Automatisierte Untersuchung und Reaktion (AIR) in Microsoft Defender for Office 365

• Gilt für::

  ✅ Microsoft Defender for Office 365 Plan 2, ✅ Microsoft Defender XDR

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Microsoft Defender for Office 365 umfasst leistungsstarke AIR-Funktionen (Automated Investigation and Response), die Ihrem Sicherheitsteam Zeit und Aufwand sparen können. Wenn Warnungen ausgelöst werden, liegt es an Ihrem Sicherheitsbetriebsteam, diese Warnungen zu überprüfen, zu priorisieren und darauf zu reagieren. Es kann überwältigend sein, mit der Menge eingehender Warnungen Schritt zu halten. Die Automatisierung einiger dieser Aufgaben kann hilfreich sein.

AIR ermöglicht Es Ihrem Sicherheitsteam, effizienter und effektiver zu arbeiten. Zu den AIR-Funktionen gehören automatisierte Untersuchungsprozesse als Reaktion auf bekannte Bedrohungen, die heute existieren. Geeignete Abhilfemaßnahmen warten auf die Genehmigung, sodass Ihr Sicherheitsteam effektiv auf erkannte Bedrohungen reagieren kann. Mit AIR kann sich Ihr Sicherheitsteam auf Aufgaben mit höherer Priorität konzentrieren, ohne wichtige Warnungen aus den Augen zu verlieren, die ausgelöst werden.

Inhalt dieses Artikels

• Der Gesamtstrom von AIR;
• Wie man AIR bekommt; Und
• Die erforderlichen Berechtigungen zum Konfigurieren oder Verwenden von AIR-Funktionen.

Dieser Artikel enthält auch die nächsten Schritte und Ressourcen, um mehr zu erfahren.

Der Gesamtstrom von AIR

Eine Warnung wird ausgelöst, und ein Sicherheitsplaybook startet eine automatisierte Untersuchung, die zu Ergebnissen und empfohlenen Aktionen führt. Hier sehen Sie den Gesamtfluss von AIR, Schritt für Schritt:

1. Eine automatisierte Untersuchung wird auf eine der folgenden Arten initiiert:

   • Entweder wird eine Warnung durch etwas Verdächtiges in einer E-Mail ausgelöst (z. B. eine Nachricht, eine Anlage, eine URL oder ein kompromittiertes Benutzerkonto). Ein Incident wird erstellt, und eine automatisierte Untersuchung beginnt. Oder
   • Ein Sicherheitsanalyst startet eine automatisierte Untersuchung, während er Explorer verwendet.

2. Während eine automatisierte Untersuchung ausgeführt wird, werden Daten über die betreffende E-Mail und Entitäten im Zusammenhang mit dieser E-Mail (z. B. Dateien, URLs und Empfänger) gesammelt. Der Umfang der Untersuchung kann sich erhöhen, wenn neue und verwandte Warnungen ausgelöst werden.

3. Während und nach einer automatisierten Untersuchung können Details und Ergebnisse angezeigt werden. Die Ergebnisse können empfohlene Maßnahmen enthalten, die ergriffen werden können, um auf vorhandene Bedrohungen zu reagieren und diese zu beheben.

4. Ihr Sicherheitsteam überprüft die Untersuchungsergebnisse und Empfehlungen und genehmigt oder lehnt Korrekturaktionen ab.

5. Wenn ausstehende Korrekturaktionen genehmigt (oder abgelehnt) werden, wird die automatisierte Untersuchung abgeschlossen.

Hinweis

Wenn die Untersuchung keine empfohlenen Aktionen zur Folge hat, wird die automatisierte Untersuchung geschlossen, und die Details zu dem, was im Rahmen der automatisierten Untersuchung überprüft wurde, sind weiterhin auf der Untersuchungsseite verfügbar.

In Microsoft Defender for Office 365 werden keine Korrekturmaßnahmen automatisch ausgeführt. Abhilfemaßnahmen werden nur nach Genehmigung durch das Sicherheitsteam Ihrer Organisation ausgeführt. Air-Funktionen sparen Ihrem Sicherheitsteam Zeit, indem Korrekturmaßnahmen identifiziert und die Details bereitgestellt werden, die für eine fundierte Entscheidung erforderlich sind.

Während und nach jeder automatisierten Untersuchung kann Ihr Sicherheitsbetriebsteam:

• Anzeigen von Details zu einer Warnung im Zusammenhang mit einer Untersuchung
• Anzeigen der Ergebnisdetails einer Untersuchung
• Überprüfen und Genehmigen von Aktionen als Ergebnis einer Untersuchung

Tipp

Eine ausführlichere Übersicht finden Sie unter Funktionsweise von AIR.

So erhalten Sie AIR

AIR-Funktionen sind in Microsoft Defender for Office 365 Plan 2 enthalten, solange die Überwachungsprotokollierung aktiviert ist (standardmäßig aktiviert).

Überprüfen Sie außerdem die Warnungsrichtlinien Ihrer organization, insbesondere die Standardrichtlinien in der Kategorie Bedrohungsverwaltung.

Welche Warnungsrichtlinien lösen automatisierte Untersuchungen aus?

Microsoft 365 bietet viele integrierte Warnungsrichtlinien, die dabei helfen, Missbrauch von Exchange-Administratorberechtigungen, Schadsoftwareaktivitäten, potenzielle externe und interne Bedrohungen sowie Informationsgovernancerisiken zu identifizieren. Mehrere der Standardwarnungsrichtlinien können automatisierte Untersuchungen auslösen. In der folgenden Tabelle werden die Warnungen, die automatisierte Untersuchungen auslösen, ihr Schweregrad im Microsoft Defender-Portal und deren Generierung beschrieben:

Warnung	Severity	Generieren der Warnung
Ein potenziell schädlicher URL-Klick wurde erkannt.	High	Diese Warnung wird generiert, wenn eine der folgenden Aktionen auftritt: Ein Benutzer, der durch sichere Links in Ihrem organization geschützt ist, klickt auf einen schädlichen Link. Bewertungsänderungen für URLs werden durch Microsoft Defender for Office 365 Benutzer überschreiben Warnseiten für sichere Links (basierend auf der Richtlinie für sichere Links Ihres organization). Weitere Informationen zu Ereignissen, die diese Warnung auslösen, finden Sie unter Einrichten von Richtlinien für sichere Links.
Eine E-Mail-Nachricht wird von einem Benutzer als Schadsoftware oder Phish gemeldet.	Niedrig	Diese Warnung wird generiert, wenn Benutzer in Ihrem organization Nachrichten mithilfe der Add-Ins Microsoft Report Message oder Report Phishing als Phishing-E-Mail melden.
E-Mail-Nachrichten mit schädlicher Datei wurden nach der Übermittlung entfernt	Zur Information	Diese Warnung wird generiert, wenn Nachrichten, die eine schädliche Datei enthalten, an Postfächer in Ihrem organization übermittelt werden. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten aus Exchange Online Postfächern mithilfe von ZAP (Zero-Hour Auto Purge).
Email Nachrichten, die Schadsoftware enthalten, werden nach der Zustellung entfernt	Zur Information	Diese Warnung wird generiert, wenn E-Mail-Nachrichten, die Schadsoftware enthalten, an Postfächer in Ihrem organization übermittelt werden. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten aus Exchange Online Postfächern mithilfe von ZAP (Zero-Hour Auto Purge).
E-Mail-Nachrichten mit schädlicher URL wurden nach der Zustellung entfernt	Zur Information	Diese Warnung wird generiert, wenn Nachrichten, die eine schädliche URL enthalten, an Postfächer in Ihrem organization übermittelt werden. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten aus Exchange Online Postfächern mithilfe von ZAP (Zero-Hour Auto Purge).
Email Nachrichten, die Phish-URLs enthalten, werden nach der Übermittlung entfernt	Zur Information	Diese Warnung wird generiert, wenn Nachrichten, die Phish enthalten, an Postfächer in Ihrem organization übermittelt werden. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten mithilfe von ZAP aus Exchange Online Postfächern.
Verdächtige E-Mail-Sendemuster werden erkannt	Medium	Diese Warnung wird generiert, wenn jemand in Ihrem organization verdächtige E-Mails gesendet hat und Gefahr besteht, dass das Senden von E-Mails eingeschränkt wird. Die Warnung ist eine frühzeitige Warnung für Verhalten, die möglicherweise darauf hindeuten, dass das Konto kompromittiert ist, aber nicht schwerwiegend genug ist, um den Benutzer einzuschränken. Obwohl dies selten ist, kann eine von dieser Richtlinie generierte Warnung eine Anomalie sein. Es empfiehlt sich jedoch, zu überprüfen, ob das Benutzerkonto kompromittiert ist.
Ein Benutzer kann keine E-Mails senden.	High	Diese Warnung wird generiert, wenn eine Person in Ihrem organization das Senden ausgehender E-Mails eingeschränkt ist. Diese Warnung ergibt sich in der Regel, wenn ein E-Mail-Konto kompromittiert wird. Weitere Informationen zu eingeschränkten Benutzern finden Sie unter Entfernen blockierter Benutzer von der Seite Eingeschränkte Entitäten.
Admin ausgelöste manuelle Untersuchung von E-Mails	Zur Information	Diese Warnung wird generiert, wenn ein Administrator die manuelle Untersuchung einer E-Mail von Threat Explorer auslöst. Diese Warnung benachrichtigt Ihre organization, dass die Untersuchung gestartet wurde.
Admin ausgelöste Untersuchung der Benutzerkompromittierung	Medium	Diese Warnung wird generiert, wenn ein Administrator die manuelle Untersuchung der Benutzerkompromittierung eines E-Mail-Absenders oder Empfängers von Threat Explorer auslöst. Diese Warnung benachrichtigt Ihre organization, dass die Untersuchung der Benutzerkompromittierung gestartet wurde.

