Microsoft Defender for Office 365 ausprobieren

Als bestehender Microsoft 365-Kunde können Sie auf den Seiten Testversionen und Bewertungen im Microsoft 365 Defender-Portal unter https://security.microsoft.com die Features von Microsoft Defender for Office 365 Plan 2 vor dem Kauf testen.

Bevor Sie Defender for Office 365 Plan 2 ausprobieren, müssen Sie sich einige wichtige Fragen stellen:

• Möchte ich passiv beobachten, was Defender for Office 365 Plan 2 für mich tun kann (Audit), oder möchte ich, dass Defender for Office 365 Plan 2 direkte Maßnahmen bei Problemen ergreift, die er findet (blockieren)?
• Wie auch immer, wie kann ich feststellen, was Defender for Office 365 Plan 2 für mich bewirkt?
• Wie lange habe ich Zeit, bevor ich die Entscheidung treffen muss, Defender for Office 365 Plan 2 beizubehalten?

Dieser Artikel hilft Ihnen, diese Fragen zu beantworten, damit Sie Defender for Office 365 Plan 2 auf eine Weise ausprobieren können, die den Anforderungen Ihrer Organisation am besten entspricht.

Eine Begleitanleitung zur Verwendung Ihrer Testversion finden Sie unter Testbenutzerhandbuch: Microsoft Defender for Office 365.

Übersicht über Defender for Office 365

Defender for Office 365 hilft Organisationen dabei, ihr Unternehmen zu schützen, indem sie umfassende Funktionen anbieten. Weitere Informationen finden Sie unter Microsoft Defender for Office 365.

Weitere Informationen zu Defender for Office 365 finden Sie in diesem interaktiven Leitfaden.

Sehen Sie sich dieses kurze Video an, um mehr darüber zu erfahren, wie Sie mit Microsoft Defender for Office 365 in kürzerer Zeit mehr erledigen können.

Funktionsweise von Testversionen und Auswertungen für Defender for Office 365

Richtlinien

Defender for Office 365 umfasst die Features von Exchange Online Protection (EOP), die in allen Microsoft 365-Organisationen mit Exchange Online Postfächern vorhanden sind, sowie Features, die exklusiv für Defender for Office 365 sind.

Die Schutzfunktionen von EOP und Defender for Office 365 werden mithilfe von Richtlinien implementiert. Richtlinien, die exklusiv für Defender for Office 365 sind, werden nach Bedarf für Sie erstellt:

• Schutz vor Identitätswechsel in Antiphishing-Richtlinien
• Sichere Anlagen für E-Mail-Nachrichten
• Sichere Links für E-Mail-Nachrichten und Microsoft Teams
  • Sichere Links detonieren URLs während des Nachrichtenflusses. Um zu verhindern, dass bestimmte URLs detoniert werden, verwenden Sie Zulassungseinträge für URLs in der Mandanten-Zulassungs-/Sperrliste. Weitere Informationen finden Sie unter Verwalten der Zulassungs-/Sperrliste für Mandanten.
  • Sichere Links umschließen keine URL-Links in E-Mail-Nachrichtentexten.

Ihre Berechtigung für eine Evaluierung oder Testversion bedeutet, dass Sie bereits über EOP verfügen. Für Ihre Evaluierung oder Testversion von Defender for Office 365 Plan 2 werden keine neuen oder speziellen EOP-Richtlinien erstellt. Vorhandene EOP-Richtlinien in Ihrer Microsoft 365-Organisation können auf Nachrichten reagieren (z. B. Nachrichten an den Junk-Email-Ordner senden oder in Quarantäne stellen):

• Antischadsoftwarerichtlinien
• Antispamschutz für eingehenden Datenverkehr
• Schutz vor Spoofing in Anti-Phishing-Richtlinien

Die Standardrichtlinien für diese EOP-Features sind immer aktiviert, gelten für alle Empfänger und werden immer zuletzt nach benutzerdefinierten Richtlinien angewendet.

Überwachungsmodus und Blockierungsmodus für Defender for Office 365

Möchten Sie, dass Ihre Defender for Office 365 Erfahrung aktiv oder passiv ist? Dies sind die beiden Modi, aus denen Sie auswählen können:

• Überwachungsmodus: Spezielle Auswertungsrichtlinien werden für Antiphishing (einschließlich Identitätswechselschutz), sichere Anlagen und sichere Links erstellt. Diese Auswertungsrichtlinien sind nur für die Erkennung von Bedrohungen konfiguriert. Defender for Office 365 schädliche Nachrichten für die Berichterstellung erkennt, aber die Nachrichten werden nicht bearbeitet (z. B. werden erkannte Nachrichten nicht unter Quarantäne gesetzt). Die Einstellungen dieser Auswertungsrichtlinien werden weiter unten in diesem Artikel im Abschnitt Richtlinien im Überwachungsmodus beschrieben.

  Der Überwachungsmodus bietet Zugriff auf benutzerdefinierte Berichte für Bedrohungen, die von Defender for Office 365 auf der Seite Auswertungsmodus unter https://security.microsoft.com/atpEvaluationerkannt werden.

• Blockierungsmodus: Die Standardvorlage für voreingestellte Sicherheitsrichtlinien ist aktiviert und wird für die Testversion verwendet, und die Benutzer, die Sie in die Testversion einschließen möchten, werden der voreingestellten Sicherheitsrichtlinie Standard hinzugefügt. Defender for Office 365 schädliche Nachrichten erkennt und maßnahmen ausführt (z. B. werden erkannte Nachrichten unter Quarantäne gesetzt).

