Navigieren, Selektieren und Verwalten von Microsoft Sentinel Incidents im Azure-Portal

  • Gilt für:: Microsoft Sentinel in the Azure portal

In diesem Artikel wird beschrieben, wie Sie im Azure-Portal navigieren und grundlegende Selektierungen für Ihre Vorfälle ausführen.

Voraussetzungen

  1. Wählen Sie im Microsoft Sentinel Navigationsmenü unter Bedrohungsmanagementdie Option Incidents aus.

    Auf der Seite Incidents finden Sie grundlegende Informationen zu allen Offenen Vorfällen. Zum Beispiel:

    Screenshot: Ansicht des Incidentschweregrads.

    • Oben auf dem Bildschirm befindet sich eine Symbolleiste mit Aktionen, die Sie außerhalb eines bestimmten Incidents ausführen können – entweder im gesamten Raster oder bei mehreren ausgewählten Vorfällen. Sie haben auch die Anzahl der offenen Incidents, ob neu oder aktiv, und die Anzahl der offenen Vorfälle nach Schweregrad.

    • Im zentralen Bereich verfügen Sie über ein Incidentraster, bei dem es sich um eine Liste von Vorfällen handelt, die durch die Filtersteuerelemente am Anfang der Liste gefiltert werden, und eine Suchleiste zum Suchen nach bestimmten Vorfällen.

    • Auf der Seite haben Sie einen Detailbereich, in dem wichtige Informationen zu dem Vorfall angezeigt werden, die in der zentralen Liste hervorgehoben sind, sowie Schaltflächen zum Ausführen bestimmter spezifischer Aktionen in Bezug auf diesen Vorfall.

  2. Ihr Sicherheitsteam verfügt möglicherweise über Automatisierungsregeln , um eine grundlegende Selektierung für neue Vorfälle durchzuführen und sie dem richtigen Personal zuzuweisen.

    Filtern Sie in diesem Fall die Incidentliste nach Besitzer , um die Liste auf die Incidents zu beschränken, die Ihnen oder Ihrem Team zugewiesen sind. Dieser gefilterte Satz stellt Ihre persönliche Workload dar.

    Andernfalls können Sie die grundlegende Selektierung selbst durchführen. Filtern Sie zunächst die Liste der Vorfälle nach verfügbaren Filterkriterien, ob status, Schweregrad oder Produktname. Weitere Informationen finden Sie unter Suchen nach Incidents.

  3. Selektieren Sie einen bestimmten Incident, und ergreifen Sie sofort erste Maßnahmen, direkt im Detailbereich auf der Seite Incidents , ohne die vollständige Detailseite des Incidents eingeben zu müssen. Zum Beispiel:

    • Untersuchen Microsoft Defender XDR Incidents in Microsoft Defender XDR: Folgen Sie dem Link Untersuchen in Microsoft Defender XDR, um zum parallelen Vorfall im Defender-Portal zu wechseln. Alle Änderungen, die Sie an dem Incident in Microsoft Defender XDR vornehmen, werden mit demselben Incident in Microsoft Sentinel synchronisiert.

    • Öffnen Sie die Liste der zugewiesenen Aufgaben: Incidents, denen Aufgaben zugewiesen sind, zeigen die Anzahl abgeschlossener und gesamter Aufgaben sowie einen Link Vollständige Details anzeigen an. Folgen Sie dem Link, um die Seite Incidentaufgaben zu öffnen, um die Liste der Aufgaben für diesen Incident anzuzeigen.

    • Weisen Sie einem Benutzer oder einer Gruppe den Besitz des Incidents zu, indem Sie in der Dropdownliste Besitzer auswählen.

      Screenshot: Zuweisen eines Incidents zum Benutzer

      Zuletzt ausgewählte Benutzer und Gruppen werden oben in der Bild-Dropdownliste angezeigt.

    • Aktualisieren Sie die status des Incidents (z. B. von Neu in Aktiv oder Geschlossen), indem Sie in der Dropdownliste Status auswählen. Beim Schließen eines Incidents müssen Sie einen Grund angeben. Weitere Informationen finden Sie unter Schließen eines Incidents.

    • Ändern Sie den Schweregrad des Incidents , indem Sie in der Dropdownliste Schweregrad auswählen.

    • Fügen Sie Tags hinzu, um Ihre Incidents zu kategorisieren. Möglicherweise müssen Sie im Detailbereich nach unten scrollen, um zu sehen, wo Tags hinzugefügt werden sollen.

    • Fügen Sie Kommentare hinzu, um Ihre Aktionen, Ideen, Fragen und vieles mehr zu protokollieren. Möglicherweise müssen Sie nach unten im Detailbereich scrollen, um zu sehen, wo Sie Kommentare hinzufügen können.

  4. Wenn die Informationen im Detailbereich ausreichen, um weitere Korrektur- oder Entschärfungsaktionen aufzufordern, wählen Sie unten die Schaltfläche Aktionen aus, um eine der folgenden Aktionen auszuführen:

    Aktion Beschreibung
    Untersuchen Verwenden Sie das grafische Untersuchungstool , um Beziehungen zwischen Warnungen, Entitäten und Aktivitäten sowohl innerhalb dieses Incidents als auch zwischen anderen Vorfällen zu ermitteln.
    Ausführen eines Playbooks Führen Sie ein Playbook für diesen Vorfall aus, um bestimmte Anreicherungs-, Zusammenarbeits- oder Reaktionsaktionen durchzuführen, die Ihre SOC-Techniker möglicherweise zur Verfügung gestellt haben.
    Erstellen einer Automatisierungsregel Erstellen Sie eine Automatisierungsregel , die in Zukunft nur bei Incidents wie diesem ausgeführt wird (generiert von derselben Analyseregel), um Ihre zukünftige Workload zu reduzieren oder eine vorübergehende Änderung der Anforderungen (z. B. für einen Penetrationstest) zu berücksichtigen.
    Team erstellen (Vorschau) Erstellen Sie ein Team in Microsoft Teams, um abteilungsübergreifend mit anderen Personen oder Teams bei der Behandlung des Incidents zusammenzuarbeiten.

