Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Tipp
Wussten Sie, dass Sie die Features in Microsoft Defender für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-Tage-Testversion von Defender für Office 365 im Microsoft Defender-Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.
Dieser Artikel bietet eine Übersicht über die Anforderungen und Aufgaben für den erfolgreichen Betrieb von Microsoft Defender für Office 365 in Ihrem organization. Diese Aufgaben tragen dazu bei, sicherzustellen, dass Ihr Security Operations Center (SOC) einen hochwertigen, zuverlässigen Ansatz zum Schutz, Zur Erkennung und Reaktion auf Sicherheitsbedrohungen im Zusammenhang mit E-Mails und Zusammenarbeit bietet.
Im weiteren Verlauf dieses Leitfadens werden die erforderlichen Aktivitäten für SecOps-Mitarbeiter beschrieben. Die Aktivitäten sind in präskriptive tägliche, wöchentliche, monatliche und Ad-hoc-Aufgaben gruppiert.
Ein Begleitartikel zu diesem Leitfaden bietet eine Übersicht über die Verwaltung von Defender for Office 365 Vorfällen und Warnungen.
Das Microsoft Defender XDR Security Operations Guide enthält zusätzliche Informationen, die Sie für die Planung und Entwicklung verwenden können.
Ein Video zu diesen Informationen finden Sie unter https://youtu.be/eQanpq9N1Ps.
Tägliche Aktivitäten
Überwachen der Microsoft Defender XDR Incidents-Warteschlange
Auf der Seite Incidents im Microsoft Defender-Portal unter https://security.microsoft.com/incidents (auch als Incidentwarteschlange bezeichnet) können Sie Ereignisse aus den folgenden Quellen in Defender für Office 365 verwalten und überwachen:
Weitere Informationen zur Warteschlange für Incidents finden Sie unter Incidents in Microsoft Defender XDR priorisieren.
Ihr Selektierungsplan zum Überwachen der Incidentwarteschlange sollte die folgende Rangfolge für Incidents verwenden:
- Ein potenziell schädlicher URL-Klick wurde erkannt.
- Der Benutzer kann keine E-Mails senden.
- Verdächtige E-Mail-Sendemuster erkannt.
- Email vom Benutzer als Schadsoftware oder Phish gemeldet, und mehrere Benutzer haben E-Mails als Schadsoftware oder Phish gemeldet.
- Email Nachrichten, die schädliche Dateien enthalten, die nach der Zustellung entfernt wurden, Email Nachrichten, die eine schädliche URL enthalten, die nach der Zustellung entfernt wurden, und Email Nachrichten aus einer Kampagne, die nach der Zustellung entfernt wurden.
- Phish wird aufgrund einer ETR-Außerkraftsetzung zugestellt, Phish wird übermittelt, weil der Junk-E-Mail-Ordner eines Benutzers deaktiviert ist, und Phish aufgrund einer IP-Zulassungsrichtlinie zugestellt
- Schadsoftware wurde nicht gezapft, weil ZAP deaktiviert ist und Phish nicht gezapft, weil ZAP deaktiviert ist.
Die Verwaltung von Warteschlangen für Incidents und die verantwortlichen Personas werden in der folgenden Tabelle beschrieben:
| Aktivität | Kadenz | Beschreibung | Persona |
|---|---|---|---|
| Selektieren von Vorfällen in der Incidentwarteschlange unter https://security.microsoft.com/incidents. | Täglich | Stellen Sie sicher, dass alle Vorfälle mit dem Schweregrad Mittel und Hoch in Defender für Office 365 bearbeitet werden. | Sicherheitsbetriebsteam |
| Untersuchen Sie Vorfälle und ergreifen Sie Reaktionsmaßnahmen. | Täglich | Untersuchen Sie alle Incidents, und führen Sie aktiv die empfohlenen oder manuellen Reaktionsaktionen aus. | Sicherheitsbetriebsteam |
| Vorfälle beheben. | Täglich | Wenn der Vorfall behoben wurde, beheben Sie den Vorfall. Durch das Auflösen des Incidents werden alle verknüpften und zugehörigen aktiven Warnungen aufgelöst. | Sicherheitsbetriebsteam |
| Klassifizieren von Vorfällen. | Täglich | Klassifizieren Sie Vorfälle als "true" oder "false". Geben Sie für echte Warnungen den Bedrohungstyp an. Diese Klassifizierung hilft Ihrem Sicherheitsteam, Bedrohungsmuster zu erkennen und Ihre organization vor diesen zu schützen. | Sicherheitsbetriebsteam |
Verwalten von Falsch-Positiv- und Falsch-Negativ-Erkennungen
Tipp
- Eine kurze Übersicht über die Verwaltung falsch positiver Ergebnisse finden Sie in diesem kurzen Video: https://youtu.be/yuduVj6wvsw
- Einen kurzen Überblick darüber, wie Sie mit Untersuchungen zu falsch negativen Ergebnissen beginnen, erhalten Sie in diesem kurzen Video: https://youtu.be/sFMAI8MeDKQ
In Defender für Office 365 verwalten Sie falsch positive Ergebnisse (gute E-Mails sind als schlecht gekennzeichnet) und falsch negative Nachrichten (ungültige E-Mails zulässig) an den folgenden Speicherorten:
- Die Seite „Einreichungen“ (Admin-Einreichungen).
