Email Sicherheit mit bedrohungsbasierten Explorer und Echtzeiterkennungen in Microsoft Defender for Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Microsoft 365-Organisationen, die Microsoft Defender for Office 365 in ihrem Abonnement enthalten oder als Add-On erworben haben, verfügen über Explorer (auch als Bedrohungs-Explorer bezeichnet) oder Echtzeiterkennungen. Diese Features sind leistungsstarke Tools nahezu in Echtzeit, die Security Operations-Teams (SecOps) dabei unterstützen, Bedrohungen zu untersuchen und darauf zu reagieren. Weitere Informationen finden Sie unter Informationen zu bedrohungsbasierten Explorer und Echtzeiterkennungen in Microsoft Defender for Office 365.

In diesem Artikel wird erläutert, wie Sie erkannte Schadsoftware und Phishingversuche in E-Mails mithilfe von Threat Explorer oder Echtzeiterkennungen anzeigen und untersuchen.

Tipp

Informationen zu anderen E-Mail-Szenarien mit Bedrohungserkennungen Explorer und Echtzeiterkennungen finden Sie in den folgenden Artikeln:

Was sollten Sie wissen, bevor Sie beginnen?

Anzeigen von Phishing-E-Mails, die an imitierte Benutzer und Domänen gesendet werden

Weitere Informationen zum Schutz vor Benutzer- und Domänenidentitätswechseln in Antiphishingrichtlinien in Defender for Office 365 finden Sie unter Identitätswechseleinstellungen in Antiphishingrichtlinien in Microsoft Defender for Office 365.

In den standardmäßigen oder benutzerdefinierten Antiphishingrichtlinien müssen Sie die Benutzer und Domänen angeben, die vor Identitätswechseln geschützt werden sollen, einschließlich der Domänen, die Sie besitzen (akzeptierte Domänen). In den voreingestellten Sicherheitsrichtlinien Standard oder Strict erhalten Domänen, die Sie besitzen, automatisch Identitätswechselschutz, aber Sie müssen alle Benutzer oder benutzerdefinierten Domänen für den Schutz vor Identitätswechsel angeben. Anweisungen finden Sie in den folgenden Artikeln:

Führen Sie die folgenden Schritte aus, um Phishingnachrichten zu überprüfen und nach Benutzern oder Domänen imItiert zu suchen.

  1. Führen Sie einen der folgenden Schritte aus, um Bedrohungserkennungen Explorer oder Echtzeiterkennungen zu öffnen:

  2. Wählen Sie auf der Seite Explorer- oder Echtzeiterkennungen die Ansicht Phish aus. Weitere Informationen zur Phish-Ansicht finden Sie unter Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen.

  3. Wählen Sie den Datums-/Uhrzeitbereich aus. Der Standardwert ist gestern und heute.

  4. Führen Sie einen der folgenden Schritte aus:

    • Suchen Sie alle Benutzer- oder Domänenidentitätswechselversuche:

      • Wählen Sie das Feld Absenderadresse (Eigenschaft) und dann Erkennungstechnologie im Abschnitt Basic der Dropdownliste aus.
      • Vergewissern Sie sich , dass "Gleich" als Filteroperator ausgewählt ist.
      • Wählen Sie im Feld Eigenschaftenwert die Option Identitätswechseldomäne und Identitätswechselbenutzer aus.

    • Suchen sie nach bestimmten Identitätswechselversuchen:

      • Wählen Sie das Feld Absenderadresse (Eigenschaft) aus, und wählen Sie dann im Abschnitt Basic der Dropdownliste die Option Identitätswechsel aus.
      • Vergewissern Sie sich , dass "Gleich" als Filteroperator ausgewählt ist.
      • Geben Sie im Feld Eigenschaftenwert die vollständige E-Mail-Adresse des Empfängers ein. Trennen Sie mehrere Empfängerwerte durch Kommas.

