Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- edv:forensik:defender [17 23 2025 05 : 23] – angelegt André Reichert-Creutz
+++ edv:forensik:defender [17 44 2025 05 : 44] (aktuell) – [Schritt-für-Schritt-Playbook — Forensische Datensammlung aus Microsoft Defender for Endpoint] André Reichert-Creutz
@@ Zeile 1: / Zeile 1: @@
-====== Forensische Datensammlung aus Microsoft Defender for Endpoint — Schritt-für-Schritt-Anleitung ======
+====== Schritt-für-Schritt-Playbook — Forensische Datensammlung aus Microsoft Defender for Endpoint ======
-Diese Anleitung beschreibt, wie Sie aus Microsoft Defender for Endpoint (MDE) eine **gerichtstaugliche, forensisch auswertbare Sammlung von Artefakten** erstellen. MDE erzeugt nicht automatisch ein „Einzel-Report-PDF“ als forensisches Endprodukt — vielmehr sichern Sie eine Reihe strukturierter Rohdaten (Timeline-Exports, Investigation-Package, Advanced-Hunting-Exporte, Screenshots/Metadaten, Logs), auf deren Basis Sie ein finales Gutachten erstellen. Diese Anleitung ist als praktisches Playbook formuliert und enthält Prüf- und Dokumentations-Vorlagen. ([Microsoft Learn][1])
+Kurzversion: Ein „forensisch auswertbarer Bericht“ aus Defender for Endpoint (MDE) ist keine einzelne Knopf-Ausgabe, sondern eine strukturierte Sammlung von Exports, Investigation-Paketen, Logs, Screenshots und einem lückenlosen Untersuchungsprotokoll (//Chain-of-Custody//). Unten findest du eine vollständige, praktische Anleitung — jede Phase als klare Schritte, Checklisten und Vorlagen.
+^  Vorlagen  ^^
+|  Playbook als PDF  |  Checkliste  |
+|{{ :edv:forensik:mde_forensik_playbook.pdf |}}|{{ :edv:forensik:mde_forensik_checkliste.xlsx |}}|
-===== Nutzungs- und Rechtsrahmen / Vorbereitungen =====
+====== Vorbedingungen / Verantwortlichkeiten (vor Start) ======
-* **Rollen & Berechtigungen:** Stellen Sie sicher, dass Sie die nötigen Rollen besitzen (z. B. Alerts Investigation / Collect Forensics). Für API-Aktionen sind spezifische Berechtigungen erforderlich. ([Microsoft Learn][2])
+Berechtigungen: Du benötigst einen Account mit geeigneten MDE-Rechten (z. B. Security Reader/Responder/Contributor oder höher) und Zugriffsrechte auf die betroffenen Geräte/Action-Center.
-* **Chain-of-Custody starten:** Legen Sie ein unveränderbares Untersuchungsprotokoll an (z. B. geschützte Logdatei / Vorlage). Jede Aktion: Zeitstempel, Benutzer, Aktion, Grund, Zielpfad, Hash.
-* **Kommunikation & Eskalation:** Informieren Sie Incident-Owner, IT/Netzwerk-Team und ggf. Recht/Compliance vor forensischen Maßnahmen (z. B. Isolierung, Live-Response).
-* **Arbeitsumgebung:** Verwenden Sie einen separaten, abgesicherten Analysten-Arbeitsplatz; speichern Sie Originale auf Write-Once/Read-Many (WORM) oder in einem verschlüsselten Evidence-Repository.
-===== Kurzprinzipien (vor dem ersten Klick) =====
+Rechtslage: Kläre rechtliche Rahmenbedingungen (//legal hold//, Datenschutz, Meldepflichten) mit InfoSec / Legal bevor du tiefere Datensammlungen (z. B. Memory-Dump, Disk-Image) durchführst.
