Verbesserungen an der Bedrohungssuche in Threat Explorer

  • Artikel

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Wenn Ihr organization über Microsoft Defender for Office 365 verfügt und Sie über die erforderlichen Berechtigungen verfügen, verfügen Sie entweder über ExplorerBedrohungserkennungen oder Echtzeiterkennungen (früher Echtzeitberichtesehen Sie sich die Neuerungen an!).

Bedrohungserkennungen Explorer oder Echtzeiterkennungen helfen Ihrem Sicherheitsteam, Bedrohungen effizient zu untersuchen und darauf zu reagieren. Mit diesem Bericht haben Sie folgende Möglichkeiten:

Die Bedrohungssuche

Einführung der Warnungs-ID für Defender for Office 365 Warnungen in Explorer-/Echtzeiterkennungen

Wenn Sie heute von einer Warnung zu Bedrohungs-Explorer navigieren, wird eine gefilterte Ansicht innerhalb des Explorer geöffnet, wobei die Ansicht nach Warnungsrichtlinien-ID gefiltert wird (Richtlinien-ID ist ein eindeutiger Bezeichner für eine Warnungsrichtlinie). Wir machen diese Integration relevanter, indem wir die Warnungs-ID (siehe ein Beispiel der Warnungs-ID unten) in Explorer Bedrohungserkennungen und Echtzeiterkennungen einführen, damit Sie Nachrichten sehen, die für die jeweilige Warnung relevant sind, sowie eine Anzahl von E-Mails. Sie können auch sehen, ob eine Nachricht Teil einer Warnung war, und von dieser Nachricht zur jeweiligen Warnung navigieren.

Screenshot: Filtern nach Warnungs-ID

Erweitern des Explorer (und Echtzeiterkennungs)-Datenaufbewahrungs- und Suchgrenzwerts für Testmandanten von 7 auf 30 Tage

Im Rahmen dieser Änderung können Sie E-Mail-Daten über 30 Tage hinweg (ein Anstieg gegenüber den vorherigen 7 Tagen) in Threat Explorer/Echtzeiterkennungen für Defender für Office P1- und P2-Testmandanten suchen und filtern. Dies wirkt sich nicht auf Produktionsmandanten für P1- und P2/E5-Kunden aus, die bereits über die 30-tägigen Datenaufbewahrungs- und Suchfunktionen verfügen.

Aktualisierte Grenzwerte für den Export von Datensätzen für Threat Explorer

Im Rahmen dieses Updates wird die Anzahl der Zeilen für Email Datensätze, die aus Threat Explorer exportiert werden können, von 9990 auf 200.000 Datensätze erhöht. Der Satz von Spalten, die derzeit exportiert werden können, bleibt gleich, aber die Anzahl der Zeilen steigt ab dem aktuellen Grenzwert.

Tags in Threat Explorer

Hinweis

Das Feature "Benutzertags" befindet sich in der Vorschauphase, ist nicht für alle Benutzer verfügbar und kann geändert werden. Informationen zum Veröffentlichungszeitplan finden Sie in der Microsoft 365-Roadmap.

Benutzertags identifizieren bestimmte Benutzergruppen in Microsoft Defender for Office 365. Weitere Informationen zu Tags, einschließlich Lizenzierung und Konfiguration, finden Sie unter Benutzertags.

In Threat Explorer können Sie Informationen zu Benutzertags in den folgenden Umgebungen anzeigen.

Email Rasteransicht

Die Spalte Tags im E-Mail-Raster enthält alle Tags, die auf die Absender- oder Empfängerpostfächer angewendet wurden. Standardmäßig werden Systemtags wie Prioritätskonten zuerst angezeigt.

Screenshot: Filtertags in der E-Mail-Rasteransicht

Filtern

Sie können Tags als Filter verwenden. Suchen Sie nur über Prioritätskonten oder bestimmte Benutzertagsszenarien hinweg. Sie können auch Ergebnisse mit bestimmten Tags ausschließen. Kombinieren Sie diese Funktionalität mit anderen Filtern, um den Untersuchungsbereich einzugrenzen.

Filtertags.

Screenshot: Tags, die nicht gefiltert sind.

Email Detail-Flyout

Um die einzelnen Tags für Absender und Empfänger anzuzeigen, wählen Sie den Betreff aus, um das Flyout mit den Nachrichtendetails zu öffnen. Auf der Registerkarte Zusammenfassung werden die Absender- und Empfängertags separat angezeigt, wenn sie für eine E-Mail vorhanden sind. Die Informationen zu einzelnen Tags für Absender und Empfänger erstrecken sich auch auf exportierte CSV-Daten, wo Sie diese Details in zwei separaten Spalten sehen können.

Screenshot der Email-Detailtags.

Tags-Informationen werden auch im Flyout url clicks (URL-Klicks) angezeigt. Wechseln Sie zum Anzeigen zur Ansicht Phish oder Alle Email und dann zur Registerkarte URLs oder URL-Klicks. Wählen Sie ein einzelnes URL-Flyout aus, um zusätzliche Details zu Klicks für diese URL anzuzeigen, einschließlich tags, die diesem Klick zugeordnet sind.

Aktualisierte Zeitachsenansicht

Screenshot der URL-Tags.

Erfahren Sie mehr, in dem Sie dieses Video ansehen.

Bevorstehende Verbesserungen an der Bedrohungssuche

Aktualisierte Bedrohungsinformationen für E-Mails

Wir haben uns auf Verbesserungen der Plattform- und Datenqualität konzentriert, um die Datengenauigkeit und Konsistenz für E-Mail-Datensätze zu erhöhen. Zu den Verbesserungen gehören die Konsolidierung von Vorab- und Postübermittlungsinformationen, z. B. Aktionen, die im Rahmen des ZAP-Prozesses für eine E-Mail ausgeführt werden, in einem einzigen Datensatz. Zusätzliche Details wie Spambewertung, Bedrohungen auf Entitätsebene (z. B. welche URL böswillig war) und die neuesten Übermittlungsorte sind ebenfalls enthalten.

