Freigeben über

E-Mail-Sicherheit mit Bedrohungs-Explorer und Echtzeiterkennungen in Microsoft Defender für Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Microsoft 365-Organisationen, die Microsoft Defender für Office 365 in ihrem Abonnement enthalten oder als Add-On erworben haben, verfügen über Explorer -Erkennungen (auch als Bedrohungs-Explorer bezeichnet) oder Echtzeiterkennungen. Diese Features sind leistungsstarke Tools nahezu in Echtzeit, die Security Operations-Teams (SecOps) dabei unterstützen, Bedrohungen zu untersuchen und darauf zu reagieren. Weitere Informationen finden Sie unter Informationen zu Bedrohungs-Explorer und Echtzeiterkennungen in Microsoft Defender für Office 365.

In diesem Artikel wird erläutert, wie Sie erkannte Schadsoftware und Phishingversuche in E-Mails mithilfe von Bedrohungs-Explorer oder Echtzeiterkennungen anzeigen und untersuchen.

Tipp

Informationen zu anderen E-Mail-Szenarien mit Bedrohungs-Explorer und Echtzeiterkennungen finden Sie in den folgenden Artikeln:

Was sollten Sie wissen, bevor Sie beginnen?

Anzeigen von Phishing-E-Mails, die an imitierte Benutzer und Domänen gesendet werden

Weitere Informationen zum Schutz vor Benutzer- und Domänenidentitätswechseln in Antiphishingrichtlinien in Defender für Office 365 finden Sie unter Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender für Office 365.

In den standardmäßigen oder benutzerdefinierten Antiphishingrichtlinien müssen Sie die Benutzer und Domänen angeben, die vor Identitätswechseln geschützt werden sollen, einschließlich der Domänen, die Sie besitzen (akzeptierte Domänen). In den voreingestellten Sicherheitsrichtlinien Standard oder Strict erhalten Domänen, die Sie besitzen, automatisch Identitätswechselschutz, aber Sie müssen alle Benutzer oder benutzerdefinierten Domänen für den Schutz vor Identitätswechsel angeben. Anweisungen finden Sie in den folgenden Artikeln:

Führen Sie die folgenden Schritte aus, um Phishingnachrichten zu überprüfen und nach Benutzern oder Domänen imItiert zu suchen.

  1. Führen Sie einen der folgenden Schritte aus, um Bedrohungs-Explorer oder Echtzeiterkennungen zu öffnen:

  2. Wählen Sie auf der Seite Explorer oder Echtzeiterkennungen die Ansicht Phish aus. Weitere Informationen zur Phish-Ansicht finden Sie unter Phish-Ansicht im Bedrohungs-Explorer und Echtzeiterkennungen.

  3. Wählen Sie den Datums-/Uhrzeitbereich aus. Der Standardwert ist gestern und heute.

  4. Führen Sie einen der folgenden Schritte aus:

    • Suchen Sie alle Benutzer- oder Domänenidentitätswechselversuche:

      • Wählen Sie das Feld Absenderadresse (Eigenschaft) und dann Erkennungstechnologie im Abschnitt Basic der Dropdownliste aus.
      • Vergewissern Sie sich , dass "Gleich" als Filteroperator ausgewählt ist.
      • Wählen Sie im Feld Eigenschaftenwert die Option Identitätswechseldomäne und Identitätswechselbenutzer aus.

    • Suchen sie nach bestimmten Identitätswechselversuchen:

      • Wählen Sie das Feld Absenderadresse (Eigenschaft) aus, und wählen Sie dann im Abschnitt Basic der Dropdownliste die Option Identitätswechsel aus.
      • Vergewissern Sie sich , dass "Gleich" als Filteroperator ausgewählt ist.
      • Geben Sie im Feld Eigenschaftenwert die vollständige E-Mail-Adresse des Empfängers ein. Trennen Sie mehrere Empfängerwerte durch Kommas.

    • Suchen sie nach bestimmten Identitätswechsel-Domänenversuchen:

      • Wählen Sie das Feld Absenderadresse (Eigenschaft) aus, und wählen Sie dann im Abschnitt Basic der Dropdownliste die Option Identitätswechseldomäne aus.
      • Vergewissern Sie sich , dass "Gleich" als Filteroperator ausgewählt ist.
      • Geben Sie im Feld Eigenschaftswert die Domäne ein (z. B. contoso.com). Trennen Sie mehrere Domänenwerte durch Kommas.

