Warnungsrichtlinien in Microsoft 365
Sie können Warnungsrichtlinien und das Warnungsdashboard im Microsoft Purview-Complianceportal- oder Microsoft 365 Defender-Portal verwenden, um Warnungsrichtlinien zu erstellen und dann die Warnungen anzuzeigen, die generiert werden, wenn Benutzer Aktivitäten ausführen, die den Bedingungen einer Warnungsrichtlinie entsprechen. Es gibt mehrere Standardwarnungsrichtlinien, mit denen Sie Aktivitäten wie das Zuweisen von Administratorberechtigungen in Exchange Online, Schadsoftwareangriffe, Phishingkampagnen und ungewöhnliche Ebenen von Dateilöschungen und externer Freigabe überwachen können.
Tipp
Eine Liste und Beschreibung der verfügbaren Warnungsrichtlinien finden Sie im Abschnitt Standardwarnungsrichtlinien in diesem Artikel.
Mit Warnungsrichtlinien können Sie die von einer Richtlinie ausgelösten Warnungen kategorisieren, die Richtlinie auf alle Benutzer in Ihrer Organisation anwenden, einen Schwellenwert für das Auslösen einer Warnung festlegen und entscheiden, ob Sie E-Mail-Benachrichtigungen erhalten möchten, wenn Warnungen ausgelöst werden. Es gibt auch eine Seite Warnungen , auf der Sie Warnungen anzeigen und filtern, einen Warnungsstatus für die Verwaltung von Warnungen festlegen und warnungen dann verwerfen können, nachdem Sie den zugrunde liegenden Incident behoben oder behoben haben.
Hinweis
Warnungsrichtlinien sind für Organisationen mit einem Microsoft 365 Enterprise-, Office 365 Enterprise- oder Office 365 US Government E1/F1/G1, E3/F3/G3 oder E5/G5-Abonnement verfügbar. Erweiterte Funktionen sind nur für Organisationen mit einem E5/G5-Abonnement oder für Organisationen verfügbar, die über ein E1/F1/G1- oder E3/F3/G3-Abonnement und ein Microsoft Defender for Office 365 P2- oder ein Microsoft 365 E5 Compliance- oder E5 eDiscovery- und Audit-Add-On-Abonnement verfügen. Die Funktionalität, die ein E5/G5- oder Add-On-Abonnement erfordert, wird in diesem Thema hervorgehoben. Beachten Sie außerdem, dass Warnungsrichtlinien in Office 365 GCC-, GCC High- und DoD-US-Behördenumgebungen verfügbar sind.
Tipp
Wenn Sie kein E5-Kunde sind, verwenden Sie die 90-tägige Testversion von Microsoft Purview-Lösungen, um zu erfahren, wie zusätzliche Purview-Funktionen Ihrer Organisation helfen können, Anforderungen an Datensicherheit und Compliance zu verwalten. Beginnen Sie jetzt im Microsoft Purview-Complianceportal Testversionshub. Erfahren Sie mehr über die Anmelde- und Testbedingungen.
Funktionsweise von Warnungsrichtlinien
Hier finden Sie einen schnellen Überblick über die Funktionsweise von Warnungsrichtlinien und die Warnungen, die ausgelöst werden, wenn benutzer- oder administratoraktivitäten den Bedingungen einer Warnungsrichtlinie entsprechen.
Ein Administrator in Ihrer Organisation erstellt, konfiguriert und aktiviert eine Warnungsrichtlinie mithilfe der Seite Warnungsrichtlinien im Complianceportal oder im Microsoft 365 Defender-Portal. Sie können Warnungsrichtlinien auch mit dem Cmdlet New-ProtectionAlert in Security & Compliance PowerShell erstellen.
Zum Erstellen von Warnungsrichtlinien muss Ihnen im Complianceportal oder im Defender-Portal die Rolle Warnungen verwalten oder Organisationskonfiguration zugewiesen werden.
Hinweis
Es dauert bis zu 24 Stunden nach dem Erstellen oder Aktualisieren einer Warnungsrichtlinie, bis Warnungen durch die Richtlinie ausgelöst werden können. Dies liegt daran, dass die Richtlinie mit der Warnungserkennungs-Engine synchronisiert werden muss.
Ein Benutzer führt eine Aktivität aus, die den Bedingungen einer Warnungsrichtlinie entspricht. Bei Schadsoftwareangriffen lösen infizierte E-Mail-Nachrichten, die an Benutzer in Ihrer Organisation gesendet werden, eine Warnung aus.
Microsoft 365 generiert eine Warnung, die auf der Seite Warnungen im Complianceportal oder im Defender-Portal angezeigt wird. Wenn E-Mail-Benachrichtigungen für die Warnungsrichtlinie aktiviert sind, sendet Microsoft eine Benachrichtigung an eine Liste von Empfängern. Die Warnungen, die ein Administrator oder andere Benutzer auf der Seite Warnungen sehen können, werden durch die dem Benutzer zugewiesenen Rollen bestimmt. Weitere Informationen finden Sie unter RBAC-Berechtigungen, die zum Anzeigen von Warnungen erforderlich sind.
Ein Administrator verwaltet Warnungen im Microsoft Purview-Complianceportal. Die Verwaltung von Warnungen besteht aus dem Zuweisen eines Warnungsstatus, um jede Untersuchung nachzuverfolgen und zu verwalten.
Warnungsrichtlinieneinstellungen
Eine Warnungsrichtlinie besteht aus einer Reihe von Regeln und Bedingungen, in denen Folgendes definiert wird: die Benutzer- oder Administratoraktivität, für die eine Warnung generiert wird; eine Liste der Benutzer, für die die Warnung ausgelöst wird, wenn sie die Aktivität ausführen; und der Schwellenwert, der festlegt, wie oft die Aktivität erfolgen muss, bevor eine Warnung ausgelöst wird. Außerdem kategorisieren Sie die Richtlinie und weisen ihr einen Schweregrad zu. Diese beiden Einstellungen helfen Ihnen beim Verwalten von Warnungsrichtlinien (und der Warnungen, die ausgelöst werden, wenn die Richtlinienbedingungen übereinstimmen), da Sie nach diesen Einstellungen filtern können, wenn Sie Richtlinien verwalten und Warnungen im Microsoft Purview-Complianceportal anzeigen. Sie können z. B. Warnungen anzeigen, die den Bedingungen derselben Kategorie entsprechen, oder Warnungen mit demselben Schweregrad anzeigen.
So zeigen Sie Warnungsrichtlinien an und erstellen sie:
Microsoft Purview-Complianceportal:
Wechseln Sie zum Complianceportal, und wählen SierichtlinienWarnungswarnungsrichtlinien> aus>.
Microsoft 365 Defender Portal:
Wechseln Sie zum Microsoft 365 Defender-Portal, und wählen Sie unter Email & ZusammenarbeitRichtlinienregeln &>Warnungsrichtlinie aus. Oder wechseln Sie direkt zu https://security.microsoft.com/alertpolicies.
Hinweis
Ihnen muss die Rolle View-Only Warnungen verwalten zugewiesen sein, um Warnungsrichtlinien im Microsoft Purview-Complianceportal oder im Microsoft 365 Defender-Portal anzuzeigen. Ihnen muss die Rolle Warnungen verwalten zugewiesen sein, um Warnungsrichtlinien zu erstellen und zu bearbeiten. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Purview-Complianceportal.
Eine Warnungsrichtlinie besteht aus den folgenden Einstellungen und Bedingungen.
Aktivität, die von der Warnung nachverfolgt wird. Sie erstellen eine Richtlinie, um eine Aktivität oder in einigen Fällen einige verwandte Aktivitäten nachzuverfolgen, z. B. die Freigabe einer Datei für einen externen Benutzer, indem Sie sie freigeben, Zugriffsberechtigungen zuweisen oder einen anonymen Link erstellen. Wenn ein Benutzer die in der Richtlinie definierte Aktivität ausführt, wird entsprechend den Einstellungen der Warnungsschwellenwerte eine Warnung ausgelöst.
Hinweis
Die Aktivitäten, die Sie nachverfolgen können, hängen vom Office 365 Enterprise Ihrer Organisation oder Office 365 Plan der US-Regierung ab. Im Allgemeinen erfordern Aktivitäten im Zusammenhang mit Schadsoftwarekampagnen und Phishingangriffen ein E5/G5-Abonnement oder ein E1/F1/G1- oder E3/F3/G3-Abonnement mit einem Defender for Office 365 Plan 2-Add-On-Abonnement.
