Konfigurationsanalyse für Schutzrichtlinien in EOP und Microsoft Defender for Office 365

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Informationen dazu, wer sich registrieren und testen kann, finden Sie unter Try Microsoft Defender for Office 365.

Die Konfigurationsanalyse im Microsoft Defender-Portal bietet einen zentralen Ort zum Suchen und Beheben von Sicherheitsrichtlinien, bei denen die Einstellungen weniger sicher sind als die Einstellungen Standardschutz und Strenge Schutzprofileinstellungen in voreingestellten Sicherheitsrichtlinien.

Die folgenden Richtlinientypen werden vom Konfigurationsanalysetool analysiert:

Die Richtlinieneinstellungswerte Standard und Strict, die als Baselines verwendet werden, werden unter Empfohlene Einstellungen für EOP und Microsoft Defender for Office 365 Sicherheit beschrieben.

Das Konfigurationsanalysetool überprüft auch die folgenden Nichtrichtlinieneinstellungen:

  • DKIM: Gibt an, ob SPF - und DKIM-Einträge für die angegebene Domäne im DNS erkannt werden.
  • Outlook: Gibt an, ob native Bezeichner für externe Outlook-Absender im organization aktiviert sind.

Was sollten Sie wissen, bevor Sie beginnen?

  • Sie öffnen das Microsoft Defender-Portal unter https://security.microsoft.com. Um direkt zur Seite Konfigurationsanalyse zu wechseln, verwenden Sie https://security.microsoft.com/configurationAnalyzer.

  • Wie Sie eine Verbindung mit Exchange Online PowerShell herstellen, finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

  • Ihnen müssen Berechtigungen zugewiesen werden, bevor Sie die Verfahren in diesem Artikel ausführen können. Sie haben folgende Optionen:

    • Microsoft Defender XDR Vereinheitlichte rollenbasierte Zugriffssteuerung (Unified Role Based Access Control, RBAC) (Wenn Email & Zusammenarbeit>Defender for Office 365 Berechtigungen aktiv sind. Betrifft nur das Defender-Portal, nicht PowerShell): Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (verwalten) oder Autorisierung und Einstellungen/Sicherheitseinstellungen/Core-Sicherheitseinstellungen (lesen).

    • Email & Berechtigungen für die Zusammenarbeit im Microsoft Defender-Portal:

      • Verwenden Sie das Konfigurationsanalysetool, und aktualisieren Sie die betroffenen Sicherheitsrichtlinien: Mitgliedschaft in den Rollengruppen Organisationsverwaltung oder Sicherheitsadministrator .
      • Schreibgeschützter Zugriff auf das Konfigurationsanalysetool: Mitgliedschaft in den Rollengruppen "Globaler Leser " oder "Sicherheitsleseberechtigter ".
    • Exchange Online Berechtigungen: Durch die Mitgliedschaft in der Rollengruppe "Organisationsverwaltung anzeigen" erhalten Sie schreibgeschützten Zugriff auf das Konfigurationsanalysetool.

    • Microsoft Entra Berechtigungen: Durch die Mitgliedschaft in den Rollen "Globaler Administrator*", "Sicherheitsadministrator", "Globaler Leser" oder "Sicherheitsleseberechtigter" erhalten Benutzer die erforderlichen Berechtigungen und Berechtigungen für andere Features in Microsoft 365.

      Wichtig

      * Microsoft empfiehlt die Verwendung von Rollen mit den geringsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre organization bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Verwenden des Konfigurationsanalysetools im Microsoft Defender-Portal

Wechseln Sie im Microsoft Defender-Portal unter https://security.microsoft.comzu Email & Richtlinien für die Zusammenarbeit>& Regeln>Bedrohungsrichtlinien>Konfigurationsanalyse im Abschnitt Richtlinien mit Vorlagen. Um direkt zur Seite Konfigurationsanalyse zu wechseln, verwenden Sie https://security.microsoft.com/configurationAnalyzer.

Die Seite Konfigurationsanalyse verfügt über drei Standard Registerkarten:

  • Standardempfehlungen: Vergleichen Sie Ihre vorhandenen Sicherheitsrichtlinien mit den Standardempfehlungen. Sie können Ihre Einstellungswerte anpassen, um sie auf die gleiche Ebene wie Standard zu bringen.
  • Strenge Empfehlungen: Vergleichen Sie Ihre vorhandenen Sicherheitsrichtlinien mit den Strict-Empfehlungen. Sie können Ihre Einstellungswerte anpassen, um sie auf die gleiche Ebene wie Strict zu bringen.
  • Analyse und Verlauf der Konfigurationsabweichung: Überwachen und Nachverfolgen von Richtlinienänderungen im Laufe der Zeit.

Registerkarten "Standardempfehlungen" und "Strict"-Empfehlungen im Konfigurationsanalysetool

Standardmäßig wird das Konfigurationsanalysetool auf der Registerkarte Standardempfehlungen geöffnet. Sie können zur Registerkarte Strenge Empfehlungen wechseln. Die Einstellungen, das Layout und die Aktionen sind auf beiden Registerkarten identisch.

Ansicht

Im ersten Abschnitt der Registerkarte wird die Anzahl der Einstellungen in den einzelnen Richtlinientypen angezeigt, die im Vergleich zum Standard- oder Strict-Schutz verbessert werden müssen. Die Richtlinientypen sind:

  • Antispam
  • Antiphishing
  • Antischadsoftware
  • Sichere Anlagen (wenn Ihr Abonnement Microsoft Defender for Office 365 enthält)
  • Sichere Links (wenn Ihr Abonnement Microsoft Defender for Office 365 enthält)
  • DKIM
  • Integrierter Schutz (wenn Ihr Abonnement Microsoft Defender for Office 365 enthält)
  • Outlook

Wenn kein Richtlinientyp und keine Nummer angezeigt werden, erfüllen alle Richtlinien dieses Typs die empfohlenen Einstellungen des Standard- oder Strict-Schutzes.

Der Rest der Registerkarte ist die Tabelle der Einstellungen, die auf die Ebene Standard- oder Strict-Schutz hochgefahren werden müssen. Die Tabelle enthält die folgenden Spalten*:

  • Empfehlungen: Der Wert der Einstellung im Standard- oder im strengen Schutzprofil.
  • Richtlinie: Der Name der betroffenen Richtlinie, die die Einstellung enthält.
  • Richtliniengruppe/Einstellungsname: Der Name der Einstellung, der Ihre Aufmerksamkeit erfordert.
  • Richtlinientyp: Antispam, Antiphishing, Antischadsoftware, Sichere Links oder sichere Anlagen.
  • Aktuelle Konfiguration: Der aktuelle Wert der Einstellung.
  • Zuletzt geändert: Das Datum, an dem die Richtlinie zuletzt geändert wurde.
  • Status: In der Regel lautet dieser Wert Nicht gestartet.

* Um alle Spalten anzuzeigen, müssen Sie wahrscheinlich einen oder mehrere der folgenden Schritte ausführen:

  • Horizontales Scrollen in Ihrem Webbrowser.
  • Schränken Sie die Breite der entsprechenden Spalten ein.
  • Verkleineren Sie in Ihrem Webbrowser.

Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im Flyout Filter verfügbar, das geöffnet wird:

  • Antispam
  • Antiphishing
  • Antischadsoftware
  • Sichere Anlagen
  • Sichere Links
  • Integrierte ATP-Schutzregel
  • DKIM
  • Outlook

Wenn Sie im Flyout Filter fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.

Verwenden Sie das Suchfeld und einen entsprechenden Wert, um nach bestimmten Einträgen zu suchen.

Wählen Sie auf der Registerkarte Standardschutz oder Strenger Schutz des Konfigurationsanalysetools einen Eintrag aus, indem Sie an einer beliebigen Stelle in der Zeile neben dem Kontrollkästchen neben dem Empfehlungsnamen klicken. Im daraufhin geöffneten Details-Flyout sind die folgenden Informationen verfügbar:

  • Richtlinie: Der Name der betroffenen Richtlinie.
  • Warum?: Informationen dazu, warum wir den Wert für die Einstellung empfehlen.
  • Die spezifische Einstellung, die geändert werden soll, und der Wert, in den sie geändert werden soll.
  • Richtlinie anzeigen: Über den Link gelangen Sie zum Details-Flyout der betroffenen Richtlinie im Microsoft Defender-Portal, in dem Sie die Einstellung manuell aktualisieren können.
  • Ein Link zu Empfohlenen Einstellungen für EOP und Microsoft Defender for Office 365 Sicherheit.

