Kampagnen in Microsoft Defender for Office 365

  • Artikel
  • 12 Minuten Lesedauer

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für

Kampagnen im Microsoft 365 Defender-Portal identifizieren und kategorisieren koordinierte E-Mail-Angriffe, einschließlich Phishing und Schadsoftware. Die Verwaltung von E-Mail-Angriffen in diskrete Kampagnen durch Microsoft hilft Ihnen dabei:

  • Effiziente Untersuchung und Reaktion auf Phishing- und Schadsoftwareangriffe, die per E-Mail übermittelt werden.
  • Verstehen Sie den Umfang des E-Mail-Angriffs auf Ihre Organisation besser.
  • Zeigen Sie den Nutzen der Microsoft Defender für Office für Entscheidungsträger bei der Verhinderung von E-Mail-Bedrohungen an.

Mit Kampagnen können Sie das Gesamtbild eines E-Mail-Angriffs schneller und vollständiger sehen als jeder Mensch.

Sehen Sie sich dieses kurze Video an, wie Kampagnen in Microsoft Defender for Office 365 Ihnen helfen, koordinierte E-Mail-Angriffe auf Ihre Organisation zu verstehen.

Was ist eine Kampagne?

Eine Kampagne ist ein koordinierter E-Mail-Angriff gegen eine oder mehrere Organisationen. Email Angriffe, die Anmeldeinformationen und Unternehmensdaten stehlen, sind eine große und lukrative Branche. Mit zunehmenden Anstrengungen der Technologien, Angriffe zu stoppen, ändern Angreifer ihre Methoden, um einen dauerhaften Erfolg zu gewährleisten.

Microsoft nutzt die großen Mengen an Anti-Phishing-, Antispam- und Antischadsoftwaredaten im gesamten Dienst, um Kampagnen zu identifizieren. Wir analysieren und klassifizieren die Angriffsinformationen anhand verschiedener Faktoren. Beispiel:

  • Angriffsquelle: Die Quell-IP-Adressen und Absender-E-Mail-Domänen.
  • Nachrichteneigenschaften: Inhalt, Stil und Ton der Nachrichten.
  • Nachrichtenempfänger: Gibt an, wie Empfänger miteinander verknüpft sind. Beispielsweise Empfängerdomänen, Empfänger-Jobfunktionen (Administratoren, Führungskräfte usw.), Unternehmenstypen (groß, klein, öffentlich, privat usw.) und Branchen.
  • Angriffsnutzlast: Schädliche Links, Anlagen oder andere Nutzlasten in den Nachrichten.

Eine Kampagne kann kurzlebig sein oder mehrere Tage, Wochen oder Monate mit aktiven und inaktiven Zeiträumen umfassen. Eine Kampagne kann gegen Ihre spezifische Organisation gestartet werden, oder Ihre Organisation kann Teil einer größeren Kampagne in mehreren Unternehmen sein.

Kampagnen im Microsoft 365 Defender-Portal

Kampagnen finden Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comEmail Kampagnen für & die Zusammenarbeit> oder direkt unter .https://security.microsoft.com/campaigns

Screenshot: Kampagnen im Microsoft 365 Defender-Portal

Sie können Kampagnen auch in folgenden Apps anzeigen:

  • & Email Zusammenarbeit>Explorer>Kampagnen anzeigen>
  • & Email-Zusammenarbeits-Explorer>> Registerkarte"Alle E-Mail-Kampagne>anzeigen>"
  • & Email-Zusammenarbeits-Explorer>> Registerkarte"Phish-Kampagne>anzeigen>"
  • & Email-Zusammenarbeits-Explorer>> Registerkarte"Schadsoftwarekampagne>anzeigen>"

Erforderliche Lizenzen und Berechtigungen

  • Kampagnen sind in Defender for Office 365 Plan 2 verfügbar (Add-On-Lizenzen oder in Abonnements wie Microsoft 365 E5 enthalten).
  • Für den Zugriff auf Kampagnen müssen Sie Mitglied der Rollengruppen Organisationsverwaltung, Sicherheitsadministrator oder Sicherheitsleseberechtigter im Microsoft 365 Defender-Portal sein. Weitere Informationen finden Sie unter Berechtigungen im Microsoft 365 Defender-Portal.

Übersicht über Kampagnen

Die Hauptseite Kampagnen ist ein Bedrohungsbericht mit allen Kampagnen, die auf Ihre Organisationen ausgerichtet sind.

Auf der Standardregisterkarte Kampagne wird im Bereich Kampagnentyp ein Balkendiagramm angezeigt, das die Anzahl der Empfänger pro Tag anzeigt. Standardmäßig werden im Diagramm sowohl Phish - als auch Schadsoftwaredaten angezeigt.

Tipp

Wenn keine Kampagnendaten oder sehr eingeschränkte Daten angezeigt werden, versuchen Sie, den Datumsbereich oder die Filter zu ändern.

Die Tabelle unterhalb des Diagramms auf der Übersichtsseite enthält die folgenden Informationen auf der Registerkarte Kampagne :

  • Name

  • Beispiel-Betreff: Betreffzeile einer der Nachrichten in der Kampagne. Beachten Sie, dass nicht unbedingt alle Nachrichten in der Kampagne denselben Betreff haben.

  • Ziel: Der Prozentsatz, der berechnet wird durch: (die Anzahl der Kampagnenempfänger in Ihrer Organisation) / (die Gesamtzahl der Empfänger in der Kampagne in allen Organisationen im Dienst). Dieser Wert gibt den Grad an, in dem die Kampagne nur an Ihre Organisation gerichtet ist (ein höherer Wert) im Vergleich zu anderen Organisationen im Dienst (ein niedrigerer Wert).

  • Typ: Dieser Wert ist entweder Phish oder Malware.

  • Untertyp: Dieser Wert enthält weitere Details zur Kampagne. Beispiel:

    • Phish: Wo verfügbar, die Marke, die von dieser Kampagne phished wird. Beispiel: Microsoft, 365, Unknown, Outlookoder DocuSign.
    • Schadsoftware: Beispiel: HTML/PHISH oder HTML/<MalwareFamilyName>.

    Sofern verfügbar, die Marke, die von dieser Kampagne phished wird. Wenn die Erkennung von Defender for Office 365 Technologie gesteuert wird, wird dem Untertypwert das Präfix ATP- hinzugefügt.

  • Empfänger: Die Anzahl der Benutzer, auf die diese Kampagne abzielt.

  • Posteingang: Die Anzahl der Benutzer, die Nachrichten von dieser Kampagne in ihrem Posteingang erhalten haben (nicht an ihren Junk-Email Ordner übermittelt).

  • Geklickt: Die Anzahl der Benutzer, die auf die URL geklickt oder die Anlage in der Phishing-Nachricht geöffnet haben.

  • Klickrate: Der Prozentsatz, der von "Clicked / Inboxed" berechnet wird. Dieser Wert ist ein Indikator für die Effektivität der Kampagne. Mit anderen Worten, wenn die Empfänger die Nachricht als Phishing identifizieren konnten, und wenn sie nicht auf die Nutzlast-URL geklickt haben.

    Beachten Sie, dass die Klickrate nicht in Schadsoftwarekampagnen verwendet wird.

  • Besucht: Wie viele Benutzer es tatsächlich zur Nutzlast-Website geschafft haben. Wenn geklickte Werte vorhanden sind, aber sichere Links den Zugriff auf die Website blockiert haben, ist dieser Wert null.

Auf der Registerkarte Kampagnenursprung werden die Nachrichtenquellen auf einer Weltkarte angezeigt.

Filter und Einstellungen

Oben auf der Seite Kampagne gibt es mehrere Filter- und Abfrageeinstellungen, mit denen Sie bestimmte Kampagnen finden und isolieren können.

Die Kampagnenfilter

Die einfachste Filterung, die Sie durchführen können, ist das Startdatum/die Startzeit und das Enddatum/die Endzeit.

Um die Ansicht weiter zu filtern, können Sie eine einzelne Eigenschaft mit mehreren Werten filtern, indem Sie auf die Schaltfläche Kampagnentyp klicken, Ihre Auswahl treffen und dann auf Aktualisieren klicken.

Die filterbaren Kampagneneigenschaften, die in der Schaltfläche Kampagnentyp verfügbar sind, werden in der folgenden Liste beschrieben:

  • Basic:

    • Kampagnentyp: Wählen Sie Malware oder Phish aus. Das Löschen der Auswahl hat das gleiche Ergebnis wie die Auswahl beider Optionen.
    • Kampagnenname
    • Kampagnenuntertyp
    • Sender
    • Empfänger
    • Absenderdomäne
    • Betreff
    • Dateiname der Anlage
    • Malware-Familie
    • Tags: Benutzer oder Gruppen, für die das angegebene Benutzertag angewendet wurde (einschließlich Prioritätskonten). Weitere Informationen zu Benutzertags finden Sie unter Benutzertags.
    • Übermittlungsaktion
    • Zusätzliche Aktion
    • Directionality
    • Erkennungstechnologie
    • Ursprünglicher Lieferort
    • Letzter Lieferort
    • Systemüberschreibungen

  • Erweitert:

    • Internetnachrichten-ID: Verfügbar im Headerfeld Message-ID im Nachrichtenheader. Ein Beispielwert ist <08f1e0f6806a47b4ac103961109ae6ef@server.domain> (beachten Sie die spitzen Klammern).
    • Netzwerknachrichten-ID: Ein GUID-Wert, der im Headerfeld X-MS-Exchange-Organization-Network-Message-Id im Nachrichtenheader verfügbar ist.
    • Sender-IP
    • Anlage SHA256: Um den SHA256-Hashwert einer Datei in Windows zu finden, führen Sie den folgenden Befehl in einer Eingabeaufforderung aus: certutil.exe -hashfile "<Path>\<Filename>" SHA256.
    • Cluster-ID
    • Warnungs-ID
    • Warnungsrichtlinien-ID
    • Kampagnen-ID
    • ZAP-URL-Signal

  • URLs:

    • URL-Domäne
    • URL-Domäne und -Pfad
    • URL
    • URL-Pfad
    • Klicken Sie auf "Urteil".

Für eine erweiterte Filterung, einschließlich der Filterung nach mehreren Eigenschaften, können Sie auf die Schaltfläche Erweiterter Filter klicken, um eine Abfrage zu erstellen. Die gleichen Kampagneneigenschaften sind verfügbar, jedoch mit den folgenden Verbesserungen:

  • Sie können auf Bedingung hinzufügen klicken, um mehrere Bedingungen auszuwählen.
  • Sie können den Operator Und oder Oder zwischen Bedingungen auswählen.
  • Sie können das Gruppenelement Bedingung am Ende der Bedingungsliste auswählen, um komplexe Verbundbedingungen zu bilden.

Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Abfrage .

Nachdem Sie einen einfachen oder erweiterten Filter erstellt haben, können Sie ihn speichern, indem Sie Abfrage speichern oder Abfrage speichern unter verwenden. Wenn Sie später zur Seite Kampagnen zurückkehren, können Sie einen gespeicherten Filter laden, indem Sie auf Gespeicherte Abfrageeinstellungen klicken.

Klicken Sie zum Exportieren des Diagramms oder der Liste der Kampagnen auf Exportieren , und wählen Sie Diagrammdaten exportieren oder Kampagnenliste exportieren aus.

Wenn Sie über ein Microsoft Defender for Endpoint-Abonnement verfügen, können Sie auf MDE-Einstellungen klicken, um die Kampagneninformationen mit Microsoft Defender for Endpoint zu verbinden oder zu trennen. Weitere Informationen finden Sie unter Integrieren von Microsoft Defender for Office 365 in Microsoft Defender for Endpoint.

Kampagnendetails

Wenn Sie auf den Namen einer Kampagne klicken, werden die Kampagnendetails in einem Flyout angezeigt.

Kampagneninformationen

Oben in der Detailansicht der Kampagne sind die folgenden Kampagneninformationen verfügbar:

  • Kampagnen-ID: Der eindeutige Kampagnenbezeichner.
  • Aktivität: Dauer und Aktivität der Kampagne.
  • Die folgenden Daten für den ausgewählten Datumsbereichsfilter (oder den Sie auf der Zeitachse auswählen):
  • Auswirkung
  • Nachrichten: Die Gesamtzahl der Empfänger.
  • Posteingang: Die Anzahl der Nachrichten, die an den Posteingang und nicht an den Junk-Email-Ordner übermittelt wurden.
  • Link geklickt: Gibt an, wie viele Benutzer in der Phishingnachricht auf die URL-Nutzlast geklickt haben.
  • Besuchter Link: Gibt an, wie viele Benutzer die URL besucht haben.
  • Gezielt (%): Der Prozentsatz, der berechnet wird durch: (die Anzahl der Kampagnenempfänger in Ihrer Organisation) / (die Gesamtzahl der Empfänger in der Kampagne in allen Organisationen im Dienst). Beachten Sie, dass dieser Wert über die gesamte Lebensdauer der Kampagne berechnet wird und sich nicht basierend auf Datumsfiltern ändert.
  • Startdatum/Uhrzeit- und Enddaten-/Uhrzeitfilter für den Kampagnenflow, wie im nächsten Abschnitt beschrieben.
  • Eine interaktive Zeitachse der Kampagnenaktivität: Auf der Zeitachse werden Aktivitäten über die gesamte Lebensdauer der Kampagne angezeigt. Sie können mit dem Mauszeiger auf die Datenpunkte im Diagramm zeigen, um die Menge der erkannten Nachrichten anzuzeigen.

Informationen zur Kampagne

Kampagnenfluss

In der Mitte der Kampagnendetailsansicht werden wichtige Details zur Kampagne in einem horizontalen Flussdiagramm (als Sankey-Diagramm bezeichnet) dargestellt. Diese Details helfen Ihnen, die Elemente der Kampagne und die potenziellen Auswirkungen in Ihrer Organisation zu verstehen.

Tipp

Die im Flussdiagramm angezeigten Informationen werden durch den Datumsbereichsfilter auf der Zeitachse gesteuert, wie im vorherigen Abschnitt beschrieben.

Die Kampagnendetails, die keine Benutzer-URL-Klicks enthalten

Wenn Sie im Diagramm auf ein horizontales Band zeigen, sehen Sie die Anzahl der verwandten Nachrichten (z. B. Nachrichten aus einer bestimmten Quell-IP, Nachrichten aus der Quell-IP-Adresse, die die angegebene Absenderdomäne verwenden, usw.).

Das Diagramm enthält die folgenden Informationen:

  • Sender-IPs

  • Absenderdomänen

  • Filterbewertungen: Die Bewertungswerte beziehen sich auf die verfügbaren Phishing- und Spamfilterungsurteile, wie unter Antispam-Nachrichtenheader beschrieben. Die verfügbaren Werte werden in der folgenden Tabelle beschrieben:

    Wert Spamfilterbewertung Beschreibung
    Erlaubt SFV:SKN

    SFV:SKI

    		 Die Nachricht wurde vor der Auswertung durch die Spamfilterung als kein Spam markiert und/oder die Filterung übersprungen. Beispielsweise wurde die Nachricht von einer Nachrichtenflussregel (auch als Transportregel bezeichnet) als kein Spam gekennzeichnet.

    Die Nachricht hat die Spamfilterung aus anderen Gründen übersprungen. Beispielsweise scheinen sich Absender und Empfänger in derselben Organisation zu befinden.
    Gesperrt SFV:SKS Die Nachricht wurde als Spam gekennzeichnet, bevor sie durch Spamfilterung ausgewertet wurde. Beispielsweise durch eine Nachrichtenflussregel.
    Erkannt SFV:SPM Die Nachricht wurde vom Spamfilter als Spam markiert.
    Nicht erkannt SFV:NSPM Die Nachricht wurde durch Spamfilterung als nicht spam gekennzeichnet.
    Freigegeben SFV:SKQ Die Nachricht hat die Spamfilterung übersprungen, da sie aus der Quarantäne freigegeben wurde.
    Mandanten zulassen* SFV:SKA Die Nachricht hat die Spamfilterung aufgrund der Einstellungen in einer Antispamrichtlinie übersprungen. Beispielsweise befand sich der Absender in der Liste der zulässigen Absender oder der Liste der zulässigen Domänen.
    Mandantenblock** SFV:SKA Die Nachricht wurde aufgrund der Einstellungen in einer Antispamrichtlinie durch Spamfilterung blockiert. Beispielsweise befand sich der Absender in der Liste der zulässigen Absender oder der Liste der zulässigen Domänen.
    Benutzer zulassen* SFV:SFE Die Nachricht hat die Spamfilterung übersprungen, da sich der Absender in der Liste der sicheren Absender eines Benutzers befand.
    Benutzer blockieren** SFV:BLK Die Nachricht wurde durch Spamfilterung blockiert, da sich der Absender in der Liste blockierter Absender eines Benutzers befand.
    ZAP n/v Zap (Zero-Hour Auto Purge) hat die übermittelte Nachricht in den Junk-Email Ordner verschoben oder unter Quarantäne gestellt. Sie konfigurieren die Aktion in Antispamrichtlinien.

    * Überprüfen Sie Ihre Antispamrichtlinien, da die zulässige Nachricht wahrscheinlich vom Dienst blockiert worden wäre.

    ** Überprüfen Sie Ihre Antispamrichtlinien, da diese Nachrichten unter Quarantäne gestellt und nicht übermittelt werden sollten.

  • Nachrichtenziele: Sie möchten wahrscheinlich Nachrichten untersuchen, die an Empfänger übermittelt wurden (entweder an den Posteingang oder den Ordner Junk Email), auch wenn Benutzer nicht auf die Nutzlast-URL in der Nachricht geklickt haben. Sie können die in Quarantäne befindlichen Nachrichten auch aus der Quarantäne entfernen. Weitere Informationen finden Sie unter Isolierte E-Mail-Nachrichten in EOP.

    • Ordner gelöscht
    • Gelöscht
    • Extern: Der Empfänger befindet sich in Ihrer lokalen E-Mail-Organisation in Hybridumgebungen.
    • Fehlgeschlagen
    • Weitergeleitet
    • Posteingang
    • Junk-E-Mail-Ordner
    • Quarantäne
    • Unknown

  • URL-Klicks: Diese Werte werden im nächsten Abschnitt beschrieben.

Hinweis

In allen Ebenen, die mehr als 10 Elemente enthalten, werden die ersten 10 Elemente angezeigt, während die restlichen elemente in Andere gebündelt sind.

URL-Klicks

Wenn eine Phishing-Nachricht an den Posteingang oder junk Email Ordner eines Empfängers übermittelt wird, besteht immer die Möglichkeit, dass der Benutzer auf die Nutzlast-URL klickt. Wenn Sie nicht auf die URL klicken, ist ein kleines Maß für den Erfolg, aber Sie müssen ermitteln, warum die Phishing-Nachricht überhaupt an das Postfach übermittelt wurde.

Wenn ein Benutzer in der Phishingnachricht auf die Nutzlast-URL geklickt hat, werden die Aktionen im Bereich URL-Klicks des Diagramms in der Ansicht mit den Kampagnendetails angezeigt.

  • Erlaubt
  • BlockPage: Der Empfänger hat auf die Nutzlast-URL geklickt, aber sein Zugriff auf die schädliche Website wurde durch eine Richtlinie für sichere Links in Ihrer Organisation blockiert.
  • BlockPageOverride: Der Empfänger hat in der Nachricht auf die Nutzlast-URL geklickt, safe links hat versucht, sie zu beenden, aber er durfte den Block außer Kraft setzen. Überprüfen Sie Ihre Richtlinien für sichere Links , um zu ermitteln, warum Benutzer das Urteil für sichere Links außer Kraft setzen und mit der schädlichen Website fortfahren dürfen.
  • PendingDetonationPage: Sichere Anlagen in Microsoft Defender for Office 365 wird gerade die Nutzlast-URL in einer virtuellen Computerumgebung geöffnet und untersucht.
  • PendingDetonationPageOverride: Der Empfänger durfte den Nutzlastdetonationsprozess überschreiben und die URL öffnen, ohne auf die Ergebnisse zu warten.

