Freigeben über


Übersicht über die Reaktion auf Vorfälle

Bei der Reaktion auf Vorfälle geht es um das Untersuchen und Entschärfen von aktiven Angriffen auf Ihre Organisation. Incident Response ist Teil der Disziplin der Sicherheitsoperationen (SecOps) und ist in erster Linie reaktiv.

Die Reaktion auf Vorfälle hat den größten direkten Einfluss auf die allgemeine durchschnittliche Bestätigungszeit (Mean Time To Acknowledge, MTTA) und durchschnittliche Korrekturzeit (Mean Time To Remediate, MTTR). Anhand dieser Werte wird gemessen, wie gut Sicherheitsvorgänge geeignet sind, das Risiko für eine Organisation zu minimieren. Die für die Reaktion auf Vorfälle zuständigen Teams sind stark von guten Arbeitsbeziehungen zwischen den Teams für die Bereiche Bedrohungssuche, Threat Intelligence und Incident Management (falls vorhanden) abhängig, damit das Risiko wirklich reduziert werden kann. Weitere Informationen finden Sie unter SecOps-Metriken.

Weitere Informationen zu Rollen und Zuständigkeiten für Sicherheitsvorgänge finden Sie im Artikel zu den SOC-Cloudfunktionen.

Prozess zur Reaktion auf Vorfälle

Erstellen Sie zunächst einen Plan zur Reaktion auf Vorfälle, der sowohl interne als auch externe Prozesse für die Reaktion auf Cybersicherheitsvorfälle umfasst. Der Plan sollte detailliert beschreiben, wie Ihr Unternehmen vorgehen soll:

  • Behandeln von Angriffen, die sich je nach Geschäftsrisiko und Auswirkungen des Vorfalls unterscheiden – von einer isolierten Website, die nicht mehr verfügbar ist, bis hin zur Kompromittierung von Administratoranmeldeinformationen
  • Definieren des Zwecks der Reaktion – beispielsweise die Wiederherstellung eines Diensts oder die Handhabung rechtlicher oder öffentlicher Aspekte des Angriffs
  • Priorisieren der zu erledigenden Arbeiten hinsichtlich der Anzahl von Personen, die an dem Vorfall arbeiten sollen, und ihrer Aufgaben

Im Artikel Planung der Reaktion auf einen Vorfall finden Sie eine Checkliste mit Aktivitäten, die Sie in Ihren Plan zur Reaktion auf einen Vorfall aufnehmen sollten. Testen Sie Ihren Plan für die Reaktion auf Vorfälle nach der Erstellung regelmäßig für die schwerwiegendsten Arten von Cyberangriffen, um sicherzustellen, dass Ihre Organisation schnell und effizient darauf reagieren kann.

Auch wenn der Prozess zur Reaktion auf Sicherheitsvorfälle in jedem Unternehmen je nach Organisationsstruktur, Fähigkeiten und historischen Erfahrungen unterschiedlich sein kann, sollten Sie die in diesem Artikel enthaltenen Empfehlungen und bewährten Verfahren zur Reaktion auf Sicherheitsvorfälle berücksichtigen.

Beachten Sie die folgenden wichtigen Hinweise zur Verhaltensweise bei einem Vorfall:

  • Ruhe bewahren

    Vorfälle können zu starken Störungen und somit auch zu großen Gefühlsausbrüchen führen. Bleiben Sie ruhig, und legen Sie das Hauptaugenmerk zunächst auf die Aktionen mit den stärksten Auswirkungen.

  • Keinen Schaden anrichten

    Vergewissern Sie sich, dass Ihre Reaktion so ausgerichtet ist und erfolgt, dass der Verlust von Daten, unternehmenskritischen Funktionen und Beweismaterial vermieden wird. Vermeiden Sie das Treffen von Entscheidungen, die verhindern, dass Sie forensische Zeitachsen erstellen, die Grundursache ermitteln und wichtige Erkenntnisse gewinnen.

  • Rechtsabteilung einbeziehen

    Fragen Sie nach, ob Strafverfolgungsbehörden hinzugezogen werden sollen, damit Sie Ihre Untersuchungs- und Wiederherstellungsmaßnahmen entsprechend planen können.