- Die Mandanten-Zulassungs-/Sperrliste
- Bedrohungs-Explorer
Weitere Informationen finden Sie unter Verwalten falsch positiver und falsch negativer Erkennungen.
Falsch positives und falsch negatives Management und die verantwortlichen Personas werden in der folgenden Tabelle beschrieben:
| Aktivität | Kadenz | Beschreibung | Persona |
|---|---|---|---|
| Übermitteln Sie falsche Positivmeldungen und falsche Negativmeldungen an Microsoft unter https://security.microsoft.com/reportsubmission. | Täglich | Stellen Sie Microsoft Signale bereit, indem Sie falsche E-Mail-, URL- und Dateierkennungen melden. | Sicherheitsbetriebsteam |
| Analysieren Sie die Details der Administratoreinreichung. | Täglich | Machen Sie sich mit den folgenden Faktoren für die Übermittlungen vertraut, die Sie an Microsoft senden:
|
Sicherheitsbetriebsteam Sicherheitsverwaltung |
| Fügen Sie der Mandanten-Zulassungs-/Sperrliste unter https://security.microsoft.com/tenantAllowBlockList Blockeinträge hinzu. | Täglich | Verwenden Sie die Mandanten-Zulassungs-/Sperrliste, um bei Bedarf Blockeinträge für falsch negative URL-, Datei- oder Absendererkennungen hinzuzufügen. | Sicherheitsbetriebsteam |
| Lassen Sie falsch positive Ergebnisse aus der Quarantäne frei. | Täglich | Nachdem der Empfänger bestätigt hat, dass die Nachricht fälschlicherweise unter Quarantäne gesetzt wurde, können Sie Releaseanforderungen für Benutzer freigeben oder genehmigen. Informationen zum Steuern, was Benutzer mit ihren eigenen in Quarantäne befindlichen Nachrichten tun können (einschließlich Release- oder Anforderungsfreigabe), finden Sie unter Quarantänerichtlinien. |
Sicherheitsbetriebsteam Nachrichtenteam |
Überprüfen Sie Phishing- und Schadsoftwarekampagnen, die zu zugestellten Nachrichten geführt haben
Überprüfen Sie Phishing- und Schadsoftwarekampagnen, die zu übermittelten E-Mails geführt haben, und ergreifen Sie Maßnahmen, um schädliche Nachrichten aus Benutzerpostfächern zu entfernen.
| Aktivität | Kadenz | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie E-Mail-Kampagnen. | Täglich |
Überprüfen Sie E-Mail-Kampagnen, die auf Ihre organization ausgerichtet sind, unter https://security.microsoft.com/campaigns. Konzentrieren Sie sich auf Kampagnen, die dazu geführt haben, dass Nachrichten an Empfänger übermittelt wurden. Entfernen Sie Nachrichten aus Kampagnen, die in Benutzerpostfächern vorhanden sind. Das Entfernen von Nachrichten aus Kampagnen ist nur erforderlich, wenn eine Kampagne E-Mails enthält, die noch nicht durch Aktionen aus Vorfällen, nullstündiger automatischer Bereinigung (ZAP) oder manueller Korrektur behoben wurden. |
Sicherheitsbetriebsteam |
Wöchentliche Aktivitäten
Überprüfung von Trends bei der E-Mail-Erkennung in Berichten zu Defender for Office 365
In Defender für Office 365 können Sie die folgenden Berichte verwenden, um E-Mail-Erkennungstrends in Ihrem organization zu überprüfen:
| Aktivität | Kadenz | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie die E-Mail-Erkennungsberichte unter: | Wöchentlich | Überprüfen Sie E-Mail-Erkennungstrends für Schadsoftware, Phishing und Spam im Vergleich zu guten E-Mails. Mithilfe der Beobachtung im Laufe der Zeit können Sie Bedrohungsmuster anzeigen und bestimmen, ob Sie Ihre Defender for Office 365-Richtlinien anpassen müssen. | Sicherheitsverwaltung Sicherheitsbetriebsteam |
Nachverfolgen und Reagieren auf neue Bedrohungen mithilfe der Bedrohungsanalyse
Verwenden Sie Die Bedrohungsanalyse , um aktive, beliebte Bedrohungen zu überprüfen.
