, um relevante Entitäten anzuzeigen.
So blenden Sie bestimmte Entitätstypen aus:
Wählen Sie Entitätstypen oberhalb des Incidentdiagramms aus.
Deaktivieren Sie die Entitätstypen, die Sie ausblenden möchten, z. B. Datei oder Benutzer. Das Diagramm zeichnet sich ohne diese Entitäten neu aus.
Warnungen
Auf der Registerkarte Warnungen können Sie die Warnungswarteschlange für Warnungen im Zusammenhang mit dem Incident und andere Informationen zu ihnen anzeigen, z. B. die folgenden Details:
- Schweregrad der Warnungen.
- Die An der Warnung beteiligten Entitäten.
- Die Quelle der Warnungen (Defender for Identity, Defender für Endpunkt, Defender für Office 365, Microsoft Defender for Cloud Apps und das App-Governance-Add-On).
- Der Grund, warum die Warnungen miteinander verknüpft sind.
Standardmäßig werden die Warnungen in chronologischer Reihenfolge angezeigt, sodass Sie sehen können, wie sich der Angriff im Laufe der Zeit abgespielt hat. Wenn Sie eine Warnung innerhalb eines Incidents auswählen, zeigt Microsoft Defender XDR die Warnungsinformationen an, die für den Kontext des Gesamtvorfalls spezifisch sind.
Sie können die Ereignisse der Warnung anzeigen, die andere ausgelöste Warnungen die aktuelle Warnung verursacht haben, sowie alle betroffenen Entitäten und Aktivitäten, die an dem Angriff beteiligt sind, einschließlich Geräten, Dateien, Benutzern, Cloud-Apps und Postfächern.
Weitere Informationen finden Sie unter Untersuchen von Warnungen.
Hinweis
Wenn Sie Zugriff auf Microsoft Purview Insider Risk Management haben, können Sie Warnungen zum Insider-Risikomanagement anzeigen und verwalten und nach Insider-Risikomanagementereignissen im Microsoft Defender-Portal suchen. Weitere Informationen finden Sie unter Untersuchen von Insider-Risikobedrohungen im Microsoft Defender-Portal.
Aktivitäten
Auf der Registerkarte Aktivitäten wird eine einheitliche Zeitleiste aller manuellen und automatisierten Aktionen angezeigt, die innerhalb eines Incidents auftreten. Sie können nach Ursprung, Kategorie, Anbieter, Trigger, Aktivitäts-status, Richtlinien-status, Typ, Zielname, Zieltyp oder Ausgeführt von filtern. Sie können auch als Seitenbereich im Aktivitätsprotokoll auf diese Informationen zugreifen.
Mithilfe der Registerkarte Aktivitäten können Analysten Incidents selektieren und untersuchen. Dieser Prozess umfasst das Identifizieren der wichtigsten Schritte, die von Menschen und automatisierten Systemen ausgeführt werden, die Überprüfung der jüngsten Änderungen (z. B. Tags, Zusammenführungen, Schweregradaktualisierungen), das Überprüfen von Kommentaren und Übergaben, das Überprüfen detaillierter Metadaten in Seitenbereichen und das Folgen automatisierter Workflows, die von Automatisierungsregeln, Playbooks oder Agents gestartet wurden.
Objekte
Auf einfache Weise können Sie alle Ihre Ressourcen an einem Ort anzeigen und verwalten, indem Sie die Registerkarte Assets verwenden. Diese einheitliche Ansicht umfasst Geräte, Benutzer, Postfächer und Apps.
Auf der Registerkarte Assets wird neben dem Namen die Gesamtanzahl der Ressourcen angezeigt. Wenn Sie die Registerkarte Assets auswählen, wird eine Liste mit verschiedenen Kategorien mit der Anzahl der Ressourcen in jeder Kategorie angezeigt.
Geräte
In der Ansicht Geräte werden alle Geräte aufgelistet, die sich auf den Incident beziehen.
Wenn Sie ein Gerät aus der Liste auswählen, öffnen Sie eine Leiste, die Sie zum Verwalten des ausgewählten Geräts verwenden können. Sie können Tags schnell exportieren, verwalten, automatisierte Untersuchungen initiieren und vieles mehr.
