Überwachen Sie Vorfälle in Echtzeit mit dem Microsoft 365 Security Center

Überwachen Sie Vorfälle in Echtzeit mit dem Microsoft 365 Security Center

08.03.2024

Dieser technische und lehrreiche Artikel soll Sicherheitsanalysten, IT-Administratoren und Systemingenieuren bei der Überwachung und Verwaltung von Sicherheitsvorfällen in Echtzeit mithilfe des Microsoft 365 Defender-Portals (früher bekannt als Microsoft 365 Security Center) helfen. Dieses Portal vereint die Sichtbarkeits- und Vorfallreaktionsfunktionen mehrerer Microsoft-Sicherheitslösungen, wie z. B. Defender for Endpoint, Defender for Office 365, Defender for Identity und Defender for Cloud Apps, und bietet eine zentralisierte Plattform für Sicherheitsvorgänge [1].

Einführung

In einer sich ständig weiterentwickelnden Cyber-Bedrohungsumgebung ist die Fähigkeit, Sicherheitsvorfälle schnell und effizient zu erkennen, zu untersuchen und darauf zu reagieren, entscheidend, um die Auswirkungen eines Angriffs zu minimieren. Das Microsoft 365 Defender-Portal fungiert als Befehls- und Kontrollzentrum und verknüpft Sicherheitswarnungen verschiedener Microsoft-Produkte zu zusammenhängenden Vorfällen. Dies ermöglicht es SecOps-Teams (Security Operations), einen ganzheitlichen Überblick über einen Angriff zu erhalten, seine Kill Chain zu verstehen und Korrekturmaßnahmen effektiver zu ergreifen [2].

In dieser Anleitung erfahren Sie, wie Sie im Microsoft 365 Defender-Portal navigieren, die Vorfallwarteschlange überwachen, korrelierte Warnungen untersuchen und den Lebenszyklus eines Vorfalls verwalten. Es werden Schritt-für-Schritt-Anleitungen, Beispiele für die Schnittstellennutzung und Validierungsmethoden bereitgestellt, damit der Leser seine Sicherheitsabläufe optimieren und die Möglichkeiten zur Reaktion auf Vorfälle in seiner Microsoft 365-Umgebung verbessern kann.

Warum Microsoft 365 Defender-Portal zur Vorfallüberwachung?

  • Einheitliche Sichtbarkeit: Fasst Sicherheitswarnungen von mehreren Defender-Produkten (Endpoint, Office 365, Identity, Cloud Apps) in einem einzigen Dashboard zusammen.
  • Automatische Korrelation: Korreliert automatisch verwandte Warnungen über Vorfälle hinweg und bietet so einen umfassenderen Kontext zu einem Angriff.
  • Umfassende Untersuchung: Bietet detaillierte Untersuchungstools, einschließlich Zeitleiste der Ereignisse, Angriffsdiagramme und detaillierte Informationen über betroffene Unternehmen.
  • Koordinierte Reaktion: Ermöglicht Sicherheitsteams die zentrale Reaktion auf Vorfälle mit automatisierten und manuellen Maßnahmen.
  • Automatisierung der Reaktion (SOAR): Integriert sich in SOAR-Funktionen, um Aufgaben zur Reaktion auf Vorfälle zu automatisieren und so die mittlere Reaktionszeit (MTTR) zu reduzieren.

Voraussetzungen

Um Vorfälle in Echtzeit mit dem Microsoft 365 Defender-Portal zu überwachen, benötigen Sie die folgenden Elemente:

  1. Lizenzierung: Entsprechende Lizenzen für Microsoft 365 Defender-Produkte (z. B. Microsoft 365 E5 Security, Microsoft 365 E5), die den Zugriff auf das Portal und Erkennungsfunktionen beinhalten [3].
  2. Administratorzugriff: Ein Konto mit den Berechtigungen „Sicherheitsadministrator“, „Sicherheitsbetreiber“ oder „Sicherheitsleser“ im Microsoft 365 Defender-Portal („https://security.microsoft.com“).
  3. Aktive Defender-Produkte: Mindestens eines der Defender-Produkte (Defender for Endpoint, Defender for Office 365, Defender for Identity, Defender for Cloud Apps) muss aktiv und für die Generierung von Warnungen konfiguriert sein.
  4. Verbundene Datenquellen: Sicherheitsdaten müssen von den jeweiligen Defender-Produkten erfasst und überwacht werden.

Schritt für Schritt: Vorfälle überwachen und verwalten

Lassen Sie uns die Benutzeroberfläche des Microsoft 365 Defender-Portals und die wichtigsten Funktionen für die Überwachung und Verwaltung von Vorfällen erkunden.

1. Zugriff auf das Microsoft 365 Defender-Portal

  1. Öffnen Sie Ihren Browser und navigieren Sie zu „https://security.microsoft.com“.
  2. Melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.

2. Navigieren in der Incident-Warteschlange

Die Incident-Warteschlange ist der zentrale Punkt für SecOps-Teams. Hier werden zusammengehörige Warnungen gruppiert, um eine kontextualisierte Ansicht eines Angriffs zu ermöglichen.