| Aktivität | Kadenz | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie Bedrohungen in Threat Analytics unter https://security.microsoft.com/threatanalytics3. | Wöchentlich | Die Bedrohungsanalyse bietet eine detaillierte Analyse, einschließlich der folgenden Elemente:
|
Sicherheitsbetriebsteam Team zur Bedrohungssuche |
Überprüfen der am häufigsten betroffenen Benutzer auf Schadsoftware und Phishing
Verwenden Sie die Registerkarte Top targeted users (view) im Detailbereich der Ansichten Alle E-Mails, Schadsoftware und Phish in Threat Explorer, um die Benutzer zu ermitteln oder zu bestätigen, die die wichtigsten Ziele für Schadsoftware und Phishing-E-Mails sind.
| Aktivität | Kadenz | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie im Threat Explorer unter https://security.microsoft.com/threatexplorer die Registerkarte Am häufigsten angegriffene Benutzer. | Wöchentlich | Verwenden Sie die Informationen, um zu entscheiden, ob Sie Richtlinien oder Schutzmaßnahmen für diese Benutzer anpassen müssen. Fügen Sie die betroffenen Benutzer zu Priority-Konten hinzu, um die folgenden Vorteile zu erhalten:
|
Sicherheitsverwaltung Sicherheitsbetriebsteam |
Prüfen Sie die wichtigsten Malware- und Phishingkampagnen, die auf Ihre Organisation abzielen.
Kampagnenansichten zeigen Malware- und Phishingangriffe auf Ihre organization. Weitere Informationen finden Sie unter Kampagnenansichten in Microsoft Defender für Office 365.
| Aktivität | Kadenz | Beschreibung | Persona |
|---|---|---|---|
| Verwenden Sie Kampagnenansichten unter https://security.microsoft.com/campaigns , um Malware- und Phishingangriffe zu überprüfen, die Sie betreffen. | Wöchentlich | Erfahren Sie mehr über die Angriffe und Techniken und was Defender für Office 365 identifizieren und blockieren konnte. Verwenden Sie in den Kampagnenansichten Bedrohungsbericht herunterladen, um detaillierte Informationen zu einer Kampagne zu erhalten. |
Sicherheitsbetriebsteam |
Ad-hoc-Aktivitäten
Tipp
Eine kurze Übersicht zum Untersuchen von E-Mail-Nachrichten in Microsoft Defender für Office 365 finden Sie in diesem kurzen Video: https://youtu.be/5hA7VfaMvqs.
Manuelle Untersuchung und Entfernung von E-Mails
Verwenden Sie die folgende Aktivität, um schädliche E-Mails bei Bedarf manuell zu untersuchen und zu entfernen.
| Aktivität | Kadenz | Beschreibung | Persona |
|---|---|---|---|
| Untersuchen und entfernen Sie fehlerhafte E-Mails in Threat Explorer at https://security.microsoft.com/threatexplorer basierend auf Benutzeranforderungen. | Ad-hoc | Verwenden Sie die Aktion Untersuchung auslösen in Threat Explorer, um ein automatisiertes Untersuchungs- und Antwortplaybook für alle E-Mails der letzten 30 Tage zu starten. Das manuelle Auslösen einer Untersuchung spart Zeit und Aufwand, indem folgendes zentral eingeschlossen wird:
Weitere Informationen finden Sie unter Beispiel: Eine von einem Benutzer gemeldete Phishing-Nachricht löst ein Untersuchungs-Playbook aus Alternativ können Sie Threat Explorer verwenden, um E-Mails manuell mit leistungsstarken Such- und Filterfunktionen zu untersuchen und manuelle Reaktionsaktionen direkt am selben Ort auszuführen. Verfügbare manuelle Aktionen:
|
Sicherheitsbetriebsteam |
Vorbeugende Suche nach Bedrohungen
Verwenden Sie die folgenden Aktivitäten, um proaktiv nach Bedrohungen über Defender for Office 365 Tools hinweg zu suchen.
