Automatische Benutzerbenachrichtigungen für vom Benutzer gemeldete Phishingergebnisse in AIR
Wenn ein Benutzer in Microsoft 365-Organisationen mit Microsoft Defender for Office 365 Plan 2 eine Nachricht als Phishing meldet, wird automatisch eine Untersuchung in automatisierter Untersuchung und Reaktion (AIR) erstellt. Administratoren können die Vom Benutzer gemeldeten Nachrichteneinstellungen so konfigurieren, dass eine E-Mail-Benachrichtigung an den Benutzer gesendet wird, der die Nachricht basierend auf dem Urteil von AIR gemeldet hat. Diese Benachrichtigung wird auch als automatische Feedbackantwort bezeichnet. Weitere Informationen finden Sie unter Vom Benutzer gemeldete Einstellungen.
In diesem Artikel wird erläutert, wie Sie die automatische Feedbackantwort für bestimmte AIR-Bewertungen aktivieren und anpassen, wie die Benachrichtigungs-E-Mail-Nachrichten gesendet werden und wie die Benachrichtigungen aussehen.
Was sollten Sie wissen, bevor Sie beginnen?
Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Vom Benutzer gemeldete Einstellungen zu wechseln, verwenden Sie https://security.microsoft.com/securitysettings/userSubmission.
Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:
- Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator.
- Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator" oder "Sicherheitsadministrator" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.
Konfigurieren der automatischen Feedbackantwort über das Microsoft Defender-Portal
Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Einstellungen>Email & Registerkarte "Vom>Benutzer gemeldete Einstellungen". Um direkt zur Seite Vom Benutzer gemeldete Einstellungen zu wechseln, verwenden Sie https://security.microsoft.com/securitysettings/userSubmission.
Überprüfen Sie auf der Seite Vom Benutzer gemeldete Einstellungen , ob Gemeldete Nachrichten in Outlook überwachen ausgewählt ist.
Wählen Sie im Abschnitt Email Benachrichtigungen>Ergebnis-E-Maildie Option Benutzer die Ergebnisse der Untersuchung automatisch per E-Mail senden aus, und wählen Sie dann eine oder mehrere der folgenden Optionen aus, die angezeigt werden:
- Phishing oder Schadsoftware: Eine E-Mail-Benachrichtigung wird an den Benutzer gesendet, der die Nachricht als Phishing gemeldet hat, wenn AIR die Bedrohung als Phishing, Phishing mit hohem Vertrauen oder Schadsoftware identifiziert.
- Spam: Eine E-Mail-Benachrichtigung wird an den Benutzer gesendet, der die Nachricht als Phishing gemeldet hat, wenn AIR die Bedrohung als Spam identifiziert.
- Keine Bedrohungen gefunden: Eine E-Mail-Benachrichtigung wird an den Benutzer gesendet, der die Nachricht als Phishing gemeldet hat, wenn AIR keine Bedrohung erkennt.
Die Benachrichtigungs-E-Mail verwendet dieselbe Vorlage wie, wenn ein Administrator auf der Seite Übermittlungen unter https://security.microsoft.com/reportsubmissiondie Option Als markieren und benachrichtigen auswählt.
Sie können die Benachrichtigungs-E-Mail anpassen, indem Sie den Link E-Mail für Ergebnisse anpassen auswählen.
Konfigurieren Sie im geöffneten Flyout E-Mail-Benachrichtigungen zur Administratorüberprüfung anpassen die folgenden Einstellungen auf den Registerkarten Phishing (die der automatischen Reaktion auf Phishing oder Schadsoftware entspricht), Junk undKeine Bedrohungen gefunden :
- Email Text der Textergebnisse: Geben Sie den zu verwendenden benutzerdefinierten Text ein. Sie können unterschiedliche Texte für Phishing, Junk undKeine Bedrohungen gefunden verwenden.
- Email Fußzeilentext: Geben Sie den zu verwendenden text der benutzerdefinierten Nachrichtenfußzeile ein. Der gleiche Text wird für Phishing, Junk undKeine Bedrohungen gefunden verwendet.
Wenn Sie im Flyout "E-Mail-Benachrichtigungen zur Administratorüberprüfung anpassen " fertig sind, wählen Sie Bestätigen aus, um zur Seite Vom Benutzer gemeldete Einstellungen zurückzukehren.
