Microsoft Defender für Office 365 Security Operations Guide
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.
Dieser Artikel bietet eine Übersicht über die Anforderungen und Aufgaben für den erfolgreichen Betrieb von Microsoft Defender für Office 365 in Ihrer Organisation. Diese Aufgaben tragen dazu bei, sicherzustellen, dass Ihr Security Operations Center (SOC) einen hochwertigen, zuverlässigen Ansatz zum Schutz, Zur Erkennung und Reaktion auf Sicherheitsbedrohungen im Zusammenhang mit E-Mails und Zusammenarbeit bietet.
Im weiteren Verlauf dieses Leitfadens werden die erforderlichen Aktivitäten für SecOps-Mitarbeiter beschrieben. Die Aktivitäten sind in präskriptive tägliche, wöchentliche, monatliche und Ad-hoc-Aufgaben gruppiert.
Ein Begleitartikel zu diesem Leitfaden bietet eine Übersicht über die Verwaltung von Vorfällen und Warnungen aus Defender für Office 365 auf der Seite Incidents im Microsoft Defender-Portal.
Das Microsoft Defender XDR Security Operations Guide enthält zusätzliche Informationen, die Sie für die Planung und Entwicklung verwenden können.
Ein Video zu diesen Informationen finden Sie unter https://youtu.be/eQanpq9N1Ps.
Tägliche Aktivitäten
Überwachen der Microsoft Defender XDR-Incidents-Warteschlange
Auf der Seite Incidents im Microsoft Defender-Portal unter https://security.microsoft.com/incidents-queue (auch als Incidentwarteschlange bezeichnet) können Sie Ereignisse aus den folgenden Quellen in Defender für Office 365 verwalten und überwachen:
Weitere Informationen zur Incidentwarteschlange finden Sie unter Priorisieren von Incidents in Microsoft Defender XDR.
Ihr Selektierungsplan zum Überwachen der Incidentwarteschlange sollte die folgende Rangfolge für Incidents verwenden:
- Ein potenziell schädlicher URL-Klick wurde erkannt.
- Der Benutzer kann keine E-Mails senden.
- Verdächtige E-Mail-Sendemuster erkannt.
- E-Mail, die vom Benutzer als Schadsoftware oder Phish gemeldet wird, und mehrere Benutzer haben E-Mails als Schadsoftware oder Phish gemeldet.
- E-Mail-Nachrichten mit schädlichen Dateien, die nach der Zustellung entfernt wurden, E-Mail-Nachrichten mit schädlicher URL nach der Zustellung entfernt und E-Mail-Nachrichten aus einer Kampagne, die nach der Zustellung entfernt wurden.
- Phish wird aufgrund einer ETR-Außerkraftsetzung zugestellt, Phish wird übermittelt, weil der Junk-E-Mail-Ordner eines Benutzers deaktiviert ist, und Phish aufgrund einer IP-Zulassungsrichtlinie zugestellt
- Schadsoftware wurde nicht gezapft, weil ZAP deaktiviert ist und Phish nicht gezapft, weil ZAP deaktiviert ist.
