Untersuchen von Warnungen in Microsoft Defender XDR

Hinweis

In diesem Artikel werden Sicherheitswarnungen in Microsoft Defender XDR beschrieben. Sie können jedoch Warnungsrichtlinien verwenden, um E-Mail-Benachrichtigungen an sich selbst oder andere Administratoren zu senden, wenn Benutzer bestimmte Aktivitäten in Microsoft 365 ausführen. Weitere Informationen finden Sie unter Warnungsrichtlinien im Microsoft Defender-Portal.

Hinweis

Obwohl dieser Artikel spezifisch für Defender XDR ist, benötigen Sie nicht unbedingt eine XDR-Lizenz, um auf diese Warnungen zuzugreifen. Wenn Sie z. B. über Microsoft Defender for Office 365 verfügen, erhalten Sie Benachrichtigungen an den in diesem Artikel erwähnten Speicherorten. Je nach Lizenzstufe haben Sie Zugriff auf einige Defender XDR Einstellungen im Defender Einstellungskatalog. Weitere Informationen zu Defender für 365 finden Sie in der Microsoft Defender for Office 365 Dokumentation.

Warnungen sind Signale, die sich aus verschiedenen Aktivitäten zur Bedrohungserkennung ergeben. Diese Signale werden von den vielen Sicherheitsdiensten erzeugt, die sich im Microsoft Defender-Portal befinden, und weisen auf das Auftreten schädlicher oder verdächtiger Ereignisse in Ihrer Umgebung hin.

Diese verdächtigen Ereignisse sind in der Regel Teil einer umfassenderen Angriffsgeschichte. Im Microsoft Defender-Portal stellen Warnungen einzelne Nachweise dar, die Defender XDR mit Vorfällen korreliert (siehe Übersicht über Vorfälle). Incidents erzählen die gesamte Angriffsgeschichte; Die Analyse von Warnungen kann jedoch nützlich sein, wenn eine tiefergehende Analyse erforderlich ist.

Die Warnungswarteschlange zeigt den aktuellen Satz von Warnungen an. Sie können die gesamte Warnungswarteschlange über Incidents & alerts > Alerts in der Schnellstartleiste des Microsoft Defender-Portals anzeigen. Sie können die Warnmeldungen für jeden Vorfall auch in der Incidents-Warteschlange sowie auf der Seite des jeweiligen Vorfalls auf der Registerkarte Warnmeldungen anzeigen.

Abschnitt

Warnungen von verschiedenen Microsoft-Sicherheitslösungen wie Microsoft Defender for Endpoint, Defender für Office 365, Microsoft Sentinel, Defender für Cloud, Defender for Identity, Defender for Cloud Apps, Defender XDR, App Governance, Microsoft Entra ID Protection und Microsoft Data Loss Prevention werden hier angezeigt.

Standardmäßig werden in der Warnungswarteschlange im Microsoft Defender-Portal die neuen und in Bearbeitung befindlichen Warnungen der letzten sieben Tage angezeigt. Die letzte Warnung befindet sich oben in der Liste, sodass Sie sie zuerst sehen können. Sie finden auch die Gesamtzahl der Warnungen in der Warteschlange, die neben der Suchleiste angegeben ist. Die Gesamtzahl der Warnungen variiert je nach den in der Warteschlange verwendeten Filtern.

In der Standardwarnungswarteschlange können Sie Filtern auswählen, um alle verfügbaren Filter anzuzeigen, aus denen Sie eine Teilmenge der Warnungen angeben können. Im Folgenden sehen Sie ein Beispiel.

Alle Filter, die in der Warnungswarteschlange im Microsoft Defender-Portal verfügbar sind

Sie können Warnungen nach diesen Kriterien filtern:

  • Schweregrad
  • Status
  • Kategorien
  • Quellen für Dienste/Erkennung
  • Stichwörter
  • Richtlinie/Richtlinienregel
  • Alarmtyp
  • Produktname
  • ID des Warnungsabonnements
  • Entitäten (die betroffenen Ressourcen)
  • Status der automatisierten Untersuchung
  • Arbeitsbereich
  • Datenstrom (Workload oder Standort)
  • Vertraulichkeitsbezeichnung