  5. Geben Sie weitere Bedingungen mithilfe anderer filterbarer Eigenschaften nach Bedarf ein. Anweisungen finden Sie unter Eigenschaftenfilter im Bedrohungs-Explorer und Echtzeiterkennungen.

  6. Wenn Sie mit dem Erstellen der Filterbedingungen fertig sind, wählen Sie Aktualisieren aus.

  7. Überprüfen Sie im Detailbereich unterhalb des Diagramms, ob die Registerkarte E-Mail (Ansicht) ausgewählt ist.

    Sie können die Einträge sortieren und weitere Spalten anzeigen, wie in der E-Mail-Ansicht für den Detailbereich der Phish-Ansicht in Bedrohungs-Explorer und Echtzeiterkennungen beschrieben.

Url-Klickdaten exportieren

Sie können URL-Klickdaten in eine CSV-Datei exportieren, um die Werte netzwerknachrichten-ID und Click-Bewertung anzuzeigen, die ihnen helfen, zu erklären, woher ihr URL-Klickdatenverkehr stammt.

  1. Führen Sie einen der folgenden Schritte aus, um Bedrohungs-Explorer oder Echtzeiterkennungen zu öffnen:

  2. Wählen Sie auf der Seite Explorer oder Echtzeiterkennungen die Ansicht Phish aus. Weitere Informationen zur Phish-Ansicht finden Sie unter Phish-Ansicht im Bedrohungs-Explorer und Echtzeiterkennungen.

  3. Wählen Sie den Datums-/Uhrzeitbereich und dann Aktualisieren aus. Der Standardwert ist gestern und heute.

  4. Wählen Sie im Detailbereich die Registerkarte Top URLs oder Top clicks (Ansicht) aus.

  5. Wählen Sie in der Ansicht Top URLs oder Top Clicks mindestens einen Eintrag aus der Tabelle aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren und dann Exportieren auswählen. Forscher>Phish>Klicks>Top URLs oder URL Top Clicks> wählen Sie einen beliebigen Datensatz aus, um das URL-Flyout zu öffnen.

Sie können den Wert netzwerknachrichten-ID verwenden, um im Bedrohungs-Explorer oder in Echtzeiterkennungen oder externen Tools nach bestimmten Nachrichten zu suchen. Diese Suchvorgänge identifizieren die E-Mail-Nachricht, die einem Klickergebnis zugeordnet ist. Die korrelierte Netzwerknachrichten-ID ermöglicht eine schnellere und leistungsfähigere Analyse.

Anzeigen von schadsoftware, die in E-Mails erkannt wurde

Führen Sie die folgenden Schritte unter Bedrohungs-Explorer oder Echtzeiterkennungen aus, um die von Microsoft 365 in E-Mails erkannte Schadsoftware zu sehen.

  1. Führen Sie einen der folgenden Schritte aus, um Bedrohungs-Explorer oder Echtzeiterkennungen zu öffnen:

  2. Wählen Sie auf der Seite Explorer oder Echtzeiterkennungen die Ansicht Schadsoftware aus. Weitere Informationen zur Phish-Ansicht finden Sie unter Schadsoftwareansicht im Bedrohungs-Explorer und Echtzeiterkennungen.

  3. Wählen Sie den Datums-/Uhrzeitbereich aus. Der Standardwert ist gestern und heute.

  4. Wählen Sie das Feld Absenderadresse (Eigenschaft) und dann Erkennungstechnologie im Abschnitt Basic der Dropdownliste aus.

    • Vergewissern Sie sich , dass "Gleich" als Filteroperator ausgewählt ist.
    • Wählen Sie im Feld Eigenschaftenwert einen oder mehrere der folgenden Werte aus:
      • Schutz vor Schadsoftware
      • Dateidetonation
      • Reputation der Dateidetonation
      • Datei-Reputation
      • Fingerabdruckübereinstimmung

  5. Geben Sie weitere Bedingungen mithilfe anderer filterbarer Eigenschaften nach Bedarf ein. Anweisungen finden Sie unter Eigenschaftenfilter im Bedrohungs-Explorer und Echtzeiterkennungen.