  Die standard- und empfohlene Auswahl besteht darin, diese Defender for Office 365 Richtlinien auf alle Benutzer in der Organisation zu festlegen. Während oder nach der Einrichtung Ihrer Testversion können Sie die Richtlinienzuweisung jedoch im Microsoft 365 Defender-Portal oder in Exchange Online PowerShell an bestimmte Benutzer, Gruppen oder E-Mail-Domänen ändern.

  Der Blockierungsmodus bietet keine benutzerdefinierten Berichte für Bedrohungen, die von Defender for Office 365 erkannt wurden. Stattdessen sind die Informationen in den regelmäßigen Berichten und Untersuchungsfeatures von Defender for Office 365 Plan 2 verfügbar.

Ein wichtiger Faktor im Überwachungsmodus und im Blockierungsmodus ist die Art und Weise, wie E-Mails an Ihre Microsoft 365-Organisation übermittelt werden:

• E-Mails aus dem Internet werden direkt von Microsoft 365 übertragen, aber Ihr aktuelles Abonnement verfügt nur über Exchange Online Protection (EOP) oder Defender for Office 365 Plan 1.

  

  In diesen Umgebungen können Sie den Überwachungsmodus oder den Sperrmodus auswählen.

• Sie verwenden derzeit einen Dienst oder ein Gerät eines Drittanbieters für den E-Mail-Schutz Ihrer Microsoft 365-Postfächer. E-Mails aus dem Internet werden vor der Übermittlung an Ihre Microsoft 365-Organisation über den Schutzdienst übertragen. Der Microsoft 365-Schutz ist so gering wie möglich (er ist nie vollständig deaktiviert, z. B. wird der Schutz vor Schadsoftware immer erzwungen).

  

  In diesen Umgebungen können Sie nur den Überwachungsmodus auswählen. Sie müssen Ihren E-Mail-Fluss (MX-Einträge) nicht ändern.

Evaluierung und Testversion für Defender for Office 365

Was ist der Unterschied zwischen einer Bewertung und einer Testversion von Defender for Office 365 Plan 2? Sind sie nicht dasselbe? Nun ja und nein. Folgendes müssen Sie wissen:

• Wenn Sie noch nicht über Defender for Office 365 Plan 2-Lizenzen verfügen (z. B. eigenständiges EOP, Microsoft 365 E3, Microsoft 365 Business Premium oder Defender for Office 365 Plan 1), können Sie ihre Testversion über die Microsoft 365-Testversionen unter https://security.microsoft.com/trialHorizontalHub oder die Seite Auswertungsmodus unter https://security.microsoft.com/atpEvaluation im Microsoft 365 Defender-Portal. An beiden Speicherorten können Sie den Zulassungsmodus (standardvoreingestellte Sicherheitsrichtlinie) oder den Blockierungsmodus (Auswertungsrichtlinien) wie zuvor beschrieben auswählen.

  Unabhängig davon, welchen Standort Sie verwenden, stellen wir automatisch die erforderlichen Defender for Office 365 Plan 2-Testlizenzen für Sie bereit, wenn Sie sich registrieren. Manuelle oder externe Schritte zum Abrufen und Zuweisen von Plan 2-Lizenzen im Microsoft 365 Admin Center sind nicht mehr erforderlich. Die Testlizenzen sind 90 Tage gültig:

  • Für Organisationen ohne Defender for Office 365 (z. B. eigenständiges EOP oder Microsoft 365 E3) stehen Ihnen die Features (insbesondere die Richtlinien) von Defender for Office 365 während des Testzeitraums zur Verfügung.

  • Organisationen mit Defender for Office 365 Plan 1 (z. B. Microsoft 365 Business Premium- oder Add-On-Abonnements) verfügen über genau die gleichen Richtlinien wie Organisationen mit Defender for Office 365 Plan 2 (Identitätswechselschutz in Antiphishingrichtlinien, Richtlinien für sichere Anlagen und Richtlinien für sichere Links). Die Sicherheitsrichtlinien aus dem Zulassungsmodus (standardvoreingestellte Sicherheitsrichtlinie) oder dem Sperrmodus (Auswertungsrichtlinien) laufen nicht ab oder funktionieren nach 90 Tagen nicht mehr. Was für diese Organisationen nach 90 Tagen endet, sind die Automatisierungs-, Untersuchungs-, Wartungs- und Schulungsfunktionen von Plan 2, die in Plan 1 nicht vorhanden sind.

• Wenn Sie bereits über Defender for Office 365 Plan 2 verfügen (z. B. als Teil eines Microsoft 365 E5-Abonnements), wird Defender for Office 365 auf der Microsoft 365-Testversionsseite unter https://security.microsoft.com/trialHorizontalHubnie angezeigt. Stattdessen beginnen Sie mit der Auswertung von Defender for Office 365 Plan to auf der Seite Auswertungsmodus unter https://security.microsoft.com/atpEvaluation im Zulassungsmodus (standardvoreingestellte Sicherheitsrichtlinie) oder im Blockierungsmodus (Auswertungsrichtlinien).

  Definitionsgemäß benötigen diese Organisationen keine Testlizenzen von Defender for Office 365 Plan 2, sodass ihre Auswertungen unbegrenzt sind.