Tipp

Weitere Informationen zu Warnungsrichtlinien oder zum Bearbeiten der Standardeinstellungen finden Sie unter Warnungsrichtlinien im Microsoft Defender-Portal.

Erforderliche Berechtigungen für die Verwendung von AIR-Funktionen

Ihnen müssen Berechtigungen zugewiesen sein, um AIR verwenden zu können. Sie haben folgende Optionen:

• Microsoft Defender XDR einheitliche rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (betrifft nur das Defender-Portal, nicht PowerShell):

  • Starten Einer automatisierten Untersuchung oder Genehmigen oder Ablehnen empfohlener Aktionen: Sicherheitsoperator/Email erweiterte Wartungsaktionen (Verwalten).

• Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal:

  • Einrichten von AIR-Features: Mitgliedschaft in den Rollengruppen "Organisationsverwaltung" oder "Sicherheitsadministrator ".
  • Starten Einer automatisierten Untersuchung oder Genehmigen oder Ablehnen empfohlener Aktionen:
    • Mitgliedschaft in den Rollengruppen "Organisationsverwaltung", "Sicherheitsadministrator", "Sicherheitsoperator", "Sicherheitsleseberechtigter" oder " Globaler Leser ". und
    • Mitgliedschaft in einer Rollengruppe mit zugewiesenen Rollen "Search" und "Bereinigen". Standardmäßig wird diese Rolle den Rollengruppen Datenermittler und Organisationsverwaltung zugewiesen. Alternativ können Sie eine benutzerdefinierte Rollengruppe erstellen, um die Rolle Search und Bereinigen zuzuweisen.

• Microsoft Entra Berechtigungen:

  • Einrichten von AIR-Features Mitgliedschaft in der Rolle "Globaler Administrator " oder "Sicherheitsadministrator ".
  • Starten Einer automatisierten Untersuchung oder Genehmigen oder Ablehnen empfohlener Aktionen:
    • Mitgliedschaft in den Rollen "Globaler Administrator", "Sicherheitsadministrator", "Sicherheitsoperator", "Sicherheitsleseberechtigter" oder " Globaler Leser ". und
    • Mitgliedschaft in einer Email & Rollengruppe für die Zusammenarbeit mit zugewiesenen Rollen "Search" und "Bereinigen". Standardmäßig wird diese Rolle den Rollengruppen Datenermittler und Organisationsverwaltung zugewiesen. Alternativ können Sie eine benutzerdefinierte Email & Rollengruppe für die Zusammenarbeit erstellen, um die Rollen "Search" und "Bereinigen" zuzuweisen.

  Microsoft Entra Berechtigungen erteilen Benutzern die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

Erforderliche Lizenzen:

Microsoft Defender for Office 365 Plan 2-Lizenzen sollten zugewiesen werden:

• Sicherheitsadministratoren (einschließlich globaler Administratoren)
• Das Sicherheitsbetriebsteam Ihres organization (einschließlich Sicherheitsleseberechtigten und Personen mit den Rollen "Search und Bereinigen")
• Endbenutzer

Nächste Schritte

• Erste Schritte mit AIR
• Anzeigen von Details und Ergebnissen einer automatisierten Untersuchung
• Überprüfen und Genehmigen ausstehender Aktionen
• Anzeigen ausstehender oder abgeschlossener Wartungsaktionen