    Zum Beispiel:

    Screenshot des Menüs mit Aktionen, die für einen Incident im Detailbereich ausgeführt werden können.

  5. Wenn weitere Informationen zu dem Incident erforderlich sind, wählen Sie Vollständige Details im Detailbereich anzeigen aus, um die Details des Vorfalls in ihrer Gesamtheit anzuzeigen, einschließlich der Warnungen und Entitäten im Incident, einer Liste ähnlicher Vorfälle und ausgewählter wichtiger Erkenntnisse.

Suchen nach Vorfällen

Um einen bestimmten Incident schnell zu finden, geben Sie eine Suchzeichenfolge in das Suchfeld oberhalb des Rasters incidents ein, und drücken Sie die EINGABETASTE , um die Liste der angezeigten Vorfälle entsprechend zu ändern. Wenn Ihr Incident nicht in den Ergebnissen enthalten ist, können Sie Ihre Suche mithilfe der erweiterten Suchoptionen einschränken.

Um die Suchparameter zu ändern, wählen Sie die Schaltfläche Suchen und dann die Parameter aus, in denen Sie die Suche ausführen möchten.

Zum Beispiel:

Screenshot des Suchfelds für Vorfälle und der Schaltfläche zum Auswählen grundlegender und/oder erweiterter Suchoptionen.

Standardmäßig werden Incidentsuchen nur für die Werte Incident-ID, Titel, Tags, Besitzer und Produktname ausgeführt. Scrollen Sie im Suchbereich in der Liste nach unten, um einen oder mehrere andere zu durchsuchende Parameter auszuwählen, und wählen Sie Anwenden aus, um die Suchparameter zu aktualisieren. Wählen Sie Auf Standard festlegen aus, um die ausgewählten Parameter auf die Standardoption zurückzusetzen.

Hinweis

Suchvorgänge im Feld Besitzer unterstützen sowohl Namen als auch E-Mail-Adressen.

Die Verwendung erweiterter Suchoptionen ändert das Suchverhalten wie folgt:

Suchverhalten Beschreibung
Farbe der Suchschaltfläche Die Farbe der Suchschaltfläche ändert sich abhängig von den Parametertypen, die derzeit in der Suche verwendet werden.
  • Solange nur die Standardparameter ausgewählt sind, ist die Schaltfläche grau.
  • Sobald verschiedene Parameter ausgewählt sind, z. B. erweiterte Suchparameter, wird die Schaltfläche blau.
Automatische Aktualisierung Die Verwendung erweiterter Suchparameter verhindert, dass Sie auswählen können, um Ihre Ergebnisse automatisch zu aktualisieren.
Entitätsparameter Alle Entitätsparameter werden für erweiterte Suchvorgänge unterstützt. Bei der Suche in einem Entitätsparameter wird die Suche in allen Entitätsparametern ausgeführt.
Suchzeichenfolgen Die Suche nach einer Zeichenfolge von Wörtern umfasst alle Wörter in der Suchabfrage. Bei Suchzeichenfolgen wird die Groß-/Kleinschreibung beachtet.
Arbeitsbereichsübergreifende Unterstützung Erweiterte Suchvorgänge werden für arbeitsbereichsübergreifende Ansichten nicht unterstützt.
Anzahl der angezeigten Suchergebnisse Wenn Sie erweiterte Suchparameter verwenden, werden nur 50 Ergebnisse gleichzeitig angezeigt.

Tipp

Wenn Sie den gesuchten Incident nicht finden können, entfernen Sie Suchparameter, um Ihre Suche zu erweitern. Wenn Ihre Suchergebnisse zu viele Elemente enthalten, fügen Sie weitere Filter hinzu, um Ihre Ergebnisse einzugrenzen.

Schließen eines Incidents

Nachdem Sie einen bestimmten Vorfall behoben haben (z. B. wenn Ihre Untersuchung zu Seinem Abschluss kommt), legen Sie die status des Vorfalls auf Geschlossen fest. In diesem Fall werden Sie aufgefordert, den Vorfall zu klassifizieren, indem Sie den Grund angeben, warum Sie ihn schließen. Dieser Schritt ist obligatorisch.

Wählen Sie Klassifizierung auswählen aus, und wählen Sie in der Dropdownliste eine der folgenden Optionen aus:

  • Wahr positiv – verdächtige Aktivität
  • Gutartig positiv – verdächtig, aber erwartet
  • Falsch positiv – falsche Warnungslogik
  • Falsch positiv – falsche Daten
  • Unbestimmt

Screenshot: Hervorgehobene Klassifizierungen, die in der Liste Klassifizierung auswählen verfügbar sind.

Weitere Informationen zu falsch positiven Ergebnissen und gutartigen positiven Ergebnissen finden Sie unter Behandeln falsch positiver Ergebnisse in Microsoft Sentinel.

Nachdem Sie die entsprechende Klassifizierung ausgewählt haben, fügen Sie im Feld Kommentar beschreibenden Text hinzu. Dies ist nützlich für den Fall, dass Sie auf diesen Vorfall zurückgreifen müssen. Wählen Sie Übernehmen aus, wenn Sie fertig sind, und der Incident wird geschlossen.

Screenshot: Schließen eines Incidents

Nächster Schritt

Weitere Informationen finden Sie unter Untersuchen Microsoft Sentinel Incidents im Azure-Portal

  • Last updated on