Kurzversion: Ein „forensisch auswertbarer Bericht“ aus Defender for Endpoint (MDE) ist keine einzelne Knopf-Ausgabe, sondern eine strukturierte Sammlung von Exports, Investigation-Paketen, Logs, Screenshots und einem lückenlosen Untersuchungsprotokoll (Chain-of-Custody). Unten findest du eine vollständige, praktische Anleitung — jede Phase als klare Schritte, Checklisten und Vorlagen.

Berechtigungen: Du benötigst einen Account mit geeigneten MDE-Rechten (z. B. Security Reader/Responder/Contributor oder höher) und Zugriffsrechte auf die betroffenen Geräte/Action-Center.

Rechtslage: Kläre rechtliche Rahmenbedingungen (legal hold, Datenschutz, Meldepflichten) mit InfoSec / Legal bevor du tiefere Datensammlungen (z. B. Memory-Dump, Disk-Image) durchführst.

Werkzeuge: Zugang zu https://security.microsoft.com, PowerShell (Get-FileHash), ein Hash-Tool/OS (sha256sum), ein sicheres Artefakt-Repository (verschlüsselt), ggf. forensische Tools (FTK Imager, etc.) falls forensische Images nötig sind.

Startprotokoll: Erstelle sofort ein Untersuchungsdokument (Case-ID, Ersteller, Datum/Uhrzeit, kurze Vorfallbeschreibung). Nutze ISO-8601 UTC-Zeitstempel (z. B. 2025-09-17T13:45:00Z) für alle Einträge.

Gerät isolieren (sofern noch online und notwendig): In Defender → Geräteseite → „Gerät isolieren“. Notiere:

Wer hat isoliert (User), wann (UTC), Grund.

Untersuchungsprotokoll starten:

Case-ID vergeben (z. B. CASE-2025-0917-001).

Protokollfelder: Datum/Uhrzeit (UTC), Person, Aktion, Begründung, Referenzen (Incident-ID).

Kommunikation: Benachrichtige Stakeholder (SOC, IT-Ops, Legal) und setze minimale Zugriffsgruppe (Need-to-know).

Hinweis: Die Isolierung kann die Telemetrieaufnahme beeinflussen — wenn du Live-Daten benötigst, notiere den Zeitpunkt der Isolation genau.

Ziel: Vollständigen Überblick sichern (Attack Story, Assets, Evidences).

Öffnen Sie https://security.microsoft.com → Vorfälle & Warnungen > Vorfälle → relevanten Incident auswählen. Notieren Sie Incident-ID und Zeitstempel.

Tab „Attack story“ öffnen.

Alle Knoten aufklappen, sodass die ganze Graph-Ansicht sichtbar ist.

Aktion: Hochauflösender Screenshot der gesamten Ansicht (PNG). Wenn möglich zusätzlich als PDF speichern.

Wichtig: Screenshots dokumentieren Kontext, sind aber leichter manipulierbar — bevorzuge Exporte (CSV/JSON), wenn verfügbar.

Tabs „Assets“, „Evidence and response“ öffnen.

Aktion: Exportieren Sie Listen als CSV/JSON, falls möglich. Machen Sie zusätzlich Screenshots für den visuellen Kontext.

Dokumentation: Notieren Sie Zeitpunkt des Exports, wer es durchführte, Dateiname und Hash (siehe Abschnitt Hashing).

Ziel: Vollständige Ereignis-Timeline des betroffenen Endpunkts erfassen.

Von Incident oder per Gerätesuche zur Detailseite des kompromittierten Geräts → Tab „Timeline“.

Zeitraum: Wählen Sie ein großzügiges Zeitfenster: z. B. 24 h vor bis 24 h nach erstem Alarm. Notieren Sie Start/Ende in UTC.

Filter (empfohlen):

EventType: ProcessCreated, NetworkConnection, FileCreated, FileDeleted, RegistryValueSet, ImageLoad, DnsQuery.

Spalten/Attribute: Timestamp, ProcessFileName, ProcessCommandLine, InitiatingProcessFileName, PID, PPID, RemoteIP, RemotePort, SHA256, FolderPath, FileName.

Fokus auf verdächtige Prozessnamen: powershell.exe, cmd.exe, rundll32.exe, mshta.exe, wscript.exe.

Aktion: Timeline → Export → CSV/JSON speichern (Dateiname: CASEID_DeviceName_Timeline_YYYYMMDDTHHMMZ.csv).

Dokumentation: Notieren Sie: Wer exportiert hat, UTC-Zeit, Portal-Referenz, Dateiname.

Wichtig: Sofort eine Kopie der Exportdatei anlegen und SHA256 beider Kopien berechnen.

Ziel: Forensische Artefakte direkt vom Endpunkt sichern (Browser-Artefakte, Prefetch, Amcache, laufende Prozesse, Log-Schnappschuss etc.).

Auf der Geräteseite → Drei-Punkte / „Weitere Aktionen“ → „Untersuchungspaket sammeln“ (Collect investigation package).

Pflicht: Kurzbegründung eingeben (für Protokoll). Notieren Sie die Startzeit (UTC).

Nach Fertigstellung: Download aus dem Portal (Action/Info-Center).

Aktion 1: Lade die ZIP herunter; benennen Sie sie sinnvoll: CASEID_DeviceName_InvestPkg_YYYYMMDDTHHMMZ.zip.

Aktion 2: Berechnen Sie den SHA256-Hash des heruntergeladenen ZIP und dokumentieren Sie diesen im Protokoll.

