Freigeben über

Automatisierte Korrektur in automatisierter Untersuchung und Reaktion (AIR)

Standardmäßig erfordern Korrekturaktionen, die durch automatisierte Untersuchung und Reaktion (AIR) in Microsoft Defender for Office 365 Plan 2 identifiziert werden, die Genehmigung durch Sicherheitsbetriebsteams (SecOps). Weitere Informationen zu AIR finden Sie unter Automatisierte Untersuchung und Reaktion (AIR) in Microsoft Defender for Office 365 Plan 2.

Jetzt können Administratoren auch bestimmte Aktionen festlegen, die automatisch behoben werden sollen. Das automatische Korrigieren von Nachrichten, die in AIR-Untersuchungen als bösartig identifiziert wurden, hat die folgenden Vorteile:

  • Erhöht den Kundenschutz, indem die Behebung weiterer Bedrohungen beschleunigt wird.
  • Spart Zeit für SecOps-Teams, indem der Genehmigungsbedarf reduziert wird.

Im weiteren Verlauf dieses Artikels wird beschrieben, wie Sie die automatisierte Wartung in AIR konfigurieren und Nachrichten identifizieren, die automatisch behoben wurden.

Konfigurieren der automatisierten Wartung

AIR erstellt einen Cluster um eine erkannte schädliche Datei oder URL, und dann überprüft die automatisierte Untersuchung den Speicherort von Nachrichten innerhalb des Clusters. Wenn sich die Nachrichten in Postfächern befinden, erzeugt AIR eine Korrekturaktion.

Nachdem Sie die Clustertypen ausgewählt haben, die automatisch wiederhergestellt werden sollen, erfolgt die ausgewählte Wartungsaktion, ohne dass eine SecOps-Genehmigung erforderlich ist.

Tipp

Von AIR erstellte Cluster, die nicht automatisch bereinigt werden, werden weiterhin wie heute als Ausstehende Aktion angezeigt.

Cluster, die größer als 10.000 Nachrichten sind, werden nicht automatisch korrigiert und als Ausstehende Aktion zur Überprüfung angezeigt.

Führen Sie die folgenden Schritte aus, um die Clustertypen auszuwählen, die automatisch wiederhergestellt werden sollen:

Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Einstellungen>Email & Zusammenarbeit>MDO Automatisierungseinstellungen.

Die folgenden Einstellungen sind auf der Seite Automatisierungseinstellungen verfügbar:

  • Abschnitt "Nachrichtencluster" : Gibt die Typen von Nachrichtenclustern an, die automatisch wiederhergestellt werden. Wählen Sie eine oder mehrere der folgenden Optionen aus:

  • Ähnliche Dateien: Wenn die automatisierte Untersuchung eine schädliche Datei erkennt, wird ein Cluster um die schädliche Datei erstellt. Der Cluster gruppiert alle Nachrichten, die die Datei enthalten, im Cluster. Wenn Sie diese Einstellung auswählen, wird die organization zur automatisierten Korrektur für diese schädlichen Dateicluster aktiviert.

  • Ähnliche URLs: Wenn die automatisierte Untersuchung eine schädliche URL erkennt, wird ein Cluster um die schädliche URL erstellt. Der Cluster gruppiert alle Nachrichten, die die URL enthalten, in den Cluster. Wenn Sie diese Einstellung auswählen, wird die organization zur automatisierten Wartung für diese schädlichen URL-Cluster aktiviert.

    Tipp

    Befolgen Sie die Roadmap, um auf dem Laufenden zu bleiben, wenn weitere Nachrichtencluster für automatisierte Korrekturen verfügbar sind.

  • Abschnitt "Wartungsaktion": Gibt die Aktion an, die für Nachrichtenclustertypen ausgeführt werden soll, die im Abschnitt Nachrichtencluster angegeben sind.

    Derzeit ist vorläufiges Löschen die einzige verfügbare Aktion. Weitere Informationen zu vorläufig gelöschten Nachrichten finden Sie unter Ordner "Wiederherstellbare Elemente" in Exchange Online.

    Wichtig

    Die Möglichkeit, vorläufig gelöschte Nachrichten wiederherzustellen, hängt von der Aufbewahrungsrichtlinie für vorläufig gelöschte Nachrichten in jedem Postfach ab. Überprüfen Sie Ihre gesetzlichen Verpflichtungen für die Aufbewahrung von E-Mails, einschließlich nachrichten, die als böswillig gekennzeichnet sind. Weitere Informationen zur Aufbewahrung vorläufig gelöschter Nachrichten finden Sie unter Ändern der Aufbewahrungsdauer dauerhaft gelöschter Elemente für ein Exchange Online Postfach in Exchange Online.

