Funktionsweise der automatisierten Untersuchung und Reaktion in Microsoft Defender for Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion im Microsoft 365 Defender Portal-Testhub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

Wenn Sicherheitswarnungen ausgelöst werden, liegt es an Ihrem Sicherheitsteam, sich diese Warnungen anzusehen und Maßnahmen zum Schutz Ihrer Organisation zu ergreifen. Manchmal können sich Sicherheitsteams von der Menge der ausgelösten Warnungen überfordert fühlen. Automatisierte Untersuchungs- und Reaktionsfunktionen (AIR) in Microsoft Defender for Office 365 können dabei helfen.

AIR ermöglicht Es Ihrem Sicherheitsteam, effizienter und effektiver zu arbeiten. Air-Funktionen umfassen automatisierte Untersuchungsprozesse als Reaktion auf bekannte Bedrohungen, die heute vorhanden sind. Geeignete Abhilfemaßnahmen warten auf die Genehmigung, sodass Ihr Sicherheitsteam auf erkannte Bedrohungen reagieren kann.

In diesem Artikel wird beschrieben, wie AIR verschiedene Beispiele durchläuft. Wenn Sie bereit für die ersten Schritte mit AIR sind, lesen Sie "Automatisches Untersuchen und Reagieren auf Bedrohungen".

Beispiel: Eine vom Benutzer gemeldete Phishingnachricht startet ein Untersuchungs-Playbook

Angenommen, ein Benutzer in Ihrer Organisation erhält eine E-Mail, die er für einen Phishingversuch hält. Der Benutzer, der für die Meldung solcher Nachrichten geschult ist, verwendet das Add-In "Nachricht melden" oder das Add-In "Phishing melden ", um es zur Analyse an Microsoft zu senden. Die Übermittlung wird auch an Ihr System gesendet und ist im Explorer in der Ansicht "Übermittlungen " (früher als " Vom Benutzer gemeldete Ansicht" bezeichnet) sichtbar. Darüber hinaus löst die vom Benutzer gemeldete Nachricht jetzt eine systembasierte Informationswarnung aus, die das Untersuchungs-Playbook automatisch startet.

Während der Phase der Stammuntersuchung werden verschiedene Aspekte der E-Mail bewertet. Zu diesen Aspekten gehören:

  • Eine Entscheidung darüber, welche Art von Bedrohung es sein könnte;
  • Wer hat es gesendet;
  • Wohin die E-Mail gesendet wurde (sendende Infrastruktur);
  • Ob andere Instanzen der E-Mail zugestellt oder blockiert wurden;
  • Eine Bewertung unserer Analysten;
  • Ob die E-Mail mit bekannten Kampagnen verknüpft ist;
  • und mehr.

Nach Abschluss der Stammuntersuchung enthält das Playbook eine Liste der empfohlenen Aktionen für die ursprünglichen E-Mails und Entitäten, die damit verknüpft sind.

Als Nächstes werden mehrere Schritte zur Bedrohungsuntersuchung und -suche ausgeführt:

  • Ähnliche E-Mail-Nachrichten werden über E-Mail-Clustersuchen identifiziert.
  • Das Signal wird für andere Plattformen freigegeben, z. B. Microsoft Defender for Endpoint.
  • Es wird ermittelt, ob Benutzer in verdächtigen E-Mail-Nachrichten auf böswillige Links geklickt haben.
  • Eine Überprüfung erfolgt in Exchange Online Protection (EOP und (Microsoft Defender for Office 365, um festzustellen, ob andere ähnliche Nachrichten von Benutzern gemeldet werden.
  • Es wird überprüft, ob ein Benutzer kompromittiert wurde. Diese Überprüfung nutzt Signale in Office 365, Microsoft Defender for Cloud Apps und Azure Active Directory und korreliert alle zugehörigen Benutzeraktivitätsanomalien.

Während der Jagdphase werden Risiken und Bedrohungen verschiedenen Suchschritten zugeordnet.

Die Korrektur ist die letzte Phase des Playbooks. In dieser Phase werden Aufarbeitungsschritte basierend auf den Untersuchungs- und Suchphasen durchgeführt.

Beispiel: Ein Sicherheitsadministrator löst eine Untersuchung aus dem Bedrohungs-Explorer aus.

Zusätzlich zu automatisierten Untersuchungen, die durch eine Warnung ausgelöst werden, kann das Sicherheitsteam Ihrer Organisation eine automatisierte Untersuchung aus einer Ansicht im Bedrohungs-Explorer auslösen. Diese Untersuchung erstellt auch eine Warnung, sodass Microsoft 365 Defender Vorfälle und externe SIEM-Tools sehen können, dass diese Untersuchung ausgelöst wurde.

Angenommen, Sie verwenden die Schadsoftwareansicht im Explorer. Mithilfe der Registerkarten unterhalb des Diagramms wählen Sie die Registerkarte Email aus. Wenn Sie ein oder mehrere Elemente in der Liste auswählen, wird die Schaltfläche +Aktionen aktiviert.

Der Explorer mit ausgewählten Nachrichten

Über das Menü "Aktionen " können Sie " Untersuchung auslösen" auswählen.

Menü "Aktionen" für ausgewählte Nachrichten

Ähnlich wie bei Playbooks, die durch eine Warnung ausgelöst werden, umfassen automatische Untersuchungen, die aus einer Ansicht im Explorer ausgelöst werden, eine Stammuntersuchung, Schritte zum Identifizieren und Korrelieren von Bedrohungen und empfohlene Aktionen, um diese Bedrohungen zu mindern.

Beispiel: Ein Sicherheitsteam integriert AIR mithilfe der Office 365-Verwaltungsaktivitäts-API in ihr SIEM.

Air-Funktionen in Microsoft Defender for Office 365 enthalten Berichte & Details, die Sicherheitsteams verwenden können, um Bedrohungen zu überwachen und zu beheben. Sie können aber auch AIR-Funktionen in andere Lösungen integrieren. Beispiele hierfür sind ein SIEM-System (Security Information and Event Management), ein Fallverwaltungssystem oder eine benutzerdefinierte Berichterstellungslösung. Diese Arten von Integrationen können mithilfe der Office 365-Verwaltungsaktivitäts-API durchgeführt werden.

In letzter Zeit hat eine Organisation beispielsweise eine Möglichkeit für ihr Sicherheitsteam eingerichtet, um vom Benutzer gemeldete Phishingbenachrichtigungen anzuzeigen, die bereits von AIR verarbeitet wurden. Ihre Lösung integriert relevante Warnungen in den SIEM-Server der Organisation und ihr Fallverwaltungssystem. Die Lösung reduziert die Anzahl falsch positiver Ergebnisse erheblich, sodass sich ihr Sicherheitsteam auf reale Bedrohungen konzentrieren kann. Weitere Informationen zu dieser benutzerdefinierten Lösung finden Sie im Tech Community-Blog: Verbessern der Effektivität Ihres SOC mit Microsoft Defender for Office 365 und der O365-Verwaltungs-API.

Nächste Schritte