-* **Containment vor Collection:** Isolieren Sie kompromittierte Geräte, wenn noch exfiltrations-/laterale Risiken bestehen. Beachten Sie Isolationseinschränkungen (VPNs, selective isolation). ([Microsoft Learn][3])
+Werkzeuge: Zugang zu https://security.microsoft.com, PowerShell (Get-FileHash), ein Hash-Tool/OS (sha256sum), ein sicheres Artefakt-Repository (verschlüsselt), ggf. forensische Tools (FTK Imager, etc.) falls forensische Images nötig sind.
-* **Exporte vor Screenshots:** Exporte (CSV/JSON) sind manipulationsresistenter als Screenshots; wenn möglich zuerst Exporte sichern, dann Screenshots als ergänzende visuelle Referenz anfertigen. ([Microsoft Learn][4])
-* **Dokumentieren & Prüfen:** Jede heruntergeladene Datei wird mit SHA256 gehasht und im Protokoll erfasst.
-===== Vorlagen: Untersuchungsprotokoll (empfohlenes Minimum) =====
+Startprotokoll: Erstelle sofort ein Untersuchungsdokument (Case-ID, Ersteller, Datum/Uhrzeit, kurze Vorfallbeschreibung). Nutze ISO-8601 UTC-Zeitstempel (z. B. 2025-09-17T13:45:00Z) für alle Einträge.
-^ Zeitstempel ^ Analysierender ^ Aktion ^ Ziel (Portal/Datei/DeviceID) ^ Pfad/Dateiname ^ SHA256 ^ Sonstige Hinweise ^|| 2025-09-|17 13:02:12 | maria.beispielfall | Device isoliert | device: WIN-12345 | — | — | Kommentar / Genehmigung |
-| 2025-09-17 13:12:00 | maria.beispielfall | Investigation Package heruntergeladen | device: WIN-12345 | /evidence/WIN-12345\_pkg.zip | abcdef... | Größe, Download-Ort |
-===== Teil 0 — Schnellcheck vor dem Start =====
+====== Schritt 0 — Sofortmaßnahmen (Containment & Dokumentation) ======
-* Sind alle relevanten Ansprechpartner informiert?
+Gerät isolieren (sofern noch online und notwendig): In Defender → Geräteseite → „Gerät isolieren“. Notiere:
-* Ist der Untersuchungsarbeitsplatz bereit (verschlüsselter Speicher)?
-* Haben Sie administrative Rechte im Defender-Portal / API-Token? ([Microsoft Learn][2])
-===== Teil 1 — Lagebild im Incident-Dashboard (Attack Story) =====
+//Wer hat isoliert (User), wann (UTC), Grund.//
-* **Ziel:** Überblick über den Vorfall, Angriffspfad und betroffene Entities (Geräte, Benutzer, Dateien).
+Untersuchungsprotokoll starten:
-* **Vorgehen:**
-. Öffnen Sie das Portal und navigieren zu **„Vorfälle & Warnungen → Vorfälle“**. Öffnen Sie den relevanten Incident. ([Microsoft Learn][1])
+Case-ID vergeben (z. B. CASE-2025-0917-001).
-. Wechseln Sie zum Tab **„Attack story“** / Incident-Graph. Klappen Sie alle Knoten auf, spielen Sie ggf. das Zeitfenster ab, um Chronologie zu verstehen. ([Microsoft Learn][1])
-. **Aktion:** Exportieren Sie verfügbare Listen (Alerts, betroffene Geräte/Benutzer) als CSV, falls verfügbar. Fertigen Sie einen hochauflösenden Screenshot der Attack-Story als ergänzende visuelle Referenz an (PDF-Sicherung). *Hinweis:* Exporte sind vorzuziehen; Screenshots ergänzen die visuelle Dokumentation. ([Microsoft Learn][1])
-===== Teil 2 — Geräte-Timeline (Detail-Rohdaten) =====
+Protokollfelder: Datum/Uhrzeit (UTC), Person, Aktion, Begründung, Referenzen (Incident-ID).
