Freigeben über


Neue Warnungsrichtlinien in Microsoft Defender für Office 365

In Microsoft Defender für Office 365 werden neue und verbesserte Warnungsrichtlinien im Zusammenhang mit der Erkennung nach der Zustellung eingeführt. Dies schließt Verbesserungen der Playbooks für die automatisierte Untersuchung und Reaktion (Automated Investigation and Response, AIR) ein, die diesen zugeordnet sind. Darüber hinaus ändern wir bei sechs Standardwarnungsrichtlinien die Schweregradklassifizierung, um die von diesen Richtlinien generierten Warnungen besser an den Auswirkungen auf Ihre Organisation auszurichten.

Tipp

Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihre organization die Verwaltung von Datensicherheits- und Complianceanforderungen unterstützen können. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.

Erkennung nach der Zustellung

Wir führen vier neue Standardwarnungsrichtlinien ein, die sich auf die Erkennung nach der Zustellung beziehen, nachdem durch die Funktion zum automatischen Löschen (Zero Hour Auto Purge, ZAP) in Microsoft Defender für Office 365 Nachrichten aus einem Posteingang entfernt wurden. Diese vier neuen Warnungsrichtlinien ersetzen zwei bestehende Standardwarnungsrichtlinien, die ZAP-Szenarien betreffen, und liefern Organisationen erweiterte Details über die zugrunde liegende Erkennung und damit zusammenhängende Indikatoren. Diese Warnungen (und die AIR-Playbooks, die durch diese Warnungen getriggert werden) erfassen präzise die Bedrohungen in E-Mails und Entitäten, etwa ob eine URL auf eine schädliche Datei verweist oder eine Datei eine böswillige URL enthält.

In der nachstehenden Tabelle sind die neuen sowie die bestehenden Warnungsrichtlinien, die entfernt werden, aufgeführt. Details zum Rollout finden Sie im Abschnitt Auswirkungen auf Ihre Organisation.

Neue oder bestehende Warnungsrichtlinie Name der Warnungsrichtlinie ID der Warnungsrichtlinie
Neu E-Mail-Nachrichten mit schädlicher URL wurden nach der Zustellung entfernt 8e6ba277-ef39-404e-aaf1-294f6d9a2b88
Neu E-Mail-Nachrichten mit schädlicher Datei wurden nach der Übermittlung entfernt 4b1820ec-39dc-45f3-abf6-5ee80df51fd2
Neu E-Mail-Nachrichten aus einer Kampagne wurden zugestellt und später entfernt c8522cbb-9368-4e25-4ee9-08d8d899dfab
Neu Nachrichten, die nach der Zustellung entfernt wurden b8f6b088-5487-4c70-037c-08d8d71a43fe
Bestehend (wird entfernt) E-Mail-Nachrichten mit Phishing-URLs wurden nach der Zustellung entfernt EA8169FA-0678-4751-8854-AEBEA7ADECEB
Bestehend (wird entfernt) E-Mail-Nachrichten mit Schadsoftware wurden nach der Zustellung entfernt 0179B3F7-3FDA-40C3-8F24-278563978DBB

Verbesserungen bei der Schweregradeinstufung

In der folgenden Tabelle sind die Standardwarnungsrichtlinien aufgeführt, deren Schweregradklassifizierungen geändert werden. Wir ändern die Schweregradklassifizierung für diese Warnungsrichtlinien zur besseren Ausrichtung an den potenziellen Risiken und Auswirkungen auf Ihre Organisation und um Ihren Sicherheitsteams dabei zu helfen, die durch diese Richtlinien generierten Warnungen zu priorisieren.

Warnung ID der Warnungsrichtlinie Alter Schweregrad Neuer Schweregrad
Verdächtige E-Mail-Weiterleitunsaktivitäten BFD48F06-0865-41A6-85FF-ADB746423EBF Mittel Hoch
Vom Benutzer als Schadsoftware oder Phishing-Mail gemeldete E-Mails B26A5770-0C38-434A-9380-3A3C2C27BBB3 Zur Information Niedrig
Ungewöhnliche Zunahme von E-Mails, die als Phishing-Mails gemeldet wurden A00D8C62-9320-4EEA-A7E5-966B9AC09558 High Medium
Ergebnis Administrator-Übermittlung abgeschlossen AE9B83DD-6039-4EA9-B675-6B0AC3BF4A41 Niedrig Zur Information
Erstellung einer Weiterleitungs-/Umleitungsregel D59A8FD4-1272-41EE-9408-86F7BCF72479 Niedrig Zur Information
eDiscovery-Suche gestartet oder exportiert 6FDC5710-3998-47F0-AFBB-57CEFD7378A Mittel Zur Information

Wann werden diese Änderungen vorgenommen?

In der folgenden Tabelle ist aufgeführt, wann die neuen Warnungsrichtlinien damit beginnen werden, Warnungen nach der Zustellung auszulösen. Der Tabelle können Sie außerdem entnehmen, wann die beiden bestehenden Warnungsrichtlinien entfernt werden.

