Bedrohungs-Explorer und Echtzeiterkennungen

Tipp

Wussten Sie, dass Sie die Features in Microsoft 365 Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion im Microsoft 365 Defender Portal-Testhub. Erfahren Sie hier, wer sich registrieren und testen kann.

Gilt für

Wenn Ihre Organisation über Microsoft Defender for Office 365 verfügt und Sie über die erforderlichen Berechtigungen verfügen, verfügen Sie entweder über Explorer- oder Echtzeiterkennungen (früher Echtzeitberichteschauen Sie sich die Neuerungen an!). Wechseln Sie im Security & Compliance Center zur Bedrohungsverwaltung, und wählen Sie dann Explorer- oder Echtzeiterkennungen aus.

Mit Microsoft Defender for Office 365 Plan 2 sehen Sie Folgendes: Mit Microsoft Defender for Office 365 Plan 1 sehen Sie Folgendes:
Bedrohungs-Explorer. Echtzeiterkennungen

Explorer- oder Echtzeiterkennungen helfen Ihrem Sicherheitsteam, Bedrohungen effizient zu untersuchen und darauf zu reagieren. Der Bericht ähnelt der folgenden Abbildung:

Das Menüelement "Explorer" im Portal "Sicherheit & Compliance"

Mit diesem Bericht haben Sie folgende Möglichkeiten:

Verbesserungen bei der Bedrohungssuche

Einführung der Warnungs-ID für Defender for Office 365 Warnungen innerhalb von Explorer-/Echtzeiterkennungen

Wenn Sie heute von einer Warnung zum Bedrohungs-Explorer navigieren, wird eine gefilterte Ansicht im Explorer geöffnet, wobei die Ansicht nach Warnungsrichtlinien-ID gefiltert ist (Richtlinien-ID ist ein eindeutiger Bezeichner für eine Warnungsrichtlinie). Wir machen diese Integration relevanter, indem wir die Warnungs-ID (siehe ein Beispiel für die Warnungs-ID unten) im Bedrohungs-Explorer und Echtzeiterkennungen einführen, sodass Sie Nachrichten sehen, die für die spezifische Warnung relevant sind, sowie eine Anzahl von E-Mails. Sie können auch sehen, ob eine Nachricht Teil einer Warnung war, und von dieser Nachricht zu der jeweiligen Warnung navigieren.

Die Warnungs-ID ist innerhalb der URL verfügbar, wenn Sie eine einzelne Warnung anzeigen. ein Beispiel ist https://protection.office.com/viewalerts?id=372c9b5b-a6c3-5847-fa00-08d8abb04ef1.

Erweitern des Datenaufbewahrungs- und Suchlimits für Explorer (und Echtzeiterkennungen) für Testmandanten von 7 auf 30 Tage

Im Rahmen dieser Änderung können Sie E-Mail-Daten innerhalb von 30 Tagen (eine Zunahme gegenüber den vorherigen 7 Tagen) im Bedrohungs-Explorer/in Echtzeit-Erkennungen sowohl für Defender für Office P1- als auch für P2-Testmandanten suchen und filtern. Dies wirkt sich nicht auf Produktionsmandanten für P1- und P2/E5-Kunden aus, die bereits über die 30-tägigen Datenaufbewahrungs- und Suchfunktionen verfügen.

Aktualisierte Grenzwerte für den Export von Datensätzen für den Bedrohungs-Explorer

Im Rahmen dieses Updates wird die Anzahl der Zeilen für Email Datensätze, die aus dem Bedrohungs-Explorer exportiert werden können, von 9990 auf 200.000 Datensätze erhöht. Die Gruppe von Spalten, die derzeit exportiert werden können, bleibt unverändert, aber die Anzahl der Zeilen steigt ab dem aktuellen Grenzwert.

Tags im Bedrohungs-Explorer

Hinweis

Das Feature "Benutzertags" befindet sich in der Vorschau, ist nicht für jeden verfügbar und kann geändert werden. Informationen zum Veröffentlichungszeitplan finden Sie in der Microsoft 365-Roadmap.

Benutzertags identifizieren bestimmte Benutzergruppen in Microsoft Defender for Office 365. Weitere Informationen zu Tags, einschließlich Lizenzierung und Konfiguration, finden Sie unter "Benutzertags".

Im Bedrohungs-Explorer können Sie Informationen zu Benutzertags in den folgenden Umgebungen sehen.

Email Rasteransicht

Die Spalte "Kategorien" im E-Mail-Raster enthält alle Tags, die auf die Postfächer des Absenders oder Empfängers angewendet wurden. Standardmäßig werden Systemtags wie Prioritätskonten zuerst angezeigt.

Filtern

Sie können Tags als Filter verwenden. Suchen Sie direkt über Prioritätskonten oder bestimmte Benutzertags-Szenarien hinweg. Sie können auch Ergebnisse ausschließen, die bestimmte Tags enthalten. Kombinieren Sie diese Funktionalität mit anderen Filtern, um den Untersuchungsbereich einzuschränken.

Filtertags.

Email Detail-Flyout

Um die einzelnen Tags für Absender und Empfänger anzuzeigen, wählen Sie den Betreff aus, um das Flyout mit den Nachrichtendetails zu öffnen. Auf der Registerkarte " Zusammenfassung " werden die Kategorien "Absender" und "Empfänger" separat angezeigt, wenn sie für eine E-Mail vorhanden sind. Die Informationen zu einzelnen Tags für Absender und Empfänger erstrecken sich auch auf exportierte CSV-Daten, in denen Sie diese Details in zwei separaten Spalten sehen können.

Tags-Informationen werden auch im URL-Klick-Flyout angezeigt. Um sie anzuzeigen, wechseln Sie zur Ansicht "Phishing" oder "Alle Email" und dann zur Registerkarte "URLs oder URL-Klicks". Wählen Sie ein einzelnes URL-Flyout aus, um zusätzliche Details zu Klicks für diese URL anzuzeigen, einschließlich tags, die diesem Klick zugeordnet sind.