-* **Ziel:** Chronologische Rohdaten der relevanten Endpunkte (Prozesse, Netzwerk, Datei-Events, Registry). Die Timeline ist das zentrale Rohdaten-Repository. ([Microsoft Learn][4])
+Kommunikation: Benachrichtige Stakeholder (SOC, IT-Ops, Legal) und setze minimale Zugriffsgruppe (//Need-to-know//).
-* **Vorgehen:**
+//Hinweis: Die Isolierung kann die Telemetrieaufnahme beeinflussen — wenn du Live-Daten benötigst, notiere den Zeitpunkt der Isolation genau.//
-. Öffnen Sie von der Incident-Ansicht das betroffene Gerät oder suchen Sie im Device-Inventory das Gerät. Wechseln Sie zum Tab **„Timeline“**. ([Microsoft Learn][4])
+====== Teil 1 — Incident-Dashboard: Lagebild erfassen ======
-. **Zeitfenster definieren:** Wählen Sie ein exaktes Intervall (z. B. 24 Stunden vor bis 12 Stunden nach erstem Alert) — besser eng beginnen, später erweitern. ([Microsoft Learn][4])
-. **Spalten/Filter setzen:** Wählen Sie relevante Spalten („Timestamp“, „EventType“, „InitiatingProcessFileName“, „ProcessCommandLine“, „SHA256/Hashes“, „RemoteIP/RemoteUrl“). Filtervorschläge:
-     * EventType: `ProcessCreated`, `NetworkConnection`, `FileCreated`, `RegistryValueSet`
+Ziel: Vollständigen Überblick sichern (Attack Story, Assets, Evidences).
-     * InitiatingProcessFileName / ProcessCommandLine: `powershell.exe`, `cmd.exe`, ungewöhnliche base64-Aufrufe, WMI/WinRM-Commands
-     * Remote IP / URL: verdächtige C2-Adressen oder Domains
-. **Flagging:** Markieren (flaggen) wichtige Events in der Timeline, um gezielt zu exportieren. ([Microsoft Learn][4])
-. **Export:** Nutzen Sie die Export-Funktion (Export/Download der gefilterten/geflegten Events) und speichern Sie als CSV/JSON. Wenn die Timeline-Ansicht kein vollständiges Exportformat abbildet, priorisieren Sie Raw-Daten (Investigation Package, Advanced Hunting). (Community-Hinweise bestätigen Limitierungen des UI-Exports — prüfen Sie Export auf Vollständigkeit). ([TECHCOMMUNITY.MICROSOFT.COM][5])
-* **Beispiel-KQL (Datei-Hash suchen):**
+===== 1.1. Portal öffnen =====
-  <code>
+Öffnen Sie [[https://security.microsoft.com]] → Vorfälle & Warnungen > Vorfälle → relevanten Incident auswählen. Notieren Sie Incident-ID und Zeitstempel.
-DeviceFileEvents
+===== 1.2. Attack Story sichern (grafische Timeline) =====
-| where SHA256 == "HIER\_DEN\_SHA256\_HASH\_EINFÜGEN"
-| project Timestamp, DeviceName, FileName, FolderPath, InitiatingProcessFileName, ProcessCommandLine </code>
-* **Hinweis:** Verwenden Sie Advanced Hunting für organisationsweite Suchen nach IOCs. Exportieren Sie die Ergebnis-CSV für die Dokumentation. ([Microsoft Learn][6])
+Tab „Attack story“ öffnen.
-===== Teil 3 — Untersuchungspaket (Collect Investigation Package) =====
+Alle Knoten aufklappen, sodass die ganze Graph-Ansicht sichtbar ist.
-* **Ziel:** Vollständiger Forensic-Snapshot der Endpoint-Artefakte als ZIP, bereit zur tieferen Analyse (Windows: Prefetch, Network, EventLogs, Autoruns, InstalledPrograms, Processes, Temp, SMB-Sessions, u.v.m.). ([Microsoft Learn][3])
+Aktion: Hochauflösender Screenshot der gesamten Ansicht (PNG). Wenn möglich zusätzlich als PDF speichern.