Warnungsrichtlinie Datum
E-Mail-Nachrichten mit schädlicher URL wurden nach der Zustellung entfernt (neu) Warnungen werden ab dem 11. April 2021 ausgelöst.
E-Mail-Nachrichten mit schädlicher Datei wurden nach der Übermittlung entfernt (neu) Warnungen werden ab dem 11. April 2021 ausgelöst.
E-Mail-Nachrichten aus einer Kampagne wurden zugestellt und später entfernt (neu) Warnungen werden ab dem 28. Mai 2021 ausgelöst.
Schädliche E-Mails wurden zugestellt und später entfernt (neu) Warnungen werden ab dem 28. Mai 2021 ausgelöst.
E-Mail-Nachrichten mit Phishing-URLs wurden nach der Zustellung entfernt (bestehend, wird entfernt) Die Warnungsrichtlinie wurde im Juni 2021 entfernt. Lesen Sie hierzu den Abschnitt Was Sie tun müssen, um sich auf diese Änderungen vorzubereiten.
E-Mail-Nachrichten mit Schadsoftware wurden nach der Zustellung entfernt (bestehend, wird entfernt) Die Warnungsrichtlinie wurde im Juni 2021 entfernt. Lesen Sie hierzu den Abschnitt Was Sie tun müssen, um sich auf diese Änderungen vorzubereiten.

Die Änderungen an den Warnungsschweregraden werden bis zum 14. Mai 2021 für alle Organisationen veröffentlicht.

Auswirkungen auf Ihre Organisation

Die neuen Warnungen werden ab den oben genannten Terminen ausgelöst und beginnen mit dem Triggern von AIR-Untersuchungen in Ihrer Organisation. Um die Auswirkungen auf Sicherheitsorganisationen zu verringern, die die beiden zu entfernenden Warnungen operationalisiert haben, werden zwischen dem 5. April 2021 und dem 28. Mai 2021 Warnungen angezeigt, die durch die vorhandenen Warnungsrichtlinien ausgelöst werden. Dadurch haben Sicherheitsteams ausreichend Zeit, die erforderlichen Änderungen vorzunehmen. Um die Sicherheitsteams das Handling des erhöhten Warnungsvolumen während dieser kurzen Dauer zu erleichtern, werden sowohl die alten als auch die neuen Warnungen in derselben AIR-Untersuchung und im selben Vorfall korreliert. Dies schließt insbesondere das folgende Verhalten für Warnungen, AIR-Untersuchungen und Vorfälle ein:

  • Warnungen: Standardmäßig werden die folgenden Warnungspaare für die vorhandenen und neuen Warnungen angezeigt:

    • E-Mail-Nachrichten mit Phishing-URLs wurden nach der Zustellung entfernt UND E-Mail-Nachrichten mit schädlicher URL wurden nach der Zustellung entfernt

    • E-Mail-Nachrichten mit Schadsoftware wurden nach der Zustellung entfernt UND E-Mail-Nachrichten mit schädlicher Datei wurden nach der Zustellung entfernt

    Warnungspaare für neue und bestehende Warnungen.

    Weitere Informationen zum Verwalten dieser Warnungspaare finden Sie im Abschnitt Was Sie tun müssen, um sich auf diese Änderungen vorzubereiten.

  • AIR-Untersuchungen: Warnungen werden in einer einzelnen AIR-Untersuchung korreliert, und eine der Warnungen wird als "auslösend" und die andere als "wiederholt" eingestuft.

    Warnungspaare bei AIR-Untersuchungen.

  • Vorfälle: Beide Warnungen sind mit demselben Vorfall verknüpft.

    Warnungspaare in Vorfällen.

Was Sie tun müssen, um sich auf diese Änderungen vorzubereiten

Was Sie zur Vorbereitung tun müssen, hängt davon ab, wie Ihre Organisation diese Warnungen nutzt. Wenn Sie die Warnungen operationalisiert haben und sie entweder über eine API, eine Warnungs-E-Mail-Benachrichtigung oder im Microsoft Purview-Complianceportal- oder Microsoft Defender-Portal verwenden oder nutzen, müssen Sie Ihre Workflows ändern.

Wenn Sie diese Benachrichtigungen noch nicht implementiert haben, gibt es zwei Optionen:

  • Deaktivieren Sie die folgenden (zu entfernenden) Warnungsrichtlinien, um das Warnungsvolumen in Ihrer Organisation zu verringern:

    • E-Mail-Nachrichten mit Phishing-URLs wurden nach der Zustellung entfernt

    • E-Mail-Nachrichten mit Schadsoftware wurden nach der Zustellung entfernt

  • Nichts tun. Die vorhandenen Warnungsrichtlinien werden am 28. Mai 2021 deaktiviert.

Wenn Sie diese Warnungen implementiert haben:

  • Beginnen Sie damit, die neuen Warnungen als Teil Ihrer Arbeitsabläufe zu verwenden, in Erwartung der Entfernung der bestehenden Warnungsrichtlinie am 28. Mai 2021. Wenn Sie über benutzerdefinierte Logik in Ihrem Ticketsystem, ein Sicherheitspostfach, in dem Sie Warnungs-E-Mail-Benachrichtigungen erhalten, oder eine SIEM-Lösung, die vom Warnungsnamen oder der Warnungsrichtlinien-ID (CorrelationId) abhängt, müssen Sie die Logik ändern, um die Änderung zu berücksichtigen.

    Hinweis

    An den Informationen in den Warnungen, Untersuchungen und Vorfällen hat sich nicht geändert. Diese Informationen wurden vielmehr durch zusätzliche Details zu den damit verbundenen Bedrohungen verbessert.

  • Nachdem Sie die Änderungen vorgenommen haben, können Sie die bestehenden Warnungsrichtlinien deaktivieren, um das Warnungsvolumen in Ihrer Organisation zu verringern:

    • E-Mail-Nachrichten mit Phishing-URLs wurden nach der Zustellung entfernt

    • E-Mail-Nachrichten mit Schadsoftware wurden nach der Zustellung entfernt

    Alternativ können Sie diese Warnungsrichtlinien aktiviert lassen, bis sie am 28. Mai 2021 gelöscht werden.