Zeitachsenansicht aktualisiert

Erfahren Sie mehr, in dem Sie dieses Video ansehen.

Verbesserungen bei der Bedrohungssuche (anstehend)

Aktualisierte Bedrohungsinformationen für E-Mails

Wir haben uns auf Plattform- und Datenqualitätsverbesserungen konzentriert, um die Datengenauigkeit und Konsistenz für E-Mail-Datensätze zu erhöhen. Verbesserungen umfassen die Konsolidierung von Informationen vor der Zustellung und nach der Zustellung, z. B. Aktionen, die im Rahmen des ZAP-Prozesses in einer E-Mail ausgeführt werden, in einem einzigen Datensatz. Weitere Details wie Spambewertung, Bedrohungen auf Entitätsebene (z. B. welche URL bösartig war) und die neuesten Übermittlungsspeicherorte sind ebenfalls enthalten.

Nach diesen Updates wird ein einzelner Eintrag für jede Nachricht angezeigt, unabhängig von den verschiedenen Ereignissen nach der Zustellung, die sich auf die Nachricht auswirken. Aktionen können ZAP, manuelle Wartung (d. h. Administratoraktion), dynamische Übermittlung usw. umfassen.

Zusätzlich zur Anzeige von Schadsoftware und Phishing-Bedrohungen wird die Spambewertung angezeigt, die einer E-Mail zugeordnet ist. Sehen Sie in der E-Mail alle Mit der E-Mail verbundenen Bedrohungen zusammen mit den entsprechenden Erkennungstechnologien. Eine E-Mail kann null, eine oder mehrere Bedrohungen haben. Die aktuellen Bedrohungen werden im Abschnitt "Details " des E-Mail-Flyouts angezeigt. Bei mehreren Bedrohungen (z. B. Schadsoftware und Phishing) zeigt das Feld "Erkennungstechnologie " die Zuordnung zur Bedrohungserkennung an, bei der es sich um die Erkennungstechnologie handelt, die die Bedrohung identifiziert hat.

Der Satz von Erkennungstechnologien umfasst jetzt neue Erkennungsmethoden sowie Technologien zur Spamerkennung. Sie können dieselbe Gruppe von Erkennungstechnologien verwenden, um die Ergebnisse in den verschiedenen E-Mail-Ansichten zu filtern (Schadsoftware, Phishing, alle Email).

Hinweis

Die Bewertungsanalyse ist möglicherweise nicht unbedingt an Entitäten gebunden. Beispielsweise kann eine E-Mail als Phishing oder Spam klassifiziert werden, aber es gibt keine URLs, die mit einer Phishing-/Spambewertung versehen sind. Dies liegt daran, dass die Filter auch Inhalte und andere Details für eine E-Mail auswerten, bevor sie eine Bewertung zuweisen.

Bedrohungen in URLs

Auf der Registerkarte " Details" des E-Mail-Flyouts wird nun die spezifische Bedrohung für eine URL angezeigt. Die Bedrohung kann Schadsoftware, Phishing, Spam oder keine sein.)

Aktualisierte Zeitachsenansicht (anstehend)

Die Zeitachsenansicht identifiziert alle Zustellungs- und Nachbereitungsereignisse. Es enthält Informationen über die Bedrohung, die zu diesem Zeitpunkt für eine Teilmenge dieser Ereignisse identifiziert wurde. Die Zeitachsenansicht enthält außerdem Informationen zu allen zusätzlichen Aktionen (z. B. ZAP oder manuelle Korrektur) zusammen mit dem Ergebnis dieser Aktion. Informationen zur Zeitachsenansicht umfassen:

  • Quelle: Quelle des Ereignisses. Es kann ein Administrator/System/Benutzer sein.
  • Ereignis: Umfasst Ereignisse auf oberster Ebene wie originale Zustellung, manuelle Wartung, ZAP, Übermittlungen und dynamische Übermittlung.
  • Aktion: Die spezifische Aktion, die entweder als Teil der ZAP- oder Administratoraktion ausgeführt wurde (z. B. vorläufiges Löschen).
  • Bedrohungen: Deckt die Bedrohungen (Malware, Phishing, Spam) ab, die zu diesem Zeitpunkt identifiziert wurden.
  • Ergebnis/Details: Weitere Informationen zum Ergebnis der Aktion, z. B. ob sie als Teil der ZAP-/Administratoraktion ausgeführt wurde.

Ursprünglicher und aktueller Lieferort

Derzeit wird der Übermittlungsort im E-Mail-Raster und im E-Mail-Flyout angezeigt. Das Feld "Übermittlungsort" wird in "Ursprünglicher Übermittlungsort _" umbenannt . Und wir führen ein weiteres Feld ein: _Letzter Lieferort.

Der ursprüngliche Zustellungsort enthält weitere Informationen darüber, wo eine E-Mail ursprünglich zugestellt wurde. Der neueste Übermittlungsort gibt an, wo eine E-Mail nach Systemaktionen wie ZAP oder Administratoraktionen wie "In gelöschte Elemente verschieben" landete. Der neueste Zustellungsort soll Administratoren den zuletzt bekannten Speicherort der Nachricht nach der Zustellung oder alle System-/Administratoraktionen mitteilen. Sie enthält keine Endbenutzeraktionen für die E-Mail. Wenn ein Benutzer beispielsweise eine Nachricht gelöscht oder in das Archiv/PST verschoben hat, wird der Nachrichtenspeicherort "Übermittlung" nicht aktualisiert. Wenn jedoch eine Systemaktion den Speicherort aktualisiert hat (z. B. ZAP, wodurch eine E-Mail in Quarantäne verschoben wird), würde der neueste Übermittlungsort als "Quarantäne" angezeigt.

Hinweis

Es gibt einige Fälle, in denen der Zustellungsort und die Zustellungsaktion als "unbekannt" angezeigt werden:

  • Möglicherweise wird der Übermittlungsort als "zugestellt" und der Zustellungsort als "unbekannt" angezeigt, wenn die Nachricht zugestellt wurde, aber eine Posteingangsregel hat die Nachricht in einen Standardordner (z. B. "Entwurf" oder "Archiv") anstatt in den Ordner "Posteingang" oder "Junk-Email" verschoben.