Aktivitätsbedingungen. Für die meisten Aktivitäten können Sie zusätzliche Bedingungen definieren, die erfüllt sein müssen, um eine Warnung auszulösen. Häufige Bedingungen sind IP-Adressen (sodass eine Warnung ausgelöst wird, wenn der Benutzer die Aktivität auf einem Computer mit einer bestimmten IP-Adresse oder innerhalb eines IP-Adressbereichs ausführt), ob eine Warnung ausgelöst wird, wenn ein bestimmter Benutzer oder Benutzer diese Aktivität ausführt, und ob die Aktivität für einen bestimmten Dateinamen oder eine bestimmte URL ausgeführt wird. Sie können auch eine Bedingung konfigurieren, die eine Warnung auslöst, wenn die Aktivität von einem beliebigen Benutzer in Ihrer Organisation ausgeführt wird. Die verfügbaren Bedingungen hängen von der ausgewählten Aktivität ab.
Sie können Benutzertags auch als Bedingung einer Warnungsrichtlinie definieren. Dies führt dazu, dass die von der Richtlinie ausgelösten Warnungen den Kontext des betroffenen Benutzers einschließen. Sie können Systembenutzertags oder benutzerdefinierte Benutzertags verwenden. Weitere Informationen finden Sie unter Benutzertags in Microsoft Defender for Office 365.
Wenn die Warnung ausgelöst wird. Sie können eine Einstellung konfigurieren, die definiert, wie oft eine Aktivität auftreten kann, bevor eine Warnung ausgelöst wird. Auf diese Weise können Sie eine Richtlinie einrichten, um jedes Mal eine Warnung zu generieren, wenn eine Aktivität den Richtlinienbedingungen entspricht, wenn ein bestimmter Schwellenwert überschritten wird oder wenn das Auftreten der Aktivität, die von der Warnung nachverfolgt wird, für Ihre Organisation ungewöhnlich ist.
Wenn Sie die Einstellung basierend auf ungewöhnlichen Aktivitäten auswählen, legt Microsoft einen Baselinewert fest, der die normale Häufigkeit für die ausgewählte Aktivität definiert. Die Erstellung dieser Baseline dauert bis zu sieben Tage, während derer keine Warnungen generiert werden. Nachdem die Baseline eingerichtet wurde, wird eine Warnung ausgelöst, wenn die Häufigkeit der von der Warnungsrichtlinie nachverfolgten Aktivität den Baselinewert erheblich überschreitet. Für überwachungsbezogene Aktivitäten (z. B. Datei- und Ordneraktivitäten) können Sie eine Baseline basierend auf einem einzelnen Benutzer oder basierend auf allen Benutzern in Ihrer Organisation einrichten. Für Aktivitäten im Zusammenhang mit Schadsoftware können Sie eine Baseline basierend auf einer einzelnen Schadsoftwarefamilie, einem einzelnen Empfänger oder allen Nachrichten in Ihrer Organisation einrichten.
Hinweis
Die Möglichkeit, Warnungsrichtlinien basierend auf einem Schwellenwert oder basierend auf ungewöhnlichen Aktivitäten zu konfigurieren, erfordert ein E5/G5-Abonnement oder ein E1/F1/G1- oder E3/F3/G3-Abonnement mit einem Microsoft Defender for Office 365 P2-, Microsoft 365 E5 Compliance- oder Microsoft 365 eDiscovery- und Überwachungs-Add-On-Abonnement. Organisationen mit einem E1/F1/G1- und E3/F3/G3-Abonnement können nur Warnungsrichtlinien erstellen, bei denen bei jeder Aktivität eine Warnung ausgelöst wird.
Warnungskategorie. Um die Nachverfolgung und Verwaltung der von einer Richtlinie generierten Warnungen zu unterstützen, können Sie einer Richtlinie eine der folgenden Kategorien zuweisen.
- Verhinderung von Datenverlust
- Informationsverwaltung
- Nachrichtenübermittlung
- Berechtigungen
- Bedrohungsverwaltung
- Sonstige
Wenn eine Aktivität auftritt, die den Bedingungen der Warnungsrichtlinie entspricht, wird die generierte Warnung mit der in dieser Einstellung definierten Kategorie gekennzeichnet. Auf diese Weise können Sie Warnungen mit der gleichen Kategorieeinstellung auf der Seite Warnungen im Microsoft Purview-Portal nachverfolgen und verwalten, da Sie Warnungen nach Kategorie sortieren und filtern können.
Warnungsschweregrad. Ähnlich wie bei der Warnungskategorie weisen Sie Warnungsrichtlinien ein Schweregrad-Attribut (Niedrig, Mittel, Hoch oder Information) zu. Tritt eine Aktivität auf, die den Bedingungen der Warnungsrichtlinie entspricht, wird die generierte Warnung, ähnlich wie mit der Warnungskategorie, mit dem Schweregrad markiert, der für die Warnungsrichtlinie festgelegt ist. Auch hier können Sie Warnungen nachverfolgen und verwalten, die auf der Seite Warnungen die gleiche Einstellung für den Schweregrad aufweisen. Beispielsweise können Sie die Liste der Warnungen so filtern, dass nur Warnungen mit einem hohen Schweregrad angezeigt werden.
Tipp
Erwägen Sie beim Einrichten einer Warnungsrichtlinie, Aktivitäten einen höheren Schweregrad zuzuweisen, die zu schwerwiegenden negativen Folgen führen können, z. B. erkennung von Schadsoftware nach der Übermittlung an Benutzer, Anzeigen vertraulicher oder klassifizierter Daten, Freigeben von Daten für externe Benutzer oder andere Aktivitäten, die zu Datenverlusten oder Sicherheitsbedrohungen führen können. Dies kann Ihnen helfen, Warnungen und die Aktionen zu priorisieren, die Sie ergreifen, um die zugrunde liegenden Ursachen zu untersuchen und zu beheben.
Automatisierte Untersuchungen. Einige Warnungen lösen automatisierte Untersuchungen aus, um potenzielle Bedrohungen und Risiken zu identifizieren, die eine Korrektur oder Entschärfung erfordern. In den meisten Fällen werden diese Warnungen durch die Erkennung schädlicher E-Mails oder Aktivitäten ausgelöst, aber in einigen Fällen werden die Warnungen durch Administratoraktionen im Sicherheitsportal ausgelöst. Weitere Informationen zu automatisierten Untersuchungen finden Sie unter Automatisierte Untersuchung und Reaktion (Air) in Microsoft Defender for Office 365.
Email Benachrichtigungen. Sie können die Richtlinie so einrichten, dass E-Mail-Benachrichtigungen an eine Benutzerliste gesendet (oder nicht gesendet) werden, wenn eine Warnung ausgelöst wird. Sie können auch ein tägliches Benachrichtigungslimit festlegen, sodass an diesem Tag keine weiteren Benachrichtigungen mehr gesendet werden, sobald die maximale Anzahl von Benachrichtigungen erreicht wurde. Zusätzlich zu E-Mail-Benachrichtigungen können Sie oder andere Administratoren die Warnungen anzeigen, die von einer Richtlinie ausgelöst werden, auf der Seite Warnungen . Erwägen Sie die Aktivierung von E-Mail-Benachrichtigungen für Warnungsrichtlinien einer bestimmten Kategorie oder einer Einstellung mit einem höheren Schweregrad.
Standardwarnungsrichtlinien
Microsoft bietet integrierte Warnungsrichtlinien, die dabei helfen, Missbrauch von Exchange-Administratorberechtigungen, Schadsoftwareaktivitäten, potenzielle externe und interne Bedrohungen sowie Informationsgovernancerisiken zu identifizieren. Auf der Seite Warnungsrichtlinien sind die Namen dieser integrierten Richtlinien fett formatiert, und der Richtlinientyp ist als System definiert. Diese Richtlinien sind standardmäßig aktiviert. Sie können diese Richtlinien deaktivieren (oder wieder aktivieren), eine Liste der Empfänger einrichten, an die E-Mail-Benachrichtigungen gesendet werden sollen, und ein tägliches Benachrichtigungslimit festlegen. Die anderen Einstellungen für diese Richtlinien können nicht bearbeitet werden.
In den folgenden Tabellen sind die verfügbaren Standardwarnungsrichtlinien und die Kategorie aufgeführt und beschrieben, der jede Richtlinie zugewiesen ist. Die Kategorie wird verwendet, um zu bestimmen, welche Warnungen ein Benutzer auf der Seite Warnungen anzeigen kann. Weitere Informationen finden Sie unter RBAC-Berechtigungen, die zum Anzeigen von Warnungen erforderlich sind.
In den Tabellen sind auch die Office 365 Enterprise und Office 365 US-Regierungsplan angegeben, der für jeden plan erforderlich ist. Einige Standardwarnungsrichtlinien sind verfügbar, wenn Ihre Organisation zusätzlich zu einem E1/F1/G1- oder E3/F3/G3-Abonnement über das entsprechende Add-On-Abonnement verfügt.
