This is the Trace Id: c344eeea42798a33c3ad7b3b29be5022
Zu Hauptinhalt springen Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Alle Produkte anzeigen KI für Cybersicherheit Cloudsicherheit Datensicherheit und Governance Identitäten und Netzwerkzugriff Datenschutz und Risikomanagement Sicherheit für KI Kleine und mittelständische Unternehmen Einheitliche Sicherheitsabläufe (SecOps) Zero Trust Preise Dienste Partner Warum Microsoft Security Sensibilisierung für Cybersicherheit Kundenreferenzen Sicherheitsgrundlagen Produkte testen Branchenecho Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Microsoft Security-Blog Microsoft Security-Veranstaltungen Microsoft Tech Community Dokumentation Technical Content Library Schulungen und Zertifizierungen Compliance Program for Microsoft Cloud Microsoft Trust Center Service Trust Portal Microsoft Secure Future Initiative Business Solutions Hub An den Vertrieb wenden Kostenlos testen Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft KI Azure Space Mixed Reality Microsoft HoloLens Microsoft Viva Quanten-Computing Bildung und Forschung Automobilbranche Finanzdienstleistungen Öffentlicher Sektor Gesundheitswesen Produktion Einzelhandel Partner finden Partner werden Partner-Netzwerk Microsoft Marketplace Softwareunternehmen Blog Microsoft Advertising Developer Center Dokumentation Veranstaltungen Lizenzierung Microsoft Learn Microsoft Research Siteübersicht anzeigen
Zwei Fachkräfte stehen zusammen in einem Büroflur, halten ein Tablet und besprechen die Arbeit.

Was ist Erkennung von Bedrohungen und die Reaktion darauf (Threat Detection and Response, TDR)?

Erfahren Sie, wie Sie die Werte Ihrer Organisation schützen können, indem Sie mit der Erkennung von Bedrohungen und der Reaktion darauf proaktiv Cybersecurityrisiken identifizieren und mindern.

Einfach erklärt: Erkennung von Bedrohungen und Reaktion darauf (Threat Detection and Response, TDR)

Die Erkennung von Bedrohungen und Reaktion darauf ist ein Cybersicherheitsprozess zum Identifizieren von Cyberbedrohungen für die digitalen Ressourcen eines Unternehmens und zum Ergreifen von Maßnahmen, um diese so schnell wie möglich zu mindern.

Wie funktioniert die Erkennung von Bedrohungen und Reaktion darauf?

Um Cyberbedrohungen und anderen Sicherheitsproblemen zu begegnen, richten viele Organisationen ein Security Operations Center (SOC) ein. Dabei handelt es sich um eine zentralisierte Funktion oder ein Team, das für die Verbesserung der Cybersicherheitslage einer Organisation sowie für die Prävention, Erkennung und Reaktion auf Bedrohungen zuständig ist. Ein SOC überwacht nicht nur laufende Cyberangriffe und reagiert darauf, sondern arbeitet auch proaktiv, um neue Cyberbedrohungen und organisatorische Schwachstellen zu erkennen. Die meisten SOC-Teams, die sich entweder vor Ort befinden oder ausgelagert sind, arbeiten rund um die Uhr, sieben Tage die Woche.

Das SOC nutzt Threat Intelligence und Technologien, um einen versuchten, erfolgreichen oder laufenden Einbruch aufzudecken. Sobald eine Cyberbedrohung identifiziert ist, setzt das Sicherheitsteam Tools zur Erkennung von Bedrohungen und zur Reaktion darauf ein, um das Problem zu beseitigen oder zu entschärfen.

Die Erkennung von und Reaktion auf Bedrohungen umfasst in der Regel die folgenden Phasen:
 