-* **Vorgehen (Portal):**
-. Auf der Geräteseite: Klicken Sie auf **„Collect investigation package“** aus den Response-Actions. Geben Sie eine dokumentierte Begründung ein und bestätigen. ([Microsoft Learn][3])
+//Wichtig: Screenshots dokumentieren Kontext, sind aber leichter manipulierbar — bevorzuge Exporte (CSV/JSON), wenn verfügbar.//
-. Die Sammlung läuft (Dauer: oft einige Minuten bis \~30 Minuten; kann fehlschlagen bei niedrigem Batteriestand oder Metered Connection). ([Microsoft Learn][3])
-. Nach Abschluss: Download möglich über **Action center → Paket verfügbar** (oder direkt vom Device-Actions-Bereich). ([Microsoft Learn][3])
-* **Inhalt (Auswahl, Windows):** Autoruns, Prefetch, PrefetchFilesList.txt, Network connections (ActiveNetConnections.txt, Arp.txt, DnsCache.txt), Security/System Event Logs, Processes (.csv), Scheduled Tasks (.csv), SystemInformation.txt, WdSupportLogs, CollectionSummaryReport.xls (zeigt welche Befehle ausgeführt wurden und ob Fehler auftraten). ([Microsoft Learn][3])
-* **Aktionen nach Download:**
-. Speichern Sie die ZIP-Datei im gesicherten Evidence-Storage (keine Arbeit auf der Originaldatei).
+===== 1.3. Assets & Evidence sichern =====
-. Erzeugen Sie SHA256-Hash und dokumentieren Sie ihn im Untersuchungsprotokoll.
-. Entpacken Sie nur Kopien in einem isolierten Analysearbeitsbereich; arbeiten Sie nie direkt auf dem Originalpaket.
-* **Beispiel: Hash-Berechnung:**
-  <code>
+Tabs „Assets“, „Evidence and response“ öffnen.
-# Windows (PowerShell)
+Aktion: Exportieren Sie Listen als CSV/JSON, falls möglich. Machen Sie zusätzlich Screenshots für den visuellen Kontext.
-Get-FileHash -Path "C:\Downloads\WIN-12345\_pkg.zip" -Algorithm SHA256
+Dokumentation: Notieren Sie Zeitpunkt des Exports, wer es durchführte, Dateiname und Hash (siehe Abschnitt Hashing).
-# Windows (certutil)
+====== Teil 2 — Geräte-Timeline (detaillierte Rohdaten) ======
-certutil -hashfile "C:\Downloads\WIN-12345\_pkg.zip" SHA256
+Ziel: Vollständige Ereignis-Timeline des betroffenen Endpunkts erfassen.
-# Linux
+===== 2.1. Geräteseite öffnen =====
-sha256sum WIN-12345\_pkg.zip </code>
+Von Incident oder per Gerätesuche zur Detailseite des kompromittierten Geräts → Tab „Timeline“.
-===== Teil 4 — Live Response & zusätzliche Datensammlungen =====
+===== 2.2. Zeitraum und Filter bestimmen =====
-* **Live Response:** Falls nötig, starten Sie eine Live-Response-Session (Remote Shell) für gezielte Befehle (z. B. Speicherabbild, gezielte Log-Extrakte, Sammeln weiterer Artefakte). Dokumentieren Sie jede Eingabe/Ausgabe. ([Microsoft Learn][3])
+Zeitraum: Wählen Sie ein großzügiges Zeitfenster: z. B. 24 h vor bis 24 h nach erstem Alarm. Notieren Sie Start/Ende in UTC.
-* **Memory-Dump / Image-Acquisition:** Wenn Sie vermuten, dass volatile Daten (Credential-Residuen, C2-Sessions) entscheidend sind, planen Sie Memory-Erfassung bzw. komplette Disk-Imaging außerhalb des Portals (Spezialtools/gesetzliche Vorgaben beachten). (Hinweis: MDE Investigation Package enthält keine vollständigen RAM-Dumps).