  • Informationen zum Vorfall nur mit Bedacht öffentlich weitergeben

    Stimmen Sie sich mit Ihrer Rechtsabteilung ab, bevor Sie Informationen an Ihre Kunden bzw. an die Öffentlichkeit weitergeben.

  • Bei Bedarf Hilfe in Anspruch nehmen

    Nutzen Sie Fachwissen und Erfahrungswerte, wenn Sie Angriffe professioneller Angreifer untersuchen und darauf reagieren.

Wie auch bei der Diagnose und Behandlung einer Krankheit muss bei einer Cybersicherheitsuntersuchung und der Reaktion auf einen größeren Vorfall ein System verteidigt werden, für das Folgendes gilt:

  • Kritisch wichtig (kann nicht abgeschaltet werden, um daran zu arbeiten).
  • Komplexität (Lösung durch eine Person allein nicht möglich)

Während eines Vorfalls müssen Sie in Bezug auf die folgenden kritischen Bereiche Kompromisse finden:

  • Geschwindigkeit

    Wägen Sie den Zwang zum schnellen Handeln, um die Beteiligten zufriedenzustellen, gegen das Risiko ab, das mit vorschnellen Entscheidungen verbunden ist.

  • Freigabe von Informationen

    Informieren Sie Prüfer, Beteiligte und Kunden auf der Grundlage der Ratschläge Ihrer Rechtsabteilung, um die Haftung zu beschränken und unrealistische Erwartungen zu vermeiden.

Dieser Artikel dient dazu, das Risiko eines Cybersicherheitsvorfalls für Ihre Organisation zu verringern. Hierzu werden häufige Fehler beschrieben, die Sie vermeiden sollten, und Sie erhalten Informationen zu Aktionen, die Sie schnell durchführen können, um sowohl das Risiko zu minimieren als auch die Anforderungen der Beteiligten zu erfüllen.

Hinweis

Weitere Informationen zur Vorbereitung Ihrer Organisation auf Ransomware-Angriffe und andere Arten von mehrstufigen Angriffen finden Sie unter Phase 1. Vorbereiten des Wiederherstellungsplans.

Bewährte Methoden für die Reaktion

Mit diesen Empfehlungen kann die Reaktion auf Vorfälle sowohl aus technischer als auch aus operativer Sicht effektiv erfolgen.

Hinweis

Weitere ausführliche Branchenempfehlungen finden Sie im NIST-Leitfaden für den Umgang mit Computersicherheitsincidents.

Bewährte Verfahren für technische Reaktionen

Hier finden Sie einige Ziele, die Sie im Hinblick auf die technischen Aspekte der Reaktion auf Vorfälle berücksichtigen sollten:

  • Versuchen Sie, den Umfang des Angriffs zu ermitteln.

    Die meisten Angreifer nutzen mehrere Persistenzmechanismen.

  • Identifizieren Sie nach Möglichkeit das Ziel des Angriffs.

    Persistente Angreifer führen später häufig erneut einen Angriff auf das anvisierte Ziel (Daten/Systeme) durch.

Hier sind einige nützliche Tipps angegeben:

  • Laden Sie keine Dateien auf Online-Scanner hoch

    Viele Angreifer überwachen die Anzahl der Instanzen von Diensten, z. B. VirusTotal für die Ermittlung von Schadsoftware.

  • Sorgfältige Prüfung von Änderungen

    Wenn Sie nicht unmittelbar vom Verlust geschäftskritischer Daten bedroht sind – z. B. durch Löschung, Verschlüsselung und Exfiltration –, sollten Sie das Risiko, die Änderung nicht vorzunehmen, gegen die voraussichtlichen Auswirkungen auf Ihr Unternehmen abwägen. Beispielsweise kann es erforderlich sein, den Internetzugriff Ihrer Organisation vorübergehend zu unterbinden, um unternehmenskritische Ressourcen während eines aktiven Angriffs zu schützen.

    Falls Änderungen erforderlich sind, bei denen das durch Untätigkeit entstehende Risiko höher ist als das Risiko der Durchführung einer Maßnahme, dokumentieren Sie die Maßnahme in einem Änderungsprotokoll. Bei Änderungen, die als Reaktion auf Vorfälle vorgenommen werden, geht es in erster Linie um die Abwehr des Angreifers, und sie können sich negativ auf das Unternehmen auswirken. Diese Änderungen müssen nach dem Wiederherstellungsprozess wieder zurückgenommen werden.