Wenn Sie auf der Seite Automation-Einstellungen fertig sind, wählen Sie Speichern aus.

Screenshot der automatisierten Korrektur der Konfiguration bösartiger Entitätscluster im Defender-Portal unter Einstellungen \> Email & Zusammenarbeit \> MDO Automatisierungseinstellungen.

Überprüfen automatisch korrigierter Nachrichten

Der folgende Unterabschnitt zeigt, wie Sie das Defender-Portal verwenden, um automatisierte Wartungsaktionen zu überprüfen.

Automatisierte Wartungsergebnisse im Info-Center

Im Info-Center unter https://security.microsoft.com/action-center/werden automatisch korrigierte Cluster auf der Registerkarte Verlauf angezeigt. Verwenden Sie den Filter Entschieden von mit dem Wert Automation , um Automatisch korrigierte Cluster zurückzugeben.

Weitere Informationen zum Info-Center finden Sie im Info-Center.

Screenshot der Registerkarte

Automatisierte Korrekturergebnisse in Untersuchungen

Innerhalb einer Untersuchung in AIR werden automatisch korrigierte Cluster auf der Registerkarte Ausstehender Aktionsverlauf der Untersuchung mit dem Wert Automatisierungbehandelt angezeigt.

Weitere Informationen zu AIR-Untersuchungsergebnissen finden Sie unter Details und Ergebnisse der automatisierten Untersuchung und Reaktion (AIR) in Microsoft Defender for Office 365 Plan 2.

Screenshot der Registerkarte

Automatisierte Korrektur führt zu Bedrohungen Explorer

In Threat Explorer (Explorer) weisen automatisch korrigierte Nachrichten den Wert Zusätzliche AktionAutomatisierte Wartung:automatisiert auf.

Weitere Informationen zu Threat Explorer finden Sie unter Informationen zu bedrohungsbasierten Explorer und Echtzeiterkennungen in Microsoft Defender for Office 365.

Screenshot: Bedrohungs-Explorer mit Nachrichten, die durch automatisierte Korrekturen aus dem Postfach gelöscht wurden (gefiltert nach dem Wert

Automatisierte Korrekturergebnisse in der erweiterten Suche

Bei der erweiterten Suche werden automatisch korrigierte Nachrichten in der EmailPostDeliveryEvents Tabelle mit den beiden folgenden Eigenschaftswerten angezeigt:

  • ActionType entspricht automatisierter Wartung
  • ActionTrigger entspricht Automation.

Weitere Informationen zur erweiterten Suche finden Sie unter Proaktives Suchen nach Bedrohungen mit erweiterter Suche in Microsoft Defender.

Screenshot der erweiterten Suche nach Nachrichten, die durch automatisierte Wartung aus Postfächern entfernt wurden (EmailPostDeliveryEvents-Tabelle, in der der ActionType-Wert Automatisierte Wartung und actionTrigger automation lautet.)

Wiederherstellen automatisierter Wartungsaktionen für Nachrichten

Hinweis

Die Möglichkeit zum Wiederherstellen von Nachrichten hängt davon ab, welche Daten in Defender noch verfügbar sind, und von den Postfachaufbewahrungseinstellungen für vorläufig gelöschte Nachrichten. Weitere Informationen finden Sie in den folgenden Artikeln:

Die folgenden Methoden stehen zum rückgängig machen automatisierter Wartungsaktionen und zum Wiederherstellen von Nachrichten in Postfächern zur Verfügung:

  • Ergreifen Sie Maßnahmen für die Nachricht in Threat Explorer oder Advanced Hunting. Informationen zum Assistenten zum Ausführen von Aktionen finden Sie unter Der Assistent zum Ausführen von Aktionen.

  • Die Aktionen "In Posteingang verschieben" oder >"In Junk-Junk verschieben" in den Details der Clustereigenschaft auf der Registerkarte "Verlauf " des Info-Centers, wie im folgenden Screenshot gezeigt:

    Screenshot des Details-Flyouts eines automatisch korrigierten E-Mail-Clusters mit der verfügbaren Aktion

Siehe auch