Nach diesen Aktualisierungen wird unabhängig von den verschiedenen Postübermittlungsereignissen, die sich auf die Nachricht auswirken, ein einzelner Eintrag für jede Nachricht angezeigt. Aktionen können ZAP, manuelle Korrekturen (d. h. Administratoraktionen), dynamische Übermittlung usw. umfassen.

Zusätzlich zur Anzeige von Schadsoftware und Phishing-Bedrohungen sehen Sie das Spam-Urteil, das einer E-Mail zugeordnet ist. Sehen Sie sich in der E-Mail alle Bedrohungen an, die mit der E-Mail verbunden sind, zusammen mit den entsprechenden Erkennungstechnologien. Eine E-Mail kann null, eine oder mehrere Bedrohungen aufweisen. Die aktuellen Bedrohungen werden im Abschnitt Details des E-Mail-Flyouts angezeigt. Für mehrere Bedrohungen (z. B. Schadsoftware und Phishing) wird im Feld Erkennungstechnologie die Zuordnung der Bedrohungserkennung angezeigt, bei der es sich um die Erkennungstechnologie handelt, die die Bedrohung identifiziert hat.

Die Reihe von Erkennungstechnologien umfasst jetzt neue Erkennungsmethoden sowie Spamerkennungstechnologien. Sie können die gleichen Erkennungstechnologien verwenden, um die Ergebnisse in den verschiedenen E-Mail-Ansichten (Malware, Phish, All Email) zu filtern.

Hinweis

Die Bewertungsanalyse ist möglicherweise nicht unbedingt an Entitäten gebunden. Beispielsweise kann eine E-Mail als Phish oder Spam klassifiziert werden, aber es gibt keine URLs, die mit einem Phish/Spam-Urteil gestempelt sind. Dies liegt daran, dass die Filter auch Inhalte und andere Details für eine E-Mail auswerten, bevor sie ein Urteil zuweisen.

Bedrohungen in URLs

Die spezifische Bedrohung für eine URL wird nun auf der Registerkarte Details zum E-Mail-Flyout angezeigt . Die Bedrohung kann Schadsoftware, Phishing, Spam oder keine sein.)

Screenshot der URL-Bedrohungen.

Aktualisierte Zeitleiste Ansicht (in Nächster Zeit)

Screenshot der aktualisierten Zeitachsenansicht.

Die Zeitachsenansicht identifiziert alle Übermittlungs- und Postübermittlungsereignisse. Sie enthält Informationen über die zu diesem Zeitpunkt identifizierte Bedrohung für eine Teilmenge dieser Ereignisse. Die Zeitachsenansicht enthält auch Informationen zu allen zusätzlichen Ausgeführten Aktionen (z. B. ZAP oder manuelle Korrektur), zusammen mit dem Ergebnis dieser Aktion. Informationen zur Zeitachsenansicht umfassen:

  • Quelle: Quelle des Ereignisses. Dies kann ein Administrator/System/Benutzer sein.
  • Ereignis: Umfasst Ereignisse auf oberster Ebene wie ursprüngliche Übermittlung, manuelle Korrektur, ZAP, Übermittlungen und dynamische Übermittlung.
  • Aktion: Die spezifische Aktion, die entweder als Teil der ZAP- oder Administratoraktion (z. B. vorläufiges Löschen) ausgeführt wurde.
  • Bedrohungen: Deckt die zu diesem Zeitpunkt identifizierten Bedrohungen (Schadsoftware, Phishing, Spam) ab.
  • Ergebnis/Details: Weitere Informationen zum Ergebnis der Aktion, z. B. ob sie als Teil der ZAP-/Administratoraktion ausgeführt wurde.

Ursprünglicher und neuester Lieferort

Derzeit wird der Lieferort im E-Mail-Raster und im E-Mail-Flyout angezeigt. Das Feld "Lieferort " wird in " Ursprünglicher Zustellungsort" umbenannt. Und wir führen ein weiteres Feld ein, neueste Lieferadresse.

Der ursprüngliche Lieferort enthält weitere Informationen darüber, wo eine E-Mail ursprünglich zugestellt wurde. Der letzte Zustellungsort gibt an, wo eine E-Mail nach Systemaktionen wie ZAP oder Administratoraktionen wie Verschieben in gelöschte Elemente gelandet ist. Der letzte Zustellungsspeicherort soll Administratoren den letzten bekannten Speicherort der Nachricht nach der Zustellung oder alle System-/Administratoraktionen mitteilen. Es enthält keine Endbenutzeraktionen für die E-Mail. Wenn ein Benutzer z. B. eine Nachricht gelöscht oder die Nachricht in das Archiv/pst verschoben hat, wird der Speicherort für die Zustellung der Nachricht nicht aktualisiert. Wenn jedoch eine Systemaktion den Speicherort aktualisiert hat (z. B. ZAP, was dazu führt, dass eine E-Mail in Quarantäne verschoben wird), wird der letzte Zustellungsort als "Quarantäne" angezeigt.

Screenshot der aktualisierten Übermittlungsorte.

Hinweis

Es gibt einige Fälle, in denen Lieferort und Übermittlungsaktion als "unbekannt" angezeigt werden können:

  • Wenn die Nachricht zugestellt wurde, wird der Übermittlungsspeicherort möglicherweise als "zugestellt" und als "unbekannt" angezeigt, aber eine Posteingangsregel hat die Nachricht in einen Standardordner (z. B. Entwurf oder Archiv) anstatt in den Posteingang oder junk-Email Ordner verschoben.

  • Der letzte Zustellungsort kann unbekannt sein, wenn eine Administrator-/Systemaktion (z. B. ZAP) versucht wurde, die Nachricht aber nicht gefunden wurde. In der Regel erfolgt die Aktion, nachdem der Benutzer die Nachricht verschoben oder gelöscht hat. Überprüfen Sie in solchen Fällen die Spalte Ergebnis/Details in Zeitleiste Ansicht. Suchen Sie nach der Anweisung "Nachricht vom Benutzer verschoben oder gelöscht".