  • Forschen Sie nicht endlos nach

    Es ist erforderlich, dass Sie Ihre Untersuchungsmaßnahmen strikt nach Priorität einteilen. Führen Sie forensische Analysen beispielsweise nur für Endpunkte durch, die von Angreifern genutzt oder modifiziert wurden. Bei einem größeren Vorfall, bei dem ein Angreifer über administrative Berechtigungen verfügt, ist es beispielsweise praktisch unmöglich, alle potenziell kompromittierten Ressourcen (zu denen auch alle Unternehmensressourcen gehören können) zu untersuchen.

  • Teilen von Informationen

    Vergewissern Sie sich, dass alle Untersuchungsteams (einschließlich aller internen Teams und externen Prüfer oder Versicherungsanbieter) ihre Daten in Abstimmung mit Ihrer Rechtsabteilung untereinander austauschen.

  • Nutzung der richtigen Fachkenntnisse

    Vergewissern Sie sich, dass Sie Personen mit fundierten Kenntnissen der Systeme in die Untersuchung einbeziehen – z. B. interne Mitarbeiter oder externe Stellen wie Anbieter – und nicht nur Sicherheitsgeneralisten.

  • Antizipation einer verringerten Reaktionsfähigkeit

    Planen Sie aufgrund der außergewöhnlichen Belastung so, dass 50 % Ihrer Mitarbeiter mit 50 % der üblichen Kapazität arbeiten.

Eine wichtige Information für die Beteiligten ist, dass der ursprüngliche Angriff ggf. niemals richtig identifiziert werden kann. Der Grund ist, dass die für die Identifizierung erforderlichen Daten unter Umständen vor Beginn der Untersuchung gelöscht wurden, weil ein Angreifer versucht hat, seine Spuren zu verwischen.

Best Practices für die Reaktion auf Operationen

Für die Aspekte der Sicherheitsoperationen (SecOps) bei der Reaktion auf Vorfälle sind hier einige Ziele zu beachten:

  • Fokussiert bleiben

    Achten Sie darauf, dass Sie sich vor allem auf die unternehmenskritischen Daten, die Auswirkungen für die Kunden und die Vorbereitung auf die Behebung konzentrieren.

  • Eindeutigkeit bei der Koordination und den Rollen

    Richten Sie klare Rollen im operativen Bereich ein, damit das Krisenteam Unterstützung erhält, und stellen Sie sicher, dass sich die Teams aus den Bereichen Technik, Recht und Kommunikation gegenseitig auf dem Laufenden halten.

  • Beibehaltung Ihrer geschäftlichen Perspektive

    Sie sollten immer die Auswirkungen auf den Geschäftsbetrieb im Auge behalten, die sich sowohl durch Aktionen von Angreifern als auch durch Ihre Reaktionen ergeben können.

Hier sind einige nützliche Tipps angegeben:

  • Nutzung des Incident Command System (ICS) für das Krisenmanagement

    Wenn Sie keine ständige Organisation haben, die sich um Sicherheitsvorfälle kümmert, empfehlen wir Ihnen, das IKS als vorübergehende Organisationsstruktur für das Krisenmanagement zu nutzen.

  • Aufrechterhaltung des laufenden täglichen Betriebs

    Stellen Sie sicher, dass die normalen SecOps nicht vollständig an den Rand gedrängt werden, um die Untersuchung von Vorfällen zu unterstützen. Die entsprechenden Aufgaben müssen weiterhin durchgeführt werden.

  • Vermeidung unnötiger Ausgaben

    Bei vielen größeren Vorfällen werden vorschnell teure Sicherheitstools erworben, die dann aber gar nicht bereitgestellt oder verwendet werden. Wenn Sie ein Tool nicht während der Untersuchung bereitstellen und verwenden können, was die Einstellung und Schulung zusätzlicher Mitarbeiter mit den für die Bedienung des Tools erforderlichen Fähigkeiten beinhalten kann, verschieben Sie die Anschaffung bis nach Abschluss der Untersuchung.

