Automatisierte Untersuchung und Reaktion (AIR) in Microsoft Defender for Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion im Microsoft 365 Defender Portal-Testhub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

Microsoft Defender for Office 365 umfasst leistungsstarke AIR-Funktionen (Automated Investigation and Response), die Ihrem Sicherheitsteam Zeit und Mühe sparen können. Wenn Warnungen ausgelöst werden, liegt es an Ihrem Sicherheitsteam, diese Warnungen zu überprüfen, zu priorisieren und darauf zu reagieren. Es kann überwältigend sein, mit der Menge eingehender Warnungen schritt zu halten. Die Automatisierung einiger dieser Aufgaben kann hilfreich sein.

AIR ermöglicht Es Ihrem Sicherheitsteam, effizienter und effektiver zu arbeiten. Air-Funktionen umfassen automatisierte Untersuchungsprozesse als Reaktion auf bekannte Bedrohungen, die heute vorhanden sind. Geeignete Abhilfemaßnahmen warten auf die Genehmigung, sodass Ihr Sicherheitsteam effektiv auf erkannte Bedrohungen reagieren kann. Mit AIR kann sich Ihr Sicherheitsteam auf Aufgaben mit höherer Priorität konzentrieren, ohne wichtige Warnungen aus den Augen zu verlieren, die ausgelöst werden.

Inhalt dieses Artikels

Dieser Artikel enthält auch die nächsten Schritte und Ressourcen, um mehr zu erfahren.

Der Gesamteinfluss von AIR

Eine Warnung wird ausgelöst, und ein Sicherheits-Playbook startet eine automatisierte Untersuchung, die zu Ergebnissen und empfohlenen Aktionen führt. Hier ist der gesamtablauf von AIR, Schritt für Schritt:

  1. Eine automatisierte Untersuchung wird auf eine der folgenden Arten initiiert:
  2. Während eine automatisierte Untersuchung ausgeführt wird, werden Daten zu der fraglichen E-Mail und Entitäten im Zusammenhang mit dieser E-Mail gesammelt. Zu diesen Entitäten können Dateien, URLs und Empfänger gehören. Der Umfang der Untersuchung kann zunehmen, wenn neue und verwandte Warnungen ausgelöst werden.
  3. Während und nach einer automatisierten Untersuchung können Details und Ergebnisse angezeigt werden. Die Ergebnisse umfassen empfohlene Aktionen , die ergriffen werden können, um auf gefundene Bedrohungen zu reagieren und diese zu beheben.
  4. Ihr Sicherheitsteam überprüft die Untersuchungsergebnisse und Empfehlungen und genehmigt oder lehnt Abhilfemaßnahmen ab.
  5. Da ausstehende Wartungsaktionen genehmigt (oder abgelehnt) werden, wird die automatisierte Untersuchung abgeschlossen.

In Microsoft Defender for Office 365 werden keine Wartungsaktionen automatisch ausgeführt. Abhilfemaßnahmen werden nur nach Genehmigung durch das Sicherheitsteam Ihrer Organisation ausgeführt. AIR-Funktionen sparen Ihrem Sicherheitsbetriebsteam Zeit, indem Sie Abhilfemaßnahmen identifizieren und die details angeben, die erforderlich sind, um eine fundierte Entscheidung zu treffen.

Während und nach jeder automatisierten Untersuchung kann Ihr Sicherheitsteam Folgendes ausführen:

Tipp

Eine ausführlichere Übersicht finden Sie unter Funktionsweise von AIR.

So erhalten Sie AIR

AIR-Funktionen sind in Microsoft Defender for Office 365 enthalten, sofern Ihre Richtlinien und Warnungen konfiguriert sind. Benötigen Sie Hilfe? Befolgen Sie die Anleitungen unter "Schutz vor Bedrohungen ", um die folgenden Schutzeinstellungen einzurichten oder zu konfigurieren:

Überprüfen Sie außerdem die Warnungsrichtlinien Ihrer Organisation, insbesondere die Standardrichtlinien in der Kategorie "Bedrohungsmanagement".

Welche Warnungsrichtlinien lösen automatisierte Untersuchungen aus?

Microsoft 365 bietet viele integrierte Warnungsrichtlinien, die dazu beitragen, Missbrauch von Exchange-Administratorberechtigungen, Schadsoftwareaktivitäten, potenzielle externe und interne Bedrohungen und Informationsgovernancerisiken zu identifizieren. Einige der Standardwarnungsrichtlinien können automatisierte Untersuchungen auslösen. In der folgenden Tabelle werden die Warnungen beschrieben, die automatisierte Untersuchungen auslösen, ihr Schweregrad im Microsoft 365 Defender Portal und ihre Generierung:

Warnung Severity So wird die Warnung generiert
Ein potenziell böswilliger URL-Klick wurde erkannt. High Diese Warnung wird generiert, wenn eine der folgenden Aktionen auftritt:
  • Ein Benutzer, der durch sichere Links in Ihrer Organisation geschützt ist, klickt auf einen schädlichen Link.
  • Bewertungsänderungen für URLs werden durch Microsoft Defender for Office 365
  • Benutzer überschreiben Warnungsseiten für sichere Links (basierend auf der Richtlinie für sichere Links Ihrer Organisation).

Weitere Informationen zu Ereignissen, die diese Warnung auslösen, finden Sie unter Einrichten von Richtlinien für sichere Links.

Eine E-Mail-Nachricht wird von einem Benutzer als Schadsoftware oder Phishing gemeldet. Zur Information Diese Warnung wird generiert, wenn Benutzer in Ihrer Organisation Nachrichten als Phishing-E-Mail mithilfe des Add-Ins "Nachricht melden" oder des Add-Ins "Phishing melden" melden.
Email Nachrichten, die Schadsoftware enthalten, werden nach der Zustellung entfernt Zur Information Diese Warnung wird generiert, wenn E-Mail-Nachrichten, die Schadsoftware enthalten, an Postfächer in Ihrer Organisation übermittelt werden. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten aus Exchange Online Postfächern mithilfe der automatischen Bereinigung zur Nullstunde (Zero-Hour Auto Purge, ZAP).
Email Nachrichten, die Phishing-URLs enthalten, werden nach der Zustellung entfernt. Zur Information Diese Warnung wird generiert, wenn alle Nachrichten, die Phishing enthalten, an Postfächer in Ihrer Organisation übermittelt werden. Wenn dieses Ereignis auftritt, entfernt Microsoft die infizierten Nachrichten mithilfe von ZAP aus Exchange Online Postfächern.
Verdächtige Muster für das Senden von E-Mails werden erkannt Medium Diese Warnung wird generiert, wenn jemand in Ihrer Organisation verdächtige E-Mails gesendet hat und das Risiko besteht, dass das Senden von E-Mails eingeschränkt wird. Die Warnung ist eine frühzeitige Warnung für Verhalten, die möglicherweise darauf hinweist, dass das Konto kompromittiert ist, aber nicht schwerwiegend genug ist, um den Benutzer einzuschränken.

Obwohl es selten ist, kann eine von dieser Richtlinie generierte Warnung eine Anomalie sein. Es empfiehlt sich jedoch, zu überprüfen, ob das Benutzerkonto kompromittiert ist.

Ein Benutzer darf keine E-Mails senden High Diese Warnung wird generiert, wenn eine Person in Ihrer Organisation am Senden ausgehender E-Mails gehindigt ist. Diese Warnung führt in der Regel zu einer Kompromittierung eines E-Mail-Kontos.

Weitere Informationen zu eingeschränkten Benutzern finden Sie unter Entfernen blockierter Benutzer aus dem Portal für eingeschränkte Benutzer in Microsoft 365.

Tipp

Weitere Informationen zu Warnungsrichtlinien oder zum Bearbeiten der Standardeinstellungen finden Sie unter Warnungsrichtlinien im Microsoft Purview-Complianceportal.

Erforderliche Berechtigungen für die Verwendung von AIR-Funktionen

Berechtigungen werden über bestimmte Rollen gewährt, z. B. solche, die in der folgenden Tabelle beschrieben werden:

Aufgabe Rolle(n) erforderlich
Einrichten von AIR-Features Eine der folgenden Rollen:
  • Globaler Administrator
  • Sicherheitsadministrator

Diese Rollen können in Azure Active Directory oder im Microsoft 365 Defender Portal zugewiesen werden.

Beginnen einer automatische Untersuchung

--- oder ---

Genehmigen oder Ablehnen empfohlener Aktionen

Eine der folgenden Rollen, die in Azure Active Directory oder im Microsoft 365 Defender Portal zugewiesen sind:
  • Globaler Administrator
  • Sicherheitsadministrator
  • Sicherheitsoperator
  • Sicherheitsleseberechtigter
    --- und ---
  • Suchen und Löschen (diese Rolle wird nur im Microsoft 365 Defender Portal zugewiesen. Möglicherweise müssen Sie dort eine neue Email & Rollengruppe für die Zusammenarbeit erstellen und der neuen Rollengruppe die Rolle "Suchen und Löschen" hinzufügen.

Erforderliche Lizenzen:

Microsoft Defender for Office 365 Plan 2-Lizenzen sollten zugewiesen werden:

  • Sicherheitsadministratoren (einschließlich globaler Administratoren)
  • Das Sicherheitsteam Ihrer Organisation (einschließlich Sicherheitslesern und Personen mit der Rolle "Suchen und Löschen ")
  • Endbenutzer

Änderungen in Kürze in Ihrem Microsoft 365 Defender-Portal verfügbar

Wenn Sie die AIR-Funktionen bereits in Microsoft Defender for Office 365 verwenden, werden einige Änderungen im verbesserten Microsoft 365 Defender-Portal angezeigt.

Das einheitliche Info-Center

Das neue und verbesserte Microsoft 365 Defender-Portal https://security.microsoft.com vereint AIR-Funktionen in Microsoft Defender for Office 365 und in Microsoft Defender for Endpoint. Dank dieser Updates und Verbesserungen kann Ihr Sicherheitsteam Details zu automatisierten Untersuchungen und Abhilfemaßnahmen für Ihre E-Mails, von mehreren Personen gemeinsam erstellte/genutzte Inhalte, Benutzerkonten und Geräte an einem Ort anzeigen.

Tipp

Das neue Microsoft 365 Defender-Portal ersetzt die folgenden Admin Center:

Zusätzlich zur Änderung der URL gibt es ein neues Aussehen und Verhalten, das Dazu dient, Ihrem Sicherheitsteam eine optimierte Erfahrung zu bieten, mit Sichtbarkeit für mehr Bedrohungserkennungen an einem Ort.

Das erwartet Sie

In der folgenden Tabelle sind Änderungen und Verbesserungen aufgeführt, die an AIR in Microsoft Defender for Office 365 vorgenommen werden.

Element Was ändert sich?
Seite "Untersuchungen" Die aktualisierte Seite "Untersuchungen" ist konsistenter mit dem, was in Microsoft Defender for Endpoint angezeigt wird. Es werden einige allgemeine Format- und Formatänderungen angezeigt, die an der neuen, einheitlichen Untersuchungsansicht ausgerichtet sind. Das Untersuchungsdiagramm weist beispielsweise ein einheitlicheres Format auf.
Registerkarte "Benutzer" Die Registerkarte "Benutzer " ist jetzt die Registerkarte " Postfächer ". Details zu Benutzern werden auf der Registerkarte "Postfach " aufgeführt.
Registerkarte "Email" Die Registerkarte Email wurde entfernt. Besuchen Sie die Registerkarte "Entitäten", um eine Liste der E-Mail- und E-Mail-Clusterelemente anzuzeigen.
Registerkarte "Entitäten" Die Registerkarte "Entitäten " verfügt über ein Registerkarten-in-Registerkartenformat, das eine Zusammenfassungsansicht und die Möglichkeit zum Filtern nach Entitätstyp enthält. Die Registerkarte "Entitäten" enthält jetzt zusätzlich zur Option "Im Explorer öffnen" die Option "Gehe zur Suche". Sie können jetzt entweder den Explorer oder die erweiterte Suche verwenden, um Entitäten und Bedrohungen zu finden und nach Ergebnissen zu filtern.
Registerkarte "Aktionen" Die aktualisierte Registerkarte "Aktionen " enthält jetzt eine Registerkarte " Ausstehende Aktionen " und eine Registerkarte " Aktionsverlauf ". Aktionen können in einem Seitenbereich genehmigt (oder abgelehnt) werden, der geöffnet wird, wenn Sie eine ausstehende Aktion auswählen.
Registerkarte "Nachweis" Eine neue Registerkarte " Nachweise " zeigt die wichtigsten Entitätsergebnisse im Zusammenhang mit Aktionen an. Aktionen im Zusammenhang mit den einzelnen Beweismitteln können in einem Seitenbereich genehmigt (oder abgelehnt) werden, der geöffnet wird, wenn Sie eine ausstehende Aktion auswählen.
Info-Center Das aktualisierte Info-Center (https://security.microsoft.com/action-center) vereint ausstehende und abgeschlossene Aktionen über E-Mails, Geräte und Identitäten hinweg. Weitere Informationen finden Sie im Info-Center. (Weitere Informationen finden Sie im Info-Center.)
Seite "Vorfälle" Auf der Seite "Vorfälle " werden jetzt mehrere Untersuchungen miteinander korreliert, um eine bessere konsolidierte Ansicht der Untersuchungen zu ermöglichen. (Weitere Informationen zu Vorfällen.)

Nächste Schritte