Hinweis

Microsoft Defender XDR-Kunden können jetzt Sicherheitsvorfälle mit Warnungen filtern, bei denen ein kompromittiertes Gerät mit OT-Geräten kommuniziert hat, die über die Geräteerkennungsintegration von Microsoft Defender for IoT und Microsoft Defender for Endpoint mit dem Unternehmensnetzwerk verbunden sind. Um diese Vorfälle zu filtern, wählen Sie in den Dienst-/Erkennungsquellen die Option Beliebig aus und wählen Sie dann unter Produktname Microsoft Defender für IoT aus, oder lesen Sie Untersuchen von Vorfällen und Warnungen in Microsoft Defender für IoT im Defender-Portal. Sie können auch Gerätegruppen verwenden, um nach standortspezifischen Warnungen zu filtern. Weitere Informationen zu den Voraussetzungen für Defender für IoT finden Sie unter Erste Schritte mit der Enterprise IoT-Überwachung in Microsoft Defender XDR.

Eine Warnung kann Systemtags und/oder benutzerdefinierte Tags mit bestimmten Farbhintergründen enthalten. Benutzerdefinierte Tags verwenden den weißen Hintergrund, während Systemtags in der Regel rote oder schwarze Hintergrundfarben verwenden. Systemtags identifizieren Folgendes in einem Incident:

  • Eine Art von Angriff, z. B. Ransomware- oder Anmeldeinformations-Phishing
  • Automatische Aktionen, z. B. automatische Untersuchung und Reaktion und automatische Angriffsunterbrechung
  • Defender-Experten zur Behandlung eines Incidents
  • Kritische Assets, die von dem Vorfall betroffen sind

Tipp

Die Security Exposure Management von Microsoft, basierend auf vordefinierten Klassifizierungen, markiert Geräte, Identitäten und Cloudressourcen automatisch als kritische Ressource. Diese standardmäßig verfügbare Funktion gewährleistet den Schutz der wertvollsten und wichtigsten Ressourcen einer Organisation. Darüber hinaus unterstützt sie Sicherheitsteams bei der Priorisierung von Untersuchungen und Korrekturen. Erfahren Sie mehr über die Verwaltung kritischer Ressourcen.

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung erheblich geändert werden kann. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Ausdrücklichen oder Stillschweigenden Garantien.

Sie können nach Warnungen suchen, indem Sie einen benutzerdefinierten Datums- und Zeitbereich verwenden oder die Suchleiste verwenden, um nach bestimmten Warnungen zu suchen. Wenn Sie innerhalb eines bestimmten Datums- oder Uhrzeitbereichs nach Warnungen suchen möchten, wählen Sie in der Datumsauswahl benutzerdefinierten Bereich aus, und geben Sie dann das Start- und Enddatum und die Uhrzeit an.

Hervorheben der Option „Benutzerdefinierter Bereich“ in der Datums- und Zeitauswahl in der Warteschlange der Warnungen.

Um nach bestimmten Warnungen zu suchen, geben Sie den Suchbegriff in die Suchleiste ein. Sie können basierend auf dem Warnungstitel oder der Warnungs-ID nach Warnungen suchen.

Hervorheben der Suchleiste in der Warnungswarteschlange

Erlaubnisse

Der Zugriff auf Warnungen im Microsoft Defender Portal wird durch Microsoft Defender Berechtigungen und Rollenzuweisungen gesteuert.

Rollenzuweisungen

Sie können die zum Anzeigen von Warnungen erforderlichen Berechtigungen über diese Rollenzuweisungen erhalten:

  • Microsoft Entra-Rollen wie Sicherheitsleser, Sicherheitsoperator oder Sicherheitsadministrator.
  • Microsoft Defender benutzerdefinierte Rollen, die Berechtigungen für den Zugriff auf Sicherheitsdaten enthalten, z. B. Sicherheitsdatengrundlagen (lesen).

Weitere Informationen finden Sie unter Berechtigungen in Microsoft Defender einheitlichen rollenbasierten Zugriffssteuerung (Unified Role-Based Access Control, RBAC).