Die Verwaltung von Incidentwarteschlangen und die verantwortlichen Personas werden in der folgenden Tabelle beschrieben:
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Selektieren von Vorfällen in der Incidentwarteschlange unter https://security.microsoft.com/incidents-queue. | Täglich | Vergewissern Sie sich, dass alle Vorfälle mit dem Schweregrad "Mittel" und " Hoch " aus Defender für Office 365 selektieren. | Security Operations Team |
| Untersuchen und Ergreifen von Reaktionsaktionen für Incidents | Täglich | Untersuchen Sie alle Incidents, und führen Sie aktiv die empfohlenen oder manuellen Reaktionsaktionen aus. | Security Operations Team |
| Beheben von Incidents. | Täglich | Wenn der Vorfall behoben wurde, beheben Sie den Vorfall. Durch das Auflösen des Incidents werden alle verknüpften und zugehörigen aktiven Warnungen aufgelöst. | Security Operations Team |
| Klassifizieren von Vorfällen. | Täglich | Klassifizieren Sie Vorfälle als "true" oder "false". Geben Sie für true-Warnungen den Bedrohungstyp an. Diese Klassifizierung hilft Ihrem Sicherheitsteam, Bedrohungsmuster zu erkennen und Ihre Organisation vor diesen zu schützen. | Security Operations Team |
Verwalten falsch positiver und falsch negativer Erkennungen
In Defender für Office 365 verwalten Sie falsch positive Nachrichten (gute E-Mails, die als "schlecht" gekennzeichnet sind) und falsch negative Nachrichten (ungültige E-Mails sind zulässig) an den folgenden Speicherorten:
- Die Seite Übermittlungen (Administratorübermittlungen).
- Zulassungs -/Sperrliste für Mandanten
- Sicherheitsrisiken-Explorer
Weitere Informationen finden Sie weiter unten in diesem Artikel im Abschnitt Verwalten falsch positiver und falsch negativer Erkennungen .
Falsch positives und falsch negatives Management und die verantwortlichen Personas werden in der folgenden Tabelle beschrieben:
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Übermitteln Sie falsch positive und falsch negative Ergebnisse an Microsoft unter https://security.microsoft.com/reportsubmission. | Täglich | Stellen Sie Microsoft Signale bereit, indem Sie falsche E-Mail-, URL- und Dateierkennungen melden. | Security Operations Team |
| Analysieren Sie die Details zur Administratorübermittlung. | Täglich | Machen Sie sich mit den folgenden Faktoren für die Übermittlungen vertraut, die Sie an Microsoft senden:
|
Security Operations Team Sicherheitsverwaltung |
| Fügen Sie blockeinträge in der Mandanten-Zulassungs-/Sperrliste unter hinzu https://security.microsoft.com/tenantAllowBlockList. | Täglich | Verwenden Sie die Mandanten-Zulassungs-/Sperrliste, um bei Bedarf Blockeinträge für falsch negative URL-, Datei- oder Absendererkennungen hinzuzufügen. | Security Operations Team |
| Lassen Sie falsch positive Ergebnisse aus der Quarantäne frei. | Täglich | Nachdem der Empfänger bestätigt hat, dass die Nachricht fälschlicherweise unter Quarantäne gesetzt wurde, können Sie Releaseanforderungen für Benutzer freigeben oder genehmigen. Informationen zum Steuern, was Benutzer mit ihren eigenen in Quarantäne befindlichen Nachrichten tun können (einschließlich Release- oder Anforderungsfreigabe), finden Sie unter Quarantänerichtlinien. |
Security Operations Team Messaging-Team |
Überprüfen von Phishing- und Schadsoftwarekampagnen, die zu zu zugestellten E-Mails geführt haben
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie E-Mail-Kampagnen. | Täglich |
Überprüfen Sie E-Mail-Kampagnen , die auf Ihre Organisation ausgerichtet sind, unter https://security.microsoft.com/campaigns. Konzentrieren Sie sich auf Kampagnen, die dazu geführt haben, dass Nachrichten an Empfänger übermittelt wurden. Entfernen Sie Nachrichten aus Kampagnen, die in Benutzerpostfächern vorhanden sind. Diese Aktion ist nur erforderlich, wenn eine Kampagne E-Mails enthält, die noch nicht durch Aktionen aus Incidents, zap ( Zero-Hour Auto Purge) oder manuelle Korrekturen behoben wurden. |
Security Operations Team |
Wöchentliche Aktivitäten
Überprüfen von E-Mail-Erkennungstrends in Defender für Office 365-Berichten
In Defender für Office 365 können Sie die folgenden Berichte verwenden, um E-Mail-Erkennungstrends in Ihrer Organisation zu überprüfen:
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie die E-Mail-Erkennungsberichte unter: | Wöchentlich | Überprüfen Sie E-Mail-Erkennungstrends für Schadsoftware, Phishing und Spam im Vergleich zu guten E-Mails. Mithilfe der Beobachtung im Laufe der Zeit können Sie Bedrohungsmuster anzeigen und bestimmen, ob Sie Ihre Defender für Office 365-Richtlinien anpassen müssen. | Sicherheitsverwaltung Security Operations Team |
Nachverfolgen und Reagieren auf neue Bedrohungen mithilfe der Bedrohungsanalyse
Verwenden Sie Die Bedrohungsanalyse , um aktive, beliebte Bedrohungen zu überprüfen.
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie Bedrohungen in Der Bedrohungsanalyse unter https://security.microsoft.com/threatanalytics3. | Wöchentlich | Die Bedrohungsanalyse bietet eine detaillierte Analyse, einschließlich der folgenden Elemente:
|
Security Operations Team Team zur Bedrohungssuche |
Überprüfen der am häufigsten betroffenen Benutzer auf Schadsoftware und Phishing
Verwenden Sie im Bedrohungs-Explorer im Detailbereich der Ansicht Alle E-Mails, Schadsoftware und Phish die Registerkarte Top-Zielbenutzer (Ansicht), um die Benutzer zu ermitteln oder zu bestätigen, die die wichtigsten Ziele für Schadsoftware und Phishing-E-Mails sind.
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie im Bedrohungs-Explorer unter https://security.microsoft.com/threatexplorerdie Registerkarte Top-Zielbenutzer. | Wöchentlich | Verwenden Sie die Informationen, um zu entscheiden, ob Sie Richtlinien oder Schutzmaßnahmen für diese Benutzer anpassen müssen. Fügen Sie die betroffenen Benutzer zu Priority-Konten hinzu, um die folgenden Vorteile zu erhalten:
|
Sicherheitsverwaltung Security Operations Team |
Überprüfen sie die wichtigsten Malware- und Phishingkampagnen, die auf Ihre Organisation ausgerichtet sind
Kampagnenansichten zeigen Malware- und Phishingangriffe auf Ihre Organisation auf. Weitere Informationen finden Sie unter Kampagnenansichten in Microsoft Defender für Office 365.
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Verwenden Sie Kampagnenansichten unter https://security.microsoft.com/campaigns , um Malware- und Phishingangriffe zu überprüfen, die Sie betreffen. | Wöchentlich | Erfahren Sie mehr über die Angriffe und Techniken und was Defender für Office 365 identifizieren und blockieren konnte. Verwenden Sie Bedrohungsbericht herunterladen in Kampagnenansichten, um ausführliche Informationen zu einer Kampagne zu finden. |
Security Operations Team |
Ad-hoc-Aktivitäten
Manuelle Untersuchung und Entfernung von E-Mails
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Untersuchen und entfernen Sie ungültige E-Mails im Bedrohungs-Explorer unter https://security.microsoft.com/threatexplorer basierend auf Benutzeranforderungen. | Ad-hoc | Verwenden Sie die Aktion Untersuchung auslösen im Bedrohungs-Explorer, um ein automatisiertes Untersuchungs- und Antwortplaybook für alle E-Mails der letzten 30 Tage zu starten. Das manuelle Auslösen einer Untersuchung spart Zeit und Aufwand, indem folgendes zentral eingeschlossen wird:
Weitere Informationen finden Sie unter Beispiel: Eine vom Benutzer gemeldete Phish-Nachricht startet ein Untersuchungsplaybook. Alternativ können Sie den Bedrohungs-Explorer verwenden, um E-Mails manuell mit leistungsstarken Such- und Filterfunktionen zu untersuchen und manuelle Reaktionsaktionen direkt am selben Ort auszuführen. Verfügbare manuelle Aktionen:
|
Security Operations Team |
Vorbeugende Suche nach Bedrohungen
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Regelmäßige, proaktive Bedrohungssuche bei:. | Ad-hoc | Suchen Sie mithilfe des Bedrohungs-Explorers und der erweiterten Suche nach Bedrohungen. | Security Operations Team Team zur Bedrohungssuche |
| Freigeben von Hunting-Abfragen. | Ad-hoc | Verwenden Sie aktiv häufig verwendete, nützliche Abfragen innerhalb des Sicherheitsteams, um eine schnellere manuelle Bedrohungssuche und -behebung zu ermöglichen. Verwenden Sie Bedrohungstracker und freigegebene Abfragen in der erweiterten Suche. |