| Aktivität | Kadenz | Beschreibung | Persona |
|---|---|---|---|
| Regelmäßige, proaktive Suche nach Bedrohungen auf: . | Ad-hoc | Suchen Sie mithilfe von Threat Explorer und Advanced Hunting nach Bedrohungen. | Sicherheitsbetriebsteam Team zur Bedrohungssuche |
| Freigeben von Hunting-Abfragen. | Ad-hoc | Verwenden Sie aktiv häufig verwendete, nützliche Abfragen innerhalb des Sicherheitsteams, um eine schnellere manuelle Bedrohungssuche und -behebung zu ermöglichen. Verwenden Sie Bedrohungstracker und freigegebene Abfragen in der erweiterten Suche. |
Sicherheitsbetriebsteam Team zur Bedrohungssuche |
| Erstellen Sie benutzerdefinierte Erkennungsregeln unter https://security.microsoft.com/custom_detection. | Ad-hoc | Erstellen Sie benutzerdefinierte Erkennungsregeln, um Ereignisse, Muster und Bedrohungen auf Grundlage von Defender for Office 365-Daten in Advanced Hunting proaktiv zu überwachen. Erkennungsregeln enthalten erweiterte Suchabfragen, die anhand der Übereinstimmungskriterien Warnungen generieren. | Sicherheitsbetriebsteam Team zur Bedrohungssuche |
Überprüfen der Richtlinieneinstellungen für Defender for Office 365
Überprüfen Sie die folgenden Richtlinienkonfigurationsaktivitäten, um den Sicherheitsstatus Ihrer Organisation aufrechtzuerhalten.
| Aktivität | Kadenz | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie die Konfiguration von Defender für Office 365-Richtlinien unter https://security.microsoft.com/configurationAnalyzer. | Ad-hoc Monatlich |
Verwenden Sie das Konfigurationsanalysetool, um Ihre vorhandenen Richtlinieneinstellungen mit den empfohlenen werten Standard oder Strict für Defender für Office 365 zu vergleichen. Das Konfigurationsanalysetool identifiziert versehentliche oder böswillige Änderungen, die den Sicherheitsstatus Ihrer organization verringern können. Alternativ können Sie das PowerShell-basierte ORCA-Tool verwenden. |
Sicherheitsverwaltung Nachrichten-Team |
| Überprüfen Sie Erkennungsüberschreibungen in Defender für Office 365 unter https://security.microsoft.com/reports/TPSMessageOverrideReportATP | Ad-hoc Monatlich |
Verwenden Sie im Bericht „Threat Protection status“ die Ansicht „Daten nach Systemüberschreibung“ > Diagrammaufschlüsselung nach „Grund“, um E-Mails zu überprüfen, die als Phishing erkannt, aber aufgrund von Richtlinien oder Benutzerüberschreibungen zugestellt wurden. Prüfen, entfernen oder feinabstimmen Sie Ausnahmen aktiv, um die Zustellung von E-Mails zu verhindern, die als bösartig eingestuft wurden. |
Sicherheitsverwaltung Nachrichtenteam |
Überprüfen von Spoofing- und Identitätswechselerkennungen
Verwenden Sie die folgende Aktivität, um Spoof- und Identitätswechselerkennungen zu überprüfen und die Filterung nach Bedarf anzupassen.
| Aktivität | Intervall | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie die Erkenntnisse zu Spoofing und die Erkenntnisse zur Erkennung von Identitätswechseln unter . | Ad-hoc Monatlich |
Verwenden Sie die Erkenntnis zu Spoofing-Intelligenz und die Erkenntnis zu Identitätswechseln, um die Filterung für die Erkennung von Spoofing und Identitätswechseln anzupassen. | Sicherheitsverwaltung Nachrichtenteam |
Überprüfen der Prioritätskontomitgliedschaft
Überprüfen Sie die Mitgliedschaft des Prioritätskontos regelmäßig, um den Schutz an organisatorischen Änderungen auszurichten.
| Aktivität | Kadenz | Beschreibung | Persona |
|---|---|---|---|
| Überprüfen Sie unter https://security.microsoft.com/securitysettings/userTags, wer als priorisiertes Konto definiert ist. | Ad-hoc | Halten Sie die Zugehörigkeit von Prioritätskonten bei organisatorischen Änderungen auf dem neuesten Stand, damit diese Benutzer von den folgenden Vorteilen profitieren:
Verwenden Sie benutzerdefinierte Benutzertags für andere Benutzer, um Folgendes zu erhalten:
|
Sicherheitsbetriebsteam |
Anhang: Defender for Office 365 Tools, Berechtigungen und SIEM/SOAR-Integration
Erfahren Sie mehr über Microsoft Defender für Office 365 Tools und Prozesse
Mitglieder des Sicherheitsbetriebs- und Reaktionsteams müssen Defender for Office 365 Tools und Features in vorhandene Untersuchungen und Reaktionsprozesse integrieren. Das Erlernen neuer Tools und Funktionen kann einige Zeit in Anspruch nehmen, ist aber ein wichtiger Bestandteil des Onboardingprozesses. Die einfachste Möglichkeit für SecOps- und E-Mail-Sicherheitsteammitglieder, sich über Defender für Office 365 zu informieren, besteht darin, die Schulungsinhalte zu verwenden, die als Teil der Ninja-Schulungsinhalte unter https://aka.ms/mdoninjaverfügbar sind.
Die Inhalte sind nach verschiedenen Wissensstufen (Grundlagen, Mittelstufe und Fortgeschrittene) strukturiert, mit mehreren Modulen pro Stufe.
Kurze Videos zu bestimmten Aufgaben sind auch im Microsoft Defender für Office 365 YouTube-Kanal verfügbar.
Berechtigungen für Defender für Office 365 Aktivitäten und Aufgaben
Berechtigungen zum Verwalten von Defender für Office 365 im Microsoft Defender-Portal und in PowerShell basieren auf dem RBAC-Berechtigungsmodell (Role-Based Access Control). RBAC ist dasselbe Berechtigungsmodell, das von den meisten Microsoft 365-Diensten verwendet wird. Weitere Informationen finden Sie unter Berechtigungen im Microsoft Defender-Portal.
Hinweis
Privileged Identity Management (PIM) in Microsoft Entra ID ist auch eine Möglichkeit, secOps-Mitarbeitern erforderliche Berechtigungen zuzuweisen. Weitere Informationen finden Sie unter Privileged Identity Management (PIM) und Gründe für die Verwendung mit Microsoft Defender für Office 365.
Die folgenden Berechtigungen (Rollen und Rollengruppen) sind in Defender für Office 365 verfügbar und können verwendet werden, um Mitgliedern des Sicherheitsteams Zugriff zu gewähren:
Microsoft Defender einheitliche rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC): Eine einzige Berechtigungsverwaltungsumgebung, die Administratoren einen zentralen Ort zum Steuern von Benutzerberechtigungen in verschiedenen Sicherheitslösungen bietet. Weitere Informationen finden Sie unter Microsoft Defender einheitliches RBAC. Informationen zu Defender for Office 365 spezifischen Berechtigungen finden Sie unter Unified RBAC-Berechtigungen für Defender for Office 365. Eine schrittweise Konfiguration finden Sie unter Konfigurieren von Unified RBAC für Defender for Office 365.
- Lesezugriff für E-Mail- und Teams-Nachrichtenheader: Sicherheitsvorgänge/Rohdaten (E-Mail & Zusammenarbeit)/Email & Metadaten für die Zusammenarbeit (lesen).
- Vorschau und Herunterladen von E-Mail-Nachrichten: Sicherheitsvorgänge/Rohdaten (E-Mail & Zusammenarbeit)/Email & Zusammenarbeitsinhalte (lesen).
- Beheben schädlicher E-Mails: Sicherheitsvorgänge/Sicherheitsdaten/Email & erweiterte Aktionen für die Zusammenarbeit (Verwalten).
Microsoft Entra ID: Zentralisierte Rollen, die Berechtigungen für alle Microsoft 365-Dienste zuweisen, einschließlich Defender für Office 365. Sie können die Microsoft Entra Rollen und zugewiesenen Benutzern im Microsoft Defender-Portal anzeigen, aber Sie können sie nicht direkt dort verwalten. Stattdessen verwalten Sie Microsoft Entra-Rollen und Mitglieder unter https://aad.portal.azure.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles/adminUnitObjectId//resourceScope/%2F. Die am häufigsten von Sicherheitsteams verwendeten Rollen sind:
Exchange Online und E-Mail & Zusammenarbeit: Rollen und Rollengruppen, die spezifische Berechtigungen für Microsoft Defender für Office 365 gewähren. Die folgenden Rollen sind in Microsoft Entra ID nicht verfügbar, können aber für Sicherheitsteams wichtig sein:
Vorschaurolle (Email & Zusammenarbeit): Weisen Sie diese Rolle Teammitgliedern zu, die eine Vorschau anzeigen oder E-Mail-Nachrichten im Rahmen von Untersuchungsaktivitäten herunterladen müssen. Ermöglicht Benutzern die Vorschau und das Herunterladen von E-Mail-Nachrichten aus Cloudpostfächern mithilfe von Threat Explorer (Explorer) oder Echtzeiterkennungen und der Entitätsseite Email.