Hinweis

Microsoft Sentinel-Daten verwenden weiterhin Microsoft Sentinel-Arbeichsbereichsberechtigungen. Um Warnungen anzuzeigen, die Microsoft Sentinel Daten enthalten, benötigen Sie die entsprechenden Azure RBAC-Berechtigungen für den entsprechenden Sentinel-Arbeitsbereich. Weitere Informationen finden Sie unter Verbinden von Microsoft Sentinel mit dem Microsoft Defender-Portal.

Analysieren einer Warnung

Um die Hauptwarnungsseite anzuzeigen, wählen Sie den Namen der Warnung aus. Im Folgenden sehen Sie ein Beispiel.

Screenshot: Details einer Warnung im Microsoft Defender-Portal

Sie können auch die Aktion Hauptwarnungsseite öffnen im Bereich Warnung verwalten auswählen.

Eine Warnungsseite besteht aus den folgenden Abschnitten:

  • Warnungsverlauf: Dies ist die Kette von Ereignissen und Warnungen im Zusammenhang mit dieser Warnung in chronologischer Reihenfolge.
  • Zusammenfassungsdetails

Auf einer Warnungsseite können Sie die Auslassungspunkte (...) neben einer beliebigen Entität auswählen, um verfügbare Aktionen anzuzeigen, z. B. das Verknüpfen der Warnung mit einem anderen Incident. Die Liste der verfügbaren Aktionen hängt vom Typ der Warnung ab.

Warnungsquellen

Microsoft Defender XDR Warnungen stammen von Lösungen wie Microsoft Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps, dem App-Governance-Add-On für Microsoft Defender for Cloud Apps, Microsoft Entra ID Protection und Microsoft Data Loss Prevention. Möglicherweise fallen Ihnen Warnmeldungen auf, denen Zeichen vorangestellt sind. Die folgende Tabelle bietet Hinweise, um Ihnen zu helfen, die Zuordnung von Warnungsquellen anhand des der Warnung vorangestellten Zeichens zu verstehen.

Hinweis

  • Die vorangestellten GUIDs sind ausschließlich für vereinheitlichte Oberflächen wie die vereinheitlichte Warteschlange für Warnungen, die vereinheitlichte Warnungsseite, die vereinheitlichte Untersuchung und den vereinheitlichten Vorfall bestimmt.
  • Das vorangestellte Zeichen ändert die GUID des Alarms nicht. Die einzige Änderung an der GUID ist die vorangestellte Komponente.
Warnungsquelle Warnungs-ID mit vorangestellten Zeichen
Microsoft Defender XDR ra{GUID}
ta{GUID} für Warnungen von ThreatExperts
ea{GUID} für Warnungen aus benutzerdefinierten Erkennungen
Microsoft Defender für Office 365 fa{GUID}
Beispiel: fa123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Defender für Endpunkt da{GUID}
ed{GUID} für Warnungen aus benutzerdefinierten Erkennungen
Microsoft Defender for Identity aa{GUID}
ri{GUID} für Warnungen aus der XDR-Erkennungs-Engine
Beispiel: aa123a456b-c789-1d2e-12f1g33h445h6i, ri001122334455667788_-0123456789
Microsoft Defender für Cloud-Apps ca{GUID}
ma{GUID} für Warnungen von App Governance-Erkennungen und -Richtlinien
rm{GUID} für Warnungen aus der XDR-Erkennungs-Engine
Beispiel: ca123a456b-c789-1d2e-12f1g33h445h6i
Microsoft Entra ID-Schutz ad{GUID}
App-Verwaltung ma{GUID}
Microsoft Verhinderung von Datenverlust dl{GUID}
Microsoft Defender für Cloud dc{GUID}
Microsoft Sentinel sn{GUID}
Microsoft Purview Insider-Risikomanagement ir{GUID}
Microsoft Security Copilot sc{GUID}

Hinweis

Wenn Sie Zugriff auf Microsoft Purview Insider Risk Management haben, können Sie Warnungen zum Insider-Risikomanagement anzeigen und verwalten und nach Insider-Risikomanagementereignissen im Microsoft Defender-Portal suchen. Weitere Informationen finden Sie unter Untersuchen von Insider-Risikobedrohungen im Microsoft Defender-Portal.

Konfigurieren von Warnungsdiensteinstellungen

So konfigurieren Sie Warnungsdiensteinstellungen in Microsoft Defender XDR:

  1. Wechseln Sie zum Microsoft Defender-Portal (security.microsoft.com), und wählen Sie Einstellungen>Microsoft Defender XDR aus.