Screenshot der Übermittlungsorte für Zeitleiste.

Zusätzliche Aktionen

Nach der Zustellung der E-Mail wurden zusätzliche Aktionen angewendet. Sie können ZAP, manuelle Korrekturen (Aktionen, die von einem Admin durchgeführt werden, z. B. vorläufiges Löschen), Dynamische Übermittlung und erneute Verarbeitung (für eine E-Mail, die rückwirkend als gut erkannt wurde) umfassen.

Hinweis

Im Rahmen der ausstehenden Änderungen wird der Aktuell im Filter Übermittlungsaktion angezeigte Wert "Removed by ZAP" nicht mehr angezeigt. Sie haben eine Möglichkeit, mit dem ZAP-Versuch über Zusätzliche Aktionen nach allen E-Mails zu suchen.

Screenshot der zusätzlichen Aktionen in Explorer.

Systemüberschreibungen

Systemüberschreibungen ermöglichen es Ihnen, Ausnahmen vom beabsichtigten Übermittlungsort einer Nachricht zu machen. Sie überschreiben den vom System bereitgestellten Übermittlungsspeicherort basierend auf den Bedrohungen und anderen Erkennungen, die vom Filterstapel identifiziert werden. Systemüberschreibungen können über eine Mandanten- oder Benutzerrichtlinie festgelegt werden, um die Nachricht wie von der Richtlinie vorgeschlagen zu übermitteln. Außerkraftsetzungen können die unbeabsichtigte Übermittlung schädlicher Nachrichten aufgrund von Konfigurationslücken identifizieren, z. B. aufgrund einer zu breiten Richtlinie für sichere Absender, die von einem Benutzer festgelegt wurde. Diese Außerkraftsetzungswerte können wie folgt sein:

  • Durch Benutzerrichtlinie zulässig: Ein Benutzer erstellt Richtlinien auf Postfachebene, um Domänen oder Absender zuzulassen.

  • Durch Benutzerrichtlinie blockiert: Ein Benutzer erstellt Richtlinien auf Postfachebene, um Domänen oder Absender zu blockieren.

  • Durch Organisationsrichtlinie zulässig: Die Sicherheitsteams der organization legen Richtlinien oder Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) fest, um Absender und Domänen für Benutzer in ihren organization zuzulassen. Dies kann für eine Gruppe von Benutzern oder die gesamte organization sein.

  • Durch Organisationsrichtlinie blockiert: Die Sicherheitsteams der organization legen Richtlinien oder Nachrichtenflussregeln fest, um Absender, Domänen, Nachrichtensprachen oder Quell-IPs für Benutzer in ihren organization zu blockieren. Dies kann auf eine Gruppe von Benutzern oder den gesamten organization angewendet werden.

  • Dateierweiterung durch Organisationsrichtlinie blockiert: Das Sicherheitsteam eines organization blockiert eine Dateinamenerweiterung über die Richtlinieneinstellungen für Antischadsoftware. Diese Werte werden jetzt in E-Mail-Details angezeigt, um bei Untersuchungen zu helfen. Secops-Teams können auch die Rich-Filtering-Funktion verwenden, um nach blockierten Dateierweiterungen zu filtern.

Systemüberschreibungen in Explorer.

Screenshot des Rasters

Verbesserungen für die URL- und Klickerfahrung

Zu den Verbesserungen gehören:

  • Zeigen Sie die vollständige URL (einschließlich aller Abfrageparameter, die Teil der URL sind) im Abschnitt Klicks des URL-Flyouts an. Derzeit werden die URL-Domäne und der Pfad in der Titelleiste angezeigt. Wir erweitern diese Informationen, um die vollständige URL anzuzeigen.

  • Korrekturen für URL-Filter (URL im Vergleich zu URL-Domäneund URL-Domäne und -Pfad): Die Updates wirken sich auf die Suche nach Nachrichten aus, die eine URL/Klick-Bewertung enthalten. Wir haben die Unterstützung für protokollunabhängige Suchvorgänge aktiviert, sodass Sie nach einer URL suchen können, ohne zu verwenden http. Standardmäßig wird die URL-Suche http zugeordnet, es sei denn, es wird explizit ein anderer Wert angegeben. Zum Beispiel:

    • Suchen Sie mit und ohne das Präfix in den http:// Filterfeldern URL, URL-Domäneund URL-Domäne und Pfad . Die Suchvorgänge sollten die gleichen Ergebnisse anzeigen.
    • Suchen Sie in der URL nach dem https:// Präfix. Wenn kein Wert angegeben wird, wird das http:// Präfix angenommen.
    • / wird am Anfang und Ende der Felder URL-Pfad, URL-Domäne, URL-Domäne und Pfad ignoriert. / am Ende des URL-Felds wird ignoriert.

Phish-Konfidenzniveau

Das Phish-Konfidenzniveau hilft dabei, den Grad der Zuverlässigkeit zu identifizieren, mit dem eine E-Mail als "Phish" kategorisiert wurde. Die beiden möglichen Werte sind Hoch und Normal. In den ersten Phasen ist dieser Filter nur in der Phish-Ansicht von Threat Explorer verfügbar.

Phish Confidence Level in Explorer.

ZAP-URL-Signal

Das ZAP-URL-Signal wird in der Regel für ZAP Phish-Warnungsszenarien verwendet, in denen eine E-Mail als Phish identifiziert und nach der Zustellung entfernt wurde. Dieses Signal verbindet die Warnung mit den entsprechenden Ergebnissen in Explorer. Dies ist einer der IOCs für die Warnung.

Um den Suchprozess zu verbessern, haben wir bedrohungsbasierte Explorer und Echtzeiterkennungen aktualisiert, um die Sucherfahrung konsistenter zu gestalten. Die Änderungen werden hier beschrieben:

Filtern nach Benutzertags

Sie können jetzt nach System- oder benutzerdefinierten Benutzertags sortieren und filtern, um den Umfang der Bedrohungen schnell zu erfassen. Weitere Informationen finden Sie unter Benutzertags.