Hinweis
Die ungewöhnliche Aktivität, die von einigen der integrierten Richtlinien überwacht wird, basiert auf demselben Prozess wie die zuvor beschriebene Einstellung des Warnungsschwellenwerts. Microsoft legt einen Baselinewert fest, der die normale Häufigkeit für "normale" Aktivitäten definiert. Warnungen werden dann ausgelöst, wenn die Häufigkeit von Aktivitäten, die von der integrierten Warnungsrichtlinie nachverfolgt werden, den Baselinewert erheblich überschreitet.
Informationsgovernancewarnungsrichtlinien
Hinweis
Die Warnungsrichtlinien in diesem Abschnitt werden derzeit aufgrund von Kundenfeedback als falsch positive Ergebnisse als veraltet gekennzeichnet. Um die Funktionalität dieser Warnungsrichtlinien beizubehalten, können Sie benutzerdefinierte Warnungsrichtlinien mit den gleichen Einstellungen erstellen.
| Name | Beschreibung | Severity | Automatisierte Untersuchung | Abonnement |
|---|---|---|---|---|
| Ungewöhnliche Dateiaktivität externer Benutzer | Generiert eine Warnung, wenn eine ungewöhnlich große Anzahl von Aktivitäten für Dateien in SharePoint oder OneDrive von Benutzern außerhalb Ihrer Organisation ausgeführt wird. Dies umfasst Aktivitäten wie den Zugriff auf Dateien, das Herunterladen von Dateien und das Löschen von Dateien. | Hoch | Nein | E5/G5-, Microsoft Defender for Office 365 P2- oder Microsoft 365 E5-Add-On-Abonnement |
| Ungewöhnliches Volumen externer Dateifreigaben | Generiert eine Warnung, wenn eine ungewöhnlich große Anzahl von Dateien in SharePoint oder OneDrive für Benutzer außerhalb Ihrer Organisation freigegeben wird. | Mittel | Nein | E5/G5-, Defender for Office 365 P2- oder Microsoft 365 E5-Add-On-Abonnement |
| Ungewöhnliches Volumen an Dateilöschung | Generiert eine Warnung, wenn eine ungewöhnlich große Anzahl von Dateien in SharePoint oder OneDrive innerhalb eines kurzen Zeitrahmens gelöscht wird. | Mittel | Nein | E5/G5-, Defender for Office 365 P2- oder Microsoft 365 E5-Add-On-Abonnement |
Richtlinien für Nachrichtenflusswarnungen
| Name | Beschreibung | Severity | Automatisierte Untersuchung | Erforderliches Abonnement |
|---|---|---|---|---|
| Nachrichten wurden verzögert | Generiert eine Warnung, wenn Microsoft mithilfe eines Connectors keine E-Mail-Nachrichten an Ihre lokale Organisation oder einen Partnerserver übermitteln kann. In diesem Fall wird die Nachricht in Office 365 in die Warteschlange gestellt. Diese Warnung wird ausgelöst, wenn mehr als 2.000 Nachrichten mehr als eine Stunde lang in die Warteschlange eingereiht wurden. | Hoch | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
Berechtigungswarnungsrichtlinien
| Name | Beschreibung | Severity | Automatisierte Untersuchung | Erforderliches Abonnement |
|---|---|---|---|---|
| Erhöhung der Exchange-Administratorrechte | Generiert eine Warnung, wenn einer Person Administratorberechtigungen in Ihrer Exchange Online Organisation zugewiesen sind. Beispielsweise, wenn ein Benutzer der Rollengruppe Organisationsverwaltung in Exchange Online hinzugefügt wird. | Niedrig | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
Warnungsrichtlinien für die Bedrohungsverwaltung
| Name | Beschreibung | Severity | Automatisierte Untersuchung | Erforderliches Abonnement |
|---|---|---|---|---|
| Ein potenziell schädlicher URL-Klick wurde erkannt. | Generiert eine Warnung, wenn ein Benutzer, der in Ihrer Organisation durch sichere Links geschützt ist, auf einen schädlichen Link klickt. Diese Warnung wird generiert, wenn ein Benutzer auf einen Link klickt und dieses Ereignis eine URL-Bewertungsänderungsidentifikation durch Microsoft Defender for Office 365 auslöst. Außerdem wird überprüft, ob in den letzten 48 Stunden nach dem Erkennen der schädlichen URL-Bewertung geklickt wurde, und es werden Warnungen für die Klicks generiert, die im 48-Stunden-Zeitrahmen für diesen schädlichen Link aufgetreten sind. Diese Warnung löst automatisch eine automatisierte Untersuchung und Reaktion in Office 365 aus. Weitere Informationen zu Ereignissen, die diese Warnung auslösen, finden Sie unter Einrichten von Richtlinien für sichere Links. | Hoch | Ja | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Ein Benutzer, der auf eine potenziell schädliche URL geklickt hat | Generiert eine Warnung, wenn ein Benutzer, der in Ihrer Organisation durch sichere Links geschützt ist, auf einen schädlichen Link klickt. Dieses Ereignis wird ausgelöst, wenn der Benutzer auf eine URL klickt (die als bösartig oder ausstehende Überprüfung identifiziert wird) und die Warnseite für sichere Links (basierend auf der Microsoft 365 Business-Richtlinie für sichere Links Ihrer Organisation) außer Kraft setzt, um mit der gehosteten URL-Seite bzw. dem Inhalt fortzufahren. Für Defender for Office 365 P2-, E5- und G5-Kunden löst diese Warnung automatisch eine automatisierte Untersuchung und Reaktion in Office 365 aus. Weitere Informationen zu Ereignissen, die diese Warnung auslösen, finden Sie unter Einrichten von Richtlinien für sichere Links. | Hoch | Ja | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Admin Übermittlungsergebnis abgeschlossen | Generiert eine Warnung, wenn eine Admin Übermittlung das erneute Scannen der übermittelten Entität abgeschlossen hat. Eine Warnung wird jedes Mal ausgelöst, wenn ein Ergebnis der erneuten Überprüfung aus einer Admin-Übermittlung gerendert wird. Diese Warnungen sollen Sie daran erinnern, die Ergebnisse früherer Übermittlungen zu überprüfen, vom Benutzer gemeldete Nachrichten zu übermitteln, um die neueste Richtlinienüberprüfung zu erhalten und Bewertungen erneut zu überprüfen, und Ihnen zu helfen, festzustellen, ob die Filterrichtlinien in Ihrer Organisation die beabsichtigten Auswirkungen haben. |
Zur Information | Nein | E1/F1, E3/F3 oder E5 |
| Admin hat eine manuelle Untersuchung von E-Mails ausgelöst. | Generiert eine Warnung, wenn ein Administrator die manuelle Untersuchung einer E-Mail über den Bedrohungs-Explorer auslöst. Weitere Informationen finden Sie unter Beispiel: Ein Sicherheitsadministrator löst eine Untersuchung über den Bedrohungs-Explorer aus. Diese Warnung benachrichtigt Ihre Organisation, dass die Untersuchung gestartet wurde. Die Warnung enthält Informationen darüber, wer sie ausgelöst hat, und enthält einen Link zur Untersuchung. |
Zur Information | Ja | E5/G5- oder Microsoft Defender for Office 365 P2-Add-On-Abonnement |
| Admin ausgelöste Untersuchung der Benutzerkompromittierung | Generiert eine Warnung, wenn ein Administrator die manuelle Untersuchung der Benutzerkompromittierung eines E-Mail-Absenders oder Empfängers aus dem Bedrohungs-Explorer auslöst. Weitere Informationen finden Sie unter Beispiel: Ein Sicherheitsadministrator löst eine Untersuchung über den Bedrohungs-Explorer aus, der die entsprechende manuelle Auslösung einer Untersuchung für eine E-Mail anzeigt. Diese Warnung benachrichtigt Ihre Organisation, dass die Untersuchung der Benutzergefährdung gestartet wurde. Die Warnung enthält Informationen darüber, wer sie ausgelöst hat, und enthält einen Link zur Untersuchung. |
Mittel | Ja | E5/G5- oder Microsoft Defender for Office 365 P2-Add-On-Abonnement |