  2. Wählen Sie in der Liste Warnungsdiensteinstellungen aus, und konfigurieren Sie dann die Warnungseinstellungen für den Dienst.

    Wichtig

    Ab dem 11. Dezember 2025 führt Microsoft Defender XDR erweiterte Konfigurationsoptionen für Entra ID Protection-Warnungen in der öffentlichen Vorschau ein. Diese Updates bieten Ihnen eine präzisere Kontrolle über risikobasierte Warnungen. Die neue Standardeinstellung ist Nur Erkennungen mit hohem Risiko. Ändern Sie die Standardeinstellung basierend auf den Anforderungen Ihrer organization in Hoch + Mittel oder Alle Erkennungen.

    Screenshot der Einstellung für Microsoft Entra ID-Schutzwarnungen im Microsoft Defender-Portal.

Sie können auch direkt auf die Einstellungen des Warnungsdiensts über die Seite Incidents im Microsoft Defender-Portal zugreifen.

Wichtig

Einige Informationen beziehen sich auf Vorabversionen von Produkten, die vor der kommerziellen Veröffentlichung noch erheblich geändert werden können. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent.

Analysieren betroffener Ressourcen

Auf einer Seite mit Warnungsdetails listet der Abschnitt "Aktionen" betroffene Ressourcen auf, z. B. Postfächer, Geräte und Benutzer, die von der Warnung betroffen sind.

Sie können auch Im Info-Center anzeigen auswählen, um die Registerkarte Verlauf des Info-Centers im Microsoft Defender-Portal anzuzeigen.

Die Rolle eines Alarms im Alarmverlauf verfolgen

Die Alarmübersicht zeigt alle mit dem Alarm verbundenen Assets oder Entitäten in einer Prozessbaumansicht an. Auf der Warnungsdetailseite ist die im Seitentitel genannte Warnung zunächst im Fokus. Die Elemente in der Alert-Story sind erweiterbar und anklickbar. Sie stellen zusätzliche Informationen bereit und beschleunigen Ihre Reaktion, indem sie es Ihnen ermöglichen, direkt im Kontext der Warnungsseite Maßnahmen zu ergreifen.

Hinweis

Der Abschnitt "Warnungsverlauf" kann mehrere Warnungen enthalten, wobei zusätzliche Warnungen im Zusammenhang mit derselben Ausführungsstruktur vor oder nach der ausgewählten Warnung angezeigt werden.

Weitere Warnungsinformationen auf der Detailseite anzeigen

Die Detailseite zeigt die ausgewählte Warnung sowie die zugehörigen Details und Aktionen. Wenn Sie eine der betroffenen Ressourcen oder Entitäten im Warnungsverlauf auswählen, ändert sich die Detailseite, um kontextbezogene Informationen und Aktionen für das ausgewählte Objekt bereitzustellen.

Nachdem Sie eine interessante Entität ausgewählt haben, wird die Detailseite geändert, um Informationen zum ausgewählten Entitätstyp, Verlaufsinformationen, sofern verfügbar, und Optionen zum Ausführen von Aktionen für diese Entität direkt auf der Warnungsseite anzuzeigen.

Verwalten von Warnungen

Wählen Sie zum Verwalten einer Warnung im Abschnitt "Zusammenfassungsdetails" der Warnungsseite Warnung verwalten aus. Für eine einzelne Warnung finden Sie hier ein Beispiel für den Bereich Warnung verwalten.

Screenshot des Abschnitts

Im Bereich Warnung verwalten können Sie Folgendes anzeigen oder angeben:

  • Der Warnungsstatus (Neu, Behoben, In Bearbeitung).
  • Das Benutzerkonto, dem die Warnung zugewiesen wurde.
  • Die Klassifizierung der Warnung:
    • Nicht festgelegt (Standard).
    • Richtig positiv mit einer Art von Bedrohung. Verwenden Sie diese Klassifizierung für Warnungen, die genau auf eine echte Bedrohung hinweisen. Wenn Sie diesen Bedrohungstyp angeben, kann Ihr Sicherheitsteam Bedrohungsmuster erkennen und Maßnahmen ergreifen, um Ihre Organisation davor zu schützen.
    • Informativ, erwartete Aktivität mit einem Aktivitätstyp. Verwenden Sie diese Option für Warnungen, die technisch genau sind, aber normales Verhalten oder simulierte Bedrohungsaktivitäten darstellen. Sie möchten diese Warnungen im Allgemeinen ignorieren, erwarten sie jedoch für ähnliche Aktivitäten in der Zukunft, bei denen die Aktivitäten von tatsächlichen Angreifern oder Schadsoftware ausgelöst werden. Verwenden Sie die Optionen in dieser Kategorie, um Warnungen für Sicherheitstests, rote Teamaktivitäten und erwartetes ungewöhnliches Verhalten von vertrauenswürdigen Apps und Benutzern zu klassifizieren.
    • Falsch positiv für Typen von Warnungen, die auch dann erstellt wurden, wenn keine schädliche Aktivität vorhanden ist, oder für einen falschen Alarm. Verwenden Sie die Optionen in dieser Kategorie, um Warnungen, die versehentlich als normale Ereignisse oder Aktivitäten identifiziert werden, als böswillig oder verdächtig zu klassifizieren. Im Gegensatz zu Warnungen für "Informationelle, erwartete Aktivität", die auch nützlich sein können, um echte Bedrohungen abzufangen, möchten Sie diese Warnungen in der Regel nicht erneut sehen. Die Klassifizierung von Warnungen als falsch positiv hilft Microsoft Defender XDR die Erkennungsqualität zu verbessern.
  • Ein Kommentar zur Warnung.

Hinweis

  • Im August 2022 waren die zuvor unterstützten Warnungsermittlungswerte (Apt und SecurityPersonnel) veraltet und stehen nicht mehr über die API zur Verfügung.

  • Eine Möglichkeit, Warnungen mithilfe von Tags zu verwalten. Die Taggingfunktion für Microsoft Defender für Office 365 befindet sich derzeit in der Vorschauphase und wird inkrementell eingeführt.

Derzeit werden geänderte Tagnamen nur auf Warnungen angewendet, die nach dem Update erstellt wurden. Warnungen, die vor der Änderung generiert wurden, spiegeln nicht den aktualisierten Tagnamen wider.

Um eine Reihe von Warnungen, die einer bestimmten Warnung ähneln, zu verwalten, wählen Sie Ähnliche Warnungen anzeigen im Bereich INSIGHT im Abschnitt mit den Zusammenfassungsdetails auf der Warnungsseite aus.

Screenshot: Auswählen einer Warnung im Microsoft Defender-Portal

Im Bereich Warnungen verwalten können Sie dann alle zugehörigen Warnungen gleichzeitig klassifizieren. Im Folgenden sehen Sie ein Beispiel.

Screenshot: Verwalten verwandter Warnungen im Microsoft Defender-Portal

Wenn ähnliche Warnungen bereits in der Vergangenheit klassifiziert wurden, können Sie Zeit sparen, indem Sie Microsoft Defender XDR Empfehlungen verwenden, um zu erfahren, wie die anderen Warnungen aufgelöst wurden. Wählen Sie im Abschnitt mit den Zusammenfassungsdetails Empfehlungen aus.

Screenshot eines Beispiels für die Auswahl von Empfehlungen für eine Warnung

Die Registerkarte Empfehlungen enthält Aktionen und Ratschläge für die Untersuchung, Korrektur und Verhinderung in den nächsten Schritten. Im Folgenden sehen Sie ein Beispiel.

Screenshot eines Beispiels für Warnungsempfehlungen

Integrierte Warnungsoptimierungsregeln

Microsoft Defender XDR enthält integrierte Regeln zur Warnungsoptimierung, die dazu beitragen, Warnungsrauschen durch häufige harmlose Aktivitäten zu reduzieren. Diese integrierten Regeln unterdrücken Warnungen ohne Auswirkungen auf andere Features wie AIR-Untersuchungen und E-Mail-Benachrichtigungen. Wenn die AIR-Untersuchung schädliche oder verdächtige Aktivitäten erkennt, wird die neue Warnung erneut aktiviert.