Tipp

Um Details zu anderen Empfehlungen anzuzeigen, ohne das Details-Flyout zu verlassen, verwenden Sie Zurück und Weiter oben im Flyout.

Wenn Sie mit dem Details-Flyout fertig sind, wählen Sie Schließen aus.

Flyout-Erfahrung im Konfigurationsanalysetool

Wählen Sie auf der Registerkarte Standardschutz oder Strenger Schutz des Konfigurationsanalysetools einen Eintrag aus, indem Sie das Kontrollkästchen neben dem Empfehlungsnamen aktivieren. Die folgenden Aktionen werden auf der Seite angezeigt:

  • Empfehlung anwenden: Wenn die Empfehlung mehrere Schritte erfordert, ist diese Aktion abgeblendet.

    Wenn Sie diese Aktion auswählen, wird ein Bestätigungsdialogfeld (mit der Option, das Dialogfeld nicht mehr anzuzeigen) geöffnet. Wenn Sie OK auswählen, geschieht Folgendes:

    • Die Einstellung wird auf den empfohlenen Wert aktualisiert.
    • Die Empfehlung ist weiterhin ausgewählt, aber die einzige verfügbare Aktion ist Aktualisieren.
    • Der Statuswert für die Zeile ändert sich in Abgeschlossen.
  • Richtlinie anzeigen: Sie gelangen zum Details-Flyout der betroffenen Richtlinie im Microsoft Defender-Portal, in dem Sie die Einstellung manuell aktualisieren können.

  • Exportieren: Exportiert die ausgewählte Empfehlung in eine .csv-Datei, und wählen Sie Exportieren aus.

    Sie können Empfehlungen auch exportieren, nachdem Sie mehrere Empfehlungen ausgewählt haben oder nachdem Sie alle Empfehlungen ausgewählt haben, indem Sie das Kontrollkästchen neben der Spaltenüberschrift Empfehlungen aktivieren.

Nachdem Sie die Einstellung automatisch oder manuell aktualisiert haben, wählen Sie Aktualisieren aus, um die reduzierte Anzahl von Empfehlungen und das Entfernen der aktualisierten Zeile aus den Ergebnissen anzuzeigen.

Registerkarte „Analyse und Verlauf der Konfigurationsabweichung“ in der Konfigurationsanalyse

Hinweis

Die einheitliche Überwachung muss für die Driftanalyse aktiviert werden.

Auf dieser Registerkarte können Sie die Änderungen an Ihren Sicherheitsrichtlinien nachverfolgen und den Vergleich dieser Änderungen mit den Einstellungen Standard oder Strict nachverfolgen. Die folgenden Informationen werden standardmäßig angezeigt:

  • Zuletzt geändert
  • Geändert von
  • Einstellungsname
  • Richtlinie: Der Name der betroffenen Richtlinie.
  • Typ: Antispam, Antiphishing, Antischadsoftware, Sichere Links oder sichere Anlagen.
  • Konfigurationsänderung: Der alte Wert und der neue Wert der Einstellung
  • Konfigurationsabweichung: Der Wert "Erhöhen " oder "Verkleinern" , der angibt, dass die Einstellung im Vergleich zur empfohlenen Einstellung "Standard" oder "Strict" die Sicherheit erhöht oder verringert hat.

Um die Einträge zu filtern, wählen Sie Filter aus. Die folgenden Filter sind im Flyout Filter verfügbar, das geöffnet wird:

  • Datum: Startzeit und Endzeit. Sie können bis zu 90 Tage von heute zurück gehen.
  • Typ: Standardschutz oder Strenger Schutz.

Wenn Sie im Flyout Filter fertig sind, wählen Sie Übernehmen aus. Um die Filter zu löschen, wählen Sie Filter löschen aus.

Verwenden Sie das Suchfeld ::image type="icon" source="media/m365-cc-sc-search-icon.png" border="false"::: Search box to filter the entries by modified by, Setting name, or Type value.

Um die auf der Registerkarte Konfigurationsabweichungsanalyse und Verlauf angezeigten Einträge in eine .csv Datei zu exportieren, wählen Sie Exportieren aus.

Konfigurationsabweichungsanalyse und Verlaufsansicht im Konfigurationsanalysetool