    • Suchen sie nach bestimmten Identitätswechsel-Domänenversuchen:

      • Wählen Sie das Feld Absenderadresse (Eigenschaft) aus, und wählen Sie dann im Abschnitt Basic der Dropdownliste die Option Identitätswechseldomäne aus.
      • Vergewissern Sie sich , dass "Gleich" als Filteroperator ausgewählt ist.
      • Geben Sie im Feld Eigenschaftswert die Domäne ein (z. B. contoso.com). Trennen Sie mehrere Domänenwerte durch Kommas.

  5. Geben Sie weitere Bedingungen mithilfe anderer filterbarer Eigenschaften nach Bedarf ein. Anweisungen finden Sie unter Eigenschaftenfilter in Bedrohungs- Explorer und Echtzeiterkennungen.

  6. Wenn Sie mit dem Erstellen der Filterbedingungen fertig sind, wählen Sie Aktualisieren aus.

  7. Vergewissern Sie sich, dass im Detailbereich unterhalb des Diagramms die Registerkarte Email (Ansicht) ausgewählt ist.

    Sie können die Einträge sortieren und weitere Spalten anzeigen, wie in Email Ansicht für den Detailbereich der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen beschrieben.

Url-Klickdaten exportieren

Sie können URL-Klickdaten in eine CSV-Datei exportieren, um die Werte netzwerknachrichten-ID und Click-Bewertung anzuzeigen, die ihnen helfen, zu erklären, woher ihr URL-Klickdatenverkehr stammt.

  1. Führen Sie einen der folgenden Schritte aus, um Bedrohungserkennungen Explorer oder Echtzeiterkennungen zu öffnen:

  2. Wählen Sie auf der Seite Explorer- oder Echtzeiterkennungen die Ansicht Phish aus. Weitere Informationen zur Phish-Ansicht finden Sie unter Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen.

  3. Wählen Sie den Datums-/Uhrzeitbereich und dann Aktualisieren aus. Der Standardwert ist gestern und heute.

  4. Wählen Sie im Detailbereich die Registerkarte Top URLs oder Top clicks (Ansicht) aus.

  5. Wählen Sie in der Ansicht Top URLs oder Top Clicks mindestens einen Eintrag aus der Tabelle aus, indem Sie das Kontrollkästchen neben der ersten Spalte aktivieren und dann Exportieren auswählen. > Explorer Phish>Clicks>Top URLs oder URL Top Clicks> wählen Sie einen beliebigen Datensatz aus, um das URL-Flyout zu öffnen.

Sie können den Wert netzwerknachrichten-ID verwenden, um in Explorer Bedrohungserkennungen oder Echtzeiterkennungen oder externen Tools nach bestimmten Nachrichten zu suchen. Diese Suchvorgänge identifizieren die E-Mail-Nachricht, die einem Klickergebnis zugeordnet ist. Die korrelierte Netzwerknachrichten-ID ermöglicht eine schnellere und leistungsfähigere Analyse.

Anzeigen von schadsoftware, die in E-Mails erkannt wurde

Führen Sie die folgenden Schritte unter Bedrohungs- Explorer- oder Echtzeiterkennungen aus, um die von Microsoft 365 in E-Mails erkannte Schadsoftware zu sehen.

  1. Führen Sie einen der folgenden Schritte aus, um Bedrohungserkennungen Explorer oder Echtzeiterkennungen zu öffnen:

  2. Wählen Sie auf der Seite Explorer- oder Echtzeiterkennungen die Ansicht Schadsoftware aus. Weitere Informationen zur Phish-Ansicht finden Sie unter Schadsoftwareansicht in Bedrohungs- Explorer und Echtzeiterkennungen.

  3. Wählen Sie den Datums-/Uhrzeitbereich aus. Der Standardwert ist gestern und heute.

  4. Wählen Sie das Feld Absenderadresse (Eigenschaft) und dann Erkennungstechnologie im Abschnitt Basic der Dropdownliste aus.

    • Vergewissern Sie sich , dass "Gleich" als Filteroperator ausgewählt ist.
    • Wählen Sie im Feld Eigenschaftenwert einen oder mehrere der folgenden Werte aus:
      • Schutz vor Schadsoftware
      • Dateidetonation
      • Reputation der Dateidetonation
      • Datei-Reputation
      • Fingerabdruckübereinstimmung

  5. Geben Sie weitere Bedingungen mithilfe anderer filterbarer Eigenschaften nach Bedarf ein. Anweisungen finden Sie unter Eigenschaftenfilter in Bedrohungs- Explorer und Echtzeiterkennungen.