Security Operations Team Team zur Bedrohungssuche |
| Erstellen Sie benutzerdefinierte Erkennungsregeln unter https://security.microsoft.com/custom_detection. | Ad-hoc | Erstellen Sie benutzerdefinierte Erkennungsregeln zum proaktiven Überwachen von Ereignissen, Mustern und Bedrohungen basierend auf Defender für Office 365-Daten in Der Vorabsuche. Erkennungsregeln enthalten erweiterte Huntingabfragen, die Warnungen basierend auf den Abgleichskriterien generieren. | Security Operations Team Team zur Bedrohungssuche |
Überprüfen von Defender für Office 365-Richtlinienkonfigurationen
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie die Konfiguration von Defender für Office 365-Richtlinien unter https://security.microsoft.com/configurationAnalyzer. | Ad-hoc Monatlich |
Verwenden Sie das Konfigurationsanalysetool , um Ihre vorhandenen Richtlinieneinstellungen mit den empfohlenen Standard- oder Strict-Werten für Defender für Office 365 zu vergleichen. Die Konfigurationsanalyse identifiziert versehentliche oder böswillige Änderungen, die den Sicherheitsstatus Ihrer Organisation verringern können. Alternativ können Sie das PowerShell-basierte ORCA-Tool verwenden. |
Sicherheitsverwaltung Messaging-Team |
| Überprüfen Von Erkennungsüberschreibungen in Defender für Office 365 unter https://security.microsoft.com/reports/TPSMessageOverrideReportATP | Ad-hoc Monatlich |
Verwenden Sie die Ansicht Daten nach Systemüberschreibung > anzeigen Diagrammaufschlüsselung nach Ursache im Bedrohungsschutz-Statusbericht , um E-Mails zu überprüfen, die als Phishing erkannt wurden, aber aufgrund von Richtlinien- oder Benutzerüberschreibungseinstellungen übermittelt wurden. Untersuchen, entfernen oder optimieren Sie Aktiv Außerkraftsetzungen, um die Zustellung von E-Mails zu vermeiden, die als bösartig eingestuft wurden. |
Sicherheitsverwaltung Messaging-Team |
Überprüfen von Spoof- und Identitätswechselerkennungen
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie die Erkenntnisse zur Spoofintelligenz und die Erkenntnisse zur Identitätswechselerkennung unter. | Ad-hoc Monatlich |
Verwenden Sie die Erkenntnisse zur Spoofintelligenz und den Identitätswechsel , um die Filterung für Spoof- und Identitätswechselerkennungen anzupassen. | Sicherheitsverwaltung Messaging-Team |
Überprüfen der Prioritätskontomitgliedschaft
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie unter , wer als Prioritätskonto https://security.microsoft.com/securitysettings/userTagsdefiniert ist. | Ad-hoc | Halten Sie die Mitgliedschaft von Prioritätskonten mit Organisatorischen Änderungen auf dem neuesten Stand, um die folgenden Vorteile für diese Benutzer zu erhalten:
Verwenden Sie benutzerdefinierte Benutzertags für andere Benutzer, um Folgendes zu erhalten:
|
Security Operations Team |
Anhang
Informationen zu Microsoft Defender für Office 365-Tools und -Prozessen
Mitglieder des Sicherheitsbetriebs- und Reaktionsteams müssen Defender für Office 365-Tools und -Features in vorhandene Untersuchungen und Reaktionsprozesse integrieren. Das Erlernen neuer Tools und Funktionen kann einige Zeit in Anspruch nehmen, ist aber ein wichtiger Bestandteil des Onboardingprozesses. Die einfachste Möglichkeit für SecOps- und E-Mail-Sicherheitsteammitglieder, sich über Defender für Office 365 zu informieren, besteht darin, die Schulungsinhalte zu verwenden, die als Teil der Ninja-Schulungsinhalte unter https://aka.ms/mdoninjaverfügbar sind.