| Von einem Administrator übermittelte administrative Aktion | Administratoren können manuelle E-Mail-Aktionen für E-Mail-Entitäten auf verschiedenen Oberflächen ausführen. Beispiel: Bedrohungs-Explorer, erweiterte Suche oder benutzerdefinierte Erkennung. Wenn die Wartung gestartet wird, wird eine Warnung generiert. Diese Warnung wird in der Warnungswarteschlange mit dem Namen Administrative Aktion angezeigt, die von einem Administrator übermittelt wurde , um anzugeben, dass ein Administrator die Aktion zur Wiederherstellung einer Entität ausgeführt hat. Die Warnung enthält Details wie den Aktionstyp, den unterstützenden Untersuchungslink, die Uhrzeit usw. Es ist hilfreich zu wissen, wann eine sensible Aktion wie die Korrektur für Entitäten ausgeführt wird. | Zur Information | Ja | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Erstellung einer Weiterleitungs-/Umleitungsregel | Generiert eine Warnung, wenn eine Person in Ihrer Organisation eine Posteingangsregel für ihr Postfach erstellt, die Nachrichten an ein anderes E-Mail-Konto weiterleitet oder umleitet. Diese Richtlinie verfolgt nur Posteingangsregeln nach, die mit Outlook im Web (früher als Outlook Web App bezeichnet) oder Exchange Online PowerShell erstellt wurden. Weitere Informationen zur Verwendung von Posteingangsregeln zum Weiterleiten und Umleiten von E-Mails in Outlook im Web finden Sie unter Verwenden von Regeln in Outlook im Web zum automatischen Weiterleiten von Nachrichten an ein anderes Konto. | Zur Information | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| eDiscovery-Suche gestartet oder exportiert | Generiert eine Warnung, wenn jemand das Tool für die Inhaltssuche im Microsoft Purview-Portal verwendet. Eine Warnung wird ausgelöst, wenn die folgenden Inhaltssuchaktivitäten ausgeführt werden:
Warnungen werden auch ausgelöst, wenn die vorherigen Inhaltssuchaktivitäten in Verbindung mit einem eDiscovery-Fall ausgeführt werden. Weitere Informationen zu Inhaltssuchaktivitäten finden Sie unter Suchen nach eDiscovery-Aktivitäten im Überwachungsprotokoll. |
Zur Information | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| E-Mail-Nachrichten mit schädlicher Datei wurden nach der Übermittlung entfernt | Generiert eine Warnung, wenn Nachrichten, die eine schädliche Datei enthalten, an Postfächer in Ihrer Organisation übermittelt werden. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten aus Exchange Online Postfächern mithilfe der automatischen Null-Stunden-Bereinigung. Diese Richtlinie löst automatisch eine automatisierte Untersuchung und Reaktion in Office 365 aus. Weitere Informationen zu dieser neuen Richtlinie finden Sie unter Neue Warnungsrichtlinien in Microsoft Defender for Office 365. | Zur Information | Ja | E5/G5- oder Microsoft Defender for Office 365 P2-Add-On-Abonnement |
| E-Mail-Nachrichten mit schädlicher URL wurden nach der Zustellung entfernt | Generiert eine Warnung, wenn Nachrichten, die eine schädliche URL enthalten, an Postfächer in Ihrer Organisation übermittelt werden. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten aus Exchange Online Postfächern mithilfe der automatischen Null-Stunden-Bereinigung. Diese Richtlinie löst automatisch eine automatisierte Untersuchung und Reaktion in Office 365 aus. Weitere Informationen zu dieser neuen Richtlinie finden Sie unter Neue Warnungsrichtlinien in Microsoft Defender for Office 365. | Zur Information | Ja | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| E-Mail-Nachrichten mit Schadsoftware wurden nach der Zustellung entfernt | Hinweis: Diese Warnungsrichtlinie wurde durch Email Nachrichten mit schädlichen Dateien ersetzt, die nach der Übermittlung entfernt wurden. Diese Warnungsrichtlinie wird irgendwann weggelöst. Daher wird empfohlen, diese Warnungsrichtlinie zu deaktivieren und stattdessen Email Nachrichten zu verwenden, die schädliche Dateien enthalten, die nach der Übermittlung entfernt wurden. Weitere Informationen finden Sie unter Neue Warnungsrichtlinien in Microsoft Defender for Office 365. | Zur Information | Ja | E5/G5- oder Microsoft Defender for Office 365 P2-Add-On-Abonnement |
| E-Mail-Nachrichten mit Phishing-URLs wurden nach der Zustellung entfernt | Hinweis: Diese Warnungsrichtlinie wurde durch Email Nachrichten mit schädlicher URL ersetzt, die nach der Übermittlung entfernt wurden. Diese Warnungsrichtlinie wird irgendwann entfernt. Daher wird empfohlen, diese Warnungsrichtlinie zu deaktivieren und stattdessen Email Nachrichten zu verwenden, die schädliche URL enthalten, die nach der Übermittlung entfernt wurden. Weitere Informationen finden Sie unter Neue Warnungsrichtlinien in Microsoft Defender for Office 365. | Zur Information | Ja | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Email Nachrichten aus einer Kampagne, die nach der Zustellung entfernt wurden | Generiert eine Warnung, wenn nachrichten, die einer Kampagne zugeordnet sind, an Postfächer in Ihrer Organisation übermittelt werden. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten aus Exchange Online Postfächern mithilfe der automatischen Null-Stunden-Bereinigung. Diese Richtlinie löst automatisch eine automatisierte Untersuchung und Reaktion in Office 365 aus. Weitere Informationen zu dieser neuen Richtlinie finden Sie unter Neue Warnungsrichtlinien in Microsoft Defender for Office 365. | Zur Information | Ja | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Nachrichten, die nach der Zustellung entfernt wurden | Generiert eine Warnung, wenn alle schädlichen Nachrichten, die keine schädliche Entität (URL oder Datei) enthalten oder einer Kampagne zugeordnet sind, an Postfächer in Ihrer Organisation übermittelt werden. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten aus Exchange Online Postfächern mithilfe der automatischen Null-Stunden-Bereinigung. Diese Richtlinie löst automatisch eine automatisierte Untersuchung und Reaktion in Office 365 aus. Weitere Informationen zu dieser neuen Richtlinie finden Sie unter Neue Warnungsrichtlinien in Microsoft Defender for Office 365. | Zur Information | Ja | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Vom Benutzer als Schadsoftware oder Phishing-Mail gemeldete E-Mails | Generiert eine Warnung, wenn Benutzer in Ihrer Organisation Nachrichten mithilfe der integrierten Schaltfläche Bericht in Outlook oder den Add-Ins "Nachricht melden" oder "Phishing melden" als Phishing melden. Weitere Informationen zu den Add-Ins finden Sie unter Verwenden des Berichtsnachrichten-Add-Ins. Für Defender for Office 365 P2-, E5- und G5-Kunden löst diese Warnung automatisch eine automatisierte Untersuchung und Reaktion in Office 365 aus. | Niedrig | Ja | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Email vom Benutzer als Spam gemeldet | Generiert eine Warnung, wenn Benutzer in Ihrer Organisation Nachrichten als Junk-Nachrichten melden, indem sie die integrierte Schaltfläche Bericht in Outlook oder das Add-In "Nachricht melden" verwenden. Weitere Informationen zu den Add-Ins finden Sie unter Verwenden des Berichtsnachrichten-Add-Ins. | Niedrig | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Email vom Benutzer als "kein Junk" gemeldet | Generiert eine Warnung, wenn Benutzer in Ihrer Organisation Nachrichten über die integrierte Schaltfläche Bericht in Outlook oder das Add-In "Nachricht melden" als nicht als Junk-E-Mail melden. Weitere Informationen zu den Add-Ins finden Sie unter Verwenden des Berichtsnachrichten-Add-Ins. | Niedrig | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Email Sendegrenzwert überschritten | Generiert eine Warnung, wenn jemand in Ihrer Organisation mehr E-Mails gesendet hat, als die Richtlinie für ausgehende Spam zulässig ist. Dies ist in der Regel ein Hinweis darauf, dass der Benutzer zu viele E-Mails sendet oder dass das Konto kompromittiert ist. Wenn Sie eine Warnung erhalten, die von dieser Warnungsrichtlinie generiert wird, empfiehlt es sich, zu überprüfen, ob das Benutzerkonto kompromittiert ist. | Mittel | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Formular, das wegen eines potenziellen Phishingversuchs blockiert wurde | Generiert eine Warnung, wenn eine Person in Ihrer Organisation aufgrund des erkannten Wiederholten Phishingversuchs daran gehindert wurde, Formulare zu teilen und Antworten mithilfe von Microsoft Forms zu sammeln. | Hoch | Nein | E1, E3/F3 oder E5 |
| Formular, das als Phishing gekennzeichnet und bestätigt ist | Generiert eine Warnung, wenn ein Formular, das in Microsoft Forms aus Ihrer Organisation erstellt wurde, durch Missbrauch melden als potenzielles Phishing identifiziert und von Microsoft als Phishing bestätigt wurde. | Hoch | Nein | E1, E3/F3 oder E5 |