Die Informationen aus der vorherigen Liste sind in der folgenden Tabelle zusammengefasst:

Organisation	Verfügbare Modi	Registrieren Sie sich über die Auswertungsseite?	Registrieren Sie sich über die Seite "Testversionen"?	Evaluation Zeitraum
Eigenständiger EOP (keine Exchange Online Postfächer) Microsoft 365 E3	Überwachungsmodus Blockierungsmodus	Ja	Ja	90 Tage
Microsoft Defender für Office 365 Plan 1 Microsoft 365 Business Premium	Überwachungsmodus Blockierungsmodus	Ja	Ja	Unbegrenzt*
Microsoft 365 E5	Überwachungsmodus Blockierungsmodus	Ja	Nein	Unbegrenzt

^* Die Sicherheitsrichtlinien aus dem Zulassungsmodus (standardvoreingestellte Sicherheitsrichtlinie) oder dem Sperrmodus (Auswertungsrichtlinien) laufen nicht ab oder funktionieren nach 90 Tagen nicht mehr. Nur die Automatisierungs-, Untersuchungs-, Wartungs- und Schulungsfunktionen, die ausschließlich für Defender for Office 365 Plan 2 gelten, funktionieren nach 90 Tagen nicht mehr.

Einrichten einer Evaluierung oder Testversion im Überwachungsmodus

Denken Sie daran, dass beim Auswerten Defender for Office 365 im Überwachungsmodus spezielle Auswertungsrichtlinien erstellt werden, damit Defender for Office 365 Bedrohungen erkennen können. Die Einstellungen dieser Auswertungsrichtlinien werden weiter unten in diesem Artikel im Abschnitt Richtlinien im Überwachungsmodus beschrieben.

1. Starten Sie die Auswertung an einem der verfügbaren Speicherorte im Microsoft 365 Defender-Portal unter https://security.microsoft.com. Beispiel:

   • Klicken Sie auf dem Banner oben auf einer Defender for Office 365 Featureseite auf Kostenlose Testversion starten.
   • Suchen Sie auf der Seite Microsoft 365-Testversionen unter https://security.microsoft.com/trialHorizontalHubnach Defender for Office 365, und wählen Sie sie aus.
   • Klicken Sie auf der Seite Auswertungsmodus unter auf https://security.microsoft.com/atpEvaluationAuswertung starten.

2. Wählen Sie im Dialogfeld Schutz aktivieren die Option Nein, ich möchte nur Berichterstellung aus, und klicken Sie dann auf Weiter.

3. Konfigurieren Sie im Dialogfeld Wählen Sie die Benutzer aus, die Sie einschließen möchten die folgenden Einstellungen:

   • Alle Benutzer: Dies ist die standard- und empfohlene Option.

   • Benutzer auswählen: Wenn Sie diese Option auswählen, müssen Sie die internen Empfänger auswählen, für die die Auswertung gilt:

     • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
     • Gruppen:
       • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
       • Die angegebene Microsoft 365-Gruppen.
       • Domänen: Alle Empfänger in der angegebenen akzeptierten Domäne in Ihrer Organisation.

     Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie neben dem Wert auf .

     Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer einen einzelnen Stern (*) ein, um alle verfügbaren Werte anzuzeigen.

   Hinweis

   Sie können diese Auswahl ändern, nachdem Sie die Einrichtung der Testversion abgeschlossen haben, wie im Abschnitt Verwalten Ihrer Testversion beschrieben.

   Mehrere unterschiedliche Typen von Bedingungen oder Ausnahmen sind nicht additiv, sie sind inklusiv. Die Auswertung oder Testversion wird nur auf die Empfänger angewendet, die allen angegebenen Empfängerfiltern entsprechen. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:

   • Benutzer: romain@contoso.com
   • Gruppen: Führungskräfte

   Die Bewertung oder Testversion wird nur dann angewendetromain@contoso.com, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, wird die Bewertung oder Testversion nicht auf ihn angewendet.

   Wenn Sie denselben Empfängerfilter als Ausnahme verwenden, wird die Auswertung oder Testversion nicht nur dann angewendetromain@contoso.com, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, gilt die Bewertung oder Testversion weiterhin für ihn.

   Wenn Sie fertig sind, klicken Sie auf Weiter.

4. Konfigurieren Sie im Dialogfeld Helfen Sie uns, Ihren E-Mail-Fluss zu verstehen , die folgenden Optionen:

   • Eine der folgenden Optionen wird basierend auf unserer Erkennung des MX-Eintrags für Ihre Domäne automatisch ausgewählt:

     • Ich verwende einen Drittanbieter und/oder einen lokalen Dienstanbieter: Der MX-Eintrag für Ihre Domäne verweist auf einen anderen Ort als Microsoft 365. Diese Auswahl erfordert die folgenden zusätzlichen Einstellungen, nachdem Sie auf Weiter geklickt haben:

       1. Konfigurieren Sie im Dialogfeld Drittanbieter- oder lokale Einstellungen die folgenden Einstellungen:

          • Wählen Sie einen Drittanbieter aus: Wählen Sie einen der folgenden Werte aus:

            • Barracuda
            • Ironport
            • Mimecast
            • Proofpoint
            • Sophos
            • Symantec
            • Trend Micro
            • Other

          • Der Connector, auf den diese Auswertung angewendet werden soll: Wählen Sie den Connector aus, der für den Nachrichtenfluss an Microsoft 365 verwendet wird.

            Die erweiterte Filterung für Connectors (auch als Überspringen der Auflistung bezeichnet) wird automatisch für den von Ihnen angegebenen Connector konfiguriert.