Die Inhalte sind für verschiedene Wissensstufen (Grundlagen, Fortgeschrittene und Fortgeschrittene) mit mehreren Modulen pro Ebene strukturiert.
Kurze Videos für bestimmte Aufgaben sind auch im YouTube-Kanal von Microsoft Defender für Office 365 verfügbar.
Berechtigungen für Defender für Office 365-Aktivitäten und -Aufgaben
Berechtigungen zum Verwalten von Defender für Office 365 im Microsoft Defender-Portal und in PowerShell basieren auf dem Berechtigungsmodell der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC). RBAC ist dasselbe Berechtigungsmodell, das von den meisten Microsoft 365-Diensten verwendet wird. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Defender-Portal.
Hinweis
Privileged Identity Management (PIM) in Microsoft Entra ID ist auch eine Möglichkeit, secOps-Mitarbeitern erforderliche Berechtigungen zuzuweisen. Weitere Informationen finden Sie unter Privileged Identity Management (PIM) und Gründe für die Verwendung mit Microsoft Defender für Office 365.
Die folgenden Berechtigungen (Rollen und Rollengruppen) sind in Defender für Office 365 verfügbar und können verwendet werden, um Mitgliedern des Sicherheitsteams Zugriff zu gewähren:
Microsoft Entra ID: Zentralisierte Rollen, die Berechtigungen für alle Microsoft 365-Dienste zuweisen, einschließlich Defender für Office 365. Sie können die Microsoft Entra-Rollen und zugewiesenen Benutzer im Microsoft Defender-Portal anzeigen, aber Sie können sie nicht direkt dort verwalten. Stattdessen verwalten Sie Microsoft Entra-Rollen und -Mitglieder unter https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. Die am häufigsten von Sicherheitsteams verwendeten Rollen sind:
Exchange Online und E-Mail & Zusammenarbeit: Rollen und Rollengruppen, die berechtigungen spezifisch für Microsoft Defender für Office 365 gewähren. Die folgenden Rollen sind in Microsoft Entra ID nicht verfügbar, können aber für Sicherheitsteams wichtig sein:
Vorschaurolle (E-Mail & Zusammenarbeit): Weisen Sie diese Rolle Teammitgliedern zu, die E-Mail-Nachrichten im Rahmen von Untersuchungsaktivitäten in der Vorschau anzeigen oder herunterladen müssen. Ermöglicht Benutzern die Vorschau und das Herunterladen von E-Mail-Nachrichten aus Cloudpostfächern mithilfe von Bedrohungs-Explorer (Explorer) oder Echtzeiterkennungen und der Entitätsseite E-Mail.
Standardmäßig wird die Vorschaurolle nur den folgenden Rollengruppen zugewiesen:
- Datenermittler
- eDiscovery-Manager
Sie können diesen Rollengruppen Benutzer hinzufügen oder eine neue Rollengruppe mit zugewiesener Vorschaurolle erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
Rolle "Suchen und Bereinigen " (E-Mail & Zusammenarbeit): Genehmigen Sie das Löschen schädlicher Nachrichten, wie von AIR empfohlen, oder ergreifen Sie manuelle Maßnahmen für Nachrichten in Hunting-Umgebungen wie Bedrohungs-Explorer.
