Wartungsaktionen in Microsoft Defender für Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Unter Microsoft Defender für Office 365 ausprobieren erfahren Sie, wer sich registrieren und testen kann.

Wartungsaktionen

Die Bedrohungsschutzfeatures in Microsoft Defender für Office 365 umfassen bestimmte Wiederherstellungsaktionen. Solche Abhilfemaßnahmen können Folgendes umfassen:

  • E-Mail-Nachrichten oder Cluster vorläufig löschen
  • URL blockieren (Zeitpunkt des Klickens)
  • Externe E-Mail-Weiterleitung deaktivieren
  • Deaktivieren der Delegierung

In Microsoft Defender für Office 365 werden Korrekturaktionen nicht automatisch ausgeführt. Stattdessen werden Korrekturmaßnahmen nur nach Genehmigung durch das Sicherheitsbetriebsteam Ihrer Organisation durchgeführt.

Bedrohungen und Abhilfemaßnahmen

Microsoft Defender für Office 365 enthält Korrekturaktionen, um verschiedene Bedrohungen zu beheben. Automatisierte Untersuchungen führen häufig zu einer oder mehreren Korrekturaktionen, die überprüft und genehmigt werden müssen. In einigen Fällen führt eine automatisierte Untersuchung nicht zu einer bestimmten Korrekturaktion. Verwenden Sie die Anleitung in der folgenden Tabelle, um weitere Untersuchungen durchzuführen und entsprechende Maßnahmen zu ergreifen.

Kategorie Bedrohung/Risiko Wartungsaktionen
E-Mail Schadsoftware Vorläufiges Löschen von E-Mails/Clustern

Wenn mehr als eine Handvoll E-Mail-Nachrichten in einem Cluster Schadsoftware enthalten, wird der Cluster als böswillig betrachtet.

E-Mail Schädliche URL
(Von sicheren Links wurde eine schädliche URL erkannt.)
Vorläufiges Löschen von E-Mails/Clustern
Blockieren der URL (Überprüfung der Zeitpunkt des Klickens)

E-Mails, die eine schädliche URL enthalten, gelten als böswillig.

E-Mail Phish Vorläufiges Löschen von E-Mails/Clustern

Wenn mehr als eine Handvoll E-Mail-Nachrichten in einem Cluster Phishingversuche enthalten, wird der gesamte Cluster als Phishingversuch betrachtet.

E-Mail Zapped Phish
(E-Mail-Nachrichten wurden zugestellt und dann zapped.)
Vorläufiges Löschen von E-Mails/Clustern

Berichte sind verfügbar, um zapped nachrichten anzuzeigen. Überprüfen Sie, ob ZAP eine Nachricht und häufig gestellte Fragen verschoben hat.

E-Mail Von einem Benutzer gemeldete verpasste Phishing-E-Mail Automatisierte Untersuchung, die durch den Bericht des Benutzers ausgelöst wird
E-Mail Volumeanomalie
(Aktuelle E-Mail-Mengen überschreiten die letzten 7 bis 10 Tage für übereinstimmende Kriterien.)
Die automatisierte Untersuchung führt nicht zu einer bestimmten ausstehenden Aktion.

Volumenanomalie ist keine eindeutige Bedrohung, sondern lediglich ein Hinweis auf größere E-Mail-Mengen in den letzten Tagen im Vergleich zu den letzten 7-10 Tagen.

Obwohl eine große Anzahl von E-Mails auf potenzielle Probleme hinweisen kann, ist eine Bestätigung in Bezug auf böswillige Urteile oder eine manuelle Überprüfung von E-Mail-Nachrichten/-Clustern erforderlich. Weitere Informationen finden Sie unter Suchen verdächtiger E-Mails, die zugestellt wurden.

E-Mail Keine Bedrohungen gefunden
(Das System hat keine Bedrohungen basierend auf Dateien, URLs oder analyse von E-Mail-Clusterbewertungen gefunden.)
Die automatisierte Untersuchung führt nicht zu einer bestimmten ausstehenden Aktion.

Bedrohungen, die nach Abschluss einer Untersuchung gefunden und angezappt wurden, spiegeln sich nicht in den numerischen Ergebnissen einer Untersuchung wider, aber solche Bedrohungen sind im Bedrohungs-Explorer sichtbar.

Benutzer Ein Benutzer hat auf eine schädliche URL geklickt.
(Ein Benutzer hat zu einer Seite navigiert, die später als bösartig eingestuft wurde, oder ein Benutzer hat eine Warnseite für sichere Links umgangen, um zu einer schädlichen Seite zu gelangen.)
Die automatisierte Untersuchung führt nicht zu einer bestimmten ausstehenden Aktion.

URL blockieren (Zeitpunkt des Klickens)

Verwenden Sie den Bedrohungs-Explorer, um Daten zu URLs anzuzeigen und auf Bewertungen zu klicken.

Wenn Ihre Organisation Microsoft Defender für Endpunkt verwendet, sollten Sie den Benutzer untersuchen , um festzustellen, ob sein Konto kompromittiert ist.

Benutzer Ein Benutzer sendet Schadsoftware/Phish Die automatisierte Untersuchung führt nicht zu einer bestimmten ausstehenden Aktion.

Der Benutzer meldet möglicherweise Schadsoftware/Phish, oder jemand spooft den Benutzer im Rahmen eines Angriffs. Verwenden Sie den Bedrohungs-Explorer , um E-Mails anzuzeigen und zu verarbeiten, die Schadsoftware oder Phishing enthalten.

Benutzer E-Mail-Weiterleitung
(Postfachweiterleitungsregeln sind konfiguriert, chch kann für die Datenexfiltration verwendet werden.)
Weiterleitungsregel entfernen

Verwenden Sie den Bericht automatisch weitergeleitete Nachrichten , um bestimmte Details zu weitergeleiteten E-Mails anzuzeigen.

Benutzer E-Mail-Delegierungsregeln
(Für das Konto eines Benutzers sind Delegierungen eingerichtet.)
Delegierungsregel entfernen

Wenn Ihre Organisation Microsoft Defender für Endpunkt verwendet, sollten Sie den Benutzer untersuchen , der die Delegierungsberechtigung erhält.

Benutzer Datenexfiltration
(Ein Benutzer hat gegen DLP-Richtlinien für E-Mails oder Dateifreigaben verstoßen.
Die automatisierte Untersuchung führt nicht zu einer bestimmten ausstehenden Aktion.

Erste Schritte mit dem Aktivitäts-Explorer.

Benutzer Anormales Senden von E-Mails
(Ein Benutzer hat kürzlich mehr E-Mails gesendet als in den letzten 7-10 Tagen.)
Die automatisierte Untersuchung führt nicht zu einer bestimmten ausstehenden Aktion.

Das Senden einer großen E-Mail-Menge ist nicht an sich böswillig. Der Benutzer hat möglicherweise gerade eine E-Mail an eine große Gruppe von Empfängern für ein Ereignis gesendet. Um dies zu untersuchen, verwenden Sie den Einblick neuer Benutzer, die E-Mails weiterleiten im EAC und im EAC ausgehende Nachrichten, um zu ermitteln, was vor sich geht, und ergreifen Sie Maßnahmen.

Nächste Schritte