Wichtig

Das Filtern und Sortieren nach Benutzertags befindet sich derzeit in der öffentlichen Vorschau. Diese Funktionalität kann vor der kommerziellen Veröffentlichung erheblich geändert werden. Microsoft übernimmt keine Gewährleistungen, weder ausdrücklich noch konkludent, in Bezug auf die bereitgestellten Informationen.

Screenshot der Spalte

Zeitzonenverbesserungen

Sie sehen die Zeitzone für die E-Mail-Datensätze im Portal sowie für exportierte Daten. Es wird in Umgebungen wie Email Grid, Details-Flyout, Email Zeitachse und ähnliche E-Mails angezeigt, sodass die Zeitzone für das Resultset klar ist.

Screenshot: Zeitzone in Explorer anzeigen

Aktualisieren im Aktualisierungsvorgang

Einige Benutzer haben sich zu Verwirrungen mit der automatischen Aktualisierung (z. B. sobald Sie das Datum ändern, die Seite wird aktualisiert) und manuellen Aktualisierungen (für andere Filter) kommentiert. Ebenso führt das Entfernen von Filtern zu einer automatischen Aktualisierung. Das Ändern von Filtern beim Ändern der Abfrage kann zu inkonsistenten Suchfunktionen führen. Um diese Probleme zu beheben, wechseln wir zu einem Mechanismus zur manuellen Filterung.

Aus Erfahrungssicht kann der Benutzer die verschiedenen Filterbereiche (aus dem Filtersatz und -datum) anwenden und entfernen und die Schaltfläche Aktualisieren auswählen, um die Ergebnisse zu filtern, nachdem er die Abfrage definiert hat. Die Schaltfläche "Aktualisieren" wird jetzt auch auf dem Bildschirm hervorgehoben. Wir haben auch die zugehörigen QuickInfos und die produktinterne Dokumentation aktualisiert.

Screenshot der Schaltfläche

Diagramm-Drilldown zum Hinzufügen zu Filtern

Sie können jetzt Legendenwerte diagrammen, um sie als Filter hinzuzufügen. Wählen Sie die Schaltfläche Aktualisieren aus, um die Ergebnisse zu filtern.

Screenshot des Drilldowns durch Diagramme zum Filtern.

Produktinterne Informationsupdates

Zusätzliche Details sind jetzt innerhalb des Produkts verfügbar, z. B. die Gesamtzahl der Suchergebnisse innerhalb des Rasters (siehe unten). Wir haben Bezeichnungen, Fehlermeldungen und QuickInfos verbessert, um weitere Informationen zu Filtern, Suchfunktionen und Resultsets bereitzustellen.

Screenshot: Anzuzeigende Produktinformationen

Erweiterte Funktionen in Threat Explorer

Am häufigsten ausgerichtete Benutzer

Heute stellen wir die Liste der am häufigsten betroffenen Benutzer in der Malware-Ansicht für E-Mails im Abschnitt Top Malware Familien zur Verfügung. Wir erweitern diese Ansicht auch in den Ansichten Phish und All Email. Sie können die fünf wichtigsten Zielbenutzer zusammen mit der Anzahl der Versuche für jeden Benutzer für die entsprechende Ansicht sehen. Für die Phish-Ansicht sehen Sie beispielsweise die Anzahl der Phish-Versuche.

Sie können die Liste der Zielbenutzer bis zu einem Grenzwert von 3.000 zusammen mit der Anzahl der Versuche für die Offlineanalyse für jede E-Mail-Ansicht exportieren. Wenn Sie außerdem die Anzahl der Versuche (z. B. 13 Versuche in der abbildung unten) auswählen, wird eine gefilterte Ansicht in Threat Explorer geöffnet, sodass Sie weitere Details zu E-Mails und Bedrohungen für diesen Benutzer anzeigen können.

Screenshot der Am häufigsten ausgerichteten Benutzer.

Exchange-Transportregeln

Im Rahmen der Datenanreicherung können Sie alle verschiedenen Exchange-Transportregeln (ETR) sehen, die auf eine Nachricht angewendet wurden. Diese Informationen sind in der Email Rasteransicht verfügbar. Wählen Sie zum Anzeigen im Raster Spaltenoptionen und dann Exchange-Transportregel hinzufügen aus den Spaltenoptionen aus. Es wird auch im Details-Flyout in der E-Mail angezeigt.

Sie können sowohl die GUID als auch den Namen der Transportregeln sehen, die auf die Nachricht angewendet wurden. Sie können nach den Nachrichten suchen, indem Sie den Namen der Transportregel verwenden. Dies ist eine "Contains"-Suche, was bedeutet, dass Sie auch Teilsuchen durchführen können.

Wichtig

DIE ETR-Suche und die Namensverfügbarkeit hängen von der spezifischen Rolle ab, die Ihnen zugewiesen ist. Sie müssen über eine der folgenden Rollen/Berechtigungen verfügen, um die ETR-Namen und die Suche anzeigen zu können. Wenn Ihnen keine dieser Rollen zugewiesen ist, können Sie die Namen der Transportregeln nicht sehen oder mithilfe von ETR-Namen nach Nachrichten suchen. Die ETR-Bezeichnung und die GUID-Informationen finden Sie jedoch im Email Details. Andere Datensatzanzeigefunktionen in Email Grids, Email Flyouts, Filtern und Exportieren sind nicht betroffen.

  • Nur EXO – Verhinderung von Datenverlust: Alle
  • Nur EXO – O365SupportViewConfig: Alle
  • Microsoft Azure Active Directory oder EXO – Sicherheits-Admin: Alle
  • AAD oder EXO – Sicherheitsleseberechtigter: Alle
  • Nur EXO - Transportregeln: Alle
  • Nur EXO – View-Only-Konfiguration: Alle

Innerhalb des E-Mail-Rasters, des Details-Flyouts und der exportierten CSV-Datei werden die ETRs wie unten dargestellt mit einem Namen/einer GUID angezeigt.