Standardmäßig wird die Rolle Suchen und Bereinigen nur den folgenden Rollengruppen zugewiesen:
- Datenermittler
- Organisationsverwaltung
Sie können diesen Rollengruppen Benutzer hinzufügen, oder Sie können eine neue Rollengruppe mit zugewiesener Rolle Suchen und Bereinigen erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
Mandanten-AllowBlockList-Manager (Exchange Online): Verwalten Von Zulassungs- und Sperreinträgen in der Mandanten-Zulassungs-/Sperrliste. Das Blockieren von URLs, Dateien (mithilfe von Dateihash) oder Absendern ist eine nützliche Reaktionsaktion, die bei der Untersuchung von zugestellten schädlichen E-Mails ausgeführt werden kann.
Standardmäßig wird diese Rolle nur der Rollengruppe Sicherheitsoperator in Exchange Online und nicht in Microsoft Entra ID zugewiesen. Die Mitgliedschaft in der Rolle "Sicherheitsoperator" in Microsoft Entra ID ermöglicht es Ihnen nicht, Einträge in der Zulassungs-/Sperrliste des Mandanten zu verwalten.
Mitglieder der Sicherheitsadministrator - oder Organisationsverwaltungsrollen in Microsoft Entra ID oder den entsprechenden Rollengruppen in Exchange Online können Einträge in der Zulassungs-/Sperrliste für Mandanten verwalten.
SIEM-/SOAR-Integration
Defender für Office 365 macht die meisten Daten über eine Reihe programmgesteuerter APIs verfügbar. Diese APIs helfen Ihnen, Workflows zu automatisieren und die Funktionen von Defender für Office 365 vollständig zu nutzen. Daten sind über die Microsoft Defender XDR-APIs verfügbar und können verwendet werden, um Defender für Office 365 in vorhandene SIEM/SOAR-Lösungen zu integrieren.
Incident-API: Defender für Office 365-Warnungen und automatisierte Untersuchungen sind aktive Bestandteile von Vorfällen in Microsoft Defender XDR. Sicherheitsteams können sich auf das Wesentliche konzentrieren, indem sie den gesamten Angriffsbereich und alle betroffenen Ressourcen gruppieren.
Ereignisstreaming-API: Ermöglicht das Senden von Echtzeitereignissen und -warnungen in einen einzelnen Datenstrom, sobald sie auftreten. Zu den unterstützten Ereignistypen in Defender für Office 365 gehören:
Die Ereignisse enthalten Daten aus der Verarbeitung aller E-Mails (einschließlich organisationsinterner Nachrichten) in den letzten 30 Tagen.
Erweiterte Hunting-API: Ermöglicht die produktübergreifende Bedrohungssuche.
Bedrohungsbewertungs-API: Kann verwendet werden, um Spam, Phishing-URLs oder Schadsoftwareanlagen direkt an Microsoft zu melden.
Um Defender für Office 365-Vorfälle und Rohdaten mit Microsoft Sentinel zu verbinden, können Sie den Microsoft Defender XDR-Connector (M365D) verwenden.
Sie können das folgende "Hello World"-Beispiel verwenden, um den API-Zugriff auf Microsoft Defender-APIs zu testen: Hello World for Microsoft Defender XDR REST API.
Weitere Informationen zur Integration des SIEM-Tools finden Sie unter Integrieren Ihrer SIEM-Tools in Microsoft Defender XDR.
Behandeln falsch positiver und falsch negativer Ergebnisse in Defender für Office 365
Von Benutzern gemeldete Nachrichten und Administratorübermittlungen von E-Mail-Nachrichten sind wichtige positive Verstärkungssignale für unsere Machine Learning-Erkennungssysteme. Übermittlungen helfen uns, Angriffe zu überprüfen, zu selektieren, schnell zu lernen und zu entschärfen. Das aktive Melden falsch positiver und falsch negativer Ergebnisse ist eine wichtige Aktivität, die Defender für Office 365 Feedback gibt, wenn während der Erkennung Fehler gemacht werden.