Sie können das Häkchen für ein Gerät aktivieren, um Details zum Gerät, Verzeichnisdaten, aktiven Warnungen und angemeldeten Benutzern anzuzeigen. Wählen Sie den Namen des Geräts aus, um Gerätedetails im Defender für Endpunkt-Gerätebestand anzuzeigen.
Auf der Geräteseite können Sie zusätzliche Informationen zum Gerät sammeln, z. B. alle Warnungen, eine Zeitleiste und Sicherheitsempfehlungen. Beispielsweise können Sie auf der Registerkarte Zeitachse durch das Gerät scrollen Zeitleiste und alle Ereignisse und Verhaltensweisen anzeigen, die auf dem Computer beobachtet wurden, in chronologischer Reihenfolge, eingestreut mit den ausgelösten Warnungen.
Benutzer
In der Ansicht Benutzer werden alle Benutzer aufgelistet, die als Teil des Incidents oder im Zusammenhang mit diesem identifiziert wurden.
Aktivieren Sie das Häkchen für einen Benutzer, um Details der Bedrohungs-, Offenlegungs- und Kontaktinformationen des Benutzerkontos anzuzeigen. Wählen Sie den Benutzernamen aus, um zusätzliche Benutzerkontodetails anzuzeigen.
Informationen zum Anzeigen zusätzlicher Benutzerinformationen und zum Verwalten der Benutzer eines Incidents finden Sie unter Untersuchen von Benutzern.
Postfächer
In der Ansicht Postfächer werden alle Postfächer aufgelistet, die als Teil des Incidents oder im Zusammenhang mit dem Incident identifiziert wurden.
Aktivieren Sie das Häkchen für ein Postfach, um eine Liste der aktiven Warnungen anzuzeigen. Wählen Sie den Postfachnamen aus, um zusätzliche Postfachdetails auf der Seite Explorer für Defender für Office 365 anzuzeigen.
Apps
In der Ansicht Apps werden alle Apps aufgelistet, die als Teil des Incidents oder im Zusammenhang mit diesem identifiziert wurden.
Aktivieren Sie das Häkchen für eine App, um eine Liste der aktiven Warnungen anzuzeigen. Wählen Sie den App-Namen aus, um weitere Details auf der Seite Explorer für Defender for Cloud Apps anzuzeigen.
Cloudressourcen
In der Ansicht Cloudressourcen werden alle Cloudressourcen aufgelistet, die Teil des Incidents sind oder sich auf diesen beziehen.
Aktivieren Sie das Häkchen für eine Cloudressource, um die Details der Ressource und eine Liste der aktiven Warnungen anzuzeigen. Wählen Sie Seite "Cloudressource öffnen" aus, um weitere Details anzuzeigen und die vollständigen Details in Microsoft Defender für Cloud anzuzeigen.
Untersuchungen
Auf der Registerkarte Untersuchungen werden alle automatisierten Untersuchungen aufgelistet, die durch Warnungen in diesem Incident ausgelöst werden. Je nachdem, wie Sie automatisierte Untersuchungen für die Ausführung in Defender für Endpunkt und Defender für Office 365 konfigurieren, führen automatisierte Untersuchungen Korrekturaktionen durch oder warten auf die Genehmigung von Aktionen durch Analysten.
Wählen Sie eine Untersuchung aus, um zu ihrer Detailseite zu navigieren, um vollständige Informationen zur Untersuchung und Behebung status zu erhalten. Wenn Aktionen im Rahmen der Untersuchung genehmigt werden müssen, werden sie auf der Registerkarte Ausstehende Aktionen angezeigt. Ergreifen Sie Maßnahmen im Rahmen der Behebung von Vorfällen.
Auf der Registerkarte Untersuchungsdiagramm wird Folgendes angezeigt:
- Die Verbindung von Warnungen mit den betroffenen Ressourcen in Ihrem organization.
- Welche Entitäten hängen mit welchen Warnungen zusammen und wie sie Teil der Geschichte des Angriffs sind.