  6. Wenn Sie mit dem Erstellen der Filterbedingungen fertig sind, wählen Sie Aktualisieren aus.

Der Bericht zeigt die Ergebnisse an, die Schadsoftware in E-Mails mithilfe der von Ihnen ausgewählten Technologieoptionen erkannt hat. Von hier aus können Sie weitere Analysen durchführen.

Melden von Nachrichten als bereinigt

Sie können die Seite Übermittlungen im Defender-Portal unter https://security.microsoft.com/reportsubmission verwenden, um Nachrichten als fehlerfrei (falsch positive Ergebnisse) an Microsoft zu melden. Sie können Nachrichten aber auch als sauber an Microsoft senden, wenn Sie im Bedrohungs-Explorer oder auf der Entitätsseite E-Mail Maßnahmen ergreifen.

Anweisungen finden Sie unter Bedrohungssuche: Der Assistent zum Ausführen von Aktionen.

Zusammenfassend:

  • Wählen Sie Aktion mit einer der folgenden Methoden ausführen aus:

    • Wählen Sie eine oder mehrere Nachrichten aus der Detailtabelle auf der Registerkarte E-Mail (Ansicht) in den Ansichten Alle E-Mails, Schadsoftware oder Phish aus, indem Sie die Kontrollkästchen für die Einträge aktivieren.

    Oder

    • Klicken Sie im Details-Flyout, nachdem Sie eine Nachricht aus der Detailtabelle auf der Registerkarte E-Mail (Ansicht) in der Ansicht Alle E-Mails, Schadsoftware oder Phish ausgewählt haben, indem Sie auf den Wert Betreff klicken.

  • Wählen Sie im Assistenten Aktion ausführen die Option An Microsoft zur Überprüfung> übermittelnIch habe bestätigt, dass es sauber ist.

Anzeigen der Phishing-URL und Klicken auf Bewertungsdaten

Der Schutz für sichere Links verfolgt URLs nach, die zulässig, blockiert und überschrieben wurden. Der Schutz für sichere Links ist dank des integrierten Schutzes in voreingestellten Sicherheitsrichtlinien standardmäßig aktiviert. Der Schutz für sichere Links ist in den voreingestellten Sicherheitsrichtlinien "Standard" und "Strict" aktiviert. Sie können den Schutz für sichere Links auch in benutzerdefinierten Richtlinien für sichere Links erstellen und konfigurieren. Weitere Informationen zu den Richtlinieneinstellungen für sichere Links finden Sie unter Richtlinieneinstellungen für sichere Links.

Führen Sie die folgenden Schritte aus, um Phishingversuche mithilfe von URLs in E-Mail-Nachrichten anzuzeigen.

  1. Führen Sie einen der folgenden Schritte aus, um Bedrohungs-Explorer oder Echtzeiterkennungen zu öffnen:

  2. Wählen Sie auf der Seite Explorer oder Echtzeiterkennungen die Ansicht Phish aus. Weitere Informationen zur Phish-Ansicht finden Sie unter Phish-Ansicht im Bedrohungs-Explorer und Echtzeiterkennungen.

  3. Wählen Sie den Datums-/Uhrzeitbereich aus. Der Standardwert ist gestern und heute.

  4. Wählen Sie das Feld Absenderadresse (Eigenschaft) und dann klicken Sie im Abschnitt URLs der Dropdownliste auf Bewertung klicken.

    • Vergewissern Sie sich , dass "Gleich" als Filteroperator ausgewählt ist.
    • Wählen Sie im Feld Eigenschaftenwert einen oder mehrere der folgenden Werte aus:
      • Gesperrt
      • Blockiert überschrieben

    Erläuterungen zu den Click-Bewertungswerten finden Sie unter Click verdict in Filterbare Eigenschaften in der Ansicht Alle E-Mails im Bedrohungs-Explorer.

