Nachverfolgen und Reagieren auf neue Bedrohungen mit Kampagnen in Microsoft Defender for Office 365
Kampagnen können verwendet werden, um neue Bedrohungen nachzuverfolgen und darauf zu reagieren, da Sie mit Kampagnen einen koordinierten E-Mail-Angriff auf Ihre organization untersuchen können. Wenn neue Bedrohungen auf Ihre organization abzielen, erkennen und korrelieren Microsoft Defender for Office 365 automatisch schädliche Nachrichten.
Was Sie benötigen
- Microsoft Defender for Office 365 Plan 2 (in E5-Plänen enthalten).
- Ausreichende Berechtigungen (Rolle "Sicherheitsleseberechtigter").
- Fünf bis zehn Minuten, um diese Schritte auszuführen.
Was ist eine Kampagne in Microsoft Defender for Office 365
Eine Kampagne ist ein koordinierter E-Mail-Angriff gegen eine oder mehrere Organisationen. Email Angriffe, die Anmeldeinformationen und Unternehmensdaten stehlen, sind eine große und lukrative Branche. Wenn technologien zum Stoppen von Angriffen zunehmen und sich vermehren, ändern Angreifer ihre Methoden, um ihren Erfolg fortzusetzen.
Microsoft nutzt große Mengen an Anti-Phishing-, Antispam- und Anti-Malware-Daten im gesamten Dienst, um Kampagnen zu identifizieren. Wir analysieren und klassifizieren die Angriffsinformationen nach verschiedenen Faktoren, z. B.:
- Angriffsquelle: Die Quell-IP-Adressen und Absender-E-Mail-Domänen.
- Nachrichteneigenschaften: Inhalt, Stil und Ton der Nachrichten.
- Nachrichtenempfänger: Gibt an, wie Empfänger miteinander in Beziehung stehen, z. B. Empfängerdomänen, Auftragsfunktionen von Empfängern (z. B. Administratoren und Führungskräfte), Unternehmenstypen (z. B. groß, klein, öffentlich und privat) und Branchen.
- Angriffsnutzlast: Schädliche Links, Anlagen oder andere Nutzlasten in den Nachrichten.
Eine Kampagne kann kurzlebig sein oder mehrere Tage, Wochen oder Monate mit aktiven und inaktiven Zeiträumen umfassen. Eine Kampagne kann gegen Ihre spezifische organization gestartet werden, oder Ihre organization kann Teil einer größeren Kampagne in mehreren Unternehmen sein.
Tipp
Weitere Informationen zu den in einer Kampagne verfügbaren Daten finden Sie unter Kampagnenansichten in Microsoft Defender for Office 365.
Sehen Sie sich das Video zum Anzeigen der Kampagne an.
Untersuchen einer verdächtigen E-Mail-Kampagne mithilfe von Bedrohungsberichten
Für den Fall, dass eine Kampagne auf Ihre organization ausgerichtet ist und Sie mehr über die Auswirkungen erfahren möchten:
- Navigieren Sie zur Kampagnenseite.
- Wählen Sie den Kampagnennamen aus, den Sie untersuchen möchten.
- Wählen Sie beim Öffnen des Flyouts Bedrohungsbericht herunterladen aus.
- Öffnen Sie den Bedrohungsbericht, um weitere Informationen zur Kampagne bereitzustellen. Zu den Informationen im Bericht gehören:
- Zusammenfassung: Allgemeine Zusammenfassung des Kampagnentyps und der Anzahl der Benutzer, die in Ihrem organization.
- Analyse: Zeitachsendiagramm des Startzeitpunkts der Kampagne, der Anzahl der Nachrichten für Ihre organization sowie des Ziels und der Bewertungen der Nachrichten.
- Angriffsursprung: Die häufigsten sendenden IP-Adressen und Domänen mit einer Anzahl von Nachrichten, die an Posteingänge in Ihrem organization übermittelt wurden. Auf diese Weise können Sie untersuchen, wer auf Ihre organization ausgerichtet ist.
- Email Vorlage und Nutzlast: Die Betreffzeile der E-Mails, die Teil der Kampagne waren, und urLs (und deren Häufigkeit) als Teil der Kampagne.
- Empfehlungen: Empfehlungen für die nächsten Schritte zum Korrigieren von Nachrichten.
Untersuchen von Posteingangsnachrichten, die Teil einer E-Mail-Bedrohungskampagne sind
- Navigieren Sie zur Kampagnenseite.
- Scrollen Sie in der Detailansicht unter dem Diagramm durch die Liste der Kampagnen.
- Wählen Sie den Kampagnennamen aus, den Sie untersuchen möchten. Wenn die Kampagne eine Klickanzahl von mehr als 0 (null) aufweist, bedeutet dies, dass ein Benutzer in Ihrem organization auf eine URL geklickt oder eine Datei aus der E-Mail heruntergeladen hat.
- Das Kampagnen-Flyout zeigt weitere Informationen zur Kampagne an, das Diagramm zeigt eine Zeitleiste der Kampagne vom Start- bis zum Enddatum der Kampagne an, und das horizontale Flussdiagramm zeigt die Phasen der Kampagne von ihrem Ursprung, dem Urteil und dem aktuellen Speicherort der Nachrichten an.
- Wählen Sie unterhalb des Flussdiagramms die Registerkarte URL-Klicks aus , um Informationen zum Klick anzuzeigen. Hier sehen Sie den Benutzer, der auf eine URL geklickt hat, wenn der Benutzer als Prioritätskontobenutzer gekennzeichnet ist, die URL selbst und die Uhrzeit des Klickens.
- Wenn Sie mehr über die posteingangs- und geklickten Nachrichten erfahren möchten, wählen Sie Nachrichten> durchsuchenPosteingangsnachrichten aus. Eine neue Registerkarte wird geöffnet und navigiert zu Bedrohung Explorer.
- In der Detailansicht von Explorer können Sie auf Neueste Zustellung verweisen, um festzustellen, ob sich eine Nachricht noch im Posteingang befindet oder vom System ZAP in Quarantäne verschoben wurde. Um weitere Details zu der jeweiligen Nachricht zu erhalten, wählen Sie die Nachricht aus. Das Flyout stellt zusätzliche Informationen bereit. Wenn Sie oben links im Flyout die Seite E-Mail-Entität öffnen auswählen, wird eine neue Registerkarte geöffnet, auf der Sie weitere Informationen zur Nachricht erhalten.
- Wenn Sie eine Aktion ausführen und die Nachrichten aus dem Posteingang verschieben möchten, können Sie die Nachricht auswählen und dann Aktion> ausführenIn Junk-Ordner verschieben auswählen. Dadurch wird sichergestellt, dass Ihr Benutzer nicht weiterhin mit der schädlichen Nachricht interagiert, die zu einer potenziellen Sicherheitsverletzung führen könnte.
Nächste Schritte
Weitere Informationen finden Sie unter Kampagnenansichten in Microsoft Defender for Office 365.