- Die Warnungen für den Incident.
Das Untersuchungsdiagramm hilft Ihnen, den gesamten Umfang des Angriffs schnell zu verstehen, indem die verschiedenen verdächtigen Entitäten, die Teil des Angriffs sind, mit ihren zugehörigen Ressourcen wie Benutzern, Geräten und Postfächern verbunden werden.
Weitere Informationen finden Sie unter Automatisierte Untersuchung und Reaktion in Microsoft Defender XDR.
Beweis und Antwort
Auf der Registerkarte Beweis und Antwort werden alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen im Incident angezeigt.
Microsoft Defender XDR untersucht automatisch alle unterstützten Ereignisse und verdächtigen Entitäten in den Warnungen und stellt Ihnen Informationen zu wichtigen E-Mails, Dateien, Prozessen, Diensten, IP-Adressen und mehr zur Verfügung. Dies hilft Ihnen, potenzielle Bedrohungen im Incident schnell zu erkennen und zu blockieren.
Jede analysierte Entität ist mit einem Urteil (Böswillig, Verdächtig, Bereinigen) und einer Korrektur status gekennzeichnet. Diese Informationen helfen Ihnen, die status des gesamten Incidents zu verstehen und welche nächsten Schritte Sie ausführen können.
Genehmigen oder Ablehnen von Korrekturaktionen
Bei Vorfällen mit einer Status ausstehender Genehmigung können Sie eine Korrekturaktion genehmigen oder ablehnen, in Explorer öffnen oder über die Registerkarte "Beweise und Antwort" die Suche starten.
Zusammenfassung
Verwenden Sie die Seite Zusammenfassung , um die relative Wichtigkeit des Incidents zu bewerten und schnell auf die zugehörigen Warnungen und betroffenen Entitäten zuzugreifen. Auf der Seite Zusammenfassung erhalten Sie einen Momentaufnahme Überblick über die wichtigsten Punkte, die Sie über den Vorfall beachten müssen.
Die Informationen sind in diesen Abschnitten organisiert.
| Abschnitt | Beschreibung |
|---|---|
| Warnungen und Kategorien | Eine visuelle und numerische Ansicht, wie weit der Angriff gegen die Kill Chain fortgeschritten ist. Wie bei anderen Microsoft-Sicherheitsprodukten ist Microsoft Defender XDR auf das MITRE ATT&CK-Framework™ ausgerichtet. Die warnungs-Zeitleiste zeigt die chronologische Reihenfolge, in der die Warnungen aufgetreten sind, sowie für jeden deren status und Namen an. |
| Bereich | Zeigt die Anzahl der betroffenen Geräte, Benutzer und Postfächer an. Sie listet die Entitäten nach Risikostufe und Untersuchungspriorität auf. |
| Warnungen | Zeigt die Warnungen an, die an dem Incident beteiligt sind. |
| Beweis | Zeigt die Anzahl der entitäten an, die von dem Vorfall betroffen sind. |
| Incidentinformationen | Zeigt die Eigenschaften des Incidents an, z. B. Tags, status und Schweregrad. |
Ähnliche Vorfälle
Bei einigen Vorfällen sind möglicherweise ähnliche Vorfälle auf der Seite Ähnliche Vorfälle aufgeführt. Dieser Abschnitt zeigt Incidents mit ähnlichen Warnungen, Entitäten und anderen Eigenschaften. Diese Ähnlichkeit kann Ihnen helfen, den Umfang des Angriffs zu verstehen und andere Vorfälle zu identifizieren, die möglicherweise damit zusammenhängen.
Tipp
Defender Boxed, eine Reihe von Karten, die die Sicherheitserfolge, Verbesserungen und Reaktionsaktionen Ihrer organization in den letzten sechs Monaten oder Jahren darstellen, erscheint für einen begrenzten Zeitraum im Januar und Juli jedes Jahres. Erfahren Sie, wie Sie Ihre Defender Boxed-Highlights freigeben können.
Nächste Schritte
Sehen Sie sich bei Bedarf die folgenden Ressourcen an:
Siehe auch
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.