  • Der neueste Übermittlungsort kann unbekannt sein, wenn eine Administrator-/Systemaktion (z. B. ZAP) versucht wurde, die Nachricht jedoch nicht gefunden wurde. In der Regel geschieht die Aktion, nachdem der Benutzer die Nachricht verschoben oder gelöscht hat. Überprüfen Sie in solchen Fällen die Spalte "Ergebnis/Details " in der Zeitachsenansicht. Suchen Sie nach der Anweisung "Nachricht, die vom Benutzer verschoben oder gelöscht wurde".

Zusätzliche Aktionen

Zusätzliche Aktionen wurden nach der Zustellung der E-Mail angewendet. Sie können ZAP, manuelle Korrektur (Von einem Admin durchgeführte Aktion, z. B. vorläufiges Löschen), dynamische Übermittlung und erneute Verarbeitung (für eine E-Mail, die rückwirkend als gut erkannt wurde) umfassen.

Hinweis

Im Rahmen der ausstehenden Änderungen wird der aktuell im Filter "Übermittlungsaktion" angezeigte Wert "Von ZAP entfernt" ausgeblendet. Sie haben eine Möglichkeit, mit dem ZAP-Versuch über zusätzliche Aktionen nach allen E-Mails zu suchen.

Systemüberschreibungen

Systemüberschreibungen ermöglichen es Ihnen, Ausnahmen vom beabsichtigten Übermittlungsort einer Nachricht zu machen. Sie überschreiben den vom System bereitgestellten Übermittlungsort basierend auf den Bedrohungen und anderen Erkennungen, die durch den Filterstapel identifiziert werden. Systemüberschreibungen können über eine Mandanten- oder Benutzerrichtlinie festgelegt werden, um die Nachricht wie in der Richtlinie vorgeschlagen zu übermitteln. Außerkraftsetzungen können die unbeabsichtigte Zustellung bösartiger Nachrichten aufgrund von Konfigurationslücken identifizieren, z. B. eine über weite Richtlinie für sichere Absender, die von einem Benutzer festgelegt wurde. Diese Außerkraftsetzungswerte können sein:

  • Durch Benutzerrichtlinie zulässig: Ein Benutzer erstellt Richtlinien auf Postfachebene, um Domänen oder Absender zuzulassen.

  • Durch Benutzerrichtlinie blockiert: Ein Benutzer erstellt Richtlinien auf E-Mail-Box-Ebene, um Domänen oder Absender zu blockieren.

  • Zulässig durch Die Organisationsrichtlinie: Die Sicherheitsteams der Organisation legen Richtlinien oder Exchange-Nachrichtenflussregeln (auch als Transportregeln bezeichnet) fest, um Absender und Domänen für Benutzer in ihrer Organisation zuzulassen. Dies kann für eine Gruppe von Benutzern oder die gesamte Organisation gelten.

  • Blockiert durch Die Organisationsrichtlinie: Die Sicherheitsteams der Organisation legen Richtlinien oder Nachrichtenflussregeln fest, um Absender, Domänen, Nachrichtensprachen oder Quell-IPs für Benutzer in ihrer Organisation zu blockieren. Dies kann auf eine Gruppe von Benutzern oder die gesamte Organisation angewendet werden.

  • Dateierweiterung durch Organisationsrichtlinie blockiert: Das Sicherheitsteam einer Organisation blockiert eine Dateinamenerweiterung über die Richtlinieneinstellungen für Antischadsoftware. Diese Werte werden nun in E-Mail-Details angezeigt, um bei Untersuchungen zu helfen. Secops-Teams können auch die Rich-Filterfunktion verwenden, um nach blockierten Dateierweiterungen zu filtern.

Systemüberschreibungen im Explorer.

Verbesserungen für die URL- und Klickerfahrung

Zu den Verbesserungen gehören:

  • Zeigen Sie die vollständige angeklickte URL (einschließlich aller Abfrageparameter, die Teil der URL sind) im Clicks-Abschnitt des URL-Flyouts an. Derzeit werden die URL-Domäne und der Pfad in der Titelleiste angezeigt. Wir erweitern diese Informationen, um die vollständige URL anzuzeigen.

  • Korrekturen über URL-Filter hinweg (URL im Vergleich zu URL-Domäne und URL-Domäne und -Pfad): Die Updates wirken sich auf die Suche nach Nachrichten aus, die eine URL-/Klickbewertung enthalten. Wir haben die Unterstützung für protokollagnostische Suchvorgänge aktiviert, sodass Sie ohne Verwendung httpnach einer URL suchen können. Standardmäßig wird die URL-Suche http zugeordnet, es sei denn, ein anderer Wert wurde explizit angegeben. Beispiel:

    • Suchen Sie mit und ohne http:// Präfix in den Filterfeldern "URL", "URL-Domäne" und "URL-Domäne" und "Pfad ". Bei den Suchvorgängen sollten dieselben Ergebnisse angezeigt werden.
    • Suchen Sie in der URL nach dem https:// Präfix. Wenn kein Wert angegeben ist, wird das http:// Präfix angenommen.
    • / wird am Anfang und Ende des URL-Pfads, der URL-Domäne, der URL-Domäne und der Pfadfelder ignoriert. / am Ende des URL-Felds wird ignoriert.

Phishing-Konfidenzniveau

Das Phishing-Konfidenzniveau hilft dabei, den Grad der Konfidenz zu ermitteln, mit dem eine E-Mail als "Phishing" kategorisiert wurde. Die beiden möglichen Werte sind "Hoch " und "Normal". In den Anfangsphasen ist dieser Filter nur in der Phishingansicht des Bedrohungs-Explorers verfügbar.

Phishing-Konfidenzniveau im Explorer.