Funktionsweise der automatisierten Feedbackantwort
Nachdem Sie die automatisierte Feedbackantwort aktiviert haben, erhält der Benutzer, der die Nachricht als Phishing gemeldet hat, eine E-Mail-Benachrichtigung basierend auf dem AIR-Urteil und dem ausgewählten Ausgewählten Benutzern automatisch per E-Mail die Ergebnisse der Untersuchungsoptionen :
Tipp
Die folgenden Screenshots zeigen Beispielbenachrichtigungs-E-Mail-Nachrichten, die an Benutzer gesendet werden. Wie bereits erläutert, können Sie die Benachrichtigungs-E-Mail mithilfe der Optionen unter E-Mail-Ergebnisse anpassen in den vom Benutzer gemeldeten Einstellungen anpassen.
Keine Bedrohungen gefunden: Wenn ein Benutzer eine Nachricht als Phishing meldet, löst die Übermittlung AIR für die gemeldete Nachricht aus. Wenn die Untersuchung keine Bedrohungen findet, erhält der Benutzer, der die Nachricht gemeldet hat, eine Benachrichtigungs-E-Mail, die wie folgt aussieht:
Spam: Wenn ein Benutzer eine Nachricht als Phishing meldet, löst die Übermittlung AIR für die gemeldete Nachricht aus. Wenn die Untersuchung feststellt, dass es sich bei der Nachricht um Spam handelt, erhält der Benutzer, der die Nachricht gemeldet hat, eine Benachrichtigungs-E-Mail, die wie folgt aussieht:
Phishing oder Schadsoftware: Wenn ein Benutzer eine Nachricht als Phishing meldet, löst die Übermittlung AIR für die gemeldete Nachricht aus. Was als Nächstes passiert, hängt von den Ergebnissen der Untersuchung ab:
Phishing oder Schadsoftware mit hoher Zuverlässigkeit: Die Nachricht muss mit einer der folgenden Aktionen behoben werden:
- Genehmigen Sie die empfohlene Aktion (wird in der Untersuchung oder im Info-Center als ausstehende Aktionen angezeigt).
- Korrektur durch andere Mittel (z. B. Threat Explorer).
Nachdem die Nachricht wiederhergestellt wurde, wird die Untersuchung als "Behoben" oder " Teilweise bereinigt" geschlossen. Nur wenn die Untersuchung status einer dieser Werte ist, wird die E-Mail-Benachrichtigung an den Benutzer gesendet, der die Nachricht gemeldet hat.
Tipp
Bei Phishing mit hoher Zuverlässigkeit oder Schadsoftware wird die Untersuchung möglicherweise sofort als Behoben beendet, wenn die Nachricht nicht im Postfach gefunden wird (die Nachricht wurde gelöscht). Da keine Untersuchung abgeschlossen werden muss, wird keine E-Mail-Benachrichtigung an den Benutzer gesendet, der die Nachricht gemeldet hat.
Phishing: Bei der Untersuchung werden keine ausstehenden Aktionen erstellt, aber der Benutzer erhält weiterhin eine Benachrichtigungs-E-Mail, dass die Nachricht als Phishing erkannt wurde. Die Benachrichtigungs-E-Mail sieht wie folgt aus:
Wenn AIR eine Bewertung erreicht und die Benachrichtigungs-E-Mail an den Benutzer gesendet wird, der die Nachricht als Phishing gemeldet hat, werden die folgenden Eigenschaftswerte für den Eintrag auf der Registerkarte Benutzer gemeldet auf der Seite Übermittlungen im Defender-Portal angezeigt:
- Markiert als: Enthält das Urteil.
- Markiert durch: Der Wert ist Automation.
Unabhängig davon, ob die Nachricht automatisch oder manuell zur Überprüfung an Microsoft gesendet wurde oder die Nachricht von AIR untersucht wurde, wird das Urteil in der Eigenschaft Als markiert angezeigt. Weitere Informationen zur Registerkarte Vom Benutzer gemeldet auf der Seite Übermittlungen finden Sie unter Admin Optionen für vom Benutzer gemeldete Nachrichten.
Weitere Informationen
Weitere Informationen zu Übermittlungen und Untersuchungen in Defender für Microsoft 365 finden Sie in den folgenden Artikeln:
- Automatisierte Untersuchung und Reaktion in Microsoft Defender for Office 365
- Anzeigen der Ergebnisse einer automatisierten Untersuchung in Microsoft 365
- Überprüfung gemeldeter Nachrichten durch den Administrator
- Funktionsweise der automatisierten Untersuchung und Reaktion in Microsoft Defender for Office 365