  • Erkennung. Sicherheitstools, die Endpunkte, Identitäten, Netzwerke, Anwendungen und Clouds überwachen, helfen dabei, Risiken und potenzielle Verstöße aufzudecken. Sicherheitsexperten nutzen auch Techniken zur Suche nach Cyberbedrohungen, um ausgeklügelte Cyberbedrohungen aufzudecken, die sich der Erkennung entziehen.
  • Untersuchung. Sobald ein Risiko identifiziert ist, setzt das SOC KI und andere Tools ein, um zu bestätigen, dass die Cyberbedrohung real ist, um festzustellen, wie es dazu kam, und um zu bewerten, welche Unternehmensressourcen betroffen sind.
  • Eindämmung. Um die Ausbreitung eines Cyberangriffs zu stoppen, isolieren Cybersicherheitsteams und automatisierte Tools infizierte Geräte, Identitäten und Netzwerke von den übrigen Ressourcen der Organisation.
  • Beseitigung. Teams beseitigen die Grundursache eines Sicherheitsvorfalls mit dem Ziel, den böswilligen Akteur vollständig aus der Umgebung zu vertreiben. Sie mindern auch Sicherheitsrisiken, die die Organisation einem ähnlichen Cyberangriff aussetzen könnten.
  • Wiederherstellung. Nachdem die Teams einigermaßen sicher sind, dass eine Cyberbedrohung oder Schwachstelle beseitigt wurde, bringen sie alle isolierten Systeme wieder ans Netz.
  • Bericht. Je nach Schwere des Vorfalls dokumentieren die Sicherheitsteams den Vorfall und informieren die Verantwortlichen, die Geschäftsführung und/oder den Vorstand darüber, was passiert ist und wie der Vorfall behoben wurde.
  • Risikominderung. Um zu verhindern, dass sich ein ähnlicher Verstoß wiederholt, und um die Reaktion in Zukunft zu verbessern, untersuchen die Teams den Vorfall und ermitteln, welche Änderungen an der Umgebung und den Prozessen vorgenommen werden müssen.

Was ist Bedrohungserkennung?

Die Identifizierung von Cyberbedrohungen ist zunehmend schwieriger geworden, da Organisationen ihren Cloudfußabdruck erweitert haben, mehr Geräte mit dem Internet verbunden haben und zu einem hybriden Arbeitsplatz übergegangen sind. Böswillige nutzen diese erweiterte Oberfläche und die Fragmentierung der Sicherheitstools mit den folgenden Taktiken aus:
 
  • Phishingkampagnen. Eine der häufigsten Methoden, mit denen böswillige Akteure ein Unternehmen infiltrieren, ist das Versenden von E-Mails, die Mitarbeiter dazu verleiten, bösartigen Code herunterzuladen oder ihre Anmeldeinformationen weiterzugeben.
  • Schadsoftware. Viele Cyberangreifer setzen Software ein, die darauf abzielt, Computer und Systeme zu beschädigen oder sensible Informationen zu sammeln.
  • Ransomware. Bei dieser Art von Schadsoftware nehmen Ransomwareangreifer wichtige Systeme und Daten als Geiseln und drohen, private Daten freizugeben oder Cloudressourcen zu stehlen, um Bitcoin zu schürfen, bis ein Lösegeld gezahlt wird. In letzter Zeit ist von Menschenhand betriebene Ransomware, bei der sich eine Gruppe von Cyberangreifern Zugang zum gesamten Netzwerk einer Organisation verschafft, zu einem immer größeren Problem für Sicherheitsteams geworden.
  • DDoS-Angriffe (Distributed Denial-of-Service). Mithilfe einer Reihe von Bots unterbrechen böswillige Akteure eine Website oder einen Dienst, indem sie mit Datenverkehr überflutet werden.
  • Insiderbedrohung. Nicht alle Cyberbedrohungen stammen von außerhalb einer Organisation. Es besteht auch das Risiko, dass vertrauenswürdige Personen mit Zugang zu sensiblen Daten die Organisation versehentlich oder böswillig schädigen.
  • Identitätsbasierte Angriffe. Die meisten Sicherheitsverletzungen betreffen kompromittierte Identitäten, d. h. Cyberangreifer stehlen oder erraten Anmeldeinformationen und nutzen sie, um sich Zugang zu den Systemen und Daten einer Organisation zu verschaffen.
  • Internet der Dinge (IoT)-Angriffe. IoT-Geräte sind ebenfalls anfällig für Cyberangriffe, insbesondere ältere Geräte, die nicht über die eingebauten Steuerelemente verfügen, die moderne Geräte haben.
  • Angriffe auf die Lieferkette. Es kommt vor, dass ein bösartiger Akteur eine Organisation angreift, indem er Software oder Hardware manipuliert, die von einem Drittanbieter bereitgestellt wird.
  • Codeeinschleusung. Indem sie Schwachstellen im Umgang mit externen Daten im Quellcode ausnutzen, injizieren Cyberkriminelle bösartigen Code in eine Anwendung.
Erkennung von Bedrohungen
Um den zunehmenden Cybersecurity-Angriffen einen Schritt voraus zu sein, verwenden Organisationen Bedrohungsmodelle, um Sicherheitsanforderungen zu definieren, Schwachstellen und Risiken zu identifizieren und Prioritäten für die Behebung zu setzen. Anhand hypothetischer Szenarien versucht das SOC, sich in die Gedankenwelt von Cyberkriminellen hineinzuversetzen, um die Fähigkeit der Organisation zu verbessern, Sicherheitsvorfälle zu verhindern oder zu entschärfen. Das MITRE ATTCK&CK®/Framework ist ein nützliches Modell für das Verständnis gängiger Cyberangriffstechniken und -taktiken.

