Untersuchen schädlicher E-Mails, die in Microsoft 365 übermittelt wurden

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Microsoft 365-Organisationen, die Microsoft Defender for Office 365 in ihrem Abonnement enthalten oder als Add-On erworben haben, verfügen über Explorer (auch als Bedrohungs-Explorer bezeichnet) oder Echtzeiterkennungen. Diese Features sind leistungsstarke Tools nahezu in Echtzeit, die Security Operations-Teams (SecOps) dabei unterstützen, Bedrohungen zu untersuchen und darauf zu reagieren. Weitere Informationen finden Sie unter Informationen zu bedrohungsbasierten Explorer und Echtzeiterkennungen in Microsoft Defender for Office 365.

Bedrohungs- Explorer und Echtzeiterkennungen ermöglichen es Ihnen, Aktivitäten zu untersuchen, die Personen in Ihrem organization gefährden, und Maßnahmen zum Schutz Ihrer organization zu ergreifen. Zum Beispiel:

  • Suchen und Löschen von Nachrichten.
  • Identifizieren Sie die IP-Adresse eines böswilligen E-Mail-Absenders.
  • Starten Sie einen Incident zur weiteren Untersuchung.

In diesem Artikel wird erläutert, wie Sie Bedrohungserkennungen Explorer und Echtzeiterkennungen verwenden, um schädliche E-Mails in Empfängerpostfächern zu finden.

Tipp

Informationen zum direkten Aufrufen der Korrekturverfahren finden Sie unter Beheben schädlicher E-Mails, die in Office 365 übermittelt wurden.

Informationen zu anderen E-Mail-Szenarien mit Bedrohungserkennungen Explorer und Echtzeiterkennungen finden Sie in den folgenden Artikeln:

Was sollten Sie wissen, bevor Sie beginnen?

Verdächtige E-Mails finden, die übermittelt wurden

  1. Führen Sie einen der folgenden Schritte aus, um Bedrohungserkennungen Explorer oder Echtzeiterkennungen zu öffnen:

  2. Wählen Sie auf der Seite Explorer oder Echtzeiterkennungen eine entsprechende Ansicht aus:

  3. Wählen Sie den Datums-/Uhrzeitbereich aus. Der Standardwert ist gestern und heute.

    Screenshot des Datumsfilters, der in bedrohungsbasierten Explorer- und Echtzeiterkennungen im Defender-Portal verwendet wird.

  4. Erstellen Sie eine oder mehrere Filterbedingungen, indem Sie einige oder alle der folgenden Zieleigenschaften und -werte verwenden. Vollständige Anweisungen finden Sie unter Eigenschaftenfilter in Bedrohungs- Explorer und Echtzeiterkennungen. Zum Beispiel:

    • Übermittlungsaktion: Die Aktion, die aufgrund vorhandener Richtlinien oder Erkennungen für eine E-Mail ausgeführt wurde. Hilfreiche Werte sind:

      • Übermittelt: Email an den Posteingang des Benutzers oder einen anderen Ordner übermittelt, in dem der Benutzer auf die Nachricht zugreifen kann.
      • Junk-E-Mail: Email an den Junk-Email-Ordner oder den Ordner "Gelöschte Elemente" des Benutzers übermittelt, in dem der Benutzer auf die Nachricht zugreifen kann.
      • Blockiert: Email Nachrichten, die unter Quarantäne standen, die nicht übermittelt wurden oder gelöscht wurden.
    • Ursprünglicher Zustellungsort: Dort, wo E-Mails vor automatischen oder manuellen Postzustellungsaktionen des Systems oder der Administratoren (z. B. ZAP oder verschoben in Quarantäne) gesendet wurden. Hilfreiche Werte sind:

      • Ordner "Gelöschte Elemente"
      • Verworfen: Die Nachricht ist im E-Mail-Fluss verloren gegangen.
      • Fehler: Die Nachricht konnte das Postfach nicht erreichen.
      • Posteingang/Ordner
      • Junk-E-Mail-Ordner
      • Lokal/extern: Das Postfach ist im Microsoft 365-organization nicht vorhanden.
      • Quarantäne
      • Unbekannt: Beispielsweise hat eine Posteingangsregel die Nachricht nach der Übermittlung in einen Standardordner (z. B. Entwurf oder Archiv) anstatt in den Posteingang oder junk-Email Ordner verschoben.
    • Letzter Zustellungsort: Ort, an dem E-Mails nach automatischen oder manuellen Postzustellungsaktionen des Systems oder der Administratoren geendet wurden. Die gleichen Werte sind am ursprünglichen Lieferort verfügbar.

    • Directionality: Gültige Werte sind:

      • Eingehende
      • Organisationsintern
      • Ausgehend

      Anhand dieser Informationen können Spoofing und Identitätswechsel identifiziert werden. Beispielsweise sollten Nachrichten von internen Domänensendern organisationsintern und nicht eingehend sein.

    • Zusätzliche Aktion: Gültige Werte sind:

    • Primäre Außerkraftsetzung: Wenn organization- oder Benutzereinstellungen Nachrichten zugelassen oder blockiert haben, die andernfalls blockiert oder zugelassen worden wären. Werte sind folgende:

      • Zulässig durch organization-Richtlinie
      • Durch Benutzerrichtlinie zugelassen
      • Durch organization-Richtlinie blockiert
      • Durch Benutzerrichtlinie blockiert
      • Keine

      Diese Kategorien werden durch die Eigenschaft Primäre Außerkraftsetzungsquelle weiter optimiert.

    • Primäre Außerkraftsetzungsquelle Der Typ der organization Richtlinie oder Benutzereinstellung, die Nachrichten zugelassen oder blockiert hat, die andernfalls blockiert oder zugelassen worden wären. Werte sind folgende:

    • Außerkraftsetzungsquelle: Dieselben verfügbaren Werte wie primäre Außerkraftsetzungsquelle.

      Tipp

      Auf der Registerkarte Email (Ansicht) im Detailbereich der Ansichten Alle E-Mails, Schadsoftware und Phish heißen die entsprechenden Außerkraftsetzungsspalten Systemüberschreibungen und Quelle für Systemüberschreibungen.

    • URL-Bedrohung: Gültige Werte sind:

      • Schadsoftware
      • Phishing
      • Spam
  5. Wenn Sie die Konfiguration von Datums-/Uhrzeit- und Eigenschaftsfiltern abgeschlossen haben, wählen Sie Aktualisieren aus.

Die Registerkarte Email (Ansicht) im Detailbereich der Ansicht Alle E-Mails, Schadsoftware oder Phish enthält die Details, die Sie benötigen, um verdächtige E-Mails zu untersuchen.

Verwenden Sie beispielsweise die Spalten Übermittlungsaktion, Ursprünglicher Zustellungsort und Letzter Übermittlungsort auf der Registerkarte (Ansicht) Email, um ein vollständiges Bild davon zu erhalten, wo die betroffenen Nachrichten gesendet wurden. Die Werte wurden in Schritt 4 erläutert.

Verwenden Sie Export , um bis zu 200.000 gefilterte oder ungefilterte Ergebnisse selektiv in eine CSV-Datei zu exportieren.

Korrigieren von zugestellten schädlichen E-Mails

Nachdem Sie die schädlichen E-Mail-Nachrichten identifiziert haben, die übermittelt wurden, können Sie sie aus Empfängerpostfächern entfernen. Anweisungen finden Sie unter Beheben schädlicher E-Mails, die in Microsoft 365 übermittelt werden.

Korrigieren bösartiger E-Mails, die in Office 365 zugestellt wurden

Microsoft Defender für Office 365

Anzeigen von Berichten für Defender for Office 365