Freigeben über

Verwalten von und Reagieren auf Sicherheitswarnungen

Defender für Cloud sammelt, analysiert und integriert Protokolldaten aus Ihren Azure-, Hybrid- und Multicloud-Ressourcen, dem Netzwerk und verbundenen Partnerlösungen, z. B. Firewalls und Endpunkt-Agents. Defender für Cloud verwendet die Protokolldaten, um echte Bedrohungen zu erkennen und falsch positive Ergebnisse zu reduzieren. Eine Liste der priorisierten Sicherheitswarnungen wird in Defender für Cloud zusammen mit den Informationen angezeigt, die Sie benötigen, um das Problem schnell zu untersuchen und die Schritte zur Behebung eines Angriffs auszuführen.

In diesem Artikel erfahren Sie, wie Sie Defender für Cloud-Warnungen anzeigen und verarbeiten und Ihre Ressourcen schützen.

Beim Triagieren von Sicherheitswarnungen sollten Sie Warnungen basierend auf ihrem Warnungsschweregrad priorisieren und zuerst Warnungen mit höherem Schweregrad behandeln. Erfahren Sie mehr darüber , wie Warnungen klassifiziert werden.

Tipp

Sie können Microsoft Defender für Cloud mit SIEM-Lösungen verbinden, einschließlich Microsoft Sentinel und nutzen die Warnungen von Ihrem wahlfähigen Tool. Erfahren Sie mehr darüber, wie Sie Warnungen an eine SIEM-, SOAR- oder IT-Dienstverwaltungslösung streamen.

Voraussetzungen

Voraussetzungen und Anforderungen finden Sie unter Supportmatrizen für Defender für Cloud.

Verwalten Ihrer Sicherheitswarnungen

Folgen Sie diesen Schritten:

  1. Melden Sie sich beim Azure-Portal an.

  2. Navigieren Sie zu Microsoft Defender für Cloud>Security-Warnungen.

    Screenshot der Seite

  3. (Optional) Filtern Sie die Warnungsliste mit einem der relevanten Filter. Sie können zusätzliche Filter mit der Option " Filter hinzufügen " hinzufügen.

    Screenshot, der zeigt, wie Sie der Warnungsansicht Filter hinzufügen.

    Die Liste wird entsprechend den ausgewählten Filtern aktualisiert. Sie können beispielsweise Sicherheitswarnungen behandeln, die in den letzten 24 Stunden aufgetreten sind, da Sie eine potenzielle Verletzung im System untersuchen.

Untersuchen einer Sicherheitswarnung

Jede Warnung enthält Informationen über die Warnung, die Ihnen bei Ihrer Untersuchung helfen.

So untersuchen Sie eine Sicherheitswarnung:

  1. Wählen Sie eine Warnung aus. Ein Seitenbereich wird geöffnet und zeigt eine Beschreibung der Warnung und aller betroffenen Ressourcen an.

    Screenshot der Allgemeinen Detailansicht einer Sicherheitswarnung.

  2. Überprüfen Sie die allgemeinen Informationen zur Sicherheitswarnung.

    • Warnungsschweregrad, Status und Aktivitätszeit
    • Beschreibung, in der die genaue Aktivität erläutert wird, die erkannt wurde
    • Betroffene Ressourcen
    • Kill Chain-Absicht der Aktivität auf der MITRE ATT & CK-Matrix (falls zutreffend)

  3. Wählen Sie Alle Informationen anzeigen aus.

    Der rechte Bereich enthält die Registerkarte " Warnungsdetails ", die weitere Details der Warnung enthält, um das Problem zu untersuchen: IP-Adressen, Dateien, Prozesse und vieles mehr.

    Screenshot der Detailseite eines Alarms in voller Ansicht.

    Außerdem befindet sich im rechten Bereich die Registerkarte " Aktion ausführen ". Verwenden Sie diese Registerkarte, um weitere Aktionen in Bezug auf die Sicherheitswarnung zu ergreifen. Aktionen wie:

    • Überprüfen des Ressourcenkontexts – sendet Sie an die Aktivitätsprotokolle der Ressource, die die Sicherheitswarnung unterstützen.
    • Entschärfung der Bedrohung – bietet manuelle Korrekturschritte für diese Sicherheitswarnung.
    • Verhindern zukünftiger Angriffe – bietet Sicherheitsempfehlungen, um die Angriffsfläche zu reduzieren, den Sicherheitsstatus zu erhöhen und damit zukünftige Angriffe zu verhindern
    • Automatische Antwort auslösen – bietet die Möglichkeit, eine Logik-App als Reaktion auf diese Sicherheitswarnung auszulösen.
    • Unterdrücken ähnlicher Warnungen – bietet die Möglichkeit, zukünftige Warnungen mit ähnlichen Merkmalen zu unterdrücken, wenn die Warnung für Ihre Organisation nicht relevant ist

    Screenshot der verfügbaren Optionen auf der Registerkarte

    Für weitere Details wenden Sie sich an den Ressourcenbesitzer, um zu überprüfen, ob die erkannte Aktivität ein False Positive ist. Sie können auch die rohen Protokolle untersuchen, die von der angegriffenen Ressource generiert werden.