Eine mehrschichtige Verteidigung erfordert Tools, die eine kontinuierliche Echtzeitüberwachung der Umgebung ermöglichen und potenzielle Sicherheitsprobleme aufdecken. Außerdem müssen sich die Lösungen überschneiden, so dass im Falle einer Beeinträchtigung einer Erkennungsmethode eine zweite das Problem erkennt und das Sicherheitsteam benachrichtigt. Lösungen zur Erkennung von Cyberbedrohungen verwenden eine Reihe von Methoden, um Bedrohungen zu identifizieren, darunter:
 
  • Signaturbasierte Erkennung. Viele Sicherheitslösungen scannen Software und Datenverkehr, um eindeutige Signaturen zu identifizieren, die mit einer bestimmten Art von Schadsoftware in Verbindung gebracht werden.
  • Verhaltensbasierte Erkennung. Um neue und aufkommende Cyberbedrohungen zu erkennen, suchen Sicherheitslösungen auch nach Aktionen und Verhaltensweisen, die bei Cyberangriffen üblich sind.
  • Anomaliebasierte Erkennung. KI und Analysen helfen den Teams, das typische Verhalten von Benutzern, Geräten und Software zu verstehen, so dass sie Ungewöhnliches erkennen können, das auf eine Cyberbedrohung hinweisen könnte.
Auch wenn Software entscheidend ist, spielen Menschen eine ebenso wichtige Rolle bei der Erkennung von Cyberbedrohungen. Neben der Bearbeitung und Untersuchung von systemgenerierten Warnmeldungen setzen Analysten Techniken zur Suche nach Cyberbedrohungen ein, um proaktiv nach Anzeichen für eine Gefährdung zu suchen, oder sie suchen nach Taktiken, Techniken und Verfahren, die auf eine potenzielle Bedrohung hindeuten. Diese Ansätze helfen dem SOC, ausgeklügelte, schwer zu entdeckende Angriffe schnell aufzudecken und zu stoppen.

Was versteht man unter Bedrohungsreaktion?

Nachdem eine glaubwürdige Cyberbedrohung identifiziert wurde, umfasst die Reaktion auf die Bedrohung alle Maßnahmen, die das SOC ergreift, um die Bedrohung einzudämmen und zu beseitigen, sich zu erholen und die Wahrscheinlichkeit zu verringern, dass sich ein ähnlicher Angriff wiederholt. Viele Unternehmen entwickeln einen Plan für Incident Response, der ihnen bei einem möglichen Verstoß helfen soll, wenn es darauf ankommt, sich zu organisieren und schnell zu handeln. Ein guter Plan für Incident Response umfasst Spielpläne mit schrittweisen Anleitungen für bestimmte Arten von Bedrohungen, Rollen und Verantwortlichkeiten sowie einen Kommunikationsplan.

Bestandteile, Vorteile und Best Practices von TDR

Organisationen verwenden eine Vielzahl von Tools und Prozessen, um Bedrohungen zu erkennen und darauf zu reagieren. Eine wirksame Erkennung und Reaktion auf Bedrohungen stärkt die Resilienz, minimiert Sicherheitsvorfälle und fördert Vorgehensweisen, die Teams bei der Zusammenarbeit unterstützen und Häufigkeit sowie Kosten von Cyberangriffen senken.

Extended Detection and Response

Produkte für Extended Detection and Response (XDR) helfen SOCs, den gesamten Lebenszyklus von Prävention, Erkennung und Reaktion auf Cyberbedrohungen zu vereinfachen. Diese Lösungen überwachen Endpunkte, Cloudanwendungen, E-Mails und Identitäten. Wenn eine XDR-Lösung eine Cyberbedrohung entdeckt, alarmiert sie die Sicherheitsteams und reagiert automatisch auf bestimmte Vorfälle auf der Grundlage von Kriterien, die das SOC definiert.

Erkennung und Reaktion auf Identitätsbedrohungen

Da es böswillige Akteure häufig auf Mitarbeitende abgesehen haben, ist es wichtig, Tools und Prozesse zur Erkennung von und Reaktion auf Bedrohungen der Identitäten einer Organisation einzurichten. Diese Lösungen verwenden in der Regel User and Entity Behaviour Analytics (UEBA), um das grundlegende Benutzerverhalten zu definieren und Anomalien aufzudecken, die eine potenzielle Bedrohung darstellen.