-===== Teil 5 — Organisationweite Suche: Advanced Hunting =====
+Filter (empfohlen):
-* **Ziel:** Prüfen, ob IOCs (Hashes, IPs, Domains, File-Names, Process-Commands) elsewhere in der Umgebung auftauchen. Verwenden Sie Advanced Hunting (KQL). ([Microsoft Learn][7])
+//EventType:// ProcessCreated, NetworkConnection, FileCreated, FileDeleted, RegistryValueSet, ImageLoad, DnsQuery.
-* **Vorgehen:**
-. Formulieren Sie KQL-Queries (Beispiele weiter unten).
+//Spalten/Attribute:// Timestamp, ProcessFileName, ProcessCommandLine, InitiatingProcessFileName, PID, PPID, RemoteIP, RemotePort, SHA256, FolderPath, FileName.
-. Führen Sie Queries auf geeignete Zeiträume/Device-Gruppen aus.
-. Exportieren Sie die Ergebnisse als CSV und dokumentieren Sie Treffer mit DeviceName, Timestamp, User, Prozess, CommandLine.
-* **Beispiel-Queries:**
-  <code>
+//Fokus auf verdächtige Prozessnamen:// powershell.exe, cmd.exe, rundll32.exe, mshta.exe, wscript.exe.
--- Suche nach Hash
+===== 2.3. Timeline exportieren =====
+Aktion: Timeline → Export → CSV/JSON speichern (Dateiname: CASEID_DeviceName_Timeline_YYYYMMDDTHHMMZ.csv).
+Dokumentation: Notieren Sie: Wer exportiert hat, UTC-Zeit, Portal-Referenz, Dateiname.
+//Wichtig: Sofort eine Kopie der Exportdatei anlegen und SHA256 beider Kopien berechnen.//
+====== Teil 3 — Investigation Package sammeln ======
+Ziel: Forensische Artefakte direkt vom Endpunkt sichern (Browser-Artefakte, Prefetch, Amcache, laufende Prozesse, Log-Schnappschuss etc.).
+===== 3.1. Anforderung starten =====
+Auf der Geräteseite → Drei-Punkte / „Weitere Aktionen“ → „Untersuchungspaket sammeln“ (Collect investigation package).
+//Pflicht:// Kurzbegründung eingeben (für Protokoll). Notieren Sie die Startzeit (UTC).
+===== 3.2. Herunterladen & Integrität sichern =====
+Nach Fertigstellung: Download aus dem Portal (Action/Info-Center).
+Aktion 1: Lade die ZIP herunter; benennen Sie sie sinnvoll: CASEID_DeviceName_InvestPkg_YYYYMMDDTHHMMZ.zip.
+Aktion 2: Berechnen Sie den SHA256-Hash des heruntergeladenen ZIP und dokumentieren Sie diesen im Protokoll.
+PowerShell (Windows):
+<code>Get-FileHash -Path "C:\Pfad\CASEID_DeviceName_InvestPkg.zip" -Algorithm SHA256</code>
+Linux:
+<code>sha256sum CASEID_DeviceName_InvestPkg.zip</code>
+//Passwort & Schutz: Wenn ZIP Passwort-geschützt ist: Passwort niemals zusammen mit der ZIP ablegen. Speichern Sie es nur im verschlüsselten Passwort-Safe.//
+===== 3.3. Inhalt des Pakets =====
+//Hinweis: Prüfen Sie den Inhalt. Typischerweise enthalten sind Browser-Verläufe (Edge/Chrome), Prefetch, Amcache, ShimCache, SRUM, laufende Prozesseliste, Netzwerk-Snapshots, relevante Windows-Event-Logs und Agent-Logs.//
+====== Teil 4 — Advanced Hunting (organisationweite Suche) ======
+Ziel: Herausfinden, ob der Vorfall andere Geräte betrifft (Laterale Bewegung, gleiche IOCs).
+===== 4.1. IOCs identifizieren & KQL-Workflow =====
+Identifizieren Sie Indikatoren (Datei-Hashes, IP-Adressen, Domains etc.).