Organisationen haben mehrere Optionen zum Konfigurieren von vom Benutzer gemeldeten Nachrichten. Je nach Konfiguration sind Sicherheitsteams möglicherweise aktiver beteiligt, wenn Benutzer falsch positive oder falsch negative Ergebnisse an Microsoft übermitteln:
Vom Benutzer gemeldete Nachrichten werden zur Analyse an Microsoft gesendet, wenn die vom Benutzer gemeldeten Einstellungen mit einer der folgenden Einstellungen konfiguriert sind:
- Senden Sie die gemeldeten Nachrichten an: Nur Microsoft.
- Senden Sie die gemeldeten Nachrichten an: Microsoft und mein Berichterstellungspostfach.
Mitglieder von Sicherheitsteams sollten Add-hoc-Administratorübermittlungen durchführen, wenn das Betriebsteam falsch positive oder falsch negative Ergebnisse erkennt, die von Benutzern nicht gemeldet wurden.
Wenn vom Benutzer gemeldete Nachrichten so konfiguriert sind, dass nachrichten nur an das Postfach der Organisation gesendet werden, sollten Sicherheitsteams aktiv vom Benutzer gemeldete falsch positive und falsch negative Nachrichten über Administratorübermittlungen an Microsoft senden.
Wenn ein Benutzer eine Nachricht als Phishing meldet, generiert Defender für Office 365 eine Warnung, und die Warnung löst ein AIR-Playbook aus. Die Incidentlogik korreliert diese Informationen nach Möglichkeit mit anderen Warnungen und Ereignissen. Diese Konsolidierung von Informationen hilft Sicherheitsteams bei der Selektierung, Untersuchung und Reaktion auf von Benutzern gemeldete Nachrichten.
Die Übermittlungspipeline im Dienst folgt einem eng integrierten Prozess, wenn Benutzer Nachrichten melden und Administratoren Nachrichten senden. Dieser Prozess umfasst:
- Geräuschreduzierung.
- Automatisierte Selektierung.
- Bewertung durch Sicherheitsanalysten und lösungen, die auf maschinellem Lernen basieren, die auf Einem Partner basieren.
Weitere Informationen finden Sie unter Melden einer E-Mail in Defender für Office 365 – Microsoft Tech Community.
Mitglieder des Sicherheitsteams können Übermittlungen von mehreren Speicherorten im Microsoft Defender-Portal unter https://security.microsoft.comdurchführen:
Administratorübermittlung: Verwenden Sie die Seite Übermittlungen , um verdächtigen Spam, Phishing, URLs und Dateien an Microsoft zu übermitteln.
Direkt aus dem Bedrohungs-Explorer mithilfe einer der folgenden Meldungsaktionen:
- Bericht bereinigen
- Phishing melden
- Melden von Schadsoftware
- Spam melden
Sie können bis zu 10 Nachrichten auswählen, um eine Massenübermittlung durchzuführen. Mit diesen Methoden erstellte Administratorübermittlungen werden auf den entsprechenden Registerkarten auf der Seite Übermittlungen angezeigt.
Zur kurzfristigen Entschärfung falsch negativer Werte können Sicherheitsteams Blockeinträge für Dateien, URLs und Domänen oder E-Mail-Adressen in der Zulassungs-/Sperrliste des Mandanten direkt verwalten.
Zur kurzfristigen Entschärfung falsch positiver Ergebnisse können Sicherheitsteams Zulassungseinträge für Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste für Mandanten nicht direkt verwalten. Stattdessen müssen sie Administratorübermittlungen verwenden, um die E-Mail-Nachricht als falsch positiv zu melden. Anweisungen finden Sie unter Melden einer guten E-Mail an Microsoft.