  • Nutzung von Fachwissen

    Stellen Sie sicher, dass Sie Fragen und Probleme an Experten auf den richtigen Plattformen eskalieren können. Für diese Fähigkeit ist unter Umständen der Zugang zum Betriebssystem- und Anwendungsanbieter erforderlich, wenn es um unternehmenskritische Systeme und unternehmensweite Komponenten wie Desktops und Server geht.

  • Festlegung des Informationsflusses

    Legen Sie eindeutige Anweisungen und Vorgaben für den Informationsfluss zwischen den Führungskräften, die für die Reaktion auf Vorfälle zuständig sind, und den Beteiligten in der Organisation fest. Weitere Informationen finden Sie unter Planen der Reaktion auf Vorfälle.

Bewährte Methoden für die Wiederherstellung

Mit diesen Empfehlungen kann die Wiederherstellung nach Vorfällen sowohl aus technischer als auch aus operativer Sicht effektiv erfolgen.

Best Practices zur technischen Wiederherstellung

Hier finden Sie einige Ziele, die Sie im Hinblick auf die technischen Aspekte der Wiederherstellung nach einem Vorfall berücksichtigen sollten:

  • Übertreiben Sie es nicht

    Begrenzen Sie den Umfang Ihrer Reaktion so, dass der Wiederherstellungsvorgang innerhalb von maximal 24 Stunden durchgeführt werden kann. Planen Sie ein Wochenende als Puffer und für Korrekturmaßnahmen ein.

  • Vermeidung von Ablenkungen

    Verschieben Sie langfristige Investitionen in die Sicherheit, z. B. die Implementierung umfangreicher und komplexer neuer Sicherheitssysteme oder den Austausch von Antischadsoftware, auf einen Zeitpunkt nach dem Wiederherstellungsvorgang. Alles, was keine direkte und unmittelbare Auswirkung auf die laufende Rettungsaktion hat, ist eine Ablenkung.

Hier sind einige nützliche Tipps angegeben:

  • Keine gleichzeitige Zurücksetzung aller Kennwörter

    Bei Kennwortzurücksetzungen sollte der Schwerpunkt zunächst auf den bei Ihrer Untersuchung ermittelten kompromittierten Konten und ggf. auf Administrator- oder Dienstkonten liegen. Falls erforderlich, sollten Benutzerkennwörter nur in mehreren Phasen und auf kontrollierte Weise zurückgesetzt werden.

  • Konsolidierte Durchführung von Wiederherstellungsaufgaben

    Sofern nicht die direkte Gefahr eines Verlusts von unternehmenskritischen Daten besteht, sollten Sie einen konsolidierten Vorgang zur schnellen Behebung für alle kompromittierten Ressourcen (z. B. Host und Konten) planen, anstatt die Behebung für einzelne kompromittierte Ressourcen direkt nach der Entdeckung durchzuführen. Indem Sie dieses Zeitfenster möglichst klein halten, erschweren Sie es Angreifern, Anpassungen vorzunehmen und den Angriff fortzuführen.

  • Nutzung vorhandener Tools

    Evaluieren und nutzen Sie die Funktionen von Tools, die Sie bereitgestellt haben, bevor Sie versuchen, während der Wiederherstellung ein neues Tool bereitzustellen und zu erlernen.

  • Vermeidung des Informationsflusses an Angreifer

    Nach Möglichkeit sollten Sie geeignete Maßnahmen ergreifen, um die Informationen einzuschränken, die für Angreifer in Bezug auf den Wiederherstellungsvorgang verfügbar sind. Normalerweise haben Angreifer bei einem Cybersicherheitsvorfall Zugriff auf alle Produktions- und E-Mail-Daten. Aber in Wirklichkeit haben die meisten Angreifer nicht die Zeit, Ihre gesamte Kommunikation zu überwachen.

    Das Security Operations Center (SOC) von Microsoft verwendet einen nicht produktiven Microsoft 365-Tenant für die sichere Kommunikation und Zusammenarbeit der Mitglieder des Incident Response Teams.