Screenshot: Exchange-Transportregeln.

Eingehende Connectors

Connectors sind eine Sammlung von Anweisungen, mit denen Sie anpassen können, wie Ihre E-Mails zu Und von Ihren Microsoft 365- oder Office 365 organization fließen. Sie ermöglichen es Ihnen, Sicherheitseinschränkungen oder -kontrollen anzuwenden. In Threat Explorer können Sie jetzt die Connectors anzeigen, die sich auf eine E-Mail beziehen, und mithilfe von Connectornamen nach E-Mails suchen.

Die Suche nach Connectors ist "enthält", was bedeutet, dass auch partielle Schlüsselwort (keyword) Suchvorgänge funktionieren sollten. In der Ansicht Hauptraster, im Flyout Details und in der exportierten CSV-Datei werden die Connectors wie hier gezeigt im Format Name/GUID angezeigt:

Screenshot der Connectordetails.

Neue Features in Threat Explorer und Echtzeiterkennungen

Anzeigen von Phishing-E-Mails, die an imitierte Benutzer und Domänen gesendet werden

Um Phishingversuche gegen Benutzer und Domänen zu identifizieren, die als Benutzer imitiert sind, müssen der Liste der zu schützenden Benutzer hinzugefügt werden. Für Domänen müssen Administratoren entweder Organisationsdomänen aktivieren oder Domänen zum Schutz einen Domänennamen hinzufügen. Die zu schützenden Domänen finden Sie auf der Seite Anti-Phishing-Richtlinie im Abschnitt Identitätswechsel .

Verwenden Sie die Email Phish-Ansicht von Explorer>, um Phish-Nachrichten zu überprüfen und nach imitierten Benutzern oder Domänen zu suchen.

In diesem Beispiel wird Threat Explorer verwendet.

  1. Wählen Sie im Microsoft 365 Defender-Portal (https://security.microsoft.com) Bedrohungsverwaltung>Explorer (oder Echtzeiterkennungen) aus.

  2. Wählen Sie im Menü Ansicht die Option Phish aus.

    Hier können Sie eine identitätswechselte Domäne oder einen angenommenen Benutzer auswählen.

  3. Wählen Sie ENTWEDERIdentitätsdomäne imitiert aus, und geben Sie dann eine geschützte Domäne in das Textfeld ein.

    Suchen Sie beispielsweise nach geschützten Domänennamen wie contoso, contoso.com oder contoso.com.au.

  4. Wählen Sie den Betreff einer beliebigen Nachricht auf der Registerkarte Email Registerkarte > Details aus, um zusätzliche Identitätswechselinformationen wie Identitätswechseldomäne/Erkannter Speicherort anzuzeigen.

    ODER

    Wählen Sie Identitätsbenutzer angenommen aus, und geben Sie die E-Mail-Adresse eines geschützten Benutzers in das Textfeld ein.

    Tipp

    Um optimale Ergebnisse zu erzielen, verwenden Sie vollständige E-Mail-Adressen , um geschützte Benutzer zu durchsuchen. Sie finden Ihren geschützten Benutzer schneller und erfolgreicher, wenn Sie z. B. bei der Untersuchung des Benutzeridentitätswechsels nach firstname.lastname@contoso.comsuchen. Bei der Suche nach einer geschützten Domäne wird die Stammdomäne (z. B. contoso.com) und der Domänenname (contoso) verwendet. Bei der Suche nach dem contoso.com der Stammdomäne werden sowohl Identitätswechsel von contoso.com als auch der Domänenname contoso zurückgegeben.

  5. Wählen Sie den Betreff einer beliebigen Nachricht auf Email Registerkarte>Details aus, um zusätzliche Identitätswechselinformationen zum Benutzer oder zur Domäne und zum erkannten Speicherort anzuzeigen.

    Screenshot des Detailbereichs

Hinweis

Wenn Sie in Schritt 3 oder 5 Erkennungstechnologie auswählen und Identitätswechseldomäne bzw. Identitätswechselbenutzer auswählen, werden die Informationen auf der Registerkarte Email Registerkarte>Details zum Benutzer oder der Domäne und der erkannte Speicherort nur für die Nachrichten angezeigt, die sich auf den Benutzer oder die Domäne beziehen, die auf der Seite Antiphishing-Richtlinie aufgeführt sind.

Vorschau der E-Mail-Kopfzeile und E-Mail-Text herunterladen

Sie können jetzt eine Vorschau eines E-Mail-Headers anzeigen und den E-Mail-Text in Threat Explorer herunterladen. Administratoren können heruntergeladene Header/E-Mail-Nachrichten auf Bedrohungen analysieren. Da das Herunterladen von E-Mail-Nachrichten die Offenlegung von Informationen riskieren kann, wird dieser Prozess durch die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) gesteuert. Eine neue Rolle ( Vorschau) ist erforderlich, um die Möglichkeit zum Herunterladen von E-Mails in der Ansicht "Alle E-Mail-Nachrichten" zu gewähren. Das Anzeigen des E-Mail-Headers erfordert jedoch keine zusätzliche Rolle (außer dem, was zum Anzeigen von Nachrichten in Threat Explorer erforderlich ist). So erstellen Sie eine neue Rollengruppe mit der Vorschaurolle:

  1. Wählen Sie eine integrierte Rollengruppe aus, die nur über die Vorschaurolle verfügt, z. B. Datenermittler oder eDiscovery-Manager.
  2. Wählen Sie Rollengruppe kopieren aus.
  3. Wählen Sie einen Namen und eine Beschreibung für Ihre neue Rollengruppe aus, und wählen Sie Weiter aus.
  4. Ändern Sie die Rollen, indem Sie rollen nach Bedarf hinzufügen und entfernen, aber die Vorschaurolle verlassen.
  5. Fügen Sie Mitglieder hinzu, und wählen Sie dann Rollengruppe erstellen aus.