| Bewerter meinungsverschiedenheiten mit dem Eintrag "Mandanten zulassen/blockieren" | Generiert eine Warnung, wenn Microsoft feststellt, dass die Administratorübermittlung, die einem Zulassungseintrag in der Zulassungs-/Sperrliste des Mandanten entspricht, als bösartig eingestuft wird. Dieses Ereignis wird ausgelöst, sobald die Übermittlung von Microsoft analysiert wurde. Der Zulassungseintrag bleibt für die festgelegte Dauer bestehen. Weitere Informationen zu Ereignissen, die diese Warnung auslösen, finden Sie unter Verwalten der Zulassungs-/Sperrliste für Mandanten. |
Zur Information | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Schadsoftwarekampagne nach der Lieferung erkannt¹ | Generiert eine Warnung, wenn eine ungewöhnlich große Anzahl von Nachrichten, die Schadsoftware enthalten, an Postfächer in Ihrer Organisation übermittelt wird. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten aus Exchange Online Postfächern. | Hoch | Nein | E5/G5- oder Microsoft Defender for Office 365 P2-Add-On-Abonnement |
| Schadsoftwarekampagne erkannt und blockiert¹ | Generiert eine Warnung, wenn jemand versucht hat, eine ungewöhnlich große Anzahl von E-Mail-Nachrichten mit einer bestimmten Art von Schadsoftware an Benutzer in Ihrer Organisation zu senden. Wenn dieses Ereignis auftritt, werden die infizierten Nachrichten von Microsoft blockiert und nicht an Postfächer übermittelt. | Niedrig | Nein | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| In SharePoint und OneDrive erkannte Schadsoftwarekampagne | Generiert eine Warnung, wenn eine ungewöhnlich hohe Menge an Schadsoftware oder Viren in Dateien erkannt wird, die sich auf SharePoint-Websites oder OneDrive-Konten in Ihrer Organisation befinden. | Hoch | Nein | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Schadsoftware wurde nicht gezapft, weil ZAP deaktiviert ist | Generiert eine Warnung, wenn Microsoft erkennt, dass eine Schadsoftwarenachricht an ein Postfach übermittelt wird, weil Zero-Hour Automatische Bereinigung für Phish-Nachrichten deaktiviert ist. | Zur Information | Nein | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Nachrichten, die eine schädliche Entität enthalten, wurden nach der Übermittlung nicht entfernt | Generiert eine Warnung, wenn jede Nachricht mit schädlichem Inhalt (Datei, URL, Kampagne, keine Entität) an Postfächer in Ihrer Organisation übermittelt wird. Wenn dieses Ereignis auftritt, hat Microsoft versucht, die infizierten Nachrichten mithilfe der automatischen Null-Stunden-Bereinigung aus Exchange Online Postfächern zu entfernen, aber die Nachricht wurde aufgrund eines Fehlers nicht entfernt. Weitere Untersuchungen werden empfohlen. Diese Richtlinie löst automatisch eine automatisierte Untersuchung und Reaktion in Office 365 aus. | Mittel | Ja | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Neue Transportregel, die Antispamheader entfernt | Eine neue Nachrichtenflussregel (Transportregel) zum Entfernen von Antispamheader wurde erkannt. Diese Warnung kann darauf hindeuten, dass derzeit eine Spamkampagne mit einem Postfach in der Organisation ausgeführt wird. | Mittel | Nein | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Zugestellter Phish, weil der Junk-E-Mail-Ordner eines Benutzers deaktiviert ist | Hinweis: Diese Warnungsrichtlinie wird derzeit als veraltet gekennzeichnet. Postfacheinstellungen bestimmen nicht mehr, ob erkannte Nachrichten in den Junk-Email Ordner verschoben werden können. Weitere Informationen finden Sie unter Konfigurieren der Einstellungen für Junk-E-Mails für Exchange Online-Postfächer. | Zur Information | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Phish aufgrund einer ETR-Überschreibung² geliefert | Generiert eine Warnung, wenn Microsoft eine Exchange-Transportregel (auch als Nachrichtenflussregel bezeichnet) erkennt, die die Zustellung einer Phishing-Nachricht mit hoher Zuverlässigkeit an ein Postfach ermöglicht. Weitere Informationen zu Exchange-Transportregeln (Nachrichtenflussregeln) finden Sie unter Nachrichtenflussregeln (Transportregeln) in Exchange Online. | Zur Information | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Phish, das aufgrund einer RICHTLINIE für ip-Zulassungen geliefert wird² | Generiert eine Warnung, wenn Microsoft eine IP-Zulassungsrichtlinie erkennt, die die Zustellung einer Phishing-Nachricht mit hoher Zuverlässigkeit an ein Postfach erlaubt. Weitere Informationen zur IP-Zulassungsrichtlinie (Verbindungsfilterung) finden Sie unter Konfigurieren der Standardrichtlinie für verbindungsfilter – Office 365. | Zur Information | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Phish nicht gezippt, weil ZAP deaktiviert ist² | Generiert eine Warnung, wenn Microsoft erkennt, dass eine phishing-Nachricht mit hoher Zuverlässigkeit an ein Postfach übermittelt wird, da Zero-Hour automatische Bereinigung für Phish-Nachrichten deaktiviert ist. | Zur Information | Nein | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Potenzielle nationalstaatliche Aktivitäten | Microsoft Threat Intelligence Center hat einen Versuch erkannt, Konten von Ihrem Mandanten zu kompromittieren. | Hoch | Nein | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Korrekturmaßnahme, die vom Administrator für E-Mails oder URL oder Absender ausgeführt wird | Hinweis: Diese Warnungsrichtlinie wurde durch die administrative Aktion ersetzt, die von einer Administratorwarnungsrichtlinie übermittelt wurde . Diese Warnungsrichtlinie wird irgendwann weggelöst. Daher wird empfohlen, diese Warnungsrichtlinie zu deaktivieren und stattdessen administrative Aktionen zu verwenden, die von einem Administrator übermittelt wurden . Diese Warnung wird ausgelöst, wenn ein Administrator eine Korrekturaktion für die ausgewählte Entität ausführt. |
Zur Information | Ja | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Eintrag in der Zulassungs-/Sperrliste des Mandanten entfernt | Generiert eine Warnung, wenn ein Zulassungseintrag in der Zulassungs-/Sperrliste des Mandanten durch Filtersystem gelernt und entfernt wird. Dieses Ereignis wird ausgelöst, wenn der Zulassungseintrag für die betroffene Domäne oder E-Mail-Adresse, Datei oder URL (Entität) entfernt wird. Sie benötigen den betroffenen Zulassungseintrag nicht mehr. Email Nachrichten, die die betroffenen Entitäten enthalten, werden an den Posteingang übermittelt, wenn nichts anderes in der Nachricht als fehlerhaft festgestellt wird. URLs und Dateien sind zum Zeitpunkt des Klickens zulässig. Weitere Informationen zu Ereignissen, die diese Warnung auslösen, finden Sie unter Verwalten der Zulassungs-/Sperrliste für Mandanten. |
Zur Information | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Verdächtige Connectoraktivität | Generiert eine Warnung, wenn eine verdächtige Aktivität auf einem eingehenden Connector in Ihrer Organisation erkannt wird. Die Verwendung des eingehenden Connectors für E-Mails wird blockiert. Der Administrator erhält eine E-Mail-Benachrichtigung und eine Warnung. Diese Warnung enthält Anleitungen zum Untersuchen, Wiederherstellen von Änderungen und Aufheben der Blockierung eines eingeschränkten Connectors. Informationen zum Reagieren auf diese Warnung finden Sie unter Reagieren auf einen kompromittierten Connector. | Hoch | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Verdächtige E-Mail-Weiterleitunsaktivitäten | Generiert eine Warnung, wenn jemand in Ihrer Organisation automatisch E-Mails an ein verdächtiges externes Konto gesendet hat. Dies ist eine frühzeitige Warnung für Verhalten, die darauf hindeuten kann, dass das Konto kompromittiert ist, aber nicht schwerwiegend genug ist, um den Benutzer einzuschränken. Obwohl dies selten ist, kann eine von dieser Richtlinie generierte Warnung eine Anomalie sein. Es empfiehlt sich, zu überprüfen, ob das Benutzerkonto kompromittiert ist. | Hoch | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Verdächtige