  6. Wenn Sie mit dem Erstellen der Filterbedingungen fertig sind, wählen Sie Aktualisieren aus.

Der Bericht zeigt die Ergebnisse an, die Schadsoftware in E-Mails mithilfe der von Ihnen ausgewählten Technologieoptionen erkannt hat. Von hier aus können Sie weitere Analysen durchführen.

Melden von Nachrichten als sauber

Sie können die Seite Übermittlungen im Defender-Portal unter https://security.microsoft.com/reportsubmission verwenden, um Nachrichten als sauber (falsch positive Ergebnisse) an Microsoft zu melden. Sie können nachrichten aber auch als sauber von Explorer- oder Echtzeiterkennungen an Microsoft senden.

Anweisungen finden Sie unter Bedrohungssuche: Email Wartung.

Zusammenfassend:

  • Wählen Sie Aktion mit einer der folgenden Methoden ausführen aus:

    • Wählen Sie eine oder mehrere Nachrichten aus der Detailtabelle auf der Registerkarte Email (Ansicht) in den Ansichten Alle E-Mails, Schadsoftware oder Phish aus, indem Sie die Kontrollkästchen für die Einträge aktivieren.

    Oder

    • Klicken Sie im Details-Flyout, nachdem Sie eine Nachricht aus der Detailtabelle auf der Registerkarte Email (Ansicht) in den Ansichten Alle E-Mails, Schadsoftware oder Phish ausgewählt haben, indem Sie auf den Wert Betreff klicken.

  • Wählen Sie im Assistenten Aktion ausführen die Option An Microsoft zur Überprüfung> übermittelnIch habe bestätigt, dass es sauber ist.

Anzeigen der Phishing-URL und Klicken auf Bewertungsdaten

Der Schutz für sichere Links verfolgt URLs nach, die zulässig, blockiert und überschrieben wurden. Der Schutz für sichere Links ist dank des integrierten Schutzes in voreingestellten Sicherheitsrichtlinien standardmäßig aktiviert. Der Schutz für sichere Links ist in den voreingestellten Sicherheitsrichtlinien "Standard" und "Strict" aktiviert. Sie können den Schutz für sichere Links auch in benutzerdefinierten Richtlinien für sichere Links erstellen und konfigurieren. Weitere Informationen zu den Richtlinieneinstellungen für sichere Links finden Sie unter Richtlinieneinstellungen für sichere Links.

Führen Sie die folgenden Schritte aus, um Phishingversuche mithilfe von URLs in E-Mail-Nachrichten anzuzeigen.

  1. Führen Sie einen der folgenden Schritte aus, um Bedrohungserkennungen Explorer oder Echtzeiterkennungen zu öffnen:

  2. Wählen Sie auf der Seite Explorer- oder Echtzeiterkennungen die Ansicht Phish aus. Weitere Informationen zur Phish-Ansicht finden Sie unter Phish-Ansicht in Bedrohungserkennungen Explorer und Echtzeiterkennungen.

  3. Wählen Sie den Datums-/Uhrzeitbereich aus. Der Standardwert ist gestern und heute.

  4. Wählen Sie das Feld Absenderadresse (Eigenschaft) und dann klicken Sie im Abschnitt URLs der Dropdownliste auf Bewertung klicken.

    • Vergewissern Sie sich , dass "Gleich" als Filteroperator ausgewählt ist.
    • Wählen Sie im Feld Eigenschaftenwert einen oder mehrere der folgenden Werte aus:
      • Gesperrt
      • Blockiert überschrieben

    Erläuterungen zu den Click-Bewertungswerten finden Sie unter Click verdict in Filterable properties in the All email view in Threat Explorer.

  5. Geben Sie weitere Bedingungen mithilfe anderer filterbarer Eigenschaften nach Bedarf ein. Anweisungen finden Sie unter Eigenschaftenfilter in Bedrohungs- Explorer und Echtzeiterkennungen.