Um die integrierten Warnungsoptimierungsregeln im Microsoft Defender-Portal anzuzeigen, wechseln Sie zum AbschnittSystemeinstellungen>>Microsoft Defender XDR>Regelabschnitt>Warnungsoptimierung oder direkt auf der Seite Warnungsoptimierung unter https://security.microsoft.com/securitysettings/defender/alert_suppression.

Überprüfen Sie diese Regeln, um zu verstehen, wie sie sich darauf auswirken können, welche Warnungen im Microsoft Defender-Portal angezeigt werden.

Hinweis

Der Microsoft Security Copilot Phishing Triage-Agent stuft keine Warnungen ein, die durch Alarmoptimierung unterdrückt werden. Deaktivieren Sie unbedingt die integrierte Warnungsoptimierungsregel Automatische Auflösung – Vom Benutzer als Schadsoftware oder Phishing gemeldete E-Mail sowie alle benutzerdefinierten Optimierungsregeln, die diese Warnung unterdrücken.

Warnung anpassen

Als Analyst in einem Security Operations Center (SOC) besteht eine der größten Herausforderungen darin, die schiere Menge der täglich ausgelösten Warnmeldungen zu sichten und zu priorisieren. Analysten möchten sich zwar nur auf Warnungen mit hohem Schweregrad und hoher Priorität konzentrieren, müssen aber auch Warnungen mit niedrigerer Priorität selektieren und auflösen, was in der Regel ein manueller Prozess ist. Mit der Warnungsoptimierung (zuvor Warnungsunterdrückung) können Sie Warnungen automatisch ausblenden oder auflösen, wenn das erwartete Organisationsverhalten auftritt und die Regelbedingungen erfüllt sind. Dadurch wird Ihre Alarmwarteschlange optimiert und die Triage-Zeit verkürzt.

Warnungsoptimierungsregeln unterstützen Bedingungen basierend auf Beweistypen wie Dateien, Prozessen, geplanten Aufgaben und anderen Arten von Beweisen, die Warnungen auslösen. Nachdem Sie eine Warnungsoptimierungsregel erstellt haben, wenden Sie sie auf die ausgewählte Warnung oder einen beliebigen Warnungstyp an, der die definierten Bedingungen erfüllt, um die Warnung zu optimieren.

Microsoft Defender XDR enthält integrierte Regeln zur Warnungsoptimierung, die dazu beitragen, das Meldungsrauschen durch häufige harmlose Aktivitäten zu reduzieren. Diese integrierten Regeln unterdrücken Warnungen ohne Auswirkungen auf andere Features wie AIR-Untersuchungen und E-Mail-Benachrichtigungen. Wenn die AIR-Untersuchung böswillige oder verdächtige Aktivitäten erkennt, Defender XDR reaktiviert die unterdrückte Warnung.

Sie können auch eigene benutzerdefinierte Warnungsoptimierungsregeln erstellen, um eine der folgenden Aktionen auszuführen, wenn bestimmte Bedingungen erfüllt sind:

  • Alarm ausblenden: Unterdrückt den Alarm und verhindert das Erstellen von Incidents. Ausgeblendete Warnungen verbleiben in den Tabellen AlertInfo und AlertEvidence . Diese Aktion gilt nur für Defender für Endpunkt-Warnungen.
  • Warnung auflösen: Löst die Warnung und die zugehörigen Vorfälle automatisch auf. Zugehörige Warnungen und die ihnen zugeordneten Vorfälle werden mit dem Status „Gelöst“ ausgelöst.
  • Als Verhalten festlegen: Konvertiert übereinstimmende Signale in Verhaltensweisen. Sie werden weder in der Warnungswarteschlange angezeigt noch lösen sie Vorfälle aus. Die Daten verbleiben in den Tabellen BehaviorInfo und BehaviorEntities für die Suche. Diese Aktion wird für Defender für Cloud oder Microsoft Defender für Office 365 Warnungen nicht unterstützt.

Microsoft Defender XDR enthält außerdem integrierte Regeln zur Warnungsoptimierung, die Warnungen aufgrund häufiger harmloser Aktivitäten unterdrücken, ohne Automated Investigation and Response (AIR)-Untersuchungen und E-Mail-Benachrichtigungen zu beeinträchtigen.