  1. Wählen Sie im linken Navigationsbereich Vorfälle und Warnungen > Vorfälle aus.
  2. In der Vorfallwarteschlange wird eine Liste aller erkannten Vorfälle mit Informationen wie Schweregrad, Status, betroffenen Einheiten und letzter Aktivität angezeigt.

3. Analyse eines spezifischen Vorfalls

Wenn Sie auf einen Vorfall klicken, erhalten Sie Zugriff auf eine detaillierte Ansicht, die alle zugehörigen Warnungen, Geräte usw. enthält.betroffene Benutzer, Benutzer und Dateien.

  1. Klicken Sie in der Vorfallwarteschlange auf den Namen eines Vorfalls, um dessen Detailseite zu öffnen.
  2. Die Seite mit den Vorfalldetails besteht aus mehreren Registerkarten:
    • Übersicht: Bietet eine Zusammenfassung des Vorfalls, einschließlich Schweregrad, Status, Klassifizierung, betroffene Benutzer und Geräte.
    • Warnungen: Listet alle Warnungen auf, die mit diesem Vorfall in Zusammenhang standen. Sie können auf jede Warnung klicken, um deren spezifische Details anzuzeigen.
    • Geräte: Zeigt alle am Vorfall beteiligten Geräte an.
    • Benutzer: Listet betroffene oder beteiligte Benutzer auf.
    • Postfächer: Zeigt betroffene Postfächer an (sofern Defender für Office 365-Warnungen vorhanden sind).
    • Untersuchungen: Zeigt die automatisierten Untersuchungen an, die als Reaktion auf den Vorfall eingeleitet wurden.
    • Beweise und Reaktion: Präsentiert die gesammelten Beweise (Dateien, IPs, URLs) und die empfohlenen oder ergriffenen Reaktionsmaßnahmen.
    • Grafik: Eine visuelle Darstellung der Angriffskette, die die Beziehung zwischen Warnungen, Entitäten und Ereignissen zeigt.

4. Verwalten des Incident-Lebenszyklus

Das Vorfallmanagement umfasst die Zuweisung, Klassifizierung und Lösung.

  1. Vorfall zuweisen: Auf der Seite mit den Vorfalldetails können Sie im Abschnitt Übersicht den Vorfall einem bestimmten Analysten zuweisen. Klicken Sie auf Zuweisen zu und wählen Sie einen Benutzer aus.
  2. Status ändern: Ändern Sie den Status des Vorfalls im Verlauf der Untersuchung (z. B. „Neu“, „In Bearbeitung“, „Gelöst“).
  3. Vorfall klassifizieren: Wenn Sie einen Vorfall lösen, müssen Sie ihn zu Lern- und Berichtszwecken klassifizieren. Klicken Sie auf Klassifizierung und wählen Sie:
    • „True Positive“ (wenn es sich um eine echte Bedrohung handelt)
    • „Falsch positiv“ (wenn es sich um eine falsche Warnung handelt)
    • „Erwartete Aktivität“ (wenn es sich um eine legitime Aktivität handelt, die die Warnung ausgelöst hat)
    • Fügen Sie einen Kommentar hinzu, um die Lösung zu dokumentieren.
  4. Kommentare hinzufügen: Verwenden Sie den Abschnitt Kommentare und Verlauf, um Untersuchungsschritte, Ergebnisse und ergriffene Maßnahmen aufzuzeichnen.

5. Reaktionsaktionen durchführen

Basierend auf der Untersuchung können Sie direkt vom Portal aus Reaktionsmaßnahmen ergreifen.

  1. Wählen Sie auf der Registerkarte Geräte oder Benutzer innerhalb des Vorfalls eine betroffene Entität (z. B. ein Gerät) aus.
  2. Zu den verfügbaren Aktionen gehören:
    • Gerät isolieren: Trennt das Gerät vom Netzwerk, um die Bedrohung einzudämmen.
    • Anwendungsausführung einschränken: Verhindert die Ausführung nicht autorisierter Anwendungen.
    • Antivirus-Scan ausführen: Startet einen vollständigen Scan des Geräts.
    • Untersuchungspaket sammeln: Sammelt Protokolle und forensische Daten vom Gerät.
    • Benutzer deaktivieren: Deaktiviert das Benutzerkonto in Azure AD.
    • Benutzerpasswort zurücksetzen: Erzwingt das Zurücksetzen des Benutzerpassworts.

Validierung und Tests

Zur Validierung der Vorfallüberwachung ist es wichtig, ein Angriffsszenario zu simulieren und zu überprüfen, ob das Microsoft 365 Defender-Portal es korrekt erkennt und korreliert.

1. Simulieren Sie einen Angriff (Beispiel: EICAR-Test)

Verwenden Sie die EICAR-Datei (European Institute for Computer Antivirus Research), um eine Malware-Erkennung zu simulieren (wie in Artikel 1 – Defender für Endpoint beschrieben).