Security Information & Event Management

Der erste Schritt zum Erfassen der Bedrohungslandschaft besteht darin, sich einen Überblick über die gesamte digitale Umgebung zu verschaffen. Die meisten SOC-Teams verwenden SIEM-Lösungen (Security Information & Event Management), die Daten über Endpunkte, Clouds, E-Mails, Anwendungen und Identitäten hinweg zusammenführen und korrelieren. Diese Lösungen verwenden Erkennungsregeln und Playbooks, um potenzielle Cyberbedrohungen durch die Korrelation von Protokollen und Warnmeldungen aufzudecken. Moderne SIEMs nutzen auch KI, um Cyberbedrohungen effektiver aufzudecken, und sie beziehen externe Bedrohungsdaten ein, um neue und aufkommende Cyberbedrohungen zu erkennen.

Threat Intelligence

Um sich einen umfassenden Überblick über die Cyberbedrohungslandschaft zu verschaffen, verwenden SOCs Tools, die Daten aus einer Vielzahl von Quellen zusammenführen und analysieren, darunter Endpunkte, E-Mails, Cloudanwendungen und externe Bedrohungsdatenquellen. Die Erkenntnisse aus diesen Daten helfen den Sicherheitsteams, sich auf einen Cyberangriff vorzubereiten, aktive Cyberbedrohungen zu erkennen, laufende Sicherheitsvorfälle zu untersuchen und effektiv zu reagieren.

Erkennung und Reaktion am Endpunkt

Lösungen zur Erkennung und Reaktion am Endpunkt (EDR) sind eine frühere Version von XDR-Lösungen, die sich nur auf Endpunkte wie Computer, Server, mobile Geräte und IoT konzentrieren. Wie die XDR-Lösungen erzeugen diese Lösungen bei der Entdeckung eines potenziellen Angriffs eine Warnmeldung und reagieren bei bestimmten, gut verstandenen Angriffen automatisch. Da EDR-Lösungen nur auf Endpunkte ausgerichtet sind, migrieren die meisten Organisationen zu XDR-Lösungen.

Bedrohungs- und Sicherheitsrisikomanagement

Schwachstellenmanagement ist ein kontinuierlicher, proaktiver und oft automatisierter Prozess, der Computersysteme, Netzwerke und Unternehmensanwendungen auf Sicherheitsschwachstellen überwacht. Lösungen für das Bedrohungs- und Sicherheitsrisikomanagement bewerten Schwachstellen nach Schweregrad und Risiko und liefern Berichte, die das SOC zur Behebung von Problemen verwendet.

Sicherheitsorchestrierung, Automatisierung und Reaktion

SOAR-Lösungen (Security Orchestration, Automation and Response) vereinfachen die Erkennung von und Reaktion auf Cyberbedrohungen, indem sie interne und externe Daten und Tools an einem zentralen Ort zusammenführen. Sie automatisieren auch die Reaktion auf Cyberbedrohungen auf der Grundlage einer Reihe vordefinierter Regeln.

Managed Detection and Response

Nicht alle Organisationen verfügen über die Ressourcen, um Cyberbedrohungen wirksam zu erkennen und darauf zu reagieren. Managed Detection and Response-Dienste helfen diesen Organisationen, ihre Sicherheitsteams mit den erforderlichen Tools und Mitarbeitern auszustatten, um Bedrohungen aufzuspüren und angemessen zu reagieren.
Zurück zu Registerkarten

Lösungen zur Erkennung von Bedrohungen und zur Reaktion darauf

Die Erkennung von Bedrohungen und die Reaktion darauf ist eine wichtige Funktion, die alle Organisationen nutzen können, um Cyberbedrohungen zu erkennen und zu bekämpfen, bevor sie Schaden anrichten. Microsoft Security bietet verschiedene Lösungen zum Schutz vor Bedrohungen, die Sicherheitsteams bei der Überwachung, Erkennung von und Reaktion auf Cyberbedrohungen unterstützen. Für Organisationen mit begrenzten Ressourcen bietet Microsoft Defender Experts verwaltete Dienste an, um die vorhandenen Mitarbeitenden und Tools zu ergänzen.
FAQ

Häufig gestellte Fragen

  • Die Erkennung von Bedrohungen umfasst die Techniken und Tools, die Sicherheitsexperten einsetzen, um komplexe, hartnäckige Bedrohungen aufzudecken, die so konzipiert sind, dass sie über einen längeren Zeitraum hinweg unentdeckt bleiben. Diese Bedrohungen sind oft ernster und können Spionage oder Datendiebstahl beinhalten.
  • Die wichtigsten Methoden zur Erkennung von Bedrohungen sind Sicherheitslösungen wie SIEM oder XDR, die Aktivitäten in der gesamten Umgebung analysieren, um Hinweise auf eine Gefährdung oder ein von den Erwartungen abweichendes Verhalten zu entdecken. Die Menschen arbeiten mit diesen Instrumenten, um potenzielle Bedrohungen einzuteilen und darauf zu reagieren. Außerdem nutzen sie XDR und SIEM, um nach raffinierten Angreifern zu suchen, die sich der Erkennung entziehen könnten.
  • Die Erkennung von Bedrohungen ist der Prozess der Aufdeckung potenzieller Sicherheitsrisiken, einschließlich Aktivitäten, die darauf hindeuten können, dass ein Gerät, eine Software, ein Netzwerk oder eine Identität kompromittiert wurde. Die Reaktion auf einen Vorfall umfasst die Schritte, die das Sicherheitsteam und automatisierte Tools zur Eindämmung und Beseitigung einer Cyberbedrohung unternehmen.
  • Das Verfahren zur Erkennung von Bedrohungen und zur Reaktion darauf umfasst:
     
    • Erkennung. Sicherheitstools, die Endpunkte, Identitäten, Netzwerke, Anwendungen und Clouds überwachen, helfen dabei, Risiken und potenzielle Verstöße aufzudecken. Sicherheitsexperten nutzen auch Techniken zur Suche nach Cyberbedrohungen, um zu versuchen, aufkommende Cyberbedrohungen aufzudecken.
    • Untersuchung. Sobald ein Risiko identifiziert ist, werden KI und andere Tools eingesetzt, um zu bestätigen, dass die Cyberbedrohung real ist, um festzustellen, wie es dazu kam, und um zu bewerten, welche Unternehmensressourcen betroffen sind.
    • Eindämmung. Um die Ausbreitung eines Cyberangriffs zu stoppen, isolieren Cybersicherheitsteams infizierte Geräte, Identitäten und Netzwerke von den übrigen Ressourcen der Organisation.
    • Beseitigung. Die Teams beseitigen die Ursache eines Sicherheitsvorfalls mit dem Ziel, den Angreifer vollständig aus der Umgebung zu vertreiben und Schwachstellen zu beseitigen, die die Organisation dem Risiko eines ähnlichen Cyberangriffs aussetzen könnten.
    • Wiederherstellung. Nachdem die Teams einigermaßen sicher sind, dass eine Cyberbedrohung oder Schwachstelle beseitigt wurde, bringen sie alle isolierten Systeme wieder ans Netz.
    • Berichterstattung. Je nach Schwere des Vorfalls dokumentieren die Sicherheitsteams den Vorfall und informieren die Verantwortlichen, die Geschäftsführung und/oder den Vorstand darüber, was passiert ist und wie der Vorfall behoben wurde.
    • Risikominderung. Um zu verhindern, dass sich ein ähnlicher Verstoß wiederholt, und um die Reaktion in Zukunft zu verbessern, untersuchen die Teams den Vorfall und ermitteln, welche Änderungen an der Umgebung und den Prozessen vorgenommen werden müssen.
  • TDR steht für „Threat Detection and Response“ (Erkennung von Bedrohungen und Reaktion darauf). Dabei handelt es sich um einen Prozess zur Identifizierung von Cybersecurity-Bedrohungen für eine Organisation und zur Ergreifung von Maßnahmen, um diese Bedrohungen zu entschärfen, bevor sie echten Schaden anrichten. EDR steht für „Endpoint Detection and Response“, d. h. Erkennung und Reaktion am Endpunkt, und ist eine Kategorie von Softwareprodukten, die die Endpunkte einer Organisation auf potenzielle Cyberbedrohungen überwachen, diese Cyberbedrohungen dem Sicherheitsteam anzeigen und automatisch auf bestimmte Arten von Cyberangriffen reagieren.

Microsoft Security folgen

Deutsch (Deutschland) Verbraucherdatenschutz für Gesundheitsdaten An Microsoft wenden Abo kündigen Impressum Datenschutz Cookies verwalten Nutzungsbedingungen Markenzeichen Informationen zu unserer Werbung EU Compliance DoCs