Bewährte Verfahren zur Wiederherstellung des Betriebs

Hier finden Sie einige Ziele, die Sie im Hinblick auf betriebliche Aspekte der Wiederherstellung nach einem Vorfall berücksichtigen sollten:

  • Klarer Plan und begrenzter Umfang

    Arbeiten Sie eng mit Ihren technischen Teams zusammen, um einen klaren Plan mit begrenztem Umfang aufzustellen. Es kann zwar sein, dass Pläne aufgrund von Angreiferaktivitäten oder neuen Informationen geändert werden müssen, aber Sie sollten sorgfältig darauf achten, dass der Umfang nicht zu stark zunimmt und nicht zu viele weitere Aufgaben hinzukommen.

  • Eindeutigkeit in Bezug auf den Besitzer des Plans

    An Wiederherstellungsvorgängen sind viele Personen beteiligt, die gleichzeitig viele verschiedene Aufgaben durchführen. Aus diesem Grund sollten Sie für den Vorgang einen Projektleiter bestimmen, damit die Entscheidungsfindung eindeutig geklärt ist und die richtigen Informationen zwischen den Krisenteams fließen.

  • Sicherstellung der Kommunikation zwischen den Beteiligten

    Arbeiten Sie mit den Kommunikationsteams zusammen, damit die Beteiligten der Organisation zeitnahe Updates erhalten und wissen, was sie erwartet.

Hier sind einige nützliche Tipps angegeben:

  • Fähigkeiten und Grenzen

    Das Management bei größeren Sicherheitsvorfällen ist sehr anspruchsvoll, sehr komplex und für viele Mitarbeiter der Branche Neuland. Wenn Ihre Teams überfordert sind oder nicht wissen, was sie als Nächstes tun sollen, sollten Sie in Erwägung ziehen, die Expertise externer Organisationen oder professioneller Dienste hinzuzuziehen.

  • Erfassung der gewonnenen Erkenntnisse

    Erstellen und verbessern Sie laufend rollenspezifische Handbücher für SecOps, auch wenn es Ihr erster Vorfall ohne schriftliche Verfahren ist.

Die Kommunikation zur Reaktion auf Vorfälle auf Ebene der Geschäftsführung bzw. des Vorstands kann schwierig sein, wenn dies nicht geübt bzw. antizipiert wird. Stellen Sie sicher, dass Sie über einen Plan dafür verfügen, wie der Fortschritt und die Erwartungen in Bezug auf die Wiederherstellung kommuniziert werden sollen.

Verfahren zur Reaktion auf Vorfälle für SecOps

Betrachten Sie diese allgemeine Richtlinie über den Prozess der Reaktion auf Vorfälle für Ihre SecOps und Mitarbeiter.

1. Entscheiden und Agieren

Nachdem mit einem Tool für die Bedrohungserkennung, z. B. Microsoft Sentinel oder Microsoft Defender XDR, ein mutmaßlicher Angriff erkannt wurde, wird ein Vorfall (Incident) erstellt. Die Messung der mittleren Zeit bis zur Bestätigung (Mean Time To Acknowledge, MTTA) zur Ermittlung der SOC-Reaktionsfähigkeit beginnt mit dem Zeitpunkt, zu dem Ihre Sicherheitsmitarbeiter diesen Angriff entdecken.

Ein diensthabender Analyst wird entweder delegiert oder übernimmt selbst den Besitz des Vorfalls und führt eine erste Analyse durch. Der hierfür geltende Zeitstempel ist das Ende der Messung der Reaktionsfähigkeit (MTTA) und der Beginn der Messung der mittleren Zeit bis zur Behebung (Mean Time To Remediate, MTTR).

Wenn der Analyst, der den Besitz des Vorfalls übernommen hat, ein ausreichendes Verständnis des Ablaufs und Umfangs des Angriffs entwickelt hat, kann er schnell zur Planung und Durchführung von Bereinigungsaktionen wechseln.

Je nach Art und Umfang des Angriffs können Ihre Analysten Angriffsartefakte einzeln bereinigen (z. B. E-Mails, Endpunkte und Identitäten) oder eine Liste mit kompromittierten Ressourcen erstellen, die dann alle auf einmal bereinigt werden (als „Big Bang“ bezeichnet).

  • Einzelbereinigung

    Bei den meisten typischen Vorfällen, die zu einem frühen Zeitpunkt des Angriffsvorgangs erkannt werden, können Analysten die Artefakte schnell einzeln bereinigen, sobald sie diese entdecken. Diese Praxis benachteiligt den Gegner und hindert ihn daran, mit der nächsten Phase seines Angriffs fortzufahren.

