Freigeben über


Reagieren auf einen Vorfall mithilfe von Microsoft Sentinel im Azure-Portal mit Microsoft Defender XDR

In diesem Artikel wird erläutert, wie Sie Sicherheitsvorfälle mithilfe von Microsoft Sentinel im Azure-Portal und Microsoft Defender XDR beheben. Erfahren Sie schrittweise Anleitungen zu Triage, Untersuchung und Lösung, um eine schnelle Reaktion auf Vorfälle zu gewährleisten.

  • Updates zum Lebenszyklus (Status, Besitzer, Klassifizierung) werden zwischen den Produkten geteilt.
  • Die während einer Untersuchung gesammelten Beweise werden im Microsoft Sentinel-Vorfall angezeigt.

Weitere Informationen zur Integration von Microsoft Defender mit Microsoft Sentinel finden Sie unter Microsoft Defender XDR-Integration in Microsoft Sentinel. In diesem interaktiven Leitfaden werden Sie durch das Erkennen und Reagieren auf moderne Angriffe mit den einheitlichen Sicherheitsinformationen und Ereignismanagement-Funktionen (SIEM) sowie den erweiterten Erkennungs- und Reaktionsfunktionen (XDR) von Microsoft geführt.

Vorfall-Triage

Starten Sie die Triage im Azure-Portal mit Microsoft Sentinel, um Details zu Vorfällen zu überprüfen und sofortige Maßnahmen zu ergreifen. Suchen Sie auf der Seite Vorfälle den verdächtigen Vorfall, und aktualisieren Sie Details wie Besitzername, Status und Schweregrad, oder fügen Sie Kommentare hinzu. Vertiefen Sie sich in zusätzliche Informationen, um Ihre Untersuchung fortzusetzen.

Weitere Informationen finden Sie unter Navigieren, Triage und Verwalten von Microsoft Sentinel-Vorfällen im Azure-Portal

Untersuchung von Vorfällen

Verwenden Sie das Azure-Portal als primäres Tool zur Reaktion auf Vorfälle, und wechseln Sie dann zum Defender-Portal, um eine detailliertere Untersuchung zu erfahren.

Zum Beispiel:

Portal Aufgaben
Im Azure-Portal Verwenden Sie Microsoft Sentinel im Azure-Portal, um den Vorfall mit Ihren Sicherheitsprozessen, Richtlinien und Verfahren (3P) zu korrelieren. Wählen Sie auf einer Seite mit den Vorfalldetails Untersuchen in Microsoft Defender XDR aus, um denselben Vorfall im Defender-Portal zu öffnen.
Im Defender-Portal Untersuchen Sie Details wie den Vorfallbereich, Zeitlinien der Ressourcen und anstehende Selbstheilungsaktionen. Möglicherweise müssen Sie entitäten auch manuell korrigieren, Liveantworten ausführen und Präventionsmaßnahmen hinzufügen.

Auf der Registerkarte Angriffsabschnitt auf der Seite "Vorfalldetails":
– Zeigen Sie die Angriffsstory des Vorfalls an, um den Umfang, den Schweregrad, die Erkennungsquelle und die betroffenen Entitäten zu verstehen.
– Analysieren Sie die Warnungen des Vorfalls, um deren Ursprung, Umfang und Schweregrad im Kontext der Warnmeldungen innerhalb des Vorfalls zu verstehen.
– Sammeln Sie bei Bedarf Informationen zu betroffenen Geräten, Benutzern und Postfächern mit dem Diagramm. Wählen Sie eine beliebige Entität aus, um ein Flyout mit allen Details zu öffnen.
– Erfahren Sie, wie Microsoft Defender XDR einige Warnungen automatisch mit der Registerkarte Untersuchungen aufgelöst hat.
- Verwenden Sie nach Bedarf Informationen im Datensatz für den Vorfall auf der Registerkarte Nachweis und Reaktion.
Im Azure-Portal Kehren Sie zum Azure-Portal zurück, um zusätzliche Vorfallaktionen auszuführen, z. B.:
– Ausführen automatisierter Untersuchungs- und Wartungsaktionen von 3P
- Erstellen von benutzerdefinierten Sicherheits-Orchestrierungs-, Automatisierungs- und Reaktions-Playbooks (SOAR)
– Aufzeichnung von Nachweisen für die Vorfallverwaltung, z. B. Kommentare, um Ihre Aktionen und die Ergebnisse Ihrer Analyse aufzuzeichnen.
- Hinzufügen von benutzerdefinierten Maßnahmen.

Weitere Informationen finden Sie unter:

Automatisierung mit Microsoft Sentinel

Verwenden Sie die Funktionen für Playbooks und Automatisierungsregeln in Microsoft Sentinel:

  • Ein Playbook- ist eine Sammlung von Untersuchungs- und Wartungsaktionen, die Sie über das Microsoft Sentinel-Portal als Routine ausführen. Playbooks helfen, Ihre Reaktion auf Bedrohungen zu automatisieren und zu orchestrieren. Sie werden manuell bei Vorfällen, Entitäten oder Warnungen ausgeführt oder automatisch, wenn sie durch eine Automatisierungsregel ausgelöst werden. Weitere Informationen finden Sie unter Automatisieren der Bedrohungsantwort mit Playbooks.

  • Automatisierungsregeln ermöglichen es Ihnen, die Automatisierung in Microsoft Sentinel zentral zu verwalten, indem Sie einen kleinen Satz von Regeln definieren und koordinieren, die für verschiedene Szenarien gelten. Weitere Informationen finden Sie unter Automatisieren der Bedrohungsantwort in Microsoft Sentinel mit Automatisierungsregeln.

Vorfallauflösung

Wenn Ihre Untersuchung abgeschlossen ist und Sie den Vorfall in den Portalen behoben haben, beheben Sie ihn. Weitere Informationen finden Sie unter Schließen eines Vorfalls im Azure-Portal.

Melden Sie den Vorfall an Ihren Vorfallreaktionsleiter, um potenzielle Folgemaßnahmen zu ergreifen. Zum Beispiel:

  • Informieren Sie Ihre Sicherheitsanalysten der Stufe 1, um den Angriff frühzeitig besser zu erkennen.
  • Recherchieren Sie den Angriff in Microsoft Defender XDR Threat Analytics und der Sicherheitscommunity für einen Sicherheitsangriffstrend.
  • Notieren Sie den Workflow, der zum Beheben des Vorfalls verwendet wird, und aktualisieren Sie Ihre Standardworkflows, Prozesse, Richtlinien und Playbooks.
  • Bestimmen Sie, ob Änderungen in Ihrer Sicherheitskonfiguration erforderlich sind, und implementieren Sie sie.
  • Erstellen Sie ein Orchestrierungs-Playbook, um Ihre Bedrohungsreaktion für ähnliche Risiken zu automatisieren. Weitere Informationen finden Sie unter Automatisieren der Bedrohungsreaktion mit Playbooks in Microsoft Sentinel.

Weitere Informationen finden Sie unter: