Untersuchen schädlicher E-Mails, die in Microsoft 365 übermittelt wurden

  • Artikel
  • 11 Minuten Lesedauer

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft 365 Defender-Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Gilt für:

Microsoft Defender for Office 365 ermöglicht es Ihnen, Aktivitäten zu untersuchen, die Personen in Ihrer Organisation gefährden, und Maßnahmen zum Schutz Ihrer Organisation zu ergreifen. Wenn Sie beispielsweise Teil des Sicherheitsteams Ihrer Organisation sind, können Sie verdächtige E-Mail-Nachrichten finden und untersuchen, die übermittelt wurden. Dazu können Sie den Bedrohungs-Explorer (oder Echtzeiterkennungen) verwenden.

Hinweis

Wechseln Sie hier zum Artikel zur Behebung.

Vorabinformationen

Stellen Sie sicher, dass folgende Anforderungen erfüllt sind:

Rollenberechtigungen in der Vorschau anzeigen

Zum Ausführen bestimmter Aktionen, z. B. anzeigen von Nachrichtenkopfzeilen oder Herunterladen von E-Mail-Nachrichteninhalten, muss die Vorschaurolle einer anderen geeigneten Rollengruppe hinzugefügt werden. In der folgenden Tabelle werden die erforderlichen Rollen und Berechtigungen erläutert.

Aktivität Rollengruppe Vorschaurolle erforderlich?
Verwenden des Bedrohungs-Explorers (und Echtzeiterkennungen) zum Analysieren von Bedrohungen Globaler Administrator

Sicherheitsadministrator

Sicherheitsleseberechtigter

 Nein
Verwenden des Bedrohungs-Explorers (und Echtzeiterkennungen), um Kopfzeilen für E-Mail-Nachrichten anzuzeigen sowie eine Vorschau anzuzeigen und in Quarantäne befindliche E-Mail-Nachrichten herunterzuladen Globaler Administrator

Sicherheitsadministrator

Sicherheitsleseberechtigter

 Nein
Verwenden des Bedrohungs-Explorers zum Anzeigen von Kopfzeilen, Anzeigen einer Vorschau von E-Mails (nur auf der Seite der E-Mail-Entität) und Herunterladen von E-Mail-Nachrichten, die an Postfächer übermittelt werden Globaler Administrator

Sicherheitsadministrator

Sicherheitsleseberechtigter

Vorschau

 Ja

Hinweis

Die Vorschau ist eine Rolle, keine Rollengruppe. Die Vorschaurolle muss einer vorhandenen Rollengruppe oder einer neuen Rollengruppe im Microsoft 365 Defender-Portal hinzugefügt werden. Weitere Informationen finden Sie unter Berechtigungen im Microsoft 365 Defender-Portal.

Der Rolle "Globaler Administrator" wird die Microsoft 365 Admin Center unter https://admin.microsoft.comzugewiesen. Die Rollen "Sicherheitsadministrator" und "Sicherheitsleseberechtigter" werden in Microsoft 365 Defender Portal zugewiesen.

Wir wissen, dass die Vorschau und das Herunterladen von E-Mails sensible Aktivitäten sind, daher ist die Überwachung für diese Aktivitäten aktiviert. Sobald ein Administrator diese Aktivitäten per E-Mail ausführt, werden Überwachungsprotokolle für dasselbe generiert und können im Microsoft 365 Defender-Portal auf https://security.microsoft.com der Registerkarte Überwachungssuche> angezeigt werden, und filtern Sie nach dem Administratornamen im Feld Benutzer. In den gefilterten Ergebnissen wird die Aktivität AdminMailAccess angezeigt. Wählen Sie eine Zeile aus, um Details im Abschnitt Weitere Informationen zu in der Vorschau angezeigten oder heruntergeladenen E-Mails anzuzeigen.

Verdächtige E-Mails finden, die übermittelt wurden

Der Bedrohungs-Explorer ist ein leistungsstarker Bericht, der mehrere Zwecke erfüllen kann, z. B. das Suchen und Löschen von Nachrichten, das Identifizieren der IP-Adresse eines böswilligen E-Mail-Absenders oder das Starten eines Incidents zur weiteren Untersuchung. Das folgende Verfahren konzentriert sich auf die Verwendung von Explorer, um schädliche E-Mails aus den Postfächern des Empfängers zu finden und zu löschen.

Hinweis

Standardsuchen im Explorer enthalten derzeit keine zugestellten Elemente, die durch automatische Löschzeit (Zero-Hour Auto Purge, ZAP) aus dem Cloudpostfach entfernt wurden. Diese Einschränkung gilt für alle Ansichten (z. B. die Email > Malware oder Email > Phish-Ansichten). Um elemente einzuschließen, die von ZAP entfernt wurden, müssen Sie einen Übermittlungsaktionssatz hinzufügen, der von ZAP entfernt enthalten ist. Wenn Sie alle Optionen einschließen, werden alle Ergebnisse der Übermittlungsaktion angezeigt, einschließlich der von ZAP entfernten Elemente.

  1. Navigieren Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu Email & Zusammenarbeits-Explorer> . Um direkt zur Explorer-Seite zu wechseln, verwenden Sie https://security.microsoft.com/threatexplorer.

    Auf der Seite Explorer zeigt die Spalte Zusätzliche Aktionen den Administratoren das Ergebnis der Verarbeitung einer E-Mail an. Auf die Spalte Zusätzliche Aktionen kann an derselben Stelle wie die Übermittlungsaktion und der Übermittlungsspeicherort zugegriffen werden. Spezielle Aktionen werden möglicherweise am Ende der E-Mail-Zeitachse des Bedrohungs-Explorers aktualisiert. Dies ist ein neues Feature, das darauf abzielt, die Sucherfahrung für Administratoren zu verbessern.

  2. Wählen Sie im Menü Ansicht in der Dropdownliste Email>Alle E-Mails aus.

    Die Dropdownliste

    Die Ansicht Schadsoftware ist derzeit die Standardeinstellung und erfasst E-Mails, in denen eine Schadsoftware-Bedrohung erkannt wird. Die Phish-Ansicht funktioniert auf die gleiche Weise, für Phish.

    In der Ansicht Alle E-Mails werden jedoch alle von der Organisation empfangenen E-Mails aufgelistet, unabhängig davon, ob Bedrohungen erkannt wurden oder nicht. Wie Sie sich vorstellen können, sind dies viele Daten, weshalb diese Ansicht einen Platzhalter anzeigt, der die Anwendung eines Filters anfragt. (Diese Ansicht ist nur für Defender for Office 365 P2-Kunden verfügbar.)

    In der Ansicht Übermittlungen werden alle E-Mails angezeigt, die vom Administrator oder Benutzer gesendet wurden und an Microsoft gemeldet wurden.

  3. Suchen und Filtern im Bedrohungs-Explorer: Filter werden oben auf der Seite in der Suchleiste angezeigt, um Administratoren bei ihren Untersuchungen zu helfen. Beachten Sie, dass mehrere Filter gleichzeitig angewendet und einem Filter mehrere durch Trennzeichen getrennte Werte hinzugefügt werden können, um die Suche einzugrenzen. Denken Sie daran:

    • Filter führen bei den meisten Filterbedingungen genaue Übereinstimmungen durch.
    • Der Betrefffilter verwendet eine CONTAINS-Abfrage. Eine CONTAINS-Abfrage sucht nach einer genauen Übereinstimmung der Teilzeichenfolge. Wildcards oder reguläre Ausdrücke werden nicht unterstützt.
    • URL-Filter funktionieren mit oder ohne Protokolle (z. B. https).
    • URL-Domäne, URL-Pfad und URL-Domänen- und Pfadfilter erfordern kein Protokoll zum Filtern.
    • Sie müssen jedes Mal auf das Symbol Aktualisieren klicken, wenn Sie die Filterwerte ändern, um relevante Ergebnisse zu erhalten.

  4. Erweiterte Filter: Mit diesen Filtern können Sie komplexe Abfragen erstellen und Ihr Dataset filtern. Wenn Sie auf Erweiterte Filter klicken, wird ein Flyout mit Optionen geöffnet.

    Erweiterte Filterung ist eine hervorragende Ergänzung der Suchfunktionen. Ein boolescher Wert NICHT für die DomänenfilterEmpfänger, Absender und Absender ermöglicht Administratoren die Untersuchung durch Ausschließen von Werten. Diese Option ist die Auswahl Gleich keine der Optionen . Diese Option ermöglicht es Administratoren, unerwünschte Postfächer von Untersuchungen auszuschließen (z. B. Warnungspostfächer und Standardantwortpostfächer), und ist nützlich für Fälle, in denen Administratoren nach einem bestimmten Thema (z. B. Aufmerksamkeit) suchen, in dem der Empfänger auf Gleich keine von festgelegt werden kann: defaultMail@contoso.com. Dies ist eine genaue Wertsuche.

    Bereich

    Durch das Hinzufügen eines Zeitfilters zum Start- und Enddatum kann Ihr Sicherheitsteam schnell einen Drilldown durchführen. Die kürzeste zulässige Dauer beträgt 30 Minuten. Wenn Sie die verdächtige Aktion nach Zeitrahmen eingrenzen können (z. B. vor 3 Stunden), schränkt dies den Kontext ein und hilft ihnen, das Problem zu ermitteln.

    Die Option zum Filtern nach Stunden

  5. Felder im Bedrohungs-Explorer: Der Bedrohungs-Explorer macht viel mehr sicherheitsbezogene E-Mail-Informationen verfügbar, z. B. Übermittlungsaktion, Zustellungsort, Spezielle Aktion, Richtungsgenauigkeit, Außerkraftsetzungen und URL-Bedrohungen. Außerdem kann das Sicherheitsteam Ihrer Organisation die Untersuchung mit höherer Sicherheit durchführen.

    Übermittlungsaktion ist die Aktion, die aufgrund vorhandener Richtlinien oder Erkennungen für eine E-Mail ausgeführt wird. Hier sind die möglichen Aktionen aufgeführt, die eine E-Mail ausführen kann:

    • Übermittelt : E-Mail wurde an den Posteingang oder Ordner eines Benutzers übermittelt, und der Benutzer kann direkt darauf zugreifen.
    • Junked (An Junk-Junk übermittelt): E-Mails wurden entweder in den Junk-Ordner des Benutzers oder an den gelöschten Ordner gesendet, und der Benutzer hat Zugriff auf E-Mail-Nachrichten in seinem Junk- oder Gelöschten Ordner.
    • Blockiert : Alle E-Mail-Nachrichten, die unter Quarantäne stehen, fehlgeschlagen sind oder gelöscht wurden.
    • Ersetzt – alle E-Mails, in denen schädliche Anlagen durch .txt Dateien ersetzt werden, die angeben, dass die Anlage böswillig war

    Zustellungsort: Der Filter "Zustellungsort" ist verfügbar, damit Administratoren verstehen können, wo vermutete schädliche E-Mails gelandet sind und welche Aktionen darauf ausgeführt wurden. Die resultierenden Daten können in ein Arbeitsblatt exportiert werden. Mögliche Lieferorte sind:

    • Posteingang oder Ordner : Die E-Mail befindet sich gemäß Ihren E-Mail-Regeln im Posteingang oder in einem bestimmten Ordner.
    • Lokal oder extern : Das Postfach ist nicht in der Cloud vorhanden, aber lokal.
    • Junk-Ordner : Die E-Mail befindet sich im Junk-E-Mail-Ordner eines Benutzers.
    • Ordner "Gelöschte Elemente" : Die E-Mail befindet sich im Ordner "Gelöschte Elemente" eines Benutzers.
    • Quarantäne : Die in Quarantäne befindliche E-Mail und nicht im Postfach eines Benutzers.
    • Fehler: Die E-Mail konnte das Postfach nicht erreichen.
    • Gelöscht : Die E-Mail ist irgendwo im E-Mail-Fluss verloren gegangen.

    Direktionalität: Mit dieser Option kann Ihr Sicherheitsteam nach der "Richtung" filtern, aus der eine E-Mail stammt oder gesendet wird. Die Werte für die Direktionalität sind eingehend, ausgehend und organisationsintern (entsprechend E-Mails , die von außerhalb in Ihre Organisation eingehen, aus Ihrer Organisation heraus gesendet werden oder intern an Ihre Organisation gesendet werden). Diese Informationen können Sicherheitsteams dabei helfen, Spoofing und Identitätswechsel zu erkennen, da ein Konflikt zwischen dem Directionality-Wert (z. B. Eingehend) und der Domäne des Absenders (die eine interne Domäne zu sein scheint ) offensichtlich ist! Der Directionality-Wert ist getrennt und kann sich von der Nachrichtenablaufverfolgung unterscheiden. Ergebnisse können in ein Arbeitsblatt exportiert werden.

    Außerkraftsetzungen: Dieser Filter verwendet Informationen, die auf der Registerkarte "Details" der E-Mail angezeigt werden, um verfügbar zu machen, wo Organisations- oder Benutzerrichtlinien zum Zulassen und Blockieren von E-Mails überschrieben wurden. Das Wichtigste an diesem Filter ist, dass er dem Sicherheitsteam Ihrer Organisation hilft zu sehen, wie viele verdächtige E-Mails aufgrund der Konfiguration zugestellt wurden. Dadurch haben sie die Möglichkeit, Die Berechtigungen und Blöcke nach Bedarf zu ändern. Dieses Resultset dieses Filters kann in ein Arbeitsblatt exportiert werden.

    Außerkraftsetzungen des Bedrohungs-Explorers Was sie bedeuten
    Durch Organisationsrichtlinie zugelassen E-Mails wurden gemäß der Organisationsrichtlinie in das Postfach zugelassen.
    Durch Organisationsrichtlinie blockiert Die Zustellung von E-Mails an das Postfach wurde gemäß den Anweisungen der Organisationsrichtlinie blockiert.
    Dateierweiterung blockiert durch Organisationsrichtlinie Die Übermittlung der Datei an das Postfach wurde gemäß der Organisationsrichtlinie blockiert.
    Durch Benutzerrichtlinie zugelassen E-Mails wurden gemäß der Benutzerrichtlinie in das Postfach zugelassen.
    Durch Benutzerrichtlinie blockiert Die Zustellung von E-Mails an das Postfach wurde gemäß den Anweisungen der Benutzerrichtlinie blockiert.

    URL-Bedrohung: Das URL-Bedrohungsfeld wurde auf der Registerkarte "Details " einer E-Mail eingeschlossen, um die von einer URL dargestellte Bedrohung anzugeben. Bedrohungen, die von einer URL angezeigt werden, können Malware, Phish oder Spam umfassen, und eine URL ohne Bedrohung enthält im Abschnitt "Bedrohungen " den Wert "None" .

  6. Email Zeitachsenansicht: Ihr Sicherheitsteam muss sich möglicherweise ausführlicher mit den E-Mail-Details befassen, um es genauer untersuchen zu können. Auf der E-Mail-Zeitachse können Administratoren Aktionen anzeigen, die für eine E-Mail von der Zustellung bis zur Postzustellung ausgeführt wurden. Um eine E-Mail-Zeitachse anzuzeigen, klicken Sie auf den Betreff einer E-Mail-Nachricht, und klicken Sie dann auf Email Zeitachse. (Es wird neben anderen Überschriften im Panel angezeigt, z. B. Zusammenfassung oder Details.) Diese Ergebnisse können in ein Arbeitsblatt exportiert werden.

    Email Zeitachse wird mit einer Tabelle geöffnet, in der alle Übermittlungs- und Postübermittlungsereignisse für die E-Mail angezeigt werden. Wenn keine weiteren Aktionen für die E-Mail vorhanden sind, sollte ein einzelnes Ereignis für die ursprüngliche Zustellung angezeigt werden, das ein Ergebnis angibt, z. B . Blockiert, mit einem Urteil wie Phish. Administratoren können die gesamte E-Mail-Zeitachse exportieren, einschließlich aller Details auf der Registerkarte und E-Mail (z. B. Betreff, Absender, Empfänger, Netzwerk und Nachrichten-ID). Die E-Mail-Zeitachse reduziert die Zufälligkeit, da weniger Zeit damit verbracht wird, verschiedene Speicherorte zu überprüfen, um zu versuchen, Ereignisse zu verstehen, die seit dem Eintreffen der E-Mail aufgetreten sind. Wenn mehrere Ereignisse gleichzeitig oder gleichzeitig in einer E-Mail auftreten, werden diese Ereignisse in einer Zeitachsenansicht angezeigt.

  7. Vorschau/Download: Der Bedrohungs-Explorer gibt Ihrem Sicherheitsteam die Details an, die es zum Untersuchen verdächtiger E-Mails benötigt. Ihr Sicherheitsteam hat folgende Möglichkeiten:

Überprüfen der Übermittlungsaktion und des Standorts

Im Bedrohungs-Explorer (und Echtzeiterkennungen) verfügen Sie jetzt über die Spalten Übermittlungsaktion und Übermittlungsspeicherort anstelle der früheren Spalte Übermittlungsstatus . Dies ergibt ein umfassenderes Bild davon, wo Ihre E-Mail-Nachrichten landen. Ein Teil dieser Änderung besteht darin, Die Untersuchungen für Sicherheitsteams zu vereinfachen, aber das Nettoergebnis besteht darin, den Speicherort der problematischen E-Mail-Nachrichten auf einen Blick zu kennen.

Der Übermittlungsstatus ist jetzt in zwei Spalten unterteilt:

  • Übermittlungsaktion : Wie lautet der Status dieser E-Mail?
  • Lieferort : Wohin wurde diese E-Mail als Ergebnis weitergeleitet?

Übermittlungsaktion ist die Aktion, die aufgrund vorhandener Richtlinien oder Erkennungen für eine E-Mail ausgeführt wird. Hier sind die möglichen Aktionen aufgeführt, die eine E-Mail ausführen kann:

  • Übermittelt : E-Mail wurde an den Posteingang oder Ordner eines Benutzers übermittelt, und der Benutzer kann direkt darauf zugreifen.
  • Junked : E-Mails wurden entweder an den Junk-Ordner oder den gelöschten Ordner des Benutzers gesendet, und der Benutzer hat Zugriff auf E-Mail-Nachrichten in seinem Junk- oder Gelöschten Ordner.
  • Blockiert : Alle E-Mail-Nachrichten, die unter Quarantäne stehen, fehlgeschlagen sind oder gelöscht wurden.
  • Ersetzt – alle E-Mails, in denen schädliche Anlagen durch .txt Dateien ersetzt werden, die angeben, dass die Anlage böswillig war.

Der Übermittlungsspeicherort zeigt die Ergebnisse von Richtlinien und Erkennungen an, die nach der Übermittlung ausgeführt werden. Sie ist mit einer Übermittlungsaktion verknüpft. Dieses Feld wurde hinzugefügt, um Einen Einblick in die Aktion zu geben, die ausgeführt wird, wenn eine Problem-E-Mail gefunden wird. Hier sind die möglichen Werte des Lieferstandorts:

  • Posteingang oder Ordner : Die E-Mail befindet sich im Posteingang oder in einem Ordner (gemäß Ihren E-Mail-Regeln).
  • Lokal oder extern : Das Postfach ist nicht in der Cloud vorhanden, sondern lokal.
  • Junk-Ordner : Die E-Mail befindet sich im Junk-Ordner eines Benutzers.
  • Ordner "Gelöschte Elemente" : Die E-Mail befindet sich im Ordner "Gelöschte Elemente" eines Benutzers.
  • Quarantäne : Die in Quarantäne befindliche E-Mail und nicht im Postfach eines Benutzers.
  • Fehler: Die E-Mail konnte das Postfach nicht erreichen.
  • Gelöscht: Die E-Mail geht irgendwo im E-Mail-Fluss verloren.

Anzeigen der Zeitachse Ihrer E-Mail

Email Zeitachse ist ein Feld im Bedrohungs-Explorer, das die Suche für Ihr Sicherheitsbetriebsteam vereinfacht. Wenn mehrere Ereignisse gleichzeitig oder gleichzeitig in einer E-Mail auftreten, werden diese Ereignisse in einer Zeitachsenansicht angezeigt. Einige Ereignisse, die nach der Übermittlung an E-Mail auftreten, werden in der Spalte Besondere Aktionen erfasst. Durch das Kombinieren von Informationen aus der Zeitachse einer E-Mail-Nachricht mit speziellen Aktionen, die nach der Zustellung ausgeführt wurden, erhalten Administratoren Einblicke in Richtlinien und die Behandlung von Bedrohungen (z. B. wohin die E-Mail weitergeleitet wurde und in einigen Fällen, was die endgültige Bewertung war).

Wichtig

Springen Sie hier zu einem Problembehandlungsthema.

Korrigieren bösartiger E-Mails, die in Office 365 zugestellt wurden

Microsoft Defender für Office 365

Schutz vor Bedrohungen in Office 365

Anzeigen von Berichten für Defender for Office 365