            Wenn ein Dienst oder Gerät eines Drittanbieters vor E-Mails sitzt, die an Microsoft 365 gesendet werden, identifiziert die erweiterte Filterung für Connectors die Quelle von Internetnachrichten richtig und verbessert die Genauigkeit des Microsoft-Filterstapels erheblich (insbesondere Spoofintelligenz sowie Funktionen nach Einer Sicherheitsverletzung in Threat Explorer und Automated Investigation & Response (AIR).

          • Auflisten der einzelnen Gateway-IP-Adressen, die Ihre Nachrichten durchlaufen: Diese Einstellung ist nur verfügbar, wenn Sie unter Drittanbieter auswählen die Option Andere ausgewählt haben. Geben Sie eine durch Trennzeichen getrennte Liste der IP-Adressen ein, die vom Schutzdienst oder Gerät des Drittanbieters zum Senden von E-Mails an Microsoft 365 verwendet werden.

          Wenn Sie fertig sind, klicken Sie auf Weiter.

       2. Entscheiden Sie im Dialogfeld Exchange-Nachrichtenflussregeln, ob Sie eine Exchange Online Nachrichtenflussregel (auch als Transportregel bezeichnet) benötigen, die die Spamfilterung für eingehende Nachrichten vom Schutzdienst oder Gerät eines Drittanbieters überspringt.

          Es ist wahrscheinlich, dass Sie bereits über eine SCL=-1-Nachrichtenflussregel in Exchange Online verfügen, die es allen eingehenden E-Mails vom Schutzdienst ermöglicht, die (meisten) Microsoft 365-Filter zu umgehen. Viele Schutzdienste fördern diese SCL-Regelmethode (Spam Confidence Level) für Microsoft 365-Kunden, die ihre Dienste verwenden.

          Wie im vorherigen Schritt erläutert, wird die erweiterte Filterung für Connectors automatisch für den Connector konfiguriert, den Sie als E-Mail-Quelle des Schutzdiensts angeben.

          Das Aktivieren der erweiterten Filterung für Connectors ohne SCL=-1-Regel für eingehende E-Mails vom Schutzdienst verbessert die Erkennungsfunktionen von EOP-Schutzfeatures wie Spoofintelligenz erheblich und kann sich auf die Zustellung dieser neu erkannten Nachrichten auswirken (z. B. verschieben in den Junk-Email-Ordner oder in Quarantäne). Diese Auswirkungen sind auf EOP-Richtlinien beschränkt; Wie bereits erläutert, werden Defender for Office 365 Richtlinien im Überwachungsmodus erstellt.

          Um eine SCL=-1-Nachrichtenflussregel zu erstellen oder Ihre vorhandenen Regeln zu überprüfen, klicken Sie auf der Seite auf die Schaltfläche Zum Exchange Admin Center wechseln . Weitere Informationen finden Sie unter Verwenden von Nachrichtenflussregeln zum Festlegen des Spam-Konfidenzniveaus (SCL) in Nachrichten in Exchange Online.

          Klicken Sie nach Abschluss des Vorgangs auf Fertig stellen.

     • Ich verwende nur Microsoft Exchange Online: Die MX-Einträge für Ihre Domäne verweisen auf Microsoft 365. Da nichts mehr zu konfigurieren ist, klicken Sie auf Fertig stellen.

   • Daten für Microsoft freigeben: Diese Option ist standardmäßig nicht aktiviert, Aber Sie können das Kontrollkästchen aktivieren, wenn Sie möchten.

5. Beim Einrichten der Auswertung wird ein Statusdialogfeld angezeigt. Wenn die Einrichtung abgeschlossen ist, klicken Sie auf Fertig.

Einrichten einer Evaluierung oder Testversion im Blockierungsmodus

Denken Sie daran: Wenn Sie versuchen, Defender for Office 365 im Blockierungsmodus zu verwenden, wird die standardvoreingestellte Sicherheit aktiviert, und die angegebenen Benutzer (einige oder alle) sind in der standardvoreingestellten Sicherheitsrichtlinie enthalten. Weitere Informationen zur standardvoreingestellten Sicherheitsrichtlinie finden Sie unter Voreingestellte Sicherheitsrichtlinien.

1. Starten Sie die Testversion an einem der verfügbaren Speicherorte im Microsoft 365 Defender-Portal unter https://security.microsoft.com. Beispiel:

   • Klicken Sie auf dem Banner oben auf einer Defender for Office 365 Featureseite auf Kostenlose Testversion starten.
   • Suchen Sie auf der Seite Microsoft 365-Testversionen unter https://security.microsoft.com/trialHorizontalHubnach Defender for Office 365, und wählen Sie sie aus.
   • Klicken Sie auf der Seite Auswertungsmodus unter auf https://security.microsoft.com/atpEvaluationAuswertung starten.

2. Wählen Sie im Dialogfeld Schutz aktivieren die Option Ja, meine Organisation schützen durch Blockieren von Bedrohungen aus, und klicken Sie dann auf Weiter.

3. Konfigurieren Sie im Dialogfeld Wählen Sie die Benutzer aus, die Sie einschließen möchten die folgenden Einstellungen:

   • Alle Benutzer: Dies ist die standard- und empfohlene Option.

   • Benutzer auswählen: Wenn Sie diese Option auswählen, müssen Sie die internen Empfänger auswählen, für die die Testversion gilt:

     • Benutzer: Die angegebenen Postfächer, E-Mail-Benutzer oder E-Mail-Kontakte.
     • Gruppen:
       • Mitglieder der angegebenen Verteilergruppen oder E-Mail-aktivierten Sicherheitsgruppen (dynamische Verteilergruppen werden nicht unterstützt).
       • Die angegebene Microsoft 365-Gruppen.
     • Domänen: Alle Empfänger in der angegebenen akzeptierten Domäne in Ihrer Organisation.

     Klicken Sie auf das entsprechende Feld, beginnen Sie mit der Eingabe eines Wertes, und wählen Sie den gewünschten Wert aus den Ergebnissen aus. Wiederholen Sie diesen Vorgang so oft wie nötig. Um einen vorhandenen Wert zu entfernen, klicken Sie neben dem Wert auf .

     Für Benutzer oder Gruppen können Sie die meisten Bezeichner verwenden (Name, Anzeigename, Alias, E-Mail-Adresse, Kontoname usw.), aber in den Ergebnissen wird der entsprechende Anzeigename angezeigt. Geben Sie für Benutzer einen einzelnen Stern (*) ein, um alle verfügbaren Werte anzuzeigen.

   Hinweis

   Sie können diese Auswahl ändern, nachdem Sie die Einrichtung der Testversion abgeschlossen haben, wie im Abschnitt Verwalten Ihrer Testversion beschrieben.

   Mehrere unterschiedliche Typen von Bedingungen oder Ausnahmen sind nicht additiv, sie sind inklusiv. Die Auswertung oder Testversion wird nur auf die Empfänger angewendet, die allen angegebenen Empfängerfiltern entsprechen. Beispielsweise konfigurieren Sie eine Bedingung mit den folgenden Werten:

   • Benutzer: romain@contoso.com
   • Gruppen: Führungskräfte

   Die Bewertung oder Testversion wird nur dann angewendetromain@contoso.com, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, wird die Bewertung oder Testversion nicht auf ihn angewendet.

   Wenn Sie denselben Empfängerfilter als Ausnahme verwenden, wird die Auswertung oder Testversion nicht nur dann angewendetromain@contoso.com, wenn er auch Mitglied der Gruppe "Führungskräfte" ist. Wenn er kein Mitglied der Gruppe ist, gilt die Bewertung oder Testversion weiterhin für ihn.

   Wenn Sie fertig sind, klicken Sie auf Weiter.

4. Beim Einrichten der Auswertung wird ein Statusdialogfeld angezeigt. Klicken Sie nach Abschluss des Setups auf Fertig.

Verwalten Ihrer Evaluierung oder Testversion von Defender for Office 365

Nachdem Sie Ihre Auswertung oder Testversion im Überwachungsmodus oder Blockierungsmodus eingerichtet haben, ist die Seite Auswertungsmodus unter https://security.microsoft.com/atpEvaluation Ihr zentraler Ort für Informationen zum Ausprobieren Defender for Office 365 Plan 2.

1. Wechseln Sie im Microsoft 365 Defender-Portal unter https://security.microsoft.comzu EmailRegeln für Richtlinien für &die ZusammenarbeitBedrohungsrichtlinien> wählen Sie im Abschnitt Andere den Auswertungsmodus aus.&>> Oder verwenden Sie , um direkt zur Microsoft Defender for Office 365 Auswertungsseite zu wechselnhttps://security.microsoft.com/atpEvaluation.

2. Auf der Seite Microsoft Defender for Office 365 Auswertung können Sie die folgenden Aufgaben ausführen:

   • Klicken Sie auf Kostenpflichtiges Abonnement kaufen, um Defender for Office 365 Plan 2 zu kaufen.

   • Klicken Sie auf Verwalten. Im Microsoft Defender for Office 365-Auswertungs-Flyout, das angezeigt wird, können Sie die folgenden Aufgaben ausführen:

     • Ändern Sie, für wen die Evaluierung oder Testversion gilt, wie weiter oben unter Einrichten einer Evaluierung oder Testversion im Überwachungsmodus und Einrichten einer Evaluierung oder Testversion im Blockierungsmodus beschrieben.

     • Um vom Überwachungsmodus (Auswertungsrichtlinien) zum Blockierungsmodus (standardvoreingestellte Sicherheitsrichtlinie) zu wechseln, klicken Sie auf In Standardschutz konvertieren, und klicken Sie dann im Dialogfeld auf Weiter, das auf der Seite Voreingestellte Sicherheitsrichtlinien zum Assistenten Zum Anwenden von Standardschutz weitergeleitet wird. Die vorhandenen eingeschlossenen und ausgeschlossenen Empfänger werden kopiert. Weitere Informationen finden Sie unter Verwenden des Microsoft 365 Defender-Portals, um Benutzern voreingestellte Sicherheitsrichtlinien für Standard und Strict zuzuweisen.

       Hinweise:

       • Die Richtlinien in der standardvoreingestellten Sicherheitsrichtlinie haben eine höhere Priorität als die Auswertungsrichtlinien. Dies bedeutet, dass die Richtlinien in der standardvoreingestellten Sicherheit immer vor den Auswertungsrichtlinien angewendet werden, auch wenn beide vorhanden und aktiviert sind. Um die Auswertungsrichtlinien zu deaktivieren, verwenden Sie die Schaltfläche Deaktivieren.
       • Es gibt keine automatische Möglichkeit, vom Blockierungsmodus in den Überwachungsmodus zu wechseln. Die manuellen Schritte sind:
         1. Deaktivieren Sie die voreingestellte Sicherheitsrichtlinie Standard auf der Seite Voreingestellte Sicherheitsrichtlinien .
         2. Nachdem Sie auf der Seite Microsoft Defender for Office 365 Auswertung auf Verwalten geklickt haben, überprüfen Sie, ob die Schaltfläche Deaktivieren vorhanden ist, die angibt, dass die Auswertungsrichtlinien aktiviert sind. Wenn die Schaltfläche Aktivieren angezeigt wird, klicken Sie darauf, um die Auswertungsrichtlinien zu aktivieren.
         3. Überprüfen Sie die Benutzer, für die die Auswertung gilt.