ZAP-URL-Signal

Das ZAP-URL-Signal wird in der Regel für ZAP-Phishing-Warnungsszenarien verwendet, in denen eine E-Mail als Phishing identifiziert und nach der Übermittlung entfernt wurde. Dieses Signal verbindet die Warnung mit den entsprechenden Ergebnissen im Explorer. Es ist einer der IOCs für die Warnung.

Um den Suchvorgang zu verbessern, haben wir den Bedrohungs-Explorer und Echtzeiterkennungen aktualisiert, um die Sucherfahrung konsistenter zu gestalten. Die Änderungen werden hier beschrieben:

Filtern nach Benutzertags

Sie können jetzt nach System- oder benutzerdefinierten Benutzertags sortieren und filtern, um den Umfang von Bedrohungen schnell zu erfassen. Weitere Informationen finden Sie unter "Benutzertags".

Wichtig

Das Filtern und Sortieren nach Benutzertags befindet sich derzeit in der öffentlichen Vorschau. Diese Funktionalität kann vor der kommerziellen Veröffentlichung erheblich geändert werden. Microsoft übernimmt keine ausdrücklichen oder stillschweigenden Garantien in Bezug auf die darüber bereitgestellten Informationen.

Verbesserungen der Zeitzone

Sie sehen die Zeitzone für die E-Mail-Einträge im Portal sowie für exportierte Daten. Es wird über Erfahrungen wie Email Grid, Details-Flyout, Email Zeitachse und ähnliche E-Mails sichtbar sein, sodass die Zeitzone für das Resultset klar ist.

Aktualisieren im Aktualisierungsprozess

Einige Benutzer haben die Verwechslung mit der automatischen Aktualisierung (z. B. sobald Sie das Datum ändern, wird die Seite aktualisiert) und der manuellen Aktualisierung (für andere Filter) kommentiert. Ebenso führt das Entfernen von Filtern zur automatischen Aktualisierung. Das Ändern von Filtern beim Ändern der Abfrage kann zu inkonsistenten Suchfunktionen führen. Um diese Probleme zu beheben, wechseln wir zu einem manuellen Filtermechanismus.

Unter dem Gesichtspunkt der Benutzeroberfläche kann der Benutzer den unterschiedlichen Filterbereich (aus dem Filtersatz und dem Datum) anwenden und entfernen und die Aktualisierungsschaltfläche auswählen, um die Ergebnisse zu filtern, nachdem er die Abfrage definiert hat. Die Schaltfläche "Aktualisieren" wird jetzt auch auf dem Bildschirm hervorgehoben. Wir haben auch die zugehörigen QuickInfos und die Produktdokumentation aktualisiert.

Diagramm-Drilldown zum Hinzufügen zu Filtern

Sie können jetzt Diagrammlegendenwerte erstellen, um sie als Filter hinzuzufügen. Wählen Sie die Schaltfläche "Aktualisieren" aus, um die Ergebnisse zu filtern.

Produktinformationsupdates

Im Produkt sind jetzt weitere Details verfügbar, z. B. die Gesamtanzahl der Suchergebnisse im Raster (siehe unten). Wir haben Bezeichnungen, Fehlermeldungen und QuickInfos verbessert, um weitere Informationen zu den Filtern, der Suchumgebung und dem Resultset bereitzustellen.

Erweiterte Funktionen im Bedrohungs-Explorer

Benutzer, die am häufigsten benutzerorientiert sind

Heute machen wir die Liste der am häufigsten gezielten Benutzer in der Malware-Ansicht für E-Mails im Abschnitt "Top Malware Families" verfügbar . Wir werden diese Ansicht auch in den Ansichten "Phishing" und "Alle Email" erweitern. Sie können die fünf am häufigsten betroffenen Benutzer zusammen mit der Anzahl der Versuche für jeden Benutzer für die entsprechende Ansicht anzeigen. Für die Phishing-Ansicht wird beispielsweise die Anzahl der Phishingversuche angezeigt.

Sie können die Liste der Zielbenutzer bis zu einem Grenzwert von 3.000 exportieren, zusammen mit der Anzahl der Versuche für die Offlineanalyse für jede E-Mail-Ansicht. Darüber hinaus wird durch Auswählen der Anzahl der Versuche (z. B. 13 Versuche in der abbildung unten) eine gefilterte Ansicht im Bedrohungs-Explorer geöffnet, sodass Sie weitere Details zu E-Mails und Bedrohungen für diesen Benutzer sehen können.

Exchange-Transportregeln

Im Rahmen der Datenerweiterung können Sie alle verschiedenen Exchange-Transportregeln (ETR) anzeigen, die auf eine Nachricht angewendet wurden. Diese Informationen sind in der Email Rasteransicht verfügbar. Um es anzuzeigen, wählen Sie die Spaltenoptionen im Raster aus, und fügen Sie dann exchange-Transportregel aus den Spaltenoptionen hinzu. Sie wird auch im Flyout "Details " in der E-Mail angezeigt.

Sie können sowohl die GUID als auch den Namen der Transportregeln anzeigen, die auf die Nachricht angewendet wurden. Sie können mithilfe des Namens der Transportregel nach den Nachrichten suchen. Dies ist eine "Enthält"-Suche, was bedeutet, dass Sie auch Teilsuchen ausführen können.

Wichtig

Die Verfügbarkeit von ETR-Suche und -Namen hängt von der spezifischen Rolle ab, die Ihnen zugewiesen ist. Sie müssen über eine der folgenden Rollen/Berechtigungen verfügen, um die ETR-Namen und die Suche anzeigen zu können. Wenn Ihnen keine dieser Rollen zugewiesen ist, können Sie die Namen der Transportregeln nicht sehen oder mithilfe von ETR-Namen nach Nachrichten suchen. Die ETR-Bezeichnung und GUID-Informationen können jedoch in den Email Details angezeigt werden. Andere Datensatzanzeigefunktionen in Email Rastern, Email Flyouts, Filtern und Export sind nicht betroffen.