Standardmäßig wird die Vorschaurolle nur den folgenden Rollengruppen zugewiesen:
- Datenermittler
- eDiscovery-Verwaltung
Sie können diesen Rollengruppen Benutzer hinzufügen oder eine neue Rollengruppe mit zugewiesener Vorschaurolle erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
Rolle „Suchen und Löschen“ (E-Mail und Zusammenarbeit): Das Löschen bösartiger Nachrichten genehmigen, wie von AIR empfohlen, oder manuell auf Nachrichten in Hunting-Erlebnissen wie Threat Explorer reagieren.
Standardmäßig wird die Rolle Suchen und Bereinigen nur den folgenden Rollengruppen zugewiesen:
- Datenermittler
- Organisationsverwaltung
Sie können diesen Rollengruppen Benutzer hinzufügen, oder Sie können eine neue Rollengruppe mit zugewiesener Rolle Suchen und Bereinigen erstellen und die Benutzer der benutzerdefinierten Rollengruppe hinzufügen.
Mandanten-Zulassungs-/Sperrlisten-Manager (Exchange Online): Verwalten von Zulassungs- und Sperreinträgen in der Mandanten-Zulassungs-/Sperrliste. Das Blockieren von URLs, Dateien (mithilfe von Dateihash) oder Absendern ist eine nützliche Reaktionsaktion, die bei der Untersuchung von zugestellten schädlichen E-Mails ausgeführt werden kann.
Standardmäßig wird diese Rolle nur der Rollengruppe Sicherheitsoperator in Exchange Online und nicht in Microsoft Entra ID zugewiesen. Die Mitgliedschaft in der Rolle „Sicherheitsoperator“ in Microsoft Entra IDermöglicht es Ihnen nicht, Einträge in der Zulassungs-/Sperrliste des Mandanten zu verwalten.
Mitglieder der Rollen Sicherheitsadministrator oder Organisationsverwaltung in Microsoft Entra ID oder der entsprechenden Rollengruppen in Exchange Online können Einträge in der Mandanten-Zulassungs-/Sperrliste verwalten.
Integration von SIEM und SOAR
Defender für Office 365 macht die meisten Daten über eine Reihe programmgesteuerter APIs verfügbar. Diese APIs helfen Ihnen, Workflows zu automatisieren und die Funktionen von Defender für Office 365 vollständig zu nutzen. Daten sind über die Microsoft Defender-APIs verfügbar und können verwendet werden, um Defender for Office 365 in vorhandene SIEM/SOAR-Lösungen zu integrieren.
Vorfall-API: Defender for Office 365 Warnungen und automatisierte Untersuchungen sind aktive Teile von Vorfällen in Microsoft Defender. Sicherheitsteams können sich auf das Wesentliche konzentrieren, indem sie den gesamten Angriffsbereich und alle betroffenen Ressourcen gruppieren.
Ereignisstreaming-API: Ermöglicht das Senden von Echtzeitereignissen und -warnungen in einen einzelnen Datenstrom, sobald sie auftreten. Zu den unterstützten Ereignistypen in Defender für Office 365 gehören:
Die Ereignisse enthalten Daten aus der Verarbeitung aller E-Mails (einschließlich organisationsinterner Nachrichten) in den letzten 30 Tagen.
Erweiterte Hunting-API: Ermöglicht die produktübergreifende Bedrohungssuche.
Bedrohungsbewertungs-API: Kann verwendet werden, um Spam, Phishing-URLs oder Schadsoftwareanlagen direkt an Microsoft zu melden.
Um Defender for Office 365 Incidents und Rohdaten mit Microsoft Sentinel zu verbinden, können Sie den Microsoft Defender XDR-Connector (M365D) verwenden.
Sie können das folgende "Hallo Welt"-Beispiel verwenden, um den API-Zugriff auf Microsoft Defender-APIs zu testen: Hallo Welt für Microsoft Defender XDR REST-API.
