Forensische Datensammlung aus Microsoft Defender for Endpoint — Schritt-für-Schritt-Anleitung

Diese Anleitung beschreibt, wie Sie aus Microsoft Defender for Endpoint (MDE) eine gerichtstaugliche, forensisch auswertbare Sammlung von Artefakten erstellen. MDE erzeugt nicht automatisch ein „Einzel-Report-PDF“ als forensisches Endprodukt — vielmehr sichern Sie eine Reihe strukturierter Rohdaten (Timeline-Exports, Investigation-Package, Advanced-Hunting-Exporte, Screenshots/Metadaten, Logs), auf deren Basis Sie ein finales Gutachten erstellen. Diese Anleitung ist als praktisches Playbook formuliert und enthält Prüf- und Dokumentations-Vorlagen. ([Microsoft Learn][1])

* Rollen & Berechtigungen: Stellen Sie sicher, dass Sie die nötigen Rollen besitzen (z. B. Alerts Investigation / Collect Forensics). Für API-Aktionen sind spezifische Berechtigungen erforderlich. ([Microsoft Learn][2]) * Chain-of-Custody starten: Legen Sie ein unveränderbares Untersuchungsprotokoll an (z. B. geschützte Logdatei / Vorlage). Jede Aktion: Zeitstempel, Benutzer, Aktion, Grund, Zielpfad, Hash. * Kommunikation & Eskalation: Informieren Sie Incident-Owner, IT/Netzwerk-Team und ggf. Recht/Compliance vor forensischen Maßnahmen (z. B. Isolierung, Live-Response). * Arbeitsumgebung: Verwenden Sie einen separaten, abgesicherten Analysten-Arbeitsplatz; speichern Sie Originale auf Write-Once/Read-Many (WORM) oder in einem verschlüsselten Evidence-Repository.

* Containment vor Collection: Isolieren Sie kompromittierte Geräte, wenn noch exfiltrations-/laterale Risiken bestehen. Beachten Sie Isolationseinschränkungen (VPNs, selective isolation). ([Microsoft Learn][3]) * Exporte vor Screenshots: Exporte (CSV/JSON) sind manipulationsresistenter als Screenshots; wenn möglich zuerst Exporte sichern, dann Screenshots als ergänzende visuelle Referenz anfertigen. ([Microsoft Learn][4]) * Dokumentieren & Prüfen: Jede heruntergeladene Datei wird mit SHA256 gehasht und im Protokoll erfasst.

* Sind alle relevanten Ansprechpartner informiert? * Ist der Untersuchungsarbeitsplatz bereit (verschlüsselter Speicher)? * Haben Sie administrative Rechte im Defender-Portal / API-Token? ([Microsoft Learn][2])

* Ziel: Überblick über den Vorfall, Angriffspfad und betroffene Entities (Geräte, Benutzer, Dateien). * Vorgehen:

1. Öffnen Sie das Portal und navigieren zu **„Vorfälle & Warnungen → Vorfälle“**. Öffnen Sie den relevanten Incident. ([Microsoft Learn][1])
2. Wechseln Sie zum Tab **„Attack story“** / Incident-Graph. Klappen Sie alle Knoten auf, spielen Sie ggf. das Zeitfenster ab, um Chronologie zu verstehen. ([Microsoft Learn][1])
3. **Aktion:** Exportieren Sie verfügbare Listen (Alerts, betroffene Geräte/Benutzer) als CSV, falls verfügbar. Fertigen Sie einen hochauflösenden Screenshot der Attack-Story als ergänzende visuelle Referenz an (PDF-Sicherung). *Hinweis:* Exporte sind vorzuziehen; Screenshots ergänzen die visuelle Dokumentation. ([Microsoft Learn][1])

* Ziel: Chronologische Rohdaten der relevanten Endpunkte (Prozesse, Netzwerk, Datei-Events, Registry). Die Timeline ist das zentrale Rohdaten-Repository. ([Microsoft Learn][4])

* Vorgehen:

1. Öffnen Sie von der Incident-Ansicht das betroffene Gerät oder suchen Sie im Device-Inventory das Gerät. Wechseln Sie zum Tab **„Timeline“**. ([Microsoft Learn][4])
2. **Zeitfenster definieren:** Wählen Sie ein exaktes Intervall (z. B. 24 Stunden vor bis 12 Stunden nach erstem Alert) — besser eng beginnen, später erweitern. ([Microsoft Learn][4])
3. **Spalten/Filter setzen:** Wählen Sie relevante Spalten („Timestamp“, „EventType“, „InitiatingProcessFileName“, „ProcessCommandLine“, „SHA256/Hashes“, „RemoteIP/RemoteUrl“). Filtervorschläge:

• EventType: `ProcessCreated`, `NetworkConnection`, `FileCreated`, `RegistryValueSet`
• InitiatingProcessFileName / ProcessCommandLine: `powershell.exe`, `cmd.exe`, ungewöhnliche base64-Aufrufe, WMI/WinRM-Commands
• Remote IP / URL: verdächtige C2-Adressen oder Domains