Ändern des Status mehrerer Sicherheitswarnungen gleichzeitig

Die Warnungsliste enthält Kontrollkästchen, sodass Sie mehrere Warnungen gleichzeitig behandeln können. Beispielsweise können Sie zu Selektierungszwecken entscheiden, alle Informationswarnungen für eine bestimmte Ressource zu schließen.

  1. Filtern Sie nach den Warnungen, die Sie per Massenvorgang verarbeiten möchten.

    In diesem Beispiel werden die Warnungen mit Schweregrad Informational für die Ressource ASC-AKS-CLOUD-TALK ausgewählt.

    Screenshot, der zeigt, wie Warnungen gefiltert werden, um verwandte Warnungen anzuzeigen.

  2. Verwenden Sie die Kontrollkästchen, um die zu verarbeitenden Benachrichtigungen auszuwählen.

    In diesem Beispiel werden alle Warnungen ausgewählt. Die Schaltfläche " Status ändern " ist jetzt verfügbar.

    Screenshot der Auswahl aller Warnungen zur Massenverarbeitung.

  3. Verwenden Sie die Optionen zum Ändern des Status , um den gewünschten Status festzulegen.

    Screenshot der Registerkarte

    Die auf der aktuellen Seite angezeigten Warnungen haben ihren Status in den ausgewählten Wert geändert.

Reagieren auf eine Sicherheitswarnung

Nachdem Sie eine Sicherheitswarnung untersucht haben, können Sie auf die Warnung innerhalb von Microsoft Defender für Cloud reagieren.

So reagieren Sie auf eine Sicherheitswarnung:

  1. Öffnen Sie die Registerkarte " Aktion ausführen ", um die empfohlenen Antworten anzuzeigen.

    Screenshot der Registerkarte

  2. Überprüfen Sie den Abschnitt " Bedrohung minimieren " für die manuellen Untersuchungsschritte, die erforderlich sind, um das Problem zu beheben.

  3. Um Ihre Ressourcen zu härten und zukünftige Angriffe dieser Art zu verhindern, beheben Sie die Sicherheitsempfehlungen im Abschnitt " Zukünftige Angriffe verhindern" .

  4. Um eine Logik-App mit automatisierten Antwortschritten auszulösen, verwenden Sie den Abschnitt " Automatische Antwort auslösen " und wählen Sie die Triggerlogik-App aus.

  5. Wenn die erkannte Aktivität nicht bösartig ist , können Sie zukünftige Warnungen dieser Art mithilfe des Abschnitts " Ähnliche Warnungen unterdrücken" unterdrücken und die Option "Unterdrückungsregel erstellen" auswählen.

  6. Wählen Sie "E-Mail-Benachrichtigungseinstellungen konfigurieren" aus, um anzuzeigen, wer E-Mails zu Sicherheitswarnungen in diesem Abonnement empfängt. Wenden Sie sich an den Abonnementbesitzer, um die E-Mail-Einstellungen zu konfigurieren.

  7. Wenn Sie die Untersuchung der Warnung abschließen und auf die entsprechende Weise geantwortet haben, ändern Sie den Status in "Geschlossen".

    Screenshot des Dropdownmenüs

    Die Warnung wird aus der Hauptwarnungsliste entfernt. Sie können den Filter auf der Seite "Warnungsliste" verwenden, um alle Warnungen mit dem Status "Geschlossen " anzuzeigen.

  8. Wir empfehlen Ihnen, Feedback zu der Benachrichtigung an Microsoft zu geben:

    1. Kennzeichnen der Warnung als nützlich oder nicht hilfreich.
    2. Wählen Sie einen Grund aus, und fügen Sie einen Kommentar hinzu.

    Screenshot des Microsoft-Fensters

Tipp

Wir überprüfen Ihr Feedback, um unsere Algorithmen zu verbessern und bessere Sicherheitswarnungen bereitzustellen.

Informationen zu den verschiedenen Arten von Warnungen finden Sie unter "Sicherheitswarnungen" – ein Referenzhandbuch.

Eine Übersicht darüber, wie Defender für Cloud Warnungen generiert, finden Sie unter Wie Microsoft Defender für Cloud Bedrohungen erkennt und darauf reagiert.

Prüfen der Ergebnisse des agentlosen Scans.

Ergebnisse für den agentbasierten und agentlosen Scanner werden auf der Seite "Sicherheitswarnungen" angezeigt.

Screenshot der Seite

Hinweis

Durch das Beheben einer dieser Warnungen wird die andere Warnung nicht behoben, bis die nächste Überprüfung abgeschlossen ist.

Verwandte Inhalte

  • Last updated on