E-Mail-Sendemuster erkannt | Generiert eine Warnung, wenn jemand in Ihrer Organisation verdächtige E-Mails gesendet hat und das Risiko besteht, dass das Senden von E-Mails eingeschränkt wird. Dies ist eine frühzeitige Warnung für Verhalten, die darauf hindeuten kann, dass das Konto kompromittiert ist, aber nicht schwerwiegend genug, um den Benutzer einzuschränken. Obwohl dies selten ist, kann eine von dieser Richtlinie generierte Warnung eine Anomalie sein. Es empfiehlt sich jedoch, zu überprüfen, ob das Benutzerkonto kompromittiert ist. | Mittel | Ja | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Verdächtige Mandanten-Sendemuster beobachtet | Generiert eine Warnung, wenn verdächtige Sendemuster in Ihrer Organisation beobachtet wurden, was dazu führen kann, dass Ihre Organisation das Senden von E-Mails blockiert. Untersuchen Sie potenziell kompromittierte Benutzer- und Administratorkonten, neue Connectors oder offene Relays, um zu vermeiden, dass Mandantenschwellenblöcke überschritten werden. Weitere Informationen dazu, warum Organisationen blockiert werden, finden Sie unter Beheben von Problemen bei der E-Mail-Übermittlung für Fehlercode 5.7.7xx in Exchange Online. | Hoch | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Verdächtiger eingehender Connector und Transportregel erstellt, um Absender-E-Mail-Header zu entfernen | Ein verdächtiger Eingehender Connector und eine Nachrichtenflussregel (Transportregel) wurden erstellt, um Header zu entfernen, die die tatsächlichen Quelladressen von Nachrichtensendern identifizieren. Diese Warnung kann darauf hindeuten, dass derzeit eine Spamkampagne mit einem Postfach in der Organisation ausgeführt wird. | Mittel | Nein | E5/G5- oder Microsoft Defender for Office 365 P2-Add-On-Abonnement |
| Verdächtige E-Mail-Transportregel erkannt | Eine verdächtige Nachrichtenflussregel (Transportregel) wurde erstellt, um E-Mails in der Organisation an ein Postfach weiterzuleiten, das sich im Besitz eines Angreifers befindet. | Mittel | Nein | E5/G5- oder Microsoft Defender for Office 365 P2-Add-On-Abonnement |
| Verdächtiges Muster der Erstellung eingehender Connectors | Ein verdächtiges Muster für die Erstellung eingehender Connectors wurde erkannt. Dieses Verhalten könnte darauf hindeuten, dass ein Angreifer böswillige eingehende Connectors festgelegt hat, um anonymes Relay über den Exchange-Server der Organisation zuzulassen. | Mittel | Nein | E5/G5- oder Microsoft Defender for Office 365 P2-Add-On-Abonnement |
| Verdächtiges E-Mail-Sendemuster vom neuen Exchange-Connector für eingehenden Datenverkehr. | Ein verdächtiges E-Mail-Sendemuster von einem neuen Exchange-Eingehenden Connector wurde erkannt. Dieses Verhalten könnte darauf hindeuten, dass ein Angreifer einen schädlichen eingehenden Connector festgelegt hat, um anonymes Relay über den Exchange-Server der Organisation zuzulassen. | Mittel | Nein | E5/G5- oder Microsoft Defender for Office 365 P2-Add-On-Abonnement |
| Eintrag "Mandanten zulassen/blockierende Liste" läuft bald ab | Generiert eine Warnung, wenn ein Zulassungs- oder Blockeintrag im Eintrag Mandanten-Zulassungs-/Sperrliste entfernt werden soll. Dieses Ereignis wird 7 Tage vor dem Ablaufdatum ausgelöst, das darauf basiert, wann der Eintrag erstellt oder zuletzt aktualisiert wurde. Sowohl für Zulassungseinträge als auch für Blockeinträge können Sie das Ablaufdatum verlängern. Weitere Informationen zu Ereignissen, die diese Warnung auslösen, finden Sie unter Verwalten der Zulassungs-/Sperrliste für Mandanten. |
Zur Information | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Der Mandant ist auf das Senden von E-Mails beschränkt | Generiert eine Warnung, wenn der Großteil des E-Mail-Datenverkehrs aus Ihrer Organisation als verdächtig erkannt wurde und Microsoft Ihre Organisation am Senden von E-Mails gehindert hat. Untersuchen Sie potenziell kompromittierte Benutzer- und Administratorkonten, neue Connectors oder offene Relays, und wenden Sie sich dann an Microsoft-Support, um die Blockierung Ihrer Organisation aufzuheben. Weitere Informationen dazu, warum Organisationen blockiert werden, finden Sie unter Beheben von Problemen bei der E-Mail-Übermittlung für Fehlercode 5.7.7xx in Exchange Online. | Hoch | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Der Mandant kann nicht bereitgestellte E-Mails nicht senden. | Generiert eine Warnung, wenn zu viele E-Mails von nicht registrierten Domänen (auch als nicht bereitgestellte Domänen bezeichnet) gesendet werden. Office 365 erlaubt eine angemessene Menge an E-Mails von nicht registrierten Domänen, aber Sie sollten jede Domäne, die Sie zum Senden von E-Mails verwenden, als akzeptierte Domäne konfigurieren. Diese Warnung gibt an, dass alle Benutzer in der Organisation keine E-Mails mehr senden können. Weitere Informationen dazu, warum Organisationen blockiert werden, finden Sie unter Beheben von Problemen bei der E-Mail-Übermittlung für Fehlercode 5.7.7xx in Exchange Online. | Hoch | Nein | E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Ungewöhnlicher Anstieg der als phish gemeldeten E-Mails | Generiert eine Warnung, wenn die Anzahl der Personen in Ihrer Organisation erheblich zunimmt, die das Add-In "Nachricht melden" in Outlook verwenden, um Nachrichten als Phishing-E-Mail zu melden. Weitere Informationen zu diesem Add-In finden Sie unter Verwenden des Berichtsnachrichten-Add-Ins. | Mittel | Nein | E5/G5- oder Defender for Office 365 P2-Add-On-Abonnement |
| Benutzer, der zum Freigeben einer in Quarantäne befindlichen Nachricht aufgefordert wurde | Generiert eine Warnung, wenn ein Benutzer die Freigabe für eine unter Quarantäne gestellte Nachricht anfordert. Um die Freigabe von unter Quarantäne geschalteten Nachrichten anzufordern, ist die Berechtigung Empfängern erlauben, eine Nachricht aus der Quarantäne zu entlassen (PermissionToRequestRelease) in der Quarantänerichtlinie erforderlich (z. B. aus der Gruppe der voreingestellten Berechtigungen für eingeschränkten Zugriff ). Weitere Informationen finden Sie unter Zulassen, dass Empfänger eine Nachricht anfordern, die aus der Quarantäneberechtigung freigegeben wird. | Zur Information | Nein | Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Benutzer, der auf das Senden von E-Mails beschränkt ist | Generiert eine Warnung, wenn jemand in Ihrer Organisation das Senden ausgehender E-Mails eingeschränkt ist. Dies führt in der Regel dazu, wenn ein Konto kompromittiert wird und der Benutzer im Complianceportal auf der Seite Eingeschränkte Benutzer aufgeführt wird. (Um auf diese Seite zuzugreifen, wechseln Sie zu Bedrohungsverwaltung > Eingeschränkte Benutzer überprüfen>). Weitere Informationen zu eingeschränkten Benutzern finden Sie unter Entfernen eines Benutzers, einer Domäne oder einer IP-Adresse aus einer Sperrliste nach dem Senden von Spam-E-Mails. | Hoch | Ja | Microsoft Business Basic, Microsoft Business Standard, Microsoft Business Premium, E1/F1/G1, E3/F3/G3 oder E5/G5 |
| Benutzer, der keine Formulare teilen und keine Antworten sammeln darf | Generiert eine Warnung, wenn eine Person in Ihrer Organisation aufgrund des erkannten Wiederholten Phishingversuchs daran gehindert wurde, Formulare zu teilen und Antworten mithilfe von Microsoft Forms zu sammeln. | Hoch | Nein | E1, E3/F3 oder E5 |
¹ Diese Warnungsrichtlinie wird derzeit aufgrund von Kundenfeedback als falsch positiv eingestellt. Um die Funktionalität dieser Warnungsrichtlinie beizubehalten, können Sie eine benutzerdefinierte Warnungsrichtlinie mit den gleichen Einstellungen erstellen.
² Diese Warnungsrichtlinie ist Teil der Ersetzungsfunktionalität für das Phish, das aufgrund von Mandanten- oder Benutzerüberschreibung und Benutzeridentitätswechsel an den Posteingang/Ordner übermittelt wurde und die aufgrund von Benutzerfeedback entfernt wurden. Weitere Informationen zu Antiphishing in Office 365 finden Sie unter Antiphishingrichtlinien.