Weitere Informationen zur Integration des SIEM-Tools finden Sie unter Integrieren Ihrer SIEM-Tools in Microsoft Defender XDR.
Umgang mit falsch positiven und falsch negativen Ergebnissen in Defender für Office 365
Von Benutzern gemeldete Nachrichten und Administratorübermittlungen von E-Mail-Nachrichten sind wichtige positive Verstärkungssignale für unsere Machine Learning-Erkennungssysteme. Übermittlungen helfen uns, Angriffe zu überprüfen, zu selektieren, schnell zu lernen und zu entschärfen. Das aktive Melden falsch positiver und falsch negativer Ergebnisse ist eine wichtige Aktivität, die Defender für Office 365 Feedback liefert, wenn während der Erkennung Fehler gemacht werden.
Organisationen haben mehrere Optionen zum Konfigurieren von vom Benutzer gemeldeten Nachrichten. Je nach Konfiguration sind Sicherheitsteams möglicherweise aktiver beteiligt, wenn Benutzer falsch positive oder falsch negative Ergebnisse an Microsoft übermitteln:
Vom Benutzer gemeldete Nachrichten werden zur Analyse an Microsoft gesendet, wenn die vom Benutzer gemeldeten Einstellungen mit einer der folgenden Einstellungen konfiguriert sind:
- Senden Sie die gemeldeten Nachrichten an: Nur Microsoft.
- Senden Sie die gemeldeten Nachrichten an: Microsoft und mein Berichterstellungspostfach.
Mitglieder der Sicherheitsteams sollten Ad-hoc-Administratoreinreichungen vornehmen, wenn das Betriebsteam falsch positive oder falsch negative Erkennungen feststellt, die nicht von Benutzern gemeldet wurden.
Wenn vom Benutzer gemeldete Nachrichten so konfiguriert sind, dass sie nur Nachrichten an das Postfach der organization senden, sollten Sicherheitsteams aktiv vom Benutzer gemeldete falsch positive und falsch negative Nachrichten über Administratorübermittlungen an Microsoft senden.
Wenn ein Benutzer eine Nachricht als Phishing meldet, generiert Defender für Office 365 eine Warnung, und die Warnung löst ein AIR-Playbook aus. Die Incidentlogik korreliert diese Informationen nach Möglichkeit mit anderen Warnungen und Ereignissen. Diese Konsolidierung von Informationen hilft Sicherheitsteams bei der Selektierung, Untersuchung und Reaktion auf von Benutzern gemeldete Nachrichten.
Tipp
In Organisationen mit Defender für Office 365 Plan 2 und Security Copilot kann der Phishing-Triage-Agent von Benutzern gemeldete Phishing-E-Mails im großen Stil autonom selektieren und klassifizieren, wodurch sich wiederholende Untersuchungen reduziert und die Reaktion beschleunigt wird.
Die Übermittlungspipeline im Dienst folgt einem eng integrierten Prozess, wenn Benutzer Nachrichten melden und Administratoren Nachrichten senden. Dieser Prozess umfasst:
- Rauschunterdrückung.
- Automatisierte Selektierung.
- Bewertung durch Sicherheitsanalysten und durch auf maschinellem Lernen basierende Lösungen in Zusammenarbeit mit Menschen.
Weitere Informationen finden Sie unter Microsoft Defender für Office 365 Blog – Melden einer E-Mail in Defender für Office 365.
Mitglieder des Sicherheitsteams können im Microsoft Defender-Portal unter https://security.microsoft.com Übermittlungen an mehreren Stellen vornehmen:
Übermittlung durch Administratoren: Auf der Seite Übermittlungen können Sie mutmaßlichen Spam, Phishingversuche, URLs und Dateien an Microsoft übermitteln.
Direkt aus Threat Explorer über eine der folgenden Nachrichtenaktionen:
- Als sauber melden
- Phishing melden
- Melden von Schadsoftware
- Spam melden
Sie können bis zu 10 Nachrichten auswählen, um eine Massenübermittlung durchzuführen. Vom Administrator mit diesen Methoden erstellte Einreichungen sind auf den entsprechenden Registerkarten der Seite Einreichungen sichtbar.
Zur kurzfristigen Abmilderung von False Negatives können Sicherheitsteams Blockeinträge für Dateien, URLs, Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste des Mandanten direkt verwalten.