Explorer und Echtzeiterkennungen erhalten auch neue Felder, die ein umfassenderes Bild davon liefern, wo Ihre E-Mail-Nachrichten ankommen. Diese Änderungen erleichtern die Suche für Sicherheitsvorgänge. Das Standard Ergebnis ist jedoch, dass Sie den Speicherort der problematischen E-Mail-Nachrichten auf einen Blick erkennen können.

Wie wird das gemacht? Die Übermittlung status ist jetzt in zwei Spalten unterteilt:

  • Übermittlungsaktion : Status der E-Mail.
  • Zustellungsort : Der Ort, an den die E-Mail weitergeleitet wurde.

Übermittlungsaktion ist die Aktion, die aufgrund vorhandener Richtlinien oder Erkennungen für eine E-Mail ausgeführt wird. Hier sind die möglichen Aktionen für eine E-Mail:

Zugestellt Junked Gesperrt Ersetzt
Email an den Posteingang oder Ordner eines Benutzers übermittelt wurde, und der Benutzer kann darauf zugreifen. Email an den Junk- oder Gelöschten Ordner des Benutzers gesendet wurde, und der Benutzer kann darauf zugreifen. E-Mails, die unter Quarantäne stehen, die fehlgeschlagen sind oder verworfen wurden. Auf diese E-Mails kann der Benutzer nicht zugreifen. Email wurden schädliche Anlagen durch .txt Dateien ersetzt, die angeben, dass die Anlage böswillig war.

Dies ist, was der Benutzer sehen kann und was nicht:

Für Endbenutzer zugänglich Für Endbenutzer nicht zugänglich
Zugestellt Gesperrt
Junked Ersetzt

Der Übermittlungsspeicherort zeigt die Ergebnisse von Richtlinien und Erkennungen an, die nach der Übermittlung ausgeführt werden. Sie ist mit der Übermittlungsaktion verknüpft. Dies sind die möglichen Werte:

  • Posteingang oder Ordner: Die E-Mail befindet sich im Posteingang oder in einem Ordner (gemäß Ihren E-Mail-Regeln).
  • Lokal oder extern: Das Postfach ist nicht in der Cloud vorhanden, sondern lokal.
  • Junk-Ordner: Die E-Mail befindet sich im Junk-Ordner eines Benutzers.
  • Ordner "Gelöschte Elemente": Die E-Mail-Adresse im Ordner "Gelöschte Elemente" eines Benutzers.
  • Quarantäne: Die E-Mail befindet sich in Quarantäne und nicht im Postfach eines Benutzers.
  • Fehler: Die E-Mail konnte das Postfach nicht erreichen.
  • Gelöscht: Die E-Mail ist irgendwo im E-Mail-Fluss verloren gegangen.

Email Zeitleiste

Die Email Zeitleiste ist ein neues Explorer Feature, das die Sucherfahrung für Administratoren verbessert. Dadurch wird der Zeitaufwand für die Überprüfung verschiedener Standorte verkürzt, um zu versuchen, das Ereignis zu verstehen. Wenn mehrere Ereignisse zur gleichen Zeit auftreten oder gleichzeitig eine E-Mail eingeht, werden diese Ereignisse in einer Zeitleiste Ansicht angezeigt. Einige Ereignisse, die bei der Postübermittlung ihrer E-Mail auftreten, werden in der Spalte Besondere Aktion erfasst. Administratoren können Informationen aus dem Zeitleiste mit der speziellen Aktion kombinieren, die für die Postzustellung der E-Mail ausgeführt wurde, um Einen Einblick in die Funktionsweise ihrer Richtlinien zu erhalten, wo die E-Mail schließlich weitergeleitet wurde und in einigen Fällen, was die endgültige Bewertung war.

Weitere Informationen finden Sie unter Untersuchen und Beheben schädlicher E-Mails, die in Office 365 übermittelt wurden.

Url-Klickdaten exportieren

Sie können jetzt Berichte für URL-Klicks in Microsoft Excel exportieren, um deren Netzwerknachrichten-ID anzuzeigen und auf die Bewertung zu klicken, wodurch erklärt wird, woher der Url-Klickdatenverkehr stammt. So funktioniert das: Folgen Sie in Threat Management auf der Office 365 Schnellstartleiste dieser Kette:

> Explorer Phish>Clicks>Top URLs oder URL Top Clicks> wählen Sie einen beliebigen Datensatz aus, um das URL-Flyout zu öffnen.

Wenn Sie eine URL in der Liste auswählen, wird im Flyoutbereich eine neue Schaltfläche Exportieren angezeigt. Verwenden Sie diese Schaltfläche, um Daten in ein Excel-Arbeitsblatt zu verschieben, um die Berichterstellung zu vereinfachen.

Gehen Sie wie folgt vor, um im Bericht "Echtzeiterkennungen" zum gleichen Speicherort zu gelangen:

> Explorer Realtime detections>Phish>URLsTop URLs> or Top Clicks> Select any record to open the URL flyout > navigate to the Clicks tab.

Tipp

Die Netzwerknachrichten-ID ordnet den Klick zurück bestimmten E-Mails zu, wenn Sie die ID über Explorer oder zugehörige Drittanbietertools durchsuchen. Solche Suchvorgänge identifizieren die E-Mail, die einem Klickergebnis zugeordnet ist. Die korrelierte Netzwerknachrichten-ID ermöglicht eine schnellere und leistungsfähigere Analyse.

Screenshot der Registerkarte

Anzeigen von Schadsoftware, die von Technologie in E-Mails erkannt wurde

Angenommen, Sie möchten, dass Schadsoftware in E-Mails erkannt wird, die nach Microsoft 365-Technologie sortiert ist. Verwenden Sie dazu die Ansicht Schadsoftware von Explorer (oder Echtzeiterkennungen).