4. Flagging: Markieren (flaggen) wichtige Events in der Timeline, um gezielt zu exportieren. ([Microsoft Learn][4])

5. **Export:** Nutzen Sie die Export-Funktion (Export/Download der gefilterten/geflegten Events) und speichern Sie als CSV/JSON. Wenn die Timeline-Ansicht kein vollständiges Exportformat abbildet, priorisieren Sie Raw-Daten (Investigation Package, Advanced Hunting). (Community-Hinweise bestätigen Limitierungen des UI-Exports — prüfen Sie Export auf Vollständigkeit). ([TECHCOMMUNITY.MICROSOFT.COM][5])

* Beispiel-KQL (Datei-Hash suchen):

<code>

DeviceFileEvents

* Hinweis: Verwenden Sie Advanced Hunting für organisationsweite Suchen nach IOCs. Exportieren Sie die Ergebnis-CSV für die Dokumentation. ([Microsoft Learn][6])

* Ziel: Vollständiger Forensic-Snapshot der Endpoint-Artefakte als ZIP, bereit zur tieferen Analyse (Windows: Prefetch, Network, EventLogs, Autoruns, InstalledPrograms, Processes, Temp, SMB-Sessions, u.v.m.). ([Microsoft Learn][3]) * Vorgehen (Portal):

1. Auf der Geräteseite: Klicken Sie auf **„Collect investigation package“** aus den Response-Actions. Geben Sie eine dokumentierte Begründung ein und bestätigen. ([Microsoft Learn][3])
2. Die Sammlung läuft (Dauer: oft einige Minuten bis \~30 Minuten; kann fehlschlagen bei niedrigem Batteriestand oder Metered Connection). ([Microsoft Learn][3])
3. Nach Abschluss: Download möglich über **Action center → Paket verfügbar** (oder direkt vom Device-Actions-Bereich). ([Microsoft Learn][3])

* Inhalt (Auswahl, Windows): Autoruns, Prefetch, PrefetchFilesList.txt, Network connections (ActiveNetConnections.txt, Arp.txt, DnsCache.txt), Security/System Event Logs, Processes (.csv), Scheduled Tasks (.csv), SystemInformation.txt, WdSupportLogs, CollectionSummaryReport.xls (zeigt welche Befehle ausgeführt wurden und ob Fehler auftraten). ([Microsoft Learn][3]) * Aktionen nach Download:

1. Speichern Sie die ZIP-Datei im gesicherten Evidence-Storage (keine Arbeit auf der Originaldatei).
2. Erzeugen Sie SHA256-Hash und dokumentieren Sie ihn im Untersuchungsprotokoll.
3. Entpacken Sie nur Kopien in einem isolierten Analysearbeitsbereich; arbeiten Sie nie direkt auf dem Originalpaket.

* Beispiel: Hash-Berechnung:

<code>

# Windows (PowerShell)

Get-FileHash -Path „C:\Downloads\WIN-12345\_pkg.zip“ -Algorithm SHA256

# Windows (certutil)

certutil -hashfile „C:\Downloads\WIN-12345\_pkg.zip“ SHA256

# Linux

sha256sum WIN-12345\_pkg.zip </code>

* Live Response: Falls nötig, starten Sie eine Live-Response-Session (Remote Shell) für gezielte Befehle (z. B. Speicherabbild, gezielte Log-Extrakte, Sammeln weiterer Artefakte). Dokumentieren Sie jede Eingabe/Ausgabe. ([Microsoft Learn][3]) * Memory-Dump / Image-Acquisition: Wenn Sie vermuten, dass volatile Daten (Credential-Residuen, C2-Sessions) entscheidend sind, planen Sie Memory-Erfassung bzw. komplette Disk-Imaging außerhalb des Portals (Spezialtools/gesetzliche Vorgaben beachten). (Hinweis: MDE Investigation Package enthält keine vollständigen RAM-Dumps).

* Ziel: Prüfen, ob IOCs (Hashes, IPs, Domains, File-Names, Process-Commands) elsewhere in der Umgebung auftauchen. Verwenden Sie Advanced Hunting (KQL). ([Microsoft Learn][7]) * Vorgehen:

1. Formulieren Sie KQL-Queries (Beispiele weiter unten).
2. Führen Sie Queries auf geeignete Zeiträume/Device-Gruppen aus.
3. Exportieren Sie die Ergebnisse als CSV und dokumentieren Sie Treffer mit DeviceName, Timestamp, User, Prozess, CommandLine.