  6. Wenn Sie mit dem Erstellen der Filterbedingungen fertig sind, wählen Sie Aktualisieren aus.

Auf der Registerkarte "Top URLs " (Ansicht) im Detailbereich unterhalb des Diagramms werden die Anzahl der blockierten Nachrichten, Junk-Nachrichten und übermittelte Nachrichten für die fünf wichtigsten URLs angezeigt. Weitere Informationen finden Sie unter Top URLs-Ansicht für den Detailbereich der Phish-Ansicht unter Bedrohungserkennungen Explorer und Echtzeiterkennungen.For more information, see Top URLs view for the Details area of the Phish view in Threat Explorer and Real-time detections.

Auf der Registerkarte "Top clicks" (Ansicht) im Detailbereich unterhalb des Diagramms werden die fünf geklickten Links angezeigt, die von sicheren Links umschlossen wurden. URL-Klicks auf unwrappte Links werden hier nicht angezeigt. Weitere Informationen finden Sie unter Ansicht mit den ersten Klicks für den Detailbereich der Ansicht "Phishing" unter Bedrohungserkennungen Explorer und Echtzeiterkennungen.

Diese URL-Tabellen zeigen URLs an, die trotz einer Warnung blockiert oder besucht wurden. Diese Informationen zeigen die potenziellen fehlerhaften Links an, die Benutzern angezeigt wurden. Von hier aus können Sie weitere Analysen durchführen.

Wählen Sie eine URL aus einem Eintrag in der Ansicht aus, um Details zu erhalten. Weitere Informationen finden Sie unter URL-Details für die Registerkarten "Top URLs" und "Top clicks" in der Phish-Ansicht.

Tipp

Im Url-Details-Flyout wird die Filterung nach E-Mail-Nachrichten entfernt, um die vollständige Ansicht der Gefährdung der URL in Ihrer Umgebung anzuzeigen. Mit diesem Verhalten können Sie nach bestimmten E-Mail-Nachrichten filtern, bestimmte URLs finden, die potenzielle Bedrohungen darstellen, und dann Ihr Verständnis der URL-Offenlegung in Ihrer Umgebung erweitern, ohne URL-Filter in der Phish-Ansicht hinzufügen zu müssen.

Interpretation von Klickbewertungen

Die Ergebnisse der Click-Bewertungseigenschaft sind an den folgenden Stellen sichtbar:

Die Bewertungswerte werden in der folgenden Liste beschrieben:

  • Zulässig: Der Benutzer durfte die URL öffnen.
  • Blockieren überschrieben: Der Benutzer wurde daran gehindert, die URL direkt zu öffnen, aber er überschreibt den Block, um die URL zu öffnen.
  • Blockiert: Der Benutzer konnte die URL nicht öffnen.
  • Fehler: Dem Benutzer wurde die Fehlerseite angezeigt, oder beim Erfassen des Urteils ist ein Fehler aufgetreten.
  • Fehler: Beim Erfassen des Urteils ist eine unbekannte Ausnahme aufgetreten. Möglicherweise hat der Benutzer die URL geöffnet.
  • Keine: Das Urteil für die URL kann nicht erfasst werden. Möglicherweise hat der Benutzer die URL geöffnet.
  • Ausstehendes Urteil: Dem Benutzer wurde die Ausstehende Seite für die Detonation angezeigt.
  • Ausstehendes Urteil umgangen: Dem Benutzer wurde die Detonationsseite angezeigt, aber er übergibt die Nachricht, um die URL zu öffnen.

Starten der automatisierten Untersuchung und Reaktion in Threat Explorer

Die automatisierte Untersuchung und Reaktion (AIR) in Defender for Office 365 Plan 2 kann Zeit und Aufwand sparen, wenn Sie Cyberangriffe untersuchen und abschwächen. Sie können Warnungen konfigurieren, die ein Sicherheitsplaybook auslösen, und Air in Threat Explorer starten. Weitere Informationen finden Sie unter Beispiel: Ein Sicherheitsadministrator löst eine Untersuchung von Explorer aus.

Untersuchen von E-Mails mit der Entitätsseite "Email"