Zur kurzfristigen Entschärfung falsch positiver Ergebnisse können Sicherheitsteams Zulassungseinträge für Domänen und E-Mail-Adressen in der Zulassungs-/Sperrliste für Mandanten nicht direkt verwalten. Stattdessen müssen sie Adminübermittlungen verwenden, um die E-Mail als Falschpositiv zu melden. Anweisungen finden Sie unter Melden einer guten E-Mail an Microsoft.
Quarantäne in Defender für Office 365 enthält potenziell gefährliche oder unerwünschte Nachrichten und Dateien. Sicherheitsteams können alle Arten von in Quarantäne befindlichen Nachrichten für alle Benutzer anzeigen, freigeben und löschen. Diese Funktion ermöglicht es Sicherheitsteams, effektiv zu reagieren, wenn eine falsch positive Nachricht oder Datei unter Quarantäne gesetzt wird.
Nicht-Microsoft-Meldetools in von Benutzern gemeldete Nachrichten in Defender für Office 365 integrieren
Wenn Ihr organization ein nicht von Microsoft stammendes Berichterstellungstool verwendet, mit dem Benutzer verdächtige E-Mails intern melden können, können Sie das Tool in die Funktionen von Defender für gemeldete Nachrichten von Defender für Office 365 integrieren. Diese Integration bietet die folgenden Vorteile für Sicherheitsteams:
- Integration in die AIR-Funktionen von Defender für Office 365.
- Vereinfachte Selektierung.
- Reduzierte Untersuchungs- und Antwortzeit.
Legen Sie auf der Seite Einstellungen für von Benutzern gemeldete Nachrichten im Microsoft Defender-Portal unter https://security.microsoft.com/securitysettings/userSubmission das Berichtspostfach fest, an das von Benutzern gemeldete Nachrichten gesendet werden. Weitere Informationen finden Sie unter Vom Benutzer gemeldete Einstellungen.
Hinweis
- Das Berichterstellungspostfach muss ein Exchange Online Postfach sein.
- Das Berichterstellungstool eines Drittanbieters muss die ursprünglich gemeldete Nachricht als unkomprimierten .EML- oder .MSG-Anhang in die Nachricht einschließen, die an das Meldepostfach gesendet wird (leiten Sie nicht einfach die ursprüngliche Nachricht an das Meldepostfach weiter). Weitere Informationen finden Sie unter Nachrichtenübermittlungsformat für Nicht-Microsoft-Berichterstellungstools.
- Für das Berichterstellungspostfach sind bestimmte Voraussetzungen erforderlich, damit potenziell ungültige Nachrichten übermittelt werden können, ohne gefiltert oder geändert zu werden. Weitere Informationen finden Sie unter Konfigurationsanforderungen für das Berichterstellungspostfach.
- Beim Angriffssimulationstraining in Defender für Office 365 Plan 2 werden von Nicht-Microsoft-Tools gemeldete Simulationsmeldungen nicht in Angriffssimulationsberichten erfasst.
Wenn eine vom Benutzer gemeldete Nachricht im Berichterstellungspostfach eingeht, generiert Defender für Office 365 automatisch die Warnung namens Email, die vom Benutzer als Schadsoftware oder Phish gemeldet wurde. Diese Warnmeldung startet ein AIR-Playbook. Das Playbook führt eine Reihe automatisierter Untersuchungsschritte aus:
- Sammeln Sie Daten über die angegebene E-Mail.
- Sammeln Sie Daten zu den Bedrohungen und Entitäten im Zusammenhang mit dieser E-Mail (z. B. Dateien, URLs und Empfänger).
- Stellen Sie empfohlene Maßnahmen bereit, die das SecOps-Team basierend auf den Untersuchungsergebnissen ausführen kann.
E-Mails, die von Benutzern als Schadsoftware- oder Phishingwarnungen gemeldet werden, automatisierte Untersuchungen und ihre empfohlenen Aktionen werden automatisch mit Vorfällen in Microsoft Defender korreliert. Diese Korrelation vereinfacht den Selektierungs- und Reaktionsprozess für Sicherheitsteams weiter. Wenn mehrere Benutzer dieselben oder ähnliche Nachrichten melden, werden alle Benutzer und Nachrichten mit demselben Incident korreliert.
Daten aus Warnungen und Untersuchungen in Defender for Office 365 werden automatisch mit Warnungen und Untersuchungen in den anderen Microsoft Defender Produkten verglichen:
- Microsoft Defender für Endpunkt
- Microsoft Defender für Cloud-Apps
- Microsoft Defender for Identity
Wenn eine Beziehung erkannt wird, erstellt das System einen Incident, der Sichtbarkeit für den gesamten Angriff bietet.