+Öffnen Sie Defender → Hunting > Advanced hunting.
+Entwickeln Sie die Query lokal, testen Sie auf kleiner Zeitspanne → wenn valide, über größere Zeiträume / Geräte ausrollen.
+===== 4.2. Beispiel-KQLs (als Vorlage) =====
+==== Suche nach SHA256 ====
+<code>
 DeviceFileEvents
-| where SHA256 == "HIER\_DEN\_SHA256\_HASH\_EINFÜGEN"
+| where SHA256 == "HIER_DEN_SHA256_HASH_EINFÜGEN"
-| project Timestamp, DeviceName, FileName, FolderPath, InitiatingProcessFileName
+| project Timestamp, DeviceName, FileName, FolderPath
+</code>
--- Suche nach verdächtiger ProcessCommandLine (PowerShell encoded)
+==== Verdächtige PowerShell-Kommandozeilen ====
+<code>
 DeviceProcessEvents
-| where ProcessCommandLine contains "Base64" or ProcessCommandLine contains "-EncodedCommand"
+| where ProcessCommandLine contains "powershell" and (ProcessCommandLine contains "-EncodedCommand" or ProcessCommandLine contains "Invoke-Expression")
-| project Timestamp, DeviceName, InitiatingProcessFileName, ProcessCommandLine </code>
+| project Timestamp, DeviceName, InitiatingProcessFileName, ProcessFileName, ProcessCommandLine
+</code>
-===== Forensische Sorgfaltspunkte / Gerichtsfestigkeit =====
+==== Netzwerkverbindungen zu einer IP ====
+<code>
+DeviceNetworkEvents
+| where RemoteIP == "1.2.3.4"
+| project Timestamp, DeviceName, RemoteIP, RemotePort, InitiatingProcessFileName
+</code>
-* **Integrität:** Jeder Artefakt-Download wird mit mindestens einem SHA256-Hash versehen; Hashwerte in Ihrem Protokoll, inkl. Signatur/Sign-Off.
+==== DNS-Abfragen nach Domain ====
-* **Protokollumfang:** Notieren Sie Start/Ende jeder Aktion, Benutzerkonto, IP des Analysten, Transportpfad der Artefakte.
+<code>
-* **Beweissicherung:** Original-ZIPs nur readonly speichern; Analysen auf Duplikaten.
+DeviceDnsEvents
-* **Abhängigkeiten:** Manche Portal-Aktionen (z. B. Isolation) können Verbindungen zu Cloud-Diensten unterbrechen (VPN-Konfiguration beachten). Dokumentieren Sie Auswirkungen auf Erreichbarkeit. ([Microsoft Learn][3])
+| where QueryName contains "suspect-domain.com"
-* **Juristische Schritte:** Für gerichtliche Verfahren sprechen Sie mit Rechtsabteilung/externen Behörden; Chain-of-Custody-Formulare sind oft erforderlich.
+| project Timestamp, DeviceName, QueryName
+</code>
-===== Schnelle Checkliste (Minimalanforderungen) =====
+==== Registry-Änderungen ====
+<code>
+DeviceRegistryEvents
+| where RegistryKey contains "Run" or RegistryValueName contains "ImagePath"
+| project Timestamp, DeviceName, RegistryKey, RegistryValueName, RegistryValueData
+</code>
-* [ ] Gerät isoliert (falls nötig) — dokumentiert. ([Microsoft Learn][3])
+===== 4.3. Ergebnisse exportieren =====
-* [ ] Untersuchungsprotokoll gestartet und gesichert.
-* [ ] Attack Story (Incident Graph) gesichert (Export/Screenshot). ([Microsoft Learn][1])
-* [ ] Timeline gefiltert, geflaggt und exportiert (CSV/JSON). ([Microsoft Learn][4])
-* [ ] Investigation Package angefordert & heruntergeladen; SHA256 berechnet. ([Microsoft Learn][3])
-* [ ] Advanced Hunting-Queries ausgeführt; Treffer exportiert. ([Microsoft Learn][6])
-* [ ] Alle Dateien sicher abgelegt; Hashes dokumentiert.