     • Klicken Sie auf Deaktivieren, um die Auswertungsrichtlinien zu deaktivieren. Klicken Sie auf Aktivieren, um sie wieder zu aktivieren.

     Wenn Sie mit dem Flyout fertig sind, klicken Sie auf Speichern.

Berichte für Ihre Auswertung oder Testversion von Defender for Office 365

In diesem Abschnitt werden die Berichte beschrieben, die im Überwachungs- und Blockierungsmodus verfügbar sind.

Berichte für den Blockierungsmodus

Im Blockierungsmodus zeigen die folgenden Berichte Erkennungen nach Defender for Office 365:

• Die Mailflow-Ansicht für den Mailflow-Statusbericht:

  • Nachrichten, die als Benutzeridentitätswechsel oder Domänenidentitätswechsel durch Antiphishingrichtlinien erkannt wurden, werden im Identitätswechselblock angezeigt.
  • Nachrichten, die während der Datei- oder URL-Detonation durch Richtlinien für sichere Anlagen oder Richtlinien für sichere Links erkannt wurden, werden im Detonation-Block angezeigt.

• Der Bedrohungsschutz-Statusbericht:

  • Anzeigen von Daten nach Übersicht:

    Sie können die meisten Ansichten nach demMDO-Wert Geschützt filtern, um die Auswirkungen von Defender for Office 365 zu sehen.

  • Anzeigen von Daten nach Email > Phish und Diagrammaufschlüsselung nach Erkennungstechnologie

    • Nachrichten, die von Kampagnen erkannt wurden, werden in Kampagne angezeigt.
    • Meldungen, die von sicheren Anlagen erkannt wurden, werden unter Dateidetonation und Dateidetonierungsreputation angezeigt.
    • Nachrichten, die vom Schutz vor Benutzeridentitätswechseln in Antiphishingrichtlinien erkannt wurden, werden unter Identitätswechseldomäne, Identitätswechselbenutzer und Identitätswechsel der Postfachintelligenz angezeigt.
    • Von sicheren Links erkannte Nachrichten werden unter URL-Detonation und URL-Detonation angezeigt.

  • Anzeigen von Daten nach Email > Schadsoftware und Diagrammaufschlüsselung nach Erkennungstechnologie

    • Nachrichten, die von Kampagnen erkannt wurden, werden in Kampagne angezeigt.
    • Meldungen, die von sicheren Anlagen erkannt wurden, werden unter Dateidetonation und Dateidetonierungsreputation angezeigt.
    • Von sicheren Links erkannte Nachrichten werden unter URL-Detonation und URL-Detonation angezeigt.

  • Anzeigen von Daten nach Email > Spam- und Diagrammaufschlüsselung nach Erkennungstechnologie

    Nachrichten, die von sicheren Links erkannt wurden, werden in einer URL mit schädlichem Ruf angezeigt.

  • Diagrammaufschlüsselung nach Richtlinientyp

    Von sicheren Anlagen erkannte Nachrichten werden in sicheren Anlagen angezeigt.

  • Anzeigen von Daten nach Content > Malware

    Schädliche Dateien, die von sicheren Anlagen für SharePoint, OneDrive und Microsoft Teams erkannt wurden, werden in der MDO-Detonation angezeigt.

  • Der Bericht "Top senders and recipients" (Wichtigste Absender und Empfänger)

    Anzeigen von Daten für top malware recipients (MDO) und Show data for Top phish recipients (MDO).

  • Der URL-Schutzbericht

Berichte für den Überwachungsmodus

Im Überwachungsmodus zeigen die folgenden Berichte Erkennungen nach Defender for Office 365:

• Der Bedrohungsschutz-Statusbericht verfügt in den folgenden Ansichten über Auswertung: Ja/Nein als filterbare Eigenschaft:

  • Anzeigen von Daten nach Email > Phish und Diagrammaufschlüsselung nach Erkennungstechnologie
  • Anzeigen von Daten nach Email > Schadsoftware und Diagrammaufschlüsselung nach Erkennungstechnologie
  • Anzeigen von Daten nach Email > Spam- und Diagrammaufschlüsselung nach Erkennungstechnologie

• Der Bedrohungs-Explorer zeigt das folgende Banner in den Details zur Nachrichtenerkennung auf der Registerkarte Analyse für Ungültige Anlage, Spam-URL + Schadsoftware, Phish-URL und Identitätswechselnachrichten, die von der Defender for Office 365 Auswertung erkannt wurden, das folgende Banner in den Details des Eintrags an:

  

Auf der Seite Microsoft Defender for Office 365 Auswertung unter https://security.microsoft.com/atpEvaluation wird die Berichterstellung für die Richtlinien in der Auswertung konsolidiert:

• Sichere Links
• Sichere Anlagen
• Schutz vor Identitätswechsel in Antiphishing-Richtlinien

Standardmäßig werden in den Diagrammen Daten für die letzten 30 Tage angezeigt. Sie können den Datumsbereich jedoch filtern, indem Sie auf 30 Tage und Auswahl aus den folgenden zusätzlichen Werten, die weniger als 30 Tage sind:

• 24 Stunden
• 7 Tage
• 14 Tage
• Benutzerdefinierter Datumsbereich

Sie können auf Laden Sie den Download herunter, um die Diagrammdaten in eine .csv-Datei herunterzuladen.