  1. Versuchen Sie auf einem mit Defender für Endpunkt integrierten Gerät, eine EICAR-Datei herunterzuladen oder zu erstellen („https://www.eicar.org/download/eicar.com.txt“).
  2. Defender für Endpunkt sollte die Datei erkennen und blockieren.
  3. Gehen Sie im Microsoft 365 Defender-Portal zu Vorfälle und Warnungen > Warnungen.
  4. Es sollte eine Warnung bezüglich der EICAR-Erkennung angezeigt werden.
  5. Überprüfen Sie, ob diese Warnung mit einem bestehenden Vorfall in Zusammenhang steht oder ob ein neuer Vorfall erstellt wurde.

2. Überprüfen Sie Reaktionszeit und Korrelation

Beobachten Sie, wie lange es nach der Simulation dauert, bis eine Warnung generiert und einem Vorfall zugeordnet wird. Dies hilft Ihnen, die Wirksamkeit der Echtzeitüberwachung zu verstehen.

Sicherheitstipps und Best Practices

  • Alle Quellen integrieren: Verbinden Sie so viele Defender-Datenquellen und -Produkte wie möglich mit dem Microsoft 365 Defender-Portal, um die umfassendste Ansicht und beste Vorfallkorrelation zu erhalten.
  • Rollen und Verantwortlichkeiten definieren: Legen Sie klar fest, wer für die Überwachung, Untersuchung und Reaktion auf Vorfälle verantwortlich ist.
  • Einfache Antworten automatisieren: Ressourcen nutzenAutomatisierungstools (Playbooks), um automatisch auf Alarmtypen mit niedrigem Schweregrad zu reagieren oder zusätzliche Informationen zu Alarmen mit hohem Schweregrad zu sammeln.
  • Bleiben Sie auf dem Laufenden: Bleiben Sie mit neuen Features und Funktionen in Microsoft 365 Defender auf dem Laufenden, da die Plattform ständig verbessert wird.
  • Laufende Schulung: Investieren Sie in die Schulung Ihres SecOps-Teams, damit es mit den neuesten Tools und Angriffstaktiken vertraut ist.
  • Simulationsübungen: Führen Sie regelmäßig Vorfallsimulationsübungen durch, um die Wirksamkeit Ihrer Prozesse und Tools zu testen.

Allgemeine Fehlerbehebung

  • Warnungen werden nicht im Portal angezeigt: Stellen Sie sicher, dass relevante Defender-Produkte aktiv und richtig konfiguriert sind. Stellen Sie sicher, dass Ihre Datenkonnektoren funktionieren und Protokolle senden. Überprüfen Sie die Einstellungen der Erkennungsregeln für einzelne Defender-Produkte.
  • Unkorrelierte Warnungen über Vorfälle hinweg: Microsoft 365 Defender korreliert automatisch. Wenn zusammengehörige Warnungen nicht gruppiert werden, kann es zu einer Verzögerung bei der Protokollaufnahme kommen oder die Kontextinformationen (Benutzer, Gerät, IP) reichen möglicherweise nicht für eine automatische Korrelation aus. Überprüfen Sie die Audit-Protokolle und die Aufnahmezeit.
  • Probleme mit der Portalleistung: Leeren Sie Ihren Browser-Cache, versuchen Sie es mit einem anderen Browser oder überprüfen Sie Ihre Netzwerkkonnektivität. Bei großen Datenmengen kann das Laden der Schnittstelle eine Weile dauern.
  • Antwortaktionen schlagen fehl: Überprüfen Sie die Berechtigungen des Kontos, das versucht, die Aktion auszuführen. Stellen Sie sicher, dass das Zielgerät oder der Zielbenutzer online und für die Defender-Dienste zugänglich ist.

Fazit

Das Microsoft 365 Defender-Portal ist ein unverzichtbares Tool für jedes Unternehmen, das eine effektive proaktive und reaktive Sicherheitsstrategie sucht. Durch die Zentralisierung der Vorfallüberwachung, die Korrelation von Warnungen aus mehreren Quellen und die Bereitstellung umfassender Untersuchungs- und Reaktionsfähigkeiten ermöglicht es SecOps-Teams, ihre Umgebungen in Echtzeit zu schützen. Die Implementierung und effektive Nutzung dieser Plattform verbessert nicht nur die Sichtbarkeit von Bedrohungen, sondern verkürzt auch die Reaktionszeit erheblich und stärkt so die Cyber-Resilienz des Unternehmens gegenüber den komplexesten Angriffen.

Referenzen:

[1] Microsoft Learn. Microsoft 365 Defender-Portal. Verfügbar unter: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/microsoft-365-defender-portal?view=o365-worldwide [2] Microsoft Learn. Übersicht über Vorfälle in Microsoft 365 Defender. Verfügbar unter: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/incidents-overview?view=o365-worldwide [3] Microsoft Learn. Microsoft 365 Defender-Lizenzanforderungen. Verfügbar unter: https://learn.microsoft.com/pt-br/microsoft-365/security/defender/requirements?view=o365-worldwide