Warnungen anzeigen
Wenn eine von Benutzern in Ihrer Organisation ausgeführte Aktivität mit den Einstellungen einer Warnungsrichtlinie übereinstimmt, wird eine Warnung generiert und auf der Seite Warnungen im Microsoft Purview-Portal oder im Defender-Portal angezeigt. Abhängig von den Einstellungen einer Warnungsrichtlinie wird eine E-Mail-Benachrichtigung auch an eine Liste der angegebenen Benutzer gesendet, wenn eine Warnung ausgelöst wird. Für jede Warnung zeigt das Dashboard auf der Seite Warnungen den Namen der entsprechenden Warnungsrichtlinie, den Schweregrad und die Kategorie für die Warnung (definiert in der Warnungsrichtlinie) und die Häufigkeit an, mit der eine Aktivität aufgetreten ist, die zum Generieren der Warnung geführt hat. Dieser Wert basiert auf der Schwellenwerteinstellung der Warnungsrichtlinie. Das Dashboard zeigt auch den Status für jede Warnung an. Weitere Informationen zur Verwendung der Statuseigenschaft zum Verwalten von Warnungen finden Sie unter Verwalten von Warnungen.
So zeigen Sie Warnungen an:
Microsoft Purview-Complianceportal
Wechseln Sie zu , https://compliance.microsoft.com und wählen Sie dann Warnungen aus. Oder wechseln Sie direkt zu https://compliance.microsoft.com/compliancealerts.
Microsoft 365 Defender-Portal
Navigieren Sie zu Microsoft 365 Defender Portal, und wählen Sie dann Warnungen zu Incidents & aus>. Oder wechseln Sie direkt zu https://security.microsoft.com/alerts.
Sie können die folgenden Filter verwenden, um eine Teilmenge aller Warnungen auf der Seite Warnungen anzuzeigen:
- Status: Zeigt Warnungen an, denen ein bestimmter Status zugewiesen ist. Der Standardstatus ist Aktiv. Sie oder andere Administratoren können den Statuswert ändern.
- Richtlinie: Zeigt Warnungen an, die der Einstellung einer oder mehrerer Warnungsrichtlinien entsprechen. Alternativ können Sie alle Warnungen für alle Warnungsrichtlinien anzeigen.
- Zeitbereich: Zeigt Warnungen an, die innerhalb eines bestimmten Datums- und Zeitbereichs generiert wurden.
- Schweregrad: Zeigt Warnungen an, denen ein bestimmter Schweregrad zugewiesen ist.
- Kategorie: Zeigt Warnungen aus einer oder mehreren Warnungskategorien an.
- Tags:Anzeigen von Warnungen von einem oder mehreren Benutzertags. Tags werden basierend auf markierten Postfächern oder Benutzern widergespiegelt, die in den Warnungen angezeigt werden. Weitere Informationen finden Sie unter Benutzertags in Defender for Office 365.
- Quelle: Verwenden Sie diesen Filter, um Warnungen anzuzeigen, die von Warnungsrichtlinien im Microsoft Purview-Portal ausgelöst werden, oder warnungen, die von Microsoft Defender for Cloud Apps Richtlinien oder beidem ausgelöst werden. Weitere Informationen zu Defender für Cloud Apps-Warnungen finden Sie im Abschnitt Anzeigen von Defender for Cloud Apps-Warnungen in diesem Artikel.
Wichtig
Das Filtern und Sortieren nach Benutzertags befindet sich derzeit in der öffentlichen Vorschau und kann erheblich geändert werden, bevor sie allgemein verfügbar ist. Microsoft übernimmt keine Gewährleistungen, weder ausdrücklich noch konkludent, in Bezug auf die bereitgestellten Informationen.
Warnungsaggregation
Wenn mehrere Ereignisse, die den Bedingungen einer Warnungsrichtlinie entsprechen, in kurzer Zeit auftreten, werden sie einer vorhandenen Warnung durch einen Prozess hinzugefügt , der als Warnungsaggregation bezeichnet wird. Wenn ein Ereignis eine Warnung auslöst, wird die Warnung generiert und auf der Seite Warnungen angezeigt, und eine Benachrichtigung wird gesendet. Wenn dasselbe Ereignis innerhalb des Aggregationsintervalls auftritt, fügt Microsoft 365 der vorhandenen Warnung Details zum neuen Ereignis hinzu, anstatt eine neue Warnung auszulösen. Das Ziel der Warnungsaggregation besteht darin, die "Ermüdung von Warnungen" zu reduzieren und Es Ihnen zu ermöglichen, sich auf weniger Warnungen für dasselbe Ereignis zu konzentrieren und Maßnahmen zu ergreifen.
Die Länge des Aggregationsintervalls hängt von Ihrem Office 365- oder Microsoft 365-Abonnement ab.
| Abonnement | Aggregation Intervall |
|---|---|
| Office 365 oder Microsoft 365 E5/G5 | 1 Minute |
| Microsoft Defender für Office 365 Plan 2 | 1 Minute |
| E5 Compliance-Add-On oder E5-Ermittlungs- und Überwachungs-Add-On | 1 Minute |
| Office 365 oder Microsoft 365 E1/F1/G1 oder E3/F3/G3 | 15 Minuten |
| Defender for Office 365 Plan 1 oder Exchange Online Protection | 15 Minuten |
Wenn Ereignisse, die der gleichen Warnungsrichtlinie entsprechen, innerhalb des Aggregationsintervalls auftreten, werden der ursprünglichen Warnung Details zum nachfolgenden Ereignis hinzugefügt. Für alle Ereignisse werden Informationen zu aggregierten Ereignissen im Detailfeld angezeigt, und die Häufigkeit, wie oft ein Ereignis mit dem Aggregationsintervall aufgetreten ist, wird im Feld Aktivität/Trefferanzahl angezeigt. Sie können weitere Informationen zu allen aggregierten Ereignisinstanzen anzeigen, indem Sie die Aktivitätsliste anzeigen.
Der folgende Screenshot zeigt eine Warnung mit vier aggregierten Ereignissen. Die Aktivitätsliste enthält Informationen zu den vier E-Mail-Nachrichten, die für die Warnung relevant sind.
Beachten Sie bei der Warnungsaggregation folgendes:
Warnungen, die durch den Klick auf eine potenziell schädliche URL ausgelöst werden, wurde erkanntStandardwarnungen sind nicht aggregiert. Dies liegt daran, dass von dieser Richtlinie ausgelöste Warnungen für jeden Benutzer und jede E-Mail-Nachricht eindeutig sind.
Derzeit gibt die Warnungseigenschaft Trefferanzahl nicht die Anzahl aggregierter Ereignisse für alle Warnungsrichtlinien an. Für Warnungen, die durch diese Warnungsrichtlinien ausgelöst werden, können Sie die aggregierten Ereignisse anzeigen, indem Sie auf Nachrichtenliste anzeigen oder Aktivität anzeigen für die Warnung klicken. Wir arbeiten daran, die Anzahl der aggregierten Ereignisse, die in der Warnungseigenschaft Trefferanzahl aufgeführt sind, für alle Warnungsrichtlinien verfügbar zu machen.
RBAC-Berechtigungen, die zum Anzeigen von Warnungen erforderlich sind
Die RBAC-Berechtigungen (Role Based Access Control), die Benutzern in Ihrer Organisation zugewiesen sind, bestimmen, welche Warnungen einem Benutzer auf der Seite Warnungen angezeigt werden können. Wie wird dies erreicht? Die Den Benutzern zugewiesenen Verwaltungsrollen (basierend auf ihrer Mitgliedschaft in Rollengruppen im Complianceportal oder im Microsoft 365 Defender-Portal) bestimmen, welche Warnungskategorien einem Benutzer auf der Seite Warnungen angezeigt werden können. Hier sind einige Beispiele:
- Mitglieder der Rollengruppe "Datensatzverwaltung" können nur die Warnungen anzeigen, die von Warnungsrichtlinien generiert werden, denen die Kategorie Information Governance zugewiesen ist.
- Mitglieder der "Complianceadministratorrollengruppen" können keine Warnungen anzeigen, die von Warnungsrichtlinien generiert werden, denen die Kategorie Bedrohungsmanagement zugewiesen ist.
- Mitglieder der Rollengruppe "eDiscovery-Manager" können keine Warnungen anzeigen, da keine der zugewiesenen Rollen die Berechtigung zum Anzeigen von Warnungen aus einer Warnungskategorie bereitstellt.
Mit diesem Entwurf (basierend auf RBAC-Berechtigungen) können Sie bestimmen, welche Warnungen von Benutzern in bestimmten Auftragsrollen in Ihrer Organisation angezeigt (und verwaltet) werden können.
In der folgenden Tabelle sind die Rollen aufgeführt, die zum Anzeigen von Warnungen aus den sechs verschiedenen Warnungskategorien erforderlich sind. Ein Häkchen gibt an, dass ein Benutzer, dem diese Rolle zugewiesen ist, Warnungen aus der entsprechenden Warnungskategorie anzeigen kann, die in der Titelzeile aufgeführt ist.