Erforderliche Berechtigungen

Die folgenden Berechtigungen sind in Azure AD erforderlich, um eine Evaluierung oder Testversion von Defender für Microsoft 365 einzurichten:

• Erstellen, Ändern oder Löschen einer Evaluierung oder Testversion: Sicherheitsadministrator oder globaler Administrator.
• Anzeigen von Auswertungsrichtlinien und Berichten im Überwachungsmodus: Sicherheitsadministrator oder Sicherheitsleseberechtigter.

Weitere Informationen zu Azure AD-Berechtigungen im Microsoft 365 Defender-Portal finden Sie unter Azure AD-Rollen im Microsoft 365 Defender-Portal.

Häufig gestellte Fragen

F: Muss ich Testlizenzen manuell abrufen oder aktivieren?

A: Nein. In der Testversion werden automatisch Defender for Office 365 Plan 2-Lizenzen bereitgestellt, wenn Sie diese wie zuvor beschrieben benötigen.

F: Gewusst wie die Testversion verlängern?

A: Weitere Informationen finden Sie unter Verlängern Ihrer Testversion.

F: Was geschieht mit meinen Daten nach Ablauf der Testversion?

A: Nach Ablauf der Testversion haben Sie 30 Tage lang Zugriff auf Ihre Testdaten (Daten von Features in Defender for Office 365, die Sie zuvor nicht hatten). Nach ablauf dieses Zeitraums von 30 Tagen werden alle Richtlinien und Daten, die mit der Defender for Office 365 Testversion verknüpft waren, gelöscht.

F: Wie oft kann ich die Defender for Office 365-Testversion in meiner Organisation verwenden?

A: Maximal 2 Mal. Wenn Ihre erste Testversion abläuft, müssen Sie mindestens 30 Tage nach dem Ablaufdatum warten, bevor Sie sich erneut für die Defender for Office 365 Testversion registrieren können. Nach der zweiten Testversion können Sie sich nicht mehr für eine andere Testversion registrieren.

F: Gibt es im Überwachungsmodus Szenarien, in denen Defender for Office 365 auf Nachrichten reagieren?

A.: Ja. Niemand in einem Programm oder einer SKU kann die Aktion auf Nachrichten deaktivieren oder umgehen, die vom Dienst als Schadsoftware oder Phishing mit hoher Zuverlässigkeit klassifiziert werden.

Im Überwachungsmodus ergreift der Antispoofingschutz in EOP auch Aktionen für Nachrichten. Um zu verhindern, dass der Schutz vor Spoofing auf Nachrichten wirkt, erstellen Sie eine Exchange-Nachrichtenflussregel (auch als Transportregel bezeichnet), bei der eingehende E-Mails alle Filtertypen umgehen, die umgangen werden können (einschließlich Desspoofingschutzes). Anweisungen finden Sie unter Verwenden von Nachrichtenflussregeln zum Festlegen des Spam-Konfidenzniveaus (SCL) in Nachrichten in Exchange Online.

F: In welcher Reihenfolge werden Richtlinien ausgewertet?

A: Informationen zu voreingestellten Sicherheitsrichtlinien und anderen Richtlinien finden Sie unter Rangfolge.

Referenz

Richtlinieneinstellungen, die Defender for Office 365 Testversionen zugeordnet sind

Richtlinien im Überwachungsmodus

Warnung

Versuchen Sie nicht, die einzelnen Sicherheitsrichtlinien zu erstellen, zu ändern oder zu entfernen, die der Auswertung von Defender for Office 365 zugeordnet sind. Die einzige unterstützte Methode zum Erstellen der einzelnen Sicherheitsrichtlinien für die Auswertung besteht darin, die Auswertung oder Testversion zum ersten Mal im Überwachungsmodus im Microsoft 365 Defender-Portal zu starten.

Wie bereits beschrieben, werden beim Auswählen des Überwachungsmodus für Ihre Auswertung oder Testversion automatisch Auswertungsrichtlinien mit den erforderlichen Einstellungen erstellt, um Nachrichten zu beobachten, aber keine Maßnahmen zu ergreifen.

Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um diese Richtlinien und ihre Einstellungen anzuzeigen:

Write-Output -InputObject ("`r`n"*3),"Evaluation anti-phishing policy",("-"*79);Get-AntiPhishPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Attachments policy",("-"*79);Get-SafeAttachmentPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"; Write-Output -InputObject ("`r`n"*3),"Evaluation Safe Links policy",("-"*79);Get-SafeLinksPolicy | Where-Object -Property RecommendedPolicyType -eq -Value "Evaluation"

Die Einstellungen werden auch in den folgenden Tabellen beschrieben.

