Freigeben über


Untersuchung von und Antwort auf Bedrohungen

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Die Funktionen zur Untersuchung und Reaktion auf Bedrohungen in Microsoft Defender for Office 365 helfen Sicherheitsanalysten und Administratoren, ihre organization Microsoft 365 business-Benutzer zu schützen, indem sie:

  • Es ist einfach, Cyberangriffe zu erkennen, zu überwachen und zu verstehen.
  • Hilfe bei der schnellen Bewältigung von Bedrohungen in Exchange Online, SharePoint Online, OneDrive for Business und Microsoft Teams.
  • Bereitstellen von Erkenntnissen und Wissen, um Sicherheitsvorgängen zu helfen, Cyberangriffe gegen ihre organization zu verhindern.
  • Automatisierte Untersuchung und Reaktion in Office 365 für kritische E-Mail-basierte Bedrohungen.

Funktionen zur Untersuchung und Reaktion auf Bedrohungen bieten Einblicke in Bedrohungen und zugehörige Reaktionsaktionen, die im Microsoft Defender-Portal verfügbar sind. Diese Erkenntnisse können dem Sicherheitsteam Ihrer organization dabei helfen, Benutzer vor E-Mail- oder dateibasierten Angriffen zu schützen. Die Funktionen helfen beim Überwachen von Signalen und Sammeln von Daten aus mehreren Quellen, z. B. Benutzeraktivität, Authentifizierung, E-Mail, kompromittierte PCs und Sicherheitsvorfälle. Entscheidungsträger und Ihr Sicherheitsteam können diese Informationen verwenden, um Bedrohungen gegen Ihre organization zu verstehen und darauf zu reagieren und Ihr geistiges Eigentum zu schützen.

Machen Sie sich mit Tools zur Untersuchung und Reaktion auf Bedrohungen vertraut

Die Funktionen zur Untersuchung und Reaktion auf Bedrohungen im Microsoft Defender-Portal unter https://security.microsoft.com sind eine Reihe von Tools und Reaktionsworkflows, die Folgendes umfassen:

Explorer

Verwenden Sie Explorer (und Echtzeiterkennungen), um Bedrohungen zu analysieren, das Volumen der Angriffe im Laufe der Zeit anzuzeigen und Daten nach Bedrohungsfamilien, Angreiferinfrastruktur und mehr zu analysieren. Explorer (auch als Threat Explorer bezeichnet) ist der Ausgangspunkt für den Untersuchungsworkflow jedes Sicherheitsanalysten.

Seite

Um diesen Bericht im Microsoft Defender-Portal unter https://security.microsoft.comanzuzeigen und zu verwenden, wechseln Sie zu Email & Zusammenarbeit>Explorer. Oder verwenden Sie , um direkt zur seite Explorer zu wechselnhttps://security.microsoft.com/threatexplorer.

Office 365 Threat Intelligence-Verbindung

Dieses Feature ist nur verfügbar, wenn Sie über ein aktives Office 365 E5- oder G5- oder Microsoft 365 E5- oder G5-Abonnement oder das Threat Intelligence-Add-On verfügen. Weitere Informationen finden Sie auf der Produktseite Office 365 Enterprise E5.

Daten aus Microsoft Defender for Office 365 werden in Microsoft Defender XDR integriert, um eine umfassende Sicherheitsuntersuchung für Office 365 Postfächer und Windows-Geräte durchzuführen.

Vorfälle

Verwenden Sie die Liste Incidents (dies wird auch als Untersuchungen bezeichnet), um eine Liste der In-Flight-Sicherheitsvorfälle anzuzeigen. Incidents werden verwendet, um Bedrohungen wie verdächtige E-Mail-Nachrichten nachzuverfolgen und weitere Untersuchungen und Korrekturen durchzuführen.

Die Liste der aktuellen Bedrohungsvorfälle in Office 365

Um die Liste der aktuellen Vorfälle für Ihre organization im Microsoft Defender-Portal unter https://security.microsoft.comanzuzeigen, wechseln Sie zu Incidents & Warnungen>Incidents. Oder verwenden Sie https://security.microsoft.com/incidents, um direkt zur Seite Incidents zu wechseln.

Angriffssimulationstraining

Verwenden Sie Angriffssimulationstraining, um realistische Cyberangriffe in Ihrem organization einzurichten und auszuführen, und identifizieren Sie anfällige Personen, bevor ein echter Cyberangriff Ihr Unternehmen beeinträchtigt. Weitere Informationen finden Sie unter Simulieren eines Phishingangriffs.