-===== Beispiele: typische Artefakte im Investigation Package (Windows) =====
+Nach Validierung → Export als CSV (Dateiname: CASEID_AdvancedHunt_<shortdesc>_YYYYMMDD.csv), Hash berechnen, dokumentieren.
-* Prefetch, PrefetchFilesList.txt
+====== Teil 5 — Zusätzliche Artefakte / Tiefergehende Forensik ======
-* Autoruns / Registry AutoStart Entries
-* ActiveNetConnections.txt, DnsCache.txt, Arp.txt, IpConfig.txt
-* Processes.csv, ScheduledTasks.csv, Services.csv
-* Security/Event Logs, SystemInformation.txt, WdSupportLogs
-* CollectionSummaryReport.xls (Prüfbericht der Sammlung). ([Microsoft Learn][3])
-===== Anhänge / Vorlagen zum Kopieren =====
+//Hinweis: Folgende Maßnahmen erfordern oft eine separate rechtliche Freigabe und eine strikte Chain-of-Custody.//
-* **Untersuchungs-Protokollzeile (Textvorlage):**
+Windows Event Logs: Sammeln Sie System, Security, Application, ggf. Microsoft-Windows-PowerShell/Operational.
-  <code>
+Sysmon: Falls deployed, sind Sysmon-Logs extrem hilfreich.
--09-17T13:12:00Z | maria.beispielfall | Collect investigation package | deviceId: WIN-12345 | /evidence/WIN-12345\_pkg.zip | SHA256: abcdef... | Bemerkung: Package vollständig, keine Fehlermeldungen </code>
+Browser-Artefakte: Cache, Cookies, Downloads.
-* **Standard-KQL-Template (CSV-Export):**
+Klassische Forensik-Artefakte: Prefetch, Amcache, ShimCache, MFT, LNK.
-  <code>
+Volatiler Speicher / RAM-Dump: Wenn flüchtige Artefakte benötigt werden.
--- Template: IOC search
+Disk-Image: Wenn eine gerichtsverwertbare Beweissicherung der Festplatte nötig ist.
-let ioc = dynamic(\["SHA256\:XXXX","IP:1.2.3.4","domain\:examplecom"]);
-union isfuzzy=true
+====== Teil 6 — Chain-of-Custody & Dokumentation ======
-(
-DeviceFileEvents,
+//Wichtig: Jede Aktion muss protokolliert werden — sonst kann ein Beweismittel vor Gericht unbrauchbar sein.//
-DeviceNetworkEvents,
-DeviceProcessEvents
+===== Vorlage: Chain-of-Custody-Eintrag =====
-)
-| where tostring(ioc) has\_any ( /\* an Ihr IOC-Array anpassen \*/ )
+Case-ID:
-| project Timestamp, DeviceName, EventTable = \$table, \* </code>
+Artefakt-Name (Dateiname):
+Artefakt-Typ (Timeline-CSV, Investigation-ZIP, ...):
+Quelle (Portal, Gerät, Pfad):
+Wer hat es entnommen (Name, Rolle):
+Datum / Uhrzeit (UTC):
+Hash (SHA256):
+Aufbewahrungsort:
+Aktionen (Kopie erstellt, analysiert, ...):
+===== Empfehlungen zum Evidence-Handling =====
+Arbeitskopien: Arbeiten Sie immer nur mit hash-geprüften Arbeitskopien.
+Zugriffskontrolle: Strikte ACLs und Protokollierung jeder Einsichtnahme.
+Backups: Mindestens zwei getrennte, sichere und verschlüsselte Kopien.