Richtlinieneinstellungen für die Antiphishingauswertung

Einstellung	Wert
Name	Auswertungsrichtlinie
AdminDisplayName	Auswertungsrichtlinie
AuthenticationFailAction	MoveToJmf
Aktiviert	Wahr
EnableFirstContactSafetyTips	Falsch
EnableMailboxIntelligence	Wahr
EnableMailboxIntelligenceProtection	Wahr
EnableOrganizationDomainsProtection	Falsch
EnableSimilarDomainsSafetyTips	Falsch
EnableSimilarUsersSafetyTips	Falsch
EnableSpoofIntelligence	Wahr
EnableSuspiciousSafetyTip	Falsch
EnableTargetedDomainsProtection	Falsch
EnableTargetedUserProtection	Falsch
EnableUnauthenticatedSender	Wahr
EnableUnusualCharactersSafetyTips	Falsch
EnableViaTag	Wahr
ExcludedDomains	{}
ExcludedSenders	{}
ImpersonationProtectionState	Manual
IsDefault	Falsch
MailboxIntelligenceProtectionAction	NoAction
MailboxIntelligenceProtectionActionRecipients	{}
MailboxIntelligenceQuarantineTag	DefaultFullAccessPolicy
PhishThresholdLevel	1
PolicyTag	leer
RecommendedPolicyType	Evaluation
SpoofQuarantineTag	DefaultFullAccessPolicy
TargetedDomainActionRecipients	{}
TargetedDomainProtectionAction	NoAction
TargetedDomainQuarantineTag	DefaultFullAccessPolicy
TargetedDomainsToProtect	{}
TargetedUserActionRecipients	{}
TargetedUserProtectionAction	NoAction
TargetedUserQuarantineTag	DefaultFullAccessPolicy
TargetedUsersToProtect	{}

Richtlinieneinstellungen für die Auswertung sicherer Anlagen

Einstellung	Wert
Name	Auswertungsrichtlinie
Aktion	Zulassen
ActionOnError	Wahr
AdminDisplayName	Auswertungsrichtlinie
ConfidenceLevelThreshold	80
Aktivieren	Wahr
EnableOrganizationBranding	Falsch
IsBuiltInProtection	Falsch
IsDefault	Falsch
OperationMode	Verzögerung
QuarantineTag	AdminOnlyAccessPolicy
RecommendedPolicyType	Evaluation
Redirect	Falsch
RedirectAddress	leer
ScanTimeout	30

Richtlinieneinstellungen für die Auswertung sicherer Links

Einstellung	Wert
Name	Auswertungsrichtlinie
AdminDisplayName	Auswertungsrichtlinie
AllowClickThrough	Wahr
CustomNotificationText	leer
DeliverMessageAfterScan	Wahr
DisableUrlRewrite	Wahr
DoNotRewriteUrls	{}
EnableForInternalSenders	Falsch
EnableOrganizationBranding	Falsch
EnableSafeLinksForEmail	Wahr
EnableSafeLinksForOffice	Falsch
EnableSafeLinksForTeams	Falsch
IsBuiltInProtection	Falsch
LocalizedNotificationTextList	{}
RecommendedPolicyType	Evaluation
ScanUrls	Wahr
TrackClicks	Wahr

Verwenden von PowerShell zum Konfigurieren von Empfängerbedingungen und Ausnahmen für die Auswertung im Überwachungsmodus

Eine Regel, die den Defender for Office 365 Auswertungsrichtlinien zugeordnet ist, steuert die Empfängerbedingungen und Ausnahmen von der Auswertung.

Um die Regel anzuzeigen, die der Auswertung zugeordnet ist, führen Sie den folgenden Befehl in Exchange Online PowerShell aus:

Get-ATPEvaluationRule

Um Exchange Online PowerShell zu verwenden, um zu ändern, für wen die Auswertung gilt, verwenden Sie die folgende Syntax:

Set-ATPEvaluationRule -Identity "Evaluation Rule" -SentTo <"user1","user2",... | $null> -ExceptIfSentTo <"user1","user2",... | $null> -SentToMemberOf <"group1","group2",... | $null> -ExceptIfSentToMemberOf <"group1","group2",... | $null> -RecipientDomainIs <"domain1","domain2",... | $null> -ExceptIfRecipientDomainIs <"domain1","domain2",... | $null>

In diesem Beispiel werden Ausnahmen von der Auswertung für die angegebenen SecOps-Postfächer (Security Operations) konfiguriert.

Set-ATPEvaluationRule -Identity "Evaluation Rule" -ExceptIfSentTo "SecOps1","SecOps2"

Verwenden von PowerShell zum Aktivieren oder Deaktivieren der Auswertung im Überwachungsmodus

Um die Auswertung im Überwachungsmodus zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie die Regel, die der Auswertung zugeordnet ist. Der Wert der State-Eigenschaft der Auswertungsregel zeigt an, ob die Regel aktiviert oder Deaktiviert ist.

Führen Sie den folgenden Befehl aus, um zu ermitteln, ob die Auswertung derzeit aktiviert oder deaktiviert ist:

Get-ATPEvaluationRule -Identity "Evaluation Rule" | Format-Table Name,State

Führen Sie den folgenden Befehl aus, um die Auswertung zu deaktivieren, wenn sie aktiviert ist:

Disable-ATPEvaluationRule -Identity "Evaluation Rule"

Führen Sie den folgenden Befehl aus, um die Auswertung zu aktivieren, wenn sie deaktiviert ist:

Enable-ATPEvaluationRule -Identity "Evaluation Rule"

Richtlinien und Regeln im Blockmodus

Wie zuvor beschrieben, werden richtlinien beim Auswählen des Blockierungsmodus für Ihre Testversion mithilfe der Standardvorlage für voreingestellte Sicherheitsrichtlinien erstellt.

Wenn Sie Exchange Online PowerShell verwenden möchten, um die einzelnen Sicherheitsrichtlinien anzuzeigen, die der standardvoreingestellten Sicherheitsrichtlinie zugeordnet sind, und um Exchange Online PowerShell zum Anzeigen und Konfigurieren der Empfängerbedingungen und Ausnahmen für die voreingestellte Sicherheitsrichtlinie zu verwenden, lesen Sie Voreingestellte Sicherheitsrichtlinien in Exchange Online PowerShell.