  1. Wählen Sie im Microsoft 365 Defender-Portal (https://security.microsoft.com) Bedrohungsverwaltung>Explorer (oder Echtzeiterkennungen) aus. (In diesem Beispiel wird Explorer verwendet.)

  2. Wählen Sie im Menü Ansicht die Option Schadsoftware aus.

    Screenshot des Menüs

  3. Klicken Sie auf Absender, und wählen Sie dann Grundlegende>Erkennungstechnologie aus.

    Ihre Erkennungstechnologien sind jetzt als Filter für den Bericht verfügbar.

    Screenshot der Technologien zur Erkennung von Schadsoftware.

  4. Wählen Sie eine Option aus. Wählen Sie dann die Schaltfläche Aktualisieren aus, um diesen Filter anzuwenden.

    Screenshot der ausgewählten Erkennungstechnologie.

Der Bericht wird aktualisiert, um die Ergebnisse anzuzeigen, die schadsoftware in E-Mails mithilfe der von Ihnen ausgewählten Technologieoption erkannt wurde. Von hier aus können Sie weitere Analysen durchführen.

Anzeigen der Phishing-URL und Klicken auf Bewertungsdaten

Angenommen, Sie möchten Phishingversuche über URLs in E-Mails anzeigen, einschließlich einer Liste von URLs, die zugelassen, blockiert und überschrieben wurden. Um URLs zu identifizieren, auf die geklickt wurde, müssen sichere Links konfiguriert werden. Stellen Sie sicher, dass Sie Richtlinien für sichere Links für den Time-of-Click-Schutz und die Protokollierung von Klickbewertungen durch sichere Links einrichten.

Um Phish-URLs in Nachrichten zu überprüfen und auf URLs in Phish-Nachrichten zu klicken, verwenden Sie die Ansicht Phish von Explorer oder Echtzeiterkennungen.

  1. Wählen Sie im Microsoft 365 Defender-Portal (https://security.microsoft.com) Bedrohungsverwaltung>Explorer (oder Echtzeiterkennungen) aus. (In diesem Beispiel wird Explorer verwendet.)

  2. Wählen Sie im Menü Ansichtdie Option Email>Phish aus.

    Screenshot des Menüs

  3. Klicken Sie auf Absender, und wählen Sie dann URLs>Klicken Sie auf Bewertung aus.

  4. Wählen Sie eine oder mehrere Optionen aus, z. B. Blockiert und Blockieren überschrieben, und wählen Sie dann die Schaltfläche Aktualisieren in derselben Zeile wie die Optionen zum Anwenden dieses Filters aus. (Aktualisieren Sie Ihr Browserfenster nicht.)

    Die URLs und klicken Sie auf

    Der Bericht wird aktualisiert, um zwei verschiedene URL-Tabellen auf der Registerkarte URL unter dem Bericht anzuzeigen:

    • Die wichtigsten URLs sind die URLs in den Nachrichten, nach denen Sie gefiltert haben, und die Anzahl der E-Mail-Übermittlungsaktionen für jede URL. In der Ansicht Phish-E-Mail enthält diese Liste in der Regel legitime URLs. Angreifer schließen eine Mischung aus guten und schlechten URLs in ihre Nachrichten ein, um sie zu übermitteln, aber sie machen die schädlichen Links interessanter. Die Tabelle der URLs ist nach der Gesamtzahl der E-Mails sortiert, diese Spalte ist jedoch ausgeblendet, um die Ansicht zu vereinfachen.

    • Die ersten Klicks sind die umschlossenen URLs für sichere Links, auf die geklickt wurde, sortiert nach Der Gesamtzahl der Klicks. Diese Spalte wird ebenfalls nicht angezeigt, um die Ansicht zu vereinfachen. Die Gesamtanzahl nach Spalte gibt die Anzahl der Klickbewertungen für sichere Links für jede angeklickte URL an. In der Ansicht "Phishing-E-Mail" handelt es sich in der Regel um verdächtige oder böswillige URLs. Die Ansicht kann jedoch URLs enthalten, die keine Bedrohungen sind, aber in Phish-Nachrichten enthalten sind. URL-Klicks auf unwrappte Links werden hier nicht angezeigt.

    Die beiden URL-Tabellen zeigen die wichtigsten URLs in Phishing-E-Mail-Nachrichten nach Übermittlungsaktion und Standort an. Die Tabellen zeigen URL-Klicks an, die trotz einer Warnung blockiert oder besucht wurden, sodass Sie sehen können, welche potenziellen fehlerhaften Links benutzern angezeigt wurden und auf die der Benutzer geklickt hat. Von hier aus können Sie weitere Analysen durchführen. Unter dem Diagramm sehen Sie beispielsweise die wichtigsten URLs in E-Mail-Nachrichten, die in der Umgebung Ihres organization blockiert wurden.

    Die Explorer-URLs, die blockiert wurden

    Wählen Sie eine URL aus, um ausführlichere Informationen anzuzeigen.

    Hinweis

    Im Dialogfeld URL-Flyout wird die Filterung nach E-Mail-Nachrichten entfernt, um die vollständige Ansicht der Gefährdung der URL in Ihrer Umgebung anzuzeigen. Auf diese Weise können Sie in Explorer nach E-Mail-Nachrichten filtern, über die Sie besorgt sind, bestimmte URLs finden, die potenzielle Bedrohungen darstellen, und dann Ihr Verständnis der URL-Offenlegung in Ihrer Umgebung (über das Dialogfeld URL-Details) erweitern, ohne der Explorer Ansicht selbst URL-Filter hinzufügen zu müssen.

