Wartungsaktionen in Microsoft Defender for Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Wartungsaktionen

Zu den Bedrohungsschutzfeatures in Microsoft Defender for Office 365 gehören bestimmte Wartungsaktionen. Solche Abhilfemaßnahmen können Folgendes umfassen:

  • E-Mail-Nachrichten oder Cluster vorläufig löschen
  • URL blockieren (Zeitpunkt des Klickens)
  • Externe E-Mail-Weiterleitung deaktivieren
  • Deaktivieren der Delegierung

In Microsoft Defender for Office 365 werden Korrekturaktionen nicht automatisch ausgeführt. Stattdessen werden Korrekturmaßnahmen nur nach Genehmigung durch das Sicherheitsbetriebsteam Ihres organization durchgeführt.

Bedrohungen und Abhilfemaßnahmen

Microsoft Defender for Office 365 umfasst Korrekturmaßnahmen, um verschiedene Bedrohungen zu beheben. Automatisierte Untersuchungen führen häufig zu einer oder mehreren Korrekturaktionen, die überprüft und genehmigt werden müssen. In einigen Fällen führt eine automatisierte Untersuchung nicht zu einer bestimmten Korrekturaktion. Verwenden Sie die Anleitung in der folgenden Tabelle, um weitere Untersuchungen durchzuführen und entsprechende Maßnahmen zu ergreifen.

Kategorie Bedrohung/Risiko Wartungsaktionen
E-Mail Schadsoftware Vorläufiges Löschen von E-Mails/Clustern

Wenn mehr als eine Handvoll E-Mail-Nachrichten in einem Cluster Schadsoftware enthalten, wird der Cluster als böswillig betrachtet.

E-Mail Schädliche URL
(Von sicheren Links wurde eine schädliche URL erkannt.)
Vorläufiges Löschen von E-Mails/Clustern
Blockieren der URL (Überprüfung der Zeitpunkt des Klickens)

Email, die eine schädliche URL enthält, gilt als böswillig.

E-Mail Phish Vorläufiges Löschen von E-Mails/Clustern

Wenn mehr als eine Handvoll E-Mail-Nachrichten in einem Cluster Phishingversuche enthalten, wird der gesamte Cluster als Phishingversuch betrachtet.

E-Mail Zapped Phish
(Email Nachrichten wurden übermittelt und dann zapped.)
Vorläufiges Löschen von E-Mails/Clustern

Berichte sind verfügbar, um zapped nachrichten anzuzeigen. Überprüfen Sie, ob ZAP eine Nachricht und häufig gestellte Fragen verschoben hat.

E-Mail Von einem Benutzer gemeldete verpasste Phishing-E-Mail Automatisierte Untersuchung, die durch den Bericht des Benutzers ausgelöst wird
E-Mail Volumeanomalie
(Aktuelle E-Mail-Mengen überschreiten die letzten 7 bis 10 Tage für übereinstimmende Kriterien.)
Die automatisierte Untersuchung führt nicht zu einer bestimmten ausstehenden Aktion.

Volumenanomalie ist keine eindeutige Bedrohung, sondern lediglich ein Hinweis auf größere E-Mail-Mengen in den letzten Tagen im Vergleich zu den letzten 7-10 Tagen.

Obwohl eine große Anzahl von E-Mails auf potenzielle Probleme hinweisen kann, ist eine Bestätigung in Bezug auf böswillige Urteile oder eine manuelle Überprüfung von E-Mail-Nachrichten/-Clustern erforderlich. Weitere Informationen finden Sie unter Suchen verdächtiger E-Mails, die zugestellt wurden.

E-Mail Keine Bedrohungen gefunden
(Das System hat keine Bedrohungen basierend auf Dateien, URLs oder analyse von E-Mail-Clusterbewertungen gefunden.)
Die automatisierte Untersuchung führt nicht zu einer bestimmten ausstehenden Aktion.

Bedrohungen, die nach Abschluss einer Untersuchung gefunden und angezappt wurden, spiegeln sich nicht in den numerischen Ergebnissen einer Untersuchung wider, aber solche Bedrohungen sind in Threat Explorer sichtbar.

Benutzer Ein Benutzer hat auf eine schädliche URL geklickt.
(Ein Benutzer hat zu einer Seite navigiert, die später als bösartig eingestuft wurde, oder ein Benutzer hat eine Warnseite für sichere Links umgangen, um zu einer schädlichen Seite zu gelangen.)
Die automatisierte Untersuchung führt nicht zu einer bestimmten ausstehenden Aktion.

URL blockieren (Zeitpunkt des Klickens)

Verwenden Sie Threat Explorer, um Daten zu URLs anzuzeigen und auf Bewertungen zu klicken.

Wenn Ihr organization Microsoft Defender for Endpoint verwendet, sollten Sie den Benutzer untersuchen, um festzustellen, ob sein Konto kompromittiert ist.

Benutzer Ein Benutzer sendet Schadsoftware/Phish Die automatisierte Untersuchung führt nicht zu einer bestimmten ausstehenden Aktion.

Der Benutzer meldet möglicherweise Schadsoftware/Phish, oder jemand spooft den Benutzer im Rahmen eines Angriffs. Verwenden Sie Threat Explorer, um E-Mails anzuzeigen und zu verarbeiten, die Schadsoftware oder Phishing enthalten.

Benutzer E-Mail-Weiterleitung
(Postfachweiterleitungsregeln sind konfiguriert, chch kann für die Datenexfiltration verwendet werden.)
Weiterleitungsregel entfernen

Verwenden Sie den Bericht automatisch weitergeleitete Nachrichten , um bestimmte Details zu weitergeleiteten E-Mails anzuzeigen.

Benutzer Email Delegierungsregeln
(Für das Konto eines Benutzers sind Delegierungen eingerichtet.)
Delegierungsregel entfernen

Wenn Ihr organization Microsoft Defender for Endpoint verwendet, sollten Sie den Benutzer untersuchen, der die Delegierungsberechtigung erhält.

Benutzer Datenexfiltration
(Ein Benutzer hat gegen DLP-Richtlinien für E-Mails oder Dateifreigaben verstoßen.
Die automatisierte Untersuchung führt nicht zu einer bestimmten ausstehenden Aktion.

Erste Schritte mit Activity Explorer.

Benutzer Anormales Senden von E-Mails
(Ein Benutzer hat kürzlich mehr E-Mails gesendet als in den letzten 7-10 Tagen.)
Die automatisierte Untersuchung führt nicht zu einer bestimmten ausstehenden Aktion.

Das Senden einer großen E-Mail-Menge ist nicht an sich böswillig. Der Benutzer hat möglicherweise gerade eine E-Mail an eine große Gruppe von Empfängern für ein Ereignis gesendet. Um dies zu untersuchen, verwenden Sie den Einblick neuer Benutzer, die E-Mails weiterleiten im EAC und im EAC ausgehende Nachrichten, um zu ermitteln, was vor sich geht, und ergreifen Sie Maßnahmen.

Nächste Schritte