  5. Geben Sie weitere Bedingungen mithilfe anderer filterbarer Eigenschaften nach Bedarf ein. Anweisungen finden Sie unter Eigenschaftenfilter im Bedrohungs-Explorer und Echtzeiterkennungen.

  6. Wenn Sie mit dem Erstellen der Filterbedingungen fertig sind, wählen Sie Aktualisieren aus.

Auf der Registerkarte "Top URLs " (Ansicht) im Detailbereich unterhalb des Diagramms werden die Anzahl der blockierten Nachrichten, Junk-Nachrichten und übermittelte Nachrichten für die fünf wichtigsten URLs angezeigt. Weitere Informationen finden Sie unter Top URLs-Ansicht für den Detailbereich der Phish-Ansicht im Bedrohungs-Explorer und In Echtzeiterkennungen.

Auf der Registerkarte "Top clicks" (Ansicht) im Detailbereich unterhalb des Diagramms werden die fünf geklickten Links angezeigt, die von sicheren Links umschlossen wurden. URL-Klicks auf unwrappte Links werden hier nicht angezeigt. Weitere Informationen finden Sie unter Ansicht mit den höchsten Klicks für den Detailbereich der Phish-Ansicht im Bedrohungs-Explorer und in Echtzeiterkennungen.

Diese URL-Tabellen zeigen URLs an, die trotz einer Warnung blockiert oder besucht wurden. Diese Informationen zeigen die potenziellen fehlerhaften Links an, die Benutzern angezeigt wurden. Von hier aus können Sie weitere Analysen durchführen.

Wählen Sie eine URL aus einem Eintrag in der Ansicht aus, um Details zu erhalten. Weitere Informationen finden Sie unter URL-Details für die Registerkarten "Top URLs" und "Top clicks" in der Phish-Ansicht.

Tipp

Im Url-Details-Flyout wird die Filterung nach E-Mail-Nachrichten entfernt, um die vollständige Ansicht der Gefährdung der URL in Ihrer Umgebung anzuzeigen. Mit diesem Verhalten können Sie nach bestimmten E-Mail-Nachrichten filtern, bestimmte URLs finden, die potenzielle Bedrohungen darstellen, und dann Ihr Verständnis der URL-Offenlegung in Ihrer Umgebung erweitern, ohne URL-Filter in der Phish-Ansicht hinzufügen zu müssen.

Interpretation von Klickbewertungen

Die Ergebnisse der Click-Bewertungseigenschaft sind an den folgenden Stellen sichtbar:

Die Bewertungswerte werden in der folgenden Liste beschrieben:

  • Zulässig: Der Benutzer durfte die URL öffnen.
  • Blockieren überschrieben: Der Benutzer wurde daran gehindert, die URL direkt zu öffnen, aber er überschreibt den Block, um die URL zu öffnen.
  • Blockiert: Der Benutzer konnte die URL nicht öffnen.
  • Fehler: Dem Benutzer wurde die Fehlerseite angezeigt, oder beim Erfassen des Urteils ist ein Fehler aufgetreten.
  • Fehler: Beim Erfassen des Urteils ist eine unbekannte Ausnahme aufgetreten. Möglicherweise hat der Benutzer die URL geöffnet.
  • Keine: Das Urteil für die URL kann nicht erfasst werden. Möglicherweise hat der Benutzer die URL geöffnet.
  • Ausstehendes Urteil: Dem Benutzer wurde die Ausstehende Seite für die Detonation angezeigt.
  • Ausstehendes Urteil umgangen: Dem Benutzer wurde die Detonationsseite angezeigt, aber er übergibt die Nachricht, um die URL zu öffnen.

Starten der automatisierten Untersuchung und Reaktion im Bedrohungs-Explorer

Die automatisierte Untersuchung und Reaktion (AIR) in Defender für Office 365 Plan 2 kann Zeit und Aufwand sparen, wenn Sie Cyberangriffe untersuchen und abschwächen. Sie können Warnungen konfigurieren, die ein Sicherheitsplaybook auslösen, und Sie können AIR im Bedrohungs-Explorer starten. Weitere Informationen finden Sie unter Beispiel: Ein Sicherheitsadministrator löst eine Untersuchung im Explorer aus.

Untersuchen von E-Mails mit der E-Mail-Entitätsseite