+====== Teil 7 — Abschlussbericht (Struktur-Empfehlung) ======
+. Executive Summary (Kurz, TTPs, Impact, Scope)
+. Methodik (welche Schritte, welche Tools)
+. Timeline (rekonstruiert, mit UTC-Timestamps)
+. Gefundene IOCs & Artefakte (Hashes, Domains, IPs, betroffene Geräte)
+. Beweisverzeichnis (Liste aller Dateien mit Hashes & Speicherort)
+. Maßnahmen & Recommendations (Containment, Remediation, Monitoring)
+. Anhänge (CSV-Exports, Screenshots, KQL-Queries, Chain-of-Custody-Log)
+====== Anhänge & Vorlagen ======
+===== Empfohlene Dateinamenskonvention =====
+<code>
+<CASEID><DeviceName><ArtifactType>_<YYYYMMDDTHHMMSSZ>.<ext>
+</code>
+//Beispiel: CASE-2025-0917-001_DeviceA_Timeline_20250917T120500Z.csv//
+===== Quick-Checklist (Schnellüberblick) =====
+[ ] Gerät isoliert (ja/nein) — wer, wann
+[ ] Untersuchungsdokument / Case-ID angelegt
+[ ] Attack Story Screenshot + CSV-Exporte gespeichert
+[ ] Timeline exportiert (CSV/JSON) + Hash berechnet
-===== Quellen (ausgewählte Microsoft-Dokumentation) =====
+[ ] Investigation Package angefordert, heruntergeladen, SHA256 berechnet
-* Anleitung zu Response-Actions und Collect Investigation Package (Inhalte & Ablauf). ([Microsoft Learn][3])
+[ ] Advanced Hunting Queries ausgeführt & Exporte gesichert
-* Attack Story / Incident-Graph — Kontext und Go-Hunt-Funktion. ([Microsoft Learn][1])
-* Device Timeline — Filter, Spalten, Flags und Export-Hinweise. ([Microsoft Learn][4])
-* CollectInvestigationPackage API / Berechtigungen (für Automatisierung). ([Microsoft Learn][2])
-* Advanced Hunting / DeviceFileEvents — Schema & Best Practices für KQL. ([Microsoft Learn][6])
----
+[ ] Chain-of-Custody protokolliert (jede Aktion)
-Wenn du willst, mache ich daraus sofort eine druckfertige DokuWiki-Seite in deinem Wiki-Format (inkl. Kopier-Buttons für KQL und Checklisten), oder ich ergänze die Vorlage um eine formale Chain-of-Custody-Tabelle im DokuWiki-Format. Welche Variante hättest du gern?
+[ ] Falls nötig: RAM/Disk-Image geplant & legal freigegeben
-[1]: https://learn.microsoft.com/en-us/defender-xdr/investigate-incidents "Investigate incidents in the Microsoft Defender portal - Microsoft Defender XDR | Microsoft Learn"
+[ ] Bericht/IOC-Liste + Empfehlungen erstellt
-[2]: https://learn.microsoft.com/en-us/defender-endpoint/api/collect-investigation-package "Collect investigation package API - Microsoft Defender for Endpoint | Microsoft Learn"
-[3]: https://learn.microsoft.com/en-us/defender-endpoint/respond-machine-alerts "Take response actions on a device in Microsoft Defender for Endpoint - Microsoft Defender for Endpoint | Microsoft Learn"
-[4]: https://learn.microsoft.com/en-us/defender-endpoint/device-timeline-event-flag "Microsoft Defender for Endpoint device timeline - Microsoft Defender for Endpoint | Microsoft Learn"
-[5]: https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/microsoft-defender-for-endpoint-how-to-export-device-timeline-as/m-p/4086726 "Microsoft Defender for Endpoint - How to export Device Timeline as per web browser display | Microsoft Community Hub"
-[6]: https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-devicefileevents-table?utm_source=chatgpt.com "DeviceFileEvents table in the advanced hunting schema"
-[7]: https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-best-practices?utm_source=chatgpt.com "Advanced hunting query best practices"
+Fazit: Diese Schritt-für-Schritt-Anleitung liefert eine vollständige, nachprüfbare Sammel- und Dokumentationsmethode für forensische Artefakte aus Microsoft Defender for Endpoint.