Registerkarten

Über die Registerkarten in der Ansicht mit den Kampagnendetails können Sie die Kampagne genauer untersuchen.

Tipp

Die Informationen, die auf den Registerkarten angezeigt werden, werden durch den Datumsbereichsfilter auf der Zeitachse gesteuert, wie im Abschnitt Kampagneninformationen beschrieben.

  • URL-Klicks: Wenn Benutzer in der Nachricht nicht auf die Nutzlast-URL geklickt haben, ist dieser Abschnitt leer. Wenn ein Benutzer auf die URL klicken konnte, werden die folgenden Werte aufgefüllt:

    • Benutzer*
    • URL*
    • Klickzeit
    • Klicken Sie auf "Urteil".

  • Sender-IPs

    • Sender-IP*
    • Gesamtanzahl
    • Posteingang
    • Nicht im Posteingang
    • SPF übergeben: Der Absender wurde vom Sender Policy Framework (SPF) authentifiziert. Ein Absender, der die SPF-Überprüfung nicht besteht, weist auf einen nicht authentifizierten Absender hin, oder die Nachricht spooft einen legitimen Absender.

  • Absender

    • Absender: Dies ist die tatsächliche Absenderadresse im SMTP-Befehl MAIL FROM, bei dem es sich nicht unbedingt um die E-Mail-Adresse Von: handelt, die Benutzern in ihren E-Mail-Clients angezeigt wird.
    • Gesamtanzahl
    • Posteingang
    • Nicht im Posteingang
    • DKIM bestanden: Der Absender wurde von Domain Keys Identified Mail (DKIM) authentifiziert. Ein Absender, der die DKIM-Überprüfung nicht besteht, weist auf einen nicht authentifizierten Absender hin, oder die Nachricht spooft einen legitimen Absender.
    • DMARC übergeben: Der Absender wurde durch domänenbasierte Nachrichtenauthentifizierung, Berichterstellung und Konformität (DMARC) authentifiziert. Ein Absender, der die DMARC-Überprüfung nicht besteht, weist auf einen nicht authentifizierten Absender hin, oder die Nachricht spooft einen legitimen Absender.

  • Anhänge

    • Filename
    • SHA256
    • Malware-Familie
    • Gesamtanzahl

  • URL

    • URL*
    • Gesamtanzahl

* Wenn Sie auf diesen Wert klicken, wird ein neues Flyout geöffnet, das weitere Details zu dem angegebenen Element (Benutzer, URL usw.) oben in der Ansicht "Kampagnendetails" enthält. Wenn Sie zur Ansicht "Kampagnendetails" zurückkehren möchten, klicken Sie im neuen Flyout auf Fertig.

Zusätzliche Aktionen

Mit den Schaltflächen am unteren Rand der Kampagnendetailsansicht können Sie Details zur Kampagne untersuchen und aufzeichnen:

  • Erkunden von Nachrichten: Nutzen Sie die Leistungsfähigkeit des Bedrohungs-Explorers, um die Kampagne weiter zu untersuchen:

    • Alle Nachrichten: Öffnet eine neue Suchregisterkarte des Bedrohungs-Explorers, die den Wert der Kampagnen-ID als Suchfilter verwendet.
    • Posteingangsnachrichten: Öffnet eine neue Suchregisterkarte des Bedrohungs-Explorers, die die Kampagnen-ID und den Übermittlungsspeicherort: Posteingang als Suchfilter verwendet.
    • Interne Meldungen: Öffnet eine neue Suchregisterkarte für den Bedrohungs-Explorer mit der Kampagnen-ID und Directionality: Organisationsintern als Suchfilter.

  • Bedrohungsbericht herunterladen: Laden Sie die Kampagnendetails in ein Word-Dokument herunter (standardmäßig mit dem Namen CampaignReport.docx). Beachten Sie, dass der Download Details über die gesamte Lebensdauer der Kampagne enthält (nicht nur die ausgewählten Filterdaten).