Achtung

Verwenden Sie die Warnungsoptimierung mit Vorsicht für Szenarien, in denen interne Geschäftsanwendungen oder Sicherheitstests bekannte Aktivitäten auslösen.

Erstellen von Regelbedingungen zum Optimieren von Warnungen

Erstellen Sie Warnungsoptimierungsregeln über den Bereich Microsoft Defender XDR Einstellungen oder über eine Seite mit Warnungsdetails. Wählen Sie eine der folgenden Registerkarten aus, um fortzufahren.

Führen Sie die folgenden Schritte aus, um eine Warnungsoptimierungsregel auf der Seite "Einstellungen" zu erstellen:

  1. Wählen Sie im Microsoft Defender-Portal Einstellungen > Microsoft Defender XDR > Warnungsoptimierung aus.

    Screenshot der Option

  2. Wählen Sie Neue Regel hinzufügen aus, um eine neue Warnung zu optimieren, oder wählen Sie eine vorhandene Regelzeile aus, um Änderungen vorzunehmen. Wenn Sie den Regeltitel auswählen, wird eine Seite mit den Regeldetails geöffnet, auf der Sie eine Liste der zugehörigen Warnungen anzeigen, Bedingungen bearbeiten oder die Regel aktivieren und deaktivieren können.

  3. Wählen Sie im Bereich Warnung anpassen unter Dienstquellen auswählen die Dienstquellen aus, auf die die Regel angewendet werden soll. Nur Dienste, für die Sie über Berechtigungen verfügen, werden in der Liste angezeigt. Zum Beispiel:

    Screenshot des Dropdownmenüs

  4. Fügen Sie im Bereich Bedingungen eine Bedingung für die Trigger der Warnung hinzu. Wenn Sie beispielsweise verhindern möchten, dass eine Warnung ausgelöst wird, wenn eine bestimmte Datei erstellt wird, definieren Sie eine Bedingung für den Trigger File:Custom , und definieren Sie die Dateidetails:

    Screenshot des IOC-Menüs auf der Seite

    • Die aufgeführten Trigger unterscheiden sich je nach ausgewählten Dienstquellen. Trigger sind alle Indikatoren der Kompromittierung (IOCs), z. B. Dateien, Prozesse, geplante Aufgaben und andere Beweistypen, die eine Warnung auslösen können, einschließlich AMSI-Skripts (AntiMalware Scan Interface), WMI-Ereignisse (Windows Management Instrumentation) oder geplante Aufgaben.

    • Um mehrere Regelbedingungen festzulegen, wählen Sie Filter hinzufügen aus, und verwenden Sie AND, OR und Gruppierungsoptionen, um die Beziehungen zwischen den verschiedenen Beweistypen zu definieren, die die Warnung auslösen. Weitere Beweiseigenschaften werden automatisch als neue Untergruppe aufgefüllt, in der Sie Ihre Bedingungswerte definieren können. Bei Bedingungswerten wird die Groß-/Kleinschreibung nicht beachtet, und einige Eigenschaften unterstützen Wildcards.

  5. Wählen Sie im Bereich Aktion des Bereichs Warnung optimieren die relevante Aktion aus, die die Regel ausführen soll. Wählen Sie Warnung ausblenden, Warnung auflösen oder Als Verhalten festlegen aus.

  6. Geben Sie einen aussagekräftigen Namen für Ihre Warnung und einen Kommentar zur Beschreibung der Warnung ein, und wählen Sie dann Speichern aus.

Hinweis

Der Warnungstitel (Name) basiert auf dem Warnungstyp (IoaDefinitionId), der den Warnungstitel bestimmt. Zwei Warnungen, die denselben Warnungstyp aufweisen, können in einen anderen Warnungstitel geändert werden. Die Funktion Warnung ausblenden ist nur für Warnungen in Defender for Endpoint verfügbar.