Um dieses Feature im Microsoft Defender-Portal unter https://security.microsoft.comanzuzeigen und zu verwenden, wechseln Sie zu Email & Zusammenarbeit>Angriffssimulationstraining. Oder verwenden Sie , um direkt zur seite Angriffssimulationstraining zu wechselnhttps://security.microsoft.com/attacksimulator?viewid=overview.

Automatische Untersuchung und Reaktion

Verwenden Sie air-Funktionen (Automated Investigation and Response), um Zeit und Aufwand für die Korrelation von Inhalten, Geräten und Personen zu sparen, die durch Bedrohungen in Ihrem organization gefährdet sind. AIR-Prozesse können immer dann gestartet werden, wenn bestimmte Warnungen ausgelöst werden oder wenn sie von Ihrem Sicherheitsteam gestartet werden. Weitere Informationen finden Sie unter Automatisierte Untersuchung und Reaktion in Office 365.

Threat Intelligence-Widgets

Im Rahmen des Microsoft Defender for Office 365 Plan 2-Angebots können Sicherheitsanalysten Details zu einer bekannten Bedrohung überprüfen. Dies ist nützlich, um zu bestimmen, ob zusätzliche vorbeugende Maßnahmen/Schritte ergriffen werden können, um die Sicherheit der Benutzer zu gewährleisten.

Bereich

Wie erhalten wir diese Funktionen?

Microsoft 365-Funktionen zur Untersuchung und Reaktion auf Bedrohungen sind in Microsoft Defender for Office 365 Plan 2 enthalten, der in Enterprise E5 oder als Add-On für bestimmte Abonnements enthalten ist. Weitere Informationen finden Sie unter Defender for Office 365 Spickzettel für Plan 1 im Vergleich zu Plan 2.

Erforderliche Rollen und Berechtigungen

Microsoft Defender for Office 365 verwendet die rollenbasierte Zugriffssteuerung. Berechtigungen werden über bestimmte Rollen in Microsoft Entra ID, im Microsoft 365 Admin Center oder im Microsoft Defender-Portal zugewiesen.

Tipp

Obwohl einige Rollen, z. B. Sicherheitsadministratoren, im Microsoft Defender-Portal zugewiesen werden können, sollten Sie stattdessen entweder die Microsoft 365 Admin Center oder Microsoft Entra ID verwenden. Informationen zu Rollen, Rollengruppen und Berechtigungen finden Sie in den folgenden Ressourcen:

Aktivität Rollen und Berechtigungen
Verwenden des Microsoft Defender Vulnerability Management Dashboard

Anzeigen von Informationen zu aktuellen oder aktuellen Bedrohungen
Eine der folgenden Varianten:
  • Globaler Administrator*
  • Sicherheitsadministrator
  • Sicherheitsleseberechtigter

Diese Rollen können entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen werden.
Verwenden von Explorer (und Echtzeiterkennungen) zum Analysieren von Bedrohungen Eine der folgenden Varianten:
  • Globaler Administrator*
  • Sicherheitsadministrator
  • Sicherheitsleseberechtigter

Diese Rollen können entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen werden.
Anzeigen von Vorfällen (auch als Untersuchungen bezeichnet)

Hinzufügen von E-Mail-Nachrichten zu einem Incident
Eine der folgenden Varianten:
  • Globaler Administrator*
  • Sicherheitsadministrator
  • Sicherheitsleseberechtigter

Diese Rollen können entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen werden.
Auslösen von E-Mail-Aktionen in einem Incident

Suchen und Löschen verdächtiger E-Mail-Nachrichten
Eine der folgenden Varianten:
  • Globaler Administrator*
  • Sicherheitsadministrator plus die Rolle "Suchen und Bereinigen "

Die Rollen Globaler Administrator* und Sicherheitsadministrator können entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen werden.

Die Rolle "Suchen" und "Bereinigen" muss im Microsoft 36 Defender-Portal (https://security.microsoft.com) im Email & Zusammenarbeitsrollen zugewiesen werden.
Integrieren von Microsoft Defender for Office 365 Plan 2 in Microsoft Defender for Endpoint

Integrieren von Microsoft Defender for Office 365 Plan 2 in einen SIEM-Server
Entweder die Rolle "Globaler Administrator*" oder "Sicherheitsadministrator", die entweder in Microsoft Entra ID (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen ist.

--- plus ---

Eine geeignete Rolle, die in zusätzlichen Anwendungen (z. B. Microsoft Defender Security Center oder Ihrem SIEM-Server) zugewiesen ist.

Wichtig

* Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Nächste Schritte