Konfigurieren automatisierter Untersuchungs- und Reaktionsfunktionen in Microsoft 365 Defender

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender bewerten und pilotieren können.

Microsoft 365 Defender umfasst leistungsstarke automatisierte Untersuchungs- und Reaktionsfunktionen, die Ihrem Sicherheitsteam viel Zeit und Aufwand sparen können. Mit der Selbstreparatur imitieren diese Funktionen die Schritte, die ein Sicherheitsanalyst ergreifen würde, um Bedrohungen zu untersuchen und darauf zu reagieren, nur schneller und mit mehr Möglichkeiten zur Skalierung.

In diesem Artikel wird beschrieben, wie Sie die automatisierte Untersuchung und Reaktion in Microsoft 365 Defender mit den folgenden Schritten konfigurieren:

  1. Überprüfen Sie die Voraussetzungen.
  2. Überprüfen oder ändern Sie die Automatisierungsebene für Gerätegruppen.
  3. Überprüfen Sie Ihre Sicherheits- und Warnungsrichtlinien in Office 365.

Nachdem Sie alles eingerichtet haben, können Sie Wartungsaktionen im Info-Center anzeigen und verwalten. Außerdem können Sie bei Bedarf Änderungen an den Einstellungen für die automatisierte Untersuchung vornehmen.

Voraussetzungen für automatisierte Untersuchung und Reaktion in Microsoft 365 Defender

Anforderung Details
Abonnementanforderungen Eines dieser Abonnements:
  • Microsoft 365 E5
  • Microsoft 365 A5
  • Microsoft 365 E3 mit dem Microsoft 365 E5 Security-Add-On
  • Microsoft 365 A3 mit dem Microsoft 365 A5 Security-Add-On
  • Office 365 E5 plus Enterprise Mobility + Security E5 plus Windows E5

Weitere Informationen finden Sie unter Microsoft 365 Defender Lizenzanforderungen.

Netzwerkanforderungen
Windows-Geräteanforderungen
Schutz für E-Mail-Inhalte und Office-Dateien
Berechtigungen Um automatisierte Untersuchungs- und Antwortfunktionen konfigurieren zu können, muss Ihnen eine der folgenden Rollen in Azure Active Directory (https://portal.azure.com) oder im Microsoft 365 Admin Center (https://admin.microsoft.com) zugewiesen sein:
  • Globaler Administrator
  • Sicherheitsadministrator
Informationen zum Arbeiten mit automatisierten Untersuchungs- und Reaktionsfunktionen, z. B. durch Überprüfen, Genehmigen oder Ablehnen ausstehender Aktionen, finden Sie unter Erforderliche Berechtigungen für Aufgaben im Info-Center.

Überprüfen oder Ändern der Automatisierungsebene für Gerätegruppen

Ob automatisierte Untersuchungen ausgeführt werden und ob Korrekturaktionen automatisch oder nur nach Genehmigung für Ihre Geräte ausgeführt werden, hängt von bestimmten Einstellungen ab, z. B. den Gerätegruppenrichtlinien Ihrer Organisation. Überprüfen Sie die konfigurierte Automatisierungsebene für Ihre Gerätegruppenrichtlinien. Sie müssen ein globaler Administrator oder Sicherheitsadministrator sein, um das folgende Verfahren ausführen zu können:

  1. Wechseln Sie zum Microsoft 365 Defender-Portal (https://security.microsoft.com), und melden Sie sich an.

  2. Wechseln Sie zu Einstellungen>Endpunkte>Gerätegruppen unter Berechtigungen.

  3. Überprüfen Sie Ihre Gerätegruppenrichtlinien. Sehen Sie sich insbesondere die Spalte Automatisierungsebene an . Es wird empfohlen , Vollständig zu verwenden– Bedrohungen automatisch beheben. Möglicherweise müssen Sie Ihre Gerätegruppen erstellen oder bearbeiten, um den gewünschten Automatisierungsgrad zu erhalten. Hilfe zu dieser Aufgabe finden Sie in den folgenden Artikeln:

Überprüfen Sie Ihre Sicherheits- und Warnungsrichtlinien in Office 365

Microsoft bietet integrierte Warnungsrichtlinien, mit denen bestimmte Risiken identifiziert werden können. Zu diesen Risiken gehören Der Missbrauch von Exchange-Administratorberechtigungen, Schadsoftwareaktivitäten, potenzielle externe und interne Bedrohungen sowie Risiken für die Datenlebenszyklusverwaltung. Einige Warnungen können eine automatisierte Untersuchung und Reaktion in Office 365 auslösen. Stellen Sie sicher, dass Ihre Defender for Office 365 Features ordnungsgemäß konfiguriert sind.

Obwohl bestimmte Warnungen und Sicherheitsrichtlinien automatisierte Untersuchungen auslösen können, werden keine Korrekturmaßnahmen für E-Mails und Inhalte automatisch ausgeführt. Stattdessen müssen alle Korrekturaktionen für E-Mails und E-Mail-Inhalte von Ihrem Sicherheitsteam im Info-Center genehmigt werden.

Sicherheitseinstellungen in Office 365 helfen, E-Mails und Inhalte zu schützen. Um diese Einstellungen anzuzeigen oder zu ändern, befolgen Sie die Anleitung unter Schützen vor Bedrohungen.

  1. Wechseln Sie im Microsoft 365 Defender-Portal zu Richtlinien & Regeln>Bedrohungsrichtlinien.

  2. Stellen Sie sicher, dass alle folgenden Richtlinien konfiguriert sind. Hilfe und Empfehlungen finden Sie unter Schutz vor Bedrohungen.

  3. Stellen Sie sicher, dass Sichere Anlagen für SharePoint, OneDrive und Microsoft Teams aktiviert ist.

  4. Stellen Sie sicher, dass zap (Zero-Hour Auto Purge) in Exchange Online wirksam ist.

  5. (Dieser Schritt ist optional.) Überprüfen Sie Ihre Office 365 Warnungsrichtlinien im Microsoft Purview-Complianceportal (https://compliance.microsoft.com/compliancepolicies). Mehrere Standardwarnungsrichtlinien befinden sich in der Kategorie Bedrohungsverwaltung. Einige dieser Warnungen können eine automatisierte Untersuchung und Reaktion auslösen. Weitere Informationen finden Sie unter Standardwarnungsrichtlinien.

Müssen Sie Änderungen an den Einstellungen für die automatisierte Untersuchung vornehmen?

Sie können aus mehreren Optionen wählen, um Einstellungen für Ihre automatisierten Untersuchungs- und Reaktionsfunktionen zu ändern. Einige Optionen sind in der folgenden Tabelle aufgeführt:

Zweck Führen Sie diese Schritte aus.
Angeben von Automatisierungsebenen für Gerätegruppen
  1. Richten Sie eine oder mehrere Gerätegruppen ein. Weitere Informationen finden Sie unter Erstellen und Verwalten von Gerätegruppen.
  2. Wechseln Sie im Microsoft 365 Defender-Portal zu Berechtigungen>Endpunkte Rollengruppen &>Gerätegruppen.
  3. Wählen Sie eine Gerätegruppe aus, und überprüfen Sie deren Einstellung auf Automatisierungsebene . (Es wird empfohlen, Vollständig zu verwenden – Bedrohungen automatisch beheben). Weitere Informationen finden Sie unter Automatisierungsebenen in automatisierten Untersuchungs- und Wartungsfunktionen.
  4. Wiederholen Sie die Schritte 2 und 3 je nach Bedarf für alle Gerätegruppen.
Aktivieren oder Deaktivieren der automatisierten Untersuchung Es wird empfohlen, die automatisierte Untersuchung aktiviert zu halten. Wenn Sie sie für einige Geräte deaktivieren möchten, empfehlen wir, die Automatisierungsebene für Gerätegruppen zu überprüfen oder zu ändern , anstatt die automatisierte Untersuchung für Ihre Organisation zu deaktivieren.
  1. Wechseln Sie im Microsoft 365 Defender-Portal (https://security.microsoft.com) zu Einstellungen>Endpunkte>Erweiterte Features.
  2. Legen Sie die Umschaltfläche Automatisierte Untersuchung auf Ein (oder Aus) fest.
    Beachten Sie: Wenn Sie die automatisierte Untersuchung hier deaktivieren, wirkt sich dies auf automatisierte Untersuchungs- und Reaktionsaktionen für alle Geräte aus. Dies wirkt sich auch auf manuelle Antwortaktionen für E-Mails aus (z. B. manuelles Löschen von E-Mail-Nachrichten, nachdem sie auf Geräten eingetroffen sind). Anstatt die automatisierte Untersuchung zu deaktivieren, versuchen Sie, die Automatisierungsebene für Gerätegruppen zu ändern.
  3. Wechseln Sie zu Automatische Korrektur, und überprüfen Sie Ihre automatisierten Korrekturstufen für Ihre Geräte. Weitere Informationen finden Sie unter Automatisierungsebenen in automatisierten Untersuchungs- und Wartungsfunktionen.

Nächste Schritte