Informationen dazu, welcher Kategorie eine Standardwarnungsrichtlinie zugewiesen ist, finden Sie in den Tabellen unter Standardwarnungsrichtlinien.
| Rolle | Informationen Governance |
Datenverlust Prävention |
E-Mail Fluss |
Berechtigungen | Bedrohung Management |
Sonstige |
|---|---|---|---|---|---|---|
| Complianceadministrator | ✔ | ✔ | ✔ | ✔ | ||
| DLP-Complianceverwaltung | ✔ | |||||
| Information Protection-Administrator | ✔ | |||||
| Information Protection-Analyst | ✔ | |||||
| Information Protection-Ermittler | ✔ | |||||
| Benachrichtigungen verwalten | ✔ | |||||
| Organisationskonfiguration | ✔ | |||||
| Datenschutzverwaltung | ||||||
| Quarantine | ||||||
| Datensatzverwaltung | ✔ | |||||
| Aufbewahrungsverwaltung | ✔ | |||||
| Rollenverwaltung | ✔ | |||||
| Sicherheitsadministrator | ✔ | ✔ | ✔ | ✔ | ||
| Sicherheitsleseberechtigter | ✔ | ✔ | ✔ | ✔ | ||
| Transporthygiene | ||||||
| View-Only DLP Compliance Management | ✔ | |||||
| Schreibgeschützte Konfiguration | ||||||
| View-Only Verwalten von Warnungen | ✔ | |||||
| Schreibgeschützte Empfänger | ✔ | |||||
| View-Only Datensatzverwaltung | ✔ | |||||
| View-Only-Aufbewahrungsverwaltung | ✔ |
Tipp
Um die Rollen anzuzeigen, die jeder der Standardrollengruppen zugewiesen sind, führen Sie die folgenden Befehle in Security & Compliance PowerShell aus:
$RoleGroups = Get-RoleGroup
$RoleGroups | foreach {Write-Output -InputObject `r`n,$_.Name,("-"*25); Get-RoleGroup $_.Identity | Select-Object -ExpandProperty Roles}
Sie können die einer Rollengruppe zugewiesenen Rollen auch im Complianceportal oder im Microsoft 365 Defender-Portal anzeigen. Wechseln Sie zur Seite Berechtigungen , und wählen Sie eine Rollengruppe aus. Die zugewiesenen Rollen werden auf der Flyoutseite aufgeführt.
Verwalten von Warnungen
Nachdem Warnungen generiert und auf der Seite Warnungen im Microsoft Purview-Portal angezeigt wurden, können Sie sie selektieren, untersuchen und auflösen. Die gleichen RBAC-Berechtigungen , die Benutzern Zugriff auf Warnungen gewähren, geben ihnen auch die Möglichkeit, Warnungen zu verwalten.
Im Folgenden finden Sie einige Aufgaben, die Sie zum Verwalten von Warnungen ausführen können.
Zuweisen eines Status zu Warnungen: Sie können Warnungen einen der folgenden Status zuweisen: Aktiv (Standardwert), Untersuchend, Aufgelöst oder Verworfen. Anschließend können Sie nach dieser Einstellung filtern, um Warnungen mit der gleichen Statuseinstellung anzuzeigen. Diese Statuseinstellung kann helfen, den Prozess der Verwaltung von Warnungen nachzuverfolgen.
Anzeigen von Warnungsdetails: Sie können eine Warnung auswählen, um eine Flyoutseite mit Details zur Warnung anzuzeigen. Die detaillierten Informationen hängen von der entsprechenden Warnungsrichtlinie ab, enthalten aber in der Regel die folgenden Informationen:
- Der Name des tatsächlichen Vorgangs, der die Warnung ausgelöst hat, z. B. ein Cmdlet oder ein Überwachungsprotokollvorgang.
- Eine Beschreibung der Aktivität, die die Warnung ausgelöst hat.
- Der Benutzer (oder die Liste der Benutzer), der die Warnung ausgelöst hat. Dies ist nur für Warnungsrichtlinien enthalten, die zum Nachverfolgen eines einzelnen Benutzers oder einer einzelnen Aktivität eingerichtet sind.
- Gibt an, wie oft die von der Warnung nachverfolgte Aktivität ausgeführt wurde. Diese Zahl stimmt möglicherweise nicht mit der tatsächlichen Anzahl verwandter Warnungen überein, die auf der Seite Warnungen aufgeführt sind, da möglicherweise weitere Warnungen ausgelöst wurden.
- Ein Link zu einer Aktivitätsliste, die ein Element für jede Aktivität enthält, die ausgeführt wurde, die die Warnung ausgelöst hat. Jeder Eintrag in dieser Liste gibt an, wann die Aktivität aufgetreten ist, den Namen des tatsächlichen Vorgangs (z. B. "FileDeleted"), den Benutzer, der die Aktivität ausgeführt hat, das Objekt (z. B. eine Datei, einen eDiscovery-Fall oder ein Postfach), auf dem die Aktivität ausgeführt wurde, und die IP-Adresse des Computers des Benutzers. Bei Warnungen im Zusammenhang mit Schadsoftware wird mit einer Nachrichtenliste verknüpft.
- Der Name (und Link) der entsprechenden Warnungsrichtlinie.
Unterdrücken von E-Mail-Benachrichtigungen: Sie können E-Mail-Benachrichtigungen auf der Flyoutseite für eine Warnung deaktivieren (oder unterdrücken). Wenn Sie E-Mail-Benachrichtigungen unterdrücken, sendet Microsoft keine Benachrichtigungen, wenn Aktivitäten oder Ereignisse auftreten, die den Bedingungen der Warnungsrichtlinie entsprechen. Warnungen werden jedoch ausgelöst, wenn die von Benutzern ausgeführten Aktivitäten den Bedingungen der Warnungsrichtlinie entsprechen. Sie können auch E-Mail-Benachrichtigungen deaktivieren, indem Sie die Warnungsrichtlinie bearbeiten.
Warnungen auflösen: Sie können eine Warnung auf der Flyoutseite für eine Warnung als gelöst markieren (wodurch der Status der Warnung auf Gelöst festgelegt wird). Wenn Sie den Filter nicht ändern, werden aufgelöste Warnungen nicht auf der Seite Warnungen angezeigt.
Anzeigen von Defender for Cloud Apps-Warnungen
Warnungen, die von Defender for Cloud Apps-Richtlinien ausgelöst werden, werden jetzt auf der Seite Warnungen im Microsoft Purview-Portal angezeigt. Dies umfasst Warnungen, die durch Aktivitätsrichtlinien und Warnungen ausgelöst werden, die durch Anomalieerkennungsrichtlinien in Defender for Cloud Apps ausgelöst werden. Dies bedeutet, dass Sie alle Warnungen im Microsoft Purview-Portal anzeigen können. Defender for Cloud Apps ist nur für Organisationen mit einem Office 365 Enterprise E5- oder Office 365 G5-Abonnement der US-Regierung verfügbar. Weitere Informationen finden Sie unter Übersicht über Defender für Cloud-Apps.
Organisationen, die über Microsoft Defender for Cloud Apps als Teil eines Enterprise Mobility + Security E5-Abonnements oder als eigenständiger Dienst verfügen, können auch Defender for Cloud Apps-Warnungen anzeigen, die sich auf Microsoft 365-Apps und -Dienste beziehen, im Complianceportal oder unter Microsoft 365 Defender-Portal.
Um nur Defender für Cloud Apps-Warnungen im Microsoft Purview-Portal oder im Defender-Portal anzuzeigen, verwenden Sie den Filter Quelle , und wählen Sie Defender for Cloud Apps aus.
Ähnlich wie bei einer Warnung, die durch eine Warnungsrichtlinie im Microsoft Purview-Portal ausgelöst wird, können Sie eine Defender for Cloud Apps-Warnung auswählen, um eine Flyoutseite mit Details zur Warnung anzuzeigen. Die Warnung enthält einen Link zum Anzeigen der Details und Verwalten der Warnung im Defender for Cloud Apps-Portal sowie einen Link zu der entsprechenden Defender for Cloud Apps-Richtlinie, die die Warnung ausgelöst hat. Weitere Informationen finden Sie unter Überwachen von Warnungen in Defender for Cloud Apps.
Wichtig
Wenn Sie den Status einer Defender for Cloud Apps-Warnung im Microsoft Purview-Portal ändern, wird der Auflösungsstatus für dieselbe Warnung im Defender for Cloud Apps-Portal nicht aktualisiert. Wenn Sie z. B. den Status der Warnung im Microsoft Purview-Portal als Gelöst markieren, bleibt der Status der Warnung im Defender for Cloud Apps-Portal unverändert. Um eine Defender for Cloud Apps-Warnung aufzulösen oder zu schließen, verwalten Sie die Warnung im Defender for Cloud Apps-Portal.