Interpretation von Klickbewertungen

Innerhalb der Email- oder URL-Flyouts, top clicks sowie in unseren Filterfunktionen werden unterschiedliche Werte für die Klickbewertung angezeigt:

  • Nichts: Das Urteil für die URL kann nicht erfasst werden. Der Benutzer hat möglicherweise durch die URL geklickt.
  • Erlaubt: Der Benutzer durfte zur URL navigieren.
  • Blockiert: Der Benutzer konnte nicht zur URL navigieren.
  • Ausstehendes Urteil: Dem Benutzer wurde die Seite "Detonation ausstehend" angezeigt.
  • Blockiert überschrieben: Der Benutzer konnte nicht direkt zur URL navigieren. Der Benutzer überschreibt jedoch den Block, um zur URL zu navigieren.
  • Ausstehendes Urteil umgangen: Dem Benutzer wurde die Detonationsseite angezeigt. Der Benutzer übergibt jedoch die Nachricht, um auf die URL zuzugreifen.
  • Fehler: Dem Benutzer wurde die Fehlerseite angezeigt, oder beim Erfassen des Urteils ist ein Fehler aufgetreten.
  • Fehler: Beim Erfassen des Urteils ist eine unbekannte Ausnahme aufgetreten. Der Benutzer hat möglicherweise durch die URL geklickt.

Überprüfen von E-Mail-Nachrichten, die von Benutzern gemeldet wurden

Angenommen, Sie möchten E-Mail-Nachrichten anzeigen, die Benutzer in Ihrem organization über die Add-Ins Microsoft Report Message oder Report Phishing als Junk, Not Junk oder Phishing gemeldet haben, verwenden Sie die Ansicht Alle E-Mails von Explorer (oder Echtzeiterkennungen).

  1. Wählen Sie im Microsoft 365 Defender-Portal (https://security.microsoft.com) Bedrohungsverwaltung>Explorer (oder Echtzeiterkennungen) aus. (In diesem Beispiel wird Explorer verwendet.)

  2. Wählen Sie im Menü Ansicht die Option Email>Abonnenten aus.

    Menü

  3. Klicken Sie auf Absender, und wählen Sie dannStandardberichtstyp> aus.

  4. Wählen Sie eine Option aus, z . B. Phish, und wählen Sie dann die Schaltfläche Aktualisieren aus.

    Der vom Benutzer gemeldete Phish

Der Bericht wird aktualisiert, um Daten zu E-Mail-Nachrichten anzuzeigen, die Personen in Ihrem organization als Phishingversuch gemeldet wurden. Sie können diese Informationen verwenden, um weitere Analysen durchzuführen und ggf. Ihre Anti-Phishing-Richtlinien in Microsoft Defender for Office 365 anzupassen.

Starten einer automatisierten Untersuchung und Reaktion

Hinweis

Automatisierte Untersuchungs- und Reaktionsfunktionen sind in Microsoft Defender for Office 365 Plan 2 und Office 365 E5 verfügbar.

Eine automatisierte Untersuchung und Reaktion kann Ihrem Sicherheitsteam Zeit und Aufwand für die Untersuchung und Abwehr von Cyberangriffen sparen. Zusätzlich zum Konfigurieren von Warnungen, die ein Sicherheitsplaybook auslösen können, können Sie einen automatisierten Untersuchungs- und Antwortprozess über eine Ansicht in Explorer starten. Weitere Informationen finden Sie unter Beispiel: Ein Sicherheitsadministrator löst eine Untersuchung von Explorer aus.

Weitere Möglichkeiten zum Verwenden von Explorer und Echtzeiterkennungen

Zusätzlich zu den in diesem Artikel beschriebenen Szenarien stehen Ihnen mit Explorer (oder Echtzeiterkennungen) viele weitere Berichtsoptionen zur Verfügung. Lesen Sie die folgenden Artikel:

Erforderliche Lizenzen und Berechtigungen

Sie müssen über Microsoft Defender for Office 365 verfügen, um Explorer- oder Echtzeiterkennungen verwenden zu können.

  • Explorer ist in Defender for Office 365 Plan 2 enthalten.
  • Der Bericht "Echtzeiterkennungen" ist in Defender for Office 365 Plan 1 enthalten.
  • Planen Sie die Zuweisung von Lizenzen für alle Benutzer, die durch Defender for Office 365 geschützt werden sollen. Explorer und Echtzeiterkennungen zeigen Erkennungsdaten für lizenzierte Benutzer an.

Um Explorer- oder Echtzeiterkennungen anzeigen und verwenden zu können, müssen Sie über die entsprechenden Berechtigungen verfügen, z. B. über berechtigungen, die einem Sicherheitsadministrator oder Sicherheitsleseberechtigten erteilt werden.

  • Für das Microsoft 365 Defender-Portal muss Ihnen eine der folgenden Rollen zugewiesen sein:

    • Organisationsverwaltung
    • Sicherheitsadministrator (kann im Azure Active Directory Admin Center zugewiesen werden (https://aad.portal.azure.com)
    • Sicherheitsleseberechtigter

  • Für Exchange Online muss Ihnen eine der folgenden Rollen entweder im Exchange Admin Center (EAC) oder Exchange Online PowerShell zugewiesen sein:

    • Organisationsverwaltung
    • Organisationsverwaltung – nur Leserechte
    • Schreibgeschützte Empfänger
    • Complianceverwaltung

Weitere Informationen zu Rollen und Berechtigungen finden Sie in den folgenden Ressourcen:

Unterschiede zwischen Bedrohungserkennungen Explorer und Echtzeiterkennungen

  • Der Bericht "Echtzeiterkennungen" ist in Defender for Office 365 Plan 1 verfügbar. Threat Explorer ist in Defender for Office 365 Plan 2 verfügbar.
  • Mit dem Bericht "Echtzeiterkennungen" können Sie Erkennungen in Echtzeit anzeigen. Threat Explorer tut dies ebenfalls, enthält aber auch zusätzliche Details zu einem bestimmten Angriff.
  • Die Ansicht Alle E-Mails ist in threat Explorer aber nicht im Bericht "Echtzeiterkennungen" verfügbar.
  • Weitere Filterfunktionen und verfügbare Aktionen sind in Threat Explorer enthalten. Weitere Informationen finden Sie unter Microsoft Defender for Office 365-Dienstbeschreibung: Featureverfügbarkeit in Defender for Office 365-Plänen.

Untersuchen von E-Mails mit der Email-Entitätsseite