PowerShell (Windows):

Get-FileHash -Path "C:\Pfad\CASEID_DeviceName_InvestPkg.zip" -Algorithm SHA256

Linux:

sha256sum CASEID_DeviceName_InvestPkg.zip

Passwort & Schutz: Wenn ZIP Passwort-geschützt ist: Passwort niemals zusammen mit der ZIP ablegen. Speichern Sie es nur im verschlüsselten Passwort-Safe.

Hinweis: Prüfen Sie den Inhalt. Typischerweise enthalten sind Browser-Verläufe (Edge/Chrome), Prefetch, Amcache, ShimCache, SRUM, laufende Prozesseliste, Netzwerk-Snapshots, relevante Windows-Event-Logs und Agent-Logs.

Ziel: Herausfinden, ob der Vorfall andere Geräte betrifft (Laterale Bewegung, gleiche IOCs).

Identifizieren Sie Indikatoren (Datei-Hashes, IP-Adressen, Domains etc.).

Öffnen Sie Defender → Hunting > Advanced hunting.

Entwickeln Sie die Query lokal, testen Sie auf kleiner Zeitspanne → wenn valide, über größere Zeiträume / Geräte ausrollen.

DeviceFileEvents
| where SHA256 == "HIER_DEN_SHA256_HASH_EINFÜGEN"
| project Timestamp, DeviceName, FileName, FolderPath

DeviceProcessEvents
| where ProcessCommandLine contains "powershell" and (ProcessCommandLine contains "-EncodedCommand" or ProcessCommandLine contains "Invoke-Expression")
| project Timestamp, DeviceName, InitiatingProcessFileName, ProcessFileName, ProcessCommandLine

DeviceNetworkEvents
| where RemoteIP == "1.2.3.4"
| project Timestamp, DeviceName, RemoteIP, RemotePort, InitiatingProcessFileName

DeviceDnsEvents
| where QueryName contains "suspect-domain.com"
| project Timestamp, DeviceName, QueryName

DeviceRegistryEvents
| where RegistryKey contains "Run" or RegistryValueName contains "ImagePath"
| project Timestamp, DeviceName, RegistryKey, RegistryValueName, RegistryValueData

Nach Validierung → Export als CSV (Dateiname: CASEID_AdvancedHunt_<shortdesc>_YYYYMMDD.csv), Hash berechnen, dokumentieren.

Hinweis: Folgende Maßnahmen erfordern oft eine separate rechtliche Freigabe und eine strikte Chain-of-Custody.

Windows Event Logs: Sammeln Sie System, Security, Application, ggf. Microsoft-Windows-PowerShell/Operational.

Sysmon: Falls deployed, sind Sysmon-Logs extrem hilfreich.

Browser-Artefakte: Cache, Cookies, Downloads.

Klassische Forensik-Artefakte: Prefetch, Amcache, ShimCache, MFT, LNK.

Volatiler Speicher / RAM-Dump: Wenn flüchtige Artefakte benötigt werden.

Disk-Image: Wenn eine gerichtsverwertbare Beweissicherung der Festplatte nötig ist.

Wichtig: Jede Aktion muss protokolliert werden — sonst kann ein Beweismittel vor Gericht unbrauchbar sein.

Case-ID:

Artefakt-Name (Dateiname):

Artefakt-Typ (Timeline-CSV, Investigation-ZIP, …):

Quelle (Portal, Gerät, Pfad):

Wer hat es entnommen (Name, Rolle):

Datum / Uhrzeit (UTC):

Hash (SHA256):

Aufbewahrungsort:

Aktionen (Kopie erstellt, analysiert, …):

Arbeitskopien: Arbeiten Sie immer nur mit hash-geprüften Arbeitskopien.

Zugriffskontrolle: Strikte ACLs und Protokollierung jeder Einsichtnahme.

Backups: Mindestens zwei getrennte, sichere und verschlüsselte Kopien.

1. Executive Summary (Kurz, TTPs, Impact, Scope)

2. Methodik (welche Schritte, welche Tools)

3. Timeline (rekonstruiert, mit UTC-Timestamps)

4. Gefundene IOCs & Artefakte (Hashes, Domains, IPs, betroffene Geräte)

5. Beweisverzeichnis (Liste aller Dateien mit Hashes & Speicherort)

6. Maßnahmen & Recommendations (Containment, Remediation, Monitoring)

7. Anhänge (CSV-Exports, Screenshots, KQL-Queries, Chain-of-Custody-Log)

<CASEID><DeviceName><ArtifactType>_<YYYYMMDDTHHMMSSZ>.<ext>

Beispiel: CASE-2025-0917-001_DeviceA_Timeline_20250917T120500Z.csv

[ ] Gerät isoliert (ja/nein) — wer, wann

[ ] Untersuchungsdokument / Case-ID angelegt

[ ] Attack Story Screenshot + CSV-Exporte gespeichert

[ ] Timeline exportiert (CSV/JSON) + Hash berechnet

[ ] Investigation Package angefordert, heruntergeladen, SHA256 berechnet

[ ] Advanced Hunting Queries ausgeführt & Exporte gesichert

[ ] Chain-of-Custody protokolliert (jede Aktion)

[ ] Falls nötig: RAM/Disk-Image geplant & legal freigegeben

[ ] Bericht/IOC-Liste + Empfehlungen erstellt

Fazit: Diese Schritt-für-Schritt-Anleitung liefert eine vollständige, nachprüfbare Sammel- und Dokumentationsmethode für forensische Artefakte aus Microsoft Defender for Endpoint.