Quarantäne in Defender für Office 365 enthält potenziell gefährliche oder unerwünschte Nachrichten und Dateien. Sicherheitsteams können alle Arten von in Quarantäne befindlichen Nachrichten für alle Benutzer anzeigen, freigeben und löschen. Diese Funktion ermöglicht es Sicherheitsteams, effektiv zu reagieren, wenn eine falsch positive Nachricht oder Datei unter Quarantäne gesetzt wird.
Integrieren von Berichterstellungstools von Drittanbietern in von Defender für Office 365 gemeldete Nachrichten von Benutzern
Wenn Ihre Organisation ein Berichterstellungstool eines Drittanbieters verwendet, mit dem Benutzer verdächtige E-Mails intern melden können, können Sie das Tool in die Von Benutzern gemeldeten Nachrichtenfunktionen von Defender für Office 365 integrieren. Diese Integration bietet die folgenden Vorteile für Sicherheitsteams:
- Integration in die AIR-Funktionen von Defender für Office 365.
- Vereinfachte Selektierung.
- Reduzierte Untersuchungs- und Antwortzeit.
Legen Sie das Berichterstellungspostfach fest, in dem vom Benutzer gemeldete Nachrichten auf der Seite Benutzerberichtseinstellungen im Microsoft Defender-Portal unter https://security.microsoft.com/securitysettings/userSubmissiongesendet werden. Weitere Informationen finden Sie unter Vom Benutzer gemeldete Einstellungen.
Hinweis
- Das Berichterstellungspostfach muss ein Exchange Online-Postfach sein.
- Das Berichterstellungstool eines Drittanbieters muss die ursprüngliche gemeldete Nachricht als unkomprimierte enthalten. EML oder . MSG-Anlage in der Nachricht, die an das Berichterstellungspostfach gesendet wird (leiten Sie nicht einfach die ursprüngliche Nachricht an das Berichterstellungspostfach weiter). Weitere Informationen finden Sie unter Nachrichtenübermittlungsformat für Berichterstellungstools von Drittanbietern.
- Für das Berichterstellungspostfach sind bestimmte Voraussetzungen erforderlich, damit potenziell ungültige Nachrichten übermittelt werden können, ohne gefiltert oder geändert zu werden. Weitere Informationen finden Sie unter Konfigurationsanforderungen für das Berichterstellungspostfach.
Wenn eine vom Benutzer gemeldete Nachricht im Berichterstellungspostfach eingeht, generiert Defender für Office 365 automatisch die Warnung mit dem Namen E-Mail, die vom Benutzer als Schadsoftware oder Phishing gemeldet wurde. Diese Warnung startet ein AIR-Playbook. Das Playbook führt eine Reihe automatisierter Untersuchungsschritte aus:
- Sammeln Sie Daten über die angegebene E-Mail.
- Sammeln Sie Daten zu den Bedrohungen und Entitäten im Zusammenhang mit dieser E-Mail (z. B. Dateien, URLs und Empfänger).
- Stellen Sie empfohlene Maßnahmen bereit, die das SecOps-Team basierend auf den Untersuchungsergebnissen ausführen kann.
E-Mails, die vom Benutzer als Schadsoftware- oder Phishingwarnungen gemeldet werden, automatisierte Untersuchungen und ihre empfohlenen Aktionen werden automatisch mit Vorfällen in Microsoft Defender XDR korreliert. Diese Korrelation vereinfacht den Selektierungs- und Reaktionsprozess für Sicherheitsteams weiter. Wenn mehrere Benutzer dieselben oder ähnliche Nachrichten melden, werden alle Benutzer und Nachrichten mit demselben Incident korreliert.
Daten aus Warnungen und Untersuchungen in Defender für Office 365 werden automatisch mit Warnungen und Untersuchungen in den anderen Microsoft Defender XDR-Produkten verglichen:
- Microsoft Defender für Endpunkt
- Microsoft Defender for Cloud Apps
- Microsoft Defender for Identity
Wenn eine Beziehung erkannt wird, erstellt das System einen Incident, der Sichtbarkeit für den gesamten Angriff bietet.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für