Nachdem Sie Ihre Warnungsoptimierungsregel auf einer Seite mit den Warnungsdetails erstellt haben, fügen Sie auf der angezeigten Seite Erfolgreiche Regelerstellung alle warnungsbezogenen IOCs als Indikatoren zu einer Zulassungsliste hinzu, um zu verhindern, dass sie in Zukunft blockiert werden. IoCs, die als Teil der Warnungsoptimierungsregel konfiguriert sind, sind standardmäßig ausgewählt. Zum Beispiel:

  1. Fügen Sie der Liste Zuzulassende Nachweise (IOC) auswählen eine Datei hinzu. Standardmäßig ist die Datei, die die Warnung ausgelöst hat, bereits ausgewählt.
  2. Definieren Sie einen Bereich für den Bereich auswählen, der auf den Wert angewendet werden soll . Standardmäßig ist der Bereich, der für Ihre Warnung gilt, ausgewählt.
  3. Wählen Sie Speichern aus, um die Datei einer Zulassungsliste hinzuzufügen und zu verhindern, dass sie blockiert wird.

Warnung beheben

Sobald Sie mit der Analyse einer Warnung fertig sind und diese behoben werden kann, wechseln Sie zum Bereich Warnung verwalten für die Warnung oder ähnliche Warnungen, und markieren Sie die status als Gelöst, und klassifizieren Sie sie dann als Richtig positiv mit einem Bedrohungstyp, einer informationellen, erwarteten Aktivität mit einem Aktivitätstyp oder falsch positiv.

Das Klassifizieren von Warnungen hilft Microsoft Defender XDR die Erkennungsqualität zu verbessern.

Verwenden von Power Automate zum Selektieren von Warnungen

Moderne Security Operations-Teams (SecOps) benötigen Automatisierung, um effektiv zu arbeiten. Um sich auf die Suche und Untersuchung realer Bedrohungen zu konzentrieren, verwenden SecOps-Teams Power Automate, um die Liste der Warnungen zu selektieren und diejenigen zu beseitigen, die keine Bedrohungen sind.

Kriterien für das Auflösen von Warnungen

In diesem Power Automate Beispiel überprüft der Fluss die folgenden Kriterien, um zu entscheiden, ob die Warnung automatisch aufgelöst werden soll:

  • Der Benutzer hat die Abwesenheitsnachricht aktiviert.
  • Der Benutzer ist nicht als hohes Risiko gekennzeichnet.

Wenn der Benutzer eine Abwesenheitsnachricht aktiviert hat und nicht als hohes Risiko gekennzeichnet ist, markiert SecOps die Warnung als legitime Reise und löst sie auf. Eine Benachrichtigung wird in Microsoft Teams gepostet, nachdem die Warnung behoben wurde.

Verbinden von Power Automate mit Microsoft Defender for Cloud Apps

Um die Automatisierung zu erstellen, benötigen Sie ein API-Token, bevor Sie Power Automate mit Microsoft Defender for Cloud Apps verbinden können.

  1. Öffnen Sie das Microsoft Defender-Portal, und wählen Sie Einstellungen>Cloud Apps>API-Token aus, und wählen Sie dann auf der Registerkarte API-TokenToken hinzufügen aus.

  2. Geben Sie einen Namen für Ihr Token an, und wählen Sie dann Generieren aus. Speichern Sie das Token, da Sie es später benötigen.

Automatisierten Ablauf erstellen

Schauen Sie sich das folgende Video an, um zu erfahren, wie Sie Power Automate mit Defender for Cloud Apps verbinden und einen automatisierten Warnungstriageworkflow erstellen.

Verwenden des Agents für die dynamische Bedrohungserkennung zum Selektieren von Warnungen

Microsoft Security Copilot in Microsoft Defender umfasst den Dynamic Threat Detection Agent, einen immer aktivierten adaptiven Back-End-Dienst, der versteckte Bedrohungen in Defender- und Microsoft Sentinel-Umgebungen aufdeckt. Es nutzt KI, um Lücken zu identifizieren und falsch negative Befunde aufzudecken, indem Warnmeldungen, Ereignisse, Anomalien und Bedrohungsinformationen korreliert werden. Wenn der Agent eine Lücke identifiziert, generiert er eine dynamische Warnung mit dem vollständigen Kontext in den Warnungsdetails, einschließlich Erklärungen in natürlicher Sprache, zugeordneten MITRE ATT&CK-Techniken und maßgeschneiderten Korrekturschritten.

Weitere Informationen finden Sie unter Microsoft Security Copilot Agent für die dynamische Bedrohungserkennung.

Nächste Schritte

Fahren Sie bei Bedarf bei prozessinternen Vorfällen mit der Untersuchung des Vorfalls fort.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.