  • Vorbereitung auf „Big Bang“

    Dieser Ansatz eignet sich für ein Szenario, bei dem ein Angreifer sich bereits festgesetzt hat und redundante Zugriffsmechanismen für Ihre Umgebung eingerichtet hat. Diese Vorgehensweise wird häufig bei Kundenvorfällen beobachtet, die vom Microsoft Incident Response Teamuntersucht werden. Bei diesem Ansatz sollten es Analysten vermeiden, dem Angreifer durch die Verfügbarkeit von Informationen zu helfen, bis die Ermittlung seiner Anwesenheit vollständig abgeschlossen wurde. Dieses Überraschungsmoment kann nämlich hilfreich sein, um den Angreifer nachhaltig bei seinen Aktivitäten zu stören.

    Microsoft hat festgestellt, dass Angreifer bei der Durchführung von partiellen Behebungen häufig Informationen erhalten, die es ihnen ermöglichen, entsprechend zu reagieren und den Vorfall zu verschlimmern. Beispielsweise kann der Angreifer den Angriff ausweiten, die Zugriffsmethoden ändern, um eine Erkennung zu vermeiden, seine Spuren verwischen und aus „Rache“ große Schäden an den Daten und am System anrichten.

    Die Bereinigung von Phishing- und anderen schädlichen E-Mails kann häufig durchgeführt werden, ohne dass der Angreifer Informationen erhält. Beim Bereinigen von Hostschadsoftware und der Wiedergewinnung der Kontrolle über Konten ist die Wahrscheinlichkeit, dass dies entdeckt wird, aber hoch.

Das Treffen dieser Entscheidungen ist nicht einfach, und Erfahrung im Umgang mit solchen Maßnahmen ist unverzichtbar. Eine kollaborative Arbeitsumgebung und -kultur in Ihrem SOC trägt dazu bei, dass die Analysten von den Erfahrungen der anderen profitieren können.

Die spezifischen Reaktionsschritte richten sich zwar jeweils nach der Art des Angriffs, aber Beispiele für häufige Vorgehensweisen von Analysten sind:

  • Clientendpunkte (Geräte)

    Isolieren Sie den Endpunkt, und wenden Sie sich an den Benutzer oder die IT-Abteilung bzw. den Helpdesk, um eine Neuinstallation zu initiieren.

  • Server oder Anwendungen

    Arbeiten Sie mit der IT-Abteilung und den Anwendungsbesitzern zusammen, um eine schnelle Wiederherstellung dieser Ressourcen zu ermöglichen.

  • Benutzerkonten

    Gewinnen Sie wieder die Kontrolle, indem Sie das Konto deaktivieren und das Kennwort für kompromittierte Konten zurücksetzen. Diese Verfahren können weiterentwickelt werden, wenn für Ihre Benutzer die Umstellung auf die kennwortlose Authentifizierung mit Windows Hello oder eine andere Form der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA) durchgeführt wird. Ein separater Schritt besteht darin, alle Authentifizierungs-Tokens für das Konto mit Microsoft Defender für Cloud Apps ablaufen zu lassen.

    Ihre Analysten können auch die Telefonnummer der MFA-Methode und die Registrierung des Geräts überprüfen, um sicherzustellen, dass sie nicht übernommen worden ist, indem sie den Benutzer kontaktieren und diese Informationen bei Bedarf zurücksetzen.

  • Dienstkonten

    Aufgrund des hohen Risikos einer Beeinträchtigung von Diensten oder der Geschäftsabläufe sollten Ihre Analysten mit dem jeweiligen Dienstkontobesitzer zusammenarbeiten und bei Bedarf die IT-Abteilung einbeziehen, um eine schnelle Wiederherstellung dieser Ressourcen zu erreichen.

  • E-Mails

    Löschen Sie die Angriffs- bzw. Phishing-E-Mails, und führen Sie ggf. auch das endgültige Löschen durch, um zu verhindern, dass Benutzer gelöschte E-Mails wiederherstellen. Speichern Sie immer eine Kopie der ursprünglichen E-Mail, damit nach dem Angriff eine Analyse durchgeführt werden kann, z. B. in Bezug auf Header, Inhalt und Skripts oder Anlagen.