  • NUR EXO - Verhinderung von Datenverlust: Alle
  • Nur EXO - O365SupportViewConfig: Alle
  • Microsoft Azure Active Directory oder EXO – Sicherheits-Admin: Alle
  • AAD oder EXO – Sicherheitsleser: Alle
  • Nur EXO - Transportregeln: Alle
  • NUR EXO - View-Only Konfiguration: Alle

Innerhalb des E-Mail-Rasters, des Flyouts "Details" und der exportierten CSV-Datei wird den ETRs wie unten dargestellt ein Name/eine GUID angezeigt.

Eingehende Connectors

Connectors sind eine Sammlung von Anweisungen, die anpassen, wie Ihre E-Mails von und zu Ihrer Microsoft 365- oder Office 365 Organisation fließen. Sie ermöglichen es Ihnen, alle Sicherheitseinschränkungen oder -kontrollen anzuwenden. Im Bedrohungs-Explorer können Sie jetzt die Connectors anzeigen, die sich auf eine E-Mail beziehen, und mithilfe von Connectornamen nach E-Mails suchen.

Die Suche nach Verbindern ist "enthält" in der Natur, was bedeutet, dass teilweise Stichwortsuchen ebenfalls funktionieren sollten. In der Hauptrasteransicht, dem Flyout "Details" und der exportierten CSV werden die Connectors wie hier gezeigt im Format "Name/GUID" angezeigt:

Neue Features im Bedrohungs-Explorer und Echtzeiterkennungen

Anzeigen von Phishing-E-Mails, die an imitierte Benutzer und Domänen gesendet wurden

Um Phishingversuche gegen Benutzer und Domänen zu identifizieren, die als Benutzer imitiert wurden, müssen sie der Liste der zu schützenden Benutzer hinzugefügt werden. Für Domänen müssen Administratoren entweder Organisationsdomänen aktivieren oder domänennamen zum Schutz hinzufügen. Die zu schützenden Domänen finden Sie auf der Seite "Antiphishingrichtlinie " im Abschnitt "Identitätswechsel ".

Um Phishingnachrichten zu überprüfen und nach imitierten Benutzern oder Domänen zu suchen, verwenden Sie die Email > Phish-Ansicht des Explorers.

In diesem Beispiel wird der Bedrohungs-Explorer verwendet.

  1. Wählen Sie im Security & Compliance Center diehttps://protection.office.com) Option "Bedrohungsverwaltung" > Explorer (oder Echtzeiterkennungen) aus.

  2. Wählen Sie im Menü "Ansicht" Email > Phishing aus.

    Hier können Sie eine imitierte Domäne oder einen imitierten Benutzer auswählen.

  3. Wählen Sie entweder "Imitierte Domäne" aus, und geben Sie dann eine geschützte Domäne in das Textfeld ein.

    Suchen Sie beispielsweise nach geschützten Domänennamen wie contoso, contoso.com oder contoso.com.au.

  4. Wählen Sie den Betreff einer beliebigen Nachricht unter der Registerkarte Email > Registerkarte "Details" aus, um weitere Identitätswechselinformationen wie "Impersonated Domain" oder "Detected Location" anzuzeigen.

    ODER

    Wählen Sie "Imitierter Benutzer" aus, und geben Sie die E-Mail-Adresse eines geschützten Benutzers in das Textfeld ein.

    Tipp

    Um optimale Ergebnisse zu erzielen, verwenden Sie vollständige E-Mail-Adressen , um geschützte Benutzer zu durchsuchen. Sie finden den geschützten Benutzer schneller und erfolgreicher, wenn Sie nach firstname.lastname@contoso.com suchen, z. B. bei der Untersuchung des Identitätswechsels von Benutzern. Bei der Suche nach einer geschützten Domäne verwendet die Suche die Stammdomäne (z. B. contoso.com) und den Domänennamen (contoso). Die Suche nach der Stammdomäne contoso.com gibt sowohl Identitätswechsel von contoso.com als auch den Domänennamen contoso zurück.

  5. Wählen Sie den Betreff einer beliebigen Nachricht unter **Email Registerkarte "**Details" > aus, um weitere Identitätswechselinformationen über den Benutzer oder die Domäne und den erkannten Speicherort anzuzeigen.

    Der Detailbereich des Bedrohungs-Explorers für einen geschützten Benutzer mit dem Erkennungsort und der erkannten Bedrohung (hier Phishing-Identitätswechsel eines Benutzers)

Hinweis

Wenn Sie in Schritt 3 oder 5 die Option "Erkennungstechnologie" und dann "Identitätswechseldomäne" bzw. "Identitätswechselbenutzer" auswählen, werden die Informationen auf der Registerkarte Email Registerkarte " > Details" über den Benutzer oder die Domäne und der erkannte Speicherort nur in den Nachrichten angezeigt, die sich auf den Benutzer oder die Domäne beziehen, die auf der Seite "Antiphishingrichtlinie" aufgeführt sind.

Vorschau des E-Mail-Headers und Herunterladen des E-Mail-Textkörpers

Sie können jetzt eine Vorschau eines E-Mail-Headers anzeigen und den E-Mail-Text im Bedrohungs-Explorer herunterladen. Administratoren können heruntergeladene Kopfzeilen/E-Mail-Nachrichten auf Bedrohungen analysieren. Da das Herunterladen von E-Mail-Nachrichten die Gefährdung von Informationen gefährden kann, wird dieser Prozess durch rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) gesteuert. Eine neue Rolle, "Vorschau", ist erforderlich, um die Möglichkeit zum Herunterladen von E-Mails in der Ansicht "E-Mail-Nachrichten" zu gewähren. Das Anzeigen des E-Mail-Headers erfordert jedoch keine zusätzliche Rolle (außer dem, was zum Anzeigen von Nachrichten im Bedrohungs-Explorer erforderlich ist). So erstellen Sie eine neue Rollengruppe mit der Vorschaurolle:

  1. Wählen Sie eine integrierte Rollengruppe aus, die nur über die Vorschaurolle verfügt, z. B. "Datenermittler" oder "eDiscovery-Manager".
  2. Wählen Sie "Rollengruppe kopieren" aus.
  3. Wählen Sie einen Namen und eine Beschreibung für Ihre neue Rollengruppe und dann "Weiter" aus.
  4. Ändern Sie die Rollen, indem Sie rollen nach Bedarf hinzufügen und entfernen, aber die Vorschaurolle verlassen.
  5. Fügen Sie Mitglieder hinzu, und wählen Sie dann "Rollengruppe erstellen" aus.

Explorer- und Echtzeiterkennungen erhalten außerdem neue Felder, die ein vollständigeres Bild davon liefern, wo Ihre E-Mail-Nachrichten landen. Diese Änderungen erleichtern die Suche nach Sicherheitsfunktionen. Aber das Hauptergebnis ist, dass Sie den Ort der problematischen E-Mail-Nachrichten auf einen Blick kennen können.

Wie geht das? Der Übermittlungsstatus ist jetzt in zwei Spalten unterteilt:

  • Zustellungsaktion – Status der E-Mail.
  • Übermittlungsort – Der Ort, an dem die E-Mail weitergeleitet wurde.

Übermittlungsaktion ist die Aktion, die aufgrund vorhandener Richtlinien oder Erkennungen für eine E-Mail ausgeführt wird. Hier sind die möglichen Aktionen für eine E-Mail:

Geliefert Junk-E-Mail Gesperrt Ersetzt
Email wurde an den Posteingang oder Ordner eines Benutzers übermittelt, und der Benutzer kann darauf zugreifen. Email wurde an den Ordner "Junk-E-Mail" oder "Gelöscht" des Benutzers gesendet, und der Benutzer kann darauf zugreifen. E-Mails, die unter Quarantäne stehen, fehlgeschlagen sind oder verworfen wurden. Auf diese E-Mails kann der Benutzer nicht zugreifen. Email wurden schädliche Anlagen durch .txt Dateien ersetzt, die angeben, dass die Anlage bösartig war.

Dies ist das, was der Benutzer sehen kann und was nicht:

Für Endbenutzer zugänglich Für Endbenutzer nicht zugänglich
Geliefert Gesperrt
Junk-E-Mail Ersetzt

Der Übermittlungsort zeigt die Ergebnisse von Richtlinien und Erkennungen an, die nach der Zustellung ausgeführt werden. Sie ist mit der Zustellungsaktion verknüpft. Dies sind die möglichen Werte:

  • Posteingang oder Ordner: Die E-Mail befindet sich im Posteingang oder in einem Ordner (gemäß Ihren E-Mail-Regeln).
  • Lokal oder extern: Das Postfach ist nicht in der Cloud vorhanden, sondern lokal.
  • Junk-Ordner: Die E-Mail befindet sich im Junk-Ordner eines Benutzers.
  • Ordner "Gelöschte Elemente": Die E-Mail im Ordner "Gelöschte Elemente" eines Benutzers.
  • Quarantäne: Die E-Mail befindet sich in Quarantäne und nicht im Postfach eines Benutzers.
  • Fehler: Die E-Mail konnte das Postfach nicht erreichen.
  • Abgelegt: Die E-Mail ist irgendwo im Nachrichtenfluss verloren gegangen.

Email Zeitachse

Die Email Zeitachse ist ein neues Explorer-Feature, das die Sucherfahrung für Administratoren verbessert. Dadurch wird die Zeit verkürzt, die für die Überprüfung verschiedener Orte aufgewendet wurde, um das Ereignis zu verstehen. Wenn mehrere Ereignisse zu oder in der Nähe desselben Zeitpunkts auftreten, an dem eine E-Mail eintrifft, werden diese Ereignisse in einer Zeitachsenansicht angezeigt. Einige Ereignisse, die nach der Zustellung ihrer E-Mails auftreten, werden in der Spalte " Sonderaktion" erfasst. Administratoren können Informationen aus der Zeitachse mit der speziellen Aktion für die E-Mail-Zustellung kombinieren, um Einen Einblick in die Funktionsweise ihrer Richtlinien zu erhalten, wo die E-Mail schließlich weitergeleitet wurde, und in einigen Fällen, was die endgültige Bewertung war.

Weitere Informationen finden Sie unter Untersuchen und Beheben bösartiger E-Mails, die in Office 365 übermittelt wurden.

Url-Klickdaten exportieren

Sie können jetzt Berichte für URL-Klicks nach Microsoft Excel exportieren, um deren Netzwerknachrichten-ID anzuzeigen und auf die Bewertung zu klicken. Dies hilft ihnen zu erklären, woher der URL-Klickdatenverkehr stammt. So funktioniert's: Folgen Sie in Threat Management auf der Office 365 Schnellstartleiste dieser Kette:

Explorer > Phishing > anzeigen Klicks > Top URLs or URL Top Clicks > select any record to open the URL flyout.

Wenn Sie eine URL in der Liste auswählen, wird im Flyoutbereich eine neue Schaltfläche " Exportieren " angezeigt. Verwenden Sie diese Schaltfläche, um Daten zur einfacheren Berichterstattung in eine Excel-Tabelle zu verschieben.

Folgen Sie diesem Pfad, um zum gleichen Speicherort im Echtzeiterkennungsbericht zu gelangen:

Explorer > Echtzeiterkennungen > Phishing > anzeigen Urls > Top URLs or Top Clicks > Select any record to open the URL flyout > navigate to the Clicks tab.

Tipp

Die Netzwerknachrichten-ID ordnet den Klick auf bestimmte E-Mails zurück, wenn Sie die ID über Explorer oder zugeordnete Tools von Drittanbietern durchsuchen. Bei solchen Suchen wird die E-Mail identifiziert, die einem Klickergebnis zugeordnet ist. Die korrelierte Netzwerknachrichten-ID ermöglicht eine schnellere und leistungsfähigere Analyse.

Erkennen von Schadsoftware in E-Mails nach Technologie

Angenommen, Sie möchten, dass Schadsoftware in E-Mails erkannt wird, sortiert nach Microsoft 365-Technologie. Verwenden Sie dazu die Email > Malware-Ansicht des Explorers (oder Echtzeiterkennungen).

  1. Wählen Sie im Security & Compliance Center (https://protection.office.com) den Bedrohungsverwaltungs-Explorer > (oder Echtzeiterkennungen) aus. (In diesem Beispiel wird Explorer verwendet.)

  2. Wählen Sie im Menü "Ansicht" Email > Malware aus.

  3. Klicken Sie auf "Absender", und wählen Sie dann " Grundlegende > Erkennungstechnologie" aus.

    Ihre Erkennungstechnologien sind jetzt als Filter für den Bericht verfügbar.

  4. Wählen Sie eine Option aus. Wählen Sie dann die Schaltfläche "Aktualisieren" aus, um diesen Filter anzuwenden.

Der Bericht wird aktualisiert, um mithilfe der ausgewählten Technologieoption die Ergebnisse anzuzeigen, die schadsoftware in E-Mails erkannt hat. Von hier aus können Sie weitere Analysen durchführen.

Phishing-URL anzeigen und auf Bewertungsdaten klicken

Angenommen, Sie möchten Phishingversuche über URLs in E-Mails anzeigen, einschließlich einer Liste von URLs, die zulässig, blockiert und überschrieben wurden. Um URLs zu identifizieren, auf die geklickt wurde, müssen sichere Links konfiguriert werden. Stellen Sie sicher, dass Sie Richtlinien für sichere Links für den Time-of-Click-Schutz und die Protokollierung von Klickbewertungen durch sichere Links einrichten.

Um Phishing-URLs in Nachrichten zu überprüfen und auf URLs in Phishingnachrichten zu klicken, verwenden Sie die Email > Phish-Ansicht von Explorer- oder Echtzeiterkennungen.

  1. Wählen Sie im Security & Compliance Center (https://protection.office.com) den Bedrohungsverwaltungs-Explorer > (oder Echtzeiterkennungen) aus. (In diesem Beispiel wird Explorer verwendet.)

  2. Wählen Sie im Menü "Ansicht" Email > Phishing aus.

  3. Klicken Sie auf "Absender", und wählen Sie dann "URLs > Klicken Sie auf Bewertung" aus.

  4. Wählen Sie eine oder mehrere Optionen aus, z. B. "Blockiert " und " Block überschrieben", und wählen Sie dann die Schaltfläche " Aktualisieren" in derselben Zeile wie die Optionen zum Anwenden dieses Filters aus. (Aktualisieren Sie das Browserfenster nicht.)

    Der Bericht wird aktualisiert, um zwei unterschiedliche URL-Tabellen auf der Registerkarte "URL" unter dem Bericht anzuzeigen:

    • Die wichtigsten URLs sind die URLs in den Nachrichten, auf die Sie gefiltert haben, und die Anzahl der E-Mail-Zustellungsaktionen für jede URL. In der Phishing-E-Mail-Ansicht enthält diese Liste in der Regel legitime URLs. Angreifer fügen eine Mischung aus guten und schlechten URLs in ihre Nachrichten ein, um zu versuchen, sie zu übermitteln, aber sie machen die bösartigen Links interessanter. Die Tabelle der URLs ist nach der Gesamtzahl der E-Mails sortiert, aber diese Spalte ist ausgeblendet, um die Ansicht zu vereinfachen.

    • Die wichtigsten Klicks sind die URLs, auf die geklickt wurde, sortiert nach der Gesamtanzahl der Klicks. Diese Spalte wird auch nicht angezeigt, um die Ansicht zu vereinfachen. Die Gesamtanzahl nach Spalte gibt die Anzahl der Klickbewertungen für sichere Links für jede angeklickte URL an. In der Phishing-E-Mail-Ansicht sind dies in der Regel verdächtige oder bösartige URLs. Die Ansicht kann jedoch URLs enthalten, die keine Bedrohungen sind, sondern sich in Phishingnachrichten befinden. URL-Klicks auf nicht eingeschlossene Links werden hier nicht angezeigt.

    In den beiden URL-Tabellen werden die wichtigsten URLs in Phishing-E-Mail-Nachrichten nach Zustellungsaktion und Speicherort angezeigt. In den Tabellen werden URL-Klicks angezeigt, die trotz einer Warnung blockiert oder besucht wurden, sodass Sie sehen können, welche potenziellen fehlerhaften Links benutzern angezeigt wurden und auf die der Benutzer geklickt hat. Von hier aus können Sie weitere Analysen durchführen. Unter dem Diagramm sehen Sie beispielsweise die wichtigsten URLs in E-Mail-Nachrichten, die in der Umgebung Ihrer Organisation blockiert wurden.

    Wählen Sie eine URL aus, um detailliertere Informationen anzuzeigen.

    Hinweis

    Im Dialogfeld "URL-Flyout" wird die Filterung nach E-Mail-Nachrichten entfernt, um die vollständige Ansicht der Belichtung der URL in Ihrer Umgebung anzuzeigen. Auf diese Weise können Sie nach E-Mail-Nachrichten filtern, für die Sie sich im Explorer Sorgen machen, bestimmte URLs finden, die potenzielle Bedrohungen sind, und dann Ihr Verständnis der URL-Belichtung in Ihrer Umgebung erweitern (über das Dialogfeld "URL-Details") ohne URL-Filter zur Explorer-Ansicht selbst hinzufügen zu müssen.

Interpretation von Klickbewertungen

Innerhalb der Email- oder URL-Flyouts, der wichtigsten Klicks sowie innerhalb unserer Filterfunktionen werden unterschiedliche Klickbewertungswerte angezeigt:

  • Nichts: Die Bewertung für die URL kann nicht erfasst werden. Möglicherweise hat der Benutzer durch die URL geklickt.
  • Erlaubt: Der Benutzer konnte zur URL navigieren.
  • Blockiert: Der Benutzer konnte nicht zur URL navigieren.
  • Ausstehendes Urteil: Dem Benutzer wurde die Seite "Detonation ausstehend" angezeigt.
  • Blockiert überschrieben: Der Benutzer konnte nicht direkt zur URL navigieren. Aber der Benutzer hat den Block überlasten, um zur URL zu navigieren.
  • Ausstehendes Urteil umgangen: Dem Benutzer wurde die Detonationsseite angezeigt. Der Benutzer hat die Nachricht jedoch überlasten, um auf die URL zuzugreifen.
  • Fehler: Dem Benutzer wurde die Fehlerseite angezeigt, oder beim Erfassen der Bewertung ist ein Fehler aufgetreten.
  • Fehler: Beim Erfassen der Bewertung ist eine unbekannte Ausnahme aufgetreten. Möglicherweise hat der Benutzer durch die URL geklickt.

Überprüfen von E-Mail-Nachrichten, die von Benutzern gemeldet wurden

Angenommen, Sie möchten E-Mail-Nachrichten anzeigen, die Benutzer in Ihrer Organisation über das Add-In "Nachricht melden" oder das Add-In "Phishing melden" als " Junk-E-Mail", "Keine Junk-E-Mail" oder "Phishing" gemeldet haben. Um sie anzuzeigen, verwenden Sie die Email > Submissions-Ansicht des Explorers (oder Echtzeiterkennungen).

  1. Wählen Sie im Security & Compliance Center (https://protection.office.com) den Bedrohungsverwaltungs-Explorer > (oder Echtzeiterkennungen) aus. (In diesem Beispiel wird Explorer verwendet.)

  2. Wählen Sie im Menü "Ansicht" Email > Übermittlungen aus.

  3. Klicken Sie auf "Absender", und wählen Sie dann "Standardberichtstyp>" aus.

  4. Wählen Sie eine Option aus, z . B. Phishing, und wählen Sie dann die Schaltfläche " Aktualisieren" aus.

Der Bericht wird aktualisiert, um Daten zu E-Mail-Nachrichten anzuzeigen, die von Personen in Ihrer Organisation als Phishingversuch gemeldet wurden. Sie können diese Informationen verwenden, um weitere Analysen durchzuführen und gegebenenfalls Ihre Antiphishingrichtlinien in Microsoft Defender for Office 365 anzupassen.

Starten der automatisierten Untersuchung und Reaktion

Hinweis

Automatisierte Untersuchungs- und Reaktionsfunktionen sind in Microsoft Defender for Office 365 Plan 2 und Office 365 E5 verfügbar.

Eine automatisierte Untersuchung und Reaktion kann Ihrem Sicherheitsteam Zeit und Mühe sparen, die mit der Untersuchung und Minderung von Cyberangriffen verbunden ist. Zusätzlich zum Konfigurieren von Warnungen, die ein Sicherheitsplaybook auslösen können, können Sie einen automatisierten Untersuchungs- und Reaktionsprozess aus einer Ansicht im Explorer starten. Ausführliche Informationen finden Sie unter Beispiel: Ein Sicherheitsadministrator löst eine Untersuchung im Explorer aus.

Weitere Möglichkeiten zur Verwendung von Explorer- und Echtzeiterkennungen

Zusätzlich zu den in diesem Artikel beschriebenen Szenarien stehen ihnen viele weitere Berichtsoptionen mit Explorer (oder Echtzeiterkennungen) zur Verfügung. Lesen Sie die folgenden Artikel:

Erforderliche Lizenzen und Berechtigungen

Sie müssen über Microsoft Defender for Office 365 verfügen, um Explorer- oder Echtzeiterkennungen verwenden zu können.

  • Explorer ist in Defender for Office 365 Plan 2 enthalten.
  • Der Bericht "Echtzeiterkennungen" ist in Defender for Office 365 Plan 1 enthalten.
  • Planen Sie das Zuweisen von Lizenzen für alle Benutzer, die durch Defender for Office 365 geschützt werden sollen. Explorer- und Echtzeiterkennungen zeigen Erkennungsdaten für lizenzierte Benutzer an.

Zum Anzeigen und Verwenden von Explorer- oder Echtzeiterkennungen müssen Sie über die entsprechenden Berechtigungen verfügen, z. B. die, die einem Sicherheitsadministrator oder einem Sicherheitsleser erteilt wurden.

  • Für das Security & Compliance Center muss ihnen eine der folgenden Rollen zugewiesen sein:

    • Organisationsverwaltung
    • Sicherheitsadministrator (dies kann im Azure Active Directory Admin Center zugewiesen werden (https://aad.portal.azure.com)
    • Sicherheitsleseberechtigter
  • Für Exchange Online muss ihnen eine der folgenden Rollen im Exchange Admin Center (EAC) oder Exchange Online PowerShell zugewiesen sein:

    • Organisationsverwaltung
    • Organisationsverwaltung – nur Leserechte
    • Schreibgeschützte Empfänger
    • Complianceverwaltung

Weitere Informationen zu Rollen und Berechtigungen finden Sie in den folgenden Ressourcen:

Unterschiede zwischen Bedrohungs-Explorer und Echtzeiterkennungen

  • Der Bericht "Echtzeiterkennungen" ist in Defender for Office 365 Plan 1 verfügbar. Der Bedrohungs-Explorer ist in Defender for Office 365 Plan 2 verfügbar.
  • Mit dem Bericht "Echtzeiterkennungen" können Sie Erkennungen in Echtzeit anzeigen. Der Bedrohungs-Explorer tut dies ebenfalls, bietet aber auch zusätzliche Details für einen bestimmten Angriff.
  • Eine Ansicht "Alle E-Mails " ist im Bedrohungs-Explorer verfügbar, aber nicht im Bericht "Echtzeiterkennungen".
  • Weitere Filterfunktionen und verfügbare Aktionen sind im Bedrohungs-Explorer enthalten. Weitere Informationen finden Sie unter Microsoft Defender for Office 365 Dienstbeschreibung: Featureverfügbarkeit in Defender for Office 365 Plänen.

Untersuchen von E-Mails mit der Email-Entitätsseite