* Beispiel-Queries:

<code>

– Suche nach Hash DeviceFileEvents

– Suche nach verdächtiger ProcessCommandLine (PowerShell encoded) DeviceProcessEvents

* Integrität: Jeder Artefakt-Download wird mit mindestens einem SHA256-Hash versehen; Hashwerte in Ihrem Protokoll, inkl. Signatur/Sign-Off. * Protokollumfang: Notieren Sie Start/Ende jeder Aktion, Benutzerkonto, IP des Analysten, Transportpfad der Artefakte. * Beweissicherung: Original-ZIPs nur readonly speichern; Analysen auf Duplikaten. * Abhängigkeiten: Manche Portal-Aktionen (z. B. Isolation) können Verbindungen zu Cloud-Diensten unterbrechen (VPN-Konfiguration beachten). Dokumentieren Sie Auswirkungen auf Erreichbarkeit. ([Microsoft Learn][3]) * Juristische Schritte: Für gerichtliche Verfahren sprechen Sie mit Rechtsabteilung/externen Behörden; Chain-of-Custody-Formulare sind oft erforderlich.

* [ ] Gerät isoliert (falls nötig) — dokumentiert. ([Microsoft Learn][3]) * [ ] Untersuchungsprotokoll gestartet und gesichert. * [ ] Attack Story (Incident Graph) gesichert (Export/Screenshot). ([Microsoft Learn][1]) * [ ] Timeline gefiltert, geflaggt und exportiert (CSV/JSON). ([Microsoft Learn][4]) * [ ] Investigation Package angefordert & heruntergeladen; SHA256 berechnet. ([Microsoft Learn][3]) * [ ] Advanced Hunting-Queries ausgeführt; Treffer exportiert. ([Microsoft Learn][6]) * [ ] Alle Dateien sicher abgelegt; Hashes dokumentiert.

* Prefetch, PrefetchFilesList.txt * Autoruns / Registry AutoStart Entries * ActiveNetConnections.txt, DnsCache.txt, Arp.txt, IpConfig.txt * Processes.csv, ScheduledTasks.csv, Services.csv * Security/Event Logs, SystemInformation.txt, WdSupportLogs * CollectionSummaryReport.xls (Prüfbericht der Sammlung). ([Microsoft Learn][3])

* Untersuchungs-Protokollzeile (Textvorlage):

<code>

2025-09-17T13:12:00Z | maria.beispielfall | Collect investigation package | deviceId: WIN-12345 | /evidence/WIN-12345\_pkg.zip | SHA256: abcdef… | Bemerkung: Package vollständig, keine Fehlermeldungen </code>

* Standard-KQL-Template (CSV-Export):

<code>

– Template: IOC search let ioc = dynamic(\[„SHA256\:XXXX“,„IP:1.2.3.4“,„domain\:examplecom“]); union isfuzzy=true ( DeviceFileEvents, DeviceNetworkEvents, DeviceProcessEvents )

* Anleitung zu Response-Actions und Collect Investigation Package (Inhalte & Ablauf). ([Microsoft Learn][3]) * Attack Story / Incident-Graph — Kontext und Go-Hunt-Funktion. ([Microsoft Learn][1]) * Device Timeline — Filter, Spalten, Flags und Export-Hinweise. ([Microsoft Learn][4]) * CollectInvestigationPackage API / Berechtigungen (für Automatisierung). ([Microsoft Learn][2]) * Advanced Hunting / DeviceFileEvents — Schema & Best Practices für KQL. ([Microsoft Learn][6])

—

Wenn du willst, mache ich daraus sofort eine druckfertige DokuWiki-Seite in deinem Wiki-Format (inkl. Kopier-Buttons für KQL und Checklisten), oder ich ergänze die Vorlage um eine formale Chain-of-Custody-Tabelle im DokuWiki-Format. Welche Variante hättest du gern?

[1]: https://learn.microsoft.com/en-us/defender-xdr/investigate-incidents „Investigate incidents in the Microsoft Defender portal - Microsoft Defender XDR | Microsoft Learn“ [2]: https://learn.microsoft.com/en-us/defender-endpoint/api/collect-investigation-package „Collect investigation package API - Microsoft Defender for Endpoint | Microsoft Learn“ [3]: https://learn.microsoft.com/en-us/defender-endpoint/respond-machine-alerts „Take response actions on a device in Microsoft Defender for Endpoint - Microsoft Defender for Endpoint | Microsoft Learn“ [4]: https://learn.microsoft.com/en-us/defender-endpoint/device-timeline-event-flag „Microsoft Defender for Endpoint device timeline - Microsoft Defender for Endpoint | Microsoft Learn“ [5]: https://techcommunity.microsoft.com/t5/microsoft-defender-for-endpoint/microsoft-defender-for-endpoint-how-to-export-device-timeline-as/m-p/4086726 „Microsoft Defender for Endpoint - How to export Device Timeline as per web browser display | Microsoft Community Hub“ [6]: https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-devicefileevents-table?utm_source=chatgpt.com „DeviceFileEvents table in the advanced hunting schema“ [7]: https://learn.microsoft.com/en-us/defender-xdr/advanced-hunting-best-practices?utm_source=chatgpt.com „Advanced hunting query best practices“