  • Andere

    Sie können benutzerdefinierte Aktionen basierend auf der Art des Angriffs durchführen, z. B. Widerrufen von Anwendungstoken und Neukonfigurieren von Servern und Diensten.

2. Durchführen der Bereinigung nach dem Vorfall

Da Sie von den gewonnenen Erkenntnissen erst dann profitieren, wenn Sie zukünftige Aktionen ändern, sollten Sie alle nützlichen Informationen, die Sie aus der Untersuchung gewonnen haben, wieder in Ihre SecOps integrieren.

Ermitteln Sie die Verbindungen zwischen den bereits erfolgten und zukünftigen Vorfällen derselben Bedrohungsakteure bzw. den verwendeten Methoden, und halten Sie diese Erkenntnisse fest, um eine unnötige Wiederholung manueller Schritte und zukünftige Verzögerungen bei der Analyse zu vermeiden.

Diese Erkenntnisse können in vielerlei Form vorliegen, aber häufig wird Folgendes analysiert:

  • Indikatoren für eine Kompromittierung (IoC)

    Zeichnen Sie alle relevanten Indikatoren für eine Kompromittierung (Indicators of Compromise, IoC), z. B. Dateihashes, schädliche IP-Adressen und E-Mail-Attribute, in den Threat Intelligence-Systemen Ihres SOC auf.

  • Unbekannte oder ungepatchte Sicherheitsrisiken

    Ihre Analysten können Prozesse einleiten, um sicherzustellen, dass fehlende Sicherheits-Patches angewendet, Fehlkonfigurationen korrigiert und Anbieter (einschließlich Microsoft) über „Zero-Day“-Schwachstellen informiert werden, damit sie Sicherheits-Patches erstellen und verteilen können.

  • Interne Aktionen, z. B. das Aktivieren der Protokollierung Ihrer cloudbasierten und lokalen Ressourcen

    Überprüfen Sie Ihre vorhandenen Sicherheitsbaselines, und erwägen Sie, Sicherheitskontrollen hinzuzufügen oder zu ändern. Im Microsoft Entra Security Operations Leitfaden finden Sie zum Beispiel Informationen zur Aktivierung der entsprechenden Prüfungsstufe im Verzeichnis, bevor der nächste Vorfall eintritt.

Überprüfen Sie Ihre Reaktionsprozesse, um Lücken zu identifizieren und zu schließen, die während des Vorfalls entdeckt wurden.

Ressourcen zur Reaktion auf Vorfälle

Wichtige Sicherheitsressourcen von Microsoft

Resource Beschreibung
Microsoft Digital Defense Report 2023 Ein Bericht, der Informationen von Sicherheitsexperten, Praktikern und Verteidigern bei Microsoft umfasst, um es Menschen weltweit zu ermöglichen, sich vor Cyberbedrohungen zu schützen.
Referenzarchitekturen für Microsoft-Cybersicherheit Eine Reihe von visuellen Architekturdiagrammen, die Microsofts Cybersecurity-Funktionen und deren Integration mit Microsoft Cloud-Plattformen wie Microsoft 365 und Microsoft Azure sowie Cloud-Plattformen und -Anwendungen von Drittanbietern zeigen.
Infografik zum Thema „Jede Minute zählt“: Download Eine Übersicht über die Reaktion des SecOps-Teams von Microsoft auf Vorfälle, um derzeit aktive Angriffe zu entschärfen.
Azure Cloud Adoption Framework: Sicherheitsvorgänge Strategische Anleitung für Führungskräfte, die eine Funktion für Sicherheitsvorgänge einrichten oder modernisieren.
Bewährte Methoden für Microsoft-Sicherheit für Sicherheitsvorgänge Hier erfahren Sie, wie Sie Ihr SecOps Center am besten einsetzen, damit Ihre Organisation Angreifern immer einen Schritt voraus ist.
Microsoft Cloud Security für IT-Architekten: Modell Informationen zur Sicherheit für Microsoft-Clouddienste und -Plattformen in Bezug auf Identitäts- und Gerätezugriff, Bedrohungsschutz und Information Protection.
Microsoft-Dokumentation zur Sicherheit Enthält zusätzliche Sicherheitsinformationen von Microsoft.