Reagieren auf einen Vorfall mithilfe von Microsoft Sentinel im Azure-Portal mit Microsoft Defender XDR
In diesem Artikel wird erläutert, wie Sie Sicherheitsvorfälle mithilfe von Microsoft Sentinel im Azure-Portal und Microsoft Defender XDR beheben. Erfahren Sie schrittweise Anleitungen zu Triage, Untersuchung und Lösung, um eine schnelle Reaktion auf Vorfälle zu gewährleisten.
- Updates zum Lebenszyklus (Status, Besitzer, Klassifizierung) werden zwischen den Produkten geteilt.
- Die während einer Untersuchung gesammelten Beweise werden im Microsoft Sentinel-Vorfall angezeigt.
Weitere Informationen zur Integration von Microsoft Defender mit Microsoft Sentinel finden Sie unter Microsoft Defender XDR-Integration in Microsoft Sentinel. In diesem interaktiven Leitfaden werden Sie durch das Erkennen und Reagieren auf moderne Angriffe mit den einheitlichen Sicherheitsinformationen und Ereignismanagement-Funktionen (SIEM) sowie den erweiterten Erkennungs- und Reaktionsfunktionen (XDR) von Microsoft geführt.
Vorfall-Triage
Starten Sie die Triage im Azure-Portal mit Microsoft Sentinel, um Details zu Vorfällen zu überprüfen und sofortige Maßnahmen zu ergreifen. Suchen Sie auf der Seite Vorfälle den verdächtigen Vorfall, und aktualisieren Sie Details wie Besitzername, Status und Schweregrad, oder fügen Sie Kommentare hinzu. Vertiefen Sie sich in zusätzliche Informationen, um Ihre Untersuchung fortzusetzen.
Weitere Informationen finden Sie unter Navigieren, Triage und Verwalten von Microsoft Sentinel-Vorfällen im Azure-Portal
Untersuchung von Vorfällen
Verwenden Sie das Azure-Portal als primäres Tool zur Reaktion auf Vorfälle, und wechseln Sie dann zum Defender-Portal, um eine detailliertere Untersuchung zu erfahren.
Zum Beispiel:
| Portal | Aufgaben |
|---|---|
| Im Azure-Portal | Verwenden Sie Microsoft Sentinel im Azure-Portal, um den Vorfall mit Ihren Sicherheitsprozessen, Richtlinien und Verfahren (3P) zu korrelieren. Wählen Sie auf einer Seite mit den Vorfalldetails Untersuchen in Microsoft Defender XDR aus, um denselben Vorfall im Defender-Portal zu öffnen. |
| Im Defender-Portal | Untersuchen Sie Details wie den Vorfallbereich, Zeitlinien der Ressourcen und anstehende Selbstheilungsaktionen. Möglicherweise müssen Sie entitäten auch manuell korrigieren, Liveantworten ausführen und Präventionsmaßnahmen hinzufügen. Auf der Registerkarte Angriffsabschnitt auf der Seite "Vorfalldetails": – Zeigen Sie die Angriffsstory des Vorfalls an, um den Umfang, den Schweregrad, die Erkennungsquelle und die betroffenen Entitäten zu verstehen. – Analysieren Sie die Warnungen des Vorfalls, um deren Ursprung, Umfang und Schweregrad im Kontext der Warnmeldungen innerhalb des Vorfalls zu verstehen. – Sammeln Sie bei Bedarf Informationen zu betroffenen Geräten, Benutzern und Postfächern mit dem Diagramm. Wählen Sie eine beliebige Entität aus, um ein Flyout mit allen Details zu öffnen. – Erfahren Sie, wie Microsoft Defender XDR einige Warnungen automatisch mit der Registerkarte Untersuchungen aufgelöst hat. - Verwenden Sie nach Bedarf Informationen im Datensatz für den Vorfall auf der Registerkarte Nachweis und Reaktion. |
| Im Azure-Portal | Kehren Sie zum Azure-Portal zurück, um zusätzliche Vorfallaktionen auszuführen, z. B.: – Ausführen automatisierter Untersuchungs- und Wartungsaktionen von 3P - Erstellen von benutzerdefinierten Sicherheits-Orchestrierungs-, Automatisierungs- und Reaktions-Playbooks (SOAR) – Aufzeichnung von Nachweisen für die Vorfallverwaltung, z. B. Kommentare, um Ihre Aktionen und die Ergebnisse Ihrer Analyse aufzuzeichnen. - Hinzufügen von benutzerdefinierten Maßnahmen. |
Weitere Informationen finden Sie unter:
- Detaillierte Untersuchung von Microsoft Sentinel-Vorfällen im Azure-Portal
- Verwalten von Vorfällen in Microsoft Defender
Automatisierung mit Microsoft Sentinel
Verwenden Sie die Funktionen für Playbooks und Automatisierungsregeln in Microsoft Sentinel:
Ein Playbook- ist eine Sammlung von Untersuchungs- und Wartungsaktionen, die Sie über das Microsoft Sentinel-Portal als Routine ausführen. Playbooks helfen, Ihre Reaktion auf Bedrohungen zu automatisieren und zu orchestrieren. Sie werden manuell bei Vorfällen, Entitäten oder Warnungen ausgeführt oder automatisch, wenn sie durch eine Automatisierungsregel ausgelöst werden. Weitere Informationen finden Sie unter Automatisieren der Bedrohungsantwort mit Playbooks.
Automatisierungsregeln ermöglichen es Ihnen, die Automatisierung in Microsoft Sentinel zentral zu verwalten, indem Sie einen kleinen Satz von Regeln definieren und koordinieren, die für verschiedene Szenarien gelten. Weitere Informationen finden Sie unter Automatisieren der Bedrohungsantwort in Microsoft Sentinel mit Automatisierungsregeln.
Vorfallauflösung
Wenn Ihre Untersuchung abgeschlossen ist und Sie den Vorfall in den Portalen behoben haben, beheben Sie ihn. Weitere Informationen finden Sie unter Schließen eines Vorfalls im Azure-Portal.
Melden Sie den Vorfall an Ihren Vorfallreaktionsleiter, um potenzielle Folgemaßnahmen zu ergreifen. Zum Beispiel:
- Informieren Sie Ihre Sicherheitsanalysten der Stufe 1, um den Angriff frühzeitig besser zu erkennen.
- Recherchieren Sie den Angriff in Microsoft Defender XDR Threat Analytics und der Sicherheitscommunity für einen Sicherheitsangriffstrend.
- Notieren Sie den Workflow, der zum Beheben des Vorfalls verwendet wird, und aktualisieren Sie Ihre Standardworkflows, Prozesse, Richtlinien und Playbooks.
- Bestimmen Sie, ob Änderungen in Ihrer Sicherheitskonfiguration erforderlich sind, und implementieren Sie sie.
- Erstellen Sie ein Orchestrierungs-Playbook, um Ihre Bedrohungsreaktion für ähnliche Risiken zu automatisieren. Weitere Informationen finden Sie unter Automatisieren der Bedrohungsreaktion mit Playbooks in Microsoft Sentinel.
Verwandte Inhalte
Weitere Informationen finden Sie unter: