Behandeln von kompromittierten Benutzerkonten mit automatisierter Untersuchung und Reaktion

• Gilt für::

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Microsoft Defender for Office 365 Plan 2 umfasst leistungsstarke FUNKTIONEN für automatisierte Untersuchung und Reaktion (AIR). Solche Funktionen können Ihrem Sicherheitsteam viel Zeit und Aufwand im Umgang mit Bedrohungen sparen. In diesem Artikel wird eines der Facetten der AIR-Funktionen beschrieben, das Playbook für die Kompromittierung der Benutzersicherheit.

Das Sicherheitsplaybook für kompromittierte Benutzer ermöglicht dem Sicherheitsteam Ihrer organization Folgendes:

• Schnellere Erkennung von kompromittierten Benutzerkonten;
• Einschränken des Umfangs einer Sicherheitsverletzung, wenn ein Konto kompromittiert wird; Und
• Reagieren Sie effektiver und effizienter auf kompromittierte Benutzer.

Kompromittierte Benutzerwarnungen

Wenn ein Benutzerkonto kompromittiert wird, treten atypische oder anomale Verhaltensweisen auf. Beispielsweise können Phishing- und Spamnachrichten intern von einem vertrauenswürdigen Benutzerkonto gesendet werden. Defender for Office 365 können solche Anomalien in E-Mail-Mustern und Zusammenarbeitsaktivitäten innerhalb Office 365 erkennen. In diesem Fall werden Warnungen ausgelöst, und der Prozess zur Bedrohungsminderung beginnt.

Untersuchen und Reagieren auf einen kompromittierten Benutzer

Wenn ein Benutzerkonto kompromittiert wird, werden Warnungen ausgelöst. In einigen Fällen wird dieses Benutzerkonto blockiert und daran gehindert, weitere E-Mail-Nachrichten zu senden, bis das Problem vom Sicherheitsteam Ihres organization behoben wurde. In anderen Fällen beginnt eine automatisierte Untersuchung, die zu empfohlenen Maßnahmen führen kann, die Ihr Sicherheitsteam ergreifen sollte.

• Anzeigen und Untersuchen eingeschränkter Benutzer

• Anzeigen von Details zu automatisierten Untersuchungen

Wichtig

Sie müssen über die entsprechenden Berechtigungen verfügen, um die folgenden Aufgaben ausführen zu können. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für die Verwendung von AIR-Funktionen.

Sehen Sie sich dieses kurze Video an, um zu erfahren, wie Sie Gefährdungen von Benutzern in Microsoft Defender for Office 365 erkennen und darauf reagieren können, indem Sie automatisierte Untersuchung und Reaktion (Automated Investigation and Response, AIR) und Warnungen kompromittierter Benutzer verwenden.

Anzeigen und Untersuchen eingeschränkter Benutzer

Sie haben einige Optionen, um zu einer Liste mit eingeschränkten Benutzern zu navigieren. Im Microsoft Defender-Portal können Sie beispielsweise zu Email & Zusammenarbeit>Eingeschränkte Benutzerüberprüfen> wechseln. Im folgenden Verfahren wird die Navigation mithilfe der warnungsgesteuerten Dashboard beschrieben. Dies ist eine gute Möglichkeit, verschiedene Arten von Warnungen anzuzeigen, die möglicherweise ausgelöst wurden.

1. Öffnen Sie das Microsoft Defender-Portal unter , https://security.microsoft.com und wechseln Sie zu Incidents & Warnungen>Warnungen. Oder verwenden Sie https://security.microsoft.com/alerts, um direkt zur Seite Warnungen zu wechseln.

2. Filtern Sie auf der Seite Warnungen die Ergebnisse nach Dem Zeitraum und der Richtlinie benutzerbeschränkt auf das Senden von E-Mails.

   

3. Wenn Sie den Eintrag auswählen, indem Sie auf den Namen klicken, wird die Seite Benutzer, der auf das Senden von E-Mails beschränkt ist, mit zusätzlichen Details geöffnet, die Sie überprüfen können. Neben der Schaltfläche Warnung verwalten können Sie auf Weitere Optionen klicken und dann Eingeschränkte Benutzerdetails anzeigen auswählen, um zur Seite Eingeschränkte Benutzer zu wechseln, auf der Sie den eingeschränkten Benutzer freigeben können.

Anzeigen von Details zu automatisierten Untersuchungen

Wenn eine automatisierte Untersuchung begonnen hat, können Sie die Details und Ergebnisse im Info-Center im Microsoft Defender-Portal anzeigen.

Weitere Informationen finden Sie unter Anzeigen von Details zu einer Untersuchung.

Beachten Sie die folgenden Punkte:

• Behalten Sie den Überblick über Ihre Warnungen. Wie Sie wissen, desto länger ein Kompromiss unentdeckt ist, desto größer ist das Potenzial für weitreichende Auswirkungen und Kosten für Ihre organization, Kunden und Partner. Eine frühzeitige Erkennung und rechtzeitige Reaktion sind wichtig, um Bedrohungen zu mindern, insbesondere wenn das Konto eines Benutzers kompromittiert wird.

• Automation unterstützt Ihr Sicherheitsteam. Automatisierte Untersuchungs- und Reaktionsfunktionen können einen kompromittierten Benutzer frühzeitig erkennen und Es Ihrem Sicherheitsteam ermöglichen, Maßnahmen zur Behebung der Bedrohung zu ergreifen. Benötigen Sie dabei Hilfe? Weitere Informationen finden Sie unter Überprüfen und Genehmigen von Aktionen.

Nächste Schritte

• Überprüfen der erforderlichen Berechtigungen für die Verwendung von AIR-Funktionen

• Suchen und Untersuchen schädlicher E-Mails in Office 365

• Erfahren Sie mehr über AIR in Microsoft Defender for Endpoint

• Besuchen Sie die Microsoft 365-Roadmap, um zu sehen, was in Kürze verfügbar und eingeführt wird.