Freigeben über

Reagieren auf einen Vorfall mithilfe des Defender-Portals

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal

In diesem Artikel wird erläutert, wie Sie mithilfe von Microsoft Sentinel im Defender-Portal auf einen Vorfall reagieren, der sich auf Triage, Untersuchung und Lösung erstreckt.

Voraussetzungen

Untersuchen von Vorfällen im Defender-Portal:

Vorfallreaktionsprozess

Wenn Sie im Defender-Portal arbeiten, führen Sie Ihre anfänglichen Triage-, Auflösungs- und Folgeschritte wie sonst aus. Stellen Sie bei der Untersuchung folgendes sicher:

  • Verstehen Sie den Vorfall und seinen Umfang, indem Sie die Zeitachsen von Ressourcen überprüfen.
  • Überprüfen Sie ausstehende Selbstheilungsaktionen, korrigieren Sie Entitäten manuell, und führen Sie eine Echtzeitreaktion aus.
  • Fügen Sie Präventionsmaßnahmen hinzu.

Der hinzugefügte Microsoft Sentinel-Bereich des Defender-Portals hilft Ihnen, Ihre Untersuchung zu vertiefen, darunter:

  • Verständnis des Umfangs des Vorfalls, indem Sie ihn mit Ihren Sicherheitsprozessen, Richtlinien und Verfahren (3P) in Beziehung setzen.
  • Durchführen von 3P-automatisierten Untersuchungs- und Abhilfemaßnahmen sowie Erstellen benutzerdefinierter Sicherheits-Orchestrierungs-, Automatisierungs- und Reaktions-Playbooks (SOAR).
  • Aufzeichnung von Nachweisen für die Vorfallverwaltung.
  • Hinzufügen von benutzerdefinierten Maßen.

Weitere Informationen finden Sie unter:

Automatisierung mit Microsoft Sentinel

Stellen Sie sicher, dass Sie die Playbook- und Automatisierungsregelfunktionen von Microsoft Sentinel nutzen:

  • Ein Playbook ist eine Sammlung von Untersuchungs- und Wartungsaktionen, die über das Microsoft Sentinel-Portal als Routine ausgeführt werden können. Playbooks können dabei helfen, Ihre Bedrohungsreaktion zu automatisieren und zu koordinieren. Sie können manuell bei Bedarf auf Vorfällen, Entitäten und Warnungen ausgeführt werden, oder sie werden als Reaktion auf bestimmte Warnungen oder Vorfälle automatisch ausgeführt, wenn sie durch eine Automatisierungsregel ausgelöst werden. Weitere Informationen finden Sie unter Automatisieren der Bedrohungsantwort mit Playbooks.

  • Automatisierungsregeln sind eine Möglichkeit, die Automatisierung in Microsoft Sentinel zentral zu verwalten, indem Sie eine kleine Gruppe von Regeln definieren und koordinieren können, die für verschiedene Szenarien gelten können. Weitere Informationen finden Sie unter Automatisieren der Bedrohungsantwort in Microsoft Sentinel mit Automatisierungsregeln.

Beachten Sie nach dem Onboarding Ihres Microsoft Sentinel-Arbeitsbereichs im Defender-Portal, dass es Unterschiede bei der Funktionsweise der Automatisierung in Ihrem Arbeitsbereich gibt. Weitere Informationen finden Sie in der Automatisierung mit Microsoft Sentinel im Defender-Portal.

Reaktion auf Vorfälle

Nachdem Sie den Vorfall behoben haben, melden Sie den Vorfall an Ihren Vorfallreaktionsleiter, um mögliche Nachverfolgungen zu ermöglichen, um weitere Aktionen zu ermitteln. Beispiel:

  • Informieren Sie Ihre Sicherheitsanalysten der Stufe 1, um den Angriff frühzeitig besser zu erkennen.
  • Recherchieren Sie den Angriff in Microsoft Defender XDR Threat Analytics und der Sicherheitscommunity für einen Sicherheitsangriffstrend. Weitere Informationen finden Sie unter Bedrohungsanalyse in Microsoft Defender XDR.
  • Notieren Sie bei Bedarf den Workflow, den Sie zum Beheben des Vorfalls verwendet haben, und aktualisieren Sie Ihre Standardworkflows, Prozesse, Richtlinien und Playbooks.
  • Bestimmen Sie, ob Änderungen in Ihrer Sicherheitskonfiguration erforderlich sind, und implementieren Sie sie.
  • Erstellen Sie ein Orchestrierungsspielbuch, um Ihre Bedrohungsreaktion für ein ähnliches Risiko in Zukunft zu automatisieren und zu koordinieren. Weitere Informationen finden Sie unter Automatisieren der Bedrohungsreaktion mit Playbooks in Microsoft Sentinel.

Verwandte